【正文】 第六章 人員管理要求第二十條 加強(qiáng)對辦公計(jì)算機(jī)使用人員的管理，開展經(jīng)常性的信息安全教育培訓(xùn)，提高辦公計(jì)算機(jī)使用人員的信息安全意識與技能。第七條 辦公計(jì)算機(jī)使用人員為辦公計(jì)算機(jī)的第一安全責(zé)任人，未經(jīng)本單位運(yùn)行維護(hù)人員同意并授權(quán)，不允許私自卸載公司安裝的安全防護(hù)與管理軟件，確保本人辦公計(jì)算機(jī)的信息安全和內(nèi)容安全。，每年至少進(jìn)行一次應(yīng)急預(yù)案演練。用戶權(quán)限的分配、變更應(yīng)及時(shí)進(jìn)行記錄。系統(tǒng)所管理、控制和處理的信息資產(chǎn)，在遭到攻擊和破壞時(shí)，系統(tǒng)所承載的業(yè)務(wù)以及單位利益造成較小的負(fù)面影響。本管理方法自2021年1月1日起執(zhí)行。嚴(yán)禁帶電拔插計(jì)算機(jī)上的所有連線和設(shè)備〔鍵盤、鼠標(biāo)、打印機(jī)、軟件狗等〕，以防止損壞設(shè)備。第二十二條本制度自公布之日起試行。兩人以上的用戶，必須明確一人負(fù)責(zé)。嚴(yán)格撥號訪問控制措施。（七）對信息網(wǎng)絡(luò)與系統(tǒng)運(yùn)行狀況等進(jìn)行監(jiān)測和報(bào)警；定期對監(jiān)測和報(bào)警記錄進(jìn)行分析，根據(jù)需要采取必要的應(yīng)對措施；應(yīng)建立安全管理中心，對安全設(shè)備、惡意代碼、補(bǔ)丁升級、安全審計(jì)等安全設(shè)施進(jìn)行集中管理。嚴(yán)禁涉密移動存儲介質(zhì)在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)及互聯(lián)網(wǎng)上交叉使用。第五條 在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，實(shí)現(xiàn)“雙機(jī)雙網(wǎng)”，信息內(nèi)網(wǎng)定位為公司信息化“SG186”工程業(yè)務(wù)應(yīng)用承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，信息外網(wǎng)定位為對外業(yè)務(wù)網(wǎng)絡(luò)和訪問互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。應(yīng)加強(qiáng)信息系統(tǒng)安全管理人員之間、信息職能部門和業(yè)務(wù)部門之間的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息系統(tǒng)安全問題。（五）嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報(bào)和審批程序，建立健全變更管理制度。第四章 技術(shù)措施第二十六條 根據(jù)國家和公司有關(guān)規(guī)定，對機(jī)房建筑設(shè)置符合要求的避雷裝置、滅火和火災(zāi)自動報(bào)警系統(tǒng)；采取防雨水措施，防止雨水、水蒸氣結(jié)露和地下積水；設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，控制機(jī)房溫、濕度在設(shè)備運(yùn)行所允許范圍之內(nèi)，保證雙路供電,電源線和通信電纜應(yīng)隔離，避免互相干擾；采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。第二條本制度所稱的信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。第七章附則第二十條設(shè)備管理部有權(quán)對局域網(wǎng)絡(luò)以及各單位計(jì)算機(jī)進(jìn)行定期檢查或不定期抽查，凡有違反本制度的單位、部門或個人，由設(shè)備管理部報(bào)告中心領(lǐng)導(dǎo)，視情節(jié)對部門或個人給予適當(dāng)?shù)慕?jīng)濟(jì)處罰和行政處分。適用范圍本規(guī)定適用于本集團(tuán)的全體員工；適用于本公司所有辦公用計(jì)算機(jī)、網(wǎng)絡(luò)布線和網(wǎng)絡(luò)連接設(shè)備。違反本管理方法按?獎懲制度?處理。3信息系統(tǒng)安全管理內(nèi)容與方法，分為三級、二級和一級，其中三級的信息安全保護(hù)等級最高。風(fēng)險(xiǎn)分析報(bào)告中應(yīng)明確管理上、技術(shù)上存在的問題與對策。嚴(yán)禁將涉及國家秘密的計(jì)算機(jī)、存儲設(shè)備與信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴(yán)禁在信息內(nèi)網(wǎng)辦公計(jì)算機(jī)上處理、存儲國家秘密信息，嚴(yán)禁在信息外網(wǎng)辦公計(jì)算機(jī)上處理、存儲涉及國家秘密和企業(yè)秘密信息，嚴(yán)禁信息內(nèi)網(wǎng)和信息外網(wǎng)辦公計(jì)算機(jī)交叉使用。第十七條 涉及國家秘密安全移動存儲介質(zhì)的安全管理按照公司有關(guān)保密規(guī)定執(zhí)行。第七章 檢查考核第二十三條 應(yīng)建立常態(tài)檢查機(jī)制，同時(shí)輔以不定期抽查，及時(shí)發(fā)現(xiàn)問題并督促整改。