1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

网络信息安全责任书.docxVIP

  • 2
  • 0
  • 约4.86千字
  • 约 14页
  • 2026-02-21 发布于四川
  • 举报

网络信息安全责任书.docx

    网络信息安全责任书

    第一章总则

    1.1目的

    为落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等上位法,防止因人为疏忽、技术缺陷或外部攻击导致业务中断、数据泄露、资金损失及品牌声誉受损,特制定本责任书。责任书覆盖××公司(以下简称“公司”)全部资产、员工、外包人员、供应商及临时访客,贯穿规划、开发、测试、上线、运维、退役全生命周期。

    1.2适用范围

    1.2.1物理范围:公司总部、分支机构、数据中心、云资源池、边缘节点、员工家庭办公环境。

    1.2.2资产范围:硬件、系统软件、应用软件、虚拟化平台、容器镜像、API、数据、文档、账号、证书、密钥。

    1.2.3人员范围:正式员工、实习生、外包、顾问、驻场供应商、保洁保安。

    1.3基本原则

    最小权限、可审计、可回退、默认拒绝、分层防御、持续监测、快速响应、责任到人、违规必究。

    第二章组织与职责

    2.1三级责任矩阵

    层级

    角色

    任命方式

    核心职责

    汇报路径

    免责条件

    决策层

    信息安全委员会(ISC)

    董事会发文

    批预算、定战略、拍板重大事件

    直接向董事会汇报

    不可抗力、战争、国家级断网

    管理层

    CISO(首席信息安全官)

    CEO任命,董事会备案

    制定制度、监督执行、牵头应急

    向ISC汇报

    已履行告知义务但业务部门拒不整改

    执行层

    安全运营中心(SOC)

    CISO任命

    7×24监测、告警、溯源、封禁

    向CISO日报

    因业务部门提供虚假日志导致误判

    2.2业务部门安全官(BISO)

    每个一级部门设置1名BISO,由部门总经理提名、CISO面试通过;年度绩效权重30%与安全指标挂钩;出现重大漏洞未按期整改,BISO与部门总经理“双降一级”。

    2.3外包连带责任

    外包合同必须附带《安全补充协议》,约定外包方与我方承担连带赔偿;出现数据泄露,外包方先行垫付全部应急响应费用,再按责任比例分摊。

    第三章资产管理

    3.1资产发现

    3.1.1自动化发现:使用Nmap+Zmap组合,每日02:00对全网IPv4/IPv6地址段进行端口扫描;发现存活IP24小时未在CMDB登记,即视为“黑资产”。

    3.1.2人工补录:开发、测试、运维人员须在资产上线前48小时通过Jira提交《资产上线申请单》,附资产用途、责任人、开放端口、所需权限。

    3.2资产分级

    级别

    标识

    判定标准

    保护要求

    核心

    L4

    泄露可直接造成500万元损失或50万用户敏感数据

    强制硬件加密机、双人双岗、堡垒机+VPN+零信任三重接入

    重要

    L3

    泄露可直接造成100万元损失或5万用户数据

    强制WAF、主机EDR、数据库审计、异地灾备

    一般

    L2

    内部办公系统

    基线加固、月度漏扫、日志留存6个月

    公开

    L1

    官网静态页面

    年度漏扫、日志留存3个月

    3.3资产退役

    退役流程:责任人发起→BISO审批→SOC确认备份清除→财务复核资产报废→审计部抽查。硬盘使用NIST800-88标准“purge”级清除,SSD执行“加密擦除+物理粉碎”双保险。

    第四章身份与访问控制

    4.1账号生命周期

    阶段

    时限

    执行动作

    工具

    审计要求

    入职

    T+0

    创建AD、企业微信、VPN、GitLab账号

    自研IdentityCenter

    工单永久留存

    转岗

    T+1

    回收旧权限、重新评估

    ServiceNow

    差异报告邮件推送BISO

    离职

    T+0

    禁用所有系统、冻结邮箱、转存邮件至法务

    脚本+人工

    离职清单需员工签字

    4.2多因素认证(MFA)

    4.2.1范围:VPN、堡垒机、云控制台、CI/CD、财务ERP、HR系统。

    4.2.2方式:硬件UKey(国密SM2)+TOTP双因子;运维人员额外要求FIDO2指纹Key。

    4.2.3例外:机房紧急Console口使用一次性密码条,密封存放保险柜,启用需双人+摄像头。

    4.3特权账号管理

    采用CyberArk集中托管;密码长度≥30位,特殊字符≥10种;每8小时自动改密;运维人员通过录像堡垒机登录,命令行实时审计,高危命令(rm-rf、fdisk、dropdatabase)需二次审批。

    第五章数据安全

    5.1分类分级

    5.1.1用户个人信息:按《个人信息保护法》分为敏感、一般两类;敏感信息包括生物识别、金融账户、精准定位、未成年人信息。

    5.1.2公司商业数据:按泄露影响分为战略级、机密级、内部级、公开级。

    5.2加密要求

    场景

    算法

    密钥长度

    密钥托管

    rotation周期

    传输

    TLS1.3

    AES-256-GCM

    KMS

    每会话

    存储

    数据库

    SM4-CBC

    硬件加密机

    90天

    备份

    离线

    AES-256-XTS

    双人分管智能卡

    180天

    5.3数据脱敏

    开发测试使用生产数据须先脱敏;脱敏算法:姓名→随机中文姓+“”+随

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >