网络信息安全责任书.docxVIP

网络信息安全责任书

为全面贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规要求，切实维护本单位网络空间安全，保障信息系统稳定运行，防范数据泄露、网络攻击等安全风险，明确网络信息安全责任主体与义务，现结合本单位实际业务场景与技术架构，制定本。本责任书适用于本单位（以下简称“甲方”）所有在职员工、劳务派遣人员、外包服务人员及其他因工作需要接入本单位网络或使用信息系统的相关人员（以下简称“乙方”）。

一、责任主体与适用范围

乙方作为网络信息安全直接责任主体，需严格遵守国家法律法规、行业监管要求及甲方内部管理制度，履行网络信息安全保护义务。具体责任主体包括但不限于：

1.各部门负责人：对本部门所管理信息系统、数据资源及人员操作行为的安全负领导责任，需统筹协调部门内网络信息安全工作，确保本部门业务开展与安全要求同步推进。

2.关键岗位人员：包括网络管理员、系统运维工程师、数据管理员、软件开发人员等，对其职责范围内的网络设备、信息系统、数据存储与传输环节负直接管理责任，需严格执行安全操作规范，定期检查设备与系统运行状态。

3.全体在职人员：包括非技术岗位员工，对其使用的办公终端、业务系统账号及访问的数据负个人使用责任，需遵守账号安全管理规定，禁止泄露个人账号信息或越权访问未授权数据。

4.外包服务人员：包括第三方技术服务提供商、合作单位驻场人员等，对其在甲方授权范围内使用网络资源、接触业务数据的行为负连带安全责任，需签署《外包服务安全协议》并接受甲方安全监管。

二、网络信息安全核心责任内容

（一）法律法规与制度遵守义务

乙方需全面学习并严格执行以下规定：

1.国家层面：《网络安全法》要求的“网络运营者需履行网络安全保护义务，采取技术措施和其他必要措施，保障网络安全、稳定运行”；《数据安全法》规定的“数据处理者需建立健全数据安全管理制度，采取相应技术措施和其他必要措施，保障数据安全”；《个人信息保护法》强调的“处理个人信息应当遵循合法、正当、必要和诚信原则，最小化收集个人信息”等要求。

2.行业监管层面：若甲方属于关键信息基础设施运营者（如金融、能源、通信等行业），乙方需额外遵守《关键信息基础设施安全保护条例》中关于“制定网络安全保护计划，建立健全网络安全保护制度，设置专门安全管理机构”的规定。

3.甲方内部制度：包括但不限于《网络安全管理制度》《数据分类分级管理办法》《信息系统访问控制规程》《终端设备安全管理规范》《网络安全事件应急响应预案》等，乙方需熟悉并严格执行各项制度中的具体操作要求。

（二）数据安全管理责任

1.数据分类分级：乙方需配合甲方完成数据分类分级工作。根据数据敏感程度与影响范围，将数据划分为“核心数据”（如用户金融信息、企业核心技术参数）、“重要数据”（如客户联系方式、业务合同关键条款）、“一般数据”（如公开宣传资料）三级。不同级别数据需采取差异化保护措施：

-核心数据：仅限经审批的特定人员访问，存储时需采用AES-256加密算法，传输时需通过TLS1.3协议加密，访问记录需留存至数据失效后5年。

-重要数据：访问需经部门负责人审批，存储时需进行去标识化处理（如对身份证号进行部分脱敏），传输时需通过VPN通道，访问记录留存至数据失效后3年。

-一般数据：开放给授权范围内人员访问，存储时需进行基础校验（如防篡改哈希值验证），传输时需通过内部专用网络，访问记录留存至数据失效后1年。

2.数据操作规范：乙方在处理数据时需严格遵循“最小必要”原则，仅收集、使用与业务目标直接相关的数据；禁止私自复制、下载、传输超出职责范围的数据；若因工作需要导出数据，需填写《数据导出审批表》，注明数据用途、接收方、使用期限，经部门负责人与信息安全部双重审批后方可执行，且导出数据需在使用完毕后24小时内删除或归还。

3.数据共享与出境：涉及向第三方共享数据时，乙方需提前核查接收方的安全资质，签署《数据共享安全协议》，明确数据使用范围与安全责任；若数据需出境（含传输至境外服务器或境外关联公司），需按照《数据出境安全评估办法》要求，经甲方信息安全部组织安全评估并通过国家相关部门审批后，方可实施。

（三）信息系统与网络设备安全责任

1.访问控制管理：乙方需妥善保管个人账号与密码，密码需满足“8位以上、包含大小写字母+数字+特殊符号”的复杂度要求，每90天需更换一次；禁止将账号密码告知他人或使用公共设备登录敏感系统；对于权限较高的账号（如管理员账号），需启用多因素认证（MFA），即“密码+动态验证码/硬件令牌”双重验证。

2.