还剩45页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
集团公司网络安全管理办法第一章总则第一条为加强**(集团)有限公司(以下简称集团公司)网络安全管理,落实网络安全工作责任,健全网络安全保障体系,根据《中华人民共和国网络安全法》、国家网络安全政策制度和标准规范,以及集团公司网络安全管理工作有关规定,制定本办法第二条本办法为集团公司网络安全管理指导性文件,适用范围包括集团公司本部及所属全资、控股公司(含直接控股、相对控股)和经费单位(以下简称各单位)各单位应在落实本办法要求的前提下,结合实际,制定用于承接本办法的制度并严格执行第三条本办法所称网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统第四条集团公司网络安全工作遵循“积极利用、依法管理、科学发展、确保安全”方针,根据“同步规划、同步建设、同步使用”要求,坚持“谁建设谁负责,谁运行谁负责”原则,实行分级管理和分工负责第五条集团公司网络安全工作以关键信息基础设施保护为核心,以数据资源保护为基础,以健全管理制度体系、加强技术能力建设为重点,围绕网络全生命周期、全要素覆盖,提升网络安全监管和防护水平态和网络安全事件,留存网络设备、安全设备、应用系统、数据库、服务器、中间件等全部软硬件日志(原则上应包含原始日志和归一化处理日志),各类日志留存时间不少于六个月第三十六条运行单位应加强对接入运行环境的行为管理,应对网络接入方案、安全测评报告等进行审核和安全评估,确认达到安全要求并与申请接入单位签订安全协议后方可授权接入移动终端接入设备、物联网感知节点设备应采取授权接入、身份鉴别、加密和设备管控等安全措施,定期开展设备巡查,及时发现并处置风险隐患第三十七条各单位应采取集中管控、用户识别、访问控制、安全审计等措施,加强计算机等办公终端的管理,按照“谁使用谁负责”的原则,落实使用人员安全管理责任,并定期组织开展病毒查杀、漏洞修复和版本升级等工作第三十八条各单位应严格管理无线网络,严禁非授权终端的网络接入行为,采取身份认证、访问控制、行为管理、安全审计、安全隔离等技术措施确保安全运行第三十九条各单位应加强移动存储介质管理,采取技术措施加强移动存储介质接入网络行为的监控,防止因移动存储介质使用导致的病毒木马传播第四十条各单位应加强互联网资产梳理和监测,定期更新互联网资产管理台账,有效控制互联网资产暴露面门户网站应集约化建设,原则上统一使用集团公司官网二级域名,并悬挂电信ICP备-10-案号、公安机关备案号应加强互联网资产安全防护,部署必要的防护设备,建立以网页防篡改、域名防劫持以及防攻击、防瘫痪、防挂马为主的防护体系,严格划分安全区域,严格设置访问控制策略,建立安全访问路径,有效防止后台管理系统暴露在互联网中严格后台发布终端管理严格信息发布、转载和链接管理第四十一条各单位应加强互联网电子邮件系统安全管理,采取与保护级别一致的安全保护措施严格用户注册审批和注销管理严禁将邮件自动转发至私人或境外邮箱应加强用户安全意识教育,防止钓鱼邮件等网络攻击采用第三方邮件服务的,应采取签订服务安全合同、保密协议等方式,明确第三方安全责任第四十二条运行单位应加强对外包服务和远程技术服务安全管理需要外包服务或者远程技术服务的,应与服务提供者(含法人单位及具体服务人员)签订安全保密协议采取技术措施有效记录技术服务操作行为应严格控制远程运维接口或通道,按需开启,事后关闭,并及时更新相关软硬件用户口令进行远程维护时,应当采取认证、加密、审计等管控措施,保留审计日志第四十三条网络下线或废止前,建设单位应以书面形式向运行单位提出数据、应用软件及相关设备资产等处理要求,运行单位对网络下线或废止的安全风险进行评估,并针对性的提出应对措施,经建设单位同意后实施使用云计算服务的,还应确保云计算服务提供商做好数据、文档等资源的移交和清除工作网络下线或废止处理结果报本单位网络安全主管部门备案,同时向公安机关更新等-11-保备案信息第四十四条国家、地方重要活动和会议期间实行网络安全重点保障各单位应围绕重点保障目标,收敛互联网资产暴露面,做好事前检查和风险漏洞检测整改,建立网络运行白名单,加强重点防护并与第三方服务单位签署网络安全责任承诺书实行专项信息通报,严格执行每日“零报告”制度实行公司领导带班和一线7*24小时值守第五章关键信息基础设施安全第四十五条关键信息基础设施在等保制度基础上,实行重点保护,具体识别、认定和管理依照国家和行业有关规定执行认定为关键信息基础设施的,网络安全保护等级应不低于第三级,备案结果及测评报告应及时报集团公司网络安全主管部门备案第四十六条关键信息基础设施运营单位应确立主管网络安全的领导班子成员作为首席网络安全官,设置专门的安全管理机构和专职的网络安全人员应对网络安全机构负责人,与关键业务应用系统直接相关的系统管理、网络管理、安全管理等关键岗位人员(含第三方人员)进行安全背景审查,定期并定期开展技术培训和技能考核第四十七条关键信息基础设施运营单位应完善规划设计、建设、运行、维护等服务采购的安全管理,确保供应链安全采购核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据-12-库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务,关键信息基础设施运营单位预判影响或可能