《网络安全管理办法.doc》由会员分享,可在线阅读,更多相关《网络安全管理办法.doc(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全管理办法第一章 总 则第一条 为规范某集团有限公司(以下简称集团公司)网络安全管理工作,有力有效保障网络安全,依据中华人民共和国网络安全法、国家网信办网络安全审查办法、发改委电力监控系统安全防护规定等有关法律法规,结合集团公司实际,制定本办法。第二条 网络安全是复杂的系统工程,涵盖管理、技术、应急等内容,其总体防护水平取决于系统中最薄弱点。网络安全工作是长期的动态过程,贯穿规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等各个阶段,应随着计算机技术、网络通信技术、安全防护技术、电力控制技术的发展而不断发展完善。第三条 网络,是指由计算机或者其他信息终端及相关设备组成
2、的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。本办法所指的网络包括信息系统、网络基础设施、云计算平台、大数据平台、物联网系统、工业控制系统(电力监控系统)。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。本办法所指的网络安全包括信息系统安全、工业控制系统安全和数据安全。第四条 网络安全坚持“明确责任、依法合规、重点保护、分级负责”总体方针,按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则进行责任分工,防范电力安全风险,保障电力系统安全稳定运行。第五
3、条 本办法适用于集团公司总部,各分子公司、基层企业。第二章 组织与职责第六条 集团公司网络安全与信息化领导小组负责贯彻落实党中央和国家网络安全战略部署、方针政策,决策有关重大事项。集团公司信息中心是集团公司网络安全的归口管理部门,具体承担领导小组日常工作和网络安全监督检查工作。总部各部门职责分工参照某集团有限公司党组网络安全责任制。第七条 各级企业是网络安全责任主体,各级企业党委(党组)对本单位网络安全工作负主体责任,主要职责包括:(一)成立网络安全与信息化领导小组,明确领导班子主要负责人是第一责任人,分管网络安全的领导班子成员是直接责任人;落实网络安全责任制,理清界面,强化考核,严格责任追究
4、;(二)健全网络安全组织体系,设立专门网络安全管理机构,设置专职岗位,配备专职人员。关键信息基础设施企业、重点地区企业、大型电站和集控中心建立首席网络安全官制度;(三)开展网络安全风险管控工作,防范和遏制重大网络安全事件,保证电力可靠供应;(四)把网络安全工作纳入重要议事日程,定期听取网络安全工作汇报、协调解决重大问题,落实财力物力等条件,开展网络安全宣传教育培训;(五)每年向上级党委(党组)报告年度网络安全工作情况。第三章 规划建设管理第八条 网络安全管理按照“同步规划、同步建设、同步使用”的原则,在规划设计、建设开发、移交上线等环节落实安全技术措施和保护责任。第九条 在规划设计阶段,项目可
5、行性研究报告应全面分析网络安全风险,编制专项安全防护方案。对新建系统,应在可行性研究报告报批前确定网络安全保护等级,并按照流程报集团公司审核。各级企业应在新建系统移交上线前完成公安机关备案工作。第十条 在建设开发阶段,应严格按照专项安全防护方案进行网络安全建设。应采购、使用符合国家法律法规和有关标准规范要求的安全可控的网络产品和服务,并与提供者签订安全保密协议,明确安全和保密义务与责任。加强为其提供设计、建设、技术服务的机构和人员的安全管理,评估服务过程中可能存在的安全风险。加强建设阶段的代码安全管理,不得在程序中植入恶意代码和后门,系统上线前应开展代码审计工作。关键信息基础设施、第三级及以上
6、系统应当强化供应链安全管理,履行集团公司网络安全审查有关程序。关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照国家网络安全审查办法进行安全审查。第十一条 在移交上线阶段,应开展网络安全等级保护测评工作,第三级及以上系统委托符合国家有关规定的等级测评机构通过测评和问题整改后方可投入运行。新建或改造的电力监控系统,还应当进行上线安全评估,安全防护实施方案须经上级网络安全主管部门、专业管理部门和相应电力调度机构的审核、验收,其中关键信息基础设施、第三级及以上系统还应报集团公司审核。第十二条 关键信息基础设施、第三级及以上系统应按照密码法等法律法规和标准规范要求,使用密码技
