【正文】 十九條 設(shè)備、系統(tǒng)變更前對于原有的數(shù)據(jù)，應(yīng)該采取備份、異地轉(zhuǎn)移存儲等安全措施。 第六章 網(wǎng)絡(luò)管理 第二十三條 管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)（以下簡稱內(nèi)網(wǎng)）和信息外網(wǎng)（以下簡稱外網(wǎng)），實現(xiàn)“雙機雙網(wǎng)”。 第二十七條 XX公司內(nèi)外網(wǎng)計算機終端、打印機、網(wǎng)絡(luò)設(shè)備的 IP地址和配置信息由 運維檢修部 統(tǒng)一分配和管理，任何人不得擅自使用他人的地址和未分配的地址，不得擅自安裝任何網(wǎng)絡(luò)設(shè)備，不得擅自更改網(wǎng)絡(luò)設(shè)備的配置信息。 第三十一條 公司提供公共上網(wǎng)計算機，公共上網(wǎng)計算機的維護及使用管理由 信息通信運維班 負(fù)責(zé)。 第三十三條 接入內(nèi)網(wǎng)必須填寫內(nèi)網(wǎng)接入申 請表（見 附件 3），經(jīng)XX 公司主管領(lǐng)導(dǎo)批準(zhǔn)后報 科技信通部 審批，審批通過后按照批準(zhǔn)的地址進行 IP/MAC 綁定并接入 內(nèi) 網(wǎng)，信息部門負(fù)責(zé)做好相應(yīng)的登記備案工作，更新信息內(nèi)網(wǎng)設(shè)備臺帳。 第三十七條 市公司 科技信通部 會定期對計算機進行安全檢查，對存在安全隱患的計算機進行封網(wǎng)處理。 第三十九條 運維檢修部 負(fù)責(zé)建立詳細(xì)的安全事件應(yīng)急處理制度，制定并及時修訂信息網(wǎng)絡(luò) 安全應(yīng)急預(yù)案，定期演練，確保應(yīng)急體系的完備性和可用性，做好應(yīng)對突發(fā)信息安全事件的準(zhǔn)備。 第四十二條 對接入信息網(wǎng)絡(luò)運行的 應(yīng)用系統(tǒng)，在系統(tǒng)投入運行前，應(yīng)對系統(tǒng)運行的穩(wěn)定性、安全性進行嚴(yán)格測試，并使用漏洞掃描工具進行安全檢查，確認(rèn)沒有系統(tǒng)漏洞后，經(jīng) 運維檢修部 批準(zhǔn)后方可正式上線運行。 第四十五條 對投入運行的應(yīng)用系統(tǒng)，各專業(yè)主管部門應(yīng)建立運行臺帳，明確系統(tǒng)管理人員，做好運行日志。 第四十八條 進行應(yīng)用系統(tǒng)的配置參數(shù)調(diào)整、系統(tǒng)軟件重裝、網(wǎng)絡(luò)環(huán)境調(diào)整等系統(tǒng)變更都應(yīng)嚴(yán)格遵照相應(yīng)的變更管理流程。接到故障申告后，由專業(yè)系統(tǒng)管理人員或信息運維人員負(fù)責(zé)對問題進行詳細(xì)的記錄，對簡單故障可先處理后匯報，對較大故障要立即通知本部門負(fù)責(zé)人和信息管理部門。重大事件處理時，應(yīng)有安全管理人員在場，故障原因、操作內(nèi)容和操作前后的情況必須詳細(xì)記錄并存檔。 第八章 機房管理 第五十六條 XX公司信息機房按照國網(wǎng)公司 C 類機房管理標(biāo)準(zhǔn)進行管理，部署 不間斷電源系統(tǒng)（ UPS）及防水、防雷、防火和恒溫恒濕設(shè)施。 第五十九條 信息通信運維班 負(fù)責(zé)做好機房內(nèi)設(shè)備的運維，每半年對 UPS 進行 1 次充放電，并做好記錄。機房內(nèi)必須配備專用氣體滅火器，運行維護人員必須學(xué)會使用滅火器，一旦發(fā)現(xiàn)火情，立即投入滅火，并迅速報警。 第六十四條 工作人員離開工作區(qū)域前，應(yīng)保證工作區(qū)域內(nèi)保存的重要文件、資料、設(shè)備、數(shù)據(jù)處 于安全保護狀態(tài)。 運維檢修部 應(yīng)根據(jù)應(yīng)用系統(tǒng)對設(shè)備的要求，兼顧各部門崗位職能的需要，制定信息設(shè)備配置標(biāo)準(zhǔn)；在年末制定下一年度設(shè)備大修、設(shè)備升級改造、重要設(shè)備備品備件、設(shè)備維護等資金計劃，上報主管領(lǐng)導(dǎo)及相關(guān)部門批準(zhǔn)，列入下一年度信息系統(tǒng)專項資金計劃。 第六十九條 新的信息設(shè)備投入使用前，需經(jīng) 信息通信運維班 按照市電力公司相關(guān)規(guī)定進行安全加固；信息設(shè)備的使用部門應(yīng)辦理財務(wù)固定資產(chǎn)登記，并上報 運維檢修部 備案。各部應(yīng)指定專人協(xié)助 運維檢修部 做好所屬范圍內(nèi)信息設(shè)備臺帳管理，若有設(shè)備變動要及時上報 運維檢修部 。信息設(shè)備隨機資料、軟件等應(yīng)由設(shè)備負(fù)責(zé)人保存。 第七十二條 信息設(shè)備運維管理 嚴(yán)禁任何人私自拆卸信息設(shè)備硬件，私自更改計算機配置、網(wǎng)絡(luò) IP 地址，安裝未經(jīng)批準(zhǔn)的三方軟件。如果涉及到更換零件、安裝系統(tǒng)等非一般性故障，無法自行處理的，應(yīng)及時向運維部門進行故障申告，信息運維人員應(yīng)記錄故障設(shè)備信息及故障處理情況，并在處理完畢后交由故障申告人簽字確認(rèn)。 運維檢修部 應(yīng)視具體情況提出必要的儀器、儀表、工具和備品備件采購申請。 第七十三條 信息設(shè)備報廢工作由生產(chǎn)技術(shù)可根據(jù)市電力公司的相關(guān)規(guī)定定期進行。 第七十四條 防火墻、漏洞掃描等信息安全設(shè)備的采購和使用必須經(jīng)市公司 科技信通部 批準(zhǔn)后方可實施。如確有需要，必須由所在部門指明一名公司正式員工為其責(zé)任人，代其申請，責(zé)任人對該非正式員工使用域賬號的所有行為負(fù)有安全監(jiān)督責(zé)任。 第七十九條 員工域賬號權(quán)限的分配必須嚴(yán)格按照權(quán)限最小化的原則進行，即分配僅能滿足工作要求的最小權(quán)限。 第十一章 信息資料管 理 第八十三條 信息資料是指在信息網(wǎng)絡(luò)建設(shè)和運行過程中所遵循的標(biāo)準(zhǔn)、制度、規(guī)劃與總結(jié)（含計劃）、日志、項目管理文檔、設(shè)備臺帳（卡片）、技術(shù)類文檔和信息系統(tǒng)建設(shè)或系統(tǒng)運行過程中收集的文檔（含硬件和軟件）等，是與系統(tǒng)建設(shè)和系統(tǒng)運行緊密關(guān)聯(lián)，記錄系統(tǒng)運行參數(shù)、技術(shù)指標(biāo)、安全模式、設(shè)備配置、方案設(shè)計、項目建設(shè)合同等重要信息的文檔。對于重要及核心設(shè)備，應(yīng)將資料復(fù)制并多種方式、不同地點保存。 第八十六條 使用資料時，任何人不得抽取 、涂改、勾抹或污損。 第八十九條 客戶端計算機及網(wǎng)上的辦公文件由文件所有人自行備份。存儲介質(zhì)應(yīng)存放在遠離磁性、輻射性的安全環(huán)境。 第九十三條 各部門設(shè)備責(zé)任人負(fù)責(zé)設(shè)備耗材的需用申請以及領(lǐng)用。 運維檢修部 耗材管理人員根據(jù)信 息設(shè)備臺帳和具體使用情況分析各部門耗材用量，發(fā)現(xiàn)超出預(yù)期的用量將組織調(diào)查。 第九十七條 XX供電有限公司范圍內(nèi)可以使用的移動存儲設(shè)備只包括市電力公司統(tǒng)一配發(fā)的國家電網(wǎng)公司專用 U 盤（簡稱專用 U 盤）。 任何部門不得擅自購買、發(fā)放移動存儲設(shè)備，如確有工作需要，可向 運維檢修部 提出申請，填寫專用 U 盤使用申請表（見 附件10）。 第一百條 專用 U 盤的使用 專用 U 盤第一次使用需對其默認(rèn)密碼進行修改。 文件復(fù)制完成應(yīng)將移動存儲設(shè)備與計算機分離； 專用 U 盤分為 保密區(qū)和交換區(qū)，涉及到公司電子商密的信息在離開信息內(nèi)網(wǎng)或商密計算機進行信息交換時，必須將電子商密信息存放在保密區(qū)。 第一百〇二條 專用 U 盤的銷毀需由信息管理人員將相關(guān)信息填入專用 U 盤領(lǐng)取、變更記錄表中，并注明銷毀原因。使用記錄應(yīng)報 運維檢修部 備案。 第一百〇八條 不得復(fù)制、傳播任何與工作無關(guān)的軟件、游戲、文件至內(nèi)網(wǎng)機器。 信息外網(wǎng)終端必須安裝公司統(tǒng)一的金山防病毒軟件，定期執(zhí)行漏洞檢測，并在發(fā)現(xiàn)漏洞時及時打補丁。 升級補丁之前，做好系統(tǒng)、數(shù)據(jù)備份，以免升級失敗后及時恢復(fù)。 第一百一十五條 應(yīng)及時對所采集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等特征信息進行分析。 第一百一十八條 應(yīng)制定恰當(dāng)?shù)娜罩静呗?，確定記錄日志的設(shè)備或系統(tǒng)范圍、記錄日志的事件類別、記錄日志的最大時間 范圍、日志備份策略、審計日志的處理方式等。 第十八章 外包管理 第一百二十一條 XX公司堅決貫徹信息運維主業(yè)化原則，原則上涉及信息系統(tǒng)核心業(yè)務(wù)的運維，包括桌面終端的運維不允許服務(wù)外包。 第一百二十五條 提供外包服 務(wù)的承包商及其工作人員，必需簽署《安全保密責(zé)任書》（見 附件 14）和《保密補充條款》（見 附件15）。 第一百二十八條 信息服務(wù)承包商服務(wù)期滿后，由 XX公司信息管理部門及該項信息服務(wù)管理部門對承包商整體服務(wù)行為進行信息安全評定和審核（見 附件 17）。 信息管理和運維部門要對以上崗位人員加強內(nèi)控、教育，提高敏感崗位人員信息安全保密意識。 XX 公司指定專門的人員，對外來人員的行為進行全程監(jiān)管 和記錄（見 附件 16）。