网络和信息系统安全运行管理实施细则

网络和信息系统安全运行管理实施细则
目录
第一章总则 (2)
第二章职责与分工 (2)
第三章运行值班管理 (4)
第四章事件管理 (4)
第五章变更管理 (5)
第六章网络管理 (5)
第七章应用管理 (7)
第八章机房管理 (9)
第九章信息设备管理 (10)
第十章账号管理 (13)
第十一章信息资料管理 (14)
第十二章备份管理 (15)
第十三章耗材管理： (15)
第十四章移动存储介质管理 (16)
第十五章补丁管理 (18)
第十六章漏洞管理 (19)
第十七章日志审计 (19)
第十八章外包管理 (20)
第十九章人员管理 (21)
第二十章附则 (22)
第一章总则
第一条为了保证XX有限公司(以下简称“XX公司”）网络和信息系统的安全运行,依据《天津市电力公司信息系统安全管理规定》等相关制度,结合XX公司实际,制定本实施细则.
第二条本实施细则适用于公司所属各部门（以下简称“各部门”）.
第二章职责与分工
第三条XX公司党政领导一把手是信息系统的第一安全责任人；各部门的一把手是本部门信息系统安全的第一责任人。

信息安全考核纳入安全生产考核和经济责任制考核。

第四条XX公司信息系统为三级管理，XX公司建立信息化工作领导小组，运维检修部负责信息化工作的职能管理，是公司的归口管理部门，各部门是信息化工作的具体落实部门。

第五条XX公司信息化工作领导小组是公司信息安全的领导组织。

负责审定公司的信息安全管理有关规定，负责落实上级主管部门的安全管理防范的技术策略和信息安全管理有关规定.
第六条XX公司安全监察质量部负责监督和考核公司信息系统的运行状况。

信息系统发生事故，按照《天津市电力公司信息系统事故调查及考核办法》，由安全监察质量部牵头组织事故分析，提出处理意见，运维检修部配合进行专业分析。

第七条运维检修部是公司信息化管理的职能部门,设置信息化管理专责。

主要工作：
1、组织实施公司各项信息管理制度，做好监督、检查、指导信息安全管理及信息运行维护工作，组织实施安全防范措施。

当发生影响信息安全的重大事件时，发布告警并组织制定应对措施。

2、负责信息化相关指标、数据的汇总上报工作。

3、负责XX公司信息系统硬件的调配工作.
4、负责信息系统耗材计划编制、调整工作.
5、负责组织编制信息专业的大修、技改计划。

6、配合专业部门进行市电力公司统一管理和开发的项目和软件在XX公司的组织推广工作。

参与有关信息工程项目的评定、审核和验收。

7、配合人力资源部做好XX公司信息专业知识的培训工作.
第八条信息通信运维班，是XX公司信息网络系统整体运行、维护部门。

主要工作：
1、负责XX公司相关网络运行数据、运行硬件指标数据的统计,负责公司信息网络软、硬件系统的运行总结上报,负责配合信息系统验收、检查工作。

2、负责XX公司信息系统的正常运行，软件、硬件维护和故障处理工作。

3、负责XX公司信息系统中实物资产的统计管理。

4、负责XX公司信息系统硬件设备及耗材的计划起草工作。

5、负责提出XX公司信息系统年度大修、技改项目的申请.
6、负责XX公司信息网络的建设方案的实施工作。

7、负责为各部门提供信息专业的技术支持。

8、配合专业部门做好市电力公司统一管理和开发的项目和软件在公司的系统管理工作。

9、负责XX公司信息故障受理工作,并做好报修记录。

第九条各部门是信息化工作的具体落实部门，信息设备由设备具体使用人负责,如无具体使用人，则由计算机帐号所有人负责。

专业信息系统由各部门指定的专业系统管理人员负责。

主要工作:
1、负责本部门信息设备、信息系统的安全保密管理。

2、负责本部门计算机的趋势防病毒软件的病毒码的升级，趋势防病毒软件监控系统必须保证开启状态.负责计算机操作系统补丁的及时升级以及相关软件的补丁升级工作。

3、负责保证信息设备、信息系统的相关安全配置，并按照公司规定正确使用信息设备、信息系统。

4、负责本部门信息设备、信息系统的日常维护管理,负责维护更新本部门设备台帐。

第十条为了保障网络和信息系统的安全、可靠、不间断运行，信息通信运维班的关键岗位实行主副岗备用制度，主岗不在或工作负担过重时，副岗要担当其职责,工作由主岗委托。

第三章运行值班管理
第十一条法定工作日的工作时间应安排具备相应专业技术水平的人员进行5 x 8小时现场值班.其余时间应安排非现场值班，以确保关键应用系统的正常运行。

第十二条重要时期应实行7x24小时值班，根据实际情况采取电话值班或现场值班，以确保关键应用系统的正常运行.
第十三条值班人员要按照要求做好重大事项汇报工作,并做好记录。

第四章事件管理
第十四条信息通信运维班信息专业人员在接到故障申告时，应对故障信息进行登记.
第十五条信息通信运维班信息专业人员根据故障信息，对故障进行处理，并将处理情况填入记录中，并交由故障申告人签字确认。

第五章变更管理
第十六条信息设备的变更指对服务器、路由器、交换机（不含客户端设备)等设备上运行的操作系统、权限、各种服务、各种软件、数据库、IP地址、安全配置、投入或退出运行、重新启动、重新安装等所作的变更。

第十七条运维检修部是以上各种信息设备变更的职能管理部门，负责审批变更并备案.
第十八条所有信息设备的各种变更都要履行变更审批和备案手续，由各部门专业系统管理人员或信息运维人员提出变更申请填写变更操作单（见附件1）,填写好相关信息后由部门负责人签字交运维检修部确认审批，通过后实施变更.变更涉及信息系统、网络系统影响的,申请人应于变更前1至2个工作日以电子邮件、门户公告、电话通知方式告知相关影响用户，变更结束后对于以上用户进行测试。

第十九条设备、系统变更前对于原有的数据，应该采取备份、异地转移存储等安全措施。

第二十条对于涉密设备的变更,如果需要外来人员协助,外来人员需填写保密承诺书，保证所存储的涉密信息不被泄露，进行变更工作过程中变更申请人必须在现场，对维修人员、维修对象、维修内容、维修前后状况进行监督。

第二十一条设备、系统变更结束后应按照天津市电力公司信息安全加固的要求加固系统，恢复设备以及系统中的原有应用及运行环境，并尽快投入运行。

第二十二条任何信息设备的各类变更未履行相关审批手续或者无记录追溯的，以及因信息设备的变更对系统及用户造成中断应用等影响的，追究变更实施人员相关责任。

第六章网络管理
第二十三条管理信息网络分为信息内网（以下简称内网）和信息外网（以下简
称外网），实现“双机双网”.
第二十四条XX公司内网与外网均不得私自接入无线设备，网络终端均实行IP 地址与MAC地址绑定,禁止非授权接入.
第二十五条XX公司外网设备与内网设备按照上级部门要求进行信息安全加固，设置访问控制,设置足够强度的用户和密码。

第二十六条XX公司外网通过市公司统一出口接入INTERNET，XX公司所有部门和人员禁止以其他任何方式（ADSL、3G无线、CDMA、 GPRS、96168拨号等）私自连接INTERNET网.
第二十七条XX公司内外网计算机终端、打印机、网络设备的IP地址和配置信息由运维检修部统一分配和管理，任何人不得擅自使用他人的地址和未分配的地址，不得擅自安装任何网络设备,不得擅自更改网络设备的配置信息。

第二十八条未经计算机网络管理人员同意，任何人不得擅自操作、移动网络设备。

第二十九条职能管理部门和公司领导可以依据实际工作需要申请接入外网。

第三十条接入外网必须填写外网接入申请表（见附件2)，经XX公司主管领导批准后报科技信通部审批，审批通过后按照批准的地址进行IP/MAC绑定并接入外网，信息部门负责做好相应的登记备案工作,更新信息外网设备台帐.
第三十一条公司提供公共上网计算机，公共上网计算机的维护及使用管理由信息通信运维班负责。

员工因工作需要在公共上网区访问INTERNET，需进行上网登记。

第三十二条不得在信息外网设备中保留任何信息内网资料。

外网访问结束后，应立即清除与内网有关的文件。

第三十三条接入内网必须填写内网接入申请表（见附件3),经XX公司主管领导批准后报科技信通部审批，审批通过后按照批准的地址进行IP/MAC绑定并接入内网,信息部门负责做好相应的登记备案工作,更新信息内网设备台帐。