信息內(nèi)網(wǎng)辦公計(jì)算機(jī)部署于信息內(nèi)網(wǎng)桌面終端安全域，信息外網(wǎng)辦公計(jì)算機(jī)部署于信息外網(wǎng)桌面終端安全域，桌面終端安全域要采取安全準(zhǔn)入管理、訪問控制、入侵監(jiān)測、病毒防護(hù)、惡意代碼過濾、補(bǔ)丁管理、事件審計(jì)、桌面資產(chǎn)管理、保密檢測、數(shù)據(jù)保護(hù)與監(jiān)控等措施進(jìn)行安全防護(hù)。4信息系統(tǒng)安全監(jiān)督、檢查與考核信息系統(tǒng)安全監(jiān)督與檢查內(nèi)容包括信息系統(tǒng)安全和組織人員情況、信息系統(tǒng)安全等級保護(hù)情況、信息系統(tǒng)建設(shè)、運(yùn)維安全管理和應(yīng)急預(yù)案演練情況。，實(shí)現(xiàn)對用戶終端保護(hù)的統(tǒng)一部署和病毒定義文件的自動升級。：信息系統(tǒng)處理信息為核心業(yè)務(wù)信息?！队?jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》，結(jié)合公司實(shí)際情況，信息系統(tǒng)實(shí)行等級化保護(hù)和等級化管理。嚴(yán)禁在開機(jī)狀態(tài)下移動計(jì)算機(jī)主機(jī)等設(shè)備。制定《計(jì)算機(jī)日常維護(hù)條例》，本條例適用于湖南湘鋼洪盛物流有限公司所有辦公用計(jì)算機(jī)。第六條按照作息時(shí)間準(zhǔn)時(shí)開關(guān)機(jī)，及時(shí)處理有關(guān)文件，嚴(yán)禁使用公司計(jì)算機(jī)玩游戲、聽音樂、看影碟等。（二）嚴(yán)格限制匿名用戶的訪問權(quán)限；實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶訪問權(quán)限分離，對訪問權(quán)限一致的用戶進(jìn)行分組，訪問控制力度應(yīng)達(dá)到主體為用戶級，客體為文件、數(shù)據(jù)庫表級。第二十一條 嚴(yán)格執(zhí)行公司有關(guān)信息系統(tǒng)安全風(fēng)險(xiǎn)評估管理規(guī)定，切實(shí)將信息系統(tǒng)安全風(fēng)險(xiǎn)評估工作常態(tài)化和制度化，及時(shí)落實(shí)整改，及時(shí)消除信息系統(tǒng)安全隱患。針對確定的網(wǎng)絡(luò)與信息系統(tǒng)安全等級，要根據(jù)等級保護(hù)有關(guān)要求，落實(shí)必要的管理和技術(shù)措施，嚴(yán)格執(zhí)行等級保護(hù)制度。各單位主要負(fù)責(zé)人是本單位信息系統(tǒng)安全第一責(zé)任人，各單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位信息系統(tǒng)安全重大事項(xiàng)決策和協(xié)調(diào)工作。電力二次系統(tǒng)安全防護(hù)遵照國家電力監(jiān)管委員會5號令《電力二次系統(tǒng)安全防護(hù)規(guī)定》及其配套文件《電力二次系統(tǒng)安全防護(hù)總體方案》執(zhí)行。第十三條 各單位主要職責(zé)：（一）負(fù)責(zé)貫徹落實(shí)國家有關(guān)信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，貫徹落實(shí)公司信息系統(tǒng)安全相關(guān)規(guī)章制度和技術(shù)標(biāo)準(zhǔn)，建立健全本單位信息系統(tǒng)安全標(biāo)準(zhǔn)制度和規(guī)范體系；（二）負(fù)責(zé)落實(shí)本單位范圍內(nèi)信息系統(tǒng)安全工作責(zé)任制；（三）在公司信息職能管理部門指導(dǎo)下，落實(shí)本單位信息系統(tǒng)等級保護(hù)制度、信息系統(tǒng)風(fēng)險(xiǎn)評估和安全檢查等工作；（四）按公司信息系統(tǒng)應(yīng)急體系要求建立本單位信息系統(tǒng)應(yīng)急體系，組織本單位信息系統(tǒng)安全突發(fā)事件的應(yīng)急處理；（五）負(fù)責(zé)明確本單位信息系統(tǒng)安全運(yùn)行維護(hù)部門或機(jī)構(gòu)，落實(shí)信息系統(tǒng)安全運(yùn)行維護(hù)日常工作，具體落實(shí)信息系統(tǒng)安全等級保護(hù)和安全策略；（六）組織本單位信息系統(tǒng)安全的宣傳和培訓(xùn)。（三）按照最小服務(wù)配置和最小授權(quán)原則，對安全策略、安全配置、日志和操作等方面做出具體規(guī)定，明確各個角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)；詳細(xì)記錄日常操作、運(yùn)行維護(hù)記錄、參數(shù)設(shè)置和修改等內(nèi)容，嚴(yán)禁任何未經(jīng)授權(quán)的操作；定期開展運(yùn)行日志和審計(jì)數(shù)據(jù)分析工作，及時(shí)發(fā)現(xiàn)異常行為。第二十五條 切實(shí)加強(qiáng)員工信息系統(tǒng)安全培訓(xùn)，提高全員信息系統(tǒng)安全意識；強(qiáng)化信息系統(tǒng)安全人員專業(yè)技能培訓(xùn)，做到培訓(xùn)工作有計(jì)劃、有總結(jié)，培訓(xùn)效果有評價(jià)。第三十四條 本辦法自印發(fā)之日起執(zhí)行。第十四條根據(jù)工作需求，批準(zhǔn)聯(lián)接國際互聯(lián)網(wǎng)的相關(guān)部門，聯(lián)接國際互聯(lián)的計(jì)算機(jī)，嚴(yán)格與局域網(wǎng)分開，該計(jì)算機(jī)上使用的移動外設(shè)（U盤，移動硬盤，軟盤）必須在經(jīng)殺毒檢測過后才可進(jìn)入公司辦公局域網(wǎng)使