还剩10页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
物资供应分公司信息网络安全管理办法第一章总则第一条为提高物资供应分公司网络安全管理,确保信息系统安全可靠持续运行,积极构建网络信息安全管理体系,提高网络信息安全工作快速、科学、有序、安全推进,根据《网络安全法》、《数据安全法》等法律法规和《网络安全等级保护基本要求》、《河南能源集团网络信息安全管理办法(试行)》、《鹤煤公司信息和网络安全管理办法》等技术规范要求特制定本办法第二条本办法所称网络信息安全主要指网络安全、环境安全、应用系统安全、数据安全、终端安全、操作安全、网络信息发布安全以及移动信息安全等第三条本办法适用于物资供应分公司所属各单位第二章总体方针、目标和原则第四条坚持“安全第
一、预防为主,管理和技术并重,综合防范”的总体方针,实现网络信息安全可控、能控、在控依照“分区、分级、分域”总体安全防护策略,执行网络安全等级保护制度第五条网络信息安全总体目标是以等保
2.0三级为目标,构建从集团、鹤煤公司、矿厂“三纵”和覆盖工控安全、办公安全“两横”的动态分析、预警报警联动的全过程自动化人防、技防体系第七章附则第三十五条本办法由公司信息中心负责解释,自印发之日起执行附件信息与网络安全业务整改通知单信息与网络安全业务整改通知单编号XXZX-2022000*事件名称下发时间发送单位接收单位存在问题描述问题截图见附图整改建议与要求整改时间节点限*天内整改完成,并于*年*月*日反馈完成情况整改完成情况与反馈接收人整改责任人整改完成时间审核人整改进度与完成情况描述注此表填报完成后按规定日期发送到信息中心指定部门,凡未按时间节点反馈或工作落实不到位的,一律纳入考核主办鹤煤(集团)公司信息中心综合办公室鹤煤(集团)公司综合办公室2022年8月24日印发第六条网络信息安全管理基本原则是分级保护、突出重点,积极防御、综合防护、依法保护、形成合力第七条网络信息安全事件处置原则是先停服断网隔离、再汇报处置恢复,及时有效控制影响范围和危害程度第三章管理部门及职责第八条按照“谁主管谁负责,谁运营谁负责,谁使用谁负责”的原则,明确主体责任,把工作落实到具体岗位和个人公司所属各单位要理顺管理体制,明确本单位网络安全管理机构,配备技术人员,保障网络的正常运行物资供应分公司成立网络安全领导小组组长董事长、总经理副组长分管信息化工作副总经理第一节网络安全管理职责第一条单位负责人是本单位网络安全的第一责任人,信息化分管领导是网络安全直接责任人第二条网络安全直接责任人要对网络安全报表进行认真审阅,对出现重大网络安全事件安排组织人员分析原因,制订防范措施第三条各单位应设置信息和网络安全管理机构、配备信息和网络安全专业技术人员第四条信息和网络安全管理部门主要职责
1.根据集团、公司网络安全建设标准,在公司的指导下保障物资供应分公司信息和网络安全
2.制定符合物资供应分公司实际情况的信息和网络安全的运维管理制度
3.负责物资供应分公司信息和网络安全的技术保障工作,积极处置网络安全态势感知平台预警的安全事件
4.负责物资供应分公司网络安全系统软硬件设备的日常维护管理第四章运维管理5二十条各单位根据实际情况制定值班制度,建立24小时应急联络机制,报送公司信息中心备案第二十一条各单位信息和网络安全值班人员要及时关注态势感知平台预警,发现网络安全事件及时处置第二十二条各单位应对服务器上的应用、服务、端口以及系统补丁等进行检查,卸载和关闭不必要的应用、服务、端口,开启系统安全防火墙,安装杀毒软件服务器不允许私自连接外接设备,如确有需要,应由管理员对外接设备进行病毒查杀后方可连接,连接记录应造册登记备案第二十三条各单位要绘制本