网络与信息安全管理办法

网络与信息安全管理办法
第一章总则
第一条【目的】
为加强XXX公司（以下简称“公司”）网络与信息安全管理，明确网络与信息安全管理机构和岗位人员的职责，落实网络与信息安全管理责任，制定本办法。

第二条【适用范围】
本办法适用于公司及所辖各分公司的网络与信息安全管理工作。

第二章机构与职责
第三条【组织机构】
（一）公司设立网络安全与信息化领导小组，组长为公司董事长，副组长为公司网络安全与信息化工作分管领导，成员为公司各部门、各分公司负责人。

（二）公司网络安全与信息化领导小组办公室设在信息化部，办公室主任由信息化部主任兼任。

（三）各分公司及下辖各工程管理部应设置网络与信息安全管理机构，配备专（兼）职网络与信息安全管理人员。

第四条【领导小组】
公司网络安全与信息化领导小组负责公司网络与信息安全工作的组织、部署与落实情况的监督，具体职责包括：
（一）根据国家和行业有关网络与信息安全的政策、法律、法规，审定公司网络与信息的安全管理策略和发展规划，确定网络与信息安
全工作的目标、原则及工作部署；
（二）在信息系统面临安全风险和更改事项时，监督控制可能发生的重大变化，并进行决策；
（三）审查、协调网络与信息安全事件的处理，并督导改进措施的落实；
第五条【信息化部】
（一）负责公司网络与信息安全发展规划、工作要点及工作部署的具体落实；协调处理信息系统建设、管理和运行中的有关问题，并对具体落实情况进行总结和汇报；
（二）贯彻执行上级单位下发的网络与信息安全策略和通告，组织制定公司网络与信息安全策略，对系统发生变更的情况组织评审，保障与安全策略的一致性；
（三）组织制定信息系统安全建设、管理和运行相关的管理制度和规范，并对信息安全管理制度和规范落实情况进行监督、检查及指导；
（四）负责内外部组织和机构的对接与协调工作；组织开展公司本部信息系统安全等级保护相关工作；
（五）负责公司网络与信息系统安全事件应急保障和恢复工作；
第六条【其他部门】
（一）规范使用本部门的信息系统，对本部门员工及接待的第三方人员进行网络与信息安全管理；
（二）负责本部门所承担运维的应用系统、基础设施或中间件等
信息系统的安全管理；落实本部门所承担运维信息系统的应急预案，并负责具体应急处置工作；
（三）负责向与本部门对接业务的人员或单位传达网络与信息安全要求，落实各自安全职责；发现并及时报告本部门网络与信息安全事件；
第七条【网络与信息安全管理员】
（一）负责信息设备的统计、故障处理、账号管理、策略配置、系统升级、日志管理和维护等工作；
（二）负责网络与信息安全事件的监控及处理，负责突发事件的应急响应与处理；
（三）负责制定信息安全设备、网络设备、操作系统和数据库等软硬件的安全策略，并定期检查分析信息安全策略的执行情况；
（四）负责组织信息系统重大保障期间的信息安全检查与监控工作；负责信息系统用户及管理员的认证访问、权限和操作的安全审核；
（五）负责网络拓扑、网络维护手册等相关资料的编写及更新；
（六）负责保持网络设备的漏洞最小化，定期对系统进行安全加固；落实信息安全策略，审核网络可能发生的变更，并保证与安全策略的一致性；
（七）负责网络接入安全管理，对接入网络的信息系统进行审核；
（八）负责机房的日常管理和维护，对机房人员、设备进出进行登记管理；
第三章授权和审批管理
第八条【审批事项与审批权限】
（一）系统漏洞扫描、风险评估和渗透测试工作由公司网络与信息安全领导小组组长进行审批。

（二）以下操作由公司网络安全与信息化工作分管领导进行审批：
1.重要服务器、交换机、路由器、网络安全设备的启动、关闭；
2.系统用户帐号的增加、删除和权限修改。

3.调整和更改网络设备、服务器、操作系统等各类设备和系统的配置参数；
2.设备硬件更换、网络结构调整、网络连接更改；
4.应用程序软件包修改、产品版本升级。

（三）以下变更事项由信息化部负责人进行审批：
1.系统数据库修改；
2.应用系统新需求/新功能的开发；
3.新技术的使用；
4.组织策略和规程的更改；
5.非机房管理人员及外部人员进入机房；
6.设备进出机房；
7.信息系统新增服务器或其他新设备接入；
8.信息系统新增与公司其他系统或与外部单位系统连接；
（四）涉及信息系统的重大事项无法裁决时，应组织召开专题评审会，邀请相关专家给出评审意见，并对评审会议内容做详细会议记
录。

（五）信息化部门应至少定期对系统授权审批事项进行审查，及时更新需授权和审批的项目、审批部门和审批人等信息。

第九条【审批程序】
审批流程须按照如下环节进行：提出申请、相关负责人审批、审批通过、登记记录、备案归档。

第四章安全检查和审核管理
第十条【网络与信息安全月度检查】
（一）检查内容包括：
（1）信息系统相关各类设备（包括服务器、网络设备、存储设备、安全设备等）的运行情况；
（2）服务器操作系统运行情况，包括服务器 CPU 使用情况、内存使用情况、硬盘使用情况、系统漏洞和补丁更新情况及运行日志等；
（3）数据备份情况，备份系统和备份介质的管理情况；
（4）安全设备事件记录分析；
（5）安全设备内核、补丁、规则库、病毒库更新状况。

（6）信息系统日常运维的自查情况；
（7）网络安全策略的落实情况；
（8）信息系统的漏洞和风险情况；
（9）信息系统的数据备份情况。

（10）信息系统的用户认证访问、权限和操作情况；
（11）信息系统各类操作的安全审计记录情况；
（二）检查周期：每月1次
（三）检查成果：形成检查报告
第十一条【网络与信息安全季度检查】
（一）检查内容包括：
（1）国家相关法律法规和要求的符合情况；
（2）安全组织职责、安全管理制度的执行情况；
（3）信息安全策略的全面落实情况；
（4）现有安全管理体系、安全技术措施的有效性；
（5）信息系统的整体安全风险情况；
（6）信息系统的自查情况。

（二）检查周期：每季度1次
（三）检查成果：形成检查报告
第五章人员行为管理
第十二条内部人员行为管理
（一）各部门应根据员工的岗位职责和岗位要求，严格控制和管理员工的信息资源访问权限，在员工正式上岗后协调相关部门合理确定员工的信息、信息资产的使用、管理和访问权限。

（二）员工在发生岗位变更后，应根据岗位要求进行信息、信息资产使用和访问权限的变更，合理控制员工对于信息系统信息资源的访问。

第十三条【外部人员行为管理】
（一）外部人员包括软件开发商、产品供应商、系统集成商、设
备维护商、服务提供商、业务合作伙伴、临时雇工、实习生等外来人员。

外部人员分为临时外部人员和非临时外部人员。

（二）各部门在与外部人员进行接触过程中，应防范外部人员可能对公司带来的各类网络与信息安全风险，这些风险包括但不限于如下内容：
（1）外部人员物理访问时对设备、资料的盗窃行为；
（2）外部人员的误操作导致各种软硬件故障；
（3）外部人员对资料、信息管理不当导致敏感信息泄露；
（4）外部人员对计算机系统的滥用和非法访问；
（5）外部人员给计算机系统、软件留下后门；
（6）外部人员对计算机系统的恶意攻击。

