網(wǎng)絡(luò)信息安全管理規(guī)定

網(wǎng)絡(luò)信息安全管理規(guī)定第一章總則第一條為加強(qiáng)本單位網(wǎng)絡(luò)信息安全管理，保障計(jì)算機(jī)網(wǎng)絡(luò)、信息系統(tǒng)的正常運(yùn)行和數(shù)據(jù)安全，根據(jù)國家有關(guān)法律、法規(guī)，結(jié)合本單位實(shí)際，制定本規(guī)定。第二條本規(guī)定適用于本單位及所屬各單位網(wǎng)絡(luò)信息安全管理。第三條本單位網(wǎng)絡(luò)信息安全工作的總體方針是：統(tǒng)一部署，分級落實(shí)，預(yù)防為主，確保安全。第四條本單位網(wǎng)絡(luò)信息安全工作的策略是：以達(dá)到信息安全等級保護(hù)有關(guān)標(biāo)準(zhǔn)為目標(biāo)，以技術(shù)保障為主導(dǎo)，以日常管理為抓手，以教育培訓(xùn)為手段，統(tǒng)一規(guī)劃，重點(diǎn)部署；全員參與，分級負(fù)責(zé)；完善制度，嚴(yán)抓落實(shí)，構(gòu)建網(wǎng)絡(luò)信息安全的綜合防御體系。第二章組織領(lǐng)導(dǎo)與崗位職責(zé)第五條本單位信息化工作領(lǐng)導(dǎo)小組是本單位網(wǎng)絡(luò)信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)信息安全工作的組織領(lǐng)導(dǎo)、安全制度體系的建立與運(yùn)行審議以及其他重大事項(xiàng)的決策，并負(fù)責(zé)對本單位成員企業(yè)的網(wǎng)絡(luò)信息安全工作進(jìn)行指導(dǎo)和監(jiān)督。第六條各單位信息化工作領(lǐng)導(dǎo)小組是本單位網(wǎng)絡(luò)信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，對本單位網(wǎng)絡(luò)信息安全工作全面負(fù)責(zé)。第七條各級信息化工作領(lǐng)導(dǎo)小組應(yīng)設(shè)領(lǐng)導(dǎo)小組辦公室。各級信息化工作領(lǐng)導(dǎo)小組辦公室分別是本級單位網(wǎng)絡(luò)信息安全工作的實(shí)施機(jī)構(gòu)，應(yīng)設(shè)置安全主管、安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、計(jì)算機(jī)管理員等專業(yè)崗位，主要負(fù)責(zé)管理制度制定、專業(yè)人員管理、安全教育與培訓(xùn)、日常維護(hù)與安全事件處置等工作。第八條安全主管職責(zé)：1、負(fù)責(zé)組織協(xié)調(diào)各專業(yè)崗位開展網(wǎng)絡(luò)信息安全有關(guān)日常工作，并負(fù)責(zé)建立協(xié)調(diào)與內(nèi)外部相關(guān)部門及機(jī)構(gòu)的溝通聯(lián)系；2、負(fù)責(zé)定期組織全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；3、負(fù)責(zé)定期對安全管理員等專業(yè)崗位人員進(jìn)行考核，并向上級領(lǐng)導(dǎo)匯報(bào)考核情況。第九條安全管理員負(fù)責(zé)網(wǎng)絡(luò)信息安全日常工作的落實(shí)，由專人負(fù)責(zé)，具體職責(zé)有：1、負(fù)責(zé)定期對網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)及辦公計(jì)算機(jī)的日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況進(jìn)行安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對安全檢查結(jié)果進(jìn)行通報(bào);2、負(fù)責(zé)對網(wǎng)絡(luò)邊界設(shè)備、網(wǎng)絡(luò)管理設(shè)備、防病毒軟件、防惡意代碼軟件的日常監(jiān)控和管理，對異常情況及時(shí)分析處理，并形成書面記錄和處理報(bào)告；3、負(fù)責(zé)對網(wǎng)絡(luò)和系統(tǒng)用戶進(jìn)行安全意識教育，負(fù)責(zé)對相關(guān)專業(yè)人員進(jìn)行崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；4、負(fù)責(zé)對安全事件的報(bào)告和響應(yīng)，在處理過程中分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)L制定防止再次發(fā)生的補(bǔ)救措施，對過程形成的所有文件和記錄妥善保存；5、負(fù)責(zé)對安全審計(jì)信息進(jìn)行綜合評估和分析。第十條網(wǎng)絡(luò)管理員主要負(fù)責(zé)網(wǎng)絡(luò)機(jī)房及網(wǎng)絡(luò)設(shè)備方面的信息安全有關(guān)工作。第十一條系統(tǒng)管理員主要負(fù)責(zé)信息系統(tǒng)從開發(fā)到運(yùn)行維護(hù)整個(gè)階段的信息安全工作。第十二條計(jì)算機(jī)管理員主要負(fù)責(zé)用戶終端計(jì)算機(jī)的維護(hù)和管理方面所涉及的信息安全工作。第三章專業(yè)人員管理第十三條應(yīng)嚴(yán)格規(guī)范專業(yè)人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核，對錄用人員應(yīng)簽署保密協(xié)議。第十四條網(wǎng)絡(luò)主管及網(wǎng)絡(luò)管理員等關(guān)鍵崗位須從單位內(nèi)部選拔，并簽署崗位安全協(xié)議。第十五條安全管理機(jī)構(gòu)內(nèi)部各類崗位人員之間要定期或根據(jù)臨時(shí)、緊急、重大等特殊情況不定時(shí)召開內(nèi)部溝通協(xié)調(diào)會議,共同協(xié)作處理信息安全問題。第十六條應(yīng)定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核，同時(shí)應(yīng)對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。第十七條嚴(yán)格規(guī)范人員離崗程序，及時(shí)終止離崗員工的所有訪問權(quán)限；取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離崗。第四章安全制度管理第十八條建立健全網(wǎng)絡(luò)信息安全體系。針對計(jì)算機(jī)網(wǎng)絡(luò)管理與使用、信息系統(tǒng)開發(fā)與運(yùn)維、機(jī)房管理等各項(xiàng)網(wǎng)絡(luò)信息管理活動，制定安全策略，建立安全管理制度和操作規(guī)程。第十九條應(yīng)定期組織對網(wǎng)絡(luò)信息安全制度體系的合理性和適用性進(jìn)行評價(jià)和審議。應(yīng)定期或不定期對管理制度進(jìn)行檢查和審定，對存在不足或需要改進(jìn)的管理制度進(jìn)行修訂。第五章安全事件管理第二十條根據(jù)企業(yè)實(shí)際制定適宜的網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案,并根據(jù)環(huán)境變化、威脅升級、處置效果及政府主管部門要求及時(shí)進(jìn)行調(diào)整。第二十一條發(fā)生網(wǎng)絡(luò)信息安全事件時(shí)，應(yīng)第一時(shí)間按照應(yīng)急預(yù)案要求進(jìn)行處置，保留處置記錄，以備事后分析。第二十二條發(fā)生重大網(wǎng)絡(luò)信息安全事故，應(yīng)根據(jù)實(shí)際情況，及時(shí)報(bào)告上級主管部門或公安機(jī)關(guān)。第六章教育培訓(xùn)管理第二十三條應(yīng)定期對員工進(jìn)行網(wǎng)絡(luò)信息安全意識教育，并根據(jù)業(yè)務(wù)部門及人員工作性質(zhì)及工作內(nèi)容有針對性地進(jìn)行信息安全操作及相關(guān)技術(shù)培訓(xùn)。第二十四條專業(yè)崗位人員每半年進(jìn)行一次網(wǎng)絡(luò)信息安全基礎(chǔ)知識和崗位操作規(guī)程的培訓(xùn)。第二十五條每年