國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)-安全管理辦法

國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全管理辦法

第一章

總則第一條

為加強(qiáng)和規(guī)范國(guó)家電網(wǎng)公司（以下簡(jiǎn)稱“公司”）網(wǎng)絡(luò)與信息系統(tǒng)安全工作，切實(shí)提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，實(shí)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)安全的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)、規(guī)定及公司有關(guān)制度，制定本辦法。第二條

本辦法所稱網(wǎng)絡(luò)與信息系統(tǒng)是指公司電力通信網(wǎng)及其承載的管理信息系統(tǒng)和電力二次系統(tǒng)。第三條

本辦法適用于公司總（分）部及所屬各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作。第四條

網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)目標(biāo)是保障電力生產(chǎn)監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，保障管理信息系統(tǒng)及通信、網(wǎng)絡(luò)的安全，落實(shí)信息系統(tǒng)生命周期全過(guò)程安全管理，實(shí)現(xiàn)信息安全可控、能控、在控。防范對(duì)電力二次系統(tǒng)、管理信息系統(tǒng)的惡意攻擊及侵害，抵御內(nèi)外部有組織的攻擊，防止由于電力二次系統(tǒng)、管理信息系統(tǒng)的崩潰或癱瘓?jiān)斐傻碾娏ο到y(tǒng)事故。第五條

公司網(wǎng)絡(luò)與信息系統(tǒng)安全工作堅(jiān)持“三納入一融合”原則，將等級(jí)保護(hù)納入網(wǎng)絡(luò)與信息系統(tǒng)安全工作中，將網(wǎng)絡(luò)與信息系統(tǒng)安全納入信息化日常工作中，將網(wǎng)絡(luò)與信息系統(tǒng)安全納入公司安全生產(chǎn)管理體系中，將網(wǎng)絡(luò)與信息系統(tǒng)安全融入公司安全生產(chǎn)中。在規(guī)劃和建設(shè)網(wǎng)絡(luò)與信息系統(tǒng)時(shí),信息通信安全防護(hù)措施應(yīng)按照“三同步”原則，與網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。第六條

管理信息系統(tǒng)安全防護(hù)堅(jiān)持“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動(dòng)態(tài)感知、全面防護(hù)、準(zhǔn)入備案”的總體安全策略，執(zhí)行信息安全等級(jí)保護(hù)制度。其中“雙網(wǎng)雙機(jī)”指信息內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離設(shè)備進(jìn)行隔離，并分別采用獨(dú)立的服務(wù)器及桌面主機(jī)；“分區(qū)分域”指依據(jù)等級(jí)保護(hù)定級(jí)情況及業(yè)務(wù)系統(tǒng)類型，進(jìn)行安全域劃分，以實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù)；“安全接入”指通過(guò)采用終端加固、安全通道、認(rèn)證等措施保障終端接入公司信息內(nèi)外網(wǎng)安全；“動(dòng)態(tài)感知”指對(duì)公司網(wǎng)絡(luò)、信息系統(tǒng)、終端及設(shè)備等安全狀態(tài)進(jìn)行全面動(dòng)態(tài)監(jiān)測(cè)，實(shí)現(xiàn)事前預(yù)警、事中監(jiān)測(cè)和事后審計(jì)；“全面防護(hù)”指對(duì)物理、網(wǎng)絡(luò)邊界、主機(jī)、應(yīng)用和數(shù)據(jù)等進(jìn)行深度防護(hù)，加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè)，覆蓋防護(hù)各層次、各環(huán)節(jié)、各對(duì)象；“準(zhǔn)入備案”指對(duì)所有接入公司網(wǎng)絡(luò)的各類網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、終端、設(shè)備進(jìn)行準(zhǔn)入及備案管理。第七條

電力二次系統(tǒng)安全防護(hù)按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的防護(hù)原則，并遵照原國(guó)家電力監(jiān)管委員會(huì)《電力二次系統(tǒng)安全防護(hù)規(guī)定》及《電力二次系統(tǒng)安全防護(hù)總體方案》等相關(guān)文件執(zhí)行。

第二章

職責(zé)分工第八條

公司信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理，遵循“誰(shuí)主管誰(shuí)負(fù)責(zé)；誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)；誰(shuí)使用誰(shuí)負(fù)責(zé)；管業(yè)務(wù)必須管安全”的原則，嚴(yán)格落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任。各級(jí)單位主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)與信息系統(tǒng)安全第一責(zé)任人。各級(jí)單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位網(wǎng)絡(luò)信息安全（含生產(chǎn)控制大區(qū)和管理信息大區(qū)）的總體協(xié)調(diào)領(lǐng)導(dǎo)。第九條

網(wǎng)絡(luò)與信息系統(tǒng)實(shí)行專業(yè)管理、歸口監(jiān)督。國(guó)網(wǎng)信通部是信息安全防護(hù)的歸口部門，負(fù)責(zé)管理信息系統(tǒng)及電力通信網(wǎng)的安全防護(hù)。國(guó)調(diào)中心負(fù)責(zé)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和電力二次系統(tǒng)的安全防護(hù)。國(guó)網(wǎng)安質(zhì)部負(fù)責(zé)公司信息安全監(jiān)督、檢查和評(píng)價(jià)工作。國(guó)網(wǎng)辦公廳（保密辦）負(fù)責(zé)公司保密管理，負(fù)責(zé)信息失泄密情況的調(diào)查和處理。各業(yè)務(wù)部門負(fù)責(zé)本專業(yè)系統(tǒng)及終端的安全監(jiān)控和防護(hù)。各級(jí)單位負(fù)責(zé)落實(shí)本單位網(wǎng)絡(luò)與信息系統(tǒng)安全工作。第十條

國(guó)網(wǎng)信通部主要職責(zé)如下：（一）落實(shí)國(guó)家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，聯(lián)系國(guó)家有關(guān)部門落實(shí)相關(guān)安全工作。組織制定公司網(wǎng)絡(luò)與信息系統(tǒng)安全管理標(biāo)準(zhǔn)規(guī)范和規(guī)章制度。（二）負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全體系規(guī)劃設(shè)計(jì)、架構(gòu)管控、總體安全防護(hù)方案制訂、核心安全防護(hù)措施部署和策略優(yōu)化配置并組織實(shí)施。（三）指導(dǎo)總部各部門、公司各級(jí)單位開展網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控工作，組織落實(shí)等級(jí)保護(hù)測(cè)評(píng)整改、風(fēng)險(xiǎn)評(píng)估和隱患排查治理等工作。（四）負(fù)責(zé)信息安全技術(shù)督查體系建設(shè)，組織開展公司信息安全技術(shù)督查工作。（五）協(xié)助開展網(wǎng)絡(luò)與信息系統(tǒng)事件的調(diào)查處理，組織制定、落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)反事故措施。（六）負(fù)責(zé)信息安全態(tài)勢(shì)跟蹤、事件監(jiān)測(cè)與分析、信息安全通報(bào)。（七）負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置。第十一條

