XXXXXXXXXX集團(tuán)公司XXX分公司

聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全管理辦法（暫行）XXXXXXXXXX集團(tuán)公司XXX分公司2019年12月目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章總則 1\o"CurrentDocument"第二章組織機(jī)構(gòu)與工作職責(zé) 1\o"CurrentDocument"第三章系統(tǒng)建設(shè)安全管理 3\o"CurrentDocument"第四章并網(wǎng)接入安全管理 3\o"CurrentDocument"第五章運(yùn)行維護(hù)安全管理 4第六章數(shù)據(jù)安全和個(gè)人信息保護(hù) 6\o"CurrentDocument"第八章外包及第三方服務(wù)安全管理 7\o"CurrentDocument"第七章風(fēng)險(xiǎn)管控與預(yù)警響應(yīng) 9\o"CurrentDocument"第九章監(jiān)督檢查與責(zé)任追究 10\o"CurrentDocument"第十章保障措施 10\o"CurrentDocument"第十一章附則 11第一章總則第一條為加強(qiáng)XXXXXXXXXX集團(tuán)公司XXX分公司聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全管理，落實(shí)網(wǎng)絡(luò)安全管理責(zé)任，健全安全防范制度和安全運(yùn)行機(jī)制，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全基本技術(shù)要求》、《陜西省交通運(yùn)輸廳網(wǎng)絡(luò)安全管理辦法》、《陜西省高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全管理辦法（暫行）》、《XXXXXXXXXX集團(tuán)公司聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全管理辦法（暫行）》等有關(guān)法律、法規(guī)和信息網(wǎng)絡(luò)安全有關(guān)規(guī)定，結(jié)合本單位聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全管理實(shí)際情況，特制定本辦法。第二條聯(lián)網(wǎng)收費(fèi)系統(tǒng)是指開(kāi)展高速公路聯(lián)網(wǎng)收費(fèi)的計(jì)算機(jī)信息系統(tǒng)。主要包括聯(lián)網(wǎng)收費(fèi)省級(jí)清分結(jié)算管理系統(tǒng)（以下簡(jiǎn)稱(chēng)“省級(jí)聯(lián)網(wǎng)中心系統(tǒng)”）、路段分公司聯(lián)網(wǎng)收費(fèi)管理系統(tǒng)（以下簡(jiǎn)稱(chēng)“路段分公司系統(tǒng)”）、收費(fèi)站系統(tǒng)、ETC門(mén)架系統(tǒng)等。第三條XXXXXXXXXX集團(tuán)公司XXX分公司聯(lián)網(wǎng)收費(fèi)系統(tǒng)的安全管理，嚴(yán)格按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”和“屬地管理”的原則，實(shí)行分級(jí)管理和分工負(fù)責(zé)。第四條本辦法適用于XXXXXXXXXX集團(tuán)公司XXX分公司聯(lián)網(wǎng)收費(fèi)系統(tǒng)建設(shè)、運(yùn)行、使用及監(jiān)管等方面的安全管理。第二章組織機(jī)構(gòu)與工作職責(zé)第五條在XXX分公司設(shè)立聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全工作管理小組。由分管收費(fèi)業(yè)務(wù)的副經(jīng)理任組長(zhǎng)，收費(fèi)管理科科長(zhǎng)任副組長(zhǎng)，成員由收費(fèi)科全體成員、沿線(xiàn)各收費(fèi)站、隧道管理站、服務(wù)區(qū)負(fù)責(zé)人及機(jī)電管理員等相關(guān)人員組成，負(fù)責(zé)收費(fèi)管理小組日常工作。第六條聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全工作管理小組職責(zé)（一）依照交通集團(tuán)聯(lián)網(wǎng)收費(fèi)系統(tǒng)與收費(fèi)網(wǎng)絡(luò)安全相關(guān)制度規(guī)定，制定本單位聯(lián)網(wǎng)收費(fèi)系統(tǒng)及收費(fèi)網(wǎng)絡(luò)安全規(guī)章制度、操作流程，貫徹落實(shí)收費(fèi)管理分組有關(guān)工作要求、標(biāo)準(zhǔn)及技術(shù)規(guī)范。（二）具體負(fù)責(zé)本單位收費(fèi)、監(jiān)控、網(wǎng)絡(luò)通信系統(tǒng)安全的運(yùn)行工作，聯(lián)網(wǎng)收費(fèi)軟硬件系統(tǒng)的安全維護(hù)管理工作，確保設(shè)備及系統(tǒng)安全。（三）具體負(fù)責(zé)本單位收費(fèi)、監(jiān)控、網(wǎng)絡(luò)通信系統(tǒng)相關(guān)設(shè)備的規(guī)范性使用、規(guī)范性操作，對(duì)本路段的設(shè)備、系統(tǒng)接入及移動(dòng)存儲(chǔ)介質(zhì)使用進(jìn)行監(jiān)督檢查，確保安全。（四）具體負(fù)責(zé)本單位收費(fèi)、監(jiān)控、網(wǎng)絡(luò)通信系統(tǒng)安全監(jiān)測(cè)預(yù)警和應(yīng)急處置工作，負(fù)責(zé)收費(fèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警響應(yīng)和網(wǎng)絡(luò)安全事件應(yīng)急處置。（五）具體負(fù)責(zé)本單位機(jī)房環(huán)境安全管理，負(fù)責(zé)本單位收費(fèi)、監(jiān)控、網(wǎng)絡(luò)通信系統(tǒng)及各類(lèi)數(shù)據(jù)安全管理。（六）完成上級(jí)單位交辦的其他工作。第三章系統(tǒng)建設(shè)安全管理第七條聯(lián)網(wǎng)收費(fèi)系統(tǒng)建設(shè)要按照信息系統(tǒng)安全等級(jí)保護(hù)管理制度和標(biāo)準(zhǔn)規(guī)范要求，做好規(guī)劃設(shè)計(jì)、建設(shè)開(kāi)發(fā)、部署上線(xiàn)等環(huán)節(jié)的網(wǎng)絡(luò)安全加固工作，建立各環(huán)節(jié)的網(wǎng)絡(luò)安全責(zé)任制。第八條聯(lián)網(wǎng)收費(fèi)系統(tǒng)在建設(shè)、運(yùn)行、使用中，應(yīng)明確各參與方網(wǎng)絡(luò)安全工作責(zé)任，簽署相應(yīng)的安全責(zé)任承諾書(shū)，報(bào)收費(fèi)科管理備案。第九條聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全設(shè)備采購(gòu)，應(yīng)進(jìn)行全程監(jiān)督。安全設(shè)備和密碼產(chǎn)品的選購(gòu)，要符合國(guó)家及相關(guān)部門(mén)的規(guī)定。第十條聯(lián)網(wǎng)收費(fèi)系統(tǒng)驗(yàn)收時(shí)，應(yīng)按照有關(guān)要求，進(jìn)行安全狀況評(píng)估。安全狀況評(píng)估不合格的，設(shè)計(jì)、實(shí)施、設(shè)備資料及源代碼等未移交的，均不得通過(guò)驗(yàn)收。第四章并網(wǎng)接入安全管理第十一條新建、改造收費(fèi)系統(tǒng)并網(wǎng)接入聯(lián)網(wǎng)收費(fèi)系統(tǒng)時(shí)，需進(jìn)行并網(wǎng)接入網(wǎng)絡(luò)安全檢測(cè)，檢驗(yàn)系統(tǒng)網(wǎng)絡(luò)架構(gòu)、安全策略、設(shè)備設(shè)施等是否具備并網(wǎng)接入安全條件。第十二條新建、改造收費(fèi)系統(tǒng)主要是指：新建、改建的收費(fèi)站、ETC門(mén)架系統(tǒng)、路段分公司等需接入聯(lián)網(wǎng)收費(fèi)系統(tǒng)的設(shè)備設(shè)施。第十三條新建改造收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)當(dāng)符合集團(tuán)有關(guān)規(guī)范要求，并網(wǎng)接入網(wǎng)絡(luò)安全檢測(cè)應(yīng)由國(guó)家有關(guān)部門(mén)認(rèn)可的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)或信息安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)承擔(dān)。第十四條新建改造收費(fèi)系統(tǒng)入網(wǎng)前，分公司應(yīng)向集團(tuán)公司提交書(shū)面申請(qǐng)，并提供并網(wǎng)接入網(wǎng)絡(luò)安全監(jiān)測(cè)報(bào)告。