• / 10
  • 下载费用:2 金币  

中国铁路总公司网络安全管理办法(TGXX202-2015).pdf

关 键 词:
中国 铁路 总公司 网络安全 管理办法 TGXX202 2015
资源描述:
- 1 - TG/XX202-2015 中国 铁路总公司 网络 安全管理办法 第一章 总 则 第一条 为 规范 网络 安全管理 工作 , 促进 网络 安全管理规范化、 系统化、科学化,全面提高铁路 网络 安全管理水平,依据国家有 关法律法规和 网络 安全有关要求, 制定 本办法 。 第二条 本 办法 适用于 中国铁路总公司(以下简称总公司)及 所属 各单位 、 各铁路公司 不涉及 国家秘密 的信息系统及控制系统 (以下统称信息系统) 网络 安全管理工作。 第三条 本 办法所 称 网络 是 指由计算机或 其他信息终端及相关 设备组成 的 , 按照 一定规则和程序对信息进行收集、存储、传输、 交换、处理的网络和系统。 本办法所称网络安全是指 通过采取必要措施,防范对网络的 攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于 稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完 整性、保密性、可用性的能力。 第四条 总公司网络安全工作坚持“安全第一、预防为主、主 动防御、综合防范、分级 保护、 管理与技术并重”的原则 。 第二章 目标和措施 第五条 总公司 网络 安全工作目标是通过保障信息系统正常运 行,保证业务 应用 连续性和安全性 , 保证 数据 和信息 的 完整性、 - 2 - 保密性、可用性 ,支撑总公司业务发展。 第六条 建立网络安全保障体系,包括管理保障体系、技术保 障体系和运维保障体系。管理保障体系包括信息 安全组织、信息 安全规章制度、信息安全工作流程等。技术保障体系包括应用安 全架构、安全服务架构、基础设施安全架构等。运维保障体系包 括运行管理、安全监控、事件管理、变更管理等。 第七条 全面推行 网络 安全风险管理。通过增强安全风险意识、 识别安全风险、完善风险管控流程、强化风险应急处置,提高 网 络 安全风险防控能力。 第八条 实行 网络 安全等级保护制度。按照集中指导、属地管 理原则,在总公司统一指导下,各单位分别组织开展信息系统定 级、备案、测评、整改工作。 第九条 网络 安全防护措施应与系统同步规划、同步建设、同 步 使用 。 第三章 管理职责 第十条 总公司信息化领导小 组 统一领导 网络 安全工作,负 责贯彻落实中央和国家 网络 安全有关法规与政策,对总公司 网络 安全重大事项作出决策。 第十一条 总公司运输局 ( 信息化部 ) 按照 总公司信息化领导 小组工作要求, 负责 总公司 网络 安全 管理 工作 , 提出 网络 安全规 划建议,拟 订 网络 安全工作计划,监督工作计划落实情况;组织 拟订 总公司 网络 安全规章制度和标准规范,并监督落实;组织开 - 3 - 展 网络 安全等级保护工作;组织建立网络安全保障体系,并推广 应用;组织开展 总公司 网络 安全检查工作;负责总公司网络安全 信息通报工作。 第十二条 总公司各业务部门 按照 总公司 网络 安全管理 要求 , 负责 做好本专业 网络 安全 管理工作。提出本专业 网络 安全年度工 作计划并组织落实;组织开展本专业 网络 安全检查,及时整改发 现问题;组织开展 本专业 网络 安全 等级保护 定级 、 备案 、测评、 整改 工作 ;对本专业 网络 安全 工作进行 监督、检查、 指导。 第十三条 中国 铁路信息技术中心 协助总公司开展网络 安全 保 障 体系建设 工作,配合 开展 网络安全检查工作。 负责 所维护 系统 的 安全 保障 工作 ,实施安全监控、风险评估、安全检查、事件响 应、故障处置等日常维护工作;协助开展 网络 安全等级保护定级、 备案、 测评 、 整改工作。 第十四条 中国 铁道科学研究院 协助总公司 开展 网络 安全 技 术、 标准 、规范研究,收集分析国内 外信息安全动态;配合 开展 网络 安全检查、 检测以及 安全评估工作 ;参与铁路 网络 安全 测评 和 等 级 保 护 测评 工作。 第十五条 总公司所属单位 、 各铁路公司 负责本单位 网络 安全 管理工作。依据本办法和有关规定,制定本单位 网络 安全工作实 施办法,明确 网络 安全工作管理机构和岗位,落实 网络 安全工作 责任和经费投入,组织开展本单位 网络 安全有关工作。 第四章 建设安全管理 - 4 - 第十六条 信息系统工程建设前期立项阶段,应在系统总体方 案中同步制定安全方案,明确安全需求,落实安全建设投资。 新 研发信息系统应在系统总体方案中确定等保级别 。 信息系统定级 情况应及时向 系统 所在地铁路 公安 机关 备案。 第十七条 网络 安全建设应以实现安全可控为目标,积极稳妥 地推进信息技术产品国产化应用。加强软件正版化工作,坚持使 用正版软件。 第十八条 软件开发应符合国家有关安全编码规范。建立配置 管理机制,将程序源代码及有关技术文档纳入配置管理,严格控 制信息系统有关变更。 第十九条 加强对信息系统 在咨询、研发、施工、技术支持等 过程中 的安全管理,保护知识产权,防范信息泄露。 第二十条 信息 系统开发、测试和生产环境应独立 设置 。 应用 系统 软件 修改 调试 应在开发环境中进行。 重要信息系统开发结束 后,应用 软件 须通过 安全 测试 , 并及时关闭 开发 测评环境,确保 测试环境、测试数据安 全 。 第二十一条 信息系统正式上线前,应由建设单位组织对安全 设备和功能进行验收,对 信息 系统整体安全状况进行检测和评估。 其中与互联网连接的信息系统 , 应由建设单位组织信息安全专业 测评机构 , 对 信息 系统整体安全状况进行安全测评。检测评估材 料及测评报告应作为验收文件的组成部分。安全测评费用纳入 建 设 项目预算。 - 5 - 第五章 运维安全管理 第二十二条 各级信息技术运维单位应建立健全信息机房安全 管理制度,落实管理职责,明确管理流程,规范人员进出,保障 设施安全。 第二十三条 根据系统性质、应用功能和设备特性设立物理安 全保护区域,按区域部署预防控制措施,满足不同强度的信息系 统安全需求。重要保护区域应设置过渡区域,重要设备或主要部 件应设置明显标识。 第二十四条 应坚持信息系统设备设施物理移动管控措施,以 保证系统的可用性和完整性。对送修或报废的信息系统设备应采 取必要的安全处置措施,防止信息资产丢失、损坏和失窃。 第二十五条 依据业务需求、系统功能及等保级别划分信息系 统安全域。在各安全域之间及网络边界,采取访问控制措施,部 署监控手段,保障网络安全。 第二十六条 加强变更管理。建立变更控制流程,对网络结构、 访问控制策略、安全配置等变更,以及软件升级、补丁修复、系 统上线等可能影响既有运行环境的活动,实施变更控制与授权管 理 。 第二十七条 加强 网络 安全事件管理。应对包括有害程序、网 络攻击、信息保护、信息内容安全、设备设施故障、自然灾害等 在内的各类安全事件进行监测。规范事件响应、处理流程,明确 - 6 - 事件升级策略,提高事件处理效率。各单位信息化管理部门负责 网络 安全事件调查处理工作 , 对涉及违反法律法规的 网络 安全事 件 , 应及时通报 所在地 铁路公安机关介入调查 。 第二十八条 各级信息化管理部门牵头组织,信息系统业务部 门具体负责,定期或按照总公司 安排 ,对信息系统进行安全检查、 风险评估及安全测评,分析隐患、识别风险,对系统进行整改完 善。根据信息系统重要性、遭遇风险时受影响和损失的程度,制 定信息系统应急预案,定期开展应急演练,不断完善应急预案。 第二十九条 建立 网络 安全审计机制,记录操作行为,保存 异常状态信息, 保证 网络 安全事件 可 回溯 、 可 追踪。 第三十条 等级保护四级(含)以上信息系统每 两 年开展一 次等保测评, 期间 应每年开展安全自评估, 如系统与互联网有信 息交换,应每年开展一次等保测评;等级保护三级(含)以下信 息系统每 三 年开展一次等保测评, 期间 应每年开展安全自评估, 如系统与互联网有信 息交换,应每年开展一次等保测评;首次等 保测评应在系统上线后一年内进行。当信息系统结构、功能、主 要配置发生变更时,应立即组织风险评估,必要时重新进行等保 测评,或重新组织定级和等保测评。信息系统测评费用纳入单位 年度经费预算。 第六章 访问 授权 管理 第三十一条 业务部门依据业务安全需求,确定信息系统用户 使用范围和访问权限,并通过 用户 管理 与访问控制 系统进行授权, - 7 - 防止越权访问,保证业务应用安全。 第三十二条 各级信息技术运维单位负责建立 用户 管理 与访问 授权平台 ,制定信息系统及其 设备设施 访问控制策略,严格控制 对 信息 系统及其设备设施的访问,保证信息系统及 设备设施访问 安全。 第三十三条 应在 内 部 服务网、 外部 服务网 建立 专用 的安全 接 入 区, 部署 安全管控 设备 ,提供 认证、 授权服务, 对 外部 单位、 外部人员 、 远程维护人员 确定 访问 信息系统和 有关 数据 权限 。访 问过程须保留 日志。 第七章 数据安全管理 第三十四条 各单位应建立信息系统数据安全管理制度,规范 数据采集、传输、交换、存储、备份、恢复和销毁等活动 管理 。 严格数据访问权限分配与回收管理。数据访问须经业务部门和信 息化管理部门授权批准。数据访问过程须保存完整记录。 第三十五条 建立数据和信息保密制度,严禁向无关人员泄露 业务数据和信息。商业秘密、工作秘密或其他重要信息应进行加 密处理,确保其在传输、处理、存储过程中不被泄露或篡改。公 民 个人电子信息安全管理 , 按国家及 总公司有 关规定执行。 