4網(wǎng)絡(luò)安全管理辦法

4網(wǎng)絡(luò)安全管理辦法2-—PAGE3—檢查+通知網(wǎng)絡(luò)安全管理辦法總則為規(guī)范中國石油天然氣集團(tuán)有限公司（以下簡稱集團(tuán)公司）網(wǎng)絡(luò)安全管理，保障網(wǎng)絡(luò)安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護(hù)條例》、《國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)以及《中國石油天然氣集團(tuán)有限公司信息化管理辦法》等規(guī)章制度，制定本辦法。本辦法適用于集團(tuán)公司總部部門、專業(yè)公司和集團(tuán)公司直屬企事業(yè)單位、專業(yè)公司成員企業(yè)（以下統(tǒng)稱所屬企業(yè)）的網(wǎng)絡(luò)安全管理?？毓晒?、實(shí)際控制企業(yè)通過法定程序執(zhí)行本辦法，參股公司參照執(zhí)行。接入集團(tuán)公司網(wǎng)絡(luò)的其他單位按所屬企業(yè)管理。本辦法所稱網(wǎng)絡(luò)是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第1頁。本辦法所稱網(wǎng)絡(luò)安全是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。網(wǎng)絡(luò)安全包括信息系統(tǒng)安全、數(shù)據(jù)安全和工業(yè)控制系統(tǒng)安全。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第1頁。集團(tuán)公司網(wǎng)絡(luò)安全實(shí)行統(tǒng)一管理、分級負(fù)責(zé)，按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的要求，各級組織、管理人員、崗位員工履行各自的網(wǎng)絡(luò)安全職責(zé)。機(jī)構(gòu)與職責(zé)集團(tuán)公司信息化工作領(lǐng)導(dǎo)小組在網(wǎng)絡(luò)安全管理工作中，主要履行以下職責(zé)：（一）落實(shí)國家網(wǎng)絡(luò)安全政策、法律法規(guī)和重大部署，制定集團(tuán)公司網(wǎng)絡(luò)安全工作政策；（二）審議批準(zhǔn)網(wǎng)絡(luò)安全整體解決方案和年度工作計(jì)劃；（三）決策、指揮、協(xié)調(diào)重大網(wǎng)絡(luò)安全事件處置。集團(tuán)公司信息管理部（以下簡稱信息管理部）是集團(tuán)公司網(wǎng)絡(luò)安全的歸口管理部門，主要履行以下職責(zé)：（一）組織落實(shí)國家和集團(tuán)公司網(wǎng)絡(luò)安全政策、法律法規(guī)和重大部署；（二）4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第2頁。（三）組織編制集團(tuán)公司網(wǎng)絡(luò)安全年度工作計(jì)劃；4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第2頁。（四）組織開展集團(tuán)公司網(wǎng)絡(luò)安全檢查、通報(bào)、考核、培訓(xùn)等工作?？偛扛鞑块T落實(shí)集團(tuán)公司網(wǎng)絡(luò)安全要求，承擔(dān)相關(guān)業(yè)務(wù)信息系統(tǒng)、數(shù)據(jù)和用戶網(wǎng)絡(luò)安全管理責(zé)任。專業(yè)公司落實(shí)集團(tuán)公司網(wǎng)絡(luò)安全要求，承擔(dān)本專業(yè)網(wǎng)絡(luò)安全管理責(zé)任，主要領(lǐng)導(dǎo)是網(wǎng)絡(luò)安全第一責(zé)任人，分管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)是直接責(zé)任人，主要履行以下職責(zé)：（一）明確網(wǎng)絡(luò)安全歸口管理機(jī)構(gòu)和相應(yīng)崗位，完善本專業(yè)網(wǎng)絡(luò)安全管理制度；（二）負(fù)責(zé)本專業(yè)信