【文章內(nèi)容簡介】 專家、服務(wù)商等外部機(jī)構(gòu)的聯(lián)系方式見《對外聯(lián)系表》。. 文件要求. 總則根據(jù)GB/T220802008/ISO/IEC27001:2005信息安全管理體系標(biāo)準(zhǔn)要求并結(jié)合xxxx有限公司實(shí)際情況建立xxxx有限公司信息安全管理體系文件結(jié)構(gòu)，體系文件分為四級，分別為一級文件、二級文件、三級文件及四級記錄性文件。(1) 一級文件為信息安全管理體系手冊（包含信息安全方針、目標(biāo)）和適用性聲明等；(2) 二級文件為信息安全管理體系建立實(shí)施的相關(guān)程序文件；(3) 三級文件為信息安全管理體系建立實(shí)施的相關(guān)制度、辦法和規(guī)程等；(4) 四級文件為信息安全管理體系實(shí)施運(yùn)行過程中的記錄類文件。. 文件控制為確保文件的修訂得到控制，使用現(xiàn)場得到有效版本的文件，防止作廢文件的非預(yù)期使用，在《文件控制程序》中明確規(guī)定了文件的編制、評審、批準(zhǔn)、發(fā)放、使用、更改、再次批準(zhǔn)、標(biāo)識(shí)、回收、作廢和保存期限等管理。注：以上程序詳細(xì)內(nèi)容見《文件控制程序》。. 記錄控制為提供有效的信息安全管理體系運(yùn)行的符合性證據(jù)，并具有追溯、證實(shí)和依據(jù)記錄采取糾正和預(yù)防措施的作用，在《記錄控制程序》中明確規(guī)定了記錄的填寫要求、標(biāo)識(shí)、收集、儲(chǔ)存、檢索、防護(hù)、保存期限和處理所需的控制。注：以上程序詳細(xì)內(nèi)容見《記錄控制程序》。5. 管理職責(zé). 管理承諾信息安全領(lǐng)導(dǎo)小組承諾按GB/T220802008/ISO/IEC27001:2005信息安全管理體系標(biāo)準(zhǔn)要求建立、實(shí)施、運(yùn)行、監(jiān)視和評審，并通過持續(xù)保持和改進(jìn)，使體系不斷發(fā)展和完善。通過以下活動(dòng)，確保上述承諾得以實(shí)現(xiàn)：制定ISMS方針：(1) 制定ISMS目標(biāo)和實(shí)施計(jì)劃；(2) 建立信息安全組織機(jī)構(gòu)并明確職責(zé)；(3) 通過適當(dāng)?shù)臏贤ǚ绞?，利用多種方式向全體員工傳達(dá)并使他們認(rèn)識(shí)到滿 足信息安全目標(biāo)、符合信息安全方針以及法律、法規(guī)要求，持續(xù)改進(jìn)信息安全的重要性；(4) 提供適當(dāng)?shù)馁Y源以滿足信息安全管理體系建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)的需要；(5) 對可接受風(fēng)險(xiǎn)的等級進(jìn)行判斷；(6) 組織實(shí)施ISMS內(nèi)部審核；(7) 組織實(shí)施ISMS管理評審。. 資源管理. 資源提供確保并提供實(shí)施、保持信息安全管理體系所需資源，并采取適當(dāng)措施，以保證：(1) 建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)ISMS；(2) 確保信息安全管理程序符合業(yè)務(wù)支持流程要求；(3) 識(shí)別和滿足法規(guī)要求以及合同中的安全義務(wù)；(4) 通過正確實(shí)施所有的控制措施保持適當(dāng)?shù)男畔踩?5) 必要時(shí)，應(yīng)對資源提供進(jìn)行評審，并按評審結(jié)果執(zhí)行；(6) 在需要時(shí)，改進(jìn)ISMS資源的有效性。. 能力、意識(shí)和培訓(xùn)為提高全員信息安全的意識(shí)，確保相關(guān)人員履行信息安全職責(zé)所需的能力，應(yīng)采取并實(shí)施以下的管理活動(dòng)：(1) 確保與ISMS有關(guān)工作人員具備必要的信息安全能力；(2) 實(shí)施信息安全意識(shí)和能力的教育及培訓(xùn)并評價(jià)其培訓(xùn)的有效性；(3) 通過宣傳和其他活動(dòng)使員工普遍認(rèn)識(shí)到信息安全職責(zé)的重要性，為實(shí)現(xiàn)信息安全目標(biāo)做出各自的貢獻(xiàn)；(4) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格或其他活動(dòng)的記錄；注：以上程序詳細(xì)內(nèi)容見《教育培訓(xùn)控制程序》. 安全職責(zé). 信息安全管理組織機(jī)構(gòu)和人員職責(zé)xxxx有限公司信息安全管理機(jī)構(gòu)有xxxx有限公司信息安全領(lǐng)導(dǎo)小組和xxxx有限公司信息安全工作小組，并配置相應(yīng)的信息安全工作人員，包括信息安全管理人員、信息安全技術(shù)人員、信息安全審計(jì)員。. xxxx有限公司信息安全領(lǐng)導(dǎo)小組. xxxx有限公司成立信息安全領(lǐng)導(dǎo)小組。xxxx有限公司信息安全領(lǐng)導(dǎo)小組是公司信息安全的最高決策機(jī)構(gòu)。. xxxx有限公司信息安全領(lǐng)導(dǎo)小組組長由分管生產(chǎn)安全的公司領(lǐng)導(dǎo)擔(dān)任。. 信息安全領(lǐng)導(dǎo)小組主要職責(zé)如下：a) 對公司信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)。b) 根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。c) 確定公司信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。d) 信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)信息安全工作小組（包括管理信息系統(tǒng)信息安全工e) 作小組和生產(chǎn)控制系統(tǒng)信息安全工作小組）和應(yīng)急處理工作小組，并負(fù)責(zé)指導(dǎo)兩個(gè)工作組的工作。. xxxx有限公司信息安全工作小組. xxxx有限公司信息安全工作組隸屬xxxx有限公司信息安全領(lǐng)導(dǎo)小組，是領(lǐng)導(dǎo)小組決策的執(zhí)行機(jī)構(gòu)，工作組的日常工作由xxxx有限公司信息中心承擔(dān)。. xxxx有限公司信息安全工作組組長由xxxx有限公司信息中心領(lǐng)導(dǎo)擔(dān)任。. xxxx有限公司信息安全工作組主要職責(zé)如下：a) 貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范公司信息安全工作；b) 根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進(jìn)行具體安排、落實(shí)；c) 組織對重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；d) 負(fù)責(zé)協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；e) 組織信息安全工作檢查，分析信息安全總體狀況，提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對策；f) 負(fù)責(zé)接受各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；g) 及時(shí)向信息安全工作領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報(bào)告信息安全事件。h) 跟蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作。. xxxx有限公司應(yīng)急處理工作小組. xxxx有限公司應(yīng)急處理工作小組組長由xxxx有限公司信息中心領(lǐng)導(dǎo)擔(dān)任。. xxxx有限公司應(yīng)急處理工作小組主要職責(zé)如下：a) 審定公司信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案。b) 決定相應(yīng)應(yīng)急預(yù)案的啟動(dòng)，負(fù)責(zé)現(xiàn)場指揮，并組織相關(guān)人員排除故障，恢復(fù)系統(tǒng)。c) 每年組織對信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測試和演練。d) 應(yīng)對公司內(nèi)發(fā)生的大規(guī)模信息安全事件，協(xié)調(diào)指揮事故處理以及事故后系統(tǒng)恢復(fù)工作。. xxxx有限公司信息中心xxxx有限公司信息中心是xxxx有限公司信息安全小組領(lǐng)導(dǎo)下的信息系統(tǒng)安全的職能和技術(shù)歸口管理部門，并直接負(fù)責(zé)管理信息系統(tǒng)的安全管理和技術(shù)監(jiān)督工作，其職責(zé)主要包括：. 組織制定xxxx有限公司信息安全保護(hù)工作的總體目標(biāo)和總體策略。并且根據(jù)信息系統(tǒng)管理要求、運(yùn)行環(huán)境的變化，以及系統(tǒng)本身的變化，及時(shí)更新信息安全保護(hù)工作的總體目標(biāo)、策略、規(guī)劃、技術(shù)標(biāo)準(zhǔn)和管理制度。不斷提高信息安全管理的技術(shù)水平和管理手段。. 組織開展xxxx有限公司的信息安全等級保護(hù)工作，并進(jìn)行xxxx有限公司信息安全評估和風(fēng)險(xiǎn)管理工作，組織編寫信息安全保護(hù)工作的總體技術(shù)規(guī)范、管理制度、技術(shù)方案和實(shí)施計(jì)劃，并負(fù)責(zé)組織實(shí)施。. 負(fù)責(zé)接受各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；. 跟蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作。. 監(jiān)督指導(dǎo)各管理信息系統(tǒng)的開發(fā)建設(shè)人員、運(yùn)行人員、維護(hù)人員、業(yè)務(wù)使用人員執(zhí)行信息系統(tǒng)安全保護(hù)的技術(shù)標(biāo)準(zhǔn)和管理制度。. 組織對信息安全事故的調(diào)查取證工作，對其中涉及違紀(jì)違法、嚴(yán)重違規(guī)的事故配合人力資源部進(jìn)行調(diào)查，并提出處理意見。. 負(fù)責(zé)監(jiān)督管理數(shù)據(jù)中心及公司本部網(wǎng)絡(luò)、設(shè)備、運(yùn)行環(huán)境，以及集中管理的信息系統(tǒng)的安全保護(hù)工作。. 完成其他上級信息安全管理機(jī)構(gòu)交辦的信息管理系統(tǒng)安全防護(hù)工作。. 各級安全責(zé)任人各級安全生產(chǎn)責(zé)任人是其職責(zé)范圍內(nèi)的信息系統(tǒng)安全運(yùn)行管理的責(zé)任人。各級安全生產(chǎn)責(zé)任人職責(zé)：. 