公司计算机系统安全管理标准

公司计算机系统安全管理标准1 范围1.1本标准规定了宜昌远安供电公司计算机系统安全管理职能、管理内容与要求。 1.2本标准适用于宜昌远安供电公司计算机系统安全管理工作。 2引用标准2.1 国家电力公司管理信息系统实用化导则（试行）2.2 国家电力公司信息网运行管理暂行规定2.3 电力部关于加强电力信息系统建设和管理的若干规定2.4 湖北省电力公司供电企业管理信息系统实用化验收细则2.5 湖北省电力公司广域网管理暂行规定2.6 湖北省电力信息网安全保密管理办法（讨论稿）2.7 湖北省电力办公自动化系统运行管理办法2.8 湖北省电力信息网Web站点设计及运行规范（讨论稿）2.9宜昌供电局计算机应用管理办法3 管理职能3.1计算机系统（含网络系统及单机系统）的安全运行，是我公司安全生产的一个重要内容，公司调度信息中心在公司信息化工作领导小组的领导下，负责全公司计算机系统的安全运行工作。各基层单位的计算机专责人在分管领导的领导下，负责各基层单位的计算机系统的安全运行。各计算机系统的运行专责在公司调度信息中心及专责人的指导下，对该计算机系统安全运行承担直接责任。 3.2 计算机系统安全管理包括机房及硬件设备的安全管理、系统数据资源的安全保护、计算机病毒的防治、黑客非法入侵防治、及防止信息系统滥用、盗用等内容。4 管理内容与要求4.1计算机系统安全管理工作目标是防止非法入侵、人为事故、计算机病毒等事件的发生，减少安全隐患对计算机系统的影响，保证全公司计算机系统的稳定、可靠地运行。公司调度信息中心负责全公司计算机系统安全管理工作。4.2计算机系统的安全运行包括五个方面的内容：一是计算系统数据资源的安全保护，二是计算机硬件设备及机房环境的安全运行管理，三是计算机病毒的防治管理；四是黑客非法入侵防治，五是防止信息系统滥用、盗用。 4.3数据资源的安全保护。计算机系统中存贮的各类数据信息，是生产、经营、管理所必须的重要数据，数据资源的破坏将严重影响生产、经营与管理工作的正常运行。公司信息中心要定期作好数据备份工作。 4.3.1企业信息资源日益复杂，信息管理的失效将给企业带来不可估量的损失，信息中心应建立可靠的数据备份系统，在自然或人为的灾难发生后，数据备份系统应能够快速、简单、可靠地恢复一个立即可用的系统。 4.3.2系统备份。导致系统失效的原因大致可分为自然灾害、人为破坏和计算机系统本身潜伏破坏性因素；系统备份是指对软件及数据资源的完整性备份。 4.3.2.1系统环境备份。即系统环境的整体（包括系统参数）备份，是指将不同主机和服务器的系统映象打包输出，形成文件，写入磁带或光盘。 4.3.2.2应用软件和数据资源的备份。利用完全式备份，在系统基础平台上，建立一套系统打包机制，形成相应的打包和解包程序。 4.3.2.3日常备份。针对日常不断更新的数据资源和系统程序，定期（按日、按周）定时做增量式备份。 4.3.2.4系统备份周期的确定和完整性试验。调度信息中心应根据系统的实际需要确定系统备份周期，备份完成后应由专门人员进行恢复试验，保证系统备份的正确性和完整性。 4.3.3 系统恢复（灾难恢复）一旦系统失效，应在最短时间内有专门人员进行恢复，以缩短系统停止服务时间。 4.3.4备份介质和档案管理 4.3.4.1存放每种类别的备份介质，采取双重制，备份介质和档案分两套管理，一套存入远离机房的专用保险柜中，一套存放在计算机机房现场备用。 4.3.4.2备份介质验证。为确保备份的可靠性和可用性，系统管理专责应定期进行检查、读带测试。 4.3.5备份工作的具体要求。 4.3.5.1凡投入运行的存放重要数据的主机系统和网络服务器均必须采用磁盘存储系统或双工方式，配备必要的备份设备。 4.3.5.2系统软件和应用软件应定期备份，计算机系统的重要数据要求做到每日备份。 4.3.5.3数据备份必须正确、可靠，在做好数据备份的同时要认真填写备份记录。 4.4硬件设备及机房环境的安全管理。 4.4.1硬件设备的供电电源必须保证电压及频率质量（220V5，50HZ），一般应同时配有稳压电源及不间断供电电源，避免因电源不稳定造成硬件设备破坏。 4.4.2计算机机房必须建有良好的接地系统。接地电阻符合计算机机房场地技术要求（小于4欧姆），避免因接地安装不良损坏设备。 4.4.3设备的检修或维护、操作必须严格遵守安全规程、杜绝因人为因素破坏硬件设备。 4.4.4计算机房安装空调器，满足机房温环境度要求，并有防盗、防火、防鼠、防水等措施。 4.4.5计算机机房应保持清洁，避免因积灰影响设备正常运行。4.5计算机病毒的防治。 4.5.1调度信息中心要加强对网络系统中病毒的监测，对所有的网络服务器和办公电脑要加装防病毒软件。4.5.1定期对计算机系统进行防病毒软件的升级，同时进行病毒检查及清理工作。 4.5.2所有软盘和光盘须检查确认无病毒后，方能上机使用。 4.5.3严格控制磁盘交换和外来磁盘和光盘的使用，各单位各部门使用外来软磁盘（包括各专业口下发的各种软盘）和光盘须经检验认可，私自使用造成病毒侵害要追究当事人责任。 4.6 防止信息系统滥用、盗用4.6.1各级网络之间，在信息安全保密措施上应采用系统级和应用级的双重保护手段。4.6.1.1系统级保护手段是指在各级网络之间通过网络分段或虚拟网方式进行网络分割，再通过路由器进行联接，从路由器上进行各级网络间的通信控制定义，从网络的下三层进行包协议控制，达到网络系统级的保密要求。4.6.1.2应用级保护手段是指通过用户名和用户口令控制上网用户的权限，不同的用户允许访问不同的信息内容，达到应用级的保密要求。4.6.1.3各单位信息网络统一从公司调度信息中心出口，各单位未经市公司批准不允许直接与Internet网互联。调度信息中心要建立高效、安全、可靠的对外防火墙系统。4.6.2各单位要加强对计算机网络机房的管理工作。要制定完善的管理规章制度，包括：机房管理制度、信息管理制度、网络管理制度等。网络系统及服务器的设计及配置参数、运行日志和管理员帐号等技术资料和运行资料应作为信息系统的保密资料，设立专柜，落实专人妥善保管。4.6.3各单位要加强网络系统的运行监控工作。调度信息中心要网络系统管理设置岗位，安排责任心强、技术好的同志负责网络系统的安全正常运行工作。网络系统管理人员要定期查看系统日志记录，了解上网用户情况及服务器被访问情况，发现异常要及时处理与上报。4.6.4各单位使用人员要加强保密意识，妥善保管好自己的上网帐号和口令。不允许将个人上网帐号提供他人使用，或盗用他人帐号上网的现象发生。4.6.5各单位要加强对计算机系统安全运行的管理、检查、监督，防止系统滥用、盗用，要严格执行安全保密制度，防止发生窃密，泄密事件。未经单位主管领导批准同意，任何人不得私自让外来人员使用我公司的计算机系统作任何用途。一旦发现问题及时上报公司调度信息中心。公司调度信息中心对安全事故要检查、分析，并指导有关单位作好善后处理，对造成事故的责任人要依性质给予必要的经济及行政处罚。 4.6.6 任何单位和个人不得利用计算机管理信息网危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体的利益和公民的合法权益。任何单位和个人不得从事下列危害计算机信息网络安全的活动。4.6.6.1未经允许，进入计算机信息网络或者使用计算机信息网络资源的； 4.6.6.2 未经允许，对计算机信息网络功能进行删除、修改或者增加的； 4.6.6.3 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； 4.6.6.4 故意制作、传播计算机病毒等破坏性程序的； 4.6.6.5 其他危害计算机信息网络安全的。 4.6.7 各单位必须安排相应人员负责信息网的安全保护管理工作。并履行下列安全保护职责： 4.6.7.1 负责本网络的安全保护管理工作，建立健全安全保护管理制度； 4.6.7.2 落实安全保护技术措施，保障本网络的运行安全和信息安全； 4.6.7.3 负责对本网络用户的安全教育和培训； 4.6.7.4 对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本标准进行审核； 4.6.7.5 建立计算机信息网络电子公告系统的用户登记和信息管理制度； 4.6.7.6 发现有本标准第4.6.6所列情形之一的，应当保留有关原始记录，并及时向上级主管部门报告； 4.6.8 对于下列行为造成我公司电力信息网故障或信息失密、信息毁损的情况，要视情节轻重对责任单位和责任个人给予相应的行政处理。 4.6.8.l 网络系统配置资料保管不当的。 4.6.8.2 用户或