关于印发《宁夏四维金盾押运公司网络安全
工作责任制实施办法》《宁夏四维金盾
押运公司网络安全责任制检查
考核制度》的通知
各部门、分公司、子公司:
现将《宁夏四维金盾押运公司网络安全工作责任制实施办法》《宁夏四维金盾押运公司网络安全责任制检查考核制度》印发你们,请严格执行。
宁夏四维金盾保安押运服务有限公司
2021年7月16日
宁夏四维金盾押运公司网络安全
工作责任制实施办法
第一条 为贯彻落实习近平总书记关于网络强国的重要思想及中央、自治区、银川市关于网络安全和信息化工作部署安排,进一步落实网络安全和信息化工作管理责任,筑牢网络安全和信息化工作安全防线,提高网络安全和信息化工作保障水平,根据市国资委关于网络安全的部署安排,制定本实施办法。
第二条 本办法适用于公司及所属企业全体职工
第三条 公司党委领导班子对公司网络安全和信息化工作负主体责任,公司党委主要负责人对公司网络安全和信息化工作负第一责任,分管网络安全的领导班子成员对公司网络安全负直接领导责任,公司机关各部门,各分公司、子公司负责人对本部门的网络安全负直接责任。
第四条 公司成立网络安全和信息化工作领导小组,由公司党委副书记、纪委书记胡学存任组长,班子成员为副组长,各部门、分公司、子公司负责人为成员,统一领导全公司网络安全工作。网络安全和信息化工作领导小组办公室设在公司办公室,李永春兼任办公室主任,在职责范围内,按照国家和上级有关法律、规定对公司网络进行日常管理、预防各类网络安全事件的发生。
第五条 公司网络安全和信息化工作领导小组负责建立和完善公司网络安全和信息安全组织,依法组织开展公司网络安全检查、处置网络安全事件,及时向市国资委及银川市网信办报告网络安全重大事项;每年定期召开网络安全工作专题会议,开展网络安全工作分析、研判和规划工作。
第六条 公司网络安全和信息化工作领导小组办公室指定专人担任公司网络安全员,负责具体办理日常的网络安全管理有关工作,建立健全相关管理制度,制定网络安全事故处置措施和应急预案,协调组织网络安全培训;各分公司、子公司应指定专人担任本部门网络安全员,负责协助做好日常的网络安全管理工作。
第七条 坚持“归属管理”原则,实行24小时网络监控制度,切实做到“看好自己的门,管好自己的人,做好自己的事”。负责本部门所属人员不利用网络制作、传播、查阅和复制下列信息内容:
1.损害国家及企业荣誉、利益、形象的;
2.散布谣言,扰乱社会秩序,破坏社会稳定的;
3.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
4.含有法律、法规禁止的其他内容的。
第八条 坚持“谁主管,谁负责;谁主办,谁负责”的原则,负责加强对本部门上网信息及内容的审查,确保上网信息的安全和保密信息不泄漏。
第九条 严格实行网络安全和信息安全责任追究。有下列情形之一的,由公司党委逐级倒查,追究当事人、网络安全负责人及主要负责人的责任,协调监管不力的,追究综合协调、监管部门负责人的责任。
1.公司门户网站、主要服务器被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,并未及时报告和组织处置的;
2.发生个人信息泄露,造成较严重后果的;
3.关键信息基础设施遭受网络攻击,造成严重不良社会影响的;
4.封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;
5.阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;
6.网络安全工作机制不健全、经费不落实、责任不明确,造成严重后果的;
7.发生其他严重危害网络安全行为的。
第十条 保障网络安全所需的人、财、物投入。将网络安全和信息安全支出纳入年初预算,切实保障网络系统的安全防护加固、运维管理、检测评估、安全措施升级改造等安全保障工作,以及网络安全教育培训,网络安全事件应急处置等相关支出。
第十一条 网络安全建设情况纳入全员星级考核范围。
第十二条 本办法自印发之日起执行。
宁夏四维金盾保安押运服务有限公司
网络安全责任制检查考核制度
第一章 总则