影响国家安全的,应按要求申报并通过网络安全审查,并与提供者签订安全保密协议第四十八条关键信息基础设施运营单位应加强网络攻击威胁管控,强化纵深防御,积极利用新技术开展网络安全保护,建立系统应用与系统数据容灾备份机制,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系第四十九条关键信息基础设施运营单位应组织对设施实行7*24小时监测,每年至少组织开展一次检测评估并及时予以改进,并将检测评估情况和改进措施报集团公司主管部门备案应制定并完善安全应急预案和快速恢复方案,定期开展服务中断、数据泄漏等网络安全事件应急演练,确保应急预案和快速恢复方案的有效性,并留存相关文件涉及密码应用的,每年至少开展一次密码应用安全性评估第五十条各单位应加强关键信息基础设施清单及工作信息保密管理,严控知悉范围严禁非法获取、出售或未授权向他人提供关键信息基础设施的基本情况、安全防护策略、设备配置、技术参数等可能被用以威胁关键信息基础设施运行安全的信息第六章数据安全第五十一条各单位应遵循“谁收集数据、谁负责保护”原则,-13-建立并落实覆盖数据全生命周期的安全保护制度,实行数据分类分级管理,强化重要数据和个人信息保护,不断完善数据安全保障措施重要数据识别依据国家、行业有关规定开展采集、处理重要数据的建设和运行单位应明确数据安全负责人,指导数据安全保护工作第五十二条各单位收集和使用个人信息应遵循合法、正当、必要的原则,公开收集、使用规则、明示收集、使用信息的目的、方式和范围,并经被收集者同意数据收集单位应对个人信息采集范围、目的、规模等进行审查,规范采集、存储、使用、销毁等行为,指导有关单位采取措施确保个人信息安全第五十三条建设单位应在规划设计阶段组织开展数据分类分级工作,明确数据安全防护要求,采取重要数据备份和加密认证等措施,并制定数据备份和恢复策略采集、处理重要数据和个人信息(含个人敏感信息)的,建设单位应编制清单,清单包括但不限于重要数据和个人信息的种类、数量、收集、存储、加工、使用等情况第五十四条运行单位应在本单位网络安全主管部门指导下,履行数据安全保护义务,落实数据安全管理责任,对数据处理活动定期开展风险评估,对数据采集、使用、传输和存储等进行规范化管理,采取身份鉴别、访问控制、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全第五十五条各单位收集和产生的个人信息及重要数据应在境-14-内存储因业务需要,需向境外提供的,应按国家、地方、行业有关规定开展出境安全评估,并按照国家、地方有关规定上报政府监管部门第五十六条运行单位应加强数据安全风险监测,防止泄漏、毁损、丢失发生或者可能发生泄漏、毁损、丢失的情况时,应立即采取补救措施,及时告知用户,并按照有关规定及时向主管部门报告第五十七条各单位通过系统对接方式对外提供数据的,应委托系统运行单位编写论证方案,明确可行性、业务需求、技术方案、风险分析等内容,并填写《系统数据提供事项审批表》(附件11),由相关主管部门和数据提供事项的集团公司分管领导审批通过后,方可实施第七章监测预警与应急处置第五十八条各单位应加强本单位网络安全监测预警能力建设,实时掌握网络安全态势由专业网络安全机构开展漏洞扫描渗透性监测服务的,应在获得主管部门授权后方可执行第五十九条建设单位应组织运行单位根据风险评估、渗透测试、等保测评、密码应用安全性评估结果,及时采取措施,防范处置安全风险第六十条风险漏洞处理实行限期整改,对通用型产品和服务的风险漏洞,运行单位应在厂商和安全机构公布修复方案后立即核-15-查整改对国家、地方和行业网络安全管理部门等发布的针对特定应用系统的事件型漏洞,运行单位应及时完成整改第六十一条建设单位应组织运行单位加强风险漏洞管控,定期开展漏洞扫描和恶意代码检测,建立并更新风险漏洞台账,主动及时掌握网络产品和服务相关的安全信息,及时更新恶意代码库和补丁,有效处置安全风险隐患,及时完成整改因技术条件限制,不能按期整改但需继续运行的,应采取必要措施,避免发生安全事件,并书面报告本单位网络安全主管部门风险漏洞整改影响网络功能的,建设单位应组织运行单位、维护单位完善整改措施第六十二条各单位应加强网络安全事件应急管理,明确应急工作机构,结合实际制定完善安全事件应急预案,每年至少开展一次应急演练,并根据演练结果完善应急预案第六十三条运行单位应加强网络安全事件预防准备,制定详细的应急处置流程,加强风险信息收集和管控,落实应急相关技术文档及软硬件准备,建立与电力、通信等保障单位的协调机制第六十四条网络安全事件发生后,建设单位与运行单位应立即启动应急预案,做好初步处置,最大程度减少损失和危害,并及时报告相关主管部门对涉及反动言论、煽动性言论等信息内容安全事件,建立显示屏“一键黑”、系统“一键关”等应急机制,确保实现“一分钟”处置如可能涉及攻击、破坏等违法犯罪,应保护相关数据、记录、资料和现场,24小时内向公安机关报案,并配合调查取证-16-第六十五条网络安全事件处置完成后,建设单位与运行单位应及时完成事件调查和评估工作,对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施第八章监督检查与责任追究第六十六条集团公司建立定期检查与考核机制集团公司主管部门定期对各单位网络安全工作开展现场检查,并每月按照集团公司绩效考核相关管理办法对各单位网络安全工作情况进行考核第六十七条各单位应建立健全网络安全责任制考核评价制度,对网络安全管理体系建设、等级保护、责任制落实、安全攻防演练、渗透测试、在线监测和应急响应等情况开展考核评价,并将结果作为对领导班子和有关领导干部考核的重要内容第六十八条集团公司主管部门根据国家和上级部门有关要求,定期组织开展网络安全督查工作,评估各单位网络安全防护能力各单位应按要求组织做好自查与整改工作,并配合做好检查各项工作开展网络安全检查时,可采取下列措施
