—PAGE3—
—PAGE6—
附件:
察哈素煤矿网络与信息安全防护管理规定
第一章总则
第一条为贯彻落实国家“护网行动”和集团公司护网工作相关要求,进一步加强和规范察哈素煤矿网络与信息安全工作,有效提高网络与信息安全防护能力和水平,切实维护察哈素煤矿网络信息安全,制定本办法。
第二条本办法适用于察哈素煤矿各部门、区队、外委单位及全体员工。
第二章职责分工
第三条生产调度中心是煤矿网络与信息安全归口管理部门,负责在煤矿网络与信息安全运维区域内开展管理网和工控网安全的总体防护工作。对煤矿网络与信息安全防护工作作出具体部署,网络资产整体摸排、安全风险漏洞整改、安全监控与安全防护,对发生网络安全事件及时上报公司,并按要求处置与恢复。
第四条煤矿各部门、区队及外委单位负责各自区域内的网络与信息安全防护管理工作。
第五条煤矿全体员工必须严格遵守公司网络与信息安全相关管理制度,承担相关安全义务和责任,并及时报告网络与信息安全事件。
第三章网络安全管理内容
第六条生产调度中心做好生产区和管理区安全防护工作,加强安全隔离设备的管理,确保隔离装置配置有效,并关闭不必要的端口和服务,做到生产区与互联网隔离。
第七条各生产区所有系统与管理区之间要部署单向隔离设备。
第八条各单位要将存在重大隐患和被攻击风险的系统中加装隔离装置。无隔离装置的系统,必须断开与互联网连接。
第九条管理区与互联网连接必须部署企业级防火墙,并确保防火墙策略配置正确有效。
第十条加强煤矿全员网络与信息安全认识,提高安全防护意识,各单位需加强所辖区域涉网办公设备的管理,员工办公终端要设置强口令开机密码,离开办公终端要锁屏,下班后需关闭办公终端和打印机等联网设备,确保接入煤矿办公网的所有设备安全可靠。
第十一条禁止办公终端连接便携WIFI设备和手机热点等移动终端设备。
第十二条禁止私自安装无线设备接入办公网。
第十三条加强信息机房的管理,严控审批流程,管控进出人员和所有操作。
第十四条禁止未安装集团版360终端接入煤矿办公网。已安装集团版360终端必须实名注册,并定期进行升级、体检和查杀,确保体检分数达到100分。所有办公电脑必须安装集团要求的正版化办公软件(如集团WPS、集团金山PDF、集团版CAD),严禁安装其他任何非正版软件,未满足上述规定要求的任何终端严禁接入办公网。
第十五条各单位对所有办公电脑IP地址和MAC地址进行全面统计、登记,以便于在办公区域某台办公电脑发生违规、高危预警情况时,对责任人进行跟踪查找,并及时屏蔽上网功能。
第十六条全面禁止内网高危端口对外开放。应在各区域防火墙配置禁止445、139、135等高危险端口互通访问策略,严格禁止远程访问和控制。加强安全漏洞排查,应加强对渗透测试、web漏洞扫描、主机扫描、病毒查杀等安全问题进行排查,并及时进行安全整改落实。
第十七条禁止互联网远程操作各业务系统服务器、办公终端。
第十八条禁止各部门、区队相关外来人员使用笔记本电脑、会议平板、USB存储等设备接入办公网。
第十九条加强供应链管理。各单位应严格管理外部供应商,严禁将带有集团名称、LOGO标识、公司、煤矿名称及敏感信息的相关信息系统在互联网发布,禁止将煤矿业务系统(含测试系统)在互联网发布。对合作的外部供应商应签订网络安全保密承诺书,明确保密、违约责任。
第二十条各单位应建立日常巡查机制,发现问题及时处理,并上报煤矿工作小组。
第二十一条各单位应加强所辖员工网络安全防范意识,提高安防警惕性,接到外部单位的检查、调研等事宜,须通过正式渠道确认人员身份;不打开不明邮件及附件链接,避免网络钓鱼事件发生。
第二十二条煤矿全体员工需增强网络安全意识,加强个人办公终端及业务系统口令管理,杜绝弱口令,禁止在办公终端存储密码本。
第二十三条严禁明文存储、传输账号口令等情况。坚决杜绝服务器、数据库、网络设备、安全设备、视频监控等系统的弱口令,以及服务器、终端、网盘或邮箱中明文存储的账号、口令等情况。
第二十四条各单位要全面梳理各自所属网络资产清单,要明确各自管理的信息系统负责人,对于废弃系统及无主系统应及时关停、下线。
第二十五条禁止在互联网上各类网盘、论坛、QQ群、微信群等发布公司敏感信息。解散未备案的QQ群、微信群,对已备案的工作群,须立即开启入群验证功能并核实群内人员身份,同步清理群内相关敏感信息,避免发生社工攻击及敏感信息泄露事件。
第二十六条各单位要高度重视网络与信息安全工作和护网工作,落实主体责任,把网络与信息安全工作纳入重要议事日程,严格执行各项工作要求。
第四章责任追究
第二十七条各单位未按照上述各项管理规定要求执行的,每发现一次对责任人考核300元,对外委单位人员违反上述规定的,考核