第一篇:关于规范公司网络信息系统安全管理的会议纪要
保定天威集团特变电气有限公司
关于规范公司网络信息系统安全管理的会议纪要
时 间:2011年7月13日14:00—14:30
地 点:三层会议室
会议主持:赵峰
参加人员:李娜张恩芳马云峰周佳戴麟高新亮
主要内容:为了贯彻落实《保定天威集团特变电气有限公司信息系统安全
管理办法》,规范特变公司信息系统安全管理,保障信息系统的安全可
靠运行,经与会协商,形成以下意见:
1、对公司现有计算机操作者及其用户名进行统计和整理,按照一个操
作者使用一个用户名的原则,将用户名与操作者计算机绑定,避免用户名
公用和滥用造成技术数据、图纸资料外流和个人邮件信息泄露的情况发生。
2、对所有用户名的网络使用权限进行重新审批,审批流程严格按照公
司《电子办公设备及网络使用管理规定》进行,仅对工作职责中有切实需
要的开放互联网使用权限。减少病毒、网络入侵等对服务器的恶意攻击。
3、记录并留存用户登录和退出时间、主叫号码、账号、域名、系统维
护日志等信息。此次用户名统计整理完毕后,对滥用和盗用他人用户名的行为将按情节轻重对部门负责人及责任人从严考核。
4、企管策划部负责此次网络信息安全改革的用户名统计与网络使用权
限的审批;科技质量管理办公室负责网络软件、数据库、服务器的执行与
维护;设备能源部负责用户名的调整及设备硬件的维护。
特变公司企管策划部
2011年7月13日
第二篇:信息系统安全管理规范
信息系统安全管理规范
1、目标
此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下:
确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。对用户权限进行合理规划,使系统在安全状态下满足工作的需求。
2、机房访问控制
机房做为设备的集中地,对于进入有严格的要求。只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。严格遵守机房管理制度。
3、操作系统访问控制
保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的 用户进入到公司网络中。第二道防线就是要控制存放数据及应用文件的主机系统 不能被未经许可的用户直接访问。为防止主机系统被不安全访问,采取以下措施: 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令 只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员 保密。在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商; 调试一结束系统 管理员马上更改口令。对口令设定必需满足以下规范: 最多允许尝试次数 口令最长有效期 口令的最大长度 口令的最小长度 5 30 天 不受限 6 口令的唯一性要求。
4、系统的安全控制
最近三次所更改的口令不能相同 通过口令控制及对象的安全控制实现。
5、数据库访问控制
为有效的保障业务数据的安全,采取以下措施:
数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。口令必须1个月做一次修改。业务系统后台数据库对象创建用户的口令由办公室数据库管理员设定,由办公室审核。不能向其他人开放。口令必须 1 个月做一次修改。
对口令设定必需满足以下规范:
口令最长有效期 口令的最大长度 口令的最小长度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。不同的操作需求开
放不同权限的用 户。除办公室门的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作 对于业务必须的后台 job 或批处理,必须由办公室门人员执行。
6、应用系统访问控制
应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范:
所有应用级的操作用户及初始口令统一由办公室门设定,以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必须修改口令,口令必须1个月做一次修改。
对于口令设定必需满足以下规范:
口令最长有效期 口令的最大长度口令的最小长度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表,然后由办公室批准。当应用系统中需要加入新的使用者时,首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和办公室的共同批准。之后,IT 系统管理员会帮助 应用系统的使用者开通账户,并建立相应的访问等级和权限。当应用系统需要关闭某位使用者的账户时,首先该部门应该填写“权限申请 表”,并得到部门经理和办公室的共同批准。之后,IT 系统管理员会帮助应用系 统使用者关闭该账户。大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及时间 将写入日志,以备今后查询之用。
7、个人义务
如果技术上可行,每一位使用者都应该通过一个唯一的使用者身份号码来识别,该号码设有密码,并不得与任何人共享。使用者的身份号码意味着不允许存在公共使用。然而,支持网关和服务器的设备是一个例外,例如:互联网服务器等。只有得到 IT 经理的批准,才能使用这些公共使用身份号码。使用者不得与他人共享密码。如果已经告知了他人,那么使用者将对他人利 用密码所做的任何行为的后果负责。若使用者怀疑他的密码已经被泄露了,那么他应该尽快更换密码。并应该在 第一时间向 IT 系统管理员汇报。3使用者不应该书面记录下密码,并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、生日等都是不合格的密码。使用者不得向他人泄漏密码。如果 IT 技术支持人员要求运用使用
