中国铁路总公司网络安全管理办法 TG

TG/XX202-2015中国铁路总公司网络安全管理办法第一章总则第一条为规范网络安全管理工作，促进网络安全管理规范化、系统化、科学化，全面提高铁路网络安全管理水平，依据国家有关法律法规和网络安全有关要求，制定本办法。第二条本办法适用于中国铁路总公司（以下简称总公司）及所属各单位、各铁路公司不涉及国家秘密的信息系统及控制系统（以下统称信息系统）网络安全管理工作。第三条本办法所称网络是指由计算机或其他信息终端及相关设备组成的，按照一定规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。本办法所称网络安全是指通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。第四条总公司网络安全工作坚持“安全第一、预防为主、主动防御、综合防范、分级保护、管理与技术并重”的原则。第二章目标和措施第五条总公司网络安全工作目标是通过保障信息系统正常运行，保证业务应用连续性和安全性，保证数据和信息的完整性、-1-保密性、可用性，支撑总公司业务发展。第六条建立网络安全保障体系，包括管理保障体系、技术保障体系和运维保障体系。管理保障体系包括信息安全组织、信息安全规章制度、信息安全工作流程等。技术保障体系包括应用安全架构、安全服务架构、基础设施安全架构等。运维保障体系包括运行管理、安全监控、事件管理、变更管理等。第七条全面推行网络安全风险管理。通过增强安全风险意识、识别安全风险、完善风险管控流程、强化风险应急处置，提高网络安全风险防控能力。第八条实行网络安全等级保护制度。按照集中指导、属地管理原则，在总公司统一指导下，各单位分别组织开展信息系统定级、备案、测评、整改工作。第九条网络安全防护措施应与系统同步规划、同步建设、同步使用。第三章管理职责第十条总公司信息化领导小组统一领导网络安全工作，负责贯彻落实中央和国家网络安全有关法规与政策，对总公司网络安全重大事项作出决策。第十一条总公司运输局（信息化部）按照总公司信息化领导小组工作要求，负责总公司网络安全管理工作，提出网络安全规划建议，拟订网络安全工作计划，监督工作计划落实情况；组织拟订总公司网络安全规章制度和标准规范，并监督落实；组织开-2-展网络安全等级保护工作；组织建立网络安全保障体系，并推广应用；组织开展总公司网络安全检查工作；负责总公司网络安全信息通报工作。第十二条总公司各业务部门按照总公司网络安全管理要求，负责做好本专业网络安全管理工作。提出本专业网络安全年度工作计划并组织落实；组织开展本专业网络安全检查，及时整改发现问题；组织开展本专业网络安全等级保护定级、备案、测评、整改工作；对本专业网络安全工作进行监督、检查、指导。第十三条中国铁路信息技术中心协助总公司开展网络安全保障体系建设工作，配合开展网络安全检查工作。负责所维护系统的安全保障工作，实施安全监控、风险评估、安全检查、事件响应、故障处置等日常维护工作；协助开展网络安全等级保护定级、备案、测评、整改工作。第十四条中国铁道科学研究院协助总公司开展网络安全技术、标准、规范研究，收集分析国内外信息安全动态；配合开展网络安全检查、检测以及安全评估工作；参与铁路网络安全测评和等级保护测评工作。第十五条总公司所属单位、各铁路公司负责本单位网络安全管理工作。依据本办法和有关规定，制定本单位网络安全工作实施办法，明确网络安全工作管理机构和岗位，落实网络安全工作责任和经费投入，组织开展本单位网络安全有关工作。第四章建设安全管理-3-第十六条信息系统工程建设前期立项阶段，应在系统总体方案中同步制定安全方案，明确安全需求，落实安全建设投资。新研发信息系统应在系统总体方案中确定等保级别。信息系统定级情况应及时向系统所在地铁路公安机关备案。第十七条网络安全建设应以实现安全可控为目标，积极稳妥地推进信息技术产品国产化应用。