國(guó)調(diào)中心主要職責(zé)如下：（一）負(fù)責(zé)公司生產(chǎn)控制大區(qū)（含各級(jí)調(diào)度、變電站、發(fā)電廠、配電自動(dòng)化、負(fù)荷控制等）工控系統(tǒng)安全防護(hù)管理，統(tǒng)籌公司經(jīng)營(yíng)范圍內(nèi)并網(wǎng)發(fā)電廠涉網(wǎng)部分的監(jiān)控系統(tǒng)和繼電保護(hù)等工控系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督管理。（二）負(fù)責(zé)落實(shí)國(guó)家電力二次系統(tǒng)安全防護(hù)要求，組織制定公司電力二次系統(tǒng)安全管理制度，指導(dǎo)各級(jí)單位開展電力二次系統(tǒng)安全防護(hù)的實(shí)施方案制定和運(yùn)行管理。（三）配合完成國(guó)家有關(guān)部門對(duì)公司電力二次系統(tǒng)開展的風(fēng)險(xiǎn)評(píng)估和隱患排查、信息安全檢查，落實(shí)等級(jí)保護(hù)制度等工作。（四）負(fù)責(zé)電力二次系統(tǒng)安全防護(hù)技術(shù)督查體系建設(shè)以及組織開展電力二次系統(tǒng)的安全技術(shù)督查工作。（五）負(fù)責(zé)電力二次系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置。第十二條

國(guó)網(wǎng)安質(zhì)部主要職責(zé)如下：（一）負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全檢查和評(píng)價(jià)。（二）負(fù)責(zé)公司信息安全事件的調(diào)查、分析、處理和事件通報(bào)。（三）落實(shí)常態(tài)信息安全風(fēng)險(xiǎn)評(píng)估工作，與公司春秋季檢和迎峰度夏工作相結(jié)合，切實(shí)將風(fēng)險(xiǎn)評(píng)估工作常態(tài)化，及時(shí)落實(shí)整改，消除安全隱患。（四）切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè)。按照綜合協(xié)調(diào)、統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)的原則，在公司總部、各分部、?。ㄗ灾螀^(qū)、直轄市）電力公司、直屬單位建立應(yīng)急組織和指揮體系；堅(jiān)持“安全第一、預(yù)防為主”的方針，加強(qiáng)應(yīng)急響應(yīng)隊(duì)伍建設(shè)，優(yōu)化完善應(yīng)急預(yù)案，落實(shí)常態(tài)應(yīng)急演練工作，做好應(yīng)急保障工作；加強(qiáng)安全風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)警，建立“上下聯(lián)動(dòng)、區(qū)域協(xié)作”的快速響應(yīng)工作，強(qiáng)化應(yīng)急處置。（五）嚴(yán)格執(zhí)行信息安全事故通報(bào)制度（通報(bào)規(guī)范見附件1），做好節(jié)假日和特殊時(shí)期的安全運(yùn)行情況報(bào)送工作。（六）落實(shí)健全網(wǎng)絡(luò)與信息系統(tǒng)安全準(zhǔn)入工作，加強(qiáng)對(duì)接入公司網(wǎng)絡(luò)的各類系統(tǒng)、終端、設(shè)備的準(zhǔn)入及備案管理，強(qiáng)化備案信息與上下線相關(guān)運(yùn)行安全工作的準(zhǔn)入聯(lián)動(dòng)工作。（七）嚴(yán)格按照公司安全事故調(diào)查規(guī)程，開展事故原因分析，做好事故調(diào)查工作，堅(jiān)持“四不放過(guò)”原則，有效落實(shí)整改。（八）貫徹落實(shí)信息安全等級(jí)保護(hù)制度，持續(xù)強(qiáng)化信息安全等級(jí)保護(hù)工作管理，做好系統(tǒng)等級(jí)保護(hù)定級(jí)、備案、建設(shè)、測(cè)評(píng)與整改工作。（九）深入開展信息安全動(dòng)態(tài)治理工作，推動(dòng)各級(jí)單位信息安全工作的落實(shí)與持續(xù)改進(jìn)，提升信息安全流程化、標(biāo)準(zhǔn)化和規(guī)范化水平。強(qiáng)化隱患排查治理工作，強(qiáng)化從隱患發(fā)現(xiàn)到隱患治理的閉環(huán)管理工作，消除信息安全薄弱環(huán)節(jié)。（十）開展信息技術(shù)供應(yīng)鏈安全管理工作，開展信息技術(shù)軟硬件設(shè)備和服務(wù)供應(yīng)商安全管理、軟硬件設(shè)備選型和安全測(cè)試工作，逐步實(shí)現(xiàn)核心運(yùn)行系統(tǒng)的國(guó)產(chǎn)化。加強(qiáng)外部合作單位和供應(yīng)商管理，嚴(yán)格外部單位資質(zhì)審核。嚴(yán)禁合作單位和供應(yīng)商在對(duì)互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)絡(luò)和信息系統(tǒng)中存儲(chǔ)和運(yùn)行公司相關(guān)業(yè)務(wù)系統(tǒng)數(shù)據(jù)和敏感信息。關(guān)鍵軟硬件設(shè)備采購(gòu)應(yīng)開展產(chǎn)品預(yù)先選型和安全檢測(cè)。對(duì)涉及的信息安全軟硬件產(chǎn)品和密碼產(chǎn)品要堅(jiān)持國(guó)產(chǎn)化原則，信息安全核心防護(hù)產(chǎn)品以自主研發(fā)為主。管理信息系統(tǒng)軟硬件產(chǎn)品逐步采用全國(guó)產(chǎn)化產(chǎn)品。及時(shí)開展各種軟硬件漏洞檢測(cè)及修復(fù)。（十一）建立信息安全綜合評(píng)價(jià)體系，加強(qiáng)信息安全監(jiān)督及考核評(píng)價(jià)，將網(wǎng)絡(luò)與信息系統(tǒng)安全落實(shí)情況納入各級(jí)單位信息化水平評(píng)價(jià)。（十二）加強(qiáng)密碼技術(shù)的開發(fā)利用以及密碼安全保障，落實(shí)密鑰的統(tǒng)一選型及應(yīng)用工作，充分發(fā)揮密碼技術(shù)在信息安全工作中的基礎(chǔ)作用。第二十條

加強(qiáng)電力通信網(wǎng)的安全管理，規(guī)范電力通信網(wǎng)絡(luò)安全防護(hù)體系，健全針對(duì)各類網(wǎng)絡(luò)在線監(jiān)測(cè)和安全預(yù)警能力，做好對(duì)光纜、網(wǎng)絡(luò)交換設(shè)備、物理區(qū)域與人員的安全訪問(wèn)管理，禁止通信網(wǎng)管系統(tǒng)未經(jīng)網(wǎng)絡(luò)隔離裝置與信息內(nèi)網(wǎng)互聯(lián)，禁止通信網(wǎng)管系統(tǒng)與外部維護(hù)廠商間進(jìn)行網(wǎng)絡(luò)連接。電力通信設(shè)備、線路等應(yīng)采用冗余保障、網(wǎng)絡(luò)優(yōu)化、設(shè)備網(wǎng)管防護(hù)等措施提高可用性。第二十一條

