信息系統(tǒng)安全管理辦法

大唐國(guó)際發(fā)電股份國(guó)際內(nèi)蒙古分公司信息系統(tǒng)平安管理方法第一章總則第一條為了確保分公司計(jì)算機(jī)管理信息系統(tǒng)的網(wǎng)絡(luò)平安和信息平安，使公司的網(wǎng)絡(luò)資源、信息資源得到有效的保護(hù)，防止發(fā)生竊密和泄密事件的發(fā)生，依據(jù)國(guó)家有關(guān)法律、法規(guī)，以及大唐國(guó)際信息系統(tǒng)平安管理規(guī)定，制定本管理方法。第二條本方法中的計(jì)算機(jī)管理信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。計(jì)算機(jī)管理信息系統(tǒng)平安泛指與計(jì)算機(jī)管理信息系統(tǒng)的運(yùn)行環(huán)境、系統(tǒng)配置、設(shè)備配置、軟件配置、帳號(hào)、防病毒、防黑客、系統(tǒng)功能使用、應(yīng)用業(yè)務(wù)應(yīng)用、信息保密等方面的組織、管理和操作有關(guān)的工作。第三條本方法適用于分公司各部門(mén)、各單位。第二章機(jī)構(gòu)及職責(zé)第四條計(jì)算機(jī)管理信息系統(tǒng)的平安管理要遵循統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)籌規(guī)劃、強(qiáng)化管理和全面防范的原則。第五條公司信息化領(lǐng)導(dǎo)小組負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)平安管理的領(lǐng)導(dǎo)和決策?？偨?jīng)理工作部是計(jì)算機(jī)信息平安管理的職能部門(mén)，負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)平安的監(jiān)督與日常管理?？偨?jīng)理工作部要落實(shí)專(zhuān)人負(fù)責(zé)管理信息系統(tǒng)網(wǎng)絡(luò)與信息平安的技術(shù)管理與檢查、監(jiān)督工作。第三章平安措施第六條網(wǎng)絡(luò)平安〔一〕計(jì)算機(jī)管理信息系統(tǒng)的規(guī)劃、設(shè)計(jì)和實(shí)施必須符合網(wǎng)絡(luò)與信息平安建設(shè)的相關(guān)標(biāo)準(zhǔn)，能夠滿(mǎn)足平安運(yùn)行和信息保密的需要。〔二〕計(jì)算機(jī)管理信息系統(tǒng)的建設(shè)過(guò)程中，必須同步設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)與信息平安系統(tǒng)?！踩秤?jì)算機(jī)管理信息系統(tǒng)所采用的網(wǎng)絡(luò)和信息平安產(chǎn)品，必須經(jīng)過(guò)國(guó)家認(rèn)可的相關(guān)機(jī)構(gòu)的測(cè)評(píng)認(rèn)證，并履行相關(guān)的審批手續(xù)。〔四〕公司內(nèi)部網(wǎng)與公司外部網(wǎng)〔國(guó)際互聯(lián)網(wǎng)、電力系統(tǒng)廣域網(wǎng)等〕之間的互聯(lián)，必須采取有效的物理隔離和訪問(wèn)控制措施。〔五〕公司內(nèi)部網(wǎng)與用于生產(chǎn)監(jiān)控的網(wǎng)絡(luò)系統(tǒng)之間必須采取有效的物理隔離和訪問(wèn)控制措施。第七條系統(tǒng)平安〔一〕管理信息系統(tǒng)的網(wǎng)絡(luò)設(shè)備、效勞器設(shè)備、網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)在安裝、調(diào)試完畢后，必須有準(zhǔn)確無(wú)誤的系統(tǒng)安裝、配置文檔，該文檔除由網(wǎng)絡(luò)管理人員統(tǒng)一、妥善保管外，還應(yīng)在公司的檔案中心進(jìn)行存檔?！捕尘W(wǎng)絡(luò)管理員和數(shù)據(jù)庫(kù)管理員在修改和調(diào)整以上設(shè)備和系統(tǒng)的配置參數(shù)后，要及時(shí)、準(zhǔn)確地做好操作記錄，并妥善保管?！踩尘W(wǎng)絡(luò)管理員和數(shù)據(jù)庫(kù)管理員應(yīng)定期修改和更換以上設(shè)備和系統(tǒng)的系統(tǒng)口令和管理口令，并做好記錄，妥善保管?！菜摹尘W(wǎng)絡(luò)管理員要經(jīng)常檢查設(shè)備和系統(tǒng)的漏洞，及時(shí)升級(jí)系統(tǒng)和安裝補(bǔ)丁程序，消除系統(tǒng)和設(shè)備的潛在平安隱患?！参濉尘W(wǎng)絡(luò)管理人員在根據(jù)網(wǎng)絡(luò)系統(tǒng)應(yīng)用需求增加和調(diào)整網(wǎng)絡(luò)效勞功能后，要及時(shí)檢查和調(diào)整平安設(shè)備的控制機(jī)制和訪問(wèn)策略?！擦尘W(wǎng)絡(luò)管理員要采用必要的技術(shù)手段和測(cè)試工具，經(jīng)常對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行跟蹤和分析，及時(shí)發(fā)現(xiàn)和消除網(wǎng)絡(luò)資源的非法訪問(wèn)和黑客攻擊行為。第八條應(yīng)用平安〔一〕應(yīng)用軟件系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)要確保系統(tǒng)的用戶(hù)訪問(wèn)權(quán)限、帳號(hào)和口令具有可管理性。軟件維護(hù)人員要確保用戶(hù)權(quán)限分配合理，帳號(hào)口令設(shè)置嚴(yán)密，并定期對(duì)帳號(hào)、口令進(jìn)行更改，以增加應(yīng)用系統(tǒng)的平安性?！捕硵?shù)據(jù)庫(kù)管理員和軟件維護(hù)人員要定期〔每月至少2次〕對(duì)應(yīng)用系統(tǒng)的管理員帳號(hào)、用戶(hù)帳號(hào)進(jìn)行檢查，確保帳號(hào)設(shè)置的有效性和唯一性，確保訪問(wèn)權(quán)限的資源分配合理、正確。第九條數(shù)據(jù)平安〔一〕數(shù)據(jù)庫(kù)管理員對(duì)數(shù)據(jù)庫(kù)效勞器的數(shù)據(jù)管理要制定一套完善的數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)的整體方案。要采用至少兩種不同的數(shù)據(jù)備份方法和技術(shù)手段，對(duì)數(shù)據(jù)庫(kù)效勞器數(shù)據(jù)進(jìn)行備份?！捕尘W(wǎng)絡(luò)計(jì)算機(jī)用戶(hù)負(fù)責(zé)對(duì)本機(jī)上的個(gè)人數(shù)據(jù)資源進(jìn)行定期〔每月至少1次〕備份，防止本機(jī)硬盤(pán)故障造成數(shù)據(jù)喪失。第十條文檔、資料保密〔一〕要落實(shí)專(zhuān)人對(duì)管理信息系統(tǒng)的技術(shù)文擋、資料、程序代碼等進(jìn)行集中、妥善保管，資料的內(nèi)部借閱和使用要履行部門(mén)主管審批手續(xù)，并做好借閱和使用記錄?！捕臣夹g(shù)文擋、資料的對(duì)外借閱必須經(jīng)過(guò)總經(jīng)理工作部主管領(lǐng)導(dǎo)的審批，涉及到企業(yè)信息機(jī)密的，要經(jīng)公司領(lǐng)導(dǎo)的審批。第十一條防病毒平安〔一〕管理信息系統(tǒng)要具備集中的網(wǎng)絡(luò)防病毒能力，保證網(wǎng)絡(luò)殺毒軟件的及時(shí)自動(dòng)更新。網(wǎng)絡(luò)維護(hù)人員要及時(shí)檢查和跟蹤網(wǎng)絡(luò)殺毒軟件的運(yùn)行效果?！捕惩ㄟ^(guò)普及計(jì)算機(jī)信息平安知識(shí)，提高計(jì)算機(jī)網(wǎng)絡(luò)用戶(hù)的防病毒意識(shí)，合法、標(biāo)準(zhǔn)使用計(jì)算機(jī)軟件和信息資源，提高網(wǎng)絡(luò)系統(tǒng)抵御計(jì)算機(jī)病毒的整體平安性?！踩硢T工應(yīng)當(dāng)遵守國(guó)家有關(guān)法律、法規(guī)，不得制作、復(fù)制、發(fā)布和傳播含有以下內(nèi)容的信息：違反國(guó)家憲法所規(guī)定的信息，危害國(guó)家平安、泄露國(guó)家秘密、顛覆國(guó)家政權(quán)、破壞國(guó)家統(tǒng)一的信息，損害國(guó)家榮譽(yù)和利益的信息，煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的信息，散涉淫穢、色情、賭博、暴力、兇殺、恐怖或教唆犯罪的信息，欺辱或誹謗他人、侵害他人合法權(quán)益的信息，含有法律、行政法規(guī)禁止的其他內(nèi)容的信息?！菜摹澄唇?jīng)網(wǎng)絡(luò)管理人員許可，員工不得進(jìn)行任何干擾網(wǎng)絡(luò)運(yùn)行和使用的以下行為：擅自將個(gè)人計(jì)算機(jī)接