公司网络安全管理办法

公司网络安全管理办法第一章总则与适用范围1.1目的为统一××科技股份有限公司（以下简称“公司”）网络安全管理要求，防范数据泄露、勒索病毒、供应链攻击、内部越权四类核心风险，保障研发、生产、销售、服务四大业务连续运行，特制定本办法。1.2适用范围本办法覆盖公司总部、三个研发中心、两个云机房、全国27个办事处、全部正式员工、实习生、外包驻场、第三方远程运维人员。1.3上位法与标准以《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》为底线，同步满足ISO27001:2022、等保2.0（三级）、PCI-DSSv4.0、GDPR第32条、SOX404条款要求。第二章组织与职责2.1网络安全委员会（以下简称“网安委”）主任：公司分管安全副总裁；成员：CIO、CFO、法务总监、人力总监、业务线总经理。每月第一个工作日召开例会，对重大风险决策拥有“一票否决权”。2.2安全运营中心（SOC）编制18人，7×24小时四班倒，负责告警分级、事件定级、取证、溯源、通报。2.3数据安全小组（DPO办公室）编制6人，专职数据保护官1名，负责个人信息映射表、跨境数据审批、数据出境安全评估。2.4各部门安全员研发、测试、生产、市场、财务、人力、行政、采购、审计九大部门各设1名兼职安全员，年度KPI中“安全”权重占20%，与年终奖直接挂钩。第三章资产与分类分级3.1资产清单采用“自研CMDB+网段扫描+Agent上报”三源合一，每6小时更新一次，字段≥42项，包含硬件序列号、OS版本、中间件、责任人、保密级别、生命周期状态。3.2五级分类公开（L1）、内部（L2）、秘密（L3）、机密（L4）、绝密（L5）。3.3自动化打标源代码仓库采用GitLabCI调用自研插件，根据文件路径、正则匹配、关键字自动打标；误标率控制在2%以内，由安全运营中心每周抽样复核。第四章身份与访问控制（IAM）4.1账号生命周期入职：HR系统触发→AD自动开户→RSASecurID硬件令牌→企业微信推送初始口令；转岗：权限回收脚本30分钟内失效→新权限二次审批→审计日志留痕7年；离职：HR状态=“离职”→AD禁用→VPN强制下线→门禁失效→邮箱转发30天后删除。4.2最小权限基于RBAC+ABAC混合模型：角色定义47个，属性标签13个（项目、地域、客户等级、时段）。4.3多因子认证所有远程接入必须MFA；研发区跳板机使用FIDO2指纹+证书双因子；生产数据库使用一次性短信+硬件UKey。4.4特权账号管理采用CyberArk保险箱，密码30位随机，每8小时自动改密；取用时需工单+双人复核+录屏；审计录像保存3年。第五章终端与服务器安全5.1标准化镜像研发、办公、生产三类镜像由安全团队统一制作，每季度更新一次；MD5值写入ISO文件并发布在内网yum源。5.2基线加固Windows：关闭SMBv1、禁用Wdigest、开启CredentialGuard、BitLocker强制256位AES；Linux：GRUB加密、SELinuxEnforcing、sshd禁止root直接登录、审计规则≥127条。5.3漏洞管理外部扫描：TenableNessus每周一次；基线扫描：自研脚本每日一次；渗透测试：每年两次，由外部A级测评机构执行；高危漏洞：SLA为24小时出具修复方案，72小时内闭环。5.4终端检测与响应（EDR）部署CrowdStrike，策略：–进程链白名单外禁止Office子进程生成PowerShell；–检测到Mimikatz立即隔离并弹窗；–离线终端30分钟未上报心跳则强制网络准入失效。第六章应用与开发安全（SDL）6.1需求阶段产品经理在Jira创建需求卡片时必须勾选“是否涉及个人敏感信息”，如勾选则自动创建安全需求子任务并分配至安全架构师。6.2设计阶段威胁建模使用MicrosoftThreatModelingTool，输出STRIDE报告；高风险问题必须给出缓解措施并评审通过后方可进入编码。6.3编码阶段强制使用公司GitLab统一仓库；提交前触发SonarQube+FortifySCA双引擎扫描；高危漏洞阻断合并。6.4测试阶段黑盒：BurpEnterprise每日定时扫描；灰盒：OWASPZAP自动化+手工补充；白盒：Semgrep自定义规则312条。6.5上线阶段安全报告得分≥90分且中高危漏洞清零方可进入ChangeReviewBoard评审；灰度发布比例5%→15%→50%→100%，每阶段观察24小时无异常方可继续。第七章数据与隐私安全7.1数据映射与血缘使用ApacheAtlas做全链路血缘，字段级粒度；当字段被标记为“个人敏感”时，下游所有任务自动继承标签。7.2加密传输：TLS1.3强制，禁止RC4、3DES、TLS1.0/1.1；存储：MySQL采用AES-256-GCM，密钥存于KMS，轮换周期90天；备份：使用GPG对称加密后落盘，密钥分三片Shamir秘密共享，分别由CFO、安全总监、法务总监保管。