《网络和信息系统安全运行管理实施细则汇总(共26页).doc》由会员分享,可在线阅读,更多相关《网络和信息系统安全运行管理实施细则汇总(共26页).doc(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上网络和信息系统安全运行管理实施细则目录第一章 总则第一条 为了保证XX有限公司(以下简称“XX公司”)网络和信息系统的安全运行,依据天津市电力公司信息系统安全管理规定等相关制度,结合XX公司实际,制定本实施细则。第二条 本实施细则适用于公司所属各部门(以下简称“各部门”)。第二章 职责与分工第三条 XX公司党政领导一把手是信息系统的第一安全责任人;各部门的一把手是本部门信息系统安全的第一责任人。信息安全考核纳入安全生产考核和经济责任制考核。第四条 XX公司信息系统为三级管理,XX公司建立信息化工作领导小组,运维检修部负责信息化工作的职能管理,是公司的归口管理部门,各部
2、门是信息化工作的具体落实部门。第五条 XX公司信息化工作领导小组是公司信息安全的领导组织。负责审定公司的信息安全管理有关规定,负责落实上级主管部门的安全管理防范的技术策略和信息安全管理有关规定。第六条 XX公司安全监察质量部负责监督和考核公司信息系统的运行状况。信息系统发生事故,按照天津市电力公司信息系统事故调查及考核办法,由安全监察质量部牵头组织事故分析,提出处理意见,运维检修部配合进行专业分析。 第七条 运维检修部是公司信息化管理的职能部门,设置信息化管理专责。主要工作:1、 组织实施公司各项信息管理制度,做好监督、检查、指导信息安全管理及信息运行维护工作,组织实施安全防范措施。当发生影响
3、信息安全的重大事件时,发布告警并组织制定应对措施。2、 负责信息化相关指标、数据的汇总上报工作。3、 负责XX公司信息系统硬件的调配工作。4、 负责信息系统耗材计划编制、调整工作。5、 负责组织编制信息专业的大修、技改计划。6、 配合专业部门进行市电力公司统一管理和开发的项目和软件在XX公司的组织推广工作。参与有关信息工程项目的评定、审核和验收。7、 配合人力资源部做好XX公司信息专业知识的培训工作。第八条 信息通信运维班,是XX公司信息网络系统整体运行、维护部门。主要工作:1、 负责XX公司相关网络运行数据、运行硬件指标数据的统计,负责公司信息网络软、硬件系统的运行总结上报,负责配合信息系统
4、验收、检查工作。2、 负责XX公司信息系统的正常运行,软件、硬件维护和故障处理工作。3、 负责XX公司信息系统中实物资产的统计管理。4、 负责XX公司信息系统硬件设备及耗材的计划起草工作。5、 负责提出XX公司信息系统年度大修、技改项目的申请。6、 负责XX公司信息网络的建设方案的实施工作。7、 负责为各部门提供信息专业的技术支持。8、 配合专业部门做好市电力公司统一管理和开发的项目和软件在公司的系统管理工作。9、 负责XX公司信息故障受理工作,并做好报修记录。第九条 各部门是信息化工作的具体落实部门,信息设备由设备具体使用人负责,如无具体使用人,则由计算机帐号所有人负责。专业信息系统由各部门
5、指定的专业系统管理人员负责。主要工作:1、 负责本部门信息设备、信息系统的安全保密管理。2、 负责本部门计算机的趋势防病毒软件的病毒码的升级,趋势防病毒软件监控系统必须保证开启状态。负责计算机操作系统补丁的及时升级以及相关软件的补丁升级工作。3、 负责保证信息设备、信息系统的相关安全配置,并按照公司规定正确使用信息设备、信息系统。4、 负责本部门信息设备、信息系统的日常维护管理,负责维护更新本部门设备台帐。第十条 为了保障网络和信息系统的安全、可靠、不间断运行,信息通信运维班的关键岗位实行主副岗备用制度,主岗不在或工作负担过重时,副岗要担当其职责,工作由主岗委托。第三章 运行值班管理第十一条
6、法定工作日的工作时间应安排具备相应专业技术水平的人员进行5 x 8小时现场值班。其余时间应安排非现场值班,以确保关键应用系统的正常运行。第十二条 重要时期应实行7x24小时值班,根据实际情况采取电话值班或现场值班,以确保关键应用系统的正常运行。第十三条 值班人员要按照要求做好重大事项汇报工作,并做好记录。第四章 事件管理第十四条 信息通信运维班信息专业人员在接到故障申告时,应对故障信息进行登记。第十五条 信息通信运维班信息专业人员根据故障信息,对故障进行处理,并将处理情况填入记录中,并交由故障申告人签字确认。第五章 变更管理第十六条 信息设备的变更指对服务器、路由器、交换机(不含客户端设备)等
7、设备上运行的操作系统、权限、各种服务、各种软件、数据库、IP地址、安全配置、投入或退出运行、重新启动、重新安装等所作的变更。第十七条 运维检修部是以上各种信息设备变更的职能管理部门,负责审批变更并备案。第十八条 所有信息设备的各种变更都要履行变更审批和备案手续,由各部门专业系统管理人员或信息运维人员提出变更申请填写变更操作单(见附件1),填写好相关信息后由部门负责人签字交运维检修部确认审批,通过后实施变更。变更涉及信息系统、网络系统影响的,申请人应于变更前1至2个工作日以电子邮件、门户公告、电话通知方式告知相关影响用户,变更结束后对于以上用户进行测试。第十九条 设备、系统变更前对于原有的数据,
8、应该采取备份、异地转移存储等安全措施。第二十条 对于涉密设备的变更,如果需要外来人员协助,外来人员需填写保密承诺书,保证所存储的涉密信息不被泄露,进行变更工作过程中变更申请人必须在现场,对维修人员、维修对象、维修内容、维修前后状况进行监督。第二十一条 设备、系统变更结束后应按照天津市电力公司信息安全加固的要求加固系统,恢复设备以及系统中的原有应用及运行环境,并尽快投入运行。第二十二条 任何信息设备的各类变更未履行相关审批手续或者无记录追溯的,以及因信息设备的变更对系统及用户造成中断应用等影响的,追究变更实施人员相关责任。第六章 网络管理第二十三条 管理信息网络分为信息内网(以下简称内网)和信息
9、外网(以下简称外网),实现“双机双网”。第二十四条 XX公司内网与外网均不得私自接入无线设备,网络终端均实行IP地址与MAC地址绑定,禁止非授权接入。第二十五条 XX公司外网设备与内网设备按照上级部门要求进行信息安全加固,设置访问控制,设置足够强度的用户和密码。第二十六条 XX公司外网通过市公司统一出口接入INTERNET,XX公司所有部门和人员禁止以其他任何方式(ADSL、3G无线、CDMA、 GPRS、96168拨号等)私自连接INTERNET网。第二十七条 XX公司内外网计算机终端、打印机、网络设备的IP地址和配置信息由运维检修部统一分配和管理,任何人不得擅自使用他人的地址和未分配的地址
10、,不得擅自安装任何网络设备,不得擅自更改网络设备的配置信息。第二十八条 未经计算机网络管理人员同意,任何人不得擅自操作、移动网络设备。 第二十九条 职能管理部门和公司领导可以依据实际工作需要申请接入外网。第三十条 接入外网必须填写外网接入申请表(见附件2),经XX公司主管领导批准后报科技信通部审批,审批通过后按照批准的地址进行IP/MAC绑定并接入外网,信息部门负责做好相应的登记备案工作,更新信息外网设备台帐。第三十一条 公司提供公共上网计算机,公共上网计算机的维护及使用管理由信息通信运维班负责。员工因工作需要在公共上网区访问INTERNET,需进行上网登记。第三十二条 不得在信息外网设备中保
11、留任何信息内网资料。外网访问结束后,应立即清除与内网有关的文件。第三十三条 接入内网必须填写内网接入申请表(见附件3),经XX公司主管领导批准后报科技信通部审批,审批通过后按照批准的地址进行IP/MAC绑定并接入内网,信息部门负责做好相应的登记备案工作,更新信息内网设备台帐。第三十四条 信息内外网计算机IP地址变更按照内外网接入申请流程执行。第三十五条 开发商如确因工作需要接入信息内网,应提前申请信息内网设备。第三十六条 计算机接入信息内外网应由信息运维人员对计算机进行统一配置,设置规范的计算机名称(格式为公司名称-部门名称-流水编号),内网计算机应加入TEPCO域,并安装趋势防病毒软件、注册
