网络安全和安全和信息化管理办法

网络安全和安全和信息化管理办法第一章 总 则第一条 为规范中国某集团有限公司（以下简称集团公司）网络安全和信息化（以下简称网信）管理，促进信息化与业务深度融合，提升企业管理水平和效率效益，支撑企业战略实施，依据国家有关规定要求，结合集团公司实际情况，制定本办法。第二条 集团公司网信管理包括网信规划、投资计划和预算、项目、数据治理、运行维护、网络安全、网信机构队伍、信息化成果等主要内容。第三条 集团公司网信工作坚持“统一领导、统筹规划、归口管理、分级负责”的原则，实现集团公司、分子公司、基层企业纵向贯通，网信主管部门、业务部门横向协作，各司其职、各负其责，确保集团公司网信工作规范开展。第四条 本办法适用于集团公司总部，各分子公司、直属机构、基层企业（简称系统各企业）。本办法适用于集团公司总部，各分子公司、直属机构，基层企业。第二章 职责分工第五条 集团公司网信组织体系包括集团公司网信领导小组及工作小组、集团公司总部部门、直属机构以及各分子公司、各基层系统各企业。第六条 集团公司网信领导小组主要职责:（一）贯彻落实中央网信决策部署，国家有关网信的法律、法规、政策和要求，全面领导集团公司网信工作。（二）明确集团公司信息化发展战略，审定集团公司网信建设和应用总体规划、实施方案、经费预算及相关政策措施。（三）研究决定集团公司网信工作体制机制，建立和落实网络安全责任体系，组织做好组织机构、人员保障、资金投入等方面工作。（四）研究决定集团公司信息化建设重大项目，统筹协调涉及网信建设重大问题。（五）研究集团公司系统重大网络安全风险，指导重大网络安全事件应急处置。第七条 集团公司信息中心是集团公司网信工作归口管理部门，承担集团公司网信领导小组办公室职能，主要职责包括：（一）贯彻落实领导小组部署和要求，组织、指导系统企业开展网信工作，提升建设和应用水平。（二）组织编制网信规划、年度计划、预算，组织年度工作计划执行情况的检查考核。（三）组织制订网信管理制度和信息技术标准规范。（四）组织开展分子公司1000万元以上网信项目立项审查，集团统建类网信项目建设立项、实施、验收评价和运维管理（含集控、远程监测），信息化成果申报管理。（五）组织开展系统架构设计和云计算、大数据、人工智能等信息新技术应用与治理提效。（六）组织开展两化融合和智慧企业建设，网络安全和信息基础设施、网络安全事件应急管理、数据资产管理，软件正版化、总部运维等管理工作。第八条 集团公司总部各部门、直属机构按职能分工按职能分工履行以下职责：（一）参与集团公司网信规划编制。（二）提出信息系统应用需求及项目建议。（三）负责组织本部门主管业务信息系统项目的建设和推广应用，参与分子公司1000万元以上相关网信项目需求审查。（四）组织业务数据的编码规范、采集和录入工作，并对数据的准确性、及时性和完整性负责。（五）负责本部门主管业务信息系统的用户授权审批、数据和用户安全、应用推广工作。第九条 分子公司主要职责包括：（一）贯彻落实中央网信决策部署，国家有关网信的法律、法规、政策和要求，集团公司网信工作安排。（二）执行集团公司网信规划，并负责在本企业进行落实。（三）落实集团公司网络安全责任制。（四）建立健全本企业网信制度体系。（五）编制本企业网信年度工作计划和预算，并按照规定上报集团公司。（六）负责推进本企业自主建设类网信项目建设。（七）配合开展集团公司统建类项目的开发实施和系统应用，并签订项目分摊合同，承担项目分摊费用。（八）负责推进数字信息技术在本企业应用，推进两化融合和智慧企业建设。（九）负责本企业网络安全、软件正版化、信息系统运维、信息化成果管理，指导下属企业网信工作。（十）负责本企业网信组织机构和队伍建设。第十条 基层企业主要职责包括：（一）贯彻落实中央网信决策部署，国家有关网信的法律、法规、政策和要求，集团公司和所属二级企业网信工作安排。（二）执行集团公司网络安全和信息化规划，并负责在本企业进行落实。（三）落实集团公司网络安全责任制。（四）编制本企业网信年度工作计划和预算，并根据规定上报所属二级企业。（五）负责推进本企业自主建设类网信项目建设。（六）配合开展集团公司统建类项目的建设实施和系统应用。（七）负责推进数字信息技术在本企业应用，推进两化融合和智慧企业建设。（八）负责本企业网络安全、软件正版化、信息系统运维、信息化成果管理。（九）负责本企业网信组织机构和队伍建设。第三章 第三章网信规划管理第十一条 集团公司制定统一的网信规划，网信建设按照规划进行。