國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)-安全管理辦法_第1頁
國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)-安全管理辦法_第2頁
國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)-安全管理辦法_第3頁
國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)-安全管理辦法_第4頁
國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)-安全管理辦法_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全管理辦法

第一章

總則第一條

為加強(qiáng)和規(guī)范國家電網(wǎng)公司(以下簡稱“公司”)網(wǎng)絡(luò)與信息系統(tǒng)安全工作,切實(shí)提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力,實(shí)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)安全的可控、能控、在控,依據(jù)國家有關(guān)法律、法規(guī)、規(guī)定及公司有關(guān)制度,制定本辦法。第二條

本辦法所稱網(wǎng)絡(luò)與信息系統(tǒng)是指公司電力通信網(wǎng)及其承載的管理信息系統(tǒng)和電力二次系統(tǒng)。第三條

本辦法適用于公司總(分)部及所屬各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作。第四條

網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)目標(biāo)是保障電力生產(chǎn)監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全,保障管理信息系統(tǒng)及通信、網(wǎng)絡(luò)的安全,落實(shí)信息系統(tǒng)生命周期全過程安全管理,實(shí)現(xiàn)信息安全可控、能控、在控。防范對(duì)電力二次系統(tǒng)、管理信息系統(tǒng)的惡意攻擊及侵害,抵御內(nèi)外部有組織的攻擊,防止由于電力二次系統(tǒng)、管理信息系統(tǒng)的崩潰或癱瘓?jiān)斐傻碾娏ο到y(tǒng)事故。第五條

公司網(wǎng)絡(luò)與信息系統(tǒng)安全工作堅(jiān)持“三納入一融合”原則,將等級(jí)保護(hù)納入網(wǎng)絡(luò)與信息系統(tǒng)安全工作中,將網(wǎng)絡(luò)與信息系統(tǒng)安全納入信息化日常工作中,將網(wǎng)絡(luò)與信息系統(tǒng)安全納入公司安全生產(chǎn)管理體系中,將網(wǎng)絡(luò)與信息系統(tǒng)安全融入公司安全生產(chǎn)中。在規(guī)劃和建設(shè)網(wǎng)絡(luò)與信息系統(tǒng)時(shí),信息通信安全防護(hù)措施應(yīng)按照“三同步”原則,與網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。第六條

管理信息系統(tǒng)安全防護(hù)堅(jiān)持“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動(dòng)態(tài)感知、全面防護(hù)、準(zhǔn)入備案”的總體安全策略,執(zhí)行信息安全等級(jí)保護(hù)制度。其中“雙網(wǎng)雙機(jī)”指信息內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離設(shè)備進(jìn)行隔離,并分別采用獨(dú)立的服務(wù)器及桌面主機(jī);“分區(qū)分域”指依據(jù)等級(jí)保護(hù)定級(jí)情況及業(yè)務(wù)系統(tǒng)類型,進(jìn)行安全域劃分,以實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù);“安全接入”指通過采用終端加固、安全通道、認(rèn)證等措施保障終端接入公司信息內(nèi)外網(wǎng)安全;“動(dòng)態(tài)感知”指對(duì)公司網(wǎng)絡(luò)、信息系統(tǒng)、終端及設(shè)備等安全狀態(tài)進(jìn)行全面動(dòng)態(tài)監(jiān)測(cè),實(shí)現(xiàn)事前預(yù)警、事中監(jiān)測(cè)和事后審計(jì);“全面防護(hù)”指對(duì)物理、網(wǎng)絡(luò)邊界、主機(jī)、應(yīng)用和數(shù)據(jù)等進(jìn)行深度防護(hù),加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè),覆蓋防護(hù)各層次、各環(huán)節(jié)、各對(duì)象;“準(zhǔn)入備案”指對(duì)所有接入公司網(wǎng)絡(luò)的各類網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、終端、設(shè)備進(jìn)行準(zhǔn)入及備案管理。第七條

電力二次系統(tǒng)安全防護(hù)按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的防護(hù)原則,并遵照原國家電力監(jiān)管委員會(huì)《電力二次系統(tǒng)安全防護(hù)規(guī)定》及《電力二次系統(tǒng)安全防護(hù)總體方案》等相關(guān)文件執(zhí)行。

第二章

職責(zé)分工第八條

公司信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理,遵循“誰主管誰負(fù)責(zé);誰運(yùn)行誰負(fù)責(zé);誰使用誰負(fù)責(zé);管業(yè)務(wù)必須管安全”的原則,嚴(yán)格落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任。各級(jí)單位主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)與信息系統(tǒng)安全第一責(zé)任人。各級(jí)單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位網(wǎng)絡(luò)信息安全(含生產(chǎn)控制大區(qū)和管理信息大區(qū))的總體協(xié)調(diào)領(lǐng)導(dǎo)。第九條

網(wǎng)絡(luò)與信息系統(tǒng)實(shí)行專業(yè)管理、歸口監(jiān)督。國網(wǎng)信通部是信息安全防護(hù)的歸口部門,負(fù)責(zé)管理信息系統(tǒng)及電力通信網(wǎng)的安全防護(hù)。國調(diào)中心負(fù)責(zé)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和電力二次系統(tǒng)的安全防護(hù)。國網(wǎng)安質(zhì)部負(fù)責(zé)公司信息安全監(jiān)督、檢查和評(píng)價(jià)工作。國網(wǎng)辦公廳(保密辦)負(fù)責(zé)公司保密管理,負(fù)責(zé)信息失泄密情況的調(diào)查和處理。各業(yè)務(wù)部門負(fù)責(zé)本專業(yè)系統(tǒng)及終端的安全監(jiān)控和防護(hù)。各級(jí)單位負(fù)責(zé)落實(shí)本單位網(wǎng)絡(luò)與信息系統(tǒng)安全工作。第十條

國網(wǎng)信通部主要職責(zé)如下:(一)落實(shí)國家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范,聯(lián)系國家有關(guān)部門落實(shí)相關(guān)安全工作。組織制定公司網(wǎng)絡(luò)與信息系統(tǒng)安全管理標(biāo)準(zhǔn)規(guī)范和規(guī)章制度。(二)負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全體系規(guī)劃設(shè)計(jì)、架構(gòu)管控、總體安全防護(hù)方案制訂、核心安全防護(hù)措施部署和策略優(yōu)化配置并組織實(shí)施。(三)指導(dǎo)總部各部門、公司各級(jí)單位開展網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控工作,組織落實(shí)等級(jí)保護(hù)測(cè)評(píng)整改、風(fēng)險(xiǎn)評(píng)估和隱患排查治理等工作。(四)負(fù)責(zé)信息安全技術(shù)督查體系建設(shè),組織開展公司信息安全技術(shù)督查工作。(五)協(xié)助開展網(wǎng)絡(luò)與信息系統(tǒng)事件的調(diào)查處理,組織制定、落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)反事故措施。(六)負(fù)責(zé)信息安全態(tài)勢(shì)跟蹤、事件監(jiān)測(cè)與分析、信息安全通報(bào)。(七)負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置。第十一條

國調(diào)中心主要職責(zé)如下:(一)負(fù)責(zé)公司生產(chǎn)控制大區(qū)(含各級(jí)調(diào)度、變電站、發(fā)電廠、配電自動(dòng)化、負(fù)荷控制等)工控系統(tǒng)安全防護(hù)管理,統(tǒng)籌公司經(jīng)營范圍內(nèi)并網(wǎng)發(fā)電廠涉網(wǎng)部分的監(jiān)控系統(tǒng)和繼電保護(hù)等工控系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督管理。(二)負(fù)責(zé)落實(shí)國家電力二次系統(tǒng)安全防護(hù)要求,組織制定公司電力二次系統(tǒng)安全管理制度,指導(dǎo)各級(jí)單位開展電力二次系統(tǒng)安全防護(hù)的實(shí)施方案制定和運(yùn)行管理。(三)配合完成國家有關(guān)部門對(duì)公司電力二次系統(tǒng)開展的風(fēng)險(xiǎn)評(píng)估和隱患排查、信息安全檢查,落實(shí)等級(jí)保護(hù)制度等工作。(四)負(fù)責(zé)電力二次系統(tǒng)安全防護(hù)技術(shù)督查體系建設(shè)以及組織開展電力二次系統(tǒng)的安全技術(shù)督查工作。(五)負(fù)責(zé)電力二次系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置。第十二條

國網(wǎng)安質(zhì)部主要職責(zé)如下:(一)負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全檢查和評(píng)價(jià)。(二)負(fù)責(zé)公司信息安全事件的調(diào)查、分析、處理和事件通報(bào)。(三)落實(shí)常態(tài)信息安全風(fēng)險(xiǎn)評(píng)估工作,與公司春秋季檢和迎峰度夏工作相結(jié)合,切實(shí)將風(fēng)險(xiǎn)評(píng)估工作常態(tài)化,及時(shí)落實(shí)整改,消除安全隱患。(四)切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè)。按照綜合協(xié)調(diào)、統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)的原則,在公司總部、各分部、?。ㄗ灾螀^(qū)、直轄市)電力公司、直屬單位建立應(yīng)急組織和指揮體系;堅(jiān)持“安全第一、預(yù)防為主”的方針,加強(qiáng)應(yīng)急響應(yīng)隊(duì)伍建設(shè),優(yōu)化完善應(yīng)急預(yù)案,落實(shí)常態(tài)應(yīng)急演練工作,做好應(yīng)急保障工作;加強(qiáng)安全風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)警,建立“上下聯(lián)動(dòng)、區(qū)域協(xié)作”的快速響應(yīng)工作,強(qiáng)化應(yīng)急處置。(五)嚴(yán)格執(zhí)行信息安全事故通報(bào)制度(通報(bào)規(guī)范見附件1),做好節(jié)假日和特殊時(shí)期的安全運(yùn)行情況報(bào)送工作。(六)落實(shí)健全網(wǎng)絡(luò)與信息系統(tǒng)安全準(zhǔn)入工作,加強(qiáng)對(duì)接入公司網(wǎng)絡(luò)的各類系統(tǒng)、終端、設(shè)備的準(zhǔn)入及備案管理,強(qiáng)化備案信息與上下線相關(guān)運(yùn)行安全工作的準(zhǔn)入聯(lián)動(dòng)工作。(七)嚴(yán)格按照公司安全事故調(diào)查規(guī)程,開展事故原因分析,做好事故調(diào)查工作,堅(jiān)持“四不放過”原則,有效落實(shí)整改。(八)貫徹落實(shí)信息安全等級(jí)保護(hù)制度,持續(xù)強(qiáng)化信息安全等級(jí)保護(hù)工作管理,做好系統(tǒng)等級(jí)保護(hù)定級(jí)、備案、建設(shè)、測(cè)評(píng)與整改工作。(九)深入開展信息安全動(dòng)態(tài)治理工作,推動(dòng)各級(jí)單位信息安全工作的落實(shí)與持續(xù)改進(jìn),提升信息安全流程化、標(biāo)準(zhǔn)化和規(guī)范化水平。強(qiáng)化隱患排查治理工作,強(qiáng)化從隱患發(fā)現(xiàn)到隱患治理的閉環(huán)管理工作,消除信息安全薄弱環(huán)節(jié)。(十)開展信息技術(shù)供應(yīng)鏈安全管理工作,開展信息技術(shù)軟硬件設(shè)備和服務(wù)供應(yīng)商安全管理、軟硬件設(shè)備選型和安全測(cè)試工作,逐步實(shí)現(xiàn)核心運(yùn)行系統(tǒng)的國產(chǎn)化。加強(qiáng)外部合作單位和供應(yīng)商管理,嚴(yán)格外部單位資質(zhì)審核。嚴(yán)禁合作單位和供應(yīng)商在對(duì)互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)絡(luò)和信息系統(tǒng)中存儲(chǔ)和運(yùn)行公司相關(guān)業(yè)務(wù)系統(tǒng)數(shù)據(jù)和敏感信息。關(guān)鍵軟硬件設(shè)備采購應(yīng)開展產(chǎn)品預(yù)先選型和安全檢測(cè)。對(duì)涉及的信息安全軟硬件產(chǎn)品和密碼產(chǎn)品要堅(jiān)持國產(chǎn)化原則,信息安全核心防護(hù)產(chǎn)品以自主研發(fā)為主。管理信息系統(tǒng)軟硬件產(chǎn)品逐步采用全國產(chǎn)化產(chǎn)品。及時(shí)開展各種軟硬件漏洞檢測(cè)及修復(fù)。(十一)建立信息安全綜合評(píng)價(jià)體系,加強(qiáng)信息安全監(jiān)督及考核評(píng)價(jià),將網(wǎng)絡(luò)與信息系統(tǒng)安全落實(shí)情況納入各級(jí)單位信息化水平評(píng)價(jià)。(十二)加強(qiáng)密碼技術(shù)的開發(fā)利用以及密碼安全保障,落實(shí)密鑰的統(tǒng)一選型及應(yīng)用工作,充分發(fā)揮密碼技術(shù)在信息安全工作中的基礎(chǔ)作用。第二十條

加強(qiáng)電力通信網(wǎng)的安全管理,規(guī)范電力通信網(wǎng)絡(luò)安全防護(hù)體系,健全針對(duì)各類網(wǎng)絡(luò)在線監(jiān)測(cè)和安全預(yù)警能力,做好對(duì)光纜、網(wǎng)絡(luò)交換設(shè)備、物理區(qū)域與人員的安全訪問管理,禁止通信網(wǎng)管系統(tǒng)未經(jīng)網(wǎng)絡(luò)隔離裝置與信息內(nèi)網(wǎng)互聯(lián),禁止通信網(wǎng)管系統(tǒng)與外部維護(hù)廠商間進(jìn)行網(wǎng)絡(luò)連接。電力通信設(shè)備、線路等應(yīng)采用冗余保障、網(wǎng)絡(luò)優(yōu)化、設(shè)備網(wǎng)管防護(hù)等措施提高可用性。第二十一條

加強(qiáng)信息內(nèi)外網(wǎng)網(wǎng)站管理。各級(jí)單位對(duì)外網(wǎng)站應(yīng)與公司外網(wǎng)企業(yè)門戶網(wǎng)站進(jìn)行整合,內(nèi)網(wǎng)宣傳網(wǎng)站要與公司內(nèi)網(wǎng)企業(yè)門戶進(jìn)行整合,實(shí)現(xiàn)網(wǎng)站統(tǒng)一管理與備案。網(wǎng)站信息發(fā)布須嚴(yán)格按照公司審核發(fā)布流程。各級(jí)單位網(wǎng)站統(tǒng)一使用公司域名,并規(guī)范網(wǎng)站功能設(shè)置及網(wǎng)站風(fēng)格設(shè)計(jì)。加強(qiáng)內(nèi)外網(wǎng)郵件統(tǒng)一管理,禁止各級(jí)單位建立獨(dú)立內(nèi)外網(wǎng)郵件系統(tǒng),如確實(shí)需要建立,需提前報(bào)公司批準(zhǔn)。第二十二條

加強(qiáng)信息安全備案準(zhǔn)入工作。各級(jí)單位要鞏固信息安全備案準(zhǔn)入成果,加強(qiáng)對(duì)采集類業(yè)務(wù)終端的安全備案,嚴(yán)格各類信息資產(chǎn)安全備案作為入網(wǎng)的必要條件。加強(qiáng)安全備案數(shù)據(jù)質(zhì)量的治理工作,確保填報(bào)信息完整、準(zhǔn)確及更新及時(shí),對(duì)于未備案的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)專線,一經(jīng)發(fā)現(xiàn)立即關(guān)停,按照公司有關(guān)要求進(jìn)行追責(zé)及處置。第二十三條

微博微信等新業(yè)務(wù)安全管理要求如下:(一)強(qiáng)化對(duì)企業(yè)官方微博微信、Wi-Fi網(wǎng)絡(luò)、其他新業(yè)務(wù)的安全備案準(zhǔn)入與管理,加強(qiáng)微博微信開設(shè)、使用的安全管理,加強(qiáng)信息外網(wǎng)無線Wi-Fi網(wǎng)絡(luò)的審批、備案與使用管理。(二)各級(jí)單位要加強(qiáng)官方微博微信的開設(shè)與管理,加強(qiáng)對(duì)本單位官方微博微信所發(fā)布的內(nèi)容審查與核實(shí)。微博微信的發(fā)布終端要按照公司辦公計(jì)算機(jī)防護(hù)要求部署安全措施。公司兩級(jí)技術(shù)督查隊(duì)伍在日常的安全督查中要加強(qiáng)對(duì)微博微信發(fā)布終端的檢查深度和頻度。(三)各級(jí)單位信息外網(wǎng)使用Wi-Fi要嚴(yán)格落實(shí)審核批準(zhǔn)與備案工作,要加強(qiáng)Wi-Fi組網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入、安全審計(jì)、用戶身份認(rèn)證方面的安全防護(hù)技術(shù)手段。(四)各級(jí)單位要控制內(nèi)網(wǎng)第三方專線接入公司信息網(wǎng)絡(luò)的專線數(shù)量,對(duì)于確需第三方接入的新業(yè)務(wù),要選擇安全的接入方式并強(qiáng)化落實(shí)邊界安全防護(hù)措施。第二十四條

接入安全管理要求如下:(一)加強(qiáng)互聯(lián)網(wǎng)接入以及互聯(lián)網(wǎng)出口歸集統(tǒng)一管理,充分利用公司電力通信鏈路,以省級(jí)單位和三地災(zāi)備中心為主體對(duì)下屬單位互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格管控、合并、統(tǒng)一設(shè)置和集中監(jiān)控。(二)加強(qiáng)非集中辦公區(qū)域內(nèi)網(wǎng)接入安全管理,嚴(yán)格履行審批程序,按照公司集中辦公區(qū)域相關(guān)要求落實(shí)信息安全管理與技術(shù)措施。非集中辦公區(qū)域應(yīng)采用電力通信網(wǎng)絡(luò)通道接入公司內(nèi)部網(wǎng)絡(luò),如確實(shí)需要租用第三方專線,應(yīng)在公司進(jìn)行備案,并嚴(yán)格按照總體防護(hù)要求采取相應(yīng)防護(hù)措施。第二十五條

規(guī)劃計(jì)劃安全管理要求如下:(一)網(wǎng)絡(luò)與信息系統(tǒng)在可研設(shè)計(jì)階段應(yīng)全面分析其可能面臨的主要信息安全風(fēng)險(xiǎn)以及對(duì)現(xiàn)有網(wǎng)絡(luò)與系統(tǒng)、流程的影響,并進(jìn)行安全需求分析。(二)可研階段信息系統(tǒng)應(yīng)組織進(jìn)行信息安全防護(hù)設(shè)計(jì),做好安全架構(gòu)規(guī)劃,形成專項(xiàng)信息安全防護(hù)方案并進(jìn)行評(píng)審。專項(xiàng)信息安全防護(hù)方案通過評(píng)審后方可進(jìn)行后續(xù)開發(fā)工作。涉及認(rèn)證、密鑰以及數(shù)據(jù)保護(hù)等方面需考慮與公司統(tǒng)一密鑰系統(tǒng)集成接口設(shè)計(jì)。(三)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)提前組織開展等級(jí)保護(hù)定級(jí)工作,同時(shí)重要系統(tǒng)應(yīng)提前在公司信息安全歸口管理部門進(jìn)行備案。第二十六條

建設(shè)安全管理要求如下:(一)嚴(yán)格遵循信息系統(tǒng)開發(fā)管理要求,加強(qiáng)對(duì)項(xiàng)目開發(fā)環(huán)境及測(cè)試環(huán)境的安全管理,確保與實(shí)際運(yùn)行環(huán)境及辦公環(huán)境安全隔離,確保開發(fā)全過程信息安全管控。(二)加強(qiáng)信息系統(tǒng)開發(fā)過程中代碼編寫的規(guī)范性,應(yīng)采用公司統(tǒng)一開發(fā)平臺(tái)進(jìn)行開發(fā),并嚴(yán)格按照公司統(tǒng)一安全編程規(guī)范進(jìn)行代碼編寫,定期進(jìn)行代碼審核,并組織代碼安全自測(cè)。(三)加強(qiáng)代碼安全管理,確保開發(fā)過程中代碼安全保密。落實(shí)源代碼補(bǔ)丁漏洞工作,及時(shí)對(duì)代碼漏洞進(jìn)行反饋及整改。(四)規(guī)范外部軟件及插件的使用,應(yīng)使用主流的、成熟的外部軟件及插件,避免采用非商用且無安全保證的外部軟件及插件。集成外部軟件及插件包括開源組件時(shí),應(yīng)重視接口交互的安全,充分考慮異常的處理。(五)加強(qiáng)電力通信網(wǎng)建設(shè)的安全管理,通過識(shí)別、評(píng)估和分析等手段降低安全風(fēng)險(xiǎn),保證通信網(wǎng)絡(luò)建設(shè)過程中安全可控,確保人身、設(shè)備及現(xiàn)有網(wǎng)絡(luò)的安全。第二十七條

