企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全規(guī)定一、總則第一條為了加強企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全管理工作,保障企業(yè)信息系統(tǒng)的正常運行,防范信息安全事故,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī),結(jié)合本企業(yè)實際情況,制定本規(guī)定。第二條本規(guī)定適用于本企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全的各個方面,包括但不限于網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源、信息系統(tǒng)、數(shù)據(jù)信息等。第三條企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全管理工作應(yīng)遵循以下原則:(一)安全第一,預(yù)防為主;（二）統(tǒng)一領(lǐng)導(dǎo),分級管理;（三)全面覆蓋,突出重點；(四）技術(shù)與管理并重。二、組織機構(gòu)與職責(zé)第四條企業(yè)應(yīng)設(shè)立信息安全領(lǐng)導(dǎo)小組,負(fù)責(zé)企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全工作的領(lǐng)導(dǎo)、組織、協(xié)調(diào)和監(jiān)督。第五條信息安全領(lǐng)導(dǎo)小組的主要職責(zé):(一)制定企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全政策、制度;(二)組織制定企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全規(guī)劃、計劃和預(yù)算;(三）審批企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全項目;（四)協(xié)調(diào)企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全工作與其他部門的關(guān)系;(五)監(jiān)督、檢查企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全工作的落實情況。第六條企業(yè)各部門應(yīng)設(shè)立信息安全員,負(fù)責(zé)本部門內(nèi)部網(wǎng)絡(luò)訪問及信息安全工作的具體實施。第七條信息安全員的主要職責(zé):(一)宣傳、貫徹企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全政策、制度;(二）負(fù)責(zé)本部門內(nèi)部網(wǎng)絡(luò)訪問及信息安全工作的日常管理;（三)定期對本部門內(nèi)部網(wǎng)絡(luò)訪問及信息安全進(jìn)行檢查、評估;(四）協(xié)助企業(yè)信息安全領(lǐng)導(dǎo)小組開展內(nèi)部網(wǎng)絡(luò)訪問及信息安全工作。三、網(wǎng)絡(luò)訪問管理第八條企業(yè)內(nèi)部網(wǎng)絡(luò)訪問實行分級管理,分為普通用戶、重要用戶和特權(quán)用戶。第九條普通用戶:具有訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源的權(quán)限,但不得訪問重要信息系統(tǒng)和數(shù)據(jù)。第十條重要用戶:具有訪問企業(yè)重要信息系統(tǒng)和數(shù)據(jù)的權(quán)限,但不得訪問特權(quán)信息系統(tǒng)和數(shù)據(jù)。第十一條特權(quán)用戶：具有訪問企業(yè)所有信息系統(tǒng)和數(shù)據(jù)的權(quán)限,包括但不限于系統(tǒng)管理員、數(shù)據(jù)庫管理員等。第十二條企業(yè)內(nèi)部網(wǎng)絡(luò)訪問權(quán)限的分配應(yīng)遵循以下原則:(一)按需分配,權(quán)限最小化;（二)權(quán)限審批,逐級審核;(三）權(quán)限變更,及時調(diào)整。第十三條企業(yè)內(nèi)部網(wǎng)絡(luò)訪問權(quán)限的審批流程:(一)普通用戶:由部門負(fù)責(zé)人審批;（二)重要用戶:由信息安全領(lǐng)導(dǎo)小組審批;(三）特權(quán)用戶:由企業(yè)主要負(fù)責(zé)人審批。第十四條企業(yè)內(nèi)部網(wǎng)絡(luò)訪問權(quán)限的撤銷:(一)普通用戶:由部門負(fù)責(zé)人撤銷;（二）重要用戶:由信息安全領(lǐng)導(dǎo)小組撤銷;（三）特權(quán)用戶:由企業(yè)主要負(fù)責(zé)人撤銷。四、信息安全保障第十五條企業(yè)應(yīng)建立健全信息安全保障體系,包括物理安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全、應(yīng)用安全等。第十六條物理安全:(一)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備、服務(wù)器等應(yīng)設(shè)置在安全可靠的場所;（二)重要網(wǎng)絡(luò)設(shè)備、服務(wù)器等應(yīng)實行專人對時監(jiān)控;(三)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備、服務(wù)器等應(yīng)定期進(jìn)行安全檢查、維護(hù)。第十七條網(wǎng)絡(luò)安全:(一)企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)采取防火墻、入侵檢測、病毒防護(hù)等措施;(二)企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)定期進(jìn)行網(wǎng)絡(luò)安全檢查、評估;(三）企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)實行訪問控制,防止非法訪問。第十八條主機安全:(一)企業(yè)內(nèi)部計算機應(yīng)安裝正版操作系統(tǒng)、殺毒軟件等;(二)企業(yè)內(nèi)部計算機應(yīng)定期進(jìn)行安全檢查、維護(hù);(三）企業(yè)內(nèi)部計算機應(yīng)實行權(quán)限管理,防止非法操作。第十九條數(shù)據(jù)安全:(一)企業(yè)內(nèi)部數(shù)據(jù)應(yīng)實行分類管理,重要數(shù)據(jù)應(yīng)實行加密存儲;（二)企業(yè)內(nèi)部數(shù)據(jù)傳輸應(yīng)采取安全措施,防止數(shù)據(jù)泄露;(三）企業(yè)內(nèi)部數(shù)據(jù)應(yīng)定期進(jìn)行備份,確保數(shù)據(jù)安全。第二十條應(yīng)用安全:(一)企業(yè)內(nèi)部應(yīng)用系統(tǒng)應(yīng)進(jìn)行安全審查,防止安全漏洞；(二）企業(yè)內(nèi)部應(yīng)用系統(tǒng)應(yīng)定期進(jìn)行安全更新、維護(hù);（三）企業(yè)內(nèi)部應(yīng)用系統(tǒng)應(yīng)實行權(quán)限管理,防止非法操作。五、信息安全事件處理第二十一條企業(yè)應(yīng)建立健全信息安全事件處理機制,包括事件報告、事件分類、事件處理、事件總結(jié)等。第二十二條信息安全事件報告:(一)發(fā)現(xiàn)信息安全事件,應(yīng)及時報告信息安全員；（二)信息安全員應(yīng)在1小時內(nèi)報告信息安全領(lǐng)導(dǎo)小組;(三)信息安全領(lǐng)導(dǎo)小組應(yīng)在2小時內(nèi)報告企業(yè)主要負(fù)責(zé)人。第二十三條信息安全事件分類:(一)一般事件:對企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全造成一定影響的事件;（二)重大事件:對企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全造成重大影響的事件;(三）特別重大事件:對企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全造成特別重大影響的事件。第二十四條信息安全事件處理:(一)一般事件:由信息安全員負(fù)責(zé)處理;（二)重大事件:由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)處理;(三）特別重大事件:由企業(yè)主要負(fù)責(zé)人負(fù)責(zé)處理。第二十五條信息安全事件總結(jié):（一)信息安全事件處理結(jié)束后,應(yīng)進(jìn)行總結(jié)分析,提出改進(jìn)措施；(二）信息安全事件總結(jié)報告應(yīng)報信息安全領(lǐng)導(dǎo)小組審批。六、違規(guī)處理第二十六條企業(yè)內(nèi)部員工違反本規(guī)定,視情節(jié)輕重,給予以下處罰:(一)口頭警告;(二)書面警告;(三）記過;（四)降職、撤職;(五)解除勞動合同。第二十七條外部人員違反本規(guī)定,造成企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及信息安全受到威脅的,