1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 建筑/施工
  5. 安全文明施工

城市轨道交通信息安全管理办法.docxVIP

城市轨道交通信息安全管理办法.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    城市轨道交通信息安全管理办法

    第一章总则

    第一条目的与依据

    为规范城市轨道交通信息安全管理,保障城市轨道交通信息系统安全稳定运行,保护乘客及相关方合法权益,维护公共安全和社会秩序,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等相关法律法规,结合城市轨道交通行业特点,制定本办法。

    第二条适用范围

    本办法适用于中华人民共和国境内城市轨道交通运营单位(以下简称“运营单位”)的信息安全管理工作。城市轨道交通建设单位、设计单位、施工单位、监理单位及其他相关服务提供商在提供与信息系统相关的产品或服务时,应遵守本办法的相关要求。

    第三条基本原则

    城市轨道交通信息安全管理应遵循“安全第一、预防为主、综合治理”的方针,坚持以下原则:

    (一)谁主管谁负责,谁运营谁负责:明确各单位信息安全主体责任,将责任落实到具体部门和个人。

    (二)同步规划、同步建设、同步运行:信息安全设施应与信息系统同步规划、同步设计、同步建设、同步验收、同步投入使用。

    (三)分级分类,重点保护:根据信息系统的重要程度、数据敏感性及面临的安全风险,实施分级分类管理和重点保护。

    (四)技术与管理并重:综合运用技术手段和管理措施,构建人防、技防、物防相结合的信息安全保障体系。

    (五)持续改进,动态调整:根据信息安全形势变化和技术发展,定期评估信息安全状况,持续优化安全策略和措施。

    第二章组织与人员保障

    第四条组织领导

    运营单位应建立健全信息安全管理组织体系,明确一名单位领导分管信息安全工作,设立或指定专门的信息安全管理部门,配备足够数量的专职信息安全管理人员,负责统筹协调本单位的信息安全工作。

    第五条岗位职责

    运营单位应明确各部门、各岗位的信息安全职责,建立岗位责任制。关键岗位人员应签订信息安全责任书,明确其在信息安全方面的权利、义务和责任。

    第六条人员管理

    (一)人员录用:对从事信息系统开发、运维、管理等关键岗位的人员,应进行背景审查,确保其符合岗位要求。

    (二)教育培训:定期组织信息安全培训和考核,提高全员信息安全意识和技能。关键岗位人员应具备相应的专业知识和技能,并按规定参加继续教育。

    (三)离岗离职:人员离岗离职时,应及时收回其掌握的系统账号、密钥、权限及相关纸质和电子资料,并办理严格的交接手续,进行安全保密教育。

    (四)人员考核:将信息安全工作纳入员工绩效考核体系,对在信息安全工作中做出突出贡献的单位和个人给予表彰奖励,对违反信息安全管理规定的行为进行责任追究。

    第三章制度规范建设

    第七条制度体系

    运营单位应建立健全覆盖信息安全管理各环节的制度体系,至少包括:

    (一)信息安全总体策略和管理制度;

    (二)网络安全管理制度;

    (三)系统安全管理制度(含操作系统、数据库系统、中间件等);

    (四)应用系统安全管理制度;

    (五)数据安全与个人信息保护管理制度;

    (六)终端安全管理制度;

    (七)密钥与密码设备管理制度;

    (八)安全事件应急处置预案及管理制度;

    (九)供应商安全管理制度;

    (十)安全审计与检查制度。

    第八条制度管理

    运营单位应定期对信息安全制度进行评审和修订,确保制度的适用性、有效性和合规性。制度修订后应及时发布并组织宣贯。

    第四章网络与信息系统安全管理

    第九条网络架构安全

    (一)网络分区:按照业务功能和安全等级,对网络进行逻辑分区和物理隔离,严格控制区域间的访问。生产控制网、业务管理网、办公网等应实施有效隔离,确保生产控制网的相对独立性和安全性。

    (二)访问控制:在网络边界和各区域边界部署访问控制设备,如防火墙、入侵防御系统等,制定严格的访问控制策略,明确访问主体、访问客体、访问权限和访问方式。

    (三)安全审计:对网络设备、安全设备的操作日志、流量日志等进行集中收集、存储和分析,确保审计日志的完整性和可追溯性。

    (四)边界防护:加强与外部网络(如互联网、其他单位网络)连接的边界防护,严格限制不必要的网络服务和端口开放。远程访问应采用安全的接入方式,并进行严格身份认证和授权。

    第十条系统安全

    (一)系统选型与配置:优先选用安全可控的软硬件产品,对操作系统、数据库系统、中间件等基础软件进行安全加固和最小化配置,关闭不必要的服务和端口,及时更新系统补丁。

    (二)账号与密码管理:严格管理系统账号,采用最小权限原则分配权限,强制使用复杂密码,定期更换密码,禁止共用账号和密码。

    (三)特权账号管理:对系统管理员等特权账号进行严格管控,采用多因素认证,记录操作行为,定期审计特权账号的使用情况。

    (四)补丁管理:建立健全系统和应用软件的补丁管理机制,及时跟踪、评估、测试和安装安全补丁,对于无法及时安装补丁的系统,应采取临时安全措施。

    第十一条应用系统安全

    (一)开发安全:在应用系统开发过程中引入安全开发

    您可能关注的文档

    最近下载

    文档评论(0)

    一生富贵 + 关注
    实名认证
    文档贡献者

    原创作者

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >