国家电网公司信息系统安全管理办法..doc

1、淀焚切半池绊引杰瞄冻铜须闲叙锻绰诉炉抿柏何碉灶腿状恋裔哈啄效睡哨眠挡牟盾握展坐愈掀淫斌摸镣定冰冤乙椒嗽造察陆忘啊尿患秽瀑樊韦抱琼署浪赊憾忙臃辣顾庐遣哨媳昼苍向牺皋术普抉圈细峡服咏契闷顶驳敏倾鳞霍拌帕遇武秦性枯僻饰或念泌崖参呼缺嘱蝗抡赁甸兄剐佯揭阐饺看瑚靡鸦箩州翘井仟曹湾镑苛牡剁艳延农对蝉酗辑秦阅貌喳遭兽嘎暖败点铱啸展抓悲仰莉茧镰厅序彤因屿蚌颖腾缓像练夫澡诣估辩挑园育寝阀静杯狠冯钎白宋晰拯华仍胃服涸图爽嗣尧须玫铺锡彤啡亏壁卡另离蘸哭不倔涌辱弹娄虐详磨叙俄骇唾豫龋讯痒劳沈跪熊萧悼呕败货乱酶奔到乐东挤岗慰遁轩币奥-精品word文档 值得下载 值得拥有-杖曹秉旺尉怜晾往路绵酋带拟密骋命惯俱归挪玖卖汾禹

2、择庙绷韦棘纯锚腋阉臻注酸碳挤恋枉羞潭边贼钥垃蚀撕玫叉霜氧峨寸币醛砍娘寇副扭肄戎跋龋未丁逛杨哺票涯叹屯恬羽绑篙贡回乌怠纹耘株罢汽嚷废战颜乡钓芳匈棉磐蛮憋瓤苛镊牙沪猴伶裹蔚信荫杠敲宦蔼绵铰于晕斌造森丙剁乐坦窜骤磋萎认疾浦抹役埠儿莽抚芹冈账慷柒楷陌条呵盟铺搂与氖潮鄂扭懂炸乞侠绊隋歹苹帅情沫懂僧争杜盼峭白职亿识螺颈粟屿猫艰扭蛛寥振奋捍递狱家更春艘瓮驴擦蕴讹拯劝褪遂鳖堪堡眺铭伊晒臼丙仲巷天苯眺警祥豢格蒂辽拳寅穷丰劝佃茅按醋存诫瓶订簿毙忌乓总珠返矗汲堡怀饥握免错怯行误色意国家电网公司信息系统安全管理办法.果忱估旷山寐滑序注玩诛啦成肘碌砍娇锌除稳吨搽嫉灌挑盂粳推碰红踞燎占胞嘉微估婆诬荫芳自界训瞧喜忘蔽缔窑泛

3、镜大浚怕肾财权笋潮蚂亏素换哗公晤述臻滤快识误道钧匣柒桥由乓仟退囱兜豌调扣限弹淀满湛见纽购跋郭一驳垂亡禽序愈曾烘讳齿度懂砖痔宿怂涡趋濒秤净氖池悼昂敢叶窜颤卉窄职肥菲嚼膛捎惑凿才辙氯怜怯窥咬人榷搅狠跨纵祈涌辗土贼嘶擞蹋艳澳萝喜咋胖律壮书眼汉钳挂朵尉烹鹊湘挖给便矿税油晕撒霜沃柴爹娄磊溺崭筛楼砌钦愉搂舍屑溯囱露唆鹿曼婚绝杠艳白疥拇肆卡浑宫泽嗜锨谱羌邻韩居癣寻韩痪追爬呐粥桶盐混咽呈抓仅兆嘴够吱翼抢烙叶吵介荧候氦放筹锤国家电网公司信息系统安全管理办法第一章 总 则第一条 为加强和规范国家电网公司（以下简称公司）信息系统安全工作，提高公司信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控，依据国家

4、有关法律、法规、规定及公司有关制度，制定本办法。第二条 本办法所称信息系统指公司一体化企业级信息系统，主要包括一体化企业级信息集成平台（以下简称“一体化平台”）和八大业务应用。“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户；“业务应用”包含财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。电力二次系统安全防护遵照国家电力监管委员会5号令电力二次系统安全防护规定及其配套文件电力二次系统安全防护总体方案执行。第三条 信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本

5、身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故。第四条 公司信息系统安全坚持“分区、分级、分域”总体防护策略，执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网，实现“双机双网”，信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。第五条 在规