加强软件正版化工作，坚持使用正版软件。第十八条软件开发应符合国家有关安全编码规范。建立配置管理机制，将程序源代码及有关技术文档纳入配置管理，严格控制信息系统有关变更。第十九条加强对信息系统在咨询、研发、施工、技术支持等过程中的安全管理，保护知识产权，防范信息泄露。第二十条信息系统开发、测试和生产环境应独立设置。应用系统软件修改调试应在开发环境中进行。重要信息系统开发结束后，应用软件须通过安全测试，并及时关闭开发测评环境，确保测试环境、测试数据安全。第二十一条信息系统正式上线前，应由建设单位组织对安全设备和功能进行验收，对信息系统整体安全状况进行检测和评估。其中与互联网连接的信息系统，应由建设单位组织信息安全专业测评机构，对信息系统整体安全状况进行安全测评。检测评估材料及测评报告应作为验收文件的组成部分。安全测评费用纳入建设项目预算。-4-第五章运维安全管理第二十二条各级信息技术运维单位应建立健全信息机房安全管理制度，落实管理职责，明确管理流程，规范人员进出，保障设施安全。第二十三条根据系统性质、应用功能和设备特性设立物理安全保护区域，按区域部署预防控制措施，满足不同强度的信息系统安全需求。重要保护区域应设置过渡区域，重要设备或主要部件应设置明显标识。第二十四条应坚持信息系统设备设施物理移动管控措施，以保证系统的可用性和完整性。对送修或报废的信息系统设备应采取必要的安全处置措施，防止信息资产丢失、损坏和失窃。第二十五条依据业务需求、系统功能及等保级别划分信息系统安全域。在各安全域之间及网络边界，采取访问控制措施，部署监控手段，保障网络安全。第二十六条加强变更管理。建立变更控制流程，对网络结构、访问控制策略、安全配置等变更，以及软件升级、补丁修复、系统上线等可能影响既有运行环境的活动，实施变更控制与授权管理。第二十七条加强网络安全事件管理。应对包括有害程序、网络攻击、信息保护、信息内容安全、设备设施故障、自然灾害等在内的各类安全事件进行监测。规范事件响应、处理流程，明确-5-事件升级策略，提高事件处理效率。各单位信息化管理部门负责网络安全事件调查处理工作，对涉及违反法律法规的网络安全事件，应及时通报所在地铁路公安机关介入调查。第二十八条各级信息化管理部门牵头组织，信息系统业务部门具体负责，定期或按照总公司安排，对信息系统进行安全检查、风险评估及安全测评，分析隐患、识别风险，对系统进行整改完善。根据信息系统重要性、遭遇风险时受影响和损失的程度，制定信息系统应急预案，定期开展应急演练，不断完善应急预案。第二十九条建立网络安全审计机制，记录操作行为，保存异常状态信息，保证网络安全事件可回溯、可追踪。第三十条等级保护四级（含）以上信息系统每两年开展一次等保测评，期间应每年开展安全自评估，如系统与互联网有信息交换，应每年开展一次等保测评；等级保护三级（含）以下信息系统每三年开展一次等保测评，期间应每年开展安全自评估，如系统与互联网有信息交换，应每年开展一次等保测评；首次等保测评应在系统上线后一年内进行。当信息系统结构、功能、主要配置发生变更时，应立即组织风险评估，必要时重新进行等保测评，或重新组织定级和等保测评。信息系统测评费用纳入单位年度经费预算。第六章访问授权管理第三十一条业务部门依据业务安全需求，确定信息系统用户使用范围和访问权限，并通过用户管理与访问控制系统进行授权，-6-防止越权访问，保证业务应用安全。第三十二条各级信息技术运维单位负责建立用户管理与访问授权平台，制定信息系统及其设备设施访问控制策略，严格控制对信息系统及其设备设施的访问，保证信息系统及设备设施访问安全。第三十三条应在内部服务网、外部服务网建立专用的安全接入区，部署安全管控设备，提供认证、授权服务，对外部单位、外部人员、远程维护人员确定访问信息系统和有关数据权限。访问过程须保留日志。第七章数据安全管理第三十四条各单位应建立信息系统数据安全管理制度，规范数据采集、传输、交换、存储、备份、恢复和销毁等活动管理。