XX区县信息安全管理制度汇总第页doc.docx

XX区县信息安全管理制度汇总第页doc.docx

《XX区县信息安全管理制度汇总第页doc.docx》由会员分享，可在线阅读，更多相关《XX区县信息安全管理制度汇总第页doc.docx（7页珍藏版）》请在冰豆网上搜索。

XX区县信息安全管理制度汇总第页doc

XX区县信息安全管理制度汇总1第3页

整个系统所必需的所有系统信息、应用和数据；应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。

7.7策略六：

网络安全管理

策略目标：

确保网络中的信息和支持性基础设施得到保护。

策略内容：

应对我行的网络进行充分的管理和控制，以防范非法访问网络信息与非授权连接网络服务，保护信息与信息服务的安全。

策略说明：

加强网络管理与控制，以防范威胁、保持使用网络的系统和应用程序的安全，包括信息传输；应识别所有网络服务的安全特性、服务等级和管理要求，并包含在网络服务协议中，无论这种服务是由内部提供的还是外包的。

7.8策略七：

对存储介质的处理

策略目标：

防止由于对存储介质管理不当，造成未授权泄漏、修改、移动或损坏，并对业务活动造成不利影响。

策略内容：

我行应当对存储介质的使用、移动、保管及处置等操作进行有效管理。

策略说明：

存储介质包括硬盘、磁带、闪盘、可移动硬件驱动器、CD、DVD和打印的介质。

为使存储介质中的数据和系统文件免遭未授权泄露、修改和破坏，应建立适当的使用、保存、删除和销毁的操作策略和相关程序。

7.9策略八：

信息交换

策略目标：

保护在我行内及与外部团体进行信息和软件交换的安全。

策略内容：

我行内及我行与外部团队的信息和软件的交换应当基于正式的交换策略，采取必要的安全控制措施，按照交换协议执行，同时还应服从任何相关法律法规的要求。

策略说明：

如果在使用信息交换设施时缺乏安全意识、必要的策略和安全控制措施，可能会造成重要信息的泄露；如果通信设施失灵、过载或中断，则可能中断业务运行并损坏信息；如果上述通信设施被未授权用户所访问，也可能损害信息。

因此，要建立策略和程序，以保护信息交换过程中信息和包含信息的物理介质的安全。

7.10策略九：

系统监测

策略目标：

检测XX的信息处理活动。

策略内容：

应对信息系统进行监测，记录信息安全事件，并使用操作员日志和故障日志以确保识别出信息系统的问题。

策略说明：

应建立监测信息处理系统使用的策略与程序，定期评审监测活动的结果；通过系统操作日志、错误日志记录系统操作者的活动和系统出现错误的情况，以监测安全事件；我行的监测和日志记录活动应遵守所有相关法律的要求，并要防止对日志的非授权变更和删除。

八.访问控制管理策略

8.1目的

访问控制是对主体访问客体的权限或能力的一种限制，分为物理访问控制逻辑访问控制。

物理访问控制在“物理与环境安全策略”一章中已有涉及，在这里的访问控制主要是指逻辑

访问控制。

在网络广泛互联的今天，采用技术与管理手段建立逻辑访问控制己是保障信息安全的重要手段，本章通过建立以下八个策略，以推动我行对访问控制的有效安全管理。

8.2策略一：

根据业务要求进行访问控制

策略目标：

建立必要的规则，控制用户对信息的访问。

策略内容：

应在我行业务和安全要求的基础上，控制对信息、信息处理设施和业务过程的访问。

策略说明：

我行需要将满足业务需要的访问控制规则向用户和服务提供者明确地加以说明；我行应清晰地叙述每个用户或一组用户的访问控制规则和权利，应当把逻辑访问控制和物理访问控制综合起来考虑；访问控制规则应由正式的程序支持，并清晰地定义职责和范围。

8.3策略二：

用户访问管理

策略目标：

确保只有授权用户才能访问系统，预防对信息系统的非授权访问。

策略内容：

应建立正式的程序，来控制对信息系统和服务的用户访问权的分配。

策略说明：

访问控制程序应涵盖用户访问生命周期内的各个阶段，从新用户初始注册、日常使用，到不再需要访问信息系统和服务时的用户帐号的最终撤销；应特别注意对特权用户的分配加以控制，因为特权用户可以修改或绕过系统的控制措施。

8.4策略三：

用户职责

策略目标：

防止未授权用户对信息和信息处理设施的访问和其他危害的行为。

策略内容：

应使用户认知其维护有效的访问控制的职责，特别是关于口令使用和无人值守的用户设备保护方面的职责。

策略说明：

已授权用户的合作对实现有效的安全十分重要，首先应要求用户在选择及使用口令和保护无人值守的用户设备方面，遵循良好的安全习惯；实施桌面清空和屏幕清空策略以降低未授权访问或破坏纸、介质和信息处理设施的风险。

8.5策略四：

网络访问控制

策略目标：

防止对网络服务的非授权访问。

策略内容：

对内部和外部网络服务的访问均应加以控制，以确保我行内部网络与外部网络之间的接口进行有效的控制或隔离；对网络环境中用户和设备身份应用了合适的鉴别机制；用户对我行信息服务的访问已根据控制规则和业务要求进行了限制。

策略说明：

与网络服务的未授权和不安全连接可以影响整个组织。

对于敏感或关键业务应用的网络连接或与高风险位置的用户的网络连接而言，采取严格的控制措施就显得特别重要。

控制大型网络的安全的有效方法是将该网络分成独立的逻辑网络域，将网络隔离成若干域的准则应基于风险评估和每个域内的不同访问控制策略和访问要求，还要考虑到相关成本和加入适合的网络路由或网关技术的性能影响。

由于无线网的边界很难定义，非授权访问的风险较高，我行应特别加强对无线网的管理，需要考虑限制使用无线网，或将无线网与内部和专用网络进行隔离。

8.6策略五：

操作系统访问控制

策略目标：

防止对操作系统的非授权访问。

策略内容：

应启用安全措施限制授权用户对操作系统的访问，这些措施包括但不限于：

按照已定义的访问控制策略鉴别授权用户；记录成功和失败的系统鉴别企图；记录专用系统特殊权限的使用；当违反系统安全策略时发布警报；提供合适的身份鉴别手段；必要时，限制用户的连接次数。

策略说明：

一般而言，目前的各种操作系统都加强了访问控制的功能，我行应当尽量启用操作系统提供的访问控制功能。

只有当操作系统访问控制功能不能满足业务需要时，才寻求专门访问控制解决方案。

8.7策略六：

应用系统和信息访问控制

策略目标：

防止对应用系统和信息的非授权访问。

策略内容：

对应用软件和信息的逻辑访问只限于已授权的用户，应用系统的措施包括但不限于：

按照定义的访问控制策略，控制用户访问信息和应用系统功能；防止能够越过系统控制或应用控制的任何实用程序、操作系统软件和恶意软件进行未授权访问；不损坏共享信息资源的其他系统的安全；

策略说明：

应根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问。

对访问的限制应基于各个业务应用要求，访问控制策略也应与我行的访问策略一致。

对敏感应用系统，可以考虑在独立的计算环境中运行。

XX热电有限公司两票三制管理规定（DOC26页）精品资料1

热电有限公司

“两票三制”管理规定[HFZHGL-031]

二00八年三月

编写：

审核：

批准：

“两票三制”管理规定

[HFZHGL-031]1、目的：

为了规范热电有限公司各级工作人员在工作中合理使用保存工作票、操作票，规范交接班制度、巡回检查制度、设备定期切换制度，特制定本制度。

2、适用范围：

有限公司的各级员工。

3、引用标准：

国家电网公司《电力安全工作规程》（火电厂动力部分），国家电网公司《电力安全工作规程》（发电厂和变电所电气部分）

4、定义和术语：

a操作开关及刀闸，用“拉开“、”合上“。

b检查开关、刀闸位置，用“确已拉开”，“确已合好”。

c小车开关用“拉出”、“推入”。

d验电用“确无电压“。

e装、拆接地线，用“装设”、“拆除”。

f取装保险用“取下”，“装上”。

g切换保护用“投入”、“停用”。

h切换二次小开关用“切至”。

i检查负荷分配用“指示正确”。

5、两票制度

5.1操作票制度

5.1.1根据国家电网公司下发的《电力安全工作规程》和公司有关标准制定本制度。

5.1.2操作票应事先由公司统一编号统一印刷，按编号顺序使用，作废操作票应盖“作废”章，已执行的票应盖“已执行”章。

5.1.3每份操作票，只能填写一个操作任务，操作任务应填写双重名称（名称和编号）。

一个操作任务用多张操作票时，在第一张的备注栏内填写“承上页无”，在首张及以后的备注栏内填写“下启页XXX号”，在第二张及以后的操作任务栏内填写“承上页XXX号”，在最后一张的备注栏内填写“下启页无”。

5.1.4操作票时由操作人填写，操作人根据命令用碳素笔、圆珠笔或钢笔填写，填写要清晰字迹要工整不得任意涂改。

5.1.5填写操作票时，如有个别错漏字需要修改时，应作到被改的字和改后的字清晰可辩。

每张操作票中的错、漏字不得超过三个字，否则重新填写。

删

5.1.6操作票中下列内容不得修改：

a设备名称、编号、压板、插件；

b操作动词如“合上”、“拉开”、“启”、“停”、“送”、“开”、“关”等。

c有关参数和终止号。

5.1.7操作票中严禁并项，不得添项或倒项。

5.1.8操作中发现操作票有错误时该操作票不得继续执行，应汇报班组长或值长。

并在已操作完项目的最后一项盖“已执行”章，在备注栏内注明“本操作票有误，自XX项不执行”。

然后重新填写操作票继续操作。

5.1.9已执行、未执行及作废的操作票，必须按编号顺序按月装订。

在装订后的封皮上统计使用率，合格率及存在的问题。

操作票至少保存一年，锅炉、汽轮汽启停操作票应随设备技术档案永久保存。

5.1.10开始操作时间及终了时间的规定：

从接到发令人下达操作命令后填写开始时间，全部操作完毕汇报发令人后填写终了时间。

5.1.11操作票应填写设备的双重名称，即名称和编号。

5.1.12操作票填写完毕后，在最后一行操作任务的下空格中间位置记上终止

号“---------”。

5.1.13操作时必须按操作票填写的顺序逐项操作。

每操作完一项，检查确认无误后，在该项前打一“√”号。

5.1.14全部操作项目完成后，应全面检查被操作设备的状态，表计及信号指示等，看是否正常，有无漏项等，无误后、在终止号上盖上“已执行”章，汇报发令人，并填上终了时间。

5.1.15监护操作室，操作人员在操作过程中不得有任何未经监护人同意的操作行为

5.1.16单人操作不得进行等高操作

5.1.17操作完成后，在场监视的运行分场领导应对整个操作进行评人价，指出本次操作存在问题和应注意事项，并记录在备注栏内。

5.2电气倒闸操作票

5.2.1电气倒闸操作票，必须依据值长的命令，受令人复诵无误后执行。

5.2.2值长在接受调度员操作命令时，必须复诵和录音，并做好记录。

5.2.3下列项目应填入操作票内

a、应拉合的开关和刀闸。

b、检查开关的刀闸位置。

c、接拆接地线（应注明确切地点及编号）。

d、检查接地线是否已拆除及接地刀闸是否拉开。

e、在停用设备上验明已无电。

f、安装或拆除控制回路、电压互感器回路保险。

g、切换保护回路，投入或解除自动装置。

h、检查负荷分配情况（停送电，解、并列，解合环的操作时均应检查）。