网络信息安全管理制度

网络信息安全管理制度第一章总则第一条制定目的为规范单位网络信息安全管理工作，防范和化解网络安全风险，保障单位计算机网络、信息系统、数据资源及业务运营的安全稳定运行，防范网络攻击、数据泄露、病毒入侵、信息篡改等安全事件发生，维护单位正常经营管理秩序，保护单位、客户及合作方合法权益，依据国家相关法律法规，结合本单位实际运营情况，特制定本制度。第二条制定依据本制度严格遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《计算机信息系统安全保护条例》《网络安全等级保护基本要求》等国家法律法规、行业标准及监管要求，立足单位网络信息安全管理实际，统筹安全与发展、管理与运维、预防与应急的关系，构建全方位、多层次的网络信息安全管理体系。第三条适用范围本制度适用于本单位所有部门、全体在职员工、劳务派遣人员、实习人员、外包服务人员以及所有接入单位网络、使用单位信息系统和数据资源的合作单位及外来人员。管理范围涵盖单位内部所有计算机设备、服务器、网络设备、存储设备、移动终端、办公系统、业务系统、网站平台、微信公众号、小程序、云服务平台等软硬件设施，以及单位生产经营、客户服务、内部管理过程中产生、收集、存储、传输、使用、销毁的全部数据信息。凡涉及单位网络信息活动的所有行为，均须严格遵守本制度规定。第四条基本原则1.依法合规原则：严格遵守国家网络信息安全相关法律法规及行业监管规定，落实网络安全主体责任，确保所有网络信息活动合法合规。2.安全优先原则：坚持网络安全与信息化建设同步规划、同步建设、同步使用，在开展业务运营、系统升级、网络拓展等工作中，优先保障网络信息安全。3.全员负责原则：建立“全员参与、层层负责、责任到人”的安全管理机制，明确各部门、各岗位安全职责，杜绝安全管理盲区。4.预防为主原则：以风险预防为核心，常态化开展安全排查、漏洞整改、风险预警工作，提前防范各类网络安全风险，降低安全事件发生率。5.应急处置原则：建立健全网络安全应急响应机制，快速处置突发安全事件，最大限度降低安全事件造成的损失和影响。6.持续改进原则：定期开展安全评估、制度复盘、培训考核工作，结合网络安全新形势、新风险、新技术，持续优化安全管理制度和防护体系。第二章组织机构与安全职责第五条安全管理组织机构为落实网络信息安全主体责任，单位成立网络信息安全管理领导小组，由单位主要负责人担任组长，分管信息化工作的领导担任副组长，各部门负责人为核心成员。领导小组下设网络安全管理办公室，办公室设在信息化管理部门，配备专职网络安全管理员、系统运维员，统筹负责单位日常网络信息安全管理、运维、监督、培训、应急等各项工作。第六条领导小组职责1.统筹规划单位网络信息安全整体工作，审定网络信息安全管理制度、年度安全工作计划、应急处置预案、安全投入预算等重要文件。2.落实国家网络安全法律法规及监管要求，部署网络安全专项工作，督促各部门落实安全责任。3.研判单位重大网络安全风险，决策重大安全整改、系统升级、安全防护设备部署等重要事项。4.牵头处置重大网络安全突发事件，统筹协调应急资源，审定事件处置结果及追责问责方案。5.定期召开网络安全工作会议，复盘安全工作情况，解决安全管理中的重点、难点问题。第七条网络安全管理办公室职责1.负责本制度的落地执行、解读培训、动态修订，细化各类安全管理细则和操作规范。2.负责单位网络设备、信息系统、终端设备、数据资源的日常安全运维、监测监控、漏洞扫描、风险排查工作。3.负责网络访问权限、账号密码、IP地址、网络端口的统一管理，规范网络接入和使用流程。4.常态化开展网络安全宣传、培训、考核工作，提升全员网络安全意识和操作能力。5.负责网络安全事件的日常监测、初步研判、应急处置、溯源分析、上报归档工作。6.对接网信、公安、行业监管部门，落实各类安全专项检查、整改上报工作。7.负责安全设备、防护软件、运维工具的选型、部署、升级、维护，保障安全防护体系有效运行。第八条各部门岗位职责1.