者的号码 访问,则必须当着使用者的面登录。如果使用者泄漏了密码,则必须尽快更改密 码。如果他们因诱骗而泄漏了密码,则必须尽快向 IT 系统管理员汇报。如果使用者怀疑我们信息系统的安全性受到威胁,则必须尽快向 IT 系统管 理员汇报。使用者对他们自己输入系统的数据的精确性负责,同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如 果发现错误,并且自己能够修改的话,则应该将其改正。如果自己改正不了,则应该向他们的主管汇报。如果是在源文件发现数据错误,则应该尽快改正这些错误,而不是故意将这些错误输入我们的电脑系统。使用者在离开终端机器或电脑以前必须下线,这一点应该强制执行。如果是 在使用不带下线功能的单机个人电脑,则必须在离开电脑前终止程序。只有当执 行批处理任务时是例外。当使用者的工作职责有变动时,他的访问权也应该作相应的变更。部门经 理应该及时递交“权限申请表”以通知 IT 系统管理员。特别是在员工辞职的情 况下,他/她的部门经理以及人事部经理应该及时通知 IT 系统管理员,以保证在 最短的时间内撤销他/她的系统访问权。
8、局域网和广域网安全
在可能的情况下,我们都应将端口转换到使用者的个人电脑。如果没有足够的转换,已转换的端口将根据以下优先等级来分配:
需要带宽的使用者可以访问机密数据的使用者职务等级,例如:公司领导优先于管理员,管理员优先于经理,依此类推。所有的访问我们本地网络的端口只有在部门经理指定授权使用者时才可以 开通。因此,在公共区域(例如:会议室)的访问端口只能在使用时开通。4 交换机位于数据中心,对该中心的物理访问应该控制。除了授权的 IT 支持人员以外,任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听、端口或地址扫描功能的软件。IP 地址只能由经授权的 IT 支持人员来分配。使用者不得自行分配他们的 IP 地址。所有的交换机、路由器、互联网服务器以及防火墙都应该设置密码,此密码 不得为原厂密码。交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应该记 录在案。IT 经理应该保留一个备份。所有服务器的管理员密码和主管密码都应该记录在案。IT 经理应该保留一 个备份。对于交换机、路由器、网络集线器以及服务器的结构等级的访问应该只限授 权的 IT 支持人员。关于安全的信息以及通往网络的网关的保护机制应该只有授权的 IT 支持人 员知道。所有的交换机和路由器都应该由非间断电原提供至少 60 分钟的电源供应。如可能,非间断电源供应机应该轮流由一台备用的发电机来充电。只有经授权的使用者才允许安装和使用
网络发明和监控工具。
第三篇:供排水公司网络信息系统安全自查报告
供排水公司网络信息系统安全自查报告
我公司对网络信息安全系统工作一直十分重视,成立了专门的领导组,建立健全了网络安全保密责任制和有关规章制度,统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我公司网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
一、计算机涉密信息管理情况
今年以来,我公司加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照公司计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我公司采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要是系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全防护。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全;二是网络安全,包括网络结构、安全管理、密码管理等;三是应用安全,包括网站、邮件系统、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我公司电脑与系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常 我公司网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我公司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在公司开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,由定点电脑公司维修人员及时处理。维护时要求有相关人员陪同,规范设备的维护和管理。
六、网站安全
我公司对网站安全方面有相关要求,一是使用专属权限密码锁登陆;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作,于每周五定期检查计算机系统,确保无隐患问题,定期组织人员学习有关网络知识,提高计算机使用水平,确保预防。
八、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
巩留县供排水公司 2013年9月5日
第四篇:供排水公司网络信息系统安全自查报告
供排水公司网络信息系统安全自查报告
我公司对网络信息安全系统工作一直十分重视,成立了专门的领导组,建立健全了网络安全保密责任制和有关规章制度,统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我公司网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
一、计算机涉密信息管理情况