加強(qiáng)信息內(nèi)外網(wǎng)網(wǎng)站管理。各級(jí)單位對(duì)外網(wǎng)站應(yīng)與公司外網(wǎng)企業(yè)門戶網(wǎng)站進(jìn)行整合，內(nèi)網(wǎng)宣傳網(wǎng)站要與公司內(nèi)網(wǎng)企業(yè)門戶進(jìn)行整合，實(shí)現(xiàn)網(wǎng)站統(tǒng)一管理與備案。網(wǎng)站信息發(fā)布須嚴(yán)格按照公司審核發(fā)布流程。各級(jí)單位網(wǎng)站統(tǒng)一使用公司域名，并規(guī)范網(wǎng)站功能設(shè)置及網(wǎng)站風(fēng)格設(shè)計(jì)。加強(qiáng)內(nèi)外網(wǎng)郵件統(tǒng)一管理，禁止各級(jí)單位建立獨(dú)立內(nèi)外網(wǎng)郵件系統(tǒng)，如確實(shí)需要建立，需提前報(bào)公司批準(zhǔn)。第二十二條

加強(qiáng)信息安全備案準(zhǔn)入工作。各級(jí)單位要鞏固信息安全備案準(zhǔn)入成果，加強(qiáng)對(duì)采集類業(yè)務(wù)終端的安全備案，嚴(yán)格各類信息資產(chǎn)安全備案作為入網(wǎng)的必要條件。加強(qiáng)安全備案數(shù)據(jù)質(zhì)量的治理工作，確保填報(bào)信息完整、準(zhǔn)確及更新及時(shí)，對(duì)于未備案的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)專線，一經(jīng)發(fā)現(xiàn)立即關(guān)停，按照公司有關(guān)要求進(jìn)行追責(zé)及處置。第二十三條

微博微信等新業(yè)務(wù)安全管理要求如下：（一）強(qiáng)化對(duì)企業(yè)官方微博微信、Wi-Fi網(wǎng)絡(luò)、其他新業(yè)務(wù)的安全備案準(zhǔn)入與管理，加強(qiáng)微博微信開設(shè)、使用的安全管理，加強(qiáng)信息外網(wǎng)無(wú)線Wi-Fi網(wǎng)絡(luò)的審批、備案與使用管理。（二）各級(jí)單位要加強(qiáng)官方微博微信的開設(shè)與管理，加強(qiáng)對(duì)本單位官方微博微信所發(fā)布的內(nèi)容審查與核實(shí)。微博微信的發(fā)布終端要按照公司辦公計(jì)算機(jī)防護(hù)要求部署安全措施。公司兩級(jí)技術(shù)督查隊(duì)伍在日常的安全督查中要加強(qiáng)對(duì)微博微信發(fā)布終端的檢查深度和頻度。（三）各級(jí)單位信息外網(wǎng)使用Wi-Fi要嚴(yán)格落實(shí)審核批準(zhǔn)與備案工作，要加強(qiáng)Wi-Fi組網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入、安全審計(jì)、用戶身份認(rèn)證方面的安全防護(hù)技術(shù)手段。（四）各級(jí)單位要控制內(nèi)網(wǎng)第三方專線接入公司信息網(wǎng)絡(luò)的專線數(shù)量，對(duì)于確需第三方接入的新業(yè)務(wù)，要選擇安全的接入方式并強(qiáng)化落實(shí)邊界安全防護(hù)措施。第二十四條

接入安全管理要求如下：（一）加強(qiáng)互聯(lián)網(wǎng)接入以及互聯(lián)網(wǎng)出口歸集統(tǒng)一管理，充分利用公司電力通信鏈路，以省級(jí)單位和三地災(zāi)備中心為主體對(duì)下屬單位互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格管控、合并、統(tǒng)一設(shè)置和集中監(jiān)控。（二）加強(qiáng)非集中辦公區(qū)域內(nèi)網(wǎng)接入安全管理，嚴(yán)格履行審批程序，按照公司集中辦公區(qū)域相關(guān)要求落實(shí)信息安全管理與技術(shù)措施。非集中辦公區(qū)域應(yīng)采用電力通信網(wǎng)絡(luò)通道接入公司內(nèi)部網(wǎng)絡(luò)，如確實(shí)需要租用第三方專線，應(yīng)在公司進(jìn)行備案，并嚴(yán)格按照總體防護(hù)要求采取相應(yīng)防護(hù)措施。第二十五條

規(guī)劃計(jì)劃安全管理要求如下：（一）網(wǎng)絡(luò)與信息系統(tǒng)在可研設(shè)計(jì)階段應(yīng)全面分析其可能面臨的主要信息安全風(fēng)險(xiǎn)以及對(duì)現(xiàn)有網(wǎng)絡(luò)與系統(tǒng)、流程的影響，并進(jìn)行安全需求分析。（二）可研階段信息系統(tǒng)應(yīng)組織進(jìn)行信息安全防護(hù)設(shè)計(jì)，做好安全架構(gòu)規(guī)劃，形成專項(xiàng)信息安全防護(hù)方案并進(jìn)行評(píng)審。專項(xiàng)信息安全防護(hù)方案通過(guò)評(píng)審后方可進(jìn)行后續(xù)開發(fā)工作。涉及認(rèn)證、密鑰以及數(shù)據(jù)保護(hù)等方面需考慮與公司統(tǒng)一密鑰系統(tǒng)集成接口設(shè)計(jì)。（三）網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)提前組織開展等級(jí)保護(hù)定級(jí)工作，同時(shí)重要系統(tǒng)應(yīng)提前在公司信息安全歸口管理部門進(jìn)行備案。第二十六條

建設(shè)安全管理要求如下：（一）嚴(yán)格遵循信息系統(tǒng)開發(fā)管理要求，加強(qiáng)對(duì)項(xiàng)目開發(fā)環(huán)境及測(cè)試環(huán)境的安全管理，確保與實(shí)際運(yùn)行環(huán)境及辦公環(huán)境安全隔離，確保開發(fā)全過(guò)程信息安全管控。（二）加強(qiáng)信息系統(tǒng)開發(fā)過(guò)程中代碼編寫的規(guī)范性，應(yīng)采用公司統(tǒng)一開發(fā)平臺(tái)進(jìn)行開發(fā)，并嚴(yán)格按照公司統(tǒng)一安全編程規(guī)范進(jìn)行代碼編寫，定期進(jìn)行代碼審核，并組織代碼安全自測(cè)。（三）加強(qiáng)代碼安全管理，確保開發(fā)過(guò)程中代碼安全保密。落實(shí)源代碼補(bǔ)丁漏洞工作，及時(shí)對(duì)代碼漏洞進(jìn)行反饋及整改。（四）規(guī)范外部軟件及插件的使用，應(yīng)使用主流的、成熟的外部軟件及插件，避免采用非商用且無(wú)安全保證的外部軟件及插件。集成外部軟件及插件包括開源組件時(shí)，應(yīng)重視接口交互的安全，充分考慮異常的處理。（五）加強(qiáng)電力通信網(wǎng)建設(shè)的安全管理，通過(guò)識(shí)別、評(píng)估和分析等手段降低安全風(fēng)險(xiǎn)，保證通信網(wǎng)絡(luò)建設(shè)過(guò)程中安全可控，確保人身、設(shè)備及現(xiàn)有網(wǎng)絡(luò)的安全。第二十七條

