信息安全工作管理規(guī)定

1、信息安全工作管理規(guī)定信息系統(tǒng)安全管理組織機(jī)構(gòu)局長(zhǎng)、書(shū)記 副局長(zhǎng)、和總工 機(jī)關(guān)處室、基層單位負(fù)責(zé)人1 總則1.1 為加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的安全管理，促進(jìn)信息化建設(shè)的健康發(fā)展，保障電 網(wǎng)的安全穩(wěn)定運(yùn)行和正常生產(chǎn)經(jīng)營(yíng)管理，根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安 全保護(hù)條例等國(guó)家和上級(jí)單位的有關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，結(jié)合我局信息系統(tǒng)的 實(shí)際情況制定本規(guī)定。1.2 本規(guī)定所稱(chēng)的信息系統(tǒng)是指信息廣域網(wǎng)和內(nèi)部局域網(wǎng)，以和在網(wǎng)絡(luò)上運(yùn)行 的或未聯(lián)網(wǎng)的所有信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)等） 。1.3 信息系統(tǒng)安全管理要納入全局的安全生產(chǎn)管理體系，遵循“統(tǒng)一領(lǐng)導(dǎo)、統(tǒng) 一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一組織建設(shè)”和“誰(shuí)主管、誰(shuí)負(fù)責(zé)、聯(lián)合

2、防護(hù)、協(xié)同處置” 的原則，實(shí)行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針。1.4 信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障信息設(shè)備、設(shè)施的安全和運(yùn)行環(huán)境的安全， 保障計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)功能的正常發(fā)揮，保障信息的安全，維護(hù)信息系統(tǒng)的安 全運(yùn)行。1.5 信息系統(tǒng)的安全保護(hù)，要綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化網(wǎng)絡(luò)與信息安全 資源的配置，實(shí)行網(wǎng)絡(luò)與信息安全等級(jí)保護(hù)，確保重點(diǎn)。重點(diǎn)保護(hù)網(wǎng)絡(luò)以和關(guān)系到 企業(yè)重大利益，電網(wǎng)安全生產(chǎn)運(yùn)行等方面的重要信息系統(tǒng)的安全。1.6 局所屬任何單位或個(gè)人不得利用信息系統(tǒng)從事危害國(guó)家利益、公司利益和 職工合法權(quán)益的活動(dòng)，不得危害信息系統(tǒng)的安全。1.7 本規(guī)定適用于所屬各單位。

3、2 安全管理責(zé)任制2.1 信息系統(tǒng)安全工作實(shí)行全局統(tǒng)一領(lǐng)導(dǎo)下的分級(jí)管理，逐級(jí)負(fù)責(zé)制度。2.2 各單位主要負(fù)責(zé)人是本單位信息系統(tǒng)安全第一責(zé)任人。 2.3 局信息系統(tǒng)安全 管理領(lǐng)導(dǎo)小組負(fù)責(zé)全局信息系統(tǒng)安全重大事項(xiàng)的決策和協(xié)調(diào)。管理全局信息系統(tǒng)安 全工作，進(jìn)行指導(dǎo)、協(xié)調(diào)、監(jiān)督和考核，并履行以下管理職責(zé)：2.3.1 貫徹落實(shí)國(guó)家和上級(jí)單位有關(guān)信息系統(tǒng)安全的有關(guān)法規(guī)、 規(guī)程、 制度、指 令、標(biāo)準(zhǔn)、規(guī)范 , 統(tǒng)籌本局網(wǎng)絡(luò)建設(shè)和管理信息系統(tǒng)的建設(shè)和相應(yīng)規(guī)章制度的建立。2.3.2 建立健全信息系統(tǒng)安全管理制度和標(biāo)準(zhǔn)，組織制定信息系統(tǒng)安全策略， 并負(fù)責(zé)組織實(shí)施。2.3.3 確保局信息網(wǎng)的安全、可靠、穩(wěn)定運(yùn)行，保

