集团公司网络与信息安全管理办法

　　第一章 总 则

　　第一条 为规范×集团有限公司(以下简称“×”)网络与信息安全管理工作，贯彻落实信息安全等级保护要求及各项信息安全管控措施，保障信息系统的正常、高效、安全运行，依据《中华人民共和国网络安全法》等相关规定制定本办法。

　　第二条 本办法适用于×集团有限公司及所属各单位。

　　第二章 组织机构

　　第三条 ×网络安全和信息化领导小组是×网络与信息安全管理的领导机构(详见《关于成立×集团有限公司网络安全和信息化领导小组的通知》，领导小组全面领导集团公司网络安全和信息化建设工作;贯彻中央、国家及股份公司网络安全和信息化建设的法律、法规和方针政策;组织制定集团公司信息化发展战略和规划;定期听取集团公司网络安全和信息化情况汇报，对有关重大事项进行决策。

　　第四条 领导小组下设办公室，办公室设在公司办公室，办公室负责贯彻执行集团公司网络安全和信息化领导小组的决议、决策;定期向集团公司网络安全和信息化领导小组汇报工作情况;组织协调集团公司网络安全和信息化建设日常工作，包括信息化项目的立项、可行性研究和开发研制工作，并对实施过程中的重大问题进行协调解决;研究和制订集团公司网络安全和信息化有关技术标准、规范和管理办法;负责对各单位网络安全和信息化工作进行考评和奖惩。

　　第五条 集团公司本部各部门及各单位应当建立网络安全和信息化领导小组，贯彻执行集团公司信息安全主管机构下发的有关文件要求，组织落实集团公司的各项信息安全工作;协调处理信息安全有关事件;组织开展信息安全事件应急处置 ……此处隐藏6221个字…… 原则，访问控制策略是“允许必须，禁止其他”。

　　二、外联网络在穿过不可控区域时数据传输原则上应采用加密技术。三、制定外联网络方案时应注意保守本公司网络拓扑结构、IP地址、

　　端口、安全策略等秘密，并注意了解对方网络结构及其变化情况。

　　第二十四条 加强互联网安全管理，具体要求如下：

　　一、互联网与内部网络必须有相关的逻辑隔离，涉密信息不得通过互联网传输。

　　二、不得访问有关黑客网站，不得下载、安装黑客软件。

　　三、公司员工访问互连网，必须遵守《中华人民共和国网络安全法》等规定，不得利用互联网从事损害国家、公司及他人利益的活动。

　　第八章 安全审计

　　第二十五条 ×安全审计由外部审计和内部审计结合开展，各单位信息化主责部门负责对本单位企业信息化安全进行内部审计工作，针对安全审计工作发现的问题及时总结并组织整改，并配合外部审计部门做好审计工作。

　　第二十六条 信息安全审计分为安全管理体系审计、物理安全审计、网络安全审计、主机安全审计、应用数据安全审计五个方面。

　　第二十七条 安全审计中发现的不符合事项、信息安全风险隐患，责任单位和责任部门必须立即解决，防止信息安全事故发生。凡是已经发现的风险隐患，由于解决不及时而发生信息安全事故的，要追究有关单位和部门主要负责人的责任。

　　第九章 附则

　　第二十八条 本办法由×集团有限公司办公室信息网络中心负责解释和修订。

　　第二十九条 本办法自发布之日起生效。