中国铁路总公司网络安全管理办法(TGXX202-2015)
铁路运营计算机网络安全管理办法
铁路运营计算机网络安全管理办法第一章总则第一条为了进一步加强集团公司计算机网络安全管理,确保网络运行安全可靠,根据《中华人民共和国计算机信息网络、国际互联网安全保护管理办法》及铁道部、铁路局关于计算机网络安全管理的有关文件,结合集团公司实际,特制定本办法。
第二条计算机网络是实现生产管理、安全质量分析、数据统计分析、办公自动化及成本控制科学化、现代化的重要手段。
通过先进实用的计算机技术和网络通信技术,实现信息的快捷沟通和资源共享。
第二章机构管理第四条集团公司成立计算机网络安全管理小组,负责计算机网络安全管理工作。
第五条计算机网络安全管理小组的主要职责1.认真贯彻落实国家及铁道部、铁路局有关计算机网络安全管理制度及有关规定,监督、检查集团公司各部门的执行情况。
2.负责集团公司网络规划、建设和安全管理,对涉及网络安全的一些重大问题作出决策和决定。
3.设备技术部具体负责制定完善集团公司计算机网络安全管理制度并付诸实施,负责集团公司局域网的组建,定期进行网络巡检,监督、检查所有微机及网络使用情况,为安全部和保卫部— 1 —的监督、检查工作提供技术支持。
4.综合管理部负责计算机的日常维修和维护。
5.安全部具体负责所有与行车安全有关微机的安全管理,定期组织监督、检查是否存在一机双网,是否安装与工作无关软件,确保专机专用和地面分析软件运行可靠。
6.保卫部具体负责所有联入互联网微机的安全保密管理,定期组织监督、检查微机上网记录和硬盘所保存的内容,确保联入互联网微机的数据安全。
第三章计算机日常使用及安全管理第六条集团公司计算机管理执行实名制,设备技术部负责建立、维护计算机实名台账,员工本人负责计算机的日常操作使用,员工所在部门负责人负有监管责任。
各部门不得擅自对微机及附属设备进行调配,因工作需要进行调配时须经部门领导批准,并报设备技术部办理有关手续。
第七条公司各部门的计算机硬件,遵循谁使用,谁负责的原则进行管理。
计算机的原始资料(说明书、保修卡、随机自带光盘、软件等)由计算机使用人负责保管使用。
车务段网络安全管理办法
车务段网络安全管理办法第一章 总 则第一条 为加强车务段网络安全管理,促进网络安全管理规范化、系统化、科学化,根据《铁路局网络安全管理办法》(铁信息〔2016〕453号)、《关于实施“互联网+铁路”行动计划进一步加快全局信息化建设工作的意见》(铁信息〔2016〕688号)规定和要求,结合我段实际情况,制定本办法。
第二条 本办法中的网络安全管理是一个广义概念,指为保障信息系统物理安全、信息网络安全、主机安全、应用安全、数据安全、终端安全,所采取的一系列安全管理活动。
第三条 本办法中的信息网络安全为狭义概念,即为信息网络的安全。
第四条 网络安全管理坚持领导负责、逐级负责、专业负责、岗位负责原则,实行统一规划、专业审查、检查监督、准入批复制度。
第五条 本办法适用于全段非涉密系统网络安全管理工作(另有明确的除外)。
涉密系统网络安全管理工作遵循国家、总公司和路局有关规定执行。
第二章 管理职责第六条 段网络安全和信息化领导小组统一领导全段网络安全管理。
负责贯彻落实国家、总公司和路局网络安全有关法规与政策;负责全面部署、指导和检查管内各单位在信息化工作中的网络安全工作开展和实施情况,对段网络安全重大事项做出决策;负责指导、监督、检查网络安全措施落实情况,编发全段网络安全信息通报。
第七条 段技术信息科是全段网络安全管理工作的归口部门。
负责落实领导小组有关决策和要求,向路局提出网络安全规划建议,组织制定网络安全管理制度及技术方案;负责所维护系统的安全保障工作,实施安全监控、安全检查、事件响应、故障处置等日常维护工作;组织开展网络安全培训,对段属各单位网络安全工作提供指导和技术支持。
第八条段网络安全和信息化领导小组成员单位负责本专业领域网络安全管理工作。