严格数据访问权限分配与回收管理。数据访问须经业务部门和信息化管理部门授权批准。数据访问过程须保存完整记录。第三十五条建立数据和信息保密制度，严禁向无关人员泄露业务数据和信息。商业秘密、工作秘密或其他重要信息应进行加密处理，确保其在传输、处理、存储过程中不被泄露或篡改。公民个人电子信息安全管理，按国家及总公司有关规定执行。第三十六条建立外部单位信息传输机制，保证总公司与外部单位数据交换安全可控，确保数据安全。第三十七条加强数据高可用性管理。建立本地数据备份机制，有条件的，应建立磁带备份机制。加强存储介质管理，定期检查-7-所存储信息的完整性和可用性。重要数据备份介质应异地存放。第三十八条按照国家信息系统灾难恢复管理有关要求、技术标准和规范，结合业务需求，建立信息系统备份与灾难恢复机制，保障数据安全和业务连续性。第八章终端安全管理第三十九条建立统一的终端安全防护系统，规范终端安全配置，监控终端安全状态，控制用户终端接入，规范用户操作行为，保障终端使用安全。第四十条按照批准的用途使用终端设备。终端设备用途变更或维修时，应确保设备原存储或承载的信息经过妥善处理或移除。第四十一条规范移动介质安全管理，严格落实相关制度规定，控制移动介质接入行为，明确接入方式和访问控制措施。第四十二条建立统一的终端补丁分发和恶意代码防范机制，定期实施补丁、恶意代码特征库升级与分发。第四十三条禁止自有终端设备接入铁路信息网络，禁止终端设备“一机两网”。第九章信息资产安全管理第四十四条识别信息系统硬件资产、软件资产和数据资产，制定统一的信息资产分级分类标准与标识方法。规范信息资产分配、使用、维护、报废和销毁等管理流程。建立并及时更新、定期检查信息资产台账，实行信息资产全生命周期管理。-8-第四十五条对数据资产实施分级分类保护，设置安全标记，采取相应防护措施，防止数据泄露、篡改、损坏及未经授权访问。第十章人员安全管理第四十六条明确员工岗位网络安全要求，签订《岗位网络安全与保密协议》。定期对员工进行安全培训和技能考核。第四十七条根据信息系统运行维护实际情况，设置安全管理员、安全审计员和系统管理员岗位，分别设定访问权限，实现岗位操作互控。第四十八条员工岗位发生变更时，应及时调整其对相关信息系统资源的访问权限；对离岗、离职或退休人员应终止其对相关信息系统资源的访问权限，及时修改有关密码，并明确后续保密要求。第四十九条信息系统建设、运行维护、使用过程中涉及外部服务人员时，应根据其所接触、获取信息系统资源情况，签订《信息安全与保密协议》。第五十条严格管理外部人员进入要害部位，对外部访问人员实行专人全程监督，并登记备案。第十一章网络安全信息通报第五十一条建立网络安全信息通报制度。各单位、部门应指定专人负责通报工作，及时报告网络安全事件及工作情况，发挥通报机制预警作用。第五十二条通报内容应包括网络安全动态、安全重点工作、-9-安全事件等。第五十三条通报分为月报和年报，由信息化管理部门负责编辑。月报每月25日前、年报每年1月15日前，各单位和部门应将有关信息报信息化管理部门。重大网络安全事件应随时通报、逐级上报。第十二章检查与考核第五十四条各单位应定期组织开展网络安全检查，对检查发现的问题，应制定整改措施，并组织落实。第五十五条各单位信息化管理部门应加强网络安全工作督查，对存在网络安全隐患的责任单位或部门，发出整改通知书，督促问题整改。第五十六条各单位应将网络安全管理工作纳入考核评价体系，定期对本单位网络安全管理工作进行考核评价，对工作突出的部门和个人可按有关规定进行表彰，对违反网络安全管理规定，造成损失和不良影响的，应追究相关责任人的责任。发生重大信息安全事件，且造成严重社会负面影响，纳入企业经营业绩考核。涉嫌犯罪的，依法追究法律责任。第十三章附则第五十七条本办法由中国铁路总公司运输局负责解释。第五十八条本办法自2016年2月1日起施行。-10-