(一)进行远程和现场技术检测;
(二)进入被检查单位进行检查,询问相关工作人员,要求其对有关检查事项做出说明;查阅、复制与检查事项有关的文件、资料;
(三)对检查发现的问题,责令当场改正或者限期改正第六十九条对违反本办法规定的,视情追究相关单位责任,-17-由主管部门责令限期整改、暂停业务逾期未改正的,给予通报批评,视情对主要负责同志进行约谈情节严重并造成不良影响的,依照有关法律法规和网络安全工作责任制有关规定,启动问责程序,逐级倒查,追究当事人、网络安全负责人直至主要负责人责任第七十条违反本办法规定,涉及使公民、法人或者其他组织的合法利益受到侵害的,依法承担民事责任构成犯罪的,由公安机关依法追究刑事责任第九章保障措施第七十一条各单位主要领导应加强本单位网络安全工作的统筹管理,定期听取工作汇报、协调解决重大问题,组织落实机构、人员和经费等必要条件第七十二条各单位应加强网络安全自身能力建设,积极推动监测预警、安全防护、应急处置等技术支撑条件完善,加强网络安全专业人才队伍建设,支持网络安全技术研发和管理创新第七十三条各单位应经常性组织网络安全宣传教育,加强全员网络安全意识和知识技能培训,并指导督促所管理的单位做好网络安全宣传教育工作网络安全教育培训应归档保存关键信息基础设施运营单位重点岗位人员网络安全专业技能培训每年度不少8学时第七十四条各单位应将网络安全建设管理、运行管理、教育培训、安全检查、测试评估、监测预警、应急处置等费用纳入年度-18-预算,合理保障网络安全专项经费投入第十章附则第七十五条本办法未尽事宜,按国家政策、法律、法规执行第七十六条存储、处理涉及国家秘密信息的网络的运行安全保护,按照国家涉密相关规定执行第七十七条本办法由集团公司主管部门负责解释第七十八条本办法自发布之日起施行附件
1.全生命周期网络安全管理流程图
2.网络建设与运行相关责任说明
3.运行责任界定划分指南
4.网络定级要点
5.安全保密协议(参照模板)
6.应用软件第三方组件清单
7.移动互联网信息系统备案流程及备案表
8.移动互联网应用程序备案流程及备案表
9.网络运行责任清单
10.应用软件版本控制日志清单n.系统数据提供事项备案表-19-第二章职责和分工第六条集团公司网络安全工作领导小组是集团公司网络安全工作的领导机构,主要职责见集团公司网络安全相关制度第七条集团公司网络安全工作领导小组办公室是集团公司网络安全工作的主管部门(以下简称集团公司主管部门),负责网络安全工作的统筹协调和指导监督主要职责如下
(一)依照国家网络安全相关法律法规和集团公司网络安全工作领导小组决策部署,制定集团公司网络安全管理制度,推动落实国家网络安全等级保护(以下简称等保)制度
(二)指导集团公司关键信息基础设施安全保护工作,组织认定关键信息基础设施,督促关键信息基础设施建设与运营单位开展风险评估和应急演练
(三)建立健全网络安全态势感知体系,参与协调处理重大网络安全事件,组织实施国家重要活动、会议期间网络安全技术保障工作
(四)指导重要数据收集单位开展数据安全分类分级和安全保护工作
(五)组织开展网络安全检查和考核评价,指导、监督相关单位履行网络安全保障工作责任
(六)组织开展网络安全技术培训工作第八条**股份有限公司对本单位及所属单位的网络安全工作进行直接管理,负责网络安全各项工作的组织、指导、监督、协调-2-附件1全生命周期网络安全管理流程图□□网络安全成果输出□
1.网络定级报告
2.专家评审意见□
3.网络定级保护备案证明□
4.数据表预分类分级报告□□□网络安全成果输出
1.网络安全方案及审查意见□
2.密码应用方案及审查意见□
3.云服务论证结果(采用云□计算服务条件下)
4.数据表分类分级报告□软件安全测试□---------------------代码安全审计网络安全成果输出
1.软件安全测试报告「试运行前运行单位组织)
2.代码安全审计报告□〔安全测试,□,-------------.[互联网系统与移动应用程序备案,/□
1.等保测评1等保三级网络向、网络安全成果输出
1.等保测评报告□
2.风险评估>公安机关提交测评
3.代码审计报告
2.风险评估报告□___
3.第三方代码审计报告□传/保等三保级三网级络网每络年密等码做应用I测、□安全性评估评、定期密评,「日常监□网络安全成果输出测、预警、漏扫
1.等保测评报告□
2.日常运行监测报告□疑期监测并调整数据知级□r数据、应用软件及相关设备资产等处理□向公安机关提交备□案变更申请,云计算服务数据资产移□交和清除-20-附件2网络建设、运行相关责任说明对象主要责任和职责说明
1.主要责任组织开展本单位网络安全建设工作,承担网络建设期间的安全防护以及运行期间由建设质量导致的网络安全问题主体责任
