13信息技术监督实施细则.docx
《13信息技术监督实施细则.docx》由会员分享,可在线阅读,更多相关《13信息技术监督实施细则.docx(15页珍藏版)》请在冰豆网上搜索。
13信息技术监督实施细则
新疆电力行业
信息技术监督实施细则
新疆维吾尔自治区经济贸易委员会
二○○九年二月
1总则
1.1技术监督是保证电网和电力设备长期稳定运行和提高设备健康水平的重要环节,必须依靠科学标准,利用先进的测试与管理手段,对保证设备健康水平与安全、经济、稳定运行有重要作用的参数与指标进行监督、检查、调整,以确保发供电设备在良好状态或允许范围内运行。
为贯彻“安全第一、预防为主、综合治理”的方针,适应电网的发展,进一步加强技术监督工作,依据《西北电网有限公司技术监督条例》结合新疆实际制定本细则。
1.2技术监督按照依法监督、分级管理、行业归口的原则,从设计审查、设备选型、设备监造、安装、调试、运行、检修、停用及技术改造的电力生产、建设全过程进行技术监督,及时发现和消除各种隐患,防止事故的发生。
1.3技术监督监督以质量为中心,以标准为依据,以计量为手段建立质量、标准、计量三位一体的技术监督体系。
1.4本细则适用于接入电网的发电、电网企业和重要电力用户。
2监督范围
信息技术监督工作的目的和出发点是保证信息系统的安全稳定运行,是信息技术专业管理的重要方面,将充分考虑信息行业的特点和各个单位的具体情况,将从信息化工程建设与应用、信息化保障与管理体系、信息化作用与绩效三个方面系统、全面地反映信息化过程和信息化成果。
信息技术监督范围包括企业所辖局域网以及与其它单位互连的广域网系统、信息机房环境、主机硬件系统、各类应用系统(包括企业级信息系统)、安全系统、存储与备份系统、辅助系统、终端计算机用户设备等。
信息技术监督将贯穿信息系统的规划、设计、实施、运行维护、废弃等全生命周期。
3监督内容
3.1组织保证
3.1.1企业应成立信息化领导小组,具备信息化管理部门和信息系统运行管理部门,明确专职的系统管理员、网络管理员、数据库管理员、网站管理人员等,对专职的管理人员有明确的岗位要求。
3.1.2必须明确信息安全工作的日常负责人。
信息安全工作的日常负责人能清楚知道自己的工作职责,清楚知道目前本单位信息安全的工作的薄弱点,有明确的信息安全工作目标。
3.2信息网络监督
3.2.1企业网络系统建设运行由信息主管部门统一归口管理。
3.2.2对企业信息内、外网规划、设计、施工建设过程进行监督。
3.2.3对重要网络硬件设备及软件的设备选型、安装调试、运行维护及更新进行监督。
3.2.4企业采购的网络设备应该采用国内外知名的成熟产品,对产品出现的问题应及时上报技术监督中心。
3.2.5设备到货开箱验收包括开箱清点、检查设备及附件(配件)数量、随机资料、设备质量鉴定,验收依据为签订的合同内容。
设备开箱验收后要提交书面验收报告,并由验收人员签字。
验收报告包括设备到货清单、随机资料清单以及设备质量鉴定说明等内容。
3.2.6设备现场安装验收后,必须在30天内建立设备台帐、设备卡片及设备标签,做到帐、卡、物及标签内容一致。
3.2.7网络设备的当前配置情况必须有文字存档和电子存档。
做好本单位网络拓扑结构图的及时更新。
3.2.8网络设备和服务器应该安装在机柜内。
3.2.9网络设备和服务器等应有专人管理,责任到人,确保安全经济运行。
3.2.10保证网络系统的正常运行,及时排除故障,信息网络运行管理部门必须视具体情况配备必需的仪器、仪表、工具和备品备件。
3.2.11安装软件、系统补丁软件、系统安装详细操作说明、系统设置的详细参数及设置步骤等一切必备的系统安装软硬件以及机柜钥匙等附属配件必须集中放置在安全、易取的地方。
