第一篇：xx信息系統(tǒng)安全管理辦法

1信息系統(tǒng)安全管理的基本要求

1.1信息系統(tǒng)安全管理按照“三同步”原則進(jìn)行，即同步設(shè)計(jì)、同步建設(shè)、同步運(yùn)行。

1.2信息系統(tǒng)的安全管理包括：組織和人員管理、信息系統(tǒng)建設(shè)安全管理、運(yùn)行維護(hù)安全管理和信息安全風(fēng)險(xiǎn)評(píng)估等。

1.3依據(jù)國家《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，結(jié)合公司實(shí)際情況，信息系統(tǒng)實(shí)行等級(jí)化保護(hù)和等級(jí)化管理。適用于公司所屬各二級(jí)單位、機(jī)關(guān)各部室。

2職責(zé)與分工

2.1為保證信息系統(tǒng)安全運(yùn)行，建立公司、二級(jí)單位兩級(jí)信息系統(tǒng)安全管理體系，本著“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)”的原則，在公司設(shè)立信息安全領(lǐng)導(dǎo)小組，接受公司信息化領(lǐng)導(dǎo)小組和公司保密委員會(huì)的指導(dǎo)，信息部全面負(fù)責(zé)公司信息系統(tǒng)安全管理工作，機(jī)關(guān)各部室和各二級(jí)單位分別設(shè)立信息系統(tǒng)安全管理組織，各司其責(zé)，做好本部門或本單位信息系統(tǒng)安全管理工作。

2.2公司信息部負(fù)責(zé)對(duì)公司信息系統(tǒng)安全的統(tǒng)一管理。組織制定并執(zhí)行信息系統(tǒng)安全規(guī)劃、策略、標(biāo)準(zhǔn)、流程、應(yīng)急計(jì)劃；行使防范與保護(hù)、監(jiān)控與檢查、響應(yīng)與處置職能；負(fù)責(zé)對(duì)公司重大信息安全項(xiàng)目實(shí)行集中決策，統(tǒng)一部署，優(yōu)化配置資源，建設(shè)全局性的信息系統(tǒng)安全體系；負(fù)責(zé)對(duì)公司信息系統(tǒng)建設(shè)項(xiàng)目驗(yàn)收的信息安全評(píng)估與審批；負(fù)責(zé)落實(shí)信息系統(tǒng)安全宣傳教育與培訓(xùn)計(jì)劃等。

2.3各二級(jí)單位和機(jī)關(guān)各部室應(yīng)建立信息系統(tǒng)安全管理組織或兼職管理員。負(fù)責(zé)信息安全管理實(shí)施細(xì)則和要求的落實(shí)；檢查信息系統(tǒng)安全管理的日常工作；修改完善信息安全策略規(guī)范；關(guān)注信息安全風(fēng)險(xiǎn)；加強(qiáng)對(duì)內(nèi)部信息系統(tǒng)使用人員的安全管理，在崗位職責(zé)中明確其信息安全責(zé)任；監(jiān)督信息系統(tǒng)建設(shè)、運(yùn)行、維護(hù)第三方單位屬地的信息安全工作；協(xié)調(diào)處理安全威脅、違例行為和其他信息安全突發(fā)事件。

2.4電信事業(yè)部和檔案管理中心應(yīng)配合公司信息部做好信息系統(tǒng)安全工作。按照《中國石化信息系統(tǒng)關(guān)鍵崗位安全管理辦法》，設(shè)立并加強(qiáng)對(duì)本單位信息系統(tǒng)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、系統(tǒng)維護(hù)人員、重要應(yīng)用系統(tǒng)的開發(fā)、操作人員等信息系統(tǒng)關(guān)鍵崗位人員資格、職責(zé)、權(quán)限、培訓(xùn)、考核、監(jiān)督的管理。定期組織開展應(yīng)急預(yù)案演練工作。

3信息系統(tǒng)安全管理內(nèi)容與方法

3.1信息系統(tǒng)安全保護(hù)等級(jí)劃分

3.1.1公司的信息系統(tǒng)安全保護(hù)等級(jí)總體定為三個(gè)級(jí)別，分為三級(jí)、二級(jí)和一級(jí)，其中三級(jí)的信息安全保護(hù)等級(jí)最高。信息系統(tǒng)安全等級(jí)定為二級(jí)以上的信息系統(tǒng)在本管理辦法中定義為重要信息系統(tǒng)。

3.1.2信息安全保護(hù)等級(jí)為一級(jí)：信息系統(tǒng)所處理的信息為一般信息。系統(tǒng)所管理、控制和處理的信息資產(chǎn)，在遭到攻擊和破壞時(shí)，系統(tǒng)所承載的業(yè)務(wù)以及單位利益造成較小的負(fù)面影響。

3.1.3信息安全保護(hù)等級(jí)為二級(jí)：信息系統(tǒng)處理信息為日常業(yè)務(wù)信息。系統(tǒng)所管理、控制和處理的信息資產(chǎn)，在遭到攻擊和破壞時(shí)，會(huì)對(duì)系統(tǒng)所承載的業(yè)務(wù)以及單位利益帶來一定的損失或破壞。

3.1.4信息安全保護(hù)等級(jí)為三級(jí)：信息系統(tǒng)處理信息為核心業(yè)務(wù)信息。系統(tǒng)所管理、控制和

處理的信息資產(chǎn)，在遭到攻擊和破壞時(shí)，會(huì)對(duì)系統(tǒng)所承載的業(yè)務(wù)、單位利益以及社會(huì)公共利益帶來嚴(yán)重的損失或破壞，對(duì)社會(huì)穩(wěn)定、國家安全產(chǎn)生負(fù)面影響。

3.1.5各級(jí)信息系統(tǒng)安全管理組織或兼職管理員根據(jù)以上分級(jí)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)進(jìn)行分級(jí)保護(hù)。具體信息系統(tǒng)安全等級(jí)的確定要以應(yīng)用系統(tǒng)為核心進(jìn)行，用于支撐應(yīng)用系統(tǒng)的公共應(yīng)用平臺(tái)、操作系統(tǒng)平臺(tái)和網(wǎng)絡(luò)平臺(tái)的安全等級(jí)應(yīng)不低于應(yīng)用系統(tǒng)的安全等級(jí)。

3.2信息系統(tǒng)建設(shè)

3.2.1信息安全是信息系統(tǒng)建設(shè)的重要組成部分，信息安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)“同步設(shè)計(jì)、同步建設(shè)、同步運(yùn)行”。

3.2.2重要信息系統(tǒng)應(yīng)有安全性設(shè)計(jì)、論證和評(píng)估，包括安全需求、安全功能、安全措施、性能指標(biāo)等內(nèi)容，公司信息部負(fù)責(zé)組織審查。

3.2.3重要信息系統(tǒng)建設(shè)項(xiàng)目驗(yàn)收，必須包括對(duì)其信息系統(tǒng)安全內(nèi)容的驗(yàn)收。

3.2.4信息系統(tǒng)建設(shè)項(xiàng)目中信息安全相關(guān)內(nèi)容文檔由各級(jí)信息系統(tǒng)安全管理組織統(tǒng)一備案管理。

3.2.5信息安全建設(shè)項(xiàng)目由公司信息部負(fù)責(zé)統(tǒng)一組織規(guī)劃、立項(xiàng)、設(shè)計(jì)、實(shí)施、驗(yàn)收。

3.2.6信息系統(tǒng)建設(shè)、運(yùn)行、維護(hù)的第三方單位必須經(jīng)過公司信息部組織的資格審查，并簽訂信息安全協(xié)議書，承諾所承擔(dān)的信息安全保密責(zé)任和義務(wù)。

