5國家電網(wǎng)公司信息系統(tǒng)安全管理辦法

2014-12-11 23:19:04 大云網(wǎng)　點擊量：評論 (0)

國家電網(wǎng)公司信息系統(tǒng)安全管理辦法；第一章總則；第一條為加強和規(guī)范國家電網(wǎng)公司（以下簡稱公司）信；第二條本辦法所稱信息系統(tǒng)指公司一體化企業(yè)級信息系；第三條信息系統(tǒng)安全主要任務是確保信息系統(tǒng)持續(xù)、穩(wěn)；第四條公司信息系統(tǒng)安全堅持“分區(qū)、分級、分域”總；第五條在規(guī)劃和建設信息系統(tǒng)時，信息系統(tǒng)安全防護措；第六條本辦法適用于公司總部，各區(qū)域電網(wǎng)、省（自治；第二章信息系統(tǒng)

國家電網(wǎng)公司信息系統(tǒng)安全管理辦法

第一章總則

第一條為加強和規(guī)范國家電網(wǎng)公司（以下簡稱公司）信息系統(tǒng)安全工作，提高公司信息系統(tǒng)整體安全防護水平，實現(xiàn)信息系統(tǒng)安全的可控、能控、在控，依據(jù)國家有關(guān)法律、法規(guī)、規(guī)定及公司有關(guān)制度，制定本辦法。

第二條本辦法所稱信息系統(tǒng)指公司一體化企業(yè)級信息系統(tǒng)，主要包括一體化企業(yè)級信息集成平臺（以下簡稱“一體化平臺”）和八大業(yè)務應用。“一體化平臺”包含信息網(wǎng)絡、數(shù)據(jù)交換、數(shù)據(jù)中心、應用集成和企業(yè)門戶；“業(yè)務應用”包含財務（資金）管理、營銷管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項目管理、綜合管理業(yè)務應用。電力二次系統(tǒng)安全防護遵照國家電力監(jiān)管委員會5號令《電力二次系統(tǒng)安全防護規(guī)定》及其配套文件《電力二次系統(tǒng)安全防護總體方案》執(zhí)行。

第三條信息系統(tǒng)安全主要任務是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對外服務中斷和由此造成的電力系統(tǒng)運行事故。

第四條公司信息系統(tǒng)安全堅持“分區(qū)、分級、分域”總體防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度。管理信息網(wǎng)絡分為信息內(nèi)網(wǎng)和信息外網(wǎng)，實現(xiàn)“雙機雙網(wǎng)”，信息內(nèi)網(wǎng)定位為公司信息化“SG186”工程業(yè)務應用承載網(wǎng)絡和內(nèi)部辦公網(wǎng)絡，信息外網(wǎng)定位為對外業(yè)務網(wǎng)絡和訪問互聯(lián)網(wǎng)用戶終端網(wǎng)絡。信息內(nèi)、外網(wǎng)之間實施強邏輯隔離的措施。電力二次系統(tǒng)實行“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的安全防護策略。

第五條在規(guī)劃和建設信息系統(tǒng)時，信息系統(tǒng)安全防護措施應按照“三同步”原則，與信息系統(tǒng)建設同步規(guī)劃、同步建設、同步投入運行。

第六條本辦法適用于公司總部，各區(qū)域電網(wǎng)、省（自治區(qū)、直轄市）電力公司和公司直屬單位（以下簡稱各單位）的信息系統(tǒng)安全管理工作。

第二章信息系統(tǒng)安全管理職責

第七條公司信息系統(tǒng)安全管理實行統(tǒng)一領導、分級管理。各單位主要負責人是本單位信息系統(tǒng)安全第一責任人，各單位信息化領導小組負責本單位信息系統(tǒng)安全重大事項決策和協(xié)調(diào)工作。

第八條信息系統(tǒng)安全納入公司安全管理體系，實行專業(yè)管理、歸口監(jiān)督。公司信息化工作部是信息系統(tǒng)安全的管理部門，負責管理信息大區(qū)（信息內(nèi)網(wǎng)和信息外網(wǎng)）的安全保障，國家電力調(diào)度通信中心負責電力二次系統(tǒng)特別是生產(chǎn)控制大區(qū)系統(tǒng)的安全保障，安全監(jiān)察部負責公司信息系統(tǒng)安全監(jiān)督工作。

第九條公司信息化工作部主要職責：

（一）落實國家有關(guān)信息系統(tǒng)安全法規(guī)、方針、政策、標準和規(guī)范，聯(lián)系國家有關(guān)部門落實信息系統(tǒng)安全管理相關(guān)工作；

