網(wǎng)絡(luò)與信息安全管理辦法第一章總則第一條【目的】為加強(qiáng)XXX公司（以下簡(jiǎn)稱“公司”）網(wǎng)絡(luò)與信息安全管理，明確網(wǎng)絡(luò)與信息安全管理機(jī)構(gòu)和崗位人員的職責(zé)，落實(shí)網(wǎng)絡(luò)與信息安全管理責(zé)任，制定本辦法。第二條【適用范圍】本辦法適用于公司及所轄各分公司的網(wǎng)絡(luò)與信息安全管理工作。第二章機(jī)構(gòu)與職責(zé)第三條【組織機(jī)構(gòu)】（一） 公司設(shè)立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，組長(zhǎng)為公司董事長(zhǎng)，副組長(zhǎng)為公司網(wǎng)絡(luò)安全與信息化工作分管領(lǐng)導(dǎo)，成員為公司各部門、各分公司負(fù)責(zé)人。（二） 公司網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室設(shè)在信息化部，辦公室主任由信息化部主任兼任。（三） 各分公司及下轄各工程管理部應(yīng)設(shè)置網(wǎng)絡(luò)與信息安全管理機(jī)構(gòu)，配備專（兼）職網(wǎng)絡(luò)與信息安全管理人員。第四條【領(lǐng)導(dǎo)小組】公司網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組負(fù)責(zé)公司網(wǎng)絡(luò)與信息安全工作的組織、部署與落實(shí)情況的監(jiān)督，具體職責(zé)包括：（一）根據(jù)國(guó)家和行業(yè)有關(guān)網(wǎng)絡(luò)與信息安全的政策、法律、法規(guī)，審定公司網(wǎng)絡(luò)與信息的安全管理策略和發(fā)展規(guī)劃，確定網(wǎng)絡(luò)與信息安全工作的目標(biāo)、原則及工作部署；（二） 在信息系統(tǒng)面臨安全風(fēng)險(xiǎn)和更改事項(xiàng)時(shí)，監(jiān)督控制可能發(fā)生的重大變化，并進(jìn)行決策；（三） 審查、協(xié)調(diào)網(wǎng)絡(luò)與信息安全事件的處理，并督導(dǎo)改進(jìn)措施的落實(shí)；第五條【信息化部】（一） 負(fù)責(zé)公司網(wǎng)絡(luò)與信息安全發(fā)展規(guī)劃、工作要點(diǎn)及工作部署的具體落實(shí)；協(xié)調(diào)處理信息系統(tǒng)建設(shè)、管理和運(yùn)行中的有關(guān)問(wèn)題，并對(duì)具體落實(shí)情況進(jìn)行總結(jié)和匯報(bào)；（二） 貫徹執(zhí)行上級(jí)單位下發(fā)的網(wǎng)絡(luò)與信息安全策略和通告，組織制定公司網(wǎng)絡(luò)與信息安全策略，對(duì)系統(tǒng)發(fā)生變更的情況組織評(píng)審，保障與安全策略的一致性；（三） 組織制定信息系統(tǒng)安全建設(shè)、管理和運(yùn)行相關(guān)的管理制度和規(guī)范，并對(duì)信息安全管理制度和規(guī)范落實(shí)情況進(jìn)行監(jiān)督、檢查及指導(dǎo)；（四） 負(fù)責(zé)內(nèi)外部組織和機(jī)構(gòu)的對(duì)接與協(xié)調(diào)工作；組織開(kāi)展公司本部信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)工作；（五） 負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全事件應(yīng)急保障和恢復(fù)工作；第六條【其他部門】（一） 規(guī)范使用本部門的信息系統(tǒng)，對(duì)本部門員工及接待的第三方人員進(jìn)行網(wǎng)絡(luò)與信息安全管理；（二） 負(fù)責(zé)本部門所承擔(dān)運(yùn)維的應(yīng)用系統(tǒng)、基礎(chǔ)設(shè)施或中間件等信息系統(tǒng)的安全管理；落實(shí)本部門所承擔(dān)運(yùn)維信息系統(tǒng)的應(yīng)急預(yù)案，并負(fù)責(zé)具體應(yīng)急處置工作；（三）負(fù)責(zé)向與本部門對(duì)接業(yè)務(wù)的人員或單位傳達(dá)網(wǎng)絡(luò)與信息安全要求，落實(shí)各自安全職責(zé)；發(fā)現(xiàn)并及時(shí)報(bào)告本部門網(wǎng)絡(luò)與信息安全事件；第七條【網(wǎng)絡(luò)與信息安全管理員】（一） 