各单位负责人为网络安全与信息化工作的第一责任人,负责提出本专业网络安全工作计划并组织落实;组织开展本专业网络安全检查,及时整改发现的问题;协助领导小组指导、监督、检查段属各单位网络安全工作。
当前铁路计算机网络安全建设措施
当前铁路计算机网络安全建设措施随着信息化的发展,铁路行业也在向智能化、信息化方向转型,计算机网络成为铁路行业的基础设施,对于铁路行业来说,计算机网络安全建设非常重要。
下面就当前铁路计算机网络安全建设措施进行分析。
一、加强网络安全防护在网络安全方面,防御是至关重要的,铁路行业可以采取以下几个方面的措施来加强网络安全防护:1、加强数据加密管理,所有涉及到交通运输和网络运营的重要信息必须进行加密,以确保信息在传输过程中不被非法获取。
2、严格管理隐私信息,所有人员在操作系统时必须遵守相关规定,不得泄露信息,不得通过网络下载不安全软件程序,不得将私人用品连接到铁路计算机系统。
3、建立安全可靠的数据备份和恢复机制,制定应急处理预案,确保网络安全能够在各类突发事件中得到有效的保障和应对。
4、对内部规章制度进行完善,切实保护用户信息的安全保障,售票系统必须做到人核和四眼原则,并且记录所有操作日志和文件备份。
同时还要规定前台售票员对用户身份的审核和对查证所需身份信息的保密。
二、智能化防范措施除了基础的硬件系统,铁路行业应该在网络安全方面进行数字智能化的防范措施:1、采用流量分析技术,对系统的实时数据进行监控。
通过模拟网络攻击、漏洞攻击的情况以及测试实际流量数据的攻击,来分析网络流量的规律,及时发现网络流量的异常情况。
2、加强漏洞的修复,定期对设备进行漏洞扫描,对存在漏洞的设备及时修复,保证设备的安全性能。
3、制定网络安全应急预案,建立和完善自动化的应急处置系统,开展关键业务应急演练和应急响应培训,做好防御、排查和应急处理等准备工作。
三、制订全面保安策略为保护铁路计算机网络的安全,建议铁路行业制定一套全面保安策略,包括以下方面:1、从技术层面上加强安全防范,采用网络安全技术措施对各种可能的漏洞和威胁进行预防和防范。
2、针对不定期的安全漏洞问题制定专项解决方案,及时处理安全漏洞,确保计算机网络的安全性。
3、建立用户身份的识别机制,对用户身份信息进行最高级别的保密,确保用户信息在铁路系统内部互通和交换的被保护。
中国铁路总公司网络安全管理办法 TG
TG/XX202-2015中国铁路总公司网络安全管理办法第一章总则第一条为规范网络安全管理工作,促进网络安全管理规范化、系统化、科学化,全面提高铁路网络安全管理水平,依据国家有关法律法规和网络安全有关要求,制定本办法。
第二条本办法适用于中国铁路总公司(以下简称总公司)及所属各单位、各铁路公司不涉及国家秘密的信息系统及控制系统(以下统称信息系统)网络安全管理工作。
第三条本办法所称网络是指由计算机或其他信息终端及相关设备组成的,按照一定规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。
本办法所称网络安全是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。
第四条总公司网络安全工作坚持“安全第一、预防为主、主动防御、综合防范、分级保护、管理与技术并重”的原则。
第二章目标和措施第五条总公司网络安全工作目标是通过保障信息系统正常运行,保证业务应用连续性和安全性,保证数据和信息的完整性、保密性、可用性,支撑总公司业务发展。
第六条建立网络安全保障体系,包括管理保障体系、技术保障体系和运维保障体系。
管理保障体系包括信息安全组织、信息安全规章制度、信息安全工作流程等。
技术保障体系包括应用安全架构、安全服务架构、基础设施安全架构等。
运维保障体系包括运行管理、安全监控、事件管理、变更管理等。
第七条全面推行网络安全风险管理。
通过增强安全风险意识、识别安全风险、完善风险管控流程、强化风险应急处置,提高网络安全风险防控能力。
第八条实行网络安全等级保护制度。
按照集中指导、属地管理原则,在总公司统一指导下,各单位分别组织开展信息系统定级、备案、测评、整改工作。
第九条网络安全防护措施应与系统同步规划、同步建设、同步使用。
第三章管理职责第十条总公司信息化领导小组统一领导网络安全工作,负责贯彻落实中央和国家网络安全有关法规与政策,对总公司网络安全重大事项作出决策。
当前铁路计算机网络安全建设措施
当前铁路计算机网络安全建设措施当前,随着铁路行业信息化水平的不断提升,铁路计算机网络安全建设显得尤为重要。
在铁路行业,计算机网络已经成为信息传输和管理的重要工具,而众多的线路、车站、车辆和设备都依赖于计算机网络进行运行和管理。
确保铁路计算机网络的安全性成为维护整个铁路系统的稳定运行和安全的关键。
为了加强铁路计算机网络安全建设,不断提升网络系统的安全性和可靠性,铁路部门采取了一系列的措施和举措,不断完善铁路计算机网络安全建设。
铁路部门在网络安全建设方面加强了相关的规划和研究。
通过对铁路计算机网络安全现状进行深入分析,制订了相关的网络安全规划,明确了网络安全的发展方向和目标。
铁路部门还组织专业团队进行网络安全的研究和技术攻关,不断提升网络安全的技术水平和能力,确保网络安全建设工作有序开展。
铁路部门在网络安全技术方面加强了投入和应用。
针对铁路计算机网络的特点和需求,引进了一系列先进的网络安全技术和设备,包括防火墙、入侵检测系统、数据加密等,并在关键的网络节点和系统中进行部署和应用。
还加强了网络安全技术人员的培训和学习,提升了网络安全技术人员的综合能力和水平,确保网络安全技术的有效应用和保障。
铁路部门在网络安全管理方面加强了监控和应急响应。
通过建立完善的网络安全管理体系和流程,铁路部门能够对网络进行实时监控和管理,及时发现网络安全问题并进行处理。
还建立了网络安全事件的报告和响应机制,一旦发现网络安全事件,能够快速响应并采取有效措施,最大限度地减少安全事件造成的影响。
铁路部门还加强了与相关部门和单位的合作和交流,建立了铁路计算机网络安全的信息共享机制,及时获取国内外网络安全动态信息,确保网络安全建设工作与时俱进,做到前瞻性和预防性的网络安全管理。
在今后的工作中,铁路部门将进一步加强对铁路计算机网络安全的重视和支持,加大对网络安全技术研究的投入和力度,不断提升网络安全技术的水平和能力。
还将不断完善相关的规章制度和流程,提升网络安全管理的科学性和有效性。
《铁路信息网络管理办法》(2015)174
TG/XX201-2015铁路信息网络管理办法第一章总则第一条为规范铁路信息网络管理,提高网络资源利用效率,保障网络和信息安全,更好地发挥网络在铁路信息化发展中的重要支撑和保障作用,制定本办法。
第二条铁路信息网络是铁路重要基础设施,用于承载铁路信息化应用数据传输和交换,实现应用系统间的互联互通与信息共享。
第三条铁路信息网络按使用性质分为综合信息网和专用信息网。
综合信息网是承载通用信息化应用系统的公用网络。
专用信息网是承载对功能、性能或安全有特殊要求的信息化应用系统的专用网络。
第四条综合信息网按部署范围分为局域网和广域网。
局域网是指用户边缘路由器(含)与用户终端之间的网络设备、通道及附属设备所组成的网络。
广域网是指连接局域网的网络设备、通道及附属设备组成的网络。
综合信息网广域网特指与综合计算机网广域网融合后的数据通信网。
第五条铁路信息网络管理包括建设管理、资源管理、运维管理、安全管理,实行统一领导、分工负责、专业协作、分级实施的原则。
第六条本办法主要适用于综合信息网管理。
专用信息网管理由其业务主管部门制定具体管理办法。
第二章管理职责第七条总公司信息化管理部门负责组织制定综合信息网总体规划,归口管理综合信息网资源,监督检查综合信息网网络安全。
组织协调综合信息网局域网建设,并负责其运维管理及安全管理。
第八条总公司通信管理部门负责组织制定数据通信网规划,组织协调数据通信网建设,并负责其资源管理、运维管理及安全管理。
第九条总公司信息技术运维单位负责总公司级综合信息网局域网运行维护和安全保障工作。
总公司通信设备维护单位负责数据通信网骨干网运行维护和安全保障工作。
第十条铁路局信息化管理部门负责组织制定铁路局综合信息网总体规划,归口管理局管内综合信息网资源,监督检查局管内综合信息网网络安全。
组织协调局管内综合信息网局域网建设,并负责其运维管理及安全管理。
第十一条铁路局通信管理部门组织制定铁路局数据通信网规划,组织协调铁路局数据通信网建设,并负责其资源管理、运维管理及安全管理。
当前铁路计算机网络安全建设措施
当前铁路计算机网络安全建设措施随着信息化时代的到来,铁路运输逐渐依赖于计算机网络系统进行管理和运营。
随之而来的计算机网络安全问题也越来越引起人们的重视,尤其是涉及到铁路运输系统的安全问题。
为了确保铁路的安全和顺畅运输,铁路计算机网络安全建设成为一项至关重要的任务。
本文将就当前铁路计算机网络安全建设措施进行详细介绍。
1. 加强网络设备安全性要加强铁路计算机网络的安全性,首先需要加强网络设备的安全性。
铁路计算机网络系统中的各种网络设备,包括交换机、路由器、防火墙等,是整个网络系统的重要组成部分,必须保证其安全性。
针对网络设备的安全性问题,铁路部门需要采取以下措施:1)更新设备软件版本,及时修复漏洞。
网络设备软件存在漏洞是导致安全问题的主要原因之一。
为了解决这一问题,铁路部门需要及时更新设备的软件版本,并且及时安装厂商发布的安全补丁,以修复已知的漏洞。
2)加强设备的访问控制。
设置严格的设备访问权限,只允许授权的人员进行操作和管理设备。
采用加密技术保护设备的管理通信,防止未经授权的人员进行非法访问。
3)部署入侵检测系统(IDS)和入侵防御系统(IPS)。
通过部署IDS和IPS系统,及时监测和阻止网络设备遭受攻击,保护网络系统的安全。
2. 加强网络通信加密保护铁路计算机网络系统中的通信数据往往包含重要的运输信息和个人隐私信息,必须保证通信数据的安全性和保密性。
为了加强网络通信加密保护,铁路部门需要采取以下措施:1)采用VPN技术加密通信数据。
通过建立虚拟专用网络(VPN),对网络通信进行加密处理,确保数据在传输过程中不被窃取或篡改。
2)采用SSL/TLS技术加密网站和应用程序。
通过使用SSL/TLS技术,对铁路计算机网络系统中的网站和应用程序进行加密传输,保护用户的隐私信息和登录凭证不被泄露。
3)加强对通信加密技术的研究和应用。
随着计算机网络安全技术的不断发展,铁路部门需要加强研究和应用新的通信加密技术,以应对不断变化的安全威胁。
铁路科室网络安全管理制度
一、目的为加强铁路科室网络安全管理,保障铁路信息系统的安全稳定运行,防止信息泄露和网络安全事件的发生,特制定本制度。
二、适用范围本制度适用于铁路科室所有工作人员及使用铁路信息系统的人员。
三、网络安全管理原则1. 预防为主,防治结合:采取技术和管理相结合的措施,预防网络安全事件的发生。
2. 依法管理,责任明确:严格执行国家有关法律法规,明确各部门和个人的网络安全责任。
3. 信息安全,保密优先:加强信息安全意识,严格保护铁路信息系统的安全,确保信息安全。
4. 安全责任,层层落实:建立健全网络安全责任制,明确各级领导和部门的网络安全责任。
四、网络安全管理制度1. 网络安全责任制(1)科室主任为网络安全第一责任人,负责科室网络安全工作的全面领导。
(2)科室网络安全管理员负责网络安全日常管理工作,包括安全设备管理、安全事件处理等。
(3)科室工作人员按照各自职责,严格遵守网络安全管理制度,确保网络安全。
2. 网络设备管理(1)科室网络设备应按照国家规定进行采购、安装和使用。
(2)网络设备应定期进行安全检查和维护,确保设备正常运行。
(3)禁止私自安装、拆卸网络设备,如有需要,应报请网络安全管理员处理。
3. 网络访问控制(1)科室工作人员应使用个人账号登录网络,不得使用他人账号。
(2)禁止非法入侵铁路信息系统,未经授权不得访问、修改、删除信息系统中的数据。
(3)科室工作人员应遵守网络安全规定,不得利用网络进行非法活动。
4. 网络安全事件处理(1)科室工作人员发现网络安全事件,应及时报告网络安全管理员。
(2)网络安全管理员接到报告后,应立即启动应急预案,采取相应措施进行处理。
(3)科室网络安全事件处理完毕后,应及时向上级部门报告。
5. 网络安全培训(1)科室应定期组织网络安全培训,提高工作人员的网络安全意识。
(2)新入职工作人员应参加网络安全培训,了解网络安全知识。
五、附则1. 本制度由科室主任负责解释。
2. 本制度自发布之日起实施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
TG/XX202-2015中国铁路总公司网络安全管理办法第一章总则第一条为规范网络安全管理工作,促进网络安全管理规范化、系统化、科学化,全面提高铁路网络安全管理水平,依据国家有关法律法规和网络安全有关要求,制定本办法。
第二条本办法适用于中国铁路总公司(以下简称总公司)及所属各单位、各铁路公司不涉及国家秘密的信息系统及控制系统(以下统称信息系统)网络安全管理工作。
第三条本办法所称网络是指由计算机或其他信息终端及相关设备组成的,按照一定规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。
本办法所称网络安全是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。
第四条总公司网络安全工作坚持“安全第一、预防为主、主动防御、综合防范、分级保护、管理与技术并重”的原则。
第二章目标和措施第五条总公司网络安全工作目标是通过保障信息系统正常运行,保证业务应用连续性和安全性,保证数据和信息的完整性、保密性、可用性,支撑总公司业务发展。
第六条建立网络安全保障体系,包括管理保障体系、技术保障体系和运维保障体系。
管理保障体系包括信息安全组织、信息安全规章制度、信息安全工作流程等。
技术保障体系包括应用安全架构、安全服务架构、基础设施安全架构等。
运维保障体系包括运行管理、安全监控、事件管理、变更管理等。
第七条全面推行网络安全风险管理。
通过增强安全风险意识、识别安全风险、完善风险管控流程、强化风险应急处置,提高网络安全风险防控能力。
第八条实行网络安全等级保护制度。
按照集中指导、属地管理原则,在总公司统一指导下,各单位分别组织开展信息系统定级、备案、测评、整改工作。
第九条网络安全防护措施应与系统同步规划、同步建设、同步使用。
第三章管理职责第十条总公司信息化领导小组统一领导网络安全工作,负责贯彻落实中央和国家网络安全有关法规与政策,对总公司网络安全重大事项作出决策。
第十一条总公司运输局(信息化部)按照总公司信息化领导小组工作要求,负责总公司网络安全管理工作,提出网络安全规划建议,拟订网络安全工作计划,监督工作计划落实情况;组织拟订总公司网络安全规章制度和标准规范,并监督落实;组织开展网络安全等级保护工作;组织建立网络安全保障体系,并推广应用;组织开展总公司网络安全检查工作;负责总公司网络安全信息通报工作。
第十二条总公司各业务部门按照总公司网络安全管理要求,负责做好本专业网络安全管理工作。
提出本专业网络安全年度工作计划并组织落实;组织开展本专业网络安全检查,及时整改发现问题;组织开展本专业网络安全等级保护定级、备案、测评、整改工作;对本专业网络安全工作进行监督、检查、指导。
第十三条中国铁路信息技术中心协助总公司开展网络安全保障体系建设工作,配合开展网络安全检查工作。
