企业信息安全管理 (公司网络与信息系统安全管理办法(样本))
规章制度编号:(信息/2)401-2020
公司网络与信息系统
安全管理办法
第一章 总则
第一条 为加强和规范公司(以下简称“公司”)网络与信息系统安全工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力,实现网络与信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条 本办法所称网络与信息系统是指公司xx通信网及其承载的管理信息系统和xx二次系统。
第三条 本办法适用于公司总(分)部及所属各级单位的网络与信息系统安全管理工作。
第四条 网络与信息系统安全防护目标是保障xx生产监控系统及xxxx数据网络的安全,保障管理信息系统及通信、网络的安全,落实信息系统生命周期全过程安全管理,实现信息安全可控、能控、在控。防范对xx二次系统、管理信息系统的恶意攻击及侵害,抵御内外部有组织的攻击,防止由于xx二次系统、管理信息系统的崩溃或瘫痪造成的xx系统事故。
第五条 公司网络与信息系统安全工作坚持“三纳入一融合”原则,将等级保护纳入网络与信息系统安全工作中,将网络与信息系统安全纳入信息化日常工作中,将网络与信息系统安全纳入公司安全生产管理体系中,将网络与信息系统安全融入公司安全生产中。在规划和建设网络与信息系统时,信息通信安全防护措施应按照“三同步”原则,与网络与信息系统建设同步规划、同步建设、同步投入运行。
第六条 管理信息系统安全防护坚持“双网双机、分区分域、安全接入、动态感知、全面防护、准入备案”的总体安全策略,执行信息安全等级保护制度。其中“双网双机”指信息内外网间采用逻辑强隔离设备进行隔离,并分别采用独立的服务器及桌面主机;“分区分域”指依据等级保护定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;“安全接入”指通过采用终端加固、安全通道、认证等措施保障终端接入公司信息内外网安全;“动态感知”指对公司网络、信息系统、终端及设备等安全状态进行全面动态监测,实现事前预警、事中监测和事后审计;“全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象;“准入备案”指对所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理。
第七条 xx二次系统安全防护按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则,并遵照原国家xx监管委员会《xx二次系统安全防护规定》及《xx二次系统安全防护总体方案》等相关文件执行。
第二章 职责分工
第八条 公司信息安全工作实行统一领导、分级管理,遵循“谁主管谁负责;谁运行谁负责;谁使用谁负责;管业务必须管安全”的原则,严格落实网络与信息系统安全责任。各级单位主要负责人是本单位网络与信息系统安全第一责任人。各级单位信息化领导小组负责本单位网络信息安全(含生产控制大区和管理信息大区)的总体协调领导。
第九条 网络与信息系统实行专业管理、归口监督。信通部是信息安全防护的归口部门,负责管理信息系统及xx通信网的安全防护。xx中心负责xx数据网络和xx二次系统的安全防护。安质部负责公司信息安全监督、检查和评价工作。办公厅(保密办)负责公司保密管理,负责信息失泄密情况的调查和处理。各业务部门负责本专业系统及终端的安全监控和防护。各级单位负责落实本单位网络与信息系统安全工作。
第十条 信通部主要职责如下:
(一)落实国家有关网络与信息系统安全法规、方针、政策、标准和规范,联系国家有关部门落实相关安全工作。组织制定公司网络与信息系统安全管理标准规范和规章制度。
(二)负责公司网络与信息系统安全体系规划设计、架构管控、总体安全防护方案制订、核心安全防护措施部署和策略优化配置并组织实施。
(三)指导总部各部门、公司各级单位开展网络与信息系统全生命周期安全管控工作,组织落实等级保护测评整改、风险评估和隐患排查治理等工作。
(四)负责信息安全技术督查体系建设,组织开展公司信息安全技术督查工作。
(五)协助开展网络与信息系统事件的调查处理,组织制定、落实网络与信息系统反事故措施。
(六)负责信息安全态势跟踪、事件监测与分析、信息安全通报。
(七)负责网络与信息系统应急管理体系建设与应急处置。
第十一条 xx中心主要职责如下:
(一)负责公司生产控制大区(含各级xx、xx、xx、xx、负荷控制等)工控系统安全防护管理,统筹公司经营范围内并网xx涉网部分的监控系统和xx保护等工控系统安全防护的技术监督管理。
(二)负责落实国家xx二次系统安全防护要求,组织制定公司xx二次系统安全管理制度,指导各级单位开展xx二次系统安全防护的实施方案制定和运行管理。
(三)配合完成国家有关部门对公司xx二次系统开展的风险评估和隐患排查、信息安全检查,落实等级保护制度等工作。
(四)负责xx二次系统安全防护技术督查体系建设以及组织开展xx二次系统的安全技术督查工作。
(五)负责xx二次系统应急管理体系建设与应急处置。
第十二条 安质部主要职责如下:
(一)负责公司网络与信息系统安全检查和评价。
(二)负责公司信息安全事件的调查、分析、处理和事件通报。
第十三条 业务部门主要职责如下:
(一)牵头开展本专业信息系统信息安全防护工作,依据公司总体安全策略组织制定相关系统信息安全防护方案,经公司信息安全专家审查委员会审批后执行。
(二)落实业务系统信息安全等级保护工作,配合开展业务系统安全测评、风险评估和隐患排查治理等工作。
(三)运检部负责xx终端具体安全防护及运行维护管理,负责相关安全防护的技改项目管理。
(四)营销部负责营销业务涉及控制类系统及终端(如负荷控制系统、负控终端及用xx信息采集控制终端等)的具体安全防护及运行维护管理。
(五)农xx部负责代管县供xx企业的农村xx网涉及控制类系统及终端安全防护管理。
(六)在本专业人员培训过程中贯彻公司信息安全相关要求。
第十四条 各级单位主要职责如下:
(一)负责贯彻落实国家有关网络与信息系统安全法规、方针、政策、标准和规范,贯彻落实公司网络与信息系统安全相关标准规范和规章制度。
(二)落实本单位范围内网络与信息系统安全工作责任体系。
(三)落实本单位网络与信息系统全生命周期安全管控、等级保护测评整改、安全准入、风险评估、隐患排查治理和信息安全技术督查等工作。
(四)按照公司网络与信息系统应急管理要求建立本单位应急体系,组织本单位突发事件的应急处理。
(五)负责明确本单位网络与信息系统安全运行维护部门或机构,落实网络与信息系统安全运行维护日常工作。明确落实本单位信息安全技术督查体系。
(六)组织本单位信息安全宣传和培训工作。
第十五条 各业务支撑和实施机构信息安全职责如下:
(一)各级调控机构:分别负责本级xx控制系统和xx数据网络的安全防护和运行维护管理,负责直调xx涉网部分的监控系统和xx保护等工控系统安全防护技术监督。
(二)运行分公司、各省检修(分)公司、各地(市)检修工公司和县运检部[检修(建设)工区]:分别负责运维范围内xx、开关站、换流站的系统、设备和终端的安全运维和应急处置工作。
(三)新源控股公司:负责运维范围内xx的系统、设备和终端的安全运维和应急处置工作。
(四)中国xx科院:负责公司信息通信安全研究,提供信息安全专业技术支撑;负责公司信息通信系统和设备的安全测试工作;负责信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价;负责执行信息通信安全技术督查及专项检查。
(五)省xx科院:负责信息通信安全研究,为各省(自治区、直辖市)xx公司提供信息安全专业技术支撑;负责省公司信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价;负责本单位信息安全技术督查。
(六)信通公司:负责公司总部信息通信系统、一级部署信息系统、直属单位集中部署信息系统和一级骨干信息通信网的安全运维和应急处置工作。
(七)省信通(分)公司:负责调管范围内信息通信系统xx监控和应急处置;负责资产管理范围内信息通信系统、设备和终端的安全运维和应急处置工作。
(八)地(市)信通分公司:受职能管理部门委托开展本单位信息安全保障工作。
第三章 管理要求
第十六条 按照公司制度标准体系建设工作要求和统一部署,由总部统一制定、发布与组织实施信息通信安全管理制度,实现全职责、全业务、全流程覆盖,确保纵向层级支撑,横向衔接联动。
第十七条 按照公司“三集五大”体系设计确定的岗位,公司统一确定信息系统建设、运行、使用等相关岗位的信息安全职责,各级单位遵照执行并加强管理。各级单位信息通信职能管理部门、xxxx管理部门应设置专门的信息安全管理岗位,配备安全管理人员,明确安全工作职责。
第十八条 加强员工信息安全管理,严格人员录用过程,与关键岗位员工签订保密协议,明确信息安全保密的内容和职责;切实加强员工信息安全培训工作,提高全员安全意识;及时终止离岗员工的所有访问权限。
对承担公司核心信息系统规划、研发、运维管理等关键岗位人员开展安全培训和考核,对系统运维关键岗位建立持证上岗制度,明确持证上岗要求。对关键岗位人员进行安全技能考核。将信息安全技能考核内容纳入公司安规考试。
加强对临时来访人员和常驻外包服务人员的信息安全管理。加强外来人员的出入登记和接待管理,严格控制外来人员活动区域。外来人员进入机房等重要区域,应办理审批登记手续并由相关管理人员全程陪同,相关操作必须有审计及监控。
第十九条 网络与信息系统安全管理工作机制如下:
(一)遵循“统一指挥、密切配合、职责明确、流程规范、响应及时”的协同原则,做好公司信息安全内、外部协同机制的落实工作。
(二)健全信息安全技术督查工作,加强对信息安全技术督查的一体化管控,强化督查责任落实,深化年度、专项、日常督查工作。进一步提升督查队伍装备水平,优化督查工作流程,强化督查队伍评价考核。
(三)落实常态信息安全风险评估工作,与公司春秋季检和迎峰度夏工作相结合,切实将风险评估工作常态化,及时落实整改,消除安全隐患。
(四)切实加强网络与信息系统应急管理体系建设。按照综合协调、统一领导、分级负责的原则,在公司总部、各分部、省(自治区、直辖市)xx公司、直属单位建立应急组织和指挥体系;坚持“安全第一、预防为主”的方针,加强应急响应队伍建设,优化完善应急预案,落实常态应急演练工作,做好应急保障工作;加强安全风险监测与预警,建立“上下联动、区域协作”的快速响应工作,强化应急处置。
(五)严格执行信息安全事故通报制度(通报规范见附件1),做好节假日和特殊时期的安全运行情况报送工作。
(六)落实健全网络与信息系统安全准入工作,加强对接入公司网络的各类系统、终端、设备的准入及备案管理,强化备案信息与上下线相关运行安全工作的准入联动工作。
(七)严格按照公司安全事故调查规程,开展事故原因分析,做好事故调查工作,坚持“四不放过”原则,有效落实整改。
(八)贯彻落实信息安全等级保护制度,持续强化信息安全等级保护工作管理,做好系统等级保护定级、备案、建设、测评与整改工作。
(九)深入开展信息安全动态治理工作,推动各级单位信息安全工作的落实与持续改进,提升信息安全流程化、标准化和规范化水平。强化隐患排查治理工作,强化从隐患发现到隐患治理的闭环管理工作,消除信息安全薄弱环节。
(十)开展信息技术供应链安全管理工作,开展信息技术软硬件设备和服务供应商安全管理、软硬件设备选型和安全测试工作,逐步实现核心运行系统的国产化。加强外部合作单位和供应商管理,严格外部单位资质审核。严禁合作单位和供应商在对互联网提供服务的网络和信息系统中存储和运行公司相关业务系统数据和敏感信息。关键软硬件设备采购应开展产品预先选型和安全检测。对涉及的信息安全软硬件产品和密码产品要坚持国产化原则,信息安全核心防护产品以自主研发为主。管理信息系统软硬件产品逐步采用全国产化产品。及时开展各种软硬件漏洞检测及修复。
(十一)建立信息安全综合评价体系,加强信息安全监督及考核评价,将网络与信息系统安全落实情况纳入各级单位信息化水平评价。
(十二)加强密码技术的开发利用以及密码安全保障,落实密钥的统一选型及应用工作,充分发挥密码技术在信息安全工作中的基础作用。
第二十条 加强xx通信网的安全管理,规范xx通信网络安全防护体系,健全针对各类网络在线监测和安全预警能力,做好对光缆、网络交换设备、物理区域与人员的安全访问管理,禁止通信网管系统未经网络隔离装置与信息内网互联,禁止通信网管系统与外部维护厂商间进行网络连接。xx通信设备、线路等应采用冗余保障、网络优化、设备网管防护等措施提高可用性。
第二十一条 加强信息内外网网站管理。各级单位对外网站应与公司外网企业门户网站进行整合,内网宣传网站要与公司内网企业门户进行整合,实现网站统一管理与备案。网站信息发布须严格按照公司审核发布流程。各级单位网站统一使用公司域名,并规范网站功能设置及网站风格设计。加强内外网邮件统一管理,禁止各级单位建立独立内外网邮件系统,如确实需要建立,需提前报公司批准。
第二十二条 加强信息安全备案准入工作。各级单位要巩固信息安全备案准入成果,加强对采集类业务终端的安全备案,严格各类信息资产安全备案作为入网的必要条件。加强安全备案数据质量的治理工作,确保填报信息完整、准确及更新及时,对于未备案的业务系统、网络专线,一经发现立即关停,按照公司有关要求进行追责及处置。
第二十三条 微博微信等新业务安全管理要求如下:
(一)强化对企业官方微博微信、Wi-Fi网络、其他新业务的安全备案准入与管理,加强微博微信开设、使用的安全管理,加强信息外网无线Wi-Fi网络的审批、备案与使用管理。
(二)各级单位要加强官方微博微信的开设与管理,加强对本单位官方微博微信所发布的内容审查与核实。微博微信的发布终端要按照公司办公计算机防护要求部署安全措施。公司两级技术督查队伍在日常的安全督查中要加强对微博微信发布终端的检查深度和频度。
(三)各级单位信息外网使用Wi-Fi要严格落实审核批准与备案工作,要加强Wi-Fi组网的网络准入、安全审计、用户身份认证方面的安全防护技术手段。
