电力公司信息安全指导方针.docVIP

内蒙古电力（集团）有限责任公司 IT安全策略管理标准和指导方针 第一章总则 第一条内蒙古电力安全管理的基本任务 内蒙古电力全网安全管理的目标是在合理的安全成本基础上， 实现内蒙古电力的网络运行安全和业务安全。即确保内蒙古电 力各类网络设备的正常运行，确保信息在网络上的安全存储和 传输，为内蒙古电力上承载的各类业务提供安全保证。 本办法的目标是建立科学的安全管理体系，为内蒙古电力的网 络安全运行和业务安全提供管理上的保障。即综合考虑组织、 管理、技术等多方面的因素，建立全面科学的内蒙古电力安全 管理体系，力争通过科学规范的管理，结合先进的技术，确保 内蒙古电力各项安全工作的落实，真正保证内蒙古电力的网络 安全。 第二条内蒙古电力安全管理工作的主要原则包括： 内蒙古电力网络安全管理应以国家相关政策法规和条例 为依据。 内蒙古电力中选用的网络安全产品应通过国家主管部门 的测评认证。 内蒙古电力网络安全系统应遵循与内蒙古电力同步规划、 同步建设、同步运行的原则。 内蒙古电力网络安全管理遵循统一规划、集中监控的原 则。信息安全领导小组负责对内蒙古电力网络安全管理工 作进行统一规划，负责内蒙古电力网络安全管理办法的制 定和监督实施。 在内蒙古电力安全管理过程中，应在网络安全性与投入成 本、网络安全性和操作便利性之间找到最佳的平衡点。 在内蒙古电力安全管理过程中，应遵循动态管理原则，要 针对内蒙古电力网络及业务的变动情况及时调整本办法。 内蒙古电力网络安全管理工作应建立符合网络和业务发 展要求的安全管理组织体系和安全技术支援保障体系。 内蒙古电力网络安全管理应建立并不断积累完善针对实 际情况的各类安全管理章程或规定，全面提高网络安全管 理水平。 第三条本办法的解释权归内蒙古电力信息安全领导小组。 第二章管理维护组织机构.职责 第二章 管理维护组织机构.职责 第四条内蒙古电力网安全管理的基本原则是集中统一领导和分级负 责维护管理。 第五条内蒙古电力信息安全领导小组职责 贯彻落实公司关于信息安全工作的策略、制度； 研究决定内蒙古电力信息设备安全工作的重大事项; 制定内蒙古电力信息设备安全工作的实施细则； 组织、领导各类相关的安全工作； 组织相关安全培训。 第三章安全策略管理标准 第六条信息安全领导小组工作内容的主要内容包括： 关键岗位人选：对关键岗位人员进行审查，保证具备较强业务 技术能力，确保可信可靠，胜任本职工作; 人员考核：应每年组织一次对内蒙古电力中从事关键业务 的人员的全面考核；对违规人员视情节轻重进行批评、教育、 调离工作岗位； 人员调离：关键岗位人员调离，应严格办理调离手续。自 人员调离决定通知之日起，应及时更换系统口令； 人员培训：应不定期对内蒙古电力相关安全工作人员进行 安全知识和安全意识培训。 第七条运行维护安全规定 操作安全管理制度内容应包括： 明确安全职责：按照分工协作、互相制约的原则制定各类系 统操作人员职责。职责不允许交叉覆盖； 履行安全职责：各类人员必须按规定行事，不得从事超越自 己职责以外的任何作业； 岗位监督：进行系统维护、复原、强行更改数据时，至少有 两名操作人员相互监督操作，并进行详细的登记及签名； 稽核：安全监察人员和安全管理人员有权对一线操作、管理 人员进行监督与核查； 第条内蒙古电力信息系统维护管理过程中的相关操作应遵循以下 原则： 重要操作应由相关主管人员授权。 必须严格按照设备和系统的操作规程进行日常操作。 各级操作人员应仅在自己的权限范围内进行操作，不得非法 拷贝、增加、修改或删除数据。 各级操作人员不得进行任何越权操作的尝试。 各级操作人员必须严格保管自己的身份识别数据（如用户 卡、口令等），不得将其泄漏给他人。 各级操作人员必须如实记录操作日志。 第九条场地于设施安全管理制度 按照国家《计算机场地安全要求》、《计算机场地技术条件》等标 准，对内蒙古电力的场地与设施进行安全等级划分，制定安全管 理规定的技术措施和管理办法。 第十条设备安全使用管理制度 设备安全使用管理制度包括： 设备使用管理包括指定专人负责设备的使用、建立详细的运 行日志、设备的维护和定期保养、设备故障处理等； 设备维修管理包括指定专人负责设备的维修，建立满足正常 运行的最低要求的易损件备件库，记录设备维修对象、故障 原因、排除方法、主要维修过程及其它的有关情况； 设备备品备件管理指未被使用或修复后性能正常的各种设备 的集中统一管理。 第十一条 操作系统和数据库安全管理制度 操作系统和数据库安全管理制度内容包括： 系统要求：根据内蒙古电力的安全要求，选择达到相应安全 等级的操作系统、数据库系统，所选用的系统需满足公司的 安全技术规范； 运行安全：确认运行环境满足安全运行要求、建立正确的安 全运行机制、实施正确的安全运行管理；