3.3運(yùn)行維護(hù)管理

3.3.1建立信息系統(tǒng)日常運(yùn)行維護(hù)的相關(guān)安全管理辦法。制訂日常運(yùn)行維護(hù)操作和變更控制流程，規(guī)范日常運(yùn)行維護(hù)操作。

3.3.2建立用戶帳戶申請(qǐng)、創(chuàng)建、交付、凍結(jié)、注銷的審批與操作流程。用戶權(quán)限的分配、變更應(yīng)及時(shí)進(jìn)行記錄。根據(jù)系統(tǒng)的實(shí)際情況嚴(yán)格密碼管理，強(qiáng)化密碼強(qiáng)度。

3.3.3臨時(shí)用戶的設(shè)置與刪除必須經(jīng)過業(yè)務(wù)主管部門和信息部的審批，并記錄備案。

3.3.4建立健全信息系統(tǒng)病毒預(yù)防和控制體系，實(shí)現(xiàn)對(duì)用戶終端保護(hù)的統(tǒng)一部署和病毒定義文件的自動(dòng)升級(jí)。

3.3.5加強(qiáng)補(bǔ)丁管理工作，包括補(bǔ)丁的跟蹤、獲取、測試、加載、驗(yàn)證和歸檔等環(huán)節(jié)。

3.3.6操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的初始密碼必須在系統(tǒng)投用前修改，數(shù)據(jù)庫管理員、操作系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員必須定期更改密碼。

3.3.7關(guān)系到主干網(wǎng)或企業(yè)核心信息系統(tǒng)的信息安全系統(tǒng)（防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、加密設(shè)備等）的部署和調(diào)整，須經(jīng)公司信息部審批并備案。

3.3.8加強(qiáng)對(duì)信息安全系統(tǒng)的運(yùn)行管理，安全策略須經(jīng)過業(yè)務(wù)主管部門和信息部的審核，配置、變更須嚴(yán)格遵守規(guī)范流程，認(rèn)真進(jìn)行配置與變更的記錄、日志的審核。

3.3.9涉密載體維修及數(shù)據(jù)修復(fù)須依照有關(guān)保密工作規(guī)定，送定點(diǎn)許可單位進(jìn)行維修或修復(fù)。

3.3.10信息設(shè)備磁盤、磁帶等存儲(chǔ)介質(zhì)上的敏感數(shù)據(jù)，在外送維修前必須刪除，并經(jīng)相應(yīng)業(yè)務(wù)部門確認(rèn)。

3.4信息安全風(fēng)險(xiǎn)評(píng)估和信息安全事件處理

3.4.1各級(jí)信息系統(tǒng)安全管理組織或兼職管理員負(fù)責(zé)組織、協(xié)調(diào)本單位的信息安全風(fēng)險(xiǎn)評(píng)估管理工作，采用自評(píng)估與公司信息部檢查評(píng)估相結(jié)合的形式，對(duì)信息系統(tǒng)面臨的威脅進(jìn)行分析，選擇適度的安全措施。公司信息部每年組織對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估，產(chǎn)生風(fēng)險(xiǎn)分析報(bào)告。

3.4.2各級(jí)信息系統(tǒng)安全管理組織會(huì)同有關(guān)業(yè)務(wù)部門對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)分析與評(píng)估，提交正式的風(fēng)險(xiǎn)分析報(bào)告。風(fēng)險(xiǎn)分析報(bào)告中應(yīng)明確管理上、技術(shù)上存在的問題與對(duì)策。

3.4.3各級(jí)信息系統(tǒng)安全管理組織或兼職管理員負(fù)責(zé)接報(bào)本部門或本單位的信息安全事件報(bào)告，并及時(shí)進(jìn)行處理。重大事件須24小時(shí)內(nèi)向公司信息部報(bào)告。

3.5應(yīng)急預(yù)案演練

3.5.1加強(qiáng)對(duì)信息系統(tǒng)安全應(yīng)預(yù)案的演練工作，每年至少進(jìn)行一次應(yīng)急預(yù)案演練。

3.5.2應(yīng)急預(yù)案演練方案的制定，要切合公司信息系統(tǒng)運(yùn)行的實(shí)際情況，方案具有可操性。

3.5.3應(yīng)急預(yù)案的演練應(yīng)做好記錄，演練后要做好總結(jié)，針對(duì)演練中發(fā)現(xiàn)的問題及時(shí)進(jìn)行整改。

4信息系統(tǒng)安全監(jiān)督、檢查與考核

4.1監(jiān)督與檢查內(nèi)容

信息系統(tǒng)安全監(jiān)督與檢查內(nèi)容包括信息系統(tǒng)安全和組織人員情況、信息系統(tǒng)安全等級(jí)保護(hù)情況、信息系統(tǒng)建設(shè)、運(yùn)維安全管理和應(yīng)急預(yù)案演練情況。

4.2檢查考核方法

4.2.1信息部負(fù)責(zé)對(duì)機(jī)關(guān)各部室及各二級(jí)單位信息系統(tǒng)安全進(jìn)行檢查與考核。本管理辦法納入公司經(jīng)濟(jì)責(zé)任制考核體系。

4.2.2信息系統(tǒng)安全檢查采用自查和檢查相結(jié)合的方式，每年組織1次信息系統(tǒng)安全自查工作。檢查工作采用現(xiàn)場檢查、遠(yuǎn)程檢測等方式進(jìn)行。

第二篇：信息系統(tǒng)安全管理辦法

1.0

目的為保證集團(tuán)計(jì)算機(jī)信息系統(tǒng)的平安，防止信息泄密，特制定本管理辦

法。

2.0

適用范圍

本規(guī)定適用于本集團(tuán)的全體員工；適用于本公司所有辦公用計(jì)算機(jī)、網(wǎng)

絡(luò)布線和網(wǎng)絡(luò)連接設(shè)備。

3.0

職責(zé)

集團(tuán)人力行政中心統(tǒng)一負(fù)責(zé)管理和維護(hù)集團(tuán)各公司的計(jì)算機(jī)、打印機(jī)、電腦網(wǎng)絡(luò)等辦公自動(dòng)化設(shè)備及各類軟件，并對(duì)計(jì)算機(jī)系統(tǒng)平安保密工作進(jìn)行指導(dǎo)、協(xié)調(diào)和監(jiān)督檢查；各部門主管負(fù)責(zé)本部門辦公設(shè)備和信息系統(tǒng)的平安保密工作，應(yīng)指定專人經(jīng)常進(jìn)行信息的平安情況檢查；定期查、殺病毒，確保系統(tǒng)平安運(yùn)行。

4.0

具體管理方法

4.1

設(shè)備平安管理

4.1.1

非設(shè)備維護(hù)人員，不得私自拆裝計(jì)算機(jī)設(shè)備，不得私自變更網(wǎng)絡(luò)設(shè)備的連接，對(duì)非法操作造成的財(cái)產(chǎn)損失和網(wǎng)絡(luò)重大故障的有關(guān)人員，要追究

責(zé)任。

嚴(yán)禁帶電拔插計(jì)算機(jī)上的所有連線和設(shè)備〔鍵盤、鼠標(biāo)、打印機(jī)、軟件

狗等〕，以防止損壞設(shè)備。

4.1.3

除不可抗拒的原因外，禁止非法開、關(guān)機(jī)，關(guān)機(jī)后再次啟動(dòng)電腦的間隔

時(shí)間不得低于1分鐘。

對(duì)外來軟盤、u盤等介質(zhì)應(yīng)先殺毒，以消除可能帶有的病毒。

嚴(yán)禁在開機(jī)狀態(tài)下移動(dòng)計(jì)算機(jī)主機(jī)等設(shè)備。

4.1.6

未經(jīng)人力行政中心IT部門登記，不得將外來的筆記本電腦等設(shè)備私自接

入公司網(wǎng)絡(luò)。

4.2

軟件平安管理

4.2.1

計(jì)算機(jī)上使用的系統(tǒng)軟件由集團(tuán)人力行政中心有關(guān)技術(shù)人員進(jìn)行安裝，各部門使用的自購或開發(fā)的軟件必須由集團(tuán)人力行政中心技術(shù)員檢查確認(rèn)平安問題并建立軟件檔案前方可使用。

計(jì)算機(jī)使用人員應(yīng)遵守如下規(guī)定：

〔1〕不得隨意修改計(jì)算機(jī)和網(wǎng)絡(luò)上的配置參數(shù)、程序及信息資源；

〔2〕未經(jīng)防病毒檢查和平安性檢查，不得隨意拷入外來程序及數(shù)據(jù)；

〔3〕不得私自從因特網(wǎng)上下載非工作必需的軟件，以免影響其他人上網(wǎng)的速度。

〔4〕不得安裝與工作無關(guān)的軟件，嚴(yán)禁辦公時(shí)間在電腦上玩游戲、上網(wǎng)瀏覽色情網(wǎng)站或下載游戲軟件，工作時(shí)間不得上網(wǎng)聊天或進(jìn)入交友網(wǎng)站。

4.3

信息平安管理

4.3.1

各計(jì)算機(jī)用戶負(fù)責(zé)妥善處理本人使用的計(jì)算機(jī)上的信息，未經(jīng)許可不得

隨意拷貝、打印保密信息。

4.3.2不得向網(wǎng)絡(luò)輸入有害程序和信息或利用網(wǎng)絡(luò)查詢、傳播各種違法信息。

4.3.3向網(wǎng)站發(fā)布信息必須按相關(guān)規(guī)定審批前方可發(fā)布。

4.3.4需長期保存的文件不得放置在電腦C盤，應(yīng)放在D、E等盤，并及時(shí)備份〔建議采用光盤或U盤的方式，盡量不使用軟盤方式〕，以免由于系統(tǒng)出錯(cuò)格式化造成文檔喪失，如因硬盤損壞等原因造成信息喪失的后果由當(dāng)事人及部門主管負(fù)責(zé)。

任何部門或個(gè)人發(fā)現(xiàn)計(jì)算機(jī)信息系統(tǒng)泄密和存在不平安因素，應(yīng)及時(shí)報(bào)

告集團(tuán)人力行政中心IT部門采取措施補(bǔ)救。

5.0

違反本管理方法按?獎(jiǎng)懲制度?處理。

6.0

本管理方法解釋權(quán)歸屬集團(tuán)人力行政中心。如原有規(guī)定與本管理方法有沖突,以本管理方法為準(zhǔn)。

7.0

本管理方法自2021年1月1日起執(zhí)行。

第三篇：公司信息系統(tǒng)安全管理辦法

文章標(biāo)題：公司信息系統(tǒng)安全管理辦法

[找文章到☆好范文 wenmi114.com(http://004km.cn/)一站在手，寫作無憂!]

第一章總則

第一條為了保護(hù)有限公司計(jì)算機(jī)信息系

統(tǒng)安全，規(guī)范信息系統(tǒng)管理,合理利用系統(tǒng)資源，推進(jìn)公司信息化建設(shè)，促進(jìn)計(jì)算機(jī)的應(yīng)用和發(fā)展，保障公司信息系統(tǒng)的正常運(yùn)行，充分發(fā)揮信息系統(tǒng)在企業(yè)管理中的作用，更好地為公司生產(chǎn)經(jīng)營服務(wù)。根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》及有關(guān)法律、法規(guī)，結(jié)合公司實(shí)際情況，制定本規(guī)定。

第二條本制度所稱的信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。

第三條信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，保障應(yīng)用系統(tǒng)的正常運(yùn)行，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。

第二章硬件

第四條按照誰使用誰負(fù)責(zé)的原則，落實(shí)責(zé)任人，負(fù)責(zé)保管所用的網(wǎng)絡(luò)設(shè)備和線路的完好。兩人以上的用戶，必須明確一人負(fù)責(zé)。

第五條計(jì)算機(jī)設(shè)備的日常維護(hù)由各部室、分公司負(fù)責(zé)。計(jì)算機(jī)設(shè)備和軟件發(fā)生故障或異常情況，由局域網(wǎng)相關(guān)管理人員統(tǒng)一進(jìn)行處理。

第六條按照作息時(shí)間準(zhǔn)時(shí)開關(guān)機(jī)，及時(shí)處理有關(guān)文件，嚴(yán)禁使用公司計(jì)算機(jī)玩游戲、聽音樂、看影碟等。

第七條計(jì)算機(jī)操作人員應(yīng)保持計(jì)算機(jī)環(huán)境清潔，下班之前退出所有程序關(guān)閉計(jì)算機(jī)，切斷插板電源后方可下班離開。

第八條各負(fù)責(zé)人應(yīng)對(duì)計(jì)算機(jī)定時(shí)殺毒，對(duì)外來不明軟盤,必須經(jīng)過嚴(yán)格的病毒監(jiān)測,方可使用；

第三章軟件

第九條根據(jù)責(zé)任制，各部門、分公司配備的網(wǎng)絡(luò)設(shè)備根據(jù)使用者落實(shí)到人，各責(zé)任人對(duì)于計(jì)算機(jī)的系統(tǒng)登陸必須設(shè)置帳號(hào)密碼，嚴(yán)格控制非使用人員使用計(jì)算機(jī)

第十條責(zé)任人對(duì)自己的計(jì)算機(jī)要經(jīng)常進(jìn)行病毒檢測與殺毒。嚴(yán)禁外單位人員操作信息系統(tǒng)，嚴(yán)禁使用外來盤片，以防泄密和病毒侵入。

第十一條操作計(jì)算機(jī)時(shí)不得使用一些危險(xiǎn)性的命令,嚴(yán)禁使用分區(qū)及格式化硬盤等操作。

第十二條計(jì)算機(jī)操作人員不得隨意在各終端及局域網(wǎng)上安裝任何與工作無關(guān)的軟件程序。各單位所使用的計(jì)算機(jī)和軟件系統(tǒng)，除審批通過的管理軟件外

第四章網(wǎng)絡(luò)

第十三條聯(lián)接局域網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī)不得直接或間接與國際互聯(lián)網(wǎng)相聯(lián)，如經(jīng)發(fā)現(xiàn)，所帶來的后果由用戶責(zé)任人負(fù)擔(dān)。

第十四條根據(jù)工作需求，批準(zhǔn)聯(lián)接國際互聯(lián)網(wǎng)的相關(guān)部門，聯(lián)接國際互聯(lián)的計(jì)算機(jī)，嚴(yán)格與局域網(wǎng)分開，該計(jì)算機(jī)上使用的移動(dòng)外設(shè)（U盤，移動(dòng)硬盤，軟盤）必須在經(jīng)殺毒檢測過后才可進(jìn)入公司辦公局域網(wǎng)使用。

第五章移動(dòng)外設(shè)

第十五條凡公司發(fā)放的所有移動(dòng)外設(shè)（U盤，移動(dòng)硬盤，軟盤等）只能在公司內(nèi)部使用，不允許外借、存儲(chǔ)私人資料或帶離公司使用；

第十六條凡公司發(fā)放的所有移動(dòng)外設(shè)（U盤，移動(dòng)硬盤，軟盤等），須定期殺毒；

第十七條外單位的移動(dòng)外設(shè)，若需在本公司辦公局域網(wǎng)內(nèi)使用，必須先殺毒檢測后方可使用；

第六章數(shù)據(jù)安全

第十八條嚴(yán)格按照保密要求操作，所有涉及信息系統(tǒng)操作的管理人員由公司統(tǒng)一發(fā)放系統(tǒng)登陸帳號(hào)，帳號(hào)專人專用，嚴(yán)禁泄漏口令和機(jī)密。

