4网络安全管理办法.doc

检查+通知 网络安全管理办法 总 则 为规范中国石油天然气集团有限公司（以下简称集团公司）网络安全管理，保障 网络安全，根据《中华人民共和国网络安全法》、《网络安全等级保护条例》、《国 家关键信息基础设施安全保护条例》等法律法规以及《中国石油天然气集团有限公 司信息化管理办法》等规章制度，制定本办法。 本办法适用于集团公司总部部门、专业公司和集团公司直属企事业单位、专业公 司成员企业（以下统称所属企业）的网络安全管理。 控股公司、实际控制企业通过法定程序执行本办法，参股公司参照执行。 接入集团公司网络的其他单位按所属企业管理。 本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规 则和程序对信息进行收集、存储、传输、交换、处理的系统。 本办法所称网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰 、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数 据的完整性、保密性、可用性的能力。网络安全包括信息系统安全、数据安全和工业 控制系统安全。 集团公司网络安全实行统一管理、分级负责，按照"谁主管谁负责，谁运行谁负 责，谁使用谁负责"的要求，各级组织、管理人员、岗位员工履行各自的网络安 全职责。 机构与职责 集团公司信息化工作领导小组在网络安全管理工作中，主要履行以下职责： （一）落实国家网络安全政策、法律法规和重大部署，制定集团公司网络安全工作 政策； （二）审议批准网络安全整体解决方案和年度工作计划； （三）决策、指挥、协调重大网络安全事件处置。 集团公司信息管理部（以下简称信息管理部）是集团公司网络安全的归口管理部 门，主要履行以下职责： （一）组织落实国家和集团公司网络安全政策、法律法规和重大部署； （二）组织制定集团公司网络安全整体解决方案、规章制度、技术规范，并监 督落实； （三）组织编制集团公司网络安全年度工作计划； （四）组织开展集团公司网络安全检查、通报、考核、培训等工作。 总部各部门落实集团公司网络安全要求，承担相关业务信息系统、数据和用户网 络安全管理责任。 专业公司落实集团公司网络安全要求，承担本专业网络安全管理责任，主要领导 是网络安全第一责任人，分管网络安全的领导是直接责任人，主要履行以下职责 ： （一）明确网络安全归口管理机构和相应岗位，完善本专业网络安全管理制度； （二）负责本专业信息系统、数据和用户的网络安全管理，组织对用户进行网络安 全教育培训； （三）负责制定本专业工业控制系统安全管理制度、技术标准、防护方案，配合国 家和集团公司工业控制系统安全检查，并督促整改； （四）负责组织编制本专业网络安全应急预案，督促、指导所属企业网络安全应急 工作，配合重大网络安全事件的调查处置。 所属企业落实集团公司网络安全要求，承担本单位网络安全管理责任，主要负责 人是网络安全第一责任人，分管网络安全的领导是直接责任人，主要履行以下职 责： （一）明确网络安全归口管理机构和相应岗位，完善网络安全管理制度，实行网络 安全管理员持证上岗制度； （二）编制本单位网络安全解决方案、年度工作计划，其配套项目投资和系统运维 费用，纳入本单位年度预算； （三）开展网络安全等级保护、风险评估等工作，制定专项应急预案并组织演练， 实施网络安全事件的应急处置，组织网络安全检查和培训等工作； （四）按照国家和集团公司工业控制系统安全制度、标准要求，制定本单位工业控 制系统安全管理制度、技术规范，部署防护措施，确保工业控制系统运行安全，接受国 家和集团公司工业控制系统安全检查，并落实整改要求； （五）负责本单位信息系统、数据和用户的网络安全管理，对接入本单位网络的所 有设备负有管理责任。 信息化内部支持单位落实集团公司统一的网络安全策略，主要履行以下职责： （一）明确网络安全责任人，设立各信息系统安全管理和技术岗； （二）制定信息系统安全解决方案，负责信息系统的技术防护和运行维护安全； （三）制定所承担信息系统的应急预案，定期组织演练； （四）对网络安全检查和日常工作中发现的漏洞及时进行整改。 集团公司网络安全技术支持工作依托现有信息化内部支持单位实施，相关机构加 挂网络安全专家中心、网络安全运行中心牌子。 网络安全专家中心参与编制集团公司网络安全整体解决方案，组织专家分析网络安 全态势、跟踪新技术新应用、审核各项目的网络安全解决方案，组织网络安全等级保护 测评等技术支持工作。 网络安全运行中心对集团公司网络安全进行日常监测，组织落实网络安全预警、通 报、跟踪、复核等工作。 网络安全专家中心和网络安全运行中心在国家重要活动和重要会议期间，编制网络 安全保障方案并组织落实，发生重大网络安全事件时，组织开展应急事件处置。 基本要求 集团公司网络由内网、专网和外网构成。 内网通过自建或租用数据链