0101--中电投东北电力有限公司信息系统安全管理制度

中电投东北电力有限公司规章制度发布通知2009年第101号《中电投东北电力有限公司信息系统安全管理制度》已经于2009年6月23日审阅通过，现予发布，自发布之日起施行。签发人：二〇〇九年六月二十三日规章制度控制表制度名称中电投东北电力有限公司信息系统安全管理制度制度编号CPIDB-AS-53版本签发日期下次评估时间起草人部门审核分管领导审核签发人是否修订20092009.62010.6郑飞桂虹余兵程志光否此次修订的主要内容解释部门东北公司安全监督与生产部实施及完善执行人安全监督与生产部信息管理专责中电投东北电力有限公司信息系统安全管理制度1目的加强中电投东北电力有限公司（以下简称“东北公司”）的计算机信息系统安全，规范东北公司系统网络与信息安全情况报告程序，保证计算机信息系统可用性、保密性、完整性。2适用范围本制度适用于东北公司本部及所属单位。3引用标准及关联制度3.1中华人民共和国1994年2月18日颁布《计算机信息系统安全保护条例》3.2公安部1997年12月30日颁布《计算机信息网络国际联网安全保护管理办法》3.3中国电力投资集团公司《网络与信息安全情况报告暂行办法》4专用术语定义4.1计算机信息系统安全：是指在可以接受的成本范围内，识别、控制并减少或者消除可能影响信息系统的安全风险，主要包括中心机房防护、计算机网络系统安全、应用系统安全、防病毒管理和防黑客攻击、重要信息的备份措施和备份介质安置。4.2可用性：是指网络资源在需要时即可使用，即保证合法用户正常的访问网络资源，有严格时间要求的服务能得到及时响应。4.3完整性：是指网络中的信息安全，精确与有效，不因为因素而改变信息原有的内容、形式或流向保密性，指网络中有保密要求的信息只能经过允许的方式向经过允许的人员透露5职责5.1安全监督与生产部主要职责5.1.1安全监督与生产部是东北公司的整体网络与信息安全的管理部门，负责东北公司本部和下属电厂网络和信息安全信息的收集、分析并协调处置、制定网络安全的技术措施和应急预案。5.1.2负责安全报告的审批、制度的修编、审查和执行过程的检查，确保制度的有效性。5.1.3统一收集东北公司本部和所属发电公司的网络与信息安全信息汇总上报集团公司。5.1.4配合人力资源部开展计算机信息安全培训。5.2人力资源部职责及时将东北公司本部部门调整信息、员工人数及岗位变更信息通知安全监督与生产部，协助安全监督与生产部完成员工网络授权管理。5.3东北公司员工职责5.3.1发现计算机安全问题必须及时告知安全监督与生产部。5.3.2及时阅读安全监督与生产部公布的计算机信息安全公告，并采取相应安全措施。5.3.3自觉遵守国家法律法规和公司规章制度，不得使用计算机从事违法活动。5.4所属三级单位职责负责安全报告的收集、汇总、分析、汇报，安全制度的指定和执行，收集反馈意见，提出修改意见。6工作内容、要求与程序6.1总则东北公司员工在使用局域网和浏览互联网时，应当遵守国家有关法律、行政法规，严格执行安全保密制度。不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。6.2计算机机房安全管理6.2.1计算机机房是东北公司信息管理的重要场所，由安全监督与生产部负责管理，并制定严格的机房管理制度。6.2.2机房实行出入授权管理，未经许可不得擅自进入机房。6.2.3机房的设计、装修及布置应符合计算机应用要求，应具备消防、防雷、抗干扰等措施，并设置明显标识。6.2.4机房内所有设备(包括软件)应实行定置管理，建立相应设备台账、软件及版本登记。6.2.5机房内所有设备的操作必须实行授权，建立机房设备日常检查日志，每日至少对服务器进行一次日常检查，对所有操作及日常检查工作应建立记录。每月的第一周，应对上月的记录进行整理归档。6.3网络安全管理6.3.1网络分类管理东北公司计算机网络应实行分类管理并进行安全等级保护。按系统可分为生产运行计算机网络、管理信息系统计算机网络和互联网接入等计算机网络。各网络间必须相互隔离，信息传递必须通过防火墙或网关机进行，并设置可靠的安全策略。6.3.2网络授权管理6.3.2.1东北公司员工加入公司局域网必须由人力资源部提出入职通知，由安全监督与生产部向申请人开设用户账号、邮件账户及初始密码，并根据员工岗位职能授予相应的网络权限。6.3.2.2东北公司员工禁止盗用别人的用户和口令使用信息系统。员工不得将自己的口令告诉别人，由此造成的后果由本人承担。6.3.2.3员工工作变动或部门调整后，人力资源部应及时更改人力资源信息系统的人员信息并告知公司各部门，安全监督与生产部根据人力资源部的通知调整员工的网络用户权限。6.3.2.4外来人员如需进入本公司网络必须经过安全监督与生产部许可。6.3.2.5禁止任何人进行超出自身权限绕过安全内核，窃取信息资源的行为。6.3.2.6东北公司员工在工作中途离开之前应采取有效方式锁定计算机(如屏幕保护或锁定计算机)，以防止重要数据的遗失及外泄。6.4防病毒和防黑客6.4.1建立防病毒管理系统安全监督与生产部负责在公司范围内建立有效的防病毒管理系统，并定期更新防病毒版本及病毒定义码，对计算机使用的操作系统及时安装最新的补丁程序。6.4.2个人计算机防病毒管理6.4.2.1东北公司配备给员工的计算机不得外借他人，仅提供本人工作使用。6.4.2.2使用东北公司购买的正版防病毒管理软件，并启动实时防护功能。使用上述指定的防病毒管理软件，定期进行病毒检测和清除。发现计算机病毒应当及时清除，无法清除的，应及时上报并做好隔离控制措施，防止继续蔓延。6.4.2.3东北公司员工只能安装经过安全监督与生产部许可、用于工作需要的软件，不得使用来历不明、可能引发病毒传染的软件。6.4.2.4外来的计算机媒体，如光盘、软盘，必须经过病毒检查和处理，方可进入公司的计算机信息系统。6.4.2.5外借的媒体返同时，应进行病毒检查。6.4.2.6经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。6.4.3防黑客措施6.4.3.1除安全监督与生产部人员管理网络需要外，在东北公司内部禁止使用工具软件进行网络嗅探和网络数据包分析。6.4.3.2严禁任何人使用工具软件进行密码试探。6.4.3.3在路由和防火墙上禁止不必要的端口访问，并每日检查访问日志防止黑客攻击。6.5资料备份6.5.1所有服务器、关键交换机的技术资料应保存完好。6.5.2关键服务器必须采用raid5磁盘阵列。6.5.3管理信息系统数据库必须做到每周循环备份，备份介质可采用磁盘或磁带。在采用磁盘的情况下，宜将备份放在其他服务器上。6.5.4每月第一周应将企业关键信息数据做一次全备份并刻录到光盘上妥善保存。保存必须在2个不相连接的物理位置。6.5.5所有关键网络设备配置资料必须做好备份。6.6信息安全情况报告管理6.6.1东北公司所属各单位按照“谁主管、谁负责、谁运营、谁负责”的原则，加强对网络与信息安全工作的管理。所属各单位的信息化工作小组要协调开展网络与信息安全情况报告工作中的有关问题。6.6.2网络与信息安全情况报告分为《网络与信息安全情况月报》和不定期的《网络与信息安全突发事件报告》，两种报告分别独立编号。报告流程见附图。《网络与信息安全突发事件报告》适用于各单位报告网络与信息安全突发事件。如发生网络与信息安全事件涉及反动有害内容或影响安全生产，要立即报东北公司安全监督与生产部，同时口头报告给东北公司值班电话并在6小时内提出初步分析报告;在判明事件类型、危害情况后立即报告详细情况。6.6.3网络与信息安全报告内容包括:6.6.3.1电子公告服务、群发电子邮件及广播式即时通信和短消息等网络服务中反动有害消息的传播情况。6.6.4.2利用网络从事违法犯罪活动的情况。6.6.4.3已经确定或可能发生的计算机病毒、网络攻击情况。6.6.4.4网络恐怖活动的嫌疑情况和预警信息。6.6.4.5网络或信息系统通信和资源使用异常，网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。6.6.4.6网络安全状况分析预测等信息。6.6.4.7其他影响网络与信息安全的信息。6.6.5发生隐瞒、缓报、谎报网络与信息安全事件的由相关单位自行负责。7支持性文件及相关图表7.1相关图表7.1.1信息安全管理流程图（见附件1）7.1.2网络与信息安全突发事件报告（见附件2）7.1.3网络与信息安全情况月报（见附件3）7.1.4制度执行情况反馈意见表（见附件4）附件1：信息安全管理流程图东北公司信息安全管理流程图东北公司所属单位安全监督与生产部分管领导集团公司每月倒数3个工作日前4小树立即电话通知6小时3天4小时填写网络与信息安全月报汇总月报重大安全事件初步分析报告分析汇报领导审核详细分析报告信息通报上报集团附件2：网络与信息安全突发事件报告网络与信息安全突发事件报告编号：事件时间事件类型：影响范围：损失及危害：分析研判：措施与效果：结束附件3：网络与信息安全情况月报网络与信息安全情况月报编号：单位时间网络与信息系统运行情况：网络与信息安全情况：附件3制度执行情况反馈意见表制度名称中电投东北电力有限公司信息系统安全管理制度制度编号CPIDB-AS-53执行中发现的问题