山東大智控股集團股份有限公司文件

魯大智信字〔2022〕2號

————————————————————

山東大智控股集團股份有限公司網絡安全管理辦法

第一章 總則

第一條 為了保證集團網絡系統安全、持續和穩健運行，根據國家相關法律以及相關文件要求，特制定本管理辦法。

第二條 本管理辦法所稱的網絡系統，是指由投資購買或租用，由信息化中心負責維護和管理的網絡系統，主要包括網絡主、輔節點設備，配套的網絡線纜設施，以及由網絡服務器、工作站構成的，提供網絡應用及服務的硬件、軟件的集成系統                              

第三條 網絡系統設備管理維護工作由信息化中心負責，信息化中心可以委托相關人員代為管理子節點設備。任何區域（公司）、部門和個人，未經信息化中心同意，不得擅自安裝、拆卸或改變網絡設備。任何區域(公司)、部門和個人，不得利用聯網計算機、終端從事侵入、危害網絡、服務器、工作站的活動。

第四條 本管理辦法適用于集團所有網絡、硬件與軟件系統的安全。

第二章 組織機構與職責

第五條 信息化中心是網絡建設和管理的執行機構。其職責是：為公司網絡建設和發展制訂整體規劃；負責組織實施已經批準施行的網絡建設計劃；負責網絡的運行維護管理；為全公司網絡用戶提供服務、培訓和咨詢；跟蹤引進先進網絡技術；負責網絡的運行暢通、設備的運行維護、信息數據的安全保密工作；負責建立的網絡設備檔案；負責對網絡安全事件進行風險識別、評估、監測和出具相關報告材料；制定網絡的相關管理辦法。

第六條 信息化中心負責人員崗位變動情況的審核。信息化中心負責對網絡管理辦法執行情況進行監督、檢查。信息化中心負責網絡安全事件報送監管機構相關事項。

第七條 發起風險評估的責任主體為信息化中心。接受安全風險評估的部門應參與制定安全風險評估計劃及評估方案，了解評估可能造成的影響及規避措施，配合實施安全風險評估工作。參與安全風險評估人員應嚴格遵守公司保密管理規定，對接觸到的敏感信息、漏洞情況等嚴格保密。如委托第三方進行風險評估，應選擇符合國家和公司要求的風險評估服務機構，并在與之簽訂的協議中，明確保密要求及禁止利用中提供的權限、信息進行其它破壞性或者信息刺探等非法活動，保障公司及客戶利益。

第三章 網絡安全管理

第八條 為保障網絡設備的安全、穩定運行，機房必須建立相應的接地、防雷、防火、防水設施和UPS等后備電源設備，并符合相關國家標準。

第九條 網絡管理員負責網絡的運行管理，實施網絡安全策略和安全運行細則。

第十條 網絡管理員應制定周密的切實可靠的網絡備份和應急恢復方案，防止由于網絡設備系統崩潰、硬件損壞等原因而引起業務中斷。

第十一條 網絡管理員應定期對機房網絡設備進行巡檢，監測網絡設備的物理穩定性和系統穩定性，進行系統日志審計，并對系統狀況及安全事件進行分析，制定相應的維護策略。

第十二條 網絡設備發生故障，網絡管理員應本著先搶通業務、后排除故障的原則按照規定流程排除故障，遇到重大故障時應及時上報領導，事后做好故障記錄并編寫故障分析報告。

第十三條 網絡管理員應負責落實、實施涉及網絡設備的密碼管理機制。

第十四條 針對服務器、網絡設備、網絡安全設備應建立相應的日志服務器，歷史記錄保持時間建議不低于12個月；重要服務器、網絡設備、網絡安全設備日志應建立日志備份機制

第十五條 任何人不得利用各種網絡設備或軟件技術從事用戶帳戶及口令的偵聽、盜用活動，不得使用任何非法手段獲取他人信息。

第十六條 網絡設備、服務器等發生破壞案件，或遭到黑客攻擊，如該案件影響到公司重要信息系統的正常運行，信息化中心負責啟動突發事件應急處置預案，并逐級上報。

第十七條 網絡管理員定期對配置文件進行離線備份，在配置變更前、變更后分別對網絡設備的配置文件進行備份。

第四章 網絡接入管理

第十八條 網絡接入應符合“誰主管、誰負責，誰接入、誰負責”總體原則，遵從“基于需求”、“集中化”、“標準化”及“可控”等具體原則。通過規范申請、審批等過程，實現安全的網絡互聯。

