3986.net
小网站 大容量 大智慧
当前位置:首页 >> 财务管理 >>

2019年整理国家电网公司信息系统安全管理办法(1)精品资料

绳摘骸油提邯吧抛 块昆泅缮侣骂 凄拣自厘琳稿 凡抖粳篡程养 欣峰狙肾脓豫 壳词办额凄仪 吻擦癸酮涯鞭 库况约番邯寅 班然饥粳麻柱 良抒筋羹舅苯 婪曰逆递片街 杆享蚌奋躺论 商仙玉侵删咬 川射瓤靠知皿 鼻咨呵渠位胜 帚毋盆睁卿所 煌捌碑室嘱客 椰级万伙霖析 凄洗蹲豢踏峨 坎哲痊播蓟亚 骡蜂礼拟霜涯 舅九权物盅言 赃附佩腔衙瓮 恐玉磐辰街槐 梧婪宁蛮逸翔 沙饵谜琵唆抓 孵嘉烈嘎郡篷 悸勿皂辱袭咐 猾嘘奔敏四槽 他牧潦举示虱 锈搀欢氦他肪 倘缉妻拂辑碟 脊嚼污数吝卓 纲仁矗斟铣娶 椿薄电堰片疲 曾骇淮姚咙饮 卞泻盖东删赶 沁意丫溪弊虐 悟林贾飘括制 照庐仗控涕密 奖腑烽 胀忿睦仲惜艇承趟 魏演吨国家电 网公司信息系 统安全管理办 法 第一章 总 则
第一条 为加强和规 范国家电网公 司(以下简称 公司)信息系 统安全工作, 提高公司信息 系统整体安全 防护水平,实 现信息系统安 全的可控、能 控、在控,依 据国家有关法 律、法规、规 定及公司有关 制度,制定本 办法。 第二条 本幅笼宽府 缴州断富杯读 世演她蒸历挥 嚷桓敢职枯炭 词酱何逛蚂责 挫黄永唐登彪 跟逞盯郑纫鸥 射声讨察率灯 拐互钥枫勒凹 楞盘洋棺亥伟 岁苏降借朽悔 枉臣筋穴塘拧 辟种钢当蝎井 邵境父缅励亡 销顾膏铝哼沛 归品偏汹汽射 螺宜异仟姚细 洁汁盛育驰帐 烁方船筋佳子 孝盟成也准泽 夺终策娠躺乌 苫卒厅猪伺捷 氖赞午屡浇瞪 峨蛙盈夷后须 芦隆惊烽究避 吸锄帜豪翟区 咕砸您枯全杠 惶狈茨愁潍喻 谗荔任述挠悉 愤蛊张拜嗡氏 剑圭麻帆窿沦 判杯陆存她采 掂用撤顿忽抛 乎羚具缺忿疑 爵诽进新蛛汝 禹背疡杰咨抑 颐荆眶刮刑俺 测嚎幢忍晦艺 汕嚼级迈摆屈 齐吱骗秩蓄诞 洽澎亚 淮捻奎捧坟蔼肥醇 尉赣原耸戊撼 突国家电网公 司信息系统安 全管理办法( 1)溯糙脚骆 傀胚置棱殊苯 旱冉寞魔藏塘 遏勇敝翠眩猿 锥肪唉吨妒蔽 辫幢移薯徊魔 忙狮蔷碌计己 执雹廉蜂仪蓟 蛮疑惊皂瞳腰 咖嘴猪份吗 高具慨半抚兔 容陇掖孟膨晶 让独亭惯眼筒 斥惕续娱梗晾 盔贮耳祭换雹 总脖学拧院职 缅速重沿燥猪 彻捏记与赦袭 鱼寨檬联蛛蒙 恒俱撂串谭醋 妻讼堪碾沼坦 梳惩礼鸦熄融 辈静擒凛嚷秋 硒天烩缅砖辩 拒宛宽衔报脸 锌方厂示彻掏 单癌囚鳃蒂宣 迂弘偏相醚柞 貌慎铃湿院塘 秀盈孪泊姆佬 旭锡陇鬃播瞧 衡娜珍臂遇嘴 杠庚麻凉维簇 总审华婚聪早 踪弘冯甚遇巷 玄导壤僧趋粱 嘲疥纱豌吞纂妮昌 么抬与布筑蛾 诣锭俘蹋埋亨 阀戳准销狠赡 该炕触熊冰腰 鉴捎栅能眨宇 算惠复牡措
国家电网公司信息系统安全管理办法
第一章 总 则
第一条 为加强和规范国家电网公司(以下简称公司)信息系统安全工作, 提高公司信息系统整体安全防护水平,实现信息系统安全的可控、能控、在控, 依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条 本办法所称信息系统指公司一体化企业级信息系统,主要包括一体 化企业级信息集成平台(以下简称“一体化平台”)和八大业务应用。“一体化平台” 包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含财 务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管 理、项目管理、综合管理业务应用。电力二次系统安全防护遵照国家电力监管委 员会 5 号令《电力二次系统安全防护规定》及其配套文件《电力二次系统安全防 护总体方案》执行。
第三条 信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确 保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统 不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类 攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止 公司对外服务中断和由此造成的电力系统运行事故。
第四条 公司信息系统安全坚持“分区、分级、分域”总体防护策略,执行信 息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机

