2023電力企業(yè)網(wǎng)絡(luò)安全及信息化規(guī)范化工作手冊

范圍本標(biāo)準主要用于信息化工作，其中主要內(nèi)容包括了組織體系建設(shè)、規(guī)章制度建設(shè)、合規(guī)性管理及信息化工作內(nèi)容。本標(biāo)準適用于XXXX及下屬企業(yè)。網(wǎng)絡(luò)安全組織體系建設(shè)網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組分管生產(chǎn)的領(lǐng)導(dǎo)班子成員對工控系統(tǒng)（含電力監(jiān)控系統(tǒng)，下同）負直接領(lǐng)導(dǎo)責(zé)任，分管信息化的領(lǐng)導(dǎo)班子成員對管理信息系統(tǒng)基礎(chǔ)設(shè)施（含機房、網(wǎng)絡(luò)、硬件及相關(guān)設(shè)施）網(wǎng)絡(luò)安全負直接領(lǐng)導(dǎo)責(zé)任，分管其它業(yè)務(wù)的領(lǐng)導(dǎo)班子成員對本業(yè)務(wù)范圍內(nèi)的信息系統(tǒng)網(wǎng)絡(luò)安全負直接領(lǐng)導(dǎo)責(zé)任。網(wǎng)絡(luò)安全與信息化工作小組企業(yè)應(yīng)成立網(wǎng)絡(luò)安全與信息工作小組，且明確至少一名副職領(lǐng)導(dǎo)主管網(wǎng)絡(luò)安全工作，工作小組中至少有一名專職網(wǎng)絡(luò)安全員。應(yīng)配置專職網(wǎng)絡(luò)安全員，且不應(yīng)兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等職責(zé)。對于網(wǎng)絡(luò)管理員，負責(zé)網(wǎng)絡(luò)規(guī)劃，網(wǎng)絡(luò)設(shè)備的安裝調(diào)試與維護及網(wǎng)絡(luò)安全管理。對于系統(tǒng)管理員，負責(zé)登錄操作系統(tǒng)，管理操作系統(tǒng)及應(yīng)用系統(tǒng)中的相關(guān)文件、安全、系統(tǒng)更新、補丁，保證操作系統(tǒng)及應(yīng)用系統(tǒng)安全穩(wěn)定的運行。對于數(shù)據(jù)庫管理員，負責(zé)管理數(shù)據(jù)庫，保證數(shù)據(jù)庫正常運行，優(yōu)化數(shù)據(jù)庫，解決數(shù)據(jù)庫方面的問題。對于網(wǎng)絡(luò)安全員，負責(zé)按照一定的安全策略，利用記錄日志、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗操作事件，并發(fā)現(xiàn)漏洞和隱患，提出整改建議。網(wǎng)絡(luò)信息安全專職部門企業(yè)應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，設(shè)立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責(zé)。網(wǎng)絡(luò)信息安全規(guī)章制度建設(shè)公司目標(biāo)與網(wǎng)絡(luò)信息安全目標(biāo)企業(yè)應(yīng)制定網(wǎng)絡(luò)信息安全目標(biāo)，與公司目標(biāo)相輔相成。企業(yè)在制定網(wǎng)絡(luò)信息安全目標(biāo)時，應(yīng)考慮與法律法規(guī)、國家、行業(yè)標(biāo)準等網(wǎng)絡(luò)信息安全要求，具備可行性。網(wǎng)絡(luò)信息安全規(guī)劃在組織進行網(wǎng)絡(luò)安全信息規(guī)劃時，網(wǎng)絡(luò)安全現(xiàn)狀及需求調(diào)研，明確安全狀況及安全規(guī)劃需求。制定信息安全建設(shè)目標(biāo)，明確未來信息安全建設(shè)的方向。應(yīng)涵蓋工控網(wǎng)絡(luò)，信息網(wǎng)絡(luò)，應(yīng)用系統(tǒng)安全，數(shù)據(jù)安全，安全管控措施，智慧電廠，安全培訓(xùn)，能力提升等多個方面。進行比較全面的長遠的發(fā)展計劃，是對未來整體性、長期性、基本性問題的思考、考量和設(shè)計未來整套行動方案。即進行全面的、目標(biāo)長遠的信息安全發(fā)展計劃，為信息安全建設(shè)指明方向，符合整體發(fā)展戰(zhàn)略。制度體系實施細則/管理制度對安全管理活動中的各類管理內(nèi)容建立安全管理制度。包括但不限于物理、網(wǎng)絡(luò)、主機、數(shù)據(jù)、應(yīng)用、管理等層面的管理內(nèi)容。規(guī)程/作業(yè)指導(dǎo)書對安全管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。符合性（合規(guī)性）管理合規(guī)性管理的目標(biāo)是對合規(guī)風(fēng)險的有效識別和主動管理，保障企業(yè)信息化管理和信息化人員的工作符合法律、法規(guī)、國家及行業(yè)標(biāo)準、上級公司要求，切實防范合規(guī)性風(fēng)險，主要內(nèi)容有：法律網(wǎng)絡(luò)安全法電子商務(wù)法密碼法電子簽名法行政法規(guī)計算機軟件保護條例互聯(lián)網(wǎng)信息內(nèi)容管理工作信息網(wǎng)絡(luò)傳播權(quán)保護條例互聯(lián)網(wǎng)信息服務(wù)管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法部門規(guī)章互聯(lián)網(wǎng)域名管理辦法網(wǎng)絡(luò)安全等級保護條例規(guī)范性文件互聯(lián)網(wǎng)群組信息服務(wù)管理規(guī)定互聯(lián)網(wǎng)論壇社區(qū)服務(wù)管理規(guī)定移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定國家、行業(yè)標(biāo)準信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求 GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求 GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求 GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求 GB/T36958-2018信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求 GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南 GB/T22240-2008信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求 GB/T21052-2007信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求 GB/T20271-2006信息安全技術(shù)信息系統(tǒng)安全管理要求 GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求 GB/T20282-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T20270-2006上級單位、調(diào)度機構(gòu)文件XX保電網(wǎng)絡(luò)與信息安全工作方案XX信息化工作評價與考核管理辦法XX信息化項目建設(shè)管理辦法XX信息化項目管理辦法XX信息安全培訓(xùn)管理辦法XX信息安全等級保護檢查管理辦法XX信息安全風(fēng)險點分析與控制管理辦法XX信息安全風(fēng)險評估管理辦法(修訂)XX信息系統(tǒng)數(shù)據(jù)管理辦法XX實時運營信息系統(tǒng)管理辦法XX應(yīng)用系統(tǒng)運行管理辦法XX應(yīng)用軟件系統(tǒng)啟用和停用管理規(guī)定（試行）XX網(wǎng)絡(luò)與信息安全檢查管理辦法XX網(wǎng)絡(luò)系統(tǒng)及主機系統(tǒng)安全管理辦法應(yīng)用系統(tǒng)項目建設(shè)管理指南信息系統(tǒng)外委維護服務(wù)管理辦法硬件集成項目建設(shè)管理指南網(wǎng)絡(luò)安全工作獎懲辦法網(wǎng)絡(luò)安全責(zé)任制管理辦法企業(yè)內(nèi)部網(wǎng)絡(luò)接入管理辦法（2018年版）信息化項目建設(shè)管理辦法（2018版）應(yīng)用軟件系統(tǒng)管理辦法（2020年版）網(wǎng)絡(luò)信息機房管理辦法(2020年版)網(wǎng)絡(luò)安全工作獎懲辦法（試行）（2018年版）網(wǎng)絡(luò)安全態(tài)勢感知平臺管理辦法(2019年版)網(wǎng)絡(luò)安全責(zé)任制管理辦法（2019年版）視頻會議系統(tǒng)管理辦法（2018年版）計算機數(shù)據(jù)備份管理辦法（2018年版）網(wǎng)絡(luò)與信息突發(fā)事件應(yīng)急預(yù)案（2020年）信息化工作管理內(nèi)容項目開發(fā)、建設(shè)項目預(yù)算管理每年9月，分公司組織收集下年度信息化預(yù)算相關(guān)信息。預(yù)算的編制應(yīng)依據(jù)上級公司預(yù)算編制的總體原則及要求，也應(yīng)參照歷史數(shù)據(jù)、行業(yè)對標(biāo)、成本定額。企業(yè)應(yīng)召集相關(guān)部門和人員對信息化預(yù)算進行初審，根據(jù)初審情況進行預(yù)算調(diào)整。信息化主管部門應(yīng)與集控中心的業(yè)務(wù)預(yù)算溝通確認，按時向本單位預(yù)算管理委員會辦公室及集控中心提供預(yù)算安排及依據(jù)等資料。企業(yè)應(yīng)根據(jù)分公司下達的信息化預(yù)算，編制月度分解預(yù)算。預(yù)算指標(biāo)下達后，企業(yè)應(yīng)嚴格執(zhí)行，并落實到各部門、各環(huán)節(jié)、各崗位，不得越權(quán)調(diào)整、變動預(yù)算方案。重大政策變化、不可抗力因素、企業(yè)生產(chǎn)經(jīng)營發(fā)生重大變化等情況，預(yù)算需要進行調(diào)整的，按審批程序進行預(yù)算調(diào)整。項目建設(shè)管理概述集團公司將信息化項目建設(shè)劃分為了硬件系統(tǒng)集成項目建設(shè)與應(yīng)用系統(tǒng)項目建設(shè)兩種情形。分別印發(fā)了《XX硬件系統(tǒng)集成項目建設(shè)管理指南》與《應(yīng)用系統(tǒng)項目建設(shè)管理指南》，是對硬件集成項目與應(yīng)用系統(tǒng)開發(fā)項目全生命周期管理事宜的指導(dǎo)文件，現(xiàn)將每個階段應(yīng)形成的資料做歸納整理，不詳述內(nèi)容。硬件集成建設(shè)項目立項《_______項目立項申請書》《_______項目可行性研究報告》《_______項目立項論證報告》《_______項目立項批復(fù)》《_______項目計劃及預(yù)算申報表》《_______項目計劃及預(yù)算批復(fù)》項目組織及管理《_______項目管理辦公室（PMO）組織機構(gòu)及人員》《_______項目管理辦公室（PMO）職責(zé)》《_______項目質(zhì)量管理辦法》《_______項目進度管理辦法》《_______項目變更管理辦法》《_______項目合同管理辦法》《_______項目文檔管理辦法》《_______項目工作制度》《_______項目風(fēng)險管理辦法》《關(guān)于成立_______項目管理組織的通知》《關(guān)于印發(fā)_______項目管理辦法的通知》項目準備《_______項目招標(biāo)計劃申請書》《_______項目招標(biāo)文件》（非集成類硬件）。《_______項目招標(biāo)文件》（集成類硬件）。《_______項目招標(biāo)文件審查報告》《會議紀要（招標(biāo)文件審查）》《_______項目招標(biāo)委托合同》《_______項目可研批復(fù)》《_______項目招標(biāo)公告及招標(biāo)公告確認函》《_______項目投標(biāo)申請人報名表》《_______項目招標(biāo)文件澄清及回執(zhí)》《_______項目招標(biāo)文件確認函》《_______項目招標(biāo)工作組標(biāo)前會議紀要及工作手冊》《_______項目評標(biāo)報告》《_______項目評標(biāo)結(jié)果匯報會會議紀要》《_______項目中標(biāo)公示》《_______項目中標(biāo)通知書》《_______項目評標(biāo)專家抽取記錄》《_______項目評標(biāo)專家及參評人員簽到表》《_______項目投標(biāo)文件接收表》《_______項目綜合評分統(tǒng)計表》《_______項目商務(wù)評分統(tǒng)計表》《_______項目商務(wù)評分表》《_______項目技術(shù)評分統(tǒng)計表》《_______項目技術(shù)評分表》《_______項目價格評分統(tǒng)計表》《會議紀要（定標(biāo)會議）》《_______項目合同》（非集成類硬件）《_______項目合同》（集成類硬件）項目開工《_______項目章程》《_______項目技術(shù)方案》《_______項目安全解決方案》《_______項目計劃》《_______項目開工申請報告》《關(guān)于召開_______項目章程和技術(shù)方案評審會的通知》《_______項目會議議程》《_______項目會議紀要（項目章程和技術(shù)方案評審）》《關(guān)于_______項目開工申請報告的批復(fù)》項目啟動會《關(guān)于召開_______項目啟動會的通知》《_______項目會議議程》《_______項目會議紀要（項目啟動會）》方案設(shè)計開箱驗收安裝調(diào)試《_______項目系統(tǒng)環(huán)境申請表》《_______硬件系統(tǒng)集成到貨驗收報告》《_______硬件系統(tǒng)集成調(diào)試報告》驗收《項目系統(tǒng)初步驗收申請書》《項目初步驗收方案》《項目初步驗收報告》《項目初步驗收報告評審書》（按需要）《項目竣工驗收申請》《項目竣工驗收方案》《項目竣工驗收報告》《項目竣工驗收報告評審書》（按需要）《項目交付件確認單》應(yīng)用系統(tǒng)建設(shè)項目立項《_______項目立項申請書》《_______項目可行性研究報告》《_______項目立項論證報告》《_______項目立項批復(fù)》《_______項目計劃及預(yù)算申報表》《_______項目計劃及預(yù)算批復(fù)》項目組織及管理《_______項目管理辦公室（PMO）組織機構(gòu)及人員》《_______項目管理辦公室（PMO）職責(zé)》《關(guān)于成立_______項目管理組織的通知》項目準備《_______項目招標(biāo)計劃申請書》《_______項目招標(biāo)文件》（應(yīng)用系統(tǒng)建設(shè)類）《_______項目招標(biāo)文件》（應(yīng)用系統(tǒng)運維類）《_______項目招標(biāo)文件》（咨詢服務(wù)類）《_______項目招標(biāo)文件》（非集成類硬件）《_______項目招標(biāo)文件》（集成類硬件）《_______項目招標(biāo)文件》（硬件運維類）《_______項目評標(biāo)標(biāo)準》（應(yīng)用系統(tǒng)建設(shè)類）《招標(biāo)文件提交申請單》《_______項目招標(biāo)文件審查報告》《_______項目招標(biāo)委托合同》《_______項目可研批復(fù)》《_______項目招標(biāo)公告及招標(biāo)公告確認函》《_______項目投標(biāo)申請人報名表》《_______項目招標(biāo)文件澄清及回執(zhí)》《_______項目招標(biāo)文件確認函》《_______項目招標(biāo)工作組標(biāo)前會議紀要及工作手冊》《_______項目評標(biāo)報告》《_______項目評標(biāo)結(jié)果匯報會會議紀要》《_______項目中標(biāo)公示》《_______項目中標(biāo)通知書》《_______項目評標(biāo)專家抽取記錄》《_______項目評標(biāo)專家及參評人員簽到表》《_______項目投標(biāo)文件接收表》《_______項目綜合評分統(tǒng)計表》《_______項目商務(wù)評分統(tǒng)計表》《_______項目商務(wù)評分表》《_______項目技術(shù)評分統(tǒng)計表》《_______項目技術(shù)評分表》《_______項目價格評分統(tǒng)計表》《會議紀要（定標(biāo)會議）》《_______項目合同》（應(yīng)用系統(tǒng)建設(shè)類）；《_______項目合同》（應(yīng)用系統(tǒng)運維類）；《_______項目合同》（咨詢服務(wù)類）；《_______項目合同》（非集成類硬件）；《_______項目合同》（集成類硬件）；《_______項目合同》（硬件運維類）。項目開工《_______項目質(zhì)量管理辦法》《_______項目安全管理辦法》《_______項目進度管理辦法》《_______項目變更管理辦法》《_______項目需求管理辦法》《_______項目合同管理辦法》《_______項目文檔管理辦法》《_______項目工作制度》《_______項目風(fēng)險管理辦法》《_______項目溝通管理辦法》《關(guān)于印發(fā)_______項目管理辦法的通知》《_______項目章程》《_______項目工作說明書》《_______項目技術(shù)方案》《_______項目計劃》《_______項目開工申請報告》《關(guān)于召開_______項目章程和技術(shù)方案評審會的通知》《_______項目會議議程》《_______項目會議紀要（項目章程和技術(shù)方案評審）》《關(guān)于_______項目開工申請報告的批復(fù)》方案設(shè)計《_______項目客戶需求說明書》《_______項目軟件需求規(guī)格說明書》《_______項目客戶需求說明書及軟件需求規(guī)格說明書評審報告》。《_______項目概要設(shè)計》《_______項目概要設(shè)計評審報告》《_______項目詳細設(shè)計》《_______項目詳細設(shè)計評審報告》系統(tǒng)開發(fā)測試《_______項目系統(tǒng)應(yīng)用環(huán)境申請表》《_______項目單元測試》《_______項目技術(shù)規(guī)范書》《_______項目接口數(shù)據(jù)規(guī)范》《_______項目程序維護手冊》《_______項目用戶操作手冊》《_______項目程序員開發(fā)手冊》《_______項目系統(tǒng)安裝手冊》《_______項目系統(tǒng)運行維護管理規(guī)定》《_______項目系統(tǒng)標(biāo)準代碼設(shè)計技術(shù)規(guī)范》《_______項目系統(tǒng)測試方案》《_______項目系統(tǒng)測試問題清單》《_______項目系統(tǒng)測試審查表》《_______項目系統(tǒng)測試報告》《_______項目用戶測試方案》《_______項目用戶測試用例》《_______項目用戶測試問題清單》《_______項目用戶測試審查表》《_______項目用戶測試報告》上線《_______項目試點應(yīng)用報告》《_______項目上線試運行方案》《關(guān)于召開_______系統(tǒng)上線試運行動員會的通知》《_______項目會議議程（系統(tǒng)上線試運行動員會）》《_______項目會議紀要（系統(tǒng)上線試運行動員會）》《_______項目系統(tǒng)上線試運行問題清單》《_______項目試上線試運行報告》《_______項目試上線試運行評審報告》驗收《項目系統(tǒng)初步驗收申請書》《項目初步驗收方案》《項目初步驗收報告》《項目初步驗收報告評審書》《項目竣工驗收申請》《項目竣工驗收方案》《項目竣工驗收報告》《項目竣工驗收報告評審書》《項目交付件確認單》應(yīng)用系統(tǒng)上線企業(yè)的應(yīng)用系統(tǒng)上線運行前應(yīng)必須報分公司信息化主管部門審批。一般地，分公司所屬企業(yè)宜采用申請集中部署的方式上線應(yīng)用系統(tǒng)，不宜自建應(yīng)用系統(tǒng)。 應(yīng)用軟件系統(tǒng)部署前，業(yè)務(wù)部門應(yīng)提交《應(yīng)用軟件系統(tǒng)業(yè)務(wù)受理申請表》（見附錄A.6），報信息化主管部門批準后,方可進行系統(tǒng)部署，部署時必須對主機進行加固，操作系統(tǒng)最小化安裝；關(guān)閉非必要的端口和服務(wù)；部署后對主機和應(yīng)用軟件進行安全評估監(jiān)測，漏洞掃描，無高危風(fēng)險和漏洞才能部署試運行。對于擬啟用的應(yīng)用軟件系統(tǒng)，應(yīng)提供應(yīng)用軟件系統(tǒng)的最終驗收報告及有關(guān)部門通過最終驗收的批準文件,并附《XX應(yīng)用軟件系統(tǒng)項目建設(shè)管理指南》規(guī)定的所有項目開發(fā)過程文檔。業(yè)務(wù)部門提交《應(yīng)用軟件系統(tǒng)啟用申請表》（見附錄A.7），報信息化主管部門批準啟用后,方可投入運行。 信息系統(tǒng)等級保護二級及以下系統(tǒng)的啟用申請由信息化主管部門進行審核并做好文檔備案；等級保護三級系統(tǒng)的啟用申請由信息化主管部門組織相關(guān)方管理者、技術(shù)負責(zé)人、信息安全專家和用戶組成專家組，對系統(tǒng)進行專項安全評估。評估通過后，專家組出具評估報告，信息化主管部門審核并做好文檔備案，逐級批準后方可啟用。項目評估信息化項目建設(shè)中以應(yīng)用軟件建設(shè)為主的項目試運行時間不少于六個月；以硬件建設(shè)為主的項目試運行時間不少于三個月。試運行期間若出現(xiàn)質(zhì)量問題，經(jīng)處理解決后，試運行時間必須做相應(yīng)延長。對管理應(yīng)用系統(tǒng)類項目，可視情況進行項目實用化驗收與鑒定，系統(tǒng)需求功能100%的實現(xiàn)；系統(tǒng)業(yè)務(wù)數(shù)據(jù)100%的加載；系統(tǒng)功能100%的應(yīng)用；系統(tǒng)安全隱患100%消除。為降低項目建設(shè)的隨意性，避免重復(fù)投資，提高項目建設(shè)質(zhì)量，項目建設(shè)應(yīng)統(tǒng)籌考慮至少未來三年的業(yè)務(wù)需求?？⒐を炇胀ㄟ^的項目，原則上三年內(nèi)不得續(xù)建。應(yīng)用系統(tǒng)下線企業(yè)信息化主管部門負責(zé)應(yīng)用系統(tǒng)的下線管理。 應(yīng)用系統(tǒng)如需下線時，應(yīng)用系統(tǒng)業(yè)務(wù)部門負責(zé)提交《應(yīng)用軟件系統(tǒng)停用申請表》（見附錄A.8）,信息化主管部門根據(jù)下線申請表做好應(yīng)用系統(tǒng)的各項準備工作，包括數(shù)據(jù)備份,系統(tǒng)備份等工作。涉及新老系統(tǒng)過渡的應(yīng)用系統(tǒng)，下線前，業(yè)務(wù)部門負責(zé)新老系統(tǒng)數(shù)據(jù)遷移、并行運行及應(yīng)用順利過渡，為老應(yīng)用系統(tǒng)下線提供條件。涉及新老系統(tǒng)過渡的應(yīng)用系統(tǒng)，完成新老應(yīng)用系統(tǒng)順利過渡及老應(yīng)用系統(tǒng)下線的各項準備工作后，應(yīng)用管理員組織應(yīng)用系統(tǒng)運維服務(wù)商完成老應(yīng)用系統(tǒng)的下線及新應(yīng)用系統(tǒng)的正式上線運行及推廣工作。涉及新老系統(tǒng)過渡的應(yīng)用系統(tǒng)，老系統(tǒng)正式下線后，信息化主管部門負責(zé)服務(wù)器及網(wǎng)絡(luò)資源的回收。網(wǎng)絡(luò)信息運維人員管理網(wǎng)絡(luò)信息安全人員管理應(yīng)指定或授權(quán)專門的部門或人員負責(zé)網(wǎng)絡(luò)信息安全人員錄用。對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核，并簽署保密協(xié)議。應(yīng)嚴格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限。應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備。對于關(guān)鍵崗位人員，應(yīng)從內(nèi)部人員中選拔，并簽署崗位安全協(xié)議。關(guān)鍵事務(wù)崗位應(yīng)配備多人同時管理。關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。外委人員管理 外委人員應(yīng)具備相應(yīng)的專業(yè)技能，熟悉信息系統(tǒng)，具有較強的責(zé)任心和專業(yè)素養(yǎng)。外委人員訪問重要工作區(qū)域應(yīng)提出書面申請，批準后由專人全程陪同或監(jiān)督，并登記備案。對外委人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進行書面的規(guī)定，且應(yīng)簽訂保密協(xié)議，并按照規(guī)定執(zhí)行。培訓(xùn)教育管理應(yīng)對公司員工進行網(wǎng)絡(luò)安全意識教育。每年應(yīng)至少組織一次全員范圍內(nèi)的信息安全培訓(xùn)，公司全員應(yīng)了解信息安全相關(guān)政策法規(guī)，具備信息安全意識及基礎(chǔ)防護能力。應(yīng)對專業(yè)人員進行崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。專業(yè)人員應(yīng)每年至少參加兩次信息安全專業(yè)技術(shù)培訓(xùn)，專業(yè)人員應(yīng)掌握信息安全政策法規(guī)，掌握信息安全理論與技術(shù)規(guī)范。應(yīng)對教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。訪問控制物理訪問管理應(yīng)對機房劃分區(qū)域管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過度區(qū)域。重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進出的人員。進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控活動范圍。邏輯訪問管理應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟動訪問控制功能。應(yīng)根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許、拒絕訪問的能力，控制粒度為端口級。應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接，且限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。密碼權(quán)限管理企業(yè)應(yīng)對使用信息系統(tǒng)的用戶分配賬戶和權(quán)限。應(yīng)重命名和刪除默認賬戶，修改默認賬戶的默認口令。及時刪除或停用多余的、過期的賬戶，不應(yīng)在系統(tǒng)中使用共享賬戶。應(yīng)根據(jù)用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。用戶權(quán)限變更需要按《權(quán)限變更申請表》（附錄A.12）經(jīng)過相關(guān)審批后方可執(zhí)行。系統(tǒng)口令應(yīng)由數(shù)字、字符和特殊字符組成，密碼長度不能少于8個字符，并應(yīng)定期更換，更換間隔應(yīng)小于三個月。桌面終端管理 信息化主管部門應(yīng)負責(zé)用戶計算機設(shè)備的操作系統(tǒng)和公司標(biāo)準應(yīng)用軟件的安裝、設(shè)置和管理。操作系統(tǒng)、辦公類軟件、防病毒軟件、各類業(yè)務(wù)管理軟件等應(yīng)使用統(tǒng)一推廣使用的軟件，不應(yīng)擅自卸載、改動設(shè)置。在工作中不應(yīng)下載、安裝、使用未經(jīng)許可的應(yīng)用軟件以及與工作無關(guān)的軟件。因工作原因需要安裝其他軟件的，應(yīng)填寫《計算機終端維護申請表》（見附表A.1）提交至信息化主管部門。凡私自安裝或使用盜版軟件者，一經(jīng)發(fā)現(xiàn)將給予嚴肅處理，且由此引出的版權(quán)糾紛及相關(guān)賠償責(zé)任，由該計算機使用人或所在部門負完全責(zé)任。企業(yè)為員工配置的計算機應(yīng)作為工作中的必要工具，不應(yīng)使用計算機來進行娛樂活動等與工作無關(guān)的事情。計算機用戶應(yīng)定期對計算機進行檢查和清理工作，刪除無用的文件。 計算機用戶不得擅自打開計算機設(shè)備的外殼，不得插拔、更換、添加計算機設(shè)備硬件、重裝或恢復(fù)操作系統(tǒng)、格式化硬盤等操作，禁止帶電接插各種電纜和觸摸打印頭。接入管理分公司所屬各單位在接入分公司廣域網(wǎng)前，應(yīng)向分公司信息化主管部門以書面形式遞交廣域網(wǎng)接入申請，由分公司遞交集團公司科技信息部審批后。在接入時，應(yīng)配置好接入路由器和邊界防火墻，并與線路運營商一并完成線路調(diào)試工作。接入后，網(wǎng)內(nèi)設(shè)備的變更應(yīng)報分公司信息化主管部門審批。分公司所屬各單位在接入分公司廣域網(wǎng)后第一次正式運行前，應(yīng)提前三日向分公司匯報，并由分公司向集團科技信息部申請聯(lián)調(diào)，聯(lián)調(diào)正常后方可正式投入使用。分公司廣域網(wǎng)上所有節(jié)點的IP地址由分公司按集團公司要求統(tǒng)一負責(zé)分配使用，未經(jīng)集團公司科技信息部和分公司授權(quán)、分配IP地址的網(wǎng)絡(luò)節(jié)點不允許進行接入。接入后的IP地址不允許隨意更改。分公司所屬各單位廣域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、互連方式等的改建、擴建方案必須上報分公司信息化主管部門，經(jīng)分公司審查后交集團公司科技信息部審批方可實施，以確保廣域網(wǎng)的互聯(lián)和正常運行。日志管理企業(yè)應(yīng)定期檢查服務(wù)器、信息化及網(wǎng)絡(luò)安全設(shè)備的日志信息，及時發(fā)現(xiàn)設(shè)備異常狀況，采取措施。有日志審計系統(tǒng)的，應(yīng)將審計系統(tǒng)的設(shè)備配置盡量完善，屏蔽被監(jiān)測設(shè)備的正常信息，防止忽略異常信息。對于非終端設(shè)備，應(yīng)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。數(shù)據(jù)、資料數(shù)據(jù)安全管理 企業(yè)在數(shù)據(jù)收集、存儲、傳輸、使用、備份和銷毀的各個環(huán)節(jié)，均需制定完備的安全策略，防止數(shù)據(jù)的泄露、篡改和失真等不安全情況發(fā)生。通過對數(shù)據(jù)存儲設(shè)備的場所管理及存儲設(shè)備的管理，保證數(shù)據(jù)的物理安全。 應(yīng)采取合適的技術(shù)手段，保證數(shù)據(jù)的傳輸安全。重要及涉密數(shù)據(jù)在傳輸時需采取加密手段，禁止涉密數(shù)據(jù)直接通過互聯(lián)網(wǎng)傳遞。 信息系統(tǒng)應(yīng)具備嚴格的身份驗證手段，有效杜絕未授權(quán)人員的數(shù)據(jù)訪問行為。對于集中部署，多級使用的信息系統(tǒng)，宜采用分級授權(quán)的方式，確保相關(guān)人員數(shù)據(jù)訪問權(quán)限準確。 相關(guān)數(shù)據(jù)管理部門應(yīng)做好數(shù)據(jù)訪問權(quán)限管理工作，對授權(quán)用戶須有詳細記錄，在人員崗位變動時，及時調(diào)整數(shù)據(jù)訪問權(quán)限。 對委托外部單位進行維護的信息系統(tǒng)，系統(tǒng)各企業(yè)應(yīng)制定嚴格的維護管理要求，采取措施嚴格控制數(shù)據(jù)庫的訪問權(quán)限，防止數(shù)據(jù)的非法訪問和數(shù)據(jù)泄露。 信息系統(tǒng)管理員在對系統(tǒng)數(shù)據(jù)進行維護操作時，應(yīng)提前做好保證數(shù)據(jù)安全的措施，禁止使用數(shù)據(jù)庫工具對業(yè)務(wù)數(shù)據(jù)進行添加、修改或刪除。 存儲有保密數(shù)據(jù)的筆記本電腦、移動硬盤、U盤、光盤等移動設(shè)備，應(yīng)提前制定防止丟失的安全控制措施；在使用完畢后，及時將數(shù)據(jù)清除。資料管理信息化及網(wǎng)絡(luò)安全的資料包含但不限于如下：臺賬資料管理制度、操作規(guī)程拓撲圖設(shè)備配置信息項目建設(shè)過程資料巡檢、操作記錄日志 信息化主管部門應(yīng)對信息技術(shù)資料實行分類管理，重要技術(shù)資料應(yīng)有副本并異地存放。 任何部門和個人未經(jīng)信息化主管部門同意不得將企業(yè)內(nèi)所使用的信息技術(shù)資料傳遞給外單位或個人，如工作需要，借閱、復(fù)制信息技術(shù)資料應(yīng)履行必要的審批手續(xù)。報廢及銷毀信息技術(shù)資料應(yīng)由信息化主管部門批準，并登記備案。在存儲更新頻率較高的信息化及網(wǎng)絡(luò)安全資料時，宜使用不接入任何網(wǎng)絡(luò)的專用計算機并對其中資料進行透明加密，由企業(yè)信息化部門對其中資料進行更新、管理。介質(zhì)管理應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀方面做出規(guī)定。應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理。應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，對介質(zhì)歸檔和查詢等進行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點。應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴格的管理，對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷毀。應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同。應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類標(biāo)識管理。系統(tǒng)監(jiān)控資產(chǎn)臺賬企業(yè)應(yīng)按照臺賬模板（見附錄A.2至A.5）對信息化設(shè)備、已上線的應(yīng)用系統(tǒng)及信息化終端等設(shè)備設(shè)施建立臺賬。服務(wù)水平管理企業(yè)的系統(tǒng)管理員應(yīng)對信息系統(tǒng)提供的服務(wù)水平進行評估，為系統(tǒng)提供服務(wù)質(zhì)量的好壞進行判斷，從而預(yù)防意外故障。其中包括：系統(tǒng)可用性系統(tǒng)性能指標(biāo)業(yè)務(wù)應(yīng)答時間日常巡檢應(yīng)定期對系統(tǒng)進行巡檢，檢查內(nèi)容主要包括：機房環(huán)境（溫濕度、清潔）設(shè)備硬件運行狀況（各指示燈）軟件平臺運行狀況（系統(tǒng)健康檢查）系統(tǒng)鏈路狀況（通斷）系統(tǒng)健康檢查對系統(tǒng)健康狀態(tài)進行檢查，主要包括：CPU整體使用百分比用戶態(tài)使用百分比內(nèi)核態(tài)使用百分比每個CPU使用情況磁盤讀寫吞吐磁盤讀寫次數(shù)內(nèi)存使用百分比網(wǎng)卡出入帶寬網(wǎng)卡出入包量TCP狀態(tài)監(jiān)控電源管理機房應(yīng)在機房供電線路上設(shè)置穩(wěn)壓器及電壓防護設(shè)備。應(yīng)設(shè)置UPS，至少滿足主設(shè)備在斷電情況下的正常運行要求。應(yīng)設(shè)置冗余或并行的電力電纜線路為信息系統(tǒng)供電。配置系統(tǒng)配置管理在網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備正式上線運行時，應(yīng)將其配置導(dǎo)出，并存儲在專用的移動介質(zhì)中。企業(yè)應(yīng)對配置信息采用一套規(guī)范的命名規(guī)則，以區(qū)分各時期不同的配置信息。如在保電等重要時期的運行配置和平常時期的運行配置。系統(tǒng)運行平臺、運行環(huán)境管理企業(yè)應(yīng)根據(jù)系統(tǒng)系統(tǒng)臺賬，收集各應(yīng)用系統(tǒng)運行的環(huán)境及配置信息。應(yīng)收集的要素包括但不限于以下方面：硬件設(shè)備配置要求操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)Web應(yīng)用運行庫配置信息安裝說明書對于軟件程序及電子版的說明書應(yīng)針對應(yīng)用系統(tǒng)使用專用的移動存儲介質(zhì)。運行在虛擬化中的應(yīng)用系統(tǒng)應(yīng)在運行時克隆一份，然后存儲在專用的移動存儲介質(zhì)中。信息化與網(wǎng)絡(luò)安全網(wǎng)絡(luò)信息安全組織參見第2章內(nèi)容。網(wǎng)絡(luò)信息安全機制系統(tǒng)分級企業(yè)應(yīng)根據(jù)《信息系統(tǒng)安全等級保護定級指南》自主確定信息系統(tǒng)的安全保護等級，如新建信息系統(tǒng)在設(shè)計、規(guī)劃階段應(yīng)確定安全保護等級。其中，信息系統(tǒng)的安全保護等級分為以下五級：第一級（自主保護級）：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級（指導(dǎo)保護級）：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級（監(jiān)督保護級）：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級（強制保護級）：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級（專控保護級）：信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。網(wǎng)絡(luò)信息安全策略企業(yè)應(yīng)根據(jù)系統(tǒng)的等級，提出相應(yīng)的系統(tǒng)的安全保護需求，確定安全方針，制定安全策略。從技術(shù)角度，應(yīng)從物理環(huán)境安全、通信網(wǎng)絡(luò)安全、網(wǎng)絡(luò)邊界安全、主機設(shè)備安全和應(yīng)用數(shù)據(jù)安全的角度對系統(tǒng)實施安全技術(shù)管理。從管理角度，應(yīng)從總體方針及安全策略、網(wǎng)絡(luò)安全管理制度、技術(shù)標(biāo)準及操作規(guī)程、記錄及表單的角度對系統(tǒng)進行安全管理。外委安全外委單位應(yīng)具有獨立法人資格及相關(guān)資質(zhì)，擁有良好的商業(yè)信譽和經(jīng)營實力，具備與信息系統(tǒng)運維工作相符的資質(zhì)和能力。在與外委單位簽訂相關(guān)協(xié)議時，應(yīng)明確工作范圍及工作內(nèi)容，并同時簽訂保密協(xié)議。在委托進行軟件開發(fā)時，應(yīng)確保以下事項：檢測其中可能存在的惡意代碼；要求提供軟件設(shè)計文檔和設(shè)計指南；要求提供源代碼，并審查軟件中可能存在的后門和隱蔽信道。在委托硬件集成項目實施時，應(yīng)確保以下事項：指定或授權(quán)部門或人員負責(zé)實施過程的管理；制定實施方案控制項目實施過程；較大的項目通過第三方監(jiān)理控制實施過程。機房安全機房應(yīng)選擇在具有反震、防風(fēng)和防雨等能力的建筑內(nèi)。避免設(shè)置在高層或地下室，以及用水設(shè)備的下層或隔壁。機房應(yīng)具備防盜竊、防破壞、防雷擊、防火、防水防潮、防靜電、防電磁的功能或措施。機房內(nèi)應(yīng)設(shè)置溫度、濕度自動調(diào)節(jié)設(shè)備設(shè)施，使溫濕度變化在設(shè)備運行所允許的范圍之內(nèi)。機房內(nèi)監(jiān)控攝像頭的布置能保證其錄像能夠辨別進入人員和操作設(shè)備行為，信息機房外樓道應(yīng)安裝監(jiān)控攝像頭。 視頻監(jiān)控數(shù)據(jù)保存時間不應(yīng)少于3個月，門禁數(shù)據(jù)保存時間不應(yīng)少于6個月。終端安全信息化主管部門應(yīng)建立計算機病毒防控機制，所有終端都應(yīng)安裝有統(tǒng)一的企業(yè)版防病毒軟件，并負責(zé)對病毒庫、主程序版本進行升級和實施病毒監(jiān)控管理，強制實施統(tǒng)一的防病毒策略。未安裝防病毒軟件的計算機用戶應(yīng)聯(lián)系信息主管部門進行安裝，且不應(yīng)以任何方式卸載防病毒軟件、停止防病毒服務(wù)和更改防病毒軟件配置。發(fā)現(xiàn)計算機中病毒時應(yīng)立刻斷開網(wǎng)絡(luò)連接，并及時報告信息主管部門。筆記本電腦等移動終端，應(yīng)定期接入局域網(wǎng)進行病毒庫更新和查殺病毒。外來移動存儲介質(zhì)不應(yīng)內(nèi)網(wǎng)計算機上使用。 未安裝防病毒軟件的計算機不應(yīng)接入內(nèi)網(wǎng)。信息化主管部門應(yīng)定期檢查各部門的計算機防病毒工作，并通報檢查結(jié)果。 信息化主管部門應(yīng)對防病毒軟件制定相應(yīng)的實施策略，對所有計算機實施實時監(jiān)控掃描，客戶機可以根據(jù)需要進行手動掃描；每周進行預(yù)設(shè)病毒掃描并生成報告。安全配置策略Windows主機安全策略賬戶策略->密碼策略：“密碼必須符合復(fù)雜性要求”選擇“已啟動”“密碼長度最小值”設(shè)置為“8個字符”“強制密碼歷史”設(shè)置為“5個記住的密碼”“密碼最長存留期”設(shè)置為“90天”“密碼最短使用期限”是否是設(shè)置為“2天”本地策略->審核策略：設(shè)置為成功和失敗都審核本地策略->用戶權(quán)限分配：“從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrators組”“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”本地策略->安全選項：“網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉”設(shè)置為“已啟用”“交互式登錄：提示用戶在密碼過期之前進行更改”設(shè)置為“15天”“域成員：”禁用計算機帳戶密碼更改”設(shè)置為“已禁用”“賬戶鎖定閥值”設(shè)置為10次無效登錄“賬戶鎖定時間”設(shè)置為3分鐘“復(fù)位帳戶鎖定計數(shù)器”設(shè)置為“3分鐘之后”“允許本地登錄”右擊“屬性”請根據(jù)系統(tǒng)和業(yè)務(wù)的需要添加用戶或組本地登錄此計算機“交互式登錄：不需要按ctrl+alt+del”，在“屬性”中設(shè)置為“已禁用”“交互式登錄：需要域控制器身份驗證以對工作站進行解鎖”設(shè)置為“已啟用”“網(wǎng)絡(luò)安全：在超過登錄時間后強制注銷”設(shè)置為“已啟用”錄時間后強制注銷“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘“交互登錄：不顯示上次的用戶名”配置為“已啟用”“關(guān)機：清除虛擬內(nèi)存頁面文件”配置為“已啟用”“交互式登錄：設(shè)置可被緩存的前次登錄個數(shù)為5”“交互式登陸標(biāo)題設(shè)置為警告””交互式登陸文本設(shè)置請勿非法登陸本系統(tǒng)”管理工具->事件查看器日志大小設(shè)置不小于“8192KB”最大的日志尺寸時，“按需要改寫事件”Linux主機安全策略注：在此以CentOS7為例，其他Linux版本可參照?？诹铋L度至少8位，包含小寫字母和特殊字符。//修改/etc/security/pam_pwcheck.conf的參數(shù)Minlen=8Lcredit=1Ocredit=1連續(xù)登錄6次失敗，鎖定該賬號。Root除外。//將以下代碼添加到/etc/pam.d/sshdauthrequiredpam_tally.sono_magic_rootaccountrequiredpam_tally.sodeny=6no_magic_root口令90天內(nèi)更換。//修改/etc/login.defs的參數(shù)PASS_MAX_DAYS90PASS_MIN_DAYS10PASS_WARN_AGE7鎖定與運維無關(guān)的賬號。在root權(quán)限下執(zhí)行以下命令passwd–l“停用的賬號名稱”//一般有l(wèi)p,nuucp,hpdb,sync,adm最小權(quán)限配置關(guān)鍵文件。//執(zhí)行以下代碼chmod644/etc/passwdchmod600/etc/shadowchmod644/etc/groupchmod644/etc/servicechmod644/etc/login.defschmod600/etc/xinetd.confchmod600/etc/securitychmod600/etc/ssh/ssh_config新建的賬戶的缺省權(quán)限最小話//將以下語句增加到/etc/profileUmask027等級保護企業(yè)應(yīng)當(dāng)按照《信息安全等級保護管理辦法》及《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。按《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級?？缡』蛘呗?lián)網(wǎng)運行的信息系統(tǒng)可以由分公司或集團統(tǒng)一確定安全保護等級。信息系統(tǒng)的安全保護等級確定后，企業(yè)應(yīng)當(dāng)按照國家信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。在信息系統(tǒng)建設(shè)過程中，企業(yè)應(yīng)當(dāng)按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標(biāo)準，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準同步建設(shè)符合該等級要求的信息安全設(shè)施。應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。信息系統(tǒng)建設(shè)完成后，企業(yè)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第二級信息系統(tǒng)應(yīng)當(dāng)每兩年至少進行一次等級測評，第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評。企業(yè)應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第二級信息系統(tǒng)應(yīng)當(dāng)每兩年至少進行一次自查，第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，企業(yè)應(yīng)當(dāng)制定方案進行整改。已運營（運行）或新建的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護等級確定后30日內(nèi)，企業(yè)應(yīng)到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料：系統(tǒng)拓撲結(jié)構(gòu)及說明；系統(tǒng)安全組織機構(gòu)和管理制度；系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；信息系統(tǒng)安全保護等級專家評審意見；主管部門審核批準信息系統(tǒng)安全保護等級的意見。企業(yè)應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件：信息系統(tǒng)備案事項變更情況；安全組織、人員的變動情況；信息安全管理制度、措施變更情況；信息系統(tǒng)運行狀況記錄；運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；對信息系統(tǒng)開展等級測評的技術(shù)測評報告；信息安全產(chǎn)品使用的變更情況；信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告；信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；對國家安全、社會秩序、公共利益不構(gòu)成危害；對已列入信息安全產(chǎn)品認證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護測評機構(gòu)進行測評：在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；從事相關(guān)檢測評估工作兩年以上，無違法記錄；工作人員僅限于中國公民；法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求；具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；對國家安全、社會秩序、公共利益不構(gòu)成威脅。應(yīng)急管理應(yīng)急管理應(yīng)在企業(yè)統(tǒng)一的應(yīng)急預(yù)案框架下制定網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，其中應(yīng)包括啟動條件、處理流程、系統(tǒng)恢復(fù)流程、事后教育培訓(xùn)等。針對不同的事件，應(yīng)制定相應(yīng)的應(yīng)急預(yù)案，且應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)方面確保執(zhí)行預(yù)案時有足夠資源保障。應(yīng)急預(yù)案框架或?qū)ｍ棏?yīng)急預(yù)案中，應(yīng)包括應(yīng)急小組人員名單及聯(lián)系方式、有應(yīng)急設(shè)備（軟硬件）清單并能正常工作、有第三方技術(shù)支持人員名單及聯(lián)系方式、有應(yīng)急預(yù)案執(zhí)行所需資金并能夠落實。針對應(yīng)急預(yù)案，應(yīng)在每次啟動或演練后，進行審查修訂，根據(jù)實際情況更新內(nèi)容。應(yīng)急演練系統(tǒng)相關(guān)的人員應(yīng)進行應(yīng)急預(yù)案培訓(xùn)，至少每年應(yīng)舉辦一次。應(yīng)定期對應(yīng)急預(yù)案進行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練周期。根據(jù)應(yīng)急預(yù)案的情形，應(yīng)組織企業(yè)內(nèi)部應(yīng)急預(yù)案演練和與本單位有通信鏈路的其他企業(yè)的聯(lián)合演練。信息安全事件報告發(fā)生信息安全事件時，企業(yè)應(yīng)按照《網(wǎng)絡(luò)與信息突發(fā)事件報告單》（見A.9）向分公司總值班室、信息化主管及領(lǐng)導(dǎo)報告。風(fēng)險管理風(fēng)險識別風(fēng)險類別根據(jù)網(wǎng)絡(luò)安全信息的特點，分為以下兩類：管理風(fēng)險：因管理措施不到位所導(dǎo)致的風(fēng)險。涉及的管理因素主要包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面。技術(shù)風(fēng)險：因技術(shù)部署不到位所導(dǎo)致的風(fēng)險。涉及的技術(shù)因素主要包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等方面。風(fēng)險識別方法頭腦風(fēng)暴：各方人員組成小組，一起討論所有可能的風(fēng)險。專家訪談：向?qū)＜一蛴薪?jīng)驗人員了解會遇到哪些困難。歷史資料：通過查閱歷史資料了解可能出現(xiàn)的問題。檢查表：將可能出現(xiàn)的問題列出清單，可以對照檢查潛在的風(fēng)險。評估表：根據(jù)歷史經(jīng)驗進行總結(jié)，通過調(diào)查問卷方式判別整體風(fēng)險和風(fēng)險類型。風(fēng)險評級按風(fēng)險程度劃分為三個等級。與《XX信息安全事件調(diào)查規(guī)程》中定義的信息安全事件等級相對應(yīng)：可引發(fā)一級、二級信息安全事件的危險因素定義為高風(fēng)險點；可引發(fā)三級信息安全事件的危險因素定義為一般風(fēng)險點；可引發(fā)四級信息安全事件的危險因素定義為低風(fēng)險點。風(fēng)險應(yīng)對策略企業(yè)應(yīng)采取切實措施采集所需的信息和數(shù)據(jù)做好風(fēng)險點的識別和評價工作。第十五條 制定責(zé)權(quán)明確、持續(xù)改進與責(zé)任追溯的信息安全風(fēng)險管理策略，按照信息系統(tǒng)的敏感程度和重要程度對管理因素、技術(shù)因素進行評估，卓有成效地開展信息安全高風(fēng)險點的分析與控制工作。其中方法有：規(guī)避：通過變更IT項目管理計劃消除風(fēng)險或風(fēng)險的觸發(fā)條件，使目標(biāo)免受影響。轉(zhuǎn)移：不消除風(fēng)險，而是將項目風(fēng)險的結(jié)果連同應(yīng)對的權(quán)力轉(zhuǎn)移給第三方。弱化：將風(fēng)險事件的概率或影響力降低到一個可以接受的程度。接受：不改變IT項目管理計劃，而考慮發(fā)生后如何應(yīng)對。風(fēng)險監(jiān)控企業(yè)應(yīng)每年組織一次信息安全風(fēng)險點的普查登記工作，及時識別、分析本企業(yè)信息安全風(fēng)險點。其中包括：監(jiān)視風(fēng)險的狀況，確定風(fēng)險是已經(jīng)發(fā)生、仍然存在還是已經(jīng)消失；檢查風(fēng)險的對策是否有效，監(jiān)控機制是否在運行；不斷識別新的風(fēng)險并制定對策。信息化主管部門負責(zé)建立健全信息安全高風(fēng)險點分析與控制臺帳（見附錄A.10及A.11），并報上級信息化主管部門備案。網(wǎng)絡(luò)信息安全通報預(yù)警企業(yè)應(yīng)建立網(wǎng)絡(luò)安全通報預(yù)警即時通訊組。收集、匯總、分析、報送網(wǎng)絡(luò)安全的事件通報和安全預(yù)警。收到網(wǎng)絡(luò)安全事件通報預(yù)警時，企業(yè)應(yīng)立刻組織對該網(wǎng)絡(luò)安全事件進行跟蹤，排查可能造成該事件的隱患，并在網(wǎng)絡(luò)安全通報預(yù)警即時通訊組中報告。網(wǎng)絡(luò)安全事件通報預(yù)警涉及本單位時，應(yīng)立刻研究分析本單位所涉及的通報預(yù)警事項，及時落實整改。確實不能整改的，應(yīng)制定網(wǎng)絡(luò)安全保障措施，全面排查相關(guān)系統(tǒng)類似網(wǎng)絡(luò)安全隱患，整改情況以書面報告的形式報送至分公司生產(chǎn)運營部，并加蓋單位公章，緊急情況下可以先在網(wǎng)絡(luò)安全通報預(yù)警即時通訊組中進行簡要報告，后補書面報告。網(wǎng)絡(luò)信息安全考核與評價考核與評價信息化工作評價與考核，以信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)與日常管理情況作為評價依據(jù)，兼顧現(xiàn)場檢查結(jié)果。指標(biāo)體系所需信息，主要從應(yīng)用系統(tǒng)與日常工作過程中獲??；現(xiàn)場驗證類指標(biāo)根據(jù)日常工作或現(xiàn)場查證所掌握的情況進行評價。評價方式分為：自評價、系統(tǒng)各企業(yè)督查評價和集團審核評價。其中：自評價包括崗位自查、專業(yè)檢查、單位檢查；系統(tǒng)各企業(yè)督查評價是在所屬企業(yè)自評價結(jié)果的基礎(chǔ)上進行現(xiàn)場督查整改，并按照指標(biāo)體系進行本公司內(nèi)部評價排序；集團審核評價是在系統(tǒng)各企業(yè)督查評價的基礎(chǔ)上，結(jié)合集團公司信息化工作重點與日常管控情況，組織專家隊伍到系統(tǒng)各企業(yè)有針對性地進行核查。集團公司科技信息部將會同有關(guān)部門對系統(tǒng)各企業(yè)考核情況進行復(fù)審，形成年度評價結(jié)果，提交集團公司人力資源部，納入業(yè)績考核體系。獎懲網(wǎng)絡(luò)安全表彰與獎勵工作納入安全生產(chǎn)獎勵范疇，執(zhí)行《XX安全生產(chǎn)工作獎懲辦法》，獎勵資金不單獨列支。每年對上一年度網(wǎng)絡(luò)安全工作業(yè)績突出的企業(yè)、集體和個人予以表彰和獎勵。發(fā)生網(wǎng)絡(luò)安全事件時依據(jù)《網(wǎng)絡(luò)安全事件調(diào)查規(guī)程》進行調(diào)查，根據(jù)調(diào)查結(jié)論，對事件責(zé)任單位進行經(jīng)濟處罰，標(biāo)準執(zhí)行分公司年度業(yè)績考核辦法。

（規(guī)范性附錄）

常用表格計算機終端維護申請表（樣表）計算機終端維護申請表編號： 日期：申請人申請部門申請類型□領(lǐng)用□更換□升級□借用□遷移□回收□報廢□安裝軟件□其他申請內(nèi)容□計算機□顯示器□打印機□掃描儀□計算機配件□筆記本電腦□操作系統(tǒng)□應(yīng)用軟件□網(wǎng)絡(luò)設(shè)備□其他申請說明申請開始日期申請結(jié)束（歸還）日期：申請部門主任審批簽字：信息技術(shù)人員鑒定簽字：信息主管部門審批簽字：公司主管領(lǐng)導(dǎo)審批簽字：維護內(nèi)容記錄實際完成

（歸還）日期：經(jīng)辦人簽字：申請人簽字：備注

信息化臺賬（樣表）公司信息化臺賬單位名稱地址信息主管部門機房位置機房面積（平米）機柜數(shù)量不間斷電源恒溫空調(diào)24小時值班氣體消防Q/CDT—2020信息化設(shè)備臺賬（樣表）信息化設(shè)備臺賬單位名稱（蓋章）：序號資產(chǎn)（設(shè)備）編號(企業(yè)內(nèi)部編號，含標(biāo)識分類)設(shè)備名稱設(shè)備類型規(guī)格型號基本配置設(shè)備單價（元）生產(chǎn)廠家購置日期出廠編號/設(shè)備序列號安裝日期安裝地點管理部門管理負責(zé)人使用部門使用負責(zé)人設(shè)備狀態(tài)過保日期IP地址MAC地址預(yù)裝系統(tǒng)備注

信息化系統(tǒng)臺賬（樣表）信息系統(tǒng)臺賬單位名稱（蓋章）：序號系統(tǒng)編號（含標(biāo)識分類）系統(tǒng)名稱名稱地址部署位置系統(tǒng)版本組件信息主要流程及數(shù)據(jù)描述系統(tǒng)實施系統(tǒng)維護等級保護部署方式管理部門管理責(zé)任人使用單位/部門使用責(zé)任人系統(tǒng)狀態(tài)實施時間實施單位上線時間維護單位維護人聯(lián)系方式過保日期系統(tǒng)定級系統(tǒng)備案系統(tǒng)測評

信息維護臺賬（樣表）信息維護臺賬編號開始時間結(jié)束時間維護設(shè)備/系統(tǒng)維護內(nèi)容維護性質(zhì)安全措施維護地點維護人員處理結(jié)果發(fā)生費用批準人應(yīng)用軟件系統(tǒng)業(yè)務(wù)受理申請表（樣表）應(yīng)用系統(tǒng)軟件系統(tǒng)業(yè)務(wù)受理申請表申請單位申請日期申請人聯(lián)系方式申請事由業(yè)務(wù)系統(tǒng)名稱系統(tǒng)狀態(tài)□在建□試運□在運業(yè)務(wù)類別□內(nèi)網(wǎng)訪問控制□內(nèi)外網(wǎng)擺渡□互聯(lián)網(wǎng)訪問控制開通期限申請類型□首次申請□策略變更（□地址更換□端口變更）□策略延時□策略關(guān)閉□系統(tǒng)維護源地址及系統(tǒng)名稱源地址所屬單位及作用源端口源端口協(xié)議□TCP□UDP目的地址系統(tǒng)名稱目的地址所屬單位及作用目的端口目的端口協(xié)議□TCP□UDP業(yè)務(wù)主管部門審批簽字：年月日信息主管部門審批簽字：年月日

應(yīng)用軟件系統(tǒng)啟用申請表（樣表）應(yīng)用系統(tǒng)軟件系統(tǒng)啟用申請表系統(tǒng)名稱系統(tǒng)編號申請單位申請日期系統(tǒng)概述：啟用系統(tǒng)條件：□系統(tǒng)信息