【正文】 資質(zhì)的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；對(duì)測(cè)試不符合要求的，在整改后要重新測(cè)試。系統(tǒng)試運(yùn)行前，要開(kāi)展相關(guān)安全培訓(xùn)。第二十條 加強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)全過(guò)程管理：（一）嚴(yán)格執(zhí)行信息機(jī)房管理有關(guān)規(guī)范，確保機(jī)房運(yùn)行環(huán)境符合要求，嚴(yán)格機(jī)房出入管理。要編制信息系統(tǒng)資產(chǎn)清單，建立資產(chǎn)管理制度，根據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)。（二）對(duì)信息系統(tǒng)軟硬件設(shè)備選型、采購(gòu)、使用等實(shí)行規(guī)范化管理，建立相應(yīng)操作規(guī)程，對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備實(shí)行標(biāo)準(zhǔn)化作業(yè)。強(qiáng)化存儲(chǔ)介質(zhì)存放、使用、維護(hù)和銷(xiāo)毀等各項(xiàng)措施。（三）按照最小服務(wù)配置和最小授權(quán)原則，對(duì)安全策略、安全配置、日志和操作等方面做出具體規(guī)定，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)；詳細(xì)記錄日常操作、運(yùn)行維護(hù)記錄、參數(shù)設(shè)置和修改等內(nèi)容，嚴(yán)禁任何未經(jīng)授權(quán)的操作；定期開(kāi)展運(yùn)行日志和審計(jì)數(shù)據(jù)分析工作，及時(shí)發(fā)現(xiàn)異常行為。及時(shí)根據(jù)需要進(jìn)行軟件升級(jí)更新，并在更新前做好備份；定期進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)；及時(shí)安裝補(bǔ)丁程序，在安裝補(bǔ)丁前做好測(cè)試和備份工作。（四）及時(shí)升級(jí)防病毒軟件，加強(qiáng)全員防病毒、木馬的意識(shí)，不打開(kāi)、閱讀來(lái)歷不明的郵件；要指定專(zhuān)人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并做好記錄，定期開(kāi)展分析；加強(qiáng)防惡意代碼軟件授權(quán)使用、惡意代碼庫(kù)升級(jí)等管理。（五）嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪(fǎng)問(wèn)和系統(tǒng)接入申報(bào)和審批程序，建立健全變更管理制度。保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)，進(jìn)行必要的安全隔離，配置嚴(yán)格的訪(fǎng)問(wèn)控制策略，開(kāi)展必要的安全評(píng)估。（六）建立和執(zhí)行密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。（七）對(duì)信息網(wǎng)絡(luò)與系統(tǒng)運(yùn)行狀況等進(jìn)行監(jiān)測(cè)和報(bào)警；定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析，根據(jù)需要采取必要的應(yīng)對(duì)措施；應(yīng)建立安全管理中心，對(duì)安全設(shè)備、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全設(shè)施進(jìn)行集中管理。（八）嚴(yán)格按照有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定，及時(shí)報(bào)告信息系統(tǒng)事故情況，認(rèn)真開(kāi)展信息系統(tǒng)事故原因分析，堅(jiān)持“四不放過(guò)”原則，有效落實(shí)整改，確保類(lèi)似事故不再發(fā)生。嚴(yán)格執(zhí)行有關(guān)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度，做好定期、節(jié)假日和特殊時(shí)期的網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況報(bào)送工作。第二十一條 嚴(yán)格執(zhí)行公司有關(guān)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估管理規(guī)定，切實(shí)將信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作常態(tài)化和制度化，及時(shí)落實(shí)整改，及時(shí)消除信息系統(tǒng)安全隱患。根據(jù)國(guó)家和公司要求，定期開(kāi)展信息系統(tǒng)安全檢查工作，做好特殊時(shí)期安全檢查和安全保障工作。第二十二條 不斷完善應(yīng)急預(yù)案，加強(qiáng)培訓(xùn)和演練，確保人力、設(shè)備等應(yīng)急保障資源可用。第二十三條 建立備份與恢復(fù)管理相關(guān)安全管理制度，嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過(guò)程，妥善保存?zhèn)浞萦涗洠ㄆ趫?zhí)行恢復(fù)程序。要切實(shí)根據(jù)需要開(kāi)展業(yè)務(wù)應(yīng)用容災(zāi)系統(tǒng)建設(shè)。第二十四條 切實(shí)加強(qiáng)網(wǎng)絡(luò)信任體系建設(shè)規(guī)劃工作，不斷完善公司安全認(rèn)證系統(tǒng)相關(guān)技術(shù)標(biāo)準(zhǔn)和功能規(guī)范。強(qiáng)化信任體系應(yīng)用工作，做好信息系統(tǒng)統(tǒng)一身份認(rèn)證，以及重要信息的加密和簽名工作。第二十五條 切實(shí)加強(qiáng)員工信息系統(tǒng)安全培訓(xùn)，提高全員信息系統(tǒng)安全意識(shí)；強(qiáng)化信息系統(tǒng)安全人員專(zhuān)業(yè)技能培訓(xùn)，做到培訓(xùn)工作有計(jì)劃、有總結(jié)，培訓(xùn)效果有評(píng)價(jià)。