北京首創(chuàng)生態(tài)環(huán)保集團股份有限公司
信息化安全管理辦法
?
第一章??總 ?則
?
第一條?為保護北京首創(chuàng)生態(tài)環(huán)保集團股份有限公司(以下簡稱“公司”)信息化安全�����,促進信息化在公司應(yīng)用及發(fā)展�,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》�、《中華人民共和國數(shù)據(jù)安全法》����、《中華人民共和國個人信息保護法》、《中華人民共和國密碼法》��、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》以及其他相關(guān)法律法規(guī)���,結(jié)合公司實際���,特制定本辦法��。
第二條?術(shù)語釋義
(一)?信息化安全是指公司信息化狀態(tài)和信息技術(shù)體系不受外來的威脅與侵害����。涉及整體信息技術(shù)應(yīng)用的安全狀態(tài)�����,包括各種信息系統(tǒng)�、網(wǎng)絡(luò)、數(shù)據(jù)等的安全防護�����,確保信息的保密性(即只有授權(quán)人員才能訪問和使用信息)��、完整性(即信息不被篡改或損壞)和可用性(即信息可以在需要時被合法用戶訪問和使用)���,同時關(guān)注信息的生命周期,包括信息的采集�����、處理、存儲�、傳輸和銷毀等各個階段的安全保障。
(二)?信息系統(tǒng)是指由計算機及其相關(guān)的和配套的硬件�、網(wǎng)絡(luò)、通信設(shè)備�����、計算機軟件����、信息資源、信息用戶和規(guī)章制度構(gòu)成的����,按照一定的應(yīng)用框架、目標和規(guī)則對信息進行采集��、加工�����、存儲�����、傳輸����、檢索、管理����、分析和表達等處理信息流為目的的人機系統(tǒng)。
(三)?計算機病毒是指故意編制的�,能夠修改���、破壞�、攻擊計算機(辦公電腦或服務(wù)器)操作系統(tǒng)功能��,能自我復(fù)制,并能通過計算機媒體或網(wǎng)絡(luò)等途徑傳播的計算機程序���。
(四)?計算機病毒疫情是指某種計算機病毒爆發(fā)��、流行的時間、范圍��、破壞特點����、破壞后果等情況的報告或者預(yù)報�。
(五)?信息介質(zhì)是指計算機軟盤、硬盤���、磁帶����、U盤����、存儲卡�����、光盤等��。
(六)?終端設(shè)備是指安裝應(yīng)用軟件系統(tǒng)的計算機設(shè)備���,包括:服務(wù)器���、臺式個人計算機(PC)、筆記本電腦�����、手機��、平板電腦�����、打印機及其它計算機附屬設(shè)備。
(七)?數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄����,包括但不限于以電子形式存儲的業(yè)務(wù)數(shù)據(jù)����、辦公信息、系統(tǒng)運行日志�、故障維護日志以及其他內(nèi)部資料。
(八)?信息系統(tǒng)使用管理部門為各事業(yè)部及總部各相關(guān)部門���,負責相應(yīng)信息系統(tǒng)所涉及業(yè)務(wù)和管理的標準規(guī)范制定��、需求提出及系統(tǒng)上線后日常運營維護�。信息系統(tǒng)維護管理部門為企業(yè)管理中心及各事業(yè)部��,負責相應(yīng)信息系統(tǒng)的日常維護�����、故障處理和技術(shù)支持。
第三條?信息化安全管理按照國家相關(guān)法律法規(guī)要求�����,實施信息系統(tǒng)安全等級保護�����,建立健全實用��、完整可靠的網(wǎng)絡(luò)和信息系統(tǒng)安全體系�����,保證系統(tǒng)和信息的完整性����、真實性����、可用性�����、保密性和可控性,保障網(wǎng)絡(luò)和信息化建設(shè)及應(yīng)用���,支撐業(yè)務(wù)系統(tǒng)的持續(xù)、穩(wěn)定���、健康發(fā)展����。
第四條?本辦法適用于公司、事業(yè)部���。具有獨立法人資格的事業(yè)部及各子企業(yè)應(yīng)參照制定符合本企業(yè)的信息化安全管理辦法���,并上報企業(yè)管理中心備案。
?