3.2.12网络设备上的操作应填写操作记录。
凡涉及到影响用户的操作,必须提前通知用户作好准备,做好数据备份,并按规定填写工作票。
定期检查服务器、防火墙、入侵检测等重要设备的日志记录文件,并做好相应处理。
建立完整的计算机运行日志、操作记录及其它与安全有关的资料。
3.2.13计算机网络综合布线系统应达到GB50312-2007《建筑与建筑群综合布线系统工程验收规范》和DB65/041—2001《建筑与建筑群计算机信息网络布线标准》要求,对综合布线系统应每5年进行一次性能测试,测试必须由具有国家公正检验资质的单位进行。
3.2.14信息主管部门对IP地址进行统一规划、分配、回收。
3.2.15网络设备IP地址的分配可采用静态地址分配和动态地址分配两种方式。
对于各类服务器和网络设备如文件服务器、打印服务器、路由器、网关或其它为客户计算机提供资源和服务的IP装置应采用静态地址分配方式;对于不管理网络资源的计算机,如桌面计算机,可采用静态地址分配方式,也可采用DHCP服务器等进行动态地址分配。
3.2.16企业应建立自己的主域名解析服务器和辅域名解析服务器,互为备用,提高DNS服务的可靠性和可用性。
3.2.17用户申请拨号入网账户必须经过严格的审查,并须经有关部门批准。
应实行用户备案制度。
用户调离本单位后,应立即注销其账号。
对拨号访问服务器本身必须采取足够的安全防护措施,禁止远程配置,取消不必要的网络协议、服务与接口。
3.3应用系统监督
3.3.1对服务器及应用系统软件的设计规划、采购、开发、安装调试及更新进行全过程技术监督。
3.3.2信息网络运行管理部门对应用系统接入应制定严格的接入管理规范,对应用系统服务器接入网络设备的端口、服务器节点命名、IP地址分配、VLAN划分等有关运行配置参数进行严格管理。
3.3.3对接入信息网络运行的应用系统,在系统投入运行前,应对系统运行的稳定性、安全性进行严格测试。
包括检查应用系统自身是否存在安全漏洞和隐患,系统是否安装最新的补丁软件,是否已关闭所有不必要的服务端口,是否已关闭所有不必要的服务进程,是否已删除所有不必要的用户,各级用户口令是否足够强壮等。
有条件的情况下,应使用相关工具软件进行安全检查,确认没有系统漏洞后方可正式上线运行。
3.3.4应用软件正式投入运行后,应指定专人对应用软件进行管理,删除或者禁用不使用的系统缺省账户,更改缺省口令。
3.3.5投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改,严禁安装与本应用系统无关的应用程序和软件。
应用系统的管理和维护人员应严格按照各自的权限和业务流程使用系统。
未经网络管理部门同意,各单位应用系统服务器及工作站不得随意调整其网络连接。
3.3.6应用系统的建设应统一管理,服务器原则上应摆放在统一集中的中心机房内。
所有服务器应关闭与业务无关的服务及端口。
应用数据库应进行优化设置,关闭不需要的进程,杜绝数据库漏洞。
3.3.7企业应具备最基本的企业人、财、物计算机应用系统,以提高企业的劳动生产率,包括内部网站、办公自动化系统、人力资源管理系统、财务电算化管理系统、营销支持系统(电网经营企业)、设备及缺陷管理系统、生产管理等。
3.3.8应用系统数据应及时更新,与实际情况相符,达到实用化要求。
3.3.9保证内外网站发布信息的真实性、完整性、可靠性、准确性、安全性、保密性,必须建立严格完善的信息分级审核制度,随时对上网信息进行审查,禁止传播涉密及非法信息。
网站信息定期更新,保证新闻信息的时效性、重要信息的准确性。
3.3.10电子邮件系统必须具有较高的可靠性。
在条件允许的情况下,应配置成双机热备。