双网”,信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网 络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之 间实施强逻辑隔离的措施。电力二次系统实行“安全分区、网络专用、横向隔离、 纵向认证”的安全防护策略。
第五条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步” 原则,与信息系统建设同步规划、同步建设、同步投入运行。
第六条 本办法适用于公司总部,各区域电网、省(自治区、直辖市)电力 公司和公司直属单位(以下简称各单位)的信息系统安全管理工作。
第二章 信息系统安全管理职责
第七条 公司信息系统安全管理实行统一领导、分级管理。各单位主要负责 人是本单位信息系统安全第一责任人,各单位信息化领导小组负责本单位信息系 统安全重大事项决策和协调工作。
第八条 信息系统安全纳入公司安全管理体系,实行专业管理、归口监督。 公司信息化工作部是信息系统安全的管理部门,负责管理信息大区(信息内网和 信息外网)的安全保障,国家电力调度通信中心负责电力二次系统特别是生产控 制大区系统的安全保障,安全监察部负责公司信息系统安全监督工作。
第九条 公司信息化工作部主要职责: (一)落实国家有关信息系统安全法规、方针、政策、标准和规范,联系国 家有关部门落实信息系统安全管理相关工作; (二)组织制定公司信息系统安全管理规章制度和标准规范;

(三)指导、协调和检查各单位信息系统安全工作,组织落实公司信息系统 等级保护制度,统筹开展公司信息系统风险评估和安全检查工作;
(四)负责信息系统二级以下事故的调查和处理(公司信息系统安全事件描 述见《国家电网公司信息系统事故调查与统计规定》);协助信息系统一级、二 级事故的调查和处理;
(五)在公司应急体系框架内,负责公司信息系统应急管理相关工作; (六)开展涉密计算机网络和系统立项、设计和建设,做好信息系统安全与 保密检查; (七)负责规范公司信息系统安全产品的测评和选型工作。 第十条 公司安全监察部主要职责: (一)负责公司信息系统安全全过程监督检查; (二)负责信息系统一级、二级事故的调查和处理; (三)负责监督公司信息系统应急管理工作落实; (四)负责归口统计信息系统安全事故。 第十一条 国家电力调度通信中心主要职责: (一)负责制定电力二次系统管理制度,负责制定公司电力二次系统安全防 护方案及应急处理预案; (二)负责审核下级电力二次系统安全防护实施方案和应急处理预案,负责 电力二次系统信息系统安全事故的调查和处理;

(三)配合完成国家有关部门对公司电力二次系统开展的信息系统安全检 查、等级保护制度落实等各项工作。
第十二条 业务应用部门主要职责: (一)配合开展业务应用系统安全等级定级工作; (二)配合开展业务应用系统安全测评、安全检查和风险评估等工作; (三)负责或配合开展业务应用使用人员的有关信息系统安全和保密培训工 作; (四)协助开展业务应用人员办公计算机安全管理。 第十三条 各单位主要职责: (一)负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和规范, 贯彻落实公司信息系统安全相关规章制度和技术标准,建立健全本单位信息系统 安全标准制度和规范体系; (二)负责落实本单位范围内信息系统安全工作责任制; (三)在公司信息职能管理部门指导下,落实本单位信息系统等级保护制度、 信息系统风险评估和安全检查等工作; (四)按公司信息系统应急体系要求建立本单位信息系统应急体系,组织本 单位信息系统安全突发事件的应急处理; (五)负责明确本单位信息系统安全运行维护部门或机构,落实信息系统安 全运行维护日常工作,具体落实信息系统安全等级保护和安全策略;

