一、目的

为加强和规范本单位网络安全管理工作，提高信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控，明确本单位网络安全管理的总体方针和策略，规定各部门和人员的相关职责，依据国家有关法律、法规及本单位有关制度、规定，制定本办法。

二、适用范围

本办法适用于对本单位信息平台和业务应用系统的网络安全管理。“信息平台”包含信息网络、数据交换、数据存储设备、应用集成和门户网站；“业务应用系统”包含交易系统、协同办公、财务（资金）管理、营销管理、人力资源管理、物资管理、项目管理、综合管理等业务应用。

涉及本单位核心业务或多个部门协同工作的重要信息系统称为“单位系统”，各下属单位和部门建设的用于支撑局部工作的信息系统称为“部门系统”。

本办法适用于单位系统和部门系统的安全管理工作，对于本单位网络安全保护等级2级以上的系统应参照国家标准《GB/T22239 信息安全技术网络安全等级保护基本要求》执行。

三、职责

网络安全管理实行统一领导、分级管理。网络安全领导小组负责本单位网络安全重大事项决策和协调工作，网络安全主管是单位网络安全的第一责任人；各部门主要负责人是部门网络安全第一责任人。

网络安全管理纳入本单位安全生产管理体系，实行专业管理、归口监督。实训信息中心是网络安全的管理部门，负责本单位网络安全的安全建设、保障和培训等工作，办公室安全保卫部是网络安全的监督部门，负责公司网络安全的监督工作。

3.1网络安全领导小组的主要职责包括：

（1）建立健全本单位网络安全组织机构。

（2）建立健全网络安全责任体系。

（3）贯彻落实国家网络安全等级保护制度。

（4）建立健全网络安全管理、网络安全保密、网络安全检查、网络安全情况报告和信网络安全应急处置等制度。

（5）领导编制本单位网络安全应急处置预案。

（6）组织指挥本单位I、II级网络安全事件（参见《信息安全事件报告与处置制度》）应急处置。

（7）宣传贯彻国家网络安全相关法律、法规、规章和有关政策，并组织对全体工作人员进行网络安全教育。

3.2实训信息中心主要职责：

（1）全面落实本单位网络安全保护工作。综合协调相关部门完成网络安全规划、建设、维护、保障工作。

（2）落实国家及主管部门有关网络安全的法规、方针、政策、标准和规范，联系网络安全主管部门并落实信息系统网络安全管理相关工作；

（3）建立健全信息发布审核、登记、保存、清除与备份、信息系统安全操作管理、用户登记制度和信息群发管理等制度，落实网络安全管理、检查、保密、情况报告、应急处置等网络安全制度；

（4）指导、协调和检查本单位网络安全工作，组织落实本单位网络安全等级保护制度，统筹开展本单位信息系统风险评估和安全检查工作；

（5）负责本单位网络安全III级以下事件的调查和处理（参见《信息安全事件报告与处置制度》）；协助网络安全I级、II级事件的调查和处理；

（6）在单位应急体系框架内，负责公司网络安全应急管理相关工作；

（7）开展涉密计算机网络的系统立项、设计和建设，做好信息系统安全与保密检查；

（8）负责规范本单位信息系统安全产品的测评和选型工作。

3.3办公室安全保卫部门主要职责：

（1）负责单位网络安全的全过程监督检查；

（2）配合实施本单位各级网络安全事件的调查和处理；

（3）负责监督单位网络安全应急管理工作落实；

（4）负责归口统计网络安全事故。

3.4业务应用部门主要职责：

（1）配合开展部门网络安全等级定级工作；

（2）配合开展业务应用系统和部门系统安全测评、安全检查和风险评估等工作；

（3）负责或配合开展业务应用使用人员的有关网络安全和保密培训工作；

（4）协助开展业务应用人员办公计算机安全管理。

四、管理要求

4.1网络安全总体方针与策略

网络安全工作的总体方针为：构架以物理安全建设为基础，信息系统综合安全保护为核心，全面安全管理制度为保障的综合网络安全保护体系，全面推进网络安全保护工作，确保单位重要信息系统达到国家等级保护3级指标。在推进网络安全建设的进程中，不断提高安全保护能力，为企业正常生产经营活动提供高效、安全的技术支持。