如果没有冗余硬件,必须有一个能够快速实施的故障恢复预案。
应对用户邮箱的空间大小设置限制,防止滥用系统资源。
3.3.11关键业务服务器不得安装其它用途的应用软件,不得用于Internet浏览、E-mail。
未经过安全评测的应用软件不得在关键应用服务器上运行。
3.3.12应用系统必须采用合法的正版软件,保证软件能够得到及时升级。
3.3.13在应用系统出现意外情况确需恢复原有系统时,应根据系统数据恢复管理规程完成相关审批流程后再进行操作,不允许单人进行恢复操作,必须有应用系统管理员和数据库管理员同时在现场方能进行。
3.3.14对纳入信息网络运行管理部门集中管理的应用系统应制订可操作的数据备份规程。
建立合理的备份策略,在无任何配置更改的情况下,应用系统软件(含操作系统)和环境配置应每半年备份一次。
对应用系统服务器操作系统参数和应用系统软件做改动时,应在改动前及改动后各做一次完全备份。
3.3.15对同一应用系统软件的备份至少要保存最近两次的版本。
备份由专人保管,一式两份,介质异地保存,统一编号并建档
3.3.16应用系统服务器系统的改变或数据库的改变,需要进行相关备份策略的修正和确认。
备份策略的改变,应按一定的程序进行,不应由存储系统管理员自行进行修改,应由各应用系统管理员和数据库管理员共同承担,存储系统管理员从技术上协助系统管理员和数据库管理员使用备份系统。
3.3.17应防止因环境、人为等因素对备份介质造成损坏,防止人为泄密等。
应该每年对长期保存的备份进行校验,校验应使用专业的校验工具进行。
3.4信息安全管理保障
3.4.1信息安全要统一纳入企业的安全生产体系,遵循“统一领导、统一规划、统一标准、统一组织建设”和“谁主管、谁负责,联合防护、协同处置”的原则,实行“安全第一、预防为主,管理和技术并重、综合防范”的方针。
3.4.2各单位应当按照国家信息系统安全等级保护实施指南等有关文件、规程,开展实施等级保护工作。
3.4.3企业的业务和信息化的结合越来越紧密,信息系统的安全风险直接影响到企业的效益,必须常态化开展信息安全风险评估工作,自评估根据企业信息化建设情况自行掌握评估周期,联合评估以三年为一个周期,通过评估掌握信息系统存在的风险并制定解决措施。
3.4.4自评估、联合评估均应严格按照国家信息安全评估指南要求开展信息安全评估工作,每次评估对上次评估的整改情况进行检查。
3.4.5为确保信息系统工程的安全和质量,规范信息系统工程建设,要求新建信息网络以及MIS应该引入信息监理,更好的控制项目的资金规模和建设效果。
信息系统工程监理单位应采用招标方式选择监理单位,特殊情况也可以由各企业直接委托有关单位承担。
3.4.6企业必须有专责人员负责维护安全设备,并定期发布信息安全通告。
3.4.7电网经营企业必须按要求开展信息安全督察工作。
3.4.8具有严格的移动存储管理制度,并按制度进行管理。
3.4.9加强内外网计算机和外设管理。
计算机和打印机、复印机、传真机、扫描仪等外部设备严禁“一机两用”。
连接信息内网的计算机和外设不得通过任何形式连接外部网络,如果通过电话线等方式已与外部网络实现连接,则不允许同时接入信息内网。
3.4.10严格控制计算机接入信息内网,落实登记备案、IP/MAC绑定等准入措施。
加强内、外网计算机的安全管理,口令要具备一定强度并定期更换,严禁弱口令。
3.4.11加强对计算机、外设的维修和废弃管理,根据设备的安全保密级别选择合适的处理措施。
尤其要重视硬盘、磁盘阵列等存储设备的处理,要由专人按有关规定进行消磁处理或物理销毁并进行确认测试。
3.4.12对于带硬盘、内存的智能外设,应通过设置取消存储功能或缩短数据存储保留时间等方式,降低数据泄密风险。
