网络与信息系统安全管理办法.pdfVIP

网络与信息系统安全管理办法

第一章总则

第一条为加强和规范公司网络与信息系统安全工作，切实

提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力，实现网络

与信息系统安全的可控、能控、在控，依据国家有关法律、法规、

规定及公司有关制度，制定本办法。

第三条本办法适用于公司总（分）部及所属各级单位的网

络与信息系统安全管理工作。

第四条网络与信息系统安全防护目标是保障生产监控系

统及调度数据网络的安全，保障管理信息系统及通信、网络的安

全，落实信息系统生命周期全过程安全管理，实现信息安全可控、

能控、在控。防范对二次系统、管理信息系统的恶意攻击及侵害，

抵御内外部有组织的攻击，防止由于二次系统、管理信息系统的

崩溃或瘫痪造成的系统事故。

第五条公司网络与信息系统安全工作坚持“三纳入一融

合”原则，将等级保护纳入网络与信息系统安全工作中，将网络

与信息系统安全纳入信息化日常工作中，将网络与信息系统安全

纳入公司安全生产管理体系中，将网络与信息系统安全融入公司

安全生产中。在规划和建设网络与信息系统时,信息通信安全防护

措施应按照“三同步”原则，与网络与信息系统建设同步规划、

同步建设、同步投入运行。

第六条管理信息系统安全防护坚持“双网双机、分区分域、

安全接入、动态感知、全面防护、准入备案”的总体安全策略，

执行信息安全等级保护制度。其中“双网双机”指信息内外网间

采用逻辑强隔离设备进行隔离，并分别采用独立的服务器及桌面

主机；“分区分域”指依据等级保护定级情况及业务系统类型，进

行安全域划分，以实现不同安全域的独立化、差异化防护；“安全

接入”指通过采用终端加固、安全通道、认证等措施保障终端接

入公司信息内外网安全；“动态感知”指对公司网络、信息系统、

终端及设备等安全状态进行全面动态监测，实现事前预警、事中

监测和事后审计；“全面防护”指对物理、网络边界、主机、应用

和数据等进行深度防护，加强安全基础设施建设，覆盖防护各层

次、各环节、各对象；“准入备案”指对所有接入公司网络的各类

网络、应用、系统、终端、设备进行准入及备案管理。

第七条二次系统安全防护按照“安全分区、网络专用、横

向隔离、纵向认证”的防护原则，并遵照原国家监管委员会《二

次系统安全防护规定》及《二次系统安全防护总体方案》等相关

文件执行。

第二章职责分工

第八条公司信息安全工作实行统一领导、分级管理，遵循

“谁主管谁负责；谁运行谁负责；谁使用谁负责；管业务必须管

安全”的原则，严格落实网络与信息系统安全责任。各级单位主

要负责人是本单位网络与信息系统安全第一责任人。各级单位信

息化领导小组负责本单位网络信息安全（含生产控制大区和管理

信息大区）的总体协调领导。

第九条网络与信息系统实行专业管理、归口监督。信息管

理部是信息安全防护的归口部门，负责管理信息系统及通信网的

安全防护。国调中心负责调度数据网络和二次系统的安全防护。

安质部负责公司信息安全监督、检查和评价工作。办公厅（保密

办）负责公司保密管理，负责信息失泄密情况的调查和处理。各

业务部门负责本专业系统及终端的安全监控和防护。各级单位负

责落实本单位网络与信息系统安全工作。

第十条信息管理部主要职责如下：

（一）落实国家有关网络与信息系统安全法规、方针、政策、

标准和规范，联系国家有关部门落实相关安全工作。组织制定公

司网络与信息系统安全管理标准规范和规章制度。

（二）负责公司网络与信息系统安全体系规划设计、架构管

控、总体安全防护方案制订、核心安全防护措施部署和策略优化

配置并组织实施。

（三）指导总部各部门、公司各级单位开展网络与信息系统

全生命周期安全管控工作，组织落实等级保护测评整改、风险评

估和隐患排查治理等工作。

（四）负责信息安全技术督查体系建设，组织开展公司信息

安全技术督查工作。

（五）协助开展网络与信息系统事件的调查处理，组织制定、

落实网络与信息系统反事故措施。

（六）负责信息安全态势跟踪、事件监测与分析、信息安全

通报。

（七）负责网络与信息系统应急管理体系建设与应急处