(四)各级单位要控制内网第三方专线接入公司信息网络的专线数量,对于确需第三方接入的新业务,要选择安全的接入方式并强化落实边界安全防护措施。
第二十四条 接入安全管理要求如下:
(一)加强互联网接入以及互联网出口归集统一管理,充分利用公司xx通信链路,以省级单位和三地灾备中心为主体对下属单位互联网出口进行严格管控、合并、统一设置和集中监控。
(二)加强非集中办公区域内网接入安全管理,严格履行审批程序,按照公司集中办公区域相关要求落实信息安全管理与技术措施。非集中办公区域应采用xx通信网络通道接入公司内部网络,如确实需要租用第三方专线,应在公司进行备案,并严格按照总体防护要求采取相应防护措施。
第二十五条 规划计划安全管理要求如下:
(一)网络与信息系统在可研设计阶段应全面分析其可能面临的主要信息安全风险以及对现有网络与系统、流程的影响,并进行安全需求分析。
(二)可研阶段信息系统应组织进行信息安全防护设计,做好安全架构规划,形成专项信息安全防护方案并进行评审。专项信息安全防护方案通过评审后方可进行后续开发工作。涉及认证、密钥以及数据保护等方面需考虑与公司统一密钥系统集成接口设计。
(三)网络与信息系统应提前组织开展等级保护定级工作,同时重要系统应提前在公司信息安全归口管理部门进行备案。
第二十六条 建设安全管理要求如下:
(一)严格遵循信息系统开发管理要求,加强对项目开发环境及测试环境的安全管理,确保与实际运行环境及办公环境安全隔离,确保开发全过程信息安全管控。
(二)加强信息系统开发过程中代码编写的规范性,应采用公司统一开发平台进行开发,并严格按照公司统一安全编程规范进行代码编写,定期进行代码审核,并组织代码安全自测。
(三)加强代码安全管理,确保开发过程中代码安全保密。落实源代码补丁漏洞工作,及时对代码漏洞进行反馈及整改。
(四)规范外部软件及插件的使用,应使用主流的、成熟的外部软件及插件,避免采用非商用且无安全保证的外部软件及插件。集成外部软件及插件包括开源组件时,应重视接口交互的安全,充分考虑异常的处理。
(五)加强xx通信网建设的安全管理,通过识别、评估和分析等手段降低安全风险,保证通信网络建设过程中安全可控,确保人身、设备及现有网络的安全。
第二十七条 运维安全管理要求如下:
(一)网络与信息系统上线前、重要升级前、与生产系统联合调试前对安全防护设计遵从度、应用软件安全功能、代码安全、运行环境安全等进行全面测试以及整改加固,通过测试后方可正式上线试运行。
(二)建立网络与信息系统资产安全管理制度,加强资产的新增、验收、盘点、维护、报废等各环节管理。编制资产清单,根据资产重要程度对资产进行标识。加强对资产、风险分析及漏洞关联管理。
(三)加强机房出入管理,对机房建筑采取门禁、专人值守等措施,防止非法进入,出入机房需进行登记。
(四)加强信息通信设备安全管理,建立健全设备安全管理制度。加强设备基线策略管理以及优化部署,制定安全基线策略配置管理要求和技术标准,规范上线、运行软硬件设备信息安全策略以及安全配置。
(五)建立通信设备软件升级预评估制度,对其必要性和紧急性进行评估论证,并采取相应防范措施后,再进行相关升级工作。
(六)规范账号权限管理,系统上线稳定运行后,应回收建设开发单位所掌握的账号。各类超级用户账号禁止多人共用,禁止由非主业不可控人员掌握。临时账号应设定使用时限,员工离职、离岗时,信息系统的访问权限应同步收回。应定期(半年)对信息系统用户权限进行审核、清理,删除废旧账号、无用账号,及时调整可能导致安全问题的权限分配数据。
(七)规范账号口令管理,口令必须具有一定强度、长度和复杂度,长度不得小于 8 位字符串,要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。定期更换口令,更换周期不超过6个月,重要系统口令更换周期不超过3个月,最近使用的4个口令不可重复。
(八)强化公司统一漏洞及补丁工作,加强对公司各级单位漏洞的采集、分析、发布、描述的集中统一管理,实现全网漏洞扫描策略的统一制定、扫描任务的统一执行,实现对各级单位漏洞情况以及内外网补丁下载、安装情况的监管。加强各种典型漏洞、补丁的测试验证及整改工作。
(九)加强恶意代码及病毒防范管理,加强对特种木马的监测,确保客户端防病毒软件全面安装,严格要求内网病毒库的升级频率,加强病毒监测、预警、分析及通报力度。对使用的移动设备必须进行病毒木马查杀。
(十)加强远程运维管理,不得通过互联网或信息外网远程运维方式进行设备和系统的维护及技术支持工作。内网远程运维要履行审批程序,并对各项操作进行监控、记录和审计。有国外单位参与的运维操作需安排在测试仿真环境,禁止在生产环境进行。
(十一)规范变更计划、变更操作审批流程、变更测试、变更恢复预案等工作。严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,严格执行工作票和操作票制度。加强网络与信息系统检修过程安全管理,预防网络与信息系统损坏和事故发生。
(十二)加强安全审计工作,实现对主机、数据库、业务应用等多个层次集中、全面、细粒度安全审计,提高审计记录的统计汇总、综合分析能力,做到事前、事中、事后的问题追溯。
(十三)明确备份及恢复策略,严格控制数据备份和恢复过程。重要系统和数据备份需纳入公司统一的灾备系统。
(十四)涉及敏感信息的系统数据库应部署于信息内网,同时加强对重要地理信息、客户信息等的安全存储和安全传输等措施的落实。
(十五) xx通信网的光缆使用年限一般不应超过设计要求,超过设计年限要求的光缆应加强监测。
第四章 技术措施
第二十八条 物理安全技术工作要求如下:
(一)严格执行信息通信机房管理有关规范,确保机房运行环境符合要求。室内机房物理环境安全需满足对应信息系统等级的等级保护物理安全要求,室外设备物理安全需满足国家对于防盗、xx气、环境、噪音、xx磁、机械结构、铭牌、防腐蚀、防火、防雷、xx源等要求,四级及以上系统应对关键区域实施xx磁屏蔽措施。
(二)加强办公区域安全管理,员工离开办公区域要及时锁定桌面终端计算机屏幕,防止外来人员接触办公区域xx子信息。
(三)重要通信设备应满足硬件冗余需求,如主控板卡、时钟板卡、xx源板卡、交叉板卡、支路板卡等,至少满足1 1冗余需求,一些重要板卡需满足1 N冗余需求。
(四)通信xx源应满足xx系统重要业务“双xx源”冗余要求。xx系统重要业务应配置两套独立的通信设备,具备两条独立的路由,并分别由两套独立的xx源供xx, 两套通信设备和两套xx源在物理上应完全隔离。
第二十九条 网络安全技术工作要求如下:
(一)xx通信网的数据网划分为xxxx数据网、综合数据通信网,分别承载不同类型的业务系统,xxxx数据网与综合数据网之间应在物理层面上实现安全隔离。
(二)加强信息内外网架构管控,做好分区分域安全防护,进一步提升用户服务体验。公司管理信息大区划分为信息外网和信息内网,信息内外网采用逻辑强隔离设备进行安全隔离。信息内外网内部根据业务分类划分不同业务区。各业务区按照信息系统防护等级以及业务系统类型进一步划分安全域,加强区域间用户访问控制,按最小化原则设置用户访问暴露面,防止非授权的跨域访问,实现业务分区分域管理。
(三)按照公司总体安全防护要求,结合xx通信网各类网络边界特点,严格按照公司要求落实访问控制、流量控制、入侵检测/防护、内容审计与过滤、防隐性边界、恶意代码过滤等安全技术措施,防范跨域跨边界非法访问及攻击,防范恶意代码传播。不得从任何公共网络直接接入公司内部网络,禁止内、外网接入通道混用。
(四)加强互联网边界及对外业务系统安全防护,进一步提升针对互联网出口DDoS等典型网络攻击以及特种病毒木马的防范能力,提高信息外网可靠性及安全性。
(五)深化信息内外网边界安全防护,加强内外网数据交互安全过滤,保障关键应用快速穿透和信息安全交互,满足客户服务及时响应需求。
(六)加强对信息内外网专线的安全防护,对于与银行等外部单位互联的专线要部署逻辑强隔离措施,设置访问控制策略,进行内容监测与审计,只容许指定的、可信的网络及用户才能进行数据交换。
(七)加强信息内网远程接入边界安全防护。对于采用无线专网接入公司内部网络的采集等业务应用,应在网络边界部署公司统一安全接入防护措施,建立专用加密传输通道,并结合公司统一数字证书体系进行防护。
(八)信息内网禁止使用无线网络组网。
(九)信息外网用无线组网的单位,应强化无线网络安全防护措施,无线网络要启用网络接入控制和身份认证,进行IP/MAC地址绑定,应用高强度加密算法,防止无线网络被外部攻击者非法进入,确保无线网络安全。
第三十条 终端安全技术工作要求如下:
(一)办公计算机严格执行“涉密不上网、上网不涉密”纪律,严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网计算机存储、处理国家秘密信息,严禁在连接互联网的计算机上处理、存储涉及国家秘密和企业秘密信息;严禁信息内网和信息外网计算机交叉使用;严禁普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和信息外网上交叉使用。涉密计算机按照公司办公计算机保密管理规定进行管理。
(二)信息内外网办公计算机应分别部署于信息内外网桌面终端安全域,桌面终端安全域应采取IP/MAC绑定、安全准入管理、访问控制、入侵检测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理等措施进行安全防护。
