信息安全工作管理規(guī)定復(fù)習(xí)過程

1、信息安全工作管理規(guī)定信息系統(tǒng)安全管理組織機構(gòu)局長、書記 副局長、及總工 機關(guān)處室、基層單位負責(zé)人1 總則1.1 為加強計算機信息系統(tǒng)的安全管理，促進信息化建設(shè)的健康發(fā)展，保障電 網(wǎng)的安全穩(wěn)定運行和正常生產(chǎn)經(jīng)營管理，根據(jù)中華人民共和國計算機信息系統(tǒng)安 全保護條例等國家和上級單位的有關(guān)法律法規(guī)、標(biāo)準規(guī)范，結(jié)合我局信息系統(tǒng)的 實際情況制定本規(guī)定。1.2 本規(guī)定所稱的信息系統(tǒng)是指信息廣域網(wǎng)及內(nèi)部局域網(wǎng)，以及在網(wǎng)絡(luò)上運行 的或未聯(lián)網(wǎng)的所有信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)等） 。1.3 信息系統(tǒng)安全管理要納入全局的安全生產(chǎn)管理體系，遵循“統(tǒng)一領(lǐng)導(dǎo)、統(tǒng) 一規(guī)劃、統(tǒng)一標(biāo)準、統(tǒng)一組織建設(shè)”和“誰主管、誰負責(zé)、聯(lián)合

2、防護、協(xié)同處置” 的原則，實行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針。1.4 信息系統(tǒng)的安全保護，應(yīng)當(dāng)保障信息設(shè)備、設(shè)施的安全和運行環(huán)境的安全， 保障計算機網(wǎng)絡(luò)和信息系統(tǒng)功能的正常發(fā)揮，保障信息的安全，維護信息系統(tǒng)的安 全運行。1.5 信息系統(tǒng)的安全保護，要綜合平衡安全成本和風(fēng)險，優(yōu)化網(wǎng)絡(luò)與信息安全 資源的配置，實行網(wǎng)絡(luò)與信息安全等級保護，確保重點。重點保護網(wǎng)絡(luò)以及關(guān)系到 企業(yè)重大利益，電網(wǎng)安全生產(chǎn)運行等方面的重要信息系統(tǒng)的安全。1.6 局所屬任何單位或個人不得利用信息系統(tǒng)從事危害國家利益、公司利益和 職工合法權(quán)益的活動，不得危害信息系統(tǒng)的安全。1.7 本規(guī)定適用于所屬各單位。

3、2 安全管理責(zé)任制2.1 信息系統(tǒng)安全工作實行全局統(tǒng)一領(lǐng)導(dǎo)下的分級管理，逐級負責(zé)制度。2.2 各單位主要負責(zé)人是本單位信息系統(tǒng)安全第一責(zé)任人。 2.3 局信息系統(tǒng)安全 管理領(lǐng)導(dǎo)小組負責(zé)全局信息系統(tǒng)安全重大事項的決策和協(xié)調(diào)。管理全局信息系統(tǒng)安 全工作，進行指導(dǎo)、協(xié)調(diào)、監(jiān)督和考核，并履行以下管理職責(zé)：2.3.1 貫徹落實國家和上級單位有關(guān)信息系統(tǒng)安全的有關(guān)法規(guī)、 規(guī)程、 制度、指 令、標(biāo)準、規(guī)范 , 統(tǒng)籌本局網(wǎng)絡(luò)建設(shè)和管理信息系統(tǒng)的建設(shè)及相應(yīng)規(guī)章制度的建立。 精品文檔2.3.2 建立健全信息系統(tǒng)安全管理制度和標(biāo)準，組織制定信息系統(tǒng)安全策略， 并負責(zé)組織實施。2.3.3 確保局信息網(wǎng)的安全、可靠、穩(wěn)

4、定運行，保障各類信息在網(wǎng)上的正常運 轉(zhuǎn)，加強信息網(wǎng)的規(guī)范化運行管理，明確各二級單位及信息網(wǎng)絡(luò)管理員的職責(zé)。2.3.4 開展信息系統(tǒng)安全保護的宣傳教育和培訓(xùn)。2.4 信息通信處負責(zé)全局信息系統(tǒng)安全體系建設(shè)和安全技術(shù)保障工作：2.4.1 負責(zé)局本部信息系統(tǒng)安全措施的實施和日常運行維護工作。2.4.2 負責(zé)防病毒襲擾的技術(shù)管理工作。2.4.3 負責(zé)非法上網(wǎng)的監(jiān)控和處理。2.4.4 負責(zé)阻截封鎖外來有害信息和病毒的入侵， 對內(nèi)負責(zé)我局中心機房及網(wǎng)絡(luò) 信息安全管理和監(jiān)控檢查。2.4.5 對服務(wù)器定期進行維護、 管理，及時進行系統(tǒng)更新， 軟件升級， 定期殺毒， 定期對重要數(shù)據(jù)進行備份，保證核心服務(wù)器、網(wǎng)絡(luò)