第十九條建立雙備份制度，對(duì)重要資料除在電腦貯存外，還應(yīng)拷貝到軟盤或光盤上，以防病毒破壞或意外而遺失。

第七章附則

第二十條設(shè)備管理部有權(quán)對(duì)局域網(wǎng)絡(luò)以及各單位計(jì)算機(jī)

進(jìn)行定期檢查或不定期抽查，凡有違反本制度的單位、部門或個(gè)人，由設(shè)備管理部報(bào)告中心領(lǐng)導(dǎo)，視情節(jié)對(duì)部門或個(gè)人給予適當(dāng)?shù)慕?jīng)濟(jì)處罰和行政處分。

第二十一條本制度適用于聯(lián)網(wǎng)各部室、分公司網(wǎng)絡(luò)管理人員。

第二十二條本制度由設(shè)備管理部負(fù)責(zé)解釋。

第二十二條本制度自公布之日起試行。

第七章考核

第二十三條以上規(guī)章制度如有違反，按200元/項(xiàng)考核責(zé)任單位，100元/項(xiàng)考核責(zé)任人；

第二十四條計(jì)算機(jī)未達(dá)到更換使用年限，而發(fā)生故障，進(jìn)行過主要部件修理的，按修理價(jià)值30考核該計(jì)算機(jī)使用單位，按15考核該計(jì)算機(jī)的責(zé)任人。

計(jì)算機(jī)日常維護(hù)條例

總則

第一條為了確

保湖南湘鋼洪盛物流有限公司計(jì)算機(jī)有效利用率，規(guī)范計(jì)算機(jī)使用,推進(jìn)公司信息化建設(shè)，促進(jìn)計(jì)算機(jī)的應(yīng)用和發(fā)展，保障公司信息系統(tǒng)的正常運(yùn)行，充分發(fā)揮信息系統(tǒng)在企業(yè)管理中的作用，更好地為公司生產(chǎn)經(jīng)營服務(wù)。制定《計(jì)算機(jī)日常維護(hù)條例》，本條例適用于湖南湘鋼洪盛物流有限公司所有辦公用計(jì)算機(jī)。

第二條日常維護(hù)意為每日的計(jì)算機(jī)規(guī)范使用及保

養(yǎng)，湖南湘鋼洪盛物流有限公司所有計(jì)算機(jī)根據(jù)使用者責(zé)任到人，日常維護(hù)由責(zé)任人完成。

硬件

第三條凡在使用中的計(jì)算機(jī)，均適用于本條例。

第四條按照作息時(shí)間準(zhǔn)時(shí)開關(guān)機(jī)，無特殊情況不允許直接關(guān)閉計(jì)算機(jī)電源，或切斷供電。

第五條不允許擅自打開機(jī)箱，更換計(jì)算機(jī)任何部件，若計(jì)算機(jī)發(fā)生故障，應(yīng)及時(shí)聯(lián)系設(shè)備管理人員，不得擅自修理，或請(qǐng)其他人修理。

第六條責(zé)任應(yīng)保持計(jì)算機(jī)環(huán)境（辦公室環(huán)境）清潔，下班之前退出所有程序方可關(guān)閉計(jì)算機(jī)，確定切斷插板電源后方可下班離開。

軟件

第七條每日開機(jī)前檢查計(jì)算機(jī)有無異常，定期對(duì)計(jì)算機(jī)進(jìn)行殺毒。

第八條不允許在計(jì)算機(jī)上安裝非辦公軟件，影響計(jì)算機(jī)的使用。

《公司信息系統(tǒng)安全管理辦法》來源于xiexiebang.com，歡迎閱讀公司信息系統(tǒng)安全管理辦法。

第四篇：國家電網(wǎng)公司信息系統(tǒng)安全管理辦法

國家電網(wǎng)公司信息系統(tǒng)安全管理辦法

第一章 總 則

第一條 為加強(qiáng)和規(guī)范國家電網(wǎng)公司（以下簡稱公司）信息系統(tǒng)安全工作，提高公司信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息系統(tǒng)安全的可控、能控、在控，依據(jù)國家有關(guān)法律、法規(guī)、規(guī)定及公司有關(guān)制度，制定本辦法。

第二條 本辦法所稱信息系統(tǒng)指公司一體化企業(yè)級(jí)信息系統(tǒng)，主要包括一體化企業(yè)級(jí)信息集成平臺(tái)（以下簡稱“一體化平臺(tái)”）和八大業(yè)務(wù)應(yīng)用?！耙惑w化平臺(tái)”包含信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門戶；“業(yè)務(wù)應(yīng)用”包含財(cái)務(wù)（資金）管理、營銷管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項(xiàng)目管理、綜合管理業(yè)務(wù)應(yīng)用。電力二次系統(tǒng)安全防護(hù)遵照國家電力監(jiān)管委員會(huì)5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》及其配套文件《電力二次系統(tǒng)安全防護(hù)總體方案》執(zhí)行。

第三條 信息系統(tǒng)安全主要任務(wù)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對(duì)外服務(wù)中斷和由此造成的電力系統(tǒng)運(yùn)行事故。

第四條 公司信息系統(tǒng)安全堅(jiān)持“分區(qū)、分級(jí)、分域”總體防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，實(shí)現(xiàn)“雙機(jī)雙網(wǎng)”，信息內(nèi)網(wǎng)定位為公司信息化“SG186”工程業(yè)務(wù)應(yīng)用承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，信息外網(wǎng)定位為對(duì)外業(yè)務(wù)網(wǎng)絡(luò)和訪問互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。信息內(nèi)、外網(wǎng)之間實(shí)施強(qiáng)邏輯隔離的措施。電力二次系統(tǒng)實(shí)行“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的安全防護(hù)策略。

第五條 在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。

第六條 本辦法適用于公司總部，各區(qū)域電網(wǎng)、省（自治區(qū)、直轄市）電力公司和公司直屬單位（以下簡稱各單位）的信息系統(tǒng)安全管理工作。

第二章 信息系統(tǒng)安全管理職責(zé)

第七條 公司信息系統(tǒng)安全管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理。各單位主要負(fù)責(zé)人是本單位信息系統(tǒng)安全第一責(zé)任人，各單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位信息系統(tǒng)安全重大事項(xiàng)決策和協(xié)調(diào)工作。

第八條 信息系統(tǒng)安全納入公司安全管理體系，實(shí)行專業(yè)管理、歸口監(jiān)督。公司信息化工作部是信息系統(tǒng)安全的管理部門，負(fù)責(zé)管理信息大區(qū)（信息內(nèi)網(wǎng)和信息外網(wǎng)）的安全保障，國家電力調(diào)度通信中心負(fù)責(zé)電力二次系統(tǒng)特別是生產(chǎn)控制大區(qū)系統(tǒng)的安全保障，安全監(jiān)察部負(fù)責(zé)公司信息系統(tǒng)安全監(jiān)督工作。第九條 公司信息化工作部主要職責(zé)：

（一）落實(shí)國家有關(guān)信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，聯(lián)系國家有關(guān)部門落實(shí)信息系統(tǒng)安全管理相關(guān)工作；

（二）組織制定公司信息系統(tǒng)安全管理規(guī)章制度和標(biāo)準(zhǔn)規(guī)范；

（三）指導(dǎo)、協(xié)調(diào)和檢查各單位信息系統(tǒng)安全工作，組織落實(shí)公司信息系統(tǒng)等級(jí)保護(hù)制度，統(tǒng)籌開展公司信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和安全檢查工作；

