XX运营商网络与信息安全管理办法

XX运营商网络与信息安全管理办法

中国XXXX公司

网络与信息安全管理办法

(2006年V1.0)

第一章总则第一章总则

第1条本管理办法适用于XXXXXX公司的所有网络与信息系统(包括但不限于业务网络、支撑网络)、网络与信息安全相关组织和人员。

第2条网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质的基础;是保障客户利益的基础。

第3条网络与信息安全工作以国家相关政策法规和条例为依据，以《中国移动网络与信息安全总纲》为指导，以统一规划，集中控制为原则，以符合网络和业务发展要求的安全管理组织体系和安全技术支援保障体系为目标。

第4条本管理办法将用于指导XXXXXX公司互联网、各类业务网络、支撑网络等网络安全和信息管理工作。它是各级部门开展网络与信息安全工作的依据。

第5条本管理办法由区公司网络部负责解释。

第二章安全组织及职责第二章安全组织及职责

第6条安全工作指导思想安全工作“三分靠技术，七分靠管理”，建立有效的组织机构是安全管理的基础。

第7条领导机构

(一) XXXXXX公司常设网络与信息安全领导小组，全面负责公司的网络与信息安全工作。领导小组组长由公司总经理担任，副组长由公司主管网络的副总经理担任，小组成员由综合部、发展战略部、人力资，

源部、市场经营部、数据部、集团客户部、网络部、计划技术部、网络

运营中心、运营支撑中心、工程管理中心、客户服务营销中心等部门、中心负责人组成。

(二) 网络与信息安全领导小组为公司的网络与信息安全管理指(二)

明清晰的方向，领导小组承担以下责任:

1、审查并批准公司的网络与信息安全策略;

2、分配安全管理总体职责;

3、在网络与信息资产暴露于重大威胁时，监督控制可能发生的重大变化;

4、对网络与信息安全管理相关的重大更改事项进行决策;

5、指挥、协调、督促并审查网络与信息安全重大事件的处理。

第8条工作组织

(一) 网络与信息安全领导小组下设网络与信息安全办公室，负责(一)

公司具体的网络与信息安全工作，办公室主任由公司网络与信息安全领导小组副组长兼任，区公司网络部为牵头部门，网络部的网络与信息安全岗位人员为具体联络人，综合部、发展战略部、人力资源部、市场经营部、数据部、集团客户部、网络部、计划技术部、网络运营中心、运营支撑中心、工程管理中心、客户服务营销中心等部门、中心各确定一名从事网络与信息安全工作相关的人员参与组成办公室成员。。

(二) 网络与信息安全办公室承担以下责任:

1、制定相关的安全岗位及职责;

2、制定并落实相关网络与信息安全管理制度;

3、制定并落实网络与信息安全保护方案;

4、审批新系统、服务规划和设计中的网络与信息安全部分，并监督其实施落实;

5、审批与网络与信息相关的业务连续性方案;

6、牵头处理网络与信息安全事件;

7、组织网络与信息安全评估和安全审计工作;

8、辅助领导机构进行网络与信息安全方面的决策;

9、完成部门间的协调工作，分派并落实某项具体工作中各部门的职责;

10、获取和发布网络与信息安全信息;

11、组织公司人员的网络与信息安全教育培训。

12、负责网络与信息安全技术的跟踪及研究工作。

13、组织网络与信息安全事件处理演练。

14、完成领导机构下达的各项任务。

第9条安全职责

(一) 安全责任基本原则是“谁主管，谁负责”。公司拥有的每项网络与信息资产都按主管权限归属确定的“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门，当“责任人”是部门时，由该部门领导实际负责。

(二) “责任人”可将具体的执行工作委派给“维护人”，但必须承担资产安全的最终责任。“责任人”要明确规定“维护人”的工作职责，并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门，也可以是外包服务提供商。当“维护人”是部门时，应由该部

门领导实际负责。

第10条安全工作人员(领导小组及办公室成员)的职责是指导、监督、管理、考核“责任人”的安全工作，不能替代“责任人”对具体网络与信息资产进行安全保护。

在资产的安全保护工作中，应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。“责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程，并对该职责的详细内容记录在案。所有授权的内容和权限应当被明确规定，并记录在案。

第三章网络与信息安全日常管理第三章网络与信息安全日常管理

第一节基本安全管理制度第一节基本安全管理制度

第11条网络与信息相关岗位人员的安全管理

人员考察对关键岗位人员要进行审查，保证具备较强业务技术能人员考察

力，确保可信可靠，胜任本职工作。员工应签署保密协议，保密协议应明确规定员工承担的安全责任、保密要求和违约责任。

人员考核每年组织一次对从事关键业务的人员的全面考核;对违规人员考核

人员视情节轻重进行批评、教育、调离工作岗位。

人员调离关键岗位人员调离，应严格办理调离手续。自人员调离决人员调离

定通知之日起，应及时更换系统口令。应由相关人员和该员工一起回顾应

其签订的保密协议，并使该员工明确所有保密事项，如是离职，应明确在离开公司后3年内不得披露、使用公司的技术资料的规定。

人员培训所有员工必须接受安全教育或培训，一般内容包括:公司人员培训

网络与信息安全策略、安全职责、安全管理规章制度和法律法规。不同岗位的员工应接受符合其工作要求的必要的专业技能培训。

第12条操作安全管理

职责分离任务的管理、执行及职责范围应尽量分散进行，并增加执行和监督人员，以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。在无法实现职责充分分散的情况下，应采取其他补偿控制措施并记录在案。

职责履行各类人员必须按规定行事，不得从事超越自己职责以外的

任何事务或操作。

岗位监督进行系统维护、复原、强行更改数据时，至少有两名操作岗位监督

人员相互监督操作，并进行详细的登记及签名。

安全稽核安全监察人员和安全管理人员有权对一线操作、管理人员安全稽核

进行监督与核查。