2.主要职责1按照国家有关法律法规以及集团公司网络安全管理有关规定,制定网络安全建设管理制度和操作规程2建立网络安全建设责任制,细化各环节网络安全责任,确认网络安全责任人,签署责任承诺书,留档备查网络建设单位3组织完成所建设网络的等保定级备案工作4按照网络安全保护等级,组织编制安全设计方案、密码应用方案、云计算服务安全方案5组织开展网络数据分类分级工作,编制数据分类分级清单6确保采购的产品和服务符合法律法规和国家政策要求7加强对第三方服务单位的管理,确保项目安全实施8定期组织开展软件安全测评、代码安全审计、等保测评、密码应用安全性评估、风险评估等工作
1.主要责任组织开展本单位网络安全运行工作,承担网络运行网络运行单位期间的安全管理和安全防护主体责任
2.主要职责-21-1按照国家有关法律法规以及集团公司网络安全管理有关规定,制定网络安全运行管理制度和操作规程2建立网络安全建设责任制,细化各环节网络安全责任,确认网络安全责任人,签署责任承诺书,留档备查3关键信息基础设施运行单位应设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员开展背景审查,定期对从业人员进行网络安全教育、技术培训和技能考核4采取有效措施,防范计算机病毒和网络攻击、网络入侵等危害网络安全行为,监测记录网络运行状态和网络安全事件,留存全部网络日志,防止个人信息和重要数据泄露、毁损、丢失5根据建设单位提供的数据分类分级清单,组织开展监测及安全防护工作6制定网络安全事件应急预案和应急处置工作流程,及时处置漏洞、计算机病毒、网络攻击、网络入侵等安全风险,定期开展应急演练7发生网络安全事件时,立即启动应急预案,并按照相关规定向集团公司主管部门报告8加强对全部第三方服务单位的管理,实现对人员、行为、资产等全部运维环节的有效管控9评估网络废止安全风险,在建设单位指导下,实施网络废止相关工作,协助变更等保备案信息-22-附件3网络运行责任认定指南
一、建设单位指导运行单位开展网络运行维护工作,应为网络安全稳定运行提供必要的支持运行责任移交时,建设单位、运行单位应明确划分运行责任
二、建设单位确定的运行单位为第一运行单位,统筹网络运行维护相关工作,管理网络运维涉及的软件维护单位、第三方测试评估单位等
三、涉及多方运维的,建设单位可将运行维护可划分为基础环境、软硬件设施、安全、数据等几个层面明确责任主体(示例见表1),并对需要协调配合的内容予以说明
四、应用软件相关运行维护原则上应由建设单位协调落实(应用软件维护单位为第二运行单位,一般为应用软件开发单位),主要维护内容为网络部署的软件平台层、应用软件层安全和数据安全,实施对这些资源操作、更新、配置的安全可靠管理
五、涉及第三方测试评估单位的,运行单位应按有关要求做好第三方服务单位管理,签订保密协议
六、采用云计算服务的,应根据云计算服务相关标准确定相应的责任主体(示例见表2),并将其列入服务合同需要责任共担的,应在合同中明示-23-表1物理部署运行维护服务责任主体界定参考序号维护内容说明责任主体示例基础环境运维对保证网络正常运行所需的电力、空调、消通常为第一运行单1服务防、安防等基础环境运行维护位对硬件设备(网络、主机、存储、安全、桌面设备以及其他相关设备等)及其附带软件2硬件运维服务的例行检查、状态监控、响应支持、故障处理、性能优化等服务
2.1网络运维面向计算机网络设备的运维服务
2.2主机运维面向计算机设备中的巨/大/中/小型机、PC服务器等的运维服务通常为第一运行单面向计算机设备中的磁盘阵列、光纤交换机、位涉及虚拟化应
2.3存储运维光盘库、磁带机、磁带库、网络存储设备等用的,应根据实际的运维服务情况明确第二运行
2.4安全运维面向计算机网络安全设备的运维服务单位运维安全责任面向台式机、便携式计算机、掌上电脑等计
2.5桌面运维服务算机设备及输入输出设备等的运维服务面向图像及音视频设备、视频监控设备、会其他设备运维
2.6议系统设备、终端设备、硬件设备虚拟化及服务其他硬件设备的运维服务-24-对软件(包括基础软件、支撑软件、应用软3软件运维服务件等)的功能修改完善、性能调优、以及常根据实际情况确定规的例行检查和状态监控、响应支持等服务面向操作系统、数据库系统、中间件、语音基础软件运维可为第一运行单位
3.1处理系统和办公软件等基础软件的运维服服务或第二运行单位务支撑软件运维面向需求分析软件、建模软件、集成开发环可为第一运行单位
3.2服务境、测试软件、开发管理软件、逆向工程软或第二运行单位件和软件再工程等支撑软件的运维服务应用软件运维通常为第二运行单
3.3面向各种应用软件的运维服务服务位其他软件运维属于软件服务但不包含在小类中的其他软件可为第一运行单位
3.4服务运维服务或第二运行单位对网络提供的安全巡检、安全加固、脆弱性通常为第一运行单4安全运维服务检查、渗透性测试、安全风险评估、应急保位障等服务整体承担基础环境、硬件、软件、安全等综通常为第一运行单5运维管理服务合性运维而提供的管理服务位数据迁移服务、应用迁移服务、机房或设备根据实际情况,可为其他运行维护6搬迁服务等,以及其他属于运行维护但未包第一运行单位或第服务含在分类中的运维服务二运行单位-25-根据实际情况,可为数据处理和存向需方提供的信息和数据分析、整理、计算、7第一运行单位或第储服务存储等服务二运行单位向需方提供数据分析、整理、计算、编辑等加工和处理服务包括各种数据库活动、业通常为第二运行单
7.1数据加工处理务流程外包、网站内容更新、文件扫描存储位等供方根据需方需求提供的合理、安全有效的数据保存服务包括以在线、离线等方式提根据实际情况,可为