网络安全保护的策略为坚持“分区、分级、分域”总体防护策略，执行网络安全等级保护制度。管理信息网络分为信息内网和信息外网，信息内网定位为单位业务应用承载网络和内部办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施较强逻辑隔离的措施。

在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则，即信息系统安全防护措施应与信息系统建设同步规划、同步建设、同步投入运行。

4.2建立健全安全管理制度和机构

4.2.1本单位应不断建立健全网络安全管理制度体系，实现安全管理和操作人员的标准化作业；定期对网络安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度及时进行修订。

4.2.2本单位应完善网络安全管理机构，设立系统管理员、网络管理员、安全管理员、数据库管理员、介质管理员等岗位，并明确各岗位职责。应加强管理人员之间、网络安全职能部门和业务部门之间的合作与沟通，定期或不定期召开协调会议，共同协作处理网络安全问题。

4.2.3应建立健全网络安全运行维护方面的管理制度和操作规程，包括机房、办公环境、信息系统资产、介质、设备、网络、主机、恶意代码防范、系统变更、备份与恢复、安全事件报告与处置等各方面。

4.3加强人员安全管理和教育

4.3.1应切实加强员工网络安全培训，提高全员网络安全意识；强化网络安全管理人员专业技能培训，做到培训工作有计划、有总结，培训效果有评价。要对关键岗位人员进行全面、严格的安全审查和技能考核，对在网络安全管理工作中做出显著成绩的单位和人员应给予奖励和表彰。对违反国家法律、法规和公司有关规定，造成一定不良影响和后果的，要追究其责任。

4.3.2应加强信息系统关键岗位人员录用管理，聘用员工时进行充分筛选、审查和考核，并要求与其签订保密协议和岗位安全协议书。

4.3.3系统管理人员应及时终止离岗员工的所有访问权限；严格外部人员访问程序，对允许访问人员实行专人全程陪同或监督，并登记备案。

4.4加强信息系统建设与运维安全管理

4.4.1应严格按照国家有关部门要求，开展本单位网络与信息系统定级、审批、备案工作。针对确定的网络与信息系统安全等级，要根据等级保护有关要求，落实必要的管理和技术措施，严格执行等级保护制度。

4.4.2新建信息系统涉及安全防护措施建设，应明确安全需求，确定安全等级，结合本单位安全防护总体策略，进行安全防护方案设计；根据国家有关规定和坚持鼓励使用国产化产品原则，开展安全产品采购，必要时开展产品预先选型测试；加强软件开发管理，确保开发环境与实际运行环境安全隔离；委托有资质的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；对测试不符合要求的，在整改后要重新测试。系统试运行前，要开展相关安全培训。

4.4.3应严格遵守“涉密不上网、上网不涉密”纪律，严禁将涉密计算机与互联网和其他公共信息网络连接，严禁在非涉密计算机和互联网上存储、处理国家秘密。严禁在信息外网计算机上存储和处理涉及企业秘密的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。

4.4.4严格执行本单位有关网络安全风险评估管理规定，切实将网络安全风险评估工作常态化和制度化，及时落实整改，及时消除网络安全隐患。根据主管部门和本单位要求，定期开展网络安全检查工作，做好特殊时期安全检查和安全保障工作。

4.4.5应完善应急预案，加强培训和演练，确保人力、设备等应急保障资源可用。

4.4.6应切实加强网络信任体系建设规划工作，不断完善安全认证系统相关技术标准和功能规范。强化信任体系应用工作，做好信息系统统一身份认证，以及重要信息的加密和签名工作。