XX有限公司网络与信息安全管理办法（试行）

第一章总则

第一条为加强X有限公司网络与信息安全监督管理，提高网络与信息安全防护能力和水平，促进公司各项事业健康有序发展，根据《中华人民共和国网络安全法》《省计算机信息系统安全保护条例》等相关法律法规及《省产业集团有限责任公司网络与信息安全管理办法（试行）》，结合公司实际，制定本办法。

第二条本办法适用于公司网络与信息系统的建设、维护、使用等管理工作。本条网络与信息系统是指（包括但不限于）网络基础设施、数据中心、信息系统、网络数据、信息内容、计算机终端和其他支撑网络与信息系统正常运行的软件、硬件设备。

第三条网络与信息安全工作坚持“统一领导、逐级负责，统筹规划、突出重点”的原则，遵循“安全第一、预防为主，管理和技术并重，综合防范，全员参与”的方针。

第二章职责分工

第四条公司设立网络安全和信息化领导小组，组成人员：

组长：党委书记

常务副组长：党委副书记

副组长：公司领导班子其他成员

成员：总经理助理党委办公室主任

综合办公室主任财务管理部负责人

领导小组下设办公室，办公室设在综合办公室

办公室主任：综合办公室主任

网络安全管理员：综合办公室职员

第五条公司网络安全和信息化领导小组负责统筹协调网络与信息安全工作和相关监督管理工作，具体职责如下：

（一）负责贯彻落实XX有限责任公司（以下简称“集团公司”）网络与信息安全工作的部署和要求，依据“谁使用、谁主管、谁负责”的原则，加强网络安全和信息作的领导，落实工作责任；

（二）研究制定公司网络安全与信息化管理制度，落实相关措施，确保网络与信息系统安全运行；

（三）负责开展公司网络安全的工作检查；

（四）负责统筹、协调公司网络安全事件应急工作，并配合有关监管部门做好网络安全相关应急处置工作；

（五）负责推进公司软件正版作，研究制定正版软件管理办法；

（六）负责组织开展经常性网络安全宣传教育，提高公司人员的网络安全意识和网络安全技术水平。

第六条有关部室在各自职责范围内负责网络与信息安全保护和监督管理工作，具体职责如下：

（一）综合办公室：牵头全面负责公司网络安全和信息作，负责督促检查公司网络安全和信息作，负责网络安全信息的监测预警和通报工作的组织、指导和协调，负责公司软件正版化日常工作。负责内部公文的保密管理工作，负责协调公司落实网络安全和信息化有关举措，负责网络安全应急值班工作。

（二）党委工作部：负责党委信息安全工作，负责收集和处置信访相关舆情。负责公司网络意识形态安全及应急处置工作，负责收集和处置公司重大舆情。

（三）财务管理部：负责网络安全和信息化经费保障工作。

第七条使用部室负责自建网络与信息系统的安全保护和监督管理工作；履行网络与信息安全的保护义务；使用部室和个人对系统操作与信息内容的安全承担直接责任；网络与信息系统通过外包服务方式进行维护的，使用部室负责督查外包服务单位做好安全运维工作，安全监管责任主体仍为使用部室。

第三章安全防护

第八条对建设的网络与信息系统依法开展定级、备案、安全建设整改、等级测评和自查等工作，采取管理和技术措施，抵御黑客、病毒、恶意代码等发起的各类攻击和破坏，保障网络基础设施安全、网络运行安全、信息系统安全、数据安全和信息安全，有效应对网络与信息安全事件，防范网络违法犯罪活动。

第九条按照国家有关网络与信息安全的法律法规、标准体系的管理规范、技术标准确定网络与信息系统的网络安全保护等级，并对其实施相应等级的安全管理。

第十条新建、改建、扩建的网络与信息系统，应当在规划、设计阶段同步建设信息安全保障措施。

第十一条严格要求并监督网站、平台或系统开发方或者运维方采取数据分类、重要数据备份和加密等措施，防止数据丢失或失密。备份数据应按相关制度严格管理，妥善保存；备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

第十二条严格要求并监督网站、平台或系统开发方或者运维方采取监测、记录网络运行状态、网络安全事件的技术措施，防止网络日志被非法窃取、修改和删除，所有日志均应按照法律法规等要求留存。

第十三条加强外部协作单位和人员的管理。因系统开发、运行维护等工作需要，让外部协作单位和人员访问网络与信息系统时，必须驻场接受统一管理，从配备堡垒机的统一端口访问，留存日志不少于6个月，并签订网络安全服务协议，明确外部人员的安全责任与义务，规定所获取内部数据等资源的使用范围，存留外部人员详细访问记录，并确定与之相关的内部网络安全责任人员。

第十四条网络与信息安全管理部门负责本公司网络的规划、搭建、统一管理、日常维护、安全保障等工作。

第十五条局域网边界必须安装防火墙、上网行为管理等安全设备，设置防病毒、防漏洞、数据过滤、禁止游戏等安全管理策略，对接入外网的每个终端设备实行IP地址与MAC地址绑定，使用统一管理的防病毒软件。

第十六条使用局域网必须遵守相关法律法规，严禁在局域网内运行或传播病毒、流氓软件及进行其他影响局域网正常运行的行为。

第十七条严格规范网络安全人员的录用过程，对被录用人的身份、背景、专业资格和资质等进行详细审查，对其所具有的技术技能进行严格专业的考核，并签署保密协议，明确网络安全管理责任。

第十八条新录用的网络安全人员，应当经过网络安全培训，掌握网络安全基本要求和基本技能。

第十九条网络安全人员调岗离职时，应当签署网络安全离岗保密协议，并及时调整和终止网络与信息系统的访问权限。未办理上述事项前，不得办理调岗离职手续。