第二章??管理職責
?
第五條?公司總經(jīng)理為公司信息化安全管理第一責任人�����。
第六條?公司網(wǎng)絡(luò)安全與信息化委員會為公司總經(jīng)理辦公會授權(quán)成立范圍的專業(yè)化委員會�,全面負責公司信息化安全管理�、建設(shè)和運營工作。主要職責包括:
(一)落實國家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī)���、方針�、政策��、標準和規(guī)范�,落實國家和北京市有關(guān)部門相關(guān)安全工作����;
(二)審核網(wǎng)絡(luò)安全和信息化規(guī)劃�����;
(三)審核網(wǎng)絡(luò)安全和信息化架構(gòu)(業(yè)務(wù)總體架構(gòu))����;
(四)審核軟件正版化方案��;
(五)審核網(wǎng)絡(luò)安全和信息化預(yù)算�����;
(六)審核網(wǎng)絡(luò)安全和信息化管理制度�����;
(七)審核網(wǎng)絡(luò)安全和信息化標準和規(guī)范���;
(八)審核信息化系統(tǒng)的立項及驗收;
(九)審批工作組工作計劃及工作評價;
(十)選聘網(wǎng)絡(luò)安全和信息化外部專家���。
第七條?公司信息化安全主管部門為企業(yè)管理中心,其主要職責包括:
(一)組織編制網(wǎng)絡(luò)安全和信息化規(guī)劃����;
(二)組織編制、審核網(wǎng)絡(luò)安全和信息化架構(gòu)(包括業(yè)務(wù)架構(gòu)�����、應(yīng)用架構(gòu)���、數(shù)據(jù)架構(gòu)�、技術(shù)架構(gòu));
(三)組織編制網(wǎng)絡(luò)安全和信息化預(yù)算�;
(四)參與網(wǎng)絡(luò)安全和信息化供應(yīng)商選擇與內(nèi)部定價審核;
(五)審核網(wǎng)絡(luò)安全和信息化產(chǎn)品研發(fā)計劃����;
(六)組織網(wǎng)絡(luò)安全和信息化成果驗收與評價;
(七)組織編制網(wǎng)絡(luò)安全和信息化制度�、標準和規(guī)范;
(八)執(zhí)行網(wǎng)絡(luò)安全管理���、信息系統(tǒng)安全管理����、數(shù)據(jù)安全、機房安全管理���、終端設(shè)備安全管理等信息化安全管理工作;
(九)執(zhí)行已審批的網(wǎng)絡(luò)安全和信息化制度�����、標準和規(guī)范�����。
第八條?公司信息化安全配合部門為各部門及事業(yè)部���,其主要職責包括:
(一)配合網(wǎng)絡(luò)安全和信息化規(guī)劃編制;
(二)配合網(wǎng)絡(luò)安全和信息化預(yù)算編制�����;
(三)配合網(wǎng)絡(luò)安全和信息化落地執(zhí)行�����;
(四)配合網(wǎng)絡(luò)安全和信息化相關(guān)成果驗收與評價;
(五)執(zhí)行已審批的網(wǎng)絡(luò)安全和信息化制度����、標準和規(guī)范���。
?
第三章??網(wǎng)絡(luò)安全管理
?
第一節(jié)?網(wǎng)絡(luò)管理
?
