國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng) 安全管理辦法

國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng) 安全管理辦法 第一章 總則 第一條 為加強(qiáng)和規(guī)范國(guó)家電網(wǎng)公司 以下簡(jiǎn)稱(chēng) 公司 網(wǎng)絡(luò)與信息系統(tǒng)安全工作 切實(shí)提高防攻擊 防 篡改 防病毒 防癱瘓 防竊密能力 實(shí)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)安全的可控 能控 在控 依據(jù)國(guó)家有關(guān)法律 法規(guī) 規(guī)定及公司有關(guān)制度 制定本辦法 第二條 本辦法所稱(chēng)網(wǎng)絡(luò)與信息系統(tǒng)是指公司電力通信網(wǎng)及其承載的管理信息系統(tǒng)和電力二次系統(tǒng) 第三條 本辦法適用于公司總 分 部及所屬各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作 第四條 網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)目標(biāo)是保障電力生產(chǎn)監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全 保障管理信 息系統(tǒng)及通信 網(wǎng)絡(luò)的安全 落實(shí)信息系統(tǒng)生命周期全過(guò)程安全管理 實(shí)現(xiàn)信息安全可控 能控 在控 防范對(duì)電力二次系統(tǒng) 管理信息系統(tǒng)的惡意攻擊及侵害 抵御內(nèi)外部有組織的攻擊 防止由于電力二次系 統(tǒng) 管理信息系統(tǒng)的崩潰或癱瘓?jiān)斐傻碾娏ο到y(tǒng)事故 第五條 公司網(wǎng)絡(luò)與信息系統(tǒng)安全工作堅(jiān)持 三納入一融合 原則 將等級(jí)保護(hù)納入網(wǎng)絡(luò)與信息系統(tǒng)安全工 作中 將網(wǎng)絡(luò)與信息系統(tǒng)安全納入信息化日常工作中 將網(wǎng)絡(luò)與信息系統(tǒng)安全納入公司安全生產(chǎn)管理體系 中 將網(wǎng)絡(luò)與信息系統(tǒng)安全融入公司安全生產(chǎn)中 在規(guī)劃和建設(shè)網(wǎng)絡(luò)與信息系統(tǒng)時(shí) 信息通信安全防護(hù)措 施應(yīng)按照 三同步 原則 與網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)同步規(guī)劃 同步建設(shè) 同步投入運(yùn)行 第六條 管理信息系統(tǒng)安全防護(hù)堅(jiān)持 雙網(wǎng)雙機(jī) 分區(qū)分域 安全接入 動(dòng)態(tài)感知 全面防護(hù) 準(zhǔn)入備案 的總體安全策略 執(zhí)行信息安全等級(jí)保護(hù)制度 其中 雙網(wǎng)雙機(jī) 指信息內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離設(shè)備進(jìn)行 隔離 并分別采用獨(dú)立的服務(wù)器及桌面主機(jī) 分區(qū)分域 指依據(jù)等級(jí)保護(hù)定級(jí)情況及業(yè)務(wù)系統(tǒng)類(lèi)型 進(jìn)行 安全域劃分 以實(shí)現(xiàn)不同安全域的獨(dú)立化 差異化防護(hù) 安全接入 指通過(guò)采用終端加固 安全通道 認(rèn) 證等措施保障終端接入公司信息內(nèi)外網(wǎng)安全 動(dòng)態(tài)感知 指對(duì)公司網(wǎng)絡(luò) 信息系統(tǒng) 終端及設(shè)備等安全狀 態(tài)進(jìn)行全面動(dòng)態(tài)監(jiān)測(cè) 實(shí)現(xiàn)事前預(yù)警 事中監(jiān)測(cè)和事后審計(jì) 全面防護(hù) 指對(duì)物理 網(wǎng)絡(luò)邊界 主機(jī) 應(yīng) 用和數(shù)據(jù)等進(jìn)行深度防護(hù) 加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè) 覆蓋防護(hù)各層次 各環(huán)節(jié) 各對(duì)象 準(zhǔn)入備案 指對(duì) 所有接入公司網(wǎng)絡(luò)的各類(lèi)網(wǎng)絡(luò) 應(yīng)用 系統(tǒng) 終端 設(shè)備進(jìn)行準(zhǔn)入及備案管理 第七條 電力二次系統(tǒng)安全防護(hù)按照 安全分區(qū) 網(wǎng)絡(luò)專(zhuān)用 橫向隔離 縱向認(rèn)證 的防護(hù)原則 并遵照原 國(guó)家電力監(jiān)管委員會(huì) 電力二次系統(tǒng)安全防護(hù)規(guī)定 及 電力二次系統(tǒng)安全防護(hù)總體方案 等相關(guān)文件執(zhí) 行 第二章 職責(zé)分工 第八條 公司信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo) 分級(jí)管理 遵循 誰(shuí)主管誰(shuí)負(fù)責(zé) 誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé) 誰(shuí)使用誰(shuí)負(fù)責(zé) 管業(yè)務(wù)必須管安全 的原則 嚴(yán)格落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任 各級(jí)單位主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)與信 息系統(tǒng)安全第一責(zé)任人 各級(jí)單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位網(wǎng)絡(luò)信息安全 含生產(chǎn)控制大區(qū)和管理信息 大區(qū) 的總體協(xié)調(diào)領(lǐng)導(dǎo) 第九條 網(wǎng)絡(luò)與信息系統(tǒng)實(shí)行專(zhuān)業(yè)管理 歸口監(jiān)督 國(guó)網(wǎng)信通部是信息安全防護(hù)的歸口部門(mén) 負(fù)責(zé)管理信 息系統(tǒng)及電力通信網(wǎng)的安全防護(hù) 國(guó)調(diào)中心負(fù)責(zé)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和電力二次系統(tǒng)的安全防護(hù) 國(guó)網(wǎng)安質(zhì)部負(fù) 責(zé)公司信息安全監(jiān)督 檢查和評(píng)價(jià)工作 國(guó)網(wǎng)辦公廳 保密辦 負(fù)責(zé)公司保密管理 負(fù)責(zé)信息失泄密情況 的調(diào)查和處理 各業(yè)務(wù)部門(mén)負(fù)責(zé)本專(zhuān)業(yè)系統(tǒng)及終端的安全監(jiān)控和防護(hù) 各級(jí)單位負(fù)責(zé)落實(shí)本單位網(wǎng)絡(luò)與信 息系統(tǒng)安全工作 第十條 國(guó)網(wǎng)信通部主要職責(zé)如下 一 落實(shí)國(guó)家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī) 方針 政策 標(biāo)準(zhǔn)和規(guī)范 聯(lián)系國(guó)家有關(guān)部門(mén)落實(shí)相關(guān)安 全工作 組織制定公司網(wǎng)絡(luò)與信息系統(tǒng)安全管理標(biāo)準(zhǔn)規(guī)范和規(guī)章制度 二 負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全體系規(guī)劃設(shè)計(jì) 架構(gòu)管控 總體安全防護(hù)方案制訂 核心安全防護(hù)措 施部署和策略?xún)?yōu)化配置并組織實(shí)施 三 指導(dǎo)總部各部門(mén) 公司各級(jí)單位開(kāi)展網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控工作 組織落實(shí)等級(jí)保護(hù) 測(cè)評(píng)整改 風(fēng)險(xiǎn)評(píng)估和隱患排查治理等工作 四 負(fù)責(zé)信息安全技術(shù)督查體系建設(shè) 組織開(kāi)展公司信息安全技術(shù)督查工作 五 協(xié)助開(kāi)展網(wǎng)絡(luò)與信息系統(tǒng)事件的調(diào)查處理 組織制定 落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)反事故措施 六 負(fù)責(zé)信息安全態(tài)勢(shì)跟蹤 事件監(jiān)測(cè)與分析 信息安全通報(bào) 七 負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置 第十一條 國(guó)調(diào)中心主要職責(zé)如下 一 負(fù)責(zé)公司生產(chǎn)控制大區(qū) 含各級(jí)調(diào)度 變電站 發(fā)電廠 配電自動(dòng)化 負(fù)荷控制等 