息系統(tǒng)、數(shù)據(jù)和用戶的網(wǎng)絡(luò)安全管理，組織對用戶進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)；（三）負(fù)責(zé)制定本專業(yè)工業(yè)控制系統(tǒng)安全管理制度、技術(shù)標(biāo)準(zhǔn)、防護(hù)方案，配合國家和集團(tuán)公司工業(yè)控制系統(tǒng)安全檢查，并督促整改；（四）負(fù)責(zé)組織編制本專業(yè)網(wǎng)絡(luò)安全應(yīng)急預(yù)案，督促、指導(dǎo)所屬企業(yè)網(wǎng)絡(luò)安全應(yīng)急工作，配合重大網(wǎng)絡(luò)安全事件的調(diào)查處置。所屬企業(yè)落實(shí)集團(tuán)公司網(wǎng)絡(luò)安全要求，承擔(dān)本單位網(wǎng)絡(luò)安全管理責(zé)任，主要負(fù)責(zé)人是網(wǎng)絡(luò)安全第一責(zé)任人，分管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)是直接責(zé)任人，主要履行以下職責(zé)：（一）明確網(wǎng)絡(luò)安全歸口管理機(jī)構(gòu)和相應(yīng)崗位，完善網(wǎng)絡(luò)安全管理制度，實(shí)行網(wǎng)絡(luò)安全管理員持證上崗制度；4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第3頁。（二）編制本單位網(wǎng)絡(luò)安全解決方案、年度工作計(jì)劃，其配套項(xiàng)目投資和系統(tǒng)運(yùn)維費(fèi)用，納入本單位年度預(yù)算；4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第3頁。（三）開展網(wǎng)絡(luò)安全等級保護(hù)、風(fēng)險評估等工作，制定專項(xiàng)應(yīng)急預(yù)案并組織演練，實(shí)施網(wǎng)絡(luò)安全事件的應(yīng)急處置，組織網(wǎng)絡(luò)安全檢查和培訓(xùn)等工作；（四）按照國家和集團(tuán)公司工業(yè)控制系統(tǒng)安全制度、標(biāo)準(zhǔn)要求，制定本單位工業(yè)控制系統(tǒng)安全管理制度、技術(shù)規(guī)范，部署防護(hù)措施，確保工業(yè)控制系統(tǒng)運(yùn)行安全，接受國家和集團(tuán)公司工業(yè)控制系統(tǒng)安全檢查，并落實(shí)整改要求；（五）負(fù)責(zé)本單位信息系統(tǒng)、數(shù)據(jù)和用戶的網(wǎng)絡(luò)安全管理，對接入本單位網(wǎng)絡(luò)的所有設(shè)備負(fù)有管理責(zé)任。信息化內(nèi)部支持單位落實(shí)集團(tuán)公司統(tǒng)一的網(wǎng)絡(luò)安全策略，主要履行以下職責(zé)：（一）明確網(wǎng)絡(luò)安全責(zé)任人，設(shè)立各信息系統(tǒng)安全管理和技術(shù)崗；（二）制定信息系統(tǒng)安全解決方案，負(fù)責(zé)信息系統(tǒng)的技術(shù)防護(hù)和運(yùn)行維護(hù)安全；（三）制定所承擔(dān)信息系統(tǒng)的應(yīng)急預(yù)案，定期組織演練；（四）集團(tuán)公司網(wǎng)絡(luò)安全技術(shù)支持工作依托現(xiàn)有信息化內(nèi)部支持單位實(shí)施，相關(guān)機(jī)構(gòu)加掛網(wǎng)絡(luò)安全專家中心、網(wǎng)絡(luò)安全運(yùn)行中心牌子。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第4頁。網(wǎng)絡(luò)安全專家中心參與編制集團(tuán)公司網(wǎng)絡(luò)安全整體解決方案，組織專家分析網(wǎng)絡(luò)安全態(tài)勢、跟蹤新技術(shù)新應(yīng)用、審核各項(xiàng)目的網(wǎng)絡(luò)安全解決方案，組織網(wǎng)絡(luò)安全等級保護(hù)測評等技術(shù)支持工作。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第4頁。