无码一区二区三区爆白浆_久久精品无码一区二区三区_亚洲中文字幕无码AV_免费无码又爽又刺激高潮视频_日韩精品无码人成视频手机

山東大智控股集團股份有限公司文件

魯大智信字〔2022〕2號

————————————————————

山東大智控股集團股份有限公司網(wǎng)絡(luò)安全管理辦法

第一章 總則

第一條 為了保證集團網(wǎng)絡(luò)系統(tǒng)安全、持續(xù)和穩(wěn)健運行，根據(jù)國家相關(guān)法律以及相關(guān)文件要求，特制定本管理辦法。

第二條 本管理辦法所稱的網(wǎng)絡(luò)系統(tǒng)，是指由投資購買或租用，由信息化中心負責(zé)維護和管理的網(wǎng)絡(luò)系統(tǒng)，主要包括網(wǎng)絡(luò)主、輔節(jié)點設(shè)備，配套的網(wǎng)絡(luò)線纜設(shè)施，以及由網(wǎng)絡(luò)服務(wù)器、工作站構(gòu)成的，提供網(wǎng)絡(luò)應(yīng)用及服務(wù)的硬件、軟件的集成系統(tǒng)                              

第三條 網(wǎng)絡(luò)系統(tǒng)設(shè)備管理維護工作由信息化中心負責(zé)，信息化中心可以委托相關(guān)人員代為管理子節(jié)點設(shè)備。任何區(qū)域（公司）、部門和個人，未經(jīng)信息化中心同意，不得擅自安裝、拆卸或改變網(wǎng)絡(luò)設(shè)備。任何區(qū)域(公司)、部門和個人，不得利用聯(lián)網(wǎng)計算機、終端從事侵入、危害網(wǎng)絡(luò)、服務(wù)器、工作站的活動。

第四條 本管理辦法適用于集團所有網(wǎng)絡(luò)、硬件與軟件系統(tǒng)的安全。

第二章 組織機構(gòu)與職責(zé)

第五條 信息化中心是網(wǎng)絡(luò)建設(shè)和管理的執(zhí)行機構(gòu)。其職責(zé)是：為公司網(wǎng)絡(luò)建設(shè)和發(fā)展制訂整體規(guī)劃；負責(zé)組織實施已經(jīng)批準(zhǔn)施行的網(wǎng)絡(luò)建設(shè)計劃；負責(zé)網(wǎng)絡(luò)的運行維護管理；為全公司網(wǎng)絡(luò)用戶提供服務(wù)、培訓(xùn)和咨詢；跟蹤引進先進網(wǎng)絡(luò)技術(shù)；負責(zé)網(wǎng)絡(luò)的運行暢通、設(shè)備的運行維護、信息數(shù)據(jù)的安全保密工作；負責(zé)建立的網(wǎng)絡(luò)設(shè)備檔案；負責(zé)對網(wǎng)絡(luò)安全事件進行風(fēng)險識別、評估、監(jiān)測和出具相關(guān)報告材料；制定網(wǎng)絡(luò)的相關(guān)管理辦法。

第六條 信息化中心負責(zé)人員崗位變動情況的審核。信息化中心負責(zé)對網(wǎng)絡(luò)管理辦法執(zhí)行情況進行監(jiān)督、檢查。信息化中心負責(zé)網(wǎng)絡(luò)安全事件報送監(jiān)管機構(gòu)相關(guān)事項。

第七條 發(fā)起風(fēng)險評估的責(zé)任主體為信息化中心。接受安全風(fēng)險評估的部門應(yīng)參與制定安全風(fēng)險評估計劃及評估方案，了解評估可能造成的影響及規(guī)避措施，配合實施安全風(fēng)險評估工作。參與安全風(fēng)險評估人員應(yīng)嚴格遵守公司保密管理規(guī)定，對接觸到的敏感信息、漏洞情況等嚴格保密。如委托第三方進行風(fēng)險評估，應(yīng)選擇符合國家和公司要求的風(fēng)險評估服務(wù)機構(gòu)，并在與之簽訂的協(xié)議中，明確保密要求及禁止利用中提供的權(quán)限、信息進行其它破壞性或者信息刺探等非法活動，保障公司及客戶利益。

