还剩24页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
1目的和范围为标准和加强公司网络平安工作,切实提高网络平安管理水平和技术防护能力,有效控制网络平安风险,保障信息化根底设施和信息系统平安、可靠、稳定运行本规定适用于公司及所属各单位的网络平安管理控股公司、实际控制企业应通过法定程序执行本规定,参股公司参照执行2术语和定义
2.1网络平安本规定所称网络平安是指在信息化工程建设和信息系统运行过程中对信息系统的物理环境、硬件、软件、数据等进行保护,保护信息系统完整性、保密性、可用性,确保系统处于连续稳定可靠运行的状态3职责
3.1信息化工作领导小组负责落实国家网络平安政策、法律法规和重大部署,制定公司网络平安工作政策;负责审议批准网络平安整体解决方案和工作规划;负责决策、指挥、协调处置重大网络平安突发事件
3.2科技信息处负责组织落实国家集团公司和公司网络平安政策、法律法规和重大部署;负责组织制定公司网络平安解决方案、规章制度、技术标准,并监督落实;2020-11-30实施负责组织开展公司网络平安检查、演练、通报、问题整改、考核、培训等工作;负责组织开展公司信息系统平安等级保护、风险评估等工作
3.3公司机关各部门负责落实公司网络平安管理要求,是主管业务信息系统、数据和用户的网络平安管理责任部门;负责本部门主管业务信息系统的平安自查和问题整改工作;设系统管理员,负责用户账号和权限管理
3.4生产运行处负责制定公司生产网内信息系统(如工业控制系统、通信系统等)平安管理制度、技术标准,部署防护措施,确保生产网内信息系统运行平安;负责组织开展公司工业控制系统、通信系统平安检查、演练、通报、问题整改、考核、培训等工作;负责组织开展公司工业控制系统、通信系统平安等级保护、风险评估工作
3.5技术中心负责办公内网及接入办公内网的互联网环境下的信息系统网络安全;负责公司网络平安防护体系的建设以及网络、终端、数据中心等具体防护工作;负责定期开展公司网络平安检查及问题整改工作;负责制定公司网络与信息系统平安应急预案,并定期开展网络平安演练;负责开展公司网络平安等级保护、风险评估工作
3.6所属各单位负责落实公司网络平安管理要求,承当本单位信息系统、数据和用户的网络平安管理责任;负责明确网络平安归口管理部门和相应岗位,实行网络平安管理员持证上岗制度;负责开展本单位网络平安等级保护、风险评估等工作,组织开展网络平安演练,组织网络平安检查和培训等工作,接受公司平安检查,并落实整改要求4管理内容
4.1网络平安根本要求员工使用网络要求在内网接入和使用中,禁止以下危害内网平安的行为宾馆、学校、家属区等非主营业务网络与内网直接互联;未经许可,非集团公司员工自带设备接入内网;在内网中传输、存储、处理涉及国家秘密的信息;在内网中自建互联网出口、虚拟专用网络(VPN)和卫星通信系统;员工使用企业网络应遵守以下根本要求:a)禁止利用网络危害国家平安,违反国家法律,泄露国家秘密以及从事违法犯罪活动,侵犯国家、社会和公民合法权益;b)禁止以任何理由、形式使用任何设备或软件攻击网络系统,以及破解、窥探、窃取、删除、更改其他用户使用的数据及信息,禁止未经授权的网络扫描等行为;C)禁止在办公计算机安装和处理与工作无关的软件、数据和信息,不应下载盗版及来历不明共享软件;d)用户在使用信息系统前应确保使用环境、浏览器及客户端软件安全,不应翻开来历不明的邮件附件和网络链接;e)须定期更改账户密码,不得将信息系统账户提供给他人使用;f)须主动向本单位信息部门上报网络平安事件和信息;g)遵守各信息系统使用要求,未经授权不得篡改、删除、拷贝、传输系统数据;h)禁止在互联网上传播内部资料或敏感数据网络管理要求
4.
1.
2.1IP地址管理
4.
1.
2.
