网络信息安全管理制度

网络信息安全管理制度第一章总则1.1目的依据为规范公司网络信息安全管理，防范网络攻击、数据泄露、系统宕机、非法入侵等安全风险，保障公司业务连续稳定运行，保护公司、客户及员工的合法权益，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全等级保护条例》等法律法规及行业监管要求，结合公司实际经营情况制定本制度。1.2适用范围本制度适用于公司及下属所有子公司、分公司的全体正式员工、劳务派遣人员、外包人员、第三方供应商、合作伙伴等所有访问或使用公司网络、系统、数据的主体，所有涉及公司网络信息安全的操作均需遵守本制度要求。1.3基本原则坚持“谁主管谁负责、谁使用谁负责、谁运营谁负责”的责任归属原则，所有操作全程留痕、可审计、可溯源；坚持“预防为主、攻防结合、综合治理”的风险防控原则，优先从技术、管理层面阻断安全隐患；坚持“权责统一、奖惩分明、全程管控”的落地执行原则，将安全责任落实到每个岗位、每个人员。第二章组织架构与职责2.1网络信息安全领导小组由公司总经理任组长，分管IT、法务、行政、核心业务线的副总经理任副组长，各部门负责人为成员，是公司网络信息安全的最高决策机构，主要职责包括：审批公司网络信息安全管理制度、年度安全建设规划、年度安全预算；统筹协调公司网络信息安全重大事项决策，指挥重大安全事件的处置工作；审定安全考核结果，批准安全奖惩方案；每季度召开1次安全工作专项会议，听取安全工作汇报，部署下一阶段安全防控重点。2.2网络信息安全执行小组由IT部经理任组长，各部门指定1名专职或兼职安全员为成员，负责网络信息安全的日常落地执行工作，主要职责包括：起草、修订公司网络信息安全管理制度、操作规范、应急预案；组织开展全员安全培训、应急演练、安全隐患排查工作；负责网络、系统、数据的日常安全运维、漏洞修复、日志审计工作；对接监管部门的网络安全检查，落实监管要求的整改工作；发生安全事件时，按照应急预案开展处置、溯源、上报工作，形成事件调查报告提交领导小组。2.3各部门安全员职责负责本部门的安全宣贯、日常安全检查，监督本部门员工遵守安全制度；收集本部门的安全需求、安全隐患，及时上报执行小组；配合执行小组开展安全培训、应急演练、事件调查工作；每月向执行小组提交本部门安全工作月报。第三章人员安全管理3.1全流程管控要求人员安全管控覆盖入职、在职、离职全周期，所有管控节点均需留存纸质或电子档案，存档期限不少于人员离职后3年。管控阶段管控事项责任部门完成时限验证标准入职安全基础培训与考核执行小组、人力资源部入职当日培训签字记录、考核试卷得分≥80分入职签订安全保密协议人力资源部、法务部入职当日员工签字按手印的保密协议原件存档入职系统账号开通与权限分配IT部、员工所属部门考核通过后1个工作日内权限分配审批单、系统账号创建日志存档在职年度安全复训与考核执行小组、各部门安全员每年6月、12月各开展1次培训签到表、考核通过率100%在职异常行为排查执行小组、各部门安全员每月1次排查记录、异常问题闭环整改单离职所有权限回收IT部、人力资源部离职申请审批通过后1小时内账号注销日志、权限回收确认单签字离职设备与敏感资料回收行政部、员工所属部门离职当日设备签收单、敏感资料销毁/回收记录3.2在职环节具体要求执行小组组织的年度安全复训内容需覆盖钓鱼邮件识别与防范、密码安全规范、敏感数据防护要求、勒索病毒防范、远程办公安全规范、个人信息保护合规要求等实操内容，因特殊原因未参加现场培训的员工需在7个工作日内完成线上补训及考核；严禁员工将公司配发的电脑、U盘、加密狗等设备转借外部人员使用，严禁在公司设备上安装未经IT部审批的软件，严禁访问色情、赌博、涉诈等违法网站，严禁利用公司网络从事与工作无关的违法违规活动；员工收到可疑邮件、链接，或发现设备中毒、账号异常登录等情况时，需第一时间断开网络并上报执行小组，严禁私自点击链接、下载附件或删除相关记录。3.3离职环节具体要求人力资源部在收到员工离职申请后，第一时间同步至IT部，IT部必须在离职申请审批通过后1小时内注销该员工所有内部系统账号、邮箱、VPN、企业微信、门禁等所有访问权限，严禁权限回收滞后；对回收的存储设备要进行3次以上的数据擦除，确认无敏感数据残留后方可重新调配使用；离职员工必须签订《离职保密承诺书》，明确离职后2年内仍需承担的保密义务，泄露公司敏感数据的需承担相应的民事及刑事责任。