今年以来,我公司加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照公司计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我公司采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要是系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全防护。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全;二是网络安全,包括网络结构、安全管理、密码管理等;三是应用安全,包括网站、邮件系统、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我公司电脑与系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我公司网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我公司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在公司开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,由定点电脑公司维修人员及时处理。维护时要求有相关人员陪同,规范设备的维护和管理。
六、网站安全
我公司对网站安全方面有相关要求,一是使用专属权限密码锁登陆;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、计算机安全保密制度、网站安
全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作,于每周五定期检查计算机系统,确保无隐患问题,定期组织人员学习有关网络知识,提高计算机使用水平,确保预防。
八、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
巩留县供排水公司
2013年9月5日
第五篇:网络和信息系统安全运行管理实施细则汇总
网络和信息系统安全运行管理实施细则
目录
第一章 总则..................................................................................2 第二章 职责与分工........................................................................2 第三章 运行值班管理....................................................................5 第四章 事件管理...........................................................................5 第五章 变更管理...........................................................................6 第六章 网络管理...........................................................................7 第七章 应用管理.........................................................................10 第八章 机房管理.........................................................................13 第九章 信息设备管理..................................................................14 第十章 账号管理.........................................................................18 第十一章 信息资料管理...............................................................19 第十二章 备份管理......................................................................21 第十三章 耗材管理:..................................................................21 第十四章 移动存储介质管理........................................................22 第十五章 补丁管理......................................................................25 第十六章 漏洞管理......................................................................26 第十七章 日志审计......................................................................27 第十八章 外包管理......................................................................28 第十九章 人员管理......................................................................30 第二十章 附则.............................................................................31
第一章 总则
第一条 为了保证XX有限公司(以下简称“XX公司”)网络和信息系统的安全运行,依据《天津市电力公司信息系统安全管理规定》等相关制度,结合XX公司实际,制定本实施细则。
第二条 门”)。本实施细则适用于公司所属各部门(以下简称“各部
第二章 职责与分工
第三条 XX公司党政领导一把手是信息系统的第一安全责任人;各部门的一把手是本部门信息系统安全的第一责任人。信息安全考核纳入安全生产考核和经济责任制考核。