網(wǎng)絡(luò)安全運(yùn)行中心對集團(tuán)公司網(wǎng)絡(luò)安全進(jìn)行日常監(jiān)測，組織落實(shí)網(wǎng)絡(luò)安全預(yù)警、通報(bào)、跟蹤、復(fù)核等工作。網(wǎng)絡(luò)安全專家中心和網(wǎng)絡(luò)安全運(yùn)行中心在國家重要活動和重要會議期間，編制網(wǎng)絡(luò)安全保障方案并組織落實(shí)，發(fā)生重大網(wǎng)絡(luò)安全事件時，組織開展應(yīng)急事件處置?；疽蠹瘓F(tuán)公司網(wǎng)絡(luò)由內(nèi)網(wǎng)、專網(wǎng)和外網(wǎng)構(gòu)成。內(nèi)網(wǎng)通過自建或租用數(shù)據(jù)鏈路組網(wǎng)，提供對內(nèi)服務(wù)，與外網(wǎng)邏輯隔離，通過外網(wǎng)訪問互聯(lián)網(wǎng)。專網(wǎng)承載與實(shí)時生產(chǎn)或決策有關(guān)信息系統(tǒng)，屬于相對封閉、有隔離的專用網(wǎng)絡(luò)，包括辦公專網(wǎng)、油氣調(diào)控專網(wǎng)、煉化生產(chǎn)裝置專網(wǎng)、加油站專網(wǎng)、海外專網(wǎng)、衛(wèi)星專網(wǎng)等。外網(wǎng)是承載互聯(lián)網(wǎng)、其他企業(yè)、政府部門等接入和服務(wù)的交互網(wǎng)絡(luò)。專網(wǎng)與內(nèi)網(wǎng)連接采用物理隔離、單向隔離或者強(qiáng)邏輯隔離中的一種，外網(wǎng)與互聯(lián)網(wǎng)、其他網(wǎng)絡(luò)強(qiáng)邏輯隔離。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第5頁。專網(wǎng)由建設(shè)部門負(fù)責(zé)管理，制定管理制度、流程和操作規(guī)范，建設(shè)單位和運(yùn)行維護(hù)單位對其負(fù)有網(wǎng)絡(luò)安全管理責(zé)任，專網(wǎng)隔離方案應(yīng)由網(wǎng)絡(luò)安全專家中心審核。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第5頁。網(wǎng)絡(luò)服務(wù)采取用戶實(shí)名制管理，用戶辦理網(wǎng)絡(luò)接入、終端接入和帳號開通時，應(yīng)提供真實(shí)身份信息。在內(nèi)網(wǎng)接入和使用中，禁止以下危害內(nèi)網(wǎng)安全的行為：（一）（二）未經(jīng)許可，非集團(tuán)公司員工自帶設(shè)備接入內(nèi)網(wǎng)；（三）在內(nèi)網(wǎng)中傳輸、存儲、處理涉及國家秘密的信息；（四）在內(nèi)網(wǎng)中自建互聯(lián)網(wǎng)出口、虛擬專用網(wǎng)絡(luò)（VPN）和衛(wèi)星通信系統(tǒng)；（五）內(nèi)網(wǎng)中的計(jì)算機(jī)為其他終端提供內(nèi)網(wǎng)接入或互聯(lián)網(wǎng)訪問服務(wù)；（六）通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）或者類似的地址轉(zhuǎn)換技術(shù)接入內(nèi)網(wǎng)；（七）（八）其他危害網(wǎng)絡(luò)安全的行為。信息系統(tǒng)的業(yè)務(wù)主管部門負(fù)有安全監(jiān)管、督察和制定安全管理制度的責(zé)任；建設(shè)單位負(fù)有制定和落實(shí)安全保護(hù)方案的責(zé)任；運(yùn)行維護(hù)單位負(fù)有制定網(wǎng)絡(luò)安全操作規(guī)程、執(zhí)行規(guī)章制度、監(jiān)測系統(tǒng)風(fēng)險和及時修復(fù)漏洞的責(zé)任。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第6頁。信息系統(tǒng)的業(yè)務(wù)主管部門、建設(shè)單位和運(yùn)行維護(hù)單位應(yīng)明確網(wǎng)絡(luò)安全責(zé)任人，采取技術(shù)措施和其他必要措施保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第6頁。