【導(dǎo)讀】等相關(guān)制度，結(jié)合XX公司實(shí)際，制定本實(shí)施細(xì)則。人；各部門的一把手是本部門信息系統(tǒng)安全的第一責(zé)任人?？己思{入安全生產(chǎn)考核和經(jīng)濟(jì)責(zé)任制考核。管理部門，各部門是信息化工作的具體落實(shí)部門。負(fù)責(zé)審定公司的信息安全管理有關(guān)規(guī)定，負(fù)責(zé)落實(shí)上級主管部。信息系統(tǒng)發(fā)生事故，按照《天津市電力公司信息系統(tǒng)。處理意見，運(yùn)維檢修部配合進(jìn)行專業(yè)分析。影響信息安全的重大事件時(shí)，發(fā)布告警并組織制定應(yīng)對措施。參與有關(guān)信息工程項(xiàng)目的評定、審核。系統(tǒng)驗(yàn)收、檢查工作。司規(guī)定正確使用信息設(shè)備、信息系統(tǒng)。擔(dān)過重時(shí)，副崗要擔(dān)當(dāng)其職責(zé),工作由主崗委托。其余時(shí)間應(yīng)安排非現(xiàn)場值班，以。進(jìn)行處理，并將處理情況填入記錄中，并交由故障申告人簽字確認(rèn)。裝等所作的變更。

　　

【正文】 上不得連入 XX公司信息內(nèi)網(wǎng)的計(jì)算機(jī)中使用。 如確因工作需要使用非專用 U 盤，需填寫《非國家電網(wǎng)公司專用 U 盤使用記錄》（見 附件 12），注明使用原因、使用人，并經(jīng)部門負(fù)責(zé)人確認(rèn)簽字。部門負(fù)責(zé)人應(yīng)審核所拷貝內(nèi)容，如涉及公司商密文件，應(yīng)不予批準(zhǔn)。使用記錄應(yīng)報(bào) 運(yùn)維檢修部 備案。 應(yīng)在脫網(wǎng)機(jī)器中對 U 盤進(jìn)行殺毒，確認(rèn)無病毒后，將文件拷入專用 U 盤，進(jìn)行相應(yīng)工作。 第一百〇四條 任何用戶不得卸載移動存儲介質(zhì)客戶端軟件，一經(jīng)發(fā)現(xiàn)收回統(tǒng)一配置的移動存儲設(shè)備，并禁止申請使用專用 U 盤； 第一百〇五條 因使用移動存 儲設(shè)備未進(jìn)行病毒木馬查殺造成內(nèi)網(wǎng)、外網(wǎng)計(jì)算機(jī)感染病毒，造成系統(tǒng)損壞或數(shù)據(jù)丟失的，一經(jīng)查實(shí)收回統(tǒng)一配置的移動存儲設(shè)備，并禁止申請使用專用 U 盤； 第一百〇六條 在使用過程中造成公司涉密信息泄漏的按照《天津市電力公司電子商密信息保密管理規(guī)定（試行）》相關(guān)條款執(zhí)行。 第一百〇七條 任何部門或個(gè)人未經(jīng)審批擅自購買、發(fā)放移動存儲設(shè)備，一經(jīng)查實(shí)收回自行購置的移動存儲設(shè)備。 第一百〇八條 不得復(fù)制、傳播任何與工作無關(guān)的軟件、游戲、文件至內(nèi)網(wǎng)機(jī)器。 第十五章 補(bǔ)丁管理 第一百〇九條 所有信息內(nèi)網(wǎng)和信息外網(wǎng)的終端及服務(wù)器都要及時(shí)進(jìn)行補(bǔ)丁升級。 第一百一十條 終端補(bǔ)丁升級 信息內(nèi)網(wǎng)終端必須加入 TEPCO 域， 在每次開機(jī)時(shí)必須以管理員身份登陸 TEPCO 域，執(zhí)行 TEPCO 域安全策略，以便及時(shí)下載系統(tǒng)補(bǔ)丁。終端使用者在發(fā)現(xiàn)有新的系統(tǒng)補(bǔ)丁時(shí)，應(yīng)及時(shí)點(diǎn)擊安裝。 信息外網(wǎng)終端必須安裝公司統(tǒng)一的金山防病毒軟件，定期執(zhí)行漏洞檢測，并在發(fā)現(xiàn)漏洞時(shí)及時(shí)打補(bǔ)丁。 第一百一十一條 服務(wù)器補(bǔ)丁升級 對服務(wù)器中數(shù)據(jù)庫、 WEB 軟件以及其它系統(tǒng)應(yīng)用軟件應(yīng)及時(shí)進(jìn)行補(bǔ)丁升級。 對服務(wù)器所有項(xiàng)目進(jìn)行補(bǔ)丁升級時(shí)，要仔細(xì)閱讀升級文檔，分析確定升級補(bǔ)丁對現(xiàn)有的操作系統(tǒng)及應(yīng)用的影響，確保在補(bǔ)丁升級后服務(wù)器軟硬件能夠正常運(yùn)行。 應(yīng)用軟件補(bǔ)丁升級，對天津市電力公司統(tǒng)一運(yùn)維的應(yīng) 用系統(tǒng)，由天津市電力公司統(tǒng)一執(zhí)行，對自行開發(fā)的應(yīng)用軟件系統(tǒng) ,由專業(yè)系統(tǒng)管理人員主動與開發(fā)商聯(lián)系對有危害系統(tǒng)安全的補(bǔ)丁及時(shí)升級。 升級補(bǔ)丁之前，做好系統(tǒng)、數(shù)據(jù)備份，以免升級失敗后及時(shí)恢復(fù)。 第十六章 漏洞管理 第一百一十二條 對接入信息網(wǎng)絡(luò)運(yùn)行的應(yīng)用系統(tǒng)，在系統(tǒng)投入運(yùn)行前，檢查應(yīng)用系統(tǒng)自身是否存在安全漏洞和隱患，確認(rèn)沒有漏洞后方可正式上線運(yùn)行。 第一百一十三條 系統(tǒng)上線前要嚴(yán)格按天津市電力公司《信息系統(tǒng)安全配置基本規(guī)范》要求做好配置和系統(tǒng)加固。 第一百一十四條 應(yīng)使用天津市電力公司統(tǒng)一指定的的相關(guān)工具進(jìn)行安全檢查，定期或不定期對網(wǎng)絡(luò)與服務(wù)器主機(jī)進(jìn)行安全掃描和檢測，對 掃描結(jié)果及時(shí)進(jìn)行分析，采取相應(yīng)補(bǔ)救措施。 第一百一十五條 應(yīng)及時(shí)對所采集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等特征信息進(jìn)行分析。如遇異常網(wǎng)絡(luò)行為活動，應(yīng)及時(shí)阻斷事件點(diǎn)，查明原因及時(shí)消除，確認(rèn)無安全隱患后再接入系統(tǒng)。 第十七章 日志審計(jì) 第一百一十六條 日志是對用戶行為和系統(tǒng)行為進(jìn)行記錄的形式，日志審計(jì)是保障應(yīng)用系統(tǒng)信息安全的重要手段。 第一百一十七條 在信息設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)上線運(yùn)行前，應(yīng)按市電力公司《信息系統(tǒng)安全配置基本規(guī)范》中的各項(xiàng)規(guī)定開啟相應(yīng)的日志審計(jì)功能。 第一百一十八條 應(yīng)制定恰當(dāng)?shù)娜罩静呗?，確定記錄日志的設(shè)備或系統(tǒng)范圍、記錄日志的事件類別、記錄日志的最大時(shí)間 范圍、日志備份策略、審計(jì)日志的處理方式等。 第一百一十九條 日志記錄應(yīng)包括事件發(fā)生的時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等內(nèi)容。 第一百二十條 信息通信運(yùn)維班 應(yīng)對主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫和中間件等的日志定期進(jìn)行安全審計(jì)。分析運(yùn)行日志時(shí)，若發(fā)現(xiàn)正在、可能或已經(jīng)危害到系統(tǒng)安全運(yùn)行的行為時(shí)，應(yīng)及時(shí)處理。 第十八章 外包管理 第一百二十一條 XX公司堅(jiān)決貫徹信息運(yùn)維主業(yè)化原則，原則上涉及信息系統(tǒng)核心業(yè)務(wù)的運(yùn)維，包括桌面終端的運(yùn)維不允許服務(wù)外包。 第一百二十二條 對于自行維護(hù)、實(shí)施有困難，確需進(jìn)行信息服務(wù)業(yè)務(wù)外包的非核心信息服務(wù)業(yè)務(wù)，填寫 XX 公司 非核心信息服務(wù)業(yè)務(wù)外包申請審批表（見 附件 13），報(bào) XX 公司 運(yùn)維檢修部 ，由 運(yùn)維檢修部 匯總后報(bào)主管領(lǐng)導(dǎo)審批，并報(bào)上級主管部門審批備案后方可實(shí)施。 