2023企业网络安全及信息化规范化工作手册

文档《2023企业网络安全及信息化规范化工作手册》内容（34页完美版）由用户上传提供，感谢您阅读，更多关于《2023企业网络安全及信息化规范化工作手册（珍藏版）》内容请在新文库网搜索。

1、网络安全及信息化规范化工作手册（2023版）目 次前言II1范围12规范性引用文件13网络安全组织体系建设14网络信息安全规章制度建设15符合性（合规性）管理26信息化工作管理内容3附录A（规范性附录）常用表格20II1 范围本标准主要用于信息化工作，其中主要内容包括了组织体系建设、规章制度建设、合规性管理及信息化工作内容。本标准适用于XXXXXX公司（以下简称XXX公司）及下属企业。2 网络安全组织体系建设2.1 网络安全与信息化领导小组企业应成立网络安全与信息化领导小组，组长由XXXXXX担任。XXXXXX对本企业网络安全工作负主体责任，领导班子主要负责人是第一责任人，分管网络安全的领导班

2、子成员是直接责任人。分管生产的领导班子成员对工控系统（含电力监控系统，下同）负直接领导责任，分管信息化的领导班子成员对管理信息系统基础设施（含机房、网络、硬件及相关设施）网络安全负直接领导责任，分管其它业务的领导班子成员对本业务范围内的信息系统网络安全负直接领导责任。2.2 网络安全与信息化工作小组企业应成立网络安全与信息工作小组，且明确至少一名副职领导主管网络安全工作，工作小组中至少有一名专职网络安全员。应配置专职网络安全员，且不应兼任网络管理员、系统管理员、数据库管理员等职责。对于网络管理员，负责网络规划，网络设备的安装调试与维护及网络安全管理。对于系统管理员，负责登录操作系统，管理操作系

3、统及应用系统中的相关文件、安全、系统更新、补丁，保证操作系统及应用系统安全稳定的运行。对于数据库管理员，负责管理数据库，保证数据库正常运行，优化数据库，解决数据库方面的问题。对于网络安全员，负责按照一定的安全策略，利用记录日志、系统活动和用户活动等信息，检查、审查和检验操作事件，并发现漏洞和隐患，提出整改建议。2.3 网络信息安全专职部门企业应设立网络安全管理工作的职能部门，设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。3 网络信息安全规章制度建设3.1 公司目标与网络信息安全目标企业应制定网络信息安全目标，与公司目标相辅相成。企业在制定网络信息安全目标时，应考

4、虑与法律法规、国家、行业标准等网络信息安全要求，具备可行性。 3.2 网络信息安全规划在组织进行网络安全信息规划时，网络安全现状及需求调研，明确安全状况及安全规划需求。制定信息安全建设目标，明确未来信息安全建设的方向。应涵盖工控网络，信息网络，应用系统安全，数据安全，安全管控措施，智慧电厂，安全培训，能力提升等多个方面。进行比较全面的长远的发展计划，是对未来整体性、长期性、基本性问题的思考、考量和设计未来整套行动方案。即进行全面的、目标长远的信息安全发展计划，为信息安全建设指明方向，符合整体发展战略。3.3 制度体系3.3.1 实施细则/管理制度对安全管理活动中的各类管理内容建立安全管理制度。

5、包括但不限于物理、网络、主机、数据、应用、管理等层面的管理内容。3.3.2 规程/作业指导书对安全管理人员或操作人员执行的日常管理操作建立操作规程。4 符合性（合规性）管理合规性管理的目标是对合规风险的有效识别和主动管理，保障企业信息化管理和信息化人员的工作符合法律、法规、国家及行业标准、上级公司要求，切实防范合规性风险，主要内容有： 法律 网络安全法 电子商务法 密码法 电子签名法 行政法规 计算机软件保护条例 互联网信息内容管理工作 信息网络传播权保护条例 互联网信息服务管理办法 互联网信息服务管理办法 部门规章 互联网域名管理办法 网络安全等级保护条例 规范性文件 互联网群组信息服务管理

6、规定 互联网论坛社区服务管理规定 移动互联网应用程序信息服务管理规定 互联网用户账号名称管理规定 国家、行业标准 信息安全技术 网络安全等级保护测评要求GB/T 28448-2019 信息安全技术 网络安全等级保护基本要求GB/T 22239-2019 信息安全技术 网络安全等级保护安全设计技术要求GB/T 25070-2019 信息安全技术 网络安全等级保护安全管理中心技术要求GB/T 36958-2018 信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 22240-2008 信息安全技术 信息系统物理安全技术要求

