第一章 总 则
第一条为防范与化解网络安全风险,促进网络安全管理规范化、系统化、科学化,全面提高集团网络安全管理水平,依据国家有关法律法规和各级管理部门对网络安全的有关要求,结合集团网络安全需求,制定本办法。第二条本办法适用于山西建设投资集团有限公司(以下简称集团)及所属单位不涉及国家秘密的信息系统和网络设施(以下统称信息系统)的网络安全管理工作,包括网络信息系统在规划、设计、建设和运行维护过程中所涉及到的各种安全问题。
第三条本办法中所称网络安全指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及网络存储、传输、处理信息时保障信息的完整性、保密性、可用性的能力。
第四条集团网络安全工作的管理原则:
·网络安全工作坚持“安全第一、预防为主、主动防御、综合防范、分级保护、管理与技术并重”的原则。
·整体规划,分步实施,逐步建立和完善集团网络安全保障体系。
·三同步原则:安全防护措施应与信息系统及网络同步规划、同步建设、同步运行。
·适度安全:安全具有相对性和动态性的特点,必须做好安全建设的成本效益分析,在安全性和投入成本之间、安全性和易用性之间做好平衡工作。
第二章目标与措施
第五条集团网络安全工作目标是通过保障信息系统正常运行,保证业务应用连续性和安全性,保证数据和信息的完整性、保密性、可用性,支撑集团业务发展。第六条建立网络安全保障体系,包括管理保障体系、技术保障体系和运维保障体系。管理保障体系包括信息安全组织、信息安全规章制度、信息安全工作流程等。技术保障体系包括应用安全架构、安全服务架构、基础设施安全架构等。运维保障体系包括运行管理、安全监控、事件管理、变更管理等。
第七条推行网络安全风险管理,通过增强安全风险意识、识别安全风险、完善风险管控流程、强化风险应急处置,提高网络安全风险防控能力。
第八条实行网络安全等级保护制度,按照集中指导、属地管理原则,在集团统一指导下,各单位分别组织开展信息系统定级、备案、测评及整改工作。
第三章管理职责
第九条集团网络安全和信息化领导小组统一领导集团网络与信息安全工作,负责贯彻执行国家和省市上级部门关于网络安全的方针政策和决策部署,并对集团网络安全重大事项作出决策。第十条党委领导班子主要负责人是第一责任人,主管网络安全的党委领导班子成员是直接责任人。
·成立本单位网络安全和信息化委员会(领导小组),通过正式文件或会议纪要明确本企业党委领导班子成员中网络安全直接责任人(主管网络安全的负责人),且人员发生变动后要及时进行变更;
·本单位网络安全和信息化委员会(领导小组)统筹协调本企业网络安全工作。
第十一条明确网络安全工作机构。
·通过制度文件明确负责本单位网络安全工作的工作机构及职责;
·网络安全工作机构应按照岗位实际配备网络安全工作人员。
第十二条履行网络安全职责,明确本企业网络安全的主要目标、基本要求、工作任务、保护措施。
·认真学习贯彻落实党中央和习近平总书记关于网络安全工作的重要批示精神和决策部署,全面落实省委、省国资委关于网络安全的重要部署,学习贯彻落实网络安全法律法规;
·制定本企业网络安全规划、实施计划或工作方案等文件,提岀本企业的网络安全主要目标、基本要求、工作任务和保护措施。
第十三条建立和落实网络安全责任制,把网络安全工作纳入重要议事日程,加大财力物力支持和保障力度。
·印发本单位网络安全工作责任制实施办法和细则,或者相关文件明确责任制实施要求等;
·党委领导班子主要负责人每年至少召集一次专题会议,组织听取网络安全工作整体情况汇报,研究议定重大事项、加强网络安全工作的措施和人力物力财力保障等;
·网络安全直接责任人至少每季度召集一次会议听取网络安全相关工作汇报,研究网络安全工作;
·将网络安全经费预算纳入本企业预算管理,切实保障好网络系统的安全防护加固、安全运维、安全检测评估、系统安全升级改造、网络安全教育培训、网络安全事件应急处置等支出;
·本企业新建信息化项目的网络安全预算不低于项目总预算的5%。新建信息系统应在系统总体方案中确定等保级别,信息系统定级情况应及时向系统所在地市公安机关备案。
第十四条 组织领导本企业网络安全重大事件处置工作。
·在2016年以后制修订并印发了本单位的网络安全事件应急预案,预案中明确重大事件处置由本企业党委统一组织领导,重大情况逐级上报主管领导、上级单位,并及时向省国资委报告;
·每年至少开展一次网络安全应急演练。
第十五条加强和规范本单位网络安全信息汇集、分析和研判工作,组织指导网络安全通报机构开展网络安全信息通报。