負(fù)責(zé)監(jiān)督執(zhí)行xxxx有限公司制定的信息安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)。. 負(fù)責(zé)監(jiān)督管理其職責(zé)范圍內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運(yùn)行環(huán)境的安全保護(hù)工作。. 負(fù)責(zé)監(jiān)督執(zhí)行xxxx有限公司信息安全保護(hù)的其他工作。. 基層單位計(jì)算機(jī)及網(wǎng)絡(luò)專責(zé)基層單位計(jì)算機(jī)及網(wǎng)絡(luò)專責(zé)是本單位范圍內(nèi)管理信息系統(tǒng)安全運(yùn)行工作的責(zé)任人兼信息安全員?；鶎訂挝蛔詣?dòng)化專責(zé)是本單位范圍內(nèi)生產(chǎn)控制系統(tǒng)信息安全運(yùn)行工作的責(zé)任人兼信息安全員。其安全職責(zé)：. 負(fù)責(zé)執(zhí)行公司制定的信息安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)。. 負(fù)責(zé)執(zhí)行責(zé)任范圍內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運(yùn)行環(huán)境的安全保護(hù)工作。. 定期向技術(shù)監(jiān)督部門報(bào)告本單位的信息安全情況，對安全缺陷和事故應(yīng)及時(shí)匯報(bào)。管理信息系統(tǒng)類安全情況向信息中心匯報(bào)，生產(chǎn)控制系統(tǒng)類安. 全情況向調(diào)度中心匯報(bào)。組織本單位員工進(jìn)行信息安全知識(shí)的培訓(xùn)和宣傳工作。. 在職能管理部門指導(dǎo)下，完成xxxx有限公司信息安全等級保護(hù)、安全評估、風(fēng)險(xiǎn)管理及其他工作。. 信息安全工作人員. 信息安全工作人員基本要求. 信息安全工作人員應(yīng)由政治可靠、業(yè)務(wù)素質(zhì)高、遵紀(jì)守法、恪盡職守的人員擔(dān)任。. 信息安全工作人員應(yīng)有計(jì)算機(jī)專業(yè)工作三年以上經(jīng)歷，及具備本科以上學(xué)歷。. 兼職信息安全人員應(yīng)有電力生產(chǎn)業(yè)務(wù)工作五年以上或?qū)Ｂ氂?jì)算機(jī)管理工作三年及以上經(jīng)歷，具備?？埔陨蠈W(xué)歷。. 違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全相關(guān)工作。. 信息安全工作人員在行使職責(zé)時(shí)，確因工作需要，經(jīng)批準(zhǔn)，可了解涉及電力生產(chǎn)、經(jīng)營與管理有關(guān)的信息系統(tǒng)的機(jī)密信息。. 信息安全工作人員基本職責(zé)：a) 信息安全工作人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向公司信息中心報(bào)告。b) 信息安全工作人員發(fā)現(xiàn)信息工作人員使用不當(dāng)，應(yīng)及時(shí)建議有關(guān)單位、部門進(jìn)行調(diào)整。c) 信息安全工作人員必須嚴(yán)格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴(yán)守公司商業(yè)秘密。. 信息安全工作人員包括信息安全管理人員、信息安全技術(shù)人員、信息安全審計(jì)員，其相應(yīng)的職責(zé)分別如下：a) 負(fù)責(zé)信息安全管理的日常工作。b) 組織開展信息安全檢查，對信息工作人員安全工作進(jìn)行指導(dǎo)和監(jiān)督。c) 組織開展信息安全知識(shí)的培訓(xùn)和宣傳工作。d) 監(jiān)控信息安全總體狀況，提出信息安全分析報(bào)告。e) 及時(shí)向信息安全領(lǐng)導(dǎo)小組和有關(guān)部門、單位報(bào)告信息安全事件。. 信息安全技術(shù)人員職責(zé)a) 負(fù)責(zé)信息安全相關(guān)設(shè)備（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等）的日常運(yùn)行維護(hù)管理。b) 負(fù)責(zé)防火墻系統(tǒng)策略的安全配置。c) 負(fù)責(zé)定期查看入侵檢測系統(tǒng)日志，對入侵檢測系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進(jìn)行跟蹤處理。d) 負(fù)責(zé)漏洞掃描軟件（包括漏洞庫）的管理、更新和公布。e) 負(fù)責(zé)對網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏洞掃描。f) 負(fù)責(zé)設(shè)備、系統(tǒng)等補(bǔ)丁升級、安全加固。g) 負(fù)責(zé)定期更新反病毒數(shù)據(jù)庫和程序模塊，定期執(zhí)行查殺病毒任務(wù)。h) 負(fù)責(zé)定期升級垃圾郵件網(wǎng)關(guān)特征庫、定期維護(hù)垃圾郵件網(wǎng)關(guān)黑白名單和規(guī)則庫設(shè)置。i) 負(fù)責(zé)密切注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的攻擊事件。