第九條?信息化安全主管部門負責加強網(wǎng)絡(luò)設(shè)備的安全管理:
(一)?禁用不必要的網(wǎng)絡(luò)服務(wù):對網(wǎng)絡(luò)設(shè)備的功能應(yīng)有明確的定義���,對于設(shè)計定義之外的網(wǎng)絡(luò)服務(wù)應(yīng)禁用���,并禁用不必要的缺省服務(wù)�。
(二)?修改不安全的配置:仔細核對網(wǎng)絡(luò)設(shè)備的配置參數(shù),對可能引起系統(tǒng)安全問題的配置參數(shù)必須修改�����。
(三)?利用最小權(quán)限原則嚴格控制對網(wǎng)絡(luò)設(shè)備的訪問��。
(四)?及時對存在已知安全問題的系統(tǒng)進行升級�����。
第十條??信息化安全主管部門負責嚴格執(zhí)行網(wǎng)絡(luò)訪問控制規(guī)范����,利用入網(wǎng)訪問控制�、網(wǎng)絡(luò)權(quán)限控制���、目錄級安全控制、屬性安全控制、服務(wù)器安全控制�、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點安全控制���、內(nèi)網(wǎng)VLAN間的安全控制等手段加強網(wǎng)絡(luò)訪問控制���,保證網(wǎng)絡(luò)資源不被非法使用和訪問�����,確保網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)資源安全��。
第十一條?信息化安全主管部門負責采取技術(shù)和管理手段,對設(shè)備接入公司辦公網(wǎng)絡(luò)的行為進行規(guī)范��,通過安裝網(wǎng)絡(luò)訪問客戶端等手段提高辦公網(wǎng)絡(luò)接入安全:
(一)員工接入網(wǎng)絡(luò)管理
員工計算機或手持終端設(shè)備接入辦公網(wǎng)絡(luò)前��,由信息化安全主管部門統(tǒng)一進行客戶端配置和網(wǎng)絡(luò)資源分配�,嚴格執(zhí)行IP地址管理和網(wǎng)絡(luò)訪問控制,且作為長期策略保存于網(wǎng)絡(luò)系統(tǒng)中�����。員工計算機需統(tǒng)一安裝網(wǎng)絡(luò)訪問客戶端軟件方可接入辦公網(wǎng)絡(luò)。
(二)訪客接入網(wǎng)絡(luò)管理
訪客計算機或手持終端設(shè)備接入辦公網(wǎng)絡(luò)時�����,由訪客接待部門向信息化安全主管部門提出申請并進行登記,信息化安全主管部門負責通過技術(shù)手段將訪客的網(wǎng)絡(luò)資源使用范圍����、數(shù)量及期限限制在核準范圍之內(nèi)����。
第二節(jié) 網(wǎng)絡(luò)防護管理
第十二條??信息化安全主管部門負責利用防火墻���、入侵防御系統(tǒng)����、防病毒系統(tǒng)����、漏洞掃描系統(tǒng)�、抗拒絕服務(wù)系統(tǒng)、WEB應(yīng)用防護系統(tǒng)��、態(tài)勢感知等技術(shù)或手段���,全面做好防入侵管理�,及時發(fā)現(xiàn)和阻止非法連接���。
?
第四章??終端設(shè)備安全管理
?
第十三條?嚴禁制作計算機病毒、傳播計算機病毒的行為:
(一)?故意輸入計算機病毒��,危害計算機信息系統(tǒng)安全�;
(二)?向他人傳送含有計算機病毒的文檔��、軟件�;
(三)?其他傳播計算機病毒的行為。
第十四條?員工在從互聯(lián)網(wǎng)上下載軟件、程序���、數(shù)據(jù)或使用各類信息介質(zhì)前應(yīng)先對其進行計算機病毒檢測�,確認無病毒后方可使用��。
第十五條?員工在購置、維修���、借入計算機設(shè)備時����,應(yīng)先進行計算機病毒檢測����,確認無病毒后方可使用�����。
第十六條?信息化安全主管部門負責公司配備的服務(wù)器操作系統(tǒng)�、數(shù)據(jù)庫、中間件��、信息系統(tǒng)等軟件部署��,做好防病毒軟件及相關(guān)安全補丁的安裝���,及時升級病毒庫、操作系統(tǒng)補丁程序��。
第十七條??員工在發(fā)現(xiàn)計算機感染病毒后�����,應(yīng)立即停止使用受感染的計算機,切斷網(wǎng)絡(luò)�����,隔離一切涉嫌感染病毒的信息介質(zhì)和設(shè)備��,同時報告信息化安全主管部門��。?