各部门是本部门网络信息安全的直接责任主体，部门负责人为第一责任人，负责落实本制度在本部门的执行落地。2.各部门需指定专人担任部门网络安全联络员，配合安全管理办公室开展安全排查、整改落实、信息上报、培训学习等工作。3.各部门在业务开展过程中，需严格规范数据收集、存储、传输、使用行为，杜绝违规操作、越权访问、数据泄露等问题。4.发现网络异常、系统故障、数据风险、病毒入侵等安全隐患时，需第一时间上报安全管理办公室，不得隐瞒、拖延、私自处置。第九条员工个人职责1.全体员工必须严格遵守本制度及各项网络安全操作规范，规范使用单位网络、设备、系统和数据资源。2.主动参加网络安全培训学习，掌握基础安全防护知识和操作技能，提升个人安全防范意识。3.妥善保管个人办公设备、系统账号、密码、密钥等安全信息，严禁转借、泄露他人。4.日常办公中自觉防范钓鱼邮件、恶意链接、病毒木马，杜绝各类违规上网和操作行为。5.发现安全隐患和异常情况立即上报，积极配合安全事件排查和处置工作。第三章网络系统安全管理第十条网络基础设施管理单位所有核心交换机、路由器、防火墙、网关、无线AP、服务器等网络基础设施，由网络安全管理办公室统一登记、编号、建档管理，建立设备台账，详细记录设备型号、部署位置、启用时间、运维记录、升级情况等信息。网络基础设施实行专人运维负责制，定期开展设备巡检、除尘、调试、性能检测，及时排查设备老化、线路故障、运行异常等问题，保障网络基础设施稳定运行。未经允许，任何人员不得私自拆卸、移动、改装网络设备，不得私自更改网络设备配置参数。第十一条网络接入管理1.单位内部办公电脑、终端设备、打印机等设备接入内网，需向网络安全管理办公室提交接入申请，审核通过后由专人统一配置IP地址、开通网络权限，严禁私自接入内网。2.外来人员、外来设备需接入单位网络的，必须履行审批登记手续，明确接入时长、访问权限，由运维人员配置临时网络权限，使用完毕后立即注销权限、清除接入记录。3.严禁私自搭建无线热点、路由器、交换机等网络设备，严禁私自拓展网络端口、更改网络布线，防止出现网络漏洞和非法接入风险。4.内网与外网实行安全隔离，核心业务内网严禁直接接入互联网，如需跨网数据传输，需通过安全摆渡设备、防火墙策略严格管控，做好数据审计记录。第十二条网络访问与行为管理1.网络安全管理办公室需配置防火墙、上网行为管理系统，对全员上网行为进行实时监测、记录和管控，屏蔽色情、赌博、暴力、非法政治等不良网站，限制访问高危风险网站。2.严禁员工在办公网络内开展游戏娱乐、网络直播、视频追剧、下载无关软件、浏览非法网站等与工作无关的上网行为。3.严禁利用单位网络发布、传播、转发违法违规、低俗色情、虚假谣言、煽动性不良信息，严禁利用单位网络从事侵权、诈骗、攻击他人网络等违法活动。4.所有网络访问、数据传输、上网行为日志需全程留存，日志留存时间不低于6个月，以备安全审计、事件溯源和监管核查。第十三条网络漏洞与风险管控网络安全管理办公室每月定期开展全网漏洞扫描、端口探测、风险排查工作，对网络设备、服务器、业务系统存在的安全漏洞、弱口令、开放高危端口等问题建立整改台账，明确整改责任人、整改时限，闭环落实整改。每季度开展一次全网安全风险评估，针对高危风险点制定专项防护措施，及时更新防火墙策略、封堵风险端口，有效防范网络入侵、渗透攻击、木马植入等网络安全风险。第四章信息系统安全管理第十四条系统建设与上线管理单位新建、改版、升级各类业务系统、办公系统、官方网站、小程序等信息系统，必须坚持安全同步建设原则，在系统规划、开发、测试阶段同步落实安全防护措施。系统正式上线前，需经过安全测评、漏洞扫描、渗透测试，排查整改全部安全隐患，完成等级保护测评、备案工作后方可上线运行。严禁未经安全检测、未经审批的信息系统正式投入使用。第十五条系统运维与升级管理所有信息系统实行专人运维管理，运维人员每日监测系统运行状态、访问流量、响应速度、报错信息，及时处理系统故障，保障系统稳定运行。定期开展系统补丁更新、版本升级、组件优化工作，优先修复高危安全漏洞，杜绝因系统老旧、补丁缺失引发的安全风险。系统升级、配置修改、功能调整等操作需提前报备、审批，做好操作记录，留存运维日志，重要操作需双人复核、全程留痕。第十六条系统权限与账号管理1.各类信息系统账号实行“一人一号、实名登记、权限最小化”原则，严禁多人共用一个账号，严禁私自注册、注销系统账号。2.根据岗位职能精准分配系统操作权限，杜绝超权限、跨岗位授权，员工岗位变动、离职时，需第一时间变更、回收其系统权限，注销闲置账号。3.系统密码需符合强口令要求，长度不低于8位，包含大小写字母、数字、特殊符号，严禁使用简单密码、初始密码、通用密码，每90天定期更换密码。4.核心系统、服务器、后台管理账号实行专人专用、双人保管，严禁转借他人使用，严禁在公共设备、陌生网络登录核心管理账号。第十七条网站与新媒体平台管理单位官方网站、微信公众号、视频号、小程序等新媒体平台，由指定部门专人负责运营管理，严格落实信息发布审核制度，所有对外发布的文字、图片、视频、公告等内容，需经过部门审核、分管领导审批后方可发布。定期开展网站漏洞排查、挂马检测、内容巡查工作，及时清理虚假信息、过期内容、违规留言，防范网站被篡改、被挂马、非法入侵等风险。严禁私自修改网站后台配置、违规上传文件、发布未经审核内容。第五章数据信息安全管理第十八条数据分类分级管理按照国家数据安全分类分级标准，结合单位业务实际，将单位数据分为公开数据、内部数据、敏感数据、核心机密数据四类，实行分级防护、分级管理。公开数据为可对外公示的基础信息；内部数据为单位内部办公、日常运营使用的非公开数据；敏感数据包含客户信息、联系方式、业务台账、经营数据等隐私信息；核心机密数据包含单位核心技术资料、财务机密、战略规划、核心业务数据、涉密文件等。针对不同等级的数据制定差异化防护措施，重点强化敏感数据和核心机密数据的安全防护。第十九条数据收集与存储管理数据收集遵循“合法、正当、必要、最小范围”原则，严禁超范围收集用户信息、业务数据，严禁以欺骗、诱导、强制等方式收集数据。收集个人信息需明确告知用户收集用途、使用范围，获取用户知情同意。所有业务数据、办公数据统一存储在单位专用服务器、存储设备中，严禁私自将核心数据、敏感数据存储在个人电脑、移动硬盘、私人云盘、手机等设备中。数据存储实行定期备份机制，普通数据每周备份一次，敏感数据、核心数据每日增量备份、每月全量备份，备份数据异地存放、加密存储，确保数据可追溯、可恢复。第二十条数据传输与使用管理内部数据传输优先使用单位内网、专用办公系统，敏感数据、核心数据传输必须采用加密方式，严禁通过公共网络、陌生邮箱、社交软件随意传输涉密、敏感数据。员工日常使用数据需严格遵循权限范围，不得越权查询、下载、复制、篡改、传播数据，严禁私自导出、拷贝单位核心业务数据、客户数据、涉密资料。对外提供数据需履行审批登记手续，明确数据用途、使用范围、保密要求，签订数据安全保密协议，做好对外数据交接记录。第二十一条数据销毁管理对于过期、作废、无用的涉密文件、电子数据、纸质资料，需按照安全规范统一销毁。电子数据销毁需采用专业粉碎工具彻底清除，杜绝数据残留、可恢复风险；存储设备报废前，需完成全盘数据清零、格式化、销毁处理。严禁随意删除、丢弃、外泄作废敏感数据，严禁私自拷贝留存已销毁的涉密数据资料。第六章终端设备与移动介质安全管理第二十二条办公终端设备管理单位所有办公电脑、笔记本、一体机、服务器等终端设备，实行专人使用、专人保管责任制，设备统一登记建档，明确使用人、使用部门、设备编号。所有终端设备必须安装正版操作系统、杀毒软件、安全防护软件，定期更新病毒库、查杀病毒、修复系统漏洞，关闭无用端口、禁用高危服务。严禁私自安装盗版软件、破解软件、来源不明的陌生软件，严禁卸载、关闭单位统一部署的安全防护程序。终端设备出现故障需外送维修时，必须提前备份、清除涉密敏感数据，安排专人全程跟进维修过程，防止数据泄露。第二十三条移动设备与介质管理U盘、移动硬盘、固态硬盘、手机、平板等移动设备和存储介质，实行按需领用、登记管理。涉密、敏感办公场景严禁使用私人移动存储介质，办公专用U盘、移动硬盘需定期查杀病毒、加密存储。