國家電網(wǎng)公司信息系統(tǒng)安全管理辦法

1、精品資料 可編輯 國家電網(wǎng)公司信息系統(tǒng)安全管理辦法 第一章 總 則 第一條 為加強(qiáng)和規(guī)范國家電網(wǎng)公司（以下簡稱公司）信息系統(tǒng)安全工作， 提高公司信息系統(tǒng)整體安全防護(hù)水平，實現(xiàn)信息系統(tǒng)安全的可控、能控、在控， 依據(jù)國家有關(guān)法律、法規(guī)、規(guī)定及公司有關(guān)制度，制定本辦法。 第二條 本辦法所稱信息系統(tǒng)指公司一體化企業(yè)級信息系統(tǒng)，主要包括一體 化企業(yè)級信息集成平臺（以下簡稱“一體化平臺”）和八大業(yè)務(wù)應(yīng)用。 “一體化 平臺”包含信息網(wǎng)絡(luò)、 數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門戶； “業(yè)務(wù)應(yīng)用” 包含財務(wù)（資金）管理、營銷管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、 物資管理、 項目管理、綜合管理業(yè)務(wù)應(yīng)用。

2、電力二次系統(tǒng)安全防護(hù)遵照國家電力 監(jiān)管委員會 5 號令電力二次系統(tǒng)安全防護(hù)規(guī)定及其配套文件 電力二次系統(tǒng) 安全防護(hù)總體方案執(zhí)行。 第三條 信息系統(tǒng)安全主要任務(wù)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確 保信息內(nèi)容的機(jī)密性、 完整性、可用性， 防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng) 不能正常使用和系統(tǒng)崩潰， 抵御黑客、 病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類 攻擊和破壞， 防止信息內(nèi)容及數(shù)據(jù)丟失和失密， 防止有害信息在網(wǎng)上傳播， 防止 公司對外服務(wù)中斷和由此造成的電力系統(tǒng)運行事故。 第四條 公司信息系統(tǒng)安全堅持 “分區(qū)、分級、分域” 總體防護(hù)策略，執(zhí)行 信息系統(tǒng)安全等級保護(hù)制度。 管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)

3、和信息外網(wǎng)， 實現(xiàn)“雙 機(jī)雙網(wǎng)”，信息內(nèi)網(wǎng)定位為公司信息化“ SG186工程業(yè)務(wù)應(yīng)用承載網(wǎng)絡(luò)和內(nèi)部 辦公網(wǎng)絡(luò)，信息外網(wǎng)定位為對外業(yè)務(wù)網(wǎng)絡(luò)和訪問互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。信息內(nèi)、 外網(wǎng)之間實施強(qiáng)邏輯隔離的措施。 精品資料 可編輯 電力二次系統(tǒng)實行“安全分區(qū)、網(wǎng)絡(luò)專用、橫 向隔離、縱向認(rèn)證”的安全防護(hù)策略。 第五條在規(guī)劃和建設(shè)信息系統(tǒng)時，信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三同步” 原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運行 。 第六條 本辦法適用于公司總部，各區(qū)域電網(wǎng)、?。ㄗ灾螀^(qū)、直轄市）電力 公司和公司直屬單位（以下簡稱各單位）的信息系統(tǒng)安全管理工作。 第二章信息系統(tǒng)安全管理職責(zé) 第七條公司信息系

4、統(tǒng)安全管理實行統(tǒng)一領(lǐng)導(dǎo)、分級管理。各單位主要負(fù)責(zé) 人是本單位信息系統(tǒng)安全第一責(zé)任人，各單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位信息系 統(tǒng)安全重大事項決策和協(xié)調(diào)工作。 第八條 信息系統(tǒng)安全納入公司安全管理體系，實行專業(yè)管理、歸口監(jiān)督。 公司信息化工作部是信息系統(tǒng)安全的管理部門，負(fù)責(zé)管理信息大區(qū)（信息內(nèi)網(wǎng)和 信息外網(wǎng)）的安全保障，國家電力調(diào)度通信中心負(fù)責(zé)電力二次系統(tǒng)特別是生產(chǎn)控 制大區(qū)系統(tǒng)的安全保障，安全監(jiān)察部負(fù)責(zé)公司信息系統(tǒng)安全監(jiān)督工作。 第九條公司信息化工作部主要職責(zé)： （一） 落實國家有關(guān)信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，聯(lián)系國 家有關(guān)部門落實信息系統(tǒng)安全管理相關(guān)工作； （二） 組織制定公司信息

5、系統(tǒng)安全管理規(guī)章制度和標(biāo)準(zhǔn)規(guī)范； （三） 指導(dǎo)、協(xié)調(diào)和檢查各單位信息系統(tǒng)安全工作， 組織落實公司信息系統(tǒng) 等級保護(hù)制度，統(tǒng)籌開展公司信息系統(tǒng)風(fēng)險評估和安全檢查工作； （四） 負(fù)責(zé)信息系統(tǒng)二級以下事故的調(diào)查和處理 （公司信息系統(tǒng)安全事件描 述見 國精品資料 可編輯 家電網(wǎng)公司信息系統(tǒng)事故調(diào)查與統(tǒng)計規(guī)定）；協(xié)助信息系統(tǒng)一級、二 級事故的調(diào)查和處理； （五） 在公司應(yīng)急體系框架內(nèi)，負(fù)責(zé)公司信息系統(tǒng)應(yīng)急管理相關(guān)工作； （六） 開展涉密計算機(jī)網(wǎng)絡(luò)和系統(tǒng)立項、設(shè)計和建設(shè)，做好信息系統(tǒng)安全與 保密檢查； （七） 負(fù)責(zé)規(guī)范公司信息系統(tǒng)安全產(chǎn)品的測評和選型工作。 第十條公司安全監(jiān)察部主要職責(zé)： （一） 負(fù)責(zé)公司

6、信息系統(tǒng)安全全過程監(jiān)督檢查； （二） 負(fù)責(zé)信息系統(tǒng)一級、二級事故的調(diào)查和處理； （三） 負(fù)責(zé)監(jiān)督公司信息系統(tǒng)應(yīng)急管理工作落實； （四） 負(fù)責(zé)歸口統(tǒng)計信息系統(tǒng)安全事故。 第十一條 國家電力調(diào)度通信中心主要職責(zé)： （一） 負(fù)責(zé)制定電力二次系統(tǒng)管理制度，負(fù)責(zé)制定公司電力二次系統(tǒng)安全防 護(hù)方案及應(yīng)急處理預(yù)案； （二） 負(fù)責(zé)審核下級電力二次系統(tǒng)安全防護(hù)實施方案和應(yīng)急處理預(yù)案， 負(fù)責(zé) 電力二次系統(tǒng)信息系統(tǒng)安全事故的調(diào)查和處理； （三）配合完成國家有關(guān)部門對公司電力二次系統(tǒng)開展的信息系統(tǒng)安全檢 查、等級保護(hù)制度落實等各項工作。 精品資料 可編輯 第十二條業(yè)務(wù)應(yīng)用部門主要職責(zé)： （一） 配合開展業(yè)務(wù)應(yīng)用系統(tǒng)安

7、全等級定級工作； （二） 配合開展業(yè)務(wù)應(yīng)用系統(tǒng)安全測評、安全檢查和風(fēng)險評估等工作； （三） 負(fù)責(zé)或配合開展業(yè)務(wù)應(yīng)用使用人員的有關(guān)信息系統(tǒng)安全和保密培訓(xùn)工 作； （四） 協(xié)助開展業(yè)務(wù)應(yīng)用人員辦公計算機(jī)安全管理。 第十三條各單位主要職責(zé)： （一） 負(fù)責(zé)貫徹落實國家有關(guān)信息系統(tǒng)安全法規(guī)、 方針、政策、標(biāo)準(zhǔn)和規(guī)范， 貫徹落實公司信息系統(tǒng)安全相關(guān)規(guī)章制度和技術(shù)標(biāo)準(zhǔn)，建立健全本單位信息系統(tǒng) 安全標(biāo)準(zhǔn)制度和規(guī)范體系； （二） 負(fù)責(zé)落實本單位范圍內(nèi)信息系統(tǒng)安全工作責(zé)任制； （三） 在公司信息職能管理部門指導(dǎo)下，落實本單位信息系統(tǒng)等級保護(hù)制度、 信息系統(tǒng)風(fēng)險評估和安全檢查等工作； （四） 按公司信息系統(tǒng)應(yīng)急體系