第四章网络运维安全管理4.1网络边界与日常巡检要求公司网络实行内外网物理隔离，内网仅用于访问内部业务系统、存储敏感数据，外网仅用于日常办公、对外沟通，严禁员工私自搭建内外网互通的通道，严禁通过外网直接访问内部核心系统；公司网络入口部署下一代防火墙、入侵检测系统、入侵防御系统、Web应用防火墙，执行小组每周更新一次防火墙规则，关闭所有不必要的端口，对所有出入网的流量进行实时监测，发现异常流量（如端口扫描、暴力破解、批量数据外传）第一时间进行拦截溯源。巡检项巡检频率检查标准异常处置流程防火墙、IDS/IPS、WAF运行状态每日1次设备在线率100%，CPU占用率≤70%，内存占用率≤70%，无高危告警发现设备离线立即排查故障，2小时内恢复，无法恢复的上报执行小组组长核心交换机、路由器运行状态每日1次设备在线率100%，端口无异常丢包，带宽占用率≤80%发现带宽异常升高立即溯源，确认存在攻击的第一时间阻断攻击源漏洞扫描与修复每周1次高危漏洞修复率100%，中危漏洞修复率≥90%，低危漏洞限期整改发现高危漏洞立即制定修复方案，72小时内完成修复，修复前做好业务备份网络配置备份每周1次所有网络设备配置完整备份，备份文件加密存储至离线介质备份失败的立即排查原因，24小时内完成重新备份远程访问日志审计每日1次所有VPN访问操作均有日志留存，无异常时间、异常IP的访问记录发现异常访问立即冻结账号，溯源核实是否存在账号泄露情况4.2远程办公与终端安全要求所有需要远程访问公司内网的员工必须提交申请，经部门负责人、执行小组审批通过后，由IT部开通VPN权限，VPN账号实行一人一号，严禁共享账号，严禁转借他人使用；VPN登录必须启用双因子认证，除账号密码外，还需通过企业微信验证码、动态令牌其中一种方式进行验证，未启用双因子认证的账号一律关停；员工远程办公必须使用公司配发的电脑，且必须安装企业统一部署的杀毒软件、终端安全管理系统，严禁使用公共WIFI、网吧电脑、个人未安装安全防护的设备访问公司内网，远程办公结束后必须立即断开VPN连接；所有公司配发的终端设备必须开启实时防护、自动更新病毒库功能，严禁员工私自关闭杀毒软件、卸载终端安全管理系统，IT部每周对所有终端设备进行病毒查杀、补丁更新扫描，发现存在病毒、未修复高危补丁的终端，立即断网处理，要求员工配合完成病毒查杀、补丁修复后方可重新连网。第五章数据安全管理5.1数据分级与管控标准公司所有数据按照敏感程度、影响范围分为四个等级，分别为公开级、内部级、敏感级、核心级，所有数据分级需由数据所属部门梳理后报执行小组审定，分级信息每季度更新一次。数据级别定义存储要求访问权限要求传输要求销毁要求公开级可面向社会公众公开披露的数据，包括公司官网宣传资料、公开招聘信息、对外发布的新闻稿等可存储至公开服务器、普通云盘所有人员均可访问，无审批要求可通过任意渠道传输可直接删除，无需审批内部级仅可在公司内部全体员工范围内流通的数据，包括普通内部管理制度、内部培训资料、非敏感的内部通知等存储至内部文件服务器，无需加密所有内部员工均可访问，外传需部门负责人审批内部传输可走普通通道，外传需加密可逻辑删除，无需留痕敏感级一旦泄露会对公司、客户造成一定损害的数据，包括普通客户的个人信息、公司月度经营数据、未公开的产品迭代计划、员工薪资数据等加密存储至内部专用文件服务器，开启访问日志记录仅授权岗位人员可访问，跨部门访问需部门负责人+执行小组审批所有传输必须走HTTPS/VPN加密通道，严禁通过微信、QQ等公共社交软件传输需由数据所属部门提交销毁申请，经执行小组审批后，通过数据擦除软件彻底删除，销毁记录存档不少于3年核心级一旦泄露会对公司、客户造成重大损害，甚至触犯法律法规的数据，包括核心技术算法、用户交易数据、核心客户信息、公司年度财务报表、未公开的重大战略决策等加密存储至离线专用服务器，实行两地三备份，开启操作全程留痕仅指定核心岗位人员可访问，所有访问必须经总经理审批，操作全程录像原则上禁止外传，确需外传的需经总经理审批，传输全程加密，全程留痕需由数据所属部门提交销毁申请，经总经理审批后，通过物理粉碎、消磁的方式销毁，销毁过程至少2人在场见证，销毁记录永久存档5.2全生命周期管控要求数据采集环节：采集客户个人信息必须严格遵循《个人信息保护法》要求，遵循合法、正当、必要、最小化原则，明确告知客户数据采集的用途、存储期限、使用范围，获得客户的明确同意后方可采集，严禁超范围采集客户信息；数据存储环节：所有敏感级、核心级数据必须采用AES-256及以上加密算法加密存储，核心数据必须实行本地实时备份、异地每日备份，备份数据与生产数据物理隔离，严禁将敏感、核心数据存储至境外服务器；数据使用环节：使用敏感、核心数据开展数据分析、产品测试等工作时，必须对数据进行脱敏处理，删除姓名、手机号、身份证号、银行卡号等个人可识别信息，严禁使用原始敏感数据开展非必要的工作；数据共享环节：对外共享敏感、核心数据必须签订数据安全保密协议，明确对方的安全责任、数据使用范围、保密义务，经审批通过后方可共享，严禁私自对外共享任何敏感、核心数据；数据销毁环节：达到存储期限的敏感、核心数据必须按照管控标准及时销毁，严禁随意丢弃存储敏感数据的硬盘、U盘等存储介质，严禁仅通过删除、格式化的方式销毁敏感数据。