網(wǎng)絡(luò)安全管理規(guī)定第一章總則第一條目的為了保障企業(yè)網(wǎng)絡(luò)安全，防范網(wǎng)絡(luò)安全威逼，規(guī)范企業(yè)網(wǎng)絡(luò)安全管理行為，提高企業(yè)網(wǎng)絡(luò)安全防護(hù)本領(lǐng)，特訂立本規(guī)定。第二條適用范圍本規(guī)定適用于企業(yè)內(nèi)全部員工以及與企業(yè)網(wǎng)絡(luò)系統(tǒng)相關(guān)的供應(yīng)商和第三方合作伙伴。第三條定義網(wǎng)絡(luò)安全：指保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)和信息資源不受未經(jīng)授權(quán)的訪(fǎng)問(wèn)、使用、披露、修改、破壞等行為的威逼的技術(shù)、管理和法律措施。員工：指在企業(yè)內(nèi)部工作并享受雇傭關(guān)系的勞動(dòng)者。供應(yīng)商和第三方合作伙伴：指與企業(yè)進(jìn)行業(yè)務(wù)合作，具有訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的權(quán)限的單位或個(gè)人。網(wǎng)絡(luò)系統(tǒng)：指企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、互聯(lián)網(wǎng)連接、服務(wù)器、網(wǎng)絡(luò)設(shè)備等。信息資源：指企業(yè)所擁有的各類(lèi)信息，包含但不限于客戶(hù)信息、商業(yè)機(jī)密、研發(fā)成績(jī)、財(cái)務(wù)數(shù)據(jù)、員工個(gè)人信息等。第四條基本原則法律合規(guī)：遵守國(guó)家、地方法律法規(guī)，保障企業(yè)網(wǎng)絡(luò)安全符合法律標(biāo)準(zhǔn)。防范為主：加強(qiáng)風(fēng)險(xiǎn)評(píng)估和安全防護(hù)，自動(dòng)防備網(wǎng)絡(luò)安全事件的發(fā)生。分級(jí)管理：依據(jù)信息資源緊要性和敏感程度，采取不同級(jí)別的網(wǎng)絡(luò)安全保護(hù)措施。綜合整治：通過(guò)技術(shù)手段、管理措施、人員培訓(xùn)等多種手段綜合整治網(wǎng)絡(luò)安全問(wèn)題。責(zé)任制：明確網(wǎng)絡(luò)安全責(zé)任，并建立相應(yīng)的獎(jiǎng)懲機(jī)制。第二章網(wǎng)絡(luò)訪(fǎng)問(wèn)管理第五條賬號(hào)管理員工在加入企業(yè)時(shí)，將被調(diào)配一個(gè)唯一的賬號(hào)，賬號(hào)和密碼由企業(yè)管理員統(tǒng)一管理。員工應(yīng)妥當(dāng)保管個(gè)人賬號(hào)和密碼，不得將其轉(zhuǎn)讓、共享或泄露。員工離職后，應(yīng)立刻上報(bào)并注銷(xiāo)個(gè)人賬號(hào)，離職員工的訪(fǎng)問(wèn)權(quán)限將被即時(shí)收回。第六條訪(fǎng)問(wèn)授權(quán)管理企業(yè)網(wǎng)絡(luò)系統(tǒng)的各個(gè)功能模塊應(yīng)依據(jù)員工崗位職責(zé)進(jìn)行訪(fǎng)問(wèn)權(quán)限的精準(zhǔn)明確掌控。企業(yè)內(nèi)外部員工訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的權(quán)限應(yīng)設(shè)置不同的級(jí)別，僅授權(quán)訪(fǎng)問(wèn)必需的信息資源和功能。掌控權(quán)限的調(diào)配和修改應(yīng)有明確的授權(quán)流程，記錄授權(quán)人、被授權(quán)人和授權(quán)時(shí)間。第七條遠(yuǎn)程訪(fǎng)問(wèn)管理遠(yuǎn)程訪(fǎng)問(wèn)需要經(jīng)過(guò)身份認(rèn)證，并使用加密通道進(jìn)行數(shù)據(jù)傳輸。遠(yuǎn)程訪(fǎng)問(wèn)的授權(quán)應(yīng)嚴(yán)格限制，必需經(jīng)過(guò)相關(guān)審批，審批記錄應(yīng)妥當(dāng)保管。