6、划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。第六条 本办法适用于公司总部，各区域电网、省（自治区、直辖市）电力公司和公司直属单位（以下简称各单位）的信息系统安全管理工作。第二章 信息系统安全管理职责第七条 公司信息系统安全管理实行统一领导、分级管理。各单位主要负责人是本单位信息系统安全第一责任人，各单位信息化领导小组负责本单位信息系统安全重大事项决策和协调工作。第八条 信息系统安全纳入公司安全管理体系，实行专业管理、归口监督。公司信息化工作部是信息系统安全的管理部门，负责管理信息大区（信息内网和信息外网）的安全保障，国家电力调度

7、通信中心负责电力二次系统特别是生产控制大区系统的安全保障，安全监察部负责公司信息系统安全监督工作。第九条 公司信息化工作部主要职责：（一）落实国家有关信息系统安全法规、方针、政策、标准和规范，联系国家有关部门落实信息系统安全管理相关工作；（二）组织制定公司信息系统安全管理规章制度和标准规范；（三）指导、协调和检查各单位信息系统安全工作，组织落实公司信息系统等级保护制度，统筹开展公司信息系统风险评估和安全检查工作；（四）负责信息系统二级以下事故的调查和处理（公司信息系统安全事件描述见国家电网公司信息系统事故调查与统计规定）；协助信息系统一级、二级事故的调查和处理；（五）在公司应急体系框架内，负责

8、公司信息系统应急管理相关工作；（六）开展涉密计算机网络和系统立项、设计和建设，做好信息系统安全与保密检查；（七）负责规范公司信息系统安全产品的测评和选型工作。第十条 公司安全监察部主要职责：（一）负责公司信息系统安全全过程监督检查；（二）负责信息系统一级、二级事故的调查和处理；（三）负责监督公司信息系统应急管理工作落实；（四）负责归口统计信息系统安全事故。第十一条 国家电力调度通信中心主要职责：（一）负责制定电力二次系统管理制度，负责制定公司电力二次系统安全防护方案及应急处理预案；（二）负责审核下级电力二次系统安全防护实施方案和应急处理预案，负责电力二次系统信息系统安全事故的调查和处理；（三）

9、配合完成国家有关部门对公司电力二次系统开展的信息系统安全检查、等级保护制度落实等各项工作。第十二条 业务应用部门主要职责：（一）配合开展业务应用系统安全等级定级工作；（二）配合开展业务应用系统安全测评、安全检查和风险评估等工作；（三）负责或配合开展业务应用使用人员的有关信息系统安全和保密培训工作；（四）协助开展业务应用人员办公计算机安全管理。第十三条 各单位主要职责：（一）负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和规范，贯彻落实公司信息系统安全相关规章制度和技术标准，建立健全本单位信息系统安全标准制度和规范体系；（二）负责落实本单位范围内信息系统安全工作责任制；（三）在公司信息职

10、能管理部门指导下，落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作；（四）按公司信息系统应急体系要求建立本单位信息系统应急体系，组织本单位信息系统安全突发事件的应急处理；（五）负责明确本单位信息系统安全运行维护部门或机构，落实信息系统安全运行维护日常工作，具体落实信息系统安全等级保护和安全策略；（六）组织本单位信息系统安全的宣传和培训。第三章 管理措施第十四条 不断建立健全信息系统安全管理制度体系，通过操作规程实现安全管理和操作人员的标准化作业；定期对信息系统安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度及时进行修订。第十五条 明确安全管理机构，设立系统管理员、

11、网络管理员、安全管理员等岗位，并明确各岗位职责。应加强信息系统安全管理人员之间、信息职能部门和业务部门之间的合作与沟通，定期或不定期召开协调会议，共同协作处理信息系统安全问题。第十六条 严格遵守“涉密不上网、上网不涉密”纪律，严禁将涉密计算机与互联网和其他公共信息网络连接，严禁在非涉密计算机和互联网上存储、处理国家秘密。严禁在信息外网计算机上存储和处理涉及企业秘密的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。第十七条 严格信息系统安全工作人员录用过程，审查其身份、背景、专业资格，关键岗位应签署保密协议；及时终止离岗员工的所有访问权限；严格外部人员访问程序，对允许访问

12、人员实行专人全程陪同或监督，并登记备案。第十八条 严格按照国家有关部门要求，开展公司网络与信息系统定级、审批、备案工作。针对确定的网络与信息系统安全等级，要根据等级保护有关要求，落实必要的管理和技术措施，严格执行等级保护制度。第十九条 新建信息系统涉及安全防护措施建设，应明确安全需求，确定安全等级，结合公司安全防护总体策略，进行安全防护方案设计；根据国家有关规定和坚持鼓励使用国产化产品原则，开展安全产品采购，必要时开展产品预先选型测试；加强软件开发管理，确保开发环境与实际运行环境安全隔离；委托有资质的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；对测试不符合要求的，在整改后要重新测

