信息安全工作管理规定复习过程

1、信息安全工作管理规定信息系统安全管理组织机构局长、书记 副局长、及总工 机关处室、基层单位负责人1 总则1.1 为加强计算机信息系统的安全管理，促进信息化建设的健康发展，保障电 网的安全稳定运行和正常生产经营管理，根据中华人民共和国计算机信息系统安 全保护条例等国家和上级单位的有关法律法规、标准规范，结合我局信息系统的 实际情况制定本规定。1.2 本规定所称的信息系统是指信息广域网及内部局域网，以及在网络上运行 的或未联网的所有信息系统（包括硬件、软件、数据等） 。1.3 信息系统安全管理要纳入全局的安全生产管理体系，遵循“统一领导、统 一规划、统一标准、统一组织建设”和“谁主管、谁负责、联合

2、防护、协同处置” 的原则，实行“安全第一、预防为主、管理与技术并重、综合防范”的方针。1.4 信息系统的安全保护，应当保障信息设备、设施的安全和运行环境的安全， 保障计算机网络和信息系统功能的正常发挥，保障信息的安全，维护信息系统的安 全运行。1.5 信息系统的安全保护，要综合平衡安全成本和风险，优化网络与信息安全 资源的配置，实行网络与信息安全等级保护，确保重点。重点保护网络以及关系到 企业重大利益，电网安全生产运行等方面的重要信息系统的安全。1.6 局所属任何单位或个人不得利用信息系统从事危害国家利益、公司利益和 职工合法权益的活动，不得危害信息系统的安全。1.7 本规定适用于所属各单位。

3、2 安全管理责任制2.1 信息系统安全工作实行全局统一领导下的分级管理，逐级负责制度。2.2 各单位主要负责人是本单位信息系统安全第一责任人。 2.3 局信息系统安全 管理领导小组负责全局信息系统安全重大事项的决策和协调。管理全局信息系统安 全工作，进行指导、协调、监督和考核，并履行以下管理职责：2.3.1 贯彻落实国家和上级单位有关信息系统安全的有关法规、 规程、 制度、指 令、标准、规范 , 统筹本局网络建设和管理信息系统的建设及相应规章制度的建立。 精品文档2.3.2 建立健全信息系统安全管理制度和标准，组织制定信息系统安全策略， 并负责组织实施。2.3.3 确保局信息网的安全、可靠、稳

4、定运行，保障各类信息在网上的正常运 转，加强信息网的规范化运行管理，明确各二级单位及信息网络管理员的职责。2.3.4 开展信息系统安全保护的宣传教育和培训。2.4 信息通信处负责全局信息系统安全体系建设和安全技术保障工作：2.4.1 负责局本部信息系统安全措施的实施和日常运行维护工作。2.4.2 负责防病毒袭扰的技术管理工作。2.4.3 负责非法上网的监控和处理。2.4.4 负责阻截封锁外来有害信息和病毒的入侵， 对内负责我局中心机房及网络 信息安全管理和监控检查。2.4.5 对服务器定期进行维护、 管理，及时进行系统更新， 软件升级， 定期杀毒， 定期对重要数据进行备份，保证核心服务器、网络

5、设备正常运行。2.4.6 监控全局网页的信息内容， 发现有害信息及时处理， 确保内容合法、 健康。2.4.7 做好全局计算机的防病毒工作 , 确保计算机信息系统的安全。2.4.8 负责办公自动化软件的维护、管理、数据的备份与恢复，及时发现安全 隐患，落实防范整改措施。2.4.9 按规定及时汇报计算机信息系统安全运行情况。2.5 所属各单位按照局统一部署，具体负责本单位内部信息系统安全管理和运 行维护工作，接受信息系统安全管理领导小组的指导、检查和监督。禁止危害社会 治安、破坏社会稳定、损坏企业形象的行为发生；防止被坏人利用局信息资源进行 非法活动。3 人员管理3.1 信息通信处应设立信息安全管