（四）負(fù)責(zé)信息系統(tǒng)二級(jí)以下事故的調(diào)查和處理（公司信息系統(tǒng)安全事件描述見《國家電網(wǎng)公司信息系統(tǒng)事故調(diào)查與統(tǒng)計(jì)規(guī)定》）；協(xié)助信息系統(tǒng)一級(jí)、二級(jí)事故的調(diào)查和處理；

（五）在公司應(yīng)急體系框架內(nèi)，負(fù)責(zé)公司信息系統(tǒng)應(yīng)急管理相關(guān)工作；

（六）開展涉密計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)立項(xiàng)、設(shè)計(jì)和建設(shè)，做好信息系統(tǒng)安全與保密檢查；

（七）負(fù)責(zé)規(guī)范公司信息系統(tǒng)安全產(chǎn)品的測評(píng)和選型工作。第十條 公司安全監(jiān)察部主要職責(zé)：

（一）負(fù)責(zé)公司信息系統(tǒng)安全全過程監(jiān)督檢查；

（二）負(fù)責(zé)信息系統(tǒng)一級(jí)、二級(jí)事故的調(diào)查和處理；

（三）負(fù)責(zé)監(jiān)督公司信息系統(tǒng)應(yīng)急管理工作落實(shí)；

（四）負(fù)責(zé)歸口統(tǒng)計(jì)信息系統(tǒng)安全事故。第十一條 國家電力調(diào)度通信中心主要職責(zé)：

（一）負(fù)責(zé)制定電力二次系統(tǒng)管理制度，負(fù)責(zé)制定公司電力二次系統(tǒng)安全防護(hù)方案及應(yīng)急處理預(yù)案；

（二）負(fù)責(zé)審核下級(jí)電力二次系統(tǒng)安全防護(hù)實(shí)施方案和應(yīng)急處理預(yù)案，負(fù)責(zé)電力二次系統(tǒng)信息系統(tǒng)安全事故的調(diào)查和處理；

（三）配合完成國家有關(guān)部門對(duì)公司電力二次系統(tǒng)開展的信息系統(tǒng)安全檢查、等級(jí)保護(hù)制度落實(shí)等各項(xiàng)工作。

第十二條 業(yè)務(wù)應(yīng)用部門主要職責(zé)：

（一）配合開展業(yè)務(wù)應(yīng)用系統(tǒng)安全等級(jí)定級(jí)工作；

（二）配合開展業(yè)務(wù)應(yīng)用系統(tǒng)安全測評(píng)、安全檢查和風(fēng)險(xiǎn)評(píng)估等工作；

（三）負(fù)責(zé)或配合開展業(yè)務(wù)應(yīng)用使用人員的有關(guān)信息系統(tǒng)安全和保密培訓(xùn)工作；

（四）協(xié)助開展業(yè)務(wù)應(yīng)用人員辦公計(jì)算機(jī)安全管理。第十三條 各單位主要職責(zé)：

（一）負(fù)責(zé)貫徹落實(shí)國家有關(guān)信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，貫徹落實(shí)公司信息系統(tǒng)安全相關(guān)規(guī)章制度和技術(shù)標(biāo)準(zhǔn)，建立健全本單位信息系統(tǒng)安全標(biāo)準(zhǔn)制度和規(guī)范體系；

（二）負(fù)責(zé)落實(shí)本單位范圍內(nèi)信息系統(tǒng)安全工作責(zé)任制；

（三）在公司信息職能管理部門指導(dǎo)下，落實(shí)本單位信息系統(tǒng)等級(jí)保護(hù)制度、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和安全檢查等工作；

（四）按公司信息系統(tǒng)應(yīng)急體系要求建立本單位信息系統(tǒng)應(yīng)急體系，組織本單位信息系統(tǒng)安全突發(fā)事件的應(yīng)急處理；

（五）負(fù)責(zé)明確本單位信息系統(tǒng)安全運(yùn)行維護(hù)部門或機(jī)構(gòu)，落實(shí)信息系統(tǒng)安全運(yùn)行維護(hù)日常工作，具體落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)和安全策略；

（六）組織本單位信息系統(tǒng)安全的宣傳和培訓(xùn)。

第三章 管理措施

第十四條 不斷建立健全信息系統(tǒng)安全管理制度體系，通過操作規(guī)程實(shí)現(xiàn)安全管理和操作人員的標(biāo)準(zhǔn)化作業(yè)；定期對(duì)信息系統(tǒng)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度及時(shí)進(jìn)行修訂。

第十五條 明確安全管理機(jī)構(gòu)，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并明確各崗位職責(zé)。應(yīng)加強(qiáng)信息系統(tǒng)安全管理人員之間、信息職能部門和業(yè)務(wù)部門之間的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息系統(tǒng)安全問題。

第十六條 嚴(yán)格遵守“涉密不上網(wǎng)、上網(wǎng)不涉密”紀(jì)律，嚴(yán)禁將涉密計(jì)算機(jī)與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴(yán)禁在非涉密計(jì)算機(jī)和互聯(lián)網(wǎng)上存儲(chǔ)、處理國家秘密。嚴(yán)禁在信息外網(wǎng)計(jì)算機(jī)上存儲(chǔ)和處理涉及企業(yè)秘密的信息。嚴(yán)禁涉密移動(dòng)存儲(chǔ)介質(zhì)在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)及互聯(lián)網(wǎng)上交叉使用。

第十七條 嚴(yán)格信息系統(tǒng)安全工作人員錄用過程，審查其身份、背景、專業(yè)資格，關(guān)鍵崗位應(yīng)簽署保密協(xié)議；及時(shí)終止離崗員工的所有訪問權(quán)限；嚴(yán)格外部人員訪問程序，對(duì)允許訪問人員實(shí)行專人全程陪同或監(jiān)督，并登記備案。第十八條 嚴(yán)格按照國家有關(guān)部門要求，開展公司網(wǎng)絡(luò)與信息系統(tǒng)定級(jí)、審批、備案工作。針對(duì)確定的網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)，要根據(jù)等級(jí)保護(hù)有關(guān)要求，落實(shí)必要的管理和技術(shù)措施，嚴(yán)格執(zhí)行等級(jí)保護(hù)制度。

第十九條 新建信息系統(tǒng)涉及安全防護(hù)措施建設(shè)，應(yīng)明確安全需求，確定安全等級(jí)，結(jié)合公司安全防護(hù)總體策略，進(jìn)行安全防護(hù)方案設(shè)計(jì)；根據(jù)國家有關(guān)規(guī)定和堅(jiān)持鼓勵(lì)使用國產(chǎn)化產(chǎn)品原則，開展安全產(chǎn)品采購，必要時(shí)開展產(chǎn)品預(yù)先選型測試；加強(qiáng)軟件開發(fā)管理，確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境安全隔離；委托有資質(zhì)的第三方測試單位對(duì)系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報(bào)告；對(duì)測試不符合要求的，在整改后要重新測試。系統(tǒng)試運(yùn)行前，要開展相關(guān)安全培訓(xùn)。

第二十條 加強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)全過程管理：

（一）嚴(yán)格執(zhí)行信息機(jī)房管理有關(guān)規(guī)范，確保機(jī)房運(yùn)行環(huán)境符合要求，嚴(yán)格機(jī)房出入管理。要編制信息系統(tǒng)資產(chǎn)清單，建立資產(chǎn)管理制度，根據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)。

（二）對(duì)信息系統(tǒng)軟硬件設(shè)備選型、采購、使用等實(shí)行規(guī)范化管理，建立相應(yīng)操作規(guī)程，對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備實(shí)行標(biāo)準(zhǔn)化作業(yè)。強(qiáng)化存儲(chǔ)介質(zhì)存放、使用、維護(hù)和銷毀等各項(xiàng)措施。

（三）按照最小服務(wù)配置和最小授權(quán)原則，對(duì)安全策略、安全配置、日志和操作等方面做出具體規(guī)定，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)；詳細(xì)記錄日常操作、運(yùn)行維護(hù)記錄、參數(shù)設(shè)置和修改等內(nèi)容，嚴(yán)禁任何未經(jīng)授權(quán)的操作；定期開展運(yùn)行日志和審計(jì)數(shù)據(jù)分析工作，及時(shí)發(fā)現(xiàn)異常行為。及時(shí)根據(jù)需要進(jìn)行軟件升級(jí)更新，并在更新前做好備份；定期進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)；及時(shí)安裝補(bǔ)丁程序，在安裝補(bǔ)丁前做好測試和備份工作。

（四）及時(shí)升級(jí)防病毒軟件，加強(qiáng)全員防病毒、木馬的意識(shí)，不打開、閱讀來歷不明的郵件；要指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并做好記錄，定期開展分析；加強(qiáng)防惡意代碼軟件授權(quán)使用、惡意代碼庫升級(jí)等管理。

（五）嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報(bào)和審批程序，建立健全變更管理制度。保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)，進(jìn)行必要的安全隔離，配置嚴(yán)格的訪問控制策略，開展必要的安全評(píng)估。

（六）建立和執(zhí)行密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。

（七）對(duì)信息網(wǎng)絡(luò)與系統(tǒng)運(yùn)行狀況等進(jìn)行監(jiān)測和報(bào)警；定期對(duì)監(jiān)測和報(bào)警記錄進(jìn)行分析，根據(jù)需要采取必要的應(yīng)對(duì)措施；應(yīng)建立安全管理中心，對(duì)安全設(shè)備、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全設(shè)施進(jìn)行集中管理。

（八）嚴(yán)格按照有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定，及時(shí)報(bào)告信息系統(tǒng)事故情況，認(rèn)真開展信息系統(tǒng)事故原因分析，堅(jiān)持“四不放過”原則，有效落實(shí)整改，確保類似事故不再發(fā)生。嚴(yán)格執(zhí)行有關(guān)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度，做好定期、節(jié)假日和特殊時(shí)期的網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況報(bào)送工作。第二十一條 嚴(yán)格執(zhí)行公司有關(guān)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估管理規(guī)定，切實(shí)將信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作常態(tài)化和制度化，及時(shí)落實(shí)整改，及時(shí)消除信息系統(tǒng)安全隱患。根據(jù)國家和公司要求，定期開展信息系統(tǒng)安全檢查工作，做好特殊時(shí)期安全檢查和安全保障工作。

第二十二條 不斷完善應(yīng)急預(yù)案，加強(qiáng)培訓(xùn)和演練，確保人力、設(shè)備等應(yīng)急保障資源可用。

第二十三條 建立備份與恢復(fù)管理相關(guān)安全管理制度，嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過程，妥善保存?zhèn)浞萦涗?，定期?zhí)行恢復(fù)程序。要切實(shí)根據(jù)需要開展業(yè)務(wù)應(yīng)用容災(zāi)系統(tǒng)建設(shè)。

第二十四條 切實(shí)加強(qiáng)網(wǎng)絡(luò)信任體系建設(shè)規(guī)劃工作，不斷完善公司安全認(rèn)證系統(tǒng)相關(guān)技術(shù)標(biāo)準(zhǔn)和功能規(guī)范。強(qiáng)化信任體系應(yīng)用工作，做好信息系統(tǒng)統(tǒng)一身份認(rèn)證，以及重要信息的加密和簽名工作。第二十五條 切實(shí)加強(qiáng)員工信息系統(tǒng)安全培訓(xùn)，提高全員信息系統(tǒng)安全意識(shí)；強(qiáng)化信息系統(tǒng)安全人員專業(yè)技能培訓(xùn)，做到培訓(xùn)工作有計(jì)劃、有總結(jié)，培訓(xùn)效果有評(píng)價(jià)。要對(duì)關(guān)鍵崗位人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核，對(duì)在信息系統(tǒng)安全工作中做出顯著成績的單位和人員應(yīng)給予獎(jiǎng)勵(lì)和表彰。對(duì)違反國家法律、法規(guī)和公司有關(guān)規(guī)定，造成一定不良影響和后果的，要追究其責(zé)任。

第四章 技術(shù)措施

第二十六條 根據(jù)國家和公司有關(guān)規(guī)定，對(duì)機(jī)房建筑設(shè)置符合要求的避雷裝置、滅火和火災(zāi)自動(dòng)報(bào)警系統(tǒng)；采取防雨水措施，防止雨水、水蒸氣結(jié)露和地下積水；設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，控制機(jī)房溫、濕度在設(shè)備運(yùn)行所允許范圍之內(nèi)，保證雙路供電,電源線和通信電纜應(yīng)隔離，避免互相干擾；采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。

第二十七條 加強(qiáng)網(wǎng)絡(luò)安全技術(shù)工作：

（一）網(wǎng)絡(luò)核心交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備要冗余配置，合理分配網(wǎng)絡(luò)帶寬；建立業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問控制；根據(jù)需要?jiǎng)澐植煌泳W(wǎng)；對(duì)重要網(wǎng)段采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施。

（二）采用防火墻或入侵防護(hù)設(shè)備（IPS）對(duì)內(nèi)網(wǎng)邊界實(shí)施訪問審查和控制；對(duì)進(jìn)出網(wǎng)絡(luò)信息內(nèi)容實(shí)施過濾，對(duì)應(yīng)用層常用協(xié)議命令進(jìn)行控制，網(wǎng)關(guān)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。嚴(yán)格撥號(hào)訪問控制措施。

（三）加強(qiáng)內(nèi)部用戶私自訪問外部網(wǎng)絡(luò)行為的檢測工作，要能夠及時(shí)發(fā)現(xiàn)，準(zhǔn)確定位，有效阻斷；對(duì)重要網(wǎng)段，應(yīng)采用入侵檢測系統(tǒng)進(jìn)行監(jiān)控，對(duì)入侵事件及時(shí)提供報(bào)警。

第二十八條 加強(qiáng)系統(tǒng)安全技術(shù)工作：

（一）對(duì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和鑒別，具有登錄失敗處理，限制非法登錄次數(shù)，設(shè)置連接超時(shí)功能；用戶訪問不得采用空賬號(hào)和空口令，口令要足夠強(qiáng)健，長度不得少于8位。

（二）嚴(yán)格限制匿名用戶的訪問權(quán)限；實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶訪問權(quán)限分離，對(duì)訪問權(quán)限一致的用戶進(jìn)行分組，訪問控制力度應(yīng)達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫表級(jí)。

（三）控制單個(gè)用戶的多重并發(fā)會(huì)話和最大并發(fā)連接數(shù)，限制單個(gè)用戶對(duì)系統(tǒng)資源、磁盤空間的最大或最小使用限度，當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測并報(bào)警。

第二十九條 嚴(yán)格網(wǎng)絡(luò)、系統(tǒng)安全審計(jì)工作，安全審計(jì)系統(tǒng)應(yīng)定期生成審計(jì)報(bào)表，自動(dòng)進(jìn)行備份，審計(jì)記錄應(yīng)受到保護(hù)，避免刪除、修改或破壞。第三十條 重要和敏感信息實(shí)行加密傳輸和存儲(chǔ)；對(duì)重要信息實(shí)行自動(dòng)、定期備份；對(duì)門戶網(wǎng)站頁面，要具有防篡改機(jī)制和措施。第三十一條 嚴(yán)格用戶帳號(hào)及口令管理，使用強(qiáng)健復(fù)雜口令，定期更換口令，杜絕使用空口令；定期開展用戶終端計(jì)算機(jī)數(shù)據(jù)備份工作，及時(shí)安裝系統(tǒng)補(bǔ)丁程序，及時(shí)更新殺病毒程序，加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理。