严禁使用陌生、来源不明的移动介质接入单位内网设备，防止病毒、木马入侵。员工携带单位办公设备、存储介质外出，需履行审批手续，外出期间妥善保管，严防丢失、被盗、数据泄露，归还后及时进行安全检测、病毒查杀。第二十四条设备报废与变更管理办公设备、网络设备达到使用年限、无法正常使用需要报废的，由使用部门提交报废申请，经网络安全管理办公室核查后，完成数据彻底销毁、设备登记注销，统一进行报废处理。设备更换使用人、变更使用部门时，需做好设备交接、数据清理、权限变更工作，留存交接记录，杜绝设备管理断层和数据安全风险。第七章人员安全与保密管理第二十五条入职安全管理新员工、外包人员入职时，必须签订《网络信息安全保密承诺书》，明确网络安全责任、保密义务和违规追责条款。入职后必须参加网络安全岗前培训，熟练掌握本制度及办公安全规范，考核合格后方可开通网络权限、系统账号，正式开展办公工作。人力资源部门同步建立员工安全档案，记录员工安全培训、考核、违规记录等信息。第二十六条在岗安全管理常态化开展全员网络安全培训，定期组织安全知识学习、案例警示、实操演练，重点培训病毒防范、钓鱼邮件识别、数据保密、应急处置、法律法规等内容，每年组织不少于2次全员网络安全考核，考核结果纳入员工绩效考核。员工在岗期间严格遵守保密纪律，严禁私自记录、留存、传播单位涉密信息、敏感数据，严禁向外部人员泄露系统账号、密码、网络架构、安全策略等核心安全信息。第二十七条离岗离职安全管理员工离职、调岗、休假离岗时，必须履行安全交接手续。离职人员需注销所有系统账号、网络权限、办公权限，上交所有办公设备、存储介质、纸质涉密资料，彻底清理个人留存的单位数据信息；调岗人员及时调整对应系统权限，回收原岗位操作权限；长期离岗人员临时冻结系统账号和网络权限，杜绝闲置账号带来的安全风险。所有离岗交接工作需全程登记、存档备查。第八章安全应急处置与风险预案第二十八条安全事件分类本制度所指网络安全事件包括：网络中断、系统瘫痪、服务器故障、病毒入侵、木马植入、网络钓鱼、账号被盗、数据泄露、数据篡改、网站被挂马、系统被攻击、非法入侵、信息违规发布、设备故障引发的安全风险等各类影响网络信息安全的事件。根据事件影响范围、危害程度，分为一般、较大、重大三个等级，实行分级处置、分级上报。第二十九条应急处置流程1.监测发现：网络安全管理办公室通过安全监测系统、人工排查、员工上报等方式发现安全隐患或安全事件后，立即启动初步核查。2.快速响应：确认安全事件后，立即采取断网、关停系统、冻结账号、隔离病毒、封堵漏洞等应急措施，阻止风险扩大蔓延。3.溯源排查：全面排查事件发生原因、影响范围、受损数据、攻击源头，详细记录事件全过程。4.整改修复：针对安全隐患和漏洞立即整改，修复系统故障、恢复网络和系统运行、追回泄露数据、消除不良影响。5.上报备案：一般事件处置完成后留存台账备案；较大、重大事件需第一时间上报网络安全领导小组，按规定上报网信、公安等监管部门。6.复盘总结：事件处置完毕后，开展复盘分析，查找管理漏洞，优化防护措施和应急预案，杜绝同类事件重复发生。第三十条应急演练管理网络安全管理办公室每半年组织一次网络安全应急演练，模拟病毒攻击、数据泄露、系统瘫痪、钓鱼攻击等常见安全场景，提升全员应急处置能力和协同配合能力。演练结束后形成演练报告，总结存在的问题，优化应急流程和防护方案，完善应急处置预案。第九章监督检查与责任追究第三十一条日常监督检查网络安全管理办公室实行常态化安全检查机制，每日开展网络、系统、设备在线监测，每周开展专项安全排查，每月开展全面安全检查，每季度开展综合安全审计。重点检查制度执行情况、网络使用规范、数据保密情况、设备安全状态、权限管理情况、漏洞整改情况等，建立安全检查台账，对发现的问题及时下发整改通知，跟踪闭环整改。第三十二条专项考核评估单位将网络信息安全工作纳入各部门、各岗位年度绩效考核体系，年末对各部门安全制度执行、隐患整改、培训学习、应急配合等工作进行综合考核评估。对安全工作落实到位、无安全事故的部门和个人予以表彰；对安全管理松懈