中国平煤神马集团信息安全管理办法

1、平禹2013111号关于转发中国平煤神马集团信息安全管理办法（试行）的通知公司各单位，机关各部室：现将中国平煤神马集团信息安全管理办法（试行）(中平2013188号)转发给你们，望严格按照文件精神，认真贯彻执行。平禹煤电公司 2013年5月9日（电子公文）中平号关于印发中国平煤神马集团信息安全管理办法（试行）的通知基层各单位，机关各部门： 中国平煤神马集团信息安全管理办法（试行）已经集团同意，现印发给你们，请认真贯彻执行。中国平煤神马集团2013年4月17日 （电子公文）中国平煤神马集团信息安全管理办法（试 行）第一章 总 则第一条 为加强集团信息安全管理，确保信息化建设快速、协调、有序、安全

2、发展，根据国家有关法律法规以及中平能化集团信息化管理办法（中平2009337号）等规定，特制定本办法。第二条 本办法适用于集团各职能部室，直属和特设机构、专业化公司、事业部、区域公司及其所属各单位。第二章 管理范围第三条 本办法所称信息安全主要指：网络安全、环境安全、应用系统安全、数据安全、终端安全、操作安全、网络信息发布安全以及移动信息化安全等。第三章 组织机构和工作机制第四条 集团信息化领导小组办公室（以下简称：集团信息办）负责按信息安全事件管理流程（详见附件1）监督、检查、指导集团整体信息安全管理工作，查处危害集团信息安全的事件；集团党委宣传部负责网络信息发布管理工作，对集团及所属各单位

3、的网站设立及网络信息实施管理职能；计算机通讯分公司为技术管理部门，负责执行整体安全防范策略。第四章 网络安全管理第五条 集团及各单位网络要按照集团网络建设技术规范建设，集团骨干网络覆盖单位必须通过集团统一出口接入互联网，以发挥集团网络整体安全策略的作用，保障应用系统的无障碍运行环境。各机关处室和基层单位在进行互联网接入工作时，应遵循以下原则：（一）具备集团网络接入条件的，必须通过集团统一出口接入，不允许以其他任何形式接入互联网络。（二）暂时不具备接入条件的，向集团信息办递交情况说明及接入申请，经集团信息办审核批准后，可通过其他方式接入互联网络。（三）已经接入集团网络但仍然私自接入其他网络出口的

4、，一经发现，立刻中断其网络出口，并上报集团信息化领导小组，根据影响程度，做出相应处罚。第六条 建立集团专用网络和涉密网络申报备案机制。集团级涉密网络和专用网络由集团相关处室信息化主管部门申报至集团信息办备案；单位级涉密网络和专用网络由各单位业务主管部门申报至单位信息办备案（备案表详见附件2）。第七条 涉密网络和专用网络不得以任何方式接入或连通其他网络，涉密信息不得在网络中传输与存储；如因特殊需要，必须接入其他网络的，应上报集团信息办审批通过后进行接入。第八条 无线网络作为办公网络的有效延伸，在集团日常办公中起到越来越大的作用。为了加强集团无线网络安全的管理，保障信息系统安全、稳定运行，无线设备

5、接入集团办公网络时，应遵循以下原则：（一） 集团信息办负责集团整体无线网络安全的日常管理和监督工作；计算机通讯分公司负责机关各处室无线网络的开通及安全管理工作，基层各单位信息办负责本单位无线网络的开通及安全管理工作。（二） 计算机通讯分公司和基层各单位每月5日前将上月的无线设备使用情况上报至集团信息办登记备案（备案表详见附件3）。（三） 无线网络设备要定期更改密码，至少每月变更一次，并做好变更记录。（四） 由于无线网络使用不当导致信息安全事件的，将按照集团信息安全事件管理流程有关规定处理。第五章 环境安全管理第九条 集团信息机房及各单位信息机房要按照集团机房建设技术规范建设，应遵循统一建设、统

6、一管理的原则。各级信息办作为主要责任部门，应保证信息机房的各项指标符合集团信息办发布的各项标准，并制定完善的机房管理制度。第十条 各级业务系统要做到集中管理。集团级业务系统应统一放置在集团数据中心（集团信息机房），由计算机通讯分公司负责日常维护；单位级业务系统应统一放置在各单位数据中心（单位信息机房），由各单位信息管理部门负责日常维护。第十一条 外部人员未经允许不得随意出入信息机房，进入信息机房的人员和进行的操作必须记录在案并留存90天以上，以备检查或追溯需要查询的操作。第六章 应用系统安全管理第十二条 本办法所指应用系统特指集团及下属单位利用计算机和通信技术，对内部控制进行集成、转化和提升所

7、形成的信息化管理平台。包括集团各职能部室、各事业部、各基层单位应用于经营管理、安全生产、日常办公、工程设计、监测监控等各个领域运行的计算机信息系统（包括MIS系统、办公自动化系统、CAD、CAM、CRM、SCM、MRP、ERP、电子商务、网站系统、组态以及其它业务应用系统）。第十三条 建立应用系统申报备案机制。集团级应用系统由集团相关处室信息化部门申报至集团信息办备案；单位级应用系统由各单位业务主管部门申报至本单位信息化主管部门备案（备案表详见附件4）。第十四条 由外部单位参与开发、改造的业务系统，业务主管部门需要与开发单位签订保密协议。第十五条 应用系统主管部门或单位对应用系统的使用负责，要

8、配备专职或兼职的系统管理人员，并授权其进行系统设置、变更等操作，统一分配系统用户和管理用户权限。第十六条 任何单位或个人未经系统主管人员批准，不得对应用程序进行修改或删除。不得向非工作需要的人员泄露应用系统的系统环境、系统设置和用户密码等信息。第十七条 应用系统主管部门要建立系统级操作运行记录，应保存90天以上时段的日志，以备检查或追溯需要查询的操作。第十八条 集团级应用系统和各单位使用的重要业务系统，必须建立灾难备份系统和应用系统安全应急预案，明确应急预案的激活条件和处理流程，按季度检查灾难备份系统的运行情况，并组织模拟演练。第十九条 建立应用系统安全评估机制。各业务主管部门按季度对所负责的

9、应用系统进行安全评估，对应用系统的合规性进行检查；集团信息办每年对集团级业务系统和各单位使用的重要业务系统进行应用系统审计和风险评估。第二十条 集团信息办有权根据系统安全状况对运行中的设备或系统采取必要的强制管理措施，包括更改或限制服务器端口、限制网络带宽、中断网络连接、关闭停止运行等。第七章 数据安全管理第二十一条 数据是集团重要的资源，必须按照数据集中的要求，坚持技术与管理并重，确保集团信息系统数据的完整性、及时性和安全性。第二十二条 业务主管部门对系统数据的真实性、准确性、及时性和完整性负责。第二十三条 业务主管部门应指定专（兼）职人员，负责数据库的日常管理，做好数据库系统及其承载信息的

10、安全保密工作。集团级业务系统的数据库由计算机通讯分公司集中维护；各单位负责的应用系统数据库，由各单位自行维护，亦可委托计算机通讯分公司维护，不得委托外部维护。第二十四条 数据库专（兼）职管理人员应当接受集团认可的专门培训并备案管理，要管理好数据库相关的系统文件、存储介质和数据资料，未经批准不得以任何形式将资料、介质带出机房或办公室。第二十五条 数据库系统安装使用必须采取相应的技术措施，如不使用操作系统的共享服务，限制数据库服务器与前台服务器非业务通信等，防止病毒破坏和渗透攻击。第二十六条 计算机通讯分公司负责保障集团数据中心数据库服务器、存储和备份设备的正常运行。需要集团统一存储和备份的数据，

11、由所属业务部门根据不同类型数据量、更新频率、重要程度、保存时间，制定相应操作规范、备份和恢复方案。经集团信息办审批后，由计算机通讯分公司根据委托或合同内容提供相应的数据存储备份服务和技术支持。第二十七条 关键业务数据必须采用“双备份”原则，即：除数据中心存储设备备份外，应用管理该数据库的业务部门，要指定专人用不可更改介质作另行备份，以保证数据的安全完整，便于追溯系统历史操作和严重灾难恢复。第二十八条 所有数据的输出必须经主管业务领导批准，任何单位和个人，不得对应用系统中处理或存储的数据进行修改或删除，不得将数据复制、打印、转借和删改。第二十九条 对不执行数据安全管理规定，造成数据设备损坏、数据

12、严重破坏、数据资料丢失和泄密的，要追究相关领导和当事人的责任。第八章 终端安全管理第三十条 终端用户不得从事危害计算机网络安全的行为；严禁扫描访问非授权网络；不得非法对计算机网络资源进行删除、修改或增加；不得制作、传播计算机病毒等破坏性程序；远程办公用户必须妥善保存网络登录帐号和密码，不得交由他人使用。第三十一条 接入集团办公网络的电脑终端，在日常办公使用中必须遵循以下原则：（一） 必须安装杀毒软件。（二） 禁用GUEST账号、Internet来宾账号等默认或不必要的账号；删除不必要的账号；更改默认管理员账号名称；账户锁定 3次错误登录；账户锁定时间大于 20分钟；复位账户锁定计数 20分钟。

