广州分公司网站管理

1中国石化广州分公司网站信息安全管理暂行规定第一章总则第一条为加强中国石油化工股份有限公司广州分公司（以下统称分公司）网站信息安全管理工作，保障分公司各类网站可靠、稳定、连续、高效运行，保证信息内容的可控性、健康性、完整性、可靠性、时效性，防止有害信息上网传播，根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《全国人大常委会关于维护互联网安全的规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《互联网电子公告服务管理规定》等有关法律法规，依据《中国石油化工股份有限公司信息资源管理办法》、《中国石化计算机信息系统安全管理暂行规定》、《中国石油化工股份有限公司广州分公司信息资源管理办法（暂行）》、《广州石化保密工作管理条例》，结合分公司网站运行和管理实际，特制定本规定。第二条“有害信息”是指计算机信息系统、客户端及其存储介质中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示2的，含有攻击党和国家，破坏民族团结等危害国家安全的信息；含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息；恶意损害中国石化形象的信息以及危害计算机信息系统运行和功能发挥，危害应用软件与数据可控性、可靠性、完整性和保密性，用于违法活动的计算机程序（包括计算机病毒和各种恶意代码等）等。第三条本规定包括中国石化网站信息安全管理有关的组织和任务，管理原则，过程和方法，网站系统安全，网站数据安全，网站病毒防护，网站运行安全，人员安全管理以及安全管理制度等内容。第四条网站安全包括对外网站安全、内部网站安全和对外访问安全。对外网站主要用于信息披露、对外宣传及开展有关业务工作；内部网站主要提供信息资源共享、信息服务、辅助管理、协同工作和决策支持等。对外访问安全（内容方面）主要是防止企业内人员通过企业网络访问有害网站并传播有害信息，通过对外访问泄露本企业不宜对外发布的信息/未经审核的信息。第五条设置对外网站要严格遵循国家及中国石化的有关规定，不得自行其事。集团公司各企事业单位、股份公司各分（子）公司（以下统称各单位）可设置对外网站，各单位的下属单位原则上均不得设置对外网站；设置中国石化专业网站须报总部主管部门和信息系统管理部审批，重要的专业网站须报集团公司或股份公司，由主管领导审批；除中国石化报社设置的“中国石化新闻网”外，任何单位无权设置新闻网站。3第六条网站信息发布要按照国家和中国石化的有关规定严格审核，防止不宜发布的信息（包括公司涉密信息、有版权问题的信息等）上网，确保信息的合法性、真实性和安全性。第七条本规定适用于中国石化总部和各单位。第二章组织与任务第八条完善的安全管理体系是加强中国石化网站信息安全的组织保证。为保证网站安全运行，保证网站信息安全，防止有害内容传播，防止失密泄密，明确网站信息安全管理体系，相应建立总部、各单位网站安全管理小组，并各司其责。第九条中国石化网站信息安全管理工作由信息系统管理部归口管理，各单位网站信息安全管理工作由本单位的信息管理部门归口管理。各级信息管理部门要严格执行国家有关互联网信息发布的法律和规定，严格执行中国石化有关制度和规定，并接受各级保密委员会的指导，做好信息安全和保密管理工作。（需补充网站的考核部门：企管部，但按《资源管理规定》第8条规定是信息中心负责网站的监督、考核，第9条规定与企管共同负责信息共享考核，信息中心负责源信息维护的监管、考核）第十条广州石化信息系统安全管理小组主要根据《广州分公司信息资源管理办法（暂行）》第8条的有关规定，对内外网站实施安全4技术建设和安全管理监督。（分公司信息资源管理规定没有对外网站的要求，见股份公司的第九章）第十一条总部网站安全管理小组由信息系统管理部、有关部门及石化盈科有关人员组成，主要负责集团公司网站、股份公司网站、电子商务网站、总部信息平台等系统的安全管理。第十二条各单位网站安全管理小组由本单位的信息管理部门、有关部门的有关人员组成，主要负责本单位对外网站、内部网站等系统的安全管理。各单位网站安全管理小组报信息系统管理部备案。第三章管理原则第十三条领导负责、逐级落实。各级领导务必重视网站信息安全工作，加强对有关人员的安全意识教育，建立有关规章制度，配置必要的资源和经费，协调安全管理与各部门工作的关系，抓好网站信息安全建设，确保安全技术措施、管理措施、监督检查措施的有效落实。第十四条综合防范、技术管理并重。以预防为主、综合治理、人员防范与技术防范相结合，逐级建立网站安全保护技术体系和管理责任制，加强制度建设、安全建设，逐步实现网站信息安全管理工作的科学化、规范化。第十五条高度重视、实时监管。网站信息安全不仅关系到分公司利益和企业安全，还涉及到国家政治、文化等方面的安全。为此各类5网站安全保障工作要按照系统工程的要求，注意各方面、各层次的相互协调、匹配和衔接，根据系统环境的变化以及对系统安全认识的深化，及时复查、修改、调整安全策略。通过信息系统管理小组授权，信息中心、经理办公室对网站内容、用户访问过程，通过技术措施和管理手段，实时进行监控，防止有害信息出现，并对网页内容的所有更新、变动，包括异常的访问，建立审计日志，一旦出现问题，能够迅速定位和纠正。第十六条以人为本、加强教育。加强对相关人员的信息安全教育、培训和管理，强化安全意识、保密意识和法治观念，提高职业道德，掌握安全技术，做好网站信息安全管理工作。