体验新版 | 中文繁體版 | English
当前位置:首页> 中技所交易规则

中国技术交易所有限公司 网络与信息安全管理办法

来源:   时间:

中国技术交易所有限公司网络与信息安全管理办法

第一章 总 则

第一条 为加强中国技术交易所有限公司(以下简称“公司”或“中技所”)网络与信息安全管理工作,明确和落实网络安全责任,保障中技所网络环境与信息系统的安全、稳定运行,确保中技所业务的顺利开展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相关规定,市委市政府及市国资委相关文件要求以及国资公司和上级单位相关文件要求,结合公司实际,制定本办法。

第二条 本办法所指网络与信息安全(以下简称“网络安全”)是指:网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

第三条 本办法所指网络安全管理工作的基本任务是指:预防、打击利用或者针对公司网络环境、信息系统进行的违法犯罪活动,预防、处理公司各种网络安全事故,提高公司网络环境与信息系统的整体安全水平。

第四条 本办法适用于中技所所及所控制的下属子企业(以下简称“各单位”)的网络与信息安全管理工作。

第五条 中技所网络安全管理工作实行“谁主管,谁负责,谁使用,谁负责”、“预防为主、综合治理”、“制度防范和技术防范相结合”的原则,公司主要负责人是网络安全工作第一责任人,主管网络安全工作的分管领导是直接责任人,通过加强制度建设,落实网络安全保护责任制,逐步实现科学化、规范化管理。

第二章 组织机构及职责

第六条 中技所设立网络与信息安全领导小组(以下简称“中技所网信领导小组”),作为中技所网络安全管理的领导机构。主要职责:

(一)贯彻落实国家及北京市网络安全相关法律、法规、任务要求。

(二)建立和落实中技所网络安全责任制,把网络安全工作纳入重要议事日程,听取网络安全相关工作情况汇报。

(三)领导中技所网络安全保障工作,统筹研究中技所网络安全保障的形势和策略,部署网络安全保障任务。

(四)审核中技所网络安全相关制度、规划和重大项目方案。

(五)检查重要业务应用系统、核心网络系统的应急预案及落实情况。

(六)决策重大网络安全事件,研究解决网络安全重要问题。

第七条 中技所信息技术管理部门,是中技所网络安全工作的日常办事机构。主要职责:

(一)在网信领导小组的领导下,贯彻执行网信领导小组的决议,承担网络安全管理日常事务工作,定期向网信领导小组报告网络安全相关工作情况、网络安全重大事项,对存在的问题进行分析以及提出解决问题的建议,供领导决策参考。

(二)负责网络安全与信息化工作顶层设计,编制网络安全与信息化工作规划,相关内容应与上级单位信息化总体规划和专项规划有效衔接,并报中技所网信领导小组审批,审批通过后,报上级单位审核备案。

(三)负责制定年度网络安全与信息化工作计划,计划内容包括但不限于年度项目建设和运维安排、网络安全应急演练活动计划、信息化工作人员技能培训及全员教育培训计划等。年度工作计划应报上级单位网信领导小组备案。

(四)负责制定网络安全相关制度,定期组织网络安全检查工作,监督各项网络安全管理制度的执行。

(五)建立网络安全监测预警机制,并及时转达上级单位下发的安全预警通告、安全检查情况等,落实整改意见,跟踪整改工作的完成情况,并定期向上级单位上报。

(六)制定重要业务应用系统、核心网络系统的应急预案,并定期组织应急演练,运用技术手段,增强网络安全事件发现和处置能力。

(七)负责组织进行信息化项目建设中的安全规划和方案研究,监督安全措施的执行,确保应用开发环节中的信息安全。

(八)严格执行网络安全等级保护工作和软件正版化工作的制度要求。

(九)组织开展网络安全宣传教育,强化网络安全人员配置和技能培训。

第八条 公司应确保网络安全相关工作的机构、职能、人员和责任“四落实”。公司网络安全管理岗承担网络安全具体工作。

第三章 安全人员管理

第一节 网络安全管理岗管理

第九条 中技所设置网络安全管理岗。网络安全管理岗应具备政治过硬、业务素质较高、遵纪守法、恪尽职守,有相关工作经历两年以上的条件。凡有违反国家法律、法规和行业规章受到处罚记录的人员,不得从事网络安全管理工作。