?
第五章??信息系統(tǒng)安全管理
?
第一節(jié)?信息系統(tǒng)安全管理
第十八條?信息系統(tǒng)在設(shè)計及建設(shè)時應(yīng)有良好的安全技術(shù)體系:
(一)信息系統(tǒng)應(yīng)具備權(quán)限控制體系,從技術(shù)上保障不同用戶群體只能查看和操作權(quán)限范圍內(nèi)的功能及信息��。
(二)信息系統(tǒng)應(yīng)具備三層以上架構(gòu),從結(jié)構(gòu)上將數(shù)據(jù)服務(wù)����、處理和存放分離�����;應(yīng)具有系統(tǒng)日志審計、應(yīng)用操作審計及數(shù)據(jù)庫審計等功能����;應(yīng)具有訪問控制功能����,按訪問權(quán)限對用戶的訪問和操作進行控制���。系統(tǒng)上線前應(yīng)進行安全測試,檢測是否存在惡意代碼����、木馬�����、后門等隱患���,上線后生產(chǎn)環(huán)境應(yīng)與開發(fā)環(huán)境隔離�。
(三)信息系統(tǒng)應(yīng)采用先進安全可靠的技術(shù)體系���,防止系統(tǒng)本身原因造成的數(shù)據(jù)丟失、泄露等事故發(fā)生��,并對數(shù)據(jù)采取加密技術(shù)���。
第十九條?信息系統(tǒng)維護管理部門應(yīng)密切關(guān)注重大安全漏洞及其補丁發(fā)布,及時采取補丁升級措施���。在補丁安裝前,需對補丁進行嚴格的安全評估和測試驗證��。
第二十條?信息系統(tǒng)維護管理部門加強對信息系統(tǒng)后臺數(shù)據(jù)庫管理�,當系統(tǒng)數(shù)據(jù)紊亂或確需對數(shù)據(jù)庫進行修改或刪除時,必須由軟件開發(fā)商或供應(yīng)商的技術(shù)人員進行評估����,提出切實可行的解決方案�,履行審批程序后方可操作��。
第二十一條?信息系統(tǒng)使用管理部門應(yīng)指定系統(tǒng)管理員����,并建立系統(tǒng)管理員制度。
系統(tǒng)管理員管理規(guī)范如下:
(一)?系統(tǒng)管理員嚴禁越權(quán)操作�,對重要的計算機信息處理系統(tǒng)應(yīng)分級加設(shè)系統(tǒng)口令���,以防機密信息的泄露�。
(二)?系統(tǒng)管理員要加強對系統(tǒng)運行環(huán)境的監(jiān)控���,定期檢查并記錄檢查結(jié)果���,發(fā)現(xiàn)問題及時報告�����,并保留原始記錄��。對發(fā)現(xiàn)的問題采取積極措施加以解決。
(三)?系統(tǒng)管理員對重要的資料檔案要妥善保管���,以防丟失泄露����。
(四)?系統(tǒng)管理員必須嚴格遵守公司保密制度��,保證系統(tǒng)數(shù)據(jù)、信息����、資料的準確���、完整、安全����,未經(jīng)允許不得創(chuàng)建、刪除用戶賬號��,不得刪除系統(tǒng)日志和報警信息��,不得更改權(quán)限和系統(tǒng)功能����,嚴禁私自查看����、復(fù)制或修改業(yè)務(wù)數(shù)據(jù)���。
?
第六章??數(shù)據(jù)安全管理
?