12、桌面终端标准化管理软件(安全移动存储介质软件),外网计算机应安装金山防病毒软件。第三十七条 市公司科技信通部会定期对计算机进行安全检查,对存在安全隐患的计算机进行封网处理。被封网的计算机需经责任人进行认真整改后,填写情况说明及重新开通上网功能申请表(见附件4、5、6),经部门领导审批签字后报公司运维检修部。运维检修部确认已整改后报公司领导签字审批后上报市公司科技信通部申请开通网络。第三十八条 信息通信运维班负责网络设备的运行管理,确保网络备品备件及应急设备处在良好状态,尽量在故障发生之前采取保护措施。第三十九条 运维检修部负责建立详细的安全事件应急处理制度,制定并及时修订信息网络安全应急预案,
13、定期演练,确保应急体系的完备性和可用性,做好应对突发信息安全事件的准备。第四十条 发现网络与信息安全问题及时向运维检修部进行通报,遇重大问题由运维检修部及时向公司科技信通部报告。应在1小时内,将事件发生时间、原因过程、采取措施、影响范围、损失情况等,通过邮件和电话方式上报。第七章 应用管理第四十一条 严格执行市公司应用系统开发与管理的有关规定,原则上不允许自行开发或引进管理软件,有特殊需要的,必须事先到信息管理部门申请、备案,并由信息管理部门向科技信通部申请,经批准后方可开发,经验收后方可接入。第四十二条 对接入信息网络运行的应用系统,在系统投入运行前,应对系统运行的稳定性、安全性进行严格测试
14、,并使用漏洞扫描工具进行安全检查,确认没有系统漏洞后,经运维检修部批准后方可正式上线运行。第四十三条 应用系统上线前由运维检修部根据等级保护制度对系统定级,同时报市公司科技信通部审核备案。第四十四条 在系统投入运行前,应用系统开发单位和运行管理部门应相互配合,确定与该应用系统相关的网络环境参数、故障处理流程、数据备份管理流程、系统故障应急预案等。应用系统开发单位应提供能满足日常运行管理需求的系统开发及运行维护文档和系统软件介质(系统软件应包括可供系统进行完全安装和紧急恢复的完整系统软件介质光盘或磁盘,软件功能说明书,软件使用说明书,程序清单,数据结构清单等)。第四十五条 对投入运行的应用系统,
15、各专业主管部门应建立运行台帐,明确系统管理人员,做好运行日志。第四十六条 接入信息内网的各应用系统原则上不得以专线、拨号或任何其它方式与系统外网络及国际互联网相连,如确有必要,则应采取有效防范手段并经运维检修部上报科技信通部审核备案。第四十七条 投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改,严禁安装与本应用系统无关的应用程序和软件。应用系统的管理、维护、应用人员应严格按照各自的权限和业务流程使用系统。第四十八条 进行应用系统的配置参数调整、系统软件重装、网络环境调整等系统变更都应严格遵照相应的变更管理流程。第四十九条 用户账号建立、用户账号权限更改、用户节点增加等日常维护业务,应
16、由专业系统管理人员及时记录并定期整理归档。第五十条 应用系统变更前后都应按相应的备份管理规定进行备份。第五十一条 运行人员应及时发现系统故障。接到故障申告后,由专业系统管理人员或信息运维人员负责对问题进行详细的记录,对简单故障可先处理后汇报,对较大故障要立即通知本部门负责人和信息管理部门。第五十二条 对于故障的分析、处理过程应有记录。重大故障处理要有两人以上,一人操作,一人监督。第五十三条 各应用信息系统必须有完善的系统维护制度和操作规程。重大事件处理时,应有安全管理人员在场,故障原因、操作内容和操作前后的情况必须详细记录并存档。专业系统管理人员应定期检查和记录本信息系统的安全运行状况。第五十