負(fù)責(zé)信息設(shè)備的統(tǒng)計(jì)、故障處理、賬號(hào)管理、策略配置、系統(tǒng)升級(jí)、日志管理和維護(hù)等工作；（二） 負(fù)責(zé)網(wǎng)絡(luò)與信息安全事件的監(jiān)控及處理，負(fù)責(zé)突發(fā)事件的應(yīng)急響應(yīng)與處理；（三） 負(fù)責(zé)制定信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫(kù)等軟硬件的安全策略，并定期檢查分析信息安全策略的執(zhí)行情況；（四） 負(fù)責(zé)組織信息系統(tǒng)重大保障期間的信息安全檢查與監(jiān)控工作；負(fù)責(zé)信息系統(tǒng)用戶及管理員的認(rèn)證訪問(wèn)、權(quán)限和操作的安全審核；（五） 負(fù)責(zé)網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)維護(hù)手冊(cè)等相關(guān)資料的編寫及更新；（六） 負(fù)責(zé)保持網(wǎng)絡(luò)設(shè)備的漏洞最小化，定期對(duì)系統(tǒng)進(jìn)行安全加固；落實(shí)信息安全策略，審核網(wǎng)絡(luò)可能發(fā)生的變更，并保證與安全策略的一致性；（七） 負(fù)責(zé)網(wǎng)絡(luò)接入安全管理，對(duì)接入網(wǎng)絡(luò)的信息系統(tǒng)進(jìn)行審核；（八） 負(fù)責(zé)機(jī)房的日常管理和維護(hù)，對(duì)機(jī)房人員、設(shè)備進(jìn)出進(jìn)行登記管理；第三章授權(quán)和審批管理第八條【審批事項(xiàng)與審批權(quán)限】（一） 系統(tǒng)漏洞掃描、風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試工作由公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組組長(zhǎng)進(jìn)行審批。（二） 以下操作由公司網(wǎng)絡(luò)安全與信息化工作分管領(lǐng)導(dǎo)進(jìn)行審批:重要服務(wù)器、交換機(jī)、路由器、網(wǎng)絡(luò)安全設(shè)備的啟動(dòng)、關(guān)閉；系統(tǒng)用戶帳號(hào)的增加、刪除和權(quán)限修改。調(diào)整和更改網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)等各類設(shè)備和系統(tǒng)的配置參數(shù)；設(shè)備硬件更換、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、網(wǎng)絡(luò)連接更改；應(yīng)用程序軟件包修改、產(chǎn)品版本升級(jí)。（三） 以下變更事項(xiàng)由信息化部負(fù)責(zé)人進(jìn)行審批：系統(tǒng)數(shù)據(jù)庫(kù)修改；應(yīng)用系統(tǒng)新需求/新功能的開(kāi)發(fā)；新技術(shù)的使用；組織策略和規(guī)程的更改；非機(jī)房管理人員及外部人員進(jìn)入機(jī)房；設(shè)備進(jìn)出機(jī)房；信息系統(tǒng)新增服務(wù)器或其他新設(shè)備接入；信息系統(tǒng)新增與公司其他系統(tǒng)或與外部單位系統(tǒng)連接；（四） 涉及信息系統(tǒng)的重大事項(xiàng)無(wú)法裁決時(shí)，應(yīng)組織召開(kāi)專題評(píng)審會(huì)，邀請(qǐng)相關(guān)專家給出評(píng)審意見(jiàn)，并對(duì)評(píng)審會(huì)議內(nèi)容做詳細(xì)會(huì)議記錄。（五）信息化部門應(yīng)至少定期對(duì)系統(tǒng)授權(quán)審批事項(xiàng)進(jìn)行審查，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。第九條【審批程序】審批流程須按照如下環(huán)節(jié)進(jìn)行：提出申請(qǐng)、相關(guān)負(fù)責(zé)人審批、審批通過(guò)、登記記錄、備案歸檔。第四章安全檢查和審核管理第十條【網(wǎng)絡(luò)與信息安全月度檢查】（一）檢查內(nèi)容包括：（1） 信息系統(tǒng)相關(guān)各類設(shè)備（包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、安全設(shè)備等）的運(yùn)行情況；（2） 服務(wù)器操作系統(tǒng)運(yùn)行情況，包括服務(wù)器CPU使用情況、內(nèi)存使用情況、硬盤使用情況、系統(tǒng)漏洞和補(bǔ)丁更新情況及運(yùn)行日志等；（3） 數(shù)據(jù)備份情況，備份系統(tǒng)和備份介質(zhì)的管理情況；（4） 安全設(shè)備事件記錄分析；（5） 安全設(shè)備內(nèi)核、補(bǔ)丁、規(guī)則庫(kù)、病毒庫(kù)更新?tīng)顩r。（6） 信息系統(tǒng)日常運(yùn)維的自查情況；（7） 網(wǎng)絡(luò)安全策略的落實(shí)情況；（8） 信息系統(tǒng)的漏洞和風(fēng)險(xiǎn)情況；（9） 信息系統(tǒng)的數(shù)據(jù)備份情況。（10） 信息系統(tǒng)的用戶認(rèn)證訪問(wèn)、權(quán)限和操作情況；（11） 信息系統(tǒng)各類操作的安全審計(jì)記錄情況；（二） 檢查周期：每月1次（三） 檢查成果：形成檢查報(bào)告第十一條【網(wǎng)絡(luò)與信息安全季度檢查】（一） 檢查內(nèi)容包括：（1） 國(guó)家相關(guān)法律法規(guī)和要求的符合情況；（2） 安全組織職責(zé)、安全管理制度的執(zhí)行情況；（3） 信息安全策略的全面落實(shí)情況；（4） 現(xiàn)有安全管理體系、安全技術(shù)措施的有效性；（5） 信息系統(tǒng)的整體安全風(fēng)險(xiǎn)情況；（6） 信息系統(tǒng)的自查情況。（二） 檢查周期：每季度1次（三） 檢查成果：形成檢查報(bào)告第五章人員行為管理第十二條內(nèi)部人員行為管理（一） 各部門應(yīng)根據(jù)員工的崗位職責(zé)和崗位要求，嚴(yán)格控制和管理員工的信息資源訪問(wèn)權(quán)限，在員工正式上崗后協(xié)調(diào)相關(guān)部門合理確定員工的信息、信息資產(chǎn)的使用、管理和訪問(wèn)權(quán)限。（二） 員工在發(fā)生崗位變更后，應(yīng)根據(jù)崗位要求進(jìn)行信息、信息資產(chǎn)使用和訪問(wèn)權(quán)限的變更，合理控制員工對(duì)于信息系統(tǒng)信息資源的訪問(wèn)。第十三條【外部人員行為管理】（一）外部人員包括軟件開(kāi)發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商、業(yè)務(wù)合作伙伴、臨時(shí)雇工、實(shí)習(xí)生等外來(lái)人員。外部人員分為臨時(shí)外部人員和非臨時(shí)外部人員。（二） 各部門在與外部人員進(jìn)行接觸過(guò)程中，應(yīng)防范外部人員可能對(duì)公司帶來(lái)的各類網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)包括但不限于如下內(nèi)容：（1） 外部人員物理訪問(wèn)時(shí)對(duì)設(shè)備、資料的盜竊行為；（2） 外部人員的誤操作導(dǎo)致各種軟硬件故障；（3） 外部人員對(duì)資料、信息管理不當(dāng)導(dǎo)致敏感信息泄露；（4） 外部人員對(duì)計(jì)算機(jī)系統(tǒng)的濫用和非法訪問(wèn)；（5） 外部人員給計(jì)算機(jī)系統(tǒng)、軟件留下后門；（6） 外部人員對(duì)計(jì)算機(jī)系統(tǒng)的惡意攻擊。（三） 外部人員管理要求（1） 臨時(shí)外部人員進(jìn)入公司時(shí)，接待人必須全程陪同，告知有關(guān)網(wǎng)絡(luò)與信息安全管理規(guī)定，未經(jīng)允許不得使用公司的計(jì)算機(jī)和電子網(wǎng)絡(luò)設(shè)備。（2） 非臨時(shí)外部人員必須簽署《外部人員保密協(xié)議》（見(jiàn)附件一）后才能進(jìn)入辦公區(qū)域工作。禁止外部人員了解和查閱與工作無(wú)關(guān)的公司資料以及訪問(wèn)與工作無(wú)關(guān)的信息系統(tǒng)。