【正文】 及規(guī)劃報(bào)告》。7. 安全管理員每年對(duì)關(guān)鍵信息資產(chǎn)進(jìn)行一次全面安全評(píng)估，評(píng)估完成后提交《關(guān)鍵信息資產(chǎn)評(píng)估表》。8. 安全管理員根據(jù)以上評(píng)估報(bào)告與各系統(tǒng)管理員共同決定安全性修復(fù)方案，包括補(bǔ)丁更新或配置調(diào)整。9. 各系統(tǒng)管理員在安全服務(wù)商的協(xié)助下，完成系統(tǒng)等安全性修復(fù)。修復(fù)的測(cè)試及審批要嚴(yán)格遵守信息系統(tǒng)資源配置、調(diào)整規(guī)范。10. 安全管理員應(yīng)定期向信息中心安全負(fù)責(zé)人報(bào)告評(píng)估及修復(fù)的情況。 安全管理制度 設(shè)備安全管理1. 所有信息系統(tǒng)設(shè)備的選型、采購(gòu)要嚴(yán)格按公司管理流程，辦理有關(guān)審核手續(xù)后進(jìn)行。2. 設(shè)備選型與采購(gòu)除須遵守公司現(xiàn)有流程和規(guī)定外，還須以書面形式向科技信息部提供擬購(gòu)設(shè)備詳細(xì)信息，包括設(shè)備生產(chǎn)廠商，供貨商，型號(hào)，軟硬件配置，性能，以及設(shè)備安裝位置，使用目的和網(wǎng)絡(luò)接入方式；經(jīng)信息管理部門核準(zhǔn)后，才可進(jìn)入下一步程序。3. 計(jì)算機(jī)機(jī)房的建設(shè)應(yīng)符合國(guó)家標(biāo)準(zhǔn)以及國(guó)家和公司有關(guān)規(guī)定，配備UPS電源和必要的防雷接地、防火、防水、防盜、防暑等設(shè)施。4. 公司統(tǒng)一部署建設(shè)的信息系統(tǒng)設(shè)備，由科技信息部負(fù)責(zé)設(shè)備運(yùn)行和維護(hù)。各部門或單位負(fù)責(zé)對(duì)所購(gòu)設(shè)備的管理，必須明確專人負(fù)責(zé)設(shè)備的保管、運(yùn)行和維護(hù)。5. 設(shè)備在使用期間，任何個(gè)人不得隨意更改軟、硬件配置。若因工作需要發(fā)生設(shè)備拆卸、轉(zhuǎn)移和維修、硬件升級(jí)或更新等變化時(shí)，必須獲得部門、單位領(lǐng)導(dǎo)批準(zhǔn)，并及時(shí)提供準(zhǔn)確信息交科技信息部備案。服務(wù)器、網(wǎng)絡(luò)設(shè)備和系統(tǒng)軟件版本的變動(dòng)，還必須得到科技信息部的批準(zhǔn)。6. 設(shè)備使用期結(jié)束，在做固定資產(chǎn)處置時(shí)，除按規(guī)定流程處理外，也須及時(shí)報(bào)科技信息部備案。7. 設(shè)備負(fù)責(zé)人、使用人，對(duì)設(shè)備及其所有存儲(chǔ)的數(shù)據(jù)和信息負(fù)有特殊安全責(zé)任，在設(shè)備使用過(guò)程中，必須認(rèn)真維護(hù)，正當(dāng)操作，保持設(shè)備良好的運(yùn)行狀況，保證輸入數(shù)據(jù)的完整性和正確性。 軟件使用管理1. 公司所屬信息系統(tǒng)上不得安裝未經(jīng)信息管理部門同意的軟件。2. 操作系統(tǒng)，數(shù)據(jù)庫(kù)系統(tǒng)軟件，辦公軟件，防病毒軟件，Internet瀏覽器、Email軟件以及其它通用軟件，由信息管理部門統(tǒng)一管理。任何部門、單位或個(gè)人安裝未經(jīng)同意的軟件引起的一切信息安全后果，由該部門、單位或個(gè)人負(fù)責(zé)。3. 公司統(tǒng)一建設(shè)的信息系統(tǒng)的軟件管理，由科技信息部負(fù)責(zé)。專業(yè)應(yīng)用系統(tǒng)的系統(tǒng)平臺(tái)和系統(tǒng)軟件（操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等），納入信息管理部門統(tǒng)一管理，其技術(shù)配置和系統(tǒng)方案必須經(jīng)信息管理部門批準(zhǔn)。4. 所有安裝的系統(tǒng)軟件須及時(shí)按信息管理部門要求打補(bǔ)丁和升級(jí)程序?？蛻舳擞?jì)算機(jī)的系統(tǒng)軟件升級(jí)和補(bǔ)丁安裝原則上由使用者按要求及時(shí)完成；專業(yè)應(yīng)用系統(tǒng)由所屬部門、單位負(fù)責(zé)按時(shí)完成；公司統(tǒng)一建設(shè)的信息系統(tǒng)由信息管理部門組織完成。信息管理部門應(yīng)及時(shí)做好技術(shù)支持工作。5. 各部門、單位須向信息管理部門及時(shí)提供有關(guān)安裝軟件及其補(bǔ)丁的信息，信息主要包括軟件類別，軟件版本，補(bǔ)丁版本，軟件用途等信息。6. 嚴(yán)禁任何部門，單位和個(gè)人安裝和使用黑客、破解、網(wǎng)絡(luò)檢測(cè)以及其它可能影響或破壞公司網(wǎng)絡(luò)運(yùn)行的軟件；確屬工作特殊需要的，須經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)后，由信息管理部門實(shí)施。7. 為實(shí)現(xiàn)某一工作目的而使用的專業(yè)應(yīng)用軟件的管理，原則上由立項(xiàng)建設(shè)或使用的部門負(fù)責(zé)。 網(wǎng)絡(luò)應(yīng)用管理1. 接入公司的信息網(wǎng)絡(luò)，必須事先向信息管理部門提出申請(qǐng)，得到批準(zhǔn)后方可實(shí)施，并服從信息管理部門的資源分配和技術(shù)要求。2. IP地址由信息管理部門統(tǒng)一管理。網(wǎng)絡(luò)地址應(yīng)采用固定IP地址方式，用戶不得盜用和隨意更改IP地址。若因工作需要使用臨時(shí)IP地址，須向信息管理部門申請(qǐng)，按照指定的IP地址設(shè)置。3. 開(kāi)發(fā)和測(cè)試信息應(yīng)用系統(tǒng)時(shí)，原則上不得將其連接到公司內(nèi)部網(wǎng)絡(luò)上，若確因工作需要連接，必須采取適當(dāng)安全措施，并經(jīng)信息管理部門核準(zhǔn)。應(yīng)用系統(tǒng)開(kāi)發(fā)測(cè)試通過(guò)后，須向信息管理部門提出申請(qǐng)，經(jīng)審核批準(zhǔn)后，方可接入公司信息網(wǎng)絡(luò)。4. 個(gè)人和部門不得私自設(shè)立WWW、FTP、BBS、NEWS、Domino等應(yīng)用服務(wù)，確因工作需要設(shè)立的，須經(jīng)信息管理部門批準(zhǔn)。5. 不得進(jìn)行端口、地址掃描等任何影響和破壞網(wǎng)絡(luò)運(yùn)行的活動(dòng)，不得使用搜索代理等網(wǎng)絡(luò)工具，不得占用過(guò)多的網(wǎng)絡(luò)資源。信息管理部門對(duì)占用過(guò)多資源的設(shè)備可采取一切必要強(qiáng)制措施。6. 部門、單位和個(gè)人不得安裝和啟動(dòng)動(dòng)態(tài)路由、DNS、WINS、DHCP等網(wǎng)絡(luò)服務(wù)。若確因工作需要，不許獲得信息管理部門的批準(zhǔn)。并負(fù)責(zé)做好必要安全措施。7. 公司外部公共網(wǎng)絡(luò)系統(tǒng)，由信息管理部門統(tǒng)一建設(shè)、配置和管理。外部公共網(wǎng)絡(luò)與公司內(nèi)部信息網(wǎng)絡(luò)應(yīng)采取安全隔離措施。8. 公司Internet出口由信息管理部門統(tǒng)一管理和配置，任何部門、單位均不得私自建立Internet出口，否則引起的后果由該部門、單位完全負(fù)責(zé)。有關(guān)業(yè)務(wù)部門，任何個(gè)人必須在許可后方能使用Internet.9. 不應(yīng)利用公司Internet出口服務(wù)訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站。