【導(dǎo)讀】際，特制定本細(xì)則。.本細(xì)則適用于公司本部及直屬各單位的信息安全防護(hù)管理工作。下列文件中的條款通過本部分的引用而成為本規(guī)范的條款。用文件，其隨后所有的修改單或修訂版均不適用于本規(guī)范，信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。終端、工控機(jī)、以及其他用于生產(chǎn)的專用終端等。公司綜合數(shù)據(jù)網(wǎng)分為省級(jí)綜合數(shù)據(jù)網(wǎng)絡(luò)和地區(qū)綜。機(jī)終端及相關(guān)設(shè)備。性，可核查性，不可否認(rèn)性和可靠性等。攻擊者可利用其缺陷在未授權(quán)的情況下訪問或破壞系統(tǒng)。根據(jù)漏洞對(duì)系統(tǒng)可能造?？珊雎晕鍌€(gè)等級(jí)。包括信息安全系統(tǒng)及配套軟硬件的生產(chǎn)商、開發(fā)商、維護(hù)商、集成商人員。上線運(yùn)行提供依據(jù)。針對(duì)不同目標(biāo)系統(tǒng)和設(shè)備，通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng)。主要使用者為上下級(jí)管理部門和本單位內(nèi)部工作人員。信息安全保障工作的監(jiān)督、指導(dǎo)、考核。改加固、網(wǎng)絡(luò)與信息系統(tǒng)安全升級(jí)改造工作。

　　

【正文】 錄，并對(duì)記錄及時(shí)進(jìn)行審計(jì)。 . 第三方人員對(duì)公司的信息資產(chǎn)進(jìn)行訪問的安全要求 （ 1） 第三方人員需要對(duì)公司的信息資產(chǎn)進(jìn)行訪問時(shí)，必須簽訂保密協(xié)議或正式的合同。 （ 2）保密協(xié)議或合同中有關(guān)的安全要求必須符合公司信息系統(tǒng)安全的總體策略。 （ 3）外包活動(dòng)應(yīng)簽訂正式的合同，合同中應(yīng)明確外包方的安全責(zé)任和必須遵守的安全要求。 . 外包商安全管理 （ 1） 軟件開發(fā)外包、運(yùn)維外包中的一切活動(dòng)必須符合第三方訪問的安全要求。 （ 2）必須確認(rèn)外包軟件開發(fā)商、外包運(yùn)維服務(wù)商提供的資質(zhì)證明。 （ 3）必須對(duì)外包軟件完 成的質(zhì)量和功能的滿足性進(jìn)行審計(jì)檢查。 （ 4）外包軟件在使用或投產(chǎn)前必須進(jìn)行測(cè)試檢查。 （ 5） 由于系統(tǒng) /軟件的局限性，預(yù)定的控制措施無法實(shí)現(xiàn)時(shí)，則須采用可接受的取代方案，并對(duì)外包軟件開發(fā)商的訪問過程進(jìn)行審計(jì)。 （ 6）應(yīng)采取控制措施來限制外包方訪問敏感信息資產(chǎn)。 （ 7）應(yīng)對(duì)運(yùn)維外包商的維護(hù)實(shí)施情況進(jìn)行持續(xù)檢查，確保其維護(hù)服務(wù)期內(nèi)實(shí)施符合第三方人員訪問的安全要求。 . 安全 宣傳 . 各 單位 應(yīng)對(duì)公司所有使用計(jì)算機(jī)的人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)工作。 . 各單位應(yīng)書面形式告知相關(guān)人員相應(yīng)的安全責(zé)任和懲戒 措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。 . 信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。 . 信息安全人員應(yīng)定期參加下列信息安全知識(shí)和技能的培訓(xùn)： Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 16頁 （ 1）信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)； （ 2）信息安全基本知識(shí)的培訓(xùn)； （ 3）信息安全專門技能的培訓(xùn)。 . 重大 活動(dòng)安全保障管理 重大活動(dòng)安全保障管理按照《中國(guó)南方電網(wǎng)有限責(zé)任公司保供電工作管理規(guī)定》中網(wǎng)絡(luò)與信息安全部分中的相關(guān)規(guī)定實(shí)行。 . 作業(yè)要求 重大活動(dòng)網(wǎng)絡(luò)與信息安全工作按照供保電級(jí)別，由相應(yīng)實(shí)施主體的信息管理和運(yùn)行部門負(fù)責(zé)開展網(wǎng)絡(luò)與 信息安全保障工作，其中，特級(jí)保供電以網(wǎng)公司為實(shí)施主體，一級(jí)保供電以省公司為實(shí)施主體，二級(jí)保供電以地市供電局為實(shí)施主體，三級(jí)保供電以縣（區(qū)）供電局為實(shí)施主體。具體工作 分為準(zhǔn)備 、 實(shí)施 、總結(jié)三 個(gè)階段 。 . 準(zhǔn)備階段 （ 1）應(yīng)根據(jù)保供電網(wǎng)絡(luò)與信息安全工作要求，成立信息安全工作組，明確工作組職責(zé)、人員組成、聯(lián)系方式。此項(xiàng)工作應(yīng)在保供電任務(wù)下達(dá)后一周內(nèi)完成。 （ 2）應(yīng)根據(jù)保供電總體工作方案與具體工作要求，編寫工作方案，明確網(wǎng)絡(luò)與安全總體目標(biāo)、組織機(jī)構(gòu)、各階段工作安排、具體措施（包括重點(diǎn)網(wǎng)絡(luò)安全防護(hù)措施、敏感信息管控措施、實(shí) 時(shí)監(jiān)控措施等）。此項(xiàng)工作應(yīng)在保供電總體工作方案下發(fā) 20 天內(nèi)完成。 （ 3）應(yīng)根據(jù)領(lǐng)導(dǎo)小組辦公室下發(fā)的任務(wù)表單模板和工作方案要求，制定信息安全任務(wù)表單。 （ 4）應(yīng)全面梳理公司現(xiàn)有的信息安全管理制度，根據(jù)公司安全體系建設(shè)的實(shí)際情況，進(jìn)一步完善相關(guān)制度。全面梳理公司技術(shù)防護(hù)措施的落實(shí)情況，必要時(shí)組織開展網(wǎng)絡(luò)與重要信息系統(tǒng)的技術(shù)防護(hù)體系完善工作。 （ 5）應(yīng)組織各單位完成信息安全自查，并按照實(shí)際情況組織抽查（可以結(jié)合等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作進(jìn)行）。各單位針對(duì)安全檢查發(fā)現(xiàn)問題開展整改，并提交整改報(bào)告。根據(jù)各單位整改情況 進(jìn)行復(fù)查。 （ 6）應(yīng)在總體應(yīng)急預(yù)案的指導(dǎo)下，完善網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，并組建內(nèi)、外應(yīng)急保障隊(duì)伍，組織各單位進(jìn)行演練，聯(lián)合演練；開展應(yīng)急值守，對(duì)信息Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 17頁 系統(tǒng)進(jìn)行全面監(jiān)控，發(fā)現(xiàn)問題及時(shí)處理，并與國(guó)家和行業(yè)的權(quán)威機(jī)構(gòu)建立應(yīng)急聯(lián)動(dòng)機(jī)制，提高信息安全事件的快速處置能力。 . 實(shí)施階段 （ 1）應(yīng)根據(jù)實(shí)際情況編制重要信息系統(tǒng)（如互聯(lián)網(wǎng)出口）特殊運(yùn)行方式計(jì)劃，管控信息系統(tǒng)，并嚴(yán)格執(zhí)行特殊運(yùn)行方式，對(duì)外網(wǎng)應(yīng)用系統(tǒng)采取必要手段確保安全風(fēng)險(xiǎn)可控。