网络安全管理制度
1 范围
本标准规定了沧州华润热电有限公司(以下简称沧州华润)网络安全管理工作的职责、管理内容、要求和管理流程。
本标准适用于沧州华润网络安全管理工作。
2 规范性引用文件
下列文件中规定的条款作为本标准的基础引用文件,下列文件因需要进行修改时,本标准引用最新版的文件条款。
《中华人民共和国计算机系统安全保护条例》
《中华人民共和国计算机信息网络国际网管理暂行规定》
《信息技术信息安全管理使用规则》
《路由器安全评估标准》
《信息系统安全管理要求》
《网络基础安全技术要求》
《入侵检测系统技术要求和测试评价方法》
《网络和终端设备隔离部件测试评价方法》
《防火墙技术要求和测试评价方法》
《信息系统安全工程管理要求》
3 术语和定义
下列术语和定义适用于本标准。
3.1 网络设备
指运行的网络主设备、防护墙设备、服务器设备及配套网络线缆设施、工作站等专供信息系统运行的设备。
3.2 网络安全设备
指运行的IDS、漏洞扫描、防火墙、单向隔离装置、VPN及配套网络线缆设施、工作站等专供信息系统运行的设备。
4 职责
4.1 网络安全领导小组职责
4.1.1 在上级有关部门的领导下,指导公司计算机及网络信息安全工作。
4.1.2 组织审定公司网络与信息安全重大突发事件应急预案。
4.1.3 定期组织网络与信息安全隐患排查与治理。
4.1.4 组织审定电力行业网络与信息安全的发展战略、总体规划、重大政策、管理规范和技术标准。
4.2 领导小组办公室职责
4.2.1 具体承担公司网络与信息安全监督管理的日常工作。
4.2.2 研究提出公司网络与信息安全的发展战略、总体规划、管理规范和技术标准。
4.2.3 织编制公司网络与信息安全重大突发事件应急预案,并督促落实。
4.2.4 承办领导小组召开的会议和重要活动,落实领导小组的议定事项。
4.2.5 完成领导小组交办的有关事项。
5 管理内容与方法
5.1 公司内任何人不得利用计算机信息网络危害本公司的信息安全、泄露本公司的秘密,不得侵犯本公司的利益和合法权益,不得利用计算机网络从事违法犯罪活动。
5.2 现场的任何单位和个人不得利用计算机信息网络制作、复制、查阅和传播下列信息:
5.2.1 煽动抗拒、破坏宪法和法律、行政法规实施的;
5.2.2 煽动颠覆国家政权,推翻社会主义制度的;
5.2.3 煽动分裂国家、破坏国家统一的;
5.2.4 煽动民族仇恨、民族歧视,破坏民族团结的;
5.2.5 捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
5.2.6 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
5.2.7 公然侮辱他人或者捏造事实诽谤他人的;
5.2.8 损害国家机关信誉的;
5.2.9 其他违反宪法和法律、行政法规的。
5.3 现场的任何单位和个人不得从事下列危害计算机信息网络安全的活动:
5.3.1 未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
5.3.2 未经允许,对计算机信息网络功能进行删除、修改或者增加的;
5.3.3 未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
5.3.4 故意制作、传播计算机病毒等破坏性程序的;
5.3.5 其他危害计算机信息网络安全的。
5.4 用户的通信自由和通信秘密受法律保护。现场的任何单位和个人不得违反法律规定,利用计算机信息网络侵犯用户的通信自由和通信秘密。
5.5 安全保护责任
5.5.1 公司内联网单位和部门应当接受技术部信息专业的安全监督、检查和指导,如实向信息专业提供有关安全保护的信息、资料及数据文件,协助信息专业查处通过计算机信息网络的违法犯罪行为。