7.2存储服务供的数据备份、容灾等服务、以及数据中心、第一运行单位或第存储中心或灾备中心提供的数据存储、数据二运行单位备份、容灾等服务根据实际情况,可为其他数据存储
7.3第一运行单位或第和处理服务二运行单位根据实际情况,可为8其他如呼叫中心等的运维服务第一运行单位或第二运行单位-26-表2云计算服务下网络安全责任边界划分参照表层面安全要求安全组件责任主体数据中心及物理设施对电力、通常为云服务提供物理和环境安全物理位置选择空调、消防、安防等基础环境进方行运行维护物理网络及附属设备、虚拟网络通常为云服务提供网络结构、访问管理平台方控制、远程访网络和通信安全根据实际情况可问、入侵防范、云客户虚拟网络安全域为云服务提供方、安全审计云服务需求方身份鉴别、访问物理网络及附属设备、虚拟网络通常为云服务提供控制、安全审管理平台、物理宿主机及附属设方计、入侵防范、设备和计算安全备、虚拟机管理平台、镜像等恶意代码防范、根据实际情况,可资源控制、镜像云客户虚拟网络设备、虚拟安全为云服务提供方、和快照保护设备、虚拟机等云服务需求方安全审计、资源云管理平台(含运维和运营)、镜通常为云服务提供控制、接口安像、快照等方全、数据完整应用和数据安全云客户应用系统及相关软件组件、性、数据保密通常为云服务需求云客户应用系统配置、云客户业性、数据备份恢方务相关数据等复-27-附件4网络等保定级要点
一、定级责任主体建设单位是等保工作的责任主体,负责组织设计单位、实施单位、运行单位等网络建设参与方开展网络定级、备案、测评等各项工作
二、通用定级流程建设单位依据等保定级指南,按照初步定级、专家评审、主管部门审批、公安机关备案审查的流程,最终确定网络等保级别具体要求如下
(一)初步定级新改扩建网络工程可行性研究阶段,建设单位组织设计单位依据网络安全保护定级指南等文件,初步确定网络的安全保护级别,编制网络安全等级保护定级报告
(二)专家评审建设单位组织网络安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见
(三)主管部门审核建设单位将初步定级结果和专家评审意见报本单位网络安全主管部门审核专家意见与初步定级结果不一致的,以网络安全主管部门意见为准-28-
(四)公安机关备案审查建设单位将本单位网络安全主管部门审核后的定级结果交公安机关进行备案审查审查不通过的,组织重新定级;审查通过后最终确定网络安全保护等级
三、统一联网的网络定级集团公司统一联网运行的网络,由建设单位初步确定网络的安全保护级别后,在集团公司网络安全主管部门指导下组织专家评审建设单位网络安全主管部门完成审核并出具最终定级意见后,报集团公司网络安全主管部门审核集团公司网络安全主管部门审核同意后,建设单位履行公安机关备案审查程序
四、改扩建网络定级改扩建网络应在工程可行性研究报告报批前,由建设单位组织信息安全专家和业务专家,对改扩建是否影响网络原定级别进行论证,论证结果报本单位网络安全主管部门影响原定级别的,按照要求履行等级变更程序-29-及考核,配合集团公司开展相关工作第九条各单位是本单位网络安全工作的责任主体,应成立承担本单位网络安全管理职责的领导机构和具体部门,负责本单位网络安全制度体系建设和网络安全保护相关工作其领导班子主要负责人是网络安全工作的第一责任人,主管网络安全的领导班子成员是直接责任人
(一)建设单位是指负责网络投资建设的单位,负责建立完善建设安全相关制度,并在建设阶段同步贯彻落实国家、地方网络安全政策和集团公司网络安全管理要求
(二)运行单位是指负责网络运行管理的单位,负责建立完善运行安全相关制度,组织开展网络安全监测、预警和事件处置,并在运行阶段同步贯彻落实国家、地方网络安全政策和集团公司网络安全管理要求第十条**信息技术发展有限公司是主体港区主干通信网络、集团级数据中心、关键信息基础设施的建设与运营主体,负责制定并定期更新配套管理制度,全面推进网络实名制建设,集中管控互联网总出口,健全网络技术防护体系,对网络接入行为进行安全评估与核查,统筹做好技术实施与运行保障工作第三章建设安全管理第十一条建设单位应按照等级保护制度和标准规范要求,开展规划设计、建设开发、部署上线等环节的网络安全工作,建立覆-3-附件5安全保密协议参考模版甲方单位名称:_______________________________________甲方单位地址:_______________________________________乙方单位名称:_______________________________________乙方单位地址:_______________________________________本协议于年月日起生效根据我国有关网络安全及信息保密相关法律法规,本着平等、自愿、公平、诚信的原则,双方就采购网络产品和服务事宜及后续合作过程中有关网络安全保密事项达成以下协议,并由双方共同遵守采购网络产品和服务的一方为“甲方”,提供网络产品和服务的一方为“乙方二A.1保密内容和范围甲乙双方确认,乙方承担保密义务的甲方信息包括便不限于以下内容1技术信息同甲方业务相关的程序、代码、流程、方法、文档、数据等内容;2业务信息同甲方业务相关的人员、财务、策略、计划、资源消耗数量、通信流量大小等业务信息;-30-3安全信息包括账号、口令、密钥、授权等用于对网络、应用系统、进程等进行访问的身份与权限数据,还包括对正当履行自身工作职责所需要的重要、适当和必要的信息A.2保密义务A.
