【導(dǎo)讀】等相關(guān)制度，結(jié)合XX公司實際，制定本實施細則。人；各部門的一把手是本部門信息系統(tǒng)安全的第一責任人?？己思{入安全生產(chǎn)考核和經(jīng)濟責任制考核。管理部門，各部門是信息化工作的具體落實部門。負責審定公司的信息安全管理有關(guān)規(guī)定，負責落實上級主管部。信息系統(tǒng)發(fā)生事故，按照《天津市電力公司信息系統(tǒng)。處理意見，運維檢修部配合進行專業(yè)分析。影響信息安全的重大事件時，發(fā)布告警并組織制定應(yīng)對措施。參與有關(guān)信息工程項目的評定、審核。系統(tǒng)驗收、檢查工作。司規(guī)定正確使用信息設(shè)備、信息系統(tǒng)。擔過重時，副崗要擔當其職責,工作由主崗委托。其余時間應(yīng)安排非現(xiàn)場值班，以。進行處理，并將處理情況填入記錄中，并交由故障申告人簽字確認。裝等所作的變更。

　　

【正文】 上不得連入 XX公司信息內(nèi)網(wǎng)的計算機中使用。 如確因工作需要使用非專用 U 盤，需填寫《非國家電網(wǎng)公司專用 U 盤使用記錄》（見 附件 12），注明使用原因、使用人，并經(jīng)部門負責人確認簽字。部門負責人應(yīng)審核所拷貝內(nèi)容，如涉及公司商密文件，應(yīng)不予批準。使用記錄應(yīng)報 運維檢修部 備案。 應(yīng)在脫網(wǎng)機器中對 U 盤進行殺毒，確認無病毒后，將文件拷入專用 U 盤，進行相應(yīng)工作。 第一百〇四條 任何用戶不得卸載移動存儲介質(zhì)客戶端軟件，一經(jīng)發(fā)現(xiàn)收回統(tǒng)一配置的移動存儲設(shè)備，并禁止申請使用專用 U 盤； 第一百〇五條 因使用移動存 儲設(shè)備未進行病毒木馬查殺造成內(nèi)網(wǎng)、外網(wǎng)計算機感染病毒，造成系統(tǒng)損壞或數(shù)據(jù)丟失的，一經(jīng)查實收回統(tǒng)一配置的移動存儲設(shè)備，并禁止申請使用專用 U 盤； 第一百〇六條 在使用過程中造成公司涉密信息泄漏的按照《天津市電力公司電子商密信息保密管理規(guī)定（試行）》相關(guān)條款執(zhí)行。 第一百〇七條 任何部門或個人未經(jīng)審批擅自購買、發(fā)放移動存儲設(shè)備，一經(jīng)查實收回自行購置的移動存儲設(shè)備。 第一百〇八條 不得復(fù)制、傳播任何與工作無關(guān)的軟件、游戲、文件至內(nèi)網(wǎng)機器。 第十五章 補丁管理 第一百〇九條 所有信息內(nèi)網(wǎng)和信息外網(wǎng)的終端及服務(wù)器都要及時進行補丁升級。 第一百一十條 終端補丁升級 信息內(nèi)網(wǎng)終端必須加入 TEPCO 域， 在每次開機時必須以管理員身份登陸 TEPCO 域，執(zhí)行 TEPCO 域安全策略，以便及時下載系統(tǒng)補丁。終端使用者在發(fā)現(xiàn)有新的系統(tǒng)補丁時，應(yīng)及時點擊安裝。 信息外網(wǎng)終端必須安裝公司統(tǒng)一的金山防病毒軟件，定期執(zhí)行漏洞檢測，并在發(fā)現(xiàn)漏洞時及時打補丁。 第一百一十一條 服務(wù)器補丁升級 對服務(wù)器中數(shù)據(jù)庫、 WEB 軟件以及其它系統(tǒng)應(yīng)用軟件應(yīng)及時進行補丁升級。 對服務(wù)器所有項目進行補丁升級時，要仔細閱讀升級文檔，分析確定升級補丁對現(xiàn)有的操作系統(tǒng)及應(yīng)用的影響，確保在補丁升級后服務(wù)器軟硬件能夠正常運行。 應(yīng)用軟件補丁升級，對天津市電力公司統(tǒng)一運維的應(yīng) 用系統(tǒng)，由天津市電力公司統(tǒng)一執(zhí)行，對自行開發(fā)的應(yīng)用軟件系統(tǒng) ,由專業(yè)系統(tǒng)管理人員主動與開發(fā)商聯(lián)系對有危害系統(tǒng)安全的補丁及時升級。 升級補丁之前，做好系統(tǒng)、數(shù)據(jù)備份，以免升級失敗后及時恢復(fù)。 第十六章 漏洞管理 第一百一十二條 對接入信息網(wǎng)絡(luò)運行的應(yīng)用系統(tǒng)，在系統(tǒng)投入運行前，檢查應(yīng)用系統(tǒng)自身是否存在安全漏洞和隱患，確認沒有漏洞后方可正式上線運行。 第一百一十三條 系統(tǒng)上線前要嚴格按天津市電力公司《信息系統(tǒng)安全配置基本規(guī)范》要求做好配置和系統(tǒng)加固。 第一百一十四條 應(yīng)使用天津市電力公司統(tǒng)一指定的的相關(guān)工具進行安全檢查，定期或不定期對網(wǎng)絡(luò)與服務(wù)器主機進行安全掃描和檢測，對 掃描結(jié)果及時進行分析，采取相應(yīng)補救措施。 第一百一十五條 應(yīng)及時對所采集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等特征信息進行分析。如遇異常網(wǎng)絡(luò)行為活動，應(yīng)及時阻斷事件點，查明原因及時消除，確認無安全隱患后再接入系統(tǒng)。 第十七章 日志審計 第一百一十六條 日志是對用戶行為和系統(tǒng)行為進行記錄的形式，日志審計是保障應(yīng)用系統(tǒng)信息安全的重要手段。 