第三章 網(wǎng)絡(luò)安全管理

第八條 為保障網(wǎng)絡(luò)設(shè)備的安全、穩(wěn)定運行，機房必須建立相應(yīng)的接地、防雷、防火、防水設(shè)施和UPS等后備電源設(shè)備，并符合相關(guān)國家標(biāo)準(zhǔn)。

第九條 網(wǎng)絡(luò)管理員負責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則。

第十條 網(wǎng)絡(luò)管理員應(yīng)制定周密的切實可靠的網(wǎng)絡(luò)備份和應(yīng)急恢復(fù)方案，防止由于網(wǎng)絡(luò)設(shè)備系統(tǒng)崩潰、硬件損壞等原因而引起業(yè)務(wù)中斷。

第十一條 網(wǎng)絡(luò)管理員應(yīng)定期對機房網(wǎng)絡(luò)設(shè)備進行巡檢，監(jiān)測網(wǎng)絡(luò)設(shè)備的物理穩(wěn)定性和系統(tǒng)穩(wěn)定性，進行系統(tǒng)日志審計，并對系統(tǒng)狀況及安全事件進行分析，制定相應(yīng)的維護策略。

第十二條 網(wǎng)絡(luò)設(shè)備發(fā)生故障，網(wǎng)絡(luò)管理員應(yīng)本著先搶通業(yè)務(wù)、后排除故障的原則按照規(guī)定流程排除故障，遇到重大故障時應(yīng)及時上報領(lǐng)導(dǎo)，事后做好故障記錄并編寫故障分析報告。

第十三條 網(wǎng)絡(luò)管理員應(yīng)負責(zé)落實、實施涉及網(wǎng)絡(luò)設(shè)備的密碼管理機制。

第十四條 針對服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備應(yīng)建立相應(yīng)的日志服務(wù)器，歷史記錄保持時間建議不低于12個月；重要服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備日志應(yīng)建立日志備份機制

第十五條 任何人不得利用各種網(wǎng)絡(luò)設(shè)備或軟件技術(shù)從事用戶帳戶及口令的偵聽、盜用活動，不得使用任何非法手段獲取他人信息。

第十六條 網(wǎng)絡(luò)設(shè)備、服務(wù)器等發(fā)生破壞案件，或遭到黑客攻擊，如該案件影響到公司重要信息系統(tǒng)的正常運行，信息化中心負責(zé)啟動突發(fā)事件應(yīng)急處置預(yù)案，并逐級上報。

第十七條 網(wǎng)絡(luò)管理員定期對配置文件進行離線備份，在配置變更前、變更后分別對網(wǎng)絡(luò)設(shè)備的配置文件進行備份。

第四章 網(wǎng)絡(luò)接入管理

第十八條 網(wǎng)絡(luò)接入應(yīng)符合“誰主管、誰負責(zé)，誰接入、誰負責(zé)”總體原則，遵從“基于需求”、“集中化”、“標(biāo)準(zhǔn)化”及“可控”等具體原則。通過規(guī)范申請、審批等過程，實現(xiàn)安全的網(wǎng)絡(luò)互聯(lián)。

第十九條 外來人員未經(jīng)許可不得使用網(wǎng)絡(luò)資源，如需訪問內(nèi)網(wǎng)，由相關(guān)接待部門報主管領(lǐng)導(dǎo)審批并按公司規(guī)定的流程才可使用。

第二十條 未經(jīng)信息化中心許可，任何公司和個人不得非法私自將非計算機接入公司網(wǎng)絡(luò)或擅自接納網(wǎng)絡(luò)用戶。

第二十一條 未經(jīng)信息化中心允許，不得共享計算機內(nèi)的各種資源；不得對計算機網(wǎng)絡(luò)功能進行刪除、修改或者增加；不得對計算機網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加。

第五章 互聯(lián)網(wǎng)上網(wǎng)管理

第二十二條 公司互聯(lián)網(wǎng)出口必須部署防火墻等安全防護設(shè)備，接入互聯(lián)網(wǎng)的電腦必須經(jīng)過許可，并且安裝防病、毒防火墻等安全防護軟件。

第二十三條 公司上互聯(lián)網(wǎng)電腦不得存儲國家密級文件及公司重要文件，各公司要按照國家關(guān)于互聯(lián)網(wǎng)上網(wǎng)信息安全有關(guān)規(guī)定，加強對本公司互聯(lián)網(wǎng)上網(wǎng)電腦的管理，不得利用互聯(lián)網(wǎng)泄露公司商業(yè)秘密和損害公司的利益，對于出現(xiàn)的違法違紀(jì)行為，公司將根據(jù)有關(guān)規(guī)定追究有關(guān)公司和當(dāng)事人的責(zé)任。

