《国网(信息2)4012023国家电网有限公司网络与信息系统安全管理办法.docx》由会员分享,可在线阅读,更多相关《国网(信息2)4012023国家电网有限公司网络与信息系统安全管理办法.docx(15页珍藏版)》请在第一文库网上搜索。
1、规章J度编号:国网(信息/2)401-2023国家电网有限公司网络与信息系统安全管理办法第一章总则第一条为规范国家电网有限公司(以下简称公司)网络安全管理工作,防范网络安全事件,保障国家关键信息基础设施安全,根据中华人民共和国网络安全法中华人民共和国密码法等法律、行政法规和公司有关制度,制定本办法。第二条本办法中网络安全保护对象主要包含公司管理信息大区和互联网大区及其相关的网络、平台、系统、数据、设备和终端等,生产控制大区按照电力监控系统安全防护要求执行。第三条公司各级党委(党组)对本单位网络安全工作负主体责任,公司各级单位实行以主要负责人为网络安全第一责任人的网络安全工作责任制。第四条公司各
2、级单位应坚持同步规划、同步建设、同步使用”的理念(以下简称“三同步”),遵循管业务必须管安全”的原则,严格落实网络安全管理责任,建立网络安全保障体系和监督体系。第五条公司网络安全管理工作覆盖规划设计、建设开发、测试评估、运行保障、在线监测、应急处置、数据安全、人员队伍、供应链、检查考核等方面。第六条本办法适用于总部(分部)及所属各级单位的网络安全管理工作,公司各级参股、代管单位、省管产业单位参照执行。第二章职责分工第七条总部职责:(一)公司网络安全和信息化领导小组主要负责落实国家网络安全和信息化工作的方针政策,研究审议公司网络安全和信息化发展战略、规划、重大项目建设方案,研究解决公司网络安全和
3、信息化工作中的重大事项。公司网络安全和信息化领导小组办公室设立在国网互联网部,主要负责贯彻落实公司网络安全和信息化领导小组各项决策部署。(二)国网互联网部是公司网络安全归口管理部门,负责公司管理信息系统的网络安全管理工作;负责公司管理信息系统的网络安全防护技术及相关标准和管理制度的研究、制定;负责组织开展公司网络安全防护方案审查;负责组织推进网络安全“三同步”;负责组织开展全场景网络安全防护体系、网络安全基础设施和管理信息大区网络边界安全防护产品的设计与研发;负责公司网络安全尖兵部队、红队、蓝队作战指挥官、蓝队等队伍的统筹管理;负责组织开展公司管理信息系统网络安全督查、渗透测试、实战攻防、重大
4、时期网络安全保障等工作。(三)国调中心是公司电力监控系统网络安全归口管理部门,负责电力监控系统网络安全相关技术标准和管理制度的研究、制定;负责电力监控系统安全防护体系的规划设计和总体方案制定;负责电力监控系统网络安全防护方案的审查;负责电力监控系统网络安全风险监测、预警发布和应急指挥,组织开展攻防演练和重大活动网络安全保障;负责组织开展电力监控系统网络安全检查和通报;负责组织开展电力监控系统渗透测试工作;负责组织电力监控系统专用安全防护产品的设计、研发和入网检测等工作。(四)国网安监部承担公司网络安全监督职能,负责公司网络安全工作监督、检查与评价,负责组织开展网络安全事件调查。(五)国网设备部
5、负责配电自动化系统及其终端安全防护管理;负责本专业自行承担建设的管理信息系统及其终端的安全建设管理;负责本专业未纳入互联网专业统一运维管理的管理信息系统的安全运维管理;负责本专业网络安全事件的应急处置;配合落实等级保护相关工作。(六)国网营销部负责营销专业采集控制类系统的安全防护管理;负责本专业自行承担建设的管理信息系统及其终端的安全建设管理;负责本专业未纳入互联网专业统一运维管理的管理信息系统的安全运维管理;负责本专业网络安全事件的应急处置;配合落实等级保护相关工作。(七)国网办公室归口管理公司保密和密码相关工作。(A)国网物资部负责组织采购通过国家安全审查的网络产品和服务。(九)国网宣传部