5、設(shè)備正常運行。2.4.6 監(jiān)控全局網(wǎng)頁的信息內(nèi)容， 發(fā)現(xiàn)有害信息及時處理， 確保內(nèi)容合法、 健康。2.4.7 做好全局計算機的防病毒工作 , 確保計算機信息系統(tǒng)的安全。2.4.8 負責(zé)辦公自動化軟件的維護、管理、數(shù)據(jù)的備份與恢復(fù)，及時發(fā)現(xiàn)安全 隱患，落實防范整改措施。2.4.9 按規(guī)定及時匯報計算機信息系統(tǒng)安全運行情況。2.5 所屬各單位按照局統(tǒng)一部署，具體負責(zé)本單位內(nèi)部信息系統(tǒng)安全管理和運 行維護工作，接受信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組的指導(dǎo)、檢查和監(jiān)督。禁止危害社會 治安、破壞社會穩(wěn)定、損壞企業(yè)形象的行為發(fā)生；防止被壞人利用局信息資源進行 非法活動。3 人員管理3.1 信息通信處應(yīng)設(shè)立信息安全管

6、理、系統(tǒng)管理、網(wǎng)絡(luò)管理等崗位，各單位應(yīng) 設(shè)信息安全管理員崗位，明確崗位職責(zé)和任職條件。3.2 信息通信處負責(zé)人、信息安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等必須經(jīng) 過網(wǎng)絡(luò)與信息安全培訓(xùn)后方可上崗。離崗三個月后重新上崗，必須重新培訓(xùn)。3.3 信息通信處運行、維護人員離崗必須嚴格辦理離崗手續(xù)，移交全部技術(shù)資 料，明確其離崗后的保密義務(wù)，并立即更換有關(guān)口令、密碼和密鑰，注銷其專用帳 戶。4 規(guī)劃建設(shè)4.1 信息安全是信息化發(fā)展與應(yīng)用的重要部分，必須與信息化同步規(guī)劃、同步 建設(shè)、同步管理。4.2 在上級部門領(lǐng)導(dǎo)下統(tǒng)一規(guī)劃、部署防病毒軟件、防火墻、數(shù)據(jù)備份系統(tǒng)、 入侵檢測、安全認證等各項安全技術(shù)設(shè)施，統(tǒng)一建

7、設(shè)完善有效的信息系統(tǒng)安全防護 體系。4.3 各單位不得采用任何形式私自聯(lián)網(wǎng)。4.4 信息安全工程和與信息網(wǎng)絡(luò)安全運行直接相關(guān)的工程，如機房、網(wǎng)絡(luò)綜合 布線、防雷設(shè)施等的建設(shè)，應(yīng)由取得相應(yīng)專業(yè)資質(zhì)的施工單位施工。4.5 機房的建設(shè)應(yīng)符合國家標(biāo)準以及國家和公司的有關(guān)規(guī)定，配備 UPS 電源和 必要的保溫、保濕和防雷、接地、防火、防水、防盜、防鼠等設(shè)施。4.6 對可靠性要求較高的信息系統(tǒng)，配置必要的冗余備用設(shè)備和高可用性措施， 以便故障時切換使用。4.7 電網(wǎng)實時信息系統(tǒng)與管理信息系統(tǒng)之間鏈接必須實行可靠的、安全的物理 隔離，并只限單向傳輸，確保生產(chǎn)實時系統(tǒng)的安全運行。5 日常管理5.1 建立設(shè)備巡