6、理、系统管理、网络管理等岗位，各单位应 设信息安全管理员岗位，明确岗位职责和任职条件。3.2 信息通信处负责人、信息安全管理员、系统管理员、网络管理员等必须经 过网络与信息安全培训后方可上岗。离岗三个月后重新上岗，必须重新培训。3.3 信息通信处运行、维护人员离岗必须严格办理离岗手续，移交全部技术资 料，明确其离岗后的保密义务，并立即更换有关口令、密码和密钥，注销其专用帐 户。4 规划建设4.1 信息安全是信息化发展与应用的重要部分，必须与信息化同步规划、同步 建设、同步管理。4.2 在上级部门领导下统一规划、部署防病毒软件、防火墙、数据备份系统、 入侵检测、安全认证等各项安全技术设施，统一建

7、设完善有效的信息系统安全防护 体系。4.3 各单位不得采用任何形式私自联网。4.4 信息安全工程和与信息网络安全运行直接相关的工程，如机房、网络综合 布线、防雷设施等的建设，应由取得相应专业资质的施工单位施工。4.5 机房的建设应符合国家标准以及国家和公司的有关规定，配备 UPS 电源和 必要的保温、保湿和防雷、接地、防火、防水、防盗、防鼠等设施。4.6 对可靠性要求较高的信息系统，配置必要的冗余备用设备和高可用性措施， 以便故障时切换使用。4.7 电网实时信息系统与管理信息系统之间链接必须实行可靠的、安全的物理 隔离，并只限单向传输，确保生产实时系统的安全运行。5 日常管理5.1 建立设备巡

8、检制度，工作日和重要时期要实行现场值班。5.2 要严格遵守信息系统机房管理规定，规范信息系统运行环境管理。5.3 强化网络接入管理，规范联网设备安装、使用管理。5.4 规范信息系统投运条件和流程。信息系统建成后必须经过试运行并对系统 的安全性、可靠性和应急措施进行全面测试，测试和试运行通过后方可投入正式运 行。5.5 严格执行公司计算机病毒防治管理办法，统一安装公司允许采用防病毒软 件，软件要覆盖所有服务器和客户端，病毒特征码应定期更新。5.6 建立严格的信息系统运行管理规程，规范信息系统的操作，实行流程化管 理，建立系统运行日志和操作记录以及维护检修记录。重要操作实行工作票制度。5.7 认真

9、执行公司信息系统数据和备份管理规定，加强对数据和介质的管理， 规范数据的存储、备份、恢复以及废弃介质、数据的处理。5.8 禁止各单位用户安装、使用与工作无关的软件。5.9 规范信息系统的授权管理，实行权限分散原则，操作权限要严格按岗位职 责设置，实行相互制约、最低授权原则，使其操作具有可控性、可监督性和可审计 性。建立操作人员密码制度，分清各自责任，密码设置要具有一定的复杂度，并定 期更换，密码修改要有记录。5.10 规范信息发布流程，建立信息上网的有关制度，上网信息实行“谁上网， 谁负责”原则，原则上先审后发，秘密信息不得在网上处理、传输。5.11 内部网页不允许与外部网页相链接；内部网络不

10、允许开设聊天室。6 信息通报6.1 局信息系统安全管理领导小组负责信息系统安全信息通报工作，领导小组 办公室负责信息系统安全信息通报的日常工作，包括信息汇总、分析、研判，及时 将有关信息通报相关单位，遇有可能发生或已经发生重大信息安全事件时，发布预 警信息。6.2 信息通报内容包括以下七方面：6.2.1 信息系统资源使用异常，网络瘫痪、系统宕机、应用服务中断或数据丢 失、被篡改等情况。6.2.2 已经确定或可能发生的有害程序（如病毒、木马等）在信息网络上大范 围传播情况。6.2.3 利用信息网络从事网络攻击的情况。6.2.4 利用信息网络发布、传播危害国家安全、社会稳定和公共利益内容情况。6.

11、2.5 电子公告服务、群发电子邮件以及广播式即时通信等网络信息服务中有 害信息的传播情况。6.2.6 网络安全状况、安全形式分析预测等信息。6.2.7 其他影响企业信息安全的信息。6.3 向上级部门报告可采用电子邮件、电话、传真等形式进行事故报告。6.4 要加强对本单位信息系统运行状况的检测、监控，做好预测预警工作，一 旦出现可能会造成较大影响的信息系统安全事件苗头或已经发生较大影响的安全事 件，要及时进行汇总、分析、研判， 30 分钟内向公司信息系统安全领导小组办公 室通报，同时要及时通报与本单位信息系统存在连接状态的有关单位。6.5 在信息安全事件应急处置工作结束后，于 5 个工作日内向公

12、司信息系统安 全领导小组办公室反馈信息安全事件处理情况。6.6 应于每月前 3 个工作日内，向公司信息系统安全领导小组办公室报告上月 本单位信息系统的运行状况。6.7 应按照保密工作的有关规定，做好信息安全通报的保密工作，并妥善管理 相关资料， 包括与上级部门进行信息通报过程中的电子文档、 电话记录和传真件等， 存档备查。7 软件开发管理7.1 开发环境应设置独立的工作区域，并根据应用系统的开发要求，对该区域 进行网络访问控制和物理访问控制，确保开发数据的安全性。7.2 用于开发的服务器、个人电脑必须做好严格的安全防护措施，包括但不仅 限于更新系统补丁、安装防病毒软件（防火墙） 、设置密码策略

13、。7.3 使用第三方代码，应对代码安全性进行评估和测试。7.4 确保测试环境的安全。应将测试环境与开发环境、生产环境相隔离，避免 测试工作对其它业务的影响。8 第三方人员安全管理办法8.1 各单位应建立第三方人员来访制度和接待记录制度，设置来访接待的记录 本，由接待人于接待当日逐项填写后保存。8.2 第三方人员自进入各单位起至离开止，必须安排专人（下称“接待人” ）陪 同，不得任其自行走动。8.3 第三方人员进入各单位进行业务活动，应当由接待人在门卫处登记，然后 引领第三方人员到专门的场所进行业务洽谈。8.4 除以下情况外， 接待人不得引领和允许供应商 / 合作商进入办公室、 实验室、 生产场

14、地和其他机要区域：8.4.1 局领导批准的参观活动。8.4.2 必要的现场安装、维修、调测。8.4.3 第三方人员因业务需要进入上述区域的其它情形。8.5 在情况 8.4.2 及 8.4.3 下，接待人引领第三方人员进入上述区域，需经主管 上述区域的部门负责人批准。 第三方人员在上述区域活动时， 接待人必须亲自陪同。 对供应商、合作商进入机房的情况，接待人和该机房负责人应当及时记录。8.6 除预定的工作内容外，接待人不得为第三方人员随意安排其它活动；不得 向第三方人员透露业务范围之外的电力技术、商务情况。8.7 如因业务需要须向第三方人员提供含有电力信息系统的文件、资料或实物 的，接待人应当在获得相应的批准或授权，并与第三方人员签订保密协议后再行提 供，提供时应开具清单请第三方人员签收。提供文字保密材料的应当加盖保密章或 有其它保密标识。保密协议在相关部门存档，签收清单由该部门妥善保存。8.8 第三方人员因业务需要须接入电力内部网络的，需由信通处或领导审批， 并由信通处专人负责对第三方人员行为进行监控。第三方人员应遵从电力相关上网 管理规定。8.9 各单位应当对第三方人员安全策略执行情况进行有效的监督和管理，对违 反本策略的行为要及时指正，对严重违反者要立即上报。9 考核与奖惩9