（二）組織制定公司信息系統(tǒng)安全管理規(guī)章制度和標準規(guī)范；

（三）指導、協(xié)調(diào)和檢查各單位信息系統(tǒng)安全工作，組織落實公司信息系統(tǒng)等級保護制度，統(tǒng)籌開展公司信息系統(tǒng)風險評估和安全檢查工作；

（四）負責信息系統(tǒng)二級以下事故的調(diào)查和處理（公司信息系統(tǒng)安全事件描述見《國家電網(wǎng)公司信息系統(tǒng)事故調(diào)查與統(tǒng)計規(guī)定》）；協(xié)助信息系統(tǒng)一級、二級事故的調(diào)查和處理；

（五）在公司應急體系框架內(nèi)，負責公司信息系統(tǒng)應急管理相關(guān)工作；

（六）開展涉密計算機網(wǎng)絡和系統(tǒng)立項、設計和建設，做好信息系統(tǒng)安全與保密檢查；

（七）負責規(guī)范公司信息系統(tǒng)安全產(chǎn)品的測評和選型工作。

第十條公司安全監(jiān)察部主要職責：

（一）負責公司信息系統(tǒng)安全全過程監(jiān)督檢查；

（二）負責信息系統(tǒng)一級、二級事故的調(diào)查和處理；

（三）負責監(jiān)督公司信息系統(tǒng)應急管理工作落實；

（四）負責歸口統(tǒng)計信息系統(tǒng)安全事故。

第十一條國家電力調(diào)度通信中心主要職責：

（一）負責制定電力二次系統(tǒng)管理制度，負責制定公司電力二次系統(tǒng)安全防護方案及應急處理預案；

（二）負責審核下級電力二次系統(tǒng)安全防護實施方案和應急處理預案，負責電力二次系統(tǒng)信息系統(tǒng)安全事故的調(diào)查和處理；

（三）配合完成國家有關(guān)部門對公司電力二次系統(tǒng)開展的信息系統(tǒng)安全檢查、等級保護制度落實等各項工作。

第十二條業(yè)務應用部門主要職責：

（一）配合開展業(yè)務應用系統(tǒng)安全等級定級工作；

（二）配合開展業(yè)務應用系統(tǒng)安全測評、安全檢查和風險評估等工作；

（三）負責或配合開展業(yè)務應用使用人員的有關(guān)信息系統(tǒng)安全和保密培訓工作；

（四）協(xié)助開展業(yè)務應用人員辦公計算機安全管理。

第十三條各單位主要職責：

（一）負責貫徹落實國家有關(guān)信息系統(tǒng)安全法規(guī)、方針、政策、標準和規(guī)范，貫徹落實公司信息系統(tǒng)安全相關(guān)規(guī)章制度和技術(shù)標準，建立健全本單位信息系統(tǒng)安全標準制度和規(guī)范體系；

（二）負責落實本單位范圍內(nèi)信息系統(tǒng)安全工作責任制；

（三）在公司信息職能管理部門指導下，落實本單位信息系統(tǒng)等級保護制度、信息系統(tǒng)風險評估和安全檢查等工作；

（四）按公司信息系統(tǒng)應急體系要求建立本單位信息系統(tǒng)應急體系，組織本單位信息系統(tǒng)安全突發(fā)事件的應急處理；

（五）負責明確本單位信息系統(tǒng)安全運行維護部門或機構(gòu)，落實信息系統(tǒng)安全運行維護日常工作，具體落實信息系統(tǒng)安全等級保護和安全策略；

（六）組織本單位信息系統(tǒng)安全的宣傳和培訓。

第三章管理措施

第十四條不斷建立健全信息系統(tǒng)安全管理制度體系，通過操作規(guī)程實現(xiàn)安全管理和操作人員的標準化作業(yè)；定期對信息系統(tǒng)安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度及時進行修訂。

第十五條明確安全管理機構(gòu)，設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并明確各崗位職責。應加強信息系統(tǒng)安全管理人員之間、信息職能部門和業(yè)務部門之間的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息系統(tǒng)安全問題。

第十六條嚴格遵守“涉密不上網(wǎng)、上網(wǎng)不涉密”紀律，嚴禁將涉密計算機與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡連接，嚴禁在非涉密計算機和互聯(lián)網(wǎng)上存儲、處理國家秘密。嚴禁在信息外網(wǎng)計算機上存儲和處理涉及企業(yè)秘密的信息。嚴禁涉密移動存儲介質(zhì)在涉密計算機和非涉密計算機及互聯(lián)網(wǎng)上交叉使用。

第十七條嚴格信息系統(tǒng)安全工作人員錄用過程，審查其身份、背景、專業(yè)資格，關(guān)鍵崗位應簽署保密協(xié)議；及時終止離崗員工的所有訪問權(quán)限；嚴格外部人員訪問程序，對允許訪問人員實行專人全程陪同或監(jiān)督，并登記備案。

第十八條嚴格按照國家有關(guān)部門要求，開展公司網(wǎng)絡與信息系統(tǒng)定級、審批、備案工作。針對確定的網(wǎng)絡與信息系統(tǒng)安全等級，要根據(jù)等級保護有關(guān)要求，落實必要的管理和技術(shù)措施，嚴格執(zhí)行等級保護制度。

第十九條新建信息系統(tǒng)涉及安全防護措施建設，應明確安全需求，確定安全等級，結(jié)合公司安全防護總體策略，進行安全防護方案設計；根據(jù)國家有關(guān)規(guī)定和堅持鼓勵使用國產(chǎn)化產(chǎn)品原則，開展安全產(chǎn)品采購，必要時開展產(chǎn)品預先選型測試；加強軟件開發(fā)管理，確保開發(fā)環(huán)境與實際運行環(huán)境安全隔離；委托有資質(zhì)的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告；對測試不符合要求的，在整改后要重新測試。系統(tǒng)試運行前，要開展相關(guān)安全培訓。

第二十條加強信息系統(tǒng)運行維護全過程管理：

（一）嚴格執(zhí)行信息機房管理有關(guān)規(guī)范，確保機房運行環(huán)境符合要求，嚴格機房出入管理。要編制信息系統(tǒng)資產(chǎn)清單，建立資產(chǎn)管理制度，根據(jù)資產(chǎn)重要程度對資產(chǎn)進行標識。

（二）對信息系統(tǒng)軟硬件設備選型、采購、使用等實行規(guī)范化管理，建立相應操作規(guī)程，對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備實行標準化作業(yè)。強化存儲介質(zhì)存放、使用、維護和銷毀等各項措施。

（三）按照最小服務配置和最小授權(quán)原則，對安全策略、安全配置、日志和操作等方面做出具體規(guī)定，明確各個角色的權(quán)限、責任和風險；詳細記錄日常操作、運行維護記錄、參數(shù)設置和修改等內(nèi)容，嚴禁任何未經(jīng)授權(quán)的操作；定期開展運行日志和審計數(shù)據(jù)分析工作，及時發(fā)現(xiàn)異常行為。及時根據(jù)需要進行軟件升級更新，并在更新前做好備份；定期進行漏洞掃描，及時發(fā)現(xiàn)安全漏洞并進行修補；及時安裝補丁程序，在安裝補丁前做好測試和備份工作。

（四）及時升級防病毒軟件，加強全員防病毒、木馬的意識，不打開、閱讀來歷不明的郵件；要指定專人對網(wǎng)絡和主機進行惡意代碼檢測并做好記錄，定期開展分析；加強防惡意代碼軟件授權(quán)使用、惡意代碼庫升級等管理。

（五）嚴格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報和審批程序，建立健全變更管理制度。保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準，進行必要的安全隔離，配置嚴格的訪問控制策略，開展必要的安全評估。

（六）建立和執(zhí)行密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。

（七）對信息網(wǎng)絡與系統(tǒng)運行狀況等進行監(jiān)測和報警；定期對監(jiān)測和報警記錄進行分析，根據(jù)需要采取必要的應對措施；應建立安全管理中心，對安全設備、惡意代碼、補丁升級、安全審計等安全設施進行集中管理。

（八）嚴格按照有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定，及時報告信息系統(tǒng)事故情況，認真開展信息系統(tǒng)事故原因分析，堅持“四不放過”原則，有效落實整改，確保類似事故不再發(fā)生。嚴格執(zhí)行有關(guān)公司網(wǎng)絡與信息系統(tǒng)安全運行情況通報制度，做好定期、節(jié)假日和特殊時期的網(wǎng)絡與信息系統(tǒng)安全運行情況報送工作。

第二十一條嚴格執(zhí)行公司有關(guān)信息系統(tǒng)安全風險評估管理規(guī)定，切實將信息系統(tǒng)安全風險評估工作常態(tài)化和制度化，及時落實整改，及時消除信息系統(tǒng)安全隱患。根據(jù)國家和公司要求，定期開展信息系統(tǒng)安全檢查工作，做好特殊時期安全檢查和安全保障工作。

第二十二條不斷完善應急預案，加強培訓和演練，確保人力、設備等應急保障資源可用。

第二十三條建立備份與恢復管理相關(guān)安全管理制度，嚴格控制數(shù)據(jù)備份和恢復過程，妥善保存?zhèn)浞萦涗洠ㄆ趫?zhí)行恢復程序。要切實根據(jù)需要開展業(yè)務應用容災系統(tǒng)建設。