（3） 業(yè)務(wù)洽談和技術(shù)交流應(yīng)當(dāng)在會(huì)議室進(jìn)行，招標(biāo)、談判等正式洽談和重大項(xiàng)目的會(huì)談應(yīng)當(dāng)在專門的會(huì)議室進(jìn)行，不得在辦公區(qū)域內(nèi)進(jìn)行。（4） 外部人員進(jìn)入機(jī)房等重要區(qū)域時(shí)，應(yīng)遵從《網(wǎng)絡(luò)機(jī)房管理制度》等相關(guān)規(guī)定。（5） 未經(jīng)相關(guān)領(lǐng)導(dǎo)許可，外部人員不得在辦公區(qū)域、設(shè)備間、機(jī)房等關(guān)鍵區(qū)域攝影、拍照。（6） 外部人員如因業(yè)務(wù)需要查閱公司受控信息、資料或訪問(wèn)公司網(wǎng)絡(luò)和信息系統(tǒng)資源，必須經(jīng)過(guò)網(wǎng)絡(luò)和信息系統(tǒng)管理運(yùn)維部門批準(zhǔn)并詳細(xì)登記。（7） 外部人員如因工作需要接入公司網(wǎng)絡(luò)（包括遠(yuǎn)程接入維護(hù)），必須經(jīng)本部門負(fù)責(zé)人確認(rèn)后，報(bào)信息化部批準(zhǔn)，再由網(wǎng)絡(luò)與信息安全管理員分配接入點(diǎn)并登記。（8） 外部接入的終端應(yīng)定期更新系統(tǒng)和軟件的補(bǔ)丁程序；應(yīng)安裝正版殺毒軟件，并定期進(jìn)行病毒庫(kù)升級(jí)。第六章辦公環(huán)境管理第十四條【管理要求】（一） 加強(qiáng)對(duì)辦公環(huán)境的安全管理，提高員工日常工作中的安全意識(shí)，嚴(yán)格控制辦公環(huán)境的訪問(wèn)。（二） 辦公環(huán)境內(nèi)的所有設(shè)備必須明確使用者，計(jì)算機(jī)設(shè)備的訪問(wèn)必須得到其使用者或管理者的授權(quán)。（三） 員工離開(kāi)座位時(shí)計(jì)算機(jī)要鎖屏，桌面上不能有內(nèi)部敏感信息文檔。員工下班后應(yīng)將重要文件、貴重物品和儀器放在抽屜或柜子內(nèi)并加鎖。（四） 各部門內(nèi)的復(fù)印機(jī)、傳真機(jī)、打印機(jī)使用后產(chǎn)生的內(nèi)部廢棄文件不得堆積，應(yīng)及時(shí)取走并銷毀。打印機(jī)和數(shù)碼照相機(jī)在使用后，如有敏感信息要及時(shí)清除，防止被他人盜取信息。（五） 未經(jīng)授權(quán)任何人不允許調(diào)換信息處理設(shè)備；不允許擅自將內(nèi)部IT設(shè)備、移動(dòng)硬盤、實(shí)體信息和軟件等帶離辦公區(qū)。（六） 未經(jīng)批準(zhǔn)，外部人員不得使用集團(tuán)內(nèi)部信息處理設(shè)備，如因工作需要使用內(nèi)部設(shè)備，須經(jīng)過(guò)授權(quán)并對(duì)其訪問(wèn)行為進(jìn)行監(jiān)控。（七） 外部維護(hù)人員進(jìn)入辦公區(qū)域進(jìn)行設(shè)備維修時(shí)，應(yīng)事先和相關(guān)部門取得聯(lián)系，在維修的過(guò)程中應(yīng)有專人進(jìn)行監(jiān)督。（八） 積極配合物業(yè)部門做好辦公室防火安全工作，配合做好大樓消防系統(tǒng)的設(shè)備維護(hù)工作，熟悉各種滅火器具的配備和使用，并接受和積極配合主管部門對(duì)辦公區(qū)域的安全檢查。第七章信息資產(chǎn)安全管理第十五條【信息資產(chǎn)的分類與登記】（一） 公司各級(jí)網(wǎng)絡(luò)與信息安全管理員負(fù)責(zé)建立和維護(hù)本級(jí)信息資產(chǎn)清單，對(duì)于重要信息資產(chǎn)應(yīng)當(dāng)進(jìn)行標(biāo)識(shí)，信息資產(chǎn)分類如下：（1） 硬件資產(chǎn)：包括服務(wù)器、臺(tái)式計(jì)算機(jī)、筆記本計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）、安全設(shè)備、通訊鏈路和電力供應(yīng)等有形信息技術(shù)設(shè)備設(shè)施；（2） 軟件資產(chǎn)：包括操作系統(tǒng)、辦公軟件、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)、應(yīng)用軟件、開(kāi)發(fā)工具等計(jì)算機(jī)程序；（3） 數(shù)據(jù)資產(chǎn)：包括應(yīng)用生產(chǎn)數(shù)據(jù)、配置數(shù)據(jù)、系統(tǒng)文件、管理數(shù)據(jù)等數(shù)據(jù)信息。