5國(guó)家電網(wǎng)公司信息系統(tǒng)安全管理辦法

2014-12-11 23:19:04 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

國(guó)家電網(wǎng)公司信息系統(tǒng)安全管理辦法；第一章總則；第一條為加強(qiáng)和規(guī)范國(guó)家電網(wǎng)公司（以下簡(jiǎn)稱(chēng)公司）信；第二條本辦法所稱(chēng)信息系統(tǒng)指公司一體化企業(yè)級(jí)信息系；第三條信息系統(tǒng)安全主要任務(wù)是確保信息系統(tǒng)持續(xù)、穩(wěn)；第四條公司信息系統(tǒng)安全堅(jiān)持“分區(qū)、分級(jí)、分域”總；第五條在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措；第六條本辦法適用于公司總部，各區(qū)域電網(wǎng)、省（自治；第二章信息系統(tǒng)

國(guó)家電網(wǎng)公司信息系統(tǒng)安全管理辦法

第一章總則

第一條為加強(qiáng)和規(guī)范國(guó)家電網(wǎng)公司（以下簡(jiǎn)稱(chēng)公司）信息系統(tǒng)安全工作，提高公司信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息系統(tǒng)安全的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)、規(guī)定及公司有關(guān)制度，制定本辦法。

第二條本辦法所稱(chēng)信息系統(tǒng)指公司一體化企業(yè)級(jí)信息系統(tǒng)，主要包括一體化企業(yè)級(jí)信息集成平臺(tái)（以下簡(jiǎn)稱(chēng)“一體化平臺(tái)”）和八大業(yè)務(wù)應(yīng)用。“一體化平臺(tái)”包含信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門(mén)戶(hù)；“業(yè)務(wù)應(yīng)用”包含財(cái)務(wù)（資金）管理、營(yíng)銷(xiāo)管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項(xiàng)目管理、綜合管理業(yè)務(wù)應(yīng)用。電力二次系統(tǒng)安全防護(hù)遵照國(guó)家電力監(jiān)管委員會(huì)5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》及其配套文件《電力二次系統(tǒng)安全防護(hù)總體方案》執(zhí)行。

第三條信息系統(tǒng)安全主要任務(wù)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類(lèi)攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對(duì)外服務(wù)中斷和由此造成的電力系統(tǒng)運(yùn)行事故。

第四條公司信息系統(tǒng)安全堅(jiān)持“分區(qū)、分級(jí)、分域”總體防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，實(shí)現(xiàn)“雙機(jī)雙網(wǎng)”，信息內(nèi)網(wǎng)定位為公司信息化“SG186”工程業(yè)務(wù)應(yīng)用承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，信息外網(wǎng)定位為對(duì)外業(yè)務(wù)網(wǎng)絡(luò)和訪問(wèn)互聯(lián)網(wǎng)用戶(hù)終端網(wǎng)絡(luò)。信息內(nèi)、外網(wǎng)之間實(shí)施強(qiáng)邏輯隔離的措施。電力二次系統(tǒng)實(shí)行“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的安全防護(hù)策略。

第五條在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。

第六條本辦法適用于公司總部，各區(qū)域電網(wǎng)、省（自治區(qū)、直轄市）電力公司和公司直屬單位（以下簡(jiǎn)稱(chēng)各單位）的信息系統(tǒng)安全管理工作。

第二章信息系統(tǒng)安全管理職責(zé)

第七條公司信息系統(tǒng)安全管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理。各單位主要負(fù)責(zé)人是本單位信息系統(tǒng)安全第一責(zé)任人，各單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位信息系統(tǒng)安全重大事項(xiàng)決策和協(xié)調(diào)工作。

第八條信息系統(tǒng)安全納入公司安全管理體系，實(shí)行專(zhuān)業(yè)管理、歸口監(jiān)督。公司信息化工作部是信息系統(tǒng)安全的管理部門(mén)，負(fù)責(zé)管理信息大區(qū)（信息內(nèi)網(wǎng)和信息外網(wǎng)）的安全保障，國(guó)家電力調(diào)度通信中心負(fù)責(zé)電力二次系統(tǒng)特別是生產(chǎn)控制大區(qū)系統(tǒng)的安全保障，安全監(jiān)察部負(fù)責(zé)公司信息系統(tǒng)安全監(jiān)督工作。

第九條公司信息化工作部主要職責(zé)：

（一）落實(shí)國(guó)家有關(guān)信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，聯(lián)系國(guó)家有關(guān)部門(mén)落實(shí)信息系統(tǒng)安全管理相關(guān)工作；

