信息系統(tǒng)安全管理辦法

大唐國際發(fā)電股份國際內(nèi)蒙古分公司信息系統(tǒng)平安管理方法第一章總則第一條為了確保分公司計算機管理信息系統(tǒng)的網(wǎng)絡(luò)平安和信息平安，使公司的網(wǎng)絡(luò)資源、信息資源得到有效的保護，防止發(fā)生竊密和泄密事件的發(fā)生，依據(jù)國家有關(guān)法律、法規(guī)，以及大唐國際信息系統(tǒng)平安管理規(guī)定，制定本管理方法。第二條本方法中的計算機管理信息系統(tǒng)，是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。計算機管理信息系統(tǒng)平安泛指與計算機管理信息系統(tǒng)的運行環(huán)境、系統(tǒng)配置、設(shè)備配置、軟件配置、帳號、防病毒、防黑客、系統(tǒng)功能使用、應(yīng)用業(yè)務(wù)應(yīng)用、信息保密等方面的組織、管理和操作有關(guān)的工作。第三條本方法適用于分公司各部門、各單位。第二章機構(gòu)及職責第四條計算機管理信息系統(tǒng)的平安管理要遵循統(tǒng)一領(lǐng)導、統(tǒng)籌規(guī)劃、強化管理和全面防范的原則。第五條公司信息化領(lǐng)導小組負責計算機信息系統(tǒng)平安管理的領(lǐng)導和決策。總經(jīng)理工作部是計算機信息平安管理的職能部門，負責計算機信息系統(tǒng)平安的監(jiān)督與日常管理?？偨?jīng)理工作部要落實專人負責管理信息系統(tǒng)網(wǎng)絡(luò)與信息平安的技術(shù)管理與檢查、監(jiān)督工作。第三章平安措施第六條網(wǎng)絡(luò)平安〔一〕計算機管理信息系統(tǒng)的規(guī)劃、設(shè)計和實施必須符合網(wǎng)絡(luò)與信息平安建設(shè)的相關(guān)標準，能夠滿足平安運行和信息保密的需要?！捕秤嬎銠C管理信息系統(tǒng)的建設(shè)過程中，必須同步設(shè)計和實施網(wǎng)絡(luò)與信息平安系統(tǒng)?！踩秤嬎銠C管理信息系統(tǒng)所采用的網(wǎng)絡(luò)和信息平安產(chǎn)品，必須經(jīng)過國家認可的相關(guān)機構(gòu)的測評認證，并履行相關(guān)的審批手續(xù)。〔四〕公司內(nèi)部網(wǎng)與公司外部網(wǎng)〔國際互聯(lián)網(wǎng)、電力系統(tǒng)廣域網(wǎng)等〕之間的互聯(lián)，必須采取有效的物理隔離和訪問控制措施?！参濉彻緝?nèi)部網(wǎng)與用于生產(chǎn)監(jiān)控的網(wǎng)絡(luò)系統(tǒng)之間必須采取有效的物理隔離和訪問控制措施。第七條系統(tǒng)平安〔一〕管理信息系統(tǒng)的網(wǎng)絡(luò)設(shè)備、效勞器設(shè)備、網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)在安裝、調(diào)試完畢后，必須有準確無誤的系統(tǒng)安裝、配置文檔，該文檔除由網(wǎng)絡(luò)管理人員統(tǒng)一、妥善保管外，還應(yīng)在公司的檔案中心進行存檔?！捕尘W(wǎng)絡(luò)管理員和數(shù)據(jù)庫管理員在修改和調(diào)整以上設(shè)備和系統(tǒng)的配置參數(shù)后，要及時、準確地做好操作記錄，并妥善保管?！踩尘W(wǎng)絡(luò)管理員和數(shù)據(jù)庫管理員應(yīng)定期修改和更換以上設(shè)備和系統(tǒng)的系統(tǒng)口令和管理口令，并做好記錄，妥善保管。〔四〕網(wǎng)絡(luò)管理員要經(jīng)常檢查設(shè)備和系統(tǒng)的漏洞，及時升級系統(tǒng)和安裝補丁程序，消除系統(tǒng)和設(shè)備的潛在平安隱患?！参濉尘W(wǎng)絡(luò)管理人員在根據(jù)網(wǎng)絡(luò)系統(tǒng)應(yīng)用需求增加和調(diào)整網(wǎng)絡(luò)效勞功能后，要及時檢查和調(diào)整平安設(shè)備的控制機制和訪問策略。〔六〕網(wǎng)絡(luò)管理員要采用必要的技術(shù)手段和測試工具，經(jīng)常對網(wǎng)絡(luò)系統(tǒng)進行跟蹤和分析，及時發(fā)現(xiàn)和消除網(wǎng)絡(luò)資源的非法訪問和黑客攻擊行為。第八條應(yīng)用平安〔一〕應(yīng)用軟件系統(tǒng)的設(shè)計、開發(fā)要確保系統(tǒng)的用戶訪問權(quán)限、帳號和口令具有可管理性。軟件維護人員要確保用戶權(quán)限分配合理，帳號口令設(shè)置嚴密，并定期對帳號、口令進行更改，以增加應(yīng)用系統(tǒng)的平安性。〔二〕數(shù)據(jù)庫管理員和軟件維護人員要定期〔每月至少2次〕對應(yīng)用系統(tǒng)的管理員帳號、用戶帳號進行檢查，確保帳號設(shè)置的有效性和唯一性，確保訪問權(quán)限的資源分配合理、正確。第九條數(shù)據(jù)平安〔一〕數(shù)據(jù)庫管理員對數(shù)據(jù)庫效勞器的數(shù)據(jù)管理要制定一套完善的數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)的整體方案。要采用至少兩種不同的數(shù)據(jù)備份方法和技術(shù)手段，對數(shù)據(jù)庫效勞器數(shù)據(jù)進行備份?！捕尘W(wǎng)絡(luò)計算機用戶負責對本機上的個人數(shù)據(jù)資源進行定期〔每月至少1次〕備份，防止本機硬盤故障造成數(shù)據(jù)喪失。第十條文檔、資料保密〔一〕要落實專人對管理信息系統(tǒng)的技術(shù)文擋、資料、程序代碼等進行集中、妥善保管，資料的內(nèi)部借閱和使用要履行部門主管審批手續(xù)，并做好借閱和使用記錄?！捕臣夹g(shù)文擋、資料的對外借閱必須經(jīng)過總經(jīng)理工作部主管領(lǐng)導的審批，涉及到企業(yè)信息機密的，要經(jīng)公司領(lǐng)導的審批。第十一條防病毒平安〔一〕管理信息系統(tǒng)要具備集中的網(wǎng)絡(luò)防病毒能力，保證網(wǎng)絡(luò)殺毒軟件的及時自動更新。網(wǎng)絡(luò)維護人員要及時檢查和跟蹤網(wǎng)絡(luò)殺毒軟件的運行效果?！捕惩ㄟ^普及計算機信息平安知識，提高計算機網(wǎng)絡(luò)用戶的防病毒意識，合法、標準使用計算機軟件和信息資源，提高網(wǎng)絡(luò)系統(tǒng)抵御計算機病毒的整體平安性。〔三〕員工應(yīng)當遵守國家有關(guān)法律、法規(guī)，不得制作、復(fù)制、發(fā)布和傳播含有以下內(nèi)容的信息：違反國家憲法所規(guī)定的信息，危害國家平安、泄露國家秘密、顛覆國家政權(quán)、破壞國家統(tǒng)一的信息，損害國家榮譽和利益的信息，煽動民族仇恨、民族歧視，破壞民族團結(jié)的信息，散涉淫穢、色情、賭博、暴力、兇殺、恐怖或教唆犯罪的信息，欺辱或誹謗他人、侵害他人合法權(quán)益的信息，含有法律、行政法規(guī)禁止的其他內(nèi)容的信息?！菜摹澄唇?jīng)網(wǎng)絡(luò)管理人員許可，員工不得進行任何干擾網(wǎng)絡(luò)運行和使用的以下行為：擅自將個人計算機接