（二） 信息系統(tǒng)所有的信息資產(chǎn)均應(yīng)指定相應(yīng)責(zé)任人，做到“責(zé)任落實(shí)到人”。（三）各部門負(fù)責(zé)本部門信息資產(chǎn)的使用、保管和維護(hù)。第十六條【硬件資產(chǎn)安全管理】（一） 網(wǎng)絡(luò)與信息安全管理員應(yīng)建立信息系統(tǒng)硬件資產(chǎn)清單，明確硬件資產(chǎn)責(zé)任人和使用范圍，并定期進(jìn)行資產(chǎn)清點(diǎn)。（二） 硬件資產(chǎn)的信息安全管理包括購(gòu)買、使用（交接、維修、重用）、處置和報(bào)廢，即信息資產(chǎn)全生命周期的安全管理。（三） 所有硬件設(shè)備采購(gòu)、變更、廢棄時(shí)，信息資產(chǎn)管理員必須首先在資產(chǎn)清單上進(jìn)行記錄和描述。（四） 硬件資產(chǎn)的采購(gòu)應(yīng)按照公司采購(gòu)管理相關(guān)要求執(zhí)行，在采購(gòu)過(guò)程中應(yīng)注重和加強(qiáng)設(shè)備供應(yīng)商資質(zhì)的管理，確保所購(gòu)買設(shè)備符合信息系統(tǒng)的應(yīng)用需求和信息安全管理要求。（五） 安全產(chǎn)品采購(gòu)應(yīng)符合國(guó)家相關(guān)規(guī)定，具備安全產(chǎn)品銷售許可、知識(shí)產(chǎn)權(quán)證明等資質(zhì)，采購(gòu)密碼產(chǎn)品應(yīng)符合國(guó)家密碼主管部門的要求。（六） 設(shè)備責(zé)任人負(fù)責(zé)采購(gòu)設(shè)備的測(cè)試驗(yàn)收工作，在清點(diǎn)和測(cè)試過(guò)程中必須詳細(xì)填寫相應(yīng)的質(zhì)量記錄。設(shè)備驗(yàn)收后應(yīng)保留如下文檔：測(cè)試驗(yàn)收方案、驗(yàn)收實(shí)施方案、驗(yàn)收記錄、驗(yàn)收?qǐng)?bào)告和不合格報(bào)告等。（七） 設(shè)備在到貨驗(yàn)收或配置之后，應(yīng)作出相應(yīng)的標(biāo)識(shí)，直接體現(xiàn)在設(shè)備上醒目的位置。標(biāo)識(shí)應(yīng)包括以下內(nèi)容：設(shè)備編號(hào)、設(shè)備使用部門、設(shè)備名稱、設(shè)備用途、設(shè)備供貨商及聯(lián)系方式。（八） 硬件資產(chǎn)使用人在使用過(guò)程中應(yīng)確保硬件配置的完整性，不得私自更換硬件資產(chǎn)及相關(guān)配件。（九）應(yīng)遵照《網(wǎng)絡(luò)機(jī)房管理規(guī)定》要求，加強(qiáng)機(jī)房?jī)?nèi)硬件資產(chǎn)的物理安全管理。（十）對(duì)于需要維修的硬件資產(chǎn)，由設(shè)備責(zé)任人提出申請(qǐng)，經(jīng)部門主管領(lǐng)導(dǎo)批準(zhǔn)后，方可將硬件資產(chǎn)送至相關(guān)單位進(jìn)行維修。（十一）存儲(chǔ)內(nèi)部信息的硬件資產(chǎn)在重用、維修和報(bào)廢前，應(yīng)確保所有存儲(chǔ)的敏感數(shù)據(jù)或授權(quán)軟件已經(jīng)被徹底清除并備份。（十二）對(duì)于需要報(bào)廢的硬件資產(chǎn)，如含有敏感信息，應(yīng)通過(guò)部門主管及網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室批準(zhǔn)后統(tǒng)一進(jìn)行報(bào)廢處理。第十七條【軟件資產(chǎn)安全管理】（一） 網(wǎng)絡(luò)與信息安全管理員應(yīng)建立信息系統(tǒng)軟件資產(chǎn)清單，明確軟件資產(chǎn)的基本屬性和用途，并定期清點(diǎn)軟件的安裝和使用情況。（二） 應(yīng)購(gòu)買正版商業(yè)軟件，在安裝軟件時(shí)要規(guī)定使用權(quán)限，防止非授權(quán)訪問(wèn)。（三） 應(yīng)加強(qiáng)對(duì)于開(kāi)發(fā)應(yīng)用軟件的代碼管理，確保應(yīng)用軟件能夠運(yùn)行穩(wěn)定，規(guī)范軟件升級(jí)管理工作。