規(guī)章制度編號:(信息/2)401-2020

公司網(wǎng)絡與信息系統(tǒng)

安全管理辦法

第一章 總則

第一條 為加強和規(guī)范公司(以下簡稱“公司”)網(wǎng)絡與信息系統(tǒng)安全工作,切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力,實現(xiàn)網(wǎng)絡與信息系統(tǒng)安全的可控、能控、在控,依據(jù)國家有關法律、法規(guī)、規(guī)定及公司有關制度,制定本辦法。

第二條 本辦法所稱網(wǎng)絡與信息系統(tǒng)是指公司xx通信網(wǎng)及其承載的管理信息系統(tǒng)和xx二次系統(tǒng)。

第三條 本辦法適用于公司總(分)部及所屬各級單位的網(wǎng)絡與信息系統(tǒng)安全管理工作。

第四條 網(wǎng)絡與信息系統(tǒng)安全防護目標是保障xx生產(chǎn)監(jiān)控系統(tǒng)及xxxx數(shù)據(jù)網(wǎng)絡的安全,保障管理信息系統(tǒng)及通信、網(wǎng)絡的安全,落實信息系統(tǒng)生命周期全過程安全管理,實現(xiàn)信息安全可控、能控、在控。防范對xx二次系統(tǒng)、管理信息系統(tǒng)的惡意攻擊及侵害,抵御內外部有組織的攻擊,防止由于xx二次系統(tǒng)、管理信息系統(tǒng)的崩潰或癱瘓造成的xx系統(tǒng)事故。

第五條 公司網(wǎng)絡與信息系統(tǒng)安全工作堅持“三納入一融合”原則,將等級保護納入網(wǎng)絡與信息系統(tǒng)安全工作中,將網(wǎng)絡與信息系統(tǒng)安全納入信息化日常工作中,將網(wǎng)絡與信息系統(tǒng)安全納入公司安全生產(chǎn)管理體系中,將網(wǎng)絡與信息系統(tǒng)安全融入公司安全生產(chǎn)中。在規(guī)劃和建設網(wǎng)絡與信息系統(tǒng)時,信息通信安全防護措施應按照“三同步”原則,與網(wǎng)絡與信息系統(tǒng)建設同步規(guī)劃、同步建設、同步投入運行。

第六條 管理信息系統(tǒng)安全防護堅持“雙網(wǎng)雙機、分區(qū)分域、安全接入、動態(tài)感知、全面防護、準入備案”的總體安全策略,執(zhí)行信息安全等級保護制度。其中“雙網(wǎng)雙機”指信息內外網(wǎng)間采用邏輯強隔離設備進行隔離,并分別采用獨立的服務器及桌面主機;“分區(qū)分域”指依據(jù)等級保護定級情況及業(yè)務系統(tǒng)類型,進行安全域劃分,以實現(xiàn)不同安全域的獨立化、差異化防護;“安全接入”指通過采用終端加固、安全通道、認證等措施保障終端接入公司信息內外網(wǎng)安全;“動態(tài)感知”指對公司網(wǎng)絡、信息系統(tǒng)、終端及設備等安全狀態(tài)進行全面動態(tài)監(jiān)測,實現(xiàn)事前預警、事中監(jiān)測和事后審計;“全面防護”指對物理、網(wǎng)絡邊界、主機、應用和數(shù)據(jù)等進行深度防護,加強安全基礎設施建設,覆蓋防護各層次、各環(huán)節(jié)、各對象;“準入備案”指對所有接入公司網(wǎng)絡的各類網(wǎng)絡、應用、系統(tǒng)、終端、設備進行準入及備案管理。

第七條 xx二次系統(tǒng)安全防護按照“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的防護原則,并遵照原國家xx監(jiān)管委員會《xx二次系統(tǒng)安全防護規(guī)定》及《xx二次系統(tǒng)安全防護總體方案》等相關文件執(zhí)行。

第二章 職責分工

第八條 公司信息安全工作實行統(tǒng)一領導、分級管理,遵循“誰主管誰負責;誰運行誰負責;誰使用誰負責;管業(yè)務必須管安全”的原則,嚴格落實網(wǎng)絡與信息系統(tǒng)安全責任。各級單位主要負責人是本單位網(wǎng)絡與信息系統(tǒng)安全第一責任人。各級單位信息化領導小組負責本單位網(wǎng)絡信息安全(含生產(chǎn)控制大區(qū)和管理信息大區(qū))的總體協(xié)調領導。

第九條 網(wǎng)絡與信息系統(tǒng)實行專業(yè)管理、歸口監(jiān)督。信通部是信息安全防護的歸口部門,負責管理信息系統(tǒng)及xx通信網(wǎng)的安全防護。xx中心負責xx數(shù)據(jù)網(wǎng)絡和xx二次系統(tǒng)的安全防護。安質部負責公司信息安全監(jiān)督、檢查和評價工作。辦公廳(保密辦)負責公司保密管理,負責信息失泄密情況的調查和處理。各業(yè)務部門負責本專業(yè)系統(tǒng)及終端的安全監(jiān)控和防護。各級單位負責落實本單位網(wǎng)絡與信息系統(tǒng)安全工作。

第十條 信通部主要職責如下:

(一)落實國家有關網(wǎng)絡與信息系統(tǒng)安全法規(guī)、方針、政策、標準和規(guī)范,聯(lián)系國家有關部門落實相關安全工作。組織制定公司網(wǎng)絡與信息系統(tǒng)安全管理標準規(guī)范和規(guī)章制度。

(二)負責公司網(wǎng)絡與信息系統(tǒng)安全體系規(guī)劃設計、架構管控、總體安全防護方案制訂、核心安全防護措施部署和策略優(yōu)化配置并組織實施。

(三)指導總部各部門、公司各級單位開展網(wǎng)絡與信息系統(tǒng)全生命周期安全管控工作,組織落實等級保護測評整改、風險評估和隱患排查治理等工作。

(四)負責信息安全技術督查體系建設,組織開展公司信息安全技術督查工作。

(五)協(xié)助開展網(wǎng)絡與信息系統(tǒng)事件的調查處理,組織制定、落實網(wǎng)絡與信息系統(tǒng)反事故措施。

(六)負責信息安全態(tài)勢跟蹤、事件監(jiān)測與分析、信息安全通報。

(七)負責網(wǎng)絡與信息系統(tǒng)應急管理體系建設與應急處置。

第十一條 xx中心主要職責如下:

(一)負責公司生產(chǎn)控制大區(qū)(含各級xx、xx、xx、xx、負荷控制等)工控系統(tǒng)安全防護管理,統(tǒng)籌公司經(jīng)營范圍內并網(wǎng)xx涉網(wǎng)部分的監(jiān)控系統(tǒng)和xx保護等工控系統(tǒng)安全防護的技術監(jiān)督管理。

(二)負責落實國家xx二次系統(tǒng)安全防護要求,組織制定公司xx二次系統(tǒng)安全管理制度,指導各級單位開展xx二次系統(tǒng)安全防護的實施方案制定和運行管理。

(三)配合完成國家有關部門對公司xx二次系統(tǒng)開展的風險評估和隱患排查、信息安全檢查,落實等級保護制度等工作。

(四)負責xx二次系統(tǒng)安全防護技術督查體系建設以及組織開展xx二次系統(tǒng)的安全技術督查工作。

(五)負責xx二次系統(tǒng)應急管理體系建設與應急處置。

第十二條 安質部主要職責如下:

(一)負責公司網(wǎng)絡與信息系統(tǒng)安全檢查和評價。

(二)負責公司信息安全事件的調查、分析、處理和事件通報。

第十三條 業(yè)務部門主要職責如下:

(一)牽頭開展本專業(yè)信息系統(tǒng)信息安全防護工作,依據(jù)公司總體安全策略組織制定相關系統(tǒng)信息安全防護方案,經(jīng)公司信息安全專家審查委員會審批后執(zhí)行。

(二)落實業(yè)務系統(tǒng)信息安全等級保護工作,配合開展業(yè)務系統(tǒng)安全測評、風險評估和隱患排查治理等工作。

(三)運檢部負責xx終端具體安全防護及運行維護管理,負責相關安全防護的技改項目管理。

(四)營銷部負責營銷業(yè)務涉及控制類系統(tǒng)及終端(如負荷控制系統(tǒng)、負控終端及用xx信息采集控制終端等)的具體安全防護及運行維護管理。

(五)農(nóng)xx部負責代管縣供xx企業(yè)的農(nóng)村xx網(wǎng)涉及控制類系統(tǒng)及終端安全防護管理。

(六)在本專業(yè)人員培訓過程中貫徹公司信息安全相關要求。

第十四條 各級單位主要職責如下:

(一)負責貫徹落實國家有關網(wǎng)絡與信息系統(tǒng)安全法規(guī)、方針、政策、標準和規(guī)范,貫徹落實公司網(wǎng)絡與信息系統(tǒng)安全相關標準規(guī)范和規(guī)章制度。

(二)落實本單位范圍內網(wǎng)絡與信息系統(tǒng)安全工作責任體系。

(三)落實本單位網(wǎng)絡與信息系統(tǒng)全生命周期安全管控、等級保護測評整改、安全準入、風險評估、隱患排查治理和信息安全技術督查等工作。

(四)按照公司網(wǎng)絡與信息系統(tǒng)應急管理要求建立本單位應急體系,組織本單位突發(fā)事件的應急處理。

(五)負責明確本單位網(wǎng)絡與信息系統(tǒng)安全運行維護部門或機構,落實網(wǎng)絡與信息系統(tǒng)安全運行維護日常工作。明確落實本單位信息安全技術督查體系。

(六)組織本單位信息安全宣傳和培訓工作。

第十五條 各業(yè)務支撐和實施機構信息安全職責如下:

(一)各級調控機構:分別負責本級xx控制系統(tǒng)和xx數(shù)據(jù)網(wǎng)絡的安全防護和運行維護管理,負責直調xx涉網(wǎng)部分的監(jiān)控系統(tǒng)和xx保護等工控系統(tǒng)安全防護技術監(jiān)督。

(二)運行分公司、各省檢修(分)公司、各地(市)檢修工公司和縣運檢部[檢修(建設)工區(qū)]:分別負責運維范圍內xx、開關站、換流站的系統(tǒng)、設備和終端的安全運維和應急處置工作。

(三)新源控股公司:負責運維范圍內xx的系統(tǒng)、設備和終端的安全運維和應急處置工作。

(四)中國xx科院:負責公司信息通信安全研究,提供信息安全專業(yè)技術支撐;負責公司信息通信系統(tǒng)和設備的安全測試工作;負責信息通信系統(tǒng)和設備的缺陷分析、安全設計的符合性審查以及狀態(tài)評價;負責執(zhí)行信息通信安全技術督查及專項檢查。

(五)省xx科院:負責信息通信安全研究,為各?。ㄗ灾螀^(qū)、直轄市)xx公司提供信息安全專業(yè)技術支撐;負責省公司信息通信系統(tǒng)和設備的缺陷分析、安全設計的符合性審查以及狀態(tài)評價;負責本單位信息安全技術督查。

(六)信通公司:負責公司總部信息通信系統(tǒng)、一級部署信息系統(tǒng)、直屬單位集中部署信息系統(tǒng)和一級骨干信息通信網(wǎng)的安全運維和應急處置工作。

(七)省信通(分)公司:負責調管范圍內信息通信系統(tǒng)xx監(jiān)控和應急處置;負責資產(chǎn)管理范圍內信息通信系統(tǒng)、設備和終端的安全運維和應急處置工作。

(八)地(市)信通分公司:受職能管理部門委托開展本單位信息安全保障工作。

第三章 管理要求

第十六條 按照公司制度標準體系建設工作要求和統(tǒng)一部署,由總部統(tǒng)一制定、發(fā)布與組織實施信息通信安全管理制度,實現(xiàn)全職責、全業(yè)務、全流程覆蓋,確??v向層級支撐,橫向銜接聯(lián)動。

第十七條 按照公司“三集五大”體系設計確定的崗位,公司統(tǒng)一確定信息系統(tǒng)建設、運行、使用等相關崗位的信息安全職責,各級單位遵照執(zhí)行并加強管理。各級單位信息通信職能管理部門、xxxx管理部門應設置專門的信息安全管理崗位,配備安全管理人員,明確安全工作職責。

第十八條 加強員工信息安全管理,嚴格人員錄用過程,與關鍵崗位員工簽訂保密協(xié)議,明確信息安全保密的內容和職責;切實加強員工信息安全培訓工作,提高全員安全意識;及時終止離崗員工的所有訪問權限。

對承擔公司核心信息系統(tǒng)規(guī)劃、研發(fā)、運維管理等關鍵崗位人員開展安全培訓和考核,對系統(tǒng)運維關鍵崗位建立持證上崗制度,明確持證上崗要求。對關鍵崗位人員進行安全技能考核。將信息安全技能考核內容納入公司安規(guī)考試。

加強對臨時來訪人員和常駐外包服務人員的信息安全管理。加強外來人員的出入登記和接待管理,嚴格控制外來人員活動區(qū)域。外來人員進入機房等重要區(qū)域,應辦理審批登記手續(xù)并由相關管理人員全程陪同,相關操作必須有審計及監(jiān)控。

第十九條 網(wǎng)絡與信息系統(tǒng)安全管理工作機制如下:

