企業(yè)網(wǎng)絡(luò)安全責(zé)任制執(zhí)行規(guī)范第一章總則第一條【立法目的與依據(jù)】為全面貫徹落實國家網(wǎng)絡(luò)安全法律法規(guī)要求，明確企業(yè)網(wǎng)絡(luò)安全責(zé)任，保障企業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行，保護(hù)企業(yè)核心數(shù)據(jù)和重要信息資產(chǎn)，提升企業(yè)整體網(wǎng)絡(luò)安全防護(hù)能力和水平，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)法律法規(guī)，結(jié)合企業(yè)實際，制定本規(guī)范。第二條【基本原則】企業(yè)網(wǎng)絡(luò)安全工作遵循“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，堅持“分級負(fù)責(zé)、協(xié)同聯(lián)動”、“預(yù)防為主、防治結(jié)合”、“技管并重、綜合防范”，構(gòu)建全員參與、全過程覆蓋、全方位保障的網(wǎng)絡(luò)安全責(zé)任體系。第三條【適用范圍】本規(guī)范適用于企業(yè)及所屬各部門、各分支機(jī)構(gòu)，以及為企業(yè)提供信息技術(shù)服務(wù)的第三方合作單位。企業(yè)全體員工及涉及企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)使用、管理、維護(hù)的相關(guān)人員均須遵守本規(guī)范。第二章責(zé)任主體與職責(zé)劃分第四條【企業(yè)主要負(fù)責(zé)人責(zé)任】企業(yè)主要負(fù)責(zé)人是本企業(yè)網(wǎng)絡(luò)安全工作的第一責(zé)任人，對企業(yè)網(wǎng)絡(luò)安全工作負(fù)全面領(lǐng)導(dǎo)責(zé)任，履行以下職責(zé)：（一）審定企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃、總體策略和重要規(guī)章制度；（二）保障網(wǎng)絡(luò)安全投入，確保人力、物力、財力資源的落實；（三）定期聽取網(wǎng)絡(luò)安全工作匯報，研究解決重大網(wǎng)絡(luò)安全問題；（四）組織領(lǐng)導(dǎo)重大網(wǎng)絡(luò)安全事件的應(yīng)急處置工作；（五）法律、法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全管理職責(zé)。第五條【分管負(fù)責(zé)人責(zé)任】企業(yè)分管網(wǎng)絡(luò)安全工作的負(fù)責(zé)人是本企業(yè)網(wǎng)絡(luò)安全工作的直接責(zé)任人，協(xié)助主要負(fù)責(zé)人統(tǒng)籌推進(jìn)網(wǎng)絡(luò)安全工作，履行以下職責(zé)：（一）組織制定企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃、總體策略和具體實施方案；（二）組織建立健全網(wǎng)絡(luò)安全責(zé)任體系和工作機(jī)制；（三）組織開展網(wǎng)絡(luò)安全宣傳教育、培訓(xùn)和應(yīng)急演練；（四）監(jiān)督檢查企業(yè)網(wǎng)絡(luò)安全管理制度的執(zhí)行情況和安全措施的落實情況；（五）向企業(yè)主要負(fù)責(zé)人報告網(wǎng)絡(luò)安全工作情況，提出改進(jìn)建議。