第五章 附則

第三十二條 本辦法由國家電網(wǎng)公司信息化工作部負(fù)責(zé)解釋并督促執(zhí)行。第三十三條 各單位可根據(jù)本辦法制定實(shí)施細(xì)則，報(bào)國家電網(wǎng)公司備案。第三十四條 本辦法自印發(fā)之日起執(zhí)行。

第五篇：民航空管系統(tǒng)安全信息管理辦法

民航空管系統(tǒng)安全信息管理辦法

（征求意見稿）

第一章 總則

第一條 為規(guī)范民航空管系統(tǒng)安全信息的報(bào)告、收集、分析和應(yīng)用，實(shí)現(xiàn)安全信息共享，控制風(fēng)險(xiǎn)、消除隱患、預(yù)防民用航空事故的發(fā)生，制定本辦法。

第二條 本辦法依據(jù)《民用航空安全信息管理規(guī)定》（CCAR-396-R2）、《中國民用航空空中交通管理規(guī)則》（CCAR-93TM-R4）、《民用航空空中交通運(yùn)行單位安全管理規(guī)則》（CCAR-83）、《民用航空器事故征候》（MH/T2001-2011）和《民用航空其他不安全事件樣例》（AC-396-AS-2010-05）等規(guī)章、標(biāo)準(zhǔn)和規(guī)范性文件。

第三條 本辦法適用于空管系統(tǒng)各單位和個(gè)人的空管安全信息管理。本辦法所稱的空管系統(tǒng)是指民航局空管局、各地區(qū)空管局、空管分局（站）以及各直屬單位的統(tǒng)稱。

第四條 空管安全信息管理工作實(shí)施統(tǒng)一管理、分級(jí)負(fù)責(zé)；逐級(jí)上報(bào)、應(yīng)用共享的原則。

民航局空管局安全管理部門負(fù)責(zé)統(tǒng)一管理空管系統(tǒng)的安全信息管理工作，負(fù)責(zé)組織建立用于空管安全信息報(bào)告、存儲(chǔ)、分析和發(fā)布的空管安全信息系統(tǒng)。

各地區(qū)空管局和空管分局（站）應(yīng)當(dāng)制定空管安全信息管理程序，負(fù)責(zé)本轄區(qū)的空管安全信息管理工作，并應(yīng)當(dāng)定期利用民航局空管局空管安全信息系統(tǒng)存儲(chǔ)、分析、發(fā)布和上報(bào)本轄區(qū)內(nèi)的空管安全信息。

第二章 空管安全信息分類

第五條 本辦法所稱的空管安全信息包括強(qiáng)制報(bào)告信息、自愿報(bào)告信息和日常報(bào)告信息。

第六條 本辦法所稱的強(qiáng)制報(bào)告信息主要包括：民用航空器事故（以下簡稱事故）、民用航空器事故征候（以下簡稱事故征候）及其他不安全事件。

（一）本辦法所稱事故按照《民用航空安全信息管理規(guī)定》（CCAR-396-R2）的定義和標(biāo)準(zhǔn)執(zhí)行；

（二）本辦法所稱事故征候按照《民用航空器事故征候》（MH/T2001-2011）的定義和標(biāo)準(zhǔn)執(zhí)行；嚴(yán)重事故征候是指《民用航空器事故征候》中的運(yùn)輸航空嚴(yán)重事故征候；一般事故征候是指《民用航空事故器征候》中的運(yùn)輸航空一般事故征候、通用航空事故征候和航空器地面事故征候。

（三）本辦法所稱其他不安全事件按照《中國民用航空空中交通管理規(guī)則》（CCAR-93TM-R4）中的“嚴(yán)重差錯(cuò)標(biāo)準(zhǔn)”和《民用航空其他不安全事件樣例》（AC-396-AS-2010-05）中的“空管保障”樣例執(zhí)行。

（四）以上標(biāo)準(zhǔn)若被修改、代替，以最新版本為準(zhǔn)。第七條 本辦法所稱自愿報(bào)告信息包括空管系統(tǒng)各單位或工作人員在日常工作中發(fā)現(xiàn)的安全隱患和缺陷，以及沒有造成明顯后果的事件或違章行為的情況。

第八條 本辦法所稱的日常報(bào)告信息包括：

（一）安全工作總結(jié)；

（二）安全信息月報(bào)；

（三）安全評(píng)估、安全檢查、風(fēng)險(xiǎn)管理等情況；

（四）安全管理會(huì)議的有關(guān)記錄；

（五）安全教育和培訓(xùn)及其考核檔案；

（六）安全獎(jiǎng)勵(lì)和處罰情況；

（七）其他安全管理內(nèi)容。

第三章 空管安全信息報(bào)告

第九條 本辦法所稱事發(fā)相關(guān)空管單位是指與所發(fā)生事件有關(guān)的空管系統(tǒng)單位；本辦法所稱事發(fā)空管單位是指主要由于空管原因?qū)е率录l(fā)生的空管系統(tǒng)單位。

第十條 事故和嚴(yán)重事故征候信息的報(bào)告按照以下規(guī)定進(jìn)行：

（一）事故和嚴(yán)重事故征候發(fā)生后，事發(fā)相關(guān)空管單位應(yīng)立即向事發(fā)地監(jiān)管局和所屬地區(qū)空管局運(yùn)行管理部門報(bào)告；地區(qū)空管局運(yùn)行管理部門接到報(bào)告后，應(yīng)立即向民航局空管局運(yùn)行管理部門報(bào)告；民航局空管局運(yùn)行管理部門接到報(bào)告后，應(yīng)立即向局領(lǐng)導(dǎo)、安全管理部門報(bào)告。

（二）在事故和嚴(yán)重事故征候發(fā)生后12小時(shí)內(nèi)，事發(fā)空管單位應(yīng)當(dāng)向事發(fā)地監(jiān)管局填報(bào)“民用航空安全信息初始報(bào)告表”，并且抄報(bào)事發(fā)地民航地區(qū)管理局、事發(fā)相關(guān)單位所在地民航地區(qū)管理局以及民航局安全信息主管部門。

（三）在事故和嚴(yán)重事故征候發(fā)生后12小時(shí)內(nèi)，事發(fā)空管單位應(yīng)將初始報(bào)告內(nèi)容通過民航局空管局空管安全信息系統(tǒng)上報(bào)至所屬地區(qū)空管局安全管理部門；地區(qū)空管局安全管理部門應(yīng)當(dāng)在事發(fā)后24小時(shí)內(nèi)將審核后的報(bào)告內(nèi)容上報(bào)至民航局空管局安全管理部門；民航局空管局安全管理部門將內(nèi)容審核后盡快報(bào)告局領(lǐng)導(dǎo)。

第十一條 一般事故征候、其他不安全事件的報(bào)告按照以下規(guī)定進(jìn)行：

（一）一般事故征候和其他不安全事件發(fā)生后，事發(fā)相關(guān)空管單位立即向事發(fā)地監(jiān)管局和所屬地區(qū)空管局運(yùn)行管理部門（或設(shè)備監(jiān)控部門）報(bào)告；地區(qū)空管局運(yùn)行管理部門（或設(shè)備監(jiān)控部門）接到事件信息后，應(yīng)立即向民航局空管局運(yùn)行管理部門（或設(shè)備監(jiān)控部門）報(bào)告；民航局空管局運(yùn)行管理部門（或設(shè)備監(jiān)控部門）接到事件信息后，應(yīng)盡快向局領(lǐng)導(dǎo)、安全管理部門報(bào)告。

