汽车网络和信息安全管理办法模版.docx

xxxx管理制度 ★ 网络和信息安全管理办法 XX.1201.02.29.1-2016 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 北京xx汽车股份有限公司 1. 目的 为加强北京xx汽车营销有限公司（以下简称“营销公司”）的网络安全与信息安全， 使公司的网络资源、信息资源得到有效保护，避免发生窃密和泄密事件发生，依据有关法律、法规，以及xxxx信息系统安全管理规定，制定本管理办法。 2. 适用范围 本办法适用于营销公司(含各部门和事业部)信息系统安全管理过程。 3. 术语 3.1 网络安全：指网络系统的硬件、软件及系统中的数据受到保护，不因偶然或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常运行，网络服务不中断。 3.2 信息安全：保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 4. 引用文件 《北京xx汽车股份有限公司计算机、网络使用规定》XX.13010503.01.15.1-2014 《北京系能源汽车股份有限公司信息系统安全管理办法》XX.05.01.21.1-2015 5. 职责 5.1 营销支持部是网络和信息安全主管部门 5.1.1 负责营销公司网络和信息安全管理办法的制订、修改。 5.1.2 负责互联网信息事故的防范和监督执行工作。 5.1.3 负责对公司安全策略升级进行可行性分析,制定实施方案与工作安排。 5.2 其它部门负责本部门内网络和信息安全的保护工作。 6. 管理内容和规定 6.1 网络安全 6.1.1 计算机管理信息系统的规划、设计和实施必须符合网络与信息安全建设的相关标准，能够满足安全运行和信息保密的需要。 6.1.2 计算机管理信息系统的建设过程中，必须同步设计和实施网络与信息安全系统。 6.1.3 计算机管理信息系统所采用的网络和信息安全产品，必须经过国家认可的相关机构的测评认证，并履行相关的审批手续。 6.1.4 公司内部网与公司外部网之间互联，必须采取有效的物理隔离和访问控制措施。 6.1.5 公司内部网与用于生产监控的网络系统之间必须采取有效的物理隔离和访问控制措施。 6.2 网络使用规定 6.2.1 各部门在日常工作中必须严格遵照执行《中华人民共和国计算机信息系统安全保护条例》、公安部《计算机信息网络国际互联网安全保护管理办法》和有关法律、行政法规的规定。 6.2.2 任何部门和个人不得利用互联网及内部局域网危害国家安全、泄露国家机密和单位商业秘密，不得侵犯国家、社会、企事业单位的利益和员工的合法权益，不得危害或侵入未授权的服务器，不得利用网络从事违法犯罪活动。 6.2.3 使用公司办公网络必须遵守如下细则： 6.2.3.1 未经公司营销支持部的许可，任何部门和个人不能建立基带 Modem 连接构建LAN 或安装其它多用户的通信系统。 6.7.3.1 未经公司许可，任何部门和个人不得将个人或者公司设备、计算机接入到公司的网络中。 6.7.3.2 公司计算机网络系统由网络硬件，网络传输介质，连接方式、网络传输协议、网络配置组成，整个网络系统由营销支持部统一规划管理。员工可以使用公司网络进行正常的信息共享与交换，不能进行改变、干扰、破坏公司网络系统的行为。 6.7.3.3 员工在使用公司网络时，不能私自改变、增加计算机与公司网络的物理连接和传输方式，不能更改营销支持部人员设定的网络配置。 6.7.3.4 网络设备安放的地点应该根据网络总体设计而定，员工不能随意移动网络设备，不能随意更换线路接口。 6.7.3.5 员工不得私自在网络上访问权限以外的数据库、文件及目录，并禁止对其修改或删除。 6.7.3.6 员工在离职时未经授权不得将公司电脑及网络上的数据和文档，通过磁盘、光盘、打印、E-mail 等形式进行复制。 6.7.3.7 网络管理和配置由公司营销支持部负责，包括负责制定网络安全制度，分析网络流量，监视网络的非法引入等。一旦发现有非法侵入，应及时采取对策，并上报主管领导，将破坏和影响降低到最低程度。 6.7.3.8 任何时间不得在公司内浏览与业务无关的网站，不得访问违反中国法律和中国政府禁止的网站，严禁访问色情网站、黑客网站。 6.7.3.9 为保障公司网络通畅，不得下载与工作无关的程序。 6.2.4 为保证公司互联办公网络安全，只开放基本网络使用服务（网页浏览、邮件收发等），如有特殊工作需求，需填写《员工权限开通审批表》向营销支持部申请，经审核同意后再进行开放。 6.3 系统安全 6.2.1 信息系统的网络设备、服务器设备、网络操作系统、数据管理系统在安装、调试完毕后，必须有准确无误的系统安装、配置文档，该文档除由网络管理人员统一、妥善保管外，还应在公司的档案中心进行存档。 6.2.2 网络管理员和数据库管理员在修改和调整以上设备和系统的配置参数后，要及时、准确地做好操作记录，妥善保管。 