《2023新能源发电公司网络安全及信息化规范化工作手册.docx》由会员分享,可在线阅读,更多相关《2023新能源发电公司网络安全及信息化规范化工作手册.docx(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XX发电集团XX分公司网络安全及信息化规范化工作手册(2023版)二二三年四月目 次前言II1范围12规范性引用文件13网络安全组织体系建设14网络信息安全规章制度建设15符合性(合规性)管理26信息化工作管理内容3附录A(规范性附录)常用表格20II1 范围本标准主要用于信息化工作,其中主要内容包括了组织体系建设、规章制度建设、合规性管理及信息化工作内容。本标准适用于XX发电有限公司XX分公司(以下简称分公司)及下属企业。2 网络安全组织体系建设2.1 网络安全与信息化领导小组企业应成立网络安全与信息化领导小组,组长由党委(党组)书记担任。党委(党组)对本企业网络安全工作负主体责任,领导班子
2、主要负责人是第一责任人,分管网络安全的领导班子成员是直接责任人。分管生产的领导班子成员对工控系统(含电力监控系统,下同)负直接领导责任,分管信息化的领导班子成员对管理信息系统基础设施(含机房、网络、硬件及相关设施)网络安全负直接领导责任,分管其它业务的领导班子成员对本业务范围内的信息系统网络安全负直接领导责任。2.2 网络安全与信息化工作小组企业应成立网络安全与信息工作小组,且明确至少一名副职领导主管网络安全工作,工作小组中至少有一名专职网络安全员。应配置专职网络安全员,且不应兼任网络管理员、系统管理员、数据库管理员等职责。对于网络管理员,负责网络规划,网络设备的安装调试与维护及网络安全管理。
3、对于系统管理员,负责登录操作系统,管理操作系统及应用系统中的相关文件、安全、系统更新、补丁,保证操作系统及应用系统安全稳定的运行。对于数据库管理员,负责管理数据库,保证数据库正常运行,优化数据库,解决数据库方面的问题。对于网络安全员,负责按照一定的安全策略,利用记录日志、系统活动和用户活动等信息,检查、审查和检验操作事件,并发现漏洞和隐患,提出整改建议。2.3 网络信息安全专职部门企业应设立网络安全管理工作的职能部门,设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。3 网络信息安全规章制度建设3.1 公司目标与网络信息安全目标企业应制定网络信息安全目标,与公司目标
4、相辅相成。企业在制定网络信息安全目标时,应考虑与法律法规、国家、行业标准等网络信息安全要求,具备可行性。 3.2 网络信息安全规划在组织进行网络安全信息规划时,网络安全现状及需求调研,明确安全状况及安全规划需求。制定信息安全建设目标,明确未来信息安全建设的方向。应涵盖工控网络,信息网络,应用系统安全,数据安全,安全管控措施,智慧电厂,安全培训,能力提升等多个方面。进行比较全面的长远的发展计划,是对未来整体性、长期性、基本性问题的思考、考量和设计未来整套行动方案。即进行全面的、目标长远的信息安全发展计划,为信息安全建设指明方向,符合整体发展战略。3.3 制度体系3.3.1 实施细则/管理制度对安
5、全管理活动中的各类管理内容建立安全管理制度。包括但不限于物理、网络、主机、数据、应用、管理等层面的管理内容。3.3.2 规程/作业指导书对安全管理人员或操作人员执行的日常管理操作建立操作规程。4 符合性(合规性)管理合规性管理的目标是对合规风险的有效识别和主动管理,保障企业信息化管理和信息化人员的工作符合法律、法规、国家及行业标准、上级公司要求,切实防范合规性风险,主要内容有: 法律 网络安全法 电子商务法 密码法 电子签名法 行政法规 计算机软件保护条例 互联网信息内容管理工作 信息网络传播权保护条例 互联网信息服务管理办法 互联网信息服务管理办法 部门规章 互联网域名管理办法 网络安全等级