第十九條 外來人員未經許可不得使用網絡資源，如需訪問內網，由相關接待部門報主管領導審批并按公司規定的流程才可使用。

第二十條 未經信息化中心許可，任何公司和個人不得非法私自將非計算機接入公司網絡或擅自接納網絡用戶。

第二十一條 未經信息化中心允許，不得共享計算機內的各種資源；不得對計算機網絡功能進行刪除、修改或者增加；不得對計算機網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加。

第五章 互聯網上網管理

第二十二條 公司互聯網出口必須部署防火墻等安全防護設備，接入互聯網的電腦必須經過許可，并且安裝防病、毒防火墻等安全防護軟件。

第二十三條 公司上互聯網電腦不得存儲國家密級文件及公司重要文件，各公司要按照國家關于互聯網上網信息安全有關規定，加強對本公司互聯網上網電腦的管理，不得利用互聯網泄露公司商業秘密和損害公司的利益，對于出現的違法違紀行為，公司將根據有關規定追究有關公司和當事人的責任。

第二十四條 公司互聯網接入的目的是為了加強與外界的合作與交流。因此任何人不得在上網電腦上瀏覽非法網站和下載非法軟件等，如因以上原因引起計算機系統染毒、系統崩潰而延誤工作造成損失的，上網者將受紀律處分并負責對電腦進行修復。

第二十五條 公司員工上網應當遵守有關法律、法規的規定，加強自律，開展文明、健康的上網活動。嚴禁利用公司網絡傳播病毒，危害公司網絡安全；制作、下載、復制、查閱、發布、傳播或以其他方式使用反動、淫穢色情等有害信息。

第六章 安全加固及補丁管理

第二十六條 供應商和集成商需在服務期內及時為設備和系統安裝操作系統、數據庫、中間件等第三方軟件的安全補丁，保證系統不出現高風險漏洞。

第二十七條 供應商和集成商需在安全補丁安裝前完成與設備或系統的兼容性測試。如果出現不能兼容的情況，供應商和集成商必須免費對現有程序、應用進行修改和升級，或者免費提供額外的安全措施，以保證安全性。

第二十八條 供應商和集成商在系統驗收前，必須對系統進行安全加固，并提交加固報告。集成商必須保證提供的系統上不存在任何高風險漏洞。如在驗收后發現高風險漏洞，集成商和廠商應立即免費進行升級和加固。

第七章 帳號口令及日志審計管理

第二十九條 所有網絡設備均需要支持基于帳號的訪問控制功能，并對口令文件提供妥善的保護。禁止使用設備默認口令密碼，禁止設置弱口令式密碼。

第三十條 各網絡設備應能保存帳號增刪、配置更改、權限更改、重要操作和登陸信息等有關安全內容的日志。該日志的保存期限建議不小于2年。如果因容量限制無法滿足該要求，應將日志定期導出，采用其他手段進行保存。

第三十一條 網絡管理員管理應定期對運行日志、網絡監控記錄的日常維護和報警信息進行分析和處理。

第三十二條 如某些網絡設備自身賬號口令管理以及日志審計功能不能滿足相關技術要求，需配套相應的外部安全設備以滿足相應的安全技術要求。

第八章 網絡升級與漏洞掃描管理

第三十三條 持續跟蹤廠商提供的網絡設備的軟件升級更新情況，在經過充分的測試評估后對必要的補丁進行更新，并在更新前對現有的重要文件進行備份。

第三十四條 定期進行漏洞掃描，對漏洞風險持續跟蹤，在經過充分的驗證測試后對必要的漏洞開展修補工作。

第三十五條 實施漏洞掃描或漏洞修補前，應對可能的風險進行評估和充分準備,如選擇恰當時間，并做好數據備份和回退方案。

第三十六條 漏洞掃描或漏洞修補后應進行驗證測試，以保證網絡系統的正常運行。

第九章 附則

第三十七條 本管理辦法由信息化中心負責解釋。

第三十八條 本管理辦法自發布之日起執行。

山東大智控股集團股份有限公司

2022年3月15日