要對(duì)關(guān)鍵崗位人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核，對(duì)在信息系統(tǒng)安全工作中做出顯著成績(jī)的單位和人員應(yīng)給予獎(jiǎng)勵(lì)和表彰。對(duì)違反國(guó)家法律、法規(guī)和公司有關(guān)規(guī)定，造成一定不良影響和后果的，要追究其責(zé)任。第四章 技術(shù)措施第二十六條 根據(jù)國(guó)家和公司有關(guān)規(guī)定，對(duì)機(jī)房建筑設(shè)置符合要求的避雷裝置、滅火和火災(zāi)自動(dòng)報(bào)警系統(tǒng)；采取防雨水措施，防止雨水、水蒸氣結(jié)露和地下積水；設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，控制機(jī)房溫、濕度在設(shè)備運(yùn)行所允許范圍之內(nèi)，保證雙路供電,電源線(xiàn)和通信電纜應(yīng)隔離，避免互相干擾；采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。第二十七條 加強(qiáng)網(wǎng)絡(luò)安全技術(shù)工作：（一）網(wǎng)絡(luò)核心交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備要冗余配置，合理分配網(wǎng)絡(luò)帶寬；建立業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪(fǎng)問(wèn)控制；根據(jù)需要?jiǎng)澐植煌泳W(wǎng)；對(duì)重要網(wǎng)段采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施。（二）采用防火墻或入侵防護(hù)設(shè)備（IPS）對(duì)內(nèi)網(wǎng)邊界實(shí)施訪(fǎng)問(wèn)審查和控制；對(duì)進(jìn)出網(wǎng)絡(luò)信息內(nèi)容實(shí)施過(guò)濾，對(duì)應(yīng)用層常用協(xié)議命令進(jìn)行控制，網(wǎng)關(guān)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。嚴(yán)格撥號(hào)訪(fǎng)問(wèn)控制措施。（三）加強(qiáng)內(nèi)部用戶(hù)私自訪(fǎng)問(wèn)外部網(wǎng)絡(luò)行為的檢測(cè)工作，要能夠及時(shí)發(fā)現(xiàn)，準(zhǔn)確定位，有效阻斷；對(duì)重要網(wǎng)段，應(yīng)采用入侵檢測(cè)系統(tǒng)進(jìn)行監(jiān)控，對(duì)入侵事件及時(shí)提供報(bào)警。第二十八條 加強(qiáng)系統(tǒng)安全技術(shù)工作：（一）對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，具有登錄失敗處理，限制非法登錄次數(shù)，設(shè)置連接超時(shí)功能；用戶(hù)訪(fǎng)問(wèn)不得采用空賬號(hào)和空口令，口令要足夠強(qiáng)健，長(zhǎng)度不得少于8位。（二）嚴(yán)格限制匿名用戶(hù)的訪(fǎng)問(wèn)權(quán)限；實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)訪(fǎng)問(wèn)權(quán)限分離，對(duì)訪(fǎng)問(wèn)權(quán)限一致的用戶(hù)進(jìn)行分組，訪(fǎng)問(wèn)控制力度應(yīng)達(dá)到主體為用戶(hù)級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。（三）控制單個(gè)用戶(hù)的多重并發(fā)會(huì)話(huà)和最大并發(fā)連接數(shù)，限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源、磁盤(pán)空間的最大或最小使用限度，當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測(cè)并報(bào)警。第二十九條 嚴(yán)格網(wǎng)絡(luò)、系統(tǒng)安全審計(jì)工作，安全審計(jì)系統(tǒng)應(yīng)定期生成審計(jì)報(bào)表，自動(dòng)進(jìn)行備份，審計(jì)記錄應(yīng)受到保護(hù)，避免刪除、修改或破壞。第三十條 重要和敏感信息實(shí)行加密傳輸和存儲(chǔ)；對(duì)重要信息實(shí)行自動(dòng)、定期備份；對(duì)門(mén)戶(hù)網(wǎng)站頁(yè)面，要具有防篡改機(jī)制和措施。第三十一條 嚴(yán)格用戶(hù)帳號(hào)及口令管理，使用強(qiáng)健復(fù)雜口令，定期更換口令，杜絕使用空口令；定期開(kāi)展用戶(hù)終端計(jì)算機(jī)數(shù)據(jù)備份工作，及時(shí)安裝系統(tǒng)補(bǔ)丁程序，及時(shí)更新殺病毒程序，加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理。第五章 附則第三十二條 本辦法由國(guó)家電網(wǎng)公司信息化工作部負(fù)責(zé)解釋并督促執(zhí)行。第三十三條 各單位可根據(jù)本辦法制定實(shí)施細(xì)則，報(bào)國(guó)家電網(wǎng)公司備案。第三十四條 本辦法自印發(fā)之日起執(zhí)行。第二篇：公司信息系統(tǒng)安全管理辦法文章標(biāo)題：公司信息系統(tǒng)安全管理辦法[找文章到☆好范文 ()一站在手，寫(xiě)作無(wú)憂(yōu)!]第一章總則第一條為了保護(hù)有限公司計(jì)算機(jī)信息系統(tǒng)安全，規(guī)范信息系統(tǒng)管理,合理利用系統(tǒng)資源，推進(jìn)公司信息化建設(shè)，促進(jìn)計(jì)算機(jī)的應(yīng)用和發(fā)展，保障公司信息系統(tǒng)的正常運(yùn)行，充分發(fā)揮信息系統(tǒng)在企業(yè)管理中的作用，更好地為公司生產(chǎn)經(jīng)營(yíng)服務(wù)。根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》及有關(guān)法律、法規(guī)，結(jié)合公司實(shí)際情況，制定本規(guī)定。第二條本制度所稱(chēng)的信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。第三條信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，保障應(yīng)