4、障各類(lèi)信息在網(wǎng)上的正常運(yùn) 轉(zhuǎn)，加強(qiáng)信息網(wǎng)的規(guī)范化運(yùn)行管理，明確各二級(jí)單位和信息網(wǎng)絡(luò)管理員的職責(zé)。2.3.4 開(kāi)展信息系統(tǒng)安全保護(hù)的宣傳教育和培訓(xùn)。2.4 信息通信處負(fù)責(zé)全局信息系統(tǒng)安全體系建設(shè)和安全技術(shù)保障工作：2.4.1 負(fù)責(zé)局本部信息系統(tǒng)安全措施的實(shí)施和日常運(yùn)行維護(hù)工作。2.4.2 負(fù)責(zé)防病毒襲擾的技術(shù)管理工作。2.4.3 負(fù)責(zé)非法上網(wǎng)的監(jiān)控和處理。2.4.4 負(fù)責(zé)阻截封鎖外來(lái)有害信息和病毒的入侵， 對(duì)內(nèi)負(fù)責(zé)我局中心機(jī)房和網(wǎng)絡(luò) 信息安全管理和監(jiān)控檢查。2.4.5 對(duì)服務(wù)器定期進(jìn)行維護(hù)、 管理，和時(shí)進(jìn)行系統(tǒng)更新， 軟件升級(jí)， 定期殺毒， 定期對(duì)重要數(shù)據(jù)進(jìn)行備份，保證核心服務(wù)器、網(wǎng)絡(luò)設(shè)備正常運(yùn)

5、行。2.4.6 監(jiān)控全局網(wǎng)頁(yè)的信息內(nèi)容， 發(fā)現(xiàn)有害信息和時(shí)處理， 確保內(nèi)容合法、 健康。2.4.7 做好全局計(jì)算機(jī)的防病毒工作 , 確保計(jì)算機(jī)信息系統(tǒng)的安全。2.4.8 負(fù)責(zé)辦公自動(dòng)化軟件的維護(hù)、管理、數(shù)據(jù)的備份與恢復(fù)，和時(shí)發(fā)現(xiàn)安全 隱患，落實(shí)防范整改措施。2.4.9 按規(guī)定和時(shí)匯報(bào)計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行情況。2.5 所屬各單位按照局統(tǒng)一部署，具體負(fù)責(zé)本單位內(nèi)部信息系統(tǒng)安全管理和運(yùn) 行維護(hù)工作，接受信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組的指導(dǎo)、檢查和監(jiān)督。禁止危害社會(huì) 治安、破壞社會(huì)穩(wěn)定、損壞企業(yè)形象的行為發(fā)生；防止被壞人利用局信息資源進(jìn)行 非法活動(dòng)。3 人員管理3.1 信息通信處應(yīng)設(shè)立信息安全管理、系統(tǒng)管

6、理、網(wǎng)絡(luò)管理等崗位，各單位應(yīng) 設(shè)信息安全管理員崗位，明確崗位職責(zé)和任職條件。3.2 信息通信處負(fù)責(zé)人、信息安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等必須經(jīng) 過(guò)網(wǎng)絡(luò)與信息安全培訓(xùn)后方可上崗。離崗三個(gè)月后重新上崗，必須重新培訓(xùn)。3.3 信息通信處運(yùn)行、維護(hù)人員離崗必須嚴(yán)格辦理離崗手續(xù)，移交全部技術(shù)資 料，明確其離崗后的保密義務(wù)，并立即更換有關(guān)口令、密碼和密鑰，注銷(xiāo)其專(zhuān)用帳 戶(hù)。4 規(guī)劃建設(shè)4.1 信息安全是信息化發(fā)展與應(yīng)用的重要部分，必須與信息化同步規(guī)劃、同步 建設(shè)、同步管理。4.2 在上級(jí)部門(mén)領(lǐng)導(dǎo)下統(tǒng)一規(guī)劃、部署防病毒軟件、防火墻、數(shù)據(jù)備份系統(tǒng)、 入侵檢測(cè)、安全認(rèn)證等各項(xiàng)安全技術(shù)設(shè)施，統(tǒng)一建設(shè)完善有效

