网络安全管理办法.doc

XXXX 公司网络安全管理办法第一章总则第一条为保证 XXXX 公司所属网络的安全、稳定、可靠运行,以及网络承载的各业务系统的正常运行,特制定本办法。第二章组织及职责第二条信息化部门的职责: 。 。 。 。 。第三条网络安全管理员职责: 、落实公司关于网络安全工作的策略、制度; ; 、安全应急预案和事件处理程序; (垃圾邮件、病毒攻击等); ; 。第四条网络监控人员职责: ; ; ; 。第三章网络访问控制第五条采用技术措施实现内外部网络之间以及内部网不同安全域之间的隔离与访问控制,例如采用防火墙技术或 V LAN 技术。第六条对网络相关设备的管理应进行用户分级管理及严格的身份鉴别。第七条应采取有效的访问控制手段,保证在认证通过前,用户不能使用网络设备和主机系统提供的服务。第八条对网络设备进行远端配置和管理时,应进行严格的身份认证。用户权限和账号口令的设置和管理应符合《帐号口令管理办法》的相关要求。第四章网络攻击防范第九条履行国家相关部门在防范网络攻击方面的相关法律和规定。第十条使用获得国家计算机信息系统安全专用产品销售许可证的网络攻击防范产品。第十一条网络中的网络设备和应用系统在正常运行阶段,应关闭与业务无关的服务和端口,防止非法访问。第十二条在网络边界以及重要网段处,通过相关安全设备或技术手段,防止非授权信息的通过。第十三条在网络边界以及重要网段处,进行实时网络入侵检测。如果检测到入侵行为,应立即通知相关人员进行处理,同时上报相关主管人员和安全管理人员。第十四条在网络关键节点和部位部署网络漏洞扫描器对整个网络进行安全扫描;对网络中的重要设备进行定期系统漏洞扫描。通过扫描发现和预防可能的破坏活动,发现漏洞应及时报相关设备维护主管人员和安全管理人员并进行进一步处理。第十五条采用有效手段保证网络上敏感信息的传输安全。第五章病毒防范第十六条网络相关设备上禁止安装、运行与业务无关的软件,以防止感染病毒。第十七条网络相关设备需进行实时病毒检测,发现病毒应及时处理,并立即汇报维护主管人员。第十八条重要的主机或网络需进行实时病毒监测,发现病毒立即通知有关部门及时处理。第十九条使用公司指定的防病毒产品,防病毒产品的管理与使用参见《防病毒管理办法》。第二十条网络维护人员应增强病毒防范意识,配合安全管理人员和安全技术人员做好病毒防范工作。第六章审计跟踪第二十一条对网络相关设备的运行、维护、管理应有审计方案(包括审计内容、审计信息分析与处理、审计记录备份等)和记录。第二十二条应对以下事件做审计记录: 。 。 。 。 。第二十三条审计记录应包含以下信息: