为加强和规范信息安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,甘肃省电力公司依据国家有关法律、法规、规定及国家电网公司有关制度,结合公司实际,修订信息系统安全管理办法,强化信息系统安全管理。
一是明确安全管理范围和任务。全面加强一体化企业级信息集成平台和八大业务应用的安全管理,明确信息系统安全管理主要任务,确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性。坚持“分区、分级、分域”总体防护策略,执行信息系统安全等级保护制度。实行“双机双网”,信息内、外网之间实施强逻辑隔离的措施。信息系统安全防护措施按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
二是明晰安全管理职责。信息系统实行统一领导、分级管理,明确各单位主要负责人是本单位信息系统安全第一责任人,各单位信息化领导小组负责本单位信息系统安全重大事项决策和协调工作。将信息系统安全纳入公司安全管理体系,实行专业管理、归口监督,明晰科技信息、安全监察、各业务应用部门及基层单位职责,确保信息系统安全管理各负其责、无缝对接。
三是采取严格的管理措施。建立健全信息系统安全管理制度体系,明确安全管理机构,设立系统管理员、网络管理员、安全管理员等岗位,并明确岗位职责。严格遵守“涉密不上网、上网不涉密”纪律,严格信息系统安全工作人员录用过程,严格外部人员访问程序。开展网络与信息系统定级、审批、备案工作。加强信息系统运行维护全过程管理,不断完善应急预案,加强培训和演练,确保人力、设备、技术和财务等应急保障资源可用。建立备份与恢复管理相关安全管理制度,切实根据需要开展业务应用容灾系统建设,加强网络信任体系建设规划工作,不断完善安全认证系统相关技术标准和功能规范。强化信任体系应用工作,做好信息系统统一身份认证,以及重要信息的加密和签名工作。加强员工信息系统安全培训,提高全员信息系统安全意识。
四是落实有效的技术防范措施。对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统,采取相应的防雨水及隔离措施。加强网络安全技术和系统安全技术工作,严格网络、系统安全审计工作。对重要和敏感信息实行加密传输和存储,对门户网站页面建立防篡改机制和措施。严格用户帐号及口令管理,定期开展用户终端计算机数据备份工作,及时安装系统补丁程序,及时更新杀病毒程序,加强移动存储介质管理。