7、的信息系統(tǒng)安全防護(hù) 體系。4.3 各單位不得采用任何形式私自聯(lián)網(wǎng)。4.4 信息安全工程和與信息網(wǎng)絡(luò)安全運(yùn)行直接相關(guān)的工程，如機(jī)房、網(wǎng)絡(luò)綜合 布線(xiàn)、防雷設(shè)施等的建設(shè)，應(yīng)由取得相應(yīng)專(zhuān)業(yè)資質(zhì)的施工單位施工。4.5 機(jī)房的建設(shè)應(yīng)符合國(guó)家標(biāo)準(zhǔn)以和國(guó)家和公司的有關(guān)規(guī)定，配備 UPS 電源和 必要的保溫、保濕和防雷、接地、防火、防水、防盜、防鼠等設(shè)施。4.6 對(duì)可靠性要求較高的信息系統(tǒng)，配置必要的冗余備用設(shè)備和高可用性措施， 以便故障時(shí)切換使用。4.7 電網(wǎng)實(shí)時(shí)信息系統(tǒng)與管理信息系統(tǒng)之間鏈接必須實(shí)行可靠的、安全的物理 隔離，并只限單向傳輸，確保生產(chǎn)實(shí)時(shí)系統(tǒng)的安全運(yùn)行。5 日常管理5.1 建立設(shè)備巡檢制度，工

8、作日和重要時(shí)期要實(shí)行現(xiàn)場(chǎng)值班。5.2 要嚴(yán)格遵守信息系統(tǒng)機(jī)房管理規(guī)定，規(guī)范信息系統(tǒng)運(yùn)行環(huán)境管理。5.3 強(qiáng)化網(wǎng)絡(luò)接入管理，規(guī)范聯(lián)網(wǎng)設(shè)備安裝、使用管理。5.4 規(guī)范信息系統(tǒng)投運(yùn)條件和流程。信息系統(tǒng)建成后必須經(jīng)過(guò)試運(yùn)行并對(duì)系統(tǒng) 的安全性、可靠性和應(yīng)急措施進(jìn)行全面測(cè)試，測(cè)試和試運(yùn)行通過(guò)后方可投入正式運(yùn) 行。5.5 嚴(yán)格執(zhí)行公司計(jì)算機(jī)病毒防治管理辦法，統(tǒng)一安裝公司允許采用防病毒軟 件，軟件要覆蓋所有服務(wù)器和客戶(hù)端，病毒特征碼應(yīng)定期更新。5.6 建立嚴(yán)格的信息系統(tǒng)運(yùn)行管理規(guī)程，規(guī)范信息系統(tǒng)的操作，實(shí)行流程化管 理，建立系統(tǒng)運(yùn)行日志和操作記錄以和維護(hù)檢修記錄。重要操作實(shí)行工作票制度。5.7 認(rèn)真執(zhí)行公司信

9、息系統(tǒng)數(shù)據(jù)和備份管理規(guī)定，加強(qiáng)對(duì)數(shù)據(jù)和介質(zhì)的管理， 規(guī)范數(shù)據(jù)的存儲(chǔ)、備份、恢復(fù)以和廢棄介質(zhì)、數(shù)據(jù)的處理。5.8 禁止各單位用戶(hù)安裝、使用與工作無(wú)關(guān)的軟件。5.9 規(guī)范信息系統(tǒng)的授權(quán)管理，實(shí)行權(quán)限分散原則，操作權(quán)限要嚴(yán)格按崗位職 責(zé)設(shè)置，實(shí)行相互制約、最低授權(quán)原則，使其操作具有可控性、可監(jiān)督性和可審計(jì) 性。建立操作人員密碼制度，分清各自責(zé)任，密碼設(shè)置要具有一定的復(fù)雜度，并定 期更換，密碼修改要有記錄。4 / 65.10 規(guī)范信息發(fā)布流程，建立信息上網(wǎng)的有關(guān)制度，上網(wǎng)信息實(shí)行“誰(shuí)上網(wǎng)， 誰(shuí)負(fù)責(zé)”原則，原則上先審后發(fā)，秘密信息不得在網(wǎng)上處理、傳輸。5.11 內(nèi)部網(wǎng)頁(yè)不允許與外部網(wǎng)頁(yè)相鏈接；內(nèi)部網(wǎng)絡(luò)不