第十条 网络安全管理岗应履行以下职责:

(一)负责网络安全管理的日常工作。

(二)开展网络安全检查工作,对要害岗位人员安全工作进行指导。

(三)组织开展网络安全知识的培训和宣传工作。

(四)监控信息系统安全总体状况,提出安全分析报告。

(五)了解行业动态,为改进和完善网络安全管理工作,提出安全防范建议。

(六)及时向网信领导小组和有关部门、公司报告信息安全事件。

(七)参与信息化项目建设中的安全规划和方案研究,监督安全措施的执行,确保应用开发环节中的信息安全。

(八)负责在授权范围内的其它管理、维护工作。

第十一条 中技所信息技术管理部门应定期组织对网络安全管理岗的技术培训、管理培训和考核,考核未通过的人员须调离岗位。

第十二条 网络安全人员调离本岗位,须严格办理调离手续,承诺其调离后的保密义务。涉及中技所业务核心技术的网络安全人员调离,调离后仍对其在任职期间接触、知悉的属于公司或者虽属于第三方但公司承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。

第二节 关键岗位人员管理

第十三条 本办法所称关键岗位人员,是指制作、使用、维护和管理重要信息系统敏感资源的中技所员工。敏感资源的定义见第九章。负责重要信息系统的信息发布管理岗、交易运维岗、基础设施运维岗、网络安全管理岗的人员均属关键岗位人员。

第十四条 关键岗位人员不得利用工作便利,非法越权访问中技所重要信息系统敏感资源或从事危害中技所利益和客户经济利益的活动。

第十五条 关键岗位人员在使用载有敏感资源的介质时,须保证介质的物理特性和信息内容不受破坏,使用完毕后应立即归还原处,不得对资源进行非法使用、窃取、篡改和破坏。

第十六条 关键岗位人员未经批准不得在新闻媒体、技术刊物和非保密的会议上擅自公开敏感资源。

第十七条 关键岗位人员调离本岗位时,须移交全部技术资料及有关敏感资源的介质,停止其使用、维护和管理的权限,并及时更换访问敏感资源的密码。涉及中技所业务核心技术的关键岗位人员调离,调离后仍对其在任职期间接触、知悉的属于公司或者虽属于第三方但公司承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。

第十八条 关键岗位人员的管理还应符合中技所职位管理的相关规定。

第四章 机房运行安全管理

第十九条 本办法所指的机房是中技所存放服务器、存储、网络、安全等硬件设备,为用户以及员工提供IT服务的场所,包括:业务系统机房、办公系统机房。中技所信息技术管理部门是机房使用的主管部门。

第二十条 机房应根据当地的气候环境及机房设备要求,设定空调机运行参数。保证机房环境符合国家相关标准对机房温湿度的要求。应由专人定期检查空调机运行状态,填写维护日志,未达到环境要求时应及时维护处理。

第二十一条 机房供配电电源系统须符合国家相关标准的规定。信息系统应有稳定可靠的不间断电源供应。机房低压配电系统要严格按技术标准配置。机房电源进线要按现行国家相关标准采取防雷措施。

第二十二条 须指定持证电工,定时或定期检查供电各部位,并进行记录。如有异常情况要立即向分管领导报告,并及时采取有效处置措施。

第二十三条 须加强对机房供电室的管理,禁止无关人员进入;对机房各类设备的电源要实行定时检测,对损坏或接触不良的开关、部件要及时更换。机房内各种开关、插座的变更,必须报经分管领导批准,由有关负责人组织实施、验收,并向有关使用人员进行交接。

