《中国铁路总公司网络安全管理办法(tgxx202-2015)》由会员分享,可在线阅读,更多相关《中国铁路总公司网络安全管理办法(tgxx202-2015)(10页珍藏版)》请在金锄头文库上搜索。
1、 - 1 - TG/XX202-2015 中国铁路总公司网络安全管理办法 第一章 总 则 第一条 为规范网络安全管理工作, 促进网络安全管理规范化、 系统化、科学化,全面提高铁路网络安全管理水平,依据国家有 关法律法规和网络安全有关要求,制定本办法。 第二条 本办法适用于中国铁路总公司(以下简称总公司)及 所属各单位、各铁路公司不涉及国家秘密的信息系统及控制系统 (以下统称信息系统)网络安全管理工作。 第三条 本办法所称网络是指由计算机或其他信息终端及相关 设备组成的,按照一定规则和程序对信息进行收集、存储、传输、 交换、处理的网络和系统。 本办法所称网络安全是指通过采取必要措施,防范对网络的
2、 攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于 稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完 整性、保密性、可用性的能力。 第四条 总公司网络安全工作坚持“安全第一、预防为主、主 动防御、综合防范、分级保护、管理与技术并重”的原则。 第二章 目标和措施 第五条 总公司网络安全工作目标是通过保障信息系统正常运 行,保证业务应用连续性和安全性,保证数据和信息的完整性、 - 2 - 保密性、可用性,支撑总公司业务发展。 第六条 建立网络安全保障体系,包括管理保障体系、技术保 障体系和运维保障体系。管理保障体系包括信息安全组织、信息 安全规章制度、信息安全工作流程等。技术保障体
3、系包括应用安 全架构、安全服务架构、基础设施安全架构等。运维保障体系包 括运行管理、安全监控、事件管理、变更管理等。 第七条 全面推行网络安全风险管理。 通过增强安全风险意识、 识别安全风险、完善风险管控流程、强化风险应急处置,提高网 络安全风险防控能力。 第八条 实行网络安全等级保护制度。按照集中指导、属地管 理原则,在总公司统一指导下,各单位分别组织开展信息系统定 级、备案、测评、整改工作。 第九条 网络安全防护措施应与系统同步规划、同步建设、同 步使用。 第三章 管理职责 第十条 总公司信息化领导小组统一领导网络安全工作,负 责贯彻落实中央和国家网络安全有关法规与政策,对总公司网络 安全
4、重大事项作出决策。 第十一条 总公司运输局(信息化部)按照总公司信息化领导 小组工作要求,负责总公司网络安全管理工作,提出网络安全规 划建议,拟订网络安全工作计划,监督工作计划落实情况;组织 拟订总公司网络安全规章制度和标准规范,并监督落实;组织开 - 3 - 展网络安全等级保护工作;组织建立网络安全保障体系,并推广 应用;组织开展总公司网络安全检查工作;负责总公司网络安全 信息通报工作。 第十二条 总公司各业务部门按照总公司网络安全管理要求, 负责做好本专业网络安全管理工作。提出本专业网络安全年度工 作计划并组织落实;组织开展本专业网络安全检查,及时整改发 现问题;组织开展本专业网络安全等级
5、保护定级、备案、测评、 整改工作;对本专业网络安全工作进行监督、检查、指导。 第十三条 中国铁路信息技术中心协助总公司开展网络安全保 障体系建设工作,配合开展网络安全检查工作。负责所维护系统 的安全保障工作,实施安全监控、风险评估、安全检查、事件响 应、故障处置等日常维护工作;协助开展网络安全等级保护定级、 备案、测评、整改工作。 第十四条 中国铁道科学研究院协助总公司开展网络安全技 术、标准、规范研究,收集分析国内外信息安全动态;配合开展 网络安全检查、检测以及安全评估工作;参与铁路网络安全测评 和等级保护测评工作。 第十五条 总公司所属单位、各铁路公司负责本单位网络安全 管理工作。依据本办
6、法和有关规定,制定本单位网络安全工作实 施办法,明确网络安全工作管理机构和岗位,落实网络安全工作 责任和经费投入,组织开展本单位网络安全有关工作。 第四章 建设安全管理 - 4 - 第十六条 信息系统工程建设前期立项阶段,应在系统总体方 案中同步制定安全方案,明确安全需求,落实安全建设投资。新 研发信息系统应在系统总体方案中确定等保级别。信息系统定级 情况应及时向系统所在地铁路公安机关备案。 第十七条 网络安全建设应以实现安全可控为目标,积极稳妥 地推进信息技术产品国产化应用。加强软件正版化工作,坚持使 用正版软件。 第十八条 软件开发应符合国家有关安全编码规范。建立配置 管理机制,将程序源代
7、码及有关技术文档纳入配置管理,严格控 制信息系统有关变更。 第十九条 加强对信息系统在咨询、研发、施工、技术支持等 过程中的安全管理,保护知识产权,防范信息泄露。 第二十条 信息系统开发、测试和生产环境应独立设置。应用 系统软件修改调试应在开发环境中进行。重要信息系统开发结束 后,应用软件须通过安全测试,并及时关闭开发测评环境,确保 测试环境、测试数据安全。 第二十一条 信息系统正式上线前,应由建设单位组织对安全 设备和功能进行验收,对信息系统整体安全状况进行检测和评估。 其中与互联网连接的信息系统,应由建设单位组织信息安全专业 测评机构,对信息系统整体安全状况进行安全测评。检测评估材 料及测
8、评报告应作为验收文件的组成部分。安全测评费用纳入建 设项目预算。 - 5 - 第五章 运维安全管理 第二十二条 各级信息技术运维单位应建立健全信息机房安全 管理制度,落实管理职责,明确管理流程,规范人员进出,保障 设施安全。 第二十三条 根据系统性质、应用功能和设备特性设立物理安 全保护区域,按区域部署预防控制措施,满足不同强度的信息系 统安全需求。重要保护区域应设置过渡区域,重要设备或主要部 件应设置明显标识。 第二十四条 应坚持信息系统设备设施物理移动管控措施,以 保证系统的可用性和完整性。对送修或报废的信息系统设备应采 取必要的安全处置措施,防止信息资产丢失、损坏和失窃。 第二十五条 依
9、据业务需求、系统功能及等保级别划分信息系 统安全域。在各安全域之间及网络边界,采取访问控制措施,部 署监控手段,保障网络安全。 第二十六条 加强变更管理。 建立变更控制流程, 对网络结构、 访问控制策略、安全配置等变更,以及软件升级、补丁修复、系 统上线等可能影响既有运行环境的活动,实施变更控制与授权管 理。 第二十七条 加强网络安全事件管理。应对包括有害程序、网 络攻击、信息保护、信息内容安全、设备设施故障、自然灾害等 在内的各类安全事件进行监测。规范事件响应、处理流程,明确 - 6 - 事件升级策略,提高事件处理效率。各单位信息化管理部门负责 网络安全事件调查处理工作,对涉及违反法律法规的
10、网络安全事 件,应及时通报所在地铁路公安机关介入调查。 第二十八条 各级信息化管理部门牵头组织,信息系统业务部 门具体负责,定期或按照总公司安排,对信息系统进行安全检查、 风险评估及安全测评,分析隐患、识别风险,对系统进行整改完 善。根据信息系统重要性、遭遇风险时受影响和损失的程度,制 定信息系统应急预案,定期开展应急演练,不断完善应急预案。 第二十九条 建立网络安全审计机制,记录操作行为,保存 异常状态信息,保证网络安全事件可回溯、可追踪。 第三十条 等级保护四级(含)以上信息系统每两年开展一 次等保测评,期间应每年开展安全自评估,如系统与互联网有信 息交换,应每年开展一次等保测评;等级保护
11、三级(含)以下信 息系统每三年开展一次等保测评,期间应每年开展安全自评估, 如系统与互联网有信息交换,应每年开展一次等保测评;首次等 保测评应在系统上线后一年内进行。当信息系统结构、功能、主 要配置发生变更时,应立即组织风险评估,必要时重新进行等保 测评,或重新组织定级和等保测评。信息系统测评费用纳入单位 年度经费预算。 第六章 访问授权管理 第三十一条 业务部门依据业务安全需求,确定信息系统用户 使用范围和访问权限,并通过用户管理与访问控制系统进行授权, - 7 - 防止越权访问,保证业务应用安全。 第三十二条 各级信息技术运维单位负责建立用户管理与访问 授权平台,制定信息系统及其设备设施访
12、问控制策略,严格控制 对信息系统及其设备设施的访问,保证信息系统及设备设施访问 安全。 第三十三条 应在内部服务网、外部服务网建立专用的安全接 入区,部署安全管控设备,提供认证、授权服务,对外部单位、 外部人员、远程维护人员确定访问信息系统和有关数据权限。访 问过程须保留日志。 第七章 数据安全管理 第三十四条 各单位应建立信息系统数据安全管理制度,规范 数据采集、传输、交换、存储、备份、恢复和销毁等活动管理。 严格数据访问权限分配与回收管理。数据访问须经业务部门和信 息化管理部门授权批准。数据访问过程须保存完整记录。 第三十五条 建立数据和信息保密制度,严禁向无关人员泄露 业务数据和信息。商
13、业秘密、工作秘密或其他重要信息应进行加 密处理,确保其在传输、处理、存储过程中不被泄露或篡改。公 民个人电子信息安全管理,按国家及总公司有关规定执行。 第三十六条 建立外部单位信息传输机制,保证总公司与外部 单位数据交换安全可控,确保数据安全。 第三十七条 加强数据高可用性管理。 建立本地数据备份机制, 有条件的,应建立磁带备份机制。加强存储介质管理,定期检查 - 8 - 所存储信息的完整性和可用性。重要数据备份介质应异地存放。 第三十八条 按照国家信息系统灾难恢复管理有关要求、技术 标准和规范,结合业务需求,建立信息系统备份与灾难恢复机制, 保障数据安全和业务连续性。 第八章 终端安全管理
14、第三十九条 建立统一的终端安全防护系统,规范终端安全 配置,监控终端安全状态,控制用户终端接入,规范用户操作行 为,保障终端使用安全。 第四十条 按照批准的用途使用终端设备。终端设备用途变 更或维修时,应确保设备原存储或承载的信息经过妥善处理或移 除。 第四十一条 规范移动介质安全管理, 严格落实相关制度规定, 控制移动介质接入行为,明确接入方式和访问控制措施。 第四十二条 建立统一的终端补丁分发和恶意代码防范机制, 定期实施补丁、恶意代码特征库升级与分发。 第四十三条 禁止自有终端设备接入铁路信息网络,禁止终端 设备“一机两网”。 第九章 信息资产安全管理 第四十四条 识别信息系统硬件资产、
15、软件资产和数据资产, 制定统一的信息资产分级分类标准与标识方法。规范信息资产分 配、使用、维护、报废和销毁等管理流程。建立并及时更新、定 期检查信息资产台账,实行信息资产全生命周期管理。 - 9 - 第四十五条 对数据资产实施分级分类保护,设置安全标记, 采取相应防护措施,防止数据泄露、篡改、损坏及未经授权访问。 第十章 人员安全管理 第四十六条 明确员工岗位网络安全要求,签订岗位网络安 全与保密协议。定期对员工进行安全培训和技能考核。 第四十七条 根据信息系统运行维护实际情况,设置安全管理 员、安全审计员和系统管理员岗位,分别设定访问权限,实现岗 位操作互控。 第四十八条 员工岗位发生变更时
16、,应及时调整其对相关信息 系统资源的访问权限;对离岗、离职或退休人员应终止其对相关 信息系统资源的访问权限,及时修改有关密码,并明确后续保密 要求。 第四十九条 信息系统建设、运行维护、使用过程中涉及外 部服务人员时,应根据其所接触、获取信息系统资源情况,签订 信息安全与保密协议。 第五十条 严格管理外部人员进入要害部位,对外部访问人 员实行专人全程监督,并登记备案。 第十一章 网络安全信息通报 第五十一条 建立网络安全信息通报制度。各单位、部门应指 定专人负责通报工作,及时报告网络安全事件及工作情况,发挥 通报机制预警作用。 第五十二条 通报内容应包括网络安全动态、安全重点工作、 - 10 - 安全事件等。 第五十三条 通报分为月报和年报,由信息化管理部门负责编 辑。月报每月 25 日前、年报每年 1 月 15 日前,各单位和部门应 将有关信息报信息化管理部门。重大网络安全事件应随时通报、 逐级上报。 第十二章 检查与考核 第五十四条 各单位应定期组织开展网络安全检查,对检查发 现的问题,应制定整改措施,并组织落实。 第五十五条 各单位信息化管理部门应加强网络安全工作督 查
