网络安全管理制度第一章 总 纲第一条为加强公司网络与信息系统安全管理,提高应急防范意识,采取应对防护措施,确保网络与信息系统安全稳定运行,特制定本制度。第二条网络与信息系统安全以 “积极防范、突出重点、职责到位、保障业务” 和 “谁主管、谁负责” 为原则。第三条本制度中的网络与信息系统是指公司内部的生产运营系统、网站系统、移动终端系统及业务辅助系统,包含信息系统各要素(人员、软件、服务器、网络、数据、终端等)在运行、维护、开发、建设等过程中的安全管理活动。第二章 安全保护事项第四条安全保护工作分为技术体系和管理体系,共十个部分构成网络与信息系统安全等级保护体系。1. 物理环境安全:包括周边环境安全,门禁检查,防火、防水、防潮、防雷击、防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;2. 网络安全:包括网络的拓扑结构,网络的布线和防护,网络设备的管理和报警,网络攻击的监察和处理;3. 主机安全:包括主机的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、监控和终端接入控制等;4. 应用安全:包括应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性和保密性、抗抵赖、软件容错和资源控制等;5. 数据安全:包括数据传输的完整性和保密性、数据存储的完整性和保密性、数据的备份和恢复等;6. 安全管理制度:是网络与信息系统安全策略、方针性文件,规定信息安全工作的总体目标、范围、原则和安全框架;7. 构建和完善信息安全组织架构:明确不同安全组织和不同安全角色的定位、职责以及相互关系,强化信息安全的专业化管理;8. 人员安全管理:包括人员录用、人员管理、人员考核、保密协议、培训、离岗离职等方面;9. 系统建设管理:根据信息密级、系统重要性和安全策略确定不同的信息安全保护等级,决定系统方案的设计、实施、安全措施、运行维护等系统建设各环节;10.运维管理:需保障信息系统运行稳定,对重要数据资源进行监控保护,确保密码防护、病毒防护、系统变更等事件按照安全管理策略执行。第五条对落实网络与信息系统安全管理不到位,擅自修改、删除系统功能及网络数据造成数据资产损失的进行严肃追责问责,取消当事人绩效奖励、评先树优、职称晋升等资格,造成经济损失的按网络安全法规定进行处罚,情节严重的依法追究刑事责任。第三章 信息化建设管理第六条遵循 “统一规划,统一建设,资源共享” 原则,公司负责信息化...