第三十四条信息内外网计算机IP地址变更按照内外网接入申请流程执行。

第三十五条开发商如确因工作需要接入信息内网，应提前申请信息内网设备。

第三十六条计算机接入信息内外网应由信息运维人员对计算机进行统一配置，设置规范的计算机名称（格式为公司名称-部门名称-流水编号），内网计算机应加入TEPCO域，并安装趋势防病毒软件、注册桌面终端标准化管理软件（安全移动存储介质软件），外网计算机应安装金山防病毒软件。

第三十七条市公司科技信通部会定期对计算机进行安全检查,对存在安全隐患的计算机进行封网处理。

被封网的计算机需经责任人进行认真整改后，填写情况说明及重新开通上网功能申请表（见附件4、5、6），经部门领导审批签字后报公司运维检修部。

运维检修部确认已整改后报公司领导签字审批后上报市公司科技信通部申请开通网络。

第三十八条信息通信运维班负责网络设备的运行管理，确保网络备品备件及应急设备处在良好状态，尽量在故障发生之前采取保护措施。

第三十九条运维检修部负责建立详细的安全事件应急处理制度，制定并及时修订信息网络安全应急预案，定期演练，确保应急体系的完备性和可用性，做好应对突发信息安全事件的准备.
第四十条发现网络与信息安全问题及时向运维检修部进行通报，遇重大问题由运维检修部及时向公司科技信通部报告。

应在1小时内，将事件发生时间、原因过程、采取措施、影响范围、损失情况等，通过邮件和电话方式上报。

第七章应用管理
第四十一条严格执行市公司应用系统开发与管理的有关规定，原则上不允许自行开发或引进管理软件，有特殊需要的，必须事先到信息管理部门申请、备案，并由信息管理部门向科技信通部申请，经批准后方可开发，经验收后方可接入。

第四十二条对接入信息网络运行的应用系统，在系统投入运行前，应对系统运行的稳定性、安全性进行严格测试，并使用漏洞扫描工具进行安全检查，确认没有
系统漏洞后，经运维检修部批准后方可正式上线运行。

第四十三条应用系统上线前由运维检修部根据等级保护制度对系统定级，同时报市公司科技信通部审核备案。

第四十四条在系统投入运行前，应用系统开发单位和运行管理部门应相互配合，确定与该应用系统相关的网络环境参数、故障处理流程、数据备份管理流程、系统故障应急预案等。

应用系统开发单位应提供能满足日常运行管理需求的系统开发及运行维护文档和系统软件介质（系统软件应包括可供系统进行完全安装和紧急恢复的完整系统软件介质光盘或磁盘，软件功能说明书,软件使用说明书，程序清单，数据结构清单等）。

第四十五条对投入运行的应用系统，各专业主管部门应建立运行台帐,明确系统管理人员,做好运行日志。

第四十六条接入信息内网的各应用系统原则上不得以专线、拨号或任何其它方式与系统外网络及国际互联网相连，如确有必要，则应采取有效防范手段并经运维检修部上报科技信通部审核备案.
第四十七条投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改，严禁安装与本应用系统无关的应用程序和软件。

