烟草网络安全自查制度

烟草网络安全自查制度一、烟草网络安全自查制度

烟草行业作为国家重要的经济支柱，其网络安全直接关系到行业稳定运行和国家经济安全。为有效防范网络风险，保障烟草业务系统安全稳定运行，特制定本烟草网络安全自查制度。本制度旨在通过系统化、常态化的自查工作，及时发现并解决网络安全问题，提升烟草行业整体网络安全防护水平。

（一）自查目的与原则

烟草网络安全自查的核心目的在于全面排查网络系统潜在风险，确保业务连续性和数据安全。自查工作遵循全面性、系统性、规范性和持续改进原则。全面性要求覆盖所有业务系统和网络设备；系统性强调风险排查需结合业务流程和技术架构；规范性确保自查过程符合国家相关标准；持续改进则要求根据风险变化及时更新自查内容和标准。通过制度化自查，建立网络安全风险动态管理机制，为行业数字化转型提供安全保障。

（二）自查组织体系

烟草行业设立三级网络安全自查组织体系。国家烟草专卖局负责制定总体自查制度，成立由信息中心牵头，各业务部门参与的领导小组。省级烟草专卖局设立自查工作办公室，负责本辖区自查组织协调。市级及以下单位指定专人负责日常自查工作。各级组织建立责任追究制度，对自查工作不力导致重大风险的责任人依法依规处理。建立跨部门协作机制，定期召开网络安全自查联席会议，通报风险隐患，协调整改措施。

（三）自查内容与标准

1.网络基础设施安全

-防火墙配置符合国家GB/T22239-2019标准，记录完整，策略定期评估

-入侵检测系统覆盖核心业务网段，误报率控制在5%以内

-无线网络采用WPA3加密，定期更换密码强度不低于12位

2.应用系统安全

-ERP、OA等核心系统通过等级保护测评，补丁更新周期不超过15天

-数据库加密存储，敏感数据传输采用TLS1.3协议

-API接口调用需身份认证，日志留存时间不少于6个月

3.数据安全防护

-重要数据定期异地备份，恢复测试每年至少2次

-数据传输采用VPN加密，分支机构接入必须通过加密隧道

-建立数据访问权限矩阵，定期审计异常访问记录

4.安全运维管理

-安全设备配置变更需经过三重审批流程

-每季度开展应急演练，覆盖断网、勒索病毒等场景

-建立漏洞管理台账，高危漏洞修复时限不超过30天

（四）自查流程与方法

1.预自查阶段

-每季度发布自查清单，各部门对照清单开展自查

-采用CIS基线扫描工具，自动检测配置缺陷

-组织安全培训，提升自查人员专业技能

2.专项检查阶段

-每半年开展交叉检查，省级单位随机抽查市级单位

-对发现的问题制作《风险整改通知书》，限期整改

-整改情况通过钉钉等平台实时跟踪

3.总结评估阶段

-年度形成《网络安全自查报告》，分析风险趋势

-对重复出现的问题纳入绩效考核，实施问责

-根据评估结果调整下年度自查重点

（五）自查结果应用

自查结果直接纳入烟草行业年度安全生产考核。对存在重大风险的单位，暂停新项目立项。建立网络安全红黄蓝预警机制，红色预警时立即启动应急预案。将自查数据接入国家烟草专卖局大数据平台，实现跨区域风险联动处置。对自查优秀单位给予信息化建设资源倾斜，形成正向激励。定期向国家网信办报送自查情况，接受行业指导。

（六）制度持续改进

每两年修订一次自查制度，结合最新网络安全威胁调整检查标准。建立第三方评估机制，每年引入安全服务机构开展独立检查。对新技术应用如区块链、物联网等制定专项检查指南。建立网络安全信用体系，将自查表现与招投标等业务关联。通过PDCA循环持续优化自查工作，确保制度符合国家网络安全法及配套法规要求。

二、烟草网络安全自查制度实施细则

（一）自查周期与方式

烟草网络安全自查实行年度全面自查与季度重点检查相结合制度。每年1月1日至3月31日期间开展上一年度全面自查，省级单位在6月30日前完成本辖区检查，市级单位在9月30日前完成。季度重点检查由省级单位组织，每月选取不同行业系统开展，确保全年覆盖所有业务场景。检查方式分为技术检测与管理审核两种，技术检测采用自动化工具与人工核查相结合，管理审核通过查阅文档与现场访谈进行。鼓励采用暗访方式检查，提高发现问题概率。对关键基础设施如数据中心、核心交换机等实行月度抽查制度。

