中山市政务领域供应链推行

企业首席网络安全官实施方案

（试行）

一、背景

随着我国互联网事业快速发展，互联网已经深入人们生活的各个领域，在带来便利的同时，也带来了更多的网络安全威胁，其中的供应链安全攻击已成为最大的网络安全威胁之一。

党的十八大以来，以习近平同志为核心的党中央高度重视网络安全和信息化工作，作出了一系列重大决策部署，国家连续出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》等法律法规，加强网络安全法制建设和标准化建设。为认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署，中山市政务服务数据管理局针对政务领域供应链的网络安全威胁，结合实际情况，倡导在涉政务领域供应链企业内部聘任企业首席网络安全官，从而增强中山市政务领域网络安全的管理能力，为中山市“数字政府”网络安全保驾护航，特制定本实施方案以供参考。

二、实施范围

本方案适用于涉及中山市政务领域信息化项目的供应链企业。

三、工作目标

建立健全“企业首席网络安全官”聘用制度，以制度和考核为抓手压实政务信息化项目供应链企业的主要职责，强化我市政务信息化项目的管理能力，加强政务领域供应链企业意识形态安全和网络安全，提升网络安全整体水平，为中山市数字政府建设蓄势赋能。

鼓励企业挖掘内外部网络安全管理人才，加强网络安全人才培养，推动社会和企业认识网络安全的作用和意义，发挥信息化对经济社会发展的引领作用。

对我局现有的政务信息化项目供应链企业开展企业首席网络安全官聘任工作，以试点先行，逐步推进的方式，倡导供应链企业积极参与，供应链企业可自愿选择聘任企业首席网络安全官，并自愿接受政务信息化项目网络安全情况考核。

四、主要任务

（一）构建“安全优先”网络运营环境。市政务服务数据管理局打造政务领域供应链企业网络安全情况评价制度，提倡承建或运维政务信息化项目的企业推行网络安全服务评价制度，支持承建或运维政务信息化项目的企业首席网络安全官与市政务服务数据管理局签署责任状，确保职责和工作落实到位，以强化我市政务信息化项目的网络安全运营管理能力，提高数字政府建设的安全防护水平。

（二）健全完善网络安全责任体系。为认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署，明确“企业首席网络安全官”的主要目标、基本要求、工作任务、保护措施。做好企业内部网络安全的统筹协调，将网络安全工作纳入重要工作，明确工作机构，加大人力、财力、物力的支持和保障力度，倡导企业首席网络安全官根据企业实际情况组建安全团队，鼓励团队成员积极获取网络与信息安全类的职业技能相关资质。落实本企业网络安全工作开展情况，加强网络与信息安全的预测预警、风险防控及相关治理通报等工作，牵头组织本企业网络安全保护和重大事件处置工作，研究解决重要问题。

（三）强化政务信息化项目网络安全管理。企业首席网络安全官应落实网络安全运营管理者主要职责，根据政务信息化项目要求建立和完善网络安全管理制度和责任制，将责任层层落实到位，确保政务信息化项目的机密性、完整性和可用性。严格执行和审核服务器资产申请、权限下发、业务用途、资源回收等流程，将风险降至最低，切实做好网络安全运营管理工作。

（四）加强政务信息化项目人员网络安全意识形态。企业首席网络安全官可通过定期组织开展网络安全专题讲座和培训，提高政务信息化项目人员的法律意识、安全意识和责任意识。做好网络安全宣传活动，营造网络安全合规文化，补齐网络安全短板。

（五）提升网络安全运营服务质量。市政务服务数据管理局建立常态化考核机制，实现政务信息化项目考核全覆盖。定期对自愿接受政务信息化项目网络安全情况考核的政务领域供应链企业首席网络安全官开展考核评估工作，最大程度促进网络安全运营服务的高质量发展。

（六）保障数字政府网络安全防护能力。市政务服务数据管理局组建“中山市政务领域网络安全咨询专家库”，拟从全国网络安全领域中挑选10位网络安全管理人才，聘任为“中山市政务领域网络安全专家”，打造网络安全管理人才资源汇聚、交流、合作、提升的重要平台，为我市政务领域网络安全工作出谋划策。

（七）建立联席会议制度，联合攻关网络技术难题。市政务服务数据管理局组织企业首席网络安全官开展联席会议，通报政务信息化项目供应链企业的网络安全情况，交流探讨网络安全最新形势，开展联防联控合作，提高整体网络安全防控水平，各供应链的企业首席网络安全官可发挥优势开展研发合作，协同攻克技术难题，带动提升整个创新链上下游企业的技术水平，实现关键核心技术的突破。

