4网络安全管理办法.doc

检查+通知 网络安全管理办法 总 则 为规范中国石油天然气集团有限公司（以下简称集团公司）网络安全管理，保障 网络安全，根据《中华人民共和国网络安全法》、《网络安全等级保护条例》、《国 家关键信息基础设施安全保护条例》等法律法规以及《中国石油天然气集团有限公 司信息化管理办法》等规章制度，制定本办法。 本办法适用于集团公司总部部门、专业公司和集团公司直属企事业单位、专业公 司成员企业（以下统称所属企业）的网络安全管理。 控股公司、实际控制企业通过法定程序执行本办法，参股公司参照执行。 接入集团公司网络的其他单位按所属企业管理。 本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规 则和程序对信息进行收集、存储、传输、交换、处理的系统。 本办法所称网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰 、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数 据的完整性、保密性、可用性的能力。网络安全包括信息系统安全、数据安全和工业 控制系统安全。 集团公司网络安全实行统一管理、分级负责，按照"谁主管谁负责，谁运行谁负 责，谁使用谁负责"的要求，各级组织、管理人员、岗位员工履行各自的网络安 全职责。 机构与职责 集团公司信息化工作领导小组在网络安全管理工作中，主要履行以下职责： （一）落实国家网络安全政策、法律法规和重大部署，制定集团公司网络安全工作 政策； （二）审议批准网络安全整体解决方案和年度工作计划； （三）决策、指挥、协调重大网络安全事件处置。 集团公司信息管理部（以下简称信息管理部）是集团公司网络安全的归口管理部 门，主要履行以下职责： （一）组织落实国家和集团公司网络安全政策、法律法规和重大部署； （二）组织制定集团公司网络安全整体解决方案、规章制度、技术规范，并监 督落实； （三）组织编制集团公司网络安全年度工作计划； （四）组织开展集团公司网络安全检查、通报、考核、培训等工作。 总部各部门落实集团公司网络安全要求，承担相关业务信息系统、数据和用户网 络安全管理责任。 专业公司落实集团公司网络安全要求，承担本专业网络安全管理责任，主要领导 是网络安全第一责任人，分管网络安全的领导是直接责任人，主要履行以下职责 ： （一）明确网络安全归口管理机构和相应岗位，完善本专业网络安全管理制度； （二）负责本专业信息系统、数据和用户的网络安全管理，组织对用户进行网络安 全教育培训； （三）负责制定本专业工业控制系统安全管理制度、技术标准、防护方案，配合国 家和集团公司工业控制系统安全检查，并督促整改； （四）负责组织编制本专业网络安全应急预案，督促、指导所属企业网络安全应急 工作，配合重大网络安全事件的调查处置。 所属企业落实集团公司网络安全要求，承担本单位网络安全管理责任，主要负责 人是网络安全第一责任人，分管网络安全的领导是直接责任人，主要履行以下职 责： （一）明确网络安全归口管理机构和相应岗位，完善网络安全管理制度，实行网络 安全管理员持证上岗制度； （二）编制本单位网络安全解决方案、年度工作计划，其配套项目投资和系统运维 费用，纳入本单位年度预算； （三）开展网络安全等级保护、风险评估等工作，制定专项应急预案并组织演练， 实施网络安全事件的应急处置，组织网络安全检查和培训等工作； （四）按照国家和集团公司工业控制系统安全制度、标准要求，制定本单位工业控 制系统安全管理制度、技术规范，部署防护措施，确保工业控制系统运行安全，接受国 家和集团公司工业控制系统安全检查，并落实整改要求； （五）负责本单位信息系统、数据和用户的网络安全管理，对接入本单位网络的所 有设备负有管理责任。 信息化内部支持单位落实集团公司统一的网络安全策略，主要履行以下职责： （一）明确网络安全责任人，设立各信息系统安全管理和技术岗； （二）制定信息系统安全解决方案，负责信息系统的技术防护和运行维护安全； （三）制定所承担信息系统的应急预案，定期组织演练； （四）对网络安全检查和日常工作中发现的漏洞及时进行整改。 