（四） 軟件資產(chǎn)責(zé)任人應(yīng)加強(qiáng)對(duì)于應(yīng)用軟件保存、標(biāo)識(shí)、安裝、卸載和升級(jí)的統(tǒng)一管理。（五） 對(duì)于需要維修的軟件資產(chǎn)，軟件資產(chǎn)使用人須和相關(guān)部門主管進(jìn)行溝通后，由軟件供應(yīng)商進(jìn)行維護(hù)、修改和升級(jí)，并在過(guò)程中做好安全控制。（六）對(duì)于需要?jiǎng)h除和報(bào)廢的軟件資產(chǎn)，使用部門可根據(jù)實(shí)際情況取消使用該軟件，信息系統(tǒng)統(tǒng)一業(yè)務(wù)應(yīng)用軟件應(yīng)經(jīng)過(guò)公司網(wǎng)絡(luò)安全與信息化分管領(lǐng)導(dǎo)的審核后統(tǒng)一取消和廢除。第十八條【數(shù)據(jù)資產(chǎn)安全管理】（一） 信息系統(tǒng)數(shù)據(jù)資產(chǎn)根據(jù)其重要程度分為受控和公開(kāi)數(shù)據(jù)，數(shù)據(jù)的創(chuàng)建者或管理者負(fù)責(zé)對(duì)數(shù)據(jù)資產(chǎn)的重要程度進(jìn)行標(biāo)識(shí)。受控?cái)?shù)據(jù)應(yīng)明確授權(quán)范圍，禁止非授權(quán)的用戶讀取受控?cái)?shù)據(jù)。（二） 網(wǎng)絡(luò)與信息安全管理員負(fù)責(zé)信息系統(tǒng)數(shù)據(jù)的備份和恢復(fù)工作，確保信息系統(tǒng)的數(shù)據(jù)安全。（三） 信息系統(tǒng)相關(guān)崗位人員負(fù)責(zé)各自設(shè)備或系統(tǒng)的配置數(shù)據(jù)、管理數(shù)據(jù)、系統(tǒng)文件的存儲(chǔ)和備份，確保設(shè)備中相關(guān)配置數(shù)據(jù)和管理數(shù)據(jù)的完整性和安全性。（四） 數(shù)據(jù)文件或存儲(chǔ)重要數(shù)據(jù)文件的介質(zhì)因損壞需要修復(fù)時(shí)，數(shù)據(jù)資產(chǎn)使用人應(yīng)及時(shí)和部門主管進(jìn)行溝通，信息系統(tǒng)數(shù)據(jù)恢復(fù)應(yīng)經(jīng)過(guò)相關(guān)部門確認(rèn)后統(tǒng)一進(jìn)行數(shù)據(jù)修復(fù)和恢復(fù)。（五） 敏感及受控?cái)?shù)據(jù)的刪除應(yīng)進(jìn)行記錄，數(shù)據(jù)的刪除或報(bào)廢，應(yīng)由數(shù)據(jù)資產(chǎn)使用人遵照本辦法第八章“存儲(chǔ)介質(zhì)安全管理規(guī)定”進(jìn)行處理。第八章存儲(chǔ)介質(zhì)安全管理第十九條【介質(zhì)標(biāo)識(shí)】（一）存儲(chǔ)介質(zhì)是指信息系統(tǒng)記錄數(shù)據(jù)的存儲(chǔ)設(shè)備，主要包括磁帶、磁盤、光盤、閃存等。（二） 加強(qiáng)對(duì)存儲(chǔ)介質(zhì)的安全管理，重點(diǎn)管理用于存儲(chǔ)信息系統(tǒng)重要業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)的各類磁盤、光盤和存儲(chǔ)系統(tǒng)等。（三） 存儲(chǔ)介質(zhì)應(yīng)分類標(biāo)識(shí)，磁帶、磁盤或其它存儲(chǔ)介質(zhì)等應(yīng)使用不同的分類標(biāo)簽，并區(qū)分原件與拷貝件。第二十條【介質(zhì)存放】（一） 存儲(chǔ)介質(zhì)保存環(huán)境應(yīng)保證具有足夠的防火、電力、空調(diào)、濕度及其他保護(hù)措施。（二） 用于數(shù)據(jù)存儲(chǔ)、備份或?yàn)?zāi)難恢復(fù)的存儲(chǔ)介質(zhì)應(yīng)存放在一定安全級(jí)別的區(qū)域。（三） 對(duì)含有敏感信息的存儲(chǔ)介質(zhì)應(yīng)妥善保管，并控制授權(quán)范圍。（四） 不允許將含有敏感信息的存儲(chǔ)介質(zhì)和不含有敏感信息的存儲(chǔ)介質(zhì)混放在一起。（五） 業(yè)務(wù)數(shù)據(jù)備份應(yīng)對(duì)介質(zhì)實(shí)行異地存儲(chǔ)，存儲(chǔ)地的環(huán)境要求和管理方法與本地相同。