企业内部网络访问及信息安全规定

企业内部网络访问及信息安全规定一、总则第一条为了加强企业内部网络访问及信息安全管理工作,保障企业信息系统的正常运行,防范信息安全事故,根据《中华人民共和国网络安全法》等相关法律法规,结合本企业实际情况,制定本规定。第二条本规定适用于本企业内部网络访问及信息安全的各个方面,包括但不限于网络设备、网络资源、信息系统、数据信息等。第三条企业内部网络访问及信息安全管理工作应遵循以下原则:(一)安全第一,预防为主;（二）统一领导,分级管理;（三)全面覆盖,突出重点；(四）技术与管理并重。二、组织机构与职责第四条企业应设立信息安全领导小组,负责企业内部网络访问及信息安全工作的领导、组织、协调和监督。第五条信息安全领导小组的主要职责:(一)制定企业内部网络访问及信息安全政策、制度;(二)组织制定企业内部网络访问及信息安全规划、计划和预算;(三）审批企业内部网络访问及信息安全项目;（四)协调企业内部网络访问及信息安全工作与其他部门的关系;(五)监督、检查企业内部网络访问及信息安全工作的落实情况。第六条企业各部门应设立信息安全员,负责本部门内部网络访问及信息安全工作的具体实施。第七条信息安全员的主要职责:(一)宣传、贯彻企业内部网络访问及信息安全政策、制度;(二）负责本部门内部网络访问及信息安全工作的日常管理;（三)定期对本部门内部网络访问及信息安全进行检查、评估;(四）协助企业信息安全领导小组开展内部网络访问及信息安全工作。三、网络访问管理第八条企业内部网络访问实行分级管理,分为普通用户、重要用户和特权用户。第九条普通用户:具有访问企业内部网络资源的权限,但不得访问重要信息系统和数据。第十条重要用户:具有访问企业重要信息系统和数据的权限,但不得访问特权信息系统和数据。第十一条特权用户：具有访问企业所有信息系统和数据的权限,包括但不限于系统管理员、数据库管理员等。第十二条企业内部网络访问权限的分配应遵循以下原则:(一)按需分配,权限最小化;（二)权限审批,逐级审核;(三）权限变更,及时调整。第十三条企业内部网络访问权限的审批流程:(一)普通用户:由部门负责人审批;（二)重要用户:由信息安全领导小组审批;(三）特权用户:由企业主要负责人审批。第十四条企业内部网络访问权限的撤销:(一)普通用户:由部门负责人撤销;（二）重要用户:由信息安全领导小组撤销;（三）特权用户:由企业主要负责人撤销。四、信息安全保障第十五条企业应建立健全信息安全保障体系,包括物理安全、网络安全、主机安全、数据安全、应用安全等。第十六条物理安全:(一)企业内部网络设备、服务器等应设置在安全可靠的场所;（二)重要网络设备、服务器等应实行专人对时监控;(三)企业内部网络设备、服务器等应定期进行安全检查、维护。第十七条网络安全:(一)企业内部网络应采取防火墙、入侵检测、病毒防护等措施;(二)企业内部网络应定期进行网络安全检查、评估;(三）企业内部网络应实行访问控制,防止非法访问。第十八条主机安全:(一)企业内部计算机应安装正版操作系统、杀毒软件等;(二)企业内部计算机应定期进行安全检查、维护;(三）企业内部计算机应实行权限管理,防止非法操作。第十九条数据安全:(一)企业内部数据应实行分类管理,重要数据应实行加密存储;（二)企业内部数据传输应采取安全措施,防止数据泄露;(三）企业内部数据应定期进行备份,确保数据安全。第二十条应用安全:(一)企业内部应用系统应进行安全审查,防止安全漏洞；(二）企业内部应用系统应定期进行安全更新、维护;（三）企业内部应用系统应实行权限管理,防止非法操作。五、信息安全事件处理第二十一条企业应建立健全信息安全事件处理机制,包括事件报告、事件分类、事件处理、事件总结等。第二十二条信息安全事件报告:(一)发现信息安全事件,应及时报告信息安全员；（二)信息安全员应在1小时内报告信息安全领导小组;(三)信息安全领导小组应在2小时内报告企业主要负责人。第二十三条信息安全事件分类:(一)一般事件:对企业内部网络访问及信息安全造成一定影响的事件;（二)重大事件:对企业内部网络访问及信息安全造成重大影响的事件;(三）特别重大事件:对企业内部网络访问及信息安全造成特别重大影响的事件。第二十四条信息安全事件处理:(一)一般事件:由信息安全员负责处理;（二)重大事件:由信息安全领导小组负责处理;(三）特别重大事件:由企业主要负责人负责处理。第二十五条信息安全事件总结:（一)信息安全事件处理结束后,应进行总结分析,提出改进措施；(二）信息安全事件总结报告应报信息安全领导小组审批。六、违规处理第二十六条企业内部员工违反本规定,视情节轻重,给予以下处罚:(一)口头警告;(二)书面警告;(三）记过;（四)降职、撤职;(五)解除劳动合同。第二十七条外部人员违反本规定,造成企业内部网络访问及信息安全受到威胁的,