6、负责管理公司网站新闻宣传内容审查,负责公司官方微博、微信、新闻客户端等新媒体的网络安全管理工作。(十)总部各相关业务部门负责本专业业务、数据及其业务终端的安全管理,并为网络安全监测预警提供相关数据;配合国网互联网部和国调中心制定相应安全策略和技术要求;参与本专业网络安全等级保护工作,配合开展安全测评、风险评估和隐患排查治理等工作;负责对本专业自行建设的信息系统进行安全防护;负责明确本专业数据密级,落实业务和数据使用安全责任。第八条各分部、公司各单位应参照公司总部职责分工,建立网络安全和信息化领导小组,互联网专业管理部门是本单位网络安全归口管理部门,负责落实国家和公司有关网络安全法律法规、方针政
7、策、标准规范;负责本单位网络安全管理;负责组织制定本单位网络安全管理细则;负责本单位网络安全规划、安全防护方案审查、网络安全等级保护、监测预警、态势跟踪、应急管理、督查通报、风险评估、隐患排查治理和重大活动网络安全保障;负责本单位网络安全红队、蓝队、督查等队伍的统筹管理。省级调控中心是本单位电力监控系统网络安全归口管理部门,负责本单位电力监控系统网络安全规划设计和总体防护方案制定;负责本单位电力监控系统安全防护的运行管理和网络安全监测;负责本单位电力监控系统检查和通报;负责本单位电力监控系统攻防演练、应急处置和隐患排查治理。第九条公司范围内网络安全相关单位在做好本单位网络安全防护的同时,应做好
8、网络安全支撑工作。(-)国网经研院负责按照公司网络安全管理和技术标准要求,在编制各类信息系统可研报告中落实和确认。(二)南瑞集团、国网信通产业集团以及公司各单位应明确本单位研发安全的归口部门,负责本单位提供的网络产品和服务的代码管理、漏洞消缺、保障服务等研发安全管理。(三)国网信通公司负责运维范围内的网络安全防护体系的建设;负责支撑国网互联网部开展两级网络安全监测中心管理,协调全网开展网络安全调度指挥与应急处置管理,组织各单位开展724小时在线监测;负责重大保障期间全网的统筹管理与联动处置;承担蓝队常态管理工作,协助开展网络安全蓝队作战指挥官管理;负责支撑国调中心开展调度自动化系统网络安全72
9、4小时实时监控,开展电力监控系统渗透测试及漏洞闭环管控,开展网络安全检查、应急响应、重大活动网络安全保障和技术监督工作;负责落实公司周期性网络保密检查、保密日常监测及保密技术支撑工作;负责组织开展总部相关系统的等级保护和安全测评。(四)联研院负责网络安全情报预警以及前瞻性研究;支撑公司开展各类安全防护方案审查;协助公司开展重大保障期间保障方案的落实;负责公司网络安全关键技术研究、网络安全分析与通报预警;承担公司红队、督查常态管理工作,协助开展网络安全尖兵部队管理。(五)中国电科院负责支撑公司开展统一密码服务体系建设;负责研发安全相关标准制定与发布;支撑开展信息系统和安全防护设备的安全测试、安全
10、缺陷分析、安全性审查;支撑开展网络安全项目可研编制。(六)国网大数据中心负责国内外及行业数据安全法律法规制度研究;负责公司数据安全相关制度标准、技术规范的研究和制定;负责开展数据安全新技术的研究应用与推广。第三章规划设计管理第十条应严格执行规划指导计划、计划确定项目、项目安排资金”的要求,制定专项规划,落实投资计划,保障网络安全费用不低于信息化投入的8%o第十一条信息系统在可研阶段应按照国家网络安全等级保护制度要求明确系统的保护等级和防护要求。第四章建设管理第十二条应严格按照公司网络安全防护体系和保障要求,开展各类网络、系统和终端的设计与建设。第十三条信息系统建设单位应按照公司研发安全要求做好
11、研发环境、代码防护、安全测试、支撑服务、人员管理等要求的落实;严格按照系统的等级保护定级情况,对照国家等级保护制度要求编制网络安全防护方案并开展评审。第十四条公司统一建设的系统以及部署在三地数据中心的系统,防护方案应通过公司网络安全和信息化专家委员会审查。各单位自行建设的系统,防护方案应通过各单位网络安全归口管理部门审查。第十五条各类信息系统建设过程中应按照公司端口安全管理要求设定业务端口,且明确每个端口的用途。第十六条网络产品、服务应符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序或代码。第十七条涉及公司系统、设备开发的相关文档、代码和测试系统禁止在互联网传输、存储和运行