17、四条 用户帐号和口令管理按照天津市电力公司信息系统帐号、口令管理规定执行。第五十五条 专业系统管理人员负责系统的日常运行维护,数据的保存、备份,系统口令的维护、设置和管理,系统程序的安装,向其他子系统及上级有关单位部门提供数据及报表。第八章 机房管理第五十六条 XX公司信息机房按照国网公司C类机房管理标准进行管理,部署不间断电源系统(UPS)及防水、防雷、防火和恒温恒湿设施。第五十七条 运维检修部是XX公司信息系统运行机房的职能管理部门,信息通信运维班明确机房管理责任人员,具体负责机房的日常管理和维护。第五十八条 信息通信运维班负责做好机房日常巡视,每天检查机房环境、网络设备、服务器的运行状况
18、,并认真填写机房巡检记录。对于巡视中发现的问题,要详细记录并汇报相关领导及时解决问题。第五十九条 信息通信运维班负责做好机房内设备的运维,每半年对UPS进行1次充放电,并做好记录。第六十条 机房是网络和信息系统的重点保密场所,严禁无关人员随意出入;外来人员进出机房必须填写机房出入登记表,经批准同意后方可进入。外来人员进入机房应由相关负责人陪同和监督。第六十一条 机房内严禁烟火,不准使用电炉、电水壶等电器。机房内必须配备专用气体灭火器,运行维护人员必须学会使用灭火器,一旦发现火情,立即投入灭火,并迅速报警。第六十二条 机房内应保持清洁,严禁堆放杂物,设备、线路标签应清晰、齐全,机柜布线应整齐。进
19、入机房前,须对鞋子进行清洁或戴上鞋套。第六十三条 出入机房应注意关好门,最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。第六十四条 工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。第六十五条 未经主管领导批准,禁止将机房相关的钥匙、密码等物品和信息外借或透露给其它人员。对于遗失钥匙、泄露密码的情况要即时上报,并积极主动采取措施保证机房安全。第九章 信息设备管理第六十六条 信息设备根据设备的类型、用途、介质(特指软件)等因素,归为以下几类:1、 网络设备(路由器、交换机、防火墙、入侵检测、综合布线系统等)2、 服务器(含小型机、工作站、P
20、C 服务器)3、 个人计算机(含便携式计算机)4、 外部设备(打印机、绘图仪等)5、 辅助设备(网络及服务器机柜、UPS 等)6、 工具(含网络工具、普通工具等)7、 软件8、 其他第六十七条 运维检修部负责XX公司所属各单位信息设备管理、分配工作。运维检修部应根据应用系统对设备的要求,兼顾各部门岗位职能的需要,制定信息设备配置标准;在年末制定下一年度设备大修、设备升级改造、重要设备备品备件、设备维护等资金计划,上报主管领导及相关部门批准,列入下一年度信息系统专项资金计划。各部门应在计划编制前,及时上报信息设备需求。第六十八条 新的设备到达后,由运维检修部负责组织相关人员验收,验收依据为签订的
21、合同内容。验收人员应认真进行各种参数的测试,检查设备的性能指标是否能够达到技术要求。第六十九条 新的信息设备投入使用前,需经信息通信运维班按照市电力公司相关规定进行安全加固;信息设备的使用部门应办理财务固定资产登记,并上报运维检修部备案。没有在运维检修部登记、违反规定自筹资金购买、不在财务固定资产台帐上的信息设备,运维检修部不负责维护及禁止接入信息网络。第七十条 运维检修部归口负责XX公司信息设备台帐,台帐中应该包括设备的所属部门、型号、序列号、IP地址等。信息设备的使用部门负责信息设备的日常管理,包括清洁、杀毒软件及系统升级、一般性配置操作、一般性故障排除等,并对信息设备的非使用性损坏以及丢
22、失负责,并按情节严重程度,依据有关规定追究当事人赔偿责任。各部应指定专人协助运维检修部做好所属范围内信息设备台帐管理,若有设备变动要及时上报运维检修部。运维检修部根据实际情况组织设备清查工作,进行设备台帐、实物核对,做到帐物相符。第七十一条 每台信息设备都要明确设备负责人(负责人须是正式职工)。信息设备由设备具体使用人负责,如无具体使用人,则由计算机帐号所有人负责。信息设备随机资料、软件等应由设备负责人保存。信息设备正常工作环境由设备所属部门负责。各部门之间及部门成员之间不得随意互换计算机、或其他相关设备。对因人员、岗位变动闲置的信息设备应及时上报运维检修部,由运维检修部统一处理。第七十二条
23、信息设备运维管理1、 严禁任何人私自拆卸信息设备硬件,私自更改计算机配置、网络IP地址,安装未经批准的三方软件。设备使用人不得直接向供货商提出信息设备相关设备维修、软件维护的要求,否则,发生的费用和其它问题自行承担。2、 设备负责人负责所属信息设备的日常维护。其中包括常用软件的安装升级,一般性配置操作、一般性故障排除。如果涉及到更换零件、安装系统等非一般性故障,无法自行处理的,应及时向运维部门进行故障申告,信息运维人员应记录故障设备信息及故障处理情况,并在处理完毕后交由故障申告人签字确认。3、 属于更换部分零部件也不能解决的故障,需更换整机或大型配件的,在经过信息运维人员确认后,由设备负责部门
24、填写信息设备及配件申请(附件 7),经运维检修部请示主管领导批准后方可更换。4、 信息设备出现非一般性故障未经信息运维人员同意自行处理(含拆装)造成故障扩大,由自行处理(含拆装)的操作人承担修复责任。5、 为保证信息设备的正常维护,及时排除故障,XX公司每年列支一定的信息设运行备维护资金,保证本年度设备的安全稳定。运维检修部应视具体情况提出必要的仪器、仪表、工具和备品备件采购申请。6、 各部门应保证信息设备的相关安全配置,并按照公司规定正确使用信息设备,同时根据实际情况定期对所属信息设备组织自查,发现问题及时整改。运维检修部通过网上和不定期到现场方式进行检查,核查信息设备软硬件使用、维护情况。
25、并依据有关规定对违反信息设备使用规定的部门进行考核。第七十三条 信息设备报废工作由生产技术可根据市电力公司的相关规定定期进行。信息设备一般正常使用满5年以上,并且已不能满足应用系统正常使用要求的,或设备严重损坏(非人为造成)无修复可能的,可以申请报废,报废设备上交运维检修部,由运维检修部统一处理,其他任何单位不得擅自处理。对报废或淘汰设备的可用部分或零配件,运维检修部可根据需要再利用。对报废设备的存储硬件,须送交市公司科信部进行消磁处理,严禁随意外带。第七十四条 防火墙、漏洞扫描等信息安全设备的采购和使用必须经市公司科技信通部批准后方可实施。第十章 账号管理第七十五条 运维检修部设域账号管理员
26、,对XX公司范围内的域账号及相应权限进行统一管理,并负责将域账号及权限的变更信息及时准确上报市公司科技信通部。第七十六条 各部门应设专人对本部门的域账号及相应权限进行统一管理,主要负责域账号申请表的填写,根据实际需要认真核实其申请权限,负责将本部门的域账号及权限的变更信息及时准确上报公司域账号管理员,并认真做好记录。第七十七条 TEPCO域账号的开放范围:有工作需求的企业内部员工可以申请TEPCO域账号,对于非正式员工,原则上不开放TEPCO域账号。如确有需要,必须由所在部门指明一名公司正式员工为其责任人,代其申请,责任人对该非正式员工使用域账号的所有行为负有安全监督责任。第七十八条 域账号的
27、申请1、 各部门账号管理人员根据工作需要向公司域账号管理员提出申请,填写域账号使用申请表(见附件8),同时监督申请人签定安全使用责任书(见附件9)。2、 各部门账号管理人员根据申请人资料填写申请表后报部门领导审批签字,并上报运维检修部域账号管理员。运维检修部域账号管理员对申请表进行审核,并定期按审批流程向市公司科技信通部提出账号申请。第七十九条 员工域账号权限的分配必须严格按照权限最小化的原则进行,即分配仅能满足工作要求的最小权限。第八十条 帐号和密码是员工在网络信息系统中的唯一身份标识,仅供员工自己使用,不得借用或泄露,禁止越权操作。第八十一条 员工域账号口令要求每3个月更换一次,口令长度不
28、得低于8位,最近6个口令不可重复,口令中必须包含字母和数字。第八十二条 当员工岗位变动时,运维检修部以人事部门人员变动通知单为准,结合岗位变动的实际情况,调整或关闭域账号。第十一章 信息资料管理第八十三条 信息资料是指在信息网络建设和运行过程中所遵循的标准、制度、规划与总结(含计划)、日志、项目管理文档、设备台帐(卡片)、技术类文档和信息系统建设或系统运行过程中收集的文档(含硬件和软件)等,是与系统建设和系统运行紧密关联,记录系统运行参数、技术指标、安全模式、设备配置、方案设计、项目建设合同等重要信息的文档。第八十四条 运维检修部是信息资料的职能管理部门,信息通信运维班及各专业系统管理部门应明
29、确资料管理人员,具体负责各种资料的日常管理工作。第八十五条 资料管理要求包括:1、 做好资料的收集、整理、登记、造册、保管、鉴定、利用等工作。设备技术资料应齐全、正确、统一、清晰。对于重要及核心设备,应将资料复制并多种方式、不同地点保存。2、 设备技术资料应由专人负责管理,并负责资料安全,强化信息内容的安全管理,严防机密资料外泄。3、 资料管理人员应具备档案管理人员基本素质,并掌握一定的专业技术知识和较强的计算机应用水平,对所管理的文档能够做到分类清楚、归档准确。4、 在进行项目建设时,由该项目负责人或指定专人负责收集和整理整个工程过程中产生的文档,进行分类,标注必要的说明,在工程验收后将全部
30、项目文档资料提交资料管理人员保存。第八十六条 使用资料时,任何人不得抽取、涂改、勾抹或污损。第十二章 备份管理第八十七条 应用系统的备份工作是系统出现故障、甚至崩溃时的重要恢复手段,是信息安全工作的重中之重,必须高度重视。第八十八条 各应用系统的备份由各部门专业系统管理人员制定策略、组织落实,信息运维人员配合实施。备份文件由专业系统管理人员负责保管。第八十九条 客户端计算机及网上的办公文件由文件所有人自行备份。重要文件须至少在不同的设备上保存两分。第九十条 数据备份介质可选择硬盘、光盘、磁带等存储介质,由各部门专业系统管理人员保存。要确保备份数据的可恢复性。存储介质应存放在远离磁性、辐射性的安
31、全环境。第九十一条 当系统或者数据确实无法抢救时,需估算可能的损失,将恢复计划和方案报请本部门领导同意后才能对系统进行恢复操作,恢复操作不应影响对故障原因的追查和故障的处理。第十三章 耗材管理:第九十二条 运维检修部为计算机耗材的管理部门,信息通信运维班设置专人负责耗材分发工作。计算机耗材包括:打印机硒鼓、色带、墨盒、软盘、光盘、网线等配件。第九十三条 各部门设备责任人负责设备耗材的需用申请以及领用。耗材领用须保留记录并由领用人签字确认。可回收性耗材(如硒鼓、墨盒等)实行轮换制,以旧换新。第九十四条 耗材发放人员定期统计各部门耗材使用情况,提报运维检修部。运维检修部耗材管理人员根据信息设备台帐
32、和具体使用情况分析各部门耗材用量,发现超出预期的用量将组织调查。在耗材库存不足时,及时提报采购计划。第十四章 移动存储介质管理第九十五条 移动存储介质的范围包括:U盘、移动硬盘、各种存储卡(照相机、摄像机)、MP3、MP4、智能手机等带有存储功能的产品。第九十六条 所有连入信息内网的计算机必须安装市电力公司统一部署的移动存储介质管理系统客户端程序。第九十七条 XX供电有限公司范围内可以使用的移动存储设备只包括市电力公司统一配发的国家电网公司专用U盘(简称专用U盘)。其他非专用U盘禁止在XX公司内网计算机中使用。第九十八条 运维检修部负责XX供电有限公司范围内移动存储设备的管理,向市公司申请专用
33、U盘等移动存储设备,履行领用审批、登记备案、监督检查、维护维修等职责。第九十九条 专用U盘的申请1、 原则上每部门最多只能申请一个专用U盘。2、 任何部门不得擅自购买、发放移动存储设备,如确有工作需要,可向运维检修部提出申请,填写专用U盘使用申请表(见附件10)。3、 申请人填写申请表后报部门领导审批签字,注明申请原因,指定责任人,明确其责任,待责任人签字认可后,上报运维检修部。4、 运维检修部对申请表进行审核,并交公司主管领导审批签字后,定期向天津市电力公司科技信通部提出申请。5、 专用U盘由各部门专用U盘负责人负责领取,领取时要在专用U盘领取、变更记录表(见附件11)中签字。第一百条 专用