五、企业首席网络安全官任职条件

（一）应具备工程师以上专业技术职务或取得注册安全工程师资格，熟悉网络安全法律法规和标准规范。

（二）掌握岗位工作专业知识，业务精、能力强，有较高的网络安全技术知识和管理水平，具备判断分析政务信息化项目是否存在网络安全风险的能力。

（三）应具有良好的职业道德和敬业精神，且责任意识强，勤奋敬业，敢于担当，思想敏锐，顾全大局，有团队协作精神。

（四）熟悉网络安全管理体系和政务信息化项目，具有管理和推动大规模、跨职能、多层级的项目管理整合能力，带领和指挥团队成员围绕网络安全战略规划开展工作，积极主动解决网络安全的各类问题。

（五）企业首席网络安全官由企业主要领导或分管网络安全工作的领导担任。

（六）若企业内部已依据广东省工业和信息化厅正式印发的《广东省企业首席数据官建设指南》任命首席数据官，可根据企业实际情况，由企业首席数据官兼任企业首席网络安全官。

六、企业首席网络安全官职责

（一）牵头顶层设计，贯彻落实国家网络安全方针政策、法律、法规和标准规范，制定本企业所承接的中山市政务信息化项目网络安全管理的年度工作目标与工作计划。

（二）建立本企业所承接的中山市政务信息化项目网络安全责任体系，明确项目网络安全管理基本要求、工作任务、保护措施，研究解决重要问题，指导督促本企业落实项目网络安全相关工作。

（三）做好统筹协调和资源保障，统筹网络安全与发展的关系，为本企业所承接的政务信息化项目网络安全配置充分的人力、物力和财力保障。

（四）强化应急处置，指导建立本企业所承接的政务信息化项目网络安全的统一指挥、分级负责的调度体系，组织本企业对政务信息化项目中的网络安全事件进行应急处置。当企业自身出现网络安全问题时，应及时评估对中山市政务信息化项目存在的影响，并与相关企业首席网络安全官协调解决跨企业政务信息化项目网络安全问题，及时消除安全隐患。

（五）加强宣传教育，定期组织开展网络安全专题讲座和培训，指导本企业网络安全培训教育、持证上岗、宣传引导等工作，提高本企业政务信息化项目人员的法律意识、安全意识和责任意识。

（六）加强监督考核，全面梳理本企业所承接的政务信息化项目相关的系统资产清单，定期开展政务信息化项目网络安全专项检查，新上线系统须积极主动地进行网络安全评估，包括但不限于渗透测试、漏洞扫描、配置检查、代码审计等。企业应积极推动安全策略的落地实施，完成企业首席网络安全官年度考评。

七、保障措施

（一）加强组织保障。

由中山市政务服务数据管理局成立“企业首席网络安全官”试点工作专责小组（以下简称“专责小组”），办公室设在市政数局安全管理科，负责对“企业首席网络安全官”试点工作进行推进、指导和考核。

（二）强化制度保障。

市政务服务数据管理局建立企业首席网络安全官联席会议制度和考核评分机制，及时掌握相关工作情况，推动各责任企业按照时间节点落实相关工作。

（三）强化企业培训。

市政务服务数据管理局建立企业首席网络安全官培训机制，组织实施企业首席网络安全官交流培训，开展相关研讨活动，组织有经验的专家为设立企业首席网络安全官的企业提供政策宣讲、咨询答疑等服务，帮助企业首席网络安全官提升业务水平和工作能力。

（四）加强工作总结。

市政务服务数据管理局推行企业首席网络安全官的供应链企业要及时梳理试点工作进度、存在问题及意见建议并反馈“企业首席网络安全官”试点工作专责小组，并于每年12月底前总结工作情况报送“企业首席网络安全官”试点工作专责小组。

（五）加强社会多方宣传引导。

充分发挥新闻媒体的作用，宣传倡导在涉政务领域供应链企业内部聘任企业首席网络安全官的目的、作用、成效和典型事例，发挥企业首席网络安全官在网络安全领域社会组织作用，依法依规开展企业首席网络安全官交流、互动、培训等活动，提高各行业、各领域网络安全管理水平。

              附件：1.“企业首席网络安全官”联席会议制度

                         2.“企业首席网络安全官”考核评分表

附件1

“企业首席网络安全官”联席会议制度

为落实《中山市政务领域供应链推行企业首席网络安全官实施方案》对应工作任务，及时掌握相关工作情况，推动各责任企业按照时间节点落实相关工作，特制定本制度。

一、会议时间

每半年召开一次“企业首席网络安全官”联席会议。

二、会议要求

“企业首席网络安全官”联席会议由中山市政务服务数据管理局主持召开，各试点企业首席网络安全官或企业领导及相关工作人员参加。

三、会议内容

（一）由中山市政务服务数据管理局传达贯彻有关政务领域网络安全工作的有关精神。

（二）各试点企业汇报近期我市政务信息化项目的网络安全情况，着重介绍在工作执行过程中出现的问题和需协调解决的事项。

（三）交流、分析、研究、解决政务领域信息化项目网络安全工作中存在的共性问题，并提出合理化的解决建议。

（四）根据网络安全最新形势，探讨下一步的联防联控合作计划，提高整体网络安全防控水平。

附件2

“企业首席网络安全官”考核评分表