2025年网络安全工作责任制落实情况自查报告.docxVIP

2025年网络安全工作责任制落实情况自查报告

根据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规及上级主管部门关于网络安全工作责任制的相关要求，我单位严格落实“谁主管谁负责、谁运营谁负责”原则，围绕“明确责任、健全制度、强化技术、提升能力”主线，全面开展2025年度网络安全工作责任制落实情况自查。现将自查情况报告如下：

一、责任体系构建与履职情况

（一）领导责任落实。成立由党委书记、董事长任组长，总经理、分管信息安全的副总经理任副组长，办公室、信息中心、法务部、合规部、各业务部门负责人为成员的网络安全领导小组，明确“第一责任人”直接抓、“分管责任人”具体抓、“部门责任人”协同抓的三级责任体系。2025年共召开领导小组会议6次，审议通过《年度网络安全工作计划》《数据安全专项整改方案》《网络安全事件分级标准（2025修订版）》等文件，研究部署重大风险处置3次（涉及勒索软件攻击、第三方数据泄露、工业控制系统异常访问）。党委书记全年听取网络安全专题汇报4次，批示重要事项12件；总经理牵头协调跨部门资源解决云平台扩容安全论证、生产网与管理网隔离改造等问题7项；分管副总经理带队开展现场检查11次，覆盖核心机房、生产控制系统、用户数据中心等关键区域。

（二）岗位责任细化。制定《网络安全岗位责任清单（2025版）》，明确信息中心作为主管部门，承担网络安全规划、技术防护、监测预警等职责；法务部负责合规性审查，全年完成新系统上线、第三方合作协议等安全合规审核42份；各业务部门落实“业务安全一体化”，在客户管理系统（CRM）升级、供应链数字化平台建设中同步制定数据安全方案；安全运维岗实行AB角制度，关键操作双人复核，全年未发生因操作失误导致的安全事件。将网络安全纳入部门年度绩效考核，占比不低于15%，对发生较大安全事件的部门实行“一票否决”，2025年因终端安全管理不到位对2个部门扣减绩效分数，对3名责任人进行约谈。

（三）经费保障落实。年度信息化预算中网络安全专项经费占比达22%（较2024年提升3个百分点），总计投入1280万元，重点用于工业控制系统安全防护升级（350万元）、数据脱敏系统采购（280万元）、威胁情报平台建设（200万元）、安全培训及认证（150万元）、应急演练及装备（100万元）、漏洞修复及服务（200万元）。经费使用严格执行“申请-论证-审批-验收”流程，由财务部、审计部联合监督，确保专款专用。

二、制度建设与执行情况

（一）制度体系完善。对照《网络安全等级保护2.0》《个人信息保护影响评估指南》等标准，修订《网络安全管理办法》《数据分类分级实施细则》《第三方合作安全管理规范》等制度11项，新增《AI模型安全管理办法》《移动应用安全开发规范》2项。制度内容覆盖资产全生命周期管理（从采购、部署到退役）、数据全流程防护（采集、存储、传输、使用、删除）、人员全环节管控（入职、在职、离职），明确“数据分级为L1-L5（L5为最高敏感级），L3级以上数据访问需经部门负责人审批，L5级数据需分管副总审批”等具体要求。

（二）制度执行检查。建立“日常巡查+季度检查+专项审计”的立体监督机制。信息中心每日通过安全管理平台（SIEM）检查设备运行状态、日志完整性；每季度联合合规部、审计部开展现场检查，2025年共发现问题47项（含终端未安装杀毒软件12例、数据访问日志缺失8例、第三方接口未加密传输5例）；委托第三方机构开展网络安全审计2次，出具报告2份，提出改进建议31条。针对检查发现的问题，建立“问题-责任-措施-时限”整改台账，实行销号管理，截至12月底，所有问题均整改完毕，整改完成率100%。

（三）合规性评估。全年开展个人信息保护影响评估（PIA）7次（涉及用户画像系统升级、会员信息共享、跨境数据传输），数据安全影响评估（DSIA）5次（涉及财务数据上云、生产数据备份、客户投诉数据留存），均形成评估报告并报领导小组审议。针对跨境数据传输（向境外研发中心传输产品测试数据），通过数据去标识化处理（删除姓名、联系方式等个人信息）、签订标准合同条款、完成安全评估备案等方式，确保符合《数据出境安全评估办法》要求。

三、技术防护与能力建设情况

（一）基础防护加固。完成核心网络架构优化，将原有的“南北向单一防护”升级为“南北向+东西向”双维度防护体系：边界部署8台下一代防火墙（XX公司NS-X8000），实现流量深度检测（DPI）和应用层过滤；内网部署微隔离设备（XX公司Aegis5000），根据业务属性划分12个安全区域，区域间访问需经策略审批；工业控制系统（ICS）与管理网通过工业防火墙（XX公司ICS-3000）逻辑隔离，禁用不必要的端口和协议（如Telnet、FTP），仅保