【導讀】際，特制定本細則。.本細則適用于公司本部及直屬各單位的信息安全防護管理工作。下列文件中的條款通過本部分的引用而成為本規(guī)范的條款。用文件，其隨后所有的修改單或修訂版均不適用于本規(guī)范，信息用戶和規(guī)章制度組成的以處理信息流為目的的人機一體化系統(tǒng)。終端、工控機、以及其他用于生產(chǎn)的專用終端等。公司綜合數(shù)據(jù)網(wǎng)分為省級綜合數(shù)據(jù)網(wǎng)絡和地區(qū)綜。機終端及相關設備。性，可核查性，不可否認性和可靠性等。攻擊者可利用其缺陷在未授權的情況下訪問或破壞系統(tǒng)。根據(jù)漏洞對系統(tǒng)可能造?？珊雎晕鍌€等級。包括信息安全系統(tǒng)及配套軟硬件的生產(chǎn)商、開發(fā)商、維護商、集成商人員。上線運行提供依據(jù)。針對不同目標系統(tǒng)和設備，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。主要使用者為上下級管理部門和本單位內(nèi)部工作人員。信息安全保障工作的監(jiān)督、指導、考核。改加固、網(wǎng)絡與信息系統(tǒng)安全升級改造工作。

　　

【正文】 錄，并對記錄及時進行審計。 . 第三方人員對公司的信息資產(chǎn)進行訪問的安全要求 （ 1） 第三方人員需要對公司的信息資產(chǎn)進行訪問時，必須簽訂保密協(xié)議或正式的合同。 （ 2）保密協(xié)議或合同中有關的安全要求必須符合公司信息系統(tǒng)安全的總體策略。 （ 3）外包活動應簽訂正式的合同，合同中應明確外包方的安全責任和必須遵守的安全要求。 . 外包商安全管理 （ 1） 軟件開發(fā)外包、運維外包中的一切活動必須符合第三方訪問的安全要求。 （ 2）必須確認外包軟件開發(fā)商、外包運維服務商提供的資質(zhì)證明。 （ 3）必須對外包軟件完 成的質(zhì)量和功能的滿足性進行審計檢查。 （ 4）外包軟件在使用或投產(chǎn)前必須進行測試檢查。 （ 5） 由于系統(tǒng) /軟件的局限性，預定的控制措施無法實現(xiàn)時，則須采用可接受的取代方案，并對外包軟件開發(fā)商的訪問過程進行審計。 （ 6）應采取控制措施來限制外包方訪問敏感信息資產(chǎn)。 （ 7）應對運維外包商的維護實施情況進行持續(xù)檢查，確保其維護服務期內(nèi)實施符合第三方人員訪問的安全要求。 . 安全 宣傳 . 各 單位 應對公司所有使用計算機的人員進行安全意識教育、崗位技能培訓和相關安全技術培訓工作。 . 各單位應書面形式告知相關人員相應的安全責任和懲戒 措施，并對違反違背安全策略和規(guī)定的人員進行懲戒。 . 信息安全人員應定期接受政治思想教育、職業(yè)道德教育和安全保密教育。 . 信息安全人員應定期參加下列信息安全知識和技能的培訓： Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責任公司信息安全防護管理細則 第 16頁 （ 1）信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓； （ 2）信息安全基本知識的培訓； （ 3）信息安全專門技能的培訓。 . 重大 活動安全保障管理 重大活動安全保障管理按照《中國南方電網(wǎng)有限責任公司保供電工作管理規(guī)定》中網(wǎng)絡與信息安全部分中的相關規(guī)定實行。 . 作業(yè)要求 重大活動網(wǎng)絡與信息安全工作按照供保電級別，由相應實施主體的信息管理和運行部門負責開展網(wǎng)絡與 信息安全保障工作，其中，特級保供電以網(wǎng)公司為實施主體，一級保供電以省公司為實施主體，二級保供電以地市供電局為實施主體，三級保供電以縣（區(qū)）供電局為實施主體。具體工作 分為準備 、 實施 、總結(jié)三 個階段 。 . 準備階段 （ 1）應根據(jù)保供電網(wǎng)絡與信息安全工作要求，成立信息安全工作組，明確工作組職責、人員組成、聯(lián)系方式。此項工作應在保供電任務下達后一周內(nèi)完成。 （ 2）應根據(jù)保供電總體工作方案與具體工作要求，編寫工作方案，明確網(wǎng)絡與安全總體目標、組織機構(gòu)、各階段工作安排、具體措施（包括重點網(wǎng)絡安全防護措施、敏感信息管控措施、實 時監(jiān)控措施等）。此項工作應在保供電總體工作方案下發(fā) 20 天內(nèi)完成。 （ 3）應根據(jù)領導小組辦公室下發(fā)的任務表單模板和工作方案要求，制定信息安全任務表單。 （ 4）應全面梳理公司現(xiàn)有的信息安全管理制度，根據(jù)公司安全體系建設的實際情況，進一步完善相關制度。全面梳理公司技術防護措施的落實情況，必要時組織開展網(wǎng)絡與重要信息系統(tǒng)的技術防護體系完善工作。 （ 5）應組織各單位完成信息安全自查，并按照實際情況組織抽查（可以結(jié)合等級保護測評和風險評估工作進行）。各單位針對安全檢查發(fā)現(xiàn)問題開展整改，并提交整改報告。根據(jù)各單位整改情況 進行復查。 （ 6）應在總體應急預案的指導下，完善網(wǎng)絡與信息安全應急預案，并組建內(nèi)、外應急保障隊伍，組織各單位進行演練，聯(lián)合演練；開展應急值守，對信息Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責任公司信息安全防護管理細則 第 17頁 系統(tǒng)進行全面監(jiān)控，發(fā)現(xiàn)問題及時處理，并與國家和行業(yè)的權威機構(gòu)建立應急聯(lián)動機制，提高信息安全事件的快速處置能力。 . 實施階段 （ 1）應根據(jù)實際情況編制重要信息系統(tǒng)（如互聯(lián)網(wǎng)出口）特殊運行方式計劃，管控信息系統(tǒng)，并嚴格執(zhí)行特殊運行方式，對外網(wǎng)應用系統(tǒng)采取必要手段確保安全風險可控。同時，做好網(wǎng)絡和信息系統(tǒng)運行狀態(tài)監(jiān)控工作，每天及時上報運行狀態(tài)報告。 （ 2）應做好 值班值守工作，值班人員按照值班安排表堅守值班崗位，定期對重要信息系統(tǒng)進行巡檢，按照工作標準落實信息設備運行維護以及各項安全運行措施，確保所有信息設備連續(xù)可靠運行，按“零報告”制度，分析每日網(wǎng)絡與系統(tǒng)運行情況，每日及時上報系統(tǒng)運行維護信息。 出現(xiàn)突發(fā)事件后，按照應急預案妥善處置保供電期間的突發(fā)信息安全事件，控制突發(fā)事件影響的范圍和程度，并及時上報。 . 總結(jié)階段 全面總結(jié)保供電網(wǎng)絡與信息系統(tǒng)安全工作的經(jīng)驗、體會、方法?？偨Y(jié)報告應包括安保任務完成情況、對方案的評價、主要經(jīng)驗和教訓、改進措施和建議等。 6. 附則 . 本辦法由廣東電網(wǎng)有限責任公司信息部負責解釋。 . 本辦法自頒布之日起施行。 附錄 A: 訪問控制策略變更審批表 附錄 B: VPN發(fā)布應用審批表 附錄 C: 外部人員遠程訪問審批表 Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責任公司信息安全防護管理細則 第 18 頁 附錄 A: 訪問控制策略變更審批表 申請人 申請日期 有效期限 起始日期 結(jié)束日期 申請要求（策略名稱、 IP 范圍、訪問資源、訪問方式、訪問目的等）： 申請理由： 申請單位（部門）意見 簽名： 日期： 信息運維部門意見： 簽名： 日期： 執(zhí)行記錄 控制名稱 控制目 的 源地址 目標地址 訪問權限設置 其他設置 執(zhí)行人 執(zhí)行日期 Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責任公司信息安全防護管理細則 第 19 頁 附錄 B: VPN發(fā)布應用審批表 申請 單位（ 部門 ） ： 編號： 申請人 申請日期 發(fā)布系統(tǒng) 訪問地址 用戶類型 用戶群組（ AD域） 訪問有效期 月 日 時至 月 日 時 申請理由 申請單位（部門）意見 信息運維部門意見 信息管理部門意見 備注 Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責任公司信息安全防護管理細則 第 20 頁 附錄 C: 外部 人員遠程訪問審批表 填寫人： 編號： 申請單位 （部門） 申請日期 訪問有效期 月 日 時至 月 日 時 遠程登錄原因 及主要操作 登錄主機 被登錄主機 地點 主機名稱 用戶名 地點 主機名稱 用戶名 業(yè)務管理部門意見： 運行維護 部門意見： 遠程登錄時間及操作記錄（時間： 月 日 時 分） 次序 起始時刻 終止時刻 操作記錄 1 2 3 4 5 備注