某某有限公司網(wǎng)絡(luò)與信息安全管理辦法

某某有限公司網(wǎng)絡(luò)與信息安全管理辦法第一章總則第一條為加強(qiáng)某某某某有限公司網(wǎng)絡(luò)與信息安全監(jiān)督管理，提高網(wǎng)絡(luò)與信息安全防護(hù)能力和水平，促進(jìn)公司各項(xiàng)事業(yè)健康有序發(fā)展，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《某某某省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等相關(guān)法律法規(guī)及《某某某省某某某產(chǎn)業(yè)集團(tuán)有限責(zé)任公司網(wǎng)絡(luò)與信息安全管理辦法（試行）》，結(jié)合公司實(shí)際，制定本辦法。第二條本辦法適用于公司網(wǎng)絡(luò)與信息系統(tǒng)的建設(shè)、維護(hù)、使用等管理工作。本條網(wǎng)絡(luò)與信息系統(tǒng)是指（包括但不限于）網(wǎng)絡(luò)基礎(chǔ)設(shè)施、數(shù)據(jù)中心、信息系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)、信息內(nèi)容、計(jì)算機(jī)終端和其他支撐網(wǎng)絡(luò)與信息系統(tǒng)正常運(yùn)行的軟件、硬件設(shè)備。第三條網(wǎng)絡(luò)與信息安全工作堅(jiān)持"統(tǒng)一領(lǐng)導(dǎo)、逐級(jí)負(fù)責(zé)，統(tǒng)籌規(guī)劃、突出重點(diǎn)"的原則，遵循"安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范，全員參與''的方針。第二章職責(zé)分工第四條公司設(shè)立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，組成人員：組長(zhǎng)：黨委書(shū)記常務(wù)副組長(zhǎng)：黨委副書(shū)記副組長(zhǎng)：公司領(lǐng)導(dǎo)班子其他成員成員：總經(jīng)理助理黨委辦公室主任綜合辦公室主任財(cái)務(wù)管理部負(fù)責(zé)人領(lǐng)導(dǎo)小組下設(shè)辦公室，辦公室設(shè)在綜合辦公室辦公室主任：綜合辦公室主任網(wǎng)絡(luò)安全管理員：綜合辦公室職員第五條公司網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)與信息安全工作和相關(guān)監(jiān)督管理工作，具體職責(zé)如下：（一）負(fù)責(zé)貫徹落實(shí)某某某某某某某某有限責(zé)任公司（以下簡(jiǎn)稱(chēng)"集團(tuán)公司"）網(wǎng)絡(luò)與信息安全工作的部署和要求，依據(jù)“誰(shuí)使用、誰(shuí)主管、誰(shuí)負(fù)責(zé)"的原則，加強(qiáng)網(wǎng)絡(luò)安全和信息某某某作的領(lǐng)導(dǎo)，落實(shí)工作責(zé)任；（二）研究制定公司網(wǎng)絡(luò)安全與信息化管理制度，落實(shí)相關(guān)措施，確保網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行；（三）負(fù)責(zé)開(kāi)展公司網(wǎng)絡(luò)安全的工作檢查；（四）負(fù)責(zé)統(tǒng)籌、協(xié)調(diào)公司網(wǎng)絡(luò)安全事件應(yīng)急工作，并配合有關(guān)監(jiān)管部門(mén)做好網(wǎng)絡(luò)安全相關(guān)應(yīng)急處置工作；（五）負(fù)責(zé)推進(jìn)公司軟件正版某某某作，研究制定正版軟件管理辦法；（六）負(fù)責(zé)組織開(kāi)展經(jīng)常性網(wǎng)絡(luò)安全宣傳教育，提高公司人員的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全技術(shù)水平。