第五章運(yùn)行維護(hù)安全管理第十五條分公司必須遵守國(guó)家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行陜西省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全管理規(guī)定及安全保密制度，不得從事危害國(guó)家公共安全、泄露國(guó)家秘密等違法犯罪活動(dòng)。第十六條聯(lián)網(wǎng)收費(fèi)設(shè)備未進(jìn)行安全配置、未啟用防火墻或殺毒軟件、未進(jìn)行安全測(cè)試的，不得入網(wǎng)。分公司及下屬站所每半個(gè)月對(duì)計(jì)算機(jī)系統(tǒng)、殺毒軟件等進(jìn)行升級(jí)和更新每月進(jìn)行一次病毒清查。禁止下載和使用未經(jīng)測(cè)試和來(lái)歷不明的軟件，禁止打開(kāi)來(lái)歷不明的電子郵件。第十七條加強(qiáng)人員錄用和離崗管理，對(duì)被錄用人員的身份、安全背景、專(zhuān)業(yè)資格或資質(zhì)等進(jìn)行審查，與關(guān)鍵崗位被錄用人員簽署保密協(xié)議和崗位責(zé)任協(xié)議。人員離崗時(shí)，應(yīng)及時(shí)終止其所有訪(fǎng)問(wèn)權(quán)限，辦理嚴(yán)格的調(diào)離手續(xù)，承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。第十八條健全機(jī)房運(yùn)維管理制度，分公司及沿線(xiàn)各站點(diǎn)機(jī)房由機(jī)電維護(hù)員負(fù)責(zé)機(jī)房安全，嚴(yán)格執(zhí)行機(jī)房出入安全管理，對(duì)進(jìn)出機(jī)房的訪(fǎng)客、維護(hù)人員及設(shè)備均實(shí)行嚴(yán)格的出入登記管理，每月對(duì)相關(guān)安全管理記錄進(jìn)行檢查，確保機(jī)房符合有關(guān)規(guī)定要求。第十九條禁止硬盤(pán)、光盤(pán)、U盤(pán)等各類(lèi)移動(dòng)存儲(chǔ)介質(zhì)在聯(lián)網(wǎng)收費(fèi)系統(tǒng)內(nèi)部終端上的使用。如因工作需要應(yīng)當(dāng)向本單位相關(guān)設(shè)備管理人員申請(qǐng)并登記，進(jìn)行內(nèi)容安全檢查及病毒掃描后方可接入內(nèi)網(wǎng)終端。對(duì)于高敏感度設(shè)備，可物理封閉數(shù)據(jù)接口，防止濫用。第二十條建立日常維護(hù)工作操作規(guī)程和巡檢流程，分公司及各站點(diǎn)由指定管理員對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全配置、日志審計(jì)等方面進(jìn)行管理。由于工作需要設(shè)置多名管理員時(shí)，需對(duì)各管理員權(quán)限進(jìn)行劃分，明確各人權(quán)限及責(zé)任，根據(jù)集團(tuán)統(tǒng)一安排定期開(kāi)展漏洞掃描、惡意代碼檢測(cè)等工作，并及時(shí)整改，有效處置安全風(fēng)險(xiǎn)隱患。第二十一條禁止未授權(quán)用戶(hù)私自接入聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)及訪(fǎng)問(wèn)網(wǎng)絡(luò)中的資源。任何單位或個(gè)人不得制造或者故意輸入傳播計(jì)算機(jī)病毒和其他有害數(shù)據(jù)，不得利用非法手段復(fù)制、截取、篡改聯(lián)網(wǎng)收費(fèi)系統(tǒng)中的數(shù)據(jù)。第二十二條加強(qiáng)對(duì)賬號(hào)密碼的管理。建立系統(tǒng)內(nèi)個(gè)設(shè)備密碼臺(tái)賬，由專(zhuān)人負(fù)責(zé)密碼臺(tái)賬日常管理及更新。收費(fèi)系統(tǒng)相關(guān)賬號(hào)使用用戶(hù)應(yīng)保管好個(gè)人賬號(hào)和密碼，嚴(yán)禁隨意向他人泄露、借用個(gè)人的賬號(hào)和密碼，由密碼臺(tái)賬管理人員統(tǒng)一負(fù)責(zé)，定期更改密碼，使用復(fù)雜密碼。第二十三條關(guān)鍵設(shè)備的系統(tǒng)運(yùn)行日志、網(wǎng)絡(luò)日志及安全事件信息，留存的相關(guān)日志不少于六個(gè)月，每月對(duì)日志進(jìn)行審計(jì)、分析。