集團(tuán)公司及所屬企業(yè)按照國家要求開展網(wǎng)絡(luò)安全等級保護(hù)工作。集團(tuán)公司網(wǎng)絡(luò)安全等級保護(hù)工作由業(yè)務(wù)主管部門負(fù)責(zé)，所屬企業(yè)網(wǎng)絡(luò)安全等級保護(hù)工作按照“自主定級，自主保護(hù)”要求，遵從公安機(jī)關(guān)屬地化管理，按當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)絡(luò)安全等級保護(hù)要求開展定級、備案、檢查和測評等工作，定級備案的材料應(yīng)上載到集團(tuán)公司信息化工作管理平臺。對于關(guān)鍵信息基礎(chǔ)設(shè)施，系統(tǒng)運(yùn)行維護(hù)單位要明確專門安全管理負(fù)責(zé)人，設(shè)置專門的安全管理崗位，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查，定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核。本辦法所稱的關(guān)鍵信息基礎(chǔ)設(shè)施是指對于一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。工業(yè)控制系統(tǒng)在規(guī)劃、建設(shè)、應(yīng)用等階段應(yīng)落實(shí)安全防護(hù)措施，上線前應(yīng)通過風(fēng)險評估，定期開展工業(yè)控制系統(tǒng)安全檢查，及時進(jìn)行問題整改。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第7頁。在商業(yè)密碼應(yīng)用領(lǐng)域，集團(tuán)公司及所屬企業(yè)應(yīng)采用國家要求的商業(yè)密碼算法，使用集團(tuán)公司統(tǒng)一的加密、解密、簽名、驗(yàn)簽和數(shù)據(jù)摘要等密鑰應(yīng)用管理服務(wù)，信息系統(tǒng)采用的密碼設(shè)備，應(yīng)將配置方案向集團(tuán)公司密碼管理部門備案后，采購實(shí)施；境外使用的密碼產(chǎn)品和服務(wù)，應(yīng)在密碼管理部門發(fā)布的管理目錄中選擇。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第7頁。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測符合要求后，方可使用。所有的網(wǎng)絡(luò)設(shè)備應(yīng)具有記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)和事件的功能，留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月，網(wǎng)絡(luò)安全運(yùn)行中心可提取相關(guān)數(shù)據(jù)。集團(tuán)公司及所屬企業(yè)應(yīng)采取以下措施加強(qiáng)數(shù)據(jù)安全管理，規(guī)范數(shù)據(jù)分類、存儲、備份、傳輸、銷毀及涉密數(shù)據(jù)保密等工作：（一）各業(yè)務(wù)管理部門梳理本業(yè)務(wù)領(lǐng)域重要數(shù)據(jù)，強(qiáng)化重要數(shù)據(jù)識別，明確數(shù)據(jù)保護(hù)對象，建立數(shù)據(jù)資產(chǎn)目錄，對重要數(shù)據(jù)進(jìn)行保護(hù)；（二）（三）應(yīng)通過簽訂合同、保密協(xié)議、保密承諾書等方式，確保內(nèi)外部合作單位和供應(yīng)商的數(shù)據(jù)安全管控；嚴(yán)禁外部合作單位、技術(shù)支持單位和供應(yīng)商在對互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)絡(luò)和信息系統(tǒng)中存儲或運(yùn)行公司商業(yè)秘密數(shù)據(jù)和重要數(shù)據(jù)；4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第8頁。