第六條有關(guān)部室在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)與信息安全保護(hù)和監(jiān)督管理工作，具體職責(zé)如下：（一）綜合辦公室：牽頭全面負(fù)責(zé)公司網(wǎng)絡(luò)安全和信息某某某作，負(fù)責(zé)督促檢查公司網(wǎng)絡(luò)安全和信息某某某作，負(fù)責(zé)網(wǎng)絡(luò)安全信息的監(jiān)測(cè)預(yù)警和通報(bào)工作的組織、指導(dǎo)和協(xié)調(diào),負(fù)責(zé)公司軟件正版化日常工作。負(fù)責(zé)內(nèi)部公文的保密管理工作，負(fù)責(zé)協(xié)調(diào)公司落實(shí)網(wǎng)絡(luò)安全和信息化有關(guān)舉措，負(fù)責(zé)網(wǎng)絡(luò)安全應(yīng)急值班工作。（二）黨委工作部：負(fù)責(zé)黨委信息安全工作，負(fù)責(zé)收集和處置信訪相關(guān)輿情。負(fù)責(zé)公司網(wǎng)絡(luò)意識(shí)形態(tài)安全及應(yīng)急處置工作，負(fù)責(zé)收集和處置公司重大輿情。（三）財(cái)務(wù)管理部：負(fù)責(zé)網(wǎng)絡(luò)安全和信息化經(jīng)費(fèi)保障工作。第七條使用部室負(fù)責(zé)自建網(wǎng)絡(luò)與信息系統(tǒng)的安全保護(hù)和監(jiān)督管理工作；履行網(wǎng)絡(luò)與信息安全的保護(hù)義務(wù)；使用部室和個(gè)人對(duì)系統(tǒng)操作與信息內(nèi)容的安全承擔(dān)直接責(zé)任；網(wǎng)絡(luò)與信息系統(tǒng)通過(guò)外包服務(wù)方式進(jìn)行維護(hù)的，使用部室負(fù)責(zé)督查外包服務(wù)單位做好安全運(yùn)維工作，安全監(jiān)管責(zé)任主體仍為使用部室。第三章安全防護(hù)第八條對(duì)建設(shè)的網(wǎng)絡(luò)與信息系統(tǒng)依法開(kāi)展定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)和自查等工作，采取管理和技術(shù)措施，抵御黑客、病毒、惡意代碼等發(fā)起的各類(lèi)攻擊和破壞，保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運(yùn)行安全、信息系統(tǒng)安全、數(shù)據(jù)安全和信息安全，有效應(yīng)對(duì)網(wǎng)絡(luò)與信息安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)。第九條按照國(guó)家有關(guān)網(wǎng)絡(luò)與信息安全的法律法規(guī)、標(biāo)準(zhǔn)體系的管理規(guī)范、技術(shù)標(biāo)準(zhǔn)確定網(wǎng)絡(luò)與信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級(jí)，并對(duì)其實(shí)施相應(yīng)等級(jí)的安全管理。第十條新建、改建、擴(kuò)建的網(wǎng)絡(luò)與信息系統(tǒng)，應(yīng)當(dāng)在規(guī)劃、設(shè)計(jì)階段同步建設(shè)信息安全保障措施。第十一條嚴(yán)格要求并監(jiān)督網(wǎng)站、平臺(tái)或系統(tǒng)開(kāi)發(fā)方或者運(yùn)維方采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施，防止數(shù)據(jù)丟失或失密。備份數(shù)據(jù)應(yīng)按相關(guān)制度嚴(yán)格管理，妥善保存；備份數(shù)據(jù)資料保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。第十二條嚴(yán)格要求并監(jiān)督網(wǎng)站、平臺(tái)或系統(tǒng)開(kāi)發(fā)方或者運(yùn)維方采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，防止網(wǎng)絡(luò)日志被非法竊取、修改和刪除，所有日志均應(yīng)按照法律法規(guī)等要求留存。第十三條加強(qiáng)外部協(xié)作單位和人員的管理。