【正文】 . 本辦法自頒布之日起施行?？偨Y(jié)報(bào)告應(yīng)包括安保任務(wù)完成情況、對(duì)方案的評(píng)價(jià)、主要經(jīng)驗(yàn)和教訓(xùn)、改進(jìn)措施和建議等。 出現(xiàn)突發(fā)事件后，按照應(yīng)急預(yù)案妥善處置保供電期間的突發(fā)信息安全事件，控制突發(fā)事件影響的范圍和程度，并及時(shí)上報(bào)。同時(shí)，做好網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行狀態(tài)監(jiān)控工作，每天及時(shí)上報(bào)運(yùn)行狀態(tài)報(bào)告。 （ 6）應(yīng)在總體應(yīng)急預(yù)案的指導(dǎo)下，完善網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，并組建內(nèi)、外應(yīng)急保障隊(duì)伍，組織各單位進(jìn)行演練，聯(lián)合演練；開展應(yīng)急值守，對(duì)信息Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 17頁 系統(tǒng)進(jìn)行全面監(jiān)控，發(fā)現(xiàn)問題及時(shí)處理，并與國(guó)家和行業(yè)的權(quán)威機(jī)構(gòu)建立應(yīng)急聯(lián)動(dòng)機(jī)制，提高信息安全事件的快速處置能力。各單位針對(duì)安全檢查發(fā)現(xiàn)問題開展整改，并提交整改報(bào)告。全面梳理公司技術(shù)防護(hù)措施的落實(shí)情況，必要時(shí)組織開展網(wǎng)絡(luò)與重要信息系統(tǒng)的技術(shù)防護(hù)體系完善工作。 （ 3）應(yīng)根據(jù)領(lǐng)導(dǎo)小組辦公室下發(fā)的任務(wù)表單模板和工作方案要求，制定信息安全任務(wù)表單。 （ 2）應(yīng)根據(jù)保供電總體工作方案與具體工作要求，編寫工作方案，明確網(wǎng)絡(luò)與安全總體目標(biāo)、組織機(jī)構(gòu)、各階段工作安排、具體措施（包括重點(diǎn)網(wǎng)絡(luò)安全防護(hù)措施、敏感信息管控措施、實(shí) 時(shí)監(jiān)控措施等）。 . 準(zhǔn)備階段 （ 1）應(yīng)根據(jù)保供電網(wǎng)絡(luò)與信息安全工作要求，成立信息安全工作組，明確工作組職責(zé)、人員組成、聯(lián)系方式。 . 作業(yè)要求 重大活動(dòng)網(wǎng)絡(luò)與信息安全工作按照供保電級(jí)別，由相應(yīng)實(shí)施主體的信息管理和運(yùn)行部門負(fù)責(zé)開展網(wǎng)絡(luò)與 信息安全保障工作，其中，特級(jí)保供電以網(wǎng)公司為實(shí)施主體，一級(jí)保供電以省公司為實(shí)施主體，二級(jí)保供電以地市供電局為實(shí)施主體，三級(jí)保供電以縣（區(qū)）供電局為實(shí)施主體。 . 信息安全人員應(yīng)定期參加下列信息安全知識(shí)和技能的培訓(xùn)： Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 16頁 （ 1）信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)； （ 2）信息安全基本知識(shí)的培訓(xùn)； （ 3）信息安全專門技能的培訓(xùn)。 . 各單位應(yīng)書面形式告知相關(guān)人員相應(yīng)的安全責(zé)任和懲戒 措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。 （ 7）應(yīng)對(duì)運(yùn)維外包商的維護(hù)實(shí)施情況進(jìn)行持續(xù)檢查，確保其維護(hù)服務(wù)期內(nèi)實(shí)施符合第三方人員訪問的安全要求。 （ 5） 由于系統(tǒng) /軟件的局限性，預(yù)定的控制措施無法實(shí)現(xiàn)時(shí)，則須采用可接受的取代方案，并對(duì)外包軟件開發(fā)商的訪問過程進(jìn)行審計(jì)。 （ 3）必須對(duì)外包軟件完 成的質(zhì)量和功能的滿足性進(jìn)行審計(jì)檢查。 . 外包商安全管理 （ 1） 軟件開發(fā)外包、運(yùn)維外包中的一切活動(dòng)必須符合第三方訪問的安全要求。 （ 2）保密協(xié)議或合同中有關(guān)的安全要求必須符合公司信息系統(tǒng)安全的總體策略。 （ 5）必須對(duì)第三方 人員訪問的操作內(nèi)容進(jìn)行詳細(xì)記錄，并對(duì)記錄及時(shí)進(jìn)行審計(jì)。 （ 3）應(yīng)對(duì)第三方人員的邏輯訪問需要采取控制措施，避免系統(tǒng)內(nèi)部信息的泄露。未經(jīng)授權(quán)的第三方人員不得進(jìn)行任何方式的訪問，訪問結(jié)束應(yīng)取消相應(yīng)的授權(quán)。 （ 2）違反國(guó)家法律、法規(guī)和行業(yè)規(guī)章受到處罰的 人員，不得從事信息安全相關(guān)工作。 . 各單位信息安全領(lǐng)導(dǎo)及工作機(jī)構(gòu) （ 1）各單位對(duì)應(yīng)成立信息安全領(lǐng)導(dǎo)和工作機(jī)構(gòu)，落實(shí)本單位信息安全相關(guān)工作。 （ 7）及時(shí)向信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和上級(jí)有關(guān)部門、單位報(bào)告信息安全事件。 （ 5）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對(duì)策。 （ 3）組織對(duì)重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行。 . 信息安全工作機(jī)構(gòu)主要職責(zé) （ 1） 貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)機(jī)構(gòu)的決議，協(xié)調(diào)和規(guī)范公司信息安全工作。 （ 3）領(lǐng)導(dǎo)并監(jiān)督公司信息系統(tǒng)安全體系的日常工作，協(xié)調(diào)處理公司信息安全重大事件。 . 信息安全領(lǐng)導(dǎo)機(jī)構(gòu)主要職責(zé) （ 1）根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。 . 物理 環(huán)境安全管理 物理環(huán)境安全策略包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、電力供應(yīng)和電磁防護(hù)等方面，防護(hù)策略應(yīng)滿足《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中信息系統(tǒng)相應(yīng)安全等級(jí)物理安全和《電子計(jì) 算機(jī)機(jī)房設(shè)計(jì)規(guī)范》有關(guān)要求。 . 信息系統(tǒng)因需求變化、安全防護(hù)需要等原因進(jìn)行打補(bǔ)丁升級(jí)，項(xiàng)目組 應(yīng)對(duì)補(bǔ)丁進(jìn)行安全測(cè)試后再實(shí)施。 . 在信息系統(tǒng)建轉(zhuǎn)運(yùn)階段，在信息系統(tǒng)投入試運(yùn)行之前，根據(jù)安全 防護(hù)技術(shù)要求 ，項(xiàng)目 組組織對(duì) 應(yīng)用 系統(tǒng) 進(jìn)行入網(wǎng)安全測(cè)評(píng)。 . 在信息系統(tǒng)設(shè)計(jì)階段，根據(jù)安全 防護(hù)技術(shù)要求 ，項(xiàng)目組 組織 對(duì)應(yīng)用系統(tǒng) 進(jìn)行安全設(shè)計(jì) 。 . 作業(yè) 要求 . 應(yīng)用系統(tǒng)安全防護(hù)應(yīng)貫穿于應(yīng)用系統(tǒng)規(guī)劃、需求分析、設(shè)計(jì)、開發(fā)、實(shí) 施和運(yùn)行維護(hù)的生命周期各個(gè)階段。 . 