网络安全管理制度和运维操作规程

总则

  1. 本制度旨在规范公司的网络安全管理和运维操作,保障网络信息系统的正常运行,防范和应对网络安全风险,维护公司的合法权益和声誉,符合国家实行的网络安全等级保护制度的要求。 本制度适用于公司内部所有使用网络信息系统的部门、人员和设备,以及与公司有业务往来或合作关系的外部单位和个人。
  2. 公司设立网络安全委员会,负责制定、审批、发布、监督和评估本制度的执行情况,协调处理网络安全事件,网络安全委员会由技术经理耿大鹏(联系电话18605311506)担任主任委员,各部门负责人担任委员,落实网络安全保护责任。
  3. 公司设立信息审核部门(由运支主管任晴晴负责,联系电话0000)、运营管理部门(由运营主管雷双龙负责,联系电话0000)、运维管理部门(由运维主管刘鹏亮负责,联系电话15157105503)网络安全管理部门(由技术经理耿大鹏,联系电话18605311506),负责组织实施本制度,建立健全网络安全管理体系,制定并执行网络安全策略、规范、流程和措施,监测和分析网络安全态势,提供网络安全服务和支持。
  4. 公司各部门和人员应遵守本制度,按照各自的职责和权限履行网络安全保护义务,积极配合网络安全管理部门的工作,及时报告和处理网络安全问题。

网络安全管理体系

公司建立以风险管理为核心,以流程管理为主线,以服务管理为导向的网络安全管理体系,涵盖网络安全管理的规划、设计、实施、运行、监控、评估和持续改进等环节。

  1. 公司采用ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求作为网络安全管理体系的参考标准,并结合自身特点进行适当调整。
  2. 公司根据国家相关法律法规和标准,结合自身业务特点和风险状况,确定适用于本公司的网络安全等级,并按照相应等级的要求进行网络安全保护。
  3. 公司建立并维护一套完整、准确、及时的网络资产清单,包括硬件设备、软件系统、数据资源等,并对其进行分类、分级、标识和归档。
  4. 公司建立并执行一套有效、可行、可操作的网络安全策略,包括组织结构策略、人员管理策略、资产管理策略、访问控制策略、加密策略、物理环境策略、运维管理策略、应急响应策略等,并定期进行审查和更新。
  5. 公司建立并执行一套符合国家标准和行业规范的网络安全规范,包括网络安全基线、网络安全配置、网络安全检查、网络安全审计、网络安全报告等,并定期进行检查和评估。
  6. 公司建立并执行一套规范、高效、可追溯的网络安全流程,包括网络安全风险评估、网络安全事件管理、网络安全漏洞管理、网络安全变更管理、网络安全培训管理、网络安全服务管理等,并定期进行监控和改进。
  7. 公司建立并使用一套先进、可靠、兼容的网络安全技术,包括网络安全设备、网络安全软件、网络安全工具等,并定期进行维护和升级。
  8. 公司建立并实施一套完善、有效、持续的网络安全监测和分析机制,包括网络安全态势感知、网络安全日志收集、网络安全事件识别、网络安全威胁分析等,并定期生成和发布网络安全报告。
  9. 公司建立并实施一套科学、合理、公正的网络安全考核和激励机制,包括网络安全目标设定、网络安全指标量化、网络安全绩效评价、网络安全奖惩制度等,并定期进行考核和反馈。

系统和数据安全

  1. 服务器和网络设备定期打补丁和升级固件,修复漏洞。
  2. 重要业务系统和服务器采用防病毒、防木马等安全防护软件,启用入侵检测和防护功能。
  3. 重要网络连接启用防火墙和网关,进行网络入侵检测和防护。
  4. 业务数据定期备份,且加密保存,确保数据安全。
  5. 访问控制严格按需授权,遵循最小权限原则。定期检测权限设置。

网络运维安全

  1. 服务器和网络设备配置文件严格控制,登录口令定期更换。
  2. 运维操作严格遵循变更管理流程,维护完毕及时更新网络拓扑图和配置资料。
  3. 开发人员和超级管理员账号接入严格控制和监控。远程登录服务器和网络设备严格控制。
  4. 定期扫描服务器和网络设备漏洞,发现高危漏洞应急处置。
  5. 重要网络设备运行状态和性能指标持续监控,以便发现异常情况。

网络运维操作规程

  1. 公司采用ITIL/ISO20000为基础,以适应各种管理模式为目标,以管理支撑工具为手段,以流程化、规范化、标准化管理为方法,以全生命周期的PDCA循环为提升途径,体现了对IT运维服务全过程的体系化管理。
  2. 公司根据业务需求和风险评估,制定并执行适合本公司的IT运维服务目录,包括IT基础设施运维服务、IT应用系统运维服务、安全管理服务、网络接入服务、内容信息服务以及综合管理服务等,并与相关方签订IT运维服务协议,明确服务内容、服务质量和服务责任等。
  3. 公司建立并执行一套规范的IT运维操作流程,包括事件管理流程、问题管理流程、变更管理流程、配置管理流程、发布管理流程等,并使用IT运维支撑系统进行流程自动化和信息化。
  4. 公司建立并执行一套有效的IT运维质量控制机制,包括服务质量监控、服务质量评估、服务质量改进等,并使用IT运维支撑系统进行数据收集和分析。
  5. 公司建立并执行一套完善的IT运维风险控制机制,包括风险识别、风险评估、风险应对等,并使用IT运维支撑系统进行风险跟踪和报告。
  6. 公司建立并执行一套科学的IT运维资源管理机制,包括人力资源管理、物资资源管理、财务资源管理等,并使用IT运维支撑系统进行资源统计和分配。
  7. 公司建立并执行一套持续的IT运维知识管理机制,包括知识获取、知识存储、知识共享等,并使用IT运维支撑系统进行知识库的建设和维护。