网信规划是围绕集团公司总体发展目标，支持业务发展、提升生产经营和管理水平的网信总体解决方案，是网信项目年度计划、立项和投资的依据。第十二条 信息中心根据集团公司中长期业务发展规划编制要求，统一组织编制网信规划。第十三条 系统各企业、各部门根据信息化现状和业务要求，提出信息化需求和项目建议，信息中心统筹平衡后，编制形成网信规划建议稿，报集团公司网信领导小组审议批准后，下发执行。第十四条 信息中心根据集团公司发展战略变化、网信规划执行情况及其对业务的适应性，适时组织对信息化总体规划进行滚动调整。滚动调整方案报集团公司领导小组审议批准后，下发执行。第四章 第四章网信投资计划和预算管理第十五条 网信投资计划分为项目建设计划和运行维护计划两部分，项目建设计划包括新建项目建设计划和结转项目建设计划，网络线路租赁等列入运行维护计划。第十六条 网信预算描述了年度计划的资金使用情况，通过预算来保持资源投入和资金相匹配，预算分为资本性预算和损益性预算两类，运行维护等工作发生费用列入损益性预算。第十七条 每年9月，信息中心根据集团公司年度投资计划和预算编制要求，依据网信规划及项目建设和预算执行情况，组织编制集团公司年度网信投资计划和预算。年度信息化项目投资计划和预算，由集团投资和预算主管部门统一报集团公司审批、下发。第十八条 各分子公司组织编制本企业年度网信投资计划和预算，上报集团公司衔接。未完成立项的网信项目不得纳入年度投资计划和预算。第十九条 信息中心与各相关企业进行沟通、衔接，对网信投资需求进行审核、汇总，纳入集团公司下一年度投资预算。第二十条 因集团管理需要，临时追加投资项目或投资计划调整，由需求企业履行完内部审批程序后，报信息中心统一平衡，在集团年中投资计划和预算调整时一并报集团公司审批。第五章 第五章信息化项目管理第二十一条 项目管理坚持“归口管理、业务推动”，实现网信主管部门与业务部门各司其职、各负其责，加强协同配合，确保按计划完成项目建设任务。第二十二条 项目建设坚持“统一规划、统一标准、统一设计、统一投资、统一建设、统一管理”的原则，采取“先试点，后推广”的策略，并按照集团公司网信规划和标准规范要求，采用有利于集团公司信息资源共享和应用集成的技术来建设实施与运行第二十三条 网信项目建设管理参照中国某集团有限公司网络安全和信息化项目建设管理办法执行。第六章 第六章数据治理第二十四条 数据治理是对集团数据资源及其应用过程进行管控，促进各企业高效、合理利用数据资源，使运营合规、风险可控、价值实现，包括主数据管理、应用数据管理和数据分析管理。第二十五条 信息中心规划集团数据架构，建立健全数据管控体系，加强和规范数据标准、数据质量管理，规范数据开放共享，提升数据价值，统筹集团主数据、数据分析平台建设和优化工作。第二十六条 主数据为应用系统间核心的、共享的基础数据，主数据标准由集团公司统一制定。新建及计划建设中的系统，必须执行集团公司主数据标准；已经建设的系统，要根据集团公司主数据标准适时进行改造。第二十七条 总部部门组织制定各专业主数据标准，确定各专业主数据管理流程，进行主数据申请、审核、生成、分发等全生命周期管理。根据业务系统建设需要，组织开展数据收集、数据清洗以及主数据标准修订工作。第二十八条 应用数据为信息系统中支撑业务流转、系统运行的数据。业务部门建立应用数据定义、数据格式、编码规则、数据采集、数据分类和数据归档标准，规范应用数据管理。第二十九条 信息中心组织对集团管控类应用系统数据管理及规范进行监督、检查和评估，各分子公司对本企业信息系统数据进行监督、检查和评估。第三十条 数据分析是利用信息技术手段对信息系统生成的数据进行现状描述、分析对比、趋势预测，为优化管理、提升效益提供决策支持。第三十一条 集团工作统一组织建立数据应用分析平台，总部各部门梳理和利用数据资源，组织设计业务主题，建立数据模型，进行数据抽取、数据清洗和数据转换，提高分析数据质量，开展规律性、交互性和关联性分析，实现数据应用价值。第三十二条 各企业开放数据视图，明确数据共享范围、流通方式，改进和优化数据的服务能力，满足相关企业数据使用需求。充分利用数据分析应用平台，深化数据应用，探索和创新数据分析挖掘方法，释放业务数据信息价值，赋能集团决策经营管理。 第七第七章 章信息化运维管理第三十三条 运行维护是指为保证系统正常运行而采取的运行状态监控、故障处理、性能优化等措施。