1.1IP地址由技术中心统一分配管理,入网单位和个人应严格使用分配的IP地址,严禁盗用、占用他人IP地址或私自乱设IP地址公司机关及所属各单位网络运行维护人员负责对管辖内的IP地址分配进行登记,记录MAC(物理地址)、IP(因特网协议地址)、部门,并对IP与MAC地址进行绑定,所属各单位信息管理部门每季度定期更新IP记录表并上报技术中心假设有新增IP需求或IP地址缺乏的情况,可向技术中心提出书面申请,由技术中心组织网络运行维护人员处理终端计算机平安管理公司终端计算机进行实名注册,设置强口令密码保护,,安装集团公司统一的平安防护软件和认证系统,实现端点准入和文档平安防护功能技术中心对机关各部门接入内网的计算机设备进行实名登记、注册、核准和管理,所属各单位信息管理部门对本单位接入内网的计算机设备进行实名登记、注册、核准和管理;接入办公内网的终端计算机使用中不得擅自更改系统设置和IP地址,不得私自拆卸或更换计算机硬件,不得安装和使用盗版软件以及非集团公司统一部署的平安防护和管理软件计算机使用人员须定期对计算机终端操作系统和重要应用程序安装平安更新补丁使用公司统一部署的即时通讯工具网络设施平安管理依据网络平安策略,采用适宜的网络平安技术与设备,实现网络平安域的保障与防护可采用网络平安技术与设备,如加密技术、访问控制技术、防火墙设备、入侵检测设备、流量监控与审计系统、网络设备与链路的冗余技术等技术中心定期进行模拟攻击测试,发现网络平安漏洞,及时修补根据网络平安最正确实践,技术中心定期检查网络设备的部署情况及运行状态,检查网络平安的合规性,对网络平安进行优化远程登录管理公司员工或第三方人员需远程访问系统效劳器后台数据时应填写《数据直接访问表》,经系统主管部门和技术中心领导审核通过后才可进行访问员工需在外网访问内网资源时,需向技术中心提交申请,经技术中心和集团VPN工程组审批后开通账号网络资源管理要求办公网络资源由技术中心进行统一分配管理,所属各单位不得私自对已分配资源进行更改(如私设路由等)O接入公司信息网络的单位和用户不允许利用公司网络资源为第三方提供效劳页码6/15第三方人员直接接入内网需向技术中心提出申请,签署《西南管道网络平安保密协议》后才可访问内网资源信息系统平安管理要求
4.
1.
3.1信息系统要求开展网络平安等级保护工作,遵从当地公安机关网络平安等级保护要求开展定级、备案、检查和测评等工作,工程承当单位须委托有资质的评估机构对信息系统进行测评,测评中发现问题,应及时整改,定级备案及测评的材料应上报至科技信息处公司应采用统一身份登录各信息系统,系统密码按照统一要求设置,口令密码复杂度应符合国家标准和要求,且严禁账户密码明文存储、传输效劳器应按照要求进行配置,安装防病毒软件,及时更新补丁修复程序;系统账号权限管理操作系统、数据库、应用系统等系统管理员应职责别离系统管理员定期对公司信息系统权限进行检查,根据职责别离原那么,填写《职责别离检查表》,将不符合职责别离的权限进行调整各应用系统管理员定期审核系统的所有账号和用户权限,对长期未使用的账号进行清理;应定期备份重要信息和数据;未经许可,不得创立、删除用户账户,不得删除系统日志和报警信息,不得擅自更改权限和系统功能员工岗位变动时应及时告知管理员调整用户权限或注销账户,系统运行维护单位应保存该账户的登录日志申请使用应用系统的用户填写相关系统用户账号及权限管理表(如《电子邮件效劳申请表》等),并经过业务主管部门负责人审核通过后才能分配账号及权限数据平安管理要求公司及所属单位应采用以下措施加强数据平安管理,标准数据分类、存储、备份、传输、销毁及涉密数据保密等工作:a)各业务管理部门梳理本业务领域重要数据,强化重要数据识别明确数据保护对象,建立数据资产目录,对重要数据进行保护;b)在我国境内产生数据应在境内存储,确需向境外提供,应按照国家和公司