信息管理部門負(fù)責(zé)監(jiān)控和統(tǒng)計(jì)員工、部門的Internet使用情況。10. 員工不得在公司私自撥號(hào)上網(wǎng)。對(duì)工作需要上網(wǎng)的，可向信息管理部門申請(qǐng)，批準(zhǔn)后方可實(shí)施。11. 對(duì)經(jīng)批準(zhǔn)可以撥號(hào)上網(wǎng)的，與外部網(wǎng)絡(luò)連接時(shí)使用者負(fù)責(zé)斷開(kāi)與公司內(nèi)部網(wǎng)絡(luò)連接。12. 員工的Email郵箱的配置應(yīng)符合公司的相關(guān)要求。13. 對(duì)于公司的工作郵箱，應(yīng)使用公司統(tǒng)一提供的郵件系統(tǒng)。14. 不宜在工作時(shí)間訪問(wèn)個(gè)人私有的公共網(wǎng)絡(luò)郵箱。若必須訪問(wèn)的，個(gè)人須對(duì)其訪問(wèn)私人郵箱的安全后果負(fù)責(zé)任。15. 員工若收到可疑的Email郵件，不要打開(kāi)并妥善處理，必要時(shí)應(yīng)通知信息專業(yè)人員處理。16. 設(shè)計(jì)公司敏感信息的資料不應(yīng)通過(guò)電子郵件發(fā)送，禁止使用電子郵件發(fā)送公司機(jī)密信息。 計(jì)算機(jī)病毒防治管理1. 計(jì)算機(jī)病毒防治工作由信息管理部門統(tǒng)一管理，有關(guān)職能部門、單位應(yīng)配合做好信息系統(tǒng)病毒預(yù)防和控制工作。2. 安全管理員負(fù)責(zé)頒布最新病毒告警及防范措施，并及時(shí)更新、升級(jí)防病毒軟件及病毒庫(kù)。公司統(tǒng)一建設(shè)的信息系統(tǒng)的病毒防治，由信息管理部門負(fù)責(zé)組織完成；專業(yè)應(yīng)用系統(tǒng)的病毒防治，由信息管理部門和相關(guān)職能部門、單位共同配合完成。3. 不得制作、傳播、復(fù)制和收集計(jì)算機(jī)病毒，不得向他們提供含有計(jì)算機(jī)病毒的文件、軟件和介質(zhì)。4. 所有信息系統(tǒng)必須安裝、運(yùn)行公司規(guī)定的標(biāo)準(zhǔn)防病毒軟件。按照職責(zé)分工，有關(guān)部門、單位和人員負(fù)責(zé)及時(shí)完成防病毒軟件的升級(jí)、病毒代碼庫(kù)的升級(jí)以及其它防病毒措施。5. 不得安裝未經(jīng)公司許可的防病毒軟件和病毒監(jiān)控軟件，未經(jīng)許可，部門、單位和個(gè)人不得隨意下載標(biāo)準(zhǔn)規(guī)定之外的防病毒軟件和病毒監(jiān)控程序，不得卸載公司統(tǒng)一安裝的防病毒軟件。用戶在使用計(jì)算機(jī)時(shí)應(yīng)運(yùn)行防病毒軟件，并定期進(jìn)行病毒檢測(cè)和清除。用戶應(yīng)積極配合信息管理部門進(jìn)行查毒、殺毒工作。6. 裝有病毒代碼同步升級(jí)管理的服務(wù)器，必須是專用服務(wù)器，該服務(wù)器不得安裝其它軟件。7. 裝有病毒代碼同步升級(jí)管理的服務(wù)器，必須有專人負(fù)責(zé)，該人要每天檢查代碼更新情況。8. 新購(gòu)置的，借入的或維修返回的計(jì)算機(jī)，使用者在使用前應(yīng)當(dāng)對(duì)計(jì)算機(jī)認(rèn)真進(jìn)行病毒檢查，確保無(wú)病毒之后才能接入公司網(wǎng)絡(luò)，投入正式使用。9. 軟盤、光盤以及其它移動(dòng)存儲(chǔ)介質(zhì)在使用前應(yīng)由使用者進(jìn)行病毒檢測(cè)，嚴(yán)禁使用任何未經(jīng)防病毒軟件檢測(cè)通過(guò)的存儲(chǔ)介質(zhì)。10. 計(jì)算機(jī)軟件以及從其它渠道獲得的電腦文件，在安裝或使用前應(yīng)由使用者進(jìn)行病毒檢測(cè)，禁止安裝或使用未經(jīng)檢測(cè)通過(guò)的軟件或帶毒文檔。11. 