第一篇：關(guān)于規(guī)范公司網(wǎng)絡(luò)信息系統(tǒng)安全管理的會(huì)議紀(jì)要

保定天威集團(tuán)特變電氣有限公司

關(guān)于規(guī)范公司網(wǎng)絡(luò)信息系統(tǒng)安全管理的會(huì)議紀(jì)要

時(shí) 間：2011年7月13日14：00—14：30

地 點(diǎn)：三層會(huì)議室

會(huì)議主持：趙峰

參加人員：李娜張恩芳馬云峰周佳戴麟高新亮

主要內(nèi)容：為了貫徹落實(shí)《保定天威集團(tuán)特變電氣有限公司信息系統(tǒng)安全

管理辦法》，規(guī)范特變公司信息系統(tǒng)安全管理，保障信息系統(tǒng)的安全可

靠運(yùn)行，經(jīng)與會(huì)協(xié)商，形成以下意見：

1、對(duì)公司現(xiàn)有計(jì)算機(jī)操作者及其用戶名進(jìn)行統(tǒng)計(jì)和整理，按照一個(gè)操

作者使用一個(gè)用戶名的原則，將用戶名與操作者計(jì)算機(jī)綁定，避免用戶名

公用和濫用造成技術(shù)數(shù)據(jù)、圖紙資料外流和個(gè)人郵件信息泄露的情況發(fā)生。

2、對(duì)所有用戶名的網(wǎng)絡(luò)使用權(quán)限進(jìn)行重新審批，審批流程嚴(yán)格按照公

司《電子辦公設(shè)備及網(wǎng)絡(luò)使用管理規(guī)定》進(jìn)行，僅對(duì)工作職責(zé)中有切實(shí)需

要的開放互聯(lián)網(wǎng)使用權(quán)限。減少病毒、網(wǎng)絡(luò)入侵等對(duì)服務(wù)器的惡意攻擊。

3、記錄并留存用戶登錄和退出時(shí)間、主叫號(hào)碼、賬號(hào)、域名、系統(tǒng)維

護(hù)日志等信息。此次用戶名統(tǒng)計(jì)整理完畢后，對(duì)濫用和盜用他人用戶名的行為將按情節(jié)輕重對(duì)部門負(fù)責(zé)人及責(zé)任人從嚴(yán)考核。

4、企管策劃部負(fù)責(zé)此次網(wǎng)絡(luò)信息安全改革的用戶名統(tǒng)計(jì)與網(wǎng)絡(luò)使用權(quán)

限的審批；科技質(zhì)量管理辦公室負(fù)責(zé)網(wǎng)絡(luò)軟件、數(shù)據(jù)庫(kù)、服務(wù)器的執(zhí)行與

維護(hù)；設(shè)備能源部負(fù)責(zé)用戶名的調(diào)整及設(shè)備硬件的維護(hù)。

特變公司企管策劃部

2011年7月13日

第二篇：信息系統(tǒng)安全管理規(guī)范

信息系統(tǒng)安全管理規(guī)范

1、目標(biāo)

此文檔用于規(guī)范公司業(yè)務(wù)系統(tǒng)的安全管理，安全管理所達(dá)到的目標(biāo)如下：

確保業(yè)務(wù)系統(tǒng)中所有數(shù)據(jù)及文件的有效保護(hù)，未經(jīng)許可的用戶無(wú)法訪問數(shù)據(jù)。對(duì)用戶權(quán)限進(jìn)行合理規(guī)劃，使系統(tǒng)在安全狀態(tài)下滿足工作的需求。

2、機(jī)房訪問控制

機(jī)房做為設(shè)備的集中地，對(duì)于進(jìn)入有嚴(yán)格的要求。只有公司指定的系統(tǒng)管理員及數(shù)據(jù)庫(kù)管理員才有權(quán)限申請(qǐng)進(jìn)入機(jī)房。系統(tǒng)管理員及數(shù)據(jù)庫(kù)管理員因工作需要進(jìn)入機(jī)房前必須經(jīng)過(guò)公司書面批準(zhǔn)。嚴(yán)格遵守機(jī)房管理制度。

3、操作系統(tǒng)訪問控制

保護(hù)系統(tǒng)數(shù)據(jù)安全的第一道防線是保障網(wǎng)絡(luò)訪問的安全，不允許未經(jīng)許可的 用戶進(jìn)入到公司網(wǎng)絡(luò)中。第二道防線就是要控制存放數(shù)據(jù)及應(yīng)用文件的主機(jī)系統(tǒng) 不能被未經(jīng)許可的用戶直接訪問。為防止主機(jī)系統(tǒng)被不安全訪問，采取以下措施： 操作系統(tǒng)級(jí)的超級(jí)管理用戶口令、數(shù)據(jù)庫(kù)管理用戶口令、應(yīng)用管理用戶口令 只能由系統(tǒng)管理員設(shè)定并經(jīng)辦公室審核，１個(gè)月做一次修改，口令要向其他人員 保密。在應(yīng)用系統(tǒng)實(shí)施階段，考慮到應(yīng)用軟件提供商需要對(duì)自己的產(chǎn)品進(jìn)行調(diào)試，可以在調(diào)試時(shí)將應(yīng)用管理用戶口令暫時(shí)開放給應(yīng)用軟件提供商； 調(diào)試一結(jié)束系統(tǒng) 管理員馬上更改口令。對(duì)口令設(shè)定必需滿足以下規(guī)范： 最多允許嘗試次數(shù) 口令最長(zhǎng)有效期 口令的最大長(zhǎng)度 口令的最小長(zhǎng)度 5 30 天 不受限 6 口令的唯一性要求。

4、系統(tǒng)的安全控制

最近三次所更改的口令不能相同 通過(guò)口令控制及對(duì)象的安全控制實(shí)現(xiàn)。

5、數(shù)據(jù)庫(kù)訪問控制

為有效的保障業(yè)務(wù)數(shù)據(jù)的安全，采取以下措施：

數(shù)據(jù)庫(kù)內(nèi)具有較高權(quán)限的管理用戶口令由辦公室數(shù)據(jù)庫(kù)管理員設(shè)定,并由辦公室審核，不能向其他人開放?？诹畋仨殻眰€(gè)月做一次修改。業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)對(duì)象創(chuàng)建用戶的口令由辦公室數(shù)據(jù)庫(kù)管理員設(shè)定，由辦公室審核。不能向其他人開放。口令必須 1 個(gè)月做一次修改。

對(duì)口令設(shè)定必需滿足以下規(guī)范：

口令最長(zhǎng)有效期 口令的最大長(zhǎng)度 口令的最小長(zhǎng)度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根據(jù)操作需求，在數(shù)據(jù)庫(kù)中分別建立對(duì)業(yè)務(wù)數(shù)據(jù)只有“增、刪、改”權(quán)限的用戶；對(duì)業(yè)務(wù)數(shù)據(jù)只有“查詢”權(quán)限的用戶。不同的操作需求開

放不同權(quán)限的用 戶。除辦公室門的人員外，其他部門的任何人員均沒有權(quán)限從后臺(tái)數(shù)據(jù)庫(kù)直接進(jìn)行數(shù)據(jù)的“增、刪、改”操作 對(duì)于業(yè)務(wù)必須的后臺(tái) job 或批處理，必須由辦公室門人員執(zhí)行。

6、應(yīng)用系統(tǒng)訪問控制

應(yīng)用系統(tǒng)訪問依靠系統(tǒng)內(nèi)部定義的操作用戶權(quán)限來(lái)控制,操作用戶權(quán)限控制到菜單一級(jí)，對(duì)于操作用戶的安全管理有如下規(guī)范：

所有應(yīng)用級(jí)的操作用戶及初始口令統(tǒng)一由辦公室門設(shè)定，以個(gè)人郵件的形式分別發(fā)給各部門的操作人員。各部門操作人員在首次登錄時(shí)必須修改口令，口令必須１個(gè)月做一次修改。

對(duì)于口令設(shè)定必需滿足以下規(guī)范：

口令最長(zhǎng)有效期 口令的最大長(zhǎng)度口令的最小長(zhǎng)度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人員不能將自己的用戶及口令隨意告訴他人所有使用者的認(rèn)可都由系統(tǒng)管理員來(lái)逐一分配。必須由部門經(jīng)理提交訪問權(quán)認(rèn)可的申請(qǐng)表，然后由辦公室批準(zhǔn)。當(dāng)應(yīng)用系統(tǒng)中需要加入新的使用者時(shí)，首先使用者需要填寫“權(quán)限申請(qǐng)表”。該申請(qǐng)表應(yīng)該得到部門經(jīng)理和辦公室的共同批準(zhǔn)。之后，IT 系統(tǒng)管理員會(huì)幫助 應(yīng)用系統(tǒng)的使用者開通賬戶，并建立相應(yīng)的訪問等級(jí)和權(quán)限。當(dāng)應(yīng)用系統(tǒng)需要關(guān)閉某位使用者的賬戶時(shí)，首先該部門應(yīng)該填寫“權(quán)限申請(qǐng) 表”，并得到部門經(jīng)理和辦公室的共同批準(zhǔn)。之后，IT 系統(tǒng)管理員會(huì)幫助應(yīng)用系 統(tǒng)使用者關(guān)閉該賬戶。大多數(shù)的主文件都會(huì)與審查日志一起更新。使用者號(hào)碼、處理日期以及時(shí)間 將寫入日志，以備今后查詢之用。

7、個(gè)人義務(wù)

如果技術(shù)上可行，每一位使用者都應(yīng)該通過(guò)一個(gè)唯一的使用者身份號(hào)碼來(lái)識(shí)別，該號(hào)碼設(shè)有密碼，并不得與任何人共享。使用者的身份號(hào)碼意味著不允許存在公共使用。然而，支持網(wǎng)關(guān)和服務(wù)器的設(shè)備是一個(gè)例外，例如：互聯(lián)網(wǎng)服務(wù)器等。只有得到 IT 經(jīng)理的批準(zhǔn)，才能使用這些公共使用身份號(hào)碼。使用者不得與他人共享密碼。如果已經(jīng)告知了他人，那么使用者將對(duì)他人利 用密碼所做的任何行為的后果負(fù)責(zé)。若使用者懷疑他的密碼已經(jīng)被泄露了，那么他應(yīng)該盡快更換密碼。并應(yīng)該在 第一時(shí)間向 IT 系統(tǒng)管理員匯報(bào)。3使用者不應(yīng)該書面記錄下密碼，并放在別人可以輕易看到的地方。密碼不得設(shè)置成特定詞匯或其他能被輕易猜到的字詞。類似姓名、電話號(hào)碼、身份證號(hào)、生日等都是不合格的密碼。使用者不得向他人泄漏密碼。如果 IT 技術(shù)支持人員要求運(yùn)用使用