運(yùn)維安全管理要求如下:(一)網(wǎng)絡(luò)與信息系統(tǒng)上線前、重要升級(jí)前、與生產(chǎn)系統(tǒng)聯(lián)合調(diào)試前對(duì)安全防護(hù)設(shè)計(jì)遵從度、應(yīng)用軟件安全功能、代碼安全、運(yùn)行環(huán)境安全等進(jìn)行全面測(cè)試以及整改加固,通過測(cè)試后方可正式上線試運(yùn)行。(二)建立網(wǎng)絡(luò)與信息系統(tǒng)資產(chǎn)安全管理制度,加強(qiáng)資產(chǎn)的新增、驗(yàn)收、盤點(diǎn)、維護(hù)、報(bào)廢等各環(huán)節(jié)管理。編制資產(chǎn)清單,根據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)。加強(qiáng)對(duì)資產(chǎn)、風(fēng)險(xiǎn)分析及漏洞關(guān)聯(lián)管理。(三)加強(qiáng)機(jī)房出入管理,對(duì)機(jī)房建筑采取門禁、專人值守等措施,防止非法進(jìn)入,出入機(jī)房需進(jìn)行登記。(四)加強(qiáng)信息通信設(shè)備安全管理,建立健全設(shè)備安全管理制度。加強(qiáng)設(shè)備基線策略管理以及優(yōu)化部署,制定安全基線策略配置管理要求和技術(shù)標(biāo)準(zhǔn),規(guī)范上線、運(yùn)行軟硬件設(shè)備信息安全策略以及安全配置。(五)建立通信設(shè)備軟件升級(jí)預(yù)評(píng)估制度,對(duì)其必要性和緊急性進(jìn)行評(píng)估論證,并采取相應(yīng)防范措施后,再進(jìn)行相關(guān)升級(jí)工作。(六)規(guī)范賬號(hào)權(quán)限管理,系統(tǒng)上線穩(wěn)定運(yùn)行后,應(yīng)回收建設(shè)開發(fā)單位所掌握的賬號(hào)。各類超級(jí)用戶賬號(hào)禁止多人共用,禁止由非主業(yè)不可控人員掌握。臨時(shí)賬號(hào)應(yīng)設(shè)定使用時(shí)限,員工離職、離崗時(shí),信息系統(tǒng)的訪問權(quán)限應(yīng)同步收回。應(yīng)定期(半年)對(duì)信息系統(tǒng)用戶權(quán)限進(jìn)行審核、清理,刪除廢舊賬號(hào)、無用賬號(hào),及時(shí)調(diào)整可能導(dǎo)致安全問題的權(quán)限分配數(shù)據(jù)。(七)規(guī)范賬號(hào)口令管理,口令必須具有一定強(qiáng)度、長度和復(fù)雜度,長度不得小于8位字符串,要求是字母和數(shù)字或特殊字符的混合,用戶名和口令禁止相同。定期更換口令,更換周期不超過6個(gè)月,重要系統(tǒng)口令更換周期不超過3個(gè)月,最近使用的4個(gè)口令不可重復(fù)。(八)強(qiáng)化公司統(tǒng)一漏洞及補(bǔ)丁工作,加強(qiáng)對(duì)公司各級(jí)單位漏洞的采集、分析、發(fā)布、描述的集中統(tǒng)一管理,實(shí)現(xiàn)全網(wǎng)漏洞掃描策略的統(tǒng)一制定、掃描任務(wù)的統(tǒng)一執(zhí)行,實(shí)現(xiàn)對(duì)各級(jí)單位漏洞情況以及內(nèi)外網(wǎng)補(bǔ)丁下載、安裝情況的監(jiān)管。加強(qiáng)各種典型漏洞、補(bǔ)丁的測(cè)試驗(yàn)證及整改工作。(九)加強(qiáng)惡意代碼及病毒防范管理,加強(qiáng)對(duì)特種木馬的監(jiān)測(cè),確保客戶端防病毒軟件全面安裝,嚴(yán)格要求內(nèi)網(wǎng)病毒庫的升級(jí)頻率,加強(qiáng)病毒監(jiān)測(cè)、預(yù)警、分析及通報(bào)力度。對(duì)使用的移動(dòng)設(shè)備必須進(jìn)行病毒木馬查殺。(十)加強(qiáng)遠(yuǎn)程運(yùn)維管理,不得通過互聯(lián)網(wǎng)或信息外網(wǎng)遠(yuǎn)程運(yùn)維方式進(jìn)行設(shè)備和系統(tǒng)的維護(hù)及技術(shù)支持工作。內(nèi)網(wǎng)遠(yuǎn)程運(yùn)維要履行審批程序,并對(duì)各項(xiàng)操作進(jìn)行監(jiān)控、記錄和審計(jì)。有國外單位參與的運(yùn)維操作需安排在測(cè)試仿真環(huán)境,禁止在生產(chǎn)環(huán)境進(jìn)行。(十一)規(guī)范變更計(jì)劃、變更操作審批流程、變更測(cè)試、變更恢復(fù)預(yù)案等工作。嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報(bào)和審批程序,嚴(yán)格執(zhí)行工作票和操作票制度。加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)檢修過程安全管理,預(yù)防網(wǎng)絡(luò)與信息系統(tǒng)損壞和事故發(fā)生。(十二)加強(qiáng)安全審計(jì)工作,實(shí)現(xiàn)對(duì)主機(jī)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用等多個(gè)層次集中、全面、細(xì)粒度安全審計(jì),提高審計(jì)記錄的統(tǒng)計(jì)匯總、綜合分析能力,做到事前、事中、事后的問題追溯。(十三)明確備份及恢復(fù)策略,嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過程。重要系統(tǒng)和數(shù)據(jù)備份需納入公司統(tǒng)一的災(zāi)備系統(tǒng)。(十四)涉及敏感信息的系統(tǒng)數(shù)據(jù)庫應(yīng)部署于信息內(nèi)網(wǎng),同時(shí)加強(qiáng)對(duì)重要地理信息、客戶信息等的安全存儲(chǔ)和安全傳輸?shù)却胧┑穆鋵?shí)。(十五)電力通信網(wǎng)的光纜使用年限一般不應(yīng)超過設(shè)計(jì)要求,超過設(shè)計(jì)年限要求的光纜應(yīng)加強(qiáng)監(jiān)測(cè)。