(三)信息内外网办公计算机终端须安装桌面终端管理系统、保密检测系统、防病毒等客户端软件,严格按照公司要求设置基线策略,并及时进行病毒库升级以及补丁更新。严禁未通过本单位信息通信管理部门审核以及中国xx科院的信息安全测评认定工作,相关部门和个人在信息内外网擅自安装具有拒绝服务、网络扫描、远程控制和信息搜集等功能的软件(恶意软件),防范引发的安全风险;如确需安装,应履行相关程序。
(四)对于不具备信息内网专线接入条件,通过公司统一安全防护措施接入信息内网的信息采集类、移动作业类终端,需严格执行公司办公终端“严禁内外网机混用”的原则。同时接入信息内网终端在遵循公司现有终端安全防护要求的基础上,要安装终端安全专控软件进行安全加固,并通过安全加密卡进行认证,确保其不能连接信息外网和互联网。
第三十一条 主机安全技术工作要求如下:
(一)对操作系统和数据库系统用户进行身份标识和鉴别,具有登录失败处理,限制非法登录次数,设置连接超时功能。
(二)操作系统和数据库系统特权用户应进行访问权限分离,对访问权限一致的用户进行分组,访问控制粒度应达到主体为用户级,客体为文件、数据库表级。禁止匿名用户访问。
(三)加强补丁的兼容性和安全性测试,确保操作系统、中间件、数据库等基础平台软件补丁升级安全。
(四)加强主机服务器病毒防护,安装防病毒软件,及时更新病毒库。
第三十二条 应用安全技术工作要求如下:
(一)强化用户登陆身份认证功能,采用用户名及口令进行认证时,应当对口令长度、复杂度、生存周期进行强制要求,系统应提供用户身份标识唯一和鉴别信息复杂度检查功能,禁止口令在系统中以明文形式存储;系统应当提供制定用户登录错误锁定、会话超时退出等安全策略的功能。
(二)规范应用系统权限的设计与使用,实现用户、组织、角色、权限信息统一集中管理,权限分配应按照最小权限原则,审核角色、系统管理角色、业务操作角色、账号创建角色与权限分配角色等应按照互斥原则设置权限。
(三)根据信息系统安全级别强化应用自身安全设计,应包括身份认证,授权,输入输出验证,配置管理,会话管理,加密技术,参数操作,异常管理,日志及审计等方面内容。
(四)控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最小值时,应能检测并报警。
(五)加强邮件敏感内容检查、邮件病毒查杀、外网邮件行为监测,社会邮箱收发件统计等安全措施,防范邮件系统攻击及邮件泄密。
(六)具有控制功能的系统或模块,控制类信息必须通过生产控制大区网络或专线传输,严格遵守xx二次系统安全防护方案,实现系统主站与终端间基于国家认可密码算法的加密通信,基于数字证书体系的身份认证,对主站的控制命令和参数设置指令须采取强身份认证及数据完整性验证等安全防护措施。
(七)对与互联网有广泛交互的应用系统或模块,以及部署在信息外网的系统与网站,要加强权限管理,做好主机、应用的安全加固,加强账号、密码、重要数据等加密存储,对需要穿透访问信息内网的数据或服务,严格限制访问数据的格式,过滤必要的特殊字符组合以防止注入攻击。建立常态外网安全巡检、加固、检修以及应急演练等工作机制,做好日常网站备份工作。
(八)具有采集功能的系统或模块,根据采集信息的保密性,在采用公司专线(光纤、载波等)接入内网进行信息采集时,应采用身份认证和访问控制措施。不具备专线条件时,应在虚拟专网基础上采用终端身份认证、访问控制措施,建立加密传输通道进行信息采集,要加强对采集终端存储和处理敏感业务数据的安全防护,以保证业务数据的保密性和完整性。
第三十三条 数据安全技术工作要求如下:
(一)从终端、网络以及存储三个层面加强对敏感数据进行检测与分析,实现对公司各种敏感数据存储、数据操作权限、数据外发等进行安全保护与控制。
(二)重要和敏感信息,如商密定级文件、公司OA公文、xx子文件等,实行加密传输、授权控制、操作审计及监控;对重要信息实行自动、定期备份;按需进行恢复测试,确保备份数据的可用性。
(三)严格落实公司xx子数据恢复、擦除与销毁管理技术要求,加强处理过程中的存储介质管理、全程现场监控以及安全保密等工作。
第三十四条 深化信息安全监测手段,扩展监控范围,实现对各类网络及边界、网站及应用系统、终端以及密钥使用情况等的全方位、实时安全监控,做好信息安全监测预警、指标发布及深化治理工作。
第三十五条 xx网工业控制系统应纳入xx二次系统管理。加强xx网工业控制系统安全保障工作,推进工业控制系统安全检测技术研究和工具研发,做好xx网工控系统安全测评、关键设备安全检测及防护整改等工作,进一步提高漏洞分析、漏洞发布、隐患排查和应急处理能力。
第三十六条 加强云计算、物联网、可信计算、下一代互联网等方面的信息安全技术研究与应用,强化对新技术的检测、验证、评估及审核,超前分析新技术应用带来的安全风险和隐患,提前采取措施予以防范。不得采用与公司信息安全策略与要求相违背的信息通信技术,不得应用存在信息安全隐患的新技术。