2.1乙方明确所接收的保密信息及其载体均为甲方所有乙方承认甲方在本协议规定的保密信息上的利益和/或一切有关的权利,乙方应当考虑甲方的利益并对该信息予以妥善保管A.
2.2乙方遵守相关法律、法规、政策、规章、制度和协议,基于授权的基础上,合理使用甲方信息,不得以任何其他手段获取、授权或协议规定以外的甲方信息A.
2.3乙方未经授权,不应在工作职责授权范围以外使用、分享甲方信息未经授权,不得泄露、被露、转让以下信息:1技术信息同甲方业务相关的程序、代码、流程、方法、文档、数据等内容;2业务信息同甲方业务相关的人员、财务、策略、计划、资源消耗数量、通信流量大小等业务信息;3安全信息包括账号、口令、密钥、授权等用于对网络、应用系统、进程等进行访间的身份与权限数据,还包括对正当履行自身工作职责所需要的重要、适当和必要的信息A.
2.4若第三方要求披露甲方敏感信息时,乙方不应响应,并应立刻将情况通告甲方-31-A.
2.5乙方对违反协议或可能导致违反协议、规定、规程、法律的活动、策略或实践,一经发现,应立即通告甲方A.
2.6合同结束后,乙方应返还甲方本协议中规定的信息和甲方数据所有由甲方提供给乙方的材料,包括但不限于文件、设计和清单应仍为甲方的财产,且甲方要求时应立即归还原件和所有据此制作的副本A.3违约责任乙方承认并明确同意其对本协议的任何违约仅有法律的救济尚且不足,并且因其违约行为而造成的甲方损失是难以用金钱来衡量的因此,当乙方出现任何违约情形时,甲方有权要求乙方立即返还相关保密信息,且乙方有义务立即采取合理补救措施同时,乙方还应赔偿1因乙方违约行为,而使甲方遭受的全部经济损失包括直接损失和间接损失;2甲方因调查乙方的违约行为、采取补救措施而支出的所有合理费用包括但不限于甲方向乙方及第三方追索、取证、调研而发生的仲裁费、诉讼费、律师费、交通费、劳务费等A.4协议有效期本协议自生效日起年内一直保有完全的效力本协议有效期内任何时间双方可通过相互同意或向另一方发出书面通知天后终止协议;但提前终止本协议不应豁免乙方在本协议下就终止生效日前提供给乙方保密信息所应履行的义务-32-A.5如果所涉及的保密信息依照国家主管机关或相关法律、法规另有规定的,适用其相关规定甲方签字(盖章)乙方签字(盖章)年月日年月日-33-附件6应用软件第三方组件清单建设单位_______________________________开发单位:____________________________________________入网安全版本号主要功能主要风险规避措施端口访问权限开放第三方组件名称测试结果范围填表说明第三方组件主要包括开发过程引入的开源或非开源库文件,非开发方自身开发的内容管理系统、论坛、博客等应用,以及开源开发框架等应用服务器、数据库、中间件与操作系统不在本办法所称的第三方组件范畴内-34-附件7□□口□□口□□口口口口口建设单位股份公司集团公司党委宣传部集团公司科信设施部否.出具备案意见出具备案意见出具备案意见<是否同意是否同意否-35-移动互联网信息系统备案表系统名称互联网域名互联网IP建设单位运行单位责任部门责任人工信部公安备案号ICP备案号等保级别口二级口三级口四级口未定级等保备案号是否支持口是口否IPV6访问口已开展测评结果(附等级测评口未开展后)口已开展测试结果(附安全测试口未开展后)口已开展审计结果(附代码安全审计口未开展后)安全责任书口已签订口未签订(附后)-36-□新闻发布□政策宣传口业务办理□论坛服务内容□信息公开口电子邮件□其他_________________域名注册服务机构主要端口操作系统版本物理位置日常联系人联系电话该事项已通过本单位审批同意,所报材料真实有效申请单位负责人(签字)申请单位意见(盖章)年月日经办人负责人股份公司意见(盖章)年月日经办人集团党委宣传负责人部意见(盖章)年月日经办人集团科信设施负责人部意见(盖章)年月日-37-附件8建设单位股份公司集团公司党委宣传部集团公司科信设施部开始出具备案意见出具备案意见出具备案意见是否同意是否同意是与运行单位签订安全责任书填写《移动互联网应否用程序备案表》是否股份所属单位根据意见开展相关整,改工作组织系统上线试运行<-38-移动互联网应用程序备案表建设单位程序名称□APP口微信小程,序□微信公众号口快应用程序类型□其他__________互联网域名互联网IP开通端口是否支持□是口否IPV6访问主要功能主要用户责任部门责任人开发单位运行单位应用商店口已开展测试结果(附安全测试□未开展后)口已开展审计结果(附代码安全审计□未开展后)-39-盖建