第二十四条 须定期查看消防控制柜内所有开关及各类消防设施是否处于有效状态;定期检查、更换消防器材和灭火剂;应组织机房工作人员进行消防演练,并对演练情况进行记录。

第二十五条 发现火灾隐患或火警时,须按消防预案采取相应措施,并立即报告有关领导。

第二十六条 机房工作人员应定期对所配备的防静电、防漏水、防盗、防鼠害、防火等设置的运行状态进行维护与检查,必要时配备自动化动环监控系统,进行自动监控、告警,机房工作人员根据告警信息及时进行处置与上报。

第二十七条 机房主管部门应建立、健全机房安全管理制度,如值班、安全应急、安全事件处理制度等,并定期检查监督制度执行情况。

第二十八条 加强进出机房人员管理。禁止未经批准的外部人员进入。非机房工作人员进出机房须经机房主管部门负责人批准,外来人员进出机房必须办理登记手续,并由专人陪同。

第二十九条 机房内各种设备、软件和应用系统,根据岗位分工和授权,按责任制实施管理和操作,各责任人只能在本人所属的工作区内对所管辖的设备或系统进行操作、维护和管理,严禁越权、越区操作他人所管辖的设备或系统。特殊情况下,须报经部门负责人和分管领导批准后方可进行。

第三十条 与工作无关的物品(包括个人手提包等)不得带入机房。携带工作物品出入机房必须办理有关手续,由机房主管部门负责人批准后,方可带进或带出。严禁携带易爆、易燃、易破碎、易污染、易腐蚀、易潮等危险品和带有强磁场、强辐射等对硬件设备运行产生干扰的物品进入机房。

第三十一条 未经允许严禁携带照相机、摄像机、录音机、笔记本电脑和移动硬盘、U盘等移动存储设备进入机房;如特殊情况,需携带移动存储设备进入机房,须事先通过安全扫描,并经机房主管部门负责人批准同意。

第三十二条 机房内禁止使用各类电热器具,确因工作需要使用的,应由专人按技术规范操作,使用完毕后须立即做好善后安全处理。

第三十三条 定期对机房地面、工作台面、常用设备外表进行清理,对机房墙面、活动地板以下空间进行大扫除。机房内严禁吸烟、喝水、吃零食。机房内放置的各种设备不得随意移动,各种仪表、工具、图纸使用后应放回原处。

第三十四条 进入机房工作的人员须自觉维护机房工作秩序,保持机房内环境整洁。

第三十五条 机房工作人员应严格遵守保密制度,重要资料以及各类介质未经许可不得带出机房或通过网络向外传播。

第三十六条 发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。

第五章 信息系统安全管理

第一节 系统建设安全管理

第三十七条 开展信息系统建设,在需求、立项、采购、实施、测试、验收等阶段应严格落实《中国技术交易所有限公司信息化工作管理办法》,同时须同步落实网络安全要求,遵循国家政策法规。

第三十八条 信息系统的建设和变更须做好方案设计,对系统安全应遵循适度保护的原则,需在满足以下基本要求的前提下,实施与业务安全等级相符合的安全机制:

(一)应明确信息系统的安全保护等级,根据信息系统的安全保护等级制定相应的安全设计方案,确定系统的安全需求。

(二)处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

(三)应采取加密等技术措施和其他必要措施,保障数据存储、传输的保密性及完整性。

第三十九条明确开发人员在信息系统开发过程中的安全职责和对于重要的敏感资源(如源代码、目标代码等)、其他信息系统的访问权限。

第四十条 应指定人员负责系统建设实施过程管理,制定实施方案,控制建设实施过程安全,实施过程中严格控制关键技术措施和核心安全防护设计文档发放范围。

第四十一条在信息系统测试阶段,应确保所有设计的安全功能均能得到落实和实现。在测试报告或相关文档中应明确说明检查列表中各项安全功能的落实和实现情况。

第四十二条 信息系统投入运行前应由开发建设单位等具有安全检测能力的专业机构进行安全检测,相关检测报告通过后,方可投入运行。

第四十三条 系统开发单位在系统交付前应对负责系统运行维护的技术人员进行相应的技能培训。

第二节 系统运行安全管理

第四十四条 基础设施运维岗应正确设置操作系统和数据库的账号、密码及权限,定期清理不必要的系统账号,重要系统的账号密码应定期更换。对各类账号密码的操作均应保存相关记录。