5.5.2 为了保护本公司信息网络的安全,该网络与外部网络(INTERNET、广域网)的接入必须统一走公司出口,任何单位不得擅自配置路由器、专线MODEM(DDN、ISDN、ADSL、HDSL等同步MODEM)等与外部网络(INTERNET、广域网)的接入设备,一经发现,信息专业有权没收以上设备并追究当事人的责任。
5.5.3 为了保证联网设备的正常运行和安全,任何单位和个人未经信息专业的允许,不得善自挂接、动用公用的网络设备(包括:专线MODEM、路由器、防火墙、服务器、交换机、HUB、远程访问服务器、光纤端接设备、光纤、UPS电源等设备),不得善自断开网络公用设备机房电源,若因此造成网络不能运行和设备的损坏,信息专业将要求当事人赔偿损失并追究其责任。
5.6 网络设备管理
5.6.1 新购或外来设备进入机房需要进行设备进场登记,每件设备进场行为均需填写设备进场登记表,并由网络管理员和设备提供方共同签字。
5.6.2 为确保设备的长期稳定运行,必需采用每月一次的定期设备检查。通过观查外观、设备指示灯,使用测试软件等多元化的手段记录设备的使用状态,并建立设备使用状态表。以记录设备使用时出现的各种问题,提前做好预防,以避免突发设备故障对网络用户带来的麻烦。
5.6.3 机房设备为均为专用,在未报废前不得转为其它用途。借用机房设备应向网络中心提交书面申请,获批后进行详细登记,登记项包括借用设备名、借用机构、借用经手人、借用日期、欲借用时间及归还时间。
5.6.4 通过查看设备使用状态表与硬件维护表中的设备情况,当设备未损坏时就列入报废计划,并采购新的设备,避免因设备故障所带来的经济损失。未损坏的设备在使用至第四年时进入报废程序,同时启用新设备的采购进度。在新设备购入后,老设备转移到其它非重点环节使用,直至无法使用。
5.7 网络数据管理
5.7.1 数据备份:服务器数据备份由信息专业专人负责,要求每个工作日做一次数据增量备份,每周做一次完全数据备份。工作站数据备份到服务器由工作站使用者来完成。备份时间要求:每个工作日下午下班之前工作站数据备份到服务器,下班后服务器当天数据备份;每周日对服务器数据做完全备份。
备份的数据包括: MAXIMO、eDNA、燃料管理系统、生产和经营统计系统、OA办公自动化系统、内、外网站系统、档案管理系统和程序等其它有用的数据。
5.7.2 计算机病毒防治:计算病毒是近年来流行的对计算机危害较大的一种程序,它能够自我复制,能够通过文件载体传播,特别是计算机网络的发展,给计算机病毒的快速传播提供了途径。INTERNET网络的崛起,引起计算机病毒的泛滥。为了防止计算机病毒对公司数据的破坏。由技术部负责引进先进的杀病毒软件,在公司内工作站和服务器上安装计算机病毒防火墙在公司计算机网络上形成两道防病毒防线,将计算机病毒对数据的破坏降低到最小程度,定期升级杀病毒软件和清除网上病毒。对现场联网单位的计算机病毒防治提供技术支持和帮助。最大限度的减小计算机病毒对现场计算机信息网络的破坏。
5.8 接入国际互联网
5.8.1 现场联网的单位接入国际互联网必须遵守公安部颁发的《计算机信息网络国际联网安全保护管理办法》。
5.8.2 现场计算机信息网络接入国际互联网统一由沧州华润热电有限公司出口,技术部归口管理国际互联网的接入。
5.8.3 现场各单位应保守工程秘密,未经技术部许可不得将工程有关信息在INTERNET上发布。
5.8.4 下列情况之一发生时,技术部有权关闭沧州华润热电有限公司出口:
5.8.4.1 发现某部门有泄密或涉及工程秘密的信息通过出口流入INTERNET时。
5.8.4.2 发现某部门有危害计算机网络行为时。
5.8.4.3 出口信息拥挤并严重影响INTERNET的正常使用时。
6 报告和记录
对违反网络信息安全的事件进行分析,形成会议纪要,会议纪要格式按照公司统一规定,会议纪要形成后由技术部部门主管审核后,报生产主管领导批准后下发执行,并在公司内部网站上张贴。 7 检查与考核
技术部代表公司对各网路安全管理工作进行检查督导;对于危害公司网络安全的行为,技术部负责根据公司相关管理制度提出考核意见,经公司领导批准后执行。