第四条 XX公司信息系统为三级管理,XX公司建立信息化工作领导小组,运维检修部负责信息化工作的职能管理,是公司的归口管理部门,各部门是信息化工作的具体落实部门。
第五条 XX公司信息化工作领导小组是公司信息安全的领导组织。负责审定公司的信息安全管理有关规定,负责落实上级主管部门的安全管理防范的技术策略和信息安全管理有关规定。第六条 XX公司安全监察质量部负责监督和考核公司信息系统的运行状况。信息系统发生事故,按照《天津市电力公司信息系统事故调查及考核办法》,由安全监察质量部牵头组织事故分析,提出处理意见,运维检修部配合进行专业分析。
第七条 运维检修部是公司信息化管理的职能部门,设置信息化管理专责。主要工作:
1、组织实施公司各项信息管理制度,做好监督、检查、指导信息安全管理及信息运行维护工作,组织实施安全防范措施。当发生影响信息安全的重大事件时,发布告警并组织制定应对措施。
2、负责信息化相关指标、数据的汇总上报工作。
3、负责XX公司信息系统硬件的调配工作。
4、负责信息系统耗材计划编制、调整工作。
5、负责组织编制信息专业的大修、技改计划。
6、配合专业部门进行市电力公司统一管理和开发的项目和软件在XX公司的组织推广工作。参与有关信息工程项目的评定、审核和验收。
7、配合人力资源部做好XX公司信息专业知识的培训工作。第八条 信息通信运维班,是XX公司信息网络系统整体运行、维护部门。主要工作:
1、负责XX公司相关网络运行数据、运行硬件指标数据的统计,负责公司信息网络软、硬件系统的运行总结上报,负责配合信息系统验收、检查工作。
2、负责XX公司信息系统的正常运行,软件、硬件维护和故障处理工作。
3、负责XX公司信息系统中实物资产的统计管理。
4、负责XX公司信息系统硬件设备及耗材的计划起草工作。
5、负责提出XX公司信息系统大修、技改项目的申请。
6、负责XX公司信息网络的建设方案的实施工作。
7、负责为各部门提供信息专业的技术支持。
8、配合专业部门做好市电力公司统一管理和开发的项目和软件在公司的系统管理工作。
9、负责XX公司信息故障受理工作,并做好报修记录。第九条 各部门是信息化工作的具体落实部门,信息设备由设备具体使用人负责,如无具体使用人,则由计算机帐号所有人负责。专业信息系统由各部门指定的专业系统管理人员负责。主要工作:
1、负责本部门信息设备、信息系统的安全保密管理。
2、负责本部门计算机的趋势防病毒软件的病毒码的升级,趋势防病毒软件监控系统必须保证开启状态。负责计算机操作系统补丁的及时升级以及相关软件的补丁升级工作。
3、负责保证信息设备、信息系统的相关安全配置,并按照公司规定正确使用信息设备、信息系统。
4、负责本部门信息设备、信息系统的日常维护管理,负责维护更新本部门设备台帐。
第十条 为了保障网络和信息系统的安全、可靠、不间断运行,信息通信运维班的关键岗位实行主副岗备用制度,主岗不在或工作负担过重时,副岗要担当其职责,工作由主岗委托。
第三章 运行值班管理
第十一条 法定工作日的工作时间应安排具备相应专业技术水平的人员进行5 x 8小时现场值班。其余时间应安排非现场值班,以确保关键应用系统的正常运行。
第十二条 重要时期应实行7x24小时值班,根据实际情况采取电话值班或现场值班,以确保关键应用系统的正常运行。
第十三条 值班人员要按照要求做好重大事项汇报工作,并做好记录。
第四章 事件管理
第十四条 信息通信运维班信息专业人员在接到故障申告时,应对故障信息进行登记。
第十五条 信息通信运维班信息专业人员根据故障信息,对故障进行处理,并将处理情况填入记录中,并交由故障申告人签字确认。
第五章 变更管理
第十六条 信息设备的变更指对服务器、路由器、交换机(不含客户端设备)等设备上运行的操作系统、权限、各种服务、各种软件、数据库、IP地址、安全配置、投入或退出运行、重新启动、重新安装等所作的变更。
第十七条 运维检修部是以上各种信息设备变更的职能管理部门,负责审批变更并备案。
第十八条 所有信息设备的各种变更都要履行变更审批和备案手续,由各部门专业系统管理人员或信息运维人员提出变更申请填写变更操作单(见附件1),填写好相关信息后由部门负责人签字交运维检修部确认审批,通过后实施变更。变更涉及信息系统、网络系统影响的,申请人应于变更前1至2个工作日以电子邮件、门户公告、电话通知方式告知相关影响用户,变更结束后对于以上用户进行测试。
第十九条 设备、系统变更前对于原有的数据,应该采取备份、异地转移存储等安全措施。
第二十条 对于涉密设备的变更,如果需要外来人员协助,外来人员需填写保密承诺书,保证所存储的涉密信息不被泄露,进行变更工作过程中变更申请人必须在现场,对维修人员、维修对象、维修内容、维修前后状况进行监督。
第二十一条 设备、系统变更结束后应按照天津市电力公司信息安全加固的要求加固系统,恢复设备以及系统中的原有应用及运行环境,并尽快投入运行。
第二十二条 任何信息设备的各类变更未履行相关审批手续或者无记录追溯的,以及因信息设备的变更对系统及用户造成中断应用等影响的,追究变更实施人员相关责任。
第六章 网络管理
第二十三条 管理信息网络分为信息内网(以下简称内网)和信息外网(以下简称外网),实现“双机双网”。
第二十四条 XX公司内网与外网均不得私自接入无线设备,网络终端均实行IP地址与MAC地址绑定,禁止非授权接入。
第二十五条 XX公司外网设备与内网设备按照上级部门要求进行信息安全加固,设置访问控制,设置足够强度的用户和密码。
第二十六条 XX公司外网通过市公司统一出口接入INTERNET,XX公司所有部门和人员禁止以其他任何方式(ADSL、3G无线、CDMA、GPRS、96168拨号等)私自连接INTERNET网。第二十七条 XX公司内外网计算机终端、打印机、网络设备的IP地址和配置信息由运维检修部统一分配和管理,任何人不得擅自使用他人的地址和未分配的地址,不得擅自安装任何网络设备,不得擅自更改网络设备的配置信息。
第二十八条 未经计算机网络管理人员同意,任何人不得擅自操作、移动网络设备。
第二十九条 职能管理部门和公司领导可以依据实际工作需要申请接入外网。
第三十条 接入外网必须填写外网接入申请表(见附件2),经XX公司主管领导批准后报科技信通部审批,审批通过后按照批准的地址进行IP/MAC绑定并接入外网,信息部门负责做好相应的登记备案工作,更新信息外网设备台帐。
第三十一条 公司提供公共上网计算机,公共上网计算机的维护及使用管理由信息通信运维班负责。员工因工作需要在公共上网区访问INTERNET,需进行上网登记。
第三十二条 不得在信息外网设备中保留任何信息内网资料。外网访问结束后,应立即清除与内网有关的文件。
第三十三条 接入内网必须填写内网接入申请表(见附件3),经XX公司主管领导批准后报科技信通部审批,审批通过后按照批准的地址进行IP/MAC绑定并接入内网,信息部门负责做好相应的登记备案工作,更新信息内网设备台帐。
第三十四条 信息内外网计算机IP地址变更按照内外网接入申请流程执行。
第三十五条 开发商如确因工作需要接入信息内网,应提前申请信息内网设备。
第三十六条 计算机接入信息内外网应由信息运维人员对计算机进行统一配置,设置规范的计算机名称(格式为公司名称-部门名称-流水编号),内网计算机应加入TEPCO域,并安装趋势防病毒软件、注册桌面终端标准化管理软件(安全移动存储介质软件),外网计算机应安装金山防病毒软件。
第三十七条 市公司科技信通部会定期对计算机进行安全检查,对存在安全隐患的计算机进行封网处理。被封网的计算机需经责任人进行认真整改后,填写情况说明及重新开通上网功能申请表(见附件4、5、6),经部门领导审批签字后报公司运维检修部。运维检修部确认已整改后报公司领导签字审批后上报市公司科技信通部申请开通网络。
第三十八条 信息通信运维班负责网络设备的运行管理,确保网络备品备件及应急设备处在良好状态,尽量在故障发生之前采取保护措施。
第三十九条 运维检修部负责建立详细的安全事件应急处理制度,制定并及时修订信息网络安全应急预案,定期演练,确保应急体系的完备性和可用性,做好应对突发信息安全事件的准备。
第四十条 发现网络与信息安全问题及时向运维检修部进行通报,遇重大问题由运维检修部及时向公司科技信通部报告。应在1小时内,将事件发生时间、原因过程、采取措施、影响范围、损失情况等,通过邮件和电话方式上报。
第七章 应用管理
第四十一条 严格执行市公司应用系统开发与管理的有关规定,原则上不允许自行开发或引进管理软件,有特殊需要的,必须事先到信息管理部门申请、备案,并由信息管理部门向科技信通部申请,经批准后方可开发,经验收后方可接入。
第四十二条 对接入信息网络运行的应用系统,在系统投入运行前,应对系统运行的稳定性、安全性进行严格测试,并使用漏洞扫描工具进行安全检查,确认没有系统漏洞后,经运维检修部批准后方可正式上线运行。
第四十三条 应用系统上线前由运维检修部根据等级保护制度对系统定级,同时报市公司科技信通部审核备案。
第四十四条 在系统投入运行前,应用系统开发单位和运行管理部门应相互配合,确定与该应用系统相关的网络环境参数、故障处理流程、数据备份管理流程、系统故障应急预案等。应用系统开发单位应提供能满足日常运行管理需求的系统开发及运行维护文档和系统软件介质(系统软件应包括可供系统进行完全安装和紧急恢复的完整系统软件介质光盘或磁盘,软件功能说明书,软件使用说明书,程序清单,数据结构清单等)。
第四十五条 对投入运行的应用系统,各专业主管部门应建立运行台帐,明确系统管理人员,做好运行日志。
第四十六条 接入信息内网的各应用系统原则上不得以专线、拨号或任何其它方式与系统外网络及国际互联网相连,如确有必要,则应采取有效防范手段并经运维检修部上报科技信通部审核备案。
第四十七条 投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改,严禁安装与本应用系统无关的应用程序和软件。应用系统的管理、维护、应用人员应严格按照各自的权限和业务流程使用系统。
第四十八条 进行应用系统的配置参数调整、系统软件重装、网络环境调整等系统变更都应严格遵照相应的变更管理流程。第四十九条 用户账号建立、用户账号权限更改、用户节点增加等日常维护业务,应由专业系统管理人员及时记录并定期整理归档。
第五十条 应用系统变更前后都应按相应的备份管理规定进行备份。
第五十一条 运行人员应及时发现系统故障。接到故障申告后,由专业系统管理人员或信息运维人员负责对问题进行详细的记录,对简单故障可先处理后汇报,对较大故障要立即通知本部门负责人和信息管理部门。
第五十二条 对于故障的分析、处理过程应有记录。重大故障处理要有两人以上,一人操作,一人监督。
第五十三条 各应用信息系统必须有完善的系统维护制度和操作规程。重大事件处理时,应有安全管理人员在场,故障原因、操作内容和操作前后的情况必须详细记录并存档。专业系统管理人员应定期检查和记录本信息系统的安全运行状况。
第五十四条 用户帐号和口令管理按照《天津市电力公司信息系统帐号、口令管理规定》执行。
第五十五条 专业系统管理人员负责系统的日常运行维护,数据的保存、备份,系统口令的维护、设置和管理,系统程序的安装,向其他子系统及上级有关单位部门提供数据及报表。
第八章 机房管理
第五十六条 XX公司信息机房按照国网公司C类机房管理标准进行管理,部署不间断电源系统(UPS)及防水、防雷、防火和恒温恒湿设施。
第五十七条 运维检修部是XX公司信息系统运行机房的职能管理部门,信息通信运维班明确机房管理责任人员,具体负责机房的日常管理和维护。
第五十八条 信息通信运维班负责做好机房日常巡视,每天检查机房环境、网络设备、服务器的运行状况,并认真填写机房巡检记录。对于巡视中发现的问题,要详细记录并汇报相关领导及时解决问题。
第五十九条 信息通信运维班负责做好机房内设备的运维,每半年对UPS进行1次充放电,并做好记录。
第六十条 机房是网络和信息系统的重点保密场所,严禁无关人员随意出入;外来人员进出机房必须填写机房出入登记表,经批准同意后方可进入。外来人员进入机房应由相关负责人陪同和监督。
第六十一条 机房内严禁烟火,不准使用电炉、电水壶等电器。机房内必须配备专用气体灭火器,运行维护人员必须学会使用灭火器,一旦发现火情,立即投入灭火,并迅速报警。第六十二条 机房内应保持清洁,严禁堆放杂物,设备、线路标签应清晰、齐全,机柜布线应整齐。进入机房前,须对鞋子进行清洁或戴上鞋套。
