国家电网公司办公计算机信息安全管理办法

('规章制度编号：国网（信息/3）255-2014国家电网公司办公计算机信息安全管理办法第一章总则第一条为加强国家电网公司（以下简称“公司”）办公计算机信息安全管理，依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。第二条本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。（一）信息内外网办公计算机分别运行于信息内网和信息外网；（二)信息内网定位为公司信息业务应用承载网络和内部办公网络；（三）信息外网定位为对外业务应用网络和访问互联网用户终端网络；（四）公司信息内外网执行等级防护、分区分域、逻辑强隔离、双网双机策略.第三条本办法适用于公司总（分）部、各单位及所属各级单位（含全资、控股、代管单位）(以下简称“公司各级单位”）。第四条国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网办公计算机上处理、存储国家秘密信息，严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息,严禁信息内网和信息外网办公计算机交叉使用.第二章职责分工第五条公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责"原则，公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人.第六条公司各级单位信息通信管理部门负责办公计算机的信息安全工作，按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。第七条办公计算机使用人员为办公计算机的第一安全责任人，未经本单位运行维护人员同意并授权，不允许私自卸载公司安装的安全防护与管理软件，确保本人办公计算机的信息安全和内容安全。第八条公司各级单位信息通信运行维护部门负责办公计算机信息安全措施的落实、检查实施与日常维护工作。第三章办公计算机管理要求第九条办公计算机要按照国家信息安全等级保护的要求实行分类分级管理,根据确定的等级，实施必要的安全防护措施。信息内网办公计算机部署于信息内网桌面终端安全域，信息外网办公计算机部署于信息外网桌面终端安全域，桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。第十条加强办公计算机信息安全管理：(一）办公计算机、外设及软件安装情况要登记备案并定期进行核查，信息内外网办公计算机要明显标识；（二）严禁办公计算机“一机两用"（同一台计算机既上信息内网，又上信息外网或互联网）；（三）办公计算机不得安装、运行、使用与工作无关的软件，不得安装盗版软件；（四)办公计算机要妥善保管，严禁将办公计算机带到与工作无关的场所;(五）禁止开展移动协同办公业务；（六）信息内网办公计算机不能配置、使用无线上网卡等无线设备，严禁通过电话拨号、无线等各种方式与信息外网和互联网络互联，应对信息内网办公计算机违规外连情况进行监控；（七）公司办公区域内信息外网办公计算机应通过本单位统一互联网出口接入互联网；严禁将公司办公区域内信息外网办公计算机作为无线共享网络节点，为其它网络设备提供接入互联网服务，如通过随身Wifi等为手机等移动设备提供接入互联网服务；（八）接入信息内外网的办公计算机IP地址由运行维护部门统一分配,并与办公计算机的MAC地址进行绑定；（九)定期对办公计算机企业防病毒软件、木马防范软件的升级和使用情况进行检查，不得随意卸载统一安装的防病毒（木马）软件；（十）定期对办公计算机补丁更新情况进行检查，确保补丁更新及时;（十一）定期检查办公计算机是否安装盗版办公软件；（十二)定期对办公计算机及应用系统口令设置情况进行检查,避免空口令,弱口令；（十三）采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并保存六个月以上；(十四）采取数据保护与监管措施对存储于信息内网办公计算机的企业秘密信息、敏感信息进行加解密保护、水印保护、文件权限控制和外发控制，同时对文件的生成、存储、操作、传输、外发等各环节进行监管；(十五）加强对公司云终端安全防护，做好云终端用户数据信息访问控制,访问权限应由运行维护部门统一管理，避免信息泄露；（十六)采用保密检查工具定期对办公计算机和邮件收发中的信息是否涉及国家秘密和企业秘密的情况进行检查；(十七）加强对办公计算机桌面终端安全运行状态和数据级联状态的监管,确保运行状态正常和数据级联贯通，按照公司相关要求及时上报运行指标数据；（十八）加强数据接口规范，严禁修改、替换或阻拦防病毒（木马）、桌面终端管理等报送监控数据接口程序.第十一条公司各级单位要使用公司统一推广的计算机桌面终端管理系统，加强对办公计算机的安全准入、补丁管理、运行异常、违规接入安全防护等的管理，部署安全管理策略，进行安全信息采集和统计分析。第四章外设管理要求第十二条严禁扫描仪、打印机等计算机外设在信息内网和信息外网上交叉使用；严禁采用非公司安全移动存储介质拷贝信息内网信息.第十三条计算机外设要统一管理，统一登记和配置属性参数。第十四条严禁私自修改计算机外设的配置属性参数.如需修改，必须报知运行维护部门，按照相关流程进行维护。第十五条计算机外设的存储部件要定期进行检查和清除.第十六条加强安全移动存储介质管理(一）公司安全移动存储介质主要用于涉及公司企业秘密信息的存储和内部传递，也可用于信息内网非涉密信息与外部计算机的交互，不得用于涉及国家秘密信息的存储和传递；（二）安全移动存储介质的申请、注册及策略变更应由人员所在部门负责人进行审核后交由本单位运行维护部门办理相关手续;（三)应严格控制安全移动存储介质的发放范围及安全控制策略，并指定专人负责管理；(四)安全移动存储介质应当用于存储工作信息，不得用于其它用途。涉及公司企业秘密的信息必须存放在安全移动存储介质的保密区，不得使用普通存储介质存储涉及公司企业秘密的信息；（五)禁止将安全移动存储介质中涉及公司企业秘密的信息拷贝到信息外网或外部存储设备;（六）应定期对安全移动存储介质进行清理、核对；（七）安全移动存储介质的维护和变更应遵循本办法的第五章相关条款执行.第十七条涉及国家秘密安全移动存储介质的安全管理按照公司有关保密规定执行。第五章维护和变更要求第十八条办公计算机及外设需进行维护时，应由本单位对办公计算机和外设中存储的信息进行审核,通过本单位负责人的审批后报送运行维护部门进行维护。第十九条办公计算机及外设在变更用途，或不再用于处理信息内网信息,或不再使用，或需要数据恢复时，要报运行维护部门，由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息，原则上禁止通过外部单位进行数据恢复、销毁和擦除工作.第六章人员管理要求第二十条加强对办公计算机使用人员的管理,开展经常性的信息安全教育培训,提高办公计算机使用人员的信息安全意识与技能。第二十一条加强外来人员和第三方人员对办公计算机使用的管理，对外来人员和第三方人员使用办公计算机进行审批，加强外来人员和第三方人员使用办公计算机的监督与审计。第二十二条办公计算机及外设使用人员离岗离职，人员所在原部门不得对其办公计算机及外设擅自进行处理，要及时报运行维护部门对存储的企业秘密信息、敏感信息进行清理后清退至固定资产管理部门，并取消离岗离职人员办公计算机及应用系统的访问权限。第七章检查考核第二十三条应建立常态检查机制，同时辅以不定期抽查，及时发现问题并督促整改。第二十四条违反本办法情节较轻的由本单位予以批评教育，情节严重的按公司相关规定进行处理。第八章附则第二十五条本办法由国网信通部负责解释并监督执行.第二十六条本办法自2014年6月1日起施行.原《国家电网公司办公计算机信息安全和保密管理规定》(国家电网信息［2009］434号）同时废止.',)