13、（三） 必须设定登录密码。登录密码长度最小值6位，必须包含数字、字母，密码最长留存期90天，强制密码历史5次。（四） 设置屏幕保护时间小于3分钟，并设定屏幕保护恢复时使用密码保护。第三十二条 内网各网络终端要求IP地址绑定MAC地址或固定IP地址，并详细记录IP地址分配情况。通过代理接入网络的单位必须保留网内用户上网日志60天，以备追查非法网络访问行为和定位网络故障。第九章 操作安全管理第三十三条 业务主管部门要定期检查应用系统的运行情况，按照设备维护或系统运行要求进行必要处理，并及时填写系统维护记录，留存操作人员姓名、时间、内容、故障现象、处理手段等相关文档。第三十四条 应用系统管理员应严格

14、按照设定的权限操作，严禁越权操作，操作员应做好操作记录，并对自己用户名下的所有操作负责。第三十五条 系统安装完成后必须立即更改初始密码，使用的密码长度最小为6位，密码必须包含字母、数字，密码最长留存期90天，强制密码历史5次。应用系统登录用户名和超级用户密码，必须妥善保管不得泄漏。集团级业务系统和各单位的重要系统必须做到密码分段持有，操作时密码持有人必须同时在场。系统管理人员如有变动必须立即更改密码。第十章 网络信息发布安全管理第三十六条 凡涉及网络信息发布安全管理的，按照集团关于加强网络信息管理的规定（暂行）（平煤发20085号）执行。第十一章 移动信息化安全管理第三十七条 为了防止数据丢失

15、和未经授权访问所带来的业务风险，集团信息办统一管理集团移动信息化平台，具体负责统一平台对外接口，与运营商洽谈系统及网络对接事宜。各机关处室和基层单位不得以任何形式私自建设移动信息化平台。第三十八条 集团移动信息化平台建成之后，交由计算机通讯分公司运营。计算机通讯分公司在日常维护工作当中必须做到以下几点：（一）指定专职人员负责集团移动信息化平台的日常管理，做好平台及其承载信息的安全保密工作。（二）确保网络的安全性和可靠性，建立完善的网络日常监测及故障处理机制。（三）定期检查移动信息化平台的运行情况，按照设备维护或系统运行要求进行必要处理，并及时填写维护记录。（四）系统管理员应严格按照设定的权限操

16、作，严禁越权操作，操作员应做好操作记录，并对自己用户名下的所有操作负责。（五）制定完善的操作规范和定期备份制度，并报集团信息办备案。系统管理员要按照制度要求定期进行数据备份，并做好备份执行记录。第三十九条 通过运营商网络访问和操作集团移动信息化平台的用户，应采用可靠的安全接入方式，具体技术方案由集团信息办审批，由计算机通讯分公司负责实施并监督执行。第十二章 信息安全监督机制第四十条 集团信息办负责集团整体信息安全的监督和考核工作；各单位信息办负责本单位内部的信息安全管理工作。第四十一条 集团信息办按月对集团下属各单位的信息安全管理工作进行抽查，每年进行一次全面检查。检查结果上报至集团信息化领导

17、小组，作为当年“信息化评先”的重要依据。第四十二条 在集团信息办检查过程中，发现重大信息安全漏洞的，集团信息办有权根据信息安全状况采取必要的强制管理措施，包括更改或限制集团级应用系统访问端口、中断网络连接、关闭停止运行等；存在重大安全漏洞的，集团信息办有权上报至集团信息安全领导小组，并对相关责任部门做出相应处罚。第十三章 附 则第四十三条 本办法解释权归集团信息化领导小组。此前印发的有关信息化文件与本办法冲突的，以此办法为准。第四十四条 本办法自文件印发之日起执行。附件：1集团信息安全事件管理流程2集团涉密网络和专用网络登记备案表3无线设备登记备案表4集团应用系统登记备案表附件1集团信息安全事

18、件管理流程一、目的为建立集团信息安全事件报告、反应与处理机制，减少信息安全事件所造成的损失，采取有效的纠正与预防措施，特制定本管理流程。二、范围本管理流程适用于机关各处室及基层各单位的信息安全事件管理。三、职责（一）集团信息办1. 负责组织制定集团信息安全事件处理制度；2. 负责对信息安全事件进行调查取证，提出处理措施及纠正预防措施；3. 负责对机关各处室和基层各单位提交信息真实性进行督查。（二）机关各处室和基层各单位1. 积极预防信息安全事件的发生，建立信息安全事故应急预案；2. 及时准确的报告信息安全事件，配合集团信息办进行信息安全事件的调查取证和处理工作；3. 提交信息安全事件月度报告。

19、四、流程（一）信息安全事件定义与分类1. 信息安全事件定义由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。信息安全事件包括：（1）各单位管理的信息网、电视网、传输线路涉及的硬件、软件、数据因非法攻击或病毒入侵等造成系统不能正常运行的信息安全事件；（2）软件开发和运维业务；（3）项目施工业务；（4）其它相关业务（含公司经营、商务、技术等）因信息泄露或丢失引起的信息安全事件。2. 信息安全事件分类信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。3. 信息安全事件分级

20、根据信息安全事件危害程度，主要分为：（1）一般信息安全事件：由于信息安全隐患或系统遭受入侵、尝试性入侵但未造成不良后果的网络通信或系统业务运行中出现的一般故障；利用本网发起的对其它网络的攻击；环网单链运行；用户从集团网络出口发布的非法信息，当公安部门追查时能够定位。（2）严重信息安全事件：各单位负责运维的信息网、电视网、传输线路由于中断或间断影响全局业务2小时以内，影响局部业务8小时以内；应用系统出现问题影响集团级业务4小时以内，影响本单位业务12小时以内，但并未造成业务系统数据损坏；或者业务系统数据部分损坏、丢失，可以通过备份进行恢复（例如，某服务器被入侵后，业务数据被删除，被删除数据有备份

21、等）；各单位开发的二级单位应用系统源代码泄露或丢失；用户从集团网络出口发布的非法信息，当公安部门追查时无法定位；各单位的经营、商务、技术等机密信息泄露或丢失；（3）信息安全事故：各单位负责运维的信息网、通信网、电视网、传输线路由于中断或间断影响全局业务2小时以上，影响本单位业务8小时以上；电视网的信源攻击；应用系统出现问题影响集团级业务4小时以上，影响本单位业务12小时以上；或者业务系统数据损坏、丢失且无法恢复；集团公司开发的集团级应用系统源代码泄露或丢失；集团公司的经营、商务、技术等绝密信息泄露或丢失，并对集团公司造成重大影响。（二）流程说明机关各处室和基层各单位如果发现信息安全事件，应该向

22、本单位信息化主管部门报告，如果信息安全事件会影响或已经影响业务运行，必须立即报告本单位信息化主管领导，并采取必要措施，保证对业务的影响降至最低；如果信息安全事件为严重级别，各单位信息化主管部门应向集团信息办报告；如果信息安全事件定性为信息安全事故时，应首先启动信息安全事故应急预案，然后上报集团信息办和集团信息化领导小组；各级信息安全事件的处理，最终要形成信息安全事件调查处理报告。主要包括如下内容：信息安全事件的描述、故障原因分析、影响状况、主要处理过程与结果、纠正措施等。各单位信息化主管部门在每月5日之前对上月信息安全事件进行梳理，填写信息安全事件月度报告报集团信息办。（三）事件的响应集团信息

23、办接到报告以后，应立即进行迅速、有效和有序的响应，包括采取以下适当措施：1. 报告者应保护好故障、事件的现场，并采取适当的应急措施，防止事态的进一步扩大；2. 按照有关的事件处理文件（程序、作业手册）排除故障，恢复系统或服务，必要时，启动业务持续性管理计划。（四）事件调查处理与纠正措施各单位故障处理部门应对故障原因进行分析，必要时，采取纠正措施，故障的原因及采取措施的结果予以记录。对于信息安全事件，在故障排除或采取必要措施后，集团信息办会同事件责任部门，对事件的原因、类型、损失、责任进行鉴定，形成信息安全事件调查处理报告；对于信息安全事故的处理意见应上报集团信息化领导小组讨论通过。集团信息办要求事件责任部门制定纠正措施并实施，实施结果记录在信息安全事件调查处理报告。由集团信息办对实施情况进行跟踪验证,验证结果记入信息安全事件调查处理报告。五、相关表格表格1信息安全事件调查处理报告事件名称报告部门报告人发生地点联系电话发生时间 年 月 日 时 分事件级别 一般 严重 事故公司信息安全事件类别有害程序事件 网络攻击事件 信息破坏事件信息内容安全事件 设备设施故障灾害性事件 其他信息安全事件信息安全事件完整描述（含故障原因）本次信息安全事件的事后影响状况事件后果业务中断 系统破坏 数据破坏 其他影响范围从影响的单位、