第四章

技術(shù)措施第二十八條

物理安全技術(shù)工作要求如下:(一)嚴(yán)格執(zhí)行信息通信機(jī)房管理有關(guān)規(guī)范,確保機(jī)房運(yùn)行環(huán)境符合要求。室內(nèi)機(jī)房物理環(huán)境安全需滿足對(duì)應(yīng)信息系統(tǒng)等級(jí)的等級(jí)保護(hù)物理安全要求,室外設(shè)備物理安全需滿足國家對(duì)于防盜、電氣、環(huán)境、噪音、電磁、機(jī)械結(jié)構(gòu)、銘牌、防腐蝕、防火、防雷、電源等要求,四級(jí)及以上系統(tǒng)應(yīng)對(duì)關(guān)鍵區(qū)域?qū)嵤╇姶牌帘未胧?。(二)加?qiáng)辦公區(qū)域安全管理,員工離開辦公區(qū)域要及時(shí)鎖定桌面終端計(jì)算機(jī)屏幕,防止外來人員接觸辦公區(qū)域電子信息。(三)重要通信設(shè)備應(yīng)滿足硬件冗余需求,如主控板卡、時(shí)鐘板卡、電源板卡、交叉板卡、支路板卡等,至少滿足1+1冗余需求,一些重要板卡需滿足1+N冗余需求。(四)通信電源應(yīng)滿足電力系統(tǒng)重要業(yè)務(wù)“雙電源”冗余要求。電力系統(tǒng)重要業(yè)務(wù)應(yīng)配置兩套獨(dú)立的通信設(shè)備,具備兩條獨(dú)立的路由,并分別由兩套獨(dú)立的電源供電,兩套通信設(shè)備和兩套電源在物理上應(yīng)完全隔離。第二十九條

網(wǎng)絡(luò)安全技術(shù)工作要求如下:(一)電力通信網(wǎng)的數(shù)據(jù)網(wǎng)劃分為電力調(diào)度數(shù)據(jù)網(wǎng)、綜合數(shù)據(jù)通信網(wǎng),分別承載不同類型的業(yè)務(wù)系統(tǒng),電力調(diào)度數(shù)據(jù)網(wǎng)與綜合數(shù)據(jù)網(wǎng)之間應(yīng)在物理層面上實(shí)現(xiàn)安全隔離。(二)加強(qiáng)信息內(nèi)外網(wǎng)架構(gòu)管控,做好分區(qū)分域安全防護(hù),進(jìn)一步提升用戶服務(wù)體驗(yàn)。公司管理信息大區(qū)劃分為信息外網(wǎng)和信息內(nèi)網(wǎng),信息內(nèi)外網(wǎng)采用邏輯強(qiáng)隔離設(shè)備進(jìn)行安全隔離。信息內(nèi)外網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)分類劃分不同業(yè)務(wù)區(qū)。各業(yè)務(wù)區(qū)按照信息系統(tǒng)防護(hù)等級(jí)以及業(yè)務(wù)系統(tǒng)類型進(jìn)一步劃分安全域,加強(qiáng)區(qū)域間用戶訪問控制,按最小化原則設(shè)置用戶訪問暴露面,防止非授權(quán)的跨域訪問,實(shí)現(xiàn)業(yè)務(wù)分區(qū)分域管理。(三)按照公司總體安全防護(hù)要求,結(jié)合電力通信網(wǎng)各類網(wǎng)絡(luò)邊界特點(diǎn),嚴(yán)格按照公司要求落實(shí)訪問控制、流量控制、入侵檢測(cè)/防護(hù)、內(nèi)容審計(jì)與過濾、防隱性邊界、惡意代碼過濾等安全技術(shù)措施,防范跨域跨邊界非法訪問及攻擊,防范惡意代碼傳播。不得從任何公共網(wǎng)絡(luò)直接接入公司內(nèi)部網(wǎng)絡(luò),禁止內(nèi)、外網(wǎng)接入通道混用。(四)加強(qiáng)互聯(lián)網(wǎng)邊界及對(duì)外業(yè)務(wù)系統(tǒng)安全防護(hù),進(jìn)一步提升針對(duì)互聯(lián)網(wǎng)出口DDoS等典型網(wǎng)絡(luò)攻擊以及特種病毒木馬的防范能力,提高信息外網(wǎng)可靠性及安全性。(五)深化信息內(nèi)外網(wǎng)邊界安全防護(hù),加強(qiáng)內(nèi)外網(wǎng)數(shù)據(jù)交互安全過濾,保障關(guān)鍵應(yīng)用快速穿透和信息安全交互,滿足客戶服務(wù)及時(shí)響應(yīng)需求。(六)加強(qiáng)對(duì)信息內(nèi)外網(wǎng)專線的安全防護(hù),對(duì)于與銀行等外部單位互聯(lián)的專線要部署邏輯強(qiáng)隔離措施,設(shè)置訪問控制策略,進(jìn)行內(nèi)容監(jiān)測(cè)與審計(jì),只容許指定的、可信的網(wǎng)絡(luò)及用戶才能進(jìn)行數(shù)據(jù)交換。(七)加強(qiáng)信息內(nèi)網(wǎng)遠(yuǎn)程接入邊界安全防護(hù)。對(duì)于采用無線專網(wǎng)接入公司內(nèi)部網(wǎng)絡(luò)的采集等業(yè)務(wù)應(yīng)用,應(yīng)在網(wǎng)絡(luò)邊界部署公司統(tǒng)一安全接入防護(hù)措施,建立專用加密傳輸通道,并結(jié)合公司統(tǒng)一數(shù)字證書體系進(jìn)行防護(hù)。(八)信息內(nèi)網(wǎng)禁止使用無線網(wǎng)絡(luò)組網(wǎng)。(九)信息外網(wǎng)用無線組網(wǎng)的單位,應(yīng)強(qiáng)化無線網(wǎng)絡(luò)安全防護(hù)措施,無線網(wǎng)絡(luò)要啟用網(wǎng)絡(luò)接入控制和身份認(rèn)證,進(jìn)行IP/MAC地址綁定,應(yīng)用高強(qiáng)度加密算法,防止無線網(wǎng)絡(luò)被外部攻擊者非法進(jìn)入,確保無線網(wǎng)絡(luò)安全。第三十條