第二十二條??信息化安全主管部門負責對信息系統(tǒng)中的數(shù)據(jù)實行分類分級管理���,按照不同類別對數(shù)據(jù)的產(chǎn)生���、傳輸�����、存儲和應(yīng)用采取相應(yīng)的安全管理措施�。重要數(shù)據(jù)實行加密保存和傳輸���。
第二十三條?信息系統(tǒng)使用管理部門應(yīng)嚴格管理業(yè)務(wù)數(shù)據(jù)的增加�����、修改�����、刪除等變更操作�,適時進行業(yè)務(wù)數(shù)據(jù)有效性檢查����。信息系統(tǒng)維護管理部門按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程�����。
第二十四條??信息系統(tǒng)應(yīng)定期進行備份�,按信息系統(tǒng)重要級別執(zhí)行實時����、每日��、每周、每月或定期備份����,明確規(guī)定備份數(shù)據(jù)的保存時限���。
第二十五條??所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮���、防塵、防高溫����、防擠壓存放,嚴禁亂丟亂放����。
第二十六條??涉密數(shù)據(jù)的存儲和傳輸應(yīng)當按照《保守國家秘密法》的有關(guān)規(guī)定執(zhí)行��。
第二十七條??數(shù)據(jù)出境應(yīng)評估數(shù)據(jù)出境計劃的合法性和正當性����,數(shù)據(jù)出境活動不具有合法性和正當性,禁止跨境傳輸��。
第二十八條?應(yīng)評估數(shù)據(jù)出境計劃是否風險可控,避免數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露�、損毀、篡改��、濫用等����。
第二十九條??關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)數(shù)據(jù)����、個人信息出境安全評估�����,重點評估以下內(nèi)容:
(一)是否符合國家有關(guān)法律法規(guī)和政策規(guī)定;
(二)合同條款是否能夠充分保障個人信息主體合法權(quán)益����;
(三)合同能否得到有效執(zhí)行���;
(四)運營企業(yè)或接收者是否有損害個人信息主體合法權(quán)益的歷史����、是否發(fā)生過重大網(wǎng)絡(luò)安全事件;
(五)獲得信息是否合法�、正當����;
(六)其他應(yīng)當評估的內(nèi)容。
第三十條?未履行網(wǎng)絡(luò)安全和信息化委員會���、總經(jīng)理辦公會審批程序�,公司任何部門及員工不得向境外提供數(shù)據(jù)和個人信息�����。
?
第七章??個人信息安全管理
?
第三十一條??信息系統(tǒng)在提供服務(wù)的過程中收集�、使用用戶個人信息�����,應(yīng)當遵循合法�、正當、必要的原則,應(yīng)當對提供服務(wù)過程中收集����、使用的用戶個人信息的安全負責�����。
第三十二條??用戶個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息��。包括姓名�����、出生日期、身份證件號碼�����、個人生物識別信息�����、住址、通信通訊聯(lián)系方式�����、通信記錄和內(nèi)容�、賬號密碼��、財產(chǎn)信息、征信信息�����、行蹤軌跡����、住宿信息�、健康生理信息���、交易信息等。
?
第一節(jié)?信息收集和使用
?
第三十三條??信息系統(tǒng)未經(jīng)用戶同意���,不得收集��、使用用戶個人信息�。
第三十四條??收集、使用用戶個人信息時���,應(yīng)當明確告知用戶收集���、使用信息的目的、方式和范圍����,查詢�����、更正、刪除個人信息的渠道���,注銷賬戶�、撤回同意的方法,以及拒絕提供信息的后果等事項���。
第三十五條??不得收集非必須的用戶個人信息或者將信息用于提供服務(wù)之外的目的,不得以欺騙�、誤導(dǎo)或者強迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集�����、使用信息����。
第三十六條?對在提供服務(wù)過程中收集����、使用的用戶個人信息應(yīng)當嚴格保密��,不得泄露、篡改或者毀損�����,不得出售或者非法向他人提供���。
第三十七條??委托他人直接面向用戶服務(wù)�,涉及收集�����、使用用戶個人信息的����,應(yīng)當對代理人的用戶個人信息保護工作進行監(jiān)督和管理,不得委托不符合用戶個人信息保護要求的代理人代辦相關(guān)服務(wù)����。
第三十八條??信息系統(tǒng)使用管理部門建立用戶投訴處理機制�����,公布有效的聯(lián)系方式�����,接受與用戶個人信息保護有關(guān)的投訴��,并自接到投訴之日起一定時間內(nèi)答復(fù)投訴人�����。
?