者的號(hào)碼 訪問，則必須當(dāng)著使用者的面登錄。如果使用者泄漏了密碼，則必須盡快更改密 碼。如果他們因誘騙而泄漏了密碼，則必須盡快向 IT 系統(tǒng)管理員匯報(bào)。如果使用者懷疑我們信息系統(tǒng)的安全性受到威脅，則必須盡快向 IT 系統(tǒng)管 理員匯報(bào)。使用者對(duì)他們自己輸入系統(tǒng)的數(shù)據(jù)的精確性負(fù)責(zé)，同時(shí)也對(duì)他們指示系統(tǒng)開發(fā)下載到我們系統(tǒng)上的數(shù)據(jù)的精確性負(fù)責(zé)。他們必須盡力保證數(shù)據(jù)的準(zhǔn)確性。如 果發(fā)現(xiàn)錯(cuò)誤，并且自己能夠修改的話，則應(yīng)該將其改正。如果自己改正不了，則應(yīng)該向他們的主管匯報(bào)。如果是在源文件發(fā)現(xiàn)數(shù)據(jù)錯(cuò)誤，則應(yīng)該盡快改正這些錯(cuò)誤，而不是故意將這些錯(cuò)誤輸入我們的電腦系統(tǒng)。使用者在離開終端機(jī)器或電腦以前必須下線，這一點(diǎn)應(yīng)該強(qiáng)制執(zhí)行。如果是 在使用不帶下線功能的單機(jī)個(gè)人電腦，則必須在離開電腦前終止程序。只有當(dāng)執(zhí) 行批處理任務(wù)時(shí)是例外。當(dāng)使用者的工作職責(zé)有變動(dòng)時(shí)，他的訪問權(quán)也應(yīng)該作相應(yīng)的變更。部門經(jīng) 理應(yīng)該及時(shí)遞交“權(quán)限申請(qǐng)表”以通知 IT 系統(tǒng)管理員。特別是在員工辭職的情 況下，他/她的部門經(jīng)理以及人事部經(jīng)理應(yīng)該及時(shí)通知 IT 系統(tǒng)管理員，以保證在 最短的時(shí)間內(nèi)撤銷他/她的系統(tǒng)訪問權(quán)。

8、局域網(wǎng)和廣域網(wǎng)安全

在可能的情況下，我們都應(yīng)將端口轉(zhuǎn)換到使用者的個(gè)人電腦。如果沒有足夠的轉(zhuǎn)換，已轉(zhuǎn)換的端口將根據(jù)以下優(yōu)先等級(jí)來(lái)分配：

需要帶寬的使用者可以訪問機(jī)密數(shù)據(jù)的使用者職務(wù)等級(jí)，例如：公司領(lǐng)導(dǎo)優(yōu)先于管理員，管理員優(yōu)先于經(jīng)理，依此類推。所有的訪問我們本地網(wǎng)絡(luò)的端口只有在部門經(jīng)理指定授權(quán)使用者時(shí)才可以 開通。因此，在公共區(qū)域（例如：會(huì)議室）的訪問端口只能在使用時(shí)開通。4 交換機(jī)位于數(shù)據(jù)中心，對(duì)該中心的物理訪問應(yīng)該控制。除了授權(quán)的 IT 支持人員以外，任何使用者都不得在公司辦公地點(diǎn)的個(gè)人電腦上安裝任何帶有數(shù)據(jù)包監(jiān)聽、端口或地址掃描功能的軟件。IP 地址只能由經(jīng)授權(quán)的 IT 支持人員來(lái)分配。使用者不得自行分配他們的 IP 地址。所有的交換機(jī)、路由器、互聯(lián)網(wǎng)服務(wù)器以及防火墻都應(yīng)該設(shè)置密碼，此密碼 不得為原廠密碼。交換機(jī)、路由器、互聯(lián)網(wǎng)服務(wù)器以及防火墻的所有不同等級(jí)的密碼都應(yīng)該記 錄在案。IT 經(jīng)理應(yīng)該保留一個(gè)備份。所有服務(wù)器的管理員密碼和主管密碼都應(yīng)該記錄在案。IT 經(jīng)理應(yīng)該保留一 個(gè)備份。對(duì)于交換機(jī)、路由器、網(wǎng)絡(luò)集線器以及服務(wù)器的結(jié)構(gòu)等級(jí)的訪問應(yīng)該只限授 權(quán)的 IT 支持人員。關(guān)于安全的信息以及通往網(wǎng)絡(luò)的網(wǎng)關(guān)的保護(hù)機(jī)制應(yīng)該只有授權(quán)的 IT 支持人 員知道。所有的交換機(jī)和路由器都應(yīng)該由非間斷電原提供至少 60 分鐘的電源供應(yīng)。如可能，非間斷電源供應(yīng)機(jī)應(yīng)該輪流由一臺(tái)備用的發(fā)電機(jī)來(lái)充電。只有經(jīng)授權(quán)的使用者才允許安裝和使用

網(wǎng)絡(luò)發(fā)明和監(jiān)控工具。

第三篇：供排水公司網(wǎng)絡(luò)信息系統(tǒng)安全自查報(bào)告

供排水公司網(wǎng)絡(luò)信息系統(tǒng)安全自查報(bào)告

我公司對(duì)網(wǎng)絡(luò)信息安全系統(tǒng)工作一直十分重視，成立了專門的領(lǐng)導(dǎo)組，建立健全了網(wǎng)絡(luò)安全保密責(zé)任制和有關(guān)規(guī)章制度，統(tǒng)一管理，各科室負(fù)責(zé)各自的網(wǎng)絡(luò)信息安全工作。嚴(yán)格落實(shí)有關(guān)網(wǎng)絡(luò)信息安全保密方面的各項(xiàng)規(guī)定，采取了多種措施防范安全保密有關(guān)事件的發(fā)生，總體上看，我公司網(wǎng)絡(luò)信息安全保密工作做得比較扎實(shí)，效果也比較好，近年來(lái)未發(fā)現(xiàn)失泄密問題。

一、計(jì)算機(jī)涉密信息管理情況

今年以來(lái)，我公司加強(qiáng)組織領(lǐng)導(dǎo)，強(qiáng)化宣傳教育，落實(shí)工作責(zé)任，加強(qiáng)日常監(jiān)督檢查，將涉密計(jì)算機(jī)管理抓在手上。對(duì)于計(jì)算機(jī)磁介質(zhì)（軟盤、U盤、移動(dòng)硬盤等）的管理，采取專人保管、涉密文件單獨(dú)存放，嚴(yán)禁攜帶存在涉密內(nèi)容的磁介質(zhì)到上網(wǎng)的計(jì)算機(jī)上加工、貯存、傳遞處理文件，形成了良好的安全保密環(huán)境。對(duì)涉密計(jì)算機(jī)（含筆記本電腦）實(shí)行了與國(guó)際互聯(lián)網(wǎng)及其他公共信息網(wǎng)物理隔離，并按照有關(guān)規(guī)定落實(shí)了保密措施，到目前為止，未發(fā)生一起計(jì)算機(jī)失密、泄密事故；其他非涉密計(jì)算機(jī)（含筆記本電腦）及網(wǎng)絡(luò)使用，也嚴(yán)格按照公司計(jì)算機(jī)保密信息系統(tǒng)管理辦法落實(shí)了有關(guān)措施，確保了機(jī)關(guān)信息安全。

二、計(jì)算機(jī)和網(wǎng)絡(luò)安全情況

一是網(wǎng)絡(luò)安全方面。我公司采用了強(qiáng)口令密碼、數(shù)據(jù)庫(kù)存儲(chǔ)備份、移動(dòng)存儲(chǔ)設(shè)備管理、數(shù)據(jù)加密等安全防護(hù)措施，明確了網(wǎng)絡(luò)安全責(zé)任，強(qiáng)化了網(wǎng)絡(luò)安全工作。

二是信息系統(tǒng)安全方面實(shí)行領(lǐng)導(dǎo)審查簽字制度。凡上傳網(wǎng)站的信息，須經(jīng)有關(guān)領(lǐng)導(dǎo)審查簽字后方可上傳；二是開展經(jīng)常性安全檢查，主要是系統(tǒng)管理權(quán)限開放情況、訪問權(quán)限開放情況、網(wǎng)頁(yè)篡改情況等進(jìn)行監(jiān)管，認(rèn)真做好系統(tǒng)安全防護(hù)。

三是日常管理方面切實(shí)抓好外網(wǎng)、網(wǎng)站和應(yīng)用軟件“五層管理”，確?！吧婷苡?jì)算機(jī)不上網(wǎng)，上網(wǎng)計(jì)算機(jī)不涉密”，嚴(yán)格按照保密要求處理光盤、硬盤、U盤、移動(dòng)硬盤等管理、維修和銷毀工作。重點(diǎn)抓好“三大安全”排查：一是硬件安全；二是網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)結(jié)構(gòu)、安全管理、密碼管理等；三是應(yīng)用安全，包括網(wǎng)站、郵件系統(tǒng)、軟件管理等。

三、硬件設(shè)備使用合理，軟件設(shè)置規(guī)范，設(shè)備運(yùn)行狀況良好。

我公司電腦與系統(tǒng)相關(guān)設(shè)備的應(yīng)用一直采取規(guī)范化管理，硬件設(shè)備的使用符合國(guó)家相關(guān)產(chǎn)品質(zhì)量安全規(guī)定，單位硬件的運(yùn)行環(huán)境符合要求，打印機(jī)配件、色帶架等基本使用設(shè)備原裝產(chǎn)品；運(yùn)轉(zhuǎn)正常。網(wǎng)站系統(tǒng)安全有效，暫未出現(xiàn)任何安全隱患。

四、通訊設(shè)備運(yùn)轉(zhuǎn)正常 我公司網(wǎng)絡(luò)系統(tǒng)的組成結(jié)構(gòu)及其配置合理，并符合有關(guān)的安全規(guī)定；網(wǎng)絡(luò)使用的各種硬件設(shè)備、軟件和網(wǎng)絡(luò)接口也是通過(guò)安全檢驗(yàn)、鑒定合格后才投入使用的，自安裝以來(lái)運(yùn)轉(zhuǎn)基本正常。

五、嚴(yán)格管理、規(guī)范設(shè)備維護(hù)

我公司對(duì)電腦及其設(shè)備實(shí)行“誰(shuí)使用、誰(shuí)管理、誰(shuí)負(fù)責(zé)”的管理制度。在管理方面我們一是堅(jiān)持“制度管人”。二是強(qiáng)化信息安全教育、提高員工計(jì)算機(jī)技能。同時(shí)在公司開展網(wǎng)絡(luò)安全知識(shí)宣傳，使全體人員意識(shí)到了，計(jì)算機(jī)安全保護(hù)是“三防一?！惫ぷ鞯挠袡C(jī)組成部分。而且在新形勢(shì)下，計(jì)算機(jī)犯罪還將成為安全保衛(wèi)工作的重要內(nèi)容。在設(shè)備維護(hù)方面，專門設(shè)置了網(wǎng)絡(luò)設(shè)備故障登記簿、計(jì)算機(jī)維護(hù)及維修表對(duì)于設(shè)備故障和維護(hù)情況屬實(shí)登記，由定點(diǎn)電腦公司維修人員及時(shí)處理。維護(hù)時(shí)要求有相關(guān)人員陪同，規(guī)范設(shè)備的維護(hù)和管理。

六、網(wǎng)站安全

我公司對(duì)網(wǎng)站安全方面有相關(guān)要求，一是使用專屬權(quán)限密碼鎖登陸；二是上傳文件提前進(jìn)行病素檢測(cè)；三是網(wǎng)站分模塊分權(quán)限進(jìn)行維護(hù)，定期進(jìn)后臺(tái)清理垃圾文件；四是網(wǎng)站更新專人負(fù)責(zé)。

七、安全制度制定落實(shí)情況

為確保計(jì)算機(jī)網(wǎng)絡(luò)安全、計(jì)算機(jī)安全保密制度、網(wǎng)站安全管理制度、網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)急預(yù)案等以有效提高管理員的工作效率。同時(shí)我公司結(jié)合自身情況制定計(jì)算機(jī)系統(tǒng)安全自查工作，于每周五定期檢查計(jì)算機(jī)系統(tǒng)，確保無(wú)隱患問題，定期組織人員學(xué)習(xí)有關(guān)網(wǎng)絡(luò)知識(shí)，提高計(jì)算機(jī)使用水平，確保預(yù)防。

八、自查存在的問題及整改意見

我們?cè)诠芾磉^(guò)程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié)，今后我們還要在以下幾個(gè)方面進(jìn)行改進(jìn)。

（一）對(duì)于線路不整齊、暴露的，立即對(duì)線路進(jìn)行限期整改，并做好防鼠、防火安全工作。

（二）加強(qiáng)設(shè)備維護(hù)，及時(shí)更換和維護(hù)好故障設(shè)備。

（三）自查中發(fā)現(xiàn)個(gè)別人員計(jì)算機(jī)安全意識(shí)不強(qiáng)。在以后的工作中，我們將繼續(xù)加強(qiáng)計(jì)算機(jī)安全意識(shí)教育和防范技能訓(xùn)練，讓員工充分認(rèn)識(shí)到計(jì)算機(jī)案件的嚴(yán)重性。人防與技防結(jié)合，確實(shí)做好單位的網(wǎng)絡(luò)安全工作。

鞏留縣供排水公司 2013年9月5日

第四篇：供排水公司網(wǎng)絡(luò)信息系統(tǒng)安全自查報(bào)告

供排水公司網(wǎng)絡(luò)信息系統(tǒng)安全自查報(bào)告

我公司對(duì)網(wǎng)絡(luò)信息安全系統(tǒng)工作一直十分重視，成立了專門的領(lǐng)導(dǎo)組，建立健全了網(wǎng)絡(luò)安全保密責(zé)任制和有關(guān)規(guī)章制度，統(tǒng)一管理，各科室負(fù)責(zé)各自的網(wǎng)絡(luò)信息安全工作。嚴(yán)格落實(shí)有關(guān)網(wǎng)絡(luò)信息安全保密方面的各項(xiàng)規(guī)定，采取了多種措施防范安全保密有關(guān)事件的發(fā)生，總體上看，我公司網(wǎng)絡(luò)信息安全保密工作做得比較扎實(shí)，效果也比較好，近年來(lái)未發(fā)現(xiàn)失泄密問題。

一、計(jì)算機(jī)涉密信息管理情況

今年以來(lái)，我公司加強(qiáng)組織領(lǐng)導(dǎo)，強(qiáng)化宣傳教育，落實(shí)工作責(zé)任，加強(qiáng)日常監(jiān)督檢查，將涉密計(jì)算機(jī)管理抓在手上。對(duì)于計(jì)算機(jī)磁介質(zhì)（軟盤、U盤、移動(dòng)硬盤等）的管理，采取專人保管、涉密文件單獨(dú)存放，嚴(yán)禁攜帶存在涉密內(nèi)容的磁介質(zhì)到上網(wǎng)的計(jì)算機(jī)上加工、貯存、傳遞處理文件，形成了良好的安全保密環(huán)境。對(duì)涉密計(jì)算機(jī)（含筆記本電腦）實(shí)行了與國(guó)際互聯(lián)網(wǎng)及其他公共信息網(wǎng)物理隔離，并按照有關(guān)規(guī)定落實(shí)了保密措施，到目前為止，未發(fā)生一起計(jì)算機(jī)失密、泄密事故；其他非涉密計(jì)算機(jī)（含筆記本電腦）及網(wǎng)絡(luò)使用，也嚴(yán)格按照公司計(jì)算機(jī)保密信息系統(tǒng)管理辦法落實(shí)了有關(guān)措施，確保了機(jī)關(guān)信息安全。

二、計(jì)算機(jī)和網(wǎng)絡(luò)安全情況

一是網(wǎng)絡(luò)安全方面。我公司采用了強(qiáng)口令密碼、數(shù)據(jù)庫(kù)存儲(chǔ)備份、移動(dòng)存儲(chǔ)設(shè)備管理、數(shù)據(jù)加密等安全防護(hù)措施，明確了網(wǎng)絡(luò)安全責(zé)任，強(qiáng)化了網(wǎng)絡(luò)安全工作。

二是信息系統(tǒng)安全方面實(shí)行領(lǐng)導(dǎo)審查簽字制度。凡上傳網(wǎng)站的信息，須經(jīng)有關(guān)領(lǐng)導(dǎo)審查簽字后方可上傳；二是開展經(jīng)常性安全檢查，主要是系統(tǒng)管理權(quán)限開放情況、訪問權(quán)限開放情況、網(wǎng)頁(yè)篡改情況等進(jìn)行監(jiān)管，認(rèn)真做好系統(tǒng)安全防護(hù)。

三是日常管理方面切實(shí)抓好外網(wǎng)、網(wǎng)站和應(yīng)用軟件“五層管理”，確?！吧婷苡?jì)算機(jī)不上網(wǎng)，上網(wǎng)計(jì)算機(jī)不涉密”，嚴(yán)格按照保密要求處理光盤、硬盤、U盤、移動(dòng)硬盤等管理、維修和銷毀工作。重點(diǎn)抓好“三大安全”排查：一是硬件安全；二是網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)結(jié)構(gòu)、安全管理、密碼管理等；三是應(yīng)用安全，包括網(wǎng)站、郵件系統(tǒng)、軟件管理等。

三、硬件設(shè)備使用合理，軟件設(shè)置規(guī)范，設(shè)備運(yùn)行狀況良好。

我公司電腦與系統(tǒng)相關(guān)設(shè)備的應(yīng)用一直采取規(guī)范化管理，硬件設(shè)備的使用符合國(guó)家相關(guān)產(chǎn)品質(zhì)量安全規(guī)定，單位硬件的運(yùn)行環(huán)境符合要求，打印機(jī)配件、色帶架等基本使用設(shè)備原裝產(chǎn)品；運(yùn)轉(zhuǎn)正常。網(wǎng)站系統(tǒng)安全有效，暫未出現(xiàn)任何安全隱患。

四、通訊設(shè)備運(yùn)轉(zhuǎn)正常

我公司網(wǎng)絡(luò)系統(tǒng)的組成結(jié)構(gòu)及其配置合理，并符合有關(guān)的安全規(guī)定；網(wǎng)絡(luò)使用的各種硬件設(shè)備、軟件和網(wǎng)絡(luò)接口也是通過(guò)安全檢驗(yàn)、鑒定合格后才投入使用的，自安裝以來(lái)運(yùn)轉(zhuǎn)基本正常。

五、嚴(yán)格管理、規(guī)范設(shè)備維護(hù)

我公司對(duì)電腦及其設(shè)備實(shí)行“誰(shuí)使用、誰(shuí)管理、誰(shuí)負(fù)責(zé)”的管理制度。在管理方面我們一是堅(jiān)持“制度管人”。二是強(qiáng)化信息安全教育、提高員工計(jì)算機(jī)技能。同時(shí)在公司開展網(wǎng)絡(luò)安全知識(shí)宣傳，使全體人員意識(shí)到了，計(jì)算機(jī)安全保護(hù)是“三防一保”工作的有機(jī)組成部分。而且在新形勢(shì)下，計(jì)算機(jī)犯罪還將成為安全保衛(wèi)工作的重要內(nèi)容。在設(shè)備維護(hù)方面，專門設(shè)置了網(wǎng)絡(luò)設(shè)備故障登記簿、計(jì)算機(jī)維護(hù)及維修表對(duì)于設(shè)備故障和維護(hù)情況屬實(shí)登記，由定點(diǎn)電腦公司維修人員及時(shí)處理。維護(hù)時(shí)要求有相關(guān)人員陪同，規(guī)范設(shè)備的維護(hù)和管理。

六、網(wǎng)站安全

我公司對(duì)網(wǎng)站安全方面有相關(guān)要求，一是使用專屬權(quán)限密碼鎖登陸；二是上傳文件提前進(jìn)行病素檢測(cè)；三是網(wǎng)站分模塊分權(quán)限進(jìn)行維護(hù)，定期進(jìn)后臺(tái)清理垃圾文件；四是網(wǎng)站更新專人負(fù)責(zé)。

七、安全制度制定落實(shí)情況

為確保計(jì)算機(jī)網(wǎng)絡(luò)安全、計(jì)算機(jī)安全保密制度、網(wǎng)站安

全管理制度、網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)急預(yù)案等以有效提高管理員的工作效率。同時(shí)我公司結(jié)合自身情況制定計(jì)算機(jī)系統(tǒng)安全自查工作，于每周五定期檢查計(jì)算機(jī)系統(tǒng)，確保無(wú)隱患問題，定期組織人員學(xué)習(xí)有關(guān)網(wǎng)絡(luò)知識(shí)，提高計(jì)算機(jī)使用水平，確保預(yù)防。

八、自查存在的問題及整改意見

我們?cè)诠芾磉^(guò)程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié)，今后我們還要在以下幾個(gè)方面進(jìn)行改進(jìn)。

（一）對(duì)于線路不整齊、暴露的，立即對(duì)線路進(jìn)行限期整改，并做好防鼠、防火安全工作。

（二）加強(qiáng)設(shè)備維護(hù)，及時(shí)更換和維護(hù)好故障設(shè)備。

（三）自查中發(fā)現(xiàn)個(gè)別人員計(jì)算機(jī)安全意識(shí)不強(qiáng)。在以后的工作中，我們將繼續(xù)加強(qiáng)計(jì)算機(jī)安全意識(shí)教育和防范技能訓(xùn)練，讓員工充分認(rèn)識(shí)到計(jì)算機(jī)案件的嚴(yán)重性。人防與技防結(jié)合，確實(shí)做好單位的網(wǎng)絡(luò)安全工作。

鞏留縣供排水公司

2013年9月5日

第五篇：網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行管理實(shí)施細(xì)則匯總

網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行管理實(shí)施細(xì)則

目錄

第一章 總則..................................................................................2 第二章 職責(zé)與分工........................................................................2 第三章 運(yùn)行值班管理....................................................................5 第四章 事件管理...........................................................................5 第五章 變更管理...........................................................................6 第六章 網(wǎng)絡(luò)管理...........................................................................7 第七章 應(yīng)用管理.........................................................................10 第八章 機(jī)房管理.........................................................................13 第九章 信息設(shè)備管理..................................................................14 第十章 賬號(hào)管理.........................................................................18 第十一章 信息資料管理...............................................................19 第十二章 備份管理......................................................................21 第十三章 耗材管理：..................................................................21 第十四章 移動(dòng)存儲(chǔ)介質(zhì)管理........................................................22 第十五章 補(bǔ)丁管理......................................................................25 第十六章 漏洞管理......................................................................26 第十七章 日志審計(jì)......................................................................27 第十八章 外包管理......................................................................28 第十九章 人員管理......................................................................30 第二十章 附則.............................................................................31

第一章 總則

第一條 為了保證XX有限公司（以下簡(jiǎn)稱“XX公司”）網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行，依據(jù)《天津市電力公司信息系統(tǒng)安全管理規(guī)定》等相關(guān)制度，結(jié)合XX公司實(shí)際，制定本實(shí)施細(xì)則。

第二條 門”）。本實(shí)施細(xì)則適用于公司所屬各部門（以下簡(jiǎn)稱“各部

第二章 職責(zé)與分工

第三條 XX公司黨政領(lǐng)導(dǎo)一把手是信息系統(tǒng)的第一安全責(zé)任人；各部門的一把手是本部門信息系統(tǒng)安全的第一責(zé)任人。信息安全考核納入安全生產(chǎn)考核和經(jīng)濟(jì)責(zé)任制考核。

第四條 XX公司信息系統(tǒng)為三級(jí)管理，XX公司建立信息化工作領(lǐng)導(dǎo)小組，運(yùn)維檢修部負(fù)責(zé)信息化工作的職能管理，是公司的歸口管理部門，各部門是信息化工作的具體落實(shí)部門。

第五條 XX公司信息化工作領(lǐng)導(dǎo)小組是公司信息安全的領(lǐng)導(dǎo)組織。負(fù)責(zé)審定公司的信息安全管理有關(guān)規(guī)定，負(fù)責(zé)落實(shí)上級(jí)主管部門的安全管理防范的技術(shù)策略和信息安全管理有關(guān)規(guī)定。第六條 XX公司安全監(jiān)察質(zhì)量部負(fù)責(zé)監(jiān)督和考核公司信息系統(tǒng)的運(yùn)行狀況。信息系統(tǒng)發(fā)生事故，按照《天津市電力公司信息系統(tǒng)事故調(diào)查及考核辦法》，由安全監(jiān)察質(zhì)量部牽頭組織事故分析，提出處理意見，運(yùn)維檢修部配合進(jìn)行專業(yè)分析。

第七條 運(yùn)維檢修部是公司信息化管理的職能部門，設(shè)置信息化管理專責(zé)。主要工作：

1、組織實(shí)施公司各項(xiàng)信息管理制度，做好監(jiān)督、檢查、指導(dǎo)信息安全管理及信息運(yùn)行維護(hù)工作，組織實(shí)施安全防范措施。當(dāng)發(fā)生影響信息安全的重大事件時(shí)，發(fā)布告警并組織制定應(yīng)對(duì)措施。

2、負(fù)責(zé)信息化相關(guān)指標(biāo)、數(shù)據(jù)的匯總上報(bào)工作。

3、負(fù)責(zé)XX公司信息系統(tǒng)硬件的調(diào)配工作。

4、負(fù)責(zé)信息系統(tǒng)耗材計(jì)劃編制、調(diào)整工作。

5、負(fù)責(zé)組織編制信息專業(yè)的大修、技改計(jì)劃。

6、配合專業(yè)部門進(jìn)行市電力公司統(tǒng)一管理和開發(fā)的項(xiàng)目和軟件在XX公司的組織推廣工作。參與有關(guān)信息工程項(xiàng)目的評(píng)定、審核和驗(yàn)收。

7、配合人力資源部做好XX公司信息專業(yè)知識(shí)的培訓(xùn)工作。第八條 信息通信運(yùn)維班，是XX公司信息網(wǎng)絡(luò)系統(tǒng)整體運(yùn)行、維護(hù)部門。主要工作：

1、負(fù)責(zé)XX公司相關(guān)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)、運(yùn)行硬件指標(biāo)數(shù)據(jù)的統(tǒng)計(jì)，負(fù)責(zé)公司信息網(wǎng)絡(luò)軟、硬件系統(tǒng)的運(yùn)行總結(jié)上報(bào)，負(fù)責(zé)配合信息系統(tǒng)驗(yàn)收、檢查工作。

2、負(fù)責(zé)XX公司信息系統(tǒng)的正常運(yùn)行，軟件、硬件維護(hù)和故障處理工作。

3、負(fù)責(zé)XX公司信息系統(tǒng)中實(shí)物資產(chǎn)的統(tǒng)計(jì)管理。

4、負(fù)責(zé)XX公司信息系統(tǒng)硬件設(shè)備及耗材的計(jì)劃起草工作。

5、負(fù)責(zé)提出XX公司信息系統(tǒng)大修、技改項(xiàng)目的申請(qǐng)。

6、負(fù)責(zé)XX公司信息網(wǎng)絡(luò)的建設(shè)方案的實(shí)施工作。

7、負(fù)責(zé)為各部門提供信息專業(yè)的技術(shù)支持。

8、配合專業(yè)部門做好市電力公司統(tǒng)一管理和開發(fā)的項(xiàng)目和軟件在公司的系統(tǒng)管理工作。

9、負(fù)責(zé)XX公司信息故障受理工作，并做好報(bào)修記錄。第九條 各部門是信息化工作的具體落實(shí)部門，信息設(shè)備由設(shè)備具體使用人負(fù)責(zé)，如無(wú)具體使用人，則由計(jì)算機(jī)帳號(hào)所有人負(fù)責(zé)。專業(yè)信息系統(tǒng)由各部門指定的專業(yè)系統(tǒng)管理人員負(fù)責(zé)。主要工作：

1、負(fù)責(zé)本部門信息設(shè)備、信息系統(tǒng)的安全保密管理。

2、負(fù)責(zé)本部門計(jì)算機(jī)的趨勢(shì)防病毒軟件的病毒碼的升級(jí)，趨勢(shì)防病毒軟件監(jiān)控系統(tǒng)必須保證開啟狀態(tài)。負(fù)責(zé)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁的及時(shí)升級(jí)以及相關(guān)軟件的補(bǔ)丁升級(jí)工作。

3、負(fù)責(zé)保證信息設(shè)備、信息系統(tǒng)的相關(guān)安全配置，并按照公司規(guī)定正確使用信息設(shè)備、信息系統(tǒng)。

4、負(fù)責(zé)本部門信息設(shè)備、信息系統(tǒng)的日常維護(hù)管理，負(fù)責(zé)維護(hù)更新本部門設(shè)備臺(tái)帳。

第十條 為了保障網(wǎng)絡(luò)和信息系統(tǒng)的安全、可靠、不間斷運(yùn)行，信息通信運(yùn)維班的關(guān)鍵崗位實(shí)行主副崗備用制度，主崗不在或工作負(fù)擔(dān)過(guò)重時(shí)，副崗要擔(dān)當(dāng)其職責(zé),工作由主崗委托。

第三章 運(yùn)行值班管理

第十一條 法定工作日的工作時(shí)間應(yīng)安排具備相應(yīng)專業(yè)技術(shù)水平的人員進(jìn)行5 x 8小時(shí)現(xiàn)場(chǎng)值班。其余時(shí)間應(yīng)安排非現(xiàn)場(chǎng)值班，以確保關(guān)鍵應(yīng)用系統(tǒng)的正常運(yùn)行。

第十二條 重要時(shí)期應(yīng)實(shí)行7x24小時(shí)值班，根據(jù)實(shí)際情況采取電話值班或現(xiàn)場(chǎng)值班，以確保關(guān)鍵應(yīng)用系統(tǒng)的正常運(yùn)行。

第十三條 值班人員要按照要求做好重大事項(xiàng)匯報(bào)工作，并做好記錄。

第四章 事件管理

第十四條 信息通信運(yùn)維班信息專業(yè)人員在接到故障申告時(shí)，應(yīng)對(duì)故障信息進(jìn)行登記。

第十五條 信息通信運(yùn)維班信息專業(yè)人員根據(jù)故障信息，對(duì)故障進(jìn)行處理，并將處理情況填入記錄中，并交由故障申告人簽字確認(rèn)。

第五章 變更管理

第十六條 信息設(shè)備的變更指對(duì)服務(wù)器、路由器、交換機(jī)（不含客戶端設(shè)備）等設(shè)備上運(yùn)行的操作系統(tǒng)、權(quán)限、各種服務(wù)、各種軟件、數(shù)據(jù)庫(kù)、IP地址、安全配置、投入或退出運(yùn)行、重新啟動(dòng)、重新安裝等所作的變更。

第十七條 運(yùn)維檢修部是以上各種信息設(shè)備變更的職能管理部門，負(fù)責(zé)審批變更并備案。

第十八條 所有信息設(shè)備的各種變更都要履行變更審批和備案手續(xù)，由各部門專業(yè)系統(tǒng)管理人員或信息運(yùn)維人員提出變更申請(qǐng)?zhí)顚懽兏僮鲉危ㄒ姼郊?），填寫好相關(guān)信息后由部門負(fù)責(zé)人簽字交運(yùn)維檢修部確認(rèn)審批，通過(guò)后實(shí)施變更。變更涉及信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)影響的，申請(qǐng)人應(yīng)于變更前1至2個(gè)工作日以電子郵件、門戶公告、電話通知方式告知相關(guān)影響用戶，變更結(jié)束后對(duì)于以上用戶進(jìn)行測(cè)試。

第十九條 設(shè)備、系統(tǒng)變更前對(duì)于原有的數(shù)據(jù)，應(yīng)該采取備份、異地轉(zhuǎn)移存儲(chǔ)等安全措施。

第二十條 對(duì)于涉密設(shè)備的變更，如果需要外來(lái)人員協(xié)助，外來(lái)人員需填寫保密承諾書，保證所存儲(chǔ)的涉密信息不被泄露，進(jìn)行變更工作過(guò)程中變更申請(qǐng)人必須在現(xiàn)場(chǎng)，對(duì)維修人員、維修對(duì)象、維修內(nèi)容、維修前后狀況進(jìn)行監(jiān)督。

第二十一條 設(shè)備、系統(tǒng)變更結(jié)束后應(yīng)按照天津市電力公司信息安全加固的要求加固系統(tǒng)，恢復(fù)設(shè)備以及系統(tǒng)中的原有應(yīng)用及運(yùn)行環(huán)境，并盡快投入運(yùn)行。

第二十二條 任何信息設(shè)備的各類變更未履行相關(guān)審批手續(xù)或者無(wú)記錄追溯的，以及因信息設(shè)備的變更對(duì)系統(tǒng)及用戶造成中斷應(yīng)用等影響的，追究變更實(shí)施人員相關(guān)責(zé)任。

第六章 網(wǎng)絡(luò)管理

第二十三條 管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)（以下簡(jiǎn)稱內(nèi)網(wǎng)）和信息外網(wǎng)（以下簡(jiǎn)稱外網(wǎng)），實(shí)現(xiàn)“雙機(jī)雙網(wǎng)”。

第二十四條 XX公司內(nèi)網(wǎng)與外網(wǎng)均不得私自接入無(wú)線設(shè)備，網(wǎng)絡(luò)終端均實(shí)行IP地址與MAC地址綁定，禁止非授權(quán)接入。

第二十五條 XX公司外網(wǎng)設(shè)備與內(nèi)網(wǎng)設(shè)備按照上級(jí)部門要求進(jìn)行信息安全加固，設(shè)置訪問控制，設(shè)置足夠強(qiáng)度的用戶和密碼。

第二十六條 XX公司外網(wǎng)通過(guò)市公司統(tǒng)一出口接入INTERNET，XX公司所有部門和人員禁止以其他任何方式（ADSL、3G無(wú)線、CDMA、GPRS、96168撥號(hào)等）私自連接INTERNET網(wǎng)。第二十七條 XX公司內(nèi)外網(wǎng)計(jì)算機(jī)終端、打印機(jī)、網(wǎng)絡(luò)設(shè)備的IP地址和配置信息由運(yùn)維檢修部統(tǒng)一分配和管理，任何人不得擅自使用他人的地址和未分配的地址，不得擅自安裝任何網(wǎng)絡(luò)設(shè)備，不得擅自更改網(wǎng)絡(luò)設(shè)備的配置信息。

第二十八條 未經(jīng)計(jì)算機(jī)網(wǎng)絡(luò)管理人員同意，任何人不得擅自操作、移動(dòng)網(wǎng)絡(luò)設(shè)備。

第二十九條 職能管理部門和公司領(lǐng)導(dǎo)可以依據(jù)實(shí)際工作需要申請(qǐng)接入外網(wǎng)。

第三十條 接入外網(wǎng)必須填寫外網(wǎng)接入申請(qǐng)表（見附件2），經(jīng)XX公司主管領(lǐng)導(dǎo)批準(zhǔn)后報(bào)科技信通部審批，審批通過(guò)后按照批準(zhǔn)的地址進(jìn)行IP/MAC綁定并接入外網(wǎng)，信息部門負(fù)責(zé)做好相應(yīng)的登記備案工作，更新信息外網(wǎng)設(shè)備臺(tái)帳。

第三十一條 公司提供公共上網(wǎng)計(jì)算機(jī)，公共上網(wǎng)計(jì)算機(jī)的維護(hù)及使用管理由信息通信運(yùn)維班負(fù)責(zé)。員工因工作需要在公共上網(wǎng)區(qū)訪問INTERNET，需進(jìn)行上網(wǎng)登記。

第三十二條 不得在信息外網(wǎng)設(shè)備中保留任何信息內(nèi)網(wǎng)資料。外網(wǎng)訪問結(jié)束后，應(yīng)立即清除與內(nèi)網(wǎng)有關(guān)的文件。

第三十三條 接入內(nèi)網(wǎng)必須填寫內(nèi)網(wǎng)接入申請(qǐng)表（見附件3），經(jīng)XX公司主管領(lǐng)導(dǎo)批準(zhǔn)后報(bào)科技信通部審批，審批通過(guò)后按照批準(zhǔn)的地址進(jìn)行IP/MAC綁定并接入內(nèi)網(wǎng)，信息部門負(fù)責(zé)做好相應(yīng)的登記備案工作，更新信息內(nèi)網(wǎng)設(shè)備臺(tái)帳。

第三十四條 信息內(nèi)外網(wǎng)計(jì)算機(jī)IP地址變更按照內(nèi)外網(wǎng)接入申請(qǐng)流程執(zhí)行。

第三十五條 開發(fā)商如確因工作需要接入信息內(nèi)網(wǎng)，應(yīng)提前申請(qǐng)信息內(nèi)網(wǎng)設(shè)備。

第三十六條 計(jì)算機(jī)接入信息內(nèi)外網(wǎng)應(yīng)由信息運(yùn)維人員對(duì)計(jì)算機(jī)進(jìn)行統(tǒng)一配置，設(shè)置規(guī)范的計(jì)算機(jī)名稱（格式為公司名稱-部門名稱-流水編號(hào)）,內(nèi)網(wǎng)計(jì)算機(jī)應(yīng)加入TEPCO域，并安裝趨勢(shì)防病毒軟件、注冊(cè)桌面終端標(biāo)準(zhǔn)化管理軟件（安全移動(dòng)存儲(chǔ)介質(zhì)軟件），外網(wǎng)計(jì)算機(jī)應(yīng)安裝金山防病毒軟件。

第三十七條 市公司科技信通部會(huì)定期對(duì)計(jì)算機(jī)進(jìn)行安全檢查，對(duì)存在安全隱患的計(jì)算機(jī)進(jìn)行封網(wǎng)處理。被封網(wǎng)的計(jì)算機(jī)需經(jīng)責(zé)任人進(jìn)行認(rèn)真整改后，填寫情況說(shuō)明及重新開通上網(wǎng)功能申請(qǐng)表（見附件4、5、6），經(jīng)部門領(lǐng)導(dǎo)審批簽字后報(bào)公司運(yùn)維檢修部。運(yùn)維檢修部確認(rèn)已整改后報(bào)公司領(lǐng)導(dǎo)簽字審批后上報(bào)市公司科技信通部申請(qǐng)開通網(wǎng)絡(luò)。

第三十八條 信息通信運(yùn)維班負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的運(yùn)行管理，確保網(wǎng)絡(luò)備品備件及應(yīng)急設(shè)備處在良好狀態(tài)，盡量在故障發(fā)生之前采取保護(hù)措施。

第三十九條 運(yùn)維檢修部負(fù)責(zé)建立詳細(xì)的安全事件應(yīng)急處理制度，制定并及時(shí)修訂信息網(wǎng)絡(luò)安全應(yīng)急預(yù)案，定期演練，確保應(yīng)急體系的完備性和可用性，做好應(yīng)對(duì)突發(fā)信息安全事件的準(zhǔn)備。

第四十條 發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全問題及時(shí)向運(yùn)維檢修部進(jìn)行通報(bào)，遇重大問題由運(yùn)維檢修部及時(shí)向公司科技信通部報(bào)告。應(yīng)在1小時(shí)內(nèi)，將事件發(fā)生時(shí)間、原因過(guò)程、采取措施、影響范圍、損失情況等，通過(guò)郵件和電話方式上報(bào)。

第七章 應(yīng)用管理

第四十一條 嚴(yán)格執(zhí)行市公司應(yīng)用系統(tǒng)開發(fā)與管理的有關(guān)規(guī)定，原則上不允許自行開發(fā)或引進(jìn)管理軟件，有特殊需要的，必須事先到信息管理部門申請(qǐng)、備案，并由信息管理部門向科技信通部申請(qǐng)，經(jīng)批準(zhǔn)后方可開發(fā)，經(jīng)驗(yàn)收后方可接入。

第四十二條 對(duì)接入信息網(wǎng)絡(luò)運(yùn)行的應(yīng)用系統(tǒng)，在系統(tǒng)投入運(yùn)行前，應(yīng)對(duì)系統(tǒng)運(yùn)行的穩(wěn)定性、安全性進(jìn)行嚴(yán)格測(cè)試，并使用漏洞掃描工具進(jìn)行安全檢查，確認(rèn)沒有系統(tǒng)漏洞后，經(jīng)運(yùn)維檢修部批準(zhǔn)后方可正式上線運(yùn)行。

第四十三條 應(yīng)用系統(tǒng)上線前由運(yùn)維檢修部根據(jù)等級(jí)保護(hù)制度對(duì)系統(tǒng)定級(jí)，同時(shí)報(bào)市公司科技信通部審核備案。

第四十四條 在系統(tǒng)投入運(yùn)行前，應(yīng)用系統(tǒng)開發(fā)單位和運(yùn)行管理部門應(yīng)相互配合，確定與該應(yīng)用系統(tǒng)相關(guān)的網(wǎng)絡(luò)環(huán)境參數(shù)、故障處理流程、數(shù)據(jù)備份管理流程、系統(tǒng)故障應(yīng)急預(yù)案等。應(yīng)用系統(tǒng)開發(fā)單位應(yīng)提供能滿足日常運(yùn)行管理需求的系統(tǒng)開發(fā)及運(yùn)行維護(hù)文檔和系統(tǒng)軟件介質(zhì)（系統(tǒng)軟件應(yīng)包括可供系統(tǒng)進(jìn)行完全安裝和緊急恢復(fù)的完整系統(tǒng)軟件介質(zhì)光盤或磁盤，軟件功能說(shuō)明書，軟件使用說(shuō)明書，程序清單，數(shù)據(jù)結(jié)構(gòu)清單等）。

第四十五條 對(duì)投入運(yùn)行的應(yīng)用系統(tǒng)，各專業(yè)主管部門應(yīng)建立運(yùn)行臺(tái)帳，明確系統(tǒng)管理人員，做好運(yùn)行日志。

第四十六條 接入信息內(nèi)網(wǎng)的各應(yīng)用系統(tǒng)原則上不得以專線、撥號(hào)或任何其它方式與系統(tǒng)外網(wǎng)絡(luò)及國(guó)際互聯(lián)網(wǎng)相連，如確有必要，則應(yīng)采取有效防范手段并經(jīng)運(yùn)維檢修部上報(bào)科技信通部審核備案。

第四十七條 投入運(yùn)行的應(yīng)用系統(tǒng)服務(wù)器和終端上的軟、硬件配置不得隨意更改，嚴(yán)禁安裝與本應(yīng)用系統(tǒng)無(wú)關(guān)的應(yīng)用程序和軟件。應(yīng)用系統(tǒng)的管理、維護(hù)、應(yīng)用人員應(yīng)嚴(yán)格按照各自的權(quán)限和業(yè)務(wù)流程使用系統(tǒng)。

第四十八條 進(jìn)行應(yīng)用系統(tǒng)的配置參數(shù)調(diào)整、系統(tǒng)軟件重裝、網(wǎng)絡(luò)環(huán)境調(diào)整等系統(tǒng)變更都應(yīng)嚴(yán)格遵照相應(yīng)的變更管理流程。第四十九條 用戶賬號(hào)建立、用戶賬號(hào)權(quán)限更改、用戶節(jié)點(diǎn)增加等日常維護(hù)業(yè)務(wù)，應(yīng)由專業(yè)系統(tǒng)管理人員及時(shí)記錄并定期整理歸檔。

第五十條 應(yīng)用系統(tǒng)變更前后都應(yīng)按相應(yīng)的備份管理規(guī)定進(jìn)行備份。

第五十一條 運(yùn)行人員應(yīng)及時(shí)發(fā)現(xiàn)系統(tǒng)故障。接到故障申告后，由專業(yè)系統(tǒng)管理人員或信息運(yùn)維人員負(fù)責(zé)對(duì)問題進(jìn)行詳細(xì)的記錄，對(duì)簡(jiǎn)單故障可先處理后匯報(bào)，對(duì)較大故障要立即通知本部門負(fù)責(zé)人和信息管理部門。

第五十二條 對(duì)于故障的分析、處理過(guò)程應(yīng)有記錄。重大故障處理要有兩人以上，一人操作，一人監(jiān)督。

第五十三條 各應(yīng)用信息系統(tǒng)必須有完善的系統(tǒng)維護(hù)制度和操作規(guī)程。重大事件處理時(shí)，應(yīng)有安全管理人員在場(chǎng)，故障原因、操作內(nèi)容和操作前后的情況必須詳細(xì)記錄并存檔。專業(yè)系統(tǒng)管理人員應(yīng)定期檢查和記錄本信息系統(tǒng)的安全運(yùn)行狀況。

第五十四條 用戶帳號(hào)和口令管理按照《天津市電力公司信息系統(tǒng)帳號(hào)、口令管理規(guī)定》執(zhí)行。

第五十五條 專業(yè)系統(tǒng)管理人員負(fù)責(zé)系統(tǒng)的日常運(yùn)行維護(hù)，數(shù)據(jù)的保存、備份，系統(tǒng)口令的維護(hù)、設(shè)置和管理，系統(tǒng)程序的安裝，向其他子系統(tǒng)及上級(jí)有關(guān)單位部門提供數(shù)據(jù)及報(bào)表。

第八章 機(jī)房管理

第五十六條 XX公司信息機(jī)房按照國(guó)網(wǎng)公司C類機(jī)房管理標(biāo)準(zhǔn)進(jìn)行管理，部署不間斷電源系統(tǒng)（UPS）及防水、防雷、防火和恒溫恒濕設(shè)施。

第五十七條 運(yùn)維檢修部是XX公司信息系統(tǒng)運(yùn)行機(jī)房的職能管理部門，信息通信運(yùn)維班明確機(jī)房管理責(zé)任人員，具體負(fù)責(zé)機(jī)房的日常管理和維護(hù)。

第五十八條 信息通信運(yùn)維班負(fù)責(zé)做好機(jī)房日常巡視，每天檢查機(jī)房環(huán)境、網(wǎng)絡(luò)設(shè)備、服務(wù)器的運(yùn)行狀況，并認(rèn)真填寫機(jī)房巡檢記錄。對(duì)于巡視中發(fā)現(xiàn)的問題，要詳細(xì)記錄并匯報(bào)相關(guān)領(lǐng)導(dǎo)及時(shí)解決問題。

第五十九條 信息通信運(yùn)維班負(fù)責(zé)做好機(jī)房?jī)?nèi)設(shè)備的運(yùn)維，每半年對(duì)UPS進(jìn)行1次充放電，并做好記錄。

第六十條 機(jī)房是網(wǎng)絡(luò)和信息系統(tǒng)的重點(diǎn)保密場(chǎng)所，嚴(yán)禁無(wú)關(guān)人員隨意出入；外來(lái)人員進(jìn)出機(jī)房必須填寫機(jī)房出入登記表，經(jīng)批準(zhǔn)同意后方可進(jìn)入。外來(lái)人員進(jìn)入機(jī)房應(yīng)由相關(guān)負(fù)責(zé)人陪同和監(jiān)督。

第六十一條 機(jī)房?jī)?nèi)嚴(yán)禁煙火，不準(zhǔn)使用電爐、電水壺等電器。機(jī)房?jī)?nèi)必須配備專用氣體滅火器，運(yùn)行維護(hù)人員必須學(xué)會(huì)使用滅火器，一旦發(fā)現(xiàn)火情，立即投入滅火，并迅速報(bào)警。第六十二條 機(jī)房?jī)?nèi)應(yīng)保持清潔，嚴(yán)禁堆放雜物，設(shè)備、線路標(biāo)簽應(yīng)清晰、齊全，機(jī)柜布線應(yīng)整齊。進(jìn)入機(jī)房前，須對(duì)鞋子進(jìn)行清潔或戴上鞋套。

第六十三條 出入機(jī)房應(yīng)注意關(guān)好門，最后離開機(jī)房的人員必須自覺檢查和關(guān)閉所有機(jī)房門窗、鎖定防盜裝置。

第六十四條 工作人員離開工作區(qū)域前，應(yīng)保證工作區(qū)域內(nèi)保存的重要文件、資料、設(shè)備、數(shù)據(jù)處于安全保護(hù)狀態(tài)。

第六十五條 未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，禁止將機(jī)房相關(guān)的鑰匙、密碼等物品和信息外借或透露給其它人員。對(duì)于遺失鑰匙、泄露密碼的情況要即時(shí)上報(bào)，并積極主動(dòng)采取措施保證機(jī)房安全。

第九章 信息設(shè)備管理

第六十六條 信息設(shè)備根據(jù)設(shè)備的類型、用途、介質(zhì)（特指軟件）等因素，歸為以下幾類：

1、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻、入侵檢測(cè)、綜合布線系統(tǒng)等）

2、服務(wù)器（含小型機(jī)、工作站、PC 服務(wù)器）

3、個(gè)人計(jì)算機(jī)（含便攜式計(jì)算機(jī)）

4、外部設(shè)備（打印機(jī)、繪圖儀等）

5、輔助設(shè)備（網(wǎng)絡(luò)及服務(wù)器機(jī)柜、UPS 等）

6、工具（含網(wǎng)絡(luò)工具、普通工具等）

7、軟件

8、其他

第六十七條 運(yùn)維檢修部負(fù)責(zé)XX公司所屬各單位信息設(shè)備管理、分配工作。運(yùn)維檢修部應(yīng)根據(jù)應(yīng)用系統(tǒng)對(duì)設(shè)備的要求，兼顧各部門崗位職能的需要，制定信息設(shè)備配置標(biāo)準(zhǔn)；在年末制定下一設(shè)備大修、設(shè)備升級(jí)改造、重要設(shè)備備品備件、設(shè)備維護(hù)等資金計(jì)劃，上報(bào)主管領(lǐng)導(dǎo)及相關(guān)部門批準(zhǔn)，列入下一信息系統(tǒng)專項(xiàng)資金計(jì)劃。各部門應(yīng)在計(jì)劃編制前，及時(shí)上報(bào)信息設(shè)備需求。

第六十八條 新的設(shè)備到達(dá)后，由運(yùn)維檢修部負(fù)責(zé)組織相關(guān)人員驗(yàn)收，驗(yàn)收依據(jù)為簽訂的合同內(nèi)容。驗(yàn)收人員應(yīng)認(rèn)真進(jìn)行各種參數(shù)的測(cè)試，檢查設(shè)備的性能指標(biāo)是否能夠達(dá)到技術(shù)要求。

第六十九條 新的信息設(shè)備投入使用前，需經(jīng)信息通信運(yùn)維班按照市電力公司相關(guān)規(guī)定進(jìn)行安全加固；信息設(shè)備的使用部門應(yīng)辦理財(cái)務(wù)固定資產(chǎn)登記，并上報(bào)運(yùn)維檢修部備案。沒有在運(yùn)維檢修部登記、違反規(guī)定自籌資金購(gòu)買、不在財(cái)務(wù)固定資產(chǎn)臺(tái)帳上的信息設(shè)備，運(yùn)維檢修部不負(fù)責(zé)維護(hù)及禁止接入信息網(wǎng)絡(luò)。

第七十條 運(yùn)維檢修部歸口負(fù)責(zé)XX公司信息設(shè)備臺(tái)帳，臺(tái)帳中應(yīng)該包括設(shè)備的所屬部門、型號(hào)、序列號(hào)、IP地址等。信息設(shè)備的使用部門負(fù)責(zé)信息設(shè)備的日常管理，包括清潔、殺毒軟件及系統(tǒng)升級(jí)、一般性配置操作、一般性故障排除等，并對(duì)信息設(shè)備的非使用性損壞以及丟失負(fù)責(zé)，并按情節(jié)嚴(yán)重程度，依據(jù)有關(guān)規(guī)定追究當(dāng)事人賠償責(zé)任。各部應(yīng)指定專人協(xié)助運(yùn)維檢修部做好所屬范圍內(nèi)信息設(shè)備臺(tái)帳管理，若有設(shè)備變動(dòng)要及時(shí)上報(bào)運(yùn)維檢修部。運(yùn)維檢修部根據(jù)實(shí)際情況組織設(shè)備清查工作，進(jìn)行設(shè)備臺(tái)帳、實(shí)物核對(duì)，做到帳物相符。

第七十一條 每臺(tái)信息設(shè)備都要明確設(shè)備負(fù)責(zé)人（負(fù)責(zé)人須是正式職工）。信息設(shè)備由設(shè)備具體使用人負(fù)責(zé)，如無(wú)具體使用人，則由計(jì)算機(jī)帳號(hào)所有人負(fù)責(zé)。信息設(shè)備隨機(jī)資料、軟件等應(yīng)由設(shè)備負(fù)責(zé)人保存。信息設(shè)備正常工作環(huán)境由設(shè)備所屬部門負(fù)責(zé)。各部門之間及部門成員之間不得隨意互換計(jì)算機(jī)、或其他相關(guān)設(shè)備。對(duì)因人員、崗位變動(dòng)閑置的信息設(shè)備應(yīng)及時(shí)上報(bào)運(yùn)維檢修部，由運(yùn)維檢修部統(tǒng)一處理。

第七十二條 信息設(shè)備運(yùn)維管理

1、嚴(yán)禁任何人私自拆卸信息設(shè)備硬件，私自更改計(jì)算機(jī)配置、網(wǎng)絡(luò)IP地址，安裝未經(jīng)批準(zhǔn)的三方軟件。設(shè)備使用人不得直接向供貨商提出信息設(shè)備相關(guān)設(shè)備維修、軟件維護(hù)的要求，否則，發(fā)生的費(fèi)用和其它問題自行承擔(dān)。

2、設(shè)備負(fù)責(zé)人負(fù)責(zé)所屬信息設(shè)備的日常維護(hù)。其中包括常用軟件的安裝升級(jí)，一般性配置操作、一般性故障排除。如果涉及到更換零件、安裝系統(tǒng)等非一般性故障，無(wú)法自行處理的，應(yīng)及時(shí)向運(yùn)維部門進(jìn)行故障申告，信息運(yùn)維人員應(yīng)記錄故障設(shè)備信息及故障處理情況，并在處理完畢后交由故障申告人簽字確認(rèn)。

3、屬于更換部分零部件也不能解決的故障，需更換整機(jī)或大型配件的，在經(jīng)過(guò)信息運(yùn)維人員確認(rèn)后，由設(shè)備負(fù)責(zé)部門填寫信息設(shè)備及配件申請(qǐng)（附件 7），經(jīng)運(yùn)維檢修部請(qǐng)示主管領(lǐng)導(dǎo)批準(zhǔn)后方可更換。

4、信息設(shè)備出現(xiàn)非一般性故障未經(jīng)信息運(yùn)維人員同意自行處理（含拆裝）造成故障擴(kuò)大，由自行處理（含拆裝）的操作人承擔(dān)修復(fù)責(zé)任。

5、為保證信息設(shè)備的正常維護(hù)，及時(shí)排除故障，XX公司每年列支一定的信息設(shè)運(yùn)行備維護(hù)資金，保證本設(shè)備的安全穩(wěn)定。運(yùn)維檢修部應(yīng)視具體情況提出必要的儀器、儀表、工具和備品備件采購(gòu)申請(qǐng)。

6、各部門應(yīng)保證信息設(shè)備的相關(guān)安全配置，并按照公司規(guī)定正確使用信息設(shè)備，同時(shí)根據(jù)實(shí)際情況定期對(duì)所屬信息設(shè)備組織自查，發(fā)現(xiàn)問題及時(shí)整改。運(yùn)維檢修部通過(guò)網(wǎng)上和不定期到現(xiàn)場(chǎng)方式進(jìn)行檢查，核查信息設(shè)備軟硬件使用、維護(hù)情況。并依據(jù)有關(guān)規(guī)定對(duì)違反信息設(shè)備使用規(guī)定的部門進(jìn)行考核。

第七十三條 信息設(shè)備報(bào)廢工作由生產(chǎn)技術(shù)可根據(jù)市電力公司的相關(guān)規(guī)定定期進(jìn)行。信息設(shè)備一般正常使用滿5年以上，并且已不能滿足應(yīng)用系統(tǒng)正常使用要求的，或設(shè)備嚴(yán)重?fù)p壞(非人為造成)無(wú)修復(fù)可能的，可以申請(qǐng)報(bào)廢，報(bào)廢設(shè)備上交運(yùn)維檢修部，由運(yùn)維檢修部統(tǒng)一處理，其他任何單位不得擅自處理。對(duì)報(bào)廢或淘汰設(shè)備的可用部分或零配件，運(yùn)維檢修部可根據(jù)需要再利用。對(duì)報(bào)廢設(shè)備的存儲(chǔ)硬件，須送交市公司科信部進(jìn)行消磁處理，嚴(yán)禁隨意外帶。

第七十四條 防火墻、漏洞掃描等信息安全設(shè)備的采購(gòu)和使用必須經(jīng)市公司科技信通部批準(zhǔn)后方可實(shí)施。

第十章 賬號(hào)管理

第七十五條 運(yùn)維檢修部設(shè)域賬號(hào)管理員，對(duì)XX公司范圍內(nèi)的域賬號(hào)及相應(yīng)權(quán)限進(jìn)行統(tǒng)一管理，并負(fù)責(zé)將域賬號(hào)及權(quán)限的變更信息及時(shí)準(zhǔn)確上報(bào)市公司科技信通部。

第七十六條 各部門應(yīng)設(shè)專人對(duì)本部門的域賬號(hào)及相應(yīng)權(quán)限進(jìn)行統(tǒng)一管理，主要負(fù)責(zé)域賬號(hào)申請(qǐng)表的填寫，根據(jù)實(shí)際需要認(rèn)真核實(shí)其申請(qǐng)權(quán)限，負(fù)責(zé)將本部門的域賬號(hào)及權(quán)限的變更信息及時(shí)準(zhǔn)確上報(bào)公司域賬號(hào)管理員，并認(rèn)真做好記錄。

第七十七條 TEPCO域賬號(hào)的開放范圍：有工作需求的企業(yè)內(nèi)部員工可以申請(qǐng)TEPCO域賬號(hào)，對(duì)于非正式員工，原則上不開放TEPCO域賬號(hào)。如確有需要，必須由所在部門指明一名公司正式員工為其責(zé)任人，代其申請(qǐng)，責(zé)任人對(duì)該非正式員工使用域賬號(hào)的所有行為負(fù)有安全監(jiān)督責(zé)任。

第七十八條 域賬號(hào)的申請(qǐng)

1、各部門賬號(hào)管理人員根據(jù)工作需要向公司域賬號(hào)管理員提出申請(qǐng)，填寫域賬號(hào)使用申請(qǐng)表（見附件8）,同時(shí)監(jiān)督申請(qǐng)人簽定安全使用責(zé)任書（見附件9）。

2、各部門賬號(hào)管理人員根據(jù)申請(qǐng)人資料填寫申請(qǐng)表后報(bào)部門領(lǐng)導(dǎo)審批簽字，并上報(bào)運(yùn)維檢修部域賬號(hào)管理員。運(yùn)維檢修部域賬號(hào)管理員對(duì)申請(qǐng)表進(jìn)行審核，并定期按審批流程向市公司科技信通部提出賬號(hào)申請(qǐng)。

第七十九條 員工域賬號(hào)權(quán)限的分配必須嚴(yán)格按照權(quán)限最小化的原則進(jìn)行，即分配僅能滿足工作要求的最小權(quán)限。

第八十條 帳號(hào)和密碼是員工在網(wǎng)絡(luò)信息系統(tǒng)中的唯一身份標(biāo)識(shí)，僅供員工自己使用，不得借用或泄露，禁止越權(quán)操作。

第八十一條 員工域賬號(hào)口令要求每3個(gè)月更換一次，口令長(zhǎng)度不得低于8位，最近6個(gè)口令不可重復(fù)，口令中必須包含字母和數(shù)字。

第八十二條 當(dāng)員工崗位變動(dòng)時(shí)，運(yùn)維檢修部以人事部門人員變動(dòng)通知單為準(zhǔn)，結(jié)合崗位變動(dòng)的實(shí)際情況，調(diào)整或關(guān)閉域賬號(hào)。

第十一章 信息資料管理

第八十三條 信息資料是指在信息網(wǎng)絡(luò)建設(shè)和運(yùn)行過(guò)程中所遵循的標(biāo)準(zhǔn)、制度、規(guī)劃與總結(jié)（含計(jì)劃）、日志、項(xiàng)目管理文檔、設(shè)備臺(tái)帳（卡片）、技術(shù)類文檔和信息系統(tǒng)建設(shè)或系統(tǒng)運(yùn)行過(guò)程中收集的文檔（含硬件和軟件）等，是與系統(tǒng)建設(shè)和系統(tǒng)運(yùn)行緊密關(guān)聯(lián)，記錄系統(tǒng)運(yùn)行參數(shù)、技術(shù)指標(biāo)、安全模式、設(shè)備配置、方案設(shè)計(jì)、項(xiàng)目建設(shè)合同等重要信息的文檔。

第八十四條 運(yùn)維檢修部是信息資料的職能管理部門，信息通信運(yùn)維班及各專業(yè)系統(tǒng)管理部門應(yīng)明確資料管理人員，具體負(fù)責(zé)各種資料的日常管理工作。

第八十五條 資料管理要求包括：

1、做好資料的收集、整理、登記、造冊(cè)、保管、鑒定、利用等工作。設(shè)備技術(shù)資料應(yīng)齊全、正確、統(tǒng)一、清晰。對(duì)于重要及核心設(shè)備，應(yīng)將資料復(fù)制并多種方式、不同地點(diǎn)保存。

2、設(shè)備技術(shù)資料應(yīng)由專人負(fù)責(zé)管理，并負(fù)責(zé)資料安全，強(qiáng)化信息內(nèi)容的安全管理，嚴(yán)防機(jī)密資料外泄。

3、資料管理人員應(yīng)具備檔案管理人員基本素質(zhì)，并掌握一定的專業(yè)技術(shù)知識(shí)和較強(qiáng)的計(jì)算機(jī)應(yīng)用水平，對(duì)所管理的文檔能夠做到分類清楚、歸檔準(zhǔn)確。

4、在進(jìn)行項(xiàng)目建設(shè)時(shí)，由該項(xiàng)目負(fù)責(zé)人或指定專人負(fù)責(zé)收集和整理整個(gè)工程過(guò)程中產(chǎn)生的文檔，進(jìn)行分類，標(biāo)注必要的說(shuō)明，在工程驗(yàn)收后將全部項(xiàng)目文檔資料提交資料管理人員保存。

第八十六條 使用資料時(shí)，任何人不得抽取、涂改、勾抹或污損。

第十二章 備份管理

第八十七條 應(yīng)用系統(tǒng)的備份工作是系統(tǒng)出現(xiàn)故障、甚至崩潰時(shí)的重要恢復(fù)手段，是信息安全工作的重中之重，必須高度重視。

第八十八條 各應(yīng)用系統(tǒng)的備份由各部門專業(yè)系統(tǒng)管理人員制定策略、組織落實(shí)，信息運(yùn)維人員配合實(shí)施。備份文件由專業(yè)系統(tǒng)管理人員負(fù)責(zé)保管。

第八十九條 客戶端計(jì)算機(jī)及網(wǎng)上的辦公文件由文件所有人自行備份。重要文件須至少在不同的設(shè)備上保存兩分。

第九十條 數(shù)據(jù)備份介質(zhì)可選擇硬盤、光盤、磁帶等存儲(chǔ)介質(zhì)，由各部門專業(yè)系統(tǒng)管理人員保存。要確保備份數(shù)據(jù)的可恢復(fù)性。存儲(chǔ)介質(zhì)應(yīng)存放在遠(yuǎn)離磁性、輻射性的安全環(huán)境。

第九十一條 當(dāng)系統(tǒng)或者數(shù)據(jù)確實(shí)無(wú)法搶救時(shí)，需估算可能的損失，將恢復(fù)計(jì)劃和方案報(bào)請(qǐng)本部門領(lǐng)導(dǎo)同意后才能對(duì)系統(tǒng)進(jìn)行恢復(fù)操作，恢復(fù)操作不應(yīng)影響對(duì)故障原因的追查和故障的處理。

第十三章 耗材管理：

第九十二條 運(yùn)維檢修部為計(jì)算機(jī)耗材的管理部門，信息通信運(yùn)維班設(shè)置專人負(fù)責(zé)耗材分發(fā)工作。計(jì)算機(jī)耗材包括：打印機(jī)硒鼓、色帶、墨盒、軟盤、光盤、網(wǎng)線等配件。

第九十三條 各部門設(shè)備責(zé)任人負(fù)責(zé)設(shè)備耗材的需用申請(qǐng)以及領(lǐng)用。耗材領(lǐng)用須保留記錄并由領(lǐng)用人簽字確認(rèn)。可回收性耗材（如硒鼓、墨盒等）實(shí)行輪換制，以舊換新。

第九十四條 耗材發(fā)放人員定期統(tǒng)計(jì)各部門耗材使用情況，提報(bào)運(yùn)維檢修部。運(yùn)維檢修部耗材管理人員根據(jù)信息設(shè)備臺(tái)帳和具體使用情況分析各部門耗材用量，發(fā)現(xiàn)超出預(yù)期的用量將組織調(diào)查。在耗材庫(kù)存不足時(shí)，及時(shí)提報(bào)采購(gòu)計(jì)劃。

第十四章 移動(dòng)存儲(chǔ)介質(zhì)管理

第九十五條 移動(dòng)存儲(chǔ)介質(zhì)的范圍包括：U盤、移動(dòng)硬盤、各種存儲(chǔ)卡（照相機(jī)、攝像機(jī)）、MP3、MP4、智能手機(jī)等帶有存儲(chǔ)功能的產(chǎn)品。

第九十六條 所有連入信息內(nèi)網(wǎng)的計(jì)算機(jī)必須安裝市電力公司統(tǒng)一部署的移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)客戶端程序。

第九十七條 XX供電有限公司范圍內(nèi)可以使用的移動(dòng)存儲(chǔ)設(shè)備只包括市電力公司統(tǒng)一配發(fā)的國(guó)家電網(wǎng)公司專用U盤（簡(jiǎn)稱專用U盤）。其他非專用U盤禁止在XX公司內(nèi)網(wǎng)計(jì)算機(jī)中使用。

第九十八條 運(yùn)維檢修部負(fù)責(zé)XX供電有限公司范圍內(nèi)移動(dòng)存儲(chǔ)設(shè)備的管理，向市公司申請(qǐng)專用U盤等移動(dòng)存儲(chǔ)設(shè)備，履行領(lǐng)用審批、登記備案、監(jiān)督檢查、維護(hù)維修等職責(zé)。

第九十九條 專用U盤的申請(qǐng)

1、原則上每部門最多只能申請(qǐng)一個(gè)專用U盤。

2、任何部門不得擅自購(gòu)買、發(fā)放移動(dòng)存儲(chǔ)設(shè)備，如確有工作需要，可向運(yùn)維檢修部提出申請(qǐng)，填寫專用U盤使用申請(qǐng)表（見附件10）。

3、申請(qǐng)人填寫申請(qǐng)表后報(bào)部門領(lǐng)導(dǎo)審批簽字，注明申請(qǐng)?jiān)颍付ㄘ?zé)任人，明確其責(zé)任，待責(zé)任人簽字認(rèn)可后，上報(bào)運(yùn)維檢修部。

4、運(yùn)維檢修部對(duì)申請(qǐng)表進(jìn)行審核，并交公司主管領(lǐng)導(dǎo)審批簽字后，定期向天津市電力公司科技信通部提出申請(qǐng)。

5、專用U盤由各部門專用U盤負(fù)責(zé)人負(fù)責(zé)領(lǐng)取，領(lǐng)取時(shí)要在專用U盤領(lǐng)取、變更記錄表（見附件11）中簽字。

第一百條 專用U盤的使用

1、專用U盤第一次使用需對(duì)其默認(rèn)密碼進(jìn)行修改。

2、用戶在使用國(guó)網(wǎng)公司專用U盤前，需要經(jīng)過(guò)趨勢(shì)防病毒墻的掃描殺毒，掃描正常后方可使用。

3、使用專用U盤時(shí)要遵守津電科信［2008］13號(hào)“關(guān)于印發(fā)《天津市電力公司電子商密信息保密管理規(guī)定（試行）》的通知”中對(duì)于商密信息的要求。

4、嚴(yán)禁雙擊進(jìn)入移動(dòng)存儲(chǔ)設(shè)備，應(yīng)先在盤符上單擊右鍵，選擇菜單項(xiàng)中的打開命令進(jìn)入。

5、文件復(fù)制完成應(yīng)將移動(dòng)存儲(chǔ)設(shè)備與計(jì)算機(jī)分離；

6、專用U盤分為保密區(qū)和交換區(qū)，涉及到公司電子商密的信息在離開信息內(nèi)網(wǎng)或商密計(jì)算機(jī)進(jìn)行信息交換時(shí)，必須將電子商密信息存放在保密區(qū)。

7、使用者對(duì)專用U盤的密碼要嚴(yán)格保密，不得告知他人；專用U盤不得進(jìn)行私用。

第一百零一條 專用U盤的維修

專用U盤的維修需由各部門專用U盤負(fù)責(zé)人將U盤交送到運(yùn)維檢修部。如專用U盤無(wú)維修價(jià)值，由運(yùn)維檢修部信息管理人員將損壞專用U盤送市公司科信部申請(qǐng)更換，并將相關(guān)信息填入U(xiǎn)盤領(lǐng)取、變更記錄表中，由該U盤負(fù)責(zé)人簽字。

第一百零二條 專用U盤的銷毀需由信息管理人員將相關(guān)信息填入專用U盤領(lǐng)取、變更記錄表中，并注明銷毀原因。

第一百零三條 非國(guó)家電網(wǎng)公司專用U盤（簡(jiǎn)稱非專用U盤）的使用

1、非專用U盤原則上不得連入XX公司信息內(nèi)網(wǎng)的計(jì)算機(jī)中使用。

2、如確因工作需要使用非專用U盤，需填寫《非國(guó)家電網(wǎng)公司專用U盤使用記錄》（見附件12），注明使用原因、使用人，并經(jīng)部門負(fù)責(zé)人確認(rèn)簽字。部門負(fù)責(zé)人應(yīng)審核所拷貝內(nèi)容，如涉及公司商密文件，應(yīng)不予批準(zhǔn)。使用記錄應(yīng)報(bào)運(yùn)維檢修部備案。

3、應(yīng)在脫網(wǎng)機(jī)器中對(duì)U盤進(jìn)行殺毒，確認(rèn)無(wú)病毒后，將文件拷入專用U盤，進(jìn)行相應(yīng)工作。

第一百零四條 任何用戶不得卸載移動(dòng)存儲(chǔ)介質(zhì)客戶端軟件，一經(jīng)發(fā)現(xiàn)收回統(tǒng)一配置的移動(dòng)存儲(chǔ)設(shè)備，并禁止申請(qǐng)使用專用U盤；

第一百零五條 因使用移動(dòng)存儲(chǔ)設(shè)備未進(jìn)行病毒木馬查殺造成內(nèi)網(wǎng)、外網(wǎng)計(jì)算機(jī)感染病毒，造成系統(tǒng)損壞或數(shù)據(jù)丟失的，一經(jīng)查實(shí)收回統(tǒng)一配置的移動(dòng)存儲(chǔ)設(shè)備，并禁止申請(qǐng)使用專用U盤；

第一百零六條 在使用過(guò)程中造成公司涉密信息泄漏的按照《天津市電力公司電子商密信息保密管理規(guī)定（試行）》相關(guān)條款執(zhí)行。

第一百零七條 任何部門或個(gè)人未經(jīng)審批擅自購(gòu)買、發(fā)放移動(dòng)存儲(chǔ)設(shè)備，一經(jīng)查實(shí)收回自行購(gòu)置的移動(dòng)存儲(chǔ)設(shè)備。

第一百零八條 不得復(fù)制、傳播任何與工作無(wú)關(guān)的軟件、游戲、文件至內(nèi)網(wǎng)機(jī)器。

第十五章 補(bǔ)丁管理

第一百零九條 所有信息內(nèi)網(wǎng)和信息外網(wǎng)的終端及服務(wù)器都要及時(shí)進(jìn)行補(bǔ)丁升級(jí)。

第一百一十條 終端補(bǔ)丁升級(jí)

1、信息內(nèi)網(wǎng)終端必須加入TEPCO域，在每次開機(jī)時(shí)必須以管理員身份登陸TEPCO域，執(zhí)行TEPCO域安全策略，以便及時(shí)下載系統(tǒng)補(bǔ)丁。終端使用者在發(fā)現(xiàn)有新的系統(tǒng)補(bǔ)丁時(shí)，應(yīng)及時(shí)點(diǎn)擊安裝。

2、信息外網(wǎng)終端必須安裝公司統(tǒng)一的金山防病毒軟件，定期執(zhí)行漏洞檢測(cè)，并在發(fā)現(xiàn)漏洞時(shí)及時(shí)打補(bǔ)丁。

第一百一十一條 服務(wù)器補(bǔ)丁升級(jí)

1、對(duì)服務(wù)器中數(shù)據(jù)庫(kù)、WEB軟件以及其它系統(tǒng)應(yīng)用軟件應(yīng)及時(shí)進(jìn)行補(bǔ)丁升級(jí)。

2、對(duì)服務(wù)器所有項(xiàng)目進(jìn)行補(bǔ)丁升級(jí)時(shí)，要仔細(xì)閱讀升級(jí)文檔，分析確定升級(jí)補(bǔ)丁對(duì)現(xiàn)有的操作系統(tǒng)及應(yīng)用的影響，確保在補(bǔ)丁升級(jí)后服務(wù)器軟硬件能夠正常運(yùn)行。

3、應(yīng)用軟件補(bǔ)丁升級(jí)，對(duì)天津市電力公司統(tǒng)一運(yùn)維的應(yīng)用系統(tǒng)，由天津市電力公司統(tǒng)一執(zhí)行，對(duì)自行開發(fā)的應(yīng)用軟件系統(tǒng),由專業(yè)系統(tǒng)管理人員主動(dòng)與開發(fā)商聯(lián)系對(duì)有危害系統(tǒng)安全的補(bǔ)丁及時(shí)升級(jí)。

4、升級(jí)補(bǔ)丁之前，做好系統(tǒng)、數(shù)據(jù)備份，以免升級(jí)失敗后及時(shí)恢復(fù)。

第十六章 漏洞管理

第一百一十二條 對(duì)接入信息網(wǎng)絡(luò)運(yùn)行的應(yīng)用系統(tǒng)，在系統(tǒng)投入運(yùn)行前，檢查應(yīng)用系統(tǒng)自身是否存在安全漏洞和隱患，確認(rèn)沒有漏洞后方可正式上線運(yùn)行。

第一百一十三條 系統(tǒng)上線前要嚴(yán)格按天津市電力公司《信息系統(tǒng)安全配置基本規(guī)范》要求做好配置和系統(tǒng)加固。

第一百一十四條 應(yīng)使用天津市電力公司統(tǒng)一指定的的相關(guān)工具進(jìn)行安全檢查，定期或不定期對(duì)網(wǎng)絡(luò)與服務(wù)器主機(jī)進(jìn)行安全掃描和檢測(cè)，對(duì)掃描結(jié)果及時(shí)進(jìn)行分析，采取相應(yīng)補(bǔ)救措施。

第一百一十五條 應(yīng)及時(shí)對(duì)所采集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等特征信息進(jìn)行分析。如遇異常網(wǎng)絡(luò)行為活動(dòng)，應(yīng)及時(shí)阻斷事件點(diǎn)，查明原因及時(shí)消除，確認(rèn)無(wú)安全隱患后再接入系統(tǒng)。

第十七章 日志審計(jì)

第一百一十六條 日志是對(duì)用戶行為和系統(tǒng)行為進(jìn)行記錄的形式，日志審計(jì)是保障應(yīng)用系統(tǒng)信息安全的重要手段。

第一百一十七條 在信息設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)上線運(yùn)行前，應(yīng)按市電力公司《信息系統(tǒng)安全配置基本規(guī)范》中的各項(xiàng)規(guī)定開啟相應(yīng)的日志審計(jì)功能。

第一百一十八條 應(yīng)制定恰當(dāng)?shù)娜罩静呗?，確定記錄日志的設(shè)備或系統(tǒng)范圍、記錄日志的事件類別、記錄日志的最大時(shí)間范圍、日志備份策略、審計(jì)日志的處理方式等。

第一百一十九條 日志記錄應(yīng)包括事件發(fā)生的時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等內(nèi)容。

第一百二十條 信息通信運(yùn)維班應(yīng)對(duì)主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)和中間件等的日志定期進(jìn)行安全審計(jì)。分析運(yùn)行日志時(shí)，若發(fā)現(xiàn)正在、可能或已經(jīng)危害到系統(tǒng)安全運(yùn)行的行為時(shí)，應(yīng)及時(shí)處理。

第十八章 外包管理

第一百二十一條 XX公司堅(jiān)決貫徹信息運(yùn)維主業(yè)化原則，原則上涉及信息系統(tǒng)核心業(yè)務(wù)的運(yùn)維，包括桌面終端的運(yùn)維不允許服務(wù)外包。

第一百二十二條 對(duì)于自行維護(hù)、實(shí)施有困難，確需進(jìn)行信息服務(wù)業(yè)務(wù)外包的非核心信息服務(wù)業(yè)務(wù)，填寫XX公司非核心信息服務(wù)業(yè)務(wù)外包申請(qǐng)審批表（見附件13），報(bào)XX公司運(yùn)維檢修部，由運(yùn)維檢修部匯總后報(bào)主管領(lǐng)導(dǎo)審批，并報(bào)上級(jí)主管部門審批備案后方可實(shí)施。

第一百二十三條 對(duì)于通過(guò)審批后實(shí)施外包的業(yè)務(wù)，承包商由XX公司按照國(guó)家、行業(yè)有關(guān)法律法規(guī)要求進(jìn)行資質(zhì)審查，綜合考慮其安全管理、專業(yè)技術(shù)水平等因素，按規(guī)定的程序擇優(yōu)確定。第一百二十四條 必須與外包服務(wù)承包商簽定相關(guān)外包服務(wù)協(xié)議，協(xié)議必須嚴(yán)格限定外包服務(wù)承包商的工作范圍，明確承包商可以接觸的設(shè)備、系統(tǒng)及可以進(jìn)行的操作，明確指定專門的管理部門、專門的人員對(duì)承包商進(jìn)行的服務(wù)行為進(jìn)行有效監(jiān)管。

第一百二十五條 提供外包服務(wù)的承包商及其工作人員，必需簽署《安全保密責(zé)任書》（見附件14）和《保密補(bǔ)充條款》（見附件15）。必須按照XX公司相關(guān)保密規(guī)定和要求，在XX公司有關(guān)人員的監(jiān)督下進(jìn)行信息業(yè)務(wù)服務(wù)，不得擅自復(fù)制、轉(zhuǎn)讓或者轉(zhuǎn)借XX公司相關(guān)基礎(chǔ)數(shù)據(jù)。

第一百二十六條 應(yīng)對(duì)承包商工作及調(diào)試人員進(jìn)行安全教育，并指定專門的人員，記錄承包商服務(wù)行為的開始時(shí)間、具體的工作人員、操作的設(shè)備、涉及的系統(tǒng)、操作結(jié)束時(shí)間、操作的結(jié)果，并負(fù)責(zé)在操作之后審核確認(rèn)操作結(jié)果，對(duì)承包商的服務(wù)行為進(jìn)行全程監(jiān)管和記錄（見附件16）。

第一百二十七條 XX公司禁止使用遠(yuǎn)程方式操作、調(diào)試系統(tǒng)，所有操作必須在有效監(jiān)管下本地進(jìn)行，原則上禁止承包商自帶的終端設(shè)備接入XX公司內(nèi)網(wǎng)，承包商如果需要接入XX公司內(nèi)網(wǎng)進(jìn)行測(cè)試、調(diào)試，終端設(shè)備由XX公司提供。

第一百二十八條 信息服務(wù)承包商服務(wù)期滿后，由XX公司信息管理部門及該項(xiàng)信息服務(wù)管理部門對(duì)承包商整體服務(wù)行為進(jìn)行信息安全評(píng)定和審核（見附件17）。

第十九章 人員管理

第一百二十九條 新員工在上崗前應(yīng)進(jìn)行信息安全教育，由公司保密辦組織簽訂《天津市電力公司員工保密承諾書》（見附件18），考試合格后方可上崗進(jìn)行工作。

第一百三十條 重點(diǎn)敏感崗位人員管理

1、重點(diǎn)敏感崗位包括：網(wǎng)絡(luò)管理、應(yīng)用管理、主機(jī)管理、安全管理。

2、重點(diǎn)敏感崗位的工作直接影響著網(wǎng)絡(luò)及信息系統(tǒng)的安全，必須加強(qiáng)管理。

3、信息管理和運(yùn)維部門要對(duì)以上崗位人員加強(qiáng)內(nèi)控、教育，提高敏感崗位人員信息安全保密意識(shí)。

4、重點(diǎn)敏感崗位人員離崗時(shí)，填寫《信息重點(diǎn)敏感崗位人員離崗移交紀(jì)錄》（見附件19），經(jīng)信息管理部門審核確認(rèn)后，完成移交工作。運(yùn)維部門及時(shí)核對(duì)并修改相關(guān)人員權(quán)限和設(shè)備安全配置相關(guān)內(nèi)容。

第一百三十一條 外來(lái)人員為XX公司提供信息業(yè)務(wù)服務(wù)時(shí)，必須遵守相關(guān)保密規(guī)定和要求,簽署《安全保密責(zé)任書》（見附件14）和《保密補(bǔ)充條款》（見附件15）。XX公司指定專門的人員，對(duì)外來(lái)人員的行為進(jìn)行全程監(jiān)管和記錄（見附件16）。

第一百三十二條 制度作廢。

第一百三十三條

第二十章 附則

本規(guī)定自發(fā)布之日起試行。以前頒布的相關(guān)本規(guī)定由XX有限公司運(yùn)維檢修部負(fù)責(zé)解釋。