終端安全技術(shù)工作要求如下:(一)辦公計(jì)算機(jī)嚴(yán)格執(zhí)行“涉密不上網(wǎng)、上網(wǎng)不涉密”紀(jì)律,嚴(yán)禁將涉及國家秘密的計(jì)算機(jī)、存儲(chǔ)設(shè)備與信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡(luò)連接,嚴(yán)禁在信息內(nèi)網(wǎng)計(jì)算機(jī)存儲(chǔ)、處理國家秘密信息,嚴(yán)禁在連接互聯(lián)網(wǎng)的計(jì)算機(jī)上處理、存儲(chǔ)涉及國家秘密和企業(yè)秘密信息;嚴(yán)禁信息內(nèi)網(wǎng)和信息外網(wǎng)計(jì)算機(jī)交叉使用;嚴(yán)禁普通移動(dòng)存儲(chǔ)介質(zhì)和掃描儀、打印機(jī)等計(jì)算機(jī)外設(shè)在信息內(nèi)網(wǎng)和信息外網(wǎng)上交叉使用。涉密計(jì)算機(jī)按照公司辦公計(jì)算機(jī)保密管理規(guī)定進(jìn)行管理。(二)信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)應(yīng)分別部署于信息內(nèi)外網(wǎng)桌面終端安全域,桌面終端安全域應(yīng)采取IP/MAC綁定、安全準(zhǔn)入管理、訪問控制、入侵檢測(cè)、病毒防護(hù)、惡意代碼過濾、補(bǔ)丁管理、事件審計(jì)、桌面資產(chǎn)管理等措施進(jìn)行安全防護(hù)。(三)信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)終端須安裝桌面終端管理系統(tǒng)、保密檢測(cè)系統(tǒng)、防病毒等客戶端軟件,嚴(yán)格按照公司要求設(shè)置基線策略,并及時(shí)進(jìn)行病毒庫升級(jí)以及補(bǔ)丁更新。嚴(yán)禁未通過本單位信息通信管理部門審核以及中國電科院的信息安全測(cè)評(píng)認(rèn)定工作,相關(guān)部門和個(gè)人在信息內(nèi)外網(wǎng)擅自安裝具有拒絕服務(wù)、網(wǎng)絡(luò)掃描、遠(yuǎn)程控制和信息搜集等功能的軟件(惡意軟件),防范引發(fā)的安全風(fēng)險(xiǎn);如確需安裝,應(yīng)履行相關(guān)程序。(四)對(duì)于不具備信息內(nèi)網(wǎng)專線接入條件,通過公司統(tǒng)一安全防護(hù)措施接入信息內(nèi)網(wǎng)的信息采集類、移動(dòng)作業(yè)類終端,需嚴(yán)格執(zhí)行公司辦公終端“嚴(yán)禁內(nèi)外網(wǎng)機(jī)混用”的原則。同時(shí)接入信息內(nèi)網(wǎng)終端在遵循公司現(xiàn)有終端安全防護(hù)要求的基礎(chǔ)上,要安裝終端安全??剀浖M(jìn)行安全加固,并通過安全加密卡進(jìn)行認(rèn)證,確保其不能連接信息外網(wǎng)和互聯(lián)網(wǎng)。第三十一條

主機(jī)安全技術(shù)工作要求如下:(一)對(duì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和鑒別,具有登錄失敗處理,限制非法登錄次數(shù),設(shè)置連接超時(shí)功能。(二)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶應(yīng)進(jìn)行訪問權(quán)限分離,對(duì)訪問權(quán)限一致的用戶進(jìn)行分組,訪問控制粒度應(yīng)達(dá)到主體為用戶級(jí),客體為文件、數(shù)據(jù)庫表級(jí)。禁止匿名用戶訪問。(三)加強(qiáng)補(bǔ)丁的兼容性和安全性測(cè)試,確保操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎(chǔ)平臺(tái)軟件補(bǔ)丁升級(jí)安全。(四)加強(qiáng)主機(jī)服務(wù)器病毒防護(hù),安裝防病毒軟件,及時(shí)更新病毒庫。第三十二條

應(yīng)用安全技術(shù)工作要求如下:(一)強(qiáng)化用戶登陸身份認(rèn)證功能,采用用戶名及口令進(jìn)行認(rèn)證時(shí),應(yīng)當(dāng)對(duì)口令長度、復(fù)雜度、生存周期進(jìn)行強(qiáng)制要求,系統(tǒng)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能,禁止口令在系統(tǒng)中以明文形式存儲(chǔ);系統(tǒng)應(yīng)當(dāng)提供制定用戶登錄錯(cuò)誤鎖定、會(huì)話超時(shí)退出等安全策略的功能。(二)規(guī)范應(yīng)用系統(tǒng)權(quán)限的設(shè)計(jì)與使用,實(shí)現(xiàn)用戶、組織、角色、權(quán)限信息統(tǒng)一集中管理,權(quán)限分配應(yīng)按照最小權(quán)限原則,審核角色、系統(tǒng)管理角色、業(yè)務(wù)操作角色、賬號(hào)創(chuàng)建角色與權(quán)限分配角色等應(yīng)按照互斥原則設(shè)置權(quán)限。(三)根據(jù)信息系統(tǒng)安全級(jí)別強(qiáng)化應(yīng)用自身安全設(shè)計(jì),應(yīng)包括身份認(rèn)證,授權(quán),輸入輸出驗(yàn)證,配置管理,會(huì)話管理,加密技術(shù),參數(shù)操作,異常管理,日志及審計(jì)等方面內(nèi)容。(四)控制單個(gè)用戶的多重并發(fā)會(huì)話和最大并發(fā)連接數(shù),限制單個(gè)用戶對(duì)系統(tǒng)資源、磁盤空間的最大或最小使用限度,當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí),應(yīng)能檢測(cè)并報(bào)警。(五)加強(qiáng)郵件敏感內(nèi)容檢查、郵件病毒查殺、外網(wǎng)郵件行為監(jiān)測(cè),社會(huì)郵箱收發(fā)件統(tǒng)計(jì)等安全措施,防范郵件系統(tǒng)攻擊及郵件泄密。(六)具有控制功能的系統(tǒng)或模塊,控制類信息必須通過生產(chǎn)控制大區(qū)網(wǎng)絡(luò)或?qū)>€傳輸,嚴(yán)格遵守電力二次系統(tǒng)安全防護(hù)方案,實(shí)現(xiàn)系統(tǒng)主站與終端間基于國家認(rèn)可密碼算法的加密通信,基于數(shù)字證書體系的身份認(rèn)證,對(duì)主站的控制命令和參數(shù)設(shè)置指令須采取強(qiáng)身份認(rèn)證及數(shù)據(jù)完整性驗(yàn)證等安全防護(hù)措施。(七)對(duì)與互聯(lián)網(wǎng)有廣泛交互的應(yīng)用系統(tǒng)或模塊,以及部署在信息外網(wǎng)的系統(tǒng)與網(wǎng)站,要加強(qiáng)權(quán)限管理,做好主機(jī)、應(yīng)用的安全加固,加強(qiáng)賬號(hào)、密碼、重要數(shù)據(jù)等加密存儲(chǔ),對(duì)需要穿透訪問信息內(nèi)網(wǎng)的數(shù)據(jù)或服務(wù),嚴(yán)格限制訪問數(shù)據(jù)的格式,過濾必要的特殊字符組合以防止注入攻擊。建立常態(tài)外網(wǎng)安全巡檢、加固、檢修以及應(yīng)急演練等工作機(jī)制,做好日常網(wǎng)站備份工作。(八)具有采集功能的系統(tǒng)或模塊,根據(jù)采集信息的保密性,在采用公司專線(光纖、載波等)接入內(nèi)網(wǎng)進(jìn)行信息采集時(shí),應(yīng)采用身份認(rèn)證和訪問控制措施。不具備專線條件時(shí),應(yīng)在虛擬專網(wǎng)基礎(chǔ)上采用終端身份認(rèn)證、訪問控制措施,建立加密傳輸通道進(jìn)行信息采集,要加強(qiáng)對(duì)采集終端存儲(chǔ)和處理敏感業(yè)務(wù)數(shù)據(jù)的安全防護(hù),以保證業(yè)務(wù)數(shù)據(jù)的保密性和完整性。第三十三條