應(yīng)用軟件安全防護(hù) 包括身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)、資源控制等方面，防護(hù)策略應(yīng)滿足《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中信息系統(tǒng)相應(yīng)安全等級(jí)應(yīng)用安全有關(guān)要求。 . 應(yīng)用 系統(tǒng)安全防護(hù)管理 . 技術(shù) 要求 應(yīng)用系統(tǒng)安全防護(hù)包括中間件安全、應(yīng)用軟件安全、數(shù)據(jù)安全等。 . 在 信息系統(tǒng)規(guī)劃、設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)維等階段，項(xiàng)目組應(yīng)組織對(duì)影響網(wǎng)絡(luò)拓?fù)洹⑿阅?、安全性等方面的風(fēng)險(xiǎn)進(jìn)行評(píng)估分析，設(shè)計(jì)解決方案，并Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 12頁 根據(jù)安全 防護(hù)技術(shù)要求 ， 對(duì)系統(tǒng) 進(jìn)行入網(wǎng)安全測(cè)評(píng)。 . 作業(yè) 要求 . 在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段，應(yīng) 根據(jù) 國(guó)家信息安全保護(hù)等級(jí)要求、電力二次防護(hù)要求，網(wǎng)絡(luò) 管理員參與對(duì) 網(wǎng)絡(luò) 進(jìn)行 安全區(qū)域劃分 。 . 網(wǎng)絡(luò)與安全設(shè)備安全防護(hù) （ 1） 網(wǎng)絡(luò)與安全設(shè)備指連接在管理信息系統(tǒng)中的承載路由、交換或安全防護(hù)功能的物理實(shí)體，包括交換機(jī)、路由器、防火墻、入侵檢測(cè)系統(tǒng)、負(fù)載均衡系統(tǒng)、網(wǎng)閘、 Web 應(yīng)用防火墻、流量控制系統(tǒng)等。 （ 10）互聯(lián)網(wǎng)出口開通、關(guān)閉、擴(kuò)容等重大調(diào)整應(yīng)嚴(yán)格規(guī)劃、測(cè)試、分析、開通及后評(píng)估。 （ 8）如業(yè)務(wù)部門需要將某應(yīng)用系統(tǒng)的應(yīng)用和服務(wù)發(fā)布到外網(wǎng) VPN，應(yīng)填寫《 VPN 發(fā)布應(yīng)用審批表》（見附錄 B）， 經(jīng) 批準(zhǔn)后，由網(wǎng)絡(luò)管理員進(jìn)行 VPN 配置，并做好訪問控制和安全審計(jì)等防護(hù)措施。 （ 6）應(yīng)定期對(duì)互聯(lián)網(wǎng)出口、互聯(lián)網(wǎng)的業(yè)務(wù)進(jìn)行安全檢測(cè)，包括對(duì)外部 網(wǎng)站、對(duì)外業(yè)務(wù)、郵件等的安全掃描、安全檢查、遠(yuǎn)程滲透測(cè)試等，并形成安全檢測(cè)報(bào)告。 （ 4）互聯(lián)網(wǎng)出口必須對(duì)進(jìn)出的數(shù)據(jù)流進(jìn)行嚴(yán)格的安全訪問控制，對(duì)于需對(duì)外開放的應(yīng)用、服務(wù)須經(jīng)互聯(lián)網(wǎng)出口信息管理部門審核批準(zhǔn)，未經(jīng)審核批準(zhǔn)的應(yīng)用和服務(wù)一律禁止對(duì)外開放。 （ 2）互聯(lián)網(wǎng)出口應(yīng)部署抗 DDos 攻擊、防火墻、入侵檢測(cè) /入侵防御、鏈路負(fù)載均衡、流量管理等設(shè)備進(jìn)行安全防護(hù)管理。 （ 9）應(yīng)對(duì)無線局域網(wǎng)的覆蓋范圍進(jìn)行限制。 （ 7）應(yīng)對(duì)無線局域網(wǎng)用戶進(jìn)行資源訪問控制，防止未經(jīng)授權(quán)訪問行為。 （ 5）應(yīng)采用安全認(rèn)證機(jī)制對(duì)接 入的用戶進(jìn)行認(rèn)證，防止非法用戶接入。 （ 3）應(yīng)采用入侵檢測(cè)、拒絕服務(wù)攻擊等措施，防止非法無線 AP 接入無線局