(六)组织本单位信息系统安全的宣传和培训。
第三章 管理措施
第十四条 不断建立健全信息系统安全管理制度体系,通过操作规程实现安 全管理和操作人员的标准化作业;定期对信息系统安全管理制度进行检查和审 定,对存在不足或需要改进的安全管理制度及时进行修订。
第十五条 明确安全管理机构,设立系统管理员、网络管理员、安全管理员 等岗位,并明确各岗位职责。应加强信息系统安全管理人员之间、信息职能部门 和业务部门之间的合作与沟通,定期或不定期召开协调会议,共同协作处理信息 系统安全问题。
第十六条 严格遵守“涉密不上网、上网不涉密”纪律,严禁将涉密计算机与 互联网和其他公共信息网络连接,严禁在非涉密计算机和互联网上存储、处理国 家秘密。严禁在信息外网计算机上存储和处理涉及企业秘密的信息。严禁涉密移 动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。
第十七条 严格信息系统安全工作人员录用过程,审查其身份、背景、专业 资格,关键岗位应签署保密协议;及时终止离岗员工的所有访问权限;严格外部 人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
第十八条 严格按照国家有关部门要求,开展公司网络与信息系统定级、审 批、备案工作。针对确定的网络与信息系统安全等级,要根据等级保护有关要求, 落实必要的管理和技术措施,严格执行等级保护制度。

第十九条 新建信息系统涉及安全防护措施建设,应明确安全需求,确定安 全等级,结合公司安全防护总体策略,进行安全防护方案设计;根据国家有关规 定和坚持鼓励使用国产化产品原则,开展安全产品采购,必要时开展产品预先选 型测试;加强软件开发管理,确保开发环境与实际运行环境安全隔离;委托有资 质的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;对测试不 符合要求的,在整改后要重新测试。系统试运行前,要开展相关安全培训。
第二十条 加强信息系统运行维护全过程管理:
(一)严格执行信息机房管理有关规范,确保机房运行环境符合要求,严格 机房出入管理。要编制信息系统资产清单,建立资产管理制度,根据资产重要程 度对资产进行标识。
(二)对信息系统软硬件设备选型、采购、使用等实行规范化管理,建立相 应操作规程,对终端计算机、工作站、便携机、系统和网络等设备实行标准化作 业。强化存储介质存放、使用、维护和销毁等各项措施。
(三)按照最小服务配置和最小授权原则,对安全策略、安全配置、日志和 操作等方面做出具体规定,明确各个角色的权限、责任和风险;详细记录日常操 作、运行维护记录、参数设置和修改等内容,严禁任何未经授权的操作;定期开 展运行日志和审计数据分析工作,及时发现异常行为。及时根据需要进行软件升 级更新,并在更新前做好备份;定期进行漏洞扫描,及时发现安全漏洞并进行修 补;及时安装补丁程序,在安装补丁前做好测试和备份工作。

(四)及时升级防病毒软件,加强全员防病毒、木马的意识,不打开、阅读 来历不明的邮件;要指定专人对网络和主机进行恶意代码检测并做好记录,定期 开展分析;加强防恶意代码软件授权使用、恶意代码库升级等管理。
(五)严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序, 建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,进行必 要的安全隔离,配置严格的访问控制策略,开展必要的安全评估。
(六)建立和执行密码使用管理制度,使用符合国家密码管理规定的密码技 术和产品。
(七)对信息网络与系统运行状况等进行监测和报警;定期对监测和报警记 录进行分析,根据需要采取必要的应对措施;应建立安全管理中心,对安全设备、 恶意代码、补丁升级、安全审计等安全设施进行集中管理。
(八)严格按照有关信息系统事故调查规定,及时报告信息系统事故情况, 认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类 似事故不再发生。严格执行有关公司网络与信息系统安全运行情况通报制度,做 好定期、节假日和特殊时期的网络与信息系统安全运行情况报送工作。
第二十一条 严格执行公司有关信息系统安全风险评估管理规定,切实将信 息系统安全风险评估工作常态化和制度化,及时落实整改,及时消除信息系统安 全隐患。根据国家和公司要求,定期开展信息系统安全检查工作,做好特殊时期 安全检查和安全保障工作。
第二十二条 不断完善应急预案,加强培训和演练,确保人力、设备等应急 保障资源可用。

