XX传媒集团信息安全管理制度（试行）.docx-资料库

cdwbdq-12418555-4744300845210047980.docx.pdf-第1页.png

第1页 / 共12页

cdwbdq-12418555-4744300845210047980.docx.pdf-第2页.png

第2页 / 共12页

cdwbdq-12418555-4744300845210047980.docx.pdf-第3页.png

第3页 / 共12页

cdwbdq-12418555-4744300845210047980.docx.pdf-第4页.png

第4页 / 共12页

cdwbdq-12418555-4744300845210047980.docx.pdf-第5页.png

第5页 / 共12页

cdwbdq-12418555-4744300845210047980.docx.pdf-第6页.png

第6页 / 共12页

cdwbdq-12418555-4744300845210047980.docx.pdf-第7页.png

第7页 / 共12页

cdwbdq-12418555-4744300845210047980.docx.pdf-第8页.png

第8页 / 共12页

XX 传媒集团网络信息安全管理制度（稿）第一章总则第一条为加强 XX 传媒集团（以下简称传媒集团）网络与信息安全管理，全面掌握传媒集团及所属各企业网络与信息安全现状，及时发现存在的薄弱环节和安全隐患，有效防范信息安全事件的发生，规范网络与信息安全检查工作，制定本办法。第二条网络与信息安全检查坚持“务必真实，重在整改”的工作原则。第三条网络与信息安全检查工作由各企业行政正职负责，分管副职组织实施，做到责任明确，措施到位。第四条本办法适用于传媒集团及所属上市公司、直属各级媒体、直属公司、下属各专业公司（以下简称系统各企业）。第二章工作职责第五条由传媒集团安保处、集团应急管理处牵头，联合集团 XX 公司，成立传媒集团网络信息安全管理领导小组（以下简称“网信安全领导组”），协同领导集体内部网络信息相关安全管理。“网信安全领导组”的主要职责如下：（一）落实国家有关职能部门安排的各项网络与信息安全检查工作；（二）制定传媒集团组织的网络与信息安全检查计划，并组织专家实施检查与考核工作；

（三）汇总、审阅系统各企业网络与信息安全自查计划和自查报告，审核风险控制措施和整改方案，督促解决检查中发现的突出问题；（四）组织研究网络与信息安全检查工作中存在的共性问题，并提出对策；对涉及传媒集团层面的重大问题，提出整改意见；（五）指导系统各企业全面、深入开展网络与信息安全检查工作，制定检查标准、制度与实施细则。第六条传媒集团各业务部门应积极配合开展网络与信息安全检查工作。第七条系统各企业工作职责：（一）根据当地政府和传媒集团的安排，组织实施所管理和所属企业的网络与信息安全检查工作。（二）统筹所管理和所属企业各类网络与信息安全检查工作，确保检查工作正常开展。（三）对所管理和所属企业网络与信息安全自查工作进行指导。（四）组织审查所管理和所属企业制定的整改计划和自查报告。（五）监督所管理和所属企业网络与信息安全检查整改计划的执行情况，将未及时完成整改的问题要列入监控重点，确保整改到位。（六）对所管理和所属企业的网络与信息安全检查工作存在的共性问题进行研究，审查检查中发现重大问题的整改方案。（七）对传媒集团网络与信息安全检查标准的改进和完善提出意见和建议。第八条基层企业应积极配合上级安排的网络与信息安全检查工作，负责本企业的自查工作和日常管理；组织本企业的有关人员对查评结果进行分析，制定并落实整改工作计划。

第九条检查人员应严格遵守有关保密规定。第三章检查依据与内容第十条系统各企业应依据《信息技术安全技术信息安全管理体系》（GB/T22080）和《信息安全管理实用规则》（ISO27001:2005）的要求，结合本企业网络与信息安全现状以及传媒集团有关管理制度，确定检查内容。第十一条网络与信息安全检查内容应重点包括组织机构与管理体系建设、规章制度的贯彻执行和监督检查、网络安全管理、应用系统安全管理、桌面办公系统的使用和安全管理、运行环境管理、运行值班及技术维护管理、运行安全控制管理等内容。第十二条系统各企业根据检查目的和检查重点的不同，可以直接引用《网络与信息安全检查实施导则》（见附件一），也可以在此基础上定制适合的检查表。第四章检查方式和周期第十三条集团内网络与信息安全检查采取自查、抽查和专项检查相结合的方式。（一）自查是系统各企业基于本办法的要求，周期性开展的网络与信息安全检查。系统各企业信息化主管部门制定并实施本企业网络与信息安全检查的计划，检查工作可以由本企业相关信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。（二）抽查是指由集团或分、子公司组织的网络与信息安全检查。由集团“网信安全领导组”制定并实施传媒集团的年度信息安全检查计划，检查工作可