7、术进行安全保护,密码应用与系统同步规划、同步建设、同步运行。在网络安全等级测评中同步开展密码应用安全评估,通过评估和问题整改后方可投入运行。第十三条 加强对5G、云计算、区块链、人工智能、数字孪生等新一代信息技术的网络安全技术研究和试点示范,强化对新技术的检测、验证、评估及审核,提前采取措施予以防范新技术带来的安全风险及隐患。第四章 运行管理第十四条 各级企业应当按照网络安全等级保护制度的要求,履行安全保护义务,对运行管理各环节采取安全管控措施,包括但不限于:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。(二)严格控制机房和电子间的进出访问,加强安全监控和巡检
8、,确保符合有关规定要求。(三)坚持“安全分区、网络专用、横向隔离、纵向认证”原则,明确生产控制大区、管理信息大区、办公区、互联网区的网络边界,按照最小权限对网络进行分区分域管理,实施严格的设备系统接入和访问控制策略。(四)遵循最小授权、最小安装原则,加强对主机账户、口令、应用、服务、端口的安全管理,定期开展漏洞扫描和恶意代码检测,及时安装补丁和更新恶意代码库。(五)加强应用系统的用户管理、认证管理和审计管理。(六)采取技术措施监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(七)加快互联网出入口收敛,切实减少暴露面和风险点;(八)按照“谁使用、谁负责”
9、的原则,明确终端安全的使用和管理责任,定期开展针对终端的弱口令检查、病毒查杀、漏洞修补、操作行为管理和安全审计等工作。(九)建设网络安全态势感知平台,加强工控系统、管理信息系统、互联网出口的全面监测,加快网络安全信息的汇集、研判。第十五条 各级企业应当加强网络安全风险管控,通过风险评估、安全检查、技术监督、攻防演练等多种方式排查风险和隐患,建立网络安全风险库,逐一明确防范管控措施,对重大风险隐患进行挂牌督办。第十六条 发电企业应当加强电力监控系统基础设施、体系结构、系统本体、全方位管理、应急措施等安全防护工作,强化集团公司内部网络安全技术监督,落实好电力调度机构对并网电厂涉网部分电力监控系统安
10、全防护技术监督工作。其他企业的工业控制系统要按照国家、行业、集团公司有关要求定期进行安全检查和评估,发现问题及时整改,保证工业控制系统运行安全。第十七条 各级企业应当定期开展网络安全等级测评和风险评估,第三级及以上系统委托符合国家有关规定的等级测评机构每年开展一次网络安全等级测评和密码应用安全性评估,第二级系统应当按照规定的周期委托有资质的测评机构开展等级保护测评工作。第三级及以上电力监控系统还应当每年开展一次安全风险评估工作,第二级系统每两年开展一次。第三级及以上系统应及时将测评和评估报告提交集团公司审查。第十八条 各级企业应当建立并落实重要数据和个人信息安全保护制度,明确数据安全责任主体,
11、对重要数据进行容灾备份,采取身份鉴别等技术措施保障数据采集、传输、存储、处理、交换、共享和销毁等数据全生命周期安全。对个人信息等敏感数据加强保护能力,防止数据泄露。第十九条 各级企业应加强外包服务和远程技术服务的安全管理。需要外包服务或远程技术服务的,应当与提供者签订安全保密协议,采取技术措施有效记录技术服务操作行为,进行远程维护时应当采取认证、加密、审计等管控措施。第二十条 各级企业应当对三个月以上的上线未使用的系统采取断电、断网等下线措施,需经安全加固后方可再次上线。及时废止不再使用的系统,废止前应当妥善处理数据及有关资产,废止情况应报送本级网络安全主管部门备案,并及时向公安机关变更备案信
12、息。第二十一条 各级企业应当加强重大活动网络安全保障,防范电力安全风险,对可能影响电力系统安全稳定运行的变更应当严格管控。针对国家重大活动,要制定专题保障工作方案。第二十二条 关键信息基础设施运营者应当根据法律法规要求,在网络安全等级保护制度基础上,对关键信息基础设施实行重点保护,加强必要的网络安全管控措施,包括不限于:(1) 建立关键信息基础设施安全保护责任制,明确主要负责人是第一责任人,设置首席网络安全官和专门安全管理机构。对关键信息基础设施的安全机构负责人和关键岗位人员进行背景安全审查;(2) 按照关键信息基础设施保护标准,确保足额的网络安全投入,建立资产档案,强化核心岗位人员管理、整体
13、防护、监测预警、应急处置、数据保护等重点保护措施;(3) 对关键信息基础设施设计、建设、运行、维护等全过程实施安全管理,采购安全可控的产品和服务,确保供应链安全;第二十三条 关键信息基础设施应按照国家有关规定使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施运营者应当对其安全性和风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送集团公司和国家有关部门。第二十四条 关键信息基础设施运营者应建立并落实重要数据保护制度,对重要网络和数据库进行容灾备份,采取身份鉴别、密码保护等措施严格保护。因业务需要确需向境外提供的,应当按照国家有关规定履行安全评