（三）外部人员管理要求
（1）临时外部人员进入公司时，接待人必须全程陪同，告知有关网络与信息安全管理规定，未经允许不得使用公司的计算机和电子网络设备。

（2）非临时外部人员必须签署《外部人员保密协议》（见附件一）后才能进入办公区域工作。

禁止外部人员了解和查阅与工作无关的公司资料以及访问与工作无关的信息系统。

（3）业务洽谈和技术交流应当在会议室进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公区域内进行。

（4）外部人员进入机房等重要区域时，应遵从《网络机房管理
制度》等相关规定。

（5）未经相关领导许可，外部人员不得在办公区域、设备间、机房等关键区域摄影、拍照。

（6）外部人员如因业务需要查阅公司受控信息、资料或访问公司网络和信息系统资源，必须经过网络和信息系统管理运维部门批准并详细登记。

（7）外部人员如因工作需要接入公司网络（包括远程接入维护），必须经本部门负责人确认后，报信息化部批准，再由网络与信息安全管理员分配接入点并登记。

（8）外部接入的终端应定期更新系统和软件的补丁程序；应安装正版杀毒软件，并定期进行病毒库升级。

第六章办公环境管理
第十四条【管理要求】
（一）加强对办公环境的安全管理，提高员工日常工作中的安全意识，严格控制办公环境的访问。

（二）办公环境内的所有设备必须明确使用者，计算机设备的访问必须得到其使用者或管理者的授权。

（三）员工离开座位时计算机要锁屏，桌面上不能有内部敏感信息文档。

员工下班后应将重要文件、贵重物品和仪器放在抽屉或柜子内并加锁。

（四）各部门内的复印机、传真机、打印机使用后产生的内部废弃文件不得堆积，应及时取走并销毁。

打印机和数码照相机在使用后，
如有敏感信息要及时清除，防止被他人盗取信息。

（五）未经授权任何人不允许调换信息处理设备；不允许擅自将内部 IT 设备、移动硬盘、实体信息和软件等带离办公区。

（六）未经批准，外部人员不得使用集团内部信息处理设备，如因工作需要使用内部设备，须经过授权并对其访问行为进行监控。

（七）外部维护人员进入办公区域进行设备维修时，应事先和相关部门取得联系，在维修的过程中应有专人进行监督。

（八）积极配合物业部门做好办公室防火安全工作，配合做好大楼消防系统的设备维护工作，熟悉各种灭火器具的配备和使用，并接受和积极配合主管部门对办公区域的安全检查。

第七章信息资产安全管理
第十五条【信息资产的分类与登记】
（一）公司各级网络与信息安全管理员负责建立和维护本级信息资产清单，对于重要信息资产应当进行标识，信息资产分类如下：（1）硬件资产：包括服务器、台式计算机、笔记本计算机、网络设备（路由器、交换机等）、安全设备、通讯链路和电力供应等有形信息技术设备设施；
（2）软件资产：包括操作系统、办公软件、数据库、中间件、应用系统、应用软件、开发工具等计算机程序；
（3）数据资产：包括应用生产数据、配置数据、系统文件、管理数据等数据信息。

