八不准 国家电网-网络与信息安全管理规定

— PAGE 3 —国家电网公司网络与信息安全管理规定 TOC o 1-3 h z u 第一章 总 则 5 第二章 安全职责 6 第三章 人员管理 8 第四章 规划建设 9 第五章 管理制度 11 第六章 应急与防范 11 第七章 考核与奖惩 12 第八章 附 则 13第一章 总 则第一条 为了保护公司网络与信息系统的安全，促进公司信息化建设的健康发展，保障电网的安全稳定运行和公司的正常生产经营管理，根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律、法规，结合公司系统的特点，制定本规定。第二条 本规定所称的网络与信息系统是指国家电网公司通信网络系统、国家电力调度数据网络、国家电网公司信息网及各单位内部的本地局域网络，以及在网络上运行的或未联网的所有信息系统。以下如无特殊说明网络与信息系统简称为信息系统。第三条 网络与信息安全统一纳入公司的安全生产体系，遵循“统一领导、统一规划、统一标准、统一组织建设”和“谁主管、谁负责，联合防护、协同处置”的原则，实行“安全第一、预防为主，管理和技术并重、综合防范”的方针。，第四条 信息系统的安全保护，应当保障信息设备、设施的安全和运行环境的安全，保障网络和信息系统功能的正常发挥保障信息的安全，维护网络与信息系统的安全运行。第五条 信息系统的安全保护，要综合平衡安全成本和风险，优化网络与信息安全资源的配置，实行网络与信息安全等级保护，确保重点。重点保护网络以及关系到企业重大利益、电网安全生产运行等方面的重要信息系统的安全。第六条 公司系统任何单位和个人不得利用信息系统从事危害国家利益、公司利益和职工合法权益的活动，不得危害信息系统的安全。第七条 本规定适用于公司系统各单位，以下简称各单位。第二章 安全职责第八条 公司网络与信息安全工作实行统一领导下的分级管理、逐级负责制度。各单位在各自主管的工作范围内，按照统一的部署，做好本单位的网络与信息安全工作，并与其它单位共同构建联合防护体系。第九条 各单位主要负责人是本单位网络与信息安全第一责任人，各单位信息化领导小组负责本单位网络与信息安全重大事项的决策和协调。第十条 各单位信息化管理部门归口管理本单位网络与信息安全管理工作，履行以下管理职责：贯彻落实国家和上级单位有关网络与信息安全的方针、政策、法律、标准和规范；建立、健全本单位网络与信息安全管理制度和标准， 组织制订网络与信息安全规划和策略，并负责组织实施；指导、协调、检查、监督和考核本单位及所属单位的网络与信息安全工作；开展信息系统安全保护的宣传教育和培训。信息化管理部门应设立信息安全管理岗位，人员名单需上报国家电网公司科技信息部备案。第十一条 各单位网络与信息系统建设、运行、维护和使用部门分别负责信息系统建设、运行、维护和使用环节的网络与信息安全保障工作，并受信息化管理部门的指导、检查和监督。第十二条 国家电网公司信息化领导小组负责公司系统网络与信息安全重大事项的决策和协调。公司科技信息部归口管理公司系统网络与信息安全工作， 进行指导、协调、检查、监督和考核，协调与国家有关部门网络与信息安全管理方面的日常工作，协助公司保密部门做好信息保密工作，会同公司生产管理部门做好涉及电力生产的网络与信息安全的监督工作。公司调度与通信管理部门负责电力二次系统和通信网络的日常安全管理工作。公司各业务系统的管理部门在各自业务分管范围内协助科技信息部做好业务系统日常安全管理的检查监督和业务指导工作。国电信息中心负责做好公司本部信息系统安全措施的实施和日常运行维护工作，在科技信息部的指导下做好国家电网公司信息网的安全技术保障工作。国家电网公司其他有关部门，在公司规定的职责范围内做好网络与信息安全的相关工作。第三章 人员管理第十三条 各单位应设立系统管理、网络管理、数据库管理、网站管理、运行值班等岗位，明确岗位职责和任职条件，关键岗位实行主副岗备用制度。第十四条 各单位信息化管理、运行等部门负责人、信息安全管理员、系统管理员、数据库管理员、网络管理员等必须经过网络与信息安全培训后方可上岗。离岗三个月后重新上岗， 必须重新培训。第十五条 各单位要定期对网络与信息系统工作人员从政治思想、业务水平、工作表现等方面进行考核，对不适宜接触网络和信息系统的人员要及时调离。第十六条 要加强对全体员工进行信息安全意识教育，增强员工的安全意识和安全技能，网络与信息安全防范工作的表现应纳入员工的岗位责任制。即第十七条 信息系统开发、维护人员离岗必须严格办理离岗手续，移交全部技术资料，明确其离岗后的保密义务，并立更换有关口令和密钥，注销其专用帐户。涉及核心部分开发的技术人员调离时，应确认其对信息系统安全不会造成危害后方可调离。第四章 规划建设第十八条 信息安全是信息化的有机组成部分，必须与信息化同步规划、同步建设。各单位在信息化建设中，要同步考虑信息安全建设。第十九条 各单位要按照资产关系在预算中安排信息安全建设资金，在年度成本预算中单独列支信息系统的运行维护费用，建立稳定的资金渠道，确保信息安全建设的顺利开展和信息系统的正常运行维护。第二十条 各单位应制定本单位的网络与信息安全策略，并在安全策略的指导下根据实际情况合理部署网络防病毒软件、防火墙、数据备份系统、入侵检测、安全认证等各项安全技术设施，逐步完善形成有效的安全技术防护体系。第二十一条 部署信息系统安全设施时应采用国家网络与信息安全主管部门认可的信息系统安全专用产品。对于重要的信息安全产品，公司将逐步开展评测。第二十二条 信息安全工程、与信息系统安全运行直接相关的工程 应当由取得相应专业资质的施工单位施工。第二十三条 计算机机房的建设应当符合国家标准以及国家和公司的有关规定，配备 UPS 电源和必要的防雷接地、防火、防水、防盗、防鼠等设施。第二十四条 对可靠性要求较高的信息系统，配置必要的冗余备用设备和高可用性措施，以便故障时切换使用。第二十五条 涉密系统设备的防电磁泄漏、辐射等应符合国家保密标准。第二十六条 网络规划和建设中，要根据系统类型、性质与安全要求，划分不同的安全区域。各个区域之间定义明确的边界，实施访问控制。加强对网络出入口的管理，控制网络的接入与联出。第二十七条 电力监控系统与管理信息系统等之间实现网络互联必须采用经国家有关部门认证的专用、可靠的安全隔离设施，涉密信息系统、调度数据网络必须与因特网实行物理隔离。第二十八条 国家电网公司信息网与因特网的互连由国家电网公司统一规划，实行有限出口管制原则，任何单位不得私自联网。第二十九条 完善信息系统本身安全功能的建设，建立与其安全需求相适应的身份识别、安全认证、访问控制、防篡改、防抵赖等措施，防止任何人访问超越其权限以外的数据。第五章 管理制度第三十条 各单位要建立值班制度、交接班制度和设备巡检制度，工作日和重要时期应实行现场值班。第三十一条 各单位要建立信息系统运行环境管理制度， 规范机房的管理。第三十二条 各单位要建立相应的管理制度，强化网络接入的管理，规范联网设备 安装、使用的管理，制定网上用户的行为规范。第三十三条 遵守国家知识产权保护的有关法律法规，严禁使用任何盗版软件，在工作机上不得安装、使用与工作无关的软件。第三十四条 各单位应建立计算机病毒防治管理制度。防病毒软件应覆盖所有服务器及客户端，病毒特征码应定期更新。第三十五条 各单位要建立严格的信息系统运行管理规程，规范信息系统的操作，实行流程化管理，建立系统的运行日志和操作记录。重要操作实行工作票制度。第三十六条 各单位应建立涉密信息系统的管理制度，按照公司有关保密规定，加强涉密信息系统及其介质的管理。第三十七条 各单位要建立数据和备份管理制度，加强对数据和介质的管理，规范数据的备份、恢复以及废弃介质、数据的处理。对第三十八条 逐步建立信息系统安全审计制度，尤其是— PAGE — PAGE 12 —处理涉密信息的系统，应定期审查系统日志并作审查记录，审查周期不得长于一个月。第三十九条 建立严格的密钥产生、分配、保管、传送、销毁管理制度和在紧急情况下销毁的手段和措施，以防止密钥的失密，并应记录在案。规范信息系统的授权管理，实行权限分散原则，各岗位操作权限要严格按岗位职责设置，实行的相互制约、最低授权原则，使其操作具有可控性、可监督性和可审计性。建立操作人员密码制度，分清各自责任，密码修改要有记录。第四十条 规范信息系统投运条件和流程。信息系统建成后必须经过试运行并对系统的安全性、可靠性和应急措施进行全面测试，测试和试运行通过后方可投入正式运行；信息系统改造升级后的新版软件投运按新系统进行各种安全测试。第四十一条 要充分利用信息系统本身的安全功能，重视软件更新工作，及时进行安全加固， 堵塞安全漏洞。第四十二条 本单位信息系统交外单位承建或信息系统服务外包，必须与承包商签定安全协议，明确各自应承担的安全责任，并作为合同的附件。同时应采取必要的安全措施，加强安全管理和监控，对相关外来人员进行必要的安全教育。第四十三条 各单位的信息网络如因业务需要与公司系统安外其它单位的网络进行互联，必须作安全评估，制定联网及全方案，并按公司有关规定履行报批手续，经上级单位批准后方可实施。同时应签定有关安全协议，明确各自安全责任；加强安全管理，健全安全措施；建立网络与信息安全信息的共享、通报和联合防护机制。第四十四条 各单位应规范信息发布的流程，建立信息上网的有关制度，上网信息实行“谁上网，谁负责”原则，原则先审后发，国家和公司秘密信息不得在网上处理、传输；公司内部网络原则上不允许开设聊天室，如实在有必要必须实行版主负责制度及留言板、聊天室信息巡查制度。第四十五条 信息系统安全监察范围包括系统设备认证、设备选型、系统设计、系统运行环境、系统建立、使用和管理等环节，在系统建设的可研、设计、验收、上线运行、升级改造等阶段都要进行安全评估，根据评估结果调整有关方案，落实整改措施。第四十六条 各单位要建立电子数据的归档管理制度，规范和促进电子数据的归档。电子数据包括系统的程序、参数、数据以及系统建设、运行、应用过程中的各种重要记录和文档等。第六章 应急与防范第四十七条 各单位要建立和规范网络与信息安全事件的息发现、分析、通报、预警及处置的工作机制，实现公司系统各单位统一协调行动，联合进行防护，确保一旦发生网络与信安全事件时，能够及时有效处置，减少危害损失和影响范围。第四十八条 网络与信息安全事件实行各级单位和同一单位不同部门间的网络与信息安全信息共享和相互通报制度以及下级单位向上级单位的报告制度。通报的具体办法另行规定。第四十九条 各单位应建立健全网络与信息安全事件的防范对策，制定安全事件发生时的应急预案，定期进行防范演习， 不断改进薄弱环节。第五十条 应急预案的制定和修改必须履行一定的审核手续，并须存放在规定的地方。应对执行应急预案的全体人员进行专项培训，并根据演习的结果不断完善应急预案。第七章 考核与奖惩第五十一条 对在网络与信息安全工作中做出显著成绩的单位和人员应给予奖励和表彰。第五十二条 对信息系统中发生的网络与信息安全事件， 有关部门应迅速采取有效措施及时处理，同时保护好现场，并立即向信息化管理部门报告。涉及到电力生产的或信息泄密的， 按照公司有关规定同时向有关部门报告。由信息化管理部门会同有关部门调查、界定责任，对有关责任人员和部门进行严肃处理。重大事件或事件可能影响到其它单位的，应通报相关单位，并立即向国家电网公司科技信息部报告。经第五十三条 网络与信息安全事件实行责任追究制度。— 13 —— 13 —调查论证后，确认主要原因是未按本规定建立和落实与信息系统安全要求相适应的安全措施造成的或者是人为恶意攻击破坏造成的，应对相应责任人进行处罚，违反国家法律法规的要追究其法律责任。同时限期整改，重大事件的整改情况须上报国家电网公司科技信息部审核。第五十四条 网络与信息安全事件的范围、程度的认定及处理、考核与奖惩的具体方法另行规定。第八章 附 则第五十五条 本规定由国家电网公司负责解释。第五十六条 各单位可根据本规定制订实施细则，报国家电网公司备案。第五十七条 本规定自发布之日起施行。

“原创力文档”前称为“文档投稿赚钱网”，本站为“文档C2C交易模式”，即用户上传的文档直接卖给用户，本站只是中间服务平台，本站所有文档下载所得的收益归上传人所有【成交的100%】。原创力文档是网络服务平台方，若您的权利被侵害，侵权客服QQ：3005833200 电话：19940600175 欢迎举报，上传者QQ群:784321556

请点击百度一下下载文库:国家电网-网络与信息安全管理规定