当前位置:文档之家 › 中国铁路总公司网络安全管理办法(TGXX202-2015)

中国铁路总公司网络安全管理办法(TGXX202-2015)

  • 格式:pdf
  • 大小:275.50 KB
  • 文档页数:10

下载文档原格式

  / 10
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

TG/XX202-2015

中国铁路总公司网络安全管理办法

第一章总则

第一条为规范网络安全管理工作,促进网络安全管理规范化、系统化、科学化,全面提高铁路网络安全管理水平,依据国家有关法律法规和网络安全有关要求,制定本办法。

第二条本办法适用于中国铁路总公司(以下简称总公司)及所属各单位、各铁路公司不涉及国家秘密的信息系统及控制系统(以下统称信息系统)网络安全管理工作。

第三条本办法所称网络是指由计算机或其他信息终端及相关设备组成的,按照一定规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。

本办法所称网络安全是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。

第四条总公司网络安全工作坚持“安全第一、预防为主、主动防御、综合防范、分级保护、管理与技术并重”的原则。

第二章目标和措施

第五条总公司网络安全工作目标是通过保障信息系统正常运行,保证业务应用连续性和安全性,保证数据和信息的完整性、

保密性、可用性,支撑总公司业务发展。

第六条建立网络安全保障体系,包括管理保障体系、技术保障体系和运维保障体系。管理保障体系包括信息安全组织、信息安全规章制度、信息安全工作流程等。技术保障体系包括应用安全架构、安全服务架构、基础设施安全架构等。运维保障体系包括运行管理、安全监控、事件管理、变更管理等。

第七条全面推行网络安全风险管理。通过增强安全风险意识、识别安全风险、完善风险管控流程、强化风险应急处置,提高网络安全风险防控能力。

第八条实行网络安全等级保护制度。按照集中指导、属地管理原则,在总公司统一指导下,各单位分别组织开展信息系统定级、备案、测评、整改工作。

第九条网络安全防护措施应与系统同步规划、同步建设、同步使用。

第三章管理职责

第十条总公司信息化领导小组统一领导网络安全工作,负责贯彻落实中央和国家网络安全有关法规与政策,对总公司网络安全重大事项作出决策。

第十一条总公司运输局(信息化部)按照总公司信息化领导小组工作要求,负责总公司网络安全管理工作,提出网络安全规划建议,拟订网络安全工作计划,监督工作计划落实情况;组织拟订总公司网络安全规章制度和标准规范,并监督落实;组织开

展网络安全等级保护工作;组织建立网络安全保障体系,并推广应用;组织开展总公司网络安全检查工作;负责总公司网络安全信息通报工作。

第十二条总公司各业务部门按照总公司网络安全管理要求,负责做好本专业网络安全管理工作。提出本专业网络安全年度工作计划并组织落实;组织开展本专业网络安全检查,及时整改发现问题;组织开展本专业网络安全等级保护定级、备案、测评、整改工作;对本专业网络安全工作进行监督、检查、指导。

第十三条中国铁路信息技术中心协助总公司开展网络安全保障体系建设工作,配合开展网络安全检查工作。负责所维护系统的安全保障工作,实施安全监控、风险评估、安全检查、事件响应、故障处置等日常维护工作;协助开展网络安全等级保护定级、备案、测评、整改工作。

第十四条中国铁道科学研究院协助总公司开展网络安全技术、标准、规范研究,收集分析国内外信息安全动态;配合开展网络安全检查、检测以及安全评估工作;参与铁路网络安全测评和等级保护测评工作。

第十五条总公司所属单位、各铁路公司负责本单位网络安全管理工作。依据本办法和有关规定,制定本单位网络安全工作实施办法,明确网络安全工作管理机构和岗位,落实网络安全工作责任和经费投入,组织开展本单位网络安全有关工作。

第四章建设安全管理

第十六条信息系统工程建设前期立项阶段,应在系统总体方案中同步制定安全方案,明确安全需求,落实安全建设投资。新研发信息系统应在系统总体方案中确定等保级别。信息系统定级情况应及时向系统所在地铁路公安机关备案。

第十七条网络安全建设应以实现安全可控为目标,积极稳妥地推进信息技术产品国产化应用。加强软件正版化工作,坚持使用正版软件。

第十八条软件开发应符合国家有关安全编码规范。建立配置管理机制,将程序源代码及有关技术文档纳入配置管理,严格控制信息系统有关变更。

第十九条加强对信息系统在咨询、研发、施工、技术支持等过程中的安全管理,保护知识产权,防范信息泄露。

第二十条信息系统开发、测试和生产环境应独立设置。应用系统软件修改调试应在开发环境中进行。重要信息系统开发结束后,应用软件须通过安全测试,并及时关闭开发测评环境,确保测试环境、测试数据安全。

第二十一条信息系统正式上线前,应由建设单位组织对安全设备和功能进行验收,对信息系统整体安全状况进行检测和评估。其中与互联网连接的信息系统,应由建设单位组织信息安全专业测评机构,对信息系统整体安全状况进行安全测评。检测评估材料及测评报告应作为验收文件的组成部分。安全测评费用纳入建设项目预算。

第五章运维安全管理

第二十二条各级信息技术运维单位应建立健全信息机房安全管理制度,落实管理职责,明确管理流程,规范人员进出,保障设施安全。

第二十三条根据系统性质、应用功能和设备特性设立物理安全保护区域,按区域部署预防控制措施,满足不同强度的信息系统安全需求。重要保护区域应设置过渡区域,重要设备或主要部件应设置明显标识。

第二十四条应坚持信息系统设备设施物理移动管控措施,以保证系统的可用性和完整性。对送修或报废的信息系统设备应采取必要的安全处置措施,防止信息资产丢失、损坏和失窃。

第二十五条依据业务需求、系统功能及等保级别划分信息系统安全域。在各安全域之间及网络边界,采取访问控制措施,部署监控手段,保障网络安全。

第二十六条加强变更管理。建立变更控制流程,对网络结构、访问控制策略、安全配置等变更,以及软件升级、补丁修复、系统上线等可能影响既有运行环境的活动,实施变更控制与授权管理。

第二十七条加强网络安全事件管理。应对包括有害程序、网络攻击、信息保护、信息内容安全、设备设施故障、自然灾害等在内的各类安全事件进行监测。规范事件响应、处理流程,明确

相关主题