负责所维护系统的安全保障工作,实施安全监控、风险评估、安全检查、事件响应、故障处置等日常维护工作;协助开展网络安全等级保护定级、备案、测评、整改工作。
第十四条中国铁道科学研究院协助总公司开展网络安全技术、标准、规范研究,收集分析国内外信息安全动态;配合开展网络安全检查、检测以及安全评估工作;参与铁路网络安全测评和等级保护测评工作。
第十五条总公司所属单位、各铁路公司负责本单位网络安全管理工作。
依据本办法和有关规定,制定本单位网络安全工作实施办法,明确网络安全工作管理机构和岗位,落实网络安全工作责任和经费投入,组织开展本单位网络安全有关工作。
第四章建设安全管理第十六条信息系统工程建设前期立项阶段,应在系统总体方案中同步制定安全方案,明确安全需求,落实安全建设投资。
新研发信息系统应在系统总体方案中确定等保级别。
信息系统定级情况应及时向系统所在地铁路公安机关备案。
第十七条网络安全建设应以实现安全可控为目标,积极稳妥地推进信息技术产品国产化应用。
加强软件正版化工作,坚持使用正版软件。
第十八条软件开发应符合国家有关安全编码规范。
建立配置管理机制,将程序源代码及有关技术文档纳入配置管理,严格控制信息系统有关变更。
第十九条加强对信息系统在咨询、研发、施工、技术支持等过程中的安全管理,保护知识产权,防范信息泄露。
第二十条信息系统开发、测试和生产环境应独立设置。
应用系统软件修改调试应在开发环境中进行。
重要信息系统开发结束后,应用软件须通过安全测试,并及时关闭开发测评环境,确保测试环境、测试数据安全。
第二十一条信息系统正式上线前,应由建设单位组织对安全设备和功能进行验收,对信息系统整体安全状况进行检测和评估。
其中与互联网连接的信息系统,应由建设单位组织信息安全专业测评机构,对信息系统整体安全状况进行安全测评。
检测评估材料及测评报告应作为验收文件的组成部分。
安全测评费用纳入建设项目预算。
第五章运维安全管理第二十二条各级信息技术运维单位应建立健全信息机房安全管理制度,落实管理职责,明确管理流程,规范人员进出,保障设施安全。
第二十三条根据系统性质、应用功能和设备特性设立物理安全保护区域,按区域部署预防控制措施,满足不同强度的信息系统安全需求。
重要保护区域应设置过渡区域,重要设备或主要部件应设置明显标识。
第二十四条应坚持信息系统设备设施物理移动管控措施,以保证系统的可用性和完整性。
对送修或报废的信息系统设备应采取必要的安全处置措施,防止信息资产丢失、损坏和失窃。
第二十五条依据业务需求、系统功能及等保级别划分信息系统安全域。
在各安全域之间及网络边界,采取访问控制措施,部署监控手段,保障网络安全。
第二十六条加强变更管理。
建立变更控制流程,对网络结构、访问控制策略、安全配置等变更,以及软件升级、补丁修复、系统上线等可能影响既有运行环境的活动,实施变更控制与授权管理。
第二十七条加强网络安全事件管理。
应对包括有害程序、网络攻击、信息保护、信息内容安全、设备设施故障、自然灾害等在内的各类安全事件进行监测。
规范事件响应、处理流程,明确事件升级策略,提高事件处理效率。
各单位信息化管理部门负责网络安全事件调查处理工作,对涉及违反法律法规的网络安全事件,应及时通报所在地铁路公安机关介入调查。
第二十八条各级信息化管理部门牵头组织,信息系统业务部门具体负责,定期或按照总公司安排,对信息系统进行安全检查、风险评估及安全测评,分析隐患、识别风险,对系统进行整改完善。
根据信息系统重要性、遭遇风险时受影响和损失的程度,制定信息系统应急预案,定期开展应急演练,不断完善应急预案。
第二十九条建立网络安全审计机制,记录操作行为,保存异常状态信息,保证网络安全事件可回溯、可追踪。