第一百一十七條 在信息設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)上線運行前，應(yīng)按市電力公司《信息系統(tǒng)安全配置基本規(guī)范》中的各項規(guī)定開啟相應(yīng)的日志審計功能。 第一百一十八條 應(yīng)制定恰當?shù)娜罩静呗裕_定記錄日志的設(shè)備或系統(tǒng)范圍、記錄日志的事件類別、記錄日志的最大時間 范圍、日志備份策略、審計日志的處理方式等。 第一百一十九條 日志記錄應(yīng)包括事件發(fā)生的時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等內(nèi)容。 第一百二十條 信息通信運維班 應(yīng)對主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫和中間件等的日志定期進行安全審計。分析運行日志時，若發(fā)現(xiàn)正在、可能或已經(jīng)危害到系統(tǒng)安全運行的行為時，應(yīng)及時處理。 第十八章 外包管理 第一百二十一條 XX公司堅決貫徹信息運維主業(yè)化原則，原則上涉及信息系統(tǒng)核心業(yè)務(wù)的運維，包括桌面終端的運維不允許服務(wù)外包。 第一百二十二條 對于自行維護、實施有困難，確需進行信息服務(wù)業(yè)務(wù)外包的非核心信息服務(wù)業(yè)務(wù)，填寫 XX 公司 非核心信息服務(wù)業(yè)務(wù)外包申請審批表（見 附件 13），報 XX 公司 運維檢修部 ，由 運維檢修部 匯總后報主管領(lǐng)導(dǎo)審批，并報上級主管部門審批備案后方可實施。 第一百二十三條 對于通過審批后實施外包的業(yè)務(wù)，承包商由XX 公司按照國家、行業(yè)有關(guān)法律法規(guī)要求進行資質(zhì)審查，綜合考慮其安全管理、專業(yè)技術(shù)水平等因素，按規(guī)定的程序擇優(yōu)確定。 第一百二十四條 必須與外包服務(wù)承包商簽定相關(guān)外包服務(wù)協(xié)議，協(xié)議必須嚴格限定外包服務(wù)承包商的工作范圍，明確承包商可以接觸的設(shè)備、系統(tǒng)及可以進行的操作，明確指定專門的管理部門、專門的人員對承包商進行的服務(wù)行為進行有效監(jiān)管。 第一百二十五條 提供外包服 務(wù)的承包商及其工作人員，必需簽署《安全保密責任書》（見 附件 14）和《保密補充條款》（見 附件15）。必須按照 XX 公司相關(guān)保密規(guī)定和要求，在 XX 公司有關(guān)人員的監(jiān)督下進行信息業(yè)務(wù)服務(wù)，不得擅自復(fù)制、轉(zhuǎn)讓或者轉(zhuǎn)借 XX 公司相關(guān)基礎(chǔ)數(shù)據(jù)。 第一百二十六條 應(yīng)對承包商工作及調(diào)試人員進行安全教育，并指定專門的人員，記錄承包商服務(wù)行為的開始時間、具體的工作人員、操作的設(shè)備、涉及的系統(tǒng)、操作結(jié)束時間、操作的結(jié)果，并負責在操作之后審核確認操作結(jié)果，對承包商的服務(wù)行為進行全程監(jiān)管和記錄（見 附件 16）。 第一百二十七條 XX公司禁止使用遠程方式操作、調(diào)試系統(tǒng)，所有 操作必須在有效監(jiān)管下本地進行，原則上禁止承包商自帶的終端設(shè)備接入 XX 公司內(nèi)網(wǎng)，承包商如果需要接入 XX公司內(nèi)網(wǎng)進行測試、調(diào)試，終端設(shè)備由 XX 公司提供。 第一百二十八條 信息服務(wù)承包商服務(wù)期滿后，由 XX公司信息管理部門及該項信息服務(wù)管理部門對承包商整體服務(wù)行為進行信息安全評定和審核（見 附件 17）。 第十九章 人員管理 第一百二十九條 新員工在上崗前應(yīng)進行信息安全教育，由公司保密辦組織簽訂《天津市電力公司員工保密承諾書》（見 附件 18），考試合格后方可上崗進行工作。 第一百三十條 重點敏感崗位人員管理 重點敏感崗位包括：網(wǎng)絡(luò)管理、應(yīng)用管理、主機管理、安全管理。 重點敏感 崗位的工作直接影響著網(wǎng)絡(luò)及信息系統(tǒng)的安全，必須加強管理。 信息管理和運維部門要對以上崗位人員加強內(nèi)控、教育，提高敏感崗位人員信息安全保密意識。 重點敏感崗位人員離崗時，填寫《信息重點敏感崗位人員離崗移交紀錄》（見 附件 19），經(jīng)信息管理部門審核確認后，完成移交工作。運維部門及時核對并修改相關(guān)人員權(quán)限和設(shè)備安全配置相關(guān)內(nèi)容。 第一百三十一條 外來人員為 XX公司提供信息業(yè)務(wù)服務(wù)時，必須遵守相關(guān)保密規(guī)定和要求 ,簽署《安全保密責任書》（見 附件 14）和《保密補充條款》（見 附件 15）。 XX 公司指定專門的人員，對外來人員的行為進行全程監(jiān)管 和記錄（見 附件 16）。 第二十章 附則 第一百三十二條 本規(guī)定自發(fā)布之日起試行。以前頒布的相關(guān)制度作廢。 第一百三十三條 本規(guī)定由 XX 有限公司 運維檢修部 負責解釋。