7.3脱敏开发测试环境统一使用Faker化数据；脱敏算法：姓名→随机中文、身份证→保留出生年月+后四位随机、手机号→保留前三后四；脱敏作业失败则自动阻断数据下发并告警。7.4跨境传输数据出境前必须通过“数据出境安全评估系统”自评，得分≥85分且通过法务部复核方可传输；涉及个人信息>10万条须向省级以上网信办报备。第八章网络与边界安全8.1网络分区办公区、研发区、测试区、生产区、DMZ、管理区六区隔离，核心交换机使用VXLAN+EVPN实现微分段；策略变更通过Terraform编排，合并前需MR审批。8.2防火墙策略默认拒绝；策略条数≤5000条；每季度由防火墙策略清理工具扫描冗余，删除90天无命中策略；变更窗口为周三00:00—04:00。8.3入侵检测/防御生产区旁路部署Suricata+Zeek，IPS模式启用阻断；特征库每日更新；自定义规则89条，重点检测WebShell、SQL注入、Crypto挖矿。8.4零信任远程访问使用ZscalerPrivateAccess，基于用户、设备、应用、位置四维动态评估；访问ERP系统需风险评分≤35方可建立连接。第九章日志、监控与审计9.1日志分类系统日志、应用日志、安全日志、操作日志、审计日志五类；统一发送至Graylog，保留180天，冷热分层；冷数据压缩后存入S3Glacier，保存7年。9.2告警分级P1紧急：业务中断或数据泄露已发生；15分钟内电话通知+钉钉；P2重要：高危漏洞或异常登录；30分钟内邮件+工单；P3一般：策略违规或配置漂移；24小时内处理；P4提示：合规基线轻微不合；72小时内处理。9.3审计频率账号权限审计：每月1日自动拉取IAM报表，由部门经理签字确认；特权账号录像审计：SOC每周随机抽查10%录像；财务系统：每季度由外部审计师执行CISA审计。第十章备份、容灾与业务连续性10.1备份策略数据库：全量每天02:00，增量每4小时；文件系统：增量实时同步至异地300km机房；对象存储：版本保留30天，跨区域复制至阿里云OSS金融云。10.2演练每半年执行一次真实切换，RTO≤30分钟，RPO≤5分钟；演练报告提交网安委，发现3项以上整改未完成则扣罚运维团队季度奖金10%。10.3勒索病毒专防备份系统使用不可变存储（WORM），锁定期7天；备份网络与生产网络物理隔离；备份恢复演练每季度一次，随机抽取5%业务数据做哈希校验。第十一章第三方与供应链安全11.1准入评估所有供应商必须填写《安全问卷120题》，提交近一年渗透测试报告、ISO27001证书、SOC审计报告；得分<80分禁止准入。11.2合同约束合同中必须包含：数据泄露24小时通知义务、违约金为合同金额30%、有权进行远程安全审计、源代码托管至公司指定仓库。11.3持续监控对Top20核心供应商接入公司VPN的IP实行每日威胁情报碰撞，发现恶意域名解析立即阻断并启动现场审计。第十二章安全事件应急响应12.1事件分级L1特别重大：国家级监管通报或>50万条个人信息泄露；L2重大：业务中断>2小时或>10万条数据泄露；L3较大：局部业务受影响或<10万条数据泄露；L4一般：局部异常未造成实质损失。12.2响应流程检测→初步研判→定级→通报→遏制→根除→恢复→复盘→报告。遏制：–网络隔离：使用Ansible批量下发黑洞路由；–账号禁用：一键禁用AD账号脚本30秒内生效；–关机：对加密勒索主机执行IPMI强制关机。复盘：72小时内召开，必须输出5W2H报告；责任部门7日内提交整改清单，逾期每日扣0.5%部门预算。12.3取证使用Velociraptor远程采集内存、磁盘、注册表；证据袋写入SHA256并上传至链存系统，确保不可篡改；取证过程全程录像。第十三章安全教育与意识13.1新员工入职第一周完成45分钟在线课程+钓鱼模拟测试，点击率>10%须重新培训。13.2研发人员每年至少8小时安全编码培训，包含OWASPTop10、公司SDL规范、实战靶机演练；未通过考试禁止提交代码。13.3全员每月推送1期“安全小贴士”海报；每季度举办一次“安全文化日”，现场设置破解闯关、密码强度测试、隐私保护签名墙。第十四章合规与审计14.1等保测评生产系统每两年完成三级等保测评；分数≥75分方可拿证；对整改项实行“红黄牌”制度，逾期两次亮红牌，部门经理就地免职。14.2ISO27001每年监督审核；发现严重不符合（Major）需在30天内提交纠正措施，并由外部机构验证。14.3数据出境评估由DPO办公室牵头，联合法务、政府事务部，提前6个月启动；评估报告、合同、技术方案、用户告知材料四份文件缺一不可。第十五章绩效考核与奖惩15.1考核权重安全指标占部门KPI20%，其中事件数量、漏洞修复时长、钓鱼点击率、合规整改完成率各占5%。15.2奖励发现重大漏洞（CVSS≥8.0）且未被内部扫描发现，奖励5000—50000元；年度安全之星奖励国外安全大会门票+5天带薪假期。15.3惩罚泄露客户数据：直接责任人解除劳动合同并追偿损失；瞒报安全事件：直接主管降职降级；违规使用弱口令：第一次500元罚