以由系统内相关信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。（三）专项检查是由国家主管部门、传媒集团或者系统各企业组织的、具有特定目的的网络与信息安全检查。检查工作由检查组织单位委托具有相关安全认证资质的机构或邀请专家承担。第十四条检查周期。（一）系统各企业每年至少开展一次自查工作。原则上建议在“两会”或国庆节前进行并完成，检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。（二）抽查工作是与阶段性的重点工作、重大活动和节假日保电工作相结合而开展的。（三）专项检查工作是根据国家、传媒集团、系统各企业的阶段性重点工作或者针对网络与信息安全事件原因而开展的。第五章检查内容和方法第十五条检查内容分为管理和技术两个方面。管理方面检查安全管理要求和流程的执行情况；技术方面检查各软硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。第十六条检查方法应采取人工与技术手段相结合的方式进行，包括对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等，确保检查的有效性和完整性。第六章检查流程和要求

第十七条检查流程包括：制定计划、准备、实施、改进等四个阶段。第十八条计划阶段。检查前，组织者应制订具体的检查计划，确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。第十九条准备阶段（一）细化检查内容。如：检查的系统范围，检查的重点项，各个系统中增、删、改等重点操作的指令与关键词等。（二）编写《网络与信息安全检查表》（参见附件二）。检查表应包含依据标准、检查方式、检查内容、检查方法、检查结果、问题描述、检查人员和被检查人员签字等内容。（三）培训。重点培训检查人员，说明检查内容和方法、主要风险及防范措施、表格填写要求、问题处理方法等。（四）配置必要的技术装备，如漏洞扫描工具、WEB 扫描工具等。第二十条实施阶段（一）按照《网络与信息安全检查表》进行检查并如实记录。（二）检查人员、配合人员共同签字确认检查结果。（三）检查结束后，检查组织者编写《网络与信息安全检查报告》（参见附件三），被检查企业负责人在报告书签字确认后，于 3 日内提交上级主管部门备案。第二十一条改进阶段

（一）被检查企业认真分析发现的问题，在 7 日内制订《网络与信息安全检查问题整改计划及实施方案》，做到“项目、措施、责任、时间和资金”五落实；每月对整改情况进行督察。（二）整改完成后，向上级信息主管部门提交《网络与信息安全检查整改情况报告》（参见附件四），并提请复核。第二十二条《网络与信息安全检查报告》、《网络与信息安全检查问题整改计划及实施方案》、《网络与信息安全检查整改情况报告》等相关文档，经过审批后存档。第二十三条对于国家主管部门组织的各种网络与信息安全检查，被查企业要以电话、传真或电子邮件形式及时、逐级上报至传媒集团“网信安全领导组”。被检查企业应按照本办法相关要求进行改进，妥善保留有关检查结果和报告并存档。第二十四条各种形式的检查都应获得相应授权，不得违反传媒集团相关信息安全管理规定要求，应遵循对业务影响最小化的原则，严格控制可能带来高风险的检查方法；对于在线业务系统的评估检查时间必须避开业务高峰时期。第七章评价与考核第二十五条传媒集团“网信安全领导组”将按照《XX 传媒集团信息化工作评价与考核管理办法》，对系统各企业网络与信息安全检查工作、检查结果以及整改情况进行评价考核。第二十六条在网络与信息安全检查与整改工作中弄虚作假的，一经查实，将按照传媒集团有关管理制度对该企业的相关领导和责任人进行处罚。

第八章附则第二十七条本办法自印发之日起实行。第二十八条本办法由传媒集团“网信安全领导组”负责解释。

附件一：网络与信息安全检查实施导则。。。。。。

资料库

XX传媒集团信息安全管理制度（试行）.docx

相关推荐

安全技术

热门标签

最新资料