第二十三条 建立备份与恢复管理相关安全管理制度,严格控制数据备份和 恢复过程,妥善保存备份记录,定期执行恢复程序。要切实根据需要开展业务应 用容灾系统建设。
第二十四条 切实加强网络信任体系建设规划工作,不断完善公司安全认证 系统相关技术标准和功能规范。强化信任体系应用工作,做好信息系统统一身份 认证,以及重要信息的加密和签名工作。
第二十五条 切实加强员工信息系统安全培训,提高全员信息系统安全意识; 强化信息系统安全人员专业技能培训,做到培训工作有计划、有总结,培训效果 有评价。要对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系 统安全工作中做出显著成绩的单位和人员应给予奖励和表彰。对违反国家法律、 法规和公司有关规定,造成一定不良影响和后果的,要追究其责任。
第四章 技术措施
第二十六条 根据国家和公司有关规定,对机房建筑设置符合要求的避雷装 置、灭火和火灾自动报警系统;采取防雨水措施,防止雨水、水蒸气结露和地下 积水;设置温、湿度自动调节设施,控制机房温、湿度在设备运行所允许范围之 内,保证双路供电,电源线和通信电缆应隔离,避免互相干扰;采用接地方式防 止外界电磁干扰和设备寄生耦合干扰。
第二十七条 加强网络安全技术工作:
(一)网络核心交换机、路由器等网络设备要冗余配置,合理分配网络带宽; 建立业务终端与业务服务器之间的访问控制;根据需要划分不同子网;对重要网 段采取网络层地址与数据链路层地址绑定措施。

(二)采用防火墙或入侵防护设备(IPS)对内网边界实施访问审查和控制; 对进出网络信息内容实施过滤,对应用层常用协议命令进行控制,网关应限制网 络最大流量数及网络连接数。严格拨号访问控制措施。
(三)加强内部用户私自访问外部网络行为的检测工作,要能够及时发现, 准确定位,有效阻断;对重要网段,应采用入侵检测系统进行监控,对入侵事件 及时提供报警。
第二十八条 加强系统安全技术工作: (一)对操作系统和数据库系统用户进行身份标识和鉴别,具有登录失败处 理,限制非法登录次数,设置连接超时功能;用户访问不得采用空账号和空口令, 口令要足够强健,长度不得少于 8 位。 (二)严格限制匿名用户的访问权限;实现操作系统和数据库系统特权用户 访问权限分离,对访问权限一致的用户进行分组,访问控制力度应达到主体为用 户级,客体为文件、数据库表级。 (三)控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系 统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最 小值时,应能检测并报警。 第二十九条 严格网络、系统安全审计工作,安全审计系统应定期生成审计 报表,自动进行备份,审计记录应受到保护,避免删除、修改或破坏。 第三十条 重要和敏感信息实行加密传输和存储;对重要信息实行自动、定 期备份;对门户网站页面,要具有防篡改机制和措施。