（二）信息系统所有的信息资产均应指定相应责任人，做到“责
任落实到人”。

（三）各部门负责本部门信息资产的使用、保管和维护。

第十六条【硬件资产安全管理】
（一）网络与信息安全管理员应建立信息系统硬件资产清单，明确硬件资产责任人和使用范围，并定期进行资产清点。

（二）硬件资产的信息安全管理包括购买、使用（交接、维修、重用）、处置和报废，即信息资产全生命周期的安全管理。

（三）所有硬件设备采购、变更、废弃时，信息资产管理员必须首先在资产清单上进行记录和描述。

（四）硬件资产的采购应按照公司采购管理相关要求执行，在采购过程中应注重和加强设备供应商资质的管理，确保所购买设备符合信息系统的应用需求和信息安全管理要求。

（五）安全产品采购应符合国家相关规定，具备安全产品销售许可、知识产权证明等资质，采购密码产品应符合国家密码主管部门的要求。

（六）设备责任人负责采购设备的测试验收工作，在清点和测试过程中必须详细填写相应的质量记录。

设备验收后应保留如下文档：测试验收方案、验收实施方案、验收记录、验收报告和不合格报告等。

（七）设备在到货验收或配置之后，应作出相应的标识，直接体现在设备上醒目的位置。

标识应包括以下内容：设备编号、设备使用部门、设备名称、设备用途、设备供货商及联系方式。

（八）硬件资产使用人在使用过程中应确保硬件配置的完整性，
不得私自更换硬件资产及相关配件。

（九）应遵照《网络机房管理规定》要求，加强机房内硬件资产的物理安全管理。

（十）对于需要维修的硬件资产，由设备责任人提出申请，经部门主管领导批准后，方可将硬件资产送至相关单位进行维修。

（十一）存储内部信息的硬件资产在重用、维修和报废前，应确保所有存储的敏感数据或授权软件已经被彻底清除并备份。

（十二）对于需要报废的硬件资产，如含有敏感信息，应通过部门主管及网络安全与信息化领导小组办公室批准后统一进行报废处理。

第十七条【软件资产安全管理】
（一）网络与信息安全管理员应建立信息系统软件资产清单，明确软件资产的基本属性和用途，并定期清点软件的安装和使用情况。

（二）应购买正版商业软件，在安装软件时要规定使用权限，防止非授权访问。

（三）应加强对于开发应用软件的代码管理，确保应用软件能够运行稳定，规范软件升级管理工作。

（四）软件资产责任人应加强对于应用软件保存、标识、安装、卸载和升级的统一管理。

（五）对于需要维修的软件资产，软件资产使用人须和相关部门主管进行沟通后，由软件供应商进行维护、修改和升级，并在过程中做好安全控制。

（六）对于需要删除和报废的软件资产，使用部门可根据实际情况取消使用该软件，信息系统统一业务应用软件应经过公司网络安全与信息化分管领导的审核后统一取消和废除。

第十八条【数据资产安全管理】
（一）信息系统数据资产根据其重要程度分为受控和公开数据，数据的创建者或管理者负责对数据资产的重要程度进行标识。

受控数据应明确授权范围，禁止非授权的用户读取受控数据。

（二）网络与信息安全管理员负责信息系统数据的备份和恢复工作，确保信息系统的数据安全。

（三）信息系统相关岗位人员负责各自设备或系统的配置数据、管理数据、系统文件的存储和备份，确保设备中相关配置数据和管理数据的完整性和安全性。

（四）数据文件或存储重要数据文件的介质因损坏需要修复时，数据资产使用人应及时和部门主管进行沟通，信息系统数据恢复应经过相关部门确认后统一进行数据修复和恢复。

（五）敏感及受控数据的删除应进行记录，数据的删除或报废，应由数据资产使用人遵照本办法第八章“存储介质安全管理规定”进行处理。

第八章存储介质安全管理
第十九条【介质标识】
（一）存储介质是指信息系统记录数据的存储设备，主要包括磁带、磁盘、光盘、闪存等。

（二）加强对存储介质的安全管理，重点管理用于存储信息系统重要业务数据、管理数据的各类磁盘、光盘和存储系统等。

（三）存储介质应分类标识，磁带、磁盘或其它存储介质等应使用不同的分类标签，并区分原件与拷贝件。

第二十条【介质存放】
（一）存储介质保存环境应保证具有足够的防火、电力、空调、湿度及其他保护措施。

（二）用于数据存储、备份或灾难恢复的存储介质应存放在一定安全级别的区域。

（三）对含有敏感信息的存储介质应妥善保管，并控制授权范围。

（四）不允许将含有敏感信息的存储介质和不含有敏感信息的存储介质混放在一起。

（五）业务数据备份应对介质实行异地存储，存储地的环境要求和管理方法与本地相同。

第二十一条【介质检查】
（一）网络与信息安全管理员应对存储介质进行定期盘点和检查，并记录备案。

（二）介质使用者应定期对介质中的数据进行测试，如发现介质硬件老化或运行缓慢，应立即将其中数据转移到新的介质中，防止重要数据丢失。

第二十二条【介质访问】
（一）各类介质的使用人员负责对介质的访问进行控制。

对磁带、
磁盘和文档库等介质的访问必须做严格限制。

（二）安装和使用存储设备时必须禁止非授权的访问。

（三）所有含有内部信息的存储介质对外部人员都是保密的，严禁员工、顾问和合作方等外部人员带走。

第二十三条【介质数据管理】
（一）重要介质中的数据和软件应采取加密存储。

（二）删除存储介质上的敏感信息后，必须执行重写操作防止数据恢复。

（三）任何包含敏感信息的中间存储介质，都必须销毁其中信息。

（四）当介质损坏需要送出维修或销毁时，应首先清除其中的敏感数据，防止内部信息的泄漏。

（五）如果将存储介质给予第三方使用，需要部门主管确认该介质已清除敏感信息。

第二十四条【介质销毁】
（一）网络与信息安全管理员应对存储介质的销毁做统一管理，并做集中报废处置。

（二）含有硬拷贝形式的敏感信息存储介质的报废处理方式为切碎或烧毁。

第九章网络安全运维管理
第二十五条【网络连接管理】
（一）网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改。