數(shù)據(jù)安全技術(shù)工作要求如下:(一)從終端、網(wǎng)絡(luò)以及存儲(chǔ)三個(gè)層面加強(qiáng)對(duì)敏感數(shù)據(jù)進(jìn)行檢測(cè)與分析,實(shí)現(xiàn)對(duì)公司各種敏感數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)操作權(quán)限、數(shù)據(jù)外發(fā)等進(jìn)行安全保護(hù)與控制。(二)重要和敏感信息,如商密定級(jí)文件、公司OA公文、電子文件等,實(shí)行加密傳輸、授權(quán)控制、操作審計(jì)及監(jiān)控;對(duì)重要信息實(shí)行自動(dòng)、定期備份;按需進(jìn)行恢復(fù)測(cè)試,確保備份數(shù)據(jù)的可用性。(三)嚴(yán)格落實(shí)公司電子數(shù)據(jù)恢復(fù)、擦除與銷毀管理技術(shù)要求,加強(qiáng)處理過程中的存儲(chǔ)介質(zhì)管理、全程現(xiàn)場監(jiān)控以及安全保密等工作。第三十四條

深化信息安全監(jiān)測(cè)手段,擴(kuò)展監(jiān)控范圍,實(shí)現(xiàn)對(duì)各類網(wǎng)絡(luò)及邊界、網(wǎng)站及應(yīng)用系統(tǒng)、終端以及密鑰使用情況等的全方位、實(shí)時(shí)安全監(jiān)控,做好信息安全監(jiān)測(cè)預(yù)警、指標(biāo)發(fā)布及深化治理工作。第三十五條

電網(wǎng)工業(yè)控制系統(tǒng)應(yīng)納入電力二次系統(tǒng)管理。加強(qiáng)電網(wǎng)工業(yè)控制系統(tǒng)安全保障工作,推進(jìn)工業(yè)控制系統(tǒng)安全檢測(cè)技術(shù)研究和工具研發(fā),做好電網(wǎng)工控系統(tǒng)安全測(cè)評(píng)、關(guān)鍵設(shè)備安全檢測(cè)及防護(hù)整改等工作,進(jìn)一步提高漏洞分析、漏洞發(fā)布、隱患排查和應(yīng)急處理能力。第三十六條

加強(qiáng)云計(jì)算、物聯(lián)網(wǎng)、可信計(jì)算、下一代互聯(lián)網(wǎng)等方面的信息安全技術(shù)研究與應(yīng)用,強(qiáng)化對(duì)新技術(shù)的檢測(cè)、驗(yàn)證、評(píng)估及審核,超前分析新技術(shù)應(yīng)用帶來的安全風(fēng)險(xiǎn)和隱患,提前采取措施予以防范。不得采用與公司信息安全策略與要求相違背的信息通信技術(shù),不得應(yīng)用存在信息安全隱患的新技術(shù)。第三十七條

針對(duì)暴露面及新型安全威脅,圍繞隱患發(fā)現(xiàn)、防護(hù)處置、監(jiān)測(cè)對(duì)抗、應(yīng)急恢復(fù)等能力,建立穩(wěn)定、專業(yè)的技術(shù)支撐隊(duì)伍,從研發(fā)安全、安全檢測(cè)、防病毒管理、統(tǒng)一密鑰管理、漏洞補(bǔ)丁管理、紅藍(lán)對(duì)抗、安全監(jiān)控、應(yīng)急恢復(fù)、新技術(shù)研究與架構(gòu)設(shè)計(jì)等方面開展專項(xiàng)技防能力建設(shè),實(shí)現(xiàn)技術(shù)手段和管理措施的有效融合,實(shí)現(xiàn)內(nèi)外部綜合協(xié)同、資源共享和整體聯(lián)動(dòng),提升公司信息安全協(xié)同防御和體系對(duì)抗能力。

第五章

檢查考核第三十八條

各級(jí)單位應(yīng)建立網(wǎng)絡(luò)與信息系統(tǒng)安全檢查考核機(jī)制,根據(jù)工作需要,制定科學(xué)、規(guī)范的檢查考核指標(biāo)體系。

第六章

附則第三十九條

本辦法由國網(wǎng)信通部負(fù)責(zé)解釋并監(jiān)督執(zhí)行。第四十條

本辦法自2014年11月1日起施行。原《國家電網(wǎng)公司信息系統(tǒng)安全管理辦法》(國家電網(wǎng)信息〔2008〕201號(hào))、《國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度》(信息技術(shù)〔2007〕65號(hào))同時(shí)廢止。