第一百二十三條 對于通過審批后實(shí)施外包的業(yè)務(wù)，承包商由XX 公司按照國家、行業(yè)有關(guān)法律法規(guī)要求進(jìn)行資質(zhì)審查，綜合考慮其安全管理、專業(yè)技術(shù)水平等因素，按規(guī)定的程序擇優(yōu)確定。 第一百二十四條 必須與外包服務(wù)承包商簽定相關(guān)外包服務(wù)協(xié)議，協(xié)議必須嚴(yán)格限定外包服務(wù)承包商的工作范圍，明確承包商可以接觸的設(shè)備、系統(tǒng)及可以進(jìn)行的操作，明確指定專門的管理部門、專門的人員對承包商進(jìn)行的服務(wù)行為進(jìn)行有效監(jiān)管。 第一百二十五條 提供外包服 務(wù)的承包商及其工作人員，必需簽署《安全保密責(zé)任書》（見 附件 14）和《保密補(bǔ)充條款》（見 附件15）。必須按照 XX 公司相關(guān)保密規(guī)定和要求，在 XX 公司有關(guān)人員的監(jiān)督下進(jìn)行信息業(yè)務(wù)服務(wù)，不得擅自復(fù)制、轉(zhuǎn)讓或者轉(zhuǎn)借 XX 公司相關(guān)基礎(chǔ)數(shù)據(jù)。 第一百二十六條 應(yīng)對承包商工作及調(diào)試人員進(jìn)行安全教育，并指定專門的人員，記錄承包商服務(wù)行為的開始時(shí)間、具體的工作人員、操作的設(shè)備、涉及的系統(tǒng)、操作結(jié)束時(shí)間、操作的結(jié)果，并負(fù)責(zé)在操作之后審核確認(rèn)操作結(jié)果，對承包商的服務(wù)行為進(jìn)行全程監(jiān)管和記錄（見 附件 16）。 第一百二十七條 XX公司禁止使用遠(yuǎn)程方式操作、調(diào)試系統(tǒng)，所有 操作必須在有效監(jiān)管下本地進(jìn)行，原則上禁止承包商自帶的終端設(shè)備接入 XX 公司內(nèi)網(wǎng)，承包商如果需要接入 XX公司內(nèi)網(wǎng)進(jìn)行測試、調(diào)試，終端設(shè)備由 XX 公司提供。 第一百二十八條 信息服務(wù)承包商服務(wù)期滿后，由 XX公司信息管理部門及該項(xiàng)信息服務(wù)管理部門對承包商整體服務(wù)行為進(jìn)行信息安全評定和審核（見 附件 17）。 第十九章 人員管理 第一百二十九條 新員工在上崗前應(yīng)進(jìn)行信息安全教育，由公司保密辦組織簽訂《天津市電力公司員工保密承諾書》（見 附件 18），考試合格后方可上崗進(jìn)行工作。 第一百三十條 重點(diǎn)敏感崗位人員管理 重點(diǎn)敏感崗位包括：網(wǎng)絡(luò)管理、應(yīng)用管理、主機(jī)管理、安全管理。 重點(diǎn)敏感 崗位的工作直接影響著網(wǎng)絡(luò)及信息系統(tǒng)的安全，必須加強(qiáng)管理。 信息管理和運(yùn)維部門要對以上崗位人員加強(qiáng)內(nèi)控、教育，提高敏感崗位人員信息安全保密意識。 重點(diǎn)敏感崗位人員離崗時(shí)，填寫《信息重點(diǎn)敏感崗位人員離崗移交紀(jì)錄》（見 附件 19），經(jīng)信息管理部門審核確認(rèn)后，完成移交工作。運(yùn)維部門及時(shí)核對并修改相關(guān)人員權(quán)限和設(shè)備安全配置相關(guān)內(nèi)容。 第一百三十一條 外來人員為 XX公司提供信息業(yè)務(wù)服務(wù)時(shí)，必須遵守相關(guān)保密規(guī)定和要求 ,簽署《安全保密責(zé)任書》（見 附件 14）和《保密補(bǔ)充條款》（見 附件 15）。 XX 公司指定專門的人員，對外來人員的行為進(jìn)行全程監(jiān)管 和記錄（見 附件 16）。 第二十章 附則 第一百三十二條 本規(guī)定自發(fā)布之日起試行。以前頒布的相關(guān)制度作廢。 第一百三十三條 本規(guī)定由 XX 有限公司 運(yùn)維檢修部 負(fù)責(zé)解釋。