信息安全产品采购、使用管理制度.docxVIP

信息安全产品采购、使用管理制度 1总则 1.1 为了推动XX信息通信分公司（以下简称“公司”）信息系统管理的规范化、程序化、制度化，加强信息安全产品的管理，规范安全设备购置、管理、应用、维护、维修及报废等方面的工作，保护信息系统安全，制定本制度。 1.2 信息安全软硬件设备的管理须严格遵循已颁布的《信息系统软硬件设备管理制度》。本制度作为《信息系统软硬件设备管理制度》的补充，适用于公司的信息安全软硬件设备的管理工作。 2 规范性引进文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准 《信息安全技术?信息系统安全保障评估框架》（GB/T?20274.1-2006） 《信息安全技术?信息系统安全管理要求》（GB/T?20269-2006?） 《信息安全技术 信息系统安全等级保护基本要求》（GBT 22239-2008） 本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和规定执行。 3设备采购 3.1网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。 3.2所有安全设备后均需进行严格检测，凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。 3.3通过上述测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备，才能投入生产系统，正式运行。 4设备管理 4.1每台（套）安全设备的使用均应指定专人负责，均应设定严格的管理员身份鉴别和访问控制，严禁盗用帐号和密码，超越管理权限，非法操作安全设备。 4.2安全设备的口令不得少于10位，须使用包含大小写字母、数字等在内的不易猜测的强口令，并遵循省电网公司统一的帐号口令管理办法。 4.3安全设备的网络配置应遵循统一的规划和分配，相关网络配置应向信息中心网络管理部门备案。 4.4安全设备的安全策略应进行统一管理，安全策略固化后的变更应经过信息中心审核批准，并及时更新策略配置库。 4.5关键的安全设备须有备机备件，由信息中心统一进行保管、分发和替换。 4.6加强安全设备外联控制，严禁擅自接入国际互联网或其他公众信息网络。 4.7因工作需要，设备需携带出工作环境时，应递交申请并由相关责任人签字并留档。 4.8存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循： 如因工作原因需使用外来介质，应首先进行病毒检查。 存储介质上粘贴统一标识，注明编号、部门、责任人。 存储介质如有损坏或其他原因更换下来的，需交回信息中心处理。 4.9安全设备的使用管理： 安全设备每月详细检查一次，记录并分析相关日志，对可疑行为及时进行处理； 关键安全设备每天须进行日常巡检； 当设备的配置更改时，应做好配置的备份工作； 安全设备出现故障要立即报告主管领导，并及时通知系统集成商或有关单位进行故障排除，处理过程要有文档记录； 安全设备操作，应填写操作记录和技术文档。 4.10设备相应责任人负责： 建立详细的运行日志记录、备份制度。 负责设备的使用登记，登记内容应包括运行起止时间、累计运行时数及运行状况等。 负责进行设备的日常清洗及定期保养维护，做好维护记录，保证设备处于最佳状态。 一旦设备出现故障，责任人应立即如实填写故障报告，通知有关人员理。 设备责任人应保证设备在其出厂标称的使用环境（如温度、湿度、电压、电磁干扰、粉尘度等）下工作。 4.11及时关注下发的各类信息安全通告，关注最新的病毒防治信息和提示，根据要求调节相应设备参数配置。 4.12安全管理员应界定重要设备，对重要设备的配置技术文档应考虑双份以上的备份，并存放一份于异地。 5附则 1)本标准由XX公司信息通信分公司负责解释。 2)本标准自颁布之日起实行。