【正文】 授權單位進行安全審查和批準的終端不準接入到公司信息網絡中，嚴禁未經信息中心批準私自將終端接入國際互聯(lián)網。. 由信息中心建立網絡集中監(jiān)控系統(tǒng)，對終端的物理連接、網絡配置、網絡流量等情況進行統(tǒng)一集中監(jiān)控. 對終端進行標準化管理，提高終端安全，基本要求如下：. 建立域管理與桌面安全，對計算機終端實行統(tǒng)一管理。. 建立防病毒系統(tǒng)，實現(xiàn)計算機終端統(tǒng)一的防病毒管理。. 建立 IT 服務管理系統(tǒng)，實現(xiàn)計算機終端臺帳、變更等管理。. 建立終端網絡接入控制，對計算機終端接入內網統(tǒng)一管理。. 建立終端軟件安裝許可清單，禁止安裝未經許可的軟件，減少危險源。. 對終端的安全配置與維護要求：. 建立補丁升級管理制度，及時對操作系統(tǒng)進行補丁、升級，減少漏洞。. 終端必須安裝信息中心部署的企業(yè)版防病毒軟件，并定期更新。. 定期對終端進行病毒、木馬查殺。. 所有終端的IP必須由信息中心統(tǒng)一管理。. 所有終端必須納入網絡接入控制管理。. 定期檢查終端的口令安全性，減少弱口令的安全隱患。. 介質管理. 信息中心應根據介質上承載的信息的安全級別對介質進行分級管理，信息分級引用公司《公司信息安全管理辦法》。. 信息中心應指定專門的介質管理人員，對介質的存放環(huán)境、使用、維護和銷毀等進行管理。. 信息中心應確保介質存放在安全的環(huán)境中，對各類介質進行控制和保護。對實行了異地保存的介質，異地保存點的環(huán)境要求和管理方法應與本地相同. 介質管理人員應對介質的使用進行登記，并定期進行盤點. 在介質使用、存儲和處置過程中，應按照信息的分類級別，處理和標記所有介質，并明確標識未授權人員的訪問限制，保持授權訪問數(shù)據人員的正式記錄。當介質中包含敏感數(shù)據時，應控制介質的使用范圍，并對其實施適當物理保護措施。. 信息中心對包含敏感信息的存儲介質送出維修應進行嚴格的管理，對送出維修的介質應首先清除介質中的敏感數(shù)據。. 電子化的系統(tǒng)文檔應當?shù)玫接行У谋Ｗo，對于復制到移動存儲介質上的重要內部數(shù)據的擴散必需是受控的，其使用應受到監(jiān)控和記錄，并能進行審計。. 為最大限度地降低信息泄露的風險，包含敏感信息的媒介應被安全地處置，如粉碎、焚毀，或清空其中的數(shù)據，以便重用。其中處置方法應與信息分級相一致。當無法確認媒介中的信息級別，或確認信息級別的代價較高時，應統(tǒng)一按最嚴格的方式處理所有媒介。敏感媒介的處置過程應當記錄在案，以便審計跟蹤。. 包含重要數(shù)據的介質應放置在符合制造商要求的安全的環(huán)境中。. 密碼管理. xxxx有限公司應使用符合國家密碼管理規(guī)定的密碼技術和產品。. 安全工作人員應對xxxx有限公司使用的密碼技術和產品進行審核，確保密碼技術和產品的使用符合國家密碼主管部門的要求。本規(guī)定所稱密碼，是指對信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。. 系統(tǒng)運行檔案. 系統(tǒng)管理員應為每個系統(tǒng)建立系統(tǒng)運行檔案，對每個系統(tǒng)的運行進行持續(xù)性安全跟蹤，從而形成系統(tǒng)運行安全基準，以便于在系統(tǒng)出現(xiàn)安全問題或異常情況時進行分析處理。系統(tǒng)運行安全檔案中應包括以下（但不限于）支持安全運行管理所需要的信息，如系統(tǒng)運行的操作系統(tǒng)和應用軟件及版本號、安裝的補丁程序、系統(tǒng)的運行狀態(tài)、存在的安全漏洞及控制措施、系統(tǒng)曾經遭受攻擊的記錄等。. 系統(tǒng)管理員應及時更新系統(tǒng)運行檔案，確保系統(tǒng)運行檔案的準確性。. 信息安全工作小組應定期對系統(tǒng)運行檔案內容的準確性進行檢查核實。. 