運(yùn)維安全管理要求如下：（一）網(wǎng)絡(luò)與信息系統(tǒng)上線前、重要升級(jí)前、與生產(chǎn)系統(tǒng)聯(lián)合調(diào)試前對(duì)安全防護(hù)設(shè)計(jì)遵從度、應(yīng)用軟件安全功能、代碼安全、運(yùn)行環(huán)境安全等進(jìn)行全面測(cè)試以及整改加固，通過(guò)測(cè)試后方可正式上線試運(yùn)行。（二）建立網(wǎng)絡(luò)與信息系統(tǒng)資產(chǎn)安全管理制度，加強(qiáng)資產(chǎn)的新增、驗(yàn)收、盤點(diǎn)、維護(hù)、報(bào)廢等各環(huán)節(jié)管理。編制資產(chǎn)清單，根據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)。加強(qiáng)對(duì)資產(chǎn)、風(fēng)險(xiǎn)分析及漏洞關(guān)聯(lián)管理。（三）加強(qiáng)機(jī)房出入管理，對(duì)機(jī)房建筑采取門禁、專人值守等措施，防止非法進(jìn)入，出入機(jī)房需進(jìn)行登記。（四）加強(qiáng)信息通信設(shè)備安全管理，建立健全設(shè)備安全管理制度。加強(qiáng)設(shè)備基線策略管理以及優(yōu)化部署，制定安全基線策略配置管理要求和技術(shù)標(biāo)準(zhǔn)，規(guī)范上線、運(yùn)行軟硬件設(shè)備信息安全策略以及安全配置。（五）建立通信設(shè)備軟件升級(jí)預(yù)評(píng)估制度，對(duì)其必要性和緊急性進(jìn)行評(píng)估論證，并采取相應(yīng)防范措施后，再進(jìn)行相關(guān)升級(jí)工作。（六）規(guī)范賬號(hào)權(quán)限管理，系統(tǒng)上線穩(wěn)定運(yùn)行后，應(yīng)回收建設(shè)開發(fā)單位所掌握的賬號(hào)。各類超級(jí)用戶賬號(hào)禁止多人共用，禁止由非主業(yè)不可控人員掌握。臨時(shí)賬號(hào)應(yīng)設(shè)定使用時(shí)限，員工離職、離崗時(shí)，信息系統(tǒng)的訪問(wèn)權(quán)限應(yīng)同步收回。應(yīng)定期（半年）對(duì)信息系統(tǒng)用戶權(quán)限進(jìn)行審核、清理，刪除廢舊賬號(hào)、無(wú)用賬號(hào)，及時(shí)調(diào)整可能導(dǎo)致安全問(wèn)題的權(quán)限分配數(shù)據(jù)。（七）規(guī)范賬號(hào)口令管理，口令必須具有一定強(qiáng)度、長(zhǎng)度和復(fù)雜度，長(zhǎng)度不得小于8位字符串，要求是字母和數(shù)字或特殊字符的混合，用戶名和口令禁止相同。定期更換口令，更換周期不超過(guò)6個(gè)月，重要系統(tǒng)口令更換周期不超過(guò)3個(gè)月，最近使用的4個(gè)口令不可重復(fù)。（八）強(qiáng)化公司統(tǒng)一漏洞及補(bǔ)丁工作，加強(qiáng)對(duì)公司各級(jí)單位漏洞的采集、分析、發(fā)布、描述的集中統(tǒng)一管理，實(shí)現(xiàn)全網(wǎng)漏洞掃描策略的統(tǒng)一制定、掃描任務(wù)的統(tǒng)一執(zhí)行，實(shí)現(xiàn)對(duì)各級(jí)單位漏洞情況以及內(nèi)外網(wǎng)補(bǔ)丁下載、安裝情況的監(jiān)管。加強(qiáng)各種典型漏洞、補(bǔ)丁的測(cè)試驗(yàn)證及整改工作。（九）加強(qiáng)惡意代碼及病毒防范管理，加強(qiáng)對(duì)特種木馬的監(jiān)測(cè)，確保客戶端防病毒軟件全面安裝，嚴(yán)格要求內(nèi)網(wǎng)病毒庫(kù)的升級(jí)頻率，加強(qiáng)病毒監(jiān)測(cè)、預(yù)警、分析及通報(bào)力度。對(duì)使用的移動(dòng)設(shè)備必須進(jìn)行病毒木馬查殺。（十）加強(qiáng)遠(yuǎn)程運(yùn)維管理，不得通過(guò)互聯(lián)網(wǎng)或信息外網(wǎng)遠(yuǎn)程運(yùn)維方式進(jìn)行設(shè)備和系統(tǒng)的維護(hù)及技術(shù)支持工作。內(nèi)網(wǎng)遠(yuǎn)程運(yùn)維要履行審批程序，并對(duì)各項(xiàng)操作進(jìn)行監(jiān)控、記錄和審計(jì)。有國(guó)外單位參與的運(yùn)維操作需安排在測(cè)試仿真環(huán)境，禁止在生產(chǎn)環(huán)境進(jìn)行。（十一）規(guī)范變更計(jì)劃、變更操作審批流程、變更測(cè)試、變更恢復(fù)預(yù)案等工作。嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問(wèn)和系統(tǒng)接入申報(bào)和審批程序，嚴(yán)格執(zhí)行工作票和操作票制度。加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)檢修過(guò)程安全管理，預(yù)防網(wǎng)絡(luò)與信息系統(tǒng)損壞和事故發(fā)生。（十二）加強(qiáng)安全審計(jì)工作，實(shí)現(xiàn)對(duì)主機(jī)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用等多個(gè)層次集中、全面、細(xì)粒度安全審計(jì)，提高審計(jì)記錄的統(tǒng)計(jì)匯總、綜合分析能力，做到事前、事中、事后的問(wèn)題追溯。（十三）明確備份及恢復(fù)策略，嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過(guò)程。重要系統(tǒng)和數(shù)據(jù)備份需納入公司統(tǒng)一的災(zāi)備系統(tǒng)。（十四）涉及敏感信息的系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)部署于信息內(nèi)網(wǎng)，同時(shí)加強(qiáng)對(duì)重要地理信息、客戶信息等的安全存儲(chǔ)和安全傳輸?shù)却胧┑穆鋵?shí)。（十五）電力通信網(wǎng)的光纜使用年限一般不應(yīng)超過(guò)設(shè)計(jì)要求，超過(guò)設(shè)計(jì)年限要求的光纜應(yīng)加強(qiáng)監(jiān)測(cè)。

第四章

技術(shù)措施第二十八條

物理安全技術(shù)工作要求如下：（一）嚴(yán)格執(zhí)行信息通信機(jī)房管理有關(guān)規(guī)范，確保機(jī)房運(yùn)行環(huán)境符合要求。室內(nèi)機(jī)房物理環(huán)境安全需滿足對(duì)應(yīng)信息系統(tǒng)等級(jí)的等級(jí)保護(hù)物理安全要求，室外設(shè)備物理安全需滿足國(guó)家對(duì)于防盜、電氣、環(huán)境、噪音、電磁、機(jī)械結(jié)構(gòu)、銘牌、防腐蝕、防火、防雷、電源等要求，四級(jí)及以上系統(tǒng)應(yīng)對(duì)關(guān)鍵區(qū)域?qū)嵤╇姶牌帘未胧＃ǘ┘訌?qiáng)辦公區(qū)域安全管理，員工離開辦公區(qū)域要及時(shí)鎖定桌面終端計(jì)算機(jī)屏幕，防止外來(lái)人員接觸辦公區(qū)域電子信息。（三）重要通信設(shè)備應(yīng)滿足硬件冗余需求，如主控板卡、時(shí)鐘板卡、電源板卡、交叉板卡、支路板卡等，至少滿足1+1冗余需求，一些重要板卡需滿足1+N冗余需求。（四）通信電源應(yīng)滿足電力系統(tǒng)重要業(yè)務(wù)“雙電源”冗余要求。電力系統(tǒng)重要業(yè)務(wù)應(yīng)配置兩套獨(dú)立的通信設(shè)備，具備兩條獨(dú)立的路由,并分別由兩套獨(dú)立的電源供電，兩套通信設(shè)備和兩套電源在物理上應(yīng)完全隔離。第二十九條

網(wǎng)絡(luò)安全技術(shù)工作要求如下：（一）電力通信網(wǎng)的數(shù)據(jù)網(wǎng)劃分為電力調(diào)度數(shù)據(jù)網(wǎng)、綜合數(shù)據(jù)通信網(wǎng)，分別承載不同類型的業(yè)務(wù)系統(tǒng)，電力調(diào)度數(shù)據(jù)網(wǎng)與綜合數(shù)據(jù)網(wǎng)之間應(yīng)在物理層面上實(shí)現(xiàn)安全隔離。（二）加強(qiáng)信息內(nèi)外網(wǎng)架構(gòu)管控，做好分區(qū)分域安全防護(hù)，進(jìn)一步提升用戶服務(wù)體驗(yàn)。公司管理信息大區(qū)劃分為信息外網(wǎng)和信息內(nèi)網(wǎng)，信息內(nèi)外網(wǎng)采用邏輯強(qiáng)隔離設(shè)備進(jìn)行安全隔離。信息內(nèi)外網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)分類劃分不同業(yè)務(wù)區(qū)。各業(yè)務(wù)區(qū)按照信息系統(tǒng)防護(hù)等級(jí)以及業(yè)務(wù)系統(tǒng)類型進(jìn)一步劃分安全域，加強(qiáng)區(qū)域間用戶訪問(wèn)控制，按最小化原則設(shè)置用戶訪問(wèn)暴露面，防止非授權(quán)的跨域訪問(wèn)，實(shí)現(xiàn)業(yè)務(wù)分區(qū)分域管理。（三）按照公司總體安全防護(hù)要求，結(jié)合電力通信網(wǎng)各類網(wǎng)絡(luò)邊界特點(diǎn)，嚴(yán)格按照公司要求落實(shí)訪問(wèn)控制、流量控制、入侵檢測(cè)/防護(hù)、內(nèi)容審計(jì)與過(guò)濾、防隱性邊界、惡意代碼過(guò)濾等安全技術(shù)措施，防范跨域跨邊界非法訪問(wèn)及攻擊，防范惡意代碼傳播。不得從任何公共網(wǎng)絡(luò)直接接入公司內(nèi)部網(wǎng)絡(luò)，禁止內(nèi)、外網(wǎng)接入通道混用。（四）加強(qiáng)互聯(lián)網(wǎng)邊界及對(duì)外業(yè)務(wù)系統(tǒng)安全防護(hù)，進(jìn)一步提升針對(duì)互聯(lián)網(wǎng)出口DDoS等典型網(wǎng)絡(luò)攻擊以及特種病毒木馬的防范能力，提高信息外網(wǎng)可靠性及安全性。（五）深化信息內(nèi)外網(wǎng)邊界安全防護(hù)，加強(qiáng)內(nèi)外網(wǎng)數(shù)據(jù)交互安全過(guò)濾，保障關(guān)鍵應(yīng)用快速穿透和信息安全交互，滿足客戶服務(wù)及時(shí)響應(yīng)需求。（六）加強(qiáng)對(duì)信息內(nèi)外網(wǎng)專線的安全防護(hù)，對(duì)于與銀行等外部單位互聯(lián)的專線要部署邏輯強(qiáng)隔離措施，設(shè)置訪問(wèn)控制策略，進(jìn)行內(nèi)容監(jiān)測(cè)與審計(jì)，只容許指定的、可信的網(wǎng)絡(luò)及用戶才能進(jìn)行數(shù)據(jù)交換。（七）加強(qiáng)信息內(nèi)網(wǎng)遠(yuǎn)程接入邊界安全防護(hù)。對(duì)于采用無(wú)線專網(wǎng)接入公司內(nèi)部網(wǎng)絡(luò)的采集等業(yè)務(wù)應(yīng)用，應(yīng)在網(wǎng)絡(luò)邊界部署公司統(tǒng)一安全接入防護(hù)措施，建立專用加密傳輸通道，并結(jié)合公司統(tǒng)一數(shù)字證書體系進(jìn)行防護(hù)。（八）信息內(nèi)網(wǎng)禁止使用無(wú)線網(wǎng)絡(luò)組網(wǎng)。（九）信息外網(wǎng)用無(wú)線組網(wǎng)的單位，應(yīng)強(qiáng)化無(wú)線網(wǎng)絡(luò)安全防護(hù)措施，無(wú)線網(wǎng)絡(luò)要啟用網(wǎng)絡(luò)接入控制和身份認(rèn)證，進(jìn)行IP/MAC地址綁定，應(yīng)用高強(qiáng)度加密算法，防止無(wú)線網(wǎng)絡(luò)被外部攻擊者非法進(jìn)入，確保無(wú)線網(wǎng)絡(luò)安全。第三十條

終端安全技術(shù)工作要求如下：（一）辦公計(jì)算機(jī)嚴(yán)格執(zhí)行“涉密不上網(wǎng)、上網(wǎng)不涉密”紀(jì)律，嚴(yán)禁將涉及國(guó)家秘密的計(jì)算機(jī)、存儲(chǔ)設(shè)備與信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴(yán)禁在信息內(nèi)網(wǎng)計(jì)算機(jī)存儲(chǔ)、處理國(guó)家秘密信息，嚴(yán)禁在連接互聯(lián)網(wǎng)的計(jì)算機(jī)上處理、存儲(chǔ)涉及國(guó)家秘密和企業(yè)秘密信息；嚴(yán)禁信息內(nèi)網(wǎng)和信息外網(wǎng)計(jì)算機(jī)交叉使用；嚴(yán)禁普通移動(dòng)存儲(chǔ)介質(zhì)和掃描儀、打印機(jī)等計(jì)算機(jī)外設(shè)在信息內(nèi)網(wǎng)和信息外網(wǎng)上交叉使用。涉密計(jì)算機(jī)按照公司辦公計(jì)算機(jī)保密管理規(guī)定進(jìn)行管理。（二）信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)應(yīng)分別部署于信息內(nèi)外網(wǎng)桌面終端安全域，桌面終端安全域應(yīng)采取IP/MAC綁定、安全準(zhǔn)入管理、訪問(wèn)控制、入侵檢測(cè)、病毒防護(hù)、惡意代碼過(guò)濾、補(bǔ)丁管理、事件審計(jì)、桌面資產(chǎn)管理等措施進(jìn)行安全防護(hù)。（三）信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)終端須安裝桌面終端管理系統(tǒng)、保密檢測(cè)系統(tǒng)、防病毒等客戶端軟件，嚴(yán)格按照公司要求設(shè)置基線策略，并及時(shí)進(jìn)行病毒庫(kù)升級(jí)以及補(bǔ)丁更新。嚴(yán)禁未通過(guò)本單位信息通信管理部門審核以及中國(guó)電科院的信息安全測(cè)評(píng)認(rèn)定工作，相關(guān)部門和個(gè)人在信息內(nèi)外網(wǎng)擅自安裝具有拒絕服務(wù)、網(wǎng)絡(luò)掃描、遠(yuǎn)程控制和信息搜集等功能的軟件（惡意軟件），防范引發(fā)的安全風(fēng)險(xiǎn)；如確需安裝，應(yīng)履行相關(guān)程序。（四）對(duì)于不具備信息內(nèi)網(wǎng)專線接入條件，通過(guò)公司統(tǒng)一安全防護(hù)措施接入信息內(nèi)網(wǎng)的信息采集類、移動(dòng)作業(yè)類終端，需嚴(yán)格執(zhí)行公司辦公終端“嚴(yán)禁內(nèi)外網(wǎng)機(jī)混用”的原則。同時(shí)接入信息內(nèi)網(wǎng)終端在遵循公司現(xiàn)有終端安全防護(hù)要求的基礎(chǔ)上，要安裝終端安全?？剀浖M(jìn)行安全加固，并通過(guò)安全加密卡進(jìn)行認(rèn)證，確保其不能連接信息外網(wǎng)和互聯(lián)網(wǎng)。第三十一條

主機(jī)安全技術(shù)工作要求如下：（一）對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和鑒別，具有登錄失敗處理，限制非法登錄次數(shù)，設(shè)置連接超時(shí)功能。（二）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶應(yīng)進(jìn)行訪問(wèn)權(quán)限分離，對(duì)訪問(wèn)權(quán)限一致的用戶進(jìn)行分組，訪問(wèn)控制粒度應(yīng)達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。禁止匿名用戶訪問(wèn)。（三）加強(qiáng)補(bǔ)丁的兼容性和安全性測(cè)試，確保操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等基礎(chǔ)平臺(tái)軟件補(bǔ)丁升級(jí)安全。（四）加強(qiáng)主機(jī)服務(wù)器病毒防護(hù)，安裝防病毒軟件，及時(shí)更新病毒庫(kù)。第三十二條

應(yīng)用安全技術(shù)工作要求如下：（一）強(qiáng)化用戶登陸身份認(rèn)證功能，采用用戶名及口令進(jìn)行認(rèn)證時(shí)，應(yīng)當(dāng)對(duì)口令長(zhǎng)度、復(fù)雜度、生存周期進(jìn)行強(qiáng)制要求，系統(tǒng)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，禁止口令在系統(tǒng)中以明文形式存儲(chǔ)；系統(tǒng)應(yīng)當(dāng)提供制定用戶登錄錯(cuò)誤鎖定、會(huì)話超時(shí)退出等安全策略的功能。（二）規(guī)范應(yīng)用系統(tǒng)權(quán)限的設(shè)計(jì)與使用，實(shí)現(xiàn)用戶、組織、角色、權(quán)限信息統(tǒng)一集中管理，權(quán)限分配應(yīng)按照最小權(quán)限原則，審核角色、系統(tǒng)管理角色、業(yè)務(wù)操作角色、賬號(hào)創(chuàng)建角色與權(quán)限分配角色等應(yīng)按照互斥原則設(shè)置權(quán)限。（三）根據(jù)信息系統(tǒng)安全級(jí)別強(qiáng)化應(yīng)用自身安全設(shè)計(jì)，應(yīng)包括身份認(rèn)證，授權(quán)，輸入輸出驗(yàn)證，配置管理，會(huì)話管理，加密技術(shù)，參數(shù)操作，異常管理，日志及審計(jì)等方面內(nèi)容。（四）控制單個(gè)用戶的多重并發(fā)會(huì)話和最大并發(fā)連接數(shù)，限制單個(gè)用戶對(duì)系統(tǒng)資源、磁盤空間的最大或最小使用限度，當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測(cè)并報(bào)警。（五）加強(qiáng)郵件敏感內(nèi)容檢查、郵件病毒查殺、外網(wǎng)郵件行為監(jiān)測(cè)，社會(huì)郵箱收發(fā)件統(tǒng)計(jì)等安全措施，防范郵件系統(tǒng)攻擊及郵件泄密。（六）具有控制功能的系統(tǒng)或模塊，控制類信息必須通過(guò)生產(chǎn)控制大區(qū)網(wǎng)絡(luò)或?qū)＞€傳輸，嚴(yán)格遵守電力二次系統(tǒng)安全防護(hù)方案，實(shí)現(xiàn)系統(tǒng)主站與終端間基于國(guó)家認(rèn)可密碼算法的加密通信，基于數(shù)字證書體系的身份認(rèn)證，對(duì)主站的控制命令和參數(shù)設(shè)置指令須采取強(qiáng)身份認(rèn)證及數(shù)據(jù)完整性驗(yàn)證等安全防護(hù)措施。（七）對(duì)與互聯(lián)網(wǎng)有廣泛交互的應(yīng)用系統(tǒng)或模塊，以及部署在信息外網(wǎng)的系統(tǒng)與網(wǎng)站，要加強(qiáng)權(quán)限管理，做好主機(jī)、應(yīng)用的安全加固，加強(qiáng)賬號(hào)、密碼、重要數(shù)據(jù)等加密存儲(chǔ)，對(duì)需要穿透訪問(wèn)信息內(nèi)網(wǎng)的數(shù)據(jù)或服務(wù)，嚴(yán)格限制訪問(wèn)數(shù)據(jù)的格式，過(guò)濾必要的特殊字符組合以防止注入攻擊。建立常態(tài)外網(wǎng)安全巡檢、加固、檢修以及應(yīng)急演練等工作機(jī)制，做好日常網(wǎng)站備份工作。（八）具有采集功能的系統(tǒng)或模塊，根據(jù)采集信息的保密性，在采用公司專線（光纖、載波等）接入內(nèi)網(wǎng)進(jìn)行信息采集時(shí)，應(yīng)采用身份認(rèn)證和訪問(wèn)控制措施。不具備專線條件時(shí)，應(yīng)在虛擬專網(wǎng)基礎(chǔ)上采用終端身份認(rèn)證、訪問(wèn)控制措施，建立加密傳輸通道進(jìn)行信息采集，要加強(qiáng)對(duì)采集終端存儲(chǔ)和處理敏感業(yè)務(wù)數(shù)據(jù)的安全防護(hù)，以保證業(yè)務(wù)數(shù)據(jù)的保密性和完整性。第三十三條

數(shù)據(jù)安全技術(shù)工作要求如下：（一）從終端、網(wǎng)絡(luò)以及存儲(chǔ)三個(gè)層面加強(qiáng)對(duì)敏感數(shù)據(jù)進(jìn)行檢測(cè)與分析，實(shí)現(xiàn)對(duì)公司各種敏感數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)操作權(quán)限、數(shù)據(jù)外發(fā)等進(jìn)行安全保護(hù)與控制。（二）重要和敏感信息，如商密定級(jí)文件、公司OA公文、電子文件等，實(shí)行加密傳輸、授權(quán)控制、操作審計(jì)及監(jiān)控；對(duì)重要信息實(shí)行自動(dòng)、定期備份；按需進(jìn)行恢復(fù)測(cè)試，確保備份數(shù)據(jù)的可用性。（三）嚴(yán)格落實(shí)公司電子數(shù)據(jù)恢復(fù)、擦除與銷毀管理技術(shù)要求，加強(qiáng)處理過(guò)程中的存儲(chǔ)介質(zhì)管理、全程現(xiàn)場(chǎng)監(jiān)控以及安全保密等工作。第三十四條

深化信息安全監(jiān)測(cè)手段，擴(kuò)展監(jiān)控范圍，實(shí)現(xiàn)對(duì)各類網(wǎng)絡(luò)及邊界、網(wǎng)站及應(yīng)用系統(tǒng)、終端以及密鑰使用情況等的全方位、實(shí)時(shí)安全監(jiān)控，做好信息安全監(jiān)測(cè)預(yù)警、指標(biāo)發(fā)布及深化治理工作。第三十五條

電網(wǎng)工業(yè)控制系統(tǒng)應(yīng)納入電力二次系統(tǒng)管理。加強(qiáng)電網(wǎng)工業(yè)控制系統(tǒng)安全保障工作，推進(jìn)工業(yè)控制系統(tǒng)安全檢測(cè)技術(shù)研究和工具研發(fā)，做好電網(wǎng)工控系統(tǒng)安全測(cè)評(píng)、關(guān)鍵設(shè)備安全檢測(cè)及防護(hù)整改等工作，進(jìn)一步提高漏洞分析、漏洞發(fā)布、隱患排查和應(yīng)急處理能力。第三十六條

加強(qiáng)云計(jì)算、物聯(lián)網(wǎng)、可信計(jì)算、下一代互聯(lián)網(wǎng)等方面的信息安全技術(shù)研究與應(yīng)用，強(qiáng)化對(duì)新技術(shù)的檢測(cè)、驗(yàn)證、評(píng)估及審核，超前分析新技術(shù)應(yīng)用帶來(lái)的安全風(fēng)險(xiǎn)和隱患，提前采取措施予以防范。不得采用與公司信息安全策略與要求相違背的信息通信技術(shù)，不得應(yīng)用存在信息安全隱患的新技術(shù)。第三十七條

針對(duì)暴露面及新型安全威脅，圍繞隱患發(fā)現(xiàn)、防護(hù)處置、監(jiān)測(cè)對(duì)抗、應(yīng)急恢復(fù)等能力，建立穩(wěn)定、專業(yè)的技術(shù)支撐隊(duì)伍，從研發(fā)安全、安全檢測(cè)、防病毒管理、統(tǒng)一密鑰管理、漏洞補(bǔ)丁管理、紅藍(lán)對(duì)抗、安全監(jiān)控、應(yīng)急恢復(fù)、新技術(shù)研究與架構(gòu)設(shè)計(jì)等方面開展專項(xiàng)技防能力建設(shè)，實(shí)現(xiàn)技術(shù)手段和管理措施的有效融合，實(shí)現(xiàn)內(nèi)外部綜合協(xié)同、資源共享和整體聯(lián)動(dòng)，提升公司信息安全協(xié)同防御和體系對(duì)抗能力。

第五章

檢查考核第三十八條

各級(jí)單位應(yīng)建立網(wǎng)絡(luò)與信息系統(tǒng)安全檢查考核機(jī)制，根據(jù)工作需要，制定科學(xué)、規(guī)范的檢查考核指標(biāo)體系。

第六章

附則第三十九條

本辦法由國(guó)網(wǎng)信通部負(fù)責(zé)解釋并監(jiān)督執(zhí)行。第四十條

本辦法自2014年11月1日起施行。原《國(guó)家電網(wǎng)公司信息系統(tǒng)安全管理辦法》（國(guó)家電網(wǎng)信息〔2008〕201號(hào)）、《國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度》（信息技術(shù)〔2007〕65號(hào)）同時(shí)廢止。

