中国铁路总公司网络安全管理办法(TGXX202-2015).pdfVIP

TG/XX202-2015 中国铁路总公司网络安全管理办法 第一章 总 则 第一条 为规范网络安全管理工作，促进网络安全管理规范化、 系统化、科学化，全面提高铁路网络安全管理水平，依据国家有 关法律法规和网络安全有关要求，制定本办法。 第二条 本办法适用于中国铁路总公司（以下简称总公司）及 所属各单位、各铁路公司不涉及国家秘密的信息系统及控制系统 （以下统称信息系统）网络安全管理工作。 第三条 本办法所称网络是指由计算机或其他信息终端及相关 设备组成的，按照一定规则和程序对信息进行收集、存储、传输、 交换、处理的网络和系统。 本办法所称网络安全是指通过采取必要措施，防范对网络的 攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完 整性、保密性、可用性的能力。 第四条 总公司网络安全工作坚持“安全第一、预防为主、主 动防御、综合防范、分级保护、管理与技术并重”的原则。 第二章 目标和措施 第五条 总公司网络安全工作目标是通过保障信息系统正常运 行，保证业务应用连续性和安全性，保证数据和信息的完整性、 - 1 - 保密性、可用性，支撑总公司业务发展。 第六条 建立网络安全保障体系，包括管理保障体系、技术保 障体系和运维保障体系。管理保障体系包括信息安全组织、信息 安全规章制度、信息安全工作流程等。技术保障体系包括应用安 全架构、安全服务架构、基础设施安全架构等。运维保障体系包 括运行管理、安全监控、事件管理、变更管理等。 第七条 全面推行网络安全风险管理。通过增强安全风险意识、 识别安全风险、完善风险管控流程、强化风险应急处置，提高网 络安全风险防控能力。 第八条 实行网络安全等级保护制度。按照集中指导、属地管 理原则，在总公司统一指导下，各单位分别组织开展信息系统定 级、备案、测评、整改工作。 第九条 网络安全防护措施应与系统同步规划、同步建设、同 步使用。 第三章 管理职责 第十条 总公司信息化领导小组统一领导网络安全工作，负 责贯彻落实中央和国家网络安全有关法规与政策，对总公司网络 安全重大事项作出决策。 第十一条 总公司运输局 （信息化部）按照总公司信息化领导 小组工作要求，负责总公司网络安全管理工作，提出网络安全规 划建议，拟订网络安全工作计划，监督工作计划落实情况；组织 拟订总公司网络安全规章制度和标准规范，并监督落实；组织开 - 2 - 展网络安全等级保护工作；组织建立网络安全保障体系，并推广 应用；组织开展总公司网络安全检查工作；负责总公司网络安全 信息通报工作。 第十二条 总公司各业务部门按照总公司网络安全管理要求， 负责做好本专业网络安全管理工作。提出本专业网络安全年度工 作计划并组织落实；组织开展本专业网络安全检查，及时整改发 现问题；组织开展本专业网络安全等级保护定级、备案、测评、 整改工作；对本专业网络安全工作进行监督、检查、指导。 第十三条 中国铁路信息技术中心协助总公司开展网络安全保 障体系建设工作，配合开展网络安全检查工作。负责所维护系统 的安全保障工作，实施安全监控、风险评估、安全检查、事件响 应、故障处置等日常维护工作；协助开展网络安全等级保护定级、 备案、测评、整改工作。 第十四条 中国铁道科学研究院协助总公司开展网络安全技 术、标准、规范研究，收集分析国内外信息安全动态；配合开展 网络安全检查、检测以及安全评估工作；参与铁路网络安全测评 和等级保护测评工作。 第十五条 总公司所属单位、各铁路公司负责本单位网络安全 管理工作。依据本办法和有关规定，制定本单位网络安全工作实 施办法，明确网络安全工作管理机构和岗位，落实网络安全工作 责任和经费投入，组织开展本单位网络安全有关工作。 第四章 建设安全管理 - 3 - 第十六条 信息系统工程建设前期立项阶段，