6、保护条例 规范性文件 互联网群组信息服务管理规定 互联网论坛社区服务管理规定 移动互联网应用程序信息服务管理规定 互联网用户账号名称管理规定 国家、行业标准 信息安全技术 网络安全等级保护测评要求GB/T 28448-2019 信息安全技术 网络安全等级保护基本要求GB/T 22239-2019 信息安全技术 网络安全等级保护安全设计技术要求GB/T 25070-2019 信息安全技术 网络安全等级保护安全管理中心技术要求GB/T 36958-2018 信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 22240-20
7、08 信息安全技术 信息系统物理安全技术要求GB/T 21052-2007 信息安全技术 信息系统通用安全技术要求GB/T 20271-2006 信息安全技术 信息系统安全管理要求GB/T 20269-2006 信息安全技术 信息系统安全工程管理要求GB/T 20282-2006 信息安全技术 网络基础安全技术要求GB/T 20270-2006 上级单位、调度机构文件 XXXX发电公司保电网络与信息安全工作方案 XXXX发电公司信息化工作评价与考核管理办法 XXXX发电公司信息化项目建设管理办法 XXXX发电公司信息化项目管理办法 XXXX发电公司信息安全培训管理办法 XXXX发电公司信息安全
8、等级保护检查管理办法 XXXX发电公司信息安全风险点分析与控制管理办法 XXXX发电公司信息安全风险评估管理办法(修订) XXXX发电公司信息系统数据管理办法 XXXX发电公司实时运营信息系统管理办法 XXXX发电公司应用系统运行管理办法 XXXX发电公司应用软件系统启用和停用管理规定(试行) XXXX发电公司网络与信息安全检查管理办法 XXXX发电公司网络系统及主机系统安全管理办法 XXXX发电应用系统项目建设管理指南 XXXX发电有限公司信息系统外委维护服务管理办法 XXXX发电硬件集成项目建设管理指南 XXXX发电有限公司网络安全工作奖惩办法 XXXX发电有限公司网络安全责任制管理办法
9、XXXX发电有限公司XX分公司企业内部网络接入管理办法(2018年版) XXXX发电有限公司XX分公司信息化项目建设管理办法(2018版) XXXX发电有限公司XX分公司应用软件系统管理办法(2020年版) XXXX发电有限公司XX分公司网络信息机房管理办法(2020年版) XXXX发电有限公司XX分公司网络安全工作奖惩办法(试行)(2018年版) XXXX发电有限公司XX分公司网络安全态势感知平台管理办法(2019年版) XXXX发电有限公司XX分公司网络安全责任制管理办法(2019年版) XXXX发电有限公司XX分公司视频会议系统管理办法(2018年版) XXXX发电有限公司XX分公司计算
10、机数据备份管理办法(2018年版) XXXX发电有限公司XX分公司网络与信息突发事件应急预案(2020年)5 信息化工作管理内容5.1 项目开发、建设5.1.1 项目预算管理每年9月,分公司组织收集下年度信息化预算相关信息。预算的编制应依据上级公司预算编制的总体原则及要求,也应参照历史数据、行业对标、成本定额。企业应召集相关部门和人员对信息化预算进行初审,根据初审情况进行预算调整。信息化主管部门应与集控中心的业务预算沟通确认,按时向本单位预算管理委员会办公室及集控中心提供预算安排及依据等资料。企业应根据分公司下达的信息化预算,编制月度分解预算。预算指标下达后,企业应严格执行,并落实到各部门、各
11、环节、各岗位,不得越权调整、变动预算方案。重大政策变化、不可抗力因素、企业生产经营发生重大变化等情况,预算需要进行调整的,按审批程序进行预算调整。5.1.2 项目建设管理5.1.2.1 概述集团公司将信息化项目建设划分为了硬件系统集成项目建设与应用系统项目建设两种情形。分别印发了XXXX发电公司硬件系统集成项目建设管理指南与XXXX发电应用系统项目建设管理指南,是对硬件集成项目与应用系统开发项目全生命周期管理事宜的指导文件,现将每个阶段应形成的资料做归纳整理,不详述内容。5.1.2.2 硬件集成建设5.1.2.2.1 项目立项 _项目立项申请书 _项目可行性研究报告 _项目立项论证报告 _项目