第二十四條切實加強網(wǎng)絡信任體系建設規(guī)劃工作，不斷完善公司安全認證系統(tǒng)相關(guān)技術(shù)標準和功能規(guī)范。強化信任體系應用工作，做好信息系統(tǒng)統(tǒng)一身份認證，以及重要信息的加密和簽名工作。

第二十五條切實加強員工信息系統(tǒng)安全培訓，提高全員信息系統(tǒng)安全意識；強化信息系統(tǒng)安全人員專業(yè)技能培訓，做到培訓工作有計劃、有總結(jié)，培訓效果有評價。要對關(guān)鍵崗位人員進行全面、嚴格的安全審查和技能考核，對在信息系統(tǒng)安全工作中做出顯著成績的單位和人員應給予獎勵和表彰。對違反國家法律、法規(guī)和公司有關(guān)規(guī)定，造成一定不良影響和后果的，要追究其責任。

第四章技術(shù)措施

第二十六條根據(jù)國家和公司有關(guān)規(guī)定，對機房建筑設置符合要求的避雷裝置、滅火和火災自動報警系統(tǒng)；采取防雨水措施，防止雨水、水蒸氣結(jié)露和地下積水；設置溫、濕度自動調(diào)節(jié)設施，控制機房溫、濕度在設備運行所允許范圍之內(nèi)，保證雙路供電,電源線和通信電纜應隔離，避免互相干擾；采用接地方式防止外界電磁干擾和設備寄生耦合干擾。

第二十七條加強網(wǎng)絡安全技術(shù)工作：

（一）網(wǎng)絡核心交換機、路由器等網(wǎng)絡設備要冗余配置，合理分配網(wǎng)絡帶寬；建立業(yè)務終端與業(yè)務服務器之間的訪問控制；根據(jù)需要劃分不同子網(wǎng)；對重要網(wǎng)段采取網(wǎng)絡層地址與數(shù)據(jù)鏈路層地址綁定措施。

（二）采用防火墻或入侵防護設備（IPS）對內(nèi)網(wǎng)邊界實施訪問審查和控制；對進出網(wǎng)絡信息內(nèi)容實施過濾，對應用層常用協(xié)議命令進行控制，網(wǎng)關(guān)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。嚴格撥號訪問控制措施。

（三）加強內(nèi)部用戶私自訪問外部網(wǎng)絡行為的檢測工作，要能夠及時發(fā)現(xiàn)，準確定位，有效阻斷；對重要網(wǎng)段，應采用入侵檢測系統(tǒng)進行監(jiān)控，對入侵事件及時提供報警。

第二十八條加強系統(tǒng)安全技術(shù)工作：

（一）對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進行身份標識和鑒別，具有登錄失敗處理，限制非法登錄次數(shù)，設置連接超時功能；用戶訪問不得采用空賬號和空口令，口令要足夠強健，長度不得少于8位。

（二）嚴格限制匿名用戶的訪問權(quán)限；實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶訪問權(quán)限分離，對訪問權(quán)限一致的用戶進行分組，訪問控制力度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級。

（三）控制單個用戶的多重并發(fā)會話和最大并發(fā)連接數(shù)，限制單個用戶對系統(tǒng)資源、磁盤空間的最大或最小使用限度，當系統(tǒng)服務水平降低到預先規(guī)定的最小值時，應能檢測并報警。

第二十九條嚴格網(wǎng)絡、系統(tǒng)安全審計工作，安全審計系統(tǒng)應定期生成審計報表，自動進行備份，審計記錄應受到保護，避免刪除、修改或破壞。

第三十條重要和敏感信息實行加密傳輸和存儲；對重要信息實行自動、定期備份；對門戶網(wǎng)站頁面，要具有防篡改機制和措施。

第三十一條嚴格用戶帳號及口令管理，使用強健復雜口；第五章附則；第三十二條本辦法由國家電網(wǎng)公司信息化工作部負責解；

第三十一條嚴格用戶帳號及口令管理，使用強健復雜口令，定期更換口令，杜絕使用空口令；定期開展用戶終端計算機數(shù)據(jù)備份工作，及時安裝系統(tǒng)補丁程序，及時更新殺病毒程序，加強移動存儲介質(zhì)管理。

第五章附則

第三十二條本辦法由國家電網(wǎng)公司信息化工作部負責解釋并督促執(zhí)行。第三十三條各單位可根據(jù)本辦法制定實施細則，報國家電網(wǎng)公司備案。第三十四條本辦法自印發(fā)之日起執(zhí)行。