第二十一條【介質(zhì)檢查】（一） 網(wǎng)絡(luò)與信息安全管理員應(yīng)對(duì)存儲(chǔ)介質(zhì)進(jìn)行定期盤點(diǎn)和檢查，并記錄備案。（二） 介質(zhì)使用者應(yīng)定期對(duì)介質(zhì)中的數(shù)據(jù)進(jìn)行測(cè)試，如發(fā)現(xiàn)介質(zhì)硬件老化或運(yùn)行緩慢，應(yīng)立即將其中數(shù)據(jù)轉(zhuǎn)移到新的介質(zhì)中，防止重要數(shù)據(jù)丟失。第二十二條【介質(zhì)訪問(wèn)】（一）各類介質(zhì)的使用人員負(fù)責(zé)對(duì)介質(zhì)的訪問(wèn)進(jìn)行控制。對(duì)磁帶、磁盤和文檔庫(kù)等介質(zhì)的訪問(wèn)必須做嚴(yán)格限制。（二） 安裝和使用存儲(chǔ)設(shè)備時(shí)必須禁止非授權(quán)的訪問(wèn)。（三） 所有含有內(nèi)部信息的存儲(chǔ)介質(zhì)對(duì)外部人員都是保密的，嚴(yán)禁員工、顧問(wèn)和合作方等外部人員帶走。第二十三條【介質(zhì)數(shù)據(jù)管理】（一） 重要介質(zhì)中的數(shù)據(jù)和軟件應(yīng)采取加密存儲(chǔ)。（二） 刪除存儲(chǔ)介質(zhì)上的敏感信息后，必須執(zhí)行重寫操作防止數(shù)據(jù)恢復(fù)。（三） 任何包含敏感信息的中間存儲(chǔ)介質(zhì)，都必須銷毀其中信息。（四） 當(dāng)介質(zhì)損壞需要送出維修或銷毀時(shí)，應(yīng)首先清除其中的敏感數(shù)據(jù)，防止內(nèi)部信息的泄漏。（五） 如果將存儲(chǔ)介質(zhì)給予第三方使用，需要部門主管確認(rèn)該介質(zhì)已清除敏感信息。第二十四條【介質(zhì)銷毀】（一） 網(wǎng)絡(luò)與信息安全管理員應(yīng)對(duì)存儲(chǔ)介質(zhì)的銷毀做統(tǒng)一管理，并做集中報(bào)廢處置。（二） 含有硬拷貝形式的敏感信息存儲(chǔ)介質(zhì)的報(bào)廢處理方式為切碎或燒毀。第九章網(wǎng)絡(luò)安全運(yùn)維管理第二十五條【網(wǎng)絡(luò)連接管理】（一）網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)需進(jìn)行嚴(yán)格的規(guī)劃、設(shè)計(jì)和管理，一經(jīng)確定，不能輕易更改。（二） 應(yīng)為信息系統(tǒng)劃分單獨(dú)的網(wǎng)絡(luò)區(qū)域，并對(duì)該區(qū)域進(jìn)行嚴(yán)格的訪問(wèn)控制，禁止開(kāi)放病毒高發(fā)端口和遠(yuǎn)程管理端口等高風(fēng)險(xiǎn)端口，開(kāi)放端口需要經(jīng)過(guò)嚴(yán)格審批。（三） 對(duì)于非信息系統(tǒng)信息資產(chǎn)清單中登記的設(shè)備，如需接入信息系統(tǒng)網(wǎng)絡(luò)區(qū)域，必須提出正式申請(qǐng)并審核通過(guò)后接入網(wǎng)絡(luò)。申請(qǐng)人及網(wǎng)絡(luò)與信息安全管理員需遵循以下原則進(jìn)行控制：（1） 接入設(shè)備自身具備良好的安全機(jī)制；（2） 不對(duì)信息系統(tǒng)造成不良影響；（3） 對(duì)設(shè)備的操作人員得到認(rèn)可。（四） 網(wǎng)絡(luò)與信息安全管理員應(yīng)維護(hù)所有網(wǎng)絡(luò)設(shè)備的物理連接，控制和管理網(wǎng)絡(luò)接口的使用。（五） 網(wǎng)絡(luò)與信息安全管理員應(yīng)定期檢查網(wǎng)絡(luò)連接，確認(rèn)是否存在違反網(wǎng)絡(luò)安全策略的行為，發(fā)現(xiàn)問(wèn)題應(yīng)及時(shí)上報(bào)。第二十六條【網(wǎng)絡(luò)安全配置】（一） 網(wǎng)絡(luò)設(shè)備配置管理應(yīng)遵照以下安全原則：（1） 最小權(quán)限原則：指設(shè)備只能授予用戶必要的權(quán)限，而不能授予額外的權(quán)限。（2） 最少服務(wù)原則：指在保證設(shè)備運(yùn)行正常的前提下，關(guān)閉其它無(wú)關(guān)的系統(tǒng)服務(wù)和網(wǎng)絡(luò)服務(wù)。