要求进行平安评估、审批与报备;出国人员不得私自携带公司要求进行防护;c)应通过签订合同、保密协议、保密承诺书等方式,确保内外部合作单位和供给商的数据平安管控;严禁外部合作单位、技术支持单位和供给商在对互联网提供效劳的网络和信息系统中存储或运行公司商业秘密数据和重要数据;d)利用互联网企业平台发布业务信息,应采用符合公司要求的数据交互方式,并组织内部审查,严格禁止在互联网企业平台存储公司重要数据;e)按照国家相关法律法规建立健全用户信息保护制度,确保用户个人信息在收集、使用、保存过程中的平安,收集个人信息应取得用户同意,不得收集与效劳无关的个人信息;f)报废和更换设备应对关键存储部件进行数据擦除,使数据无法恢复前方可继续使用,对于存储重要数据的存储部件应交资产管理部门核定,设备管理部门安排统一销毁,同时作好备案登记严禁个人自行处理报废计算机
4.2工程建设要求工程承当单位应按照网络平安等级保护要求,保证系统与平安措施同步规划、同步建设、同步使用,采取相应管理措施及技术防范措施履行网络平安义务立项阶段平安管理在工程立项阶段,可行性研究报告应明确信息系统和数据的等级保护级别、涉密级别及灾难恢复级别,并根据相应级别的要求编写网络安全保护方案和投资估算建设阶段平安管理在工程建设阶段,工程承当单位应加强防护,组织人员对代码安全进行检测,及时发现和修补漏洞;开发测试环境应与生产环境隔离,进行测试时不得使用真实生产数据信息系统建设单位应与产品供给商和效劳提供商签订网络平安保密协议,明确平安和保密义务与责任,审核产品供给商和效劳提供商相关资质合同中应要求产品供给商和效劳提供商在约定的效劳期限内不得终止提供网络平安维护对重要信息系统运行维护的产品供给商和效劳提供商的相关资质、人员背景进行审查产品供给商和效劳提供商提供效劳时,禁止其接触企业核心数据和关键业务操作;禁止远程接入维护;现场效劳时,需由内部人员全程陪同;效劳结束后,系统管理员应立即清理临时账户、修改使用过的账户密码行,2级以上的系统需通过网络平安等级保护测评,将测评和整改后情况上报科技信息处审核,通过前方可申请上线;2级以下的系统由技术中心组织完成源代码审计、漏洞扫描等平安风险评估工作,形成信息系统安全风险评估报告,并将最终整改情况上报科技信息处审核,通过前方可申请上线对临时、测试、开发、共用帐户以及为供给商提供的帐户进行清理和删除,对于不能删除或注销的帐户,应进行密码更改平安风险评估内容包括但不限于a)网络平安评估包括对网络交换设备、平安设备、网络结构、安全防护措施等平安性的全面评估;b)系统平安评估包括对操作系统平安性的全面评估;c)应用平安评估包括对数据库管理系统、WEB效劳器、中间件和应用软件的平安性进行全面评估;d)渗透性测试对网络、数据库和应用系统中存在的平安漏洞和隐患实施本地或远程的渗透性检测和验证,识别系统中存在的各种威胁途径,并且提出躲避措施运维阶段平安管理系统运行维护单位应对系统资产平安和运行平安负责,所有设备应置于平安场所,明确平安负责人,设立网络平安管理岗和技术岗,制定相应网络平安制度和操作规程,实行持证上岗系统运行维护单位应加强远程运维管理,不得通过互联网或外网对设备和系统进行远程运维内网远程运维应限定运维终端并加以保护对各项操作进行监控和记录严禁私自查看和复制信息系统中的业务数据重要信息系统可根据需要设立平安管理员、审计管理员