加強(qiáng)對(duì)運(yùn)維行為的日志留存審計(jì)，所有的變更性運(yùn)維、運(yùn)維工具的接入操作、遠(yuǎn)程運(yùn)維接入操作均應(yīng)保留不可更改的審計(jì)日志。第二十四條加強(qiáng)不同網(wǎng)絡(luò)區(qū)域間邊界安全防護(hù)，對(duì)網(wǎng)絡(luò)進(jìn)行分區(qū)域管理，必要時(shí)設(shè)置防火墻進(jìn)行隔離。在不同安全域間實(shí)施嚴(yán)格訪(fǎng)問(wèn)控制，訪(fǎng)問(wèn)控制策略應(yīng)遵循滿(mǎn)足授權(quán)用戶(hù)工作所需的最小權(quán)限原則，并對(duì)策略的有效性進(jìn)行定期評(píng)估，及時(shí)調(diào)整存在安全隱患的策略。笫二十五條任何組織或者個(gè)人不得從事下列危害聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全的行為：（一）非法攻擊、入侵其他單位或他人的計(jì)算機(jī)信息系統(tǒng)。（二）竊取或擅自使用、復(fù)制他人計(jì)算機(jī)信息系統(tǒng)資源。（三）故意干擾聯(lián)網(wǎng)收費(fèi)計(jì)算機(jī)信息系統(tǒng)功能，影響聯(lián)網(wǎng)收費(fèi)系統(tǒng)正常運(yùn)行。（四）其他危害聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全運(yùn)行的行為。第六章數(shù)據(jù)安全和個(gè)人信息保護(hù)第二十六條分公司及沿線(xiàn)各站點(diǎn)應(yīng)嚴(yán)格落實(shí)國(guó)家和行業(yè)對(duì)重要數(shù)據(jù)、個(gè)人信息保護(hù)的相關(guān)要求，明確數(shù)據(jù)收集、使用及數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行部門(mén)的責(zé)任，建立健全數(shù)據(jù)安全管理和個(gè)人信息保護(hù)制度，加強(qiáng)數(shù)據(jù)全生命周期保護(hù)，保障公民個(gè)人信息安全。第二十七條由分公司統(tǒng)一制定并執(zhí)行數(shù)據(jù)分類(lèi)分級(jí)保護(hù)策略，針對(duì)不同類(lèi)別級(jí)別的數(shù)據(jù)確定不同的安全保護(hù)措施明確數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限，建立數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理清單，提高數(shù)據(jù)管理和安全防護(hù)水平，確保數(shù)據(jù)的完整性、保密性和可用性。第二十八條收集、使用個(gè)人信息時(shí)應(yīng)遵循合法、正當(dāng)、必要的原則，建立收集明示機(jī)制，明確公開(kāi)收集、使用要求及自動(dòng)脫敏或去標(biāo)識(shí)的使用場(chǎng)景和業(yè)務(wù)處理流程。規(guī)范采集存儲(chǔ)、使用、銷(xiāo)毀等行為，嚴(yán)格限制對(duì)公民、法人和其他組織信息的收集規(guī)模，不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)規(guī)定和雙方約定收集、使用、處理其存儲(chǔ)的個(gè)人信息。采取個(gè)人信息去標(biāo)識(shí)化處理及存儲(chǔ)傳輸加密等安全措施，確保其收集、存儲(chǔ)的信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、篡改、丟失的情況時(shí)，應(yīng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)向集團(tuán)公司報(bào)告。第二十九條由分公司統(tǒng)一制定數(shù)據(jù)備份和恢復(fù)策略、備份程序和恢復(fù)程序，并定期檢查有效性，開(kāi)展恢復(fù)演練。第八章外包及第三方服務(wù)安全管理第三十條加強(qiáng)對(duì)系統(tǒng)參與建設(shè)單位、產(chǎn)品服務(wù)提供商、外部運(yùn)維單位（含駐場(chǎng)單位）及技術(shù)支撐單位等外包服務(wù)提供商和等級(jí)保護(hù)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等第三方檢測(cè)評(píng)估服務(wù)的安全管理，在合同及管理文件中明確相關(guān)網(wǎng)絡(luò)安全要求。