12、立项批复 _项目计划及预算申报表 _项目计划及预算批复5.1.2.2.2 项目组织及管理 _项目管理办公室(PMO)组织机构及人员 _项目管理办公室(PMO)职责 _项目质量管理办法 _项目进度管理办法 _项目变更管理办法 _项目合同管理办法 _项目文档管理办法 _项目工作制度 _项目风险管理办法 关于成立_项目管理组织的通知 关于印发_项目管理办法的通知5.1.2.2.3 项目准备 _项目招标计划申请书 _项目招标文件(非集成类硬件)。 _项目招标文件(集成类硬件)。 _项目招标文件审查报告 会议纪要(招标文件审查) _项目招标委托合同 _项目可研批复 _项目招标公告及招标公告确认函 _项目
13、投标申请人报名表 _项目招标文件澄清及回执 _项目招标文件确认函 _项目招标工作组标前会议纪要及工作手册 _项目评标报告 _项目评标结果汇报会会议纪要 _项目中标公示 _项目中标通知书 _项目评标专家抽取记录 _项目评标专家及参评人员签到表 _项目投标文件接收表 _项目综合评分统计表 _项目商务评分统计表 _项目商务评分表 _项目技术评分统计表 _项目技术评分表 _项目价格评分统计表 会议纪要(定标会议) _项目合同(非集成类硬件) _项目合同(集成类硬件)5.1.2.2.4 项目开工 _项目章程 _项目技术方案 _项目安全解决方案 _项目计划 _项目开工申请报告 关于召开_项目章程和技术方案
14、评审会的通知 _项目会议议程 _项目会议纪要(项目章程和技术方案评审) 关于_项目开工申请报告的批复 项目启动会 关于召开_项目启动会的通知 _项目会议议程 _项目会议纪要(项目启动会)5.1.2.2.5 方案设计5.1.2.2.6 开箱验收5.1.2.2.7 安装调试 _项目系统环境申请表 _硬件系统集成到货验收报告 _硬件系统集成调试报告5.1.2.2.8 验收 项目系统初步验收申请书 项目初步验收方案 项目初步验收报告 项目初步验收报告评审书(按需要) 项目竣工验收申请 项目竣工验收方案 项目竣工验收报告 项目竣工验收报告评审书(按需要) 项目交付件确认单5.1.2.3 应用系统建设5.
15、1.2.3.1 项目立项 _项目立项申请书 _项目可行性研究报告 _项目立项论证报告 _项目立项批复 _项目计划及预算申报表 _项目计划及预算批复5.1.2.3.2 项目组织及管理 _项目管理办公室(PMO)组织机构及人员 _项目管理办公室(PMO)职责 关于成立_项目管理组织的通知5.1.2.3.3 项目准备 _项目招标计划申请书 _项目招标文件(应用系统建设类) _项目招标文件(应用系统运维类) _项目招标文件(咨询服务类) _项目招标文件(非集成类硬件) _项目招标文件(集成类硬件) _项目招标文件(硬件运维类) _项目评标标准(应用系统建设类) 招标文件提交申请单 _项目招标文件审查报
16、告 _项目招标委托合同 _项目可研批复 _项目招标公告及招标公告确认函 _项目投标申请人报名表 _项目招标文件澄清及回执 _项目招标文件确认函 _项目招标工作组标前会议纪要及工作手册 _项目评标报告 _项目评标结果汇报会会议纪要 _项目中标公示 _项目中标通知书 _项目评标专家抽取记录 _项目评标专家及参评人员签到表 _项目投标文件接收表 _项目综合评分统计表 _项目商务评分统计表 _项目商务评分表 _项目技术评分统计表 _项目技术评分表 _项目价格评分统计表 会议纪要(定标会议) _项目合同(应用系统建设类); _项目合同(应用系统运维类); _项目合同(咨询服务类); _项目合同(非集成类
17、硬件); _项目合同(集成类硬件); _项目合同(硬件运维类)。5.1.2.3.4 项目开工 _项目质量管理办法 _项目安全管理办法 _项目进度管理办法 _项目变更管理办法 _项目需求管理办法 _项目合同管理办法 _项目文档管理办法 _项目工作制度 _项目风险管理办法 _项目沟通管理办法 关于印发_项目管理办法的通知 _项目章程 _项目工作说明书 _项目技术方案 _项目计划 _项目开工申请报告 关于召开_项目章程和技术方案评审会的通知 _项目会议议程 _项目会议纪要(项目章程和技术方案评审) 关于_项目开工申请报告的批复5.1.2.3.5 方案设计 _项目客户需求说明书 _项目软件需求规格说明