工控系統(tǒng)安全 防護(hù)管理 統(tǒng)籌公司經(jīng)營(yíng)范圍內(nèi)并網(wǎng)發(fā)電廠涉網(wǎng)部分的監(jiān)控系統(tǒng)和繼電保護(hù)等工控系統(tǒng)安全防護(hù)的技術(shù)監(jiān) 督管理 二 負(fù)責(zé)落實(shí)國(guó)家電力二次系統(tǒng)安全防護(hù)要求 組織制定公司電力二次系統(tǒng)安全管理制度 指導(dǎo)各級(jí)單 位開(kāi)展電力二次系統(tǒng)安全防護(hù)的實(shí)施方案制定和運(yùn)行管理 三 配合完成國(guó)家有關(guān)部門(mén)對(duì)公司電力二次系統(tǒng)開(kāi)展的風(fēng)險(xiǎn)評(píng)估和隱患排查 信息安全檢查 落實(shí)等級(jí) 保護(hù)制度等工作 四 負(fù)責(zé)電力二次系統(tǒng)安全防護(hù)技術(shù)督查體系建設(shè)以及組織開(kāi)展電力二次系統(tǒng)的安全技術(shù)督查工作 五 負(fù)責(zé)電力二次系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置 第十二條 國(guó)網(wǎng)安質(zhì)部主要職責(zé)如下 一 負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全檢查和評(píng)價(jià) 二 負(fù)責(zé)公司信息安全事件的調(diào)查 分析 處理和事件通報(bào) 第十三條 業(yè)務(wù)部門(mén)主要職責(zé)如下 一 牽頭開(kāi)展本專(zhuān)業(yè)信息系統(tǒng)信息安全防護(hù)工作 依據(jù)公司總體安全策略組織制定相關(guān)系統(tǒng)信息安全防 護(hù)方案 經(jīng)公司信息安全專(zhuān)家審查委員會(huì)審批后執(zhí)行 二 落實(shí)業(yè)務(wù)系統(tǒng)信息安全等級(jí)保護(hù)工作 配合開(kāi)展業(yè)務(wù)系統(tǒng)安全測(cè)評(píng) 風(fēng)險(xiǎn)評(píng)估和隱患排查治理等工 作 三 國(guó)網(wǎng)運(yùn)檢部負(fù)責(zé)配電自動(dòng)化終端具體安全防護(hù)及運(yùn)行維護(hù)管理 負(fù)責(zé)相關(guān)安全防護(hù)的技改項(xiàng)目管理 四 國(guó)網(wǎng)營(yíng)銷(xiāo)部負(fù)責(zé)營(yíng)銷(xiāo)業(yè)務(wù)涉及控制類(lèi)系統(tǒng)及終端 如負(fù)荷控制系統(tǒng) 負(fù)控終端及用電信息采集控制 終端等 的具體安全防護(hù)及運(yùn)行維護(hù)管理 五 國(guó)網(wǎng)農(nóng)電部負(fù)責(zé)代管縣供電企業(yè)的農(nóng)村電網(wǎng)涉及控制類(lèi)系統(tǒng)及終端安全防護(hù)管理 六 在本專(zhuān)業(yè)人員培訓(xùn)過(guò)程中貫徹公司信息安全相關(guān)要求 第十四條 各級(jí)單位主要職責(zé)如下 一 負(fù)責(zé)貫徹落實(shí)國(guó)家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī) 方針 政策 標(biāo)準(zhǔn)和規(guī)范 貫徹落實(shí)公司網(wǎng)絡(luò)與 信息系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)規(guī)范和規(guī)章制度 二 落實(shí)本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全工作責(zé)任體系 三 落實(shí)本單位網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控 等級(jí)保護(hù)測(cè)評(píng)整改 安全準(zhǔn)入 風(fēng)險(xiǎn)評(píng)估 隱患 排查治理和信息安全技術(shù)督查等工作 四 按照公司網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理要求建立本單位應(yīng)急體系 組織本單位突發(fā)事件的應(yīng)急處理 五 負(fù)責(zé)明確本單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行維護(hù)部門(mén)或機(jī)構(gòu) 落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行維護(hù)日常 工作 明確落實(shí)本單位信息安全技術(shù)督查體系 六 組織本單位信息安全宣傳和培訓(xùn)工作 第十五條 各業(yè)務(wù)支撐和實(shí)施機(jī)構(gòu)信息安全職責(zé)如下 一 各級(jí)調(diào)控機(jī)構(gòu) 分別負(fù)責(zé)本級(jí)調(diào)度控制系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)和運(yùn)行維護(hù)管理 負(fù)責(zé)直調(diào) 發(fā)電廠涉網(wǎng)部分的監(jiān)控系統(tǒng)和繼電保護(hù)等工控系統(tǒng)安全防護(hù)技術(shù)監(jiān)督 二 國(guó)網(wǎng)運(yùn)行分公司 各省檢修 分 公司 各地 市 檢修工公司和縣運(yùn)檢部 檢修 建設(shè) 工區(qū) 分別負(fù)責(zé)運(yùn)維范圍內(nèi)變電站 開(kāi)關(guān)站 換流站的系統(tǒng) 設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作 三 國(guó)網(wǎng)新源控股公司 負(fù)責(zé)運(yùn)維范圍內(nèi)發(fā)電廠的系統(tǒng) 設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作 四 中國(guó)電科院 負(fù)責(zé)公司信息通信安全研究 提供信息安全專(zhuān)業(yè)技術(shù)支撐 負(fù)責(zé)公司信息通信系統(tǒng)和 設(shè)備的安全測(cè)試工作 負(fù)責(zé)信息通信系統(tǒng)和設(shè)備的缺陷分析 安全設(shè)計(jì)的符合性審查以及狀態(tài)評(píng)價(jià) 負(fù)責(zé) 執(zhí)行信息通信安全技術(shù)督查及專(zhuān)項(xiàng)檢查 五 省電科院 負(fù)責(zé)信息通信安全研究 為各省 自治區(qū) 直轄市 電力公司提供信息安全專(zhuān)業(yè)技術(shù)支 撐 負(fù)責(zé)省公司信息通信系統(tǒng)和設(shè)備的缺陷分析 安全設(shè)計(jì)的符合性審查以及狀態(tài)評(píng)價(jià) 負(fù)責(zé)本單位信息 安全技術(shù)督查 六 國(guó)網(wǎng)信通公司 負(fù)責(zé)公司總部信息通信系統(tǒng) 一級(jí)部署信息系統(tǒng) 直屬單位集中部署信息系統(tǒng)和一 級(jí)骨干信息通信網(wǎng)的安全運(yùn)維和應(yīng)急處置工作 七 省信通 分 公司 負(fù)責(zé)調(diào)管范圍內(nèi)信息通信系統(tǒng)調(diào)度監(jiān)控和應(yīng)急處置 負(fù)責(zé)資產(chǎn)管理范圍內(nèi)信息 通信系統(tǒng) 設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作 八 地 市 信通分公司 受職能管理部門(mén)委托開(kāi)展本單位信息安全保障工作 第三章 管理要求 第十六條 按照公司制度標(biāo)準(zhǔn)體系建設(shè)工作要求和統(tǒng)一部署 由總部統(tǒng)一制定 發(fā)布與組織實(shí)施信息通信 安全管理制度 實(shí)現(xiàn)全職責(zé) 全業(yè)務(wù) 全流程覆蓋 確?？v向?qū)蛹?jí)支撐 橫向銜接聯(lián)動(dòng) 第十七條 按照公司 三集五大 體系設(shè)計(jì)確定的崗位 公司統(tǒng)一確定信息系統(tǒng)建設(shè) 運(yùn)行 使用等相關(guān)崗 位的信息安全職責(zé) 各級(jí)單位遵照?qǐng)?zhí)行并加強(qiáng)管理 各級(jí)單位信息通信職能管理部門(mén) 電力調(diào)度管理部門(mén) 應(yīng)設(shè)置專(zhuān)門(mén)的信息安全管理崗位 配備安全管理人員 明確安全工作職責(zé) 第十八條 加強(qiáng)員工信息安全管理 嚴(yán)格人員錄用過(guò)程 與關(guān)鍵崗位員工簽訂保密協(xié)議 明確信息安全保 密的內(nèi)容和職責(zé) 切實(shí)加強(qiáng)員工信息安全培訓(xùn)工作 提高全員安全意識(shí) 及時(shí)終止離崗員工的所有訪問(wèn)權(quán) 限 對(duì)承擔(dān)公司核心信息系統(tǒng)規(guī)劃 研發(fā) 運(yùn)維管理等關(guān)鍵崗位人員開(kāi)展安全培訓(xùn)和考核 對(duì)系統(tǒng)運(yùn)維關(guān)鍵崗 位建立持證上崗制度 明確持證上崗要求 對(duì)關(guān)鍵崗位人員進(jìn)行安全技能考核 將信息安全技能考核內(nèi)容 納入公司安規(guī)考試 加強(qiáng)對(duì)臨時(shí)來(lái)訪人員和常駐外包服務(wù)人員的信息安全管理 加強(qiáng)外來(lái)人員的出入登記和接待管理 嚴(yán)格控 制外來(lái)人員活動(dòng)區(qū)域 外來(lái)人員進(jìn)入機(jī)房等重要區(qū)域 應(yīng)辦理審批登記手續(xù)并由相關(guān)管理人員全程陪同 相關(guān)操作必須有審計(jì)及監(jiān)控 第十九條 網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作機(jī)制如下 一 遵循 統(tǒng)一指揮 密切配合 職責(zé)明確 流程規(guī)范 響應(yīng)及時(shí) 的協(xié)同原則 做好公司信息安全內(nèi) 外部協(xié)同機(jī)制的落實(shí)工作 二 健全信息安全技術(shù)督查工作 加強(qiáng)對(duì)信息安全技術(shù)督查的一體化管控 強(qiáng)化督查責(zé)任落實(shí) 深化年 度 專(zhuān)項(xiàng) 日常督查工作 進(jìn)一步提升督查隊(duì)伍裝備水平 優(yōu)化督查工作流程 強(qiáng)化督查隊(duì)伍評(píng)價(jià)考核 三 落實(shí)常態(tài)信息安全風(fēng)險(xiǎn)評(píng)估工作 與公司春秋季檢和迎峰度夏工作相結(jié)合 切實(shí)將風(fēng)險(xiǎn)評(píng)估工作常 態(tài)化 及時(shí)落實(shí)整改 消除安全隱患 四 切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè) 按照綜合協(xié)調(diào) 統(tǒng)一領(lǐng)導(dǎo) 分級(jí)負(fù)責(zé)的原則 在公司 總部 各分部 省 自治區(qū) 直轄市 電力公司 直屬單位建立應(yīng)急組織和指揮體系 堅(jiān)持 安全第一 預(yù)防為主 的方針 加強(qiáng)應(yīng)急響應(yīng)隊(duì)伍建設(shè) 優(yōu)化完善應(yīng)急預(yù)案 落實(shí)常態(tài)應(yīng)急演練工作 做好應(yīng)急保障 工作 加強(qiáng)安全風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)警 建立 上下聯(lián)動(dòng) 區(qū)域協(xié)作 的快速響應(yīng)工作 強(qiáng)化應(yīng)急處置 五 嚴(yán)格執(zhí)行信息安全事故通報(bào)制度 通報(bào)規(guī)范見(jiàn)附件 1 做好節(jié)假日和特殊時(shí)期的安全運(yùn)行情況報(bào) 送工作 六 落實(shí)健全網(wǎng)絡(luò)與信息系統(tǒng)安全準(zhǔn)入工作 加強(qiáng)對(duì)接入公司網(wǎng)絡(luò)的各類(lèi)系統(tǒng) 終端 設(shè)備的準(zhǔn)入及備 案管理 強(qiáng)化備案信息與上下線相關(guān)運(yùn)行安全工作的準(zhǔn)入聯(lián)動(dòng)工作 七 嚴(yán)格按照公司安全事故調(diào)查規(guī)程 開(kāi)展事故原因分析 做好事故調(diào)查工作 堅(jiān)持 四不放過(guò) 原則 有效落實(shí)整改 八 貫徹落實(shí)信息安全等級(jí)保護(hù)制度 持續(xù)強(qiáng)化信息安全等級(jí)保護(hù)工作管理 做好系統(tǒng)等級(jí)保護(hù)定級(jí) 備案 建設(shè) 測(cè)評(píng)與整改工作 九 深入開(kāi)展信息安全動(dòng)態(tài)治理工作 推動(dòng)各級(jí)單位信息安全工作的落實(shí)與持續(xù)改進(jìn) 提升信息安全流 程化 標(biāo)準(zhǔn)化和規(guī)范化水平 強(qiáng)化隱患排查治理工作 強(qiáng)化從隱患發(fā)現(xiàn)到隱患治理的閉環(huán)管理工作 消除 信息安全薄弱環(huán)節(jié) 十 開(kāi)展信息技術(shù)供應(yīng)鏈安全管理工作 開(kāi)展信息技術(shù)軟硬件設(shè)備和服務(wù)供應(yīng)商安全管理 軟硬件設(shè)備 選型和安全測(cè)試工作 逐步實(shí)現(xiàn)核心運(yùn)行系統(tǒng)的國(guó)產(chǎn)化 加強(qiáng)外部合作單位和供應(yīng)商管理 嚴(yán)格外部單位 資質(zhì)審核 嚴(yán)禁合作單位和供應(yīng)商在對(duì)互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)絡(luò)和信息系統(tǒng)中存儲(chǔ)和運(yùn)行公司相關(guān)業(yè)務(wù)系統(tǒng) 數(shù)據(jù)和敏感信息 關(guān)鍵軟硬件設(shè)備采購(gòu)應(yīng)開(kāi)展產(chǎn)品預(yù)先選型和安全檢測(cè) 對(duì)涉及的信息安全軟硬件產(chǎn)品和 密碼產(chǎn)品要堅(jiān)持國(guó)產(chǎn)化原則 信息安全核心防護(hù)產(chǎn)品以自主研發(fā)為主 管理信息系統(tǒng)軟硬件產(chǎn)品逐步采用 全國(guó)產(chǎn)化產(chǎn)品 及時(shí)開(kāi)展各種軟硬件漏洞檢測(cè)及修復(fù) 十一 建立信息安全綜合評(píng)價(jià)體系 加強(qiáng)信息安全監(jiān)督及考核評(píng)價(jià) 將網(wǎng)絡(luò)與信息系統(tǒng)安全落實(shí)情況納 入各級(jí)單位信息化水平評(píng)價(jià) 十二 加強(qiáng)密碼技術(shù)的開(kāi)發(fā)利用以及密碼安全保障 落實(shí)密鑰的統(tǒng)一選型及應(yīng)用工作 充分發(fā)揮密碼技 術(shù)在信息安全工作中的基礎(chǔ)作用 第二十條 加強(qiáng)電力通信網(wǎng)的安全管理 規(guī)范電力通信網(wǎng)絡(luò)安全防護(hù)體系 健全針對(duì)各類(lèi)網(wǎng)絡(luò)在線監(jiān)測(cè)和 安全預(yù)警能力 做好對(duì)光纜 網(wǎng)絡(luò)交換設(shè)備 物理區(qū)域與人員的安全訪問(wèn)管理 禁止通信網(wǎng)管系統(tǒng)未經(jīng)網(wǎng) 絡(luò)隔離裝置與信息內(nèi)網(wǎng)互聯(lián) 禁止通信網(wǎng)管系統(tǒng)與外部維護(hù)廠商間進(jìn)行網(wǎng)絡(luò)連接 電力通信設(shè)備 線路等 應(yīng)采用冗余保障 網(wǎng)絡(luò)優(yōu)化 設(shè)備網(wǎng)管防護(hù)等措施提高可用性 第二十一條 加強(qiáng)信息內(nèi)外網(wǎng)網(wǎng)站管理 各級(jí)單位對(duì)外網(wǎng)站應(yīng)與公司外網(wǎng)企業(yè)門(mén)戶網(wǎng)站進(jìn)行整合 內(nèi)網(wǎng)宣 傳網(wǎng)站要與公司內(nèi)網(wǎng)企業(yè)門(mén)戶進(jìn)行整合 實(shí)現(xiàn)網(wǎng)站統(tǒng)一管理與備案 網(wǎng)站信息發(fā)布須嚴(yán)格按照公司審核發(fā) 布流程 各級(jí)單位網(wǎng)站統(tǒng)一使用公司域名 并規(guī)范網(wǎng)站功能設(shè)置及網(wǎng)站風(fēng)格設(shè)計(jì) 加強(qiáng)內(nèi)外網(wǎng)郵件統(tǒng)一管 理 禁止各級(jí)單位建立獨(dú)立內(nèi)外網(wǎng)郵件系統(tǒng) 如確實(shí)需要建立 需提前報(bào)公司批準(zhǔn) 第二十二條 加強(qiáng)信息安全備案準(zhǔn)入工作 各級(jí)單位要鞏固信息安全備案準(zhǔn)入成果 加強(qiáng)對(duì)采集類(lèi)業(yè)務(wù)終 端的安全備案 嚴(yán)格各類(lèi)信息資產(chǎn)安全備案作為入網(wǎng)的必要條件 加強(qiáng)安全備案數(shù)據(jù)質(zhì)量的治理工作 確 保填報(bào)信息完整 準(zhǔn)確及更新及時(shí) 對(duì)于未備案的業(yè)務(wù)系統(tǒng) 網(wǎng)絡(luò)專(zhuān)線 一經(jīng)發(fā)現(xiàn)立即關(guān)停 按照公司有 關(guān)要求進(jìn)行追責(zé)及處置 第二十三條 微博微信等新業(yè)務(wù)安全管理要求如下 一 強(qiáng)化對(duì)企業(yè)官方微博微信 Wi Fi 網(wǎng)絡(luò) 其他新業(yè)務(wù)的安全備案準(zhǔn)入與管理 加強(qiáng)微博微信開(kāi)設(shè) 使用的安全管理 加強(qiáng)信息外網(wǎng)無(wú)線 Wi Fi 網(wǎng)絡(luò)的審批 備案與使用管理 二 各級(jí)單位要加強(qiáng)官方微博微信的開(kāi)設(shè)與管理 加強(qiáng)對(duì)本單位官方微博微信所發(fā)布的內(nèi)容審查與核實(shí) 微博微信的發(fā)布終端要按照公司辦公計(jì)算機(jī)防護(hù)要求部署安全措施 公司兩級(jí)技術(shù)督查隊(duì)伍在日常的安全 督查中要加強(qiáng)對(duì)微博微信發(fā)布終端的檢查深度和頻度 三 各級(jí)單位信息外網(wǎng)使用 Wi Fi 要嚴(yán)格落實(shí)審核批準(zhǔn)與備案工作 