（二）检查工具与流程

1.技术检查工具配置

-部署开源Nessus扫描器，定期更新威胁情报库

-自研脚本检查配置漂移，覆盖堡垒机、数据库等设备

-配置漏洞管理平台，实现自动关联CVE与资产信息

2.检查实施流程

-检查前一周下发检查方案，明确检查范围与标准

-采用"四不两直"方式进场，避免提前通知

-检查组由技术专家与管理骨干组成，比例不低于3:1

3.问题记录规范

-使用统一问题单模板，包含编号、描述、严重程度等字段

-对发现的问题拍照取证，关键设备需拍摄实物照片

-问题分类按GB/T35273-2017标准执行

（三）分级分类检查

1.核心系统检查重点

-ERP系统检查权限控制逻辑，防止越权操作

-电子结算系统核查支付链路安全，检测中间人攻击风险

-烟叶收购系统检查GPS定位数据真实性

2.边缘设备检查要求

-POS机每月检测终端安全芯片状态

-智能烟叶烘烤设备检查固件版本，禁用不安全功能

-检查工业控制系统与办公网络的物理隔离情况

3.数据分类检查标准

-敏感数据检查覆盖全流程，从采集到销毁

-个人信息按《个人信息保护法》标准检查脱敏措施

-商业秘密检查存储加密与访问审计

（四）检查人员资质管理

1.人员培训要求

-检查人员需通过国家网络安全水平考试3级以上

-每半年参加应急响应培训，掌握基本攻防技能

-开展保密教育，签订保密承诺书

2.人员抽选机制

-检查人员从各单位抽调，同一单位每年参与检查人数不超过总人数5%

-采取双盲抽选方式，避免利益冲突

-建立检查人员黑名单制度，存在违规行为者3年内不得参与

3.人员考核标准

-检查问题发现率作为首要考核指标

-对问题定性准确率纳入考核体系

-检查报告提交时效纳入考核范围

（五）检查过程控制

1.检查现场管理

-检查组每日提交工作日志，记录检查内容与发现

-检查现场需全程录像，关键操作由2人共同完成

-对被检查单位提供的问题整改指导需有书面记录

2.检查质量控制

-每个检查组配备质量监督员，随机抽查检查记录

-采用交叉复核方式，对重大问题由其他检查组复检

-检查结果需经被检查单位确认签字

3.应急处置措施

-检查中发现高危漏洞立即隔离受影响设备

-准备应急响应包，包含临时密码、备用证书等

-对可能影响业务的问题需提前沟通，协商检查时间

（六）检查结果处理

1.问题分类处置

-轻微问题由被检查单位限期整改，省级单位跟踪

-严重问题立即下发整改通知，要求7日内整改

-恶性问题直接上报国家局，暂停相关项目

2.整改闭环管理

-整改完成后需进行验证测试，确保问题彻底解决

-对整改不到位的单位约谈主要负责人

-建立问题处置档案，永久保存整改前后文档

3.复查与销项

-对整改完成的问题进行3个月复查，防止反弹

-复查不合格的纳入下一年度重点检查范围

-通过复查的问题在系统中标记销项，并归档

（七）检查结果运用

1.考核与奖惩

-检查结果占年度安全生产考核权重不低于20%

-对自查优秀的单位给予信息化项目资金支持

-对检查中发现的重大隐患直接纳入安全生产事故追责范围

2.技术改进

-汇总检查发现的共性技术问题，制定行业统防方案

-对技术薄弱环节建立专项整改计划，分步实施

-引入优秀实践案例，推广安全建设经验

3.风险预警

-对检查发现的重大风险纳入行业预警平台

-发生同类问题时自动触发预警，提前部署防御措施

-建立风险共享机制，通报辖区外同类问题处置情况

三、烟草网络安全自查制度运行保障

（一）资源保障机制

烟草行业设立专项网络安全自查经费，纳入年度预算，确保自查工作正常开展。国家烟草专卖局每年划拨1000万元专项经费，用于购买检查工具、聘请第三方专家等。省级单位按不低于1:1比例配套资金，保障自查工作需求。建立资源动态调整机制，对网络安全形势复杂的地区适当增加投入。设立应急资金池，对突发重大网络安全事件，可优先动用资金开展应急检查。各单位需建立自查资源台账，明确资金使用范围，定期向上一级报送使用情况。对资金使用效率低下的单位，减少下一年度预算额度。

