您的位置:360文档中心› 国家电网公司信息安全等级保护工作交流安天TDS主机安全检查系统

国家电网公司信息安全等级保护工作交流安天TDS主机安全检查系统

国家电网公司信息安全等级保护工作交流安天TDS主机安全检查系统
国家电网公司信息安全等级保护工作交流安天TDS主机安全检查系统

信息安全等级保护安全建设整改工作培训材料之二

全面规划狠抓落实

信息安全工作再上新台阶

----国家电网公司信息安全等级保护工作交流

国家电网公司是国有特大型企业,是关系国家能源安全和国民经济命脉的国有重要骨干企业,核心业务为电网的建设和运营,承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国家电网公司经营区域覆盖26个省(自治区、直辖市),占国土面积的88%,为超过10亿人口提供电力服务,管理员工153.7万人,公司名列2009年《财富》全球企业500强第15位,是全球最大的公用事业企业。

作为关系国家能源安全和国民经济命脉的重要骨干企业,国家电网公司内部运转和对外服务依托大量业务信息系统,信息化依赖程度很高。公司历来高度重视信息化工作,大力推进信息化企业建设,自2006年开始实施SG186工程,构筑横向集成、纵向贯通的一体化企业级信息集成平台,建设八大业务应用系统,健全完善六个保障体系,提出“十一五”末初步建成信息化企业和数字化电网的目标,即在国际先进管理理念指导下,以信息技术为依托,构建电网企业生产、经营、管理和决策的信息管理系统,实现公司人、财、物三大基本要素和业务处理的全过程信息化,促进公司各项业务流程的规范化、标准化,达到工作流、资金流、物资流、信息流的高度整合和共享,实现公司生产自动化、管理现代化、决策科学化。SG186工程至今年年底将提前一年全部完成建设目标,为公司人财物集约化管理和智能电网建设提供了坚强支撑。通过国家信息化测评机构测算,信息化对公司主营业务的销售收入贡献

率达到1%以上,SG186工程取得每年数十亿元的明显效益。在国资委公布的2007年度中央企业信息化水平评价结果中,被评为十家A级企业之一,综合排名第四,是电力行业唯一进入A级的企业。

随着国家电网公司“SG186”工程的推进,公司加快实施一体化平台建设,推进三级贯通,强化系统集成与实用化,实现公司总部与各单位系统的级联,八大业务应用整体全面推广、拓展深化应用,信息化效能、效率、效益提升作用明显,信息系统的基础性、全局性、全员性作用日益增强。电网信息安全作为电网安全的重要组成部分,是电网信息化持续深入推进的基本保障,直接影响着电力企业的运行与管理工作,对电力生产控制系统安全有着重大影响。

国家电网公司从维护国家安全、社会稳定与公民权益出发,按照国家信息安全等级保护制度要求,将信息安全纳入电网生产安全体系,加强管控,逐级分解安全责任,建立了完善的信息安全机制,按照“双网双机、分区分域、等级防护、多层防御”的安全策略,实施了双网隔离,部署了信息内外网邮件系统,统一配置了安全移动存储介质,建设一体化安全运行监管平台和信息安全综合工作平台,构建了运行维护标准化体系和信息安全技术督查体系,全面开展风险评估、强化应急响应、加强信息安全保密等系列措施,初步建立了公司信息安全等级保护纵深防御体系,有关工作得到了国家主管部门的高度肯定和认可,并获得电力行业信息安全工作突出单位称号。

下面将国家电网公司信息安全等级保护工作开展情况介绍如下:

一、等级保护工作介绍

国家电网公司高度重视等级保护工作,全面落实公安部《信息安全等级保护管理办法》、《关于开展信息安全等级保护安全建设整改工作的指导意见》、《信息系统安全等级保护基本要求》等系列管理和技术要求,以定级工作为基础,强化顶层设计,加强标准化建设,管理和技术齐抓共管开展等级保护建设整改,整体工作遵照定级备案、方案设计、等保

建设、等保测评和运行维护的五个步骤开展,目前已有2/3的单位完成等级保护建设,并将于年底全面完成建设整改工作。

图1 国家电网公司等级保护工作流程图

(一)定级备案

2008年初,遵照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)和电监会《电力行业信息系统安全等级保护定级工作指导意见》(电监信息〔2007〕44号)的文件要求,国家电网公司组织对在运的信息系统进行定级,并按照公安部和电监会对公司信息系统定级的审批,公司完成了30个网省公司、21直属单位的信息系统定级与组织备案工作,涉及公司所有万余个在运信息系统,其中四级系统32个,三级系统占31.8%、二级系统占68.1%。

68.1%

31.8%0.1%二级系统三级系统

四级系统

图2 国家电网公司信息系统安全等级分布

(二)体系设计

按照《信息系统安全等级保护基本要求》、《信息安全等级保护安全建设整改工作指南》的要求,国家电网公司结合电网安全需求,对电网信息安全工作进行整体规划和体系设计,制定了《国家电网公司信息化“SG186”工程安全防护总体方案》,确定了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略,其核心内容为强化网络边界安全,结合信息安全等级对信息内、外网应用系统进行安全域划分,将各安全域按边界、网络、主机及应用环境四个层次实施安全防护。

图3 体系构成示意图

具体内容为:一是将管理信息网划分为信息内网和信息外网,管理信息内外网之间采用逻辑强隔离策略进行隔离,信息内外网分别使用物理隔离并独立的服务器和桌面计算机。二是在网络方面,构筑了网络边界三道防线,第一道防线为强化互联网与信息外网之间控制策略;第二道防线为信息外网与信息内网之间采用强隔离措施和物理断开,切断信息内网与互联网的连接;第三道防线为管理信息大区与生产控制大区强隔离。三是在信息内网,按照“统筹资源、重点保护、适度安全”的原则,依据信息系统等级定级结果,采用“二级系统统一成域,三级系统独立

分域”的方法划分安全域。信息外网划分为外网应用系统域和外网桌面终端域。各安全域采用符合等级保护要求的技术措施进行防护。

图4 三道防线示意图

国家电网公司针对各安全域防护特点的差异,明确了各域的安全控制措施及防护方案,设计了7个典型设计的分册。即,在边界方面:制定了《网络与信息系统安全隔离实施指导意见》,应用具有自主知识产权的逻辑强隔离装置、正反向隔离装置等措施。在网络方面:采用国产网络设备和安全设备,并对经由网络传输的业务信息流进行安全防护。在主机方面:制定了《国家电网公司信息安全加固实施指南》,开展主机安全加固。在应用方面:制定了《国家电网公司信息应用系统通用安全要求》,开展应用系统安全性测试与整改。在数据方面:应用安全移动存储介质进行内外网数据交换,并开展三个集中式信息系统容灾中心建设。在管理方面辅助以信息安全综合工作平台进行管理。

(三)深化标准

国家电网公司结合电网信息安全防护的特殊性,以国家信息系统等级保护基本要求和电力行业信息安全要求为基础,对电网等级保护标准指标进行深化、扩充,将国家等级保护二级系统技术指标项由79个扩充至134个,三级系统技术指标项由136个扩充至184个,并将指标

作为整改要求,制定了《国家电网公司“SG186”工程等级保护验收标准》,所有在运行信息系统必须于2009年按照标准完成整改。

表1 电网需求与国家标准要求对照表

(四)现状测评

按照公安部对等级保护安全建设整改工作中进行信息系统安全保护现状分析的要求,国家电网公司组织内部测评队伍,在等级保护安全建设之前按照定级结果,根据国家和公司等级保护标准,对信息系统开展了技术和管理两方面的现状评估,寻找信息系统在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标准的差距,并进行差距汇总和分析,根据不足问题重点进行建设整改工作。

表2 公司等级保护符合性评估结果表

(五)安全建设整改

2009年,公司结合公安部等级保护建设指导意见,印发《国家电网公司信息安全等级保护建设的实施指导意见》,要求公司系统各单位于2009年底完成等级保护建设整改工作。具体建设内容包括:在技术措施上进行机房物理环境整改、安全域划分与实现、边界网络防护、安全配置加固、应用及数据安全防护,在管理上加强人员队伍建设并完善信息安全管理工作。

1.机房物理环境整改

各单位按照《国家电网公司信息机房设计及建设规范》、《国家电网公司信息机房管理规范》的要求,完善机房环境、设备管理、运行管理、电源管理、安全管理和资料管理,并从防雷、防火、防水、防静电、防盗窃、防破坏、电力供应、机房物理访问控制等方面对机房环境进行改造。

2.安全域划分与实现

在双网双机基础上,根据信息系统的安全等级,采用部署防火墙、交换机划分VLAN及设置访问控制策略等技术措施进行安全域划分。

3.边界网络防护

明确公司信息内外网五类边界,并对五类边界部署网络访问控制、入侵防护等多项通用防护措施,并特别采用公司自主研发的逻辑强隔离装置、一体化安全监管平台、边界安全监测等技术措施进行防护。

4.主机安全配置加固

各单位遵照《国家电网公司信息安全加固实施指南》,通过配置安全策略、安装安全补丁、强化系统访问控制能力、修补系统漏洞等方法对各类主机设备的操作系统、数据库、中间件等及时进行策略配置和加固。包括:帐号权限加固、数据访问控制加固、服务加固、网络访问控制加固、口令策略加固、审计策略加固、漏洞加固、通信信息安全加固等方面。在办公计算机终端上,全公司统一组织部署桌面终端管理系统,对终端的安全准入、补丁的自动升级、终端安全防护进行自动维护和监测管理。

5.应用及数据安全防护

依照国家和公司标准,从用户身份认证、访问控制、安全审计、通信数据保护、容错能力等多方面进行应用系统安全改造和建设。在数据保护方面,应用安全移动存储介质进行内外网数据交换。为确保不因人为或自然的原因,造成数据信息丢失和信息系统支持的业务功能停止或服务中断,公司提出建设集中式信息系统容灾中心,启动北京、上海、西安三个集中式信息系统容灾中心建设。

6、强化信息安全队伍建设

公司按照公安部要求,从安全管理、运行、监督、技术支持等方面加强信息安全队伍建设,确保安全责任落实。公司组织成立了“两级三线”(总部、网省两级,一线服务、二线运维、三线技术支持)运维服务队伍,负责各单位日常安全运行维护工作。建立了约400人的总部和网省两级信息安全技术督查队伍,负责监督和指导各单位信息安全工作落实。公司组织中国电力科学研究院、国网电力科学研究院的信息安全实验室组成信息安全技术保障队伍,培养了信息安全专业研究服务人员百

余人,在信息安全服务、技术研发、安全攻防及监测等方面开展了大量的工作。成立了由公司内外部专家组成的专家组,对重大信息安全决策、事件会商研判,对疑难问题进行分析和处置,并定期召开协调例会,为解决信息安全工作中遇到的问题提供技术支持。并制定了对应的人员安全管理制度,明确了人员录用、离岗、考核、教育培训管理要求。

7、完善信息安全管理工作

公司将等级保护与日常管理紧密结合,不断完善。按照公安部信息安全等级保护安全建设整改指导意见中信息安全管理建设的要求,公司各级单位成立了信息化工作领导小组,按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,逐级落实了信息安全责任。建立了完善的信息安全管理、信息系统运行、信息内容保密等规章制度和操作规程,建立了与公司信息化发展相适应的信息安全监督机制、应急机制、通报机制、事件责任追究机制和风险管理机制,将信息安全全面纳入公司安全生产管理体系。并按照信息系统与信息安全“同步规划、同步建设、同步投入运行”的三同步原则,加大信息安全资金投入,按照人员、时间、精力“三个百分之百”的要求,实现了全面、全员、全过程、全方位的“四全”安全管理。

同时,公司加强信息系统建设管理,印发《信息系统上下线管理规定》和《应用软件通用安全要求》等,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容。并规范了系统运维管理,开展运维标准化作业,明确了公司运维体系、费用标准、工作规范、流程标准、操作规程、装备标准、管理制度、考核标准,包含机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立信息安全技术督查机制,构建了两级技术督查队伍,定期对信息安全工作的落实情况进行自查和监督检查。

同时,利用技术手段加强信息安全日常运维工作。一是建设了一体化信息安全运行监管平台,对电网信息网络设备、安全设备、网络边界、应用系统、桌面终端进行实时安全监测,极大地提高了重要信息系统日常安全监测、预警、应急响应与防御能力。二是建设了信息安全综合工作平台,整合了国家电网公司的信息安全日常管理、运行与督查工作需求,将国家信息安全等级保护工作要求细化为可量化、可操作的技术和管理指标,按照总部、网省公司、地市公司的国网信息安全管理模式,实现等级保护执行情况的上报、监管,能够在线上完成定级、备案、整改、测评和检查等主要工作,使国网各级单位的等级保护与日常工作相结合并不断完善提升。

(六)建设整改后等级测评

在各单位完成等级保护安全建设之后,电网公司结合整改工程验收工作,组织内部测评队伍进行效果测评。内部测评结束后,再聘请国家信息安全等级保护工作协调小组备案的测评机构进行等级测评,验证与国家等级保护标准的符合性。通过公司内部和专业测评机构的两级测评,有效推进了国家、行业、电网信息安全标准在电网企业的落实完善。

二、试点示范工程情况

为确保等级保护实施工作取得实效,通过国家发改委立项审批,开展了“电网信息安全等级保护纵深防御示范工程”建设,以试点单位建设进行试验示范,并在全公司范围进行推广。浙江省电力公司、陕西省电力公司、中国电力财务有限公司三个试点单位进行边界、网络、主机、应用数据的等级保护纵深防御体系建设,全面应用自主信息化装备和自主知识产权信息技术产品,并开展了大量细致的国产化测评、验证和自主可控模式的探索。示范工程得到了国家发改委、公安部的高度认可,取得了良好的效果,极大地提升了电网防御能力,为等级保护在电网的推广应用奠定了基础。

图5 示范工程项目内容示意图

示范工程包含以下九个方面重点内容:

(一)建立电网信息系统安全等级保护纵深防御体系

建立电网信息安全等级保护纵深防御体系的三道防线,将电网信息系统划分为生产控制大区、信息内网、信息外网。根据电网信息系统防护特点,生产控制大区实现“安全分区、专网专用、横向隔离、纵向认证”的安全策略,管理信息大区实现“双网双机、分区分域、等级保护、多层防御”的安全策略。

图6 等级保护纵深防御体系结构图

(二)建设电网一体化信息安全运行监管平台

电网一体化信息安全运行监管平台是集综合网管、安全管理、桌面管理、IT运维、网络边界管理为一体的信息系统运行监控管理平台,实现了边界防御、网络监控、主机监控、应用防护和桌面终端安全的全方位监管功能。

图7 一体化安全运行监管平台

(三)建设国产安全电网运行控制平台

国产安全电网运行控制平台是按照等级保护四级系统保护要求,基于国产服务器和网络设备,采用国产B级安全操作系统、国产数据库、国产中间件等基础软件的分布式一体化调度支持平台。

图8 安全电网运行控制平台

(四)建设电网信息安全综合工作平台

电网信息安全综合工作平台的功能体系覆盖了国家电网公司信息

安全管理工作的主要内容,并支持公安部等级保护工作管理,以信息系统定级、备案、整改、测评和检查等规定步骤为主线,实现等级保护工作任务的下发、执行、进度监控和督办。平台建设内容包含了两个体系、三个综合模块和四个管理机制,具体为等级保护合规性管理体系和ISMS合规性管理体系;日常办公的综合管理模块、知识产权保护模块和培训教育模块;风险管理机制、应急管理机制、技术督查机制和事故通报机制。电网信息安全综合工作平台为公司系统各级信息化工作人员提供了及时、准确、可靠的信息安全工作支撑,体现出了四点先进性和创新性:一是为电力行业内首次应用支持国家信息安全等级保护工作要求的信息管理平台;二是引进国际先进的信息安全管理体系(ISMS)理论,指导国家电网公司的信息安全管理工作;三是为信息安全技术督查工作的履行和监管提供统一的工作管理平台,有效提升两级技术督查工作机制的执行效果;四是实现从硬件服务器、基础软件平台到应用系统的全国产化。

图9 信息安全综合工作平台

(五)自主研发信息内外网逻辑强隔离装置

信息内外网逻辑强隔离装置是整个等级保护纵深防御体系中的核

心安全设备,应用于纵深防御第二道防线。装置对数据库操作进行权限

和内容的控制,满足内外网业务数据交换的功能,实现对内网数据库访问的严格控制,彻底隔离内网与互联网连接。

图10 信息内外网逻辑强隔离装置

(六)自主研发安全移动存储介质管理系统

安全移动存储介质管理系统是纵深防护体系中针对数据层面的防护措施,对文件的读写进行访问限制和操作审计,内嵌主动式病毒安全防御功能,数据加密存储,解决了办公数据在信息内外网的安全交换问题,并能对文件的读写进行审计。安全移动存储介质管理系统是针对电网秘密信息的管理,在国产现有安全产品基础上研发定制而成。

图11 安全移动存储介质管理系统

(七)建设电网安全运维体系与技术督查体系

通过完善电网两级三线安全运维服务体系,建立两级信息安全技术督查工作机制,将信息安全技术和管理有机结合起来,实现安全管理、运维、监督相辅相成、相互监督的局面。

图12 安全运维服务体系与技术督查体系

(八)开展国产化和自主可控技术探索

在国产化方面,全面采用国产的信息安全产品构建等级保护纵深防

御体系,在试点单位中针对基础、通用和专业类的应用系统,进行信息系统全国产化改造的重要探索,同时完成了两个平台等关键系统的全国产化建设。

图13 国产化改造示范系统

在自主可控方面,通过统一标准、自主研发、自主实施、产权管理、安全测评、安全管控、安全巡检、风险管理等手段实现信息系统全生命周期各阶段的安全可控。

图14 信息系统全生命周期的自主可控

(九)等级保护纵深防御示范工程仿真实验环境建设

将中国电科院信息系统安全实验室、国网电科院信息网络安全实验室和国网信通公司信息网络实验室作为国家电网公司重大实验能力建

设框架的一部分,针对安全产品、信息系统建立测评验证与运行仿真环

境,以确保信息系统与安全产品的高可靠性与稳定性。

三、经验与体会

(一)领导高度重视,一手抓信息化,一手抓信息安全

长期以来国家电网公司党组高度重视信息安全,始终坚持一手抓信息化建设,一手抓信息安全工作。随着公司信息化“SG186”工程的推进,全面落实了信息安全责任制,执行了“三个百分之百”(人员、时间、精力三个方面百分之百投入到信息安全工作中)、“四全”(全面、全员、全过程、全方位)的安全管理、“三同步”(信息安全与信息系统同步规划、同步建设、同步投入运行)的原则,将信息安全纳入电网生产安全,建立了完善的信息安全规章制度,健全了信息安全管理机制,加大信息安全资金投入,强化信息安全队伍建设,保障了信息安全的执行到位。

(二)全局规划,典型设计,扎实落实信息安全等级保护制度

国家电网公司结合电网安全需求,依照国家等级保护系列标准要求,对电网信息安全工作进行整体规划,制定了《国家电网公司“SG186”工程安全防护总体方案》,实施“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略,构筑了三道防线,进行了典型设计,明确了安全控制措施,将等级保护落到实处。

(三)深化标准,扩充要求,结合行业要求进行落地

国家电网公司结合电网信息安全防护的特殊性,以国家信息系统等级保护基本要求和电力行业信息安全要求为基础,对电网等级保护标准指标进行深化、扩充,并在试点单位实施验证。同时组织内部测评队伍,按照标准在等级保护建设前进行符合性评估,在等级保护建设完成后进行效果测评,有效推进了国家、行业、电网信息安全标准在电网企业的落实完善。

(四)示范验证,试点实施,电网等级保护取得实效

为确保等级保护实施工作取得实效,国家电网公司通过国家发改委立项审批,开展了“电网信息安全等级保护纵深防御示范工程”建设,三

个试点单位等级保护建设全部采用国产产品,核心安全防护设备采用自主研发,核心信息系统和基础类、通用类以及专业类应用系统采用全国产服务器、操作系统、数据库和中间件,试点工作取得良好的示范效果,为全网推广打下坚实基础。

(五)统筹组织,强化落实,全网开展等级保护建设

为加快等级保护在国网范围的推广应用,国家电网公司统一组织了万余个系统等级保护定级备案,按照“统筹组织、统一规范、全面覆盖”的实施原则,统一组织了机房物理环境整改、安全域划分与实现、安全配置加固、应用及数据安全防护、安全队伍建设、信息安全管理完善、建设信息安全综合工作平台等工作。

(六)完善体系,强化监测,将等级保护融入日常信息安全工作按照等级保护管理工作要求,国家电网公司健全了信息安全防护机制,完善了信息安全防护体系,运用技术手段加强日常管理,建设了一体化信息安全运行监管平台和信息安全综合工作平台,将等级保护融入日常安全运行与管理中。

国家电网公司信息安全等级保护工作交流

信息安全等级保护安全建设整改工作培训材料之二 全面规划狠抓落实 信息安全工作再上新台阶 ----国家电网公司信息安全等级保护工作交流 国家电网公司是国有特大型企业,是关系国家能源安全和国民经济命脉的国有重要骨干企业,核心业务为电网的建设和运营,承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国家电网公司经营区域覆盖26个省(自治区、直辖市),占国土面积的88%,为超过10亿人口提供电力服务,管理员工153.7万人,公司名列2009年《财富》全球企业500强第15位,是全球最大的公用事业企业。 作为关系国家能源安全和国民经济命脉的重要骨干企业,国家电网公司内部运转和对外服务依托大量业务信息系统,信息化依赖程度很高。公司历来高度重视信息化工作,大力推进信息化企业建设,自2006年开始实施SG186工程,构筑横向集成、纵向贯通的一体化企业级信息集成平台,建设八大业务应用系统,健全完善六个保障体系,提出“十一五”末初步建成信息化企业和数字化电网的目标,即在国际先进管理理念指导下,以信息技术为依托,构建电网企业生产、经营、管理和决策的信息管理系统,实现公司人、财、物三大基本要素和业务处理的全过程信息化,促进公司各项业务流程的规范化、标准化,达到工作流、资金流、物资流、信息流的高度整合和共享,实现公司生产自动化、管理现代化、决策科学化。SG186工程至今年年底将提前一年全部完成建设目标,为公司人财物集约化管理和智能电网建设提供了坚强支撑。通过国家信息化测评机构测算,信息化对公司主营业务的销售收入贡献率达到1%以上,SG186工程取得每年数十亿元的明显效益。在国资委公布的2007年度中央企业信息化水平评价结果中,被评为十家A级企

信息安全等级保护工作实施细则.doc

内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负

责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;

国家电网公司送变电工程施工安全设施标准

安全设施标准(施工) 一、安全标志牌 1、使用范围线路工程、变电工程。 2、设置场所线路工程:杆塔组立、爆破工程、张力放线场地、仓库及危险区域、跨越架搭设、大跨越及交叉跨越施工等场所。变电工程:变电站施工现场、仓库及危险区域、施工电源、变电扩改建工程分区等场所。 3、标志牌内容:标志牌分4类。禁止标志牌:包括禁止烟火、禁止吸烟、禁止合闸有人工作、未经许可不得入内、禁止攀登高压危险,等;警告标志牌:包括必须戴安全帽、必须系安全带、必须戴防护眼镜,等:指令标志牌:包括止步高压危险、当心触电、当心坠落、当心坑洞、当心落物,等:指示标志牌:包括从此上下、在此工作,等。 4、制作要求标志牌宜采用塑料板或镀锌铁板制作。制作尺寸和图形要求见附录A。 二、安全围栏和临时提示遮拦 1、使用范围线路工程、变电工程。 2、设置场所线路工程:牵张场、带电跨越危险作业区等场所;变电工程:改扩建工程与带电区的分界、高压试验区、重要作业区、危险场所、安全通道等场所。 3、制作要求型式:采用钢管立柱,围栏采用钢管框形组件或用红色和白色相间的安全围绳。结构:立柱刷红、白相间漆、围栏框刷红漆。受现场条件限制时,用红、白尼龙绳代替围栏框,固定于主柱套管内。临时提示遮栏的制作参见附图B-3。 三、孔洞盖板 1、范围变电工程。 2、设置场所变电工程施工过程中的孔洞,防止人员或物体坠入的临时封盖。 3、制作要求型式:根据需要,制成矩、方、圆三种盖板。结构:采用花纹钢板厚3~4 mm,边角钢条用厚10~15 m m 钢板,盖板边缘应大于孔洞边缘100 m m,盖板下应设限位块,限位与孔洞边缘距不大于30 m m,限位块用角钢,盖板的承重不小于200 kg/m 2,盖板上刷红、白相间标志漆,大于1m 的孔洞盖板应有加强筋。 四、低压配电箱 1、使用范围变电工程。 2、设置场所变电施工用电配电箱,根据需要设置。 3、制作技术和使用要求(参考附录C)盘柜制作应符合GB4720-84第一部分第四条规定,外表喷涂蓝或绿漆,内壁喷涂米黄或白色漆,盘门标有“低压配电箱、有电危险”红色标记。配线一律采用铜芯截面且不小于16mm2,所配设备应按规定试验合格,配电箱设置应远离易燃、易爆、腐蚀等危险场所。 五、便携式卷线电源盘 1、使用范围变电工程、线路工程。 2、使用场所现场电动、照明电源线。 3、制作要求(参考附录D)在市场选购时,必须符合以下条件:有生产许可证、合格证的厂商和产品;漏电保护器等安全装置齐全;限在单相220伏,2KW 及以下使用;电气元器件、电缆线损伤,漏电保护器不动作,壳体严重变形损伤时禁用。 4、使用条件用于无积水,环境温度在+40℃以内,对电缆线无损伤无明火,要远离易爆、易燃、有腐蚀的场所。 六、水平安全绳

重大事件期间网络与信息安全管理规定

**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改

《国家电网公司安全工作规定》题库 1资料

《国家电网公司安全工作规定》题库1 一、单选题 1.《国家电网公司安全工作规定》(国家电网企管〔2014〕1117号)自( C )起施行。(第一一一条) A. 2014年12月1日 B. 2014年11月1日 C. 2014年10月1日 D. 2014年9月1日 2. 公司各级单位实行以各级( A )为安全第一责任人的安全责任制,建立健全安全保证体系和安全监督体系,并充分发挥作用。(第三条) A. 行政正职 B. 主管安全领导 C. 安全部门主任 D. 分管安全领导 3. 公司各级单位的各部门、各岗位应有明确的安全管理职责,做到责任分担,并实行( B )的安全逐级负责制。(第十五条) A. 上级对下级 B. 下级对上级 C. 三级安全网络 D. 安全监督体系 4. 安全保证体系对业务范围内的安全工作负责,( D )负责安全工作的综合协调和监督管理。(第十五条) A. 安全保证体系 B. 安全生产思想政治工作保障体系 C. 安全生产民主监督、民主管理体系 D. 安全监督体系 5. 安全生产委员会办公室设在( C )。(第二十四条) A. 生产运维部门 B. 总经理办公室 C. 安全监督管理部门 D. 后勤保障部门 6. 新上岗生产人员运维、调控人员(含技术人员)、从事倒闸操作的检修人

员,应经过现场规程制度的学习、现场见习和至少( B )的跟班实习,并经考试合格后上岗。(第四十一条) A. 1个月 B. 2个月 C. 3个月 D. 6个月 7. 在岗生产人员每年再培训不得少于( A )。(第四十二条) A. 8学时 B. 16学时 C. 32学时 D. 40学时 8. 外来工作人员必须经过( D ),并经考试合格后方可上岗。(第四十三条) A. 业务培训 B. 现场作业注意事项培训 C. 紧急救护培训 D. 安全知识和安全规程的培训 9. 省公司级单位对所属地市公司级单位的领导、安全监督管理机构负责人,一般( C )进行一次有关安全法律法规和规章制度考试。(第四十五条) A. 毎半年 B. 毎年 C. 毎两年 D. 毎三年 10. 省公司级单位应( C )召开一次安全监督例会,地市公司级单位、县公司级单位应( C )召开一次安全网例会。(第五十四条) A. 毎半年毎半年 B. 毎半年每季度 C. 毎半年每月 D. 每季度每月 11.离开特种作业岗位( D )的作业人员,应重新进行实际操作考试,经确认合格后方可上岗作业。(第四十二条) A. 1个月 B. 2个月 C. 3个月 D. 6个月 12. 因承包方责任造成的发包方设备、电网事故,由( A )负责调查、统计上报,无论任何原因均对发包方进行考核。发包方根据安全协议对承包方进行处罚。(第九十六条) A. 发包方 B. 承包方 C. 监理方 D. 施工方 13. 公司各级单位应按照“全方位覆盖、全过程闭环”的原则,实施隐患

信息安全等级保护工作汇报

XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、

保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具

国家电网公司安全文明施工规定

国家电网公司 输变电工程安全文明施工标准化工作规定 (试行) 国家电网公司发布 关于印发 《国家电网公司输变电工程安全文明施工标准化工作规定(试行)》 的通知 国家电网基建[2005]403号 公司系统各区域电网公司,省(自治区、直辖市)电力公司,国网建设有限公司,国网新源控股有限公司: 为规范输变电工程安全文明施工管理,实现“安全管理制度化、安全设施标准化、现场布置条理化、机料摆放定置化、作业行为规范化、环境影响最小化”的管理目标,营造安全文明施工的良好氛围,保障从业人员的安全和健康,树立新时期国家电网施工新形象,公司组织编制了《国家电网公司输变电工程安全文明施工标准化工作规定(试行)》,并征求了各网、省(自治区、直辖市)公司及送变电施工企业的意见,现予以印发。 与本规定配套的《国家电网公司输变电工程安全文明施工标准化图册》另行印发。 附件:国家电网公司输变电工程安全文明施工标准化工作规定(试行) 国家电网公司(印) 二00五年六月十七日 国家电网公司 输变电工程安全文明施工标准化工作规定(试行) 第一条为贯彻“安全第一、预防为主”的方针,进一步规范输变电工程现场安全文明施工管理,全面推行建设工程安全文明施工标准化工作,提高安全作业环境水平,保障从业人员安全与健康,倡导绿色施工,依据国家有关安全健康与环境保护的法律、法规和《国家电网公司电力建设安全健康与环境管理工作规定》等文件,结合输变电工程建设具体情况制定本规定。

第二条本规定用于指导、规范公司系统220kV及以上电压等级新建输变电工程建设现场的安全文明施工组织与管理,其他工程项目可参照执行。 第三条贯彻以人为本的理念,通过创建安全文明施工工地,努力做到:安全管理制度化、安全设施标准化、现场布置条理化、机料摆放定置化、作业行为规范化、环境影响最小化,营造安全文明施工的良好氛围。 第四条项目法人(工程建设管理单位)负责工程建设现场安全文明施工的规划、监督和指导。 (1) 依法选择具有相应资质和安全业绩的设计、监理、施工单位,并与其签订安全管理责任书,明确各方工程安全管理责任。 (2) 负责组建项目安全生产委员会(以下简称安委会),并担任安委会主任。安委会要定期召开会议,协调解决工程建设过程中重大的安全文明施工问题。 (3) 依据本规定编制工程建设项目安全文明施工总体规划,提出工程建设项目安全文明施工管理目标、管理及保障措施,并对本规定在工程建设全过程的有效实施进行监督、指导。 (4) 依法管理工程项目,坚持合理工期、合理造价,为安全文明施工创造条件。 (5) 招标时根据工程建设规模、电压等级,单列安全文明施工补助费用(此费用不作投标报价,具体规定由国家电网公司另行发文),并确保此费用及时拨付到位。 (6) 委派专人负责工程项目安全文明施工管理工作,定期组织安全文明施工检查。 (7) 对设计、监理、施工等工程参建方建立安全绩效考核制度和激励机制。 第五条工程建设监理单位依据法律、法规、工程建设强制性标准及工程建设监理合同实施监理,履行安全文明施工监理职责。 (1) 根据业主提出的项目安全管理目标及安全文明施工规划,制定相应的控制措施。 (2) 在监理大纲、监理规划中明确工程项目安全监理目标、措施、计划和工作程序。 (3) 监督施工项目部自身安全保障体系的有效运转,严格审查安全文明施工方案和安全技术措施,并监督实施。 (4) 监理人员责任意识和专业能力满足安全控制要求,并配备合格的专责安全工程师。 (5) 对重要工序、危险性作业和特殊作业实施旁站监理。 (6) 控制工程关键节点(如开工、土建交付安装、安装交付调试以及整套启动、移交运行等)所具备的安全文明施工条件。 (7) 协调解决各施工承包商间交叉作业和工序交接中影响安全文明施工的问题,并进行跟踪控制。 (8) 定期组织安全文明施工检查,监督检查施工现场安全文明施工状况,发现问题及时督促整改,实行闭环管理。 第六条工程设计单位应为工程建设全过程的安全文明施工提供与设计相关的技术服务和支持。 (1) 按照法律、法规和工程建设强制性标准进行设计,防止因设计不合理导致安全事故的发生。完善工程本体安全设施设计,为各类安全防护装置的使用创造条件。 (2) 充分考虑施工安全操作和防护的需要,对防范安全事故提出指导性意见。 (3) 采用新技术、新工艺、新材料、新设备或特殊结构的工程,在设计文件中提出保障人员安全和预防事故的措施建议。 (4) 工程设备与材料选型必须符合国家有关安全健康与环境保护的要求。 (5) 及时交付图纸,合理设计地下电缆、管道等沟道,使变电所(换流站)有条件在工程开工初期即能完成主要混凝土道路施工。

国家电网公司提出智能电网八大信息化技术

国家电网公司提出智能电网八大信息化技术 依据国家电网的规划,2011至2015年将进入“统一坚强智能电网”的全面建设阶段,这个庞大的项目将在未来10年内给国内外同行业者带来数万亿的市场机遇。 据计世资讯统计,据国家电网公司规划,在智能电网面建设阶段,未来年均智能化投资额也将达到350亿元/年。这引起了业内人士的关注,在此基础上,国家电网公司总信息师吴玉生提出了支撑智能电网发展的八大信息化技术与创新: 一、安全接入平台:解决智能电网 中各环节以及经营管理中物资、应急指挥、移动办公的安全接入需求,建立多渠道互动访问入口,提升信息双向交互的安全防护能力,为智能电网主动安全防御体系奠定坚实的基础。 二、海量历史实时数据平台:实现对智能电网的各环节运行和监测中产生的海量历史实时数据的存储、集中、整合、共享和分析,同时对外提供标准统一的访问服务,为智能电网各业务应用提供技术支撑。 三、输变电状态监测系统:通过运用各种传感器技术、广域通信技术和信息处理技术实现对智能电网各类输变电设备运行状态的实时感知、监视预警、分析诊断和评估预测,支撑设备状态检修,提升电网智能化水平,实现输变电设备状态管理。 四、用户用电信息采集系统:实现对电力用户用电信息的高效实时信息采集,提高电能计量自动化程度,全面支持阶梯电价、分时电价及全费控业务的开展,为营销自动化及智能用电增值服务奠定基础。 五、电动汽车运营管理系统:建设统一的电动汽车充换电服务网络运营系统,实现对电动汽车 充换电服务网络提供客服、计费、清分、资产、配送等业务支撑,实现电动汽车充换电业务应用的信息化、自动化、网络化,有效支撑充换电服务网络运营管理。 六、95598互动服务网站:建设统一的95598互动服务网站,进一步拓展客户服务渠道,满足客户多样化、互动化服务需求。为电力客户提供灵活定制、多种选择、高效便捷的服务。 七、故障抢修管理(TCM)系统:发挥信息化对智能电网变、配、用、调度环节的综合支持作用,为提高故障抢修过程工作效率和各种资源利用效率提供有力的支撑,进而缩短故障恢复时间,提升客户满意度。 八、智能决策分析平台:构建全公司统一的智能决策分析平台,实现智能电网和经营管理各类信息可观察能、可判断、可预测的决策分析能力;增强决策分析的可视化、互动化,支撑智能电网建设。 智能电网 的信息化建设工程复杂,需要大批具备丰富的电力行业实践经验、善于洞悉电力系统管理特点、能够提供全面解决方案的管理软件与服务供应商共同参与。

信息管理与信息安全管理程序.docx

. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

国家电网公司安全工作规定测试试题

国家电网公司安全工作规定试题

————————————————————————————————作者:————————————————————————————————日期: 2

《国家电网公司安全工作规定》试题 单位:姓名:成绩: 一、单选题(共10题,每题3分,共30分) 1. 《国家电网公司安全工作规定》(国家电网企管〔2014〕1117号)自()起施行。 A. 2014年12月1日 B. 2014年11月1日 C. 2014年10月1日 D. 2014年9月1日 2. 安全保证体系对业务范围内的安全工作负责,()负责安全工作的综合协调和监督管理。 A. 安全保证体系 B.安全生产思想政治工作保障体系 C. 安全生产民主监督、民主管理体系 D.安全监督体系 3. 新上岗生产人员运维、调控人员(含技术人员)、从事倒闸操作的检修人员,应经过现场规程制度的学习、现场见习和至少()的跟班实习,并经考试合格后上岗。 A. 1个月 B. 2个月 C. 3个月 D. 6个月 4. 外来工作人员必须经过(),并经考试合格后方可上岗。 A. 业务培训 B. 现场作业注意事项培训 C. 紧急救护培训 D. 安全知识和安全规程的培训 5. 离开特种作业岗位()的作业人员,应重新进行实际操作考试,经确认合格后方可上岗作业。 A. 1个月 B. 2个月 C. 3个月 D. 6个月 6. 因故间断电气工作连续()以上者,应重新学习《电力安全工作规程》,并经考试合格后,方可再上岗工作。

A. 1个月 B. 2个月 C. 3个月 D. 6个月 7. 公司所属各级单位应与电力用户签订供用电合同,在合同中明确()。 A. 供电范围 B. 设备分界点 C. 电费电价 D. 双方应承担的安全责任 8. 公司各级单位应按照“平战结合、一专多能、装备精良、训练有素、快速反应、战斗力强”的原则,建立应急救援基干队伍。加强()建设,提高协同应对突发事件的能力。 A . 应急培训机制 B. 应急演练机制 C. 应急联动机制 D. 应急评估机制 9. 公司各级单位应设立(),主任由单位行政正职担任,副主任由党组(委)书记和分管副职担任,成员由各职能部门负责人组成。 A. 安全监督管理机构 B. 安全生产委员会 C. 安全风险管理体系 D. 事故调查体系 10. 建立安全指标控制和考核体系,形成()机制,是公司各级单位行政正职安全工作的基本职责之一。 A. 考核 B. 奖励 C. 监督考核 D. 激励约束 二、多选题(共5题,每题4分,共20分) 1. 公司各级单位应建立和完善(),构建事前预防、事中控制、事后查处的工作机制,形成科学有效并持续改进的工作体系。 A. 安全风险管理体系 B. 应急管理体系 C. 安全三级网络体系 D. 事故调查体系 2.公司各级单位应全面实施安全风险管理,对各类安全风险进行超前分析和流程化控制,形成( )的安全风险管理长效机制。 A. 管理规范 B. 责任明确 C. 闭环落实 D. 持续改进 3. 地市公司级单位、县公司级单位每年应对()进行培训,经考试合格后,书面公布有资格担任的人员名单。

信息安全等级保护工作计划

篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我

国家电网公司办公计算机信息安全管理办法

规章制度编号:国网(信息/3)255-2014 国家电网公司办公计算机信息安全管理办法 第一章总则 第一条为加强国家电网公司(以下简称“公司”)办公计算机信息安全管理,依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。 第二条本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。 (一)信息内外网办公计算机分别运行于信息内网和信息外网; (二)信息内网定位为公司信息业务应用承载网络和内部办公网络; (三)信息外网定位为对外业务应用网络和访问互联网用户终端网络; (四)公司信息内外网执行等级防护、分区分域、逻辑强

隔离、双网双机策略。 第三条本办法适用于公司总(分)部、各单位及所属各级单位(含全资、控股、代管单位)(以下简称“公司各级单位”)。 第四条国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。 严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网办公计算机上处理、存储国家秘密信息,严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息,严禁信息内网和信息外网办公计算机交叉使用。 第二章职责分工 第五条公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人。 第六条公司各级单位信息通信管理部门负责办公计算机的信息安全工作,按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。 第七条办公计算机使用人员为办公计算机的第一安全责任人,未经本单位运行维护人员同意并授权,不允许私自卸载公司安装的安全防护与管理软件,确保本人办公计算机的信息安全和内容安全。

信息安全等级保护工作历程

信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试

国家电网公司电力安全工作规程

国家电网公司电力安全工作规程 变电部分 1范围 本规程规定了工作人员在作业现场应遵守的安全要求。 本规程适用于在运用中的发电、输电、变电(包括特高压、高压直流)、配电和用户电气设备上及相关场所工作的所有人员,其他单位和相关人员参照执行。3术语和定义 下列术语和定义适用于本规程。 低【电】压 low voltage,lv 用于配电的交流系统中1000kv及以下的电压等级。 高【电】压 highvoltag,hv a)通常只超过低压的电压等级。 b)特定情况下,之电力系统中输电的电压等级。 运用中的电气设备 operating electrical cquipment 全部带有电压、一部分带有电压或一经操作即带有电压的电气设备。 事故紧急抢修工作 emergency repairwork 指电气设备发生故障被迫紧急停止运行,需短时间内恢复的抢修和排除故障的工作。 设备的双重名称 dual tags of equipment 即设备名称和编号 4总则 为加强电力生产现场管理,规范各类工作人员的行为,保证人身、电网和设备安全,依据国家有关法律、法规,结合电力生产的实际,制定本规程。 作业现场的基本条件。 作业现场的生产条件和安全设施等应符合有关标准、规范的要求,工作人员的劳

动防护用品应合格、齐备。 经常有人工作的场所及施工车辆上宜配备急救箱,存放急救用品,并应指定专人经常检查、补充或更换。 现场使用的安全工器具应合格并符合有关要求。 各类作业人员应被告知其作业现场和工作岗位存在的危险因素、防范措施及事故紧急处理措施。 作业人员的基本条件 经医师鉴定,无妨碍工作的病症(体格检查每两年至少一次)。 具备必要的电气知识和业务技能,且按工作性质,熟悉本规程的有关部分,并经考试合格。 具备必要的安全生产知识,学会紧急救护发,特别要学会触电急救。 进入作业现场应正确佩戴安全帽,现场作业人员应穿全棉长袖工作服、绝缘靴。教育和培训 各类作业人员应接受相应的安全生产教育和岗位技能培训,经考试合格上岗。作业人员对本规程应每年考试一次。因故间断电气工作连续三个月以上者,应重新学习本规程,并经考试合格后,方能恢复工作。 新参加电气工作的人员、实习人员和临时参加劳动的人员(管理人员、非全日制用工等),应经过安全知识教育后,方可到现场参加指定的工作,并且不得单独工作。 参与公司系统所承担电气工作的外单位和外来工作人员应熟悉本规程,经考试合格,并经设备运维管理单位认可,方可参加工作。工作前,设备运维管理单位应告知现场电气设备接线情况、危险点和安全注意事项。 任何人发现有违反本规程的情况,应立即制止,经纠正后才能恢复作业。各类作业人员有权拒绝违章作业和强令冒险作业;在发现直接危及人身、电网和设备安全的紧急情况时,有权停止作业或者在采取可能的紧急措施后撤离作业场所,并立即报告。 在试验和推广新技术、新工艺、新设备、新材料的同时,应制定相应的安全措施,

某单位信息安全等级保护建设方案

xxxxxx 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月

文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息

本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。

目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (6) 1.2.1法律要求 (6) 1.2.2政策要求 (8) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (9) 第二章现状与差距分析 (10) 现状概述 (10) 2.1.1信息系统现状 (10) 现状与差距分析 (12) 2.2.1物理安全现状与差距分析 (12) 2.2.2网络安全现状与差距分析 (21) 2.2.3主机安全现状与差距分析 (34) 2.2.4应用安全现状与差距分析 (46) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (61) 综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (81)

v1.0 可编辑可修改 第三章安全建设目标 (83) 第四章安全整体规划 (85) 建设指导 (85) 4.1.1指导原则 (85) 4.1.2安全防护体系设计整体架构 (86) 安全技术规划 (88) 4.2.1安全建设规划拓朴图 (88) 4.2.2安全设备功能 (89) 建设目标规划 (95) 第五章工程建设 (97) 工程一期建设 (97) 5.1.1区域划分 (97) 5.1.2网络环境改造 (97) 5.1.3网络边界安全加固 (98) 5.1.4网络及安全设备部署 (99) 5.1.5安全管理体系建设服务 (132) 5.1.6安全加固服务 (149) 5.1.7应急预案和应急演练 (157) 5.1.8安全等保认证协助服务 (157) 工程二期建设 (159) 5.2.1安全运维管理平台(soc) (159) 5.2.2APT高级威胁分析平台 (163) 产品清单 (165)

信息安全管理体系建设

佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月

一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体

2014版国家电网公司安全工作规定要点

规章制度编号:国网(安监/2)406-2014 国家电网公司安全工作规定 第一章总则 第一条为了贯彻“安全第一、预防为主、综合治理”的方针,加强安全监督管理,防范安全事故,保证员工人身安全,保证电网安全稳定运行和可靠供电,保证国家和投资者资产免遭损失,制定本规定。 第二条本规定依据《中华人民共和国安全生产法》、《中华人民共和国突发事件应对法》、《生产安全事故报告和调查处理条例》、《电力安全事故应急处置和调查处理条例》等有关法律、法规,结合电力行业特点和国家电网公司(以下简称“公司”)组织形式制定,用于规范公司系统安全工作基本要求。 第三条公司各级单位实行以各级行政正职为安全第一责任人的安全责任制,建立健全安全保证体系和安全监督体系,并充分发挥作用。 第四条公司各级单位应建立和完善安全风险管理体系、应急管理体系、事故调查体系,构建事前预防、事中控制、事后查处的工作机制,形成科学有效并持续改进的工作体系。 第五条公司各级单位应贯彻国家法律、法规和行业有关制度标准及其他规范性文件,补充完善安全管理规章制度和现场规程,使安全工作制度化、规范化、标准化。

第六条公司各级单位应贯彻“谁主管谁负责、管业务必须管安全”的原则,做到计划、布置、检查、总结、考核业务工作的同时,计划、布置、检查、总结、考核安全工作。 第七条本规定适用于公司总(分)部及所属各级单位(含全资、控股、代管单位)的安全管理和安全监督管理工作。 公司各级单位承包和管理的境外工程项目,以及公司系统其他相关单位的安全管理和安全监督管理工作参照执行。 第二章目标 第八条国家电网公司安全工作的总体目标是防止发生如下事故(事件): (一)人身死亡; (二)大面积停电; (三)大电网瓦解; (四)主设备严重损坏; (五)电厂垮坝、水淹厂房; (六)重大火灾; (七)煤矿透水、瓦斯爆炸; (八)其他对公司和社会造成重大影响、对资产造成重大损失的事故(事件)。 第九条省(直辖市、自治区)电力公司和公司直属单位(以下简称“省公司级单位”)的安全目标: (一)不发生人身死亡事故;

相关主题
相关文档
最新文档