（二） 保證網(wǎng)絡(luò)設(shè)備用戶身份標(biāo)志的唯一性，即不同的個(gè)人用戶必須采用不同的用戶名和口令登錄，并且擁有不同的權(quán)限級(jí)別。不同用戶的登錄操作在設(shè)備日志文件上均應(yīng)有記錄，便于追查問(wèn)題。（三） 網(wǎng)絡(luò)設(shè)備的直接責(zé)任人擁有超級(jí)用戶權(quán)限，其他管理維護(hù)人員按照工作需求擁有相應(yīng)的用戶權(quán)限。網(wǎng)絡(luò)管理員不得私自開(kāi)通用戶或權(quán)限給無(wú)關(guān)人員。（四） 用戶口令的設(shè)置須符合以下要求：（1） 長(zhǎng)度不得少于8個(gè)字符；（2） 必須同時(shí)至少包含大寫字母、小寫字母、數(shù)字和符號(hào)中的兩種；（3） 每半年至少修改一次密碼；（4） 修改的密碼應(yīng)確保與最近5次使用過(guò)的密碼不重復(fù)。（五） 網(wǎng)絡(luò)設(shè)備需開(kāi)啟日志功能，定期檢查日志空間使用情況并按需清理，確保日志時(shí)效性。（六） 限定遠(yuǎn)程登錄終端的IP地址范圍，規(guī)避潛在的安全隱患。第二十七條【日常安全維護(hù)】（一） 網(wǎng)絡(luò)與信息安全管理員負(fù)責(zé)網(wǎng)絡(luò)的日常安全運(yùn)維管理工作，包括對(duì)網(wǎng)絡(luò)設(shè)備的定期維護(hù)，對(duì)網(wǎng)絡(luò)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控日志的維護(hù)和重要日志信息的分析和處理等工作。（二） 網(wǎng)絡(luò)與信息安全管理員應(yīng)對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行統(tǒng)一管理，應(yīng)保持拓?fù)浣Y(jié)構(gòu)圖與現(xiàn)行網(wǎng)絡(luò)運(yùn)行環(huán)境的一致性，拓?fù)鋱D應(yīng)包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的型號(hào)、名稱以及與鏈路的連接情況等。（三） 網(wǎng)絡(luò)與信息安全管理員應(yīng)建立網(wǎng)絡(luò)設(shè)備日常維護(hù)工作計(jì)劃，并根據(jù)供應(yīng)商推薦的服務(wù)時(shí)間間隔對(duì)設(shè)備進(jìn)行檢查和維護(hù)。（四） 被授權(quán)的維護(hù)人員可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行操作、維修和服務(wù)，外部人員進(jìn)行維護(hù)應(yīng)按照公司機(jī)房管理相關(guān)制度執(zhí)行，同時(shí)針對(duì)設(shè)備中的敏感信息進(jìn)行必要的處理。（五） 網(wǎng)絡(luò)設(shè)備發(fā)生故障時(shí)應(yīng)及時(shí)維修，在必要時(shí)通知設(shè)備廠商（代理商）的技術(shù)人員到現(xiàn)場(chǎng)解決，并填寫《網(wǎng)絡(luò)設(shè)備維修記錄單》（見(jiàn)附表二），記錄單內(nèi)容包括所有現(xiàn)象記錄和分析，以及實(shí)施過(guò)程記錄。（六） 網(wǎng)絡(luò)與信息安全管理員應(yīng)定期進(jìn)行網(wǎng)絡(luò)性能分析，以充分了解系統(tǒng)資源的使用情況及通信情況，提出網(wǎng)絡(luò)優(yōu)化方案。（七） 所有的網(wǎng)絡(luò)配置文件應(yīng)有離線備份，并在網(wǎng)絡(luò)設(shè)備配置變更同時(shí)更新備份文件。（八） 定期對(duì)日志文件進(jìn)行備份。日志文件保存時(shí)間應(yīng)在6個(gè)月以上，日志文件不得隨意修改。（九） 網(wǎng)絡(luò)設(shè)備的軟件版本（IOS或VRP等）較低可能會(huì)帶來(lái)安全性和穩(wěn)定性方面的隱患，需根據(jù)實(shí)際業(yè)務(wù)情況，在通過(guò)測(cè)試后統(tǒng)一升級(jí)到較新的相對(duì)穩(wěn)定的版本，同時(shí)對(duì)舊軟件版本不做刪除，以做備份之用。第十一章附則第二十八條本規(guī)定由信息化部負(fù)責(zé)解釋和修訂。