第三十七条 针对暴露面及新型安全威胁,围绕隐患发现、防护处置、监测对抗、应急恢复等能力,建立稳定、专业的技术支撑队伍,从研发安全、安全检测、防病毒管理、统一密钥管理、漏洞补丁管理、红蓝对抗、安全监控、应急恢复、新技术研究与架构设计等方面开展专项技防能力建设,实现技术手段和管理措施的有效融合,实现内外部综合协同、资源共享和整体联动,提升公司信息安全协同防御和体系对抗能力。
第五章 检查考核
第三十八条 各级单位应建立网络与信息系统安全检查考核机制,根据工作需要,制定科学、规范的检查考核指标体系。
第六章 附 则
第三十九条 本办法由信通部负责解释并监督执行。
第四十条 本办法自2020年xx月xx日起施行。原《公司信息系统安全管理办法》(信息 〔20xx〕 xx号)、《公司网络与信息系统安全运行情况通报制度》(信息技术〔xxx〕xxx号)同时废止。
附件1
公司网络与信息系统安全运行情况通报规范
一、总则
(一)为加强公司(以下简称“公司”)网络与信息系统安全运行管理,进一步规范完善公司网络与信息系统安全运行情况通报工作,有效保障通报工作有序开展,切实落实上情下达、下情上达、协调和服务保障的任务,依据《xx行业网络与信息安全信息通报暂行办法》、《xx企业网络与信息安全信息通报工作指导意见(试行)》,制定本规范。
(二)本规范所指网络与信息系统安全运行情况是指信息网络和系统故障和瘫痪,信息系统数据丢失和信息泄密,信息系统受到病毒感染和恶意渗透、攻击,有害信息在网站传播等信息安全事件以及跟踪发现的外部信息安全舆情。
(三)本规范适用于公司总(分)部及所属各级单位的网络与信息系统安全运行情况通报管理工作。
(四)公司网络与信息系统安全运行情况通报工作按照“谁主管谁负责,谁运营谁负责”的工作原则,实行“统一领导,分级管理、逐级上报”的工作方针,以加强公司各级单位网络与信息系统安全运行的信息共享和统一应急处置工作。
二、职责分工
(一)信通部负责公司网络与信息系统安全运行情况通报的归口管理工作。主要职责:
(1)负责建立公司网络与信息系统安全运行情况通报的规章制度,并督促执行;
(2)负责与国家有关部门建立联系,及时接收和转发国家有关部门发布的信息通报,并按时向国家有关部门报送相关材料;
(3)负责汇总总部xx二次系统、xx通信骨干网络、总部信息系统,以及公司各单位的安全运行情况通报;
(4)负责建立与国家有关部门的信息安全通报联系,对于重大事件启动联合应急机制,并协调国家相关部门协助处置。
(二)xx中心负责汇总公司范围内有关xx二次系统安全运行情况,并抄送信通部归口统计。
(三)信通公司负责将xx通信骨干网络和总部信息系统安全运行情况汇总报送信通部和运监中心,并将xx通信骨干网络安全运行情况抄送给xx中心。
(四)公司各级单位信息通信管理部门负责本单位范围内网络与信息系统安全运行情况通报的归口管理工作。主要职责:
(2)负责结合实际情况,建立本单位信息安全通报的规章制度,并督促执行;
(3)负责汇总本单位范围内xx通信网络和信息系统的安全运行情况,按时按需向上级主管部门报送本单位快报、月报、年报、特殊时期信息安全日报、安全事件专报。
(4)负责汇总本单位发现的信息安全事件和突发工作(如公安机关检查情况),以及跟踪发现的外部信息安全舆情,并报送至上级主管部门;
(5)负责汇总本单位信息安全重点工作开展情况,突出本单位特色、自行开展的信息安全工作,以及对公司信息安全工作建议,并报送至上级主管部门;
(6)负责总结本单位信息安全工作典型经验,并报送至上级主管部门;
(7)负责向下级单位转发信通部发布的各类信息安全事件通报、预警通报,负责接收、汇总反馈情况,报送至上级主管部门。
(五)公司各级单位xx部门按照xx二次系统信息报送要求,将本单位xx二次系统安全运行情况上报xx中心,遇重大、紧急突发安全事件时,抄送给信息通信管理部门。
(六)中国xx科院负责对总部范围内信息安全通报相关工作提供技术支持,并协助开展安全事件、安全隐患、安全漏洞、安全舆情的分析、研判等工作。
(八)省公司督查队伍负责对本省内信息安全通报相关工作提供技术支持,并协助开展安全事件、安全隐患、安全漏洞、安全舆情的分析、研判等工作。
三、内容及分类
(一)网络和信息系统安全运行情况通报内容主要包括:
(1)xx子公告服务、群发xx子邮件以及广播式即时通信等网络服务中反动有害信息的传播情况;
(2)利用网络从事违法犯罪活动的情况;
(3)已经确定或可能发生的计算机病毒、网络攻击情况;
(4)网络恐怖活动的嫌疑情况和预警信息;