（四）利用互聯(lián)網(wǎng)企業(yè)平臺發(fā)布業(yè)務(wù)信息，應(yīng)采用符合集團(tuán)公司要求的數(shù)據(jù)交互方式，并組織內(nèi)部審查；嚴(yán)格禁止在互聯(lián)網(wǎng)企業(yè)平臺存儲公司重要數(shù)據(jù)；4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第8頁。（五）按照國家相關(guān)法律、法規(guī)建立健全用戶信息保護(hù)制度，確保用戶個人信息在收集、使用、保存過程中的安全，收集個人信息應(yīng)取得用戶同意，不得收集與服務(wù)無關(guān)的個人信息；（六）報(bào)廢和更換設(shè)備應(yīng)對關(guān)鍵存儲部件進(jìn)行數(shù)據(jù)擦除，對于存儲重要數(shù)據(jù)的存儲部件應(yīng)進(jìn)行銷毀處理。員工使用企業(yè)網(wǎng)絡(luò)應(yīng)遵守以下基本要求：（一）禁止利用網(wǎng)絡(luò)危害國家安全，違反國家法律，泄露國家秘密以及從事違法犯罪活動，侵犯國家、社會和公民合法權(quán)益；（二）禁止以任何理由、形式使用任何設(shè)備或軟件攻擊網(wǎng)絡(luò)系統(tǒng)，以及破解、窺探、竊取、刪除、更改其他用戶使用的數(shù)據(jù)及信息，禁止未經(jīng)授權(quán)的網(wǎng)絡(luò)掃描等行為；（三）禁止在辦公計(jì)算機(jī)安裝和處理與工作無關(guān)的軟件、數(shù)據(jù)和信息，不應(yīng)下載盜版及來歷不明共享軟件；（四）用戶在使用信息系統(tǒng)前應(yīng)確保使用環(huán)境、瀏覽器及客戶端軟件安全，不應(yīng)打開來歷不明的郵件附件、網(wǎng)絡(luò)鏈接；（五）須定期更改帳戶密碼，不得將信息系統(tǒng)帳戶提供給他人使用；（六）須主動向本單位信息部門上報(bào)網(wǎng)絡(luò)安全事件和隱患；4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第9頁。（七）遵守各信息系統(tǒng)使用要求，未經(jīng)授權(quán)不得篡改、刪除、拷貝、傳輸系統(tǒng)數(shù)據(jù)；4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第9頁。（八）禁止在互聯(lián)網(wǎng)上傳播內(nèi)部資料或敏感數(shù)據(jù)。項(xiàng)目建設(shè)要求建設(shè)單位應(yīng)按照網(wǎng)絡(luò)安全等級保護(hù)要求，保證系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用，采取相應(yīng)管理措施及技術(shù)防范措施履行網(wǎng)絡(luò)安全義務(wù)。在項(xiàng)目立項(xiàng)階段，可行性研究報(bào)告應(yīng)明確信息系統(tǒng)和數(shù)據(jù)的等級保護(hù)級別、涉密級別及災(zāi)難恢復(fù)級別，并根據(jù)相應(yīng)級別的要求編寫網(wǎng)絡(luò)安全保護(hù)方案和投資估算。在項(xiàng)目建設(shè)階段，項(xiàng)目建設(shè)單位應(yīng)加強(qiáng)防護(hù)，組織人員對代碼安全進(jìn)行檢測，及時發(fā)現(xiàn)和修補(bǔ)漏洞；開發(fā)測試環(huán)境應(yīng)與生產(chǎn)環(huán)境隔離，進(jìn)行測試時不得使用真實(shí)生產(chǎn)數(shù)據(jù)。在系統(tǒng)上線前，完成與集團(tuán)公司身份管理與認(rèn)證系統(tǒng)的集成并單軌運(yùn)行，通過網(wǎng)絡(luò)安全等級保護(hù)測評。對臨時、測試、開發(fā)、共用帳戶以及為供應(yīng)商提供的帳戶進(jìn)行清理和刪除，對于不能刪除或注銷的帳戶，應(yīng)進(jìn)行密碼更改。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第10頁。