10、允許開(kāi)設(shè)聊天室。6 信息通報(bào)6.1 局信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組負(fù)責(zé)信息系統(tǒng)安全信息通報(bào)工作，領(lǐng)導(dǎo)小組 辦公室負(fù)責(zé)信息系統(tǒng)安全信息通報(bào)的日常工作，包括信息匯總、分析、研判，和時(shí) 將有關(guān)信息通報(bào)相關(guān)單位，遇有可能發(fā)生或已經(jīng)發(fā)生重大信息安全事件時(shí)，發(fā)布預(yù) 警信息。6.2 信息通報(bào)內(nèi)容包括以下七方面：6.2.1 信息系統(tǒng)資源使用異常，網(wǎng)絡(luò)癱瘓、系統(tǒng)宕機(jī)、應(yīng)用服務(wù)中斷或數(shù)據(jù)丟 失、被篡改等情況。6.2.2 已經(jīng)確定或可能發(fā)生的有害程序（如病毒、木馬等）在信息網(wǎng)絡(luò)上大范 圍傳播情況。6.2.3 利用信息網(wǎng)絡(luò)從事網(wǎng)絡(luò)攻擊的情況。6.2.4 利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益內(nèi)容情況。6.

11、2.5 電子公告服務(wù)、群發(fā)電子郵件以和廣播式即時(shí)通信等網(wǎng)絡(luò)信息服務(wù)中有 害信息的傳播情況。6.2.6 網(wǎng)絡(luò)安全狀況、安全形式分析預(yù)測(cè)等信息。6.2.7 其他影響企業(yè)信息安全的信息。6.3 向上級(jí)部門(mén)報(bào)告可采用電子郵件、電話(huà)、傳真等形式進(jìn)行事故報(bào)告。6.4 要加強(qiáng)對(duì)本單位信息系統(tǒng)運(yùn)行狀況的檢測(cè)、監(jiān)控，做好預(yù)測(cè)預(yù)警工作，一 旦出現(xiàn)可能會(huì)造成較大影響的信息系統(tǒng)安全事件苗頭或已經(jīng)發(fā)生較大影響的安全事 件，要和時(shí)進(jìn)行匯總、分析、研判， 30 分鐘內(nèi)向公司信息系統(tǒng)安全領(lǐng)導(dǎo)小組辦公 室通報(bào)，同時(shí)要和時(shí)通報(bào)與本單位信息系統(tǒng)存在連接狀態(tài)的有關(guān)單位。6.5 在信息安全事件應(yīng)急處置工作結(jié)束后，于 5 個(gè)工作日內(nèi)向公

12、司信息系統(tǒng)安 全領(lǐng)導(dǎo)小組辦公室反饋信息安全事件處理情況。6.6 應(yīng)于每月前 3 個(gè)工作日內(nèi)，向公司信息系統(tǒng)安全領(lǐng)導(dǎo)小組辦公室報(bào)告上月 本單位信息系統(tǒng)的運(yùn)行狀況。6.7 應(yīng)按照保密工作的有關(guān)規(guī)定，做好信息安全通報(bào)的保密工作，并妥善管理 相關(guān)資料， 包括與上級(jí)部門(mén)進(jìn)行信息通報(bào)過(guò)程中的電子文檔、 電話(huà)記錄和傳真件等， 存檔備查。7.1 開(kāi)發(fā)環(huán)境應(yīng)設(shè)置獨(dú)立的工作區(qū)域，并根據(jù)應(yīng)用系統(tǒng)的開(kāi)發(fā)要求，對(duì)該區(qū)域 進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)控制和物理訪(fǎng)問(wèn)控制，確保開(kāi)發(fā)數(shù)據(jù)的安全性。7.2 用于開(kāi)發(fā)的服務(wù)器、個(gè)人電腦必須做好嚴(yán)格的安全防護(hù)措施，包括但不僅 限于更新系統(tǒng)補(bǔ)丁、安裝防病毒軟件（防火墻） 、設(shè)置密碼策略。7.3 使用第

