国家电网公司信息系统安全管理办法.docx

《国家电网公司信息系统安全管理办法.docx》由会员分享，可在线阅读，更多相关《国家电网公司信息系统安全管理办法.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、国家电网公司信息系统安全治理方法第一章 总 则第一条 为加强和标准国家电网公司以下简称公司信息系统安全工作， 提高公司信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控， 依据国家有关法律、法规、规定及公司有关制度，制定本方法。其次条 本方法所称信息系统指公司一体化企业级信息系统，主要包括一体化企业级信息集成平台以下简称“一体化平台”和八大业务应用。“一体化平台” 包含信息网络、数据交换、数据中心、应用集成和企业门户；“业务应用”包含财务资金治理、营销治理、安全生产治理、协同办公、人力资源治理、物资治理、工程治理、综合治理业务应用。电力二次系统安全防护遵照国家电力监管委员会 5 号令

2、电力二次系统安全防护规定及其配套文件电力二次系统安全防护总体方案执行。第三条 信息系统安全主要任务是确保信息系统持续、稳定、牢靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵挡黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丧失和失密,防止有害信息在网上传播,防止公司对外效劳中断和由此造成的电力系统运行事故。第四条 公司信息系统安全坚持“分区、分级、分域”总体防护策略，执行信息系统安全等级保护制度.治理信息网络分为信息内网和信息外网,实现“双机双网“，信息内网定位为公司信息化“SG186”工程业务应用承载网络和内

3、部办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强规律隔离的措施.电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。第五条 在规划和建设信息系统时,信息系统安全防护措施应依据“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。第六条 本方法适用于公司总部，各区域电网、省自治区、直辖市电力公司和公司直属单位以下简称各单位的信息系统安全治理工作。其次章 信息系统安全治理职责第七条 公司信息系统安全治理实行统一领导、分级治理。各单位主要负责人是本单位信息系统安全第一责任人，各单位信息化领导小组负责本单位信息系统安全重大事项决策和

4、协调工作。第八条 信息系统安全纳入公司安全治理体系，实行专业治理、归口监视. 公司信息化工作部是信息系统安全的治理部门，负责治理信息大区(信息内网和信息外网的安全保障，国家电力调度通信中心负责电力二次系统特别是生产掌握大区系统的安全保障，安全监察部负责公司信息系统安全监视工作。第九条 公司信息化工作部主要职责：一)落实国家有关信息系统安全法规、方针、政策、标准和标准，联系国家有关部门落实信息系统安全治理相关工作;(二)组织制定公司信息系统安全治理规章制度和标准标准；三指导、协调和检查各单位信息系统安全工作，组织落实公司信息系统等级保护制度，统筹开展公司信息系统风险评估和安全检查工作；四负责信息

5、系统二级以下事故的调查和处理公司信息系统安全大事描述见国家电网公司信息系统事故调查与统计规定；帮助信息系统一级、二级事故的调查和处理；五在公司应急体系框架内，负责公司信息系统应急治理相关工作;(六)开展涉密计算机网络和系统立项、设计和建设，做好信息系统安全与保密检查;七负责标准公司信息系统安全产品的测评和选型工作。第十条 公司安全监察部主要职责:一负责公司信息系统安全全过程监视检查;二负责信息系统一级、二级事故的调查和处理；三负责监视公司信息系统应急治理工作落实；四负责归口统计信息系统安全事故.第十一条 国家电力调度通信中心主要职责:一负责制定电力二次系统治理制度，负责制定公司电力二次系统安全

6、防护方案及应急处理预案；二负责审核下级电力二次系统安全防护实施方案和应急处理预案,负责电力二次系统信息系统安全事故的调查和处理；三协作完成国家有关部门对公司电力二次系统开展的信息系统安全检查、等级保护制度落实等各项工作。第十二条 业务应用部门主要职责：一协作开展业务应用系统安全等级定级工作；二协作开展业务应用系统安全测评、安全检查和风险评估等工作;三负责或协作开展业务应用使用人员的有关信息系统安全和保密培训工作；四帮助开展业务应用人员办公计算机安全治理。第十三条 各单位主要职责：一负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和标准， 贯彻落实公司信息系统安全相关规章制度和技术标准，建

7、立健全本单位信息系统安全标准制度和标准体系；二负责落实本单位范围内信息系统安全工作责任制；(三在公司信息职能治理部门指导下，落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作；四按公司信息系统应急体系要求建立本单位信息系统应急体系，组织本单位信息系统安全突发大事的应急处理；(五负责明确本单位信息系统安全运行维护部门或机构，落实信息系统安全运行维护日常工作，具体落实信息系统安全等级保护和安全策略；六组织本单位信息系统安全的宣传和培训。第三章 治理措施第十四条 不断建立健全信息系统安全治理制度体系,通过操作规程实现安全治理和操作人员的标准化作业；定期对信息系统安全治理制度进展检查和审

8、定, 对存在缺乏或需要改进的安全治理制度准时进展修订。第十五条 明确安全治理机构，设立系统治理员、网络治理员、安全治理员等岗位，并明确各岗位职责。应加强信息系统安全治理人员之间、信息职能部门和业务部门之间的合作与沟通，定期或不定期召开协调会议，共同协作处理信息系统安全问题.第十六条 严格遵守“涉密不上网、上网不涉密”纪律,严禁将涉密计算机与互联网和其他公共信息网络连接，严禁在非涉密计算机和互联网上存储、处理国家隐秘.严禁在信息外网计算机上存储和处理涉及企业隐秘的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上穿插使用.第十七条 严格信息系统安全工作人员录用过程,审查其身份、背景、

9、专业资格,关键岗位应签署保密协议;准时终止离岗员工的全部访问权限；严格外部人员访问程序,对允许访问人员实行专人全程伴随或监视，并登记备案。第十八条 严格依据国家有关部门要求，开展公司网络与信息系统定级、审批、备案工作。针对确定的网络与信息系统安全等级，要依据等级保护有关要求, 落实必要的治理和技术措施，严格执行等级保护制度。第十九条 建信息系统涉及安全防护措施建设，应明确安全需求，确定安全等级，结合公司安全防护总体策略，进展安全防护方案设计；依据国家有关规定和坚持鼓舞使用国产化产品原则，开展安全产品选购,必要时开展产品预先选型测试;加强软件开发治理，确保开发环境与实际运行环境安全隔离;托付有资

10、质的第三方测试单位对系统进展安全性测试,并出具安全性测试报告；对测试不符合要求的，在整改后要重测试。系统试运行前，要开展相关安全培训。其次十条 加强信息系统运行维护全过程治理：(一严格执行信息机房治理有关标准，确保机房运行环境符合要求,严格机房出入治理。要编制信息系统资产清单，建立资产治理制度，依据资产重要程度对资产进展标识。二对信息系统软硬件设备选型、选购、使用等实行标准化治理，建立相应操作规程，对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。强化存储介质存放、使用、维护和销毁等各项措施.三依据最小效劳配置和最小授权原则,对安全策略、安全配置、日志和操作等方面做出具体规定,明确

11、各个角色的权限、责任和风险；具体记录日常操作、运行维护记录、参数设置和修改等内容，严禁任何未经授权的操作；定期开展运行日志和审计数据分析工作，准时觉察特别行为。准时依据需要进展软件升级更，并在更前做好备份；定期进展漏洞扫描,准时觉察安全漏洞并进展修补；准时安装补丁程序，在安装补丁前做好测试和备份工作。四准时升级防病毒软件，加强全员防病毒、木马的意识，不翻开、阅读来历不明的邮件；要指定专人对网络和主机进展恶意代码检测并做好记录,定期开展分析;加强防恶意代码软件授权使用、恶意代码库升级等治理。五严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序， 建立健全变更治理制度。保证全部与外部系统

12、的连接均得到授权和批准，进展必要的安全隔离，配置严格的访问掌握策略，开展必要的安全评估。(六)建立和执行密码使用治理制度，使用符合国家密码治理规定的密码技术和产品.七对信息网络与系统运行状况等进展监测和报警；定期对监测和报警记录进展分析，依据需要实行必要的应对措施；应建立安全治理中心，对安全设备、恶意代码、补丁升级、安全审计等安全设施进展集中治理。八严格依据有关信息系统事故调查规定，准时报告信息系统事故状况， 认真开展信息系统事故缘由分析，坚持“四不放过”原则，有效落实整改，确保类似事故不再发生.严格执行有关公司网络与信息系统安全运行状况通报制度，做好定期、节假日和特别时期的网络与信息系统安全