附件1

國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)規(guī)范一、總則(一)為加強(qiáng)國家電網(wǎng)公司(以下簡稱“公司”)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行管理,進(jìn)一步規(guī)范完善公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)工作,有效保障通報(bào)工作有序開展,切實(shí)落實(shí)上情下達(dá)、下情上達(dá)、協(xié)調(diào)和服務(wù)保障的任務(wù),依據(jù)《電力行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法》、《中央企業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作指導(dǎo)意見(試行)》,制定本規(guī)范。(二)本規(guī)范所指網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況是指信息網(wǎng)絡(luò)和系統(tǒng)故障和癱瘓,信息系統(tǒng)數(shù)據(jù)丟失和信息泄密,信息系統(tǒng)受到病毒感染和惡意滲透、攻擊,有害信息在網(wǎng)站傳播等信息安全事件以及跟蹤發(fā)現(xiàn)的外部信息安全輿情。(三)本規(guī)范適用于公司總(分)部及所屬各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)管理工作。(四)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)工作按照“誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)”的工作原則,實(shí)行“統(tǒng)一領(lǐng)導(dǎo),分級(jí)管理、逐級(jí)上報(bào)”的工作方針,以加強(qiáng)公司各級(jí)單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行的信息共享和統(tǒng)一應(yīng)急處置工作。二、職責(zé)分工(一)國網(wǎng)信通部負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的歸口管理工作。主要職責(zé):(1)負(fù)責(zé)建立公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的規(guī)章制度,并督促執(zhí)行;(2)負(fù)責(zé)與國家有關(guān)部門建立聯(lián)系,及時(shí)接收和轉(zhuǎn)發(fā)國家有關(guān)部門發(fā)布的信息通報(bào),并按時(shí)向國家有關(guān)部門報(bào)送相關(guān)材料;(3)負(fù)責(zé)匯總總部電力二次系統(tǒng)、電力通信骨干網(wǎng)絡(luò)、總部信息系統(tǒng),以及公司各單位的安全運(yùn)行情況通報(bào);(4)負(fù)責(zé)建立與國家有關(guān)部門的信息安全通報(bào)聯(lián)系,對(duì)于重大事件啟動(dòng)聯(lián)合應(yīng)急機(jī)制,并協(xié)調(diào)國家相關(guān)部門協(xié)助處置。(二)國調(diào)中心負(fù)責(zé)匯總公司范圍內(nèi)有關(guān)電力二次系統(tǒng)安全運(yùn)行情況,并抄送國網(wǎng)信通部歸口統(tǒng)計(jì)。(三)國網(wǎng)信通公司負(fù)責(zé)將電力通信骨干網(wǎng)絡(luò)和總部信息系統(tǒng)安全運(yùn)行情況匯總報(bào)送國網(wǎng)信通部和國網(wǎng)運(yùn)監(jiān)中心,并將電力通信骨干網(wǎng)絡(luò)安全運(yùn)行情況抄送給國調(diào)中心。(四)公司各級(jí)單位信息通信管理部門負(fù)責(zé)本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的歸口管理工作。主要職責(zé):(1)負(fù)責(zé)建立本單位信息安全通報(bào)工作體系,落實(shí)通報(bào)負(fù)責(zé)人、聯(lián)絡(luò)員及后備聯(lián)絡(luò)員等相關(guān)人員與職責(zé)。各級(jí)單位要指定一名負(fù)責(zé)人、一名聯(lián)絡(luò)員和一名后備聯(lián)絡(luò)員,填寫公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)基本情況備案表(見附表一),并報(bào)送上級(jí)主管部門備案。聯(lián)絡(luò)人員聯(lián)系方式如有變動(dòng),應(yīng)及時(shí)報(bào)告國上級(jí)主管部門;(2)負(fù)責(zé)結(jié)合實(shí)際情況,建立本單位信息安全通報(bào)的規(guī)章制度,并督促執(zhí)行;(3)負(fù)責(zé)匯總本單位范圍內(nèi)電力通信網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行情況,按時(shí)按需向上級(jí)主管部門報(bào)送本單位快報(bào)、月報(bào)、年報(bào)、特殊時(shí)期信息安全日?qǐng)?bào)、安全事件專報(bào)。(4)負(fù)責(zé)匯總本單位發(fā)現(xiàn)的信息安全事件和突發(fā)工作(如公安機(jī)關(guān)檢查情況),以及跟蹤發(fā)現(xiàn)的外部信息安全輿情,并報(bào)送至上級(jí)主管部門;(5)負(fù)責(zé)匯總本單位信息安全重點(diǎn)工作開展情況,突出本單位特色、自行開展的信息安全工作,以及對(duì)公司信息安全工作建議,并報(bào)送至上級(jí)主管部門;(6)負(fù)責(zé)總結(jié)本單位信息安全工作典型經(jīng)驗(yàn),并報(bào)送至上級(jí)主管部門;(7)負(fù)責(zé)向下級(jí)單位轉(zhuǎn)發(fā)國網(wǎng)信通部發(fā)布的各類信息安全事件通報(bào)、預(yù)警通報(bào),負(fù)責(zé)接收、匯總反饋情況,報(bào)送至上級(jí)主管部門。(五)公司各級(jí)單位調(diào)度部門按照電力二次系統(tǒng)信息報(bào)送要求,將本單位電力二次系統(tǒng)安全運(yùn)行情況上報(bào)國調(diào)中心,遇重大、緊急突發(fā)安全事件時(shí),抄送給信息通信管理部門。(六)中國電科院負(fù)責(zé)對(duì)總部范圍內(nèi)信息安全通報(bào)相關(guān)工作提供技術(shù)支持,并協(xié)助開展安全事件、安全隱患、安全漏洞、安全輿情的分析、研判等工作。(八)省公司督查隊(duì)伍負(fù)責(zé)對(duì)本省內(nèi)信息安全通報(bào)相關(guān)工作提供技術(shù)支持,并協(xié)助開展安全事件、安全隱患、安全漏洞、安全輿情的分析、研判等工作。三、內(nèi)容及分類(一)網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報(bào)內(nèi)容主要包括:(1)電子公告服務(wù)、群發(fā)電子郵件以及廣播式即時(shí)通信等網(wǎng)絡(luò)服務(wù)中反動(dòng)有害信息的傳播情況;(2)利用網(wǎng)絡(luò)從事違法犯罪活動(dòng)的情況;(3)已經(jīng)確定或可能發(fā)生的計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊情況;(4)網(wǎng)絡(luò)恐怖活動(dòng)的嫌疑情況和預(yù)警信息;(5)網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常、網(wǎng)絡(luò)和信息癱瘓、應(yīng)用服務(wù)中斷或數(shù)據(jù)纂改、丟失等情況;(6)網(wǎng)絡(luò)安全狀況、安全形勢(shì)分析預(yù)測(cè)等信息;(7)跟蹤發(fā)現(xiàn)的各類外部信息安全輿情;(8)其他影響網(wǎng)絡(luò)與信息安全的信息。(二)網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報(bào)分為快報(bào)、月報(bào)、年報(bào)、特殊時(shí)期安全運(yùn)行日?qǐng)?bào)以及安全事件專報(bào)。(三)公司各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)在運(yùn)行過程中如出現(xiàn)以下任一情形,需填寫網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行快報(bào)(格式見附表二),并逐級(jí)上報(bào)。相關(guān)情形包括:(1)網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生嚴(yán)重故障和癱瘓;(2)信息系統(tǒng)重要數(shù)據(jù)丟失和信息泄密;(3)信息系統(tǒng)受到較大面積病毒感染和惡意滲透、攻擊;(4)有害信息在網(wǎng)站較大面積傳播;(5)其他較嚴(yán)重或上級(jí)部門指定以快報(bào)形式上報(bào)的信息安全事件。(四)公司各級(jí)單位每月需填寫網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào)(格式見附表三),并上報(bào)上級(jí)主管部門。月報(bào)應(yīng)包括以下內(nèi)容:(1)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行指標(biāo)情況及分析;(2)網(wǎng)絡(luò)與信息系統(tǒng)安全信息情況;(3)安全事件統(tǒng)計(jì)與分析;(4)本月網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行工作開展情況;(5)對(duì)公司信息安全工作建議。(五)公司各級(jí)單位每年需進(jìn)行年度總結(jié)報(bào)告(以下簡稱年報(bào)),并以書面形式上報(bào)上級(jí)主管部門。年報(bào)應(yīng)包括以下內(nèi)容:(1)負(fù)責(zé)運(yùn)行維護(hù)的設(shè)備和信息系統(tǒng)的基本情況;(2)安全與運(yùn)行管理工作簡況;(3)年度信息安全與運(yùn)行指標(biāo)工作總結(jié)與分析,要對(duì)信息系統(tǒng)的主要設(shè)備、事故、障礙、故障和異常情況及原因進(jìn)行統(tǒng)計(jì)、匯總和分析;(4)對(duì)影響設(shè)備和信息系統(tǒng)安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論