8、要求建立本單位信息系統(tǒng)應(yīng)急體系， 組織本 單位信息系統(tǒng)安全突發(fā)事件的應(yīng)急處理； （五） 負(fù)責(zé)明確本單位信息系統(tǒng)安全運行維護(hù)部門或機(jī)構(gòu)，落實信息系統(tǒng)安 全運行維護(hù)日常工作，具體落實信息系統(tǒng)安全等級保護(hù)和安全策略； （六）組織本單位信息系統(tǒng)安全的宣傳和培訓(xùn)。 精品資料 可編輯 第三章管理措施 第十四條不斷建立健全信息系統(tǒng)安全管理制度體系，通過操作規(guī)程實現(xiàn)安 全管理和操作人員的標(biāo)準(zhǔn)化作業(yè)；定期對信息系統(tǒng)安全管理制度進(jìn)行檢查和審 定，對存在不足或需要改進(jìn)的安全管理制度及時進(jìn)行修訂。 第十五條 明確安全管理機(jī)構(gòu)，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員 等崗位，并明確各崗位職責(zé)。應(yīng)加強(qiáng)信息系統(tǒng)安全管理人員

9、之間、 信息職能部門 和業(yè)務(wù)部門之間的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息 系統(tǒng)安全問題。 第十六條 嚴(yán)格遵守“涉密不上網(wǎng)、上網(wǎng)不涉密” 紀(jì)律，嚴(yán)禁將涉密計算機(jī) 與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴(yán)禁在非涉密計算機(jī)和互聯(lián)網(wǎng)上存儲、處理 國家秘密。嚴(yán)禁在信息外網(wǎng)計算機(jī)上存儲和處理涉及企業(yè)秘密的信息。 嚴(yán)禁涉密 移動存儲介質(zhì)在涉密計算機(jī)和非涉密計算機(jī)及互聯(lián)網(wǎng)上交叉使用。 第十七條 嚴(yán)格信息系統(tǒng)安全工作人員錄用過程，審查其身份、背景、專業(yè) 資格，關(guān)鍵崗位應(yīng)簽署保密協(xié)議；及時終止離崗員工的所有訪問權(quán)限； 嚴(yán)格外部 人員訪問程序，對允許訪問人員實行專人全程陪同或監(jiān)督，并登記備案。 第十八

10、條 嚴(yán)格按照國家有關(guān)部門要求，開展公司網(wǎng)絡(luò)與信息系統(tǒng)定級、審 批、備案工作。針對確定的網(wǎng)絡(luò)與信息系統(tǒng)安全等級，要根據(jù)等級保護(hù)有關(guān)要求， 落實必要的管理和技術(shù)措施，嚴(yán)格執(zhí)行等級保護(hù)制度。 第十九條 新建信息系統(tǒng)涉及安全防護(hù)措施建設(shè)，應(yīng)明確安全需求，確定安 全等級，結(jié)合公司安全防護(hù)總體策略，進(jìn)行安全防護(hù)方案設(shè)計；根據(jù)國家有關(guān)規(guī) 定和堅持鼓勵使用國產(chǎn)化產(chǎn)品原則， 開展安全產(chǎn)品采購，必要時開展產(chǎn)品預(yù)先選 型測試；加強(qiáng)軟件開發(fā)管理，確保開發(fā)環(huán)境與實際運行環(huán)境安全隔離； 委托有資 質(zhì)的第三方測試單位對系統(tǒng)進(jìn)行安全性精品資料 可編輯 測試，并出具安全性測試報告；對測試不 符合要求的，在整改后要重新測試。系統(tǒng)

11、試運行前，要開展相關(guān)安全培訓(xùn)。 第二十條加強(qiáng)信息系統(tǒng)運行維護(hù)全過程管理： （一） 嚴(yán)格執(zhí)行信息機(jī)房管理有關(guān)規(guī)范，確保機(jī)房運行環(huán)境符合要求，嚴(yán)格 機(jī)房出入管理。要編制信息系統(tǒng)資產(chǎn)清單，建立資產(chǎn)管理制度，根據(jù)資產(chǎn)重要程 度對資產(chǎn)進(jìn)行標(biāo)識。 （二） 對信息系統(tǒng)軟硬件設(shè)備選型、采購、使用等實行規(guī)范化管理，建立相 應(yīng)操作規(guī)程，對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備實行標(biāo)準(zhǔn)化作 業(yè)。強(qiáng)化存儲介質(zhì)存放、使用、維護(hù)和銷毀等各項措施。 （三） 按照最小服務(wù)配置和最小授權(quán)原則，對安全策略、安全配置、日志和 操作等方面做出具體規(guī)定，明確各個角色的權(quán)限、責(zé)任和風(fēng)險；詳細(xì)記錄日常操 作、運行維護(hù)記錄、參數(shù)設(shè)置和

12、修改等內(nèi)容，嚴(yán)禁任何未經(jīng)授權(quán)的操作；定期開 展運行日志和審計數(shù)據(jù)分析工作，及時發(fā)現(xiàn)異常行為。及時根據(jù)需要進(jìn)行軟件升 級更新，并在更新前做好備份；定期進(jìn)行漏洞掃描，及時發(fā)現(xiàn)安全漏洞并進(jìn)行修 補；及時安裝補丁程序，在安裝補丁前做好測試和備份工作。 （四） 及時升級防病毒軟件，加強(qiáng)全員防病毒、木馬的意識，不打開、閱讀 來歷不明的郵件；要指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并做好記錄， 定期 開展分析；加強(qiáng)防惡意代碼軟件授權(quán)使用、惡意代碼庫升級等管理。 （五） 嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報和審批程序， 建立健全變更管理制度。保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)，進(jìn)行必 要的安

13、全隔離，配置嚴(yán)格的訪問控制策略，開展必要的安全評估。 精品資料 可編輯 （六） 建立和執(zhí)行密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技 術(shù)和產(chǎn)品。 （七） 對信息網(wǎng)絡(luò)與系統(tǒng)運行狀況等進(jìn)行監(jiān)測和報警；定期對監(jiān)測和報警記 錄進(jìn)行分析，根據(jù)需要采取必要的應(yīng)對措施；應(yīng)建立安全管理中心，對安全設(shè)備、 惡意代碼、補丁升級、安全審計等安全設(shè)施進(jìn)行集中管理。 （八） 嚴(yán)格按照有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定，及時報告信息系統(tǒng)事故情況， 認(rèn)真開展信息系統(tǒng)事故原因分析，堅持“四不放過”原則，有效落實整改，確保 類似事故不再發(fā)生。嚴(yán)格執(zhí)行有關(guān)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運行情況通報制度， 做好定期、節(jié)假日和特殊時期的網(wǎng)絡(luò)與

14、信息系統(tǒng)安全運行情況報送工作。 第二十一條嚴(yán)格執(zhí)行公司有關(guān)信息系統(tǒng)安全風(fēng)險評估管理規(guī)定，切實將信 息系統(tǒng)安全風(fēng)險評估工作常態(tài)化和制度化， 及時落實整改，及時消除信息系統(tǒng)安 全隱患。根據(jù)國家和公司要求，定期開展信息系統(tǒng)安全檢查工作， 做好特殊時期 安全檢查和安全保障工作。 第二十二條 不斷完善應(yīng)急預(yù)案，加強(qiáng)培訓(xùn)和演練，確保人力、設(shè)備等應(yīng)急 保障資源可用。 第二十三條 建立備份與恢復(fù)管理相關(guān)安全管理制度，嚴(yán)格控制數(shù)據(jù)備份和 恢復(fù)過程， 妥善保存?zhèn)浞萦涗洠?定期執(zhí)行恢復(fù)程序。 要切實根據(jù)需要開展業(yè)務(wù)應(yīng) 用容災(zāi)系統(tǒng)建設(shè)。 第二十四條 切實加強(qiáng)網(wǎng)絡(luò)信任體系建設(shè)規(guī)劃工作，不斷完善公司安全認(rèn)證 系統(tǒng)相關(guān)技術(shù)