4.3信息平安事件应急管理信息平安事件分级根据突发事件的可控性、严重程度和造成的影响范围将突发事件分为三级危害或威胁,造成重大社会影响,对集团公司声誉产生重大影响;b)二级突发事件事态严重,影响到绝大多数用户的正常工作,如系统崩溃、网络瘫痪和全局性平安问题;或虽然影响到局部用户,但对要要害部门或用户造成特别重大影响,如专业应用系统和ERP系统的某个重要子模块发生问题不能运行等;c)三级突发事件事态较为严重,影响到局部用户的正常工作,且未造成实质性的重大影响如物料管理系统发生故障影响到生产部门的工作,但不影响生产部门的主要运作,或局部用户的系统受到非法入侵或病毒木马的攻击但不影响正常工作的有序进行等信息平安事件上报当发生信息系统突发事件时,第一时间报告本单位信息管理部门和业务主管科室,如果到达二级突发事件或事件涉及整个公司范围,应立即以任何形式上报科技信息处和业务主管部门,通过后续报告及时反映事态进展,提供进一步的情况和资料,同时通知技术中心、运维支持队伍报告内容应包括事件发生的时间、地点、等级、涉及范围,事件发生经过,所涉及到的网络和信息系统,已造成或可能造成损失情况经技术中心判断为一级突发事件时,立即向集团公司报告,必要时,报告检察、公安、国家平安机关立案侦查具体应急管理规定参照《信息系统突发事件应急预案》执行应急过程中所有文档在风险解除后由技术中心统一归档
4.4网络平安培训所属各单位根据本单位员工网络平安意识和能力水平,针对薄弱环节向科技信息处提出培训需求科技信息处组织网络平安培训工作
4.5检查与考核网络平安检查技术中心每半年开展一次公司网络平安检查工作,包括现场抽查、远程检查、远程检查等检查内容包括公司网络平安现行保护措施整体情况,集团公司及公司管理方法、标准标准、培训等要求落实情况技术中心将公司机关各部门、所属各单位检查结果形成检查报告上报科技信息处,科技信息处通知相关部门和单位进行问题整改,相关部门和单位在整改正程中出现错误操作应及时向技术中心反映,整改结果由技术中心复核报送科技信息处工业控制系统由生产运行处定期自行组织平安检查网络平安考核公司每年对所属单位进行网络平安管理工作考核,年底公布下一年度考核指标出现以下情形之一的,所属单位网络平安工作考核分值为零分:b)对公司生产和经营产生重大影响,后果严重的;C)其他公司认定的对违反本标准相关规定的,以及瞒报网络平安事件的所属单位及个人,给予通报批评;对于通报批评拒不改正的,由科技信息处约谈所属单位责任人;年度被通报批评三次及以上的所属单位,取消评优资格违反本规定,出现以下情形之一的,对相关人员按照公司有关规定进行责任追究,涉嫌犯罪的移交监察机关处理a)重要门户网站被攻击篡改,导致反动言论、谣言等违法有害信息大面积扩散,且没有及时报告处置的,或者受到攻击后没有及时组织处置,瘫痪6小时以上的;b)发生国家秘密泄露的;c)关键信息根底设施和信息系统遭受网络攻击,没有及时处置造成严重社会不良影响,或者造成重大经济损失的;d)其他严重危害网络平安行为的5流程6相关文件
6.1相关的公司体系文件《信息系统突发事件应急预案》
6.2相关的法律法规、标准、标准和依据性文件国家管网办〔2020〕39号《国家管网集团信息化管理暂行方法》7记录1—04/JL-01职责别离检查表XNGD/ZY.xx.Ol-04/JL-02数据直接访问表XNGD/ZY.xx.01-04/JL-01职责别离检查表编号--AQ01-20//-单位简称部门简称窗体号填表日期序号检查部门应用系统管理员与操作系统管理员是否别离是口否口应用系统管理员与数据库系统管理员是否别离是口否口业务系统使用人员与系统管理人员是否别离是口否口信息系统管理活动的操作者与授权者是否别离是口否口系统程序开发人员与系统使用人员是否别离是口否口检杳内容/结果系统程序开发人员与系统管理人员是否别离乂旦合’口是口否口工程立项与工程审批是否别离是口否口工程实施与工程验收是否别离是口否口改良方案确认信息平安管理负责人签字:XNGD/ZY.xx.Ol-04/JL-02直接数据访问表-AQ19-20//单位简称部门简称填表日期序号访问部门访问人数据名称:访问对象系统效劳器IP地址:访问理由访问数据内容及操作内容结论访问数据内容及操作是否合规是口否□原因确认效劳器主管部门领导签字:网络管理负责人签字。