維護作業(yè)計劃. 為保證系統(tǒng)維護的規(guī)范性與準確性，系統(tǒng)管理員應遵照系統(tǒng)安全要求，結合實際情況，編制系統(tǒng)維護作業(yè)計劃。. 系統(tǒng)管理員應在系統(tǒng)正式運營前，將系統(tǒng)維護作業(yè)計劃送信息安全工作小組審核備案，進入服務流程。. 維護作業(yè)計劃應明確規(guī)定維護活動的內容和周期。. 系統(tǒng)管理員必須嚴格執(zhí)行維護作業(yè)計劃，未經信息安全工作小組批準不得隨意更改。. 維護作業(yè)計劃的執(zhí)行情況應記錄在案，并接受信息安全工作小組的檢查。. 作業(yè)指導書. 系統(tǒng)管理員應評估系統(tǒng)維護過程中存在的風險，識別系統(tǒng)維護過程中存在的較大風險的操作，并制定相應的作業(yè)指導書，以控制系統(tǒng)維護操作風險。. 系統(tǒng)管理員應在系統(tǒng)正式運營前，將作業(yè)指導書送安全管理組審核備案，進入服務流程。. 系統(tǒng)管理員必須嚴格按作業(yè)指導書進行系統(tǒng)維護操作，未經安全管理組批準不得隨意更改。. 作業(yè)指導書應包含操作活動的資源要求、操作風險與控制措施、作業(yè)程序、作業(yè)記錄等。. 維護操作細則. 系統(tǒng)管理員應遵照系統(tǒng)安全要求，結合實際情況，制定系統(tǒng)維護操作細則。. 系統(tǒng)管理員應在系統(tǒng)正式運營前，將系統(tǒng)維護操作細則送信息安全工作小組審核備案，進入服務流程。. 系統(tǒng)管理員必須嚴格按操作細則進行系統(tǒng)維護，未經安全管理組批準不得隨意更改。. 操作細則應包含操作活動的職責、內容、目的、時間、場所、方法等，并涵蓋系統(tǒng)維護的具體操作程序、系統(tǒng)維護時間進度的要求，包括同其他系統(tǒng)的相關性、最早的開始時間與最晚的結束時間等。. 操作細則應包含操作過程中發(fā)生非預期的錯誤或其他異常情況的指導說明。. 操作細則應包含意外的操作困難或技術難題出現(xiàn)時的支持聯(lián)系人。. 操作細則應包含故障情況下系統(tǒng)的重啟和恢復程序。. 故障管理. 系統(tǒng)管理員在處理故障后應將系統(tǒng)的故障記錄在案，故障報告應包括故障起止時間、故障現(xiàn)象、業(yè)務影響、故障原因分析、處理過程及結果、故障恢復證據、事后的補救措施等。. 信息安全工作小組應審核故障報告，審核包括：故障已被正確解決；故障對系統(tǒng)安全造成的破壞已得到修補和恢復；補救措施本身不會危及系統(tǒng)安全；具體的補救措施已經過授權；補救措施已得到有效實施。. 故障處理流程應按照《xxxx有限公司IT 服務管理體系》中“問題管理流程”進行。. 機房安全管理. xxxx有限公司建立規(guī)范的機房安全管理規(guī)定，加強機房安全管理，減少威脅來源。. 機房安全管理包括機房場地基本要求、機房場地檢查與維護、機房保安管理、機房消防管理、機房通風與溫濕度控制、機房供電管理以及機房電磁防護、防靜電、防雷擊等要求，詳細管理要求參見《xxxx有限公司數(shù)據處理與存儲中心（IDC 機房）運行管理規(guī)定》。. 人機工效管理. xxxx有限公司應每年定期進行人機工效的調查與評估，調查與評估包括作業(yè)的方式和方法包括、IT 設備運行環(huán)境等。. 人機工效的調查與評估的方式包括現(xiàn)場檢查、在線調查、收集員工的投訴與建議、借鑒同行業(yè)經驗等. xxxx有限公司應對人機工效的調查和評估的結果分析，并制定措施加以改進與優(yōu)化。. xxxx有限公司建立機房 KVM 集中監(jiān)控系統(tǒng)，將IDC 機房內的IT 設備連入KVM 系統(tǒng)，實現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控；. xxxx有限公司將員工的人機工效的目的和作用培訓納入年度培訓計劃。. 