应用系统的管理、维护、应用人员应严格按照各自的权限和业务流程使用系统。

第四十八条进行应用系统的配置参数调整、系统软件重装、网络环境调整等系统变更都应严格遵照相应的变更管理流程。

第四十九条用户账号建立、用户账号权限更改、用户节点增加等日常维护业务，应由专业系统管理人员及时记录并定期整理归档。

第五十条应用系统变更前后都应按相应的备份管理规定进行备份.
第五十一条运行人员应及时发现系统故障。

接到故障申告后，由专业系统管理人员或信息运维人员负责对问题进行详细的记录，对简单故障可先处理后汇报，对较大故障要立即通知本部门负责人和信息管理部门。

第五十二条对于故障的分析、处理过程应有记录。

重大故障处理要有两人以上，一人操作，一人监督。

第五十三条各应用信息系统必须有完善的系统维护制度和操作规程。

重大事件处理时，应有安全管理人员在场，故障原因、操作内容和操作前后的情况必须详细记录并存档.专业系统管理人员应定期检查和记录本信息系统的安全运行状况。

第五十四条用户帐号和口令管理按照《天津市电力公司信息系统帐号、口令管理规定》执行。

第五十五条专业系统管理人员负责系统的日常运行维护，数据的保存、备份，系统口令的维护、设置和管理,系统程序的安装，向其他子系统及上级有关单位部门提供数据及报表。

第八章机房管理
第五十六条XX公司信息机房按照国网公司C类机房管理标准进行管理，部署不间断电源系统(UPS）及防水、防雷、防火和恒温恒湿设施.
第五十七条运维检修部是XX公司信息系统运行机房的职能管理部门，信息通信运维班明确机房管理责任人员，具体负责机房的日常管理和维护。

第五十八条信息通信运维班负责做好机房日常巡视,每天检查机房环境、网络设备、服务器的运行状况，并认真填写机房巡检记录.对于巡视中发现的问题,要详细记录并汇报相关领导及时解决问题.
第五十九条信息通信运维班负责做好机房内设备的运维，每半年对UPS进行1次充放电，并做好记录。

第六十条机房是网络和信息系统的重点保密场所，严禁无关人员随意出入;外来人员进出机房必须填写机房出入登记表，经批准同意后方可进入。

外来人员进入机房应由相关负责人陪同和监督。

第六十一条机房内严禁烟火，不准使用电炉、电水壶等电器。

机房内必须配备
专用气体灭火器,运行维护人员必须学会使用灭火器，一旦发现火情,立即投入灭火,并迅速报警。

第六十二条机房内应保持清洁，严禁堆放杂物,设备、线路标签应清晰、齐全，机柜布线应整齐。

进入机房前，须对鞋子进行清洁或戴上鞋套。

第六十三条出入机房应注意关好门,最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。

第六十四条工作人员离开工作区域前，应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。

第六十五条未经主管领导批准，禁止将机房相关的钥匙、密码等物品和信息外借或透露给其它人员.对于遗失钥匙、泄露密码的情况要即时上报，并积极主动采取措施保证机房安全.
第九章信息设备管理
第六十六条信息设备根据设备的类型、用途、介质(特指软件）等因素,归为以下几类：
1、网络设备（路由器、交换机、防火墙、入侵检测、综合布线系统等）
2、服务器（含小型机、工作站、PC 服务器）
3、个人计算机（含便携式计算机）
4、外部设备（打印机、绘图仪等）
5、辅助设备（网络及服务器机柜、UPS 等)
6、工具(含网络工具、普通工具等）
7、软件
8、其他
第六十七条运维检修部负责XX公司所属各单位信息设备管理、分配工作。

运
维检修部应根据应用系统对设备的要求,兼顾各部门岗位职能的需要，制定信息设备配置标准；在年末制定下一年度设备大修、设备升级改造、重要设备备品备件、设备维护等资金计划，上报主管领导及相关部门批准,列入下一年度信息系统专项资金计划。

各部门应在计划编制前，及时上报信息设备需求。

第六十八条新的设备到达后，由运维检修部负责组织相关人员验收，验收依据为签订的合同内容。

验收人员应认真进行各种参数的测试，检查设备的性能指标是否能够达到技术要求.
第六十九条新的信息设备投入使用前，需经信息通信运维班按照市电力公司相关规定进行安全加固；信息设备的使用部门应办理财务固定资产登记，并上报运维检修部备案.没有在运维检修部登记、违反规定自筹资金购买、不在财务固定资产台帐上的信息设备，运维检修部不负责维护及禁止接入信息网络。

第七十条运维检修部归口负责XX公司信息设备台帐，台帐中应该包括设备的所属部门、型号、序列号、IP地址等。

信息设备的使用部门负责信息设备的日常管理,包括清洁、杀毒软件及系统升级、一般性配置操作、一般性故障排除等，并对信息设备的非使用性损坏以及丢失负责，并按情节严重程度，依据有关规定追究当事人赔偿责任。