（二）組織制定公司信息系統(tǒng)安全管理規(guī)章制度和標(biāo)準(zhǔn)規(guī)范；

（三）指導(dǎo)、協(xié)調(diào)和檢查各單位信息系統(tǒng)安全工作，組織落實(shí)公司信息系統(tǒng)等級(jí)保護(hù)制度，統(tǒng)籌開(kāi)展公司信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和安全檢查工作；

（四）負(fù)責(zé)信息系統(tǒng)二級(jí)以下事故的調(diào)查和處理（公司信息系統(tǒng)安全事件描述見(jiàn)《國(guó)家電網(wǎng)公司信息系統(tǒng)事故調(diào)查與統(tǒng)計(jì)規(guī)定》）；協(xié)助信息系統(tǒng)一級(jí)、二級(jí)事故的調(diào)查和處理；

（五）在公司應(yīng)急體系框架內(nèi)，負(fù)責(zé)公司信息系統(tǒng)應(yīng)急管理相關(guān)工作；

（六）開(kāi)展涉密計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)立項(xiàng)、設(shè)計(jì)和建設(shè)，做好信息系統(tǒng)安全與保密檢查；

（七）負(fù)責(zé)規(guī)范公司信息系統(tǒng)安全產(chǎn)品的測(cè)評(píng)和選型工作。

第十條公司安全監(jiān)察部主要職責(zé)：

（一）負(fù)責(zé)公司信息系統(tǒng)安全全過(guò)程監(jiān)督檢查；

（二）負(fù)責(zé)信息系統(tǒng)一級(jí)、二級(jí)事故的調(diào)查和處理；

（三）負(fù)責(zé)監(jiān)督公司信息系統(tǒng)應(yīng)急管理工作落實(shí)；

（四）負(fù)責(zé)歸口統(tǒng)計(jì)信息系統(tǒng)安全事故。

第十一條國(guó)家電力調(diào)度通信中心主要職責(zé)：

（一）負(fù)責(zé)制定電力二次系統(tǒng)管理制度，負(fù)責(zé)制定公司電力二次系統(tǒng)安全防護(hù)方案及應(yīng)急處理預(yù)案；

（二）負(fù)責(zé)審核下級(jí)電力二次系統(tǒng)安全防護(hù)實(shí)施方案和應(yīng)急處理預(yù)案，負(fù)責(zé)電力二次系統(tǒng)信息系統(tǒng)安全事故的調(diào)查和處理；

（三）配合完成國(guó)家有關(guān)部門(mén)對(duì)公司電力二次系統(tǒng)開(kāi)展的信息系統(tǒng)安全檢查、等級(jí)保護(hù)制度落實(shí)等各項(xiàng)工作。

第十二條業(yè)務(wù)應(yīng)用部門(mén)主要職責(zé)：

（一）配合開(kāi)展業(yè)務(wù)應(yīng)用系統(tǒng)安全等級(jí)定級(jí)工作；

（二）配合開(kāi)展業(yè)務(wù)應(yīng)用系統(tǒng)安全測(cè)評(píng)、安全檢查和風(fēng)險(xiǎn)評(píng)估等工作；

（三）負(fù)責(zé)或配合開(kāi)展業(yè)務(wù)應(yīng)用使用人員的有關(guān)信息系統(tǒng)安全和保密培訓(xùn)工作；

（四）協(xié)助開(kāi)展業(yè)務(wù)應(yīng)用人員辦公計(jì)算機(jī)安全管理。

第十三條各單位主要職責(zé)：

（一）負(fù)責(zé)貫徹落實(shí)國(guó)家有關(guān)信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，貫徹落實(shí)公司信息系統(tǒng)安全相關(guān)規(guī)章制度和技術(shù)標(biāo)準(zhǔn)，建立健全本單位信息系統(tǒng)安全標(biāo)準(zhǔn)制度和規(guī)范體系；

（二）負(fù)責(zé)落實(shí)本單位范圍內(nèi)信息系統(tǒng)安全工作責(zé)任制；

（三）在公司信息職能管理部門(mén)指導(dǎo)下，落實(shí)本單位信息系統(tǒng)等級(jí)保護(hù)制度、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和安全檢查等工作；

（四）按公司信息系統(tǒng)應(yīng)急體系要求建立本單位信息系統(tǒng)應(yīng)急體系，組織本單位信息系統(tǒng)安全突發(fā)事件的應(yīng)急處理；

