國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng) 安全管理辦法

國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng) 安全管理辦法 第一章 總則 第一條 為加強(qiáng)和規(guī)范國家電網(wǎng)公司 以下簡稱 公司 網(wǎng)絡(luò)與信息系統(tǒng)安全工作 切實提高防攻擊 防 篡改 防病毒 防癱瘓 防竊密能力 實現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)安全的可控 能控 在控 依據(jù)國家有關(guān)法律 法規(guī) 規(guī)定及公司有關(guān)制度 制定本辦法 第二條 本辦法所稱網(wǎng)絡(luò)與信息系統(tǒng)是指公司電力通信網(wǎng)及其承載的管理信息系統(tǒng)和電力二次系統(tǒng) 第三條 本辦法適用于公司總 分 部及所屬各級單位的網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作 第四條 網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)目標(biāo)是保障電力生產(chǎn)監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全 保障管理信 息系統(tǒng)及通信 網(wǎng)絡(luò)的安全 落實信息系統(tǒng)生命周期全過程安全管理 實現(xiàn)信息安全可控 能控 在控 防范對電力二次系統(tǒng) 管理信息系統(tǒng)的惡意攻擊及侵害 抵御內(nèi)外部有組織的攻擊 防止由于電力二次系 統(tǒng) 管理信息系統(tǒng)的崩潰或癱瘓造成的電力系統(tǒng)事故 第五條 公司網(wǎng)絡(luò)與信息系統(tǒng)安全工作堅持 三納入一融合 原則 將等級保護(hù)納入網(wǎng)絡(luò)與信息系統(tǒng)安全工 作中 將網(wǎng)絡(luò)與信息系統(tǒng)安全納入信息化日常工作中 將網(wǎng)絡(luò)與信息系統(tǒng)安全納入公司安全生產(chǎn)管理體系 中 將網(wǎng)絡(luò)與信息系統(tǒng)安全融入公司安全生產(chǎn)中 在規(guī)劃和建設(shè)網(wǎng)絡(luò)與信息系統(tǒng)時 信息通信安全防護(hù)措 施應(yīng)按照 三同步 原則 與網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)同步規(guī)劃 同步建設(shè) 同步投入運(yùn)行 第六條 管理信息系統(tǒng)安全防護(hù)堅持 雙網(wǎng)雙機(jī) 分區(qū)分域 安全接入 動態(tài)感知 全面防護(hù) 準(zhǔn)入備案 的總體安全策略 執(zhí)行信息安全等級保護(hù)制度 其中 雙網(wǎng)雙機(jī) 指信息內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離設(shè)備進(jìn)行 隔離 并分別采用獨立的服務(wù)器及桌面主機(jī) 分區(qū)分域 指依據(jù)等級保護(hù)定級情況及業(yè)務(wù)系統(tǒng)類型 進(jìn)行 安全域劃分 以實現(xiàn)不同安全域的獨立化 差異化防護(hù) 安全接入 指通過采用終端加固 安全通道 認(rèn) 證等措施保障終端接入公司信息內(nèi)外網(wǎng)安全 動態(tài)感知 指對公司網(wǎng)絡(luò) 信息系統(tǒng) 終端及設(shè)備等安全狀 態(tài)進(jìn)行全面動態(tài)監(jiān)測 實現(xiàn)事前預(yù)警 事中監(jiān)測和事后審計 全面防護(hù) 指對物理 網(wǎng)絡(luò)邊界 主機(jī) 應(yīng) 用和數(shù)據(jù)等進(jìn)行深度防護(hù) 加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè) 覆蓋防護(hù)各層次 各環(huán)節(jié) 各對象 準(zhǔn)入備案 指對 所有接入公司網(wǎng)絡(luò)的各類網(wǎng)絡(luò) 應(yīng)用 系統(tǒng) 終端 設(shè)備進(jìn)行準(zhǔn)入及備案管理 第七條 電力二次系統(tǒng)安全防護(hù)按照 安全分區(qū) 網(wǎng)絡(luò)專用 橫向隔離 縱向認(rèn)證 的防護(hù)原則 并遵照原 國家電力監(jiān)管委員會 電力二次系統(tǒng)安全防護(hù)規(guī)定 及 電力二次系統(tǒng)安全防護(hù)總體方案 等相關(guān)文件執(zhí) 行 第二章 職責(zé)分工 第八條 公司信息安全工作實行統(tǒng)一領(lǐng)導(dǎo) 分級管理 遵循 誰主管誰負(fù)責(zé) 誰運(yùn)行誰負(fù)責(zé) 誰使用誰負(fù)責(zé) 管業(yè)務(wù)必須管安全 的原則 嚴(yán)格落實網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任 各級單位主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)與信 息系統(tǒng)安全第一責(zé)任人 各級單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位網(wǎng)絡(luò)信息安全 含生產(chǎn)控制大區(qū)和管理信息 大區(qū) 的總體協(xié)調(diào)領(lǐng)導(dǎo) 第九條 網(wǎng)絡(luò)與信息系統(tǒng)實行專業(yè)管理 歸口監(jiān)督 國網(wǎng)信通部是信息安全防護(hù)的歸口部門 負(fù)責(zé)管理信 息系統(tǒng)及電力通信網(wǎng)的安全防護(hù) 國調(diào)中心負(fù)責(zé)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和電力二次系統(tǒng)的安全防護(hù) 國網(wǎng)安質(zhì)部負(fù) 責(zé)公司信息安全監(jiān)督 檢查和評價工作 國網(wǎng)辦公廳 保密辦 負(fù)責(zé)公司保密管理 負(fù)責(zé)信息失泄密情況 的調(diào)查和處理 各業(yè)務(wù)部門負(fù)責(zé)本專業(yè)系統(tǒng)及終端的安全監(jiān)控和防護(hù) 各級單位負(fù)責(zé)落實本單位網(wǎng)絡(luò)與信 息系統(tǒng)安全工作 第十條 國網(wǎng)信通部主要職責(zé)如下 一 落實國家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī) 方針 政策 標(biāo)準(zhǔn)和規(guī)范 聯(lián)系國家有關(guān)部門落實相關(guān)安 全工作 組織制定公司網(wǎng)絡(luò)與信息系統(tǒng)安全管理標(biāo)準(zhǔn)規(guī)范和規(guī)章制度 二 負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全體系規(guī)劃設(shè)計 架構(gòu)管控 總體安全防護(hù)方案制訂 核心安全防護(hù)措 施部署和策略優(yōu)化配置并組織實施 三 指導(dǎo)總部各部門 公司各級單位開展網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控工作 組織落實等級保護(hù) 測評整改 風(fēng)險評估和隱患排查治理等工作 四 負(fù)責(zé)信息安全技術(shù)督查體系建設(shè) 組織開展公司信息安全技術(shù)督查工作 五 協(xié)助開展網(wǎng)絡(luò)與信息系統(tǒng)事件的調(diào)查處理 組織制定 落實網(wǎng)絡(luò)與信息系統(tǒng)反事故措施 六 負(fù)責(zé)信息安全態(tài)勢跟蹤 事件監(jiān)測與分析 信息安全通報 七 負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置 第十一條 國調(diào)中心主要職責(zé)如下 一 負(fù)責(zé)公司生產(chǎn)控制大區(qū) 含各級調(diào)度 變電站 發(fā)電廠 配電自動化 負(fù)荷控制等 工控系統(tǒng)安全 防護(hù)管理 統(tǒng)籌公司經(jīng)營范圍內(nèi)并網(wǎng)發(fā)電廠涉網(wǎng)部分的監(jiān)控系統(tǒng)和繼電保護(hù)等工控系統(tǒng)安全防護(hù)的技術(shù)監(jiān) 督管理 二 負(fù)責(zé)落實國家電力二次系統(tǒng)安全防護(hù)要求 組織制定公司電力二次系統(tǒng)安全管理制度 指導(dǎo)各級單 位開展電力二次系統(tǒng)安全防護(hù)的實施方案制定和運(yùn)行管理 三 配合完成國家有關(guān)部門對公司電力二次系統(tǒng)開展的風(fēng)險評估和隱患排查 信息安全檢查 落實等級 保護(hù)制度等工作 四 負(fù)責(zé)電力二次系統(tǒng)安全防護(hù)技術(shù)督查體系建設(shè)以及組織開展電力二次系統(tǒng)的安全技術(shù)督查工作 五 負(fù)責(zé)電力二次系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置 第十二條 國網(wǎng)安質(zhì)部主要職責(zé)如下 一 負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全檢查和評價 二 負(fù)責(zé)公司信息安全事件的調(diào)查 分析 處理和事件通報 第十三條 業(yè)務(wù)部門主要職責(zé)如下 一 牽頭開展本專業(yè)信息系統(tǒng)信息安全防護(hù)工作 依據(jù)公司總體安全策略組織制定相關(guān)系統(tǒng)信息安全防 護(hù)方案 經(jīng)公司信息安全專家審查委員會審批后執(zhí)行 二 落實業(yè)務(wù)系統(tǒng)信息安全等級保護(hù)工作 配合開展業(yè)務(wù)系統(tǒng)安全測評 風(fēng)險評估和隱患排查治理等工 作 三 國網(wǎng)運(yùn)檢部負(fù)責(zé)配電自動化終端具體安全防護(hù)及運(yùn)行維護(hù)管理 負(fù)責(zé)相關(guān)安全防護(hù)的技改項目管理 四 國網(wǎng)營銷部負(fù)責(zé)營銷業(yè)務(wù)涉及控制類系統(tǒng)及終端 如負(fù)荷控制系統(tǒng) 負(fù)控終端及用電信息采集控制 終端等 的具體安全防護(hù)及運(yùn)行維護(hù)管理 五 國網(wǎng)農(nóng)電部負(fù)責(zé)代管縣供電企業(yè)的農(nóng)村電網(wǎng)涉及控制類系統(tǒng)及終端安全防護(hù)管理 六 在本專業(yè)人員培訓(xùn)過程中貫徹公司信息安全相關(guān)要求 第十四條 各級單位主要職責(zé)如下 一 負(fù)責(zé)貫徹落實國家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī) 方針 政策 標(biāo)準(zhǔn)和規(guī)范 貫徹落實公司網(wǎng)絡(luò)與 信息系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)規(guī)范和規(guī)章制度 二 落實本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全工作責(zé)任體系 三 落實本單位網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控 等級保護(hù)測評整改 安全準(zhǔn)入 風(fēng)險評估 隱患 排查治理和信息安全技術(shù)督查等工作 四 按照公司網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理要求建立本單位應(yīng)急體系 組織本單位突發(fā)事件的應(yīng)急處理 五 負(fù)責(zé)明確本單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行維護(hù)部門或機(jī)構(gòu) 落實網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行維護(hù)日常 工作 明確落實本單位信息安全技術(shù)督查體系 六 組織本單位信息安全宣傳和培訓(xùn)工作 第十五條 各業(yè)務(wù)支撐和實施機(jī)構(gòu)信息安全職責(zé)如下 一 各級調(diào)控機(jī)構(gòu) 分別負(fù)責(zé)本級調(diào)度控制系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)和運(yùn)行維護(hù)管理 負(fù)責(zé)直調(diào) 發(fā)電廠涉網(wǎng)部分的監(jiān)控系統(tǒng)和繼電保護(hù)等工控系統(tǒng)安全防護(hù)技術(shù)監(jiān)督 二 國網(wǎng)運(yùn)行分公司 各省檢修 分 公司 各地 市 檢修工公司和縣運(yùn)檢部 檢修 建設(shè) 工區(qū) 分別負(fù)責(zé)運(yùn)維范圍內(nèi)變電站 開關(guān)站 換流站的系統(tǒng) 設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作 三 國網(wǎng)新源控股公司 負(fù)責(zé)運(yùn)維范圍內(nèi)發(fā)電廠的系統(tǒng) 設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作 四 中國電科院 負(fù)責(zé)公司信息通信安全研究 提供信息安全專業(yè)技術(shù)支撐 負(fù)責(zé)公司信息通信系統(tǒng)和 設(shè)備的安全測試工作 負(fù)責(zé)信息通信系統(tǒng)和設(shè)備的缺陷分析 安全設(shè)計的符合性審查以及狀態(tài)評價 負(fù)責(zé) 執(zhí)行信息通信安全技術(shù)督查及專項檢查 五 省電科院 負(fù)責(zé)信息通信安全研究 為各省 自治區(qū) 直轄市 電力公司提供信息安全專業(yè)技術(shù)支 撐 負(fù)責(zé)省公司信息通信系統(tǒng)和設(shè)備的缺陷分析 安全設(shè)計的符合性審查以及狀態(tài)評價 負(fù)責(zé)本單位信息 安全技術(shù)督查 六 國網(wǎng)信通公司 負(fù)責(zé)公司總部信息通信系統(tǒng) 一級部署信息系統(tǒng) 直屬單位集中部署信息系統(tǒng)和一 級骨干信息通信網(wǎng)的安全運(yùn)維和應(yīng)急處置工作 七 省信通 分 公司 負(fù)責(zé)調(diào)管范圍內(nèi)信息通信系統(tǒng)調(diào)度監(jiān)控和應(yīng)急處置 負(fù)責(zé)資產(chǎn)管理范圍內(nèi)信息 通信系統(tǒng) 設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作 八 地 市 信通分公司 受職能管理部門委托開展本單位信息安全保障工作 第三章 管理要求 第十六條 按照公司制度標(biāo)準(zhǔn)體系建設(shè)工作要求和統(tǒng)一部署 由總部統(tǒng)一制定 發(fā)布與組織實施信息通信 安全管理制度 實現(xiàn)全職責(zé) 全業(yè)務(wù) 全流程覆蓋 確?？v向?qū)蛹壷?橫向銜接聯(lián)動 第十七條 按照公司 三集五大 體系設(shè)計確定的崗位 公司統(tǒng)一確定信息系統(tǒng)建設(shè) 運(yùn)行 使用等相關(guān)崗 位的信息安全職責(zé) 各級單位遵照執(zhí)行并加強(qiáng)管理 各級單位信息通信職能管理部門 電力調(diào)度管理部門 應(yīng)設(shè)置專門的信息安全管理崗位 配備安全管理人員 明確安全工作職責(zé) 第十八條 加強(qiáng)員工信息安全管理 嚴(yán)格人員錄用過程 與關(guān)鍵崗位員工簽訂保密協(xié)議 明確信息安全保 密的內(nèi)容和職責(zé) 切實加強(qiáng)員工信息安全培訓(xùn)工作 提高全員安全意識 及時終止離崗員工的所有訪問權(quán) 限 對承擔(dān)公司核心信息系統(tǒng)規(guī)劃 研發(fā) 運(yùn)維管理等關(guān)鍵崗位人員開展安全培訓(xùn)和考核 對系統(tǒng)運(yùn)維關(guān)鍵崗 位建立持證上崗制度 明確持證上崗要求 對關(guān)鍵崗位人員進(jìn)行安全技能考核 將信息安全技能考核內(nèi)容 納入公司安規(guī)考試 加強(qiáng)對臨時來訪人員和常駐外包服務(wù)人員的信息安全管理 加強(qiáng)外來人員的出入登記和接待管理 嚴(yán)格控 制外來人員活動區(qū)域 外來人員進(jìn)入機(jī)房等重要區(qū)域 應(yīng)辦理審批登記手續(xù)并由相關(guān)管理人員全程陪同 相關(guān)操作必須有審計及監(jiān)控 第十九條 網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作機(jī)制如下 一 遵循 統(tǒng)一指揮 密切配合 職責(zé)明確 流程規(guī)范 響應(yīng)及時 的協(xié)同原則 做好公司信息安全內(nèi) 外部協(xié)同機(jī)制的落實工作 二 健全信息安全技術(shù)督查工作 加強(qiáng)對信息安全技術(shù)督查的一體化管控 強(qiáng)化督查責(zé)任落實 深化年 度 專項 日常督查工作 進(jìn)一步提升督查隊伍裝備水平 優(yōu)化督查工作流程 強(qiáng)化督查隊伍評價考核 三 落實常態(tài)信息安全風(fēng)險評估工作 與公司春秋季檢和迎峰度夏工作相結(jié)合 切實將風(fēng)險評估工作常 態(tài)化 及時落實整改 消除安全隱患 四 切實加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè) 按照綜合協(xié)調(diào) 統(tǒng)一領(lǐng)導(dǎo) 分級負(fù)責(zé)的原則 在公司 總部 各分部 省 自治區(qū) 直轄市 電力公司 直屬單位建立應(yīng)急組織和指揮體系 堅持 安全第一 預(yù)防為主 的方針 加強(qiáng)應(yīng)急響應(yīng)隊伍建設(shè) 優(yōu)化完善應(yīng)急預(yù)案 落實常態(tài)應(yīng)急演練工作 做好應(yīng)急保障 工作 加強(qiáng)安全風(fēng)險監(jiān)測與預(yù)警 建立 上下聯(lián)動 區(qū)域協(xié)作 的快速響應(yīng)工作 強(qiáng)化應(yīng)急處置 五 嚴(yán)格執(zhí)行信息安全事故通報制度 通報規(guī)范見附件 1 做好節(jié)假日和特殊時期的安全運(yùn)行情況報 送工作 六 落實健全網(wǎng)絡(luò)與信息系統(tǒng)安全準(zhǔn)入工作 加強(qiáng)對接入公司網(wǎng)絡(luò)的各類系統(tǒng) 終端 設(shè)備的準(zhǔn)入及備 案管理 強(qiáng)化備案信息與上下線相關(guān)運(yùn)行安全工作的準(zhǔn)入聯(lián)動工作 七 嚴(yán)格按照公司安全事故調(diào)查規(guī)程 開展事故原因分析 做好事故調(diào)查工作 堅持 四不放過 原則 有效落實整改 八 貫徹落實信息安全等級保護(hù)制度 持續(xù)強(qiáng)化信息安全等級保護(hù)工作管理 做好系統(tǒng)等級保護(hù)定級 備案 建設(shè) 測評與整改工作 九 深入開展信息安全動態(tài)治理工作 推動各級單位信息安全工作的落實與持續(xù)改進(jìn) 提升信息安全流 程化 標(biāo)準(zhǔn)化和規(guī)范化水平 強(qiáng)化隱患排查治理工作 強(qiáng)化從隱患發(fā)現(xiàn)到隱患治理的閉環(huán)管理工作 消除 信息安全薄弱環(huán)節(jié) 十 開展信息技術(shù)供應(yīng)鏈安全管理工作 開展信息技術(shù)軟硬件設(shè)備和服務(wù)供應(yīng)商安全管理 軟硬件設(shè)備 選型和安全測試工作 逐步實現(xiàn)核心運(yùn)行系統(tǒng)的國產(chǎn)化 加強(qiáng)外部合作單位和供應(yīng)商管理 嚴(yán)格外部單位 資質(zhì)審核 嚴(yán)禁合作單位和供應(yīng)商在對互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)絡(luò)和信息系統(tǒng)中存儲和運(yùn)行公司相關(guān)業(yè)務(wù)系統(tǒng) 數(shù)據(jù)和敏感信息 關(guān)鍵軟硬件設(shè)備采購應(yīng)開展產(chǎn)品預(yù)先選型和安全檢測 對涉及的信息安全軟硬件產(chǎn)品和 密碼產(chǎn)品要堅持國產(chǎn)化原則 信息安全核心防護(hù)產(chǎn)品以自主研發(fā)為主 管理信息系統(tǒng)軟硬件產(chǎn)品逐步采用 全國產(chǎn)化產(chǎn)品 及時開展各種軟硬件漏洞檢測及修復(fù) 十一 建立信息安全綜合評價體系 加強(qiáng)信息安全監(jiān)督及考核評價 將網(wǎng)絡(luò)與信息系統(tǒng)安全落實情況納 入各級單位信息化水平評價 十二 加強(qiáng)密碼技術(shù)的開發(fā)利用以及密碼安全保障 落實密鑰的統(tǒng)一選型及應(yīng)用工作 充分發(fā)揮密碼技 術(shù)在信息安全工作中的基礎(chǔ)作用 第二十條 加強(qiáng)電力通信網(wǎng)的安全管理 規(guī)范電力通信網(wǎng)絡(luò)安全防護(hù)體系 健全針對各類網(wǎng)絡(luò)在線監(jiān)測和 安全預(yù)警能力 做好對光纜 網(wǎng)絡(luò)交換設(shè)備 物理區(qū)域與人員的安全訪問管理 禁止通信網(wǎng)管系統(tǒng)未經(jīng)網(wǎng) 絡(luò)隔離裝置與信息內(nèi)網(wǎng)互聯(lián) 禁止通信網(wǎng)管系統(tǒng)與外部維護(hù)廠商間進(jìn)行網(wǎng)絡(luò)連接 電力通信設(shè)備 線路等 應(yīng)采用冗余保障 網(wǎng)絡(luò)優(yōu)化 設(shè)備網(wǎng)管防護(hù)等措施提高可用性 第二十一條 加強(qiáng)信息內(nèi)外網(wǎng)網(wǎng)站管理 各級單位對外網(wǎng)站應(yīng)與公司外網(wǎng)企業(yè)門戶網(wǎng)站進(jìn)行整合 內(nèi)網(wǎng)宣 傳網(wǎng)站要與公司內(nèi)網(wǎng)企業(yè)門戶進(jìn)行整合 實現(xiàn)網(wǎng)站統(tǒng)一管理與備案 網(wǎng)站信息發(fā)布須嚴(yán)格按照公司審核發(fā) 布流程 各級單位網(wǎng)站統(tǒng)一使用公司域名 并規(guī)范網(wǎng)站功能設(shè)置及網(wǎng)站風(fēng)格設(shè)計 加強(qiáng)內(nèi)外網(wǎng)郵件統(tǒng)一管 理 禁止各級單位建立獨立內(nèi)外網(wǎng)郵件系統(tǒng) 如確實需要建立 需提前報公司批準(zhǔn) 第二十二條 加強(qiáng)信息安全備案準(zhǔn)入工作 各級單位要鞏固信息安全備案準(zhǔn)入成果 加強(qiáng)對采集類業(yè)務(wù)終 端的安全備案 嚴(yán)格各類信息資產(chǎn)安全備案作為入網(wǎng)的必要條件 加強(qiáng)安全備案數(shù)據(jù)質(zhì)量的治理工作 確 保填報信息完整 準(zhǔn)確及更新及時 對于未備案的業(yè)務(wù)系統(tǒng) 網(wǎng)絡(luò)專線 一經(jīng)發(fā)現(xiàn)立即關(guān)停 按照公司有 關(guān)要求進(jìn)行追責(zé)及處置 第二十三條 微博微信等新業(yè)務(wù)安全管理要求如下 一 強(qiáng)化對企業(yè)官方微博微信 Wi Fi 網(wǎng)絡(luò) 其他新業(yè)務(wù)的安全備案準(zhǔn)入與管理 加強(qiáng)微博微信開設(shè) 使用的安全管理 加強(qiáng)信息外網(wǎng)無線 Wi Fi 網(wǎng)絡(luò)的審批 