各部应指定专人协助运维检修部做好所属范围内信息设备台帐管理，若有设备变动要及时上报运维检修部。

运维检修部根据实际情况组织设备清查工作,进行设备台帐、实物核对，做到帐物相符。

第七十一条每台信息设备都要明确设备负责人（负责人须是正式职工）。

信息设备由设备具体使用人负责，如无具体使用人，则由计算机帐号所有人负责。

信息设备随机资料、软件等应由设备负责人保存.信息设备正常工作环境由设备所属部门负责。

各部门之间及部门成员之间不得随意互换计算机、或其他相关设备。

对因人员、岗位变动闲置的信息设备应及时上报运维检修部,由运维检修部统一处理。

第七十二条信息设备运维管理
1、严禁任何人私自拆卸信息设备硬件，私自更改计算机配置、网络IP地址，
安装未经批准的三方软件。

设备使用人不得直接向供货商提出信息设备相关设备维修、软件维护的要求,否则，发生的费用和其它问题自行承担.
2、设备负责人负责所属信息设备的日常维护。

其中包括常用软件的安装升级，一般性配置操作、一般性故障排除。

如果涉及到更换零件、安装系统等非一般性故障，无法自行处理的，应及时向运维部门进行故障申告，信息运维人员应记录故障设备信息及故障处理情况，并在处理完毕后交由故障申告人签字确认.
3、属于更换部分零部件也不能解决的故障,需更换整机或大型配件的，在经过信息运维人员确认后，由设备负责部门填写信息设备及配件申请（附件 7）,经运维检修部请示主管领导批准后方可更换。

4、信息设备出现非一般性故障未经信息运维人员同意自行处理（含拆装）造成故障扩大，由自行处理（含拆装)的操作人承担修复责任。

5、为保证信息设备的正常维护,及时排除故障，XX公司每年列支一定的信息设运行备维护资金，保证本年度设备的安全稳定。

运维检修部应视具体情况提出必要的仪器、仪表、工具和备品备件采购申请。

6、各部门应保证信息设备的相关安全配置,并按照公司规定正确使用信息设备，同时根据实际情况定期对所属信息设备组织自查，发现问题及时整改。

运维检修部通过网上和不定期到现场方式进行检查，核查信息设备软硬件使用、维护情况。

并依据有关规定对违反信息设备使用规定的部门进行考核。

第七十三条信息设备报废工作由生产技术可根据市电力公司的相关规定定期进行。

信息设备一般正常使用满5年以上，并且已不能满足应用系统正常使用要求的,或设备严重损坏(非人为造成）无修复可能的，可以申请报废，报废设备上交运维检修部，由运维检修部统一处理，其他任何单位不得擅自处理。

对报废或淘汰设备的可用部分或零配件,运维检修部可根据需要再利用。

对报废设备的存储硬件，须送交市公司科信部进行消磁处理,严禁随意外带。

第七十四条防火墙、漏洞扫描等信息安全设备的采购和使用必须经市公司科技信通部批准后方可实施。

第十章账号管理
第七十五条运维检修部设域账号管理员，对XX公司范围内的域账号及相应权限进行统一管理，并负责将域账号及权限的变更信息及时准确上报市公司科技信通部。

第七十六条各部门应设专人对本部门的域账号及相应权限进行统一管理，主要负责域账号申请表的填写,根据实际需要认真核实其申请权限，负责将本部门的域账号及权限的变更信息及时准确上报公司域账号管理员，并认真做好记录。

第七十七条TEPCO域账号的开放范围：有工作需求的企业内部员工可以申请TEPCO域账号，对于非正式员工，原则上不开放TEPCO域账号。

如确有需要，必须由所在部门指明一名公司正式员工为其责任人,代其申请，责任人对该非正式员工使用域账号的所有行为负有安全监督责任。

第七十八条域账号的申请
1、各部门账号管理人员根据工作需要向公司域账号管理员提出申请，填写域账号使用申请表(见附件8）,同时监督申请人签定安全使用责任书（见附件9)。

2、各部门账号管理人员根据申请人资料填写申请表后报部门领导审批签字，并上报运维检修部域账号管理员。

运维检修部域账号管理员对申请表进行审核，并定期按审批流程向市公司科技信通部提出账号申请。

第七十九条员工域账号权限的分配必须严格按照权限最小化的原则进行，即分配仅能满足工作要求的最小权限.
第八十条帐号和密码是员工在网络信息系统中的唯一身份标识，仅供员工自己使用，不得借用或泄露，禁止越权操作。