网络与信息安全责任书.docxVIP

网络与信息安全责任书

为全面落实网络与信息安全主体责任，强化网络与信息安全管理，防范网络安全风险，保障信息系统稳定运行和数据安全，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规及相关行业规范要求，本单位（以下简称“甲方”）与所属各部门、分支机构及全体员工（以下简称“乙方”）就网络与信息安全责任事项达成如下约定：

一、责任主体与适用范围

本责任书适用于甲方范围内所有涉及网络使用、信息系统操作、数据处理的部门、岗位及人员，包括但不限于信息系统运维人员、数据管理人员、业务系统操作人员、第三方服务供应商派驻人员等。乙方作为网络与信息安全直接责任主体，需严格履行本责任书规定的各项义务；甲方作为管理主体，负责制定网络与信息安全管理制度、监督责任落实、组织安全培训及应急处置等工作。

二、网络与信息安全责任内容

（一）基础环境安全责任

乙方须严格保护网络与信息系统的物理环境安全，确保机房、服务器、网络设备等基础设施处于可控状态。具体要求包括：

1.机房及设备间须落实门禁管理，未经授权人员不得进入；进入人员需登记身份信息、访问时间及事由，记录保存期限不少于6个月。

2.网络设备（如交换机、路由器、防火墙）、服务器、存储设备等须设置物理锁具，重要设备需部署视频监控，监控录像保存期限不少于30天。

3.设备供电系统须配置不间断电源（UPS），关键设备需采用双路供电；消防设施须定期检查，确保灭火装置、烟雾报警器、温湿度传感器等正常运行，相关检查记录需留存备查。

（二）网络系统安全责任

乙方须保障网络架构安全，防范网络攻击、非法接入及数据泄露风险。具体要求包括：

1.网络拓扑结构须遵循最小化暴露原则，核心业务系统与互联网接口需通过防火墙、入侵检测系统（IDS）或入侵防御系统（IPS）进行隔离，外部访问需实行严格的身份认证与访问控制（如多因素认证）。

2.网络设备须关闭非必要服务与端口，默认账户需修改初始密码，管理员密码长度不少于12位，包含字母、数字及特殊符号，每90天至少更换一次；密码不得以明文形式存储或传输。

3.无线网络（Wi-Fi）须采用WPA3协议加密，禁止开放无密码接入；访客网络与内部办公网络须逻辑隔离，访客账号需通过审批流程分配，使用完毕后及时注销。

（三）信息系统安全责任

乙方须确保信息系统（含自研系统、外购系统、云服务系统）的开发、部署、运维全生命周期符合安全规范。具体要求包括：

1.系统开发阶段需进行安全需求分析，嵌入安全编码规范（如OWASPTop10防护措施），代码提交前须通过静态代码扫描工具检测，漏洞修复率需达到100%；系统上线前须开展渗透测试与安全评估，评估报告需经甲方安全管理部门审核通过。

2.系统部署阶段需划分安全域，根据业务敏感程度设置不同安全级别（如公共服务域、内部办公域、核心数据域），域间访问需通过访问控制列表（ACL）或安全网关进行管控；生产环境与测试环境须物理隔离，测试数据不得包含真实用户信息。

3.系统运维阶段需建立账号权限最小化原则，管理员账号实行“双人管理”（即操作与审批分离），普通用户账号权限根据岗位职责动态调整，离职人员账号须在24小时内注销；系统日志（含登录日志、操作日志、错误日志）须完整记录，保存期限不少于6个月，关键系统日志保存期限不少于1年。

（四）数据安全责任

乙方须严格保护数据资产安全，涵盖数据采集、存储、传输、使用、共享、销毁全流程。具体要求包括：

1.数据采集环节需遵循“最小必要”原则，仅收集与业务直接相关的信息，个人信息采集需取得用户明确授权，授权文件需留存备查；涉及敏感数据（如身份证号、银行账号、生物识别信息）的采集，需额外标注并采取加密措施。

2.数据存储环节需对敏感数据进行加密（如AES-256加密算法），存储介质（如硬盘、数据库）须设置访问控制，禁止非授权人员读取或修改；数据库须开启审计功能，记录所有数据查询、修改、删除操作，审计日志与数据本身分域存储。

3.数据传输环节需通过安全通道（如HTTPS、SSLVPN）进行，跨公网传输敏感数据时需采用端到端加密；文件传输需使用安全工具（如SFTP、加密邮件），禁止通过普通即时通讯工具（如QQ、微信）传输敏感数据。

4.数据使用环节需建立审批流程，涉及跨部门、跨系统调用数据时，需填写《数据使用申请表》，注明使用目的、范围及期限，经部门负责人与安全管理部门双重审批后方可执行；数据导出需限制格式（如禁止导出原始数据库文件），导出介质（如U盘、移动硬盘）须登记备案，使用完毕后及时销毁。

5.数据共享环节禁止