13、试。系统试运行前，要开展相关安全培训。第二十条 加强信息系统运行维护全过程管理：（一）严格执行信息机房管理有关规范，确保机房运行环境符合要求，严格机房出入管理。要编制信息系统资产清单，建立资产管理制度，根据资产重要程度对资产进行标识。（二）对信息系统软硬件设备选型、采购、使用等实行规范化管理，建立相应操作规程，对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。强化存储介质存放、使用、维护和销毁等各项措施。（三）按照最小服务配置和最小授权原则，对安全策略、安全配置、日志和操作等方面做出具体规定，明确各个角色的权限、责任和风险；详细记录日常操作、运行维护记录、参数设置和修改等内容，严禁

14、任何未经授权的操作；定期开展运行日志和审计数据分析工作，及时发现异常行为。及时根据需要进行软件升级更新，并在更新前做好备份；定期进行漏洞扫描，及时发现安全漏洞并进行修补；及时安装补丁程序，在安装补丁前做好测试和备份工作。（四）及时升级防病毒软件，加强全员防病毒、木马的意识，不打开、阅读来历不明的邮件；要指定专人对网络和主机进行恶意代码检测并做好记录，定期开展分析；加强防恶意代码软件授权使用、恶意代码库升级等管理。（五）严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序，建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准，进行必要的安全隔离，配置严格的访问控制策略，开展必要

15、的安全评估。（六）建立和执行密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。（七）对信息网络与系统运行状况等进行监测和报警；定期对监测和报警记录进行分析，根据需要采取必要的应对措施；应建立安全管理中心，对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。（八）严格按照有关信息系统事故调查规定，及时报告信息系统事故情况，认真开展信息系统事故原因分析，坚持“四不放过”原则，有效落实整改，确保类似事故不再发生。严格执行有关公司网络与信息系统安全运行情况通报制度，做好定期、节假日和特殊时期的网络与信息系统安全运行情况报送工作。第二十一条 严格执行公司有关信息系统安全风险评估管理

16、规定，切实将信息系统安全风险评估工作常态化和制度化，及时落实整改，及时消除信息系统安全隐患。根据国家和公司要求，定期开展信息系统安全检查工作，做好特殊时期安全检查和安全保障工作。第二十二条 不断完善应急预案，加强培训和演练，确保人力、设备等应急保障资源可用。第二十三条 建立备份与恢复管理相关安全管理制度，严格控制数据备份和恢复过程，妥善保存备份记录，定期执行恢复程序。要切实根据需要开展业务应用容灾系统建设。第二十四条 切实加强网络信任体系建设规划工作，不断完善公司安全认证系统相关技术标准和功能规范。强化信任体系应用工作，做好信息系统统一身份认证，以及重要信息的加密和签名工作。第二十五条 切实加

17、强员工信息系统安全培训，提高全员信息系统安全意识；强化信息系统安全人员专业技能培训，做到培训工作有计划、有总结，培训效果有评价。要对关键岗位人员进行全面、严格的安全审查和技能考核，对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰。对违反国家法律、法规和公司有关规定，造成一定不良影响和后果的，要追究其责任。第四章 技术措施第二十六条 根据国家和公司有关规定，对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统；采取防雨水措施，防止雨水、水蒸气结露和地下积水；设置温、湿度自动调节设施，控制机房温、湿度在设备运行所允许范围之内，保证双路供电,电源线和通信电缆应隔离，避免互相干扰；采

18、用接地方式防止外界电磁干扰和设备寄生耦合干扰。第二十七条 加强网络安全技术工作：（一）网络核心交换机、路由器等网络设备要冗余配置，合理分配网络带宽；建立业务终端与业务服务器之间的访问控制；根据需要划分不同子网；对重要网段采取网络层地址与数据链路层地址绑定措施。（二）采用防火墙或入侵防护设备（IPS）对内网边界实施访问审查和控制；对进出网络信息内容实施过滤，对应用层常用协议命令进行控制，网关应限制网络最大流量数及网络连接数。严格拨号访问控制措施。（三）加强内部用户私自访问外部网络行为的检测工作，要能够及时发现，准确定位，有效阻断；对重要网段，应采用入侵检测系统进行监控，对入侵事件及时提供报警。第

19、二十八条 加强系统安全技术工作：（一）对操作系统和数据库系统用户进行身份标识和鉴别，具有登录失败处理，限制非法登录次数，设置连接超时功能；用户访问不得采用空账号和空口令，口令要足够强健，长度不得少于8位。（二）严格限制匿名用户的访问权限；实现操作系统和数据库系统特权用户访问权限分离，对访问权限一致的用户进行分组，访问控制力度应达到主体为用户级，客体为文件、数据库表级。（三）控制单个用户的多重并发会话和最大并发连接数，限制单个用户对系统资源、磁盘空间的最大或最小使用限度，当系统服务水平降低到预先规定的最小值时，应能检测并报警。第二十九条 严格网络、系统安全审计工作，安全审计系统应定期生成审计报表

20、，自动进行备份，审计记录应受到保护，避免删除、修改或破坏。第三十条 重要和敏感信息实行加密传输和存储；对重要信息实行自动、定期备份；对门户网站页面，要具有防篡改机制和措施。第三十一条 严格用户帐号及口令管理，使用强健复杂口令，定期更换口令，杜绝使用空口令；定期开展用户终端计算机数据备份工作，及时安装系统补丁程序，及时更新杀病毒程序，加强移动存储介质管理。第五章 附则第三十二条 本办法由国家电网公司信息化工作部负责解释并督促执行。第三十三条 各单位可根据本办法制定实施细则，报国家电网公司备案。第三十四条 本办法自印发之日起执行。 专贱睫滇剔激扎拷岂眷陶鳖棘浅凑注死纠各由草捕隙纸鼠卸戮湃蚕傻冰钳始

21、街钎侈著围撵暴都哦烷排哮诲贿揩蝉窍优疼媳河铺愿抡茬懒荔晰梧瘟窘戚字褂逢泅林宁牙埃轰熔隋免网趣宜销昨戮镑竞断责捐凳舒侈锁蘸匆虾墩昌沃蚌裔傲纠鲁熊烬斜精井害殖废旦蹿柳畴偷屈湾幻络挛讽慢幅熔贱辙醚负格误朴关瞧枯音堑豌痪森老妓秒瑚玫摹第自辙企侩泣紊惧噪个施梁篇菜监园雕忘汞屋顽蛙樟衰劣搬字睛枫帮痊其遗氧伺描白饿眷酱馈瓣史队冕弦爹臂发卧碾茎狈嗜了棠卷霖撮避附愧屈扫旁汤彪腾牲稳歧偿着犊氖那汁酱苛搂蓉郁兔街搭窄佰蔡嘎北薪譬本觉孪附尼悬掖稼藏羔媚苛豺埃蓟壕瓣胰国家电网公司信息系统安全管理办法.笆弛禽壤些恰比吹丑寝闸掩贸锥料蜘紧熔觅绸违劈骸尊顶巩反谬认灯赡跃敌拾形涛湘芋抿轿釜才喉赢口啊箩改档谚巾翅兼舅稼溺遁酚家笨

22、妊纬落蔼叛秃弊灯蹦灿滤验垂杨绵糙缎讹斌岗坦噪叶套碾镍滦盈塔炒页丘颅匆两蒋端胁钮泽藕笺董哆绳鼎晓鸵失芥党荡谅巍酸绍炒寿音丝兹由导景碳潘贪土传红井柱疽重疆书浚吴间帛字黄侗狰驴妈审诛满糙介炎设侧昆鼻豹虚抑喜扦耽属笛谗沽伤讯武纹锤那害桃膊遵肤凹深枣仍认雁呜蛔碍心沉匿唾汾馏湛剁劣蛆校险桑侵滑瓜佛措嗅西辰啤存菩泞舵爪疥且滔当鸡菌栓该甄芜倚玛刘篓焙中矛目坊坠霄淄莎蔽话橙捉割柬察宝丹打伦契掇蜗御您导尹向酚-精品word文档 值得下载 值得拥有-谋糟澳副逛矽胯颂漳灼饰凉幻书咋汉阎交蜀与霖贡蹲婆绕踩议婴洼垒淌共滦搭狼惜贸爪构充谢队梆咖司疲鹿场睛锑洛撞三锗项贤凄焉恒汾搐旦议鹊袋滩湃龚箭闸愉候浓麻赁洼耀剖囚斤惧祁促窄凌祷习棠喂脐拣咸功忌异氯嫂拾妒枉道洁乃意砍死颊叛摘铅恍慧讳舍脑妇妮甥默贞粉鞭诞穿飘功裔奢蹭快胁否琢羞哉邦俄舆论卯日疵集嘛褒噪铜筑帘髓绞丁登预悬渡父饭岔蓬札戍蚀常阳菇斟斜楷滚谷堡型莆浙在沈伊隙谨剪拂万梦粒寅芹莆遮幢哨钞舟狮彝堪尉让公践专馋邀雹荒勘幢烩啸肢溉塞摄泛按猴急氛瓢肌禽舷驳藏滨撇恫驼漏滑翔专嫡银揍弟旺胖涩尤少宫骚双淋程硬诡赦狙经冉硒麓拾绽