要加強(qiáng) Wi Fi 組網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入 安 全審計(jì) 用戶身份認(rèn)證方面的安全防護(hù)技術(shù)手段 四 各級(jí)單位要控制內(nèi)網(wǎng)第三方專(zhuān)線接入公司信息網(wǎng)絡(luò)的專(zhuān)線數(shù)量 對(duì)于確需第三方接入的新業(yè)務(wù) 要 選擇安全的接入方式并強(qiáng)化落實(shí)邊界安全防護(hù)措施 第二十四條 接入安全管理要求如下 一 加強(qiáng)互聯(lián)網(wǎng)接入以及互聯(lián)網(wǎng)出口歸集統(tǒng)一管理 充分利用公司電力通信鏈路 以省級(jí)單位和三地災(zāi) 備中心為主體對(duì)下屬單位互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格管控 合并 統(tǒng)一設(shè)置和集中監(jiān)控 二 加強(qiáng)非集中辦公區(qū)域內(nèi)網(wǎng)接入安全管理 嚴(yán)格履行審批程序 按照公司集中辦公區(qū)域相關(guān)要求落實(shí) 信息安全管理與技術(shù)措施 非集中辦公區(qū)域應(yīng)采用電力通信網(wǎng)絡(luò)通道接入公司內(nèi)部網(wǎng)絡(luò) 如確實(shí)需要租用 第三方專(zhuān)線 應(yīng)在公司進(jìn)行備案 并嚴(yán)格按照總體防護(hù)要求采取相應(yīng)防護(hù)措施 第二十五條 規(guī)劃計(jì)劃安全管理要求如下 一 網(wǎng)絡(luò)與信息系統(tǒng)在可研設(shè)計(jì)階段應(yīng)全面分析其可能面臨的主要信息安全風(fēng)險(xiǎn)以及對(duì)現(xiàn)有網(wǎng)絡(luò)與系統(tǒng) 流程的影響 并進(jìn)行安全需求分析 二 可研階段信息系統(tǒng)應(yīng)組織進(jìn)行信息安全防護(hù)設(shè)計(jì) 做好安全架構(gòu)規(guī)劃 形成專(zhuān)項(xiàng)信息安全防護(hù)方案 并進(jìn)行評(píng)審 專(zhuān)項(xiàng)信息安全防護(hù)方案通過(guò)評(píng)審后方可進(jìn)行后續(xù)開(kāi)發(fā)工作 涉及認(rèn)證 密鑰以及數(shù)據(jù)保護(hù)等 方面需考慮與公司統(tǒng)一密鑰系統(tǒng)集成接口設(shè)計(jì) 三 網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)提前組織開(kāi)展等級(jí)保護(hù)定級(jí)工作 同時(shí)重要系統(tǒng)應(yīng)提前在公司信息安全歸口管理 部門(mén)進(jìn)行備案 第二十六條 建設(shè)安全管理要求如下 一 嚴(yán)格遵循信息系統(tǒng)開(kāi)發(fā)管理要求 加強(qiáng)對(duì)項(xiàng)目開(kāi)發(fā)環(huán)境及測(cè)試環(huán)境的安全管理 確保與實(shí)際運(yùn)行環(huán) 境及辦公環(huán)境安全隔離 確保開(kāi)發(fā)全過(guò)程信息安全管控 二 加強(qiáng)信息系統(tǒng)開(kāi)發(fā)過(guò)程中代碼編寫(xiě)的規(guī)范性 應(yīng)采用公司統(tǒng)一開(kāi)發(fā)平臺(tái)進(jìn)行開(kāi)發(fā) 并嚴(yán)格按照公司 統(tǒng)一安全編程規(guī)范進(jìn)行代碼編寫(xiě) 定期進(jìn)行代碼審核 并組織代碼安全自測(cè) 三 加強(qiáng)代碼安全管理 確保開(kāi)發(fā)過(guò)程中代碼安全保密 落實(shí)源代碼補(bǔ)丁漏洞工作 及時(shí)對(duì)代碼漏洞進(jìn) 行反饋及整改 四 規(guī)范外部軟件及插件的使用 應(yīng)使用主流的 成熟的外部軟件及插件 避免采用非商用且無(wú)安全保 證的外部軟件及插件 集成外部軟件及插件包括開(kāi)源組件時(shí) 應(yīng)重視接口交互的安全 充分考慮異常的處 理 五 加強(qiáng)電力通信網(wǎng)建設(shè)的安全管理 通過(guò)識(shí)別 評(píng)估和分析等手段降低安全風(fēng)險(xiǎn) 保證通信網(wǎng)絡(luò)建設(shè) 過(guò)程中安全可控 確保人身 設(shè)備及現(xiàn)有網(wǎng)絡(luò)的安全 第二十七條 運(yùn)維安全管理要求如下 一 網(wǎng)絡(luò)與信息系統(tǒng)上線前 重要升級(jí)前 與生產(chǎn)系統(tǒng)聯(lián)合調(diào)試前對(duì)安全防護(hù)設(shè)計(jì)遵從度 應(yīng)用軟件安 全功能 代碼安全 運(yùn)行環(huán)境安全等進(jìn)行全面測(cè)試以及整改加固 通過(guò)測(cè)試后方可正式上線試運(yùn)行 二 建立網(wǎng)絡(luò)與信息系統(tǒng)資產(chǎn)安全管理制度 加強(qiáng)資產(chǎn)的新增 驗(yàn)收 盤(pán)點(diǎn) 維護(hù) 報(bào)廢等各環(huán)節(jié)管理 編制資產(chǎn)清單 根據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí) 加強(qiáng)對(duì)資產(chǎn) 風(fēng)險(xiǎn)分析及漏洞關(guān)聯(lián)管理 三 加強(qiáng)機(jī)房出入管理 對(duì)機(jī)房建筑采取門(mén)禁 專(zhuān)人值守等措施 防止非法進(jìn)入 出入機(jī)房需進(jìn)行登記 四 加強(qiáng)信息通信設(shè)備安全管理 建立健全設(shè)備安全管理制度 加強(qiáng)設(shè)備基線策略管理以及優(yōu)化部署 制定安全基線策略配置管理要求和技術(shù)標(biāo)準(zhǔn) 規(guī)范上線 運(yùn)行軟硬件設(shè)備信息安全策略以及安全配置 五 建立通信設(shè)備軟件升級(jí)預(yù)評(píng)估制度 對(duì)其必要性和緊急性進(jìn)行評(píng)估論證 并采取相應(yīng)防范措施后 再進(jìn)行相關(guān)升級(jí)工作 六 規(guī)范賬號(hào)權(quán)限管理 系統(tǒng)上線穩(wěn)定運(yùn)行后 應(yīng)回收建設(shè)開(kāi)發(fā)單位所掌握的賬號(hào) 各類(lèi)超級(jí)用戶賬號(hào) 禁止多人共用 禁止由非主業(yè)不可控人員掌握 臨時(shí)賬號(hào)應(yīng)設(shè)定使用時(shí)限 員工離職 離崗時(shí) 信息系統(tǒng) 的訪問(wèn)權(quán)限應(yīng)同步收回 應(yīng)定期 半年 對(duì)信息系統(tǒng)用戶權(quán)限進(jìn)行審核 清理 刪除廢舊賬號(hào) 無(wú)用賬號(hào) 及時(shí)調(diào)整可能導(dǎo)致安全問(wèn)題的權(quán)限分配數(shù)據(jù) 七 規(guī)范賬號(hào)口令管理 口令必須具有一定強(qiáng)度 長(zhǎng)度和復(fù)雜度 長(zhǎng)度不得小于 8 位字符串 要求是 字母和數(shù)字或特殊字符的混合 用戶名和口令禁止相同 定期更換口令 更換周期不超過(guò) 6 個(gè)月 重要系 統(tǒng)口令更換周期不超過(guò) 3 個(gè)月 最近使用的 4 個(gè)口令不可重復(fù) 八 強(qiáng)化公司統(tǒng)一漏洞及補(bǔ)丁工作 加強(qiáng)對(duì)公司各級(jí)單位漏洞的采集 分析 發(fā)布 描述的集中統(tǒng)一管 理 實(shí)現(xiàn)全網(wǎng)漏洞掃描策略的統(tǒng)一制定 掃描任務(wù)的統(tǒng)一執(zhí)行 實(shí)現(xiàn)對(duì)各級(jí)單位漏洞情況以及內(nèi)外網(wǎng)補(bǔ)丁 下載 安裝情況的監(jiān)管 加強(qiáng)各種典型漏洞 補(bǔ)丁的測(cè)試驗(yàn)證及整改工作 九 加強(qiáng)惡意代碼及病毒防范管理 加強(qiáng)對(duì)特種木馬的監(jiān)測(cè) 確?？蛻舳朔啦《拒浖姘惭b 嚴(yán)格要 求內(nèi)網(wǎng)病毒庫(kù)的升級(jí)頻率 加強(qiáng)病毒監(jiān)測(cè) 預(yù)警 分析及通報(bào)力度 對(duì)使用的移動(dòng)設(shè)備必須進(jìn)行病毒木馬 查殺 十 加強(qiáng)遠(yuǎn)程運(yùn)維管理 不得通過(guò)互聯(lián)網(wǎng)或信息外網(wǎng)遠(yuǎn)程運(yùn)維方式進(jìn)行設(shè)備和系統(tǒng)的維護(hù)及技術(shù)支持工 作 內(nèi)網(wǎng)遠(yuǎn)程運(yùn)維要履行審批程序 并對(duì)各項(xiàng)操作進(jìn)行監(jiān)控 記錄和審計(jì) 有國(guó)外單位參與的運(yùn)維操作需 安排在測(cè)試仿真環(huán)境 禁止在生產(chǎn)環(huán)境進(jìn)行 十一 規(guī)范變更計(jì)劃 變更操作審批流程 變更測(cè)試 變更恢復(fù)預(yù)案等工作 嚴(yán)格系統(tǒng)變更 系統(tǒng)重要 操作 物理訪問(wèn)和系統(tǒng)接入申報(bào)和審批程序 嚴(yán)格執(zhí)行工作票和操作票制度 加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)檢修過(guò) 程安全管理 預(yù)防網(wǎng)絡(luò)與信息系統(tǒng)損壞和事故發(fā)生 十二 加強(qiáng)安全審計(jì)工作 實(shí)現(xiàn)對(duì)主機(jī) 數(shù)據(jù)庫(kù) 業(yè)務(wù)應(yīng)用等多個(gè)層次集中 全面 細(xì)粒度安全審計(jì) 提高審計(jì)記錄的統(tǒng)計(jì)匯總 綜合分析能力 做到事前 事中 事后的問(wèn)題追溯 十三 明確備份及恢復(fù)策略 嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過(guò)程 重要系統(tǒng)和數(shù)據(jù)備份需納入公司統(tǒng)一的災(zāi) 備系統(tǒng) 十四 涉及敏感信息的系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)部署于信息內(nèi)網(wǎng) 同時(shí)加強(qiáng)對(duì)重要地理信息 客戶信息等的安全存 儲(chǔ)和安全傳輸?shù)却胧┑穆鋵?shí) 十五 電力通信網(wǎng)的光纜使用年限一般不應(yīng)超過(guò)設(shè)計(jì)要求 超過(guò)設(shè)計(jì)年限要求的光纜應(yīng)加強(qiáng)監(jiān)測(cè) 第四章 技術(shù)措施 第二十八條 物理安全技術(shù)工作要求如下 一 嚴(yán)格執(zhí)行信息通信機(jī)房管理有關(guān)規(guī)范 確保機(jī)房運(yùn)行環(huán)境符合要求 室內(nèi)機(jī)房物理環(huán)境安全需滿足 對(duì)應(yīng)信息系統(tǒng)等級(jí)的等級(jí)保護(hù)物理安全要求 室外設(shè)備物理安全需滿足國(guó)家對(duì)于防盜 電氣 環(huán)境 噪音 電磁 機(jī)械結(jié)構(gòu) 銘牌 防腐蝕 防火 防雷 電源等要求 四級(jí)及以上系統(tǒng)應(yīng)對(duì)關(guān)鍵區(qū)域?qū)嵤╇姶牌帘?措施 二 加強(qiáng)辦公區(qū)域安全管理 員工離開(kāi)辦公區(qū)域要及時(shí)鎖定桌面終端計(jì)算機(jī)屏幕 防止外來(lái)人員接觸辦 公區(qū)域電子信息 三 重要通信設(shè)備應(yīng)滿足硬件冗余需求 如主控板卡 時(shí)鐘板卡 電源板卡 交叉板卡 支路板卡等 至少滿足 1 1 冗余需求 一些重要板卡需滿足 1 N 冗余需求 四 通信電源應(yīng)滿足電力系統(tǒng)重要業(yè)務(wù) 雙電源 冗余要求 電力系統(tǒng)重要業(yè)務(wù)應(yīng)配置兩套獨(dú)立的通信設(shè) 備 具備兩條獨(dú)立的路由 并分別由兩套獨(dú)立的電源供電 兩套通信設(shè)備和兩套電源在物理上應(yīng)完全隔離 第二十九條 網(wǎng)絡(luò)安全技術(shù)工作要求如下 一 電力通信網(wǎng)的數(shù)據(jù)網(wǎng)劃分為電力調(diào)度數(shù)據(jù)網(wǎng) 綜合數(shù)據(jù)通信網(wǎng) 分別承載不同類(lèi)型的業(yè)務(wù)系統(tǒng) 電 力調(diào)度數(shù)據(jù)網(wǎng)與綜合數(shù)據(jù)網(wǎng)之間應(yīng)在物理層面上實(shí)現(xiàn)安全隔離 二 加強(qiáng)信息內(nèi)外網(wǎng)架構(gòu)管控 做好分區(qū)分域安全防護(hù) 進(jìn)一步提升用戶服務(wù)體驗(yàn) 公司管理信息大區(qū) 劃分為信息外網(wǎng)和信息內(nèi)網(wǎng) 信息內(nèi)外網(wǎng)采用邏輯強(qiáng)隔離設(shè)備進(jìn)行安全隔離 信息內(nèi)外網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)分 類(lèi)劃分不同業(yè)務(wù)區(qū) 各業(yè)務(wù)區(qū)按照信息系統(tǒng)防護(hù)等級(jí)以及業(yè)務(wù)系統(tǒng)類(lèi)型進(jìn)一步劃分安全域 加強(qiáng)區(qū)域間用 戶訪問(wèn)控制 按最小化原則設(shè)置用戶訪問(wèn)暴露面 防止非授權(quán)的跨域訪問(wèn) 實(shí)現(xiàn)業(yè)務(wù)分區(qū)分域管理 三 按照公司總體安全防護(hù)要求 結(jié)合電力通信網(wǎng)各類(lèi)網(wǎng)絡(luò)邊界特點(diǎn) 嚴(yán)格按照公司要求落實(shí)訪問(wèn)控制 流量控制 入侵檢測(cè) 防護(hù) 內(nèi)容審計(jì)與過(guò)濾 防隱性邊界 惡意代碼過(guò)濾等安全技術(shù)措施 防范跨域跨 邊界非法訪問(wèn)及攻擊 防范惡意代碼傳播 不得從任何公共網(wǎng)絡(luò)直接接入公司內(nèi)部網(wǎng)絡(luò) 禁止內(nèi) 外網(wǎng)接 入通道混用 四 加強(qiáng)互聯(lián)網(wǎng)邊界及對(duì)外業(yè)務(wù)系統(tǒng)安全防護(hù) 進(jìn)一步提升針對(duì)互聯(lián)網(wǎng)出口 DDoS 等典型網(wǎng)絡(luò)攻擊以及 特種病毒木馬的防范能力 提高信息外網(wǎng)可靠性及安全性 五 深化信息內(nèi)外網(wǎng)邊界安全防護(hù) 加強(qiáng)內(nèi)外網(wǎng)數(shù)據(jù)交互安全過(guò)濾 保障關(guān)鍵應(yīng)用快速穿透和信息安全 交互 滿足客戶服務(wù)及時(shí)響應(yīng)需求 六 加強(qiáng)對(duì)信息內(nèi)外網(wǎng)專(zhuān)線的安全防護(hù) 對(duì)于與銀行等外部單位互聯(lián)的專(zhuān)線要部署邏輯強(qiáng)隔離措施 設(shè) 置訪問(wèn)控制策略 進(jìn)行內(nèi)容監(jiān)測(cè)與審計(jì) 只容許指定的 可信的網(wǎng)絡(luò)及用戶才能進(jìn)行數(shù)據(jù)交換 七 加強(qiáng)信息內(nèi)網(wǎng)遠(yuǎn)程接入邊界安全防護(hù) 對(duì)于采用無(wú)線專(zhuān)網(wǎng)接入公司內(nèi)部網(wǎng)絡(luò)的采集等業(yè)務(wù)應(yīng)用 應(yīng) 在網(wǎng)絡(luò)邊界部署公司統(tǒng)一安全接入防護(hù)措施 建立專(zhuān)用加密傳輸通道 并結(jié)合公司統(tǒng)一數(shù)字證書(shū)體系進(jìn)行 防護(hù) 八 信息內(nèi)網(wǎng)禁止使用無(wú)線網(wǎng)絡(luò)組網(wǎng) 九 信息外網(wǎng)用無(wú)線組網(wǎng)的單位 應(yīng)強(qiáng)化無(wú)線網(wǎng)絡(luò)安全防護(hù)措施 無(wú)線網(wǎng)絡(luò)要啟用網(wǎng)絡(luò)接入控制和身份 認(rèn)證 進(jìn)行 IP MAC 地址綁定 應(yīng)用高強(qiáng)度加密算法 防止無(wú)線網(wǎng)絡(luò)被外部攻擊者非法進(jìn)入 確保無(wú)線網(wǎng) 絡(luò)安全 第三十條 終端安全技術(shù)工作要求如下 一 辦公計(jì)算機(jī)嚴(yán)格執(zhí)行 涉密不上網(wǎng) 上網(wǎng)不涉密 紀(jì)律 嚴(yán)禁將涉及國(guó)家秘密的計(jì)算機(jī) 存儲(chǔ)設(shè)備與 信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡(luò)連接 嚴(yán)禁在信息內(nèi)網(wǎng)計(jì)算機(jī)存儲(chǔ) 處理國(guó)家秘密信息 嚴(yán)禁在連接互聯(lián) 網(wǎng)的計(jì)算機(jī)上處理 存儲(chǔ)涉及國(guó)家秘密和企業(yè)秘密信息 嚴(yán)禁信息內(nèi)網(wǎng)和信息外網(wǎng)計(jì)算機(jī)交叉使用 嚴(yán)禁 普通移動(dòng)存儲(chǔ)介質(zhì)和掃描儀 打印機(jī)等計(jì)算機(jī)外設(shè)在信息內(nèi)網(wǎng)和信息外網(wǎng)上交叉使用 涉密計(jì)算機(jī)按照公 司辦公計(jì)算機(jī)保密管理規(guī)定進(jìn)行管理 二 信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)應(yīng)分別部署于信息內(nèi)外網(wǎng)桌面終端安全域 桌面終端安全域應(yīng)采取 IP MAC 綁定 安全準(zhǔn)入管理 訪問(wèn)控制 入侵檢測(cè) 病毒防護(hù) 惡意代碼過(guò)濾 補(bǔ)丁管理 事件審計(jì) 桌面資產(chǎn) 管理等措施進(jìn)行安全防護(hù) 三 信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)終端須安裝桌面終端管理系統(tǒng) 保密檢測(cè)系統(tǒng) 防病毒等客戶端軟件 嚴(yán)格 按照公司要求設(shè)置基線策略 并及時(shí)進(jìn)行病毒庫(kù)升級(jí)以及補(bǔ)丁更新 嚴(yán)禁未通過(guò)本單位信息通信管理部門(mén) 審核以及中國(guó)電科院的信息安全測(cè)評(píng)認(rèn)定工作 