单位网络拓扑图,网络结构变更需及时在网络拓扑图上同步更新,网络拓扑图应包含办公网络、各种监控网络以及工业控制网络等,且需要体现网络之间的逻辑关系及网络边界的防护设备第二十四条各单位建立并不断完善工业网、办公网服务器、上网终端的mac地址档案、便于发现问题第一时间定位并处置第二十五条严禁弄虚作假,禁止仅在态势感知平台标记已处置标签,而不处置中毒电脑或服务器防止病毒反复出现导致网络信息系统瘫痪,造成更严重的信息和网络安全事件第二十六条第五章设备管理第二十七条网络安全系统主要由交换机、路由器、传输设备、安全设备、服务器、终端等部分组成第二十八条各单位更换或新增网络设备,应符合河南能源化工集团网络安全建设标准,保证与现有系统互联互通,设备选型与原系统设备兼容,并将有关情况及时报公司信息中心备案第二十九条各单位应对网络安全系统所包含的线路及软硬件设备进行定期检查,至少应保证每月巡检一次,发现故障及时处理,并做好巡检记录第三十条各单位的交换机须划分独立的VLAN,设备、网络规划等技术参数配置,如需修改,做好记录造成严重网络安全事件,将严肃处理相关责任人第三十一条服务器及终端管理
1.定期做好重要数据、文件的异地/异机容灾备份工作,重要系统应采取双活容灾备份
2.采取必要措施加强计算机系统安全防护,定期开展漏洞扫描和风险评估
3.及时更新升级系统和应用,修复存在的中高危漏洞
4.安装主流杀毒软件并及时升级病毒库,定期进行全面病毒扫描查杀
5.在系统中禁用U盘、移动硬盘、光盘的自动运行功能,不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件
6.在电脑及服务器等终端上关闭
445、
135、
137、
138、
139、
3389、5900等端口
7.不要在网上下载安装盗版软件、非法破解软件以及激活工具
8.关闭不必要的文件共享权限
9.尽量避免直接对外网映射RDP服务及使用默认端口
10.避免使用弱口令,为每台服务器和终端设置不同口令,且采用大小写字母、数字、特殊字符混合的高复杂度组合结构,口令位数应8位以上第六章考核与奖惩第三十二条考核范围物资供应分公司所属各生产矿井及地面单位第三十三条考核流程
1.公司信息中心作为考核部门,负责汇总各单位的考核得分和工作配合完成情况得分,每月7日前向经济运行部提交上个自然月的考核结果,由经济运行部纳入生产经营绩效考核
2.网络安全问题多次重复出现,对物资供应分公司造成影响的,直接在生产经营单位业绩目标考核中扣除
0.5-1分第三十四条考核内容及评分标准物资供应分公司网络信息安全考核评分标准序号考核项目考核事项考核标准评分方法
1、成立网络安全管理领导小组,明确本单位主要负责人为第一责任人,确定一领导小组查文件,不符合要求扣10分/项名分管领导为直接责任人,各职能部门、各级人员分工明确,职责清晰--组织机构管理部门查文件,不符合要求扣10分/项
2、明确具体负责网络安全管理的部门,并至少配备一名部门副职负责该项工作运维团队
3、组建专业化运维团队,配备专业运维人员未组建扣10分,配备人员能力不满足实际要求扣10-15分查制度和台账,无制度或台帐扣10分;台账记值班值守
4、建立7X24小时值班值守制度,明确值班巡检内容,建立值班记录台账录不规范扣5分/次
5、按照“先停服断网隔离、再汇报处置恢复”的原则进行网络安全事件处置,查台账,无台账扣10分,台账填写不规范扣5处置汇报建立处置台账,记录网络安全事件发生的时间、影响范围、处置措施和恢复时分/项,瞒报扣20分/次间,并按照要求逐级汇报
6、矿厂每月要开展一次全系统范围内的网络检查,要有检查通知、检查记录、查资料,未开展检查扣10分,资料不齐全扣5检查通报检查通报和整改台账分/项