第十七条最小特权、明确责任。为网站信息资源规定明确的审计权限、发布权限和使用权限，对系统的所有人员，按其职责划定必要的最小授权范围，明确安全责任，通过技术和行政管理等措施有效阻止越权使用行为，并从技术和管理上严格禁止非中国石化人员利用网站发布、粘贴有害信息。网站必须严格控制电子公告板栏目的开设，不具备控制能力的单位一律不许开设。第四章管理程序第十八条网站信息安全管理主要包括两个方面，一是网站信息技术系统的安全，二是信息内容的安全。技术系统的安全应根据《中国石化计算机信息系统安全管理暂行规定》的要求，按照规定的程序，6建立必要的安全技术体系。信息内容的安全应根据国家和中国石化的有关规定、分公司信息资源管理规定、企业商秘管理条例，对信息内容进行分级，建立健全安全管理程序和制度。第十九条网站信息内容应根据本规定第一条的有关规定建立网站信息内容安全职责体系。对外网站要明确信息内容主管部门（如集团公司网站为办公厅，股份公司网站为董秘局），主要负责信息内容的组织和审查。内部网站信息内容按照“谁提供、谁负责”的原则，各部门按照分公司保密管理条例、信息资源管理办法及其它有关规定，根据本部门信息发布的情况制订信息审核程序并报企业管理部（？），负责本单位所发布信息的审核，各部门主要负责人是本部门发布信息的第一责任人，对信息内容的政治性、内容的准确性、时效性、保密性进行审查，各单位要保证发布的信息文字表达流畅、逻辑合理，分公司经理办、信息中心及企业管理部负责网站信息内容、管理的考核与监督。在分公司统一信息平台未建立以前的过渡期，各部门按照分公司信息资源管理办法第8条的规定负责本部门网站的维护，在统一信息平台建立之后，信息发布单位按照信息资源分级管理规定进行信息内容的分级，保证信息的安全、准确和时效性。第二十条网站信息内容生命周期管理：提交对外网站发布的信息应由主管部门负责内容审查，并出具正式的审查、认可意见或签字，网站信息维护人员在确认主管部门已审查后方可在线发布。发布后应立即进行监视，保证发布内容没有被篡改，确认无误后必须填写信息7发布备忘录，保证信息发布过程的证据得到保护。第二十一条各级网站安全管理小组依据相应技术规范、规定程序，负责对网站安全管理工作进行检查；负责网站主机系统安全管理，制定并落实系统安全操作规程；负责系统日常安全管理和安全审计，对网站使用情况进行登记和监视；每月按信息系统管理部要求报送网站运行情况报表。第二十二条所有对外、内部网站主机系统必须安装必要的安全设备或软件，没有得到主管领导许可，任何人不得私自终止网站各类防护系统的运行。第二十三条对外网站须设立运行监控值班人员，监视信息内容的合法性、完整性、可用性和可靠性。每日填写系统运行记录，定期检查系统日志文件，对系统安全进行及时维护，对存在的安全缺陷和漏洞及时控制和消除，对发生的安全事件，按照相应的处置规程和应急计划进行处理。第二十四条定期检查网站相关备份和备用资源的可用性，保证在系统崩溃等特殊情况下，及时启动备份系统，保证将系统恢复至原始状态或正常状态。第二十五条制定设备、操作系统、数据库、应用系统、人员、服务、内外风险等变更控制计划，保证变更后的网站系统能满足既定服务要求和安全目标。8第二十六条各级信息管理部门的网络安全管理员，要参与网站安全性设计，并负责监督网站相关安全设备的维护，协助网站安全运行。第五章技术措施第二十七条为保证网站可靠、稳定、连续和高效运行以及信息内容的安全，各网站须有专用场地和设施，防止无关人员触及关键主机和系统管理员终端机器。第二十八条对外网站和内部网站都应按照安全的网络结构部署应用级防火墙、网络与主机入侵检测与防治系统，防止外部非授权用户入侵、修改和破坏网站系统，防止外部访问对内网的渗透。第二十九条使用网页监控与恢复技术措施、入侵检测、漏洞扫描、权限管理等技术措施，对网站服务器应用软件进行保护。第三十条总部或各单位重要的对外网站要建立双路由配置、负载均衡和异地镜像系统，保证网站信息服务的高可用性。第三十一条依据动态与静态备份相结合的原则，采用完全、增量、差分备份等策略，对重要网站所有的（包括台式机、服务器、独立存储设备内）信息数据进行及时备份；核心业务数据要采取软件数据备份和硬件容错双重措施，对关键业务处理设备，必须采用双机热备容错技术。9第三十二条内部网站含有大量生产、经营管理信息，必须与外部网站分开设置，严密隔离，严格访问控制。第三十三条加强对因特网访问的安全管理，严格设置访问控制规则，对含有非法、不健康信息及存在安全隐患的网站进行过滤。第六章人员安全要求第三十四条加强网站工作人员的思想政治教育，提高政治安全意识和认识水平。定期对网站有关工作人员进行安全应用技术培训，确保达到相应的资质要求，对列入关键岗位的人员要按照有关规定签订关键岗位安全管理协议。第三十五条根据最小特权原则，建立健全网站技术管理、信息管理的岗位责任制度和授权许可制度，明确有关人员安全职责和权限。第三十六条建立网站人员考核制度，定期从思想政治、业务水平、工作表现、安全意识等方面对有关人员进行考核。第三十七条关键岗位的工作人员（如网站系统管理员），一旦辞职或调离，应及时更换系统口令，采取注销有关账号、撤销其出入安全区域、接触敏感信息的权限等措施。网站考核10第七章附则第三十八条各单位可以根据本规定并结合实际，制定本单位网站信息安全管理实施细则。第三十九条本规定自发布之日起施行。由中国石油化工股份有限公司信息系统管理部负责解释。