第六章系统与应用安全管理6.1上线与运维安全要求所有新开发、新采购的业务系统、应用程序上线前必须由执行小组开展安全测试，包括漏洞扫描、渗透测试、代码审计，测试发现的高危漏洞必须100%修复，中危漏洞修复率不低于90%，未通过安全测试的系统一律不得上线；上线前必须制定系统权限分配方案，明确系统管理员、普通用户的权限范围，严格遵循最小权限原则分配权限，系统管理员账号必须由2人以上共管，所有操作留痕可审计；上线前必须完成数据备份方案、应急预案的制定，明确备份频率、备份存储位置、恢复流程，确保系统发生故障时可快速恢复。6.2账号与补丁管理要求所有系统账号实行一人一号，严禁共享账号、通用账号，因特殊需求需要设置公用账号的，必须经执行小组审批通过，指定专人负责管理，所有操作记录留存不少于6个月；系统密码必须符合复杂度要求，长度不少于12位，包含大小写字母、数字、特殊字符，每90天必须更换一次，严禁使用生日、手机号、123456等弱密码，严禁将密码记录在纸质笔记本、公共便签等容易泄露的地方；执行小组每周对所有系统、应用开展一次漏洞扫描，每月联合第三方安全机构开展一次渗透测试，发现的高危漏洞必须在72小时内完成修复，中危漏洞在15个工作日内完成修复，低危漏洞在30个工作日内完成修复；系统补丁修复前必须在测试环境开展兼容性测试，确认不会影响业务正常运行后方可在生产环境部署，修复后必须进行验证，确保补丁修复有效。6.3第三方供应商安全要求所有需要接入公司网络、系统，或者接触公司敏感数据的第三方供应商，必须在合作前开展安全评估，评估内容包括供应商的安全管理制度、技术防护能力、过往安全事件情况，评估不合格的不得合作；合作前必须签订《数据安全保密协议》《网络安全责任协议》，明确供应商的安全责任，若因供应商原因导致公司数据泄露、网络攻击事件的，供应商需承担全部损失赔偿责任，情节严重的追究法律责任；执行小组每年对合作的第三方供应商开展至少一次安全审计，检查供应商的安全措施落实情况，发现安全隐患的要求供应商15个工作日内完成整改，整改不到位的终止合作。第七章应急处置与灾备管理7.1应急预案与演练要求执行小组负责制定覆盖所有常见安全场景的应急预案，包括但不限于勒索病毒攻击事件、数据泄露事件、系统宕机事件、网络中断事件、DDoS攻击事件，每个预案明确事件分级、处置流程、责任分工、上报要求；应急预案每年至少修订一次，根据公司业务变化、新的安全风险、演练中发现的问题及时更新优化，确保预案的可操作性；执行小组每年至少组织2次全员应急演练，上半年度开展勒索病毒攻击、网络中断场景的演练，下半年度开展数据泄露、系统宕机场景的演练；演练前必须制定演练方案，明确演练目标、参与人员、演练流程，演练过程中做好记录，演练结束后3个工作日内出具演练总结报告，针对演练中发现的问题制定整改方案，优化应急预案。7.2灾备与事件处置要求核心业务系统实行双机热备，RTO（恢复时间目标）≤4小时，RPO（恢复点目标）≤1小时，核心数据实行本地实时备份、异地每日备份、离线每月备份的三地三备份机制，备份数据存储在物理隔离的存储设备中；执行小组每季度开展一次备份数据恢复测试，验证备份数据的可用性，恢复测试通过率必须达到100%，发现备份失效的立即排查原因，24小时内完成重新备份。公司网络信息安全事件分为四个等级：一般事件指未造成数据泄露、业务中断时间≤30分钟、无经济损失的事件；较大事件指少量非核心数据泄露、业务中断时间≤2小时、经济损失≤10万元的事件；重大事件指敏感数据泄露、业务中断时间≤24小时、经济损失≤100万元的事件；特别重大事件指核心数据泄露、业务中断时间＞24小时、经济损失＞100万元，或者需要向监管部门上报的事件。发生安全事件后，发现人第一时间上报执行小组，执行小组立即启动应急预案开展处置，一般事件24小时内上报领导小组，较大事件2小时内上报领导小组，重大、特别重大事件立即上报领导小组，同时按照监管要求在规定时间内上报网信、公安等监管部门；事件处置完成后5个工作日内，执行小组出具事件调查报告，明确事件原因、造成的损失、处置过程、责任认定、整改措施，上报领导小组。第八章审计与考核管理8.1安全审计要求执行小组每月对所有网络日志、系统操作日志、数据访问日志、