《中央企业负责人经营业绩考核办法》（国资委令第40号，以下简称《考核办法》）。

    其中，第三十四条、第四十八条明确各国有企业应建立重大项报告制度，在发生重大安全责任事故、网络安全等重大事故时，应及时向国资委报告，并结合第六章奖惩制度对相应的事故单位及个人进行处罚，各国有企业信息安全部门应积极做好本单位当年的网络安全工作，并根据《网络安全法》及行业要求做好各项合规检查整改工作。国资委根据具体情节给予降级或者扣分处理；情节严重的，给予纪律处分或者对企业负责人进行调整；涉嫌犯罪的（如：贩卖个人信息、故意泄露安全漏洞等），依法移送国家监察机关或司法机关查处。

第三十四条建立重大事项报告制度。企业发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大及以上质量事故、重大资产损失、重大法律纠纷案件、重大投融资和资产重组等，对经营业绩产生重大影响的，应及时向国资委报告。

   第四十八条企业发生下列情形之一的，国资委根据具体情节给予降级或者扣分处理；违规经营投资造成国有资产损失或其他严重不良后果，按照有关规定对相关责任人进行责任追究处理；情节严重的，给予纪律处分或者对企业负责人进行调整；涉嫌犯罪的，依法移送国家监察机关或司法机关查处。

（一）违反《中华人民共和国会计法》《企业会计准则》等有关法律法规规章，虚报、瞒报财务状况的；

（二）企业法定代表人及相关负责人违反国家法律法规和规定，导致发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大质量责任事故、重大违纪和法律纠纷案件、境外恶性竞争、偏离核定主业盲目投资等情形，造成重大不良影响或者国有资产损失的。

网络安全工作实施过程中应结合《网络安全法》第三章网络运行安全21条、22条 相关规定，合理合法开展网络安全工作。 

    第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

    第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

各国有企业应积极做好相关网络安全工作：

1、应做好安全网络防御工作，防止外来黑客攻击、新变种病毒勒索等安全事件；

2、应部署相应的安全设备，如防火墙、IPS/IDS、防病毒、数据库审计、日志审计等；

3、相关技术人员做好数据备份、数据加密、加强人员安全管理等，

4、对重要信息系统和数据库做好容灾备份工作：

5、二级信息系统应定期针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描工作，可根据客户需求进行渗透测试。

6、三级信息系统应定期针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。

7、信息安全部门应做好公司人员信息安全意识培训，根据《网络安全法》及行业要求做好各项合规检查整改工作；

8、制定网络安全事件应急预案，并定期进行演练。

《中央企业负责人经营业绩考核办法》全文下载链接：

https://pan.baidu.com/s/19zLekqNtzwCtmiII5Oe7uw