13、三方代碼，應(yīng)對(duì)代碼安全性進(jìn)行評(píng)估和測(cè)試。7.4 確保測(cè)試環(huán)境的安全。應(yīng)將測(cè)試環(huán)境與開(kāi)發(fā)環(huán)境、生產(chǎn)環(huán)境相隔離，避免 測(cè)試工作對(duì)其它業(yè)務(wù)的影響。8 第三方人員安全管理辦法8.1 各單位應(yīng)建立第三方人員來(lái)訪(fǎng)制度和接待記錄制度，設(shè)置來(lái)訪(fǎng)接待的記錄 本，由接待人于接待當(dāng)日逐項(xiàng)填寫(xiě)后保存。8.2 第三方人員自進(jìn)入各單位起至離開(kāi)止，必須安排專(zhuān)人（下稱(chēng)“接待人” ）陪 同，不得任其自行走動(dòng)。8.3 第三方人員進(jìn)入各單位進(jìn)行業(yè)務(wù)活動(dòng)，應(yīng)當(dāng)由接待人在門(mén)衛(wèi)處登記，然后 引領(lǐng)第三方人員到專(zhuān)門(mén)的場(chǎng)所進(jìn)行業(yè)務(wù)洽談。8.4 除以下情況外， 接待人不得引領(lǐng)和允許供應(yīng)商 / 合作商進(jìn)入辦公室、 實(shí)驗(yàn)室、 生產(chǎn)場(chǎng)地和其他機(jī)要區(qū)域

14、：8.4.1 局領(lǐng)導(dǎo)批準(zhǔn)的參觀活動(dòng)。8.4.2 必要的現(xiàn)場(chǎng)安裝、維修、調(diào)測(cè)。8.4.3 第三方人員因業(yè)務(wù)需要進(jìn)入上述區(qū)域的其它情形。8.5 在情況 8.4.2 和 8.4.3 下，接待人引領(lǐng)第三方人員進(jìn)入上述區(qū)域，需經(jīng)主管 上述區(qū)域的部門(mén)負(fù)責(zé)人批準(zhǔn)。 第三方人員在上述區(qū)域活動(dòng)時(shí)， 接待人必須親自陪同。 對(duì)供應(yīng)商、合作商進(jìn)入機(jī)房的情況，接待人和該機(jī)房負(fù)責(zé)人應(yīng)當(dāng)和時(shí)記錄。8.6 除預(yù)定的工作內(nèi)容外，接待人不得為第三方人員隨意安排其它活動(dòng)；不得 向第三方人員透露業(yè)務(wù)范圍之外的電力技術(shù)、商務(wù)情況。8.7 如因業(yè)務(wù)需要須向第三方人員提供含有電力信息系統(tǒng)的文件、資料或?qū)嵨?的，接待人應(yīng)當(dāng)在獲得相應(yīng)的批準(zhǔn)或授權(quán)，并與第三方人員簽訂保密協(xié)議后再行提 供，提供時(shí)應(yīng)開(kāi)具清單請(qǐng)第三方人員簽收。提供文字保密材料的應(yīng)當(dāng)加蓋保密章或 有其它保密標(biāo)識(shí)。保密協(xié)議在相關(guān)部門(mén)存檔，簽收清單由該部門(mén)妥善保存。8.8 第三方人員因業(yè)務(wù)需要須接入電力內(nèi)部網(wǎng)絡(luò)的，需由信通處或領(lǐng)導(dǎo)審批， 并由信通處專(zhuān)人負(fù)責(zé)對(duì)第三方人員行為進(jìn)行監(jiān)控。第三方人員應(yīng)遵從電力相關(guān)上網(wǎng) 管理規(guī)定。8.9 各單位應(yīng)當(dāng)對(duì)第三方人員安全策略執(zhí)行情況進(jìn)行有效的監(jiān)督和管理，對(duì)違反本策略的行為要和時(shí)指正，對(duì)嚴(yán)重違反者要立即上報(bào)。9 考核與獎(jiǎng)懲9.1 對(duì)在信