(一)遵循“統(tǒng)一指揮、密切配合、職責明確、流程規(guī)范、響應及時”的協(xié)同原則,做好公司信息安全內、外部協(xié)同機制的落實工作。

(二)健全信息安全技術督查工作,加強對信息安全技術督查的一體化管控,強化督查責任落實,深化年度、專項、日常督查工作。進一步提升督查隊伍裝備水平,優(yōu)化督查工作流程,強化督查隊伍評價考核。

(三)落實常態(tài)信息安全風險評估工作,與公司春秋季檢和迎峰度夏工作相結合,切實將風險評估工作常態(tài)化,及時落實整改,消除安全隱患。

(四)切實加強網(wǎng)絡與信息系統(tǒng)應急管理體系建設。按照綜合協(xié)調、統(tǒng)一領導、分級負責的原則,在公司總部、各分部、?。ㄗ灾螀^(qū)、直轄市)xx公司、直屬單位建立應急組織和指揮體系;堅持“安全第一、預防為主”的方針,加強應急響應隊伍建設,優(yōu)化完善應急預案,落實常態(tài)應急演練工作,做好應急保障工作;加強安全風險監(jiān)測與預警,建立“上下聯(lián)動、區(qū)域協(xié)作”的快速響應工作,強化應急處置。

(五)嚴格執(zhí)行信息安全事故通報制度(通報規(guī)范見附件1),做好節(jié)假日和特殊時期的安全運行情況報送工作。

(六)落實健全網(wǎng)絡與信息系統(tǒng)安全準入工作,加強對接入公司網(wǎng)絡的各類系統(tǒng)、終端、設備的準入及備案管理,強化備案信息與上下線相關運行安全工作的準入聯(lián)動工作。

(七)嚴格按照公司安全事故調查規(guī)程,開展事故原因分析,做好事故調查工作,堅持“四不放過”原則,有效落實整改。

(八)貫徹落實信息安全等級保護制度,持續(xù)強化信息安全等級保護工作管理,做好系統(tǒng)等級保護定級、備案、建設、測評與整改工作。

(九)深入開展信息安全動態(tài)治理工作,推動各級單位信息安全工作的落實與持續(xù)改進,提升信息安全流程化、標準化和規(guī)范化水平。強化隱患排查治理工作,強化從隱患發(fā)現(xiàn)到隱患治理的閉環(huán)管理工作,消除信息安全薄弱環(huán)節(jié)。

(十)開展信息技術供應鏈安全管理工作,開展信息技術軟硬件設備和服務供應商安全管理、軟硬件設備選型和安全測試工作,逐步實現(xiàn)核心運行系統(tǒng)的國產(chǎn)化。加強外部合作單位和供應商管理,嚴格外部單位資質審核。嚴禁合作單位和供應商在對互聯(lián)網(wǎng)提供服務的網(wǎng)絡和信息系統(tǒng)中存儲和運行公司相關業(yè)務系統(tǒng)數(shù)據(jù)和敏感信息。關鍵軟硬件設備采購應開展產(chǎn)品預先選型和安全檢測。對涉及的信息安全軟硬件產(chǎn)品和密碼產(chǎn)品要堅持國產(chǎn)化原則,信息安全核心防護產(chǎn)品以自主研發(fā)為主。管理信息系統(tǒng)軟硬件產(chǎn)品逐步采用全國產(chǎn)化產(chǎn)品。及時開展各種軟硬件漏洞檢測及修復。

(十一)建立信息安全綜合評價體系,加強信息安全監(jiān)督及考核評價,將網(wǎng)絡與信息系統(tǒng)安全落實情況納入各級單位信息化水平評價。

(十二)加強密碼技術的開發(fā)利用以及密碼安全保障,落實密鑰的統(tǒng)一選型及應用工作,充分發(fā)揮密碼技術在信息安全工作中的基礎作用。

第二十條 加強xx通信網(wǎng)的安全管理,規(guī)范xx通信網(wǎng)絡安全防護體系,健全針對各類網(wǎng)絡在線監(jiān)測和安全預警能力,做好對光纜、網(wǎng)絡交換設備、物理區(qū)域與人員的安全訪問管理,禁止通信網(wǎng)管系統(tǒng)未經(jīng)網(wǎng)絡隔離裝置與信息內網(wǎng)互聯(lián),禁止通信網(wǎng)管系統(tǒng)與外部維護廠商間進行網(wǎng)絡連接。xx通信設備、線路等應采用冗余保障、網(wǎng)絡優(yōu)化、設備網(wǎng)管防護等措施提高可用性。

第二十一條 加強信息內外網(wǎng)網(wǎng)站管理。各級單位對外網(wǎng)站應與公司外網(wǎng)企業(yè)門戶網(wǎng)站進行整合,內網(wǎng)宣傳網(wǎng)站要與公司內網(wǎng)企業(yè)門戶進行整合,實現(xiàn)網(wǎng)站統(tǒng)一管理與備案。網(wǎng)站信息發(fā)布須嚴格按照公司審核發(fā)布流程。各級單位網(wǎng)站統(tǒng)一使用公司域名,并規(guī)范網(wǎng)站功能設置及網(wǎng)站風格設計。加強內外網(wǎng)郵件統(tǒng)一管理,禁止各級單位建立獨立內外網(wǎng)郵件系統(tǒng),如確實需要建立,需提前報公司批準。

第二十二條 加強信息安全備案準入工作。各級單位要鞏固信息安全備案準入成果,加強對采集類業(yè)務終端的安全備案,嚴格各類信息資產(chǎn)安全備案作為入網(wǎng)的必要條件。加強安全備案數(shù)據(jù)質量的治理工作,確保填報信息完整、準確及更新及時,對于未備案的業(yè)務系統(tǒng)、網(wǎng)絡專線,一經(jīng)發(fā)現(xiàn)立即關停,按照公司有關要求進行追責及處置。

第二十三條 微博微信等新業(yè)務安全管理要求如下:

(一)強化對企業(yè)官方微博微信、Wi-Fi網(wǎng)絡、其他新業(yè)務的安全備案準入與管理,加強微博微信開設、使用的安全管理,加強信息外網(wǎng)無線Wi-Fi網(wǎng)絡的審批、備案與使用管理。

(二)各級單位要加強官方微博微信的開設與管理,加強對本單位官方微博微信所發(fā)布的內容審查與核實。微博微信的發(fā)布終端要按照公司辦公計算機防護要求部署安全措施。公司兩級技術督查隊伍在日常的安全督查中要加強對微博微信發(fā)布終端的檢查深度和頻度。

(三)各級單位信息外網(wǎng)使用Wi-Fi要嚴格落實審核批準與備案工作,要加強Wi-Fi組網(wǎng)的網(wǎng)絡準入、安全審計、用戶身份認證方面的安全防護技術手段。

(四)各級單位要控制內網(wǎng)第三方專線接入公司信息網(wǎng)絡的專線數(shù)量,對于確需第三方接入的新業(yè)務,要選擇安全的接入方式并強化落實邊界安全防護措施。

第二十四條 接入安全管理要求如下:

(一)加強互聯(lián)網(wǎng)接入以及互聯(lián)網(wǎng)出口歸集統(tǒng)一管理,充分利用公司xx通信鏈路,以省級單位和三地災備中心為主體對下屬單位互聯(lián)網(wǎng)出口進行嚴格管控、合并、統(tǒng)一設置和集中監(jiān)控。

(二)加強非集中辦公區(qū)域內網(wǎng)接入安全管理,嚴格履行審批程序,按照公司集中辦公區(qū)域相關要求落實信息安全管理與技術措施。非集中辦公區(qū)域應采用xx通信網(wǎng)絡通道接入公司內部網(wǎng)絡,如確實需要租用第三方專線,應在公司進行備案,并嚴格按照總體防護要求采取相應防護措施。

第二十五條 規(guī)劃計劃安全管理要求如下:

(一)網(wǎng)絡與信息系統(tǒng)在可研設計階段應全面分析其可能面臨的主要信息安全風險以及對現(xiàn)有網(wǎng)絡與系統(tǒng)、流程的影響,并進行安全需求分析。

(二)可研階段信息系統(tǒng)應組織進行信息安全防護設計,做好安全架構規(guī)劃,形成專項信息安全防護方案并進行評審。專項信息安全防護方案通過評審后方可進行后續(xù)開發(fā)工作。涉及認證、密鑰以及數(shù)據(jù)保護等方面需考慮與公司統(tǒng)一密鑰系統(tǒng)集成接口設計。

(三)網(wǎng)絡與信息系統(tǒng)應提前組織開展等級保護定級工作,同時重要系統(tǒng)應提前在公司信息安全歸口管理部門進行備案。

第二十六條 建設安全管理要求如下:

(一)嚴格遵循信息系統(tǒng)開發(fā)管理要求,加強對項目開發(fā)環(huán)境及測試環(huán)境的安全管理,確保與實際運行環(huán)境及辦公環(huán)境安全隔離,確保開發(fā)全過程信息安全管控。

(二)加強信息系統(tǒng)開發(fā)過程中代碼編寫的規(guī)范性,應采用公司統(tǒng)一開發(fā)平臺進行開發(fā),并嚴格按照公司統(tǒng)一安全編程規(guī)范進行代碼編寫,定期進行代碼審核,并組織代碼安全自測。

(三)加強代碼安全管理,確保開發(fā)過程中代碼安全保密。落實源代碼補丁漏洞工作,及時對代碼漏洞進行反饋及整改。

(四)規(guī)范外部軟件及插件的使用,應使用主流的、成熟的外部軟件及插件,避免采用非商用且無安全保證的外部軟件及插件。集成外部軟件及插件包括開源組件時,應重視接口交互的安全,充分考慮異常的處理。

(五)加強xx通信網(wǎng)建設的安全管理,通過識別、評估和分析等手段降低安全風險,保證通信網(wǎng)絡建設過程中安全可控,確保人身、設備及現(xiàn)有網(wǎng)絡的安全。

第二十七條 運維安全管理要求如下:

(一)網(wǎng)絡與信息系統(tǒng)上線前、重要升級前、與生產(chǎn)系統(tǒng)聯(lián)合調試前對安全防護設計遵從度、應用軟件安全功能、代碼安全、運行環(huán)境安全等進行全面測試以及整改加固,通過測試后方可正式上線試運行。

(二)建立網(wǎng)絡與信息系統(tǒng)資產(chǎn)安全管理制度,加強資產(chǎn)的新增、驗收、盤點、維護、報廢等各環(huán)節(jié)管理。編制資產(chǎn)清單,根據(jù)資產(chǎn)重要程度對資產(chǎn)進行標識。加強對資產(chǎn)、風險分析及漏洞關聯(lián)管理。

(三)加強機房出入管理,對機房建筑采取門禁、專人值守等措施,防止非法進入,出入機房需進行登記。

(四)加強信息通信設備安全管理,建立健全設備安全管理制度。加強設備基線策略管理以及優(yōu)化部署,制定安全基線策略配置管理要求和技術標準,規(guī)范上線、運行軟硬件設備信息安全策略以及安全配置。

(五)建立通信設備軟件升級預評估制度,對其必要性和緊急性進行評估論證,并采取相應防范措施后,再進行相關升級工作。

(六)規(guī)范賬號權限管理,系統(tǒng)上線穩(wěn)定運行后,應回收建設開發(fā)單位所掌握的賬號。各類超級用戶賬號禁止多人共用,禁止由非主業(yè)不可控人員掌握。臨時賬號應設定使用時限,員工離職、離崗時,信息系統(tǒng)的訪問權限應同步收回。應定期(半年)對信息系統(tǒng)用戶權限進行審核、清理,刪除廢舊賬號、無用賬號,及時調整可能導致安全問題的權限分配數(shù)據(jù)。

(七)規(guī)范賬號口令管理,口令必須具有一定強度、長度和復雜度,長度不得小于 8 位字符串,要求是字母和數(shù)字或特殊字符的混合,用戶名和口令禁止相同。定期更換口令,更換周期不超過6個月,重要系統(tǒng)口令更換周期不超過3個月,最近使用的4個口令不可重復。

(八)強化公司統(tǒng)一漏洞及補丁工作,加強對公司各級單位漏洞的采集、分析、發(fā)布、描述的集中統(tǒng)一管理,實現(xiàn)全網(wǎng)漏洞掃描策略的統(tǒng)一制定、掃描任務的統(tǒng)一執(zhí)行,實現(xiàn)對各級單位漏洞情況以及內外網(wǎng)補丁下載、安裝情況的監(jiān)管。加強各種典型漏洞、補丁的測試驗證及整改工作。

(九)加強惡意代碼及病毒防范管理,加強對特種木馬的監(jiān)測,確??蛻舳朔啦《拒浖姘惭b,嚴格要求內網(wǎng)病毒庫的升級頻率,加強病毒監(jiān)測、預警、分析及通報力度。對使用的移動設備必須進行病毒木馬查殺。

(十)加強遠程運維管理,不得通過互聯(lián)網(wǎng)或信息外網(wǎng)遠程運維方式進行設備和系統(tǒng)的維護及技術支持工作。內網(wǎng)遠程運維要履行審批程序,并對各項操作進行監(jiān)控、記錄和審計。有國外單位參與的運維操作需安排在測試仿真環(huán)境,禁止在生產(chǎn)環(huán)境進行。