（二）技术支撑体系

1.建立行业级自查平台

-开发网络安全自查管理系统，实现问题自动导入与跟踪

-平台集成漏洞库、威胁情报等数据资源，支持智能分析

-提供移动端应用，方便现场检查人员实时上报问题

2.推广标准化工具

-制定行业检查工具集规范，统一工具接口标准

-对开源工具进行二次开发，适配烟草业务场景

-建立工具更新机制，每季度发布新版工具集

3.加强技术培训

-组织行业网络安全技术交流，分享检查经验

-开展工具使用培训班，提高自查人员操作技能

-建立技术专家库，为基层单位提供远程技术支持

（三）人才队伍建设

1.完善人才培养体系

-每年选拔优秀青年骨干参加国家培训

-设立首席网络安全官制度，市级以上单位配备专职人员

-对网络安全专业人才实行特殊薪酬待遇

2.优化人员结构

-确保技术与管理人员比例达到1:2

-鼓励复合型人才发展，培养既懂业务又懂安全的人才

-对长期从事检查工作的人员提供职业晋升通道

3.加强交流轮岗

-实行检查人员与被检查单位轮岗制度

-每年组织跨单位技术交流，促进知识共享

-建立人才流动机制，鼓励专业技术人才到基层锻炼

（四）制度保障措施

1.健全责任体系

-制定《网络安全自查责任清单》，明确各级职责

-对自查工作不力的单位实行"一票否决"

-建立责任倒查机制，对重大事故追溯检查责任

2.完善配套制度

-制定《网络安全自查考核办法》，细化评分标准

-编制《网络安全自查操作手册》，规范检查流程

-建立自查结果通报制度，定期发布检查简报

3.强化监督机制

-设立行业网络安全督察组，每年开展专项检查

-对自查工作弄虚作假的行为从严处理

-建立社会监督机制，邀请第三方机构参与检查

（五）协作保障机制

1.建立跨部门协作

-烟草行业与公安网安部门建立信息共享机制

-对重大网络安全威胁联合研判，协同处置

-定期开展联合演练，提高协同作战能力

2.加强上下联动

-国家局制定检查标准，省级单位负责落实

-市级单位负责实施，基层单位配合检查

-建立问题反馈机制，及时解决基层困难

3.拓展外部合作

-与知名安全厂商建立战略合作关系

-每年举办网络安全技术论坛，邀请外部专家指导

-聘请行业专家顾问，为自查工作提供智力支持

（六）考核与激励

1.建立考核指标体系

-考核指标包括问题发现率、整改完成率等

-对自查工作实行百分制评分

-考核结果与评优评先直接挂钩

2.实施差异化考核

-对不同规模单位设置不同考核标准

-对新技术应用单位给予加分鼓励

-对连续3年自查优秀的单位给予表彰奖励

3.强化结果运用

-考核结果作为干部任用的重要参考

-对考核不合格的单位进行约谈整改

-建立考核结果公开制度，接受全员监督

四、烟草网络安全自查制度监督与改进

（一）监督检查机制

烟草行业建立分级分类的监督检查体系，国家烟草专卖局每年组织对省级单位的全面检查，省级单位每半年对市级单位开展重点检查，市级单位每月对基层单位进行日常监督。监督检查采取"四不两直"方式，即不发通知、不打招呼、不听汇报、不用陪同接待、直奔基层、直插现场。检查内容包含自查制度的落实情况、风险隐患整改成效、安全防护措施有效性等。检查结果分为优秀、良好、合格、不合格四个等级，并建立问题台账，实行闭环管理。对检查发现的问题，被检查单位需制定整改方案，明确责任人、完成时限，并在10个工作日内报送上一级单位备案。上一级单位对整改情况进行跟踪督办，确保问题整改到位。检查结果作为年度考核的重要依据，对检查不合格的单位，取消评优资格，并约谈主要负责人。

（二）第三方评估机制

烟草行业引入第三方评估机制，每年委托具备资质的安全服务机构对部分单位开展独立评估。评估机构需具备国家认可的CMMI5级认证，评估人员需通过国家网络安全水平考试4级以上。评估内容包含自查制度的完善程度、风险隐患的排查质量、整改措施的有效性等。评估过程采用暗访、访谈、技术检测等多种方式，确保评估结果客观公正。评估报告需由国家烟草专卖局审核确认，作为改进自查工作的重要参考。第三方评估结果与单位绩效考核直接挂钩，对评估发现重大问题的单位，暂停相关项目审批。评估机构需建立评估结果数据库，对行业网络安全风险态势进行分析，为制度改进提供数据支撑。