（五）負(fù)責(zé)明確本單位信息系統(tǒng)安全運(yùn)行維護(hù)部門(mén)或機(jī)構(gòu)，落實(shí)信息系統(tǒng)安全運(yùn)行維護(hù)日常工作，具體落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)和安全策略；

（六）組織本單位信息系統(tǒng)安全的宣傳和培訓(xùn)。

第三章管理措施

第十四條不斷建立健全信息系統(tǒng)安全管理制度體系，通過(guò)操作規(guī)程實(shí)現(xiàn)安全管理和操作人員的標(biāo)準(zhǔn)化作業(yè)；定期對(duì)信息系統(tǒng)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度及時(shí)進(jìn)行修訂。

第十五條明確安全管理機(jī)構(gòu)，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并明確各崗位職責(zé)。應(yīng)加強(qiáng)信息系統(tǒng)安全管理人員之間、信息職能部門(mén)和業(yè)務(wù)部門(mén)之間的合作與溝通，定期或不定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理信息系統(tǒng)安全問(wèn)題。

第十六條嚴(yán)格遵守“涉密不上網(wǎng)、上網(wǎng)不涉密”紀(jì)律，嚴(yán)禁將涉密計(jì)算機(jī)與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴(yán)禁在非涉密計(jì)算機(jī)和互聯(lián)網(wǎng)上存儲(chǔ)、處理國(guó)家秘密。嚴(yán)禁在信息外網(wǎng)計(jì)算機(jī)上存儲(chǔ)和處理涉及企業(yè)秘密的信息。嚴(yán)禁涉密移動(dòng)存儲(chǔ)介質(zhì)在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)及互聯(lián)網(wǎng)上交叉使用。

第十七條嚴(yán)格信息系統(tǒng)安全工作人員錄用過(guò)程，審查其身份、背景、專(zhuān)業(yè)資格，關(guān)鍵崗位應(yīng)簽署保密協(xié)議；及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；嚴(yán)格外部人員訪問(wèn)程序，對(duì)允許訪問(wèn)人員實(shí)行專(zhuān)人全程陪同或監(jiān)督，并登記備案。

第十八條嚴(yán)格按照國(guó)家有關(guān)部門(mén)要求，開(kāi)展公司網(wǎng)絡(luò)與信息系統(tǒng)定級(jí)、審批、備案工作。針對(duì)確定的網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)，要根據(jù)等級(jí)保護(hù)有關(guān)要求，落實(shí)必要的管理和技術(shù)措施，嚴(yán)格執(zhí)行等級(jí)保護(hù)制度。

第十九條新建信息系統(tǒng)涉及安全防護(hù)措施建設(shè)，應(yīng)明確安全需求，確定安全等級(jí)，結(jié)合公司安全防護(hù)總體策略，進(jìn)行安全防護(hù)方案設(shè)計(jì)；根據(jù)國(guó)家有關(guān)規(guī)定和堅(jiān)持鼓勵(lì)使用國(guó)產(chǎn)化產(chǎn)品原則，開(kāi)展安全產(chǎn)品采購(gòu)，必要時(shí)開(kāi)展產(chǎn)品預(yù)先選型測(cè)試；加強(qiáng)軟件開(kāi)發(fā)管理，確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境安全隔離；委托有資質(zhì)的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；對(duì)測(cè)試不符合要求的，在整改后要重新測(cè)試。系統(tǒng)試運(yùn)行前，要開(kāi)展相關(guān)安全培訓(xùn)。

第二十條加強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)全過(guò)程管理：

（一）嚴(yán)格執(zhí)行信息機(jī)房管理有關(guān)規(guī)范，確保機(jī)房運(yùn)行環(huán)境符合要求，嚴(yán)格機(jī)房出入管理。要編制信息系統(tǒng)資產(chǎn)清單，建立資產(chǎn)管理制度，根據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)。

（二）對(duì)信息系統(tǒng)軟硬件設(shè)備選型、采購(gòu)、使用等實(shí)行規(guī)范化管理，建立相應(yīng)操作規(guī)程，對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備實(shí)行標(biāo)準(zhǔn)化作業(yè)。強(qiáng)化存儲(chǔ)介質(zhì)存放、使用、維護(hù)和銷(xiāo)毀等各項(xiàng)措施。