14、估程序。第五章 监测预警与应急处置第二十五条 集团公司建立网络安全信息通报机制,定期开展监测预警和信息通报。各级企业应当加强网络安全监测预警能力建设,完善信息通报机制,对本单位及下属单位网络安全状况进行实时监测,及时将监测到的异常情况汇总至上级网络安全主管部门,并对发现的风险漏洞和网络安全事件及早预警、及时处置和信息通报。第二十六条 各级企业应建立网络安全监控中心,开展实时监测、通报预警、应急处置、安全防护、指挥调度等工作,落实724小时值班值守制度,建立常态化、实战化的网络安全工作机制。发电企业应当将网络安全日常运行监视纳入24小时运行值班监视范围。第二十七条 风险漏洞处理实行限期修复。对于
15、通用型网络产品和服务的风险漏洞,各级企业应当在厂商和安全机构修复方案公布后立即核查整改;对于国家、电力行业、地方网络安全管理部门和集团公司等通报的高危漏洞,各级企业应当按照时限要求组织整改;对于重大工控安全漏洞,应及时采取补丁升级措施,在补丁安装前需对补丁进行严格的安全评估和测试验证。第二十八条 集团公司健全网络安全事件应急机制,制定网络安全事件应急预案,各级企业结合实际编制本单位网络安全事件应急预案或实施细则;关键信息基础设施、第三级及以上系统运营者应制定专项应急预案。各单位应当定期对应急预案进行演练并完善。第二十九条 各级企业应当根据不同等级、不同类型的网络安全事件,启动相应应急预案,实施
16、有效处置,并做好信息通报工作。第三十条 发生网络安全事件的应当在事件处置完成30日内完成事件起因、性质、影响、责任等调查和评估工作,提出处理意见和改进措施,并报告上级网络安全主管部门。第三十一条 各级企业每年至少组织一次网络安全应急演练。关键信息基础设施、第三级及以上系统的运营者每年至少自行开展一次实战型攻防演练,及时发现风险隐患,提高突发网络安全事件应急处置能力。第六章 监督考核与责任第三十二条 集团公司建立健全网络安全监督检查工作机制,开展年度、专项和日常监督检查工作。各级企业应当定期开展网络安全自查,并按要求对所属企业进行安全检查。根据国家有关要求,在重要保障时期对网络安全重点保障单位开
17、展专项检查。第三十三条 各级企业党委(党组)应当建立网络安全责任制考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容。集团公司负责对分子公司以及关键信息基础设施运营企业进行考核,分子公司负责对所属企业进行考核。第三十四条 集团公司健全网络安全责任追究机制,对于造成网络安全事件和不良影响、违反本办法规定等行为,以及监督检查中发现的重大安全隐患,根据有关法律法规和网络安全工作责任制有关规定,判定责任单位和责任人,进行问责。实施责任追究应当实事求是,分清单位集体责任和个人责任。追究单位集体责任时,领导班子主要负责人和分管网
18、络安全工作的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。第三十五条 集团公司对有下列情形之一的,将直接或责成有关分子公司逐级倒查,追究当事人、网络安全负责人直至主要负责人责任:(一)重要网站、大型网络平台被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的,瘫痪6小时以上的;(二)发生国家秘密泄露、大面积个人信息泄露或者大量重要数据泄露的;(三)关键信息基础设施、第三级及以上系统遭受网络攻击,没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;(四)封锁、瞒报网络安全事件情况,拒不
19、配合开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;(五)阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;(六)发生其他严重危害网络安全工作行为的。第三十六条 侵害公民个人、法人或者其他组织的合法利益的,依法承担民事责任;涉及违法犯罪的,依据国家有关法律规定处理。第七章 附 则第三十七条 涉及国家秘密、商业秘密的系统规划建设、运行与管理,除应当遵守本办法规定,还应遵守国家、集团公司保密有关规定。第三十八条 本办法由集团公司信息中心负责解释。第三十九条 本办法自发布之日起执行。原某集团有限公司网络安全责任制管理办法(试行)(201875号)同时废止。19