设各方、各环节的网络安全责任制第十二条建设单位应建立网络安全建设管理制度,细化明确咨询设计单位、集成实施单位、开发单位、产品及服务提供商、监理单位等的网络安全建设责任,签署责任承诺书,留档备查第十三条在可行性研究报告(或具有同等作用的项目立项报告,下同)报批前,建设单位应组织开展等保定级工作统一联网运行的网络,由集团公司主管部门组织建设单位确定等保级别改扩建网络应重新组织开展定级工作,定级结果有调整的,应按要求报公安机关履行备案变更手续第十四条等保第二级及以上网络初步定级结果经建设单位审核通过后及时向公安机关备案建设单位取得备案证明10个工作日内,报集团公司主管部门备案第十五条建设单位应组织设计单位严格按照所定级别开展整体安全规划和安全方案设计,安全方案设计应落实国家相关标准规范,合理设计重要网络的出口路由、核心交换机、应用和数据库服务器等重要设备和通信链路冗余备份方案,明确身份鉴别、访问控制、安全审计等要求等保三级及以上网络初步设计方案(没有初步设计方案的则为可行性研究报告)报批时应同步提交安全设计方案评审意见拟采用云计算服务的,建设单位应在可行性研究阶段,开展云计算服务需求分析,提出云服务安全技术要求,确保网络安全需求得到满足第十六条包含重要数据和大量个人敏感信息、直接影响企业-4-安全责任书□已签订□未签订(附后)该事项已通过本单位审批同意,所报材料真实有效申请单位负责人(签名)申请单位意见(盖章)年月日经办人负责人股份公司意见(盖章)年月曰经办人集团党委宣传负责人部意见(盖章)年月曰经办人集团科信设施负责人部意见(盖章)年月曰-40-附件9网络运行责任清单序等保级网络名称建设单位运行单位等保备案号等保测评情况运行网络部署地点号别测评时间口内网口测评机构专网口互测评结果联网测评时间口内网口测评机构专网口互测评结果联网测评时间口内网口测评机构专网口互测评结果联网测评时间口内网口测评机构专网口互测评结果联网-41-附件10应用软件版本控制日志清单建设单位:开发单位:更新日期验证测试情版本号负责人新增功能修复缺陷情况依赖模块系统管理员(年/月/日)况-42-附件11系统数据提供事项审批表事项名称申请单位实施单位填表人联系电话事项说明口对外提供数据依据或相关材料附件清单口论证方案口其他支持性文件___________________________________该事项论证和审批材料已通过本单位审查,所报材料真实有申请单位意效,同意提供数据见申请单位负责人(签名)年月日经办人股份公司意负责人见(盖章)年月曰经办人集团业务数负责人据相关管理(盖章)部门意见年月曰经办人集团网络安负责人全领导小组(盖章)办公室意见年月曰集团公司领导意见-43-运转和员工生活工作的关键业务系统,应部署在集团级数据中心内集团公司可根据实际需要使用或处置系统运行过程中收集、产生、存储的数据资源第十七条网络建设应采购安全可信的产品和服务,网络关键设备、网络安全专用产品应符合法律、行政法规的规定和相关国家标准的强制性要求在同等条件下,各单位应优先选用国产化技术和产品提供服务的云平台要通过云计算安全服务审查接入互联网的网络应支持IPV6访问第十八条建设单位应加强软件开发和硬件部署安全管理,软件应按照安全需求、软件工程规范进行设计开发,并具备用户口令强度验证、二次校验和定期强制更新功能,应采取措施审查软件中可能存在的隐蔽通道和恶意代码硬件部署如需要第三方人员参与,应由建设单位专人全程监督,并在交付后及时修改全部用户默认口令,建立定期更新机制软硬件用户口令长度应大于8位,并由大小写英文、数字和特殊符号组成使用代码托管的,建设单位应对开发单位自建代码托管平台安全措施进行备案,对互联网代码托管平台的代码托管行为进行授权同意建设单位应严控第三方组件安全风险,规范应用开发过程中引入的第三方代码、控件、组件、库文件与应用产品安全管理,明确开发单位的第三方组件安全责任,建立第三方组件清单(附件6),清单包括但不限于网络名称、网络开发单位名称、第三方组件名称、-5-版本号、主要功能、用途、风险分析、风险规避措施、入网安全测试结果、第三方组件账号权限、端口等情况第十九条网络试运行应在确保安全的前提下进行等保第二级及以上网络试运行时,建设单位应向本单位网络安全主管部门提交软件安全测试和代码安全审计报告软件安全测试结果为不合格的、代码安全审计中含中高危漏洞的,应在整改完成后申请试运行第二十条网络试运行前,应通过建设单位网络安全主管部门审批,并由建设单位明确运行单位运行单位负责核验安全测试和代码安全审计报告等相关材料,采取措施评估申请试运行网络的安全状况,确认