網絡與信息安全設備管理. 網絡與信息安全設備管理包括基本的安全設備或用具及其管理。. xxxx有限公司根據網絡與信息專業(yè)工作性質與可能的危害，提供安全、適用的安全設備或用具，以提高信息安全技術裝備水平及管理水平，安全設備或用具至少包括：a) 防火墻b) 入侵保護系統(tǒng)（IPS）c) 入侵檢測系統(tǒng)（IDS）d) 漏洞掃描系統(tǒng)e) 防病毒系統(tǒng)f) 網絡分析儀. xxxx有限公司每年制定信息安全設備或用具購置計劃，組織采購，并對安全工設備或用具需求計劃進行評估、回顧和修訂. 建立信息安全設備或用具清單，記錄設備或用具信息，明確檢測、檢驗與維護周期和內容，清單內容包括：a) 設備編號b) 設備功能c) 設備采購日期d) 設備版本及更新情況e) 設備保管人員f) 建立信息安全設備或用具的發(fā)放、使用、借用記錄。. 對相關員工進行設備或用具的的使用、檢查、維護和操作的培訓，確保所有安全設備或用具的操作人員具備相應的技術水平。. 按照確定的頻率和內容對安全設備或用具進行檢測和檢查，未經檢驗或檢驗不合格的設備或用具嚴禁使用并進行標識。檢驗后應張貼標識，標明檢驗日期、有效期，保存相應的記錄。. 信息安全保護等級管理. 系統(tǒng)定級與審批. 信息安全等級保護遵循“自主定級、自主保護”原則。通過對信息系統(tǒng)的安全保護等級進行定級、測評和落實防護措施，確保信息系統(tǒng)安全控制措施滿足相關要求。. 信息安全工作小組應依據國家頒布的《信息安全等級保護管理辦法》、國家電力監(jiān)管委員會《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導意見》及南方電網公司的《信息安全等級保護定級規(guī)范》對信息系統(tǒng)安全進行定級。. 對于已運營（運行）的第二級以上信息系統(tǒng)，信息中心應當在安全保護等級確定后 30 日內到廣州公安公司辦理備案手續(xù)。. 對于新建安全保護等級為第二級及以上的系統(tǒng)，信息中心應當在系統(tǒng)投入運行后30日內到深圳公安局辦理備案手續(xù)。. 對于第三級及以上信息系統(tǒng)，信息中心報公司審核批準后，到深圳公安局辦理備案手續(xù)。. 信息系統(tǒng)等級保護. 信息安全工作小組應依據國家頒布的信息安全等級. 保護技術標準、技術規(guī)范要求，對信息系統(tǒng)安全進行差距測評，并落實各信息系統(tǒng)的防護措施。. 信息系統(tǒng)等級測評. 等級測評工作應由具有國家相關技術資質和安全資質的測評單位承擔。. 對于新建、改建、擴建的二級及以上信息系統(tǒng)，應經測評機構測評合格方可投入使用，安全測評和風險評估要形成相關文檔，作為項目驗收的重要內容。等級為三級的信息系統(tǒng)每年進行一次等級測評，等級為四級的信息系統(tǒng)每半年進行一次等級測評。. 系統(tǒng)安全建設管理. 系統(tǒng)安全方案設計要求. 信息中心負責對二級及以上的信息系統(tǒng)的安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃。. 信息安全工作小組應根據系統(tǒng)的風險評估結果選擇安全措施，安全措施應滿足系統(tǒng)安全保護等級基本安全措施的要求。信息安全工作小組應根據信息系統(tǒng)安全評估的結果和安全等級劃分情況統(tǒng)一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套文件。. 對于二級及以上的信息系統(tǒng)，信息中心應組織相關部門和有關安全技術專家對信息系統(tǒng)的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定。只有在經過信息中心主管領導批準后，才能正式實施。. 