（三）动态改进机制

烟草行业建立网络安全自查制度的动态改进机制，每年结合国家最新网络安全政策法规，对自查制度进行评估修订。改进过程分为现状分析、需求调研、方案设计、实施验证四个阶段。首先，组织行业专家对现有制度进行全面评估，分析存在问题；其次，通过问卷调查、座谈会等方式，收集基层单位意见建议；第三，结合评估结果和行业需求，制定改进方案；最后，选择部分单位开展试点，验证改进效果。改进后的制度需经过国家烟草专卖局网络安全领导小组审议通过，并组织全员培训。改进过程需建立完整档案，包括评估报告、调研记录、修订方案、培训记录等，确保改进工作有据可查。动态改进机制每年至少开展一次，确保自查制度始终适应网络安全形势变化。

（四）创新激励机制

烟草行业设立网络安全自查创新激励机制，鼓励基层单位探索自查工作新模式。每年组织优秀自查案例评选，对创新做法给予表彰奖励。评选标准包括创新性、实用性、推广价值等。对评选出的优秀案例，给予5万元至10万元的项目支持，用于完善自查工具或方法。优秀案例需在行业内部推广，并纳入培训教材。创新激励机制包括项目支持、荣誉表彰、培训机会等多种形式，激发基层单位创新活力。每年举办网络安全创新大赛，邀请基层单位参赛，对获奖作品给予现金奖励和项目孵化支持。创新激励机制需建立评审委员会，由行业专家和业务骨干组成，确保评审公平公正。评审结果需在国家烟草专卖局网站公示，接受全员监督。

（五）信息化支撑机制

烟草行业建设网络安全自查信息化平台，实现自查工作全流程线上管理。平台功能包括自查计划制定、问题自动导入、整改过程跟踪、结果统计分析等。平台集成国家漏洞库、威胁情报等数据资源，支持智能分析风险隐患。平台提供移动端应用，方便现场检查人员实时上报问题。信息化平台需与国家烟草专卖局大数据平台对接，实现数据共享。平台建设需符合国家信息安全等级保护三级标准，确保系统安全可靠。信息化平台每年升级迭代，功能不断完善。平台使用情况纳入绩效考核，对使用率低的单位进行专项培训。信息化支撑机制需建立运维团队，负责系统日常维护，确保平台稳定运行。运维团队需定期开展应急演练，提高系统故障处置能力。

（六）容错纠错机制

烟草行业建立网络安全自查容错纠错机制，鼓励基层单位大胆探索，允许在自查工作中出现合理失误。容错纠错机制遵循"三个区分开来"原则，即把干部在推进改革中因缺乏经验、先行先试出现的失误和错误，同明知故犯的违纪违法行为区分开来；把上级尚无明确限制的探索性试验中的失误和错误，同上级明令禁止后依然我行我素的违纪违法行为区分开来；把为推动发展的无意过失，同为谋取私利的违纪违法行为区分开来。对在自查工作中出现合理失误的单位，经核实后可免于追责。容错纠错机制需建立评审委员会，由行业专家和纪检人员组成，确保评审公正合理。评审结果需经国家烟草专卖局网络安全领导小组审议通过。容错纠错机制需与激励约束机制相结合，对纠错有效的单位给予奖励，形成正向激励。容错纠错机制每年评估修订，确保始终适应行业发展需要。

五、烟草网络安全自查制度宣传教育

（一）全员培训体系

烟草行业构建分层分类的全员网络安全培训体系，针对不同岗位人员特点，制定差异化的培训内容。国家烟草专卖局每年组织高级管理人员网络安全专题培训，内容涵盖国家网络安全政策法规、行业安全形势分析、重要数据保护等。省级单位每年对中层干部开展网络安全综合培训，重点讲解网络安全责任、风险防范措施等。市级及以下单位每月对全员进行网络安全意识教育，内容包含密码安全、邮件安全、移动终端安全等。培训方式采用线上线下相结合，重要培训课程由行业统一组织直播，基层单位组织员工同步学习。培训效果通过考试检验，考试合格率作为单位考核指标。培训过程需建立完整档案，包括培训计划、课程资料、考试记录等，确保培训工作规范有序。全员培训体系每年修订，内容紧跟国家最新政策法规和技术发展。