集团公司网络安全技术支持工作依托现有信息化内部支持单位实施，相关机构加 挂网络安全专家中心、网络安全运行中心牌子。 网络安全专家中心参与编制集团公司网络安全整体解决方案，组织专家分析网络安 全态势、跟踪新技术新应用、审核各项目的网络安全解决方案，组织网络安全等级保护 测评等技术支持工作。 网络安全运行中心对集团公司网络安全进行日常监测，组织落实网络安全预警、通 报、跟踪、复核等工作。 网络安全专家中心和网络安全运行中心在国家重要活动和重要会议期间，编制网络 安全保障方案并组织落实，发生重大网络安全事件时，组织开展应急事件处置。 基本要求 集团公司网络由内网、专网和外网构成。 内网通过自建或租用数据链 随着信息技术的快速发展，网络安全已成为国家安全的重要组成部分。为应对日益增长的网络安全威胁，确保国家关键信息基础设施的安全，中国石油天然气集团有限公司（以下简称集团公司）制定了《网络安全管理办法》。该办法旨在通过规范管理，强化网络安全防护，保障集团公司网络稳定可靠运行，并确保网络数据的完整性、保密性和可用性。 《网络安全管理办法》依据《中华人民共和国网络安全法》、《网络安全等级保护条例》、《国家关键信息基础设施安全保护条例》等法律法规，结合集团公司的实际情况，确立了一套全面的网络安全管理框架。该办法明确界定了网络安全的定义，包括信息系统安全、数据安全和工业控制系统安全，并规定了集团公司各级组织和人员在网络安全方面的职责与义务。 根据该办法，集团公司总部部门、专业公司、直属企事业单位以及成员企业均需遵循统一的网络安全管理原则，实行分级负责制度。这意味着，各级组织和员工需按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的要求，积极履行网络安全职责。而控股公司、实际控制企业需通过法定程序执行本办法，参股公司参照执行，其他接入集团公司的单位按照所属企业管理。 网络安全的管理与维护不是某个单一部门的工作，而是集团公司所有部门和成员共同的责任。集团公司信息化工作领导小组在网络安全管理中扮演着重要角色，负责落实国家网络安全政策和法律法规，并在重大网络安全事件发生时作出决策和处置。信息管理部则是网络安全的归口管理部门，负责执行集团公司的网络安全政策和法规，制定网络安全解决方案、规章制度，并监督实施。此外，集团公司还要求专业公司和所属企业根据自身的实际情况，建立完善的网络安全管理体系，包括安全教育培训、安全事件应急预案和日常安全检查等。 网络环境的安全依赖于全员的共同维护。总部各部门、专业公司及所属企业除了要承担管理责任外，还需实现网络安全管理的细节化与专业化。这包括设立网络安全归口管理机构，明确网络安全责任人，确保信息系统、数据和用户网络的安全，同时负责网络安全培训和技术防护措施的实施。 信息化内部支持单位同样扮演着重要角色，需设立网络安全管理和技术岗位，制定信息系统安全解决方案，并承担信息系统的日常维护与安全防护工作。网络安全的日常监测与预警由网络安全运行中心负责，而网络安全专家中心则参与网络安全解决方案的制定和评估，并在国家重要活动和重要会议期间提供安全保障。 在技术层面，网络安全专家中心和运行中心还须依托现有信息化内部支持单位，提供必要的技术支持。这些机构在国家重要活动和重要会议期间，需编制网络安全保障方案并组织实施，并在发生重大网络安全事件时，负责应急事件的处置。 《网络安全管理办法》不仅明确了管理职责，还提出了基本要求，构建了一个涵盖内网、专网和外网的全面网络安全环境。内网的安全尤为关键，它通过自建或租用数据链路与外部网络隔离，保障了网络数据传输的安全。 总体而言，《网络安全管理办法》为中国石油天然气集团有限公司搭建了一个全方位、多层次的网络安全防护体系。通过统一管理、分级负责的模式，以及强化全员网络安全意识和技能，集团公司能够有效地防范网络攻击和数据泄露等风险，确保网络和信息系统的安全稳定运行。这对于集团公司乃至国家的信息化建设和经济社会发展具有重要意义。