因系統(tǒng)開(kāi)發(fā)、運(yùn)行維護(hù)等工作需要，讓外部協(xié)作單位和人員訪問(wèn)網(wǎng)絡(luò)與信息系統(tǒng)時(shí)，必須駐場(chǎng)接受統(tǒng)一管理，從配備堡壘機(jī)的統(tǒng)一端口訪問(wèn)，留存日志不少于6個(gè)月，并簽訂網(wǎng)絡(luò)安全服務(wù)協(xié)議，明確外部人員的安全責(zé)任與義務(wù)，規(guī)定所獲取內(nèi)部數(shù)據(jù)等資源的使用范圍，存留外部人員詳細(xì)訪問(wèn)記錄，并確定與之相關(guān)的內(nèi)部網(wǎng)絡(luò)安全責(zé)任人員。第十四條網(wǎng)絡(luò)與信息安全管理部門(mén)負(fù)責(zé)本公司網(wǎng)絡(luò)的規(guī)劃、搭建、統(tǒng)一管理、日常維護(hù)、安全保障等工作。第十五條局域網(wǎng)邊界必須安裝防火墻、上網(wǎng)行為管理等安全設(shè)備，設(shè)置防病毒、防漏洞、數(shù)據(jù)過(guò)濾、禁止游戲等安全管理策略，對(duì)接入外網(wǎng)的每個(gè)終端設(shè)備實(shí)行IP地址與MAC地址綁定，使用統(tǒng)一管理的防病毒軟件。第十六條使用局域網(wǎng)必須遵守相關(guān)法律法規(guī)，嚴(yán)禁在局域網(wǎng)內(nèi)運(yùn)行或傳播病毒、流氓軟件及進(jìn)行其他影響局域網(wǎng)正常運(yùn)行的行為。第十七條嚴(yán)格規(guī)范網(wǎng)絡(luò)安全人員的錄用過(guò)程，對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)等進(jìn)行詳細(xì)審查，對(duì)其所具有的技術(shù)技能進(jìn)行嚴(yán)格專(zhuān)業(yè)的考核，并簽署保密協(xié)議，明確網(wǎng)絡(luò)安全管理責(zé)任。第十八條新錄用的網(wǎng)絡(luò)安全人員，應(yīng)當(dāng)經(jīng)過(guò)網(wǎng)絡(luò)安全培訓(xùn)，掌握網(wǎng)絡(luò)安全基本要求和基本技能。第十九條網(wǎng)絡(luò)安全人員調(diào)崗離職時(shí)，應(yīng)當(dāng)簽署網(wǎng)絡(luò)安全離崗保密協(xié)議，并及時(shí)調(diào)整和終止網(wǎng)絡(luò)與信息系統(tǒng)的訪問(wèn)權(quán)限。未辦理上述事項(xiàng)前，不得辦理調(diào)崗離職手續(xù)。第二十條所有人員必須堅(jiān)持"涉密不上網(wǎng)、上網(wǎng)不涉密"原則，嚴(yán)格做好保密工作，妥善保管、使用敏感信息。第二十一條計(jì)算機(jī)終端按下列要求使用，確保信息安全：（一）應(yīng)安裝、使用正版的操作系統(tǒng)、應(yīng)用軟件、防病毒軟件，及時(shí)升級(jí)各軟件系統(tǒng)；（二）安裝正規(guī)來(lái)源的工作軟件，不得安裝與工作無(wú)關(guān)的軟件，不得存儲(chǔ)和處理與工作無(wú)關(guān)的個(gè)人信息、資料、數(shù)據(jù)，不得制作、復(fù)制和傳播非法、低俗、有害信息；（三）未經(jīng)授權(quán)不得將數(shù)據(jù)或應(yīng)用復(fù)制給其他單位或個(gè)人；（四）未經(jīng)同意不得使用他人計(jì)算機(jī)終端；（五）設(shè)置具有一定強(qiáng)度的開(kāi)機(jī)密碼和屏幕保護(hù)密碼，關(guān)閉不必要的應(yīng)用、服務(wù)、端口；（六）向信息系統(tǒng)提交文件前要做好查毒、殺毒工作，確保文件無(wú)毒上傳；（七）對(duì)重要文檔資料做好備份；（A）不得有法律法規(guī)禁止的行為。第二十二條移動(dòng)存儲(chǔ)介質(zhì)按下列要求使用，確保信息安全。（一）接入計(jì)算機(jī)終端之前必須殺毒；（二）適用于臨時(shí)數(shù)據(jù)的導(dǎo)入導(dǎo)出，不能作為數(shù)據(jù)的日常保存介質(zhì)；（三）包含敏感信息的移動(dòng)存儲(chǔ)介質(zhì)報(bào)廢時(shí)，應(yīng)被安全地處置，防止信息泄密，并做好處置記錄。第二十三條電腦設(shè)備的使用。（一）不濫用網(wǎng)絡(luò)資源瀏覽無(wú)關(guān)網(wǎng)頁(yè)、娛樂(lè)網(wǎng)站、購(gòu)物網(wǎng)站、炒股及BBS、BLOG等。