12、。第十八条如需在互联网搭建测试演示系统,应先向测试系统所属单位网络安全归口管理部门和联研院(公司红队秘书处)报备并获得批准后方可部署,且申报的研发单位应做好安全监测与防护,测试数据应为仿真数据(不得使用生产业务数据),时间不得超过5个工作日。第十九条信息系统涉及到的密码和认证技术应基于公司统一密码基础设施开展设计和建设;涉及到有法律效力要求的电子签名技术,应严格按照国家和公司商用密码管理的有关规定执行。第二十条各单位应结合实际需求,组织网络安全队伍开展态势感知、自动化攻防、智能分析、精准反制等方面的科技创新和应用。第五章测试与评估管理第二十一条公司统建和各单位自建的信息系统安全测试和管理要求如
13、下:(-)应严格执行内部测试、第三方测试、上线测试的要求。(二)应选择公司范围内的网络安全测试机构或具有CNAS(中国合格评定国家认可委员会)认证的网络安全相关实验室开展第三方测试,测试单位应按照公司研发安全测试标准开展测试并出具测试报告。(三)公安部颁发的网络安全销售许可证可作为各类系统、设备和终端的上线安全测试依据;各单位自建的微应用、小程序(工具)等,凡具备国家网络安全机构、公司认可的网络安全测试机构、CNAS认证的网络安全相关实验室等机构出具的测试报告,可作为其上线依据。(四)运行单位应对照测试报告进行版本一致性核查,确保提交代码与安全测试通过代码、现场部署实施代码版本一致。第二十二条
14、网络安全风险评估、等级测评和密码评估管理要求如下:(-)应定期组织开展在运信息系统的风险评估、等级测评和密码评估工作,针对存在的问题开展整改。(二)应委托具备相关评估或测评资质的机构对信息系统进行对应的安全评估,并将结果报送本单位网络安全归口管理部o第六章运行管理第二十三条信息系统应部署在公司管辖范围内的平台,并纳入公司网络安全管理体系。各类网站、APP等禁止托管在第三方云网络或平台(境外业务系统除外)。第二十四条接入安全管理要求如下:(一)应按照等级保护、安全基线规范、远程端口访问规范以及公司网络安全总体防护方案要求,加强对接入公司网络的各类系统、设备、终端的入网安全测试、准入及备案管理。(
15、二)银行、政府以及其他企业或第三方机构需要与公司进行专线连接的,必须通过统一的第三方接入区接入公司网络,由各级单位网络安全归口管理部门统一管理。(三)各类办公计算机接入公司网络前,应安装桌面终端管理系统、防病毒等客户端软件确保满足公司终端安全管理要求。在管理信息大区或互联网大区计算机间进行非涉密数据交换,应采用安全移动存储介质。严禁办公计算机、外设等终端在公司不同大区间跨区交叉使用,如腾退利旧,必须进行格式化且符合拟接入网络的安全防护要求后方可接入。(四)加强非集中办公区域的管理信息大区接入安全管理和用户真实身份准入管理,严格履行审批程序,在与用户签订协议或确认提供服务时应要求用户提供真实身份
16、信息。第二十五条运维安全管理要求如下:(-)机房管理方面。加强机房出入管理,对机房建筑采取门禁、值守等措施,防止非法进入;加强机房登记管理,外来人员进入机房应由相关管理人员全程陪同,相关操作需纳入机房监控管理。(二)场所管理方面。应加强对人员出入、终端、设备及网络接口的安全管理;在遵循公司现有终端安全防护要求的基础上,应根据场所区域的特殊性,强化对终端及网络的安全基线配置,防止非法接入公司信息网络事件的发生。(三)帐号与口令管理方面。所有口令长度应大于等于8位,且包含字母、数字和特殊字符;所有信息系统应具备自动检测弱口令并强制用户设置强口令的功能,不符合该项的禁止上线;所有信息系统、基础平台、设备(终端)上线前必须按照公司口令要求修改默认口令后方可投运;系统上线试运行前,信息系统建设单位应向运维单位(部门)移交所掌握的帐号与
免费区 