7、GB/T 21052-2007 信息安全技术 信息系统通用安全技术要求GB/T 20271-2006 信息安全技术 信息系统安全管理要求GB/T 20269-2006 信息安全技术 信息系统安全工程管理要求GB/T 20282-2006 信息安全技术 网络基础安全技术要求GB/T 20270-2006 上级单位、调度机构文件5 信息化工作管理内容5.1 项目开发、建设5.1.1 项目预算管理每年9月，XXX公司组织收集下年度信息化预算相关信息。预算的编制应依据上级公司预算编制的总体原则及要求，也应参照历史数据、行业对标、成本定额。企业应召集相关部门和人员对信息化预算进行初审，根据初审情况进行预

8、算调整。信息化主管部门应与数据中心的业务预算沟通确认，按时向本单位预算管理委员会办公室及数据中心提供预算安排及依据等资料。企业应根据XXX公司下达的信息化预算，编制月度分解预算。预算指标下达后，企业应严格执行，并落实到各部门、各环节、各岗位，不得越权调整、变动预算方案。重大政策变化、不可抗力因素、企业生产经营发生重大变化等情况，预算需要进行调整的，按审批程序进行预算调整。5.1.2 项目建设管理5.1.2.1 概述集团公司将信息化项目建设划分为了硬件系统集成项目建设与应用系统项目建设两种情形。分别印发了XXXXXX硬件系统集成项目建设管理指南与XXXXXX应用系统项目建设管理指南，是对硬件集成

9、项目与应用系统开发项目全生命周期管理事宜的指导文件，现将每个阶段应形成的资料做归纳整理，不详述内容。5.1.2.2 硬件集成建设5.1.2.2.1 项目立项 _项目立项申请书 _项目可行性研究报告 _项目立项论证报告 _项目立项批复 _项目计划及预算申报表 _项目计划及预算批复5.1.2.2.2 项目组织及管理 _项目管理办公室（PMO）组织机构及人员 _项目管理办公室（PMO）职责 _项目质量管理办法 _项目进度管理办法 _项目变更管理办法 _项目合同管理办法 _项目文档管理办法 _项目工作制度 _项目风险管理办法 关于成立_项目管理组织的通知 关于印发_项目管理办法的通知5.1.2.2.3

10、 项目准备 _项目招标计划申请书 _项目招标文件（非集成类硬件）。 _项目招标文件（集成类硬件）。 _项目招标文件审查报告 会议纪要（招标文件审查） _项目招标委托合同 _项目可研批复 _项目招标公告及招标公告确认函 _项目投标申请人报名表 _项目招标文件澄清及回执 _项目招标文件确认函 _项目招标工作组标前会议纪要及工作手册 _项目评标报告 _项目评标结果汇报会会议纪要 _项目中标公示 _项目中标通知书 _项目评标专家抽取记录 _项目评标专家及参评人员签到表 _项目投标文件接收表 _项目综合评分统计表 _项目商务评分统计表 _项目商务评分表 _项目技术评分统计表 _项目技术评分表 _项目价格

11、评分统计表 会议纪要（定标会议） _项目合同（非集成类硬件） _项目合同（集成类硬件）5.1.2.2.4 项目开工 _项目章程 _项目技术方案 _项目安全解决方案 _项目计划 _项目开工申请报告 关于召开_项目章程和技术方案评审会的通知 _项目会议议程 _项目会议纪要（项目章程和技术方案评审） 关于_项目开工申请报告的批复 项目启动会 关于召开_项目启动会的通知 _项目会议议程 _项目会议纪要（项目启动会）5.1.2.2.5 方案设计5.1.2.2.6 开箱验收5.1.2.2.7 安装调试 _项目系统环境申请表 _硬件系统集成到货验收报告 _硬件系统集成调试报告5.1.2.2.8 验收 项目系

12、统初步验收申请书 项目初步验收方案 项目初步验收报告 项目初步验收报告评审书（按需要） 项目竣工验收申请 项目竣工验收方案 项目竣工验收报告 项目竣工验收报告评审书（按需要） 项目交付件确认单5.1.2.3 应用系统建设5.1.2.3.1 项目立项 _项目立项申请书 _项目可行性研究报告 _项目立项论证报告 _项目立项批复 _项目计划及预算申报表 _项目计划及预算批复5.1.2.3.2 项目组织及管理 _项目管理办公室（PMO）组织机构及人员 _项目管理办公室（PMO）职责 关于成立_项目管理组织的通知5.1.2.3.3 项目准备 _项目招标计划申请书 _项目招标文件（应用系统建设类） _项目