第四十五条 重要系统的关键程序、执行脚本和应用系统的核心程序源代码、目标代码须严格控制访问权限,必要时应采取一定的防护措施,确保系统的安全可靠。

第四十六条 各类重要生产系统的日志文件(操作系统日志、数据库日志、应用日志、系统重要管理软件日志等)应定期备份,备份文件应保存半年;系统做重大变更前应进行日志备份,备份文件保存半年。基础设施运维岗应每天检查上述系统日志,认真对待日志中出现的错误提示或警告信息,寻求解决方案,及时解决问题,重大问题需上报领导。

第四十七条 生产系统的数据库应定期执行数据库一致性检查及数据执行情况分析,优化数据库的性能,确保数据库系统稳定。

第四十八条 基础设施运维岗应合理配置操作系统、数据库系统所提供的安全审计功能,以达到相应安全等级标准,并根据审计功能监测系统运行日志,掌握系统运行状况。

第四十九条 基础设施运维岗应屏蔽与应用系统无关的网络功能,防止非法用户侵入。登录生产系统的操作一般应在机房专用操作室,使用固定操作终端并绑定MAC地址,确保生产系统访问安全,系统变更须根据审批后的方案,双人复核操作执行。

第五十条 基础设施运维岗应及时安装正式发布的系统补丁,修补系统存在的安全漏洞。应及时安装防病毒软件,定期实施病毒库升级、病毒查杀、漏洞扫描,并及时整改。

第五十一条 基础设施运维岗不得泄露所管理的操作系统或数据库的管理员账号、密码。

第五十二条 联网设备的IP地址及网络参数,必须按照网络管理规范及其业务应用范围进行设置,非基础设施运维岗不得修改。

第三节 密码安全管理

第五十三条 信息系统重要用户的密码编制应具有一定的复杂性(至少含有八个字符,是数字和字母的无序组合)。对记录密码的载体应严格管理,确保其物理安全。生产系统的超级管理员用户、数据库管理员用户、重要应用系统用户等重要用户密码必须双人分段管理,并分别妥善保存,用于应急情况使用。对重要用户密码的使用、更改必须进行详细记录。

第五十四条 信息系统重要用户的密码应定期或不定期进行更换,独享使用,不得泄露。须根据系统安全防护要求设定用户在连续若干次不能成功登录系统后,将用户暂停使用。对已泄露或怀疑泄露的用户密码须及时更换。

第五十五条 重要信息系统的系统密码、数据库密码任何时候都不应以明码形式存在于应用程序、执行脚本或技术文档中。

第五十六条 对于即将调职、离职的人员,须及时更换或注销该员工所负责及拥有的所有用户密码。

第四节 系统安全监测

第五十七条 基础设施运维岗需定期监测、分析信息系统运行的安全状况,发现异常情况应立即通知相关人员采取应对措施,必要时应及时报告部门负责人。

第五十八条 业务操作人员应审查业务处理结果,发现问题应及时查明原因。对不能确认的异常现象,须向中技所信息技术管理部门报告。

第五十九条 对信息系统运行的监测记录及其分析结果应严格管理,未经网信领导小组许可不得对外发布或引用。

第六十条 任何人、部门严禁下载、研究、编制、使用各种病毒、木马、黑客程序(包括但不仅限于端口扫描、漏洞检测、网络管理、流量分析、数据包侦测、密码破解等);严禁利用操作系统、应用系统的漏洞编制小程序。如确因工作需要,经中技所信息技术管理部门批准,可以使用网络管理、流量分析、数据包侦测、漏洞检测、端口扫描等工具。