3.4.13加强对外网站的实时监测和检查,只允许指定计算机和用户进行内容更新;一旦发现网络攻击及篡改事件,立即与互联网,然后再查找攻击的原因。
3.4.14加强计算机安全保密管理,落实安全保密责任,切实做好信息系统的保密工作。
国家秘密信息的交换、保存、处理按国家有关法律、法规和制度执行。
严格遵守“涉密信息不上网,上网信息不涉密”的纪律,在信息内外网上不得处理和存储国家秘密信息,涉密计算机和涉密网络与非涉密计算机和网络实行物理隔离。
不得在外网计算机上处理和存储涉及单位秘密的信息。
3.5信息安全技术保障
3.5.1企业网络应满足双机双网要求,内外网计算机不得混用。
信息内网与信息外网之间必须采用逻辑强隔离设备进行连接或者物理断开,实现内、外网交互的严格控制。
3.5.2关键业务的系统主机采用双机备份,能够自动切换,涉密主机应具有防信息泄密措施。
3.5.3在网络中网络核心设备采用冗余配备,避免单点故障造成网络中断。
3.5.4IP地址可控,对发现问题的IP地址可以及时断开,不同网段之间访问可控制,Vlan之间应采取安全的访问策略。
IP地址的规划方案和分配方案符合有关规定,严格执行IP地址分配方案。
3.5.5网络边界具备防火墙或入侵保护系统,企业内部防火墙位置应部署合理。
防火墙的配置应定期备份,并根据防火墙系统的重要程度考虑备用方案,符合安全要求,同时防火墙应具有包过滤、网络地址转换(NAT)、日志审计功能,并有专人定期检查。
3.5.6防火墙应配置合理的安全策略对进出的信息包进行过滤。
防火墙系统投运前应对安全策略进行严格的审查和测试,并具有完整的实施方案。
3.5.7生产实时及控制系统与管理信息系统之间应有隔离措施。
3.5.8内外网均应部署IDS或IPS,定期检查入侵情况并及时处理,IDS/IPS部署合理、覆盖主要网络边界与主要服务器;应及时对审计信息进行分析、及时更新入侵检测的规则库。
3.5.9部署的IDS或IPS要求具有监视、分析用户及系统活动;识别网络入侵攻击的活动模式并提出告警;异常行为模式的统计分析等功能。
3.5.10已部署漏洞扫描器的单位必须保障设备安全、稳定运行运行,定期或不定期对网络与服务器主机进行安全扫描和检测,对扫描结果及时进行分析,采取相应补救措施。
3.5.11各单位必须每年开展最少两次全网终端设备的漏洞扫描工作,及时发现设备安全隐患,并根据扫描结果进行整改。
3.5.12防病毒系统应覆盖所有服务器及客户端,防病毒系统的管理策略应合理;并及时更新病毒库,对关键服务器应实时查毒,对客户端定期进行查毒,并备有查杀记录。
3.5.13禁止以互联网在线方式进行内网防病毒系统防病毒特征库及系统补丁的升级,应由信息系统运行维护人员将升级库统一通过手工方式从互联网下载后导入到内网信息系统中进行分发,同时应注意病毒、木马的防范与检查。
3.5.14重要或敏感时期外部网站必须采用静态页面方式提供服务,且采取网页防篡改系统等保护措施,关闭不安全的网站,不允许在服务器端运行脚本和插件,严格控制信息发布权限。
3.5.15建立桌面管理系统,能够对终端进行接入控制、软件分发、补丁分发、外设管理等功能,应及时安装计算机各类补丁,重要业务主机补丁安装前做好数据备份。
3.5.16敏感数据的访问、传输、储存应采取有效的保护,对关键应用系统的数据功能操作进行审计,审计信息应有专人定期检查。
3.5.17对于带硬盘、内存的智能外设,应通过设置取消存储功能或缩短数据存储保留时间等方式,降低数据泄密风险。
3.5.18禁止使用远程移动办公系统(即VPN方式)或将明文传送的无线局域网接入信息内网。
开发商、运维技术支持单位不得直接通过互联网接入信息内网。