第一条 为了加强公司网络信息化安全管理,全面掌握公司机关、分公司、子公司网络与信息安全现状,及时发现存在的薄弱环节和安全隐患,有效防范网络与信息安全事件的发生,构建良好的网络环境,规范网络与信息安全检查工作,制定本检查考核制度。
第二条 网络与信息安全检查坚持“贵在真实,重在整改”的工作原则。
第三条 网络与信息安全检查工作由企业主要负责人负责,分管负责人组织实施,做到责任明确,措施到位。
第四条 本办法适用公司机关、分公司及子公司。
第二章 检查方式和周期
第五条 网络信息安全工作检查采取自查、抽查和专项检查相结合的方式
(一)“自查”是各责任单位基于本办法的要求,周期性开展的网络与信息安全检查。检查工作可以由机关及分公司、子公司信息安全人员承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。
(二)“抽查”是指市国资委或公司负责网络安全的主管部门组织的各种网络与信息安全检查。
(三)“专项检查”是由国家主管部门具有特定目的的网络与信息安全检查。
第六条 检查周期。各责任单位每年至少开展一次自查工作。原则上可选在重大会议或者国庆节前进行,检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。
(一)抽查工作是与阶段性的重点工作、重大活动和节假日工作相结合而开展的。
(二)专项检查工作是根据国家的阶段性重点工作或者有针对性的网络与信息安全事件而开展的。
第三章 检查内容和方法
第七条 检查内容可分为管理和技术两个方面。管理方面是检查安全管理要求和流程的执行情况;技术方面是检查各软、硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。
第八条 检查方法应采取人工与技术手段相结合的方式进行,包括对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等,确保检查的有效性和完整性。
第四章 检查流程和要求
第九条 检查流程包括:制定计划、准备、实施、改进等四个阶段。
第十条 计划阶段。检查前,组织者应制订具体的检查计划,确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。
第十一条 准备阶段。
(一)细化检查内容。如:检查的系统范围,检查的重点项,各个系统中增、删、改等重点操作的指令与关键词等。
(二)填写《网络安全和信息化自查表》(见附件)。检查表应包含依据标准、检查方式、检查内容、检查方法、检查结果、问题描述、检查人员和被检查人员签字等内容。
(三)配置必要的技术装备,如漏洞扫描工具、WEB扫描工具等。
第十二条 实施阶段。
(一)按照《网络安全和信息化自查表》进行检查并如实记录。
(二)检查人员、配合人员共同签字确认检查结果。
(三)检查结束后,检查组织者编写《网络与信息安全检查报告》,相关负责人在报告书签字确认后存档备查。
第十三条 改进阶段。
(一)认真分析发现的问题,制订相应的整改计划及实施方案,做到“项目、措施、责任、时间和资金”五落实;
(二)整改完成后,形成《网络与信息安全检查整改情况报告》,并存档备查。
第十四条 《网络与信息安全检查报告》、《网络与信息安全检查整改情况报告》等相关文档,经过审批后存档。
第十五条 对于上级负责网络安全的主管部门组织的各种抽查与专项检查,被查企业要以电话、传真或电子邮件形式及时上报至公司办公室,由办公室汇总上报市国资委。被检查企业应按照本办法相关要求进行改进,妥善保留有关检查结果和报告并存档。
第十六条 各种形式的检查都应获得相应授权,不得违反相关信息安全管理规定要求,应遵循对应用系统影响最小化的原则,严格控制可能带来高风险的检查方法;对于在线业务系统的评估检查时间必须避开业务高峰时期。
第五章 评价与考核
第十七条 检查考核将对各网络与信息安全检查工作、检查结果以及整改情况进行评价考核。
第十八条 网络安全建设和绩效纳入考核范围,作为各级领导班子、管理人员考核评价的主要内容。
第十九条 在网络与信息安全检查与整改工作中弄虚作假的,一经查实,将按照有关管理制度对责任单位的相关领导和责任人进行处罚。
第六章 附则
第二十条 本制度自印发之日起实行。
第二十一条 本制度由宁夏四维金盾保安押运服务有限公司负责解释。
附件:网络安全和信息化自查表
|