第三十一條嚴(yán)格界定外包服務(wù)業(yè)務(wù)范圍和工作內(nèi)容，明確敏感信息訪(fǎng)問(wèn)、處理等所有相關(guān)的安全要求，簽訂保密協(xié)議，并對(duì)外包服務(wù)單位工作人員進(jìn)行必要的背景審查，關(guān)鍵崗位嚴(yán)禁由外包人員擔(dān)任。分公司開(kāi)展?jié)B透測(cè)試、攻擊性測(cè)試等網(wǎng)絡(luò)安全技術(shù)檢查工作應(yīng)選擇人員可靠、技術(shù)可控的單位或機(jī)構(gòu)，并經(jīng)本單位主管領(lǐng)導(dǎo)授權(quán)同意，確保安全可控。第三十二條對(duì)外部人員進(jìn)場(chǎng)開(kāi)展運(yùn)維和技術(shù)服務(wù)應(yīng)建立登記備案制度，通過(guò)專(zhuān)人全程陪同或者堡壘機(jī)等技術(shù)手段監(jiān)測(cè)操作行為，規(guī)范外包服務(wù)人員的終端接入，嚴(yán)禁非授權(quán)接入和操作，嚴(yán)禁復(fù)制和泄露任何敏感信息。第三十三條外包服務(wù)人員因履行服務(wù)內(nèi)容需要帶出的設(shè)備、資料和介質(zhì)均需事先審核批準(zhǔn)，并記錄帶出人、帶出時(shí)間、歸還時(shí)間和用途等。第三十四條外包服務(wù)人員對(duì)開(kāi)展工作所需的各類(lèi)賬戶(hù)須被服務(wù)單位提前申請(qǐng)并獲得批準(zhǔn)。各運(yùn)營(yíng)管理單位應(yīng)遵循“最小權(quán)限原則”合理分配外包服務(wù)人員操作權(quán)限，減小外包服務(wù)人員誤操作或?yàn)E用權(quán)限導(dǎo)致發(fā)生各種意外事件帶來(lái)的影響。第三十五條加強(qiáng)對(duì)外包服務(wù)人員變更管理，建立完善的變更流程。外包服務(wù)團(tuán)隊(duì)中人員若需變更，須向被服務(wù)單位申請(qǐng)并獲得批準(zhǔn)及備案。第三十六條外包服務(wù)項(xiàng)目結(jié)束時(shí)，歸還所有屬于運(yùn)行單位的設(shè)施設(shè)備，視具體情況凍結(jié)或刪除該服務(wù)項(xiàng)目所需的全部賬號(hào)，關(guān)閉所有本地或遠(yuǎn)程訪(fǎng)問(wèn)通道。第七章風(fēng)險(xiǎn)管控與預(yù)警響應(yīng)第三十七條加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力建設(shè)，實(shí)時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì)，完善網(wǎng)絡(luò)安全信息通報(bào)機(jī)制，加強(qiáng)信息收集、分析和共享，確保通報(bào)信息傳達(dá)到位，及時(shí)開(kāi)展通報(bào)預(yù)警風(fēng)險(xiǎn)核查處置，并按要求逐級(jí)反饋，不得瞞報(bào)、緩報(bào)、謊報(bào)、遲報(bào)和推諉責(zé)任。笫三十八條按照《XXXXXXXXXX集團(tuán)公司聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（暫行）》相關(guān)規(guī)定，明確網(wǎng)絡(luò)安全事件的分級(jí)分類(lèi)以及產(chǎn)生的影響，并根據(jù)不同安全事件制定不同的報(bào)告和響應(yīng)處置流程，確定事件響應(yīng)和處置的范圍、程度，以及處理方法。笫三十九條在安全事件報(bào)告和響應(yīng)處置過(guò)程中，應(yīng)分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處置過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，形成記錄文件。笫四十條每年組織一次網(wǎng)絡(luò)安全應(yīng)急演練，模擬處置影響較大的網(wǎng)絡(luò)安全事件，檢驗(yàn)預(yù)案的可執(zhí)行性，并形成應(yīng)急演練報(bào)告。笫四十一條網(wǎng)絡(luò)安全事件處置完成后，及時(shí)完成網(wǎng)絡(luò)安全時(shí)間調(diào)查和評(píng)估工作，對(duì)事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評(píng)估，提出處理意見(jiàn)和改進(jìn)措施。第九章監(jiān)督檢查與責(zé)任追究笫四十二條分公司定期組織開(kāi)展聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全自查工作，