18、书 _项目客户需求说明书及软件需求规格说明书评审报告。 _项目概要设计 _项目概要设计评审报告 _项目详细设计 _项目详细设计评审报告5.1.2.3.6 系统开发测试 _项目系统应用环境申请表 _项目单元测试 _项目技术规范书 _项目接口数据规范 _项目程序维护手册 _项目用户操作手册 _项目程序员开发手册 _项目系统安装手册 _项目系统运行维护管理规定 _项目系统标准代码设计技术规范 _项目系统测试方案 _项目系统测试问题清单 _项目系统测试审查表 _项目系统测试报告 _项目用户测试方案 _项目用户测试用例 _项目用户测试问题清单 _项目用户测试审查表 _项目用户测试报告5.1.2.3.7
19、上线 _项目试点应用报告 _项目上线试运行方案 关于召开_系统上线试运行动员会的通知 _项目会议议程(系统上线试运行动员会) _项目会议纪要(系统上线试运行动员会) _项目系统上线试运行问题清单 _项目试上线试运行报告 _项目试上线试运行评审报告5.1.2.3.8 验收 项目系统初步验收申请书 项目初步验收方案 项目初步验收报告 项目初步验收报告评审书 项目竣工验收申请 项目竣工验收方案 项目竣工验收报告 项目竣工验收报告评审书 项目交付件确认单5.1.3 应用系统上线企业的应用系统上线运行前应必须报分公司信息化主管部门审批。一般地,分公司所属企业宜采用申请集中部署的方式上线应用系统,不宜自建
20、应用系统。应用软件系统部署前,业务部门应提交应用软件系统业务受理申请表(见附录A.6),报信息化主管部门批准后,方可进行系统部署,部署时必须对主机进行加固,操作系统最小化安装;关闭非必要的端口和服务;部署后对主机和应用软件进行安全评估监测,漏洞扫描,无高危风险和漏洞才能部署试运行。对于拟启用的应用软件系统,应提供应用软件系统的最终验收报告及有关部门通过最终验收的批准文件,并附XXXX发电公司应用软件系统项目建设管理指南规定的所有项目开发过程文档。业务部门提交应用软件系统启用申请表(见附录A.7),报信息化主管部门批准启用后,方可投入运行。信息系统等级保护二级及以下系统的启用申请由信息化主管部门
21、进行审核并做好文档备案;等级保护三级系统的启用申请由信息化主管部门组织相关方管理者、技术负责人、信息安全专家和用户组成专家组,对系统进行专项安全评估。评估通过后,专家组出具评估报告,信息化主管部门审核并做好文档备案,逐级批准后方可启用。5.1.4 项目评估信息化项目建设中以应用软件建设为主的项目试运行时间不少于六个月;以硬件建设为主的项目试运行时间不少于三个月。试运行期间若出现质量问题,经处理解决后,试运行时间必须做相应延长。对管理应用系统类项目,可视情况进行项目实用化验收与鉴定,系统需求功能100%的实现;系统业务数据100%的加载;系统功能100%的应用;系统安全隐患100%消除。为降低项
22、目建设的随意性,避免重复投资,提高项目建设质量,项目建设应统筹考虑至少未来三年的业务需求。竣工验收通过的项目,原则上三年内不得续建。5.1.5 应用系统下线企业信息化主管部门负责应用系统的下线管理。 应用系统如需下线时,应用系统业务部门负责提交应用软件系统停用申请表(见附录A.8),信息化主管部门根据下线申请表做好应用系统的各项准备工作,包括数据备份,系统备份等工作。涉及新老系统过渡的应用系统,下线前,业务部门负责新老系统数据迁移、并行运行及应用顺利过渡,为老应用系统下线提供条件。涉及新老系统过渡的应用系统,完成新老应用系统顺利过渡及老应用系统下线的各项准备工作后,应用管理员组织应用系统运维服
23、务商完成老应用系统的下线及新应用系统的正式上线运行及推广工作。涉及新老系统过渡的应用系统,老系统正式下线后,信息化主管部门负责服务器及网络资源的回收。5.2 网络信息运维5.2.1 人员管理5.2.1.1 网络信息安全人员管理应指定或授权专门的部门或人员负责网络信息安全人员录用。对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核,并签署保密协议。应严格规范人员离岗过程,及时终止离岗员工的所有访问权限。应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。对于关键岗位人员,应从内部人员中选拔,并签署岗位安全协议。关键事务岗位应配备多人同时管理。关键岗位人员离岗须承
