《中国铁路总公司网络安全管理办法》由会员分享,可在线阅读,更多相关《中国铁路总公司网络安全管理办法(11页珍藏版)》请在金锄头文库上搜索。
1、中国铁路总公司网络安全管理办法第一章 总则第一条 为规范网络安全管理工作,促进网络安全管理 规范化、系统化、科学化,全面提高铁路网络安全管理水平, 依据国家有关法律法规和网络安全有关要求,制定本办法。第二条 本办法适用于中国铁路总公司(以下简称总公 司)及所属各单位、各铁路公司不涉及国家秘密的信息系统 及控制系统(以下统称信息系统)网络安全管理工作。第三条 本办法所称网络是指由计算机或其他信息终 端及相关设备组成的,按照一定规则和程序对信息进行收集、 存储、传输、交换、处理的网络和统本办法所称网络安全是指通过采取必要措施,防范对网 络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使 网络处于
2、稳定可靠运行的状态,以及保障网络存储、传输、 处理信息的完整性、保密性、可用性的能力。第四条 总公司网络安全工作坚持“安全第一、预防为主、主动防御、综合防范、分级保护、管理与技术并重 的原则。第二章 目标和措施第五条 总公司网络安全工作目标是通过保障信息系统正常运行,保证业务应用连续性和安全性,保证数据和信息的完整性、保密性、可用性,支撑总公司业务发展第六条 建立网络安全保障体系,包括管理保障体系、 技术保障体系和运维保障体系。管理保障体系包括信息安全 组织、信息安全规章制度、信息安全工作流程等。技术保障 体系包括应用安全架构、安全服务架构、基础设施安全架构 等。运维保障体系包括运行管理、安全
3、监控、事件管理、变 更管理等。第七条全面推行网络安全风险管理。通过增强安全风 险意识、识别安全风险、完善风险管控流程、强化风险应急 处置,提高网络安全风险防控能力。第八条 实行网络安全等级保护制度。按照集中指导、 属地管理原则,在总公司统一指导下,各单位分别组织开展 信息系统定级、备案、测评、整改工作。第九条 网络安全防护措施应与系统同步规划、同步建 设、同步使用。第三章管理职责第十条 总公司信息化领导小组统一领导网络安全工 作,负责贯彻落实中央和国家网络安全有关法规与政策,对 总公司网络安全重大事项作出决策。第十一条 总公司运输局(信息化部)按照总公司信息 化领导小组工作要求,负责总公司网络
4、安全管理工作,提出 网络安全规划建议,拟订网络安全工作计划,监督工作计划 落实情况;组织拟订总公司网络安全规章制度和标准规范, 并监督落实;组织开展网络安全等级保护工作;组织建立网 络安全保障体系,并推广应用;组织开展总公司网络安全检 查工作;负责总公司网络安全信息通报工作。第十二条 总公司各业务部门按照总公司网络安全管 理要求,负责做好本专业网络安全管理工作。提出本专业网 络安全年度工作计划并组织落实;组织开展本专业网络安全 检查,及时整改发现问题;组织开展本专业网络安全等级保 护定级、备案、测评、整改工作;对本专业网络安全工作进 行监督、检查、指导。第十三条 中国铁路信息技术中心协助总公司
5、开展网 络安全保障体系建设工作,配合开展网络安全检查工作。负 责所维护系统的安全保障工作,实施安全监控、风险评估、 安全检查、事件响应、故障处置等日常维护工作;协助开展 网络安全等级保护定级、备案、测评、整改工作。第十四条 中国铁道科学研究院协助总公司开展网络 安全技术、标准、规范研究,收集分析国内外信息安全动态; 配合开展网络安全检查、检测以及安全评估工作;参与铁路 网络安全测评和等级保护测评工作。第十五条 总公司所属各单位、各铁路公司负责本单位 网络安全管理工作。依据本办法和有关规定,制定本单位网 络安全工作实施办法,明确网络安全工作管理机构和岗位, 落实网络安全工作责任和经费投入,组织开
6、展本单位网络安 全有关工作。第四章建设安全管理第十六条信息系统工程建设前期立项阶段,应在系统 总体方案中同步制定安全方案,明确安全需求,落实安全建 设投资。新研发信息系统应在系统总体方案中确定等保级别。 信息系统定级情况应及时向系统所在地铁路公安机关备案。第十七条 网络安全建设应以实现安全可控为目标,积 极稳妥地推进信息技术产品国产化应用。加强软件正版化工 作,坚持使用正版软件。第十八条 软件开发应符合国家有关安全编码规范。建 立配置管理机制,将程序源代码及有关技术文档纳入配置管 理,严格控制信息系统有关变更。第十九条 加强对信息系统在咨询、研发、施工、技术 支持等过程中的安全管理,保护知识产
7、权,防范信息泄露。第二十条信息系统开发、测试和生产环境应独立设置。 应用系统软件修改调试应在开发环境中进行。重要信息系统 开发结束后,应用软件须通过安全测试,并及时关闭开发测 评环境,确保测试环境、测试数据安全。第二条 信息系统正式上线前,应由建设单位组织 对安全设备和功能进行验收,对信息系统整体安全状况进行 检测和评估。其中与互联网连接的信息系统,应由建设单位 组织信息安全专业测评机构,对信息系统整体安全状况进行 安全测评。检测评估材料及测评报告应作为验收文件的组成 部分。安全测评费用纳入建设项目预算。第五章运维安全管理第二十二条 各级信息技术运维单位应建立健全信息 机房安全管理制度,落实管
8、理职责,明确管理流程,规范人 员进出,保障设施安全。第二十三条根据系统性质、应用功能和设备特性设立 物理安全保护区域,按区域部署预防控制措施,满足不同强 度的信息系统安全需求。重要保护区域应设置过渡区域,重 要设备或主要部件应设置明显标识。第二十四条应坚持信息系统设备设施物理移动管控措施,以保证系统的可用性和完整性。对送修或报废的信息 系统设备应采取必要的安全处置措施,防止信息资产丢失、 损坏和失窃。第二十五条依据业务需求、系统功能及等保级别划分 信息系统安全域。在各安全域之间及网络边界,采取访问控 制措施,部署监控手段,保障网络安全。第二十六条加强变更管理。建立变更控制流程,对网 络结构、访
9、问控制策略、安全配置等变更,以及软件升级、 补丁修复、系统上线等可能影响既有运行环境的活动,实施 变更控制与授权管理。第二十七条 加强网络安全事件管理。应对包括有害程序、网络攻击、信息保护、信息内容安全、设备设施故障、 自然灾害等在内的各类安全事件进行监测。规范事件响应、 处理流程,明确事件升级策略,提高事件处理效率。各单位 信息化管理部门负责网络安全事件调查处理工作,对涉及违 反法律法规的网络安全事件,应及时通报所在地铁路公安机 关介入调查。第二十八条各级信息化管理部门牵头组织,信息系统 业务部门具体负责,定期或按照总公司安排,对信息系统进 行安全检查、风险评估及安全测评,分析隐患、识别风险
10、, 对系统进行整改完善。根据信息系统重要性、遭遇风险时受 影响和损失的程度,制定信息系统应急预案,定期开展应急 演练,不断完善应急预案。第二十九条 建立网络安全审计机制,记录操作行为, 保存异常状态信息,保证网络安全事件可回溯、可追踪。第三十条等级保护四级(含)以上信息系统每两年开 展一次等保测评,期间应每年开展安全自评估,如系统与互 联网有信息交换,应每年开展一次等保测评;等级保护三级 (含)以下信息系统每三年开展一次等保测评,期间应每年 开展安全自评估,如系统与互联网有信息交换,应每年开展 一次等保测评;首次等保测评应在系统上线后一年内进行。 当信息系统结构、功能、主要配置发生变更时,应立
11、即组织 风险评估,必要时重新进行等保测评,或重新组织定级和等 保测评。信息系统测评费用纳入单位年度经费预算。第六章访问授权管理第三十一条业务部门依据业务安全需求,确定信息系 统用户使用范围和访问权限,并通过用户管理与访问控制系 统进行授权,防止越权访问,保证业务应用安全。第三十二条 各级信息技术运维单位负责建立用户管 理与访问授权平台,制定信息系统及其设备设施访问控制策 略,严格控制对信息系统及其设备设施的访问,保证信息系 统及设备设施访问安全。第三十三条 应在内部服务网、外部服务网建立专用的 安全接入区,部署安全管控设备,提供认证、授权服务,对 外部单位、外部人员、远程维护人员确定访问信息系