原则上不允许进行远程维护,如确因特殊需要,要履行相应的审查程序,评估有关风险并制订实施方案,有专人全程监控,完整记录操作内容,要确保主动控制远程连接线路,严格控制用户权限、操作内容、可访问的地址和端口,操作完毕应立即物理阻断以结束连接,并清除远程连接用户。
3.5.19对开发及调试需要进入内网工作的人员,由业主单位指定专人进行全程监控并记录有关情况。
接入内网的调试计算机原则由业主单位提供,若由开发商提供则应进行安全检查,严防信息泄漏。
3.6中心机房环境
3.6.1信息机房系指各单位管理信息系统相关设备的运行场地,功能要求主要包括:
信息机房场地、信息机房清洁、信息机房照明、电源系统、安防系统、空气调节系统、监控系统等部分。
3.6.2各单位应建立统一集中的中心机房,机房建设应符合国标GB2887-2000《计算机场地通用规范》和GB9361-88(《计算站场地安全要求》,并根据情况及时修改和完善。
3.6.3机房应有单独的配电柜,计算机系统要设有独立于一般照明电的专用的供配电线路,其容量应有一定的余量,应采用双路供电。
3.6.4机房应配备不间断电源设备,其容量应保证机房设备和关键设备在采用双回路供电时,无备用发电机时,不间断电源设备应能够持续供电不少于2小时。
3.6.5如果供电系统无双路供电无备用发电机时,不间断电源设备应能够持续供电不少于4小时,并考虑40%的负荷余量。
3.6.6蓄电池应每年进行1次核对性充放电试验;对损坏的蓄电池必须及时更换,蓄电池容量不足额定值的30%时,应对蓄电池组进行更换。
应采用蓄电池在线测试分析仪、恒流电子负载、蓄电池活化仪等设备更好地强化蓄电池的运行管理。
3.6.7机房应安装空调设备,夏季机房温度控制在21-25℃,冬季控制在18-22℃,机房湿度应控制在45%至65%。
3.6.8机房应有防火、防潮、防尘、防盗、防磁、防鼠等设施,定期检查安全保障设备,确保其处于正常工作状态,机房应随时处于洁净状态。
3.6.9机房混合接地的接地电阻应小于0.5欧姆,单独接地电阻应小于4欧姆,防雷保护地的接地电阻应小于10欧姆。
3.6.10机房应配置备用应急照明装置。
3.6.11建立并严格执行机房进出管理制度,除运行值班人员及维护人员外,其他人员未经许可不得进入机房。
外来参观人员进入机房需事先征得有关部门同意,由指定人员带领进入机房。
对进出机房的人员进行详细登记,有关的登记记录应保存1年以上时间。
3.6.12重要的信息机房应安装机房监控系统,信息机房监控系统应实现下列功能:
监视摄像系统,并具有录像功能;温、湿度监测及越限报警;烟感监测及报警;漏水监测及报警;电源监测及报警。
3.6.13重要的信息机房应安装门禁系统。
3.6.14严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
3.7人员保证
3.7.1为保障信息技术系统的开发与运行管理的质量,电网企业本部信息专职技术人员编制应不少于企业总人数的2-5%,发电企业部信息专职技术人员编制应不少于企业总人数的1-3%。
3.7.2各单位信息网络运行管理部门应设置与其网络规模相当的网络安全、网络管理、系统管理、数据库管理、运行值班等岗位,并根据本单位情况明确各岗位的岗位职责分工,相关技术岗位必须由具备相应技术水平的专责人员来承担。
3.7.3禁止使用有劣迹、违法犯罪记录人员从事信息技术工作。
3.7.4信息技术人员应当定期进行业务培训和技术培训,不合格或未参加培训者严禁上岗,按要求参加技术监督中心举办的技术监督专责资格培训和其它技术培训,不断提高人员水平。
3.7.5各单位必须配备至少一名信息安全员。
