4008708893
为深入贯彻国家网络与数据安全相关工作要求,切实强化工业和信息化领域安全防护能力,防范数据泄露、网络攻击等安全风险,保障企业合法权益与持续经营,现转发厦门市工信局发布的重要通知,将省工信厅、省委网信办、省公安厅关于加强企业网络安全与数据安全管理的最新部署与要求传达给各单位。请各企业高度重视、严格落实主体责任,对照要求开展自查与整改,全面提升安全防护与应急处置能力。
一、压实企业安全主体责任。企业要严格落实企业网络安全法律法规,树立网络安全和数据安全主体意识,压实网络与数据安全责任,主要负责人为第一责任人,建立健全安全管理制度,采取相应的技术措施和其他必要措施,切实加强安全防护。综合应用宣贯引导、贯标达标、评估监测等多种手段,传达要求、细化目标,加强指导,提高企业作为主体的网络与数据安全保护的主观能动性,明确网络安全直接责任人,明确系统建设部门、使用部门、运维单位、云服务厂商等各方网络安全责任,坚持从严管理,切实推动网络与数据安全责任制落到实处。
二、落实网络安全等保制度。企业要切实落实网络安全等级保护制度要求,开展网络安全等级保护定级、备案、测评、整改工作,进一步构建覆盖物理环境、通信网络、区域边界、计算环境及安全管理中心的安全防护体系,强化防病毒、防入侵、日志留存(不少于六个月)、数据备份与加密等技术措施。加强安全监测,及时阻断封禁恶意攻击。制定完善安全事件应急处置方案,常态化开展应急演练。强化全员网络安全教育培训,谨慎点击下载来源不明的文件、电子邮件附件等,严防钓鱼攻击。强化网络安全等级保护备案动态更新,确保网络与信息系统安全稳定运行。
三、提高网络安全防护水平。企业要配备必要的安全防护设备或系统,对系统进行安全检测,整改存在问题,修复重要漏洞;通过技术手段要求设置复杂口令和定期修改口令,重要系统启用双因子登录认证;关闭电子邮件系统自动转发和自动下载附件功能。对重要系统、重要功能、重要数据进行备份,极端情况下,确保重要系统快速恢复并保证核心功能运行。
四、做好数据分类分级工作。企业要对照《工业和信息化领域数据安全管理办法(试行)》等相关规定,依法依规落实数据安全主体责任,对各类数据实行分类分级并加强防护。企业要严格落实重要数据、核心数据识别备案、数据出境评估、数据风险评估等数据安全责任;建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;合理确定数据处理活动的操作权限,严格实施人员权限管理。
五、巩固运维及数据接口安全。企业要安排专人负责操作系统、数据库、机房等核心管理权限,以及信息内容发布审核、安全审计、数据库导入导出、密钥管理等;严格限制通过互联网远程运维系统;对系统升级进行严格审批和测试;完善系统数据接口认证鉴权机制,排查未授权访问、弱口令、越权遍历批量获取数据风险;排查数据接口返回的数据超出业务所需、超期仍可继续调用数据的风险隐患。
六、增强风险应急处置能力。企业要开展网络和数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。企业要制定网络和数据安全事件应急预案,健全数据安全事件应急组织体系和工作机制,针对勒索病毒攻击等易发典型网络和数据安全风险事件,优化事件响应流程和机制。在安全事件发生后,企业应当按照《工业和信息化领域数据安全事件应急预案(试行)》等相关规定要求,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区主管部门报告,事件处置完成后在规定期限内形成总结报告。企业对发生的可能损害用户合法权益的网络安全和数据安全事件,应当及时告知用户,并提供减轻危害措施。
(来源:厦门市工信局)
若贵司在企业网络安全等级保护、数据分类分级、安全制度建设、应急演练、漏洞整改等方面需要专业支持,欢迎与天锐股份联系,我们将为企业客户提供合规指引与落地服务,助力您的企业安全合规、稳健发展。