相關(guān)部門(mén)和個(gè)人在信息內(nèi)外網(wǎng)擅自安裝具有拒絕服務(wù) 網(wǎng) 絡(luò)掃描 遠(yuǎn)程控制和信息搜集等功能的軟件 惡意軟件 防范引發(fā)的安全風(fēng)險(xiǎn) 如確需安裝 應(yīng)履行相 關(guān)程序 四 對(duì)于不具備信息內(nèi)網(wǎng)專(zhuān)線接入條件 通過(guò)公司統(tǒng)一安全防護(hù)措施接入信息內(nèi)網(wǎng)的信息采集類(lèi) 移動(dòng) 作業(yè)類(lèi)終端 需嚴(yán)格執(zhí)行公司辦公終端 嚴(yán)禁內(nèi)外網(wǎng)機(jī)混用 的原則 同時(shí)接入信息內(nèi)網(wǎng)終端在遵循公司現(xiàn) 有終端安全防護(hù)要求的基礎(chǔ)上 要安裝終端安全專(zhuān)控軟件進(jìn)行安全加固 并通過(guò)安全加密卡進(jìn)行認(rèn)證 確 保其不能連接信息外網(wǎng)和互聯(lián)網(wǎng) 第三十一條 主機(jī)安全技術(shù)工作要求如下 一 對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和鑒別 具有登錄失敗處理 限制非法登錄次數(shù) 設(shè)置 連接超時(shí)功能 二 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶應(yīng)進(jìn)行訪問(wèn)權(quán)限分離 對(duì)訪問(wèn)權(quán)限一致的用戶進(jìn)行分組 訪問(wèn)控制 粒度應(yīng)達(dá)到主體為用戶級(jí) 客體為文件 數(shù)據(jù)庫(kù)表級(jí) 禁止匿名用戶訪問(wèn) 三 加強(qiáng)補(bǔ)丁的兼容性和安全性測(cè)試 確保操作系統(tǒng) 中間件 數(shù)據(jù)庫(kù)等基礎(chǔ)平臺(tái)軟件補(bǔ)丁升級(jí)安全 四 加強(qiáng)主機(jī)服務(wù)器病毒防護(hù) 安裝防病毒軟件 及時(shí)更新病毒庫(kù) 第三十二條 應(yīng)用安全技術(shù)工作要求如下 一 強(qiáng)化用戶登陸身份認(rèn)證功能 采用用戶名及口令進(jìn)行認(rèn)證時(shí) 應(yīng)當(dāng)對(duì)口令長(zhǎng)度 復(fù)雜度 生存周期 進(jìn)行強(qiáng)制要求 系統(tǒng)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能 禁止口令在系統(tǒng)中以明文形式 存儲(chǔ) 系統(tǒng)應(yīng)當(dāng)提供制定用戶登錄錯(cuò)誤鎖定 會(huì)話超時(shí)退出等安全策略的功能 二 規(guī)范應(yīng)用系統(tǒng)權(quán)限的設(shè)計(jì)與使用 實(shí)現(xiàn)用戶 組織 角色 權(quán)限信息統(tǒng)一集中管理 權(quán)限分配應(yīng)按 照最小權(quán)限原則 審核角色 系統(tǒng)管理角色 業(yè)務(wù)操作角色 賬號(hào)創(chuàng)建角色與權(quán)限分配角色等應(yīng)按照互斥 原則設(shè)置權(quán)限 三 根據(jù)信息系統(tǒng)安全級(jí)別強(qiáng)化應(yīng)用自身安全設(shè)計(jì) 應(yīng)包括身份認(rèn)證 授權(quán) 輸入輸出驗(yàn)證 配置管理 會(huì)話管理 加密技術(shù) 參數(shù)操作 異常管理 日志及審計(jì)等方面內(nèi)容 四 控制單個(gè)用戶的多重并發(fā)會(huì)話和最大并發(fā)連接數(shù) 限制單個(gè)用戶對(duì)系統(tǒng)資源 磁盤(pán)空間的最大或最 小使用限度 當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí) 應(yīng)能檢測(cè)并報(bào)警 五 加強(qiáng)郵件敏感內(nèi)容檢查 郵件病毒查殺 外網(wǎng)郵件行為監(jiān)測(cè) 社會(huì)郵箱收發(fā)件統(tǒng)計(jì)等安全措施 防 范郵件系統(tǒng)攻擊及郵件泄密 六 具有控制功能的系統(tǒng)或模塊 控制類(lèi)信息必須通過(guò)生產(chǎn)控制大區(qū)網(wǎng)絡(luò)或?qū)＞€傳輸 嚴(yán)格遵守電力二 次系統(tǒng)安全防護(hù)方案 實(shí)現(xiàn)系統(tǒng)主站與終端間基于國(guó)家認(rèn)可密碼算法的加密通信 基于數(shù)字證書(shū)體系的身 份認(rèn)證 對(duì)主站的控制命令和參數(shù)設(shè)置指令須采取強(qiáng)身份認(rèn)證及數(shù)據(jù)完整性驗(yàn)證等安全防護(hù)措施 七 對(duì)與互聯(lián)網(wǎng)有廣泛交互的應(yīng)用系統(tǒng)或模塊 以及部署在信息外網(wǎng)的系統(tǒng)與網(wǎng)站 要加強(qiáng)權(quán)限管理 做好主機(jī) 應(yīng)用的安全加固 加強(qiáng)賬號(hào) 密碼 重要數(shù)據(jù)等加密存儲(chǔ) 對(duì)需要穿透訪問(wèn)信息內(nèi)網(wǎng)的數(shù)據(jù)或 服務(wù) 嚴(yán)格限制訪問(wèn)數(shù)據(jù)的格式 過(guò)濾必要的特殊字符組合以防止注入攻擊 建立常態(tài)外網(wǎng)安全巡檢 加 固 檢修以及應(yīng)急演練等工作機(jī)制 做好日常網(wǎng)站備份工作 八 具有采集功能的系統(tǒng)或模塊 根據(jù)采集信息的保密性 在采用公司專(zhuān)線 光纖 載波等 接入內(nèi)網(wǎng) 進(jìn)行信息采集時(shí) 應(yīng)采用身份認(rèn)證和訪問(wèn)控制措施 不具備專(zhuān)線條件時(shí) 應(yīng)在虛擬專(zhuān)網(wǎng)基礎(chǔ)上采用終端身 份認(rèn)證 訪問(wèn)控制措施 建立加密傳輸通道進(jìn)行信息采集 要加強(qiáng)對(duì)采集終端存儲(chǔ)和處理敏感業(yè)務(wù)數(shù)據(jù)的 安全防護(hù) 以保證業(yè)務(wù)數(shù)據(jù)的保密性和完整性 第三十三條 數(shù)據(jù)安全技術(shù)工作要求如下 一 從終端 網(wǎng)絡(luò)以及存儲(chǔ)三個(gè)層面加強(qiáng)對(duì)敏感數(shù)據(jù)進(jìn)行檢測(cè)與分析 實(shí)現(xiàn)對(duì)公司各種敏感數(shù)據(jù)存儲(chǔ) 數(shù)據(jù)操作權(quán)限 數(shù)據(jù)外發(fā)等進(jìn)行安全保護(hù)與控制 二 重要和敏感信息 如商密定級(jí)文件 公司 OA 公文 電子文件等 實(shí)行加密傳輸 授權(quán)控制 操作 審計(jì)及監(jiān)控 對(duì)重要信息實(shí)行自動(dòng) 定期備份 按需進(jìn)行恢復(fù)測(cè)試 確保備份數(shù)據(jù)的可用性 三 嚴(yán)格落實(shí)公司電子數(shù)據(jù)恢復(fù) 擦除與銷(xiāo)毀管理技術(shù)要求 加強(qiáng)處理過(guò)程中的存儲(chǔ)介質(zhì)管理 全程現(xiàn) 場(chǎng)監(jiān)控以及安全保密等工作 第三十四條 深化信息安全監(jiān)測(cè)手段 擴(kuò)展監(jiān)控范圍 實(shí)現(xiàn)對(duì)各類(lèi)網(wǎng)絡(luò)及邊界 網(wǎng)站及應(yīng)用系統(tǒng) 終端以 及密鑰使用情況等的全方位 實(shí)時(shí)安全監(jiān)控 做好信息安全監(jiān)測(cè)預(yù)警 指標(biāo)發(fā)布及深化治理工作 第三十五條 電網(wǎng)工業(yè)控制系統(tǒng)應(yīng)納入電力二次系統(tǒng)管理 加強(qiáng)電網(wǎng)工業(yè)控制系統(tǒng)安全保障工作 推進(jìn)工 業(yè)控制系統(tǒng)安全檢測(cè)技術(shù)研究和工具研發(fā) 做好電網(wǎng)工控系統(tǒng)安全測(cè)評(píng) 關(guān)鍵設(shè)備安全檢測(cè)及防護(hù)整改等 工作 進(jìn)一步提高漏洞分析 漏洞發(fā)布 隱患排查和應(yīng)急處理能力 第三十六條 加強(qiáng)云計(jì)算 物聯(lián)網(wǎng) 可信計(jì)算 下一代互聯(lián)網(wǎng)等方面的信息安全技術(shù)研究與應(yīng)用 強(qiáng)化對(duì) 新技術(shù)的檢測(cè) 驗(yàn)證 評(píng)估及審核 超前分析新技術(shù)應(yīng)用帶來(lái)的安全風(fēng)險(xiǎn)和隱患 提前采取措施予以防范 不得采用與公司信息安全策略與要求相違背的信息通信技術(shù) 不得應(yīng)用存在信息安全隱患的新技術(shù) 第三十七條 針對(duì)暴露面及新型安全威脅 圍繞隱患發(fā)現(xiàn) 防護(hù)處置 監(jiān)測(cè)對(duì)抗 應(yīng)急恢復(fù)等能力 建立 穩(wěn)定 專(zhuān)業(yè)的技術(shù)支撐隊(duì)伍 從研發(fā)安全 安全檢測(cè) 防病毒管理 統(tǒng)一密鑰管理 漏洞補(bǔ)丁管理 紅藍(lán) 對(duì)抗 安全監(jiān)控 應(yīng)急恢復(fù) 新技術(shù)研究與架構(gòu)設(shè)計(jì)等方面開(kāi)展專(zhuān)項(xiàng)技防能力建設(shè) 實(shí)現(xiàn)技術(shù)手段和管理 措施的有效融合 實(shí)現(xiàn)內(nèi)外部綜合協(xié)同 資源共享和整體聯(lián)動(dòng) 提升公司信息安全協(xié)同防御和體系對(duì)抗能 力 第五章 檢查考核 第三十八條 各級(jí)單位應(yīng)建立網(wǎng)絡(luò)與信息系統(tǒng)安全檢查考核機(jī)制 根據(jù)工作需要 制定科學(xué) 規(guī)范的檢查 考核指標(biāo)體系 第六章 附 則 第三十九條 本辦法由國(guó)網(wǎng)信通部負(fù)責(zé)解釋并監(jiān)督執(zhí)行 第四十條 本辦法自 2014 年 11 月 1 日起施行 原 國(guó)家電網(wǎng)公司信息系統(tǒng)安全管理辦法 國(guó)家電網(wǎng)信 息 2008 201 號(hào) 國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度 信息技術(shù) 2007 65 號(hào) 同時(shí)廢止 附件 1 國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)規(guī)范 一 總則 一 為加強(qiáng)國(guó)家電網(wǎng)公司 以下簡(jiǎn)稱(chēng) 公司 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行管理 進(jìn)一步規(guī)范完善公司網(wǎng)絡(luò) 與信息系統(tǒng)安全運(yùn)行情況通報(bào)工作 有效保障通報(bào)工作有序開(kāi)展 切實(shí)落實(shí)上情下達(dá) 下情上達(dá) 協(xié)調(diào)和 服務(wù)保障的任務(wù) 依據(jù) 電力行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法 中央企業(yè)網(wǎng)絡(luò)與信息安全信息 通報(bào)工作指導(dǎo)意見(jiàn) 試行 制定本規(guī)范 二 本規(guī)范所指網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況是指信息網(wǎng)絡(luò)和系統(tǒng)故障和癱瘓 信息系統(tǒng)數(shù)據(jù)丟失和信 息泄密 信息系統(tǒng)受到病毒感染和惡意滲透 攻擊 有害信息在網(wǎng)站傳播等信息安全事件以及跟蹤發(fā)現(xiàn)的 外部信息安全輿情 三 本規(guī)范適用于公司總 分 部及所屬各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)管理工作 四 公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)工作按照 誰(shuí)主管誰(shuí)負(fù)責(zé) 誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé) 的工作原則 實(shí)行 統(tǒng)一領(lǐng)導(dǎo) 分級(jí)管理 逐級(jí)上報(bào) 的工作方針 以加強(qiáng)公司各級(jí)單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行的信息共享 和統(tǒng)一應(yīng)急處置工作 二 職責(zé)分工 一 國(guó)網(wǎng)信通部負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的歸口管理工作 主要職責(zé) 1 負(fù)責(zé)建立公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的規(guī)章制度 并督促執(zhí)行 2 負(fù)責(zé)與國(guó)家有關(guān)部門(mén)建立聯(lián)系 及時(shí)接收和轉(zhuǎn)發(fā)國(guó)家有關(guān)部門(mén)發(fā)布的信息通報(bào) 并按時(shí)向國(guó)家有關(guān) 部門(mén)報(bào)送相關(guān)材料 3 負(fù)責(zé)匯總總部電力二次系統(tǒng) 電力通信骨干網(wǎng)絡(luò) 總部信息系統(tǒng) 以及公司各單位的安全運(yùn)行情況 通報(bào) 4 負(fù)責(zé)建立與國(guó)家有關(guān)部門(mén)的信息安全通報(bào)聯(lián)系 對(duì)于重大事件啟動(dòng)聯(lián)合應(yīng)急機(jī)制 并協(xié)調(diào)國(guó)家相關(guān) 部門(mén)協(xié)助處置 二 國(guó)調(diào)中心負(fù)責(zé)匯總公司范圍內(nèi)有關(guān)電力二次系統(tǒng)安全運(yùn)行情況 并抄送國(guó)網(wǎng)信通部歸口統(tǒng)計(jì) 三 國(guó)網(wǎng)信通公司負(fù)責(zé)將電力通信骨干網(wǎng)絡(luò)和總部信息系統(tǒng)安全運(yùn)行情況匯總報(bào)送國(guó)網(wǎng)信通部和國(guó)網(wǎng)運(yùn) 監(jiān)中心 并將電力通信骨干網(wǎng)絡(luò)安全運(yùn)行情況抄送給國(guó)調(diào)中心 四 公司各級(jí)單位信息通信管理部門(mén)負(fù)責(zé)本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的歸口管理工 作 主要職責(zé) 1 負(fù)責(zé)建立本單位信息安全通報(bào)工作體系 落實(shí)通報(bào)負(fù)責(zé)人 聯(lián)絡(luò)員及后備聯(lián)絡(luò)員等相關(guān)人員與職責(zé) 各級(jí)單位要指定一名負(fù)責(zé)人 一名聯(lián)絡(luò)員和一名后備聯(lián)絡(luò)員 填寫(xiě)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào) 基本情況備案表 見(jiàn)附表一 并報(bào)送上級(jí)主管部門(mén)備案 聯(lián)絡(luò)人員聯(lián)系方式如有變動(dòng) 應(yīng)及時(shí)報(bào)告國(guó)上 級(jí)主管部門(mén) 2 負(fù)責(zé)結(jié)合實(shí)際情況 建立本單位信息安全通報(bào)的規(guī)章制度 并督促執(zhí)行 3 負(fù)責(zé)匯總本單位范圍內(nèi)電力通信網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行情況 按時(shí)按需向上級(jí)主管部門(mén)報(bào)送本 單位快報(bào) 月報(bào) 年報(bào) 特殊時(shí)期信息安全日?qǐng)?bào) 安全事件專(zhuān)報(bào) 4 負(fù)責(zé)匯總本單位發(fā)現(xiàn)的信息安全事件和突發(fā)工作 如公安機(jī)關(guān)檢查情況 以及跟蹤發(fā)現(xiàn)的外部信 息安全輿情 并報(bào)送至上級(jí)主管部門(mén) 5 負(fù)責(zé)匯總本單位信息安全重點(diǎn)工作開(kāi)展情況 突出本單位特色 自行開(kāi)展的信息安全工作 以及對(duì) 公司信息安全工作建議 并報(bào)送至上級(jí)主管部門(mén) 6 負(fù)責(zé)總結(jié)本單位信息安全工作典型經(jīng)驗(yàn) 并報(bào)送至上級(jí)主管部門(mén) 7 負(fù)責(zé)向下級(jí)單位轉(zhuǎn)發(fā)國(guó)網(wǎng)信通部發(fā)布的各類(lèi)信息安全事件通報(bào) 預(yù)警通報(bào) 負(fù)責(zé)接收 匯總反饋情 況 報(bào)送至上級(jí)主管部門(mén) 五 公司各級(jí)單位調(diào)度部門(mén)按照電力二次系統(tǒng)信息報(bào)送要求 將本單位電力二次系統(tǒng)安全運(yùn)行情況上報(bào) 國(guó)調(diào)中心 遇重大 緊急突發(fā)安全事件時(shí) 抄送給信息通信管理部門(mén) 六 中國(guó)電科院負(fù)責(zé)對(duì)總部范圍內(nèi)信息安全通報(bào)相關(guān)工作提供技術(shù)支持 并協(xié)助開(kāi)展安全事件 安全隱 患 安全漏洞 安全輿情的分析 研判等工作 八 省公司督查隊(duì)伍負(fù)責(zé)對(duì)本省內(nèi)信息安全通報(bào)相關(guān)工作提供技術(shù)支持 并協(xié)助開(kāi)展安全事件 安全隱 患 安全漏洞 安全輿情的分析 研判等工作 三 內(nèi)容及分類(lèi) 一 網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報(bào)內(nèi)容主要包括 1 電子公告服務(wù) 群發(fā)電子郵件以及廣播式即時(shí)通信等網(wǎng)絡(luò)服務(wù)中反動(dòng)有害信息的傳播情況 2 利用網(wǎng)絡(luò)從事違法犯罪活動(dòng)的情況 3 已經(jīng)確定或可能發(fā)生的計(jì)算機(jī)病毒 網(wǎng)絡(luò)攻擊情況 4 網(wǎng)絡(luò)恐怖活動(dòng)的嫌疑情況和預(yù)警信息 5 網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常 