第二節(jié)?信息的保存
?
第三十九條??信息系統(tǒng)個人信息保存期限應(yīng)為實現(xiàn)目的所必需的最短時間���。
第四十條??超出上述個人信息保存期限后�����,應(yīng)對個人信息進行刪除或匿名化處理。
第四十一條??收集個人信息后�����,個人信息控制者宜立即進行去標識化處理,并采取技術(shù)和管理方面的措施����,將去標識化后的數(shù)據(jù)與可用于恢復(fù)識別個人的信息分開存儲���,并確保在后續(xù)的個人信息處理中不重新識別個人�����。
第四十二條??傳輸和存儲個人敏感信息時,應(yīng)采用加密等安全措施����。
?
第三節(jié)?安全保障措施
?
第四十三條??信息系統(tǒng)使用管理及維護管理部門應(yīng)當采取以下措施防止用戶個人信息泄露、毀損��、篡改或者丟失:
(一)對后臺用戶實行權(quán)限管理��,對批量導(dǎo)出�����、復(fù)制、銷毀信息實行審批�,并采取防泄密措施;
(二)妥善保管記錄用戶個人信息的紙介質(zhì)�����、光介質(zhì)��、電磁介質(zhì)等載體����,并采取相應(yīng)的安全儲存措施��;
(三)對儲存用戶個人信息的信息系統(tǒng)實行接入審批�,并采取防入侵、防病毒等措施�����;
(四)記錄對用戶個人信息進行操作的人員��、時間���、地點���、事項等信息����;
第四十四條?保管的用戶個人信息發(fā)生或者可能發(fā)生泄露、毀損���、丟失的���,應(yīng)當立即采取補救措施��;造成或者可能造成嚴重后果的,應(yīng)當立即向信息化安全主管部門報告��,并配合進行相關(guān)調(diào)查處理�����。
?
第八章??人員及相關(guān)方信息安全管理
?
第四十五條??加強員工從入職�、在職、離職、退休等整個過程中信息化系統(tǒng)的授權(quán)管理�,防止誤操作和濫用權(quán)限。信息化安全主管部門負責組織辦理員工入職�、崗位變更、離職和退休應(yīng)辦理相關(guān)賬號及權(quán)限的手續(xù)�����。
第四十六條??信息化安全主管部門負責定期組織開展網(wǎng)絡(luò)安全�����、數(shù)據(jù)安全知識宣傳���,定期開展網(wǎng)絡(luò)安全教育培訓����。
第四十七條??加強和規(guī)范提供信息化服務(wù)的中介機構(gòu)的信息化安全管理工作:
(一)加強第三方的資質(zhì)審核��,確保第三方中介服務(wù)機構(gòu)具備相關(guān)業(yè)務(wù)的能力和信譽����。
(二)提供信息化服務(wù)過程中應(yīng)與第三方中介機構(gòu)明確信息安全的要求;
(三)簽署信息化服務(wù)合同時�����,須簽訂相應(yīng)的保密協(xié)議��,以規(guī)范雙方的責任和義務(wù)�,確保公司信息安全�����。
(四)第三方服務(wù)人員需嚴格遵守公司信息安全管理的要求。
?
第九章??信息安全教育
?