附件1

國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)規(guī)范一、總則（一）為加強(qiáng)國(guó)家電網(wǎng)公司（以下簡(jiǎn)稱“公司”）網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行管理，進(jìn)一步規(guī)范完善公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)工作，有效保障通報(bào)工作有序開展，切實(shí)落實(shí)上情下達(dá)、下情上達(dá)、協(xié)調(diào)和服務(wù)保障的任務(wù)，依據(jù)《電力行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法》、《中央企業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作指導(dǎo)意見（試行）》，制定本規(guī)范。（二）本規(guī)范所指網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況是指信息網(wǎng)絡(luò)和系統(tǒng)故障和癱瘓，信息系統(tǒng)數(shù)據(jù)丟失和信息泄密，信息系統(tǒng)受到病毒感染和惡意滲透、攻擊，有害信息在網(wǎng)站傳播等信息安全事件以及跟蹤發(fā)現(xiàn)的外部信息安全輿情。（三）本規(guī)范適用于公司總（分）部及所屬各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)管理工作。（四）公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)工作按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的工作原則，實(shí)行“統(tǒng)一領(lǐng)導(dǎo)，分級(jí)管理、逐級(jí)上報(bào)”的工作方針，以加強(qiáng)公司各級(jí)單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行的信息共享和統(tǒng)一應(yīng)急處置工作。二、職責(zé)分工（一）國(guó)網(wǎng)信通部負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的歸口管理工作。主要職責(zé)：（1）負(fù)責(zé)建立公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的規(guī)章制度，并督促執(zhí)行；（2）負(fù)責(zé)與國(guó)家有關(guān)部門建立聯(lián)系，及時(shí)接收和轉(zhuǎn)發(fā)國(guó)家有關(guān)部門發(fā)布的信息通報(bào)，并按時(shí)向國(guó)家有關(guān)部門報(bào)送相關(guān)材料；（3）負(fù)責(zé)匯總總部電力二次系統(tǒng)、電力通信骨干網(wǎng)絡(luò)、總部信息系統(tǒng)，以及公司各單位的安全運(yùn)行情況通報(bào)；（4）負(fù)責(zé)建立與國(guó)家有關(guān)部門的信息安全通報(bào)聯(lián)系，對(duì)于重大事件啟動(dòng)聯(lián)合應(yīng)急機(jī)制，并協(xié)調(diào)國(guó)家相關(guān)部門協(xié)助處置。（二）國(guó)調(diào)中心負(fù)責(zé)匯總公司范圍內(nèi)有關(guān)電力二次系統(tǒng)安全運(yùn)行情況，并抄送國(guó)網(wǎng)信通部歸口統(tǒng)計(jì)。（三）國(guó)網(wǎng)信通公司負(fù)責(zé)將電力通信骨干網(wǎng)絡(luò)和總部信息系統(tǒng)安全運(yùn)行情況匯總報(bào)送國(guó)網(wǎng)信通部和國(guó)網(wǎng)運(yùn)監(jiān)中心，并將電力通信骨干網(wǎng)絡(luò)安全運(yùn)行情況抄送給國(guó)調(diào)中心。（四）公司各級(jí)單位信息通信管理部門負(fù)責(zé)本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的歸口管理工作。主要職責(zé)：（1）負(fù)責(zé)建立本單位信息安全通報(bào)工作體系，落實(shí)通報(bào)負(fù)責(zé)人、聯(lián)絡(luò)員及后備聯(lián)絡(luò)員等相關(guān)人員與職責(zé)。各級(jí)單位要指定一名負(fù)責(zé)人、一名聯(lián)絡(luò)員和一名后備聯(lián)絡(luò)員，填寫公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)基本情況備案表（見附表一），并報(bào)送上級(jí)主管部門備案。聯(lián)絡(luò)人員聯(lián)系方式如有變動(dòng)，應(yīng)及時(shí)報(bào)告國(guó)上級(jí)主管部門；（2）負(fù)責(zé)結(jié)合實(shí)際情況，建立本單位信息安全通報(bào)的規(guī)章制度，并督促執(zhí)行；（3）負(fù)責(zé)匯總本單位范圍內(nèi)電力通信網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行情況，按時(shí)按需向上級(jí)主管部門報(bào)送本單位快報(bào)、月報(bào)、年報(bào)、特殊時(shí)期信息安全日?qǐng)?bào)、安全事件專報(bào)。（4）負(fù)責(zé)匯總本單位發(fā)現(xiàn)的信息安全事件和突發(fā)工作（如公安機(jī)關(guān)檢查情況），以及跟蹤發(fā)現(xiàn)的外部信息安全輿情，并報(bào)送至上級(jí)主管部門；（5）負(fù)責(zé)匯總本單位信息安全重點(diǎn)工作開展情況，突出本單位特色、自行開展的信息安全工作，以及對(duì)公司信息安全工作建議，并報(bào)送至上級(jí)主管部門；（6）負(fù)責(zé)總結(jié)本單位信息安全工作典型經(jīng)驗(yàn)，并報(bào)送至上級(jí)主管部門；（7）負(fù)責(zé)向下級(jí)單位轉(zhuǎn)發(fā)國(guó)網(wǎng)信通部發(fā)布的各類信息安全事件通報(bào)、預(yù)警通報(bào)，負(fù)責(zé)接收、匯總反饋情況，報(bào)送至上級(jí)主管部門。（五）公司各級(jí)單位調(diào)度部門按照電力二次系統(tǒng)信息報(bào)送要求，將本單位電力二次系統(tǒng)安全運(yùn)行情況上報(bào)國(guó)調(diào)中心，遇重大、緊急突發(fā)安全事件時(shí)，抄送給信息通信管理部門。（六）中國(guó)電科院負(fù)責(zé)對(duì)總部范圍內(nèi)信息安全通報(bào)相關(guān)工作提供技術(shù)支持，并協(xié)助開展安全事件、安全隱患、安全漏洞、安全輿情的分析、研判等工作。（八）省公司督查隊(duì)伍負(fù)責(zé)對(duì)本省內(nèi)信息安全通報(bào)相關(guān)工作提供技術(shù)支持，并協(xié)助開展安全事件、安全隱患、安全漏洞、安全輿情的分析、研判等工作。三、內(nèi)容及分類（一）網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報(bào)內(nèi)容主要包括：（1）電子公告服務(wù)、群發(fā)電子郵件以及廣播式即時(shí)通信等網(wǎng)絡(luò)服務(wù)中反動(dòng)有害信息的傳播情況；（2）利用網(wǎng)絡(luò)從事違法犯罪活動(dòng)的情況；（3）已經(jīng)確定或可能發(fā)生的計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊情況；（4）網(wǎng)絡(luò)恐怖活動(dòng)的嫌疑情況和預(yù)警信息；（5）網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常、網(wǎng)絡(luò)和信息癱瘓、應(yīng)用服務(wù)中斷或數(shù)據(jù)纂改、丟失等情況；（6）網(wǎng)絡(luò)安全狀況、安全形勢(shì)分析預(yù)測(cè)等信息；（7）跟蹤發(fā)現(xiàn)的各類外部信息安全輿情；（8）其他影響網(wǎng)絡(luò)與信息安全的信息。（二）網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報(bào)分為快報(bào)、月報(bào)、年報(bào)、特殊時(shí)期安全運(yùn)行日?qǐng)?bào)以及安全事件專報(bào)。（三）公司各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)在運(yùn)行過(guò)程中如出現(xiàn)以下任一情形，需填寫網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行快報(bào)（格式見附表二），并逐級(jí)上報(bào)。相關(guān)情形包括：（1）網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生嚴(yán)重故障和癱瘓；（2）信息系統(tǒng)重要數(shù)據(jù)丟失和信息泄密；（3）信息系統(tǒng)受到較大面積病毒感染和惡意滲透、攻擊；（4）有害信息在網(wǎng)站較大面積傳播；（5）其他較嚴(yán)重或上級(jí)部門指定以快報(bào)形式上報(bào)的信息安全事件。（四）公司各級(jí)單位每月需填寫網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào)（格式見附表三），并上報(bào)上級(jí)主管部門。月報(bào)應(yīng)包括以下內(nèi)容：（1）網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行指標(biāo)情況及分析；（2）網(wǎng)絡(luò)與信息系統(tǒng)安全信息情況；（3）安全事件統(tǒng)計(jì)與分析；（4）本月網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行工作開展情況；（5）對(duì)公司信息安全工作建議。（五）公司各級(jí)單位每年需進(jìn)行年度總結(jié)報(bào)告（以下簡(jiǎn)稱年報(bào)），并以書面形式上報(bào)上級(jí)主管部門。年報(bào)應(yīng)包括以下內(nèi)容：（1）負(fù)責(zé)運(yùn)行維護(hù)的設(shè)備和信息系統(tǒng)的基本情況；（2）安全與運(yùn)行管理工作簡(jiǎn)況；（3）年度信息安全與運(yùn)行指標(biāo)工作總結(jié)與分析，要對(duì)信息系統(tǒng)的主要設(shè)備、事故、障礙、故障和異常情況及原因進(jìn)行統(tǒng)計(jì)、匯總和分析；（4）對(duì)影響設(shè)備和信息系統(tǒng)安全