13、招标文件（应用系统运维类） _项目招标文件（咨询服务类） _项目招标文件（非集成类硬件） _项目招标文件（集成类硬件） _项目招标文件（硬件运维类） _项目评标标准（应用系统建设类） 招标文件提交申请单 _项目招标文件审查报告 _项目招标委托合同 _项目可研批复 _项目招标公告及招标公告确认函 _项目投标申请人报名表 _项目招标文件澄清及回执 _项目招标文件确认函 _项目招标工作组标前会议纪要及工作手册 _项目评标报告 _项目评标结果汇报会会议纪要 _项目中标公示 _项目中标通知书 _项目评标专家抽取记录 _项目评标专家及参评人员签到表 _项目投标文件接收表 _项目综合评分统计表 _项目商务评

14、分统计表 _项目商务评分表 _项目技术评分统计表 _项目技术评分表 _项目价格评分统计表 会议纪要（定标会议） _项目合同（应用系统建设类）； _项目合同（应用系统运维类）； _项目合同（咨询服务类）； _项目合同（非集成类硬件）； _项目合同（集成类硬件）； _项目合同（硬件运维类）。5.1.2.3.4 项目开工 _项目质量管理办法 _项目安全管理办法 _项目进度管理办法 _项目变更管理办法 _项目需求管理办法 _项目合同管理办法 _项目文档管理办法 _项目工作制度 _项目风险管理办法 _项目沟通管理办法 关于印发_项目管理办法的通知 _项目章程 _项目工作说明书 _项目技术方案 _项目计划

15、 _项目开工申请报告 关于召开_项目章程和技术方案评审会的通知 _项目会议议程 _项目会议纪要（项目章程和技术方案评审） 关于_项目开工申请报告的批复5.1.2.3.5 方案设计 _项目客户需求说明书 _项目软件需求规格说明书 _项目客户需求说明书及软件需求规格说明书评审报告。 _项目概要设计 _项目概要设计评审报告 _项目详细设计 _项目详细设计评审报告5.1.2.3.6 系统开发测试 _项目系统应用环境申请表 _项目单元测试 _项目技术规范书 _项目接口数据规范 _项目程序维护手册 _项目用户操作手册 _项目程序员开发手册 _项目系统安装手册 _项目系统运行维护管理规定 _项目系统标准代码

16、设计技术规范 _项目系统测试方案 _项目系统测试问题清单 _项目系统测试审查表 _项目系统测试报告 _项目用户测试方案 _项目用户测试用例 _项目用户测试问题清单 _项目用户测试审查表 _项目用户测试报告5.1.2.3.7 上线 _项目试点应用报告 _项目上线试运行方案 关于召开_系统上线试运行动员会的通知 _项目会议议程（系统上线试运行动员会） _项目会议纪要（系统上线试运行动员会） _项目系统上线试运行问题清单 _项目试上线试运行报告 _项目试上线试运行评审报告5.1.2.3.8 验收 项目系统初步验收申请书 项目初步验收方案 项目初步验收报告 项目初步验收报告评审书 项目竣工验收申请 项

17、目竣工验收方案 项目竣工验收报告 项目竣工验收报告评审书 项目交付件确认单5.1.3 应用系统上线企业的应用系统上线运行前应必须报XXX公司信息化主管部门审批。一般地，XXX公司所属企业宜采用申请集中部署的方式上线应用系统，不宜自建应用系统。应用软件系统部署前，业务部门应提交应用软件系统业务受理申请表（见附录A.6），报信息化主管部门批准后,方可进行系统部署，部署时必须对主机进行加固，操作系统最小化安装；关闭非必要的端口和服务；部署后对主机和应用软件进行安全评估监测，漏洞扫描，无高危风险和漏洞才能部署试运行。对于拟启用的应用软件系统，应提供应用软件系统的最终验收报告及有关部门通过最终验收的批准

18、文件,并附XXXXXX应用软件系统项目建设管理指南规定的所有项目开发过程文档。业务部门提交应用软件系统启用申请表（见附录A.7），报信息化主管部门批准启用后,方可投入运行。信息系统等级保护二级及以下系统的启用申请由信息化主管部门进行审核并做好文档备案；等级保护三级系统的启用申请由信息化主管部门组织相关方管理者、技术负责人、信息安全专家和用户组成专家组，对系统进行专项安全评估。评估通过后，专家组出具评估报告，信息化主管部门审核并做好文档备案，逐级批准后方可启用。5.1.4 项目评估信息化项目建设中以应用软件建设为主的项目试运行时间不少于六个月；以硬件建设为主的项目试运行时间不少于三个月。试运行期

19、间若出现质量问题，经处理解决后，试运行时间必须做相应延长。对管理应用系统类项目，可视情况进行项目实用化验收与鉴定，系统需求功能100%的实现；系统业务数据100%的加载；系统功能100%的应用；系统安全隐患100%消除。为降低项目建设的随意性，避免重复投资，提高项目建设质量，项目建设应统筹考虑至少未来三年的业务需求。竣工验收通过的项目，原则上三年内不得续建。5.1.5 应用系统下线企业信息化主管部门负责应用系统的下线管理。 应用系统如需下线时，应用系统业务部门负责提交应用软件系统停用申请表（见附录A.8）,信息化主管部门根据下线申请表做好应用系统的各项准备工作，包括数据备份,系统备份等工作。涉

20、及新老系统过渡的应用系统，下线前，业务部门负责新老系统数据迁移、并行运行及应用顺利过渡，为老应用系统下线提供条件。涉及新老系统过渡的应用系统，完成新老应用系统顺利过渡及老应用系统下线的各项准备工作后，应用管理员组织应用系统运维服务商完成老应用系统的下线及新应用系统的正式上线运行及推广工作。涉及新老系统过渡的应用系统，老系统正式下线后，信息化主管部门负责服务器及网络资源的回收。5.2 网络信息运维5.2.1 人员管理5.2.1.1 网络信息安全人员管理应指定或授权专门的部门或人员负责网络信息安全人员录用。对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核，并签署保密协

21、议。应严格规范人员离岗过程，及时终止离岗员工的所有访问权限。应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。对于关键岗位人员，应从内部人员中选拔，并签署岗位安全协议。关键事务岗位应配备多人同时管理。关键岗位人员离岗须承诺调离后的保密义务后方可离开。5.2.1.2 外委人员管理外委人员应具备相应的专业技能，熟悉信息系统，具有较强的责任心和专业素养。外委人员访问重要工作区域应提出书面申请，批准后由专人全程陪同或监督，并登记备案。对外委人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，且应签订保密协议，并按照规定执行。5.2.2 培训教育管理应对公司员工进行网络安全意识教育。每年

22、应至少组织一次全员范围内的信息安全培训，公司全员应了解信息安全相关政策法规，具备信息安全意识及基础防护能力。应对专业人员进行岗位技能培训和相关安全技术培训。专业人员应每年至少参加两次信息安全专业技术培训，专业人员应掌握信息安全政策法规，掌握信息安全理论与技术规范。应对教育和培训的情况和结果进行记录并归档保存。5.2.3 访问控制5.2.3.1 物理访问管理应对机房划分区域管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域。重要区域应配置电子门禁系统，控制、鉴别和记录进出的人员。进入机房的来访人员应经过申请和审批流程，并限制和监控活动范围。5.2.3.2 逻辑访问管理应在

23、网络边界部署访问控制设备，启动访问控制功能。应根据会话状态信息为数据流提供明确的允许、拒绝访问的能力，控制粒度为端口级。应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。应在会话处于非活跃一定时间或会话结束后终止网络连接，且限制网络最大流量数及网络连接数。5.2.3.3 密码权限管理企业应对使用信息系统的用户分配账户和权限。应重命名和删除默认账户，修改默认账户的默认口令。及时删除或停用多余的、过期的账户，不应在系统中使用共享账户。应根据用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。用户权限变更需要按权限

24、变更申请表（附录A.12）经过相关审批后方可执行。系统口令应由数字、字符和特殊字符组成，密码长度不能少于8个字符，并应定期更换，更换间隔应小于三个月。5.2.3.4 桌面终端管理信息化主管部门应负责用户计算机设备的操作系统和公司标准应用软件的安装、设置和管理。操作系统、办公类软件、防病毒软件、各类业务管理软件等应使用统一推广使用的软件，不应擅自卸载、改动设置。在工作中不应下载、安装、使用未经许可的应用软件以及与工作无关的软件。因工作原因需要安装其他软件的，应填写计算机终端维护申请表（见附表A.1）提交至信息化主管部门。凡私自安装或使用盗版软件者，一经发现将给予严肃处理，且由此引出的版权纠纷及相

25、关赔偿责任，由该计算机使用人或所在部门负完全责任。企业为员工配置的计算机应作为工作中的必要工具，不应使用计算机来进行娱乐活动等与工作无关的事情。计算机用户应定期对计算机进行检查和清理工作，删除无用的文件。计算机用户不得擅自打开计算机设备的外壳，不得插拔、更换、添加计算机设备硬件、重装或恢复操作系统、格式化硬盘等操作，禁止带电接插各种电缆和触摸打印头。5.2.3.5 接入管理XXX公司所属各单位在接入XXX公司广域网前，应向XXX公司信息化主管部门以书面形式递交广域网接入申请，由XXX公司递交集团公司科技信息部审批后。在接入时，应配置好接入路由器和边界防火墙，并与线路运营商一并完成线路调试工作。接入后，网内设备的变更应报XXX公司信息化主管部门审批。XXX公司所属各单位在接入XXX公司广域网后第一次正式运行前，应提前三日向XXX公司汇报，并由XXX公司向集团科技信息部申请联调，联调正常后方可正式投入使用