同時(shí)，做好網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行狀態(tài)監(jiān)控工作，每天及時(shí)上報(bào)運(yùn)行狀態(tài)報(bào)告。 （ 2）應(yīng)做好 值班值守工作，值班人員按照值班安排表堅(jiān)守值班崗位，定期對(duì)重要信息系統(tǒng)進(jìn)行巡檢，按照工作標(biāo)準(zhǔn)落實(shí)信息設(shè)備運(yùn)行維護(hù)以及各項(xiàng)安全運(yùn)行措施，確保所有信息設(shè)備連續(xù)可靠運(yùn)行，按“零報(bào)告”制度，分析每日網(wǎng)絡(luò)與系統(tǒng)運(yùn)行情況，每日及時(shí)上報(bào)系統(tǒng)運(yùn)行維護(hù)信息。 出現(xiàn)突發(fā)事件后，按照應(yīng)急預(yù)案妥善處置保供電期間的突發(fā)信息安全事件，控制突發(fā)事件影響的范圍和程度，并及時(shí)上報(bào)。 . 總結(jié)階段 全面總結(jié)保供電網(wǎng)絡(luò)與信息系統(tǒng)安全工作的經(jīng)驗(yàn)、體會(huì)、方法?？偨Y(jié)報(bào)告應(yīng)包括安保任務(wù)完成情況、對(duì)方案的評(píng)價(jià)、主要經(jīng)驗(yàn)和教訓(xùn)、改進(jìn)措施和建議等。 6. 附則 . 本辦法由廣東電網(wǎng)有限責(zé)任公司信息部負(fù)責(zé)解釋。 . 本辦法自頒布之日起施行。 附錄 A: 訪問控制策略變更審批表 附錄 B: VPN發(fā)布應(yīng)用審批表 附錄 C: 外部人員遠(yuǎn)程訪問審批表 Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 18 頁 附錄 A: 訪問控制策略變更審批表 申請(qǐng)人 申請(qǐng)日期 有效期限 起始日期 結(jié)束日期 申請(qǐng)要求（策略名稱、 IP 范圍、訪問資源、訪問方式、訪問目的等）： 申請(qǐng)理由： 申請(qǐng)單位（部門）意見 簽名： 日期： 信息運(yùn)維部門意見： 簽名： 日期： 執(zhí)行記錄 控制名稱 控制目 的 源地址 目標(biāo)地址 訪問權(quán)限設(shè)置 其他設(shè)置 執(zhí)行人 執(zhí)行日期 Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 19 頁 附錄 B: VPN發(fā)布應(yīng)用審批表 申請(qǐng) 單位（ 部門 ） ： 編號(hào)： 申請(qǐng)人 申請(qǐng)日期 發(fā)布系統(tǒng) 訪問地址 用戶類型 用戶群組（ AD域） 訪問有效期 月 日 時(shí)至 月 日 時(shí) 申請(qǐng)理由 申請(qǐng)單位（部門）意見 信息運(yùn)維部門意見 信息管理部門意見 備注 Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 20 頁 附錄 C: 外部 人員遠(yuǎn)程訪問審批表 填寫人： 編號(hào)： 申請(qǐng)單位 （部門） 申請(qǐng)日期 訪問有效期 月 日 時(shí)至 月 日 時(shí) 遠(yuǎn)程登錄原因 及主要操作 登錄主機(jī) 被登錄主機(jī) 地點(diǎn) 主機(jī)名稱 用戶名 地點(diǎn) 主機(jī)名稱 用戶名 業(yè)務(wù)管理部門意見： 運(yùn)行維護(hù) 部門意見： 遠(yuǎn)程登錄時(shí)間及操作記錄（時(shí)間： 月 日 時(shí) 分） 次序 起始時(shí)刻 終止時(shí)刻 操作記錄 1 2 3 4 5 備注