j) 負(fù)責(zé)密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；k) 負(fù)責(zé)密切關(guān)注權(quán)威機(jī)構(gòu)最近公布的病毒分析報(bào)告、最新惡性病毒的防范報(bào)警以及應(yīng)急處理辦法。. 信息安全審計(jì)員職責(zé)a) 負(fù)責(zé)監(jiān)督檢查單位內(nèi)部信息安全審計(jì)制度及其實(shí)施情況。b) 定期檢查信息系統(tǒng)的用戶權(quán)限設(shè)置及安全配置是否與信息系統(tǒng)安全策規(guī)定相符合，監(jiān)督檢查信息系統(tǒng)數(shù)據(jù)安全管理工作。c) 監(jiān)督信息系統(tǒng)的運(yùn)行情況，定期查看日志記錄，對信息系統(tǒng)資源的各種非法訪問事件進(jìn)行分析、提出安全風(fēng)險(xiǎn)防范對策。. 信息工作人員信息工作人員包括系統(tǒng)管理員、系統(tǒng)維護(hù)員、系統(tǒng)開發(fā)員、數(shù)據(jù)庫系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作員，其相應(yīng)的安全責(zé)任如下。. 系統(tǒng)管理員安全責(zé)任a) 負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則。b) 嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行。c) 負(fù)責(zé)對所管轄的服務(wù)器操作系統(tǒng)進(jìn)行安全配置，并定期對所管轄的服務(wù)器操作系統(tǒng)進(jìn)行安全檢查。d) 認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件。e) 對進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。. 系統(tǒng)維護(hù)員安全責(zé)任a) 負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行。b) 不得擅自改變系統(tǒng)配置和功能。c) 不得安裝與系統(tǒng)無關(guān)的計(jì)算機(jī)程序。d) 維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告信息安全工作人員。. 系統(tǒng)開發(fā)員安全責(zé)任系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)。a) 系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料。b) 不得對系統(tǒng)設(shè)置“后門”或添加“惡意代碼”。c) 對系統(tǒng)核心技術(shù)保密。. 數(shù)據(jù)庫系統(tǒng)管理員安全責(zé)任a) 負(fù)責(zé)數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護(hù)，保證系統(tǒng)的安全、正常運(yùn)行。b) 負(fù)責(zé)對所管轄的數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置，并定期對所管轄的數(shù)據(jù)庫系統(tǒng)進(jìn)行安全檢查。c) 負(fù)責(zé)定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時(shí)排除，做好系統(tǒng)恢復(fù)。. 應(yīng)用系統(tǒng)管理員安全責(zé)任a) 應(yīng)根據(jù)應(yīng)用系統(tǒng)的安全策略，負(fù)責(zé)應(yīng)用系統(tǒng)的用戶權(quán)限設(shè)置以及系統(tǒng)安全配置。b) 密切注意應(yīng)用系統(tǒng)運(yùn)行中發(fā)生的系統(tǒng)故障、安全事件，關(guān)注應(yīng)用系統(tǒng)存在的隱患，收集業(yè)務(wù)用戶的問題反映，及時(shí)報(bào)告信息管理部門和業(yè)務(wù)主管部門。c) 應(yīng)根據(jù)應(yīng)用系統(tǒng)運(yùn)行的實(shí)際情況，制定應(yīng)急處理預(yù)案，提交信息管理部門審定。. 網(wǎng)絡(luò)管理員安全責(zé)任a) 負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則。b) 負(fù)責(zé)安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行。c) 負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向信息安全工作人員報(bào)告安全事件。d) 負(fù)責(zé)對操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。. 業(yè)務(wù)操作員安全責(zé)任a) 嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理制度。b) 不得向他人提供自己的操作口令，不得把 PKI 數(shù)字證書介質(zhì)借給他人使用。c) 及時(shí)向系統(tǒng)管理員報(bào)告系統(tǒng)各種異常事件。. 普通員工普通員工的安全責(zé)任如下：a) 每個(gè)員工須有責(zé)任保護(hù)本單位的計(jì)算機(jī)資源、設(shè)備及數(shù)據(jù)信息。b) 每個(gè)