備案與使用管理 二 各級單位要加強(qiáng)官方微博微信的開設(shè)與管理 加強(qiáng)對本單位官方微博微信所發(fā)布的內(nèi)容審查與核實 微博微信的發(fā)布終端要按照公司辦公計算機(jī)防護(hù)要求部署安全措施 公司兩級技術(shù)督查隊伍在日常的安全 督查中要加強(qiáng)對微博微信發(fā)布終端的檢查深度和頻度 三 各級單位信息外網(wǎng)使用 Wi Fi 要嚴(yán)格落實審核批準(zhǔn)與備案工作 要加強(qiáng) Wi Fi 組網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入 安 全審計 用戶身份認(rèn)證方面的安全防護(hù)技術(shù)手段 四 各級單位要控制內(nèi)網(wǎng)第三方專線接入公司信息網(wǎng)絡(luò)的專線數(shù)量 對于確需第三方接入的新業(yè)務(wù) 要 選擇安全的接入方式并強(qiáng)化落實邊界安全防護(hù)措施 第二十四條 接入安全管理要求如下 一 加強(qiáng)互聯(lián)網(wǎng)接入以及互聯(lián)網(wǎng)出口歸集統(tǒng)一管理 充分利用公司電力通信鏈路 以省級單位和三地災(zāi) 備中心為主體對下屬單位互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格管控 合并 統(tǒng)一設(shè)置和集中監(jiān)控 二 加強(qiáng)非集中辦公區(qū)域內(nèi)網(wǎng)接入安全管理 嚴(yán)格履行審批程序 按照公司集中辦公區(qū)域相關(guān)要求落實 信息安全管理與技術(shù)措施 非集中辦公區(qū)域應(yīng)采用電力通信網(wǎng)絡(luò)通道接入公司內(nèi)部網(wǎng)絡(luò) 如確實需要租用 第三方專線 應(yīng)在公司進(jìn)行備案 并嚴(yán)格按照總體防護(hù)要求采取相應(yīng)防護(hù)措施 第二十五條 規(guī)劃計劃安全管理要求如下 一 網(wǎng)絡(luò)與信息系統(tǒng)在可研設(shè)計階段應(yīng)全面分析其可能面臨的主要信息安全風(fēng)險以及對現(xiàn)有網(wǎng)絡(luò)與系統(tǒng) 流程的影響 并進(jìn)行安全需求分析 二 可研階段信息系統(tǒng)應(yīng)組織進(jìn)行信息安全防護(hù)設(shè)計 做好安全架構(gòu)規(guī)劃 形成專項信息安全防護(hù)方案 并進(jìn)行評審 專項信息安全防護(hù)方案通過評審后方可進(jìn)行后續(xù)開發(fā)工作 涉及認(rèn)證 密鑰以及數(shù)據(jù)保護(hù)等 方面需考慮與公司統(tǒng)一密鑰系統(tǒng)集成接口設(shè)計 三 網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)提前組織開展等級保護(hù)定級工作 同時重要系統(tǒng)應(yīng)提前在公司信息安全歸口管理 部門進(jìn)行備案 第二十六條 建設(shè)安全管理要求如下 一 嚴(yán)格遵循信息系統(tǒng)開發(fā)管理要求 加強(qiáng)對項目開發(fā)環(huán)境及測試環(huán)境的安全管理 確保與實際運(yùn)行環(huán) 境及辦公環(huán)境安全隔離 確保開發(fā)全過程信息安全管控 二 加強(qiáng)信息系統(tǒng)開發(fā)過程中代碼編寫的規(guī)范性 應(yīng)采用公司統(tǒng)一開發(fā)平臺進(jìn)行開發(fā) 并嚴(yán)格按照公司 統(tǒng)一安全編程規(guī)范進(jìn)行代碼編寫 定期進(jìn)行代碼審核 并組織代碼安全自測 三 加強(qiáng)代碼安全管理 確保開發(fā)過程中代碼安全保密 落實源代碼補(bǔ)丁漏洞工作 及時對代碼漏洞進(jìn) 行反饋及整改 四 規(guī)范外部軟件及插件的使用 應(yīng)使用主流的 成熟的外部軟件及插件 避免采用非商用且無安全保 證的外部軟件及插件 集成外部軟件及插件包括開源組件時 應(yīng)重視接口交互的安全 充分考慮異常的處 理 五 加強(qiáng)電力通信網(wǎng)建設(shè)的安全管理 通過識別 評估和分析等手段降低安全風(fēng)險 保證通信網(wǎng)絡(luò)建設(shè) 過程中安全可控 確保人身 設(shè)備及現(xiàn)有網(wǎng)絡(luò)的安全 第二十七條 運(yùn)維安全管理要求如下 一 網(wǎng)絡(luò)與信息系統(tǒng)上線前 重要升級前 與生產(chǎn)系統(tǒng)聯(lián)合調(diào)試前對安全防護(hù)設(shè)計遵從度 應(yīng)用軟件安 全功能 代碼安全 運(yùn)行環(huán)境安全等進(jìn)行全面測試以及整改加固 通過測試后方可正式上線試運(yùn)行 二 建立網(wǎng)絡(luò)與信息系統(tǒng)資產(chǎn)安全管理制度 加強(qiáng)資產(chǎn)的新增 驗收 盤點 維護(hù) 報廢等各環(huán)節(jié)管理 編制資產(chǎn)清單 根據(jù)資產(chǎn)重要程度對資產(chǎn)進(jìn)行標(biāo)識 加強(qiáng)對資產(chǎn) 風(fēng)險分析及漏洞關(guān)聯(lián)管理 三 加強(qiáng)機(jī)房出入管理 對機(jī)房建筑采取門禁 專人值守等措施 防止非法進(jìn)入 出入機(jī)房需進(jìn)行登記 四 加強(qiáng)信息通信設(shè)備安全管理 建立健全設(shè)備安全管理制度 加強(qiáng)設(shè)備基線策略管理以及優(yōu)化部署 制定安全基線策略配置管理要求和技術(shù)標(biāo)準(zhǔn) 規(guī)范上線 運(yùn)行軟硬件設(shè)備信息安全策略以及安全配置 五 建立通信設(shè)備軟件升級預(yù)評估制度 對其必要性和緊急性進(jìn)行評估論證 并采取相應(yīng)防范措施后 再進(jìn)行相關(guān)升級工作 六 規(guī)范賬號權(quán)限管理 系統(tǒng)上線穩(wěn)定運(yùn)行后 應(yīng)回收建設(shè)開發(fā)單位所掌握的賬號 各類超級用戶賬號 禁止多人共用 禁止由非主業(yè)不可控人員掌握 臨時賬號應(yīng)設(shè)定使用時限 員工離職 離崗時 信息系統(tǒng) 的訪問權(quán)限應(yīng)同步收回 應(yīng)定期 半年 對信息系統(tǒng)用戶權(quán)限進(jìn)行審核 清理 刪除廢舊賬號 無用賬號 及時調(diào)整可能導(dǎo)致安全問題的權(quán)限分配數(shù)據(jù) 七 規(guī)范賬號口令管理 口令必須具有一定強(qiáng)度 長度和復(fù)雜度 長度不得小于 8 位字符串 要求是 字母和數(shù)字或特殊字符的混合 用戶名和口令禁止相同 定期更換口令 更換周期不超過 6 個月 重要系 統(tǒng)口令更換周期不超過 3 個月 最近使用的 4 個口令不可重復(fù) 八 強(qiáng)化公司統(tǒng)一漏洞及補(bǔ)丁工作 加強(qiáng)對公司各級單位漏洞的采集 分析 發(fā)布 描述的集中統(tǒng)一管 理 實現(xiàn)全網(wǎng)漏洞掃描策略的統(tǒng)一制定 掃描任務(wù)的統(tǒng)一執(zhí)行 實現(xiàn)對各級單位漏洞情況以及內(nèi)外網(wǎng)補(bǔ)丁 下載 安裝情況的監(jiān)管 加強(qiáng)各種典型漏洞 補(bǔ)丁的測試驗證及整改工作 九 加強(qiáng)惡意代碼及病毒防范管理 加強(qiáng)對特種木馬的監(jiān)測 確?？蛻舳朔啦《拒浖姘惭b 嚴(yán)格要 求內(nèi)網(wǎng)病毒庫的升級頻率 加強(qiáng)病毒監(jiān)測 預(yù)警 分析及通報力度 對使用的移動設(shè)備必須進(jìn)行病毒木馬 查殺 十 加強(qiáng)遠(yuǎn)程運(yùn)維管理 不得通過互聯(lián)網(wǎng)或信息外網(wǎng)遠(yuǎn)程運(yùn)維方式進(jìn)行設(shè)備和系統(tǒng)的維護(hù)及技術(shù)支持工 作 內(nèi)網(wǎng)遠(yuǎn)程運(yùn)維要履行審批程序 并對各項操作進(jìn)行監(jiān)控 記錄和審計 有國外單位參與的運(yùn)維操作需 安排在測試仿真環(huán)境 禁止在生產(chǎn)環(huán)境進(jìn)行 十一 規(guī)范變更計劃 變更操作審批流程 變更測試 變更恢復(fù)預(yù)案等工作 嚴(yán)格系統(tǒng)變更 系統(tǒng)重要 操作 物理訪問和系統(tǒng)接入申報和審批程序 嚴(yán)格執(zhí)行工作票和操作票制度 加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)檢修過 程安全管理 預(yù)防網(wǎng)絡(luò)與信息系統(tǒng)損壞和事故發(fā)生 十二 加強(qiáng)安全審計工作 實現(xiàn)對主機(jī) 數(shù)據(jù)庫 業(yè)務(wù)應(yīng)用等多個層次集中 全面 細(xì)粒度安全審計 提高審計記錄的統(tǒng)計匯總 綜合分析能力 做到事前 事中 事后的問題追溯 十三 明確備份及恢復(fù)策略 嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過程 重要系統(tǒng)和數(shù)據(jù)備份需納入公司統(tǒng)一的災(zāi) 備系統(tǒng) 十四 涉及敏感信息的系統(tǒng)數(shù)據(jù)庫應(yīng)部署于信息內(nèi)網(wǎng) 同時加強(qiáng)對重要地理信息 客戶信息等的安全存 儲和安全傳輸?shù)却胧┑穆鋵?十五 電力通信網(wǎng)的光纜使用年限一般不應(yīng)超過設(shè)計要求 超過設(shè)計年限要求的光纜應(yīng)加強(qiáng)監(jiān)測 第四章 技術(shù)措施 第二十八條 物理安全技術(shù)工作要求如下 一 嚴(yán)格執(zhí)行信息通信機(jī)房管理有關(guān)規(guī)范 確保機(jī)房運(yùn)行環(huán)境符合要求 室內(nèi)機(jī)房物理環(huán)境安全需滿足 對應(yīng)信息系統(tǒng)等級的等級保護(hù)物理安全要求 室外設(shè)備物理安全需滿足國家對于防盜 電氣 環(huán)境 噪音 電磁 機(jī)械結(jié)構(gòu) 銘牌 防腐蝕 防火 防雷 電源等要求 四級及以上系統(tǒng)應(yīng)對關(guān)鍵區(qū)域?qū)嵤╇姶牌帘?措施 二 加強(qiáng)辦公區(qū)域安全管理 員工離開辦公區(qū)域要及時鎖定桌面終端計算機(jī)屏幕 防止外來人員接觸辦 公區(qū)域電子信息 三 重要通信設(shè)備應(yīng)滿足硬件冗余需求 如主控板卡 時鐘板卡 電源板卡 交叉板卡 支路板卡等 至少滿足 1 1 冗余需求 一些重要板卡需滿足 1 N 冗余需求 四 通信電源應(yīng)滿足電力系統(tǒng)重要業(yè)務(wù) 雙電源 冗余要求 電力系統(tǒng)重要業(yè)務(wù)應(yīng)配置兩套獨立的通信設(shè) 備 具備兩條獨立的路由 并分別由兩套獨立的電源供電 兩套通信設(shè)備和兩套電源在物理上應(yīng)完全隔離 第二十九條 網(wǎng)絡(luò)安全技術(shù)工作要求如下 一 電力通信網(wǎng)的數(shù)據(jù)網(wǎng)劃分為電力調(diào)度數(shù)據(jù)網(wǎng) 綜合數(shù)據(jù)通信網(wǎng) 分別承載不同類型的業(yè)務(wù)系統(tǒng) 電 力調(diào)度數(shù)據(jù)網(wǎng)與綜合數(shù)據(jù)網(wǎng)之間應(yīng)在物理層面上實現(xiàn)安全隔離 二 加強(qiáng)信息內(nèi)外網(wǎng)架構(gòu)管控 做好分區(qū)分域安全防護(hù) 進(jìn)一步提升用戶服務(wù)體驗 公司管理信息大區(qū) 劃分為信息外網(wǎng)和信息內(nèi)網(wǎng) 信息內(nèi)外網(wǎng)采用邏輯強(qiáng)隔離設(shè)備進(jìn)行安全隔離 信息內(nèi)外網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)分 類劃分不同業(yè)務(wù)區(qū) 各業(yè)務(wù)區(qū)按照信息系統(tǒng)防護(hù)等級以及業(yè)務(wù)系統(tǒng)類型進(jìn)一步劃分安全域 加強(qiáng)區(qū)域間用 戶訪問控制 按最小化原則設(shè)置用戶訪問暴露面 防止非授權(quán)的跨域訪問 實現(xiàn)業(yè)務(wù)分區(qū)分域管理 三 按照公司總體安全防護(hù)要求 結(jié)合電力通信網(wǎng)各類網(wǎng)絡(luò)邊界特點 嚴(yán)格按照公司要求落實訪問控制 流量控制 入侵檢測 防護(hù) 內(nèi)容審計與過濾 防隱性邊界 惡意代碼過濾等安全技術(shù)措施 防范跨域跨 邊界非法訪問及攻擊 防范惡意代碼傳播 不得從任何公共網(wǎng)絡(luò)直接接入公司內(nèi)部網(wǎng)絡(luò) 禁止內(nèi) 外網(wǎng)接 入通道混用 四 加強(qiáng)互聯(lián)網(wǎng)邊界及對外業(yè)務(wù)系統(tǒng)安全防護(hù) 進(jìn)一步提升針對互聯(lián)網(wǎng)出口 DDoS 等典型網(wǎng)絡(luò)攻擊以及 特種病毒木馬的防范能力 提高信息外網(wǎng)可靠性及安全性 五 深化信息內(nèi)外網(wǎng)邊界安全防護(hù) 加強(qiáng)內(nèi)外網(wǎng)數(shù)據(jù)交互安全過濾 保障關(guān)鍵應(yīng)用快速穿透和信息安全 交互 滿足客戶服務(wù)及時響應(yīng)需求 六 加強(qiáng)對信息內(nèi)外網(wǎng)專線的安全防護(hù) 對于與銀行等外部單位互聯(lián)的專線要部署邏輯強(qiáng)隔離措施 設(shè) 置訪問控制策略 進(jìn)行內(nèi)容監(jiān)測與審計 只容許指定的 可信的網(wǎng)絡(luò)及用戶才能進(jìn)行數(shù)據(jù)交換 七 加強(qiáng)信息內(nèi)網(wǎng)遠(yuǎn)程接入邊界安全防護(hù) 對于采用無線專網(wǎng)接入公司內(nèi)部網(wǎng)絡(luò)的采集等業(yè)務(wù)應(yīng)用 應(yīng) 在網(wǎng)絡(luò)邊界部署公司統(tǒng)一安全接入防護(hù)措施 建立專用加密傳輸通道 并結(jié)合公司統(tǒng)一數(shù)字證書體系進(jìn)行 防護(hù) 八 信息內(nèi)網(wǎng)禁止使用無線網(wǎng)絡(luò)組網(wǎng) 九 信息外網(wǎng)用無線組網(wǎng)的單位 應(yīng)強(qiáng)化無線網(wǎng)絡(luò)安全防護(hù)措施 無線網(wǎng)絡(luò)要啟用網(wǎng)絡(luò)接入控制和身份 認(rèn)證 進(jìn)行 IP MAC 地址綁定 應(yīng)用高強(qiáng)度加密算法 防止無線網(wǎng)絡(luò)被外部攻擊者非法進(jìn)入 確保無線網(wǎng) 絡(luò)安全 第三十條 終端安全技術(shù)工作要求如下 一 辦公計算機(jī)嚴(yán)格執(zhí)行 涉密不上網(wǎng) 上網(wǎng)不涉密 紀(jì)律 嚴(yán)禁將涉及國家秘密的計算機(jī) 存儲設(shè)備與 信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡(luò)連接 嚴(yán)禁在信息內(nèi)網(wǎng)計算機(jī)存儲 處理國家秘密信息 嚴(yán)禁在連接互聯(lián) 網(wǎng)的計算機(jī)上處理 存儲涉及國家秘密和企業(yè)秘密信息 嚴(yán)禁信息內(nèi)網(wǎng)和信息外網(wǎng)計算機(jī)交叉使用 嚴(yán)禁 普通移動存儲介質(zhì)和掃描儀 打印機(jī)等計算機(jī)外設(shè)在信息內(nèi)網(wǎng)和信息外網(wǎng)上交叉使用 涉密計算機(jī)按照公 司辦公計算機(jī)保密管理規(guī)定進(jìn)行管理 二 信息內(nèi)外網(wǎng)辦公計算機(jī)應(yīng)分別部署于信息內(nèi)外網(wǎng)桌面終端安全域 桌面終端安全域應(yīng)采取 IP MAC 綁定 安全準(zhǔn)入管理 訪問控制 入侵檢測 病毒防護(hù) 惡意代碼過濾 補(bǔ)丁管理 事件審計 桌面資產(chǎn) 管理等措施進(jìn)行安全防護(hù) 三 信息內(nèi)外網(wǎng)辦公計算機(jī)終端須安裝桌面終端管理系統(tǒng) 保密檢測系統(tǒng) 防病毒等客戶端軟件 嚴(yán)格 按照公司要求設(shè)置基線策略 并及時進(jìn)行病毒庫升級以及補(bǔ)丁更新 嚴(yán)禁未通過本單位信息通信管理部門 審核以及中國電科院的信息安全測評認(rèn)定工作 相關(guān)部門和個人在信息內(nèi)外網(wǎng)擅自安裝具有拒絕服務(wù) 網(wǎng) 絡(luò)掃描 遠(yuǎn)程控制和信息搜集等功能的軟件 惡意軟件 防范引發(fā)的安全風(fēng)險 如確需安裝 應(yīng)履行相 關(guān)程序 四 對于不具備信息內(nèi)網(wǎng)專線接入條件 通過公司統(tǒng)一安全防護(hù)措施接入信息內(nèi)網(wǎng)的信息采集類 移動 作業(yè)類終端 需嚴(yán)格執(zhí)行公司辦公終端 嚴(yán)禁內(nèi)外網(wǎng)機(jī)混用 的原則 同時接入信息內(nèi)網(wǎng)終端在遵循公司現(xiàn) 有終端安全防護(hù)要求的基礎(chǔ)上 要安裝終端安全?？剀浖M(jìn)行安全加固 并通過安全加密卡進(jìn)行認(rèn)證 確 保其不能連接信息外網(wǎng)和互聯(lián)網(wǎng) 第三十一條 主機(jī)安全技術(shù)工作要求如下 一 對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進(jìn)行身份標(biāo)識和鑒別 具有登錄失敗處理 限制非法登錄次數(shù) 設(shè)置 連接超時功能 二 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶應(yīng)進(jìn)行訪問權(quán)限分離 對訪問權(quán)限一致的用戶進(jìn)行分組 訪問控制 粒度應(yīng)達(dá)到主體為用戶級 客體為文件 數(shù)據(jù)庫表級 禁止匿名用戶訪問 三 加強(qiáng)補(bǔ)丁的兼容性和安全性測試 確保操作系統(tǒng) 中間件 數(shù)據(jù)庫等基礎(chǔ)平臺軟件補(bǔ)丁升級安全 四 加強(qiáng)主機(jī)服務(wù)器病毒防護(hù) 安裝防病毒軟件 及時更新病毒庫 第三十二條 應(yīng)用安全技術(shù)工作要求如下 一 強(qiáng)化用戶登陸身份認(rèn)證功能 采用用戶名及口令進(jìn)行認(rèn)證時 應(yīng)當(dāng)對口令長度 復(fù)雜度 生存周期 進(jìn)行強(qiáng)制要求 系統(tǒng)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能 禁止口令在系統(tǒng)中以明文形式 存儲 系統(tǒng)應(yīng)當(dāng)提供制定用戶登錄錯誤鎖定 會話超時退出等安全策略的功能 二 規(guī)范應(yīng)用系統(tǒng)權(quán)限的設(shè)計與使用 實現(xiàn)用戶 組織 角色 權(quán)限信息統(tǒng)一集中管理 權(quán)限分配應(yīng)按 照最小權(quán)限原則 審核角色 系統(tǒng)管理角色 業(yè)務(wù)操作角色 賬號創(chuàng)建角色與權(quán)限分配角色等應(yīng)按照互斥 原則設(shè)置權(quán)限 三 根據(jù)信息系統(tǒng)安全級別強(qiáng)化應(yīng)用自身安全設(shè)計 應(yīng)包括身份認(rèn)證 授權(quán) 輸入輸出驗證 配置管理 會話管理 加密技術(shù) 參數(shù)操作 異常管理 日志及審計等方面內(nèi)容 四 控制單個用戶的多重并發(fā)會話和最大并發(fā)連接數(shù) 限制單個用戶對系統(tǒng)資源 磁盤空間的最大或最 小使用限度 當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時 應(yīng)能檢測并報警 五 加強(qiáng)郵件敏感內(nèi)容檢查 郵件病毒查殺 外網(wǎng)郵件行為監(jiān)測 社會郵箱收發(fā)件統(tǒng)計等安全措施 防 范郵件系統(tǒng)攻擊及郵件泄密 六 具有控制功能的系統(tǒng)或模塊 控制類信息必須通過生產(chǎn)控制大區(qū)網(wǎng)絡(luò)或?qū)＞€傳輸 嚴(yán)格遵守電力二 次系統(tǒng)安全防護(hù)方案 實現(xiàn)系統(tǒng)主站與終端間基于國家認(rèn)可密碼算法的加密通信 基于數(shù)字證書體系的身 份認(rèn)證 對主站的控制命令和參數(shù)設(shè)置指令須采取強(qiáng)身份認(rèn)證及數(shù)據(jù)完整性驗證等安全防護(hù)措施 七 對與互聯(lián)網(wǎng)有廣泛交互的應(yīng)用系統(tǒng)或模塊 以及部署在信息外網(wǎng)的系統(tǒng)與網(wǎng)站 要加強(qiáng)權(quán)限管理 做好主機(jī) 應(yīng)用的安全加固 加強(qiáng)賬號 密碼 重要數(shù)據(jù)等加密存儲 對需要穿透訪問信息內(nèi)網(wǎng)的數(shù)據(jù)或 服務(wù) 嚴(yán)格限制訪問數(shù)據(jù)的格式 過濾必要的特殊字符組合以防止注入攻擊 建立常態(tài)外網(wǎng)安全巡檢 加 固 檢修以及應(yīng)急演練等工作機(jī)制 做好日常網(wǎng)站備份工作 八 具有采集功能的系統(tǒng)或模塊 根據(jù)采集信息的保密性 在采用公司專線 光纖 載波等 接入內(nèi)網(wǎng) 進(jìn)行信息采集時 應(yīng)采用身份認(rèn)證和訪問控制措施 不具備專線條件時 應(yīng)在虛擬專網(wǎng)基礎(chǔ)上采用終端身 份認(rèn)證 訪問控制措施 建立加密傳輸通道進(jìn)行信息采集 要加強(qiáng)對采集終端存儲和處理敏感業(yè)務(wù)數(shù)據(jù)的 安全防護(hù) 以保證業(yè)務(wù)數(shù)據(jù)的保密性和完整性 第三十三條 數(shù)據(jù)安全技術(shù)工作要求如下 一 從終端 網(wǎng)絡(luò)以及存儲三個層面加強(qiáng)對敏感數(shù)據(jù)進(jìn)行檢測與分析 實現(xiàn)對公司各種敏感數(shù)據(jù)存儲 數(shù)據(jù)操作權(quán)限 數(shù)據(jù)外發(fā)等進(jìn)行安全保護(hù)與控制 二 重要和敏感信息 如商密定級文件 公司 OA 公文 電子文件等 實行加密傳輸 授權(quán)控制 操作 審計及監(jiān)控 對重要信息實行自動 定期備份 按需進(jìn)行恢復(fù)測試 確保備份數(shù)據(jù)的可用性 三 嚴(yán)格落實公司電子數(shù)據(jù)恢復(fù) 擦除與銷毀管理技術(shù)要求 加強(qiáng)處理過程中的存儲介質(zhì)管理 全程現(xiàn) 場監(jiān)控以及安全保密等工作 第三十四條 深化信息安全監(jiān)測手段 擴(kuò)展監(jiān)控范圍 實現(xiàn)對各類網(wǎng)絡(luò)及邊界 網(wǎng)站及應(yīng)用系統(tǒng) 終端以 及密鑰使用情況等的全方位 實時安全監(jiān)控 做好信息安全監(jiān)測預(yù)警 指標(biāo)發(fā)布及深化治理工作 第三十五條 電網(wǎng)工業(yè)控制系統(tǒng)應(yīng)納入電力二次系統(tǒng)管理 加強(qiáng)電網(wǎng)工業(yè)控制系統(tǒng)安全保障工作 推進(jìn)工 業(yè)控制系統(tǒng)安全檢測技術(shù)研究和工具研發(fā) 做好電網(wǎng)工控系統(tǒng)安全測評 關(guān)鍵設(shè)備安全檢測及防護(hù)整改等 工作 進(jìn)一步提高漏洞分析 漏洞發(fā)布 隱患排查和應(yīng)急處理能力 第三十六條 加強(qiáng)云計算 物聯(lián)網(wǎng) 可信計算 下一代互聯(lián)網(wǎng)等方面的信息安全技術(shù)研究與應(yīng)用 強(qiáng)化對 新技術(shù)的檢測 驗證 評估及審核 超前分析新技術(shù)應(yīng)用帶來的安全風(fēng)險和隱患 提前采取措施予以防范 不得采用與公司信息安全策略與要求相違背的信息通信技術(shù) 不得應(yīng)用存在信息安全隱患的新技術(shù) 第三十七條 針對暴露面及新型安全威脅 圍繞隱患發(fā)現(xiàn) 防護(hù)處置 監(jiān)測對抗 應(yīng)急恢復(fù)等能力 建立 穩(wěn)定 專業(yè)的技術(shù)支撐隊伍 從研發(fā)安全 安全檢測 防病毒管理 統(tǒng)一密鑰管理 漏洞補(bǔ)丁管理 紅藍(lán) 對抗 安全監(jiān)控 應(yīng)急恢復(fù) 新技術(shù)研究與架構(gòu)設(shè)計等方面開展專項技防能力建設(shè) 實現(xiàn)技術(shù)手段和管理 措施的有效融合 實現(xiàn)內(nèi)外部綜合協(xié)同 資源共享和整體聯(lián)動 提升公司信息安全協(xié)同防御和體系對抗能 力 第五章 檢查考核 第三十八條 各級單位應(yīng)建立網(wǎng)絡(luò)與信息系統(tǒng)安全檢查考核機(jī)制 根據(jù)工作需要 制定科學(xué) 規(guī)范的檢查 考核指標(biāo)體系 第六章 附 則 第三十九條 本辦法由國網(wǎng)信通部負(fù)責(zé)解釋并監(jiān)督執(zhí)行 第四十條 本辦法自 2014 年 11 月 1 日起施行 原 國家電網(wǎng)公司信息系統(tǒng)安全管理辦法 國家電網(wǎng)信 息 2008 201 號 國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報制度 信息技術(shù) 2007 65 號 同時廢止 附件 1 國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報規(guī)范 一 總則 一 為加強(qiáng)國家電網(wǎng)公司 以下簡稱 公司 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行管理 進(jìn)一步規(guī)范完善公司網(wǎng)絡(luò) 與信息系統(tǒng)安全運(yùn)行情況通報工作 有效保障通報工作有序開展 切實落實上情下達(dá) 下情上達(dá) 協(xié)調(diào)和 服務(wù)保障的任務(wù) 依據(jù) 電力行業(yè)網(wǎng)絡(luò)與信息安全信息通報暫行辦法 中央企業(yè)網(wǎng)絡(luò)與信息安全信息 通報工作指導(dǎo)意見 試行 制定本規(guī)范 二 本規(guī)范所指網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況是指信息網(wǎng)絡(luò)和系統(tǒng)故障和癱瘓 信息系統(tǒng)數(shù)據(jù)丟失和信 息泄密 信息系統(tǒng)受到病毒感染和惡意滲透 攻擊 有害信息在網(wǎng)站傳播等信息安全事件以及跟蹤發(fā)現(xiàn)的 外部信息安全輿情 三 本規(guī)范適用于公司總 分 部及所屬各級單位的網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報管理工作 四 公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報工作按照 誰主管誰負(fù)責(zé) 誰運(yùn)營誰負(fù)責(zé) 的工作原則 實行 統(tǒng)一領(lǐng)導(dǎo) 分級管理 逐級上報 的工作方針 以加強(qiáng)公司各級單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行的信息共享 和統(tǒng)一應(yīng)急處置工作 二 職責(zé)分工 一 國網(wǎng)信通部負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報的歸口管理工作 主要職責(zé) 1 負(fù)責(zé)建立公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報的規(guī)章制度 并督促執(zhí)行 2 負(fù)責(zé)與國家有關(guān)部門建立聯(lián)系 及時接收和轉(zhuǎn)發(fā)國家有關(guān)部門發(fā)布的信息通報 并按時向國家有關(guān) 部門報送相關(guān)材料 3 負(fù)責(zé)匯總總部電力二次系統(tǒng) 電力通信骨干網(wǎng)絡(luò) 總部信息系統(tǒng) 以及公司各單位的安全運(yùn)行情況 通報 4 負(fù)責(zé)建立與國家有關(guān)部門的信息安全通報聯(lián)系 對于重大事件啟動聯(lián)合應(yīng)急機(jī)制 并協(xié)調(diào)國家相關(guān) 部門協(xié)助處置 二 國調(diào)中心負(fù)責(zé)匯總公司范圍內(nèi)有關(guān)電力二次系統(tǒng)安全運(yùn)行情況 并抄送國網(wǎng)信通部歸口統(tǒng)計 三 國網(wǎng)信通公司負(fù)責(zé)將電力通信骨干網(wǎng)絡(luò)和總部信息系統(tǒng)安全運(yùn)行情況匯總報送國網(wǎng)信通部和國網(wǎng)運(yùn) 監(jiān)中心 并將電力通信骨干網(wǎng)絡(luò)安全運(yùn)行情況抄送給國調(diào)中心 四 公司各級單位信息通信管理部門負(fù)責(zé)本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報的歸口管理工 作 主要職責(zé) 1 負(fù)責(zé)建立本單位信息安全通報工作體系 落實通報負(fù)責(zé)人 聯(lián)絡(luò)員及后備聯(lián)絡(luò)員等相關(guān)人員與職責(zé) 各級單位要指定一名負(fù)責(zé)人 一名聯(lián)絡(luò)員和一名后備聯(lián)絡(luò)員 填寫公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報 基本情況備案表 見附表一 并報送上級主管部門備案 聯(lián)絡(luò)人員聯(lián)系方式如有變動 應(yīng)及時報告國上 級主管部門 2 負(fù)責(zé)結(jié)合實際情況 建立本單位信息安全通報的規(guī)章制度 并督促執(zhí)行 3 負(fù)責(zé)匯總本單位范圍內(nèi)電力通信網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行情況 按時按需向上級主管部門報送本 單位快報 月報 年報 特殊時期信息安全日報 安全事件專報 4 負(fù)責(zé)匯總本單位發(fā)現(xiàn)的信息安全事件和突發(fā)工作 如公安機(jī)關(guān)檢查情況 以及跟蹤發(fā)現(xiàn)的外部信 息安全輿情 并報送至上級主管部門 5 負(fù)責(zé)匯總本單位信息安全重點工作開展情況 突出本單位特色 自行開展的信息安全工作 以及對 公司信息安全工作建議 并報送至上級主管部門 6 負(fù)責(zé)總結(jié)本單位信息安全工作典型經(jīng)驗 并報送至上級主管部門 7 負(fù)責(zé)向下級單位轉(zhuǎn)發(fā)國網(wǎng)信通部發(fā)布的各類信息安全事件通報 預(yù)警通報 負(fù)責(zé)接收 匯總反饋情 況 報送至上級主管部門 五 公司各級單位調(diào)度部門按照電力二次系統(tǒng)信息報送要求 將本單位電力二次系統(tǒng)安全運(yùn)行情況上報 國調(diào)中心 遇重大 緊急突發(fā)安全事件時 抄送給信息通信管理部門 六 中國電科院負(fù)責(zé)對總部范圍內(nèi)信息安全通報相關(guān)工作提供技術(shù)支持 并協(xié)助開展安全事件 安全隱 患 安全漏洞 安全輿情的分析 研判等工作 八 省公司督查隊伍負(fù)責(zé)對本省內(nèi)信息安全通報相關(guān)工作提供技術(shù)支持 并協(xié)助開展安全事件 安全隱 患 安全漏洞 安全輿情的分析 研判等工作 三 內(nèi)容及分類 一 網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報內(nèi)容主要包括 1 電子公告服務(wù) 群發(fā)電子郵件以及廣播式即時通信等網(wǎng)絡(luò)服務(wù)中反動有害信息的傳播情況 2 利用網(wǎng)絡(luò)從事違法犯罪活動的情況 3 已經(jīng)確定或可能發(fā)生的計算機(jī)病毒 網(wǎng)絡(luò)攻擊情況 4 網(wǎng)絡(luò)恐怖活動的嫌疑情況和預(yù)警信息 5 網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常 網(wǎng)絡(luò)和信息癱瘓 應(yīng)用服務(wù)中斷或數(shù)據(jù)纂改 丟失等情況 6 網(wǎng)絡(luò)安全狀況 安全形勢分析預(yù)測等信息 7 跟蹤發(fā)現(xiàn)的各類外部信息安全輿情 8 其他影響網(wǎng)絡(luò)與信息安全的信息 二 網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報分為快報 月報 年報 特殊時期安全運(yùn)行日報以及安全事件專 報 三 公司各級單位的網(wǎng)絡(luò)與信息系統(tǒng)在運(yùn)行過程中如出現(xiàn)以下任一情形 需填寫網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn) 行快報 格式見附表二 并逐級上報 相關(guān)情形包括 1 網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生嚴(yán)重故障和癱瘓 2 信息系統(tǒng)重要數(shù)據(jù)丟失和信息泄密 3 信息系統(tǒng)受到較大面積病毒感染和惡意滲透 攻擊 4 有害信息在網(wǎng)站較大面積傳播 5 其他較嚴(yán)重或上級部門指定以快報形式上報的信息安全事件 四 公司各級單位每月需填寫網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報 格式見附表三 并上報上級主管部門 月報應(yīng)包括以下內(nèi)容 1 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行指標(biāo)情況及分析 2 網(wǎng)絡(luò)與信息系統(tǒng)安全信息情況 3 安全事件統(tǒng)計與分析 4 本月網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行工作開展情況 5 對公司信息安全工作建議 五 公司各級單位每年需進(jìn)行年度總結(jié)報告 以下簡稱年報 并以書面形式上報上級主管部門 年報 應(yīng)包括以下內(nèi)容 1 負(fù)責(zé)運(yùn)行維護(hù)的設(shè)備和信息系統(tǒng)的基本情況 2 安全與運(yùn)行管理工作簡況 3 年度信息安全與運(yùn)行指標(biāo)工作總結(jié)與分析 要對信息系統(tǒng)的主要設(shè)備 事故 障礙 故障和異常情 況及原因進(jìn)行統(tǒng)計 匯總和分析 4 對影響設(shè)備和信息系統(tǒng)安全運(yùn)行的主要原因和問題進(jìn)行分析 5 下一年度安全與運(yùn)行擬開展的重點工作 六 根據(jù)國家有關(guān)規(guī)定公司在特殊時期執(zhí)行日報告制度 公司各級單位在接到相關(guān)通知后 根據(jù)制度要 求及時向上級主管部門報送網(wǎng)絡(luò)與信息系統(tǒng)特殊時期安全運(yùn)行日報 格式見附表四 其中如未發(fā)生異常 情況 仍要以日報形式進(jìn)行平安報告 在此期間 國網(wǎng)信通部負(fù)責(zé)每日對公司各單位信息安全報告進(jìn)行匯 總 分析 研判 并將結(jié)果及時報送國家有關(guān)單位 七 中國電科院需向公司信通部報送各類信息安全事件專報 專報包括 1 信息安全監(jiān)測深度分析 根據(jù)當(dāng)月信息安全監(jiān)測情況 基于數(shù)字分析公司整體信息安全情況 總結(jié) 存在的信息安全隱患問題以及監(jiān)測工作本身的不足 并提出相關(guān)建議 2 信息安全監(jiān)測發(fā)現(xiàn)重大事件 對信息安全監(jiān)測發(fā)現(xiàn)的重大事件進(jìn)行分析 并提出解決建議 3 信息安全事件分析 不定期跟蹤公司及外部信息安全重大事件和典型事件 分析事件成因 問題 以及對公司信息安全工作的啟示和舉措 4 信息安全輿情跟蹤 雙周跟蹤國內(nèi)外信息安全事件 漏洞 政策 會議 技術(shù)等輿情 5 新技術(shù) 新應(yīng)用 新業(yè)務(wù)信息安全情況分析 不定期跟蹤新技術(shù) 新應(yīng)用 新業(yè)務(wù)在公司的開展情 況 分析其中信息安全情況 并提出相關(guān)建議 四 報送要求 一 公司各級單位通過公司信息通信業(yè)務(wù)管理系統(tǒng)上報網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報 日報 安全運(yùn)行 快報主要通過電子郵件和傳真報送 二 公司各級單位在執(zhí)行快報上報時 需在二十四小時內(nèi)完成上報工作 特別緊急情況需第一時間通過 電話等方式立即向國網(wǎng)信通部相關(guān)負(fù)責(zé)人員做口頭匯報 三 公司各級單位需在每個月前兩個工作日內(nèi)完成上個月的月報上報工作 國網(wǎng)信通部對公司的安全運(yùn) 行情況匯總分析后 于第三個工作日將公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況報送國家相關(guān)單位 四 公司各級單位的年報工作與本年度最后一期月報一并上報 五 公司各級單位應(yīng)及時 全面 準(zhǔn)確報送信息 不得瞞報 緩報 謊報網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況 六 公司各級單位應(yīng)按照國家保密規(guī)定 做好本單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報的保密工作 附表一 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報基本情況備案表 單位名稱 責(zé)任部門 安全運(yùn)行情況通報負(fù)責(zé)人 姓名 職務(wù) 郵編 信通地址 電話 手機(jī) 電子郵件 安全運(yùn)行情況通報聯(lián)絡(luò)人 姓名 職務(wù) 郵編 信通地址 電話 手機(jī) 電子郵件 后備聯(lián)絡(luò)人 姓名 職務(wù) 郵編 信通地址 電話 手機(jī) 電子郵件 其他聯(lián)絡(luò)人 填表說明 審核人 批準(zhǔn)人 填表人 填報時間 附表二 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行快報 報告單位 報告時間 事件起止時間 自 年 月 日至 年 月 日 審核人 批準(zhǔn)人 報告人 通信方式 事件簡單描述 事件影響范圍和危害程度初步估計 處置措施和初步結(jié)果 備注 附表三 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報 單位名稱 報告時間 系統(tǒng)運(yùn)行期間 起始日期 截止日期 網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行指標(biāo)情況及分析 網(wǎng)絡(luò)與信息系統(tǒng)安全信息情況 安全審計統(tǒng)計與分析 本月網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行工作開展情況 備注 審核人 批準(zhǔn)人 報告人 通信方式 附表四 網(wǎng)絡(luò)與信息系統(tǒng)特殊時期安全運(yùn)行日報 單位名稱 報告時間 系統(tǒng)運(yùn)行期間 年 月 日 網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行狀況描述 發(fā)生的網(wǎng)絡(luò)與信息系統(tǒng)事件描述 時間 類型 起因與過程 影響范圍 損失及危害情況 分析研判結(jié)果 整改措施 備注 審核人 批準(zhǔn)人 報告人 通信 方式