上班時(shí)間，禁止使用QQ、微信、阿里旺旺等聊天工具做與工作無(wú)關(guān)的閑聊，禁止訪問(wèn)一切流媒體網(wǎng)站如：土豆網(wǎng)、優(yōu)酷網(wǎng)等；（二）嚴(yán)禁利用互聯(lián)網(wǎng)從事國(guó)家法律法規(guī)禁止的一切活動(dòng)；嚴(yán)禁通過(guò)互聯(lián)網(wǎng)查看和下載國(guó)家法律法規(guī)明令禁止傳播的一切信息；（三）不得利用互聯(lián)網(wǎng)泄漏公司戰(zhàn)略計(jì)劃、經(jīng)營(yíng)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、業(yè)務(wù)資料、技術(shù)資料以及被公司列為保密范圍之內(nèi)的信息和資料，嚴(yán)禁利用網(wǎng)絡(luò)資源從事違反公司制度的活動(dòng)；（四）網(wǎng)絡(luò)管理人員對(duì)公司所有計(jì)算機(jī)設(shè)備進(jìn)行統(tǒng)一登記，建立計(jì)算機(jī)軟、硬件明細(xì)臺(tái)賬，并定期對(duì)硬件進(jìn)行維護(hù)、檢查各部室使用情況；（五）計(jì)算機(jī)的使用人即為該設(shè)備的責(zé)任人，使用部室為責(zé)任部室。未經(jīng)負(fù)責(zé)人批準(zhǔn)，任何人不得使用他人計(jì)算機(jī),各部室使用的計(jì)算機(jī)，由部室負(fù)責(zé)人進(jìn)行管理監(jiān)督。第二十四條電子郵箱。（一）嚴(yán)禁使用郵箱收發(fā)各類(lèi)違反國(guó)家法律法規(guī)和公司規(guī)章制度的內(nèi)容；（二）嚴(yán)禁使用郵箱傳播不利于公司生產(chǎn)經(jīng)營(yíng)的正常開(kāi)展，不利于內(nèi)部團(tuán)建的言論和文件；（三）嚴(yán)禁使用郵箱傳播帶有病毒、惡意軟件的郵件內(nèi)容；（四）嚴(yán)禁使用各種技術(shù)手段攻擊、破解他人郵箱等入侵行為；（五）郵箱用戶(hù)需要對(duì)自己郵箱的賬號(hào)、密碼安全負(fù)全部責(zé)任，對(duì)自己郵箱賬號(hào)發(fā)送、接收的所有內(nèi)容及產(chǎn)生的后果承擔(dān)全部責(zé)任。第二十五條信息發(fā)布與審核。（一）本條款適用于集團(tuán)公司官網(wǎng)（以下統(tǒng)稱(chēng)官網(wǎng)）、內(nèi)網(wǎng)（以下統(tǒng)稱(chēng)OA系統(tǒng)）及其他對(duì)外宣傳平臺(tái)。（二）為規(guī)范網(wǎng)站信息采集、審核和發(fā)布機(jī)制，實(shí)行審批制度，堅(jiān)持"先審后上、分級(jí)負(fù)責(zé)、保證質(zhì)量"的原則，未經(jīng)審核的信息嚴(yán)禁上網(wǎng)發(fā)布。下列信息不得發(fā)布：L涉密文件；2?涉及商業(yè)秘密、個(gè)人隱私的相關(guān)信息；3?有損公司形象，對(duì)公司產(chǎn)生不利影響的信息；4?煽動(dòng)抗拒、破壞憲法和法律、行政法規(guī)實(shí)施的信息；5.煽動(dòng)顛覆國(guó)家政權(quán)，推翻社會(huì)主義制度的信息；6?煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一的信息；7?煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的信息；.捏造或者歪曲事實(shí)，散布謠言，擾亂社會(huì)秩序的信息;?宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的信息；.公然侮辱他人或者捏造事實(shí)誹謗他人的信息；n?侵犯他人知識(shí)產(chǎn)權(quán)的信息；12?其他違反憲法和法律、行政法規(guī)的信息。（三）各部室應(yīng)指定專(zhuān)人負(fù)責(zé)發(fā)布信息的收集、整理、上報(bào)工作，并確保信息資料的真實(shí)性和準(zhǔn)確性，符合安全保密工作的要求。（四）信息發(fā)布內(nèi)容分為兩類(lèi)：黨委、紀(jì)檢、工會(huì)類(lèi)信息，經(jīng)營(yíng)、安全類(lèi)信息。