關(guān)鍵信息基礎(chǔ)設(shè)施所采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，如影響國家網(wǎng)絡(luò)安全的，應(yīng)申報(bào)國家有關(guān)部門進(jìn)行安全審查；關(guān)鍵信息基礎(chǔ)設(shè)施的重要數(shù)據(jù)和個人信息應(yīng)在境內(nèi)存儲，因業(yè)務(wù)需要，確需向境外提供的，應(yīng)按照國家個人信息和重要數(shù)據(jù)出境相關(guān)要求執(zhí)行。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第10頁。所屬企業(yè)應(yīng)明確工業(yè)控制系統(tǒng)安全責(zé)任人，禁止工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)直接連接，禁止沒有采取有效防護(hù)措施的工業(yè)控制網(wǎng)絡(luò)與內(nèi)網(wǎng)連接；工業(yè)控制網(wǎng)絡(luò)內(nèi)劃分安全域，并對安全區(qū)域之間進(jìn)行安全防護(hù)。信息系統(tǒng)建設(shè)單位應(yīng)與產(chǎn)品供應(yīng)商和服務(wù)提供商簽訂網(wǎng)絡(luò)安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任，審核產(chǎn)品供應(yīng)商和服務(wù)提供商相關(guān)資質(zhì)。合同中應(yīng)要求產(chǎn)品供應(yīng)商、服務(wù)提供商在約定的服務(wù)期限內(nèi)不得終止提供網(wǎng)絡(luò)安全維護(hù)。系統(tǒng)運(yùn)行維護(hù)要求系統(tǒng)運(yùn)行維護(hù)單位應(yīng)對系統(tǒng)資產(chǎn)安全和運(yùn)行安全負(fù)責(zé)，所有設(shè)備應(yīng)置于安全場所，明確安全負(fù)責(zé)人，設(shè)立網(wǎng)絡(luò)安全管理崗和技術(shù)崗，制定相應(yīng)網(wǎng)絡(luò)安全制度和操作規(guī)程，實(shí)行持證上崗。系統(tǒng)運(yùn)行維護(hù)單位應(yīng)加強(qiáng)遠(yuǎn)程運(yùn)維管理，不得通過互聯(lián)網(wǎng)或外網(wǎng)對設(shè)備和系統(tǒng)進(jìn)行遠(yuǎn)程運(yùn)維。內(nèi)網(wǎng)遠(yuǎn)程運(yùn)維應(yīng)限定運(yùn)維終端并加以保護(hù)，對各項(xiàng)操作進(jìn)行監(jiān)控和記錄。操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等系統(tǒng)管理員應(yīng)職責(zé)分離。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第11頁。系統(tǒng)管理員應(yīng)定期備份重要信息和數(shù)據(jù)，清理僵尸帳戶；未經(jīng)許可，不得創(chuàng)建、刪除用戶帳戶，不得刪除系統(tǒng)日志和報(bào)警信息，不得擅自更改權(quán)限和系統(tǒng)功能；嚴(yán)禁私自查看和復(fù)制信息系統(tǒng)中的業(yè)務(wù)數(shù)據(jù)。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第11頁。重要信息系統(tǒng)可根據(jù)需要設(shè)立安全管理員、審計(jì)管理員。集團(tuán)公司及所屬企業(yè)應(yīng)加強(qiáng)信息系統(tǒng)帳戶口令管理，口令密碼復(fù)雜度應(yīng)符合國家規(guī)范和要求。嚴(yán)禁帳戶密碼明文存儲、傳輸。員工崗位變動時應(yīng)及時告知管理員調(diào)整用戶權(quán)限或注銷帳戶，系統(tǒng)運(yùn)行維護(hù)單位應(yīng)保留該帳戶的登錄日志。辦公計(jì)算機(jī)和信息終端設(shè)備必須安裝集團(tuán)公司統(tǒng)一的安全防護(hù)和管理系統(tǒng)，實(shí)現(xiàn)端點(diǎn)準(zhǔn)入、文檔安全防護(hù)；服務(wù)器應(yīng)按照基線標(biāo)準(zhǔn)要求進(jìn)行配置，安裝防病毒軟件，及時更新補(bǔ)丁修復(fù)程序。