第六十三条 出入机房应注意关好门,最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。
第六十四条 工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。
第六十五条 未经主管领导批准,禁止将机房相关的钥匙、密码等物品和信息外借或透露给其它人员。对于遗失钥匙、泄露密码的情况要即时上报,并积极主动采取措施保证机房安全。
第九章 信息设备管理
第六十六条 信息设备根据设备的类型、用途、介质(特指软件)等因素,归为以下几类:
1、网络设备(路由器、交换机、防火墙、入侵检测、综合布线系统等)
2、服务器(含小型机、工作站、PC 服务器)
3、个人计算机(含便携式计算机)
4、外部设备(打印机、绘图仪等)
5、辅助设备(网络及服务器机柜、UPS 等)
6、工具(含网络工具、普通工具等)
7、软件
8、其他
第六十七条 运维检修部负责XX公司所属各单位信息设备管理、分配工作。运维检修部应根据应用系统对设备的要求,兼顾各部门岗位职能的需要,制定信息设备配置标准;在年末制定下一设备大修、设备升级改造、重要设备备品备件、设备维护等资金计划,上报主管领导及相关部门批准,列入下一信息系统专项资金计划。各部门应在计划编制前,及时上报信息设备需求。
第六十八条 新的设备到达后,由运维检修部负责组织相关人员验收,验收依据为签订的合同内容。验收人员应认真进行各种参数的测试,检查设备的性能指标是否能够达到技术要求。
第六十九条 新的信息设备投入使用前,需经信息通信运维班按照市电力公司相关规定进行安全加固;信息设备的使用部门应办理财务固定资产登记,并上报运维检修部备案。没有在运维检修部登记、违反规定自筹资金购买、不在财务固定资产台帐上的信息设备,运维检修部不负责维护及禁止接入信息网络。
第七十条 运维检修部归口负责XX公司信息设备台帐,台帐中应该包括设备的所属部门、型号、序列号、IP地址等。信息设备的使用部门负责信息设备的日常管理,包括清洁、杀毒软件及系统升级、一般性配置操作、一般性故障排除等,并对信息设备的非使用性损坏以及丢失负责,并按情节严重程度,依据有关规定追究当事人赔偿责任。各部应指定专人协助运维检修部做好所属范围内信息设备台帐管理,若有设备变动要及时上报运维检修部。运维检修部根据实际情况组织设备清查工作,进行设备台帐、实物核对,做到帐物相符。
第七十一条 每台信息设备都要明确设备负责人(负责人须是正式职工)。信息设备由设备具体使用人负责,如无具体使用人,则由计算机帐号所有人负责。信息设备随机资料、软件等应由设备负责人保存。信息设备正常工作环境由设备所属部门负责。各部门之间及部门成员之间不得随意互换计算机、或其他相关设备。对因人员、岗位变动闲置的信息设备应及时上报运维检修部,由运维检修部统一处理。
第七十二条 信息设备运维管理
1、严禁任何人私自拆卸信息设备硬件,私自更改计算机配置、网络IP地址,安装未经批准的三方软件。设备使用人不得直接向供货商提出信息设备相关设备维修、软件维护的要求,否则,发生的费用和其它问题自行承担。
2、设备负责人负责所属信息设备的日常维护。其中包括常用软件的安装升级,一般性配置操作、一般性故障排除。如果涉及到更换零件、安装系统等非一般性故障,无法自行处理的,应及时向运维部门进行故障申告,信息运维人员应记录故障设备信息及故障处理情况,并在处理完毕后交由故障申告人签字确认。
3、属于更换部分零部件也不能解决的故障,需更换整机或大型配件的,在经过信息运维人员确认后,由设备负责部门填写信息设备及配件申请(附件 7),经运维检修部请示主管领导批准后方可更换。
4、信息设备出现非一般性故障未经信息运维人员同意自行处理(含拆装)造成故障扩大,由自行处理(含拆装)的操作人承担修复责任。
5、为保证信息设备的正常维护,及时排除故障,XX公司每年列支一定的信息设运行备维护资金,保证本设备的安全稳定。运维检修部应视具体情况提出必要的仪器、仪表、工具和备品备件采购申请。
6、各部门应保证信息设备的相关安全配置,并按照公司规定正确使用信息设备,同时根据实际情况定期对所属信息设备组织自查,发现问题及时整改。运维检修部通过网上和不定期到现场方式进行检查,核查信息设备软硬件使用、维护情况。并依据有关规定对违反信息设备使用规定的部门进行考核。
第七十三条 信息设备报废工作由生产技术可根据市电力公司的相关规定定期进行。信息设备一般正常使用满5年以上,并且已不能满足应用系统正常使用要求的,或设备严重损坏(非人为造成)无修复可能的,可以申请报废,报废设备上交运维检修部,由运维检修部统一处理,其他任何单位不得擅自处理。对报废或淘汰设备的可用部分或零配件,运维检修部可根据需要再利用。对报废设备的存储硬件,须送交市公司科信部进行消磁处理,严禁随意外带。
第七十四条 防火墙、漏洞扫描等信息安全设备的采购和使用必须经市公司科技信通部批准后方可实施。
第十章 账号管理
第七十五条 运维检修部设域账号管理员,对XX公司范围内的域账号及相应权限进行统一管理,并负责将域账号及权限的变更信息及时准确上报市公司科技信通部。
第七十六条 各部门应设专人对本部门的域账号及相应权限进行统一管理,主要负责域账号申请表的填写,根据实际需要认真核实其申请权限,负责将本部门的域账号及权限的变更信息及时准确上报公司域账号管理员,并认真做好记录。
第七十七条 TEPCO域账号的开放范围:有工作需求的企业内部员工可以申请TEPCO域账号,对于非正式员工,原则上不开放TEPCO域账号。如确有需要,必须由所在部门指明一名公司正式员工为其责任人,代其申请,责任人对该非正式员工使用域账号的所有行为负有安全监督责任。
第七十八条 域账号的申请
1、各部门账号管理人员根据工作需要向公司域账号管理员提出申请,填写域账号使用申请表(见附件8),同时监督申请人签定安全使用责任书(见附件9)。
2、各部门账号管理人员根据申请人资料填写申请表后报部门领导审批签字,并上报运维检修部域账号管理员。运维检修部域账号管理员对申请表进行审核,并定期按审批流程向市公司科技信通部提出账号申请。
第七十九条 员工域账号权限的分配必须严格按照权限最小化的原则进行,即分配仅能满足工作要求的最小权限。
第八十条 帐号和密码是员工在网络信息系统中的唯一身份标识,仅供员工自己使用,不得借用或泄露,禁止越权操作。