13、运行状况报送工作。其次十一条 严格执行公司有关信息系统安全风险评估治理规定，切实将信息系统安全风险评估工作常态化和制度化，准时落实整改，准时消退信息系统安全隐患。依据国家和公司要求，定期开展信息系统安全检查工作，做好特别时期安全检查和安全保障工作。其次十二条 不断完善应急预案，加强培训和演练,确保人力、设备等应急保障资源可用。其次十三条 建立备份与恢复治理相关安全治理制度，严格掌握数据备份和恢复过程,妥当保存备份记录,定期执行恢复程序。要切实依据需要开展业务应用容灾系统建设。其次十四条 切实加强网络信任体系建设规划工作，不断完善公司安全认证系统相关技术标准和功能标准。强化信任体系应用工作，做好

14、信息系统统一身份认证，以及重要信息的加密和签名工作。其次十五条 切实加强员工信息系统安全培训，提高全员信息系统安全意识； 强化信息系统安全人员专业技能培训，做到培训工作有打算、有总结，培训效果有评价。要对关键岗位人员进展全面、严格的安全审查和技能考核，对在信息系统安全工作中做出显著成绩的单位和人员应赐予嘉奖和表彰。对违反国家法律、法规和公司有关规定，造成肯定不良影响和后果的，要追究其责任。第四章 技术措施其次十六条 依据国家和公司有关规定，对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统；实行防雨水措施，防止雨水、水蒸气结露和地下积水；设置温、湿度自动调整设施，掌握机房温、湿度在设备运

15、行所允许范围之内，保证双路供电,电源线和通信电缆应隔离，避开相互干扰；承受接地方式防止外界电磁干扰和设备寄生耦合干扰。其次十七条 加强网络安全技术工作：一)网络核心交换机、路由器等网络设备要冗余配置，合理安排网络带宽； 建立业务终端与业务效劳器之间的访问掌握；依据需要划分不同子网；对重要网段实行网络层地址与数据链路层地址绑定措施。二)承受防火墙或入侵防护设备IPS对内网边界实施访问审查和掌握； 对进出网络信息内容实施过滤，对应用层常用协议命令进展掌握，网关应限制网络最大流量数及网络连接数。严格拨号访问掌握措施。三加强内部用户私自访问外部网络行为的检测工作,要能够准时觉察,准确定位，有效阻断；对

16、重要网段,应承受入侵检测系统进展监控，对入侵大事准时供给报警。其次十八条 加强系统安全技术工作：一对操作系统和数据库系统用户进展身份标识和鉴别，具有登录失败处理，限制非法登录次数，设置连接超时功能；用户访问不得承受空账号和空口令， 口令要足够强健，长度不得少于 8 位。二)严格限制匿名用户的访问权限；实现操作系统和数据库系统特权用户访问权限分别，对访问权限全都的用户进展分组，访问掌握力度应到达主体为用户级，客体为文件、数据库表级。三)掌握单个用户的多重并发会话和最大并发连接数，限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统效劳水平降低到预先规定的最小值时,应能检测并报警。其次十九条 严格网络、系统安全审计工作,安全审计系统应定期生成审计报表,自动进展备份，审计记录应受到保护，避开删除、修改或破坏。第三十条 重要和敏感信息实行加密传输和存储;对重要信息实行自动、定期备份；对门户网站页面，要具有防篡改机制和措施。第三十一条 严格用户帐号及口令治理，使用强健简单口令,定期更换口令, 杜绝使用空口令；定期开展用户终端计算机数据备份工作，准时安装系统补丁程序，准时更杀病毒程序，加强移动存储介质治理。第五章 附则第三十二条 本方法由国家电网公司信息化工作部负责解释并催促执行. 第三十三条 各单位可依据本方法制定实施细则，报国家电网公司备案。第三十四条 本方法自印发之日起执行。