XX公司信息安全风险预控措施.docVIP

XX公司信息安全风险预控措施 为了积极落实公司“安全年”安全生产工作相关要求，切实加强信息安全的建设与管理，确保公司不发生六级及以上信息安全事件，在全力推进公司信息化支撑与建设的同时，努力为公司的安全生产、经营管理、信息支持等方面提供有力的信息保障，特制定XX公司2012年度信息安全风险预控措施，并予以实施。 信息安全管控流程 二、信息安全风险描述 1、网络突然发生中断，如停电、线路故障、网络通信设备损坏等。 2、公司网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱秩序；破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。 3、公司内网络服务器及其他服务器被非法入侵，服务器上的数据被非法拷贝、修改、删除，发生泄密事件。 4、公司内外网终端混用，被国网公司信息管理部门查处，造成公司信息泄露、丢失事件。 三、信息安全风险预警 1、网络安全风险 1.1网络信息遭受黑客窃听、盗取、篡改等恶意攻击事件。 1.2网络设备发生故障、断电、配置错误等问题。 1.3租用的电信运营商通道发生设备、通道故障，加密措施失效或遗失、遗漏重要业务信息。 1.4公司各单位VLAN失效或混乱，非授权用户可以侵入重要部门 VLAN区域。 1.5网络设备登录密码遭到窃取、篡改，或被植入网络病毒、木马等恶意程序。 1.6网络系统重要数据丢失。 2、系统安全风险 2.1因服务器、系统自身漏洞，造成服务器或系统遭到恶意侵入或攻击。 2.2未按照国网公司统一规定安装桌面终端管理软件及正版防病毒软件，造成公司网络内部病毒、木马破坏及内外网混用。 2.3服务器、操作系统、应用系统由于密码设置问题，造成管理权限、业务数据遭到窃取、篡改、泄露、遗失。 2.4信息系统重要数据丢失。 3、机房环境风险 3.1机房内重要设备电源失电或当市电断电的情况下，UPS电源未能及时切换或UPS电源供电时间不足。 3.2机房空调故障，造成机房温度过高，导致设备停机。 3.3机房发生火灾隐患时，未能及时报警并进行灭火措施。 3.4因机房监管问题，造成机房重要设备或信息遗失、泄露。 3.5因未对机房各类风险隐患进行定期巡视排查，造成机房安全事件的发生。 4、终端应用风险 4.1信息网络管理人员、信息系统应用信息安全意识或常识不足，造成设备或系统发生信息安全事件。 4.2信息安全相关管理机制未能执行，致使信息安全措施未能彻底落实。 4.3当进行基础施工或发生信息网络故障时，未能提前或及时通知公司信息网络管理人员，造成信息网络故障或扩大信息网络事件范围。 四、信息安全风险控制 1、基本原则 1.1 坚持“安全第一，预防为主、综合治理”的原则。加强网络与信息系统安全管理，有效地预防和减少网络与信息系统安全事故的发生，保障网络与信息安全稳定运行。 1.2 坚持统一指挥，分级负责的原则。网络与信息系统安全六级以下事件在公司应急指挥机构的统一指挥和协调下，组织开展事故处理、事故抢险、应急救援等各项工作。 1.3 坚持保证重点，有效组织，及时响应的原则。对网络与信息系统要加大监控和应急工作力度，有效组织和发挥各应急队伍和应急资源的作用，确保信息及时准确传递，有效控制损失。做到保证重点系统、设备快速恢复运行，应对事故反应迅速。 1.4 发挥技术支撑、机制保障作用，不断完善预防与抢险相结合的原则。在充分利用公司现有资源、系统和设备的基础上，采用先进适用的预测、预防、预警和应急处置技术，改进和完善应急处理装备、设施和手段，提高应对信息系统设备故障造成突发事件的技术支撑能力。 2、组织机构及职责 2.1 信息安全预控应急处理小组 成立信息安全预控应急处理工作小组，信息安全预控应急处理工作小组组长由公司主管领导担任，副组长由公司安监部、信息中心负责人担任，成员包括安监部相关专责、信息中心运维人员、各部门、各单位安全员、信息员。 2.2 信息安全预控应急处理小组职责 2.2.1 监督执行省公司、公司有关部门下达的信息安全预控应急指令、重大预控应急决策和部署。 2.2.2 组织制定信息安全预控应急工作相关制度、标准、规范和预案，定期组织评估和复核，并监督、检查贯彻执行情况。 2.2.3 及时了解和掌握信息安全突发事件与应急处理工作情况，向省公司、公司有关部门报告应急处理过程中发现的重大问题，并协调解决。 2.2.4 按公司相关规定参与、配合信息安全事件调查、总结应急处理经验和教训等后期处置工作；根据省公司、公司有关部门的要求提交各类报告。 3、风险控制计划 3.1 加强对核心网络设备、汇聚设备和重要服务器的软、硬件升级改造和备份，确保公司骨干网络具有双