第六條【網(wǎng)絡(luò)安全管理部門職責(zé)】企業(yè)應(yīng)設(shè)立或明確網(wǎng)絡(luò)安全管理部門（如網(wǎng)絡(luò)安全委員會辦公室、信息安全部等），作為網(wǎng)絡(luò)安全工作的專職管理機(jī)構(gòu)，履行以下職責(zé)：（一）擬訂網(wǎng)絡(luò)安全管理制度、操作規(guī)程和技術(shù)標(biāo)準(zhǔn)，并監(jiān)督實施；（二）組織開展網(wǎng)絡(luò)安全風(fēng)險評估、安全檢查和隱患排查，提出整改建議并督促落實；（三）組織建設(shè)和維護(hù)網(wǎng)絡(luò)安全技術(shù)防護(hù)體系，包括邊界防護(hù)、終端安全、數(shù)據(jù)安全、應(yīng)用安全等；（四）負(fù)責(zé)網(wǎng)絡(luò)安全事件的監(jiān)測、分析、通報和調(diào)查處置；（五）組織開展網(wǎng)絡(luò)安全宣傳教育、培訓(xùn)和技術(shù)研究；（六）對接上級主管部門和監(jiān)管機(jī)構(gòu)，報送網(wǎng)絡(luò)安全相關(guān)信息。第七條【業(yè)務(wù)部門負(fù)責(zé)人職責(zé)】各業(yè)務(wù)部門負(fù)責(zé)人是本部門網(wǎng)絡(luò)安全第一責(zé)任人，對本部門業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的安全負(fù)直接責(zé)任，履行以下職責(zé)：（一）組織落實企業(yè)網(wǎng)絡(luò)安全管理要求，將網(wǎng)絡(luò)安全融入業(yè)務(wù)流程；（二）負(fù)責(zé)本部門人員的網(wǎng)絡(luò)安全意識教育和行為規(guī)范管理；（三）組織本部門業(yè)務(wù)系統(tǒng)的安全需求分析、風(fēng)險評估和安全防護(hù)措施的實施；（四）配合網(wǎng)絡(luò)安全管理部門開展安全檢查、事件處置和應(yīng)急演練；（五）及時報告本部門發(fā)生的網(wǎng)絡(luò)安全事件和安全隱患。第八條【崗位人員責(zé)任】所有崗位人員應(yīng)嚴(yán)格遵守企業(yè)網(wǎng)絡(luò)安全管理制度和操作規(guī)程，履行以下職責(zé)：（一）學(xué)習(xí)網(wǎng)絡(luò)安全知識，提高安全防范意識和技能；（二）妥善保管賬號、密碼等身份認(rèn)證信息，定期更換密碼，不轉(zhuǎn)借他人使用；（三）規(guī)范操作計算機(jī)及網(wǎng)絡(luò)設(shè)備，不安裝未經(jīng)授權(quán)的軟件，不訪問不安全的網(wǎng)站；（四）負(fù)責(zé)本崗位工作中產(chǎn)生、處理、存儲的數(shù)據(jù)的安全保護(hù)；（五）發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或可疑情況，立即采取應(yīng)急措施并向直接上級和網(wǎng)絡(luò)安全管理部門報告。第九條【第三方責(zé)任】為企業(yè)提供信息技術(shù)服務(wù)、云計算、數(shù)據(jù)處理等服務(wù)的第三方合作單位，應(yīng)遵守相關(guān)法律法規(guī)和企業(yè)安全要求，簽訂安全協(xié)議，明確安全責(zé)任，并接受企業(yè)的安全監(jiān)督和管理。第三章責(zé)任落實與保障機(jī)制第十條【安全投入保障】企業(yè)應(yīng)將網(wǎng)絡(luò)安全投入納入年度預(yù)算，保障網(wǎng)絡(luò)安全技術(shù)設(shè)施建設(shè)、運(yùn)維管理、安全服務(wù)、人員培訓(xùn)、應(yīng)急處置等所需經(jīng)費(fèi)。第十一條【人員保障與能力建設(shè)】企業(yè)應(yīng)配備與網(wǎng)絡(luò)安全工作相適應(yīng)的專業(yè)技術(shù)人員和管理人員，建立健全人員錄用、培訓(xùn)、考核、離崗等管理制度，定期組織網(wǎng)絡(luò)安全專業(yè)技能培訓(xùn)和應(yīng)急演練，提升全員網(wǎng)絡(luò)安全素養(yǎng)和應(yīng)急處置能力。第十二條【考核評價與獎懲】企業(yè)應(yīng)將網(wǎng)絡(luò)安全工作納入各部門和相關(guān)人員的績效考核體系，定期對網(wǎng)絡(luò)安全責(zé)任制落實情況進(jìn)行考核評價。對在網(wǎng)絡(luò)安全工作中做出突出貢獻(xiàn)的單位和個人給予表彰獎勵；對違反網(wǎng)絡(luò)安全管理制度、造成網(wǎng)絡(luò)安全事件或重大損失的，依規(guī)依紀(jì)追究相關(guān)單位和人員的責(zé)任。