第八十一条 员工域账号口令要求每3个月更换一次,口令长度不得低于8位,最近6个口令不可重复,口令中必须包含字母和数字。
第八十二条 当员工岗位变动时,运维检修部以人事部门人员变动通知单为准,结合岗位变动的实际情况,调整或关闭域账号。
第十一章 信息资料管理
第八十三条 信息资料是指在信息网络建设和运行过程中所遵循的标准、制度、规划与总结(含计划)、日志、项目管理文档、设备台帐(卡片)、技术类文档和信息系统建设或系统运行过程中收集的文档(含硬件和软件)等,是与系统建设和系统运行紧密关联,记录系统运行参数、技术指标、安全模式、设备配置、方案设计、项目建设合同等重要信息的文档。
第八十四条 运维检修部是信息资料的职能管理部门,信息通信运维班及各专业系统管理部门应明确资料管理人员,具体负责各种资料的日常管理工作。
第八十五条 资料管理要求包括:
1、做好资料的收集、整理、登记、造册、保管、鉴定、利用等工作。设备技术资料应齐全、正确、统一、清晰。对于重要及核心设备,应将资料复制并多种方式、不同地点保存。
2、设备技术资料应由专人负责管理,并负责资料安全,强化信息内容的安全管理,严防机密资料外泄。
3、资料管理人员应具备档案管理人员基本素质,并掌握一定的专业技术知识和较强的计算机应用水平,对所管理的文档能够做到分类清楚、归档准确。
4、在进行项目建设时,由该项目负责人或指定专人负责收集和整理整个工程过程中产生的文档,进行分类,标注必要的说明,在工程验收后将全部项目文档资料提交资料管理人员保存。
第八十六条 使用资料时,任何人不得抽取、涂改、勾抹或污损。
第十二章 备份管理
第八十七条 应用系统的备份工作是系统出现故障、甚至崩溃时的重要恢复手段,是信息安全工作的重中之重,必须高度重视。
第八十八条 各应用系统的备份由各部门专业系统管理人员制定策略、组织落实,信息运维人员配合实施。备份文件由专业系统管理人员负责保管。
第八十九条 客户端计算机及网上的办公文件由文件所有人自行备份。重要文件须至少在不同的设备上保存两分。
第九十条 数据备份介质可选择硬盘、光盘、磁带等存储介质,由各部门专业系统管理人员保存。要确保备份数据的可恢复性。存储介质应存放在远离磁性、辐射性的安全环境。
第九十一条 当系统或者数据确实无法抢救时,需估算可能的损失,将恢复计划和方案报请本部门领导同意后才能对系统进行恢复操作,恢复操作不应影响对故障原因的追查和故障的处理。
第十三章 耗材管理:
第九十二条 运维检修部为计算机耗材的管理部门,信息通信运维班设置专人负责耗材分发工作。计算机耗材包括:打印机硒鼓、色带、墨盒、软盘、光盘、网线等配件。
第九十三条 各部门设备责任人负责设备耗材的需用申请以及领用。耗材领用须保留记录并由领用人签字确认。可回收性耗材(如硒鼓、墨盒等)实行轮换制,以旧换新。
第九十四条 耗材发放人员定期统计各部门耗材使用情况,提报运维检修部。运维检修部耗材管理人员根据信息设备台帐和具体使用情况分析各部门耗材用量,发现超出预期的用量将组织调查。在耗材库存不足时,及时提报采购计划。
第十四章 移动存储介质管理
第九十五条 移动存储介质的范围包括:U盘、移动硬盘、各种存储卡(照相机、摄像机)、MP3、MP4、智能手机等带有存储功能的产品。
第九十六条 所有连入信息内网的计算机必须安装市电力公司统一部署的移动存储介质管理系统客户端程序。
第九十七条 XX供电有限公司范围内可以使用的移动存储设备只包括市电力公司统一配发的国家电网公司专用U盘(简称专用U盘)。其他非专用U盘禁止在XX公司内网计算机中使用。
第九十八条 运维检修部负责XX供电有限公司范围内移动存储设备的管理,向市公司申请专用U盘等移动存储设备,履行领用审批、登记备案、监督检查、维护维修等职责。
第九十九条 专用U盘的申请
1、原则上每部门最多只能申请一个专用U盘。
2、任何部门不得擅自购买、发放移动存储设备,如确有工作需要,可向运维检修部提出申请,填写专用U盘使用申请表(见附件10)。
3、申请人填写申请表后报部门领导审批签字,注明申请原因,指定责任人,明确其责任,待责任人签字认可后,上报运维检修部。
4、运维检修部对申请表进行审核,并交公司主管领导审批签字后,定期向天津市电力公司科技信通部提出申请。
5、专用U盘由各部门专用U盘负责人负责领取,领取时要在专用U盘领取、变更记录表(见附件11)中签字。
第一百条 专用U盘的使用
1、专用U盘第一次使用需对其默认密码进行修改。
2、用户在使用国网公司专用U盘前,需要经过趋势防病毒墙的扫描杀毒,扫描正常后方可使用。
3、使用专用U盘时要遵守津电科信[2008]13号“关于印发《天津市电力公司电子商密信息保密管理规定(试行)》的通知”中对于商密信息的要求。
4、严禁双击进入移动存储设备,应先在盘符上单击右键,选择菜单项中的打开命令进入。
5、文件复制完成应将移动存储设备与计算机分离;
6、专用U盘分为保密区和交换区,涉及到公司电子商密的信息在离开信息内网或商密计算机进行信息交换时,必须将电子商密信息存放在保密区。
7、使用者对专用U盘的密码要严格保密,不得告知他人;专用U盘不得进行私用。
第一百零一条 专用U盘的维修
专用U盘的维修需由各部门专用U盘负责人将U盘交送到运维检修部。如专用U盘无维修价值,由运维检修部信息管理人员将损坏专用U盘送市公司科信部申请更换,并将相关信息填入U盘领取、变更记录表中,由该U盘负责人签字。
第一百零二条 专用U盘的销毁需由信息管理人员将相关信息填入专用U盘领取、变更记录表中,并注明销毁原因。
第一百零三条 非国家电网公司专用U盘(简称非专用U盘)的使用
1、非专用U盘原则上不得连入XX公司信息内网的计算机中使用。
2、如确因工作需要使用非专用U盘,需填写《非国家电网公司专用U盘使用记录》(见附件12),注明使用原因、使用人,并经部门负责人确认签字。部门负责人应审核所拷贝内容,如涉及公司商密文件,应不予批准。使用记录应报运维检修部备案。
3、应在脱网机器中对U盘进行杀毒,确认无病毒后,将文件拷入专用U盘,进行相应工作。
第一百零四条 任何用户不得卸载移动存储介质客户端软件,一经发现收回统一配置的移动存储设备,并禁止申请使用专用U盘;