第三十六条 建立外部单位信息传输机制, 保证 总公司与外部 单位数据交换 安全 可控 ,确保 数据 安全。 第三十七条 加强数据高可用性管理 。 建立本地数据备份机制, 有条件的 , 应 建立磁带备份机制。加强存储介质管理,定期检查 - 8 - 所存储信息的完整性和可用性。重要数据备份介质应异地存放。 第三十八条 按照国家信息系统灾难恢复管理有关要求、技术 标准和规范,结合业务需求,建立信息系统备份与灾难恢复机制, 保障数据安全和业务连续性。 第八章 终端安全管理 第三十九条 建立统一的终端安全防护 系统,规范终端安全 配置,监控终端安全状态,控制用户终端接入,规范用户操作行 为,保障终端使用安全。 第四十条 按照批准的用途使用终端设备。终端设备用途变 更或维修时,应确保设备原存储或承载的信息经过妥善处理或移 除。 第四十一条 规范移动介质安全管理,严格 落实 相关制度规定, 控制移动介质接入行为, 明确接入方式和访问控制措施。 第四十二条 建立统一的终端补丁分发和 恶意代码防范 机制, 定期实施补丁、恶意代码特征库升级与分发。 第四十三条 禁止 自有终端设备 接入 铁路信息网络 , 禁止终端 设备 “ 一机两网 ” 。 第九章 信息 资产 安全 管理 第四十四条 识别信息系统硬件资产、软件资产和数据资产, 制定统一 的信息资产分级分类标准与标识方法。规范信息资产分 配、使用、维护、报废和销毁等管理流程。建立并及时更新、定 期检查信息资产台账,实 行 信息资产全生命周期管理。 - 9 - 第四十五条 对数据资产实施分级分类保护,设置安全标记, 采取相应防护措施,防止数据泄露、篡改 、 损坏及未经授权访问。 第十章 人员安全管理 第四十六条 明确员工岗位 网络 安全要求,签订《岗位 网络 安 全与保密协议》。定期对员工进行安全培训和技能考核。 第四十七条 根据信息系统运行维护实际情况,设置安全管理 员、安全审计员和系统管理员岗位,分别设定访问权限,实现岗 位操作互控。 第四十八条 员工 岗位发生变更 时 , 应及时调整其对相 关信息 系统资源的访问权限;对离岗、离职或退休人员应终止其对相关 信息系统资源的访问权限,及时修改有关密码,并明确后续保密 要求。 第四十九条 信息系统建设、运行维护、使用过程中涉及外 部服务人员时,应根据其所接触、获取信息系统资源情况,签订 《信息安全与保密协议》。 第五十条 严格管理外部人员进入要害部位,对外部访问人 员实行专人全程监督,并登记备案。 第十一章 网络安全信息通报 第五十一条 建立网络安全 信息通报 制度。各单位、部门应指 定专人负责通报工作,及时报告网络安全事件及工作情况,发挥 通报机制预警作用。 第五十二条 通报内容应包括网络安全动态、安全重点工作、 - 10 - 安全事件 等。 第五十三条 通报分为月报和年报,由信息化管理部门负责编 辑。月报 每月 25 日 前 、 年报 每年 1 月 15 日 前 ,各单位和部门应 将有关信息 报信息化管理部门 。 重大 网络安全事件应随时通报、 逐级上报。 第十二章 检查与考核 第五十四条 各单位 应定期组织开展 网络 安全 检查 ,对 检查发 现的问题,应制定整改措施,并组织落实。 第五十五条 各单位信息化管理部门应加强 网络 安全工作督 查,对存在 网络 安全隐患的责任单位或部门,发出整改通知书, 督促问题整改。 第五十六条 各单位 应将 网络 安全管理工作纳入考核评价体 系, 定期对本单位 网络 安全管理工作 进行考核评价 ,对 工作 突出 的 部门 和个人 可按 有关规定 进行表彰 , 对违反 网络 安全管理规定, 造成损失和不良影响的,应追究相关责任人的责任。 发生 重大 信 息 安全事件,且 造成 严重社会负面影响 , 纳入 企业 经营业绩考核。 涉嫌犯罪的,依法追究法律责任。 第十三章 附 则 第五十七条 本办法由中国铁路总公司运输局负责解释。 第五十八条 本 办法 自 2016 年 2 月 1 日 起 施行 。
展开阅读全文
  语墨文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:中国铁路总公司网络安全管理办法(TGXX202-2015).pdf
链接地址:http://www.wenku38.com/p-65856.html

                                            站长QQ:1002732220      手机号:18710392703    


                                                          copyright@ 2008-2020 语墨网站版权所有

                                                             经营许可证编号:蜀ICP备18034126号

网站客服微信
收起
展开