（二）在一般事故征候和其他不安全事件發(fā)生后24小時(shí)內(nèi)，事發(fā)空管單位應(yīng)當(dāng)向事發(fā)地監(jiān)管局填報(bào)“民用航空安全信息初始報(bào)告表”，并將報(bào)告內(nèi)容通過民航局空管局空管安全信息系統(tǒng)上報(bào)至所屬地區(qū)空管局安全管理部門；地區(qū)空管局安全管理部門應(yīng)當(dāng)在事發(fā)后48小時(shí)內(nèi)將審核后的報(bào)告內(nèi)容上報(bào)至民航局空管局安全管理部門；民航局空管局安全管理部門將內(nèi)容審核后盡快報(bào)告局領(lǐng)導(dǎo)。

（三）需要空管系統(tǒng)負(fù)責(zé)調(diào)查的事件，負(fù)責(zé)調(diào)查的單位應(yīng)當(dāng)在事發(fā)后7日內(nèi)以正式文件形式，將事件經(jīng)過、調(diào)查情況、原因分析、采取的措施、以及處理建議或決定報(bào)民航局空管局。同時(shí)將事件經(jīng)過、調(diào)查情況、原因分析通過空管安全信息系統(tǒng)逐級(jí)上報(bào)。

第十二條 向空管系統(tǒng)舉報(bào)與空管安全有關(guān)的事件按照以下規(guī)定進(jìn)行處理：

（一）舉報(bào)事件由受理舉報(bào)信息單位負(fù)責(zé)調(diào)查。

（二）如果舉報(bào)事件經(jīng)調(diào)查為強(qiáng)制報(bào)告信息范疇，負(fù)責(zé)調(diào)查的單位應(yīng)當(dāng)在接受到舉報(bào)3日內(nèi)，向民航局空管局安全管理部門上報(bào)事件相關(guān)信息。

（三）舉報(bào)人的合法權(quán)益應(yīng)受法律保護(hù)。

第十三條 任何單位和個(gè)人不得瞞報(bào)、緩報(bào)或者謊報(bào)空管安全信息；不得因信息不全而推遲上報(bào)，在上報(bào)后若獲得新的信息，應(yīng)當(dāng)及時(shí)補(bǔ)充報(bào)告。

當(dāng)空管安全信息系統(tǒng)不可用時(shí)，可以使用其他方式上報(bào)；空管安全信息系統(tǒng)恢復(fù)后，應(yīng)當(dāng)使用該系統(tǒng)補(bǔ)報(bào)。第十四條 自愿報(bào)告信息應(yīng)遵照民航局、民航局空管局的相關(guān)規(guī)定執(zhí)行。

第十五條 日常報(bào)告信息的報(bào)告按照以下規(guī)定進(jìn)行：

（一）安全工作總結(jié)。各地區(qū)空管局應(yīng)在每年12月25日前將安全工作管理目標(biāo)、指標(biāo)、計(jì)劃及完成情況上報(bào)民航局空管局。

（二）安全信息月報(bào)。各地區(qū)空管局應(yīng)在每月10日前將本轄區(qū)的運(yùn)行保障情況、不正常事件、安全形勢分析等信息上報(bào)民航局空管局。

（三）各地區(qū)空管局安全管理部門根據(jù)日?？展馨踩ぷ?，將安全管理會(huì)議、安全教育培訓(xùn)、風(fēng)險(xiǎn)管理、安全評(píng)估、安全檢查、安全形勢分析、安全獎(jiǎng)懲等安全管理活動(dòng)情況上報(bào)民航局空管局。

（四）相關(guān)安全管理信息應(yīng)根據(jù)分類通過民航局空管局空管安全信息系統(tǒng)上報(bào)。

第四章 空管安全信息分析和處理

第十六條 民航局空管局安全管理部門負(fù)責(zé)對(duì)空管系統(tǒng)安全信息的分析和處理；地區(qū)空管局安全管理部門負(fù)責(zé)對(duì)本地區(qū)、本單位空管安全信息的分析和處理。

第十七條 各級(jí)安全管理部門應(yīng)定期分析空管安全信息，識(shí)別安全風(fēng)險(xiǎn)，把握安全形勢，并為安全決策提供可靠依據(jù)，適時(shí)啟動(dòng)風(fēng)險(xiǎn)管理機(jī)制。

第十八條 對(duì)與空管安全工作關(guān)系重大的空管安全信息，各級(jí)安全管理部門應(yīng)當(dāng)及時(shí)召開專題會(huì)議分析情況，研究對(duì)策。

第十九條 各級(jí)安全管理部門發(fā)現(xiàn)需要進(jìn)行事件調(diào)查的安全信息，應(yīng)及時(shí)啟動(dòng)不安全事件調(diào)查程序。

第五章 空管安全信息發(fā)布和歸檔

第二十條

民航局空管局安全管理部門負(fù)責(zé)對(duì)空管系統(tǒng)內(nèi)部發(fā)布空管安全信息；地區(qū)空管局安全管理部門負(fù)責(zé)對(duì)本地區(qū)內(nèi)部發(fā)布空管安全信息。

第二十一條

空管安全信息發(fā)布分為定期信息發(fā)布和不定期信息發(fā)布。

（一）定期信息發(fā)布內(nèi)容包括：日常報(bào)告信息中空管安全形勢分析報(bào)告、季度空管安全信息和安全工作月報(bào)。

（二）不定期信息發(fā)布內(nèi)容包括：強(qiáng)制報(bào)告信息、自愿報(bào)告信息，以及日常報(bào)告信息中安全培訓(xùn)、安全管理會(huì)議、安全獎(jiǎng)懲、風(fēng)險(xiǎn)管理、安全評(píng)估、安全檢查及整改情況。

第二十二條 空管系統(tǒng)各單位應(yīng)妥善保存空管安全信息的有關(guān)文本、影音、數(shù)據(jù)及其他資料，不得擅自修改相關(guān)數(shù)據(jù)和文檔記錄。

第六章 空管安全信息工作人員的崗位要求 第二十三條 空管系統(tǒng)各級(jí)安全管理部門分別指定專人負(fù)責(zé)安全信息管理工作，并配臵安全信息管理設(shè)備，保證安全信息管理所必須的資金投入。

第二十四條 負(fù)責(zé)安全信息管理工作的人員應(yīng)具備以下條件：

（一）應(yīng)有較強(qiáng)的事業(yè)心和工作責(zé)任感，遵紀(jì)守法，恪守職業(yè)道德，堅(jiān)持原則，實(shí)事求是；

（二）掌握民航局、民航局空管局關(guān)于安全信息管理方面的規(guī)定；

（三）掌握民航局空管局空管安全信息系統(tǒng)的基本操作，了解信息分析的原理、步驟和方法，具有較強(qiáng)的信息分析和處理能力；

（四）熟悉空管相關(guān)業(yè)務(wù)或有兩年以上空管從業(yè)經(jīng)驗(yàn)；

（五）通過局方組織的行業(yè)基礎(chǔ)與安全培訓(xùn)，考核合格。

第七章 責(zé)任追究

第二十五條 空管系統(tǒng)單位違反本辦法第十條、第十一條、第十二條、第十三條，根據(jù)事件的性質(zhì)、級(jí)別、造成的后果和影響等，由民航局空管局或所在地區(qū)空管局對(duì)直屬相關(guān)單位的主要領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)進(jìn)行安全問責(zé)，對(duì)相關(guān)責(zé)任人進(jìn)行處罰。第二十六條 空管系統(tǒng)單位或個(gè)人違反第二十二條、第二十三條，民航局空管局或所在地區(qū)空管局責(zé)令其改正，對(duì)相關(guān)責(zé)任人進(jìn)行處罰。

第八章 附則

第二十七條 本辦法由民航局空管局負(fù)責(zé)解釋。第二十八條 本辦法自2012年××月××日起施行。民航總局空管局2001年10月23日公布的《民航空中交通管理系統(tǒng)不安全事件報(bào)告制度》（MD-TM-2001-114）自施行之日起廢止。