符合运行安全要求后,组织开展网络试运行工作对未达到运行安全要求的,由运行单位通过书面形式向建设单位提出安全整改要求需要接入互联网的网络,建设单位履行移动互联网信息系统备案流程(附件7)后,方可上线试运行与网络同时建设开发的相关移动互联网应用程序(APP、小程序、快应用或具备服务功能的公众号、微博账号等)应同步履行移动互联网应用程序备案流程(附件8)第二十一条网络试运行应采取分区分域、严格访问控制等措施,加强安全防护试运行期间,建设单位应配合运行单位开展运行维护相关工作,网络配置不当、应用软件质量问题等导致的网络安全责任,由建设单位承担试运行期间,对等保第二级及以上的系统,建设单位应组织开展等级测评,等级测评应强化对代码安全审计报告的核查依托关键信息基础设施建设的各类信息系统、基-6-础数据库等项目还应开展风险评估第二十二条建设单位应组织运行单位参与竣工验收未通过等保测评及备案的,风险评估(如要求)不合格的,应在整改通过后开展竣工验收竣工验收15个工作日内,建设单位应与运行单位进行运行责任以及全部技术文档和源代码移交,并将有关材料报本单位网络安全主管部门备案运行责任及相关材料移交前,相关网络安全责任由建设单位负责第二十三条建设单位应明确网络建设开发安全质量责任界定,对因业务逻辑缺陷等需经应用程序源代码修改完善的漏洞隐患整改,应与有关产品服务提供单位约定全生命周期安全保障要求第二十四条针对专项工作临时委托开发部署的短期运行的网络,建设单位应组织开发单位采取必要的安全防护措施,做好安全检测评估,并在上线前向本单位网络安全主管部门报备专项工作结束后,应尽快停用或下线网络第二十五条等保第三级及以上网络应制定密码应用方案,正确、有效采用国产密码技术进行保护,并使用符合相关要求的密码产品和服务按照密码应用安全性评估管理办法和相关标准,开展密码应用安全性评估如发生密码应用重大调整等情况,建设单位应及时组织开展密码应用安全性评估第四章运行安全管理第二十六条集团级数据中心内的互联网总出口是各单位接入-7-互联网的唯一出口,各单位不得自行向其他网络运营商申请以专线、宽带、无线等任何方式接入互联网各单位应合理规划网络拓扑,采取有效措施实现局域网与互联网的隔离,严格控制非授权网络访问第二十七条各单位应采取相关技术手段,实现网络实名制管理,并将本单位全部网络流量接入集团公司网络安全态势感知平台不满足要求的单位,不得接入互联网第二十八条运行单位应建立健全覆盖运行各环节的安全管理制度体系和操作规程,规范制度版本管理,定期评估并完善应建立完善运行组织机构,科学设置运维管理岗位,有效落实运维安全责任应配备一定数量的系统管理员、安全管理员、审计管理员,等保第三级及以上网络应配备专职安全管理员涉及基础环境、公共平台、业务应用系统多方运维的,应在责任移交时确定运行责任各单位网络安全主管部门应建立并定期更新本单位网络运行责任清单,清单包括但不限于网络名称、部署位置、主管部门、建设单位、运行单位、定级备案等信息(附件9)第二十九条运行单位应建立健全机房管理制度,配备机房安全管理人员,严格机房出入安全管理,定期对机房开展检查,确保机房条件符合安全运行要求第三十条运行单位应加强网络边界防护,并按照最小权限原则对网络进行分区分域管理,在不同安全域间实施访问控制,严格控制非授权网络访问-8-第三十一条运行单位应制定完备的软硬件设备管理制度,建立设备清单,明确设备管理责任、设备关联关系以及设备技术服务状况,规范设备管理和使用行为,并根据设备重要程度采取相应的安全保护措施和访问控制策略第三十二条运行单位应规范运行期间应用软件版本管理,形成版本控制日志清单(附件10)应确保应用程序的修改、更新和发布,以及软硬件设备安全更新经过建设单位和本单位网络安全主管部门的授权和同意第三十三条运行单位应采取技术措施防范网络攻击、网络侵入等危害网络安全行为遵循最小权限、最小安装原则,加强应用、服务、端口等安全管理工控系统及其运行环境、使用环境应严格实现“专网专用”,与其他网络物理隔离,严禁接入互联网建立定期巡检制度,完善网络运行状态监控、响应支持、故障处理、性能优化等服务规范第三十四条等保三级及以上的网络,建设单位应严格按照等保要求,每年定期组织开展等保测评,并将结果报集团公司网络安全主管部门备案运行单位应对等保测评提供必要的保障条件,并协助建设单位限时完成测评发现的安全风险项整改发生服务范围、服务对象和处理的数据重大变更并可能影响等保级别的,应由建设单位组织运行单位重新定级备案和安全整改建设,按要求开展等保测评第三十五条运行单位应采取技术措施监测、记录运行网络状-9-。