网络安全管理制度

网络安全管理制度
第一章 总则
第一条 目的

为加强信息系统安全保护工作，规范深圳市乐的文化股份有限公司及所有分子公司（以下简称“乐的文化”）网络管理，提高网络的可用性、可靠性、安全性，特制定本制度。

第二条 适用范围

本制度适用于乐的文化的网络设备及安全设备的运维与管理。

第三条 职责

信息部主管网络安全工作，并对网络安全管理的具体事务，网络安全管理工作应履行下列职责:

1．传达并执行有关网络安全的条例、法规，并制止有关违反网络安全条例、法规的行为；

2．网络安全负责人由信息部相关负责人担任；

3.指定专门的人员对网络进行管理，划分网络管理员和安全审计员角色，明确各个角色的权限、责任和风险，权限设定遵循最小授权原则；

4．购置和配备应用与网络安全管理的软、硬件（如防火墙、IDS、统一安全网关、路由器、杀毒软件等）；

5.网络安全和信息安全工作，包括网络安全的技术支持、信息发布的审核、重要信息的保存和备份以及不良信息的举报和协助查处工作。

第二章 网络设备维护管理
第四条 对所有网络设备的购置、使用和报废必须进行详细的登记，建立设备管理台帐。

第五条 网络设备或线路出现故障时，由信息部协调解决。

第六条 严密监控网络的运行，注意检查网络设备和线路的运行状况。发现影响较大的网络故障时，必须及时向信息部负责人报告。

第七条 必须与网络运营商建立起联系制度，建立确保线路运行的保障体系。

第八条 定期维护网络设备（路由器，交换机等），包括这些设备的设置及升级，及时发现和排除各种软硬件故障。

第九条 网络设备包括路由器、交换机、网络管理工作站、集线器、同异步调制解调器、通信线路和相关通信设备等，应放置在专用机柜内，放置环境要符合有关规定。

第十条 严格执行计算机设备防火、防电、防雷规定，确保网络设备的安全。

第十一条 对路由器、交换机等网络设备，应定期除尘清洁保养，并进行记录，以保证设备正常运行；新增设备应第一时间报信息部备案。

第三章 安全设备维护管理
第十二条 对所有安全设备的购置、使用和报废必须进行详细的登记，建立设备管理台帐。

第十三条 安全设备出现故障时，由信息部人员和安全设备供应商协调解决。

第十四条 建立防火墙访问策略或控制列表，并对策略进行解释与分析，每月检查有效性是否合理。

第十五条 严密监控安全设备的运行，注意检查安全设备的运行日志以及监控设备运行状态。发现影响较大的网络故障时，必须及时向信息部负责人报告。

第十六条 定期维护安全设备（防火墙，IDS 等），包括这些设备的设置及升级，及时发现和排除各种软硬件故障。

第十七条 安全设备包括防火墙、IDS、IPS、统一安全网关等，应放置在专用机柜内，放置环境要符合有关规定。

第十八条 严格执行计算机设备防火、防电、防雷规定，确保安全设备的安全。

第十九条 对防火墙、IDS 等网络设备，应定期除尘清洁保养，并进行记录，以保证设备正常运行；新增设备应第一时间报信息部备案。

第四章 网络及安全设备运行管理
第二十条 加强网络设备、安全设备、网络线路的保障工作，加强核心网络设备、核心安全设备及核心线路的备份工作，确保网络正常运行。

第二十一条 至少每月对网络运行日志、网络监控记录和报警信息进行分析和处理。

第二十二条 IP 地址管理。网络管理员应根据不同部门或工作性质，合理规划 VLAN，不同部门或区域，不允许网络互访；用户计算机 IP 地址由路由器自动分配，任何个人不得私自更改自己机器上的 IP 地址。

第二十三条 网络资源命名参照《资产管理办法》。

第二十四条 网络设备用户名/密码应符合以下要求：
（1）根据需要设置用户，删除默认用户或修改默认用户的密码；
（2）密码长度至少为 8 位，由数字、字母、符号组成并进行无规则混排；
（3）至少每 6 个月对密码进行更改，且更新的密码至少 5 次内不能重复；
（4）如果网络设备密码长度不支持 8 位或其他复杂度要求，密码应使用所支持的最长长度并适当缩小更换周期。

第二十五条 口令管理详细遵循《帐号与密码管理制度》。网络设备及安全设备的口令指定网络管理员及安全管理员分别保管。

第二十六条 网络拓扑管理。做好网络系统的配置工作，随时了解网络拓扑结构和交换的信息，绘制网络拓扑结构图，应包括网络结构的划分、设备型号、设备编号、设备 IP 地址等，使整个网络系统处于最佳运行状态，注重网络安全管理。

第二十七条 网络管理员每个月对网络设备、防火墙、漏洞扫描设备、入侵防御设备等安全设备的升级与补丁情况进行检查并更新，在执行更新操作前，应做好设备配置的备份，在得到领导审批后方可实施，并详细记录操作过程。

第二十八条 外部互联网管理规定：不得将涉密信息在互联网上发布，不得在互联网上发布非法信息；在互联网上下载的文件需经过恶意代码检测后方可使用，不得下载带有非法内容的文件、图片等。

第二十九条 网络使用管理。尽量减少使用网络传送非业务需要的有关内容，尽量降低网络流量；禁止涉密文件在网上共享。

第五章 网络漏洞管理
第三十条 至少每 3 个月使用专用漏洞扫描工具对网络系统进行漏洞扫描，对网络存在的漏洞、严重级别和结果处理等进行记录。

第三十一条 实施漏洞扫描或漏洞修补前，对可能的风险进行评估和充分准备，并做好数据备份和回退方案。

第三十二条 漏洞扫描或漏洞修补后应进行验证测试，以保证网络系统的正常运行。

第六章 备份与恢复管理
第三十三条 网络管理员每季度对网络设备的配置进行电子介质的备份和纸质介质的记录。

第三十四条 在网络配置变更、系统软件升级等操作前及操作后，应做好设备配置的备份，在得到领导审批后方可实施，并详细记录操作过程。

第三十五条 至少每半年执行一次数据恢复程序，检查和测试备份介质的有效性，对数据恢复过程进行记录。

第七章 附则
第三十六条 本制度由信息部负责解释及督促执行。

第三十七条 本制度自印发之日起实行。

第三十八条 本制度对应的门店，店长作为第一责任人执行和负责。