24、诺调离后的保密义务后方可离开。5.2.1.2 外委人员管理外委人员应具备相应的专业技能,熟悉信息系统,具有较强的责任心和专业素养。外委人员访问重要工作区域应提出书面申请,批准后由专人全程陪同或监督,并登记备案。对外委人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,且应签订保密协议,并按照规定执行。5.2.2 培训教育管理应对公司员工进行网络安全意识教育。每年应至少组织一次全员范围内的信息安全培训,公司全员应了解信息安全相关政策法规,具备信息安全意识及基础防护能力。应对专业人员进行岗位技能培训和相关安全技术培训。专业人员应每年至少参加两次信息安全专业技术培训,专业人员应掌握信息安全政
25、策法规,掌握信息安全理论与技术规范。应对教育和培训的情况和结果进行记录并归档保存。5.2.3 访问控制5.2.3.1 物理访问管理应对机房划分区域管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域。重要区域应配置电子门禁系统,控制、鉴别和记录进出的人员。进入机房的来访人员应经过申请和审批流程,并限制和监控活动范围。5.2.3.2 逻辑访问管理应在网络边界部署访问控制设备,启动访问控制功能。应根据会话状态信息为数据流提供明确的允许、拒绝访问的能力,控制粒度为端口级。应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的
26、控制。应在会话处于非活跃一定时间或会话结束后终止网络连接,且限制网络最大流量数及网络连接数。5.2.3.3 密码权限管理企业应对使用信息系统的用户分配账户和权限。应重命名和删除默认账户,修改默认账户的默认口令。及时删除或停用多余的、过期的账户,不应在系统中使用共享账户。应根据用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。用户权限变更需要按权限变更申请表(附录A.12)经过相关审批后方可执行。系统口令应由数字、字符和特殊字符组成,密码长度不能少于8个字符,并应定期更换,更换间隔应小于三个月。5.2.3.4 桌面终端管理信息化主管部门应负责用户计算机设备的操作系统和公司
27、标准应用软件的安装、设置和管理。操作系统、办公类软件、防病毒软件、各类业务管理软件等应使用统一推广使用的软件,不应擅自卸载、改动设置。在工作中不应下载、安装、使用未经许可的应用软件以及与工作无关的软件。因工作原因需要安装其他软件的,应填写计算机终端维护申请表(见附表A.1)提交至信息化主管部门。凡私自安装或使用盗版软件者,一经发现将给予严肃处理,且由此引出的版权纠纷及相关赔偿责任,由该计算机使用人或所在部门负完全责任。企业为员工配置的计算机应作为工作中的必要工具,不应使用计算机来进行娱乐活动等与工作无关的事情。计算机用户应定期对计算机进行检查和清理工作,删除无用的文件。计算机用户不得擅自打开计
28、算机设备的外壳,不得插拔、更换、添加计算机设备硬件、重装或恢复操作系统、格式化硬盘等操作,禁止带电接插各种电缆和触摸打印头。5.2.3.5 接入管理分公司所属各单位在接入分公司广域网前,应向分公司信息化主管部门以书面形式递交广域网接入申请,由分公司递交集团公司科技信息部审批后。在接入时,应配置好接入路由器和边界防火墙,并与线路运营商一并完成线路调试工作。接入后,网内设备的变更应报分公司信息化主管部门审批。分公司所属各单位在接入分公司广域网后第一次正式运行前,应提前三日向分公司汇报,并由分公司向集团科技信息部申请联调,联调正常后方可正式投入使用。分公司广域网上所有节点的IP地址由分公司按集团公司
29、要求统一负责分配使用,未经集团公司科技信息部和分公司授权、分配IP地址的网络节点不允许进行接入。接入后的IP地址不允许随意更改。分公司所属各单位广域网的网络结构、互连方式等的改建、扩建方案必须上报分公司信息化主管部门,经分公司审查后交集团公司科技信息部审批方可实施,以确保广域网的互联和正常运行。5.2.4 日志管理企业应定期检查服务器、信息化及网络安全设备的日志信息,及时发现设备异常状况,采取措施。有日志审计系统的,应将审计系统的设备配置尽量完善,屏蔽被监测设备的正常信息,防止忽略异常信息。对于非终端设备,应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于