15、標(biāo)準(zhǔn)和功能規(guī)范。 強(qiáng)化信任體系應(yīng)用工作， 做好信息系統(tǒng)統(tǒng)一身份 認(rèn)證，以及重要信息的加密和簽名工作。 第二十五條 切實加強(qiáng)員工信息系統(tǒng)安全培訓(xùn)， 提高全員信息系統(tǒng)安全意識； 強(qiáng)化信精品資料 可編輯 息系統(tǒng)安全人員專業(yè)技能培訓(xùn)， 做到培訓(xùn)工作有計劃、 有總結(jié)， 培訓(xùn)效果 有評價。要對關(guān)鍵崗位人員進(jìn)行全面、 嚴(yán)格的安全審查和技能考核， 對在信息系 統(tǒng)安全工作中做出顯著成績的單位和人員應(yīng)給予獎勵和表彰。對違反國家法律、 法規(guī)和公司有關(guān)規(guī)定，造成一定不良影響和后果的，要追究其責(zé)任。 第四章 技術(shù)措施 第二十六條 根據(jù)國家和公司有關(guān)規(guī)定，對機(jī)房建筑設(shè)置符合要求的避雷裝 置、滅火和火災(zāi)自動報警系統(tǒng)；采取防

16、雨水措施，防止雨水、水蒸氣結(jié)露和地下 積水；設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，控制機(jī)房溫、濕度在設(shè)備運行所允許范圍之 內(nèi)，保證雙路供電 ,電源線和通信電纜應(yīng)隔離，避免互相干擾；采用接地方式防 止外界電磁干擾和設(shè)備寄生耦合干擾。 第二十七條 加強(qiáng)網(wǎng)絡(luò)安全技術(shù)工作： （一）網(wǎng)絡(luò)核心交換機(jī)、 路由器等網(wǎng)絡(luò)設(shè)備要冗余配置， 合理分配網(wǎng)絡(luò)帶寬； 建立業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問控制； 根據(jù)需要劃分不同子網(wǎng)； 對重要網(wǎng) 段采取 網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定 措施。 （二） 采用防火墻或入侵防護(hù)設(shè)備（IPS）對內(nèi)網(wǎng)邊界實施訪問審查和控制； 對進(jìn)出網(wǎng)絡(luò)信息內(nèi)容實施過濾， 對應(yīng)用層常用協(xié)議命令進(jìn)行控制， 網(wǎng)關(guān)應(yīng)限制

17、網(wǎng) 絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。嚴(yán)格撥號訪問控制措施。 （三） 加強(qiáng)內(nèi)部用戶私自訪問外部網(wǎng)絡(luò)行為的檢測工作，要能夠及時發(fā)現(xiàn)， 準(zhǔn)確定位，有效阻斷；對重要網(wǎng)段，應(yīng)采用入侵檢測系統(tǒng)進(jìn)行監(jiān)控，對入侵事件 及時提供報警。 第二十八條 加強(qiáng)系統(tǒng)安全技術(shù)工作： （一） 對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進(jìn)行身份標(biāo)識和鑒別， 具有登錄失敗處 理，精品資料 可編輯 限制非法登錄次數(shù)， 設(shè)置連接超時功能； 用戶訪問不得采用空賬號和空口令， 口令要足夠強(qiáng)健，長度不得少于 8 位。 （二） 嚴(yán)格限制匿名用戶的訪問權(quán)限； 實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶 訪問權(quán)限分離， 對訪問權(quán)限一致的用戶進(jìn)行分組， 訪問控制力度應(yīng)達(dá)到主體為用 戶級，客體為文件、數(shù)據(jù)庫表級。 （三） 控制單個用戶的多重并發(fā)會話和最大并發(fā)連接數(shù)， 限制單個用戶對系 統(tǒng)資源、磁盤空間的最大或最小使用限度， 當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最 小值時，應(yīng)能檢測并報警。 第二十九條 嚴(yán)格網(wǎng)絡(luò)、系統(tǒng)安全審計工作，安全審計系統(tǒng)應(yīng)定期生成審計