7、矿厂每月要召开一次网络安全专题会议,通报分析存在的问题,研究解决方管理措施工作例会查会议记录,未召开扣10分案,制定防范措施查资料无考核办法扣10,未按要求兑现奖惩扣5考核奖惩
8、制定网络安全考核管理办法,明确考核内容,周期内兑现奖惩分查资料未按照本单位要求开展教育培训工作教育培训
9、建立宣传教育培训机制,常态化开展网络安全培训工作扣10分/项获得集团公司技术比武前三名的分别加30分、20分和10分
10、分级分类编制网络安全应急预案,每年组织开展一次应急演练,有演练计查资料未编制预案扣10分,未开展演练扣5应急管理划、演练方案、过程记录、演练总结和整改措施分
11、网络架构、通信网络及分区分域整体规划合理,网络拓扑更新及时;区域边界防护技术设备及相关配置落实到位,工控及办公网络物理隔离,相关设备配置有效,操作、维护日志清晰
12、通过态势感知平台实现网内安全统一运营,在管理及工控网络部署安全监现场查验未按照要求部署态势感知平台扣20测探针,网络攻击行为动态监测,处置及时;网络系统运行的日志审计不少于6分,每少部署一个安全监测探针扣5分(以sip网络安全个月平台为准),未按照要求部署必备设备的,每少
13、互联网出口统一管理,无私设出口现象,利用SSLVPN、反向代理等技术措一个扣5分,其余项目不符合要求的扣5分/处施缩小暴露面
14、网络硬件设备配备齐全、安全设备技术先进功能完善完成规范有关要求中必备项目建设并将策略配置到位--技术措施
15、对数据中心、通信机房配电管理、UPS、防雷、防火、防尘、空调、防水、物理环境安环境卫生等物理环境安全配备相应的技术措施,并定期检查,记录维护口志现场查验不符合要求的扣5分/处全
16、定期检查计算资源如主机(电源、内存、网络连接等)、磁盘等物理安全情况,对发生损坏的物理设备及时更换维修,并记录管理日志
17、完成终端响应平台服务器端的全覆盖,实现云网联通、快速处置
18、在态势感知平台内建立各信息系统台账,明确系统责任人,操作系统、TP地址等信息,动态更新服务器信息、确保清晰准确,对恶意操作行为进行报警
19、系统密码及使用符合《密码法》有关要求,杜绝弱密码及明文传输有关问应用系统及现场查验终端响应平台未做到服务器端全覆数据安全题盖扣5分/台其余不符合要求的扣5分/处
20、定期进行数据备份及恢复演练,具备动态掌握数据读取、外连等数据审计能力
21、加强应用系统生命周期管理,已经停用或使用频次较低的信息系统,要彻底断电断网
22、管理员密码不少于11位包含大小写、数字符号组合,并定期更换
23、定期更新操作系统及应用系统补丁,开启系统防火墙,关闭常见病毒利用操作安全的高危端口(
22、
135、
137、
138、
139、
445、3389等)现场查验不符合要求的扣5分/处
24、加强U盘等存储介质使用、管理;拆除或封闭工业主机上不必要的USB、光驱、无线接口等安全事件
25、杜绝计划外IV级及以上网络安全事件发生计划外N级及以上网络安全事件的,考核得分归零发生失陷业务主机扣5分/台次;发生失陷办公
26、风险业务主机;杜绝业务主机失陷事件终端扣1分/台次;风险事件处置率未达到100%,安全风险
27、风险终端主机;杜绝办公终端失陷事件
28、安全风险事件风险事件处每低于1个百分点扣1分;未在24小时内处置置率100%或造成实际影响的加倍扣分四安全效果发生被国家、省、所在地市网信、网安及工信部上级通报
29、不发生被国家、省、所在地市网信、网安及工信部门通报事件门通报的事件视情况扣10-20分/次五其他工作工作任务
30、高质量完成公司、集团及政府网络安全管理部门安排的工作任务未按照要求完成视情况扣20分/项。