（二）宣传普及机制

烟草行业建立网络安全宣传普及机制，通过多种渠道开展网络安全教育。每年4月开展"全国网络安全宣传周"活动，各单位结合实际组织专题讲座、知识竞赛、案例分享等活动。在办公区域、生产车间等场所张贴网络安全宣传海报，内容包含密码设置要求、防范钓鱼邮件等。制作网络安全宣传视频，在内部网站、微信公众号等平台播放。定期编发网络安全简报，通报典型案件，分析风险隐患。建立网络安全宣传栏，每月更新宣传内容。鼓励基层单位开展形式多样的宣传活动，如组织员工家庭共同参与网络安全知识学习等。宣传普及机制注重案例教学，收集整理行业内外典型网络安全事件，制作警示教育材料。对宣传效果开展定期评估，根据评估结果调整宣传策略。宣传普及机制需建立责任清单，明确各部门职责，确保宣传工作常态化开展。

（三）文化建设机制

烟草行业培育网络安全文化，将网络安全意识融入日常工作中。制定网络安全行为规范，明确员工在工作、生活中应遵守的网络安全要求。将网络安全纳入新员工入职培训内容，确保新员工具备基本网络安全素养。定期开展网络安全知识测试，测试结果纳入员工绩效考核。对网络安全表现突出的员工给予表彰奖励，树立先进典型。建立网络安全承诺制度，要求员工签署网络安全承诺书。在年度安全生产会议上，强调网络安全重要性，营造重视网络安全的文化氛围。制作网络安全文化手册，包含网络安全理念、行为规范、典型案例等内容，发放到每位员工手中。文化建设机制注重实践养成，鼓励员工在工作中践行网络安全要求，形成良好习惯。定期开展网络安全文化测评，根据测评结果调整文化建设策略。文化建设机制与制度建设、技术建设相结合，形成三位一体的网络安全防护体系。

（四）警示教育机制

烟草行业建立网络安全警示教育机制，通过分析典型案件，提高全员风险防范意识。每年汇编《烟草网络安全典型案例集》，包含行业内外典型网络安全事件，分析事件原因、处置过程和经验教训。定期组织案例分析会，邀请相关部门人员参加，共同探讨风险防范措施。对发生网络安全事件的单位，要求深刻剖析原因，制定整改方案，并组织全员学习。制作警示教育视频，邀请事件当事人讲述事件经过和教训。建立网络安全事件数据库，对事件信息进行分类整理，形成知识库。警示教育机制注重针对性，根据不同岗位人员特点，选择合适的案例进行教育。警示教育机制与考核机制相结合，对发生网络安全事件的单位，严肃追究相关责任。警示教育机制每年评估修订，确保始终适应网络安全形势变化。警示教育机制通过多种形式，提高全员风险防范意识和能力。

（五）协作交流机制

烟草行业建立网络安全协作交流机制，加强与外部单位的交流合作。每年举办网络安全技术论坛，邀请公安网安部门、安全厂商等行业内外专家授课。积极参加国家网络安全相关会议，了解最新政策法规和技术发展趋势。与兄弟行业建立网络安全交流机制，定期互访学习。建立网络安全专家顾问团，邀请行业专家为自查工作提供指导。每年组织网络安全专家到基层单位授课，解答实际问题。协作交流机制注重实效，选择与自身需求匹配的交流对象。协作交流机制与自身建设相结合，将外部先进经验转化为自身能力。协作交流机制建立完整档案，记录交流内容、收获体会等，确保交流效果。协作交流机制通过多种形式，拓宽视野，提高自查工作水平。协作交流机制是自我完善的重要途径，对提升行业整体网络安全防护能力具有重要意义。

（六）评估改进机制

烟草行业建立网络安全宣传教育评估改进机制，定期对宣传教育效果进行评估，并根据评估结果持续改进。每年对全员网络安全知识掌握程度进行抽样调查，了解培训效果。对宣传材料阅读量、活动参与率等指标进行统计分析，评估宣传效果。邀请第三方机构对宣传教育效果进行评估，提供专业建议。评估结果作为改进宣传教育工作的重要参考，每年修订宣传教育计划。评估改进机制注重反馈，建立畅通的反馈渠道，收集员工对宣传教育的意见和建议。评估改进机制与制度建设、技术建设相结合，形成三位一体的网络安全防护体系。评估改进机制建立完整档案，记录评估过程、评估结果、改进措施等，确保改进工作有据可查。评估改进机制通过持续优化，提高宣传教育的针对性和有效性，为行业网络安全提供坚实的人才保障。

六、烟草网络安全自查制度附则

（一）制度解释

本《烟草网络安全自查制度》由国家烟草专卖局信息中心负责解释。制度中未尽事宜，按照国家相关法律法规执行。制