任何部門、單位和個(gè)人向外發(fā)布文件或軟件時(shí)，應(yīng)該用公司規(guī)定的防病毒軟件檢查，由病毒應(yīng)及時(shí)清除，之后才能向外發(fā)布。12. 在收到公司內(nèi)部員工發(fā)來(lái)的文件中發(fā)現(xiàn)病毒，應(yīng)及時(shí)通知對(duì)方殺毒。13. 任何部門、單位和個(gè)人在公司內(nèi)部網(wǎng)絡(luò)下載程序，數(shù)據(jù)時(shí)，應(yīng)當(dāng)進(jìn)行計(jì)算機(jī)病毒檢測(cè)。14. 在收到的EMAIL郵件中，如果發(fā)現(xiàn)攜帶病毒，應(yīng)及時(shí)刪除并采取相應(yīng)措施。15. 信息系統(tǒng)設(shè)備的網(wǎng)絡(luò)參數(shù)設(shè)置應(yīng)符合信息管理部門的標(biāo)準(zhǔn)和要求。16. 如果發(fā)現(xiàn)本機(jī)感染了病毒，應(yīng)首先斷開(kāi)網(wǎng)絡(luò)連接，并向信息管理部門或負(fù)責(zé)本部門、單位病毒防止的人員報(bào)告，采取適當(dāng)措施處理。17. 如果發(fā)現(xiàn)防病毒軟件不能清除的病毒，應(yīng)及時(shí)上報(bào)上級(jí)信息管理部門，同時(shí)斷開(kāi)網(wǎng)絡(luò)連接。在問(wèn)題未處理之前，禁止該計(jì)算機(jī)再次連入網(wǎng)絡(luò)。 外部遠(yuǎn)程訪問(wèn)管理1. 任何部門、單位和個(gè)人不得私自設(shè)置遠(yuǎn)程訪問(wèn)服務(wù)。2. 若因工作需要必須提供遠(yuǎn)程訪問(wèn)服務(wù)的，須向信息管理部門申請(qǐng)，經(jīng)批準(zhǔn)后由信息管理人員進(jìn)行設(shè)置。3. 對(duì)于支持遠(yuǎn)程訪問(wèn)的計(jì)算機(jī)系統(tǒng)配置，IP地址及用戶登錄信息必須嚴(yán)格保密，有條件時(shí)應(yīng)做到定期更改。由信息管理部門指定專人負(fù)責(zé)有關(guān)具體工作4. 只有在工作需要時(shí)才可以開(kāi)放遠(yuǎn)程訪問(wèn)服務(wù)，其它時(shí)間一律關(guān)閉。5. 遠(yuǎn)程訪問(wèn)結(jié)束之后，應(yīng)及時(shí)切斷連接。 信息發(fā)布管理1. 公司對(duì)外公共信息發(fā)布平臺(tái)及門戶網(wǎng)站，由公司科技信息部統(tǒng)一建設(shè)、配置和管理。2. 信息的發(fā)布須征得相關(guān)部門或公司領(lǐng)導(dǎo)的批準(zhǔn)。未經(jīng)許可，任何個(gè)人和部門、單位不得私自發(fā)布與公司有關(guān)的信息。3. 發(fā)布信息的準(zhǔn)確性、及時(shí)性由提供信息的部門負(fù)責(zé)；公司門戶網(wǎng)站和信息發(fā)布平臺(tái)的運(yùn)行維護(hù)工作和技術(shù)支持由信息管理部門負(fù)責(zé)。4. 信息發(fā)布平臺(tái)與公司的內(nèi)部信息系統(tǒng)之間采取必要的安全措施。5. 信息發(fā)布平臺(tái)和公司門戶網(wǎng)站由科技信息部指定專人負(fù)責(zé)病毒防治及其它信息安全保障工作。 數(shù)據(jù)與軟件備份管理1. 用戶應(yīng)定期對(duì)其使用計(jì)算機(jī)上的重要數(shù)據(jù)和專用軟件進(jìn)行備份。2. 公司統(tǒng)一運(yùn)行管理的信息系統(tǒng)的數(shù)據(jù)和軟件備份，由科技信息部負(fù)責(zé)組織完成。沒(méi)有納入公司統(tǒng)一管理的信息應(yīng)用系統(tǒng)，各部門、單位應(yīng)指定專人負(fù)責(zé)其軟件更新、備份和定期數(shù)據(jù)備份。3. 在進(jìn)行數(shù)據(jù)與軟件備份時(shí)，不應(yīng)影響相關(guān)系統(tǒng)的正常運(yùn)行。4. 