(十一)規(guī)范變更計劃、變更操作審批流程、變更測試、變更恢復預案等工作。嚴格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報和審批程序,嚴格執(zhí)行工作票和操作票制度。加強網(wǎng)絡與信息系統(tǒng)檢修過程安全管理,預防網(wǎng)絡與信息系統(tǒng)損壞和事故發(fā)生。

(十二)加強安全審計工作,實現(xiàn)對主機、數(shù)據(jù)庫、業(yè)務應用等多個層次集中、全面、細粒度安全審計,提高審計記錄的統(tǒng)計匯總、綜合分析能力,做到事前、事中、事后的問題追溯。

(十三)明確備份及恢復策略,嚴格控制數(shù)據(jù)備份和恢復過程。重要系統(tǒng)和數(shù)據(jù)備份需納入公司統(tǒng)一的災備系統(tǒng)。

(十四)涉及敏感信息的系統(tǒng)數(shù)據(jù)庫應部署于信息內網(wǎng),同時加強對重要地理信息、客戶信息等的安全存儲和安全傳輸?shù)却胧┑穆鋵崱?/p>

(十五) xx通信網(wǎng)的光纜使用年限一般不應超過設計要求,超過設計年限要求的光纜應加強監(jiān)測。

第四章 技術措施

第二十八條 物理安全技術工作要求如下:

(一)嚴格執(zhí)行信息通信機房管理有關規(guī)范,確保機房運行環(huán)境符合要求。室內機房物理環(huán)境安全需滿足對應信息系統(tǒng)等級的等級保護物理安全要求,室外設備物理安全需滿足國家對于防盜、xx氣、環(huán)境、噪音、xx磁、機械結構、銘牌、防腐蝕、防火、防雷、xx源等要求,四級及以上系統(tǒng)應對關鍵區(qū)域實施xx磁屏蔽措施。

(二)加強辦公區(qū)域安全管理,員工離開辦公區(qū)域要及時鎖定桌面終端計算機屏幕,防止外來人員接觸辦公區(qū)域xx子信息。

(三)重要通信設備應滿足硬件冗余需求,如主控板卡、時鐘板卡、xx源板卡、交叉板卡、支路板卡等,至少滿足1+1冗余需求,一些重要板卡需滿足1+N冗余需求。

(四)通信xx源應滿足xx系統(tǒng)重要業(yè)務“雙xx源”冗余要求。xx系統(tǒng)重要業(yè)務應配置兩套獨立的通信設備,具備兩條獨立的路由,并分別由兩套獨立的xx源供xx, 兩套通信設備和兩套xx源在物理上應完全隔離。

第二十九條 網(wǎng)絡安全技術工作要求如下:

(一)xx通信網(wǎng)的數(shù)據(jù)網(wǎng)劃分為xxxx數(shù)據(jù)網(wǎng)、綜合數(shù)據(jù)通信網(wǎng),分別承載不同類型的業(yè)務系統(tǒng),xxxx數(shù)據(jù)網(wǎng)與綜合數(shù)據(jù)網(wǎng)之間應在物理層面上實現(xiàn)安全隔離。

(二)加強信息內外網(wǎng)架構管控,做好分區(qū)分域安全防護,進一步提升用戶服務體驗。公司管理信息大區(qū)劃分為信息外網(wǎng)和信息內網(wǎng),信息內外網(wǎng)采用邏輯強隔離設備進行安全隔離。信息內外網(wǎng)內部根據(jù)業(yè)務分類劃分不同業(yè)務區(qū)。各業(yè)務區(qū)按照信息系統(tǒng)防護等級以及業(yè)務系統(tǒng)類型進一步劃分安全域,加強區(qū)域間用戶訪問控制,按最小化原則設置用戶訪問暴露面,防止非授權的跨域訪問,實現(xiàn)業(yè)務分區(qū)分域管理。

(三)按照公司總體安全防護要求,結合xx通信網(wǎng)各類網(wǎng)絡邊界特點,嚴格按照公司要求落實訪問控制、流量控制、入侵檢測/防護、內容審計與過濾、防隱性邊界、惡意代碼過濾等安全技術措施,防范跨域跨邊界非法訪問及攻擊,防范惡意代碼傳播。不得從任何公共網(wǎng)絡直接接入公司內部網(wǎng)絡,禁止內、外網(wǎng)接入通道混用。

(四)加強互聯(lián)網(wǎng)邊界及對外業(yè)務系統(tǒng)安全防護,進一步提升針對互聯(lián)網(wǎng)出口DDoS等典型網(wǎng)絡攻擊以及特種病毒木馬的防范能力,提高信息外網(wǎng)可靠性及安全性。

(五)深化信息內外網(wǎng)邊界安全防護,加強內外網(wǎng)數(shù)據(jù)交互安全過濾,保障關鍵應用快速穿透和信息安全交互,滿足客戶服務及時響應需求。

(六)加強對信息內外網(wǎng)專線的安全防護,對于與銀行等外部單位互聯(lián)的專線要部署邏輯強隔離措施,設置訪問控制策略,進行內容監(jiān)測與審計,只容許指定的、可信的網(wǎng)絡及用戶才能進行數(shù)據(jù)交換。

(七)加強信息內網(wǎng)遠程接入邊界安全防護。對于采用無線專網(wǎng)接入公司內部網(wǎng)絡的采集等業(yè)務應用,應在網(wǎng)絡邊界部署公司統(tǒng)一安全接入防護措施,建立專用加密傳輸通道,并結合公司統(tǒng)一數(shù)字證書體系進行防護。

(八)信息內網(wǎng)禁止使用無線網(wǎng)絡組網(wǎng)。

(九)信息外網(wǎng)用無線組網(wǎng)的單位,應強化無線網(wǎng)絡安全防護措施,無線網(wǎng)絡要啟用網(wǎng)絡接入控制和身份認證,進行IP/MAC地址綁定,應用高強度加密算法,防止無線網(wǎng)絡被外部攻擊者非法進入,確保無線網(wǎng)絡安全。

第三十條 終端安全技術工作要求如下:

(一)辦公計算機嚴格執(zhí)行“涉密不上網(wǎng)、上網(wǎng)不涉密”紀律,嚴禁將涉及國家秘密的計算機、存儲設備與信息內外網(wǎng)和其他公共信息網(wǎng)絡連接,嚴禁在信息內網(wǎng)計算機存儲、處理國家秘密信息,嚴禁在連接互聯(lián)網(wǎng)的計算機上處理、存儲涉及國家秘密和企業(yè)秘密信息;嚴禁信息內網(wǎng)和信息外網(wǎng)計算機交叉使用;嚴禁普通移動存儲介質和掃描儀、打印機等計算機外設在信息內網(wǎng)和信息外網(wǎng)上交叉使用。涉密計算機按照公司辦公計算機保密管理規(guī)定進行管理。