30、六个月。5.2.5 数据、资料5.2.5.1 数据安全管理企业在数据收集、存储、传输、使用、备份和销毁的各个环节,均需制定完备的安全策略,防止数据的泄露、篡改和失真等不安全情况发生。通过对数据存储设备的场所管理及存储设备的管理,保证数据的物理安全。应采取合适的技术手段,保证数据的传输安全。重要及涉密数据在传输时需采取加密手段,禁止涉密数据直接通过互联网传递。信息系统应具备严格的身份验证手段,有效杜绝未授权人员的数据访问行为。对于集中部署,多级使用的信息系统,宜采用分级授权的方式,确保相关人员数据访问权限准确。相关数据管理部门应做好数据访问权限管理工作,对授权用户须有详细记录,在人员岗位变动时,
31、及时调整数据访问权限。对委托外部单位进行维护的信息系统,系统各企业应制定严格的维护管理要求,采取措施严格控制数据库的访问权限,防止数据的非法访问和数据泄露。信息系统管理员在对系统数据进行维护操作时,应提前做好保证数据安全的措施,禁止使用数据库工具对业务数据进行添加、修改或删除。存储有保密数据的笔记本电脑、移动硬盘、U盘、光盘等移动设备,应提前制定防止丢失的安全控制措施;在使用完毕后,及时将数据清除。5.2.5.2 资料管理信息化及网络安全的资料包含但不限于如下: 台账资料 管理制度、操作规程 拓扑图 设备配置信息 项目建设过程资料 巡检、操作记录 日志信息化主管部门应对信息技术资料实行分类管理
32、,重要技术资料应有副本并异地存放。任何部门和个人未经信息化主管部门同意不得将企业内所使用的信息技术资料传递给外单位或个人,如工作需要,借阅、复制信息技术资料应履行必要的审批手续。报废及销毁信息技术资料应由信息化主管部门批准,并登记备案。在存储更新频率较高的信息化及网络安全资料时,宜使用不接入任何网络的专用计算机并对其中资料进行透明加密,由企业信息化部门对其中资料进行更新、管理。5.2.5.3 介质管理应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁方面做出规定。应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。应对介质在物理传输过程中的人员选择、打包、交
33、付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同。应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类标识管理。5.2.6 系统监控5.2.6.1 资产台账企业应按照XX发电台账模板(见附录A.2至A.5)对信息化设备、已上线的应用系统及信息化终端
34、等设备设施建立台账。 5.2.6.2 服务水平管理企业的系统管理员应对信息系统提供的服务水平进行评估,为系统提供服务质量的好坏进行判断,从而预防意外故障。其中包括: 系统可用性 系统性能指标 业务应答时间5.2.6.3 日常巡检应定期对系统进行巡检,检查内容主要包括: 机房环境(温湿度、清洁) 设备硬件运行状况(各指示灯) 软件平台运行状况(系统健康检查) 系统链路状况(通断)5.2.6.4 系统健康检查对系统健康状态进行检查,主要包括: CPU整体使用百分比 用户态使用百分比 内核态使用百分比 每个CPU使用情况 磁盘读写吞吐 磁盘读写次数 内存使用百分比 网卡出入带宽 网卡出入包量 TCP
35、状态监控5.2.6.5 电源管理机房应在机房供电线路上设置稳压器及电压防护设备。应设置UPS,至少满足主设备在断电情况下的正常运行要求。应设置冗余或并行的电力电缆线路为信息系统供电。5.2.7 配置5.2.7.1 系统配置管理在网络设备、网络安全设备正式上线运行时,应将其配置导出,并存储在专用的移动介质中。企业应对配置信息采用一套规范的命名规则,以区分各时期不同的配置信息。如在保电等重要时期的运行配置和平常时期的运行配置。5.2.7.2 系统运行平台、运行环境管理企业应根据系统系统台账,收集各应用系统运行的环境及配置信息。应收集的要素包括但不限于以下方面: 硬件设备配置要求 操作系统 数据库系