应用系统正式运行不少于一年方可转入有偿运维。第三十四条 信息化运行维护工作坚持“谁建设、谁运维”的原则和“主动预防、优质服务”的理念，主要包括：724小时热线支持与问题跟踪处理；系统性能监控与分析调优；设备巡检及系统数据备份；应急演练与宕机后恢复处理；新技术研究与系统升级方案研究；系统在新增资产的扩展实施；用户权限及变更管理；新增需求与机构调整实施；用户和运行维护队伍培训；现场技术支持；系统安全保障。第三十五条 对于可能发生的非正常停机、网络中断、机房停电、非法入侵、病毒大规模爆发、自然灾害等突发事件，应制定应急预案，一年不少于两次开展应急演练。突发事件发生时，应按预案及时处理和报告。第三十六条 信息中心负责组织开展统建应用系统、集团总部应用系统的运维管理工作，根据工作需要，委托一家专业信息公司承担具体运维工作，签订运维合同，并对工作质量、响应时间、保密等事项做出明确约定。第三十七条 分子公司负责本企业应用系统的运维管理工作，可以采用自主运维的方式或合同委托一家专业信息公司执行运维，同样要对工作质量、响应时间、保密等事项做出明确约定。第八章 第八章网络安全管理第三十八条 信息安全管理包括信息安全等级保护、安全策略、安全评估、监测与预警、应急预案、信息安全事件管理等。信息安全管理范围包括信息系统和工业控制系统。第三十九条 系统各企业要高度重视网络安全，落实网络安全责任制。明确党委的主体责任、主要负责人的第一责任和分管领导的直接责任，落实网信主管部门的监督管理责任和相关业务部门的具体责任。特别是基层企业，党委书记要切实履行网络安全第一责任人的职责。第四十条 网络安全实施“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，要厘清界面，强化考核，严格责任追究，确保网络安全责任全覆盖。各级企业要落实网络安全专职人员。第四十一条 各企业依照国家等级保护相关要求建立信息系统安全等级保护机制，落实信息系统设计、建设、运行维护各阶段以及终端、网络各方面的安全保护措施。第四十二条 网络安全责任落实、网络安全事件调查、网络安全工作奖惩、应急预案等具体管理参照集团公司网络安全相关管理规定执行。第九章 第九章网信机构队伍建设第四十三条 系统各企业要成立网信领导小组，企业主要负责人担任网信领导小组组长，建立健全网信机构，明确职责分工，配备网信管理人员。第四十四条 系统各企业要加强网信建设、管理、应用和运行维护队伍建设，逐步实现集团公司网信工作“管、办、建”分离，采用科学管理手段、人才激励与培训机制，保证网信人才队伍结构与数量第四十五条 系统各企业要加强网信人才队伍的技能管理、培训管理、考核管理，完善网信人才成长通道，通过开展信息技术培训、信息化管理培训、系统应用培训、岗位挂职交流等，为网信人才成长创造条件。第十章 第十章信息化成果及信息报送管理第四十六条 各企业要高度重视信息化成果管理，在项目招标、签订合同、鉴定验收、推广等环节中，提出知识产权的拥有范围与形式，并提供体现知识产权的源代码、可发布产品、技术规范与标准等；要加强信息化成果的挖掘、培育、鉴定、申报、推广及应用；要坚持成果必须要创造价值、产生效益。第四十七条 按照上级要求，信息中心组织各有关单位填网信工作年报，各分子公司党委每年要向集团公司上报单位年度网信工作报告。第四十八条 按照国务院国资委工作要求，各级企业要积极参加中央企业数字化转型水平测评，如实填报本单位网信业务指标。第十一章 第十一章监督与考核第四十九条 集团公司总部各部门、二级企业、各基层企业系统各企业要严格执行本办法。第五十条 违反本办法规定，有下列情形之一的，依据中国某集团有限公司二级企业负责人经营业绩考核办法中国某集团公司员工奖惩管理办法等管理规定，视问题性质、损失影响程度等，对应当承担违纪违规责任的单位、个人给予通报批评、组织处理、扣减薪酬、纪律处分、移送司法机关等方式处理（一）未按照集团公司网信规划开展信息系统建设，导致系统重复建设或建成即废。（二）未完成项目立项决策审批，在网信投资计划和预算中虚列网信项目的。（三）可研报告未按规定编制，造成技术方案有重大缺陷的。（四）发生重大系统安全事故，影响业务连续性，造成重大经济损失的。（五）擅自修改信息系统业务数据，导致业务信息失真的。（六）发生信息泄密事件的。（七）其他违反本办法规定的。第十二章 第十六章附 则第五十一条 本办法由集团公司信息中心负责解释。第五十二条 本办法自发布之日起执行。19