信息安全工作小組應根據安全評估的結果定期調整和修訂總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件。12. 通信和操作管理. 變更管理. 系統(tǒng)的任何變更必須受到嚴格控制，系統(tǒng)變更包括但不限于：網絡結構與系統(tǒng)參數(shù)的調整、硬件的增減與更換、軟件版本與補丁的變更、維護計劃/操作細則/作業(yè)指導書的改變等。. 任何變更必須經過授權，記錄在案并接受測試。. 系統(tǒng)管理員應識別并評估變更的潛在影響，并進行相關測試；. 系統(tǒng)管理員應制定變更失敗的恢復措施，并進行失敗回退后的驗證測試，確保變更失敗回退成功；. 系統(tǒng)管理員應將變更內容及步驟書面化，向所有相關人員傳達變更細節(jié)，明確各方的責任；. 系統(tǒng)管理員應填寫系統(tǒng)變更申請表，并獲得信息中心平臺分部主管批準；. 變更實施時系統(tǒng)管理員應記錄所有的變更過程和內容；. 變更完成后系統(tǒng)管理員應保留并歸檔所有的變更記錄，并更新相關的文檔，如安全策略文檔、系統(tǒng)運行檔案等。. 第三方安全管理. xxxx有限公司對第三方單位進行風險控制、資質要求、服務質量評價等方面管理。. xxxx有限公司對第三方安全管理內容包括：1) 識別、評估第三方進入xxxx有限公司帶來的風險2) 對第三方風險控制要求3) 第三方現(xiàn)場信息安全表現(xiàn)與服務質量評價4) 第三方自身信息安全管理情況評價5) 信息安全保密管理要求6) xxxx有限公司應對第三方進行安全相關的資質審查，審查內容應包括：7) 許可的相關資質8) 質量管理體系9) 以往的信息安全服務表現(xiàn)和評價10) 第三方員工培訓與能力證明資料. xxxx有限公司應建立程序對第三方進行評價，評價內容包括：1) 第三方的服務和技術支持能力2) 第三方提供產品的安全性及運行情況3) 第三方安全管理制度的執(zhí)行情況4) 第三方合同管理與履約情況. xxxx有限公司對第三方單位的安全管理按照《第三方單位及人員管理規(guī)定》執(zhí)行。. 信息安全科技與創(chuàng)新管理. xxxx有限公司鼓勵開展信息安全方面技術應用的研究。. xxxx有限公司鼓勵開展信息安全方面管理提升的研究。. 信息安全技術應用(包括新產品、新技術、新工藝、新設計等)前應進行風險評估與分析，并制定其風險的控制措施。. 信息安全管理制度（包括規(guī)范、制度等）在頒布前應進行評審，并采取相應措施，保證貫徹執(zhí)行。. xxxx有限公司定期對信息安全科技與創(chuàng)新應用成果和效果進行回顧。. 糾正與預防管理. xxxx有限公司應根據年度信息安全風險評估、信息安全大檢查、信息安全等級保護及日常運維工作中發(fā)現(xiàn)的信息安全問題，提出安全整改措施與計劃，并及時整改糾正。. 整改及糾正的要求至少包括：1) 整改糾正行動應書面化2) 執(zhí)行整改糾正行動的責任部門、責任人、工作內容、工作時間、工作地點3) 及時反饋整改糾正行動的執(zhí)行情況4) 責任部門應審閱整改糾正行動的執(zhí)行情況報告，并對不符標準的提出處理意見5) 通過流程測試等方法檢驗整改糾正行動的效果6) 應評估整改糾正行動，以確保類似問題不會再次發(fā)生. xxxx有限公司組織進行整改糾正與預防效果評估，評估整改糾正與預防行動解決根本原因問題的有效性，并保持整改糾正和預防行動的記錄并隨時可用，評估方法包括：1) 整改情況檢查2) 信息安全事件統(tǒng)計. 風險評估與控制管理. 信息安全風險評估與控制遵循“誰主管誰負責，誰運營誰負責”的工作原則。. 信息中心及系統(tǒng)運營部門應采用風險管理的理念與方法來識別、評估信息系統(tǒng)面臨的風險，制定風險控制措施，把風險降低到可接受的程度，實現(xiàn)風險的超前控制，實現(xiàn)基于風險的信息安全管理。. 風險評估和控制應貫穿于信息系統(tǒng)生命周期的各階段中，包括規(guī)劃、設計、實施、運