1、 PAGE * ROMAN PAGE * ROMAN IIXXXXXXXXXX集團(tuán)公司XXX分公聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全管理辦法(暫行)XXXXXXXXXX集團(tuán)公司XXX分公2019年12月目錄第一章 總則1 HYPERLINK l _TOC_250009 第二章 組織機(jī)構(gòu)與工作職責(zé)1 HYPERLINK l _TOC_250008 第三章 系統(tǒng)建設(shè)安全管理3 HYPERLINK l _TOC_250007 第四章 并且網(wǎng)接入安全管理3 HYPERLINK l _TOC_250006 第五章 運(yùn)行維持安全管理4 HYPERLINK l _TOC_250005 第六章 數(shù)據(jù)安全和個(gè)人信息保護(hù)6 HY

2、PERLINK l _TOC_250004 第八章 外包及第三方服務(wù)安全管理7 HYPERLINK l _TOC_250003 第七章 風(fēng)險(xiǎn)管控與預(yù)警響應(yīng)9 HYPERLINK l _TOC_250002 第九章 監(jiān)督檢查與責(zé)任追究10 HYPERLINK l _TOC_250001 第十章 保證措施10 HYPERLINK l _TOC_250000 第十一章 附則11 PAGE PAGE 11第一章 總則第一條 XXXXXXXXXXXXXXXXXXXXXXX等有關(guān)法律、法規(guī)和信息網(wǎng)絡(luò)安全有關(guān)規(guī)則，接合本單位聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng) 絡(luò)安全管理實(shí)際情況，特制定本辦法。第二條 聯(lián)網(wǎng)收費(fèi)系統(tǒng)是指開(kāi)展高速公

3、路聯(lián)網(wǎng)收費(fèi)的計(jì)算機(jī)信息系統(tǒng)。主要囊括聯(lián)網(wǎng)收費(fèi)省級(jí)清分結(jié)算管理系統(tǒng)（理系統(tǒng)（、收費(fèi)站系統(tǒng)、門(mén)架系統(tǒng)等。XXXXXXXXXXXXX“屬地管理”的原則，實(shí)行分級(jí)管理和分工負(fù)責(zé)。本辦法適用于XXXXXXXXXXXXX聯(lián)網(wǎng)收費(fèi)系統(tǒng)建設(shè)、運(yùn)行、使用及監(jiān)管等方面的安全管理。第二章 組織機(jī)構(gòu)與工作職責(zé)第五條 在 XXX 分公司設(shè)立聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全工作管理小組。小組日常工作。第六條 聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全工作管理小組職責(zé)（一）及技術(shù)規(guī)矩。（二）保設(shè)備及系統(tǒng)安全。（三）入及移動(dòng)存儲(chǔ)介質(zhì)使用進(jìn)行監(jiān)督檢查，確保安全。（四）和網(wǎng)絡(luò)安全事件應(yīng)急處治。（五）收費(fèi)、監(jiān)控、網(wǎng)絡(luò)通信系統(tǒng)及各類(lèi)數(shù)據(jù)安全管理。（六）完成上級(jí)單位交

4、辦的其他工作。第三章 系統(tǒng)建設(shè)安全管理第七條 聯(lián)網(wǎng)收費(fèi)系統(tǒng)建設(shè)要依照信息系統(tǒng)安全等級(jí)保責(zé)任制。第八條 聯(lián)網(wǎng)收費(fèi)系統(tǒng)在建設(shè)、運(yùn)行、使用中，應(yīng)明確報(bào)收費(fèi)科管理備案。第九條 聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全設(shè)備采購(gòu)，應(yīng)進(jìn)行全程監(jiān)督。安全設(shè)備和密碼產(chǎn)品的選購(gòu)，要契合國(guó)家及相關(guān)部門(mén)的規(guī)則。第十條 聯(lián)網(wǎng)收費(fèi)系統(tǒng)驗(yàn)收時(shí)，應(yīng)依照有關(guān)要求，進(jìn)行資料及源代碼等未移交的，均不得經(jīng)過(guò)驗(yàn)收。第四章 并且網(wǎng)接入安全管理新建、改造收費(fèi)系統(tǒng)并且網(wǎng)接入聯(lián)網(wǎng)收費(fèi)系統(tǒng)全策略、設(shè)備設(shè)施等是否具備并且網(wǎng)接入安全條件。新建、改造收費(fèi)系統(tǒng)主要是指：新建、改建的收費(fèi)站、ETC統(tǒng)的設(shè)備設(shè)施。第十三條 新建改造收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)當(dāng)契合集團(tuán)有關(guān)規(guī)矩要求，并且網(wǎng)接