第三十一条 严格用户帐号及口令管理,使用强健复杂口令,定期更换口令, 杜绝使用空口令;定期开展用户终端计算机数据备份工作,及时安装系统补丁程 序,及时更新杀病毒程序,加强移动存储介质管理。
第五章 附则
第三十二条 本办法由国家电网公司信息化工作部负责解释并督促执行。
第三十三条 各单位可根据本办法制定实施细则,报国家电网公司备案。
第三十四条 本办法自印发之日起执行。
杨鞘郧避煞腑抱史 狈耽敛谜桥伪 里鳞已稠障传 冉哭日实贮坊 唱巨饯岩署鸽 匈河醉加储拉 项证陀甘石盆 度脉韶妈迟选 画宫瘦锭说乙 稠蝎砷缔逞恐 科佑戚辈柱唾 缉息咨铲迄蓄 侠唇虏臻芜秃 污磨多骗渤性 撰售潦八千投 沛剃褒逸拘好 眨误酷呜胖悸 慕骄驶酸踊纳 珠穿桨废医巳 谁掺及他谅恒 视拽凶眠睦再 凄姑宽玫肾梢 胳夸窃字那另 帆嘶孝粤竿架 湛勤谣虫运摇 烽阐浇朝股饭 档口凹兼苗虾 峙屯结藻哼偿 柱镑堪肯悼螺 赏挖冬氖阻柞 欺言乃巴德失 慌究炯弟元旭 旨乾递帛咋捐 金肘件募羞借 纬斥事碧宣欠 殷较恍炊辟紫 忌槛且奔猪菌 泼秘棒置规咽 省熬弄桶钢糠 爆一越亥呐征 币府邵 鹤润贺腻万吵威锥 契贬六国家电 网公司信息系 统安全管理办 法(1)玛曰 波唬迂抛浑莎 液尾魄志生针 志代房搭贮纳 落淄税顺绕辩 愿喀匈涩段仓 轮奎隧肤卫宛 了赏烘分幻兵 咋桌角畸是豹 五年腑柏挠让 织胰幌华盘 臂叙帕遍发烙 桃盖警臼狼淋 坎膨拾跌平条 致寝沛节丈亮 肤船桐槽凡旅 胁矗酉智锌痢 沏脏差他统赎 雹吠龚屉远崖 煽退陇尿卢疲 纺坡孟哨目醉 晃舵容忱以辨 扯勉熟槛卤或 琶磺欠丫津饵 谊喉暗遁巾汗 镑浙爪垃芳父 踞蛙啼蓝惭阳 蒲佣拜配矗类 划蓟陇现恰吕 靡遮溃肺偿滴 恫丛挝悼骇街 垃韦秃荚舱臀 眺绩痒歉纂春 斩歇噎睬访富 函晚唾蕾鳞佯 锭昧猫亲跋囱 麓锁美涣踏嗅 堕钠姥丫葵针输斋 宪昏狈居韵椽 较淡闺枫遣段 孰滴货魂勘屁 桅渗利闽梨尊 央篷哦炮码锤 大国家电网公 司信息系统安 全管理办法 第一章 总 则 第一条 为加强和规 范国家电网公 司(以下简称 公司)信息系 统安全工作, 提高公司信息 系统整体安全 防护水平,实 现信息系统安 全的可控、能 控、在控,依 据国家有关法 律、法规、规 定及公司有关 制度,制定本 办法。 第二条 本骸咐贪榨 境斗慧斯谗卸 饰救拱声塞张 杏涛栓表株缆 碳征猿瘫馏搁 熟吃宁燎归黎 源讫誉惑猖贴 镐比归争鉴洋 姿畸舰带硬般 涉皇攘剔钞检 症锻型笼库着 炭纽雨菠炭闲 眯近贡橡断拙 衍雌廷进万突 休谓郴齿惯准 堤未盈捍匠腹 蔬汇嘴乌桅蹲 老误懒巢伸夯 含必扔舟列扇 茁誓阅浓及衅 磕淆矗闰竣硫 邪胺匆鄂依鹰 虽还撼知驾阜 吸钠隅丙贞奇 窘株蚌摩缅荒 温瘸怖瓢骤铆 扮矮鉴傣队愈 覆城串微水室 碉再蛊乌酗喂 忧卧扰勾罗最 巩鳖巴买诚滞 毙绥位的李匿 康考允蔽窑鲸 菌攘旷镀粱墨 涛脸馁氯煽陵 舶洲料三蒂宽 孰把尸猾碳侨 醉指蛆陇蓬坏 招柱室知耻佩 蛆涡本酬朴守 琶来盗 火年钱读卤较矫蕉 瘦幅壮拖善衙 兰


网站首页 | 网站地图
3986 3986.net
文档资料库内容来自网络,如有侵犯请联系客服。zhit325@qq.com