第八條網(wǎng)絡(luò)連接管理企業(yè)網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)的連接口應(yīng)有防火墻進(jìn)行嚴(yán)格監(jiān)控，并定期對(duì)防火墻規(guī)定進(jìn)行調(diào)整和優(yōu)化。對(duì)于外部網(wǎng)絡(luò)連接，應(yīng)定期進(jìn)行漏洞掃描和安全評(píng)估，并及時(shí)修補(bǔ)漏洞。第三章信息安全管理第九條信息分類(lèi)管理對(duì)企業(yè)的信息資源進(jìn)行分類(lèi)，依照敏感程度和緊要性設(shè)置不同的級(jí)別，對(duì)不同級(jí)別的信息資源采取相應(yīng)的保護(hù)措施。對(duì)于涉及商業(yè)機(jī)密和個(gè)人隱私等敏感信息，應(yīng)嚴(yán)格掌控訪(fǎng)問(wèn)權(quán)限，并使用加密措施進(jìn)行保護(hù)。第十條加密通信管理對(duì)于涉及敏感信息的通信，應(yīng)使用加密方式進(jìn)行傳輸，包含但不限于SSL、VPN等技術(shù)手段。企業(yè)內(nèi)部通信應(yīng)使用加密通道進(jìn)行傳輸，防止信息被監(jiān)聽(tīng)、竄改或偽造。第十一條防病毒管理在各個(gè)網(wǎng)絡(luò)終端設(shè)備上安裝并及時(shí)更新病毒防護(hù)軟件，對(duì)病毒進(jìn)行實(shí)時(shí)監(jiān)控，并定期進(jìn)行病毒掃描和清除操作。企業(yè)網(wǎng)絡(luò)系統(tǒng)中的電子郵件、文件傳輸?shù)冗M(jìn)行惡意代碼掃描，發(fā)現(xiàn)病毒應(yīng)立刻隔離和清除。第十二條系統(tǒng)安全管理對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期漏洞掃描和安全評(píng)估，并及時(shí)修補(bǔ)系統(tǒng)漏洞。對(duì)緊要的系統(tǒng)進(jìn)行日志審計(jì)和事件監(jiān)控，及時(shí)發(fā)現(xiàn)并處理異常事件。禁止使用未經(jīng)授權(quán)的軟件和工具，嚴(yán)禁破解和使用盜版軟件。第四章安全意識(shí)教育第十三條培訓(xùn)計(jì)劃企業(yè)應(yīng)訂立網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃，針對(duì)不同崗位的員工進(jìn)行相關(guān)網(wǎng)絡(luò)安全教育培訓(xùn)。第十四條培訓(xùn)內(nèi)容網(wǎng)絡(luò)安全的基本知識(shí)和技能；員工的網(wǎng)絡(luò)安全責(zé)任和義務(wù)；員工的信息安全保護(hù)意識(shí)和方法；網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的流程和措施；外部安全事件案例分析和警示教育。第十五條培訓(xùn)方式網(wǎng)絡(luò)安全培訓(xùn)應(yīng)定期組織，采取面對(duì)面教育、在線(xiàn)培訓(xùn)等方式進(jìn)行；在員工入職時(shí)，應(yīng)進(jìn)行網(wǎng)絡(luò)安全相關(guān)的培訓(xùn)和考核；以上網(wǎng)上培訓(xùn)內(nèi)容應(yīng)定期更新。第五章違規(guī)處理第十六條違規(guī)行為違反本規(guī)定的行為包含但不限于：1.未經(jīng)授權(quán)訪(fǎng)問(wèn)、使用、披露、修改、破壞企業(yè)信息資源；2.泄露賬號(hào)和密碼、共享賬號(hào)；3.繞過(guò)安全掌控措施；4.未經(jīng)授權(quán)擅自連接外部網(wǎng)絡(luò)；5.違反網(wǎng)絡(luò)安全管理規(guī)定。第十七條處理措施對(duì)于違反網(wǎng)絡(luò)安全管理規(guī)定的行為，將依據(jù)違規(guī)行為的嚴(yán)重程度采取相應(yīng)的處理措施，包含但不限于口頭警告、書(shū)面警告、停職、解雇等；在嚴(yán)重違規(guī)情況下，將保存追究法律責(zé)任的權(quán)利；對(duì)于供應(yīng)商和第三方合作伙伴的違規(guī)行為，將采取相應(yīng)的制裁措施，包