网络安全管理制度

网络安全管理制度第一章总则1.1制定目的为规范公司全场景网络安全管理工作，防范网络攻击、数据泄露、系统瘫痪等安全风险，保障公司业务稳定运行、用户信息安全及核心资产不受侵害，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全等级保护2.0标准》等法律法规及行业监管要求，结合公司实际业务场景制定本制度。1.2适用范围本制度适用于所有接入公司网络的主体与资产，包括但不限于公司正式员工、劳务派遣人员、外包人员、访客、合作伙伴人员；公司所有服务器、网络设备、办公终端、移动存储介质、业务应用系统、数据资产；以及所有涉及公司网络、数据、系统的操作行为。1.3基本原则网络安全管理工作遵循“谁主管谁负责、预防为主、全程管控、动态迭代”的基本原则：谁主管谁负责：各部门负责人为本部门网络安全第一责任人，对本部门管辖范围内的资产、人员、操作的安全负全部责任；预防为主：优先通过技术防护、制度约束、培训宣贯等方式提前排查化解风险，最大程度降低安全事件发生概率；全程管控：覆盖人员入职到离职、数据采集到销毁、系统上线到下线的全生命周期管理，无管控盲区；动态迭代：根据公司业务变化、监管要求更新、安全技术升级，每年度至少对本制度进行一次修订，持续适配最新安全需求。第二章组织机构与职责公司设立三级网络安全管理架构，明确各层级权责边界，保障安全管理工作落地：2.1网络安全领导小组为公司网络安全最高决策机构，由公司CEO任组长，各业务线负责人、财务负责人、法务负责人、IT部负责人为核心成员，主要职责包括：1.审批网络安全管理制度、年度安全建设预算、重大安全整改方案；2.决策特别重大网络安全事件的处置方案，协调跨部门资源支持安全工作；3.审定网络安全考核与奖惩结果，承担公司网络安全的最终管理责任；4.每季度召开一次安全工作专项会议，听取安全工作汇报，部署下一阶段安全管理要求。2.2网络安全执行组隶属于公司IT部，配置至少3名专职网络安全管理人员（含漏洞运维、数据安全、应急响应各1名），为网络安全工作的落地执行主体，主要职责包括：1.起草网络安全相关制度、操作规范、应急预案，定期组织安全培训与演练；2.负责网络基础设施、终端、应用系统的日常安全巡检、漏洞扫描、渗透测试、补丁修复，建立安全隐患台账，跟踪整改进度；3.统筹数据分级分类管控、账号权限管理、安全审计等日常工作；4.负责网络安全事件的监测、响应、溯源、复盘，定期出具安全工作审计报告上报领导小组；5.对接监管部门的网络安全检查、数据安全报备等工作，保障公司安全管理符合合规要求。2.3部门安全联络员各业务部门指定1名专职或兼职安全联络员，作为本部门与安全执行组的对接接口，主要职责包括：1.负责本部门的网络安全宣贯、安全通知传达，组织本部门人员参与安全培训、演练；2.定期排查本部门的安全隐患，及时向安全执行组上报异常情况；3.初审本部门人员的账号权限申请、数据对外传输申请、设备带出办公区申请等安全相关审批事项。第三章人员安全管理制度3.1入职环节管理1.所有人员（含外包、劳务派遣）入职当日，必须完成不少于4学时的网络安全岗前培训，培训内容包括公司安全制度、口令管理规范、钓鱼邮件识别、数据泄露防范、违规行为问责标准等，培训后需通过闭卷考核（满分100分，80分合格），不合格者需补考直至通过后方可开通内部系统账号；2.所有人员入职需签署《网络安全承诺书》，明确承诺遵守公司安全制度、不泄露公司涉密信息、不从事危害公司网络安全的操作，违反承诺自愿接受考核处罚及法律追责；3.账号权限开通遵循“最小必要”原则，仅为人员开通岗位所需的最小系统权限，禁止超范围开通权限，权限审批需经部门负责人、安全执行组双重审批后方可生效。3.2在职环节管理1.所有人员每年需完成不少于8学时的安全复训，复训内容根据最新安全风险、制度更新动态调整，培训参与率、考核合格率需达到100%，未完成培训的人员暂停相关系统权限；2.口令管理需符合统一规范：口令长度不少于12位，包含大小写字母、数字、特殊符号三类及以上字符，每90天强制更换一次，禁止使用近5次以内重复的口令，禁止多个系统使用同一口令，禁止将口令告知他人、写在便签贴在设备上或存储在未加密的文档中；3.日常操作需严格遵守以下禁止性要求：禁止私接无线路由器、随身WiFi等设备，禁止私自搭建无线网络；禁止使用私人邮箱、微信、QQ等非加密渠道传输公司涉密数据；禁止在公共WiFi环境下登录公司内部系统，确需在外办公的需使用公司配发的VPN客户端登录；禁止私自卸载办公终端的杀毒软件、EDR终端防护系统，禁止私自重装系统、安装与工作无关的软件；禁止随意点击陌生邮件附件、陌生链接，禁止在非官方页面输入公司系统账号密码；禁止将工作笔记本、移动存储介质借给外部人员使用，确需带出办公区的需提前经部门负责人、安全执行组审批，登记设备编号、带出原因、归还时间后方可带出。3.3离职环节管理1.人员离职申请审批通过后，人力资源部需第一时间告知安全执行组，由安全执行组当日注销该人员所有内部系统账号、VPN权限、无线网络权限，回收所有工作设备（含笔记本、工作手机、U盾、加密U盘等）；2.设备回收时需由IT人员对设备存储内容进行检查，确认无留存的涉密数据后方可完成回收，如需格式化的需做不可逆擦除处理；3.离职人员需签署《离职保密承诺书》，明确离职后仍需对在任职期间接触到的公司涉密数据承担保密责任，泄露相关信息的公司有权追究其法律责任。第四章网络基础设施安全管理制度4.1物理环境安全管理1.公司核心机房实行封闭式管理，仅授权运维人员可进入，其他人员进入需经IT部负责人审批，进出机房需做实名登记，登记内容包括人员姓名、进入时间、离开时间、进入事由；2.机房配备24小时视频监控、门禁系统、消防系统、温湿度控制系统，监控日志留存不少于90天，机房温度控制在18-24℃、湿度控制在40%-60%，每周巡检一次消防、供电、制冷设备，每年开展一次防雷接地检测；3.机房内设备禁止私自拆卸、更改配置，设备配置变更需走审批流程，提前制定回滚预案，变更操作需在业务低峰期进行，全程留存操作日志。4.2网络设备安全管理1.防火墙、交换机、路由器等核心网络设备的配置文件每周备份一次，异地存储，配置变更需经安全执行组审批，变更后24小时内排查运行异常情况；2.网络端口实行最小化开放原则，未使用的端口全部关闭，对外开放的端口需登记端口用途、对应服务、开放IP范围，每季度梳理一次开放端口清单，关闭不必要的端口；3.安全执行组每周关注CNVD、CNNVD等官方漏洞平台的漏洞通报，发现与公司设备相关的高危漏洞需在72小时内完成修复，暂无法修复的需采取临时防护措施（如限制访问IP、关闭相关端口），做好风险评估；4.每季度开展一次全网络渗透测试，每年委托第三方专业机构开展一次等保测评，发现的隐患需在15个工作日内完成整改。4.3终端与访客网络管理1.所有办公终端统一安装EDR终端防护系统、正版杀毒软件，开启实时防护与自动补丁更新，高危系统补丁需在发布后72小时内完成全量安装，安全执行组每月排查一次终端防护软件安装率、补丁更新率，要求达到100%；2.移动存储介质实行分类管控，涉密U盘仅可在涉密终端使用，禁止交叉接入私人终端、非涉密终端，禁止使用私人U盘存储公司涉密数据；3.公司无线网络分为内部SSID与访客SSID，内部SSID需通过员工账号认证后接入，可访问内部业务网段，访客SSID仅可访问互联网，无法访问内部网段；访客接入网络需由接待部门提交申请，注明访客姓名、身份证号、设备MAC地址、访问时长，经部门负责人审批后开通权限，访客权限最长有效期为24小时，到期自动注销，如需延长需重新审批。第五章数据安全管理制度5.1数据分级分类管控公司所有数据按照敏感程度分为四个等级，实行差异化管控，具体管控标准如下：数据分级定义典型示例管控要求一级（绝密）涉及公司核心利益、泄露后会对公司造成毁灭性损失，或涉及用户核心隐私、泄露后会引发重大合规风险的数据核心算法源代码、未公开的年度财报、用户身份证号/银行卡号/生物特征信息、核心业务投标底价1.仅CEO授权的核心岗位人员可访问，访问需经部门负责人、CEO双重审批；2.存储需采用国密算法加密，传输需通过专用加密通道，禁止对外传输，确需传输的需经CEO专项审批；3.操作日志全程留痕，留存不少于180天，禁止下载、复制到本地存储二级（机密）涉及公司经营机密、泄露后会对公司造成较大经济损失或竞争劣势的数据未公开的业务规划、客户全量名单、内部薪酬体系、项目核心研发资料1.仅对应业务部门的岗位人员可访问，访问需经部门负责人审批；2.存储加密，传输需通过内部加密系统，禁止使用微信、QQ等公共渠道传输；3.对外披露需经法务部、安全执行组双重审核三级（内部公开）仅可在公司内部传播、对外泄露不会造成重大损失的数据内部培训资料、通用管理制度、公开的业务操作规范1.所有内部员工可访问，禁止无正当理由对外传播；2.对外发布需经部门负责人审核四级（公开）可对外公开发布的数据官方发布的新闻稿、招聘信息、产品宣传资料无特殊管控要求，发布前需经品牌部审核内容合规性5.2数据全生命周期管理1.