信息安全管理办法

xxxxzdxxxxxxxx电厂管理制度

net

信息安全管理办法

2015-9-10发布2015-9-10实施

xxxxxxxx电厂发布hyw3-111-xz15

xxxxxxxx电厂信息安全管理办法

第一章总则

第一条为了加强xxxxxxxx电厂（以下简称“电厂”）信息的安全管理，确保公司信息系统安全、稳定运行，特制定本办法。

第二条本办法规定了信息安全管理的职责、内容和方法，本办法适用于电厂各部门。

第二章人员与帐户

第三条电厂的所有员工都必须接受信息安全培训，培训由电厂人力资源部组织，信息中心协助。

第四条信息中心统一管理各应用系统中的帐户信息，包括用户基本信息、用户帐号、权限等。信息中心应在接到人力资源部门的员工职位变动或离职的通知后，根据具体情况及时调整相应的帐户信息。

第五条员工离职时必须将其掌管的信息资产（如电脑、打印机等）移交信息中心，信息中心进行清点和核查。必要时，还需要检查此员工管理的信息系统，以确认系统安全、正常，没有遭受蓄意破坏。

第三章口令策略

第六条信息系统中所需要的所有口令应至少满足以下要求：

（一）长度。至少6位，建议在16位以下。

（二）复杂度。可以由大小写字母、数字和普通符号组成。

（三）有效期。口令应每季度更换。

（四）更换策略。新口令至少与前3次的口令不能相同。

第四章特权帐号的控制

第七条特权帐号是指具有特殊管理功能和权限的专用账号，如：具有应用系统管理权、数据库管理权、操作系统管理权的帐号，还包括网络设备特权帐号等。

第八条特权帐号应由专人管理和使用，责任到人。特权帐号使用人在出差、请假期间，应将特权帐号转交给信息中心负责人指定的人员。特权帐号使用人长期离开时，应将特权帐号交给信息中心负责人。

第九条使用特权帐号后，特权帐号使用人应将其操作情况记录在《操作日志》中。信息中心负责人每季度对《操作日志》进行审核。

第十条特权帐号使用人在进行操作时，不得擅自离开；操作完成后，应立即退出登录，以防账号被窃用。

hyw3-111-xz15

第五章安全检查和审计

第十一条信息中心安全管理员对防火墙进行管理，按照电厂有关技术规范的要求和本单位的实际情况配置相应的安全策略。防火墙必须保留完整的日志记录，安全管理员对其每月进行检查、分析和审计。

第十二条应用系统、操作系统和数据库的自动日志记录应完整保留，以便对其使用情况进行检查和审计。

第六章病毒防护

第十三条电厂内部网络内所有采用windows操作系统的计算机（包括服务器、台式机和笔记本）都必须安装电厂统一的防病毒软件，防病毒软件的安装、升级、更新和策略设置由信息中心负责，电脑终端用户不得擅自卸载杀毒软件或更改其设置。

第七章数据安全与保护

第十四条重要数据的安全保护工作由电厂信息中心负责，按照数据重要性的分类应采用不同的备份和管理的策略。

第十五条重要数据进行销毁或存储介质报废时，应确保对数据存储介质的物理销毁或清除。

第十六条信息中心的技术资料、软件安装介质、软件授权以及设备保修卡等重要资料应指定专人分类妥善保管。上述资料应存放在防火、防潮并且上锁的资料柜中，借出时应登记，避免遗失。

第八章安全应急处理

第十七条信息系统受到恶意攻击或发生重大事故时，信息中心负责应急和恢复工作。信息中心应对主要事故和攻击的情况做出预案，以确保能迅速恢复系统的正常运行。

第十八条信息系统受到非法攻击或发生重大事故后，信息中心应对系统的安全性重新进行全面的评估，制订相应的整改措施并落实执行。