·网络安全和信息化领导机构制定本单位加强和规范网络安全信息汇集、分析研判和通报工作的相关制度文件;
·明确负责网络安全信息通报工作的机构及其职责,开展网络安全信息通报工作;
·每年接收省委网信办、省国资委通报的网络安全风险事件,有效处置反馈率情况不低于90%。
第十六条统筹协调开展网络安全检查。本单位依法依规依职责组织对本企业(含所属企业)开展网络安全检查,年底将检查结果报集团总部,集团总部汇总后统一上报省国委。
第十七条开展网络安全宣传教育培训。
·本单位积极开展网络安全宣传周等网络安全专项宣传活动;
·本单位在职人员年度人均接受网络安全培训时间不少于4个学时;
·对网络安全专业技术岗位人员开展专业技能培训,年度人均接受相关培训时间不少于8 个学时;
·本企业网络安全专业技术岗位人员获得网络安全专业资质占比达到60%以上或虽然未达到60%但逐年提高。
第十八条正版化工作进展符合国家版权局提出的目标要求。明确本企业正版化工作的机构和负责人,建立正版化工作计划,组织开展本单位正版化工作。
第十九条重大事项报告制度。集团所属各单位应向集团提交年度网络安全工作报告及本年度未出现重大事项应报未报情况,集团统一汇总后上报省国资委。
第二十条准确掌握本单位(含所属企业)网络和信息系统资产底数。规范信息资产分配、使用、维护、报废和销毁等管理流程,建立并及时更新、定期检查信息资产台账,实行信息资产全生命周期管理,实时掌握网络和信息系统资产底数。
第二十一条 加强网络安全事件管理,规范事件响应、处理流程,明确事件升级策略,提高事件处理效率。各单位网络安全和信息化委员会(领导小组)负责网络安全事件处置的组织指挥和协调,对涉及违反法律法规的网络安全事件,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。
第二十二条 制定信息系统及其设备设施访问控制策略,严格控制对信息系统及其设备设施的访问,保证信息系统及设备设施访问安全。对外部人员、远程维护人员因工作需要访问信息系统和有关数据时,须提供授权证明,对外部访问人员实行专人全程监督,并登记备案、保留日志。
第二十三条 建立健全容灾备份制度,对关键系统和核心数据进行有效备份。建立信息系统数据安全管理制度,规范数据采集、传输、交换、存储、备份、恢复和销毁等活动管理。严格管理数据访问权限的分配与回收,数据访问须经业务部门和信息化管理部门授权批准,数据访问过程须保存完整记录。
第二十四条 员工岗位发生变更时,应及时调整其对相关信息系统资源的访问权限。对离岗、离职或退休人员应终止其对相关信息系统资源的访问权限,及时修改有关密码。
第四章 考核评估
第二十五条 组织领导:集团网络安全和信息化领导小组负责组织对集团所属各单位网络安全工作责任制的考核评估,集团网络信息中心将按照《山西建设投资集团有限公司网络安全工作管理办法》和《山西建设投资集团有限公司网络安全工作责任制考核评分内容》(见附件),对集团所属单位网络与信息安全检查工作、检查结果及整改情况等进行评价考核,每年一次。第二十六条 评估方法:以量化评估的形式对集团网络安全工作责任制落实情况进行检查,通过查阅文件和会议记录、检查工作材料、问卷调查、谈话了解、实地调研、检查网络安全漏洞(事件)整改情况等方式开展。
第二十七条 网络安全检查内容包含但不限于:履行网络安全主体责任和落实网络安全工作责任制情况、组织网络安全检查及应急处置等情况、开展网络安全宣传培训等情况、软件正版化工作开展情况、重大事项报告情况、对本企业网络和信息系统资产底数了解情况等,对检查中发现的问题,责令其当场改正或限期整改。
第二十八条 网络安全管理工作责任制考核评估结果将纳入各企业党建工作目标责任制考核。综合得分等次:90分(含)以上为优秀,80分(含)-90分为良好,60分(含)-80分为合格,60分以下为不合格。
第二十九条 考核加分项:获得中央和我省网信及相关部门网络安全相关工作专项表彰;获得省委网信委领导专题表扬和肯定;主动发现、及时处置并上报网络安全风险、漏洞(事件)。
第三十条一票否决项:未成立网络安全和信息化委员会(领导小组);存在明显未正确履行网络安全责任制情况,且造成严重后果;发生重大网络安全事件,且造成严重后果。上述情况存在或发生任意一项,本企业年度网络安全责任制考核评为不合格。
第五章 附 则
第三十一条 本办法由山西建设投资集团有限公司网络信息中心负责解释。第三十二条 本办法自发布之日起实施。
晋公网安备 14010702070394号