第一百零五条 因使用移动存储设备未进行病毒木马查杀造成内网、外网计算机感染病毒,造成系统损坏或数据丢失的,一经查实收回统一配置的移动存储设备,并禁止申请使用专用U盘;
第一百零六条 在使用过程中造成公司涉密信息泄漏的按照《天津市电力公司电子商密信息保密管理规定(试行)》相关条款执行。
第一百零七条 任何部门或个人未经审批擅自购买、发放移动存储设备,一经查实收回自行购置的移动存储设备。
第一百零八条 不得复制、传播任何与工作无关的软件、游戏、文件至内网机器。
第十五章 补丁管理
第一百零九条 所有信息内网和信息外网的终端及服务器都要及时进行补丁升级。
第一百一十条 终端补丁升级
1、信息内网终端必须加入TEPCO域,在每次开机时必须以管理员身份登陆TEPCO域,执行TEPCO域安全策略,以便及时下载系统补丁。终端使用者在发现有新的系统补丁时,应及时点击安装。
2、信息外网终端必须安装公司统一的金山防病毒软件,定期执行漏洞检测,并在发现漏洞时及时打补丁。
第一百一十一条 服务器补丁升级
1、对服务器中数据库、WEB软件以及其它系统应用软件应及时进行补丁升级。
2、对服务器所有项目进行补丁升级时,要仔细阅读升级文档,分析确定升级补丁对现有的操作系统及应用的影响,确保在补丁升级后服务器软硬件能够正常运行。
3、应用软件补丁升级,对天津市电力公司统一运维的应用系统,由天津市电力公司统一执行,对自行开发的应用软件系统,由专业系统管理人员主动与开发商联系对有危害系统安全的补丁及时升级。
4、升级补丁之前,做好系统、数据备份,以免升级失败后及时恢复。
第十六章 漏洞管理
第一百一十二条 对接入信息网络运行的应用系统,在系统投入运行前,检查应用系统自身是否存在安全漏洞和隐患,确认没有漏洞后方可正式上线运行。
第一百一十三条 系统上线前要严格按天津市电力公司《信息系统安全配置基本规范》要求做好配置和系统加固。
第一百一十四条 应使用天津市电力公司统一指定的的相关工具进行安全检查,定期或不定期对网络与服务器主机进行安全扫描和检测,对扫描结果及时进行分析,采取相应补救措施。
第一百一十五条 应及时对所采集到的有关系统、网络、数据及用户活动的状态和行为等特征信息进行分析。如遇异常网络行为活动,应及时阻断事件点,查明原因及时消除,确认无安全隐患后再接入系统。
第十七章 日志审计
第一百一十六条 日志是对用户行为和系统行为进行记录的形式,日志审计是保障应用系统信息安全的重要手段。
第一百一十七条 在信息设备、业务应用系统上线运行前,应按市电力公司《信息系统安全配置基本规范》中的各项规定开启相应的日志审计功能。
第一百一十八条 应制定恰当的日志策略,确定记录日志的设备或系统范围、记录日志的事件类别、记录日志的最大时间范围、日志备份策略、审计日志的处理方式等。
第一百一十九条 日志记录应包括事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容。
第一百二十条 信息通信运维班应对主机系统、网络设备、应用系统、数据库和中间件等的日志定期进行安全审计。分析运行日志时,若发现正在、可能或已经危害到系统安全运行的行为时,应及时处理。
第十八章 外包管理
第一百二十一条 XX公司坚决贯彻信息运维主业化原则,原则上涉及信息系统核心业务的运维,包括桌面终端的运维不允许服务外包。
第一百二十二条 对于自行维护、实施有困难,确需进行信息服务业务外包的非核心信息服务业务,填写XX公司非核心信息服务业务外包申请审批表(见附件13),报XX公司运维检修部,由运维检修部汇总后报主管领导审批,并报上级主管部门审批备案后方可实施。
第一百二十三条 对于通过审批后实施外包的业务,承包商由XX公司按照国家、行业有关法律法规要求进行资质审查,综合考虑其安全管理、专业技术水平等因素,按规定的程序择优确定。第一百二十四条 必须与外包服务承包商签定相关外包服务协议,协议必须严格限定外包服务承包商的工作范围,明确承包商可以接触的设备、系统及可以进行的操作,明确指定专门的管理部门、专门的人员对承包商进行的服务行为进行有效监管。
第一百二十五条 提供外包服务的承包商及其工作人员,必需签署《安全保密责任书》(见附件14)和《保密补充条款》(见附件15)。必须按照XX公司相关保密规定和要求,在XX公司有关人员的监督下进行信息业务服务,不得擅自复制、转让或者转借XX公司相关基础数据。
第一百二十六条 应对承包商工作及调试人员进行安全教育,并指定专门的人员,记录承包商服务行为的开始时间、具体的工作人员、操作的设备、涉及的系统、操作结束时间、操作的结果,并负责在操作之后审核确认操作结果,对承包商的服务行为进行全程监管和记录(见附件16)。
第一百二十七条 XX公司禁止使用远程方式操作、调试系统,所有操作必须在有效监管下本地进行,原则上禁止承包商自带的终端设备接入XX公司内网,承包商如果需要接入XX公司内网进行测试、调试,终端设备由XX公司提供。
第一百二十八条 信息服务承包商服务期满后,由XX公司信息管理部门及该项信息服务管理部门对承包商整体服务行为进行信息安全评定和审核(见附件17)。
第十九章 人员管理
第一百二十九条 新员工在上岗前应进行信息安全教育,由公司保密办组织签订《天津市电力公司员工保密承诺书》(见附件18),考试合格后方可上岗进行工作。
第一百三十条 重点敏感岗位人员管理
1、重点敏感岗位包括:网络管理、应用管理、主机管理、安全管理。
2、重点敏感岗位的工作直接影响着网络及信息系统的安全,必须加强管理。
3、信息管理和运维部门要对以上岗位人员加强内控、教育,提高敏感岗位人员信息安全保密意识。
4、重点敏感岗位人员离岗时,填写《信息重点敏感岗位人员离岗移交纪录》(见附件19),经信息管理部门审核确认后,完成移交工作。运维部门及时核对并修改相关人员权限和设备安全配置相关内容。
第一百三十一条 外来人员为XX公司提供信息业务服务时,必须遵守相关保密规定和要求,签署《安全保密责任书》(见附件14)和《保密补充条款》(见附件15)。XX公司指定专门的人员,对外来人员的行为进行全程监管和记录(见附件16)。
第一百三十二条 制度作废。
第一百三十三条
第二十章 附则
本规定自发布之日起试行。以前颁布的相关本规定由XX有限公司运维检修部负责解释。