鹤煤〔2021〕210号-关于印发《鹤煤公司信息和网络安全管理办法（试行）》的通知(1).docxVIP

—PAGE4—

鹤壁煤业（集团）有限责任公司文件

鹤煤〔2021〕210号

关于印发《鹤煤公司信息和网络安全管理办法（试行）》的通知

公司所属各单位、机关各部室：

《鹤煤公司信息和网络安全管理办法（试行）》已经公司研究同意，现予以印发，请认真贯彻执行。

2021年6月24日

鹤煤公司信息和网络安全管理办法

（试行）

第一章总则

第一条为提高鹤煤公司网络安全管理，确保信息系统安全可靠持续运行，积极构建网络信息安全管理体系，提高网络信息安全工作快速、科学、有序、安全推进，根据《网络安全法》、《数据安全法》等法律法规和《网络安全等级保护基本要求》、《河南能源集团网络信息安全管理办法（试行）》、等技术规范要求特制定本办法。

第二条本办法所称网络信息安全主要指：网络安全、环境安全、应用系统安全、数据安全、终端安全、操作安全、网络信息发布安全以及移动信息安全等。

第三条本办法适用于鹤煤公司所属各单位。

第二章总体方针、目标和原则

第四条坚持“安全第一、预防为主，管理和技术并重，综合防范”的总体方针，实现网络信息安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略，执行网络安全等级保护制度。

第五条网络信息安全总体目标是：以等保2.0三级为目标，构建从集团、鹤煤公司、矿厂“三纵”和覆盖工控安全、办公安全“两横”的动态分析、预警报警联动的全过程自动化人防、技防体系。

第六条网络信息安全管理基本原则是：分级保护、突出重点，积极防御、综合防护，依法保护、形成合力。

第七条网络信息安全事件处置原则是：先停服断网隔离、再汇报处置恢复，及时有效控制影响范围和危害程度。

第二章管理部门及职责

第八条按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”的原则，明确主体责任，把工作落实到具体岗位和个人。公司所属各单位要理顺管理体制，明确本单位网络安全管理机构，配备技术人员，保障网络的正常运行。

鹤煤公司成立网络安全领导小组

组长董事长、总经理

副组长分管信息化工作副总经理

第一节公司信息中心职责

第九条公司信息中心为公司网络安全的建设、运维管理部门，制定公司网络安全系统相关建设标准，负责公司态势感知平台的运维，负责监控并督促各单位对安全隐患的处置工作，每月对各单位的网络安全事件处置进行考核。

第十条信息中心建立鹤煤公司网络安全联络机制。

第十一条信息中心负责各单位信息和网络安全技术人员的技术指导和培训工作。

第十二条信息中心负责公司到各单位的骨干传输网络建设和维护管理。

第十三条信息中心督促、指导各单位处置安全事件，每月根据日报表对各单位进行评分考核，结果上报公司经济运行部。

第十四条信息中心每季度对各单位进行一次网络安全巡查，发现安全隐患，下达整改通知单督促整改落实，对整改情况纳入考核。

第二节各单位网络安全管理职责

第十五条单位负责人是本单位网络安全的第一责任人，信息化分管领导是网络安全直接责任人。

第十六条网络安全直接责任人要对网络安全报表进行认真审阅，对出现重大网络安全事件安排组织人员分析原因，制订防范措施。

第十七条各单位应设置信息和网络安全管理机构、配备信息和网络安全专业技术人员。

第十八条各单位信息和网络安全管理部门主要职责：

1.根据集团、公司网络安全建设标准，在公司的指导下保障本单位信息和网络安全。

2.制定符合本单位实际情况的信息和网络安全的运维管理制度。

3.负责本单位信息和网络安全的技术保障工作，积极处置网络安全态势感知平台预警的安全事件。

4.负责本单位网络安全系统软硬件设备的日常维护管理。

第十九条各单位作为本单位信息和网络安全的主体责任部门，负责本单位信息和网络安全工作。

第三章运维管理

第二十条各单位根据实际情况制定值班制度，建立24小时应急联络机制，报送公司信息中心备案。

第二十一条各单位信息和网络安全值班人员要及时关注态势感知平台预警，发现网络安全事件及时处置。

第二十二条各单位应对服务器上的应用、服务、端口以及系统补丁等进行检查，卸载和关闭不必要的应用、服务、端口，开启系统安全防火墙，安装杀毒软件。服务器不允许私自连接外接设备，如确有需要，应由管理员对外接设备进行病毒查杀后方可连接，连接记录应造册登记备案。

第二十三条各单位要绘制本单位网络拓扑图，网络结构变更需及时在网络拓扑图上同步更新，网络拓扑图应包含办公网络、各种监控网络以及工业控制网络等，且需要体现网络之间的逻辑关系及网络边界的防护设备。

第二十四条各单位建立并不断完善工业网、办公网服务器、上网终端的mac地址档案、便于发现问题第一时间定位并处置。

第二十五条严禁弄虚作假，禁止仅在态势感