(5)网络或信息系统通信和资源使用异常、网络和信息瘫痪、应用服务中断或数据纂改、丢失等情况;
(6)网络安全状况、安全形势分析预测等信息;
(7)跟踪发现的各类外部信息安全舆情;
(8)其他影响网络与信息安全的信息。
(二)网络和信息系统安全运行情况通报分为快报、月报、年报、特殊时期安全运行日报以及安全事件专报。
(三)公司各级单位的网络与信息系统在运行过程中如出现以下任一情形,需填写网络与信息系统安全运行快报(格式见附表二),并逐级上报。相关情形包括:
(1)网络和信息系统发生严重故障和瘫痪;
(2)信息系统重要数据丢失和信息泄密;
(3)信息系统受到较大面积病毒感染和恶意渗透、攻击;
(4)有害信息在网站较大面积传播;
(5)其他较严重或上级部门指定以快报形式上报的信息安全事件。
(四)公司各级单位每月需填写网络与信息系统安全运行月报(格式见附表三),并上报上级主管部门。月报应包括以下内容:
(1)网络与信息系统安全运行指标情况及分析;
(2)网络与信息系统安全信息情况;
(3)安全事件统计与分析;
(4)本月网络与信息系统安全运行工作开展情况;
(5)对公司信息安全工作建议。
(五)公司各级单位每年需进行年度总结报告(以下简称年报),并以书面形式上报上级主管部门。年报应包括以下内容:
(1)负责运行维护的设备和信息系统的基本情况;
(2)安全与运行管理工作简况;
(3)年度信息安全与运行指标工作总结与分析,要对信息系统的主要设备、事故、障碍、故障和异常情况及原因进行统计、汇总和分析;
(4)对影响设备和信息系统安全运行的主要原因和问题进行分析;
(5)下一年度安全与运行拟开展的重点工作。
(七)中国xx科院需向公司信通部报送各类信息安全事件专报。专报包括:
(1)信息安全监测深度分析:根据当月信息安全监测情况,基于数字分析公司整体信息安全情况,总结存在的信息安全隐患问题以及监测工作本身的不足,并提出相关建议;
(2)信息安全监测发现重大事件:对信息安全监测发现的重大事件进行分析,并提出解决建议;
(3)信息安全事件分析:不定期跟踪公司及外部信息安全重大事件和典型事件,分析事件成因、问题,以及对公司信息安全工作的启示和举措;
(4)信息安全舆情跟踪:双周跟踪国内外信息安全事件、漏洞、政策、会议、技术等舆情;
(5)新技术、新应用、新业务信息安全情况分析:不定期跟踪新技术、新应用、新业务在公司的开展情况,分析其中信息安全情况,并提出相关建议。
四、报送要求
(一)公司各级单位通过公司信息通信业务管理系统上报网络与信息系统安全运行月报、日报,安全运行快报主要通过xx子邮件和传真报送。
(二)公司各级单位在执行快报上报时,需在二十四小时内完成上报工作。特别紧急情况需第一时间通过xx话等方式立即向信通部相关负责人员做口头汇报。
(三)公司各级单位需在每个月前两个工作日内完成上个月的月报上报工作。信通部对公司的安全运行情况汇总分析后,于第三个工作日将公司网络与信息系统安全运行情况报送国家相关单位。
(四)公司各级单位的年报工作与本年度最后一期月报一并上报。
(五)公司各级单位应及时、全面、准确报送信息,不得瞒报、缓报、谎报网络与信息系统安全运行情况。
(六)公司各级单位应按照国家保密规定,做好本单位网络与信息系统安全运行情况通报的保密工作。
附表一:网络与信息系统安全运行情况通报基本情况备案表
单位名称
责任部门
安全运行情况通报负责人
姓名:
职务:
邮编:
信通地址:
xx话:
手机:
xx子邮件:
安全运行情况通报联络人
姓名:
职务:
邮编:
信通地址:
xx话:
手机:
xx子邮件:
后备联络人
姓名:
职务:
邮编:
信通地址:
xx话:
手机:
xx子邮件:
其他联络人
填表说明
审核人
批准人
填表人
填报时间
附表二:网络与信息系统安全运行快报
报告单位
报告时间
事件起止时间
自 年 月 日
至 年 月 日
审核人
批准人
报告人
通信方式
事件简单描述
事件影响范围和危害程度初步估计
处置措施和初步结果
备注
附表三:网络与信息系统安全运行月报
单位名称
报告时间
系统运行期间
起始日期
截止日期
网络与信息系统安全运行指标情况及分析
网络与信息系统安全信息情况
安全审计统计与分析
本月网络与信息系统安全运行工作开展情况
备注:
审核人
批准人
报告人
通信方式
附表四:网络与信息系统特殊时期安全运行日报
单位名称
报告时间
系统运行期间
年 月 日
网络与信息系统运行状况描述:
发生的网络与信息系统事件描述(时间、类型、起因与过程、影响范围、损失及危害情况、分析研判结果、整改措施)
备注:
审核人
批准人
报告人
通信方式
本文由硕硕发布,不代表答财网立场,版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除