第四十八條??信息化安全主管部門負責制定信息安全培訓計劃�����,開展信息安全教育和培訓���,并保存信息安全教育和培訓結(jié)果的書面記錄。信息安全教育和培訓的對象包括公司領(lǐng)導(dǎo)和全體員工���。
信息安全教育和培訓的內(nèi)容���,主要包括:
(一)信息安全相關(guān)法律法規(guī)、規(guī)章制度和規(guī)范標準等�����;
(二)信息安全相關(guān)管理知識��、操作事項等�����;
(三)信息安全意識和防范電信詐騙知識等;
(四)個人信息保護相關(guān)知識�����、技能和安全責任培訓�。
?
第十章??等級保護備案與測評
?
第四十九條??信息化安全主管部門負責定期組織開展網(wǎng)絡(luò)安全等級保護的定級�、備案、建設(shè)���、測評與整改工作���。信息系統(tǒng)使用管理部門根據(jù)業(yè)務(wù)性質(zhì)�����、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級��,報信息化安全主管部門審核備案��,信息化安全主管部門匯總后向?qū)俚毓卜志中畔踩珰w口管理部門進行備案,委托具備資質(zhì)的專業(yè)測評機構(gòu)開展網(wǎng)絡(luò)安全等級保護測評工作信息系統(tǒng)�。信息系統(tǒng)使用管理部門及維護管理部門應(yīng)積極配合上級監(jiān)管部門的網(wǎng)絡(luò)安全等級保護檢查和指導(dǎo)工作,對于不符合管理規(guī)范和技術(shù)標準的系統(tǒng)����,應(yīng)及時開展落實相關(guān)整改工作。
第十一章??檢查�����、監(jiān)督與獎懲
?
第五十條?公司網(wǎng)絡(luò)安全和信息化委員會負責信息化安全檢查的總體部署工作�,信息化安全主管部門負責安全檢查方面的具體組織和實施工作,各信息系統(tǒng)使用管理部門及維護管理部門參與��、配合安全檢查工作���。
第五十一條?信息系統(tǒng)維護管理部門應(yīng)定期開展信息安全風險自查�,識別系統(tǒng)存在的安全風險�����。檢查工作主要包括網(wǎng)絡(luò)安全風險評估���、數(shù)據(jù)安全風險評估����、控制措施有效性測量�、內(nèi)部審核���、管理評審、等保測評��、漏洞掃描���、滲透測試等����。針對安全檢查與評估過程中發(fā)現(xiàn)的問題,由信息化安全主管部門組織��,信息系統(tǒng)使用管理部門及維護管理部門共同參與�����,分析問題原因并采取糾正和預(yù)防措施����,對于漏洞掃描及滲透測試過程中發(fā)現(xiàn)的高危漏洞�,自通報后一個月未修復(fù)成功的,信息化安全主管部門可關(guān)閉信息系統(tǒng)的外網(wǎng)訪問�����。
第五十二條?信息化安全主管部門按照國家法律法規(guī)和公司的相關(guān)規(guī)定監(jiān)督各部門��、事業(yè)部及子企業(yè)信息化安全相關(guān)工作的落實情況����。
第五十三條?對在信息化安全保護工作中有突出貢獻的員工����,由信息化安全主管部門向公司提議給予表彰和獎勵��,對違反本辦法規(guī)定的員工應(yīng)根據(jù)本辦法的規(guī)定或公司相關(guān)規(guī)定給予相應(yīng)的處罰���。
?
第十二章??附則
?
第五十四條?本辦法未盡事宜����,或者與法律���、法規(guī)�����、上級管理機構(gòu)的規(guī)定不一致的�����,以法律、法規(guī)和上級管理機構(gòu)的相關(guān)規(guī)定為準����。
第五十五條?本辦法由企業(yè)管理中心負責解釋���。
第五十六條?本辦法經(jīng)總經(jīng)理辦公會審議通過自頒布之日起正式施行����。