36、统 Web应用 运行库 配置信息 安装说明书对于软件程序及电子版的说明书应针对应用系统使用专用的移动存储介质。运行在虚拟化中的应用系统应在运行时克隆一份,然后存储在专用的移动存储介质中。5.3 信息化与网络安全5.3.1 网络信息安全组织参见第2章内容。5.3.2 网络信息安全机制5.3.2.1 系统分级企业应根据信息系统安全等级保护定级指南自主确定信息系统的安全保护等级,如新建信息系统在设计、规划阶段应确定安全保护等级。其中,信息系统的安全保护等级分为以下五级: 第一级(自主保护级):信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二
37、级(指导保护级):信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级(监督保护级):信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级(强制保护级):信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级(专控保护级):信息系统受到破坏后,会对国家安全造成特别严重损害。5.3.2.2 网络信息安全策略企业应根据系统的等级,提出相应的系统的安全保护需求,确定安全方针,制定安全策略。从技术角度,应从物理环境安全、通信网络安全、网络边界安全、主
38、机设备安全和应用数据安全的角度对系统实施安全技术管理。从管理角度,应从总体方针及安全策略、网络安全管理制度、技术标准及操作规程、记录及表单的角度对系统进行安全管理。5.3.3 外委安全外委单位应具有独立法人资格及相关资质,拥有良好的商业信誉和经营实力,具备与信息系统运维工作相符的资质和能力。在与外委单位签订相关协议时,应明确工作范围及工作内容,并同时签订保密协议。在委托进行软件开发时,应确保以下事项: 检测其中可能存在的恶意代码; 要求提供软件设计文档和设计指南; 要求提供源代码,并审查软件中可能存在的后门和隐蔽信道。在委托硬件集成项目实施时,应确保以下事项: 指定或授权部门或人员负责实施过程
39、的管理; 制定实施方案控制项目实施过程; 较大的项目通过第三方监理控制实施过程。5.3.4 机房安全机房应选择在具有反震、防风和防雨等能力的建筑内。避免设置在高层或地下室,以及用水设备的下层或隔壁。机房应具备防盗窃、防破坏、防雷击、防火、防水防潮、防静电、防电磁的功能或措施。机房内应设置温度、湿度自动调节设备设施,使温湿度变化在设备运行所允许的范围之内。机房内监控摄像头的布置能保证其录像能够辨别进入人员和操作设备行为,信息机房外楼道应安装监控摄像头。视频监控数据保存时间不应少于3个月,门禁数据保存时间不应少于6个月。5.3.5 终端安全信息化主管部门应建立计算机病毒防控机制,所有终端都应安装有
40、统一的企业版防病毒软件,并负责对病毒库、主程序版本进行升级和实施病毒监控管理,强制实施统一的防病毒策略。未安装防病毒软件的计算机用户应联系信息主管部门进行安装,且不应以任何方式卸载防病毒软件、停止防病毒服务和更改防病毒软件配置。发现计算机中病毒时应立刻断开网络连接,并及时报告信息主管部门。笔记本电脑等移动终端,应定期接入局域网进行病毒库更新和查杀病毒。外来移动存储介质不应内网计算机上使用。未安装防病毒软件的计算机不应接入内网。信息化主管部门应定期检查各部门的计算机防病毒工作,并通报检查结果。信息化主管部门应对防病毒软件制定相应的实施策略,对所有计算机实施实时监控扫描,客户机可以根据需要进行手动扫描;每周进行预设病毒扫描并生成报告。5.3.6 安全配置策略5.3.6.1 Windows主机安全策略账户策略-密码策略: “密码必须符合复杂性要求”选择“已启动” “密码长度最小值”设置为“8个字符” “强制密码历史”设置为“5个记住的密码” “密码最长存留期”设置为“90天” “密码最短使用期限”是否是设置为“2天”本地策略-审核策略: 设置为成功和失败都审