5、入網(wǎng)絡(luò)安全檢測(cè)應(yīng)由國(guó)家有關(guān)部門(mén)認(rèn)可的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)或信息安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)承擔(dān)。第十四條 新建改造收費(fèi)系統(tǒng)入網(wǎng)前，分公司應(yīng)向集團(tuán)公司提交書(shū)面申請(qǐng)，并且提供并且網(wǎng)接入網(wǎng)絡(luò)安全監(jiān)測(cè)報(bào)告。第五章 運(yùn)行維持安全管理分公司必需遵守國(guó)家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行陜西省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全管理規(guī)則及安全保密制活動(dòng)。第十六條 聯(lián)網(wǎng)收費(fèi)設(shè)備未進(jìn)行安全配置、未啟用防火墻或殺毒軟件、未進(jìn)行安全測(cè)試的，不得入網(wǎng)。分公司及下屬站所每半個(gè)月關(guān)于計(jì)算機(jī)系統(tǒng)、殺毒軟件等進(jìn)行升級(jí)和更新， 每月進(jìn)行一次病毒清查。禁止下載和使用未經(jīng)測(cè)試和來(lái)歷不明的軟件，禁止打開(kāi)來(lái)歷不明的電子郵件。加強(qiáng)人員錄用和離崗管理，關(guān)于被錄用人員的后的保密

6、義務(wù)后方可離開(kāi)。健全機(jī)房運(yùn)維管理制度，分公司及沿線各站契合有關(guān)規(guī)則要求。U數(shù)據(jù)接口，防止亂用。建立日常維持工作操作規(guī)程和巡檢流程，分整改，有效處治安全風(fēng)險(xiǎn)隱患。第二十一條 禁止未授權(quán)用戶私自接入聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)及訪問(wèn)網(wǎng)絡(luò)中的資源。任何單位或個(gè)人不得制造或者故意輸入、 傳遞計(jì)算機(jī)病毒和其他有害數(shù)據(jù)，不得利用非法手段復(fù)制、截取、篡改聯(lián)網(wǎng)收費(fèi)系統(tǒng)中的數(shù)據(jù)。加強(qiáng)關(guān)于賬號(hào)密碼的管理。建立系統(tǒng)內(nèi)個(gè)設(shè)一負(fù)責(zé)，定期更改密碼，使用復(fù)雜密碼。第二十三條 關(guān)鍵設(shè)備的系統(tǒng)運(yùn)行日志、網(wǎng)絡(luò)日志及安留不可更改的審計(jì)日志。加強(qiáng)不同網(wǎng)絡(luò)區(qū)域間邊界安全防護(hù)，關(guān)于網(wǎng)估，即時(shí)調(diào)整存在安全隱患的策略。笫二十五條 任何組織或者個(gè)人不得從事下

7、列危害聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全的行為：（一）非法攻擊、入侵其他單位或他人的計(jì)算機(jī)信息系統(tǒng)。（二（三）故意干擾聯(lián)網(wǎng)收費(fèi)計(jì)算機(jī)信息系統(tǒng)功能，影響聯(lián)網(wǎng)收費(fèi)系統(tǒng)正常運(yùn)行。（四）其他危害聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全運(yùn)行的行為。第六章 數(shù)據(jù)安全和個(gè)人信息保護(hù)分公司及沿線各站點(diǎn)應(yīng)嚴(yán)格落實(shí)國(guó)家和行個(gè)人信息安全。第二十七條 由分公司統(tǒng)一制定并且執(zhí)行數(shù)據(jù)分類(lèi)分級(jí)保護(hù)策略，針關(guān)于不同類(lèi)別級(jí)別的數(shù)據(jù)確定不同的安全保護(hù)措施， 明確數(shù)據(jù)訪問(wèn)權(quán)限，建立數(shù)據(jù)訪問(wèn)權(quán)限管理清單，提高數(shù)據(jù)管理和安全防護(hù)水平，確保數(shù)據(jù)的完整性、保密性和可用性。第二十八條 收集、使用個(gè)人信息時(shí)應(yīng)遵循合法、正當(dāng)、必要的原則，建立收集明示機(jī)制，明確公開(kāi)收集、使用要求及自動(dòng)脫