按照網(wǎng)絡(luò)安全等級保護(hù)要求，委托有資質(zhì)的評估機(jī)構(gòu)對信息系統(tǒng)進(jìn)行測評，測評中發(fā)現(xiàn)問題，應(yīng)及時整改。集團(tuán)公司統(tǒng)建系統(tǒng)等級保護(hù)測評工作由信息管理部統(tǒng)一組織；自建系統(tǒng)由建設(shè)單位自行組織，系統(tǒng)定級備案情況報(bào)信息管理部。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行維護(hù)單位應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測評估，并將檢測評估情況和改進(jìn)措施報(bào)送關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)責(zé)任部門。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第12頁。工業(yè)控制系統(tǒng)由專業(yè)公司、所屬企業(yè)按照國家要求定期進(jìn)行安全檢查和評估，發(fā)現(xiàn)問題及時整改，保證工業(yè)控制系統(tǒng)運(yùn)行安全。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第12頁。信息系統(tǒng)運(yùn)行維護(hù)單位應(yīng)與產(chǎn)品供應(yīng)商和服務(wù)提供商簽訂網(wǎng)絡(luò)安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任，對重要信息系統(tǒng)運(yùn)行維護(hù)的產(chǎn)品供應(yīng)商和服務(wù)提供商的相關(guān)資質(zhì)、人員背景進(jìn)行審查。產(chǎn)品供應(yīng)商和服務(wù)提供商提供服務(wù)時，禁止其接觸企業(yè)核心數(shù)據(jù)和關(guān)鍵業(yè)務(wù)操作；禁止遠(yuǎn)程接入維護(hù)；現(xiàn)場服務(wù)時，需由內(nèi)部人員全程陪同；服務(wù)結(jié)束后，系統(tǒng)管理員應(yīng)立即清理臨時帳戶、修改使用過的帳戶密碼。所屬企業(yè)每年參加集團(tuán)公司組織的網(wǎng)絡(luò)安全培訓(xùn)，制定企業(yè)內(nèi)部網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃。檢查與考核集團(tuán)公司定期開展網(wǎng)絡(luò)安全檢查工作，包括現(xiàn)場抽查、遠(yuǎn)程檢查、專項(xiàng)檢查和企業(yè)自查。檢查內(nèi)容包括組織機(jī)構(gòu)建設(shè)、規(guī)章制度建設(shè)、安全經(jīng)費(fèi)落實(shí)、安全防護(hù)措施以及集團(tuán)公司管理辦法、標(biāo)準(zhǔn)規(guī)范、培訓(xùn)等要求落實(shí)情況。檢查結(jié)果形成檢查報(bào)告，反饋所屬企業(yè)進(jìn)行整改，整改結(jié)果由網(wǎng)絡(luò)安全運(yùn)行中心復(fù)核并報(bào)送信息管理部。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第13頁。各級網(wǎng)絡(luò)安全部門發(fā)現(xiàn)重大安全事件或存在重大隱患的系統(tǒng)和設(shè)備應(yīng)先行下線，處置完畢后，經(jīng)過檢查方可上線運(yùn)行。4網(wǎng)絡(luò)安全管理辦法全文共15頁，當(dāng)前為第13頁。集團(tuán)公司實(shí)行網(wǎng)絡(luò)安全通報(bào)制度，網(wǎng)絡(luò)安全運(yùn)行中心負(fù)責(zé)發(fā)送通報(bào)、督促整改、跟蹤復(fù)查、記錄過程并保存處置結(jié)果，其中：（一）國家監(jiān)管部門通報(bào)的網(wǎng)絡(luò)安全事件，由網(wǎng)絡(luò)安全運(yùn)行中心通報(bào)事發(fā)單位，復(fù)核整改后報(bào)送信息管理部，上報(bào)國家監(jiān)管部門；（二）國家監(jiān)管部門通報(bào)的網(wǎng)絡(luò)安全預(yù)警，由網(wǎng)絡(luò)安全運(yùn)行中心發(fā)布