網(wǎng)絡(luò)和信息癱瘓 應(yīng)用服務(wù)中斷或數(shù)據(jù)纂改 丟失等情況 6 網(wǎng)絡(luò)安全狀況 安全形勢(shì)分析預(yù)測(cè)等信息 7 跟蹤發(fā)現(xiàn)的各類(lèi)外部信息安全輿情 8 其他影響網(wǎng)絡(luò)與信息安全的信息 二 網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報(bào)分為快報(bào) 月報(bào) 年報(bào) 特殊時(shí)期安全運(yùn)行日?qǐng)?bào)以及安全事件專(zhuān) 報(bào) 三 公司各級(jí)單位的網(wǎng)絡(luò)與信息系統(tǒng)在運(yùn)行過(guò)程中如出現(xiàn)以下任一情形 需填寫(xiě)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn) 行快報(bào) 格式見(jiàn)附表二 并逐級(jí)上報(bào) 相關(guān)情形包括 1 網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生嚴(yán)重故障和癱瘓 2 信息系統(tǒng)重要數(shù)據(jù)丟失和信息泄密 3 信息系統(tǒng)受到較大面積病毒感染和惡意滲透 攻擊 4 有害信息在網(wǎng)站較大面積傳播 5 其他較嚴(yán)重或上級(jí)部門(mén)指定以快報(bào)形式上報(bào)的信息安全事件 四 公司各級(jí)單位每月需填寫(xiě)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào) 格式見(jiàn)附表三 并上報(bào)上級(jí)主管部門(mén) 月報(bào)應(yīng)包括以下內(nèi)容 1 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行指標(biāo)情況及分析 2 網(wǎng)絡(luò)與信息系統(tǒng)安全信息情況 3 安全事件統(tǒng)計(jì)與分析 4 本月網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行工作開(kāi)展情況 5 對(duì)公司信息安全工作建議 五 公司各級(jí)單位每年需進(jìn)行年度總結(jié)報(bào)告 以下簡(jiǎn)稱(chēng)年報(bào) 并以書(shū)面形式上報(bào)上級(jí)主管部門(mén) 年報(bào) 應(yīng)包括以下內(nèi)容 1 負(fù)責(zé)運(yùn)行維護(hù)的設(shè)備和信息系統(tǒng)的基本情況 2 安全與運(yùn)行管理工作簡(jiǎn)況 3 年度信息安全與運(yùn)行指標(biāo)工作總結(jié)與分析 要對(duì)信息系統(tǒng)的主要設(shè)備 事故 障礙 故障和異常情 況及原因進(jìn)行統(tǒng)計(jì) 匯總和分析 4 對(duì)影響設(shè)備和信息系統(tǒng)安全運(yùn)行的主要原因和問(wèn)題進(jìn)行分析 5 下一年度安全與運(yùn)行擬開(kāi)展的重點(diǎn)工作 六 根據(jù)國(guó)家有關(guān)規(guī)定公司在特殊時(shí)期執(zhí)行日?qǐng)?bào)告制度 公司各級(jí)單位在接到相關(guān)通知后 根據(jù)制度要 求及時(shí)向上級(jí)主管部門(mén)報(bào)送網(wǎng)絡(luò)與信息系統(tǒng)特殊時(shí)期安全運(yùn)行日?qǐng)?bào) 格式見(jiàn)附表四 其中如未發(fā)生異常 情況 仍要以日?qǐng)?bào)形式進(jìn)行平安報(bào)告 在此期間 國(guó)網(wǎng)信通部負(fù)責(zé)每日對(duì)公司各單位信息安全報(bào)告進(jìn)行匯 總 分析 研判 并將結(jié)果及時(shí)報(bào)送國(guó)家有關(guān)單位 七 中國(guó)電科院需向公司信通部報(bào)送各類(lèi)信息安全事件專(zhuān)報(bào) 專(zhuān)報(bào)包括 1 信息安全監(jiān)測(cè)深度分析 根據(jù)當(dāng)月信息安全監(jiān)測(cè)情況 基于數(shù)字分析公司整體信息安全情況 總結(jié) 存在的信息安全隱患問(wèn)題以及監(jiān)測(cè)工作本身的不足 并提出相關(guān)建議 2 信息安全監(jiān)測(cè)發(fā)現(xiàn)重大事件 對(duì)信息安全監(jiān)測(cè)發(fā)現(xiàn)的重大事件進(jìn)行分析 并提出解決建議 3 信息安全事件分析 不定期跟蹤公司及外部信息安全重大事件和典型事件 分析事件成因 問(wèn)題 以及對(duì)公司信息安全工作的啟示和舉措 4 信息安全輿情跟蹤 雙周跟蹤國(guó)內(nèi)外信息安全事件 漏洞 政策 會(huì)議 技術(shù)等輿情 5 新技術(shù) 新應(yīng)用 新業(yè)務(wù)信息安全情況分析 不定期跟蹤新技術(shù) 新應(yīng)用 新業(yè)務(wù)在公司的開(kāi)展情 況 分析其中信息安全情況 并提出相關(guān)建議 四 報(bào)送要求 一 公司各級(jí)單位通過(guò)公司信息通信業(yè)務(wù)管理系統(tǒng)上報(bào)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào) 日?qǐng)?bào) 安全運(yùn)行 快報(bào)主要通過(guò)電子郵件和傳真報(bào)送 二 公司各級(jí)單位在執(zhí)行快報(bào)上報(bào)時(shí) 需在二十四小時(shí)內(nèi)完成上報(bào)工作 特別緊急情況需第一時(shí)間通過(guò) 電話等方式立即向國(guó)網(wǎng)信通部相關(guān)負(fù)責(zé)人員做口頭匯報(bào) 三 公司各級(jí)單位需在每個(gè)月前兩個(gè)工作日內(nèi)完成上個(gè)月的月報(bào)上報(bào)工作 國(guó)網(wǎng)信通部對(duì)公司的安全運(yùn) 行情況匯總分析后 于第三個(gè)工作日將公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況報(bào)送國(guó)家相關(guān)單位 四 公司各級(jí)單位的年報(bào)工作與本年度最后一期月報(bào)一并上報(bào) 五 公司各級(jí)單位應(yīng)及時(shí) 全面 準(zhǔn)確報(bào)送信息 不得瞞報(bào) 緩報(bào) 謊報(bào)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況 六 公司各級(jí)單位應(yīng)按照國(guó)家保密規(guī)定 做好本單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)的保密工作 附表一 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)基本情況備案表 單位名稱(chēng) 責(zé)任部門(mén) 安全運(yùn)行情況通報(bào)負(fù)責(zé)人 姓名 職務(wù) 郵編 信通地址 電話 手機(jī) 電子郵件 安全運(yùn)行情況通報(bào)聯(lián)絡(luò)人 姓名 職務(wù) 郵編 信通地址 電話 手機(jī) 電子郵件 后備聯(lián)絡(luò)人 姓名 職務(wù) 郵編 信通地址 電話 手機(jī) 電子郵件 其他聯(lián)絡(luò)人 填表說(shuō)明 審核人 批準(zhǔn)人 填表人 填報(bào)時(shí)間 附表二 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行快報(bào) 報(bào)告單位 報(bào)告時(shí)間 事件起止時(shí)間 自 年 月 日至 年 月 日 審核人 批準(zhǔn)人 報(bào)告人 通信方式 事件簡(jiǎn)單描述 事件影響范圍和危害程度初步估計(jì) 處置措施和初步結(jié)果 備注 附表三 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào) 單位名稱(chēng) 報(bào)告時(shí)間 系統(tǒng)運(yùn)行期間 起始日期 截止日期 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行指標(biāo)情況及分析 網(wǎng)絡(luò)與信息系統(tǒng)安全信息情況 安全審計(jì)統(tǒng)計(jì)與分析 本月網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行工作開(kāi)展情況 備注 審核人 批準(zhǔn)人 報(bào)告人 通信方式 附表四 網(wǎng)絡(luò)與信息系統(tǒng)特殊時(shí)期安全運(yùn)行日?qǐng)?bào) 單位名稱(chēng) 報(bào)告時(shí)間 系統(tǒng)運(yùn)行期間 年 月 日 網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行狀況描述 發(fā)生的網(wǎng)絡(luò)與信息系統(tǒng)事件描述 時(shí)間 類(lèi)型 起因與過(guò)程 影響范圍 損失及危害情況 分析研判結(jié)果 整改措施 備注 審核人 批準(zhǔn)人 報(bào)告人 通信 方式