X有限公司网络与信息安全管理办法（试行） 第一章总则 第一条为加强XXXX有限公司网络与信息安全监督管理，提高网络 与信息安全防护能力和水平，促进公司各项事业健康有序发展，根 据《中华人民共和国网络安全法》《XXX省计算机信息系统安全保 护条例》等相关法律法规及《XXX省XXX产业集团有限责任公司网 络与信息安全管理办法（试行）》，结合公司实际，制定本办法。 第二条本办法适用于公司网络与信息系统的建设、维护、使 用等管理工作。本条网络与信息系统是指（包括但不限于）网 络基础设施、数据中心、信息系统、网络数据、信息内容、计算 机终端和其他支撑网络与信息系统正常运行的软件、硬件设备。 第三条网络与信息安全工作坚持“统一领导、逐级负 责，统筹规划、突出重点”的原则，遵循“安全第一、预防 为主，管理和技术并重，综合防范，全员参与”的方针。 第二章职责分工 第四条公司设立网络安全和信息化领导小组，组成人员： 组长：党委书记 常务副组长：党委副书记 副组长：公司领导班子其他成员 成员：总经理助理党委办公室主任 综合办公室主任财务管理部负责人 领导小组下设办公室，办公室设在综合办公室 办公室主任：综合办公室主任 网络安全管理员：综合办公室职员 第五条公司网络安全和信息化领导小组负责统筹协调 网络与信息安全工作和相关监督管理工作，具体职责如下： （一）负责贯彻落实XXXXXXXX有限责任公司（以下简称“集团公 司”）网络与信息安全工作的部署和要求，依据“谁使用、谁主管、 谁负责”的原则，加强网络安全和信息XXX作的领导，落实工作责任； （二）研究制定公司网络安全与信息化管理制 度，落实相关措施，确保网络与信息系统安全运行； （三）负责开展公司网络安全的工作检查； （四）负责统筹、协调公司网络安全事件应急工 作，并配合有关监管部门做好网络安全相关应急处置工作； （五）负责推进公司软件正版XXX作，研究制定正版软件管理办法； （六）负责组织开展经常性网络安全宣传教育，提 高公司人员的网络安全意识和网络安全技术水平。 第六条有关部室在各自职责范围内负责网络 与信息安全保护和监督管理工作，具体职责如下： （一）综合办公室：牵头全面负责公司网络安全和信息XXX作，负责督促检 查公司网络安全和信息XXX作，负责网络安全信息的监测预警和通报工作的组 织、指导和协调，负责公司软件正版化日常工作。负责内部公文的保密管理工 作，负责协调公司落实网络安全和信息化有关举措，负责网络安全应急值班工作。 （二）党委工作部：负责党委信息安全工作，负责收集和处置信访相关舆 情。负责公司网络意识形态安全及应急处置工作，负责收集和处置公司重大舆情。 （三）财务管理部：负责网络安全和信息化经费保障工作。 第七条使用部室负责自建网络与信息系统的安全保护和监督管理工作；履 行网络与信息安全的保护义务；使用部室和个人对系统操作与信息内容的安 全承担直接责任；网络与信息系统通过外包服务方式进行维护的，使用部室 负责督查外包服务单位做好安全运维工作，安全监管责任主体仍为使用部室。 第三章安全防护 第八条对建设的网络与信息系统依法开展定级、备案、安全建设整改、等级 测评和自查等工作，采取管理和技术措施，抵御黑客、病毒、恶意代码等发起 的各类攻击和破坏，保障网络基础设施安全、网络运行安全、信息系统安全、 数据安全和信息安全，有效应对网络与信息安全事件，防范网络违法犯罪活动。 第九条按照国家有关网络与信息安全的法律法规、标准体系的管理规范、技术 标准确定网络与信息系统的网络安全保护等级，并对其实施相应等级的安全管理。 第十条新建、改建、扩建的网络与信息系统，应 当在规划、设计阶段同步建设信息安全保障措施。 第十一条严格要求并监督网站、平台或系统开发方或者运维 方采取数据分类、重要数据备份和加密等措施，防止数据丢失 或失密。备份数据应按相关制度严格管理，妥善保存；备份数据 资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。 第十二条严格要求并监督网站、平台或系统开发方或者运维方采 取监测、记录网络运行状态、网络安全事件的技术措施，防止网络日 志被非法窃取、修改和删除，所有日志均应按照法律法规等要求留存。 第十三条加强外部协作单位和人员的管理。因系统开发、运行维护等工作 需要，让外部协作单位和人员访问网络与信息系统时，必须驻场接受统一管 理，从配备堡垒机的统一端口访问，留存日志不少于6个月，并签订网络安全服 务协议，明确外部人员的安全责任与义务，规定所获取内部数据等资源的使用 范围，存留外部人员详细访问记录，并确定与之相关的内部网络安全责任人员。 第十四条网络与信息安全管理部门负责本公司网络 的规划、搭建、统一管理、日常维护、安全保障等工作。 第十五条局域网边界必须安装防火墙、上网行为管理等安全设备，设 置防病毒、防漏洞、数据过滤、禁止游戏等安全管理策略，对接入外网的 每个终端设备实行IP地址与MAC地址绑定，使用统一管理的防病毒软件。 第十六条使用局域网必须遵守相关法律法规，严禁在局域网内 运行或传播病毒、流氓软件及进行其他影响局域网正常运行的行为。 第十七条严格规范网络安全人员的录用过程，对被录用人的身 份、背景、专业资格和资质等进行详细审查，对其所具有的技术技 能进行严格专业的考核，并签署保密协议，明确网络安全管理责任。 第十八条新录用的网络安全人员，应当经过网 络安全培训，掌握网络安全基本要求和基本技能。 第十九条网络安全人员调岗离职时，应当签署网络安 全离岗保密协议，并及时调整和终止网络与信息系统的 访问权限。未办理上述事项前，不得办理调岗离职手续。 第二十条所有人员必须坚持“涉密不上网、上网不涉 密”原则，严格做好保密工作，妥善保管、使用敏感信息。 第二十一条计算机终端按下列要求使用，确保信息安全： （一）应安装、使用正版的操作系统、应 用软件、防病毒软件，及时升级各软件系统； （二）安装正规来源的工作软件，不得安装与工作无 关的软件，不得存储和处理与工作无关的个人信息、资 料、数据，不得制作、复制和传播非法、低俗、有害信息； （三）未经授权不得将数据或应用复制给其他单位或个人； （四）未经同意不得使用他人计算机终端； （五）设置具有一定强度的开机密码和屏 幕保护密码，关闭不必要的应用、服务、端口； （六）向信息系统提交文件前要做好查毒、杀毒工作，确保文件无毒上传； （七）对重要文档资料做好备份； （八）不得有法律法规禁止的行为。 第二十二条移动存储介质