12、统和有 关数据权限。访问过程须保留日士第七章数据安全管理第三十四条 各单位应建立信息系统数据安全管理制 度,规范数据采集、传输、交换、存储、备份、恢复和销毁 等活动管理。严格数据访问权限分配与回收管理。数据访问 须经业务部门和信息化管理部门授权批准。数据访问过程须 保存完整记录。第三十五条 建立数据和信息保密制度,严禁向无关人 员泄露业务数据和信息。商业秘密、工作秘密或其他重要信 息应进行加密处理,确保其在传输、处理、存储过程中不被 泄露或篡改。公民个人电子信息安全管理,按国家及总公司 有关规定执行。第三十六条建立外部单位信息传输机制,保证总公司 与外部单位数据交换安全可控,确保数据安全。第三
13、十七条 加强数据高可用性管理。建立本地数据备 份机制,有条件的,应建立磁带各份机制。加强存储介质管 理,定期检查所存储信息的完整性和可用性。重要数据备份 介质应异地存第三十八条 按照国家信息系统灾难恢复管理有关要 求、技术标准和规范,结合业务需求,建立信息系统备份与 灾难恢复机制,保障数据安全和业务连续性。第八章终端安全管理第三十九条建立统一的终端安全防护系统,规范终端 安全配置,监控终端安全状态,控制用户终端接入,规范用 户操作行为,保障终端使用安全。第四十条 按照批准的用途使用终端设备。终端设备用 途变更或维修时,应确保设备原存储或承载的信息经过妥善 处理或移第四十一条规范移动介质安全管理
14、,严格落实相关制 度规疋,控制移动介质接入行为,明确接入方式和访问控制 措施。第四十二条 建立统一的终端补丁分发和恶意代码防范机制,定期实施补丁、恶意代码特征库升级与分发。第四十三条 禁止自有终端设备接入铁路信息网络,禁 止终端设各“一机两网 。第九章 信息资产安全管理第四十四条 识别信息系统硬件资产、软件资产和数据 资产,制定统一的信息资产分级分类标准与标识方法。规范 信息资产分配、使用、维护、报废和销毁等管理流程。建立 并及时更新、定期检查信息资产台账,实行信息资产全生命 周期管理。第四十五条 对数据资产实施分级分类保护,设置安全 标记,采取相应防护措施,防止数据泄露、篡改、损坏及未 经授
15、权访问。第十章 人员安全管理第四十六条 明确员工岗位网络安全要求,签订岗位 网络安全与保密协议 。定期对员工进行安全培训和技能考 核。第四十七条 根据信息系统运行维护实际情况,设置安 全管理员、安全审计员和系统管理员岗位,分别设定访问权 限,实现岗位操作互控。第四十八条 员工岗位发生变更时,应及时调整其对相 关信息系统资源的访问权限;对离岗、离职或退休人员应终 止其对相关信息系统资源的访问权限,及时修改有关密码, 并明确后续保密要求。第四十九条 信息系统建设、运行维护、使用过程中涉 及外部服务人员时,应根据其所接触、获取信息系统资源情 况,签订网络安全与保密协议 。第五十条 严格管理外部人员进
16、入要害部位,对外部访 问人员实行专人全程监督,并登记备案。第十一章 网络安全信息通报第五十一条 建立网络安全信息通报制度。各单位、部 门应指定专人负责通报工作,及时报告网络安全事件及工作 情况,发挥通报机制预警作用。第五十二条 通报内容应包括网络安全动态、安全重点 工作、安全事件等。第五十三条 通报分为月报和年报,由信息化管理部门 负责编辑。月报每月 25 日前、年报次年 1 月巧日前,各单 位和部门应将有关信息报信息化管理部门。重大网络安全事 件应随时通报、逐级上报。第十二章 检查与考核第五十四条 各单位应定期组织开展网络安全检查,对 检查发现的问题,应制定整改措施,并组织落实。第五十五条 各单位信化管理部门应加强网络安全工 作督查,对存在网络安全隐患的责任单位或部门,发