第二十四條 公司互聯(lián)網(wǎng)接入的目的是為了加強與外界的合作與交流。因此任何人不得在上網(wǎng)電腦上瀏覽非法網(wǎng)站和下載非法軟件等，如因以上原因引起計算機系統(tǒng)染毒、系統(tǒng)崩潰而延誤工作造成損失的，上網(wǎng)者將受紀(jì)律處分并負責(zé)對電腦進行修復(fù)。

第二十五條 公司員工上網(wǎng)應(yīng)當(dāng)遵守有關(guān)法律、法規(guī)的規(guī)定，加強自律，開展文明、健康的上網(wǎng)活動。嚴禁利用公司網(wǎng)絡(luò)傳播病毒，危害公司網(wǎng)絡(luò)安全；制作、下載、復(fù)制、查閱、發(fā)布、傳播或以其他方式使用反動、淫穢色情等有害信息。

第六章 安全加固及補丁管理

第二十六條 供應(yīng)商和集成商需在服務(wù)期內(nèi)及時為設(shè)備和系統(tǒng)安裝操作系統(tǒng)、數(shù)據(jù)庫、中間件等第三方軟件的安全補丁，保證系統(tǒng)不出現(xiàn)高風(fēng)險漏洞。

第二十七條 供應(yīng)商和集成商需在安全補丁安裝前完成與設(shè)備或系統(tǒng)的兼容性測試。如果出現(xiàn)不能兼容的情況，供應(yīng)商和集成商必須免費對現(xiàn)有程序、應(yīng)用進行修改和升級，或者免費提供額外的安全措施，以保證安全性。

第二十八條 供應(yīng)商和集成商在系統(tǒng)驗收前，必須對系統(tǒng)進行安全加固，并提交加固報告。集成商必須保證提供的系統(tǒng)上不存在任何高風(fēng)險漏洞。如在驗收后發(fā)現(xiàn)高風(fēng)險漏洞，集成商和廠商應(yīng)立即免費進行升級和加固。

第七章 帳號口令及日志審計管理

第二十九條 所有網(wǎng)絡(luò)設(shè)備均需要支持基于帳號的訪問控制功能，并對口令文件提供妥善的保護。禁止使用設(shè)備默認口令密碼，禁止設(shè)置弱口令式密碼。

第三十條 各網(wǎng)絡(luò)設(shè)備應(yīng)能保存帳號增刪、配置更改、權(quán)限更改、重要操作和登陸信息等有關(guān)安全內(nèi)容的日志。該日志的保存期限建議不小于2年。如果因容量限制無法滿足該要求，應(yīng)將日志定期導(dǎo)出，采用其他手段進行保存。

第三十一條 網(wǎng)絡(luò)管理員管理應(yīng)定期對運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息進行分析和處理。

第三十二條 如某些網(wǎng)絡(luò)設(shè)備自身賬號口令管理以及日志審計功能不能滿足相關(guān)技術(shù)要求，需配套相應(yīng)的外部安全設(shè)備以滿足相應(yīng)的安全技術(shù)要求。

第八章 網(wǎng)絡(luò)升級與漏洞掃描管理

第三十三條 持續(xù)跟蹤廠商提供的網(wǎng)絡(luò)設(shè)備的軟件升級更新情況，在經(jīng)過充分的測試評估后對必要的補丁進行更新，并在更新前對現(xiàn)有的重要文件進行備份。

第三十四條 定期進行漏洞掃描，對漏洞風(fēng)險持續(xù)跟蹤，在經(jīng)過充分的驗證測試后對必要的漏洞開展修補工作。

第三十五條 實施漏洞掃描或漏洞修補前，應(yīng)對可能的風(fēng)險進行評估和充分準(zhǔn)備,如選擇恰當(dāng)時間，并做好數(shù)據(jù)備份和回退方案。

第三十六條 漏洞掃描或漏洞修補后應(yīng)進行驗證測試，以保證網(wǎng)絡(luò)系統(tǒng)的正常運行。

第九章 附則

第三十七條 本管理辦法由信息化中心負責(zé)解釋。

第三十八條 本管理辦法自發(fā)布之日起執(zhí)行。

山東大智控股集團股份有限公司

2022年3月15日