(二)信息內外網(wǎng)辦公計算機應分別部署于信息內外網(wǎng)桌面終端安全域,桌面終端安全域應采取IP/MAC綁定、安全準入管理、訪問控制、入侵檢測、病毒防護、惡意代碼過濾、補丁管理、事件審計、桌面資產(chǎn)管理等措施進行安全防護。

(三)信息內外網(wǎng)辦公計算機終端須安裝桌面終端管理系統(tǒng)、保密檢測系統(tǒng)、防病毒等客戶端軟件,嚴格按照公司要求設置基線策略,并及時進行病毒庫升級以及補丁更新。嚴禁未通過本單位信息通信管理部門審核以及中國xx科院的信息安全測評認定工作,相關部門和個人在信息內外網(wǎng)擅自安裝具有拒絕服務、網(wǎng)絡掃描、遠程控制和信息搜集等功能的軟件(惡意軟件),防范引發(fā)的安全風險;如確需安裝,應履行相關程序。

(四)對于不具備信息內網(wǎng)專線接入條件,通過公司統(tǒng)一安全防護措施接入信息內網(wǎng)的信息采集類、移動作業(yè)類終端,需嚴格執(zhí)行公司辦公終端“嚴禁內外網(wǎng)機混用”的原則。同時接入信息內網(wǎng)終端在遵循公司現(xiàn)有終端安全防護要求的基礎上,要安裝終端安全專控軟件進行安全加固,并通過安全加密卡進行認證,確保其不能連接信息外網(wǎng)和互聯(lián)網(wǎng)。

第三十一條 主機安全技術工作要求如下:

(一)對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進行身份標識和鑒別,具有登錄失敗處理,限制非法登錄次數(shù),設置連接超時功能。

(二)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶應進行訪問權限分離,對訪問權限一致的用戶進行分組,訪問控制粒度應達到主體為用戶級,客體為文件、數(shù)據(jù)庫表級。禁止匿名用戶訪問。

(三)加強補丁的兼容性和安全性測試,確保操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎平臺軟件補丁升級安全。

(四)加強主機服務器病毒防護,安裝防病毒軟件,及時更新病毒庫。

第三十二條 應用安全技術工作要求如下:

(一)強化用戶登陸身份認證功能,采用用戶名及口令進行認證時,應當對口令長度、復雜度、生存周期進行強制要求,系統(tǒng)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能,禁止口令在系統(tǒng)中以明文形式存儲;系統(tǒng)應當提供制定用戶登錄錯誤鎖定、會話超時退出等安全策略的功能。

(二)規(guī)范應用系統(tǒng)權限的設計與使用,實現(xiàn)用戶、組織、角色、權限信息統(tǒng)一集中管理,權限分配應按照最小權限原則,審核角色、系統(tǒng)管理角色、業(yè)務操作角色、賬號創(chuàng)建角色與權限分配角色等應按照互斥原則設置權限。

(三)根據(jù)信息系統(tǒng)安全級別強化應用自身安全設計,應包括身份認證,授權,輸入輸出驗證,配置管理,會話管理,加密技術,參數(shù)操作,異常管理,日志及審計等方面內容。

(四)控制單個用戶的多重并發(fā)會話和最大并發(fā)連接數(shù),限制單個用戶對系統(tǒng)資源、磁盤空間的最大或最小使用限度,當系統(tǒng)服務水平降低到預先規(guī)定的最小值時,應能檢測并報警。

(五)加強郵件敏感內容檢查、郵件病毒查殺、外網(wǎng)郵件行為監(jiān)測,社會郵箱收發(fā)件統(tǒng)計等安全措施,防范郵件系統(tǒng)攻擊及郵件泄密。

(六)具有控制功能的系統(tǒng)或模塊,控制類信息必須通過生產(chǎn)控制大區(qū)網(wǎng)絡或專線傳輸,嚴格遵守xx二次系統(tǒng)安全防護方案,實現(xiàn)系統(tǒng)主站與終端間基于國家認可密碼算法的加密通信,基于數(shù)字證書體系的身份認證,對主站的控制命令和參數(shù)設置指令須采取強身份認證及數(shù)據(jù)完整性驗證等安全防護措施。

(七)對與互聯(lián)網(wǎng)有廣泛交互的應用系統(tǒng)或模塊,以及部署在信息外網(wǎng)的系統(tǒng)與網(wǎng)站,要加強權限管理,做好主機、應用的安全加固,加強賬號、密碼、重要數(shù)據(jù)等加密存儲,對需要穿透訪問信息內網(wǎng)的數(shù)據(jù)或服務,嚴格限制訪問數(shù)據(jù)的格式,過濾必要的特殊字符組合以防止注入攻擊。建立常態(tài)外網(wǎng)安全巡檢、加固、檢修以及應急演練等工作機制,做好日常網(wǎng)站備份工作。

(八)具有采集功能的系統(tǒng)或模塊,根據(jù)采集信息的保密性,在采用公司專線(光纖、載波等)接入內網(wǎng)進行信息采集時,應采用身份認證和訪問控制措施。不具備專線條件時,應在虛擬專網(wǎng)基礎上采用終端身份認證、訪問控制措施,建立加密傳輸通道進行信息采集,要加強對采集終端存儲和處理敏感業(yè)務數(shù)據(jù)的安全防護,以保證業(yè)務數(shù)據(jù)的保密性和完整性。

第三十三條 數(shù)據(jù)安全技術工作要求如下:

(一)從終端、網(wǎng)絡以及存儲三個層面加強對敏感數(shù)據(jù)進行檢測與分析,實現(xiàn)對公司各種敏感數(shù)據(jù)存儲、數(shù)據(jù)操作權限、數(shù)據(jù)外發(fā)等進行安全保護與控制。

(二)重要和敏感信息,如商密定級文件、公司OA公文、xx子文件等,實行加密傳輸、授權控制、操作審計及監(jiān)控;對重要信息實行自動、定期備份;按需進行恢復測試,確保備份數(shù)據(jù)的可用性。

(三)嚴格落實公司xx子數(shù)據(jù)恢復、擦除與銷毀管理技術要求,加強處理過程中的存儲介質管理、全程現(xiàn)場監(jiān)控以及安全保密等工作。

第三十四條 深化信息安全監(jiān)測手段,擴展監(jiān)控范圍,實現(xiàn)對各類網(wǎng)絡及邊界、網(wǎng)站及應用系統(tǒng)、終端以及密鑰使用情況等的全方位、實時安全監(jiān)控,做好信息安全監(jiān)測預警、指標發(fā)布及深化治理工作。

第三十五條 xx網(wǎng)工業(yè)控制系統(tǒng)應納入xx二次系統(tǒng)管理。加強xx網(wǎng)工業(yè)控制系統(tǒng)安全保障工作,推進工業(yè)控制系統(tǒng)安全檢測技術研究和工具研發(fā),做好xx網(wǎng)工控系統(tǒng)安全測評、關鍵設備安全檢測及防護整改等工作,進一步提高漏洞分析、漏洞發(fā)布、隱患排查和應急處理能力。