（三）按照最小服務(wù)配置和最小授權(quán)原則，對(duì)安全策略、安全配置、日志和操作等方面做出具體規(guī)定，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)；詳細(xì)記錄日常操作、運(yùn)行維護(hù)記錄、參數(shù)設(shè)置和修改等內(nèi)容，嚴(yán)禁任何未經(jīng)授權(quán)的操作；定期開(kāi)展運(yùn)行日志和審計(jì)數(shù)據(jù)分析工作，及時(shí)發(fā)現(xiàn)異常行為。及時(shí)根據(jù)需要進(jìn)行軟件升級(jí)更新，并在更新前做好備份；定期進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)；及時(shí)安裝補(bǔ)丁程序，在安裝補(bǔ)丁前做好測(cè)試和備份工作。

（四）及時(shí)升級(jí)防病毒軟件，加強(qiáng)全員防病毒、木馬的意識(shí)，不打開(kāi)、閱讀來(lái)歷不明的郵件；要指定專(zhuān)人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并做好記錄，定期開(kāi)展分析；加強(qiáng)防惡意代碼軟件授權(quán)使用、惡意代碼庫(kù)升級(jí)等管理。

（五）嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問(wèn)和系統(tǒng)接入申報(bào)和審批程序，建立健全變更管理制度。保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)，進(jìn)行必要的安全隔離，配置嚴(yán)格的訪問(wèn)控制策略，開(kāi)展必要的安全評(píng)估。

（六）建立和執(zhí)行密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。

（七）對(duì)信息網(wǎng)絡(luò)與系統(tǒng)運(yùn)行狀況等進(jìn)行監(jiān)測(cè)和報(bào)警；定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析，根據(jù)需要采取必要的應(yīng)對(duì)措施；應(yīng)建立安全管理中心，對(duì)安全設(shè)備、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全設(shè)施進(jìn)行集中管理。

（八）嚴(yán)格按照有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定，及時(shí)報(bào)告信息系統(tǒng)事故情況，認(rèn)真開(kāi)展信息系統(tǒng)事故原因分析，堅(jiān)持“四不放過(guò)”原則，有效落實(shí)整改，確保類(lèi)似事故不再發(fā)生。嚴(yán)格執(zhí)行有關(guān)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度，做好定期、節(jié)假日和特殊時(shí)期的網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況報(bào)送工作。

第二十一條嚴(yán)格執(zhí)行公司有關(guān)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估管理規(guī)定，切實(shí)將信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作常態(tài)化和制度化，及時(shí)落實(shí)整改，及時(shí)消除信息系統(tǒng)安全隱患。根據(jù)國(guó)家和公司要求，定期開(kāi)展信息系統(tǒng)安全檢查工作，做好特殊時(shí)期安全檢查和安全保障工作。

第二十二條不斷完善應(yīng)急預(yù)案，加強(qiáng)培訓(xùn)和演練，確保人力、設(shè)備等應(yīng)急保障資源可用。

第二十三條建立備份與恢復(fù)管理相關(guān)安全管理制度，嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過(guò)程，妥善保存?zhèn)浞萦涗洠ㄆ趫?zhí)行恢復(fù)程序。要切實(shí)根據(jù)需要開(kāi)展業(yè)務(wù)應(yīng)用容災(zāi)系統(tǒng)建設(shè)。

第二十四條切實(shí)加強(qiáng)網(wǎng)絡(luò)信任體系建設(shè)規(guī)劃工作，不斷完善公司安全認(rèn)證系統(tǒng)相關(guān)技術(shù)標(biāo)準(zhǔn)和功能規(guī)范。強(qiáng)化信任體系應(yīng)用工作，做好信息系統(tǒng)統(tǒng)一身份認(rèn)證，以及重要信息的加密和簽名工作。

第二十五條切實(shí)加強(qiáng)員工信息系統(tǒng)安全培訓(xùn)，提高全員信息系統(tǒng)安全意識(shí)；強(qiáng)化信息系統(tǒng)安全人員專(zhuān)業(yè)技能培訓(xùn)，做到培訓(xùn)工作有計(jì)劃、有總結(jié)，培訓(xùn)效果有評(píng)價(jià)。要對(duì)關(guān)鍵崗位人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核，對(duì)在信息系統(tǒng)安全工作中做出顯著成績(jī)的單位和人員應(yīng)給予獎(jiǎng)勵(lì)和表彰。對(duì)違反國(guó)家法律、法規(guī)和公司有關(guān)規(guī)定，造成一定不良影響和后果的，要追究其責(zé)任。