（二）应为信息系统划分单独的网络区域，并对该区域进行严格的访问控制，禁止开放病毒高发端口和远程管理端口等高风险端口，开放端口需要经过严格审批。

（三）对于非信息系统信息资产清单中登记的设备，如需接入信息系统网络区域，必须提出正式申请并审核通过后接入网络。

申请人及网络与信息安全管理员需遵循以下原则进行控制：
（1）接入设备自身具备良好的安全机制；
（2）不对信息系统造成不良影响；
（3）对设备的操作人员得到认可。

（四）网络与信息安全管理员应维护所有网络设备的物理连接，控制和管理网络接口的使用。

（五）网络与信息安全管理员应定期检查网络连接，确认是否存在违反网络安全策略的行为，发现问题应及时上报。

第二十六条【网络安全配置】
（一）网络设备配置管理应遵照以下安全原则：
（1）最小权限原则：指设备只能授予用户必要的权限，而不能授予额外的权限。

（2）最少服务原则：指在保证设备运行正常的前提下，关闭其它无关的系统服务和网络服务。

（二）保证网络设备用户身份标志的唯一性，即不同的个人用户必须采用不同的用户名和口令登录，并且拥有不同的权限级别。

不同用户的登录操作在设备日志文件上均应有记录，便于追查问题。

（三）网络设备的直接责任人拥有超级用户权限，其他管理维护人员按照工作需求拥有相应的用户权限。

网络管理员不得私自开通用户或权限给无关人员。

（四）用户口令的设置须符合以下要求：
（1）长度不得少于 8 个字符；
（2）必须同时至少包含大写字母、小写字母、数字和符号中的两种；
（3）每半年至少修改一次密码；
（4）修改的密码应确保与最近5次使用过的密码不重复。

（五）网络设备需开启日志功能，定期检查日志空间使用情况并按需清理，确保日志时效性。

（六）限定远程登录终端的 IP 地址范围，规避潜在的安全隐患。

第二十七条【日常安全维护】
（一）网络与信息安全管理员负责网络的日常安全运维管理工作，包括对网络设备的定期维护，对网络运行日志、网络监控日志的维护和重要日志信息的分析和处理等工作。

（二）网络与信息安全管理员应对网络拓扑进行统一管理，应保持拓扑结构图与现行网络运行环境的一致性，拓扑图应包括网络设备、安全设备的型号、名称以及与链路的连接情况等。

（三）网络与信息安全管理员应建立网络设备日常维护工作计划，并根据供应商推荐的服务时间间隔对设备进行检查和维护。

（四）被授权的维护人员可以对网络设备进行操作、维修和服务，
外部人员进行维护应按照公司机房管理相关制度执行，同时针对设备中的敏感信息进行必要的处理。

（五）网络设备发生故障时应及时维修，在必要时通知设备厂商(代理商)的技术人员到现场解决，并填写《网络设备维修记录单》（见附表二），记录单内容包括所有现象记录和分析，以及实施过程记录。

（六）网络与信息安全管理员应定期进行网络性能分析，以充分了解系统资源的使用情况及通信情况，提出网络优化方案。

（七）所有的网络配置文件应有离线备份，并在网络设备配置变更同时更新备份文件。

（八）定期对日志文件进行备份。

日志文件保存时间应在 6 个月以上，日志文件不得随意修改。

（九）网络设备的软件版本（IOS 或 VRP 等）较低可能会带来安全性和稳定性方面的隐患，需根据实际业务情况，在通过测试后统一升级到较新的相对稳定的版本，同时对旧软件版本不做删除，以做备份之用。

第十一章附则
第二十八条本规定由信息化部负责解释和修订。

第二十九条本规定自发布之日起执行。

第三十条附件
附件一：外部人员保密协议（示例）
附件二：网络设备维修记录单
附件一：
外部人员保密协议（示例）
本协议中涉及的项目是：
涉及到的单位信息(信息系统、文档、数据等)包括：
为了保证XXX公司（以下简称“公司”）的专有信息不被泄露，人员(承诺人) 所属公司_____________承诺如下：保密内容：
1. 在项目中接触到的或以任何方式获得的所有信息，包括但不限于如下所列：
工作秘密、技术秘密、通信或与其相关的其他信息；无论是书面的、口头的、图形的、电磁的或其它任何形式的信息，包括（但不限于）数据、模型、技术、方法和其它信息均为承诺保密的专有信息。

2. 不将专有信息透露给项目组内非必须人员和/或项目组之外的任何人；
3. 不得为本合同规定目的之外的其他目的使用专有信息；
4. 不将此专有信息的全部或部分进行复制或仿造。

例外情况必须以如下形式确定：
1. 获得书面授权，承诺人可以披露的专有信息。

2. 承诺人能够证明在承诺人披露公司专有信息之前，公司已经通过其他途径公开披露的专有信息。

3. 有书面材料证明，公司在未附加保密义务的情况下公开透露的信息；。