34、U盘的使用1、 专用U盘第一次使用需对其默认密码进行修改。2、 用户在使用国网公司专用U盘前,需要经过趋势防病毒墙的扫描杀毒,扫描正常后方可使用。3、 使用专用U盘时要遵守津电科信200813号“关于印发天津市电力公司电子商密信息保密管理规定(试行)的通知”中对于商密信息的要求。4、 严禁双击进入移动存储设备,应先在盘符上单击右键,选择菜单项中的打开命令进入。5、 文件复制完成应将移动存储设备与计算机分离;6、 专用U盘分为保密区和交换区,涉及到公司电子商密的信息在离开信息内网或商密计算机进行信息交换时,必须将电子商密信息存放在保密区。7、 使用者对专用U盘的密码要严格保密,不得告知他人;专用
35、U盘不得进行私用。第一百一条 专用U盘的维修专用U盘的维修需由各部门专用U盘负责人将U盘交送到运维检修部。如专用U盘无维修价值,由运维检修部信息管理人员将损坏专用U盘送市公司科信部申请更换,并将相关信息填入U盘领取、变更记录表中,由该U盘负责人签字。第一百二条 专用U盘的销毁需由信息管理人员将相关信息填入专用U盘领取、变更记录表中,并注明销毁原因。第一百三条 非国家电网公司专用U盘(简称非专用U盘)的使用1、 非专用U盘原则上不得连入XX公司信息内网的计算机中使用。2、 如确因工作需要使用非专用U盘,需填写非国家电网公司专用U盘使用记录(见附件12),注明使用原因、使用人,并经部门负责人确认签
36、字。部门负责人应审核所拷贝内容,如涉及公司商密文件,应不予批准。使用记录应报运维检修部备案。3、 应在脱网机器中对U盘进行杀毒,确认无病毒后,将文件拷入专用U盘,进行相应工作。第一百四条 任何用户不得卸载移动存储介质客户端软件,一经发现收回统一配置的移动存储设备,并禁止申请使用专用U盘;第一百五条 因使用移动存储设备未进行病毒木马查杀造成内网、外网计算机感染病毒,造成系统损坏或数据丢失的,一经查实收回统一配置的移动存储设备,并禁止申请使用专用U盘;第一百六条 在使用过程中造成公司涉密信息泄漏的按照天津市电力公司电子商密信息保密管理规定(试行)相关条款执行。第一百七条 任何部门或个人未经审批擅自
37、购买、发放移动存储设备,一经查实收回自行购置的移动存储设备。第一百八条 不得复制、传播任何与工作无关的软件、游戏、文件至内网机器。第十五章 补丁管理第一百九条 所有信息内网和信息外网的终端及服务器都要及时进行补丁升级。第一百一十条 终端补丁升级1、 信息内网终端必须加入TEPCO域,在每次开机时必须以管理员身份登陆TEPCO域,执行TEPCO域安全策略,以便及时下载系统补丁。终端使用者在发现有新的系统补丁时,应及时点击安装。2、 信息外网终端必须安装公司统一的金山防病毒软件,定期执行漏洞检测,并在发现漏洞时及时打补丁。第一百一十一条 服务器补丁升级1、 对服务器中数据库、WEB软件以及其它系统
38、应用软件应及时进行补丁升级。2、 对服务器所有项目进行补丁升级时,要仔细阅读升级文档,分析确定升级补丁对现有的操作系统及应用的影响,确保在补丁升级后服务器软硬件能够正常运行。3、 应用软件补丁升级,对天津市电力公司统一运维的应用系统,由天津市电力公司统一执行,对自行开发的应用软件系统,由专业系统管理人员主动与开发商联系对有危害系统安全的补丁及时升级。4、 升级补丁之前,做好系统、数据备份,以免升级失败后及时恢复。第十六章 漏洞管理第一百一十二条 对接入信息网络运行的应用系统,在系统投入运行前,检查应用系统自身是否存在安全漏洞和隐患,确认没有漏洞后方可正式上线运行。第一百一十三条 系统上线前要严
39、格按天津市电力公司信息系统安全配置基本规范要求做好配置和系统加固。第一百一十四条 应使用天津市电力公司统一指定的的相关工具进行安全检查,定期或不定期对网络与服务器主机进行安全扫描和检测,对扫描结果及时进行分析,采取相应补救措施。第一百一十五条 应及时对所采集到的有关系统、网络、数据及用户活动的状态和行为等特征信息进行分析。如遇异常网络行为活动,应及时阻断事件点,查明原因及时消除,确认无安全隐患后再接入系统。第十七章 日志审计第一百一十六条 日志是对用户行为和系统行为进行记录的形式,日志审计是保障应用系统信息安全的重要手段。第一百一十七条 在信息设备、业务应用系统上线运行前,应按市电力公司信息系
40、统安全配置基本规范中的各项规定开启相应的日志审计功能。第一百一十八条 应制定恰当的日志策略,确定记录日志的设备或系统范围、记录日志的事件类别、记录日志的最大时间范围、日志备份策略、审计日志的处理方式等。第一百一十九条 日志记录应包括事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容。第一百二十条 信息通信运维班应对主机系统、网络设备、应用系统、数据库和中间件等的日志定期进行安全审计。分析运行日志时,若发现正在、可能或已经危害到系统安全运行的行为时,应及时处理。第十八章 外包管理第一百二十一条 XX公司坚决贯彻信息运维主业化原则,原则上涉及信息系统核心业务的运维,
41、包括桌面终端的运维不允许服务外包。第一百二十二条 对于自行维护、实施有困难,确需进行信息服务业务外包的非核心信息服务业务,填写XX公司非核心信息服务业务外包申请审批表(见附件13),报XX公司运维检修部,由运维检修部汇总后报主管领导审批,并报上级主管部门审批备案后方可实施。 第一百二十三条 对于通过审批后实施外包的业务,承包商由XX公司按照国家、行业有关法律法规要求进行资质审查,综合考虑其安全管理、专业技术水平等因素,按规定的程序择优确定。第一百二十四条 必须与外包服务承包商签定相关外包服务协议,协议必须严格限定外包服务承包商的工作范围,明确承包商可以接触的设备、系统及可以进行的操作,明确指定
42、专门的管理部门、专门的人员对承包商进行的服务行为进行有效监管。第一百二十五条 提供外包服务的承包商及其工作人员,必需签署安全保密责任书(见附件14)和保密补充条款(见附件15)。必须按照XX公司相关保密规定和要求,在XX公司有关人员的监督下进行信息业务服务,不得擅自复制、转让或者转借XX公司相关基础数据。第一百二十六条 应对承包商工作及调试人员进行安全教育,并指定专门的人员,记录承包商服务行为的开始时间、具体的工作人员、操作的设备、涉及的系统、操作结束时间、操作的结果,并负责在操作之后审核确认操作结果,对承包商的服务行为进行全程监管和记录(见附件16)。第一百二十七条 XX公司禁止使用远程方式
43、操作、调试系统,所有操作必须在有效监管下本地进行,原则上禁止承包商自带的终端设备接入XX公司内网,承包商如果需要接入XX公司内网进行测试、调试,终端设备由XX公司提供。第一百二十八条 信息服务承包商服务期满后,由XX公司信息管理部门及该项信息服务管理部门对承包商整体服务行为进行信息安全评定和审核(见附件17)。第十九章 人员管理第一百二十九条 新员工在上岗前应进行信息安全教育,由公司保密办组织签订天津市电力公司员工保密承诺书(见附件18),考试合格后方可上岗进行工作。第一百三十条 重点敏感岗位人员管理1、 重点敏感岗位包括:网络管理、应用管理、主机管理、安全管理。2、 重点敏感岗位的工作直接影
44、响着网络及信息系统的安全,必须加强管理。3、 信息管理和运维部门要对以上岗位人员加强内控、教育,提高敏感岗位人员信息安全保密意识。4、 重点敏感岗位人员离岗时,填写信息重点敏感岗位人员离岗移交纪录(见附件19),经信息管理部门审核确认后,完成移交工作。运维部门及时核对并修改相关人员权限和设备安全配置相关内容。第一百三十一条 外来人员为XX公司提供信息业务服务时,必须遵守相关保密规定和要求,签署安全保密责任书(见附件14)和保密补充条款(见附件15)。XX公司指定专门的人员,对外来人员的行为进行全程监管和记录(见附件16)。第二十章 附则第一百三十二条 本规定自发布之日起试行。以前颁布的相关制度作废。第一百三十三条 本规定由XX有限公司运维检修部负责解释。专心-专注-专业