（五）向集團(tuán)公司內(nèi)外網(wǎng)上報(bào)信息流程（填寫(xiě)附件）：第一類(lèi)黨委、紀(jì)檢、工會(huì)類(lèi)信息L公司經(jīng)辦部室擬稿、核稿、審核；2.公司負(fù)責(zé)人審核后，提交集團(tuán)公司黨委工作部。第二類(lèi)經(jīng)營(yíng)、安全類(lèi)信息L公司經(jīng)辦部室擬稿、核稿、審核；2.公司負(fù)責(zé)人審核后，提交集團(tuán)公司綜合辦公室。（六）已通過(guò)集團(tuán)公司官網(wǎng)信息發(fā)布審核流程的新聞信息，可發(fā)布至其他對(duì)外宣傳平臺(tái)，無(wú)需再次審核。（七）在集團(tuán)公司官網(wǎng)、OA系統(tǒng)之外的其他對(duì)外宣傳平臺(tái)上發(fā)布公司信息，如微信公眾號(hào)、美篇等，須經(jīng)公司經(jīng)辦部門(mén)分管領(lǐng)導(dǎo)審核通過(guò)（填寫(xiě)附件），并做好備案存檔工作。第二十六條建立網(wǎng)絡(luò)與信息安全值守機(jī)制，做到安全事件早發(fā)現(xiàn)、早報(bào)告、早控制、早解決。第四章應(yīng)急處置第二十七條網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)籌協(xié)調(diào)組織公司網(wǎng)絡(luò)與信息安全事件應(yīng)對(duì)工作，建立健全跨部室聯(lián)動(dòng)處置機(jī)制和應(yīng)急技術(shù)支撐體系，提高應(yīng)對(duì)網(wǎng)絡(luò)與信息安全事件的能力。第二十八條依據(jù)網(wǎng)絡(luò)與信息安全法律法規(guī)，結(jié)合公司實(shí)際情況，制定網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，適時(shí)評(píng)估、修訂。第二十九條網(wǎng)絡(luò)與信息安全管理部門(mén)應(yīng)當(dāng)每年定期組織應(yīng)急演練，確保相關(guān)人員熟悉應(yīng)急預(yù)案，保證發(fā)生各類(lèi)網(wǎng)絡(luò)與信息安全事件時(shí)，能夠規(guī)范、及時(shí)處置。第三十條發(fā)生網(wǎng)絡(luò)與信息安全事件時(shí)，立即啟動(dòng)應(yīng)急響應(yīng)，妥善處置，并向有關(guān)管理部門(mén)報(bào)告，及時(shí)采取補(bǔ)救措施，盡量降低風(fēng)險(xiǎn)，減少損失。第五章監(jiān)督檢查第三十一條網(wǎng)絡(luò)與信息安全管理部門(mén)應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)與信息安全工作進(jìn)行日常監(jiān)督，每年至少組織一次網(wǎng)絡(luò)與信息安全檢查，掌握安全總體狀況，查找安全隱患，堵塞安全漏洞。檢查內(nèi)容包括：（一）查殺病毒，清除木馬、后門(mén)等惡意程序，升級(jí)系統(tǒng)，并及時(shí)安裝補(bǔ)??；（二）檢查信息系統(tǒng)和重要數(shù)據(jù)的備份情況；（三）檢查網(wǎng)頁(yè)內(nèi)容，及時(shí)清除無(wú)關(guān)網(wǎng)頁(yè)和暗鏈；（四）定期更改密碼，杜絕空密碼、弱密碼和默認(rèn)密碼,清理不必要的管理賬號(hào)；（五）檢查SQL注入和跨站腳本等安全漏洞；（六）檢查服務(wù)器安全策略，關(guān)閉不必要的端口和服務(wù);（七）檢查系統(tǒng)日志留存情況，留存相關(guān)日志不少于六個(gè)月。對(duì)檢查中發(fā)現(xiàn)的安全漏洞和安全隱患，檢查人員應(yīng)當(dāng)場(chǎng)填發(fā)《網(wǎng)絡(luò)與信息安全限期整改通知書(shū)》。對(duì)于一時(shí)難以整改落實(shí)的，應(yīng)當(dāng)立即采取措施進(jìn)行隔離或者停用，直至整改完成。第三十二條檢查應(yīng)當(dāng)采取必要的技術(shù)檢測(cè)手段，加強(qiáng)技術(shù)檢測(cè)公司和人員的保密管理和風(fēng)險(xiǎn)控制，嚴(yán)格檢查有關(guān)文檔和數(shù)據(jù)的安全保