在進(jìn)行數(shù)據(jù)與軟件備份之前，應(yīng)確保所使用的光盤、硬盤、磁帶等介質(zhì)安全可靠；備份完畢，應(yīng)確認(rèn)備份成功，并記錄詳細(xì)備份信息；備份人員應(yīng)妥善保存好備份介質(zhì)，進(jìn)行備份的介質(zhì)不應(yīng)再作其它用途。 考核辦法 考核目的信息安全網(wǎng)絡(luò)系統(tǒng)作為四川電力公司信息化系統(tǒng)正常運(yùn)行的重要保障，在電力系統(tǒng)已起到至關(guān)重要的作用。為保障網(wǎng)絡(luò)安全以及確保本規(guī)范明確的各項(xiàng)工作要求在實(shí)際工作中得到貫徹和落實(shí)，信息安全系統(tǒng)運(yùn)維知識(shí)的培訓(xùn)、管理、考核工作應(yīng)是必不可少的。 考核內(nèi)容安全管理員的考核是由部門運(yùn)維負(fù)責(zé)人直接考核，其主要內(nèi)容應(yīng)包含：（5） 是否對(duì)網(wǎng)絡(luò)安全進(jìn)行了巡查與監(jiān)控，并嚴(yán)格按照規(guī)定記錄相關(guān)信息；（6） 是否對(duì)故障以及問(wèn)題進(jìn)行及時(shí)的解決；（7） 是否有獨(dú)立解決問(wèn)題的能力，以及系統(tǒng)專業(yè)知識(shí)是否提高；（8） 是否按照規(guī)定對(duì)系統(tǒng)進(jìn)行備份；（9） 在維護(hù)流程中是否按照規(guī)定，進(jìn)行書面申請(qǐng)或記錄； 附錄 附表1 信息資產(chǎn)列表信息資產(chǎn)列表編號(hào)資產(chǎn)類別配置項(xiàng)配置子項(xiàng)備注硬件資產(chǎn)網(wǎng)絡(luò)設(shè)備服務(wù)器存儲(chǔ)設(shè)備附屬設(shè)施信息資產(chǎn)數(shù)據(jù)庫(kù)數(shù)據(jù)文件軟件資產(chǎn)系統(tǒng)軟件應(yīng)用軟件人員 附表2 口令更改、臨時(shí)口令授權(quán)申請(qǐng)表口令更改、臨時(shí)口令授權(quán)申請(qǐng)表申請(qǐng)信息申請(qǐng)人申請(qǐng)日期年 月 日口令級(jí)別□一般口令 □管理員口令 □超級(jí)管理員口令 口令類別□數(shù)據(jù)庫(kù)口令 □服務(wù)器口令 □操作系統(tǒng)口令 □應(yīng)用系統(tǒng)口令口令登錄系統(tǒng)口令更改原因□到期更改 □臨時(shí)授權(quán) □其他口令更改帶來(lái)的影響操作步驟計(jì)劃1. 2.更改人年 月 日運(yùn)維負(fù)責(zé)人年 月 日口令更改結(jié)果更改是否完成□是 □否完成日期年 月 日操作人口令位數(shù)知曉口令人員（請(qǐng)列出） 附表3 關(guān)鍵信息資產(chǎn)評(píng)估表關(guān)鍵信息資產(chǎn)評(píng)估表編號(hào)設(shè)備名稱風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)對(duì)策評(píng)估人注：關(guān)鍵資產(chǎn)主要為機(jī)房?jī)?nèi)核心設(shè)備，包括核心交換機(jī)、核心路由器、防火墻、精密空調(diào)、UPS等設(shè)備。 附表4 信息系統(tǒng)安全現(xiàn)狀及規(guī)劃報(bào)告信息系統(tǒng)安全現(xiàn)狀及規(guī)劃報(bào)告安全類別□ 安全設(shè)備 □ 服務(wù)器 □ 環(huán)境、場(chǎng)地 □ 應(yīng)用安全 應(yīng)用系統(tǒng)名稱_________________________________□ 管理安全安全隱患解決措施報(bào)告人 您好，歡迎您閱讀我的文章，本W(wǎng)ORD文檔可編輯修改，也可以直接打印。閱讀過(guò)后，希望您提出保貴的意見(jiàn)或建議。閱讀和學(xué)習(xí)是一種非常好的習(xí)慣，堅(jiān)持下去，讓我們共同進(jìn)步。