第六章 灾难备份与应急处理

第六十一条 中技所信息技术管理部门应根据各系统的安全保护等级制定系统的备份恢复策略,定期对重要信息系统的操作系统、日志、应用程序、数据库、生产数据、网络设备及安全设备的策略配置等视情况进行备份和异地保存,并每季度对备份介质的可用性进行检查或抽查,并进行记录。确保在紧急突发事件发生时能够较快地恢复生产。

第六十二条 加强网络安全防范意识,建立集业务、技术及后勤保障为一体的应急处理指挥体系,以指挥协调各职能部门能够迅速进入应急处理程序。

第六十三条 中技所信息技术管理部门应建立网络安全应急响应机制,明确岗位职责,制定应急预案,对安全事件进行分类分级,明确完整、规范的应急处理流程,对于网络安全突发事件,应第一时间组织处置并及时报告。

第六十四条 加强应急处理技能的培训和应急处理方案的演练,提高各岗位人员判断、处理问题的能力,验证应急处理程序的有效性。应急方案应有可操作性,包括详细的操作步骤和操作流程。应急方案应定期进行演练,并确定演练周期。应急方案的演练应有详细的记录,并备案保存。

第七章 终端安全管理

第六十五条 办公计算机终端实行“谁使用,谁负责”的原则,由使用人与综合管理部门根据工作需求,确定计算机终端管理责任人,负责计算机终端及附属设备的日常使用和安全管理,其他人员(包括公司以外的人员)未经责任人许可,不得使用公司办公计算机终端。

第六十六条 办公计算机终端责任人不得随意卸载病毒防护软件,需及时更新操作系统补丁、杀毒软件与病毒库升级、系统漏洞修复,需保持杀毒软件开启、更新,以保证病毒和木马排查工作正常进行。使用移动存储介质接入计算机终端时,需先对移动存储介质进行病毒、木马查杀,确认安全后方可使用。

第六十七条 中技所信息技术管理部门应对接入办公网的计算机、智能设备等终端,适时采取控制措施,需实名接入认证,终端对应到使用人。

第八章 基础网络安全管理

第一节 基础网络建设安全管理

第六十八条 中技所基础网络是指数据包交换的网络硬件设施,为公司提供高安全性、灵活性和高质量服务的网络环境。中技所信息技术管理部门负责基础网络的规划、建设、维护和管理,并由专人负责网络安全的防范工作,保护网络环境安全,保障网络稳定运行。网络安全工作要与信息系统建设工作同步规划、同步设计、同步实施。

第六十九条 基础网络的建设和变更须做好方案设计,网络总体结构不得随意改动。

第七十条 基础网络建设应符合下列基本安全要求:

(一)网络规划应有完整的安全策略。

(二)能够保证网络传输信道的安全,信息在传输过程中不会被非法获取。

(三)具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。

(四)具备必要的网络监测、跟踪和审计的措施。

(五)根据需要可对网络采取必要的技术隔离措施。

(六)能有效防止病毒对网络系统的侵扰和破坏。

(七)具有应对突发情况的应急措施。

(八)应配备必要的专用安全产品。

第七十一条 基础网络应按照安全级别和功能进行网络区域划分,并根据不同区域性质采用不同的安全防范措施。

第七十二条 在确保网络安全的前提下实施与互联网连接,且必须采用防火墙进行访问控制,必要时可对接入互联网的终端采取控制措施。

第二节 基础网络运行安全管理

第七十三条 基础设施运维岗须严密监控网络运行情况,及时分析研究,对获得的信息应进行分析,发现安全隐患应及时报告部门负责人。

第七十四条 改变网络设备配置和通信地址等参数的操作,须由基础设施运维岗实施并进行记录,记录包括时间、需求、操作内容及维护人员等要素。

第七十五条 网络参数和访问权限的定义及硬件设备的配置方案,须经部门负责人批准后实施。各类变更应建立详细的变更记录,并备案保存。核心路由器、交换机、防火墙等网络关键设备的密码须定期修改。