第三十条等级保护四级(含)以上信息系统每两年开展一次等保测评,期间应每年开展安全自评估,如系统与互联网有信息交换,应每年开展一次等保测评;等级保护三级(含)以下信息系统每三年开展一次等保测评,期间应每年开展安全自评估,如系统与互联网有信息交换,应每年开展一次等保测评;首次等保测评应在系统上线后一年内进行。
当信息系统结构、功能、主要配置发生变更时,应立即组织风险评估,必要时重新进行等保测评,或重新组织定级和等保测评。
信息系统测评费用纳入单位年度经费预算。
第六章访问授权管理第三十一条业务部门依据业务安全需求,确定信息系统用户使用范围和访问权限,并通过用户管理与访问控制系统进行授权,防止越权访问,保证业务应用安全。
第三十二条各级信息技术运维单位负责建立用户管理与访问授权平台,制定信息系统及其设备设施访问控制策略,严格控制对信息系统及其设备设施的访问,保证信息系统及设备设施访问安全。
第三十三条应在内部服务网、外部服务网建立专用的安全接入区,部署安全管控设备,提供认证、授权服务,对外部单位、外部人员、远程维护人员确定访问信息系统和有关数据权限。
访问过程须保留日志。
第七章数据安全管理第三十四条各单位应建立信息系统数据安全管理制度,规范数据采集、传输、交换、存储、备份、恢复和销毁等活动管理。
严格数据访问权限分配与回收管理。
数据访问须经业务部门和信息化管理部门授权批准。
数据访问过程须保存完整记录。
第三十五条建立数据和信息保密制度,严禁向无关人员泄露业务数据和信息。
商业秘密、工作秘密或其他重要信息应进行加密处理,确保其在传输、处理、存储过程中不被泄露或篡改。
公民个人电子信息安全管理,按国家及总公司有关规定执行。
第三十六条建立外部单位信息传输机制,保证总公司与外部单位数据交换安全可控,确保数据安全。
第三十七条加强数据高可用性管理。
建立本地数据备份机制,有条件的,应建立磁带备份机制。
加强存储介质管理,定期检查所存储信息的完整性和可用性。
重要数据备份介质应异地存放。
第三十八条按照国家信息系统灾难恢复管理有关要求、技术标准和规范,结合业务需求,建立信息系统备份与灾难恢复机制,保障数据安全和业务连续性。
第八章终端安全管理第三十九条建立统一的终端安全防护系统,规范终端安全配置,监控终端安全状态,控制用户终端接入,规范用户操作行为,保障终端使用安全。
第四十条按照批准的用途使用终端设备。
终端设备用途变更或维修时,应确保设备原存储或承载的信息经过妥善处理或移除。
第四十一条规范移动介质安全管理,严格落实相关制度规定,控制移动介质接入行为,明确接入方式和访问控制措施。
第四十二条建立统一的终端补丁分发和恶意代码防范机制,定期实施补丁、恶意代码特征库升级与分发。
第四十三条禁止自有终端设备接入铁路信息网络,禁止终端设备“一机两网”。
第九章信息资产安全管理第四十四条识别信息系统硬件资产、软件资产和数据资产,制定统一的信息资产分级分类标准与标识方法。
规范信息资产分配、使用、维护、报废和销毁等管理流程。
建立并及时更新、定期检查信息资产台账,实行信息资产全生命周期管理。
第四十五条对数据资产实施分级分类保护,设置安全标记,采取相应防护措施,防止数据泄露、篡改、损坏及未经授权访问。
第十章人员安全管理第四十六条明确员工岗位网络安全要求,签订《岗位网络安全与保密协议》。
定期对员工进行安全培训和技能考核。
第四十七条根据信息系统运行维护实际情况,设置安全管理员、安全审计员和系统管理员岗位,分别设定访问权限,实现岗位操作互控。
第四十八条员工岗位发生变更时,应及时调整其对相关信息系统资源的访问权限;对离岗、离职或退休人员应终止其对相关信息系统资源的访问权限,及时修改有关密码,并明确后续保密要求。
第四十九条信息系统建设、运行维护、使用过程中涉及外部服务人员时,应根据其所接触、获取信息系统资源情况,签订《信息安全与保密协议》。
第五十条严格管理外部人员进入要害部位,对外部访问人员实行专人全程监督,并登记备案。
第十一章网络安全信息通报第五十一条建立网络安全信息通报制度。