由于系统/软件的局限性,预定的控制措施无法实现时,只须对外包软件开发商的访问过程进行审计。
公司信息中心是公司管理类信息系统安全防护管理工作的牵头部门和归口管理部门。
依据《中国南方电网有限责任公司信息安全防护管理办法》,公司信息部负责制定网络安全防护总体策略,包括安全区域划分、区域边界访问控制、网络与安全设备安全防护,并对下级单位进行监督、指导。
依据《中国南方电网有限责任公司信息安全防护管理办法》,安全加固:指根据专业安全评估结果,制定相应的系统和设备加固方案,针对不同目标系统和设备,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全 性 加 强 。
依据《中国南方电网有限责任公司信息安全防护管理办法》,信息安全:保持信息的保密性、完整性和可用性, 另外也可包括例如真实性,可核查性,不可否认性和可靠性等。
依据《中国南方电网有限责任公司信息系统运行维护管理办法》规定,系统投运应采用域名访问,对外提供服务的域名按《中国南方电网有限责任公司互联网络域名管理办法》进行申请、注册。
依据《中国南方电网有限责任公司信息系统运行维护管理办法》规定,重要设备应坚持双人开机、双人关机原则,开机前认真检查电源、空调设备工作是否正常运行。
依据《中国南方电网有限责任公司信息系统运行维护管理办法》规定,对于危急缺陷或严重缺陷,运维人员发现后 15 分钟内向相关领导报告,应立即分析缺陷原因,提出解决办法,危急缺陷原则上应在 48 小时内消除;重大缺陷原则上应在 48 小时内制定方案,7 日内消除;一般缺陷发现后可及时处理或列入月度作业计划。
依据《中国南方电网有限责任公司信息系统运行维护管理办法》规定,信息系统的运行维护工作应由专人负责, 重要信息系统需提供主、备岗位。
依据《中国南方电网有限责任公司信息系统运行维护管理办法》规定分子公司下属单位信息部门(单位)职责是负责制定并执行所管辖信息系统的作业计划,并上报上级部门。
依据《中国南方电网有限责任公司信息系统运行维护管理办法》规定业务管理部门职责是负责所管理业务相关信息系统专业基础与业务数据的录入、维护,负责数据录入的规范性、准确性、完整性、及时性与一致性。
依据《公司信息系统运行故障及缺陷事件上报机制(试行)》,公司各单位处置故障及缺陷事件的管控手段基本相同,对故障及缺陷事件定级标准自成体系。
按照《公司信息系统运行故障及缺陷事件上报机制(试行)》规定,故障是指信息系统、软硬件平台和机房动力环境等在没有预先安排的情况下出现的对用户提供服务的中断。
按照《公司信息系统运行故障及缺陷事件上报机制(试行)》规定,事件产生后,分子公司信息部门应立即处置故障,并分析故障影响范围,对照 IT 事件标准,对于达到标准形成 IT 事件的,须在半小时内以短信及邮件方式上报事件简报给公司信息部安运处。并在故障处置完毕后 1 天内,以邮件方式上报事件详细分析报告。
按照《中华人民共和国网络安全法》规定,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
按照《中华人民共和国网络安全法》规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告 推广、支付结算等帮助。
按照《中华人民共和国网络安全法》规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、安全性和可用性。
按照《中华人民共和国网络安全法》规定,国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
按照《中华人民共和国网络安全法》规定,任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
按照《中华人民共和国网络安全法》规定,负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全风险信息。
各级单位应组织好本单位网络安全日常风险管理工作,通过扫描、渗透、检查等管理和技术手段持续识别、分析网络安全风险,及时进行风险整改处置,确保本单位网络安全风险处于可接受程度。
公司信息部负责推进公司管理信息系统安全技术管控,推进信息化建设和网络安全“同步规划、同步建设、同步运维”
信息系统退运阶段,信息系统运行单位(部门)不需要对系统中数据的备份以及对相关设备中数据的清理。
依据《中国南方电网有限责任公司信息安全等级保护管理办法》,系统能够预防威胁并能够检测到威胁存在的能力和在遭到威胁破坏后,系统能够恢复之前各种状态(包括数据的各种属性、业务运行状态等)的能力。
依据《中国南方电网有限责任公司信息安全等级保护管理办法》,进行安全保护等级变更后的信息系统,不一定重新办理系统定级审批及备案手续。
依据《中国南方电网有限责任公司信息安全等级保护管理办法》,信息系统备案是根据国家管理部门对备案的要求,整理相关备案材料,并向受理备案的单位提交备案材料。
依据《中国南方电网有限责任公司信息安全等级保护管理办法》,信息系统生命周期包括五个阶段,即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。
依据《中国南方电网有限责任公司信息安全等级保护管理办法》,信息系统安全规划阶段,应分析信息系统安全防护现状,明确信息系统安全建设的需求,参照附录 A《管理信息系统安全需求模板》,在编制需求规格说明书时,增加安全需求的内容。
依据《中国南方电网有限责任公司信息安全等级保护管理办法》,根据信息系统的重要程度、业务特点,通过划分不同安全等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系 统 。
依据《中国南方电网有限责任公司信息安全等级保护管理办法》,自行建设的系统,由各单位自主确定信息系统的安全等级;网、省公司统一建设及推广的系统,由系统建设开发单位确定系统的安全等级。
依据《中国南方电网有限责任公司信息安全等级保护管理办法》,安全测评是对信息系统的安全是否达到相应保护要求的衡量。
依据《中国南方电网有限责任公司信息安全督查管理办法》,发生大版本更新或部署方式变化时,应由信息安全专业管理部门重新评估系统的安全保护等级。
依据《中国南方电网有限责任公司信息安全督查管理办法》,在信息系统的验收及移交前,系统运行单位应配合完成信息系统安全等级保护备案表,并提供系统相关的应用、数据库、中间件、交换机、防火墙等的策略配置清单 。
依据《中国南方电网有限责任公司信息安全督查管理办法》,公司总部和各分子公司信息部门应建立信息安全内部审计、管理评审及有效性度量等有关制度,以国家信息系统安全的法律、法规和标准,以及公司正式颁发的信息安全管理规范和技术标准为审计依据,逐步开展内部审计、管理评审及有效性度量工作。
依据《中国南方电网有限责任公司信息安全督查管理办法》,系统实施所涉及的服务器、交换机、防火墙等硬件设备以及数据库、中间件等平台软件产品若曾经被公安机关、中国信息安全测评中心、国家互联网应急中心等信息安全主管、监管单位通报存在安全漏洞,在未提交信息安全测评机构或单位出具的漏洞整改验证报告之前,不得在实施过程中使用。
依据《中国南方电网有限责任公司信息安全督查管理办法》,信息安全审计:指由专业审计人员根据有关的法律法规、资产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
依据《中国南方电网有限责任公司信息安全督查管理办法》,在信息安全监测中发现的,虽严重违反公司信息安全管理制度有关要求但未构成信息安全事件的,不在问责范畴。
依据《中国南方电网有限责任公司信息安全防护管理办法》,安全区域划分:指将具有相同安全等级或具有相同安全需求的信息资产归类为同一区域的过程。
依据《中国南方电网有限责任公司信息安全防护管理办法》,应用系统安全防护应贯穿于应用系统规划、需求分析、设计、开发、实施和运行维护的生命周期各个阶段。
第三方人员需经过授权并佩戴易于识别的标志,才能进入相应的安全区进行访问。
公司网络安全按照“谁主管、谁负责”和“属地管理”原则,网、省、地、县逐级负责。各级单位党委(党组)对本单位网络安全负主体责任,书记是第一责任人,主管网络安全的领导班子成员是直接责任人,领导班子其他成员根据职责分工对职责范围内的网络安全承担领导责任。
信息系统上线前,信息系统应通过系统运行单位组织的入网安全测评。未通过测评的信息系统也可以上线。
因测试工作需要申请导入生产数据时,信息系统建设单位应向信息系统相关业务部门提出申请,业务部门负责对测试数据申请进行审批。测试工作涉密及敏感数据时,业务部门提出数据脱敏要求,信息系统建设单位根据要求开展数据脱敏与数据迁移工作。
公司信息部负责组织贯彻落实党中央和国家有关网络安全法律法规、方针政策、标准和规范,组织制定公司网络安全管理规章制度和标准规范,并监督执行
外包活动应签订正式的合同和保密协议,合同中应明确外包方的安全责任和必须遵守的安全要求。因外包商的行为不当导致公司发生网络安全缺陷或事件的,纳入年度供应商评价考核。