数据采集：遵循“合法、正当、最小必要”原则，采集用户个人信息需明确告知用户采集目的、用途、存储期限，取得用户明示同意，禁止超范围、过度采集用户信息；2.数据存储：不同等级的数据分区域存储，绝密、机密数据存储在内部加密服务器，禁止存储在第三方公有云服务器，核心数据每日做增量备份、每周做全量备份，备份数据异地存储；3.数据使用：测试环境使用数据需做脱敏处理，将用户隐私信息、核心经营数据替换为模拟数据，禁止在测试环境使用真实的绝密、机密数据；数据展示需做权限控制，不同岗位人员仅可查看权限范围内的数据字段；4.数据销毁：不再使用的涉密数据需做不可逆销毁，存储数据的硬盘需做物理粉碎，禁止仅通过格式化、删除文件的方式销毁数据；数据销毁需由2名运维人员共同操作，全程录像留存记录。5.3数据泄露上报要求所有人员发现数据泄露、数据异常流出的情况，需第一时间向安全执行组上报，不得瞒报、迟报，上报内容包括泄露的数据等级、涉及的数据量、可能的泄露原因，安全执行组接报后需立即启动应急处置流程。第六章应用系统安全管理制度6.1上线前安全管理1.所有业务系统、功能模块上线前，必须完成安全测试，包括漏洞扫描、渗透测试、代码审计，高危、中危漏洞未修复的不得上线，低危漏洞需制定整改计划，上线后15个工作日内完成修复；2.系统使用的第三方开源组件需提前排查是否存在已知安全漏洞，存在高危漏洞的组件不得使用，上线前需提交第三方组件清单至安全执行组备案；3.涉及用户个人信息收集的系统，上线前需经法务部审核个人信息收集规则符合合规要求，完成个人信息保护影响评估后方可上线。6.2运行中安全管理1.系统运行期间，安全执行组每周开展一次安全巡检，排查系统运行异常、漏洞隐患，每月出具系统安全巡检报告；2.系统操作日志需包含操作人、操作时间、操作内容、IP地址、操作结果等核心字段，日志不可篡改、不可删除，留存时间不少于180天，符合等保2.0要求；3.每季度开展一次账号权限清理，注销闲置超过3个月的账号，收回人员调岗后不再需要的过度权限，确保权限与岗位职责匹配；4.第三方系统接入公司网络前，需由安全执行组开展安全评估，确认不存在高危漏洞后，签署安全保密协议，明确双方安全责任，方可开通接入权限，接入后仅开放必要的接口权限，禁止全端口开放。6.3下线安全管理系统下线前，需完成数据迁移或销毁，确认所有涉密数据已完成备份或不可逆销毁，注销系统所有用户账号、运维账号，关闭对应的服务器端口、域名解析，由安全执行组验收确认无数据残留、无接入风险后方可完成下线。第七章应急处置与灾备管理制度7.1安全事件分级响应公司网络安全事件分为三个等级，实行分级响应，具体响应标准如下：事件等级定义响应主体响应时限处置流程一级（特别重大）核心业务系统瘫痪超过4小时、用户核心隐私数据泄露超过10万条、勒索病毒攻击导致全公司网络瘫痪、已引发监管部门介入或大规模用户投诉的事件网络安全领导小组接报后15分钟内启动响应1.第一时间切断攻击源，避免影响范围扩大；2.1小时内上报监管部门，同步启动用户告知流程；3.协调跨部门资源开展系统恢复、漏洞修复；4.事件处置完成后3个工作日内出具复盘报告，优化防护措施二级（重大）非核心业务系统瘫痪超过8小时、非核心数据泄露1-10万条、局部网络被攻击影响部分业务正常运行，未引发大规模影响的事件安全执行组+涉事业务部门接报后30分钟内启动响应1.第一时间采取止损措施，排查攻击路径；2.24小时内完成漏洞修复、系统恢复；3.处置完成后1个工作日内上报领导小组，同步开展隐患排查三级（一般）单个终端中病毒、个别账号被盗、少量非涉密数据泄露，未造成业务影响的事件安全执行组接报后1小时内启动响应1.对涉事终端做病毒查杀、涉事账号重置密码；2.排查风险隐患，对相关人员做安全提醒；3.处置记录留存归档7.2灾备管理要求1.核心业务数据、绝密/机密数据实行“两地三中心”灾备，本地机房实时备份，异地灾备机房每日同步备份数据，每季度开展一次备份数据恢复测试，确认备份数据可用，恢复测试通过率需达到100%；2.核心系统RTO（恢复时间目标）不超过4小时，RPO（恢复点目标）不超过1小时，非核心系统RTO不超过24小时，RPO不超过8小时；3.每年至少开展2次应急演练，包括钓鱼邮件演练、勒索病毒处置演练、数据泄露事件处置演练，演练覆盖所有部门，演练后出具演练报告，优化应急预案，提升应急处置能力。第八章安全审计与考核问责8.1安全审计要求安全执行组每月对网络操作日志、系统访问日志、数据