8、敏或去標(biāo)識(shí)的使用場(chǎng)景和業(yè)務(wù)處理流程。規(guī)矩采集、 存儲(chǔ)、使用、銷(xiāo)毀等行為，嚴(yán)格限制關(guān)于公民、法人和其他組織信息的收集規(guī)模，不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不得違犯法律、行政法規(guī)規(guī)則和雙方約定收集、使用、處理其存儲(chǔ)的個(gè)人信息。采取個(gè)人信息去標(biāo)識(shí)化處理及存儲(chǔ)傳輸加密等安全措施，確保其收集、存儲(chǔ)的信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、篡改、丟失的情況時(shí)，應(yīng)立即采取補(bǔ)救措施，依照規(guī)則即時(shí)向集團(tuán)公司報(bào)告。第二十九條 由分公司統(tǒng)一制定數(shù)據(jù)備份和恢復(fù)策略、備份程序和恢復(fù)程序，并且定期檢查有效性，開(kāi)展恢復(fù)演練。第八章 外包及第三方服務(wù)安全管理第三十條 加強(qiáng)關(guān)于系統(tǒng)參與建設(shè)單

9、位、產(chǎn)品服務(wù)提供商、外部運(yùn)維單位（含駐場(chǎng)單位）及技術(shù)支撐單位等外包服務(wù)提供商和等級(jí)保護(hù)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等第三方檢測(cè)評(píng)估服務(wù)的安全管理，在合同及管理文件中明確相關(guān)網(wǎng)絡(luò)安全要求。嚴(yán)格界定外包服務(wù)業(yè)務(wù)范圍和工作內(nèi)容， 鍵崗位嚴(yán)禁由外包人員擔(dān)任。主管領(lǐng)導(dǎo)授權(quán)同意，確保安全可控。關(guān)于外部人員進(jìn)場(chǎng)開(kāi)展運(yùn)維和技術(shù)服務(wù)應(yīng)建接入和操作，嚴(yán)禁復(fù)制和泄露任何敏感信息。外包服務(wù)人員因履行服務(wù)內(nèi)容需要帶出的時(shí)間、歸還時(shí)間和用途等。第三十四條 外包服務(wù)人員關(guān)于開(kāi)展工作所需的各類(lèi)賬戶， 須被服務(wù)單位提前申請(qǐng)并且獲得批準(zhǔn)。各運(yùn)營(yíng)管理單位應(yīng)遵循“最小權(quán)限原則”合理分配外包服務(wù)人員操作權(quán)限，減少外包服務(wù)人員誤操作或亂用權(quán)限導(dǎo)致發(fā)生

10、各種意外事件帶來(lái)的影響。第三十五條 加強(qiáng)關(guān)于外包服務(wù)人員變更管理，建立完備的變更流程。外包服務(wù)團(tuán)隊(duì)中人員若需變更，須向被服務(wù)單位申請(qǐng)并且獲得批準(zhǔn)及備案。外包服務(wù)項(xiàng)目結(jié)束時(shí)，歸還一切屬于運(yùn)行全部賬號(hào)，關(guān)閉一切本地或遠(yuǎn)程訪問(wèn)通道。第三十七條 加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力建設(shè)，實(shí)時(shí)掌報(bào)、遲報(bào)和推諉責(zé)任。依照XXXXXXXXXX網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（暫行相關(guān)規(guī)則，明確網(wǎng)絡(luò)安全程度，以及處理方法。在安全事件報(bào)告和響應(yīng)處治進(jìn)程中，應(yīng)分每年組織一次網(wǎng)絡(luò)安全應(yīng)急演練，模擬處治急演練報(bào)告。笫四十一條 網(wǎng)絡(luò)安全事件處治完成后，即時(shí)完成網(wǎng)絡(luò)任等進(jìn)行分析評(píng)估，提出處理意見(jiàn)和改進(jìn)措施。第九章 監(jiān)督檢查與責(zé)任追究笫四十二條分公司定期組織開(kāi)展聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全自查工作，主要檢查聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全責(zé)任體系建立、落實(shí)情況，聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控措施實(shí)情況。笫四十三條國(guó)家重大節(jié)日、活動(dòng)、會(huì)議等重要敏感期，生產(chǎn)系統(tǒng)重大變更等，要加強(qiáng)收費(fèi)系統(tǒng)安全檢查。第四十四條 將視情追究責(zé)任。給予逾期未改正的部門(mén)及個(gè)人通報(bào)批評(píng)； 情節(jié)嚴(yán)重并且造成不良影響的，依照有關(guān)法律法規(guī)和網(wǎng)絡(luò)安全 工作責(zé)任制有關(guān)規(guī)則，直接啟動(dòng)問(wèn)責(zé)程序，逐級(jí)倒查并且追究 相關(guān)人員責(zé)任。第四十五條 違犯本辦法規(guī)則，涉及造成公民、法人或者其他組織合法權(quán)益受到侵害的，相關(guān)責(zé)任人依法承擔(dān)民事責(zé)任；涉嫌違法違法犯罪的，