4网络安全管理办法.doc

检查+通知 网络安全管理办法 总 则 为规范中国石油天然气集团有限公司（以下简称集团公司）网络安全管理，保障 网络安全，根据《中华人民共和国网络安全法》、《网络安全等级保护条例》、《国 家关键信息基础设施安全保护条例》等法律法规以及《中国石油天然气集团有限公 司信息化管理办法》等规章制度，制定本办法。 本办法适用于集团公司总部部门、专业公司和集团公司直属企事业单位、专业公 司成员企业（以下统称所属企业）的网络安全管理。 控股公司、实际控制企业通过法定程序执行本办法，参股公司参照执行。 接入集团公司网络的其他单位按所属企业管理。 本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规 则和程序对信息进行收集、存储、传输、交换、处理的系统。 本办法所称网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰 、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数 据的完整性、保密性、可用性的能力。网络安全包括信息系统安全、数据安全和工业 控制系统安全。 集团公司网络安全实行统一管理、分级负责，按照"谁主管谁负责，谁运行谁负 责，谁使用谁负责"的要求，各级组织、管理人员、岗位员工履行各自的网络安 全职责。 机构与职责 集团公司信息化工作领导小组在网络安全管理工作中，主要履行以下职责： （一）落实国家网络安全政策、法律法规和重大部署，制定集团公司网络安全工作 政策； （二）审议批准网络安全整体解决方案和年度工作计划； （三）决策、指挥、协调重大网络安全事件处置。 集团公司信息管理部（以下简称信息管理部）是集团公司网络安全的归口管理部 门，主要履行以下职责： （一）组织落实国家和集团公司网络安全政策、法律法规和重大部署； （二）组织制定集团公司网络安全整体解决方案、规章制度、技术规范，并监 督落实； （三）组织编制集团公司网络安全年度工作计划； （四）组织开展集团公司网络安全检查、通报、考核、培训等工作。 总部各部门落实集团公司网络安全要求，承担相关业务信息系统、数据和用户网 络安全管理责任。 专业公司落实集团公司网络安全要求，承担本专业网络安全管理责任，主要领导 是网络安全第一责任人，分管网络安全的领导是直接责任人，主要履行以下职责 ： （一）明确网络安全归口管理机构和相应岗位，完善本专业网络安全管理制度； （二）负责本专业信息系统、数据和用户的网络安全管理，组织对用户进行网络安 全教育培训； （三）负责制定本专业工业控制系统安全管理制度、技术标准、防护方案，配合国 家和集团公司工业控制系统安全检查，并督促整改； （四）负责组织编制本专业网络安全应急预案，督促、指导所属企业网络安全应急 工作，配合重大网络安全事件的调查处置。 所属企业落实集团公司网络安全要求，承担本单位网络安全管理责任，主要负责 人是网络安全第一责任人，分管网络安全的领导是直接责任人，主要履行以下职 责： （一）明确网络安全归口管理机构和相应岗位，完善网络安全管理制度，实行网络 安全管理员持证上岗制度； （二）编制本单位网络安全解决方案、年度工作计划，其配套项目投资和系统运维 费用，纳入本单位年度预算； （三）开展网络安全等级保护、风险评估等工作，制定专项应急预案并组织演练， 实施网络安全事件的应急处置，组织网络安全检查和培训等工作； （四）按照国家和集团公司工业控制系统安全制度、标准要求，制定本单位工业控 制系统安全管理制度、技术规范，部署防护措施，确保工业控制系统运行安全，接受国 家和集团公司工业控制系统安全检查，并落实整改要求； （五）负责本单位信息系统、数据和用户的网络安全管理，对接入本单位网络的所 有设备负有管理责任。 信息化内部支持单位落实集团公司统一的网络安全策略，主要履行以下职责： （一）明确网络安全责任人，设立各信息系统安全管理和技术岗； （二）制定信息系统安全解决方案，负责信息系统的技术防护和运行维护安全； （三）制定所承担信息系统的应急预案，定期组织演练； （四）对网络安全检查和日常工作中发现的漏洞及时进行整改。 集团公司网络安全技术支持工作依托现有信息化内部支持单位实施，相关机构加 挂网络安全专家中心、网络安全运行中心牌子。 网络安全专家中心参与编制集团公司网络安全整体解决方案，组织专家分析网络安 全态势、跟踪新技术新应用、审核各项目的网络安全解决方案，组织网络安全等级保护 测评等技术支持工作。 网络安全运行中心对集团公司网络安全进行日常监测，组织落实网络安全预警、通 报、跟踪、复核等工作。 网络安全专家中心和网络安全运行中心在国家重要活动和重要会议期间，编制网络 安全保障方案并组织落实，发生重大网络安全事件时，组织开展应急事件处置。 基本要求 集团公司网络由内网、专网和外网构成。 内网通过自建或租用数据链 《网络安全管理办法》是中国石油天然气集团有限公司为规范网络安全管理，确保网络稳定可靠运行和数据安全而制定的规章制度。该办法依据了国家的相关法律法规，如《中华人民共和国网络安全法》、《网络安全等级保护条例》等，旨在建立统一管理、分级负责的网络安全责任体系。 本办法适用范围涵盖集团公司总部、专业公司、直属企事业单位及成员企业，同时也规定了参股公司和接入集团公司网络的其他单位的管理方式。网络安全涵盖了信息系统安全、数据安全和工业控制系统安全，要求采取必要措施防范各种网络威胁。 集团公司实行“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，各级组织和人员需履行相应的网络安全职责。集团公司信息化工作领导小组负责网络安全政策的落实、方案审批和重大事件的处置。信息管理部作为归口管理部门，负责政策法规的执行、解决方案的制定、工作的监督和考核。 总部各部门、专业公司和所属企业分别承担各自领域的网络安全管理，包括制定管理制度、组织安全教育、处理安全事件等。所属企业还需编制网络安全解决方案和应急预案，确保网络安全管理员的专业素质，同时管理接入网络的所有设备。 信息化内部支持单位需明确网络安全责任人，负责信息系统的安全防护和运行维护，及时修复安全漏洞。网络安全技术支持工作由专门的网络安全专家中心和运行中心负责，提供技术支撑，监测网络安全状况，编制安全保障方案，并在特殊时期加强应急响应。 该《网络安全管理办法》构建了一套完整的网络安全管理体系，从政策到执行，从预防到应对，全面覆盖了集团公司的网络安全管理需求，以保护网络基础设施和数据资源的安全。