8、檢制度，工作日和重要時期要實行現(xiàn)場值班。5.2 要嚴格遵守信息系統(tǒng)機房管理規(guī)定，規(guī)范信息系統(tǒng)運行環(huán)境管理。5.3 強化網(wǎng)絡(luò)接入管理，規(guī)范聯(lián)網(wǎng)設(shè)備安裝、使用管理。5.4 規(guī)范信息系統(tǒng)投運條件和流程。信息系統(tǒng)建成后必須經(jīng)過試運行并對系統(tǒng) 的安全性、可靠性和應(yīng)急措施進行全面測試，測試和試運行通過后方可投入正式運 行。5.5 嚴格執(zhí)行公司計算機病毒防治管理辦法，統(tǒng)一安裝公司允許采用防病毒軟 件，軟件要覆蓋所有服務(wù)器和客戶端，病毒特征碼應(yīng)定期更新。5.6 建立嚴格的信息系統(tǒng)運行管理規(guī)程，規(guī)范信息系統(tǒng)的操作，實行流程化管 理，建立系統(tǒng)運行日志和操作記錄以及維護檢修記錄。重要操作實行工作票制度。5.7 認真

9、執(zhí)行公司信息系統(tǒng)數(shù)據(jù)和備份管理規(guī)定，加強對數(shù)據(jù)和介質(zhì)的管理， 規(guī)范數(shù)據(jù)的存儲、備份、恢復(fù)以及廢棄介質(zhì)、數(shù)據(jù)的處理。5.8 禁止各單位用戶安裝、使用與工作無關(guān)的軟件。5.9 規(guī)范信息系統(tǒng)的授權(quán)管理，實行權(quán)限分散原則，操作權(quán)限要嚴格按崗位職 責(zé)設(shè)置，實行相互制約、最低授權(quán)原則，使其操作具有可控性、可監(jiān)督性和可審計 性。建立操作人員密碼制度，分清各自責(zé)任，密碼設(shè)置要具有一定的復(fù)雜度，并定 期更換，密碼修改要有記錄。5.10 規(guī)范信息發(fā)布流程，建立信息上網(wǎng)的有關(guān)制度，上網(wǎng)信息實行“誰上網(wǎng)， 誰負責(zé)”原則，原則上先審后發(fā)，秘密信息不得在網(wǎng)上處理、傳輸。5.11 內(nèi)部網(wǎng)頁不允許與外部網(wǎng)頁相鏈接；內(nèi)部網(wǎng)絡(luò)不

10、允許開設(shè)聊天室。6 信息通報6.1 局信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組負責(zé)信息系統(tǒng)安全信息通報工作，領(lǐng)導(dǎo)小組 辦公室負責(zé)信息系統(tǒng)安全信息通報的日常工作，包括信息匯總、分析、研判，及時 將有關(guān)信息通報相關(guān)單位，遇有可能發(fā)生或已經(jīng)發(fā)生重大信息安全事件時，發(fā)布預(yù) 警信息。6.2 信息通報內(nèi)容包括以下七方面：6.2.1 信息系統(tǒng)資源使用異常，網(wǎng)絡(luò)癱瘓、系統(tǒng)宕機、應(yīng)用服務(wù)中斷或數(shù)據(jù)丟 失、被篡改等情況。6.2.2 已經(jīng)確定或可能發(fā)生的有害程序（如病毒、木馬等）在信息網(wǎng)絡(luò)上大范 圍傳播情況。6.2.3 利用信息網(wǎng)絡(luò)從事網(wǎng)絡(luò)攻擊的情況。6.2.4 利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益內(nèi)容情況。6.

11、2.5 電子公告服務(wù)、群發(fā)電子郵件以及廣播式即時通信等網(wǎng)絡(luò)信息服務(wù)中有 害信息的傳播情況。6.2.6 網(wǎng)絡(luò)安全狀況、安全形式分析預(yù)測等信息。6.2.7 其他影響企業(yè)信息安全的信息。6.3 向上級部門報告可采用電子郵件、電話、傳真等形式進行事故報告。6.4 要加強對本單位信息系統(tǒng)運行狀況的檢測、監(jiān)控，做好預(yù)測預(yù)警工作，一 旦出現(xiàn)可能會造成較大影響的信息系統(tǒng)安全事件苗頭或已經(jīng)發(fā)生較大影響的安全事 件，要及時進行匯總、分析、研判， 30 分鐘內(nèi)向公司信息系統(tǒng)安全領(lǐng)導(dǎo)小組辦公 室通報，同時要及時通報與本單位信息系統(tǒng)存在連接狀態(tài)的有關(guān)單位。6.5 在信息安全事件應(yīng)急處置工作結(jié)束后，于 5 個工作日內(nèi)向公

12、司信息系統(tǒng)安 全領(lǐng)導(dǎo)小組辦公室反饋信息安全事件處理情況。6.6 應(yīng)于每月前 3 個工作日內(nèi)，向公司信息系統(tǒng)安全領(lǐng)導(dǎo)小組辦公室報告上月 本單位信息系統(tǒng)的運行狀況。6.7 應(yīng)按照保密工作的有關(guān)規(guī)定，做好信息安全通報的保密工作，并妥善管理 相關(guān)資料， 包括與上級部門進行信息通報過程中的電子文檔、 電話記錄和傳真件等， 存檔備查。7 軟件開發(fā)管理7.1 開發(fā)環(huán)境應(yīng)設(shè)置獨立的工作區(qū)域，并根據(jù)應(yīng)用系統(tǒng)的開發(fā)要求，對該區(qū)域 進行網(wǎng)絡(luò)訪問控制和物理訪問控制，確保開發(fā)數(shù)據(jù)的安全性。7.2 用于開發(fā)的服務(wù)器、個人電腦必須做好嚴格的安全防護措施，包括但不僅 限于更新系統(tǒng)補丁、安裝防病毒軟件（防火墻） 、設(shè)置密碼策略

13、。7.3 使用第三方代碼，應(yīng)對代碼安全性進行評估和測試。7.4 確保測試環(huán)境的安全。應(yīng)將測試環(huán)境與開發(fā)環(huán)境、生產(chǎn)環(huán)境相隔離，避免 測試工作對其它業(yè)務(wù)的影響。8 第三方人員安全管理辦法8.1 各單位應(yīng)建立第三方人員來訪制度和接待記錄制度，設(shè)置來訪接待的記錄 本，由接待人于接待當(dāng)日逐項填寫后保存。8.2 第三方人員自進入各單位起至離開止，必須安排專人（下稱“接待人” ）陪 同，不得任其自行走動。8.3 第三方人員進入各單位進行業(yè)務(wù)活動，應(yīng)當(dāng)由接待人在門衛(wèi)處登記，然后 引領(lǐng)第三方人員到專門的場所進行業(yè)務(wù)洽談。8.4 除以下情況外， 接待人不得引領(lǐng)和允許供應(yīng)商 / 合作商進入辦公室、 實驗室、 生產(chǎn)場

14、地和其他機要區(qū)域：8.4.1 局領(lǐng)導(dǎo)批準的參觀活動。8.4.2 必要的現(xiàn)場安裝、維修、調(diào)測。8.4.3 第三方人員因業(yè)務(wù)需要進入上述區(qū)域的其它情形。8.5 在情況 8.4.2 及 8.4.3 下，接待人引領(lǐng)第三方人員進入上述區(qū)域，需經(jīng)主管 上述區(qū)域的部門負責(zé)人批準。 第三方人員在上述區(qū)域活動時， 接待人必須親自陪同。 對供應(yīng)商、合作商進入機房的情況，接待人和該機房負責(zé)人應(yīng)當(dāng)及時記錄。8.6 除預(yù)定的工作內(nèi)容外，接待人不得為第三方人員隨意安排其它活動；不得 向第三方人員透露業(yè)務(wù)范圍之外的電力技術(shù)、商務(wù)情況。8.7 如因業(yè)務(wù)需要須向第三方人員提供含有電力信息系統(tǒng)的文件、資料或?qū)嵨?的，接待人應(yīng)當(dāng)在獲得相應(yīng)的批準或授權(quán)，并與第三方人員簽訂保密協(xié)議后再行提 供，提供時應(yīng)開具清單請第三方人員簽收。提供文字保密材料的應(yīng)當(dāng)加蓋保密章或 有其它保密標(biāo)識。保密協(xié)議在相關(guān)部門存檔，簽收清單由該部門妥善保存。8.8 第三方人員因業(yè)務(wù)需要須接入電力內(nèi)部網(wǎng)絡(luò)的，需由信通處或領(lǐng)導(dǎo)審批， 并由信通處專人負責(zé)對第三方人員行為進行監(jiān)控。第三方人員應(yīng)遵從電力相關(guān)上網(wǎng) 管理規(guī)定。8.9 各單位應(yīng)當(dāng)對第三方人員安全策略執(zhí)行情況進行有效的監(jiān)督和管理，對違 反本策略的行為要及時指正，對嚴重違反者要立即上報。9 考核與獎懲9