6.2.3 网络管理员和数据库管理员应定期修改和更换以上设备和系统的系统口令和管理口令，并做好记录，妥善保管。 6.2.4 网络管理员要经常检查设备和系统的漏洞，及时升级系统和安装补丁程序，消除系统和设备的潜在安全隐患。 6.2.5 网络管理人员在根据网络系统应用需求增加和调整网络服务功能后，要及时检查和调整安全设备的控制机制和访问策略。 6.2.6 网络管理员要采用必要的技术手段和测试工具，经常对网络系统进行跟踪和分析， 及时发现和消除网络资源的非法访问和黑客攻击行为。 6.4 应用安全 6.3.1 应用软件系统的设计、开发要确保系统的用户访问权限、账号和口令具有可管理性。软件维护人员要确保用户权限分配合理，账号口令设置严密，并定期对账号、口令进行更改，以增加应用系统的安全性。 6.3.2 数据库管理员和软件维护人员要定期（每月至少 2 次）对应用系统的管理员账号、用户账号进行检查，确保账号设置的有效性和唯一性，确保访问权限的资源分配合理、正确。 6.5 数据安全 6.4.1 数据库管理员对数据库服务器的数据管理要制定一套完善的数据备份和数据恢复的整体方案。要采用至少两种不同的数据备份方法和技术手段，对数据库服务器数据进行备份。 6.4.2 网络计算机用户负责对本机上的个人数据资源进行定期备份（每月至少 1 次），防止本机硬盘故障造成的数据丢失。 6.6 文档、资料保密 6.5.1 要落实专人对管理信息系统的技术文档、资料、程序代码等进行集中、妥善保管， 资料的内部借阅和使用要履行部门的领导审批手续，并做好借阅和使用记录。 6.5.2 技术文档、资料的对外借阅必须经过营销支持部主管领导的审批，涉及到企业信息 机密的，要经公司领导的审批。 6.7 防病毒安全 6.6.1 信息系统要具备集中的网络防病毒能力，保证网络杀毒软件的及时自动更新，网络维护人员要及时检查和跟踪网络杀毒软件的运行效果。 6.6.2 通过普及计算机信息安全知识，提高计算机网络用户的防病毒意识，合法、合规使用计算机软件和信息资源，提供网络系统抵御计算机病毒的整体安全性策略。 6.8 信息系统访问安全控制流程（见附件一） 7. 考核激励 对违反公司研发网安全管理规定的员工，视其对公司带来的危害程度及经营损失情况， 对相关人员进行不低于 200 元/次的负激励或按相关管理规定处理。 8. 记录 序号 表格名称 表号 保存地点 保存期 9. 附则 本制度由营销支持部负责解释，本制度自颁布之日起执行。 10. 附件 附件一：《信息系统访问安全控制流程》附件二：《信息系统访问申请单》 附件三：《信息系统变更记录档案表》 附加说明： 本办法提出部门：营销支持部本办法归口部门：营销支持部 本办法使用范围：北京xx汽车营销有限公司各部门及事业部本办法阅读范围：北京xx汽车营销有限公司各部门及事业部 文件版本修改记录表 表号： 生效时间：xx年 11 月 26 日 文件编号 版本状态 发布时间 修改章节 修改摘要 备注 附件一：信息系统访问安全控制流程 网络和信息安全管理办法 XX.1201.02.29.1-2016 责任部门：营销支持部 信息系统访问安全控制流程 第1页，共 1 页 生效日期：xx年 3 月 12 日 1.流程图 时间/阶段  申请阶段  审核阶段 实现阶段 输入输出 申请人 开始  01 提出信息系统访问需求，填报申请单  《信息系统权限访问申请表》  否 结束 部门负责人  02 部门领导审核  03 是 审批审核 营销支持部  04 依据访问需求， 评估安全风险， 设定合理权限 是 05 可行性分析 否 IT实施负责人  07 06 根据评估结果，设定合理的安全访问权限，并 制定紧急事件方案。 归档备案，满足需求 注：01-此步骤为申请阶段步骤。当需求人员对信息系统访问有需求时，需填写《信息系统权限访问申请表》。 06-此步骤为实现阶段步骤。IT实施负责人依据需求人员的《信息系统权限访问申请表》进行需求实现及安全访问控制，制定紧急事件处理方案并归档 5 / 9 附件二：信息系统访问申请单 网络和信息安全管理办法 XX.1201.02.29.1-2016 信息系统访问申请单 *申请人: 部门: *日期: *涉及系统: 访问类型: 新增访问需求 更改访问范围 其它 以下内容由业务需求及涉及人员填写 需求原因： 访问权限： 业务部门批准： 签字: 日期: 涉及部门会签： 日期: 以下内容由营销支持部填写 营销支持部IT系统分析(方案，风险，尝试，支持) 签字: 日期: 营销支持部主管领导： 签字: 日期: 申请单归档确认： 归档工程师： 归档日期: 6 / 9 附件三：信息系统变更记录档案表 网络和信息安全管理办法 XX.05.01.21.1-2015 信息系统变更记录档案表 序号 信息系统名称 变更申请部门 变更原因 变更内容 变更风险防范措施 变更执行结果 执行工程师 确认工程师 执行日期 归档工程师 归档日期 1 2 3 …… 7 / 9