第三十六條 加強云計算、物聯(lián)網(wǎng)、可信計算、下一代互聯(lián)網(wǎng)等方面的信息安全技術研究與應用,強化對新技術的檢測、驗證、評估及審核,超前分析新技術應用帶來的安全風險和隱患,提前采取措施予以防范。不得采用與公司信息安全策略與要求相違背的信息通信技術,不得應用存在信息安全隱患的新技術。

第三十七條 針對暴露面及新型安全威脅,圍繞隱患發(fā)現(xiàn)、防護處置、監(jiān)測對抗、應急恢復等能力,建立穩(wěn)定、專業(yè)的技術支撐隊伍,從研發(fā)安全、安全檢測、防病毒管理、統(tǒng)一密鑰管理、漏洞補丁管理、紅藍對抗、安全監(jiān)控、應急恢復、新技術研究與架構設計等方面開展專項技防能力建設,實現(xiàn)技術手段和管理措施的有效融合,實現(xiàn)內外部綜合協(xié)同、資源共享和整體聯(lián)動,提升公司信息安全協(xié)同防御和體系對抗能力。

第五章 檢查考核

第三十八條 各級單位應建立網(wǎng)絡與信息系統(tǒng)安全檢查考核機制,根據(jù)工作需要,制定科學、規(guī)范的檢查考核指標體系。

第六章 附 則

第三十九條 本辦法由信通部負責解釋并監(jiān)督執(zhí)行。

第四十條 本辦法自2020年xx月xx日起施行。原《公司信息系統(tǒng)安全管理辦法》(信息 〔20xx〕 xx號)、《公司網(wǎng)絡與信息系統(tǒng)安全運行情況通報制度》(信息技術〔xxx〕xxx號)同時廢止。

附件1

公司網(wǎng)絡與信息系統(tǒng)安全運行情況通報規(guī)范

一、總則

(一)為加強公司(以下簡稱“公司”)網(wǎng)絡與信息系統(tǒng)安全運行管理,進一步規(guī)范完善公司網(wǎng)絡與信息系統(tǒng)安全運行情況通報工作,有效保障通報工作有序開展,切實落實上情下達、下情上達、協(xié)調和服務保障的任務,依據(jù)《xx行業(yè)網(wǎng)絡與信息安全信息通報暫行辦法》、《xx企業(yè)網(wǎng)絡與信息安全信息通報工作指導意見(試行)》,制定本規(guī)范。

(二)本規(guī)范所指網(wǎng)絡與信息系統(tǒng)安全運行情況是指信息網(wǎng)絡和系統(tǒng)故障和癱瘓,信息系統(tǒng)數(shù)據(jù)丟失和信息泄密,信息系統(tǒng)受到病毒感染和惡意滲透、攻擊,有害信息在網(wǎng)站傳播等信息安全事件以及跟蹤發(fā)現(xiàn)的外部信息安全輿情。

(三)本規(guī)范適用于公司總(分)部及所屬各級單位的網(wǎng)絡與信息系統(tǒng)安全運行情況通報管理工作。

(四)公司網(wǎng)絡與信息系統(tǒng)安全運行情況通報工作按照“誰主管誰負責,誰運營誰負責”的工作原則,實行“統(tǒng)一領導,分級管理、逐級上報”的工作方針,以加強公司各級單位網(wǎng)絡與信息系統(tǒng)安全運行的信息共享和統(tǒng)一應急處置工作。

二、職責分工

(一)信通部負責公司網(wǎng)絡與信息系統(tǒng)安全運行情況通報的歸口管理工作。主要職責:

(1)負責建立公司網(wǎng)絡與信息系統(tǒng)安全運行情況通報的規(guī)章制度,并督促執(zhí)行;

(2)負責與國家有關部門建立聯(lián)系,及時接收和轉發(fā)國家有關部門發(fā)布的信息通報,并按時向國家有關部門報送相關材料;

(3)負責匯總總部xx二次系統(tǒng)、xx通信骨干網(wǎng)絡、總部信息系統(tǒng),以及公司各單位的安全運行情況通報;

(4)負責建立與國家有關部門的信息安全通報聯(lián)系,對于重大事件啟動聯(lián)合應急機制,并協(xié)調國家相關部門協(xié)助處置。

(二)xx中心負責匯總公司范圍內有關xx二次系統(tǒng)安全運行情況,并抄送信通部歸口統(tǒng)計。

(三)信通公司負責將xx通信骨干網(wǎng)絡和總部信息系統(tǒng)安全運行情況匯總報送信通部和運監(jiān)中心,并將xx通信骨干網(wǎng)絡安全運行情況抄送給xx中心。

(四)公司各級單位信息通信管理部門負責本單位范圍內網(wǎng)絡與信息系統(tǒng)安全運行情況通報的歸口管理工作。主要職責:

(2)負責結合實際情況,建立本單位信息安全通報的規(guī)章制度,并督促執(zhí)行;

(3)負責匯總本單位范圍內xx通信網(wǎng)絡和信息系統(tǒng)的安全運行情況,按時按需向上級主管部門報送本單位快報、月報、年報、特殊時期信息安全日報、安全事件專報。

(4)負責匯總本單位發(fā)現(xiàn)的信息安全事件和突發(fā)工作(如公安機關檢查情況),以及跟蹤發(fā)現(xiàn)的外部信息安全輿情,并報送至上級主管部門;

(5)負責匯總本單位信息安全重點工作開展情況,突出本單位特色、自行開展的信息安全工作,以及對公司信息安全工作建議,并報送至上級主管部門;

(6)負責總結本單位信息安全工作典型經(jīng)驗,并報送至上級主管部門;

(7)負責向下級單位轉發(fā)信通部發(fā)布的各類信息安全事件通報、預警通報,負責接收、匯總反饋情況,報送至上級主管部門。

(五)公司各級單位xx部門按照xx二次系統(tǒng)信息報送要求,將本單位xx二次系統(tǒng)安全運行情況上報xx中心,遇重大、緊急突發(fā)安全事件時,抄送給信息通信管理部門。

(六)中國xx科院負責對總部范圍內信息安全通報相關工作提供技術支持,并協(xié)助開展安全事件、安全隱患、安全漏洞、安全輿情的分析、研判等工作。

(八)省公司督查隊伍負責對本省內信息安全通報相關工作提供技術支持,并協(xié)助開展安全事件、安全隱患、安全漏洞、安全輿情的分析、研判等工作。

三、內容及分類

(一)網(wǎng)絡和信息系統(tǒng)安全運行情況通報內容主要包括:

(1)xx子公告服務、群發(fā)xx子郵件以及廣播式即時通信等網(wǎng)絡服務中反動有害信息的傳播情況;

(2)利用網(wǎng)絡從事違法犯罪活動的情況;

(3)已經(jīng)確定或可能發(fā)生的計算機病毒、網(wǎng)絡攻擊情況;

(4)網(wǎng)絡恐怖活動的嫌疑情況和預警信息;

(5)網(wǎng)絡或信息系統(tǒng)通信和資源使用異常、網(wǎng)絡和信息癱瘓、應用服務中斷或數(shù)據(jù)纂改、丟失等情況;

(6)網(wǎng)絡安全狀況、安全形勢分析預測等信息;

(7)跟蹤發(fā)現(xiàn)的各類外部信息安全輿情;

(8)其他影響網(wǎng)絡與信息安全的信息。

(二)網(wǎng)絡和信息系統(tǒng)安全運行情況通報分為快報、月報、年報、特殊時期安全運行日報以及安全事件專報。

(三)公司各級單位的網(wǎng)絡與信息系統(tǒng)在運行過程中如出現(xiàn)以下任一情形,需填寫網(wǎng)絡與信息系統(tǒng)安全運行快報(格式見附表二),并逐級上報。相關情形包括:

(1)網(wǎng)絡和信息系統(tǒng)發(fā)生嚴重故障和癱瘓;

(2)信息系統(tǒng)重要數(shù)據(jù)丟失和信息泄密;

(3)信息系統(tǒng)受到較大面積病毒感染和惡意滲透、攻擊;

(4)有害信息在網(wǎng)站較大面積傳播;

(5)其他較嚴重或上級部門指定以快報形式上報的信息安全事件。

(四)公司各級單位每月需填寫網(wǎng)絡與信息系統(tǒng)安全運行月報(格式見附表三),并上報上級主管部門。月報應包括以下內容:

(1)網(wǎng)絡與信息系統(tǒng)安全運行指標情況及分析;

(2)網(wǎng)絡與信息系統(tǒng)安全信息情況;

(3)安全事件統(tǒng)計與分析;

(4)本月網(wǎng)絡與信息系統(tǒng)安全運行工作開展情況;

(5)對公司信息安全工作建議。

(五)公司各級單位每年需進行年度總結報告(以下簡稱年報),并以書面形式上報上級主管部門。年報應包括以下內容:

(1)負責運行維護的設備和信息系統(tǒng)的基本情況;

(2)安全與運行管理工作簡況;

(3)年度信息安全與運行指標工作總結與分析,要對信息系統(tǒng)的主要設備、事故、障礙、故障和異常情況及原因進行統(tǒng)計、匯總和分析;

(4)對影響設備和信息系統(tǒng)安全運行的主要原因和問題進行分析;

(5)下一年度安全與運行擬開展的重點工作。

(七)中國xx科院需向公司信通部報送各類信息安全事件專報。專報包括:

(1)信息安全監(jiān)測深度分析:根據(jù)當月信息安全監(jiān)測情況,基于數(shù)字分析公司整體信息安全情況,總結存在的信息安全隱患問題以及監(jiān)測工作本身的不足,并提出相關建議;

(2)信息安全監(jiān)測發(fā)現(xiàn)重大事件:對信息安全監(jiān)測發(fā)現(xiàn)的重大事件進行分析,并提出解決建議;

(3)信息安全事件分析:不定期跟蹤公司及外部信息安全重大事件和典型事件,分析事件成因、問題,以及對公司信息安全工作的啟示和舉措;

(4)信息安全輿情跟蹤:雙周跟蹤國內外信息安全事件、漏洞、政策、會議、技術等輿情;

(5)新技術、新應用、新業(yè)務信息安全情況分析:不定期跟蹤新技術、新應用、新業(yè)務在公司的開展情況,分析其中信息安全情況,并提出相關建議。

四、報送要求

(一)公司各級單位通過公司信息通信業(yè)務管理系統(tǒng)上報網(wǎng)絡與信息系統(tǒng)安全運行月報、日報,安全運行快報主要通過xx子郵件和傳真報送。

(二)公司各級單位在執(zhí)行快報上報時,需在二十四小時內完成上報工作。特別緊急情況需第一時間通過xx話等方式立即向信通部相關負責人員做口頭匯報。

(三)公司各級單位需在每個月前兩個工作日內完成上個月的月報上報工作。信通部對公司的安全運行情況匯總分析后,于第三個工作日將公司網(wǎng)絡與信息系統(tǒng)安全運行情況報送國家相關單位。

(四)公司各級單位的年報工作與本年度最后一期月報一并上報。

(五)公司各級單位應及時、全面、準確報送信息,不得瞞報、緩報、謊報網(wǎng)絡與信息系統(tǒng)安全運行情況。

(六)公司各級單位應按照國家保密規(guī)定,做好本單位網(wǎng)絡與信息系統(tǒng)安全運行情況通報的保密工作。

附表一:網(wǎng)絡與信息系統(tǒng)安全運行情況通報基本情況備案表

單位名稱

責任部門

安全運行情況通報負責人

姓名:

職務:

郵編:

信通地址:

xx話:

手機:

xx子郵件:

安全運行情況通報聯(lián)絡人

姓名:

職務:

郵編:

信通地址:

xx話:

手機:

xx子郵件:

后備聯(lián)絡人

姓名:

職務:

郵編:

信通地址:

xx話:

手機:

xx子郵件:

其他聯(lián)絡人

填表說明

審核人

批準人

填表人

填報時間

附表二:網(wǎng)絡與信息系統(tǒng)安全運行快報

報告單位

報告時間

事件起止時間

自 年 月 日

至 年 月 日

審核人

批準人

報告人

通信方式

事件簡單描述

事件影響范圍和危害程度初步估計

處置措施和初步結果

備注

附表三:網(wǎng)絡與信息系統(tǒng)安全運行月報

單位名稱

報告時間

系統(tǒng)運行期間

起始日期

截止日期

網(wǎng)絡與信息系統(tǒng)安全運行指標情況及分析

網(wǎng)絡與信息系統(tǒng)安全信息情況

安全審計統(tǒng)計與分析

本月網(wǎng)絡與信息系統(tǒng)安全運行工作開展情況

備注:

審核人

批準人

報告人

通信方式

附表四:網(wǎng)絡與信息系統(tǒng)特殊時期安全運行日報

單位名稱

報告時間

系統(tǒng)運行期間

 年 月 日

網(wǎng)絡與信息系統(tǒng)運行狀況描述:

發(fā)生的網(wǎng)絡與信息系統(tǒng)事件描述(時間、類型、起因與過程、影響范圍、損失及危害情況、分析研判結果、整改措施)

備注:

審核人

批準人

報告人

通信方式