第七十六条 核心路由器、交换机、防火墙等网络关键设备需定期备份,重要通讯线路必须有备份或冗余线路。基础设施运维岗须对备份资源做定期检查、测试,确保随时可用。

第七十七条 中技所信息技术管理部门须保存以下网络技术文档:完整的网络结构拓扑图、设备清单、IP地址资源分配、Vlan划分规则、安全策略、网络应急方案和具体操作步骤。网络技术文档属重要技术文档,应注意保密,备案存档并统一管理,同时根据实际情况进行更新。

第九章 信息化敏感资源

第七十八条 信息化敏感资源包括:信息系统所有源程序、网络参数、用户密码、业务数据和相关的技术资料以及相应的存放介质。

第七十九条 中技所信息技术管理部门应采取有效的防范措施,防止信息化敏感资源被非法使用、窃取、篡改和破坏,保证信息系统的安全运行。

第八十条 制作、使用、维护和管理信息化敏感资源的人员为资源安全的直接责任人。

第八十一条 禁止任何单位和个人非法阅读、使用、修改、转借、复制、外泄敏感资源。

第八十二条 应按规定正确开发、测试、安装使用敏感资源,并做好必要的备份。生产系统禁止放置源程序和编译程序。开发机上涉及身份认证加解密算法等重要源程序、目标程序需专人保管,严格控制访问权限。

第八十三条 敏感资源的介质应存放在物理安全的地方,避免因外界因素造成破坏。对敏感资源的备份介质应统一编号,并标明备份日期、密级以及保密期限,定期检查和转存,以确保其可用性和完整性。

第八十四条 存储敏感资源的设备发生故障需由外单位人员进行现场维护与维修时,须有相关人员全程监督。需送外单位维护、维修或接受厂商升级服务时,应事先清除其相应的敏感资源内容。

第八十五条 需要废弃、销毁含敏感资源的介质时,应严格审批手续,做好登记,在相关人员监督下,由双人负责实施,保证彻底销毁。

第八十六条 重要信息系统使用的硬件设备更换或报废时,应在有关部门的监督下,彻底清除相关业务信息,并拆除所有相关的涉密配件,由使用部门登记封存。

第十章 考核评价及责任追究

第八十七条 中技所建立网络安全与信息化工作考核机制,每年根据上级单位对网络安全和信息化工作开展情况进行考核评价。

第八十八条 因工作责任落实不力,发生网络安全事故并造成重大经济损失或者严重不良社会影响的,公司将对责任部门和直接责任人追究责任,涉嫌违法犯罪的依法交由相关国家机关,依照有关法律法规予以处罚。

第八十九条 对认真执行本规定,网络安全管理工作成绩突出的部门与个人,公司应予以通报表彰,并给予一定奖励。

第十一章 附 则

第九十条 本办法由中技所技术部负责解释。

第九十一条 本办法自2021年12月22日起施行,原自2017年9月1日起施行的《中国技术交易所有限公司信息系统安全管理暂行办法》同时废止。

【免责声明】本网站部分内容来源于互联网,转载的目的在于传递和分享更多的信息,并不代表本网站赞同其观点和对其真实性负责,也不构成任何其他建议。 如果您发现网站的内容侵犯了您的合法权利,请及时与我们取得联系,我们将予以修改或删除,联系电话:010-62679508,邮箱:service@ctex.cn。

关于我们 | 员工信息查询 | 法律地位 | 联系方式 | 网站导航

版权所有2009     中国技术交易所、北京知识产权交易中心    京ICP备09093569号 | 京公网安备 11010802026296号

业务电话:010-62679533 邮箱:info@ctex.cn 投诉电话:010-62679587    

地址:北京市海淀区北四环西路66号中国技术交易大厦B座3层 邮编:100080