第十三條【責(zé)任追究】對于未履行或未正確履行網(wǎng)絡(luò)安全職責(zé)，導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件、造成不良后果或損失的，應(yīng)按照“四不放過”（原因未查清不放過、責(zé)任人未處理不放過、整改措施未落實不放過、有關(guān)人員未受到教育不放過）的原則，對相關(guān)責(zé)任主體進(jìn)行責(zé)任追究，包括但不限于通報批評、經(jīng)濟(jì)處罰、組織處理等；構(gòu)成犯罪的，依法追究刑事責(zé)任。第四章安全管理與運(yùn)行要求第十四條【制度建設(shè)與規(guī)范】企業(yè)應(yīng)建立健全覆蓋網(wǎng)絡(luò)安全組織、人員、技術(shù)、管理、應(yīng)急等各方面的制度體系，并根據(jù)法律法規(guī)變化和企業(yè)發(fā)展情況及時更新完善。制度應(yīng)具有可操作性，并組織宣貫和培訓(xùn)，確保相關(guān)人員知曉并掌握。第十五條【風(fēng)險評估與隱患排查】企業(yè)應(yīng)定期組織開展網(wǎng)絡(luò)安全風(fēng)險評估，識別信息系統(tǒng)面臨的安全威脅和脆弱性，評估安全措施的有效性，并根據(jù)評估結(jié)果采取風(fēng)險處置措施。建立常態(tài)化安全隱患排查機(jī)制，對發(fā)現(xiàn)的隱患建立臺賬，明確整改責(zé)任人、整改措施和整改期限，確保隱患及時消除。第十六條【安全防護(hù)與技術(shù)措施】企業(yè)應(yīng)根據(jù)網(wǎng)絡(luò)安全等級保護(hù)等相關(guān)標(biāo)準(zhǔn)要求，結(jié)合自身實際，采取必要的技術(shù)措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行。包括但不限于：（一）網(wǎng)絡(luò)邊界安全防護(hù)，部署防火墻、入侵檢測/防御系統(tǒng)、安全網(wǎng)關(guān)等；（二）終端安全管理，落實防病毒、補(bǔ)丁管理、主機(jī)加固、移動設(shè)備管理等措施；（三）數(shù)據(jù)安全保護(hù)，對重要數(shù)據(jù)進(jìn)行分類分級管理，落實數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)加密、數(shù)據(jù)脫敏等措施；（四）應(yīng)用安全保障，加強(qiáng)對Web應(yīng)用、移動應(yīng)用的安全開發(fā)、測試和運(yùn)維管理；（五）身份認(rèn)證與訪問控制，采用多因素認(rèn)證、最小權(quán)限原則等措施，嚴(yán)格控制對重要系統(tǒng)和數(shù)據(jù)的訪問。第十七條【應(yīng)急響應(yīng)與災(zāi)難恢復(fù)】企業(yè)應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，明確應(yīng)急組織架構(gòu)、響應(yīng)流程、處置措施和保障機(jī)制。定期組織應(yīng)急演練，檢驗預(yù)案的科學(xué)性和可操作性。建立健全數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制，確保在發(fā)生安全事件或災(zāi)難后，能夠快速恢復(fù)信息系統(tǒng)的正常運(yùn)行和數(shù)據(jù)的可用性。第十八條【安全審計與監(jiān)督檢查】企業(yè)應(yīng)建立網(wǎng)絡(luò)安全審計機(jī)制，對網(wǎng)絡(luò)運(yùn)行狀態(tài)、用戶操作行為、系統(tǒng)日志等進(jìn)行記錄和審計分析，確保可追溯。網(wǎng)絡(luò)安全管理部門應(yīng)定期對各部門網(wǎng)絡(luò)安全責(zé)任制落實情況、制度執(zhí)行情況、安全措施有效性等進(jìn)行監(jiān)督檢查，及時發(fā)現(xiàn)問題并督促整改。第五章附則第十九條