第四章技術(shù)措施

第二十六條根據(jù)國(guó)家和公司有關(guān)規(guī)定，對(duì)機(jī)房建筑設(shè)置符合要求的避雷裝置、滅火和火災(zāi)自動(dòng)報(bào)警系統(tǒng)；采取防雨水措施，防止雨水、水蒸氣結(jié)露和地下積水；設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，控制機(jī)房溫、濕度在設(shè)備運(yùn)行所允許范圍之內(nèi)，保證雙路供電,電源線和通信電纜應(yīng)隔離，避免互相干擾；采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。

第二十七條加強(qiáng)網(wǎng)絡(luò)安全技術(shù)工作：

（一）網(wǎng)絡(luò)核心交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備要冗余配置，合理分配網(wǎng)絡(luò)帶寬；建立業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問(wèn)控制；根據(jù)需要?jiǎng)澐植煌泳W(wǎng)；對(duì)重要網(wǎng)段采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施。

（二）采用防火墻或入侵防護(hù)設(shè)備（IPS）對(duì)內(nèi)網(wǎng)邊界實(shí)施訪問(wèn)審查和控制；對(duì)進(jìn)出網(wǎng)絡(luò)信息內(nèi)容實(shí)施過(guò)濾，對(duì)應(yīng)用層常用協(xié)議命令進(jìn)行控制，網(wǎng)關(guān)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。嚴(yán)格撥號(hào)訪問(wèn)控制措施。

（三）加強(qiáng)內(nèi)部用戶(hù)私自訪問(wèn)外部網(wǎng)絡(luò)行為的檢測(cè)工作，要能夠及時(shí)發(fā)現(xiàn)，準(zhǔn)確定位，有效阻斷；對(duì)重要網(wǎng)段，應(yīng)采用入侵檢測(cè)系統(tǒng)進(jìn)行監(jiān)控，對(duì)入侵事件及時(shí)提供報(bào)警。

第二十八條加強(qiáng)系統(tǒng)安全技術(shù)工作：

（一）對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，具有登錄失敗處理，限制非法登錄次數(shù)，設(shè)置連接超時(shí)功能；用戶(hù)訪問(wèn)不得采用空賬號(hào)和空口令，口令要足夠強(qiáng)健，長(zhǎng)度不得少于8位。

（二）嚴(yán)格限制匿名用戶(hù)的訪問(wèn)權(quán)限；實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)訪問(wèn)權(quán)限分離，對(duì)訪問(wèn)權(quán)限一致的用戶(hù)進(jìn)行分組，訪問(wèn)控制力度應(yīng)達(dá)到主體為用戶(hù)級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。

（三）控制單個(gè)用戶(hù)的多重并發(fā)會(huì)話和最大并發(fā)連接數(shù)，限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源、磁盤(pán)空間的最大或最小使用限度，當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測(cè)并報(bào)警。

第二十九條嚴(yán)格網(wǎng)絡(luò)、系統(tǒng)安全審計(jì)工作，安全審計(jì)系統(tǒng)應(yīng)定期生成審計(jì)報(bào)表，自動(dòng)進(jìn)行備份，審計(jì)記錄應(yīng)受到保護(hù)，避免刪除、修改或破壞。

第三十條重要和敏感信息實(shí)行加密傳輸和存儲(chǔ)；對(duì)重要信息實(shí)行自動(dòng)、定期備份；對(duì)門(mén)戶(hù)網(wǎng)站頁(yè)面，要具有防篡改機(jī)制和措施。

第三十一條嚴(yán)格用戶(hù)帳號(hào)及口令管理，使用強(qiáng)健復(fù)雜口；第五章附則；第三十二條本辦法由國(guó)家電網(wǎng)公司信息化工作部負(fù)責(zé)解；

第三十一條嚴(yán)格用戶(hù)帳號(hào)及口令管理，使用強(qiáng)健復(fù)雜口令，定期更換口令，杜絕使用空口令；定期開(kāi)展用戶(hù)終端計(jì)算機(jī)數(shù)據(jù)備份工作，及時(shí)安裝系統(tǒng)補(bǔ)丁程序，及時(shí)更新殺病毒程序，加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理。

第五章附則

第三十二條本辦法由國(guó)家電網(wǎng)公司信息化工作部負(fù)責(zé)解釋并督促執(zhí)行。第三十三條各單位可根據(jù)本辦法制定實(shí)施細(xì)則，報(bào)國(guó)家電網(wǎng)公司備案。第三十四條本辦法自印發(fā)之日起執(zhí)行。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