3.7.6离岗人员必须严格办理离岗手续,明确其离岗后的保密义务,退还全部技术资料,信息技术系统的口令必须立即更换。
3.7.7应该在各部门设立兼职或专职信息员,处理各部门的计算机和网络的基本缺陷、对信息员应该定期培训并建立考核、奖励制度。
3.7.8提高用户计算机维护的技术手段和响应时间,公开服务值班电话,可通过建立实现在线咨询,降低运行成本,提高工作效率,提升网络用户的满意度。
3.8资料管理
3.8.1由于信息技术相关的资料包含了企业内部的重要信息,企业应当制定技术资料的管理制度,明确执行管理制度的责任人。
3.8.2技术资料是指与信息技术有关的技术文件、图表、程序和数据,包括信息技术系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码及相关技术资料。
3.8.3运行资料包括设备台帐、网络拓扑结构图、网络设备的配置参数、服务器及网络设备的各级密码记录、服务器及网络设备的运行维护及操作记录、UPS蓄电池测试记录、机房接地电阻测试记录、固定IP地址表、病毒检查表、数据备份记录及相关运行维护资料。
3.8.4应该具备以下基本的管理制度:
安全管理办法、网络运行维护管理制度、计算机管理制度、信息系统数据备份与恢复管理制度、资料收集保管制度、事故分析制度、工作总结、汇报制度、材料保管使用制度、机房管理制度、设备缺陷管理制度、设备仪器管理制度等。
4信息技术监督管理
4.1各单位应认真贯彻执行信息技术监督报告的签字、审批制度。
4.2各单位应按期制定信息技术监督年度工作计划、编写年度工作总结和有关专题报告,并按规定上报信息技术监督季报表(于每季度初5日前)等。
4.3各单位建立和健全设备质量全过程监督的签字验收制度。
在信息建设与运行各阶段,对质量不符合规定的设备、材料等,技术监督部门和人员有权拒绝签字,并可越级上报。
4.4各单位信息技术监督范围内的事故或异常情况发生后,应及时上报上级主管部门,同时抄报新疆电力技术监督中心。
4.5各单位对发现的信息系统重要缺陷应及时进行消缺处理,暂时不能及时进行消缺处理需监督运行的设备,必须经主管监督的总工程师批准,并上报企业主管单位及新疆电力技术监督中心。
监督运行的部件必须制定明确的监督措施,且必须有专人负责落实,进行动态管理。
4.6各单位应制定符合本单位要求的信息系统应急处置工作机制和应急预案,对信息系统中通信链路、网络、主机、应用(含数据)、安全、机房及物理环境等部分应分别制定专项应急预案。
4.7定期组织开展应急培训和应急演练,提高对各种信息系统突发事件的应急响应和处置能力。
4.8建立健全生产建设全过程技术档案,实现档案管理的规范化。
4.9做好资料的收集、整理、登记、造册、保管、鉴定、利用等工作。
设备技术资料应齐全、正确、统一、清晰。
对于大型设备,应将随机资料原件交由档案部门存档。
对于重要及核心设备,应将资料复制并多种方式、不同地点保存。
4.10各企业信息技术监督部门要应建立以下规章制度并认真执行:
信息技术监督岗位责任制度;
信息技术监督考核制度;
信息技术监督年度工作计划;
信息技术监督技术培训制度。
4.11信息技术监督会议每年召开一次。
附录A信息技术监督工作相关的标准和规程
附录B信息技术监督季报表
附录A信息技术监督相关的标准
1、《中华人民共和国计算机信息系统安全保护条例》
2、国家电网公司信息网络运行管理规程
3、新疆电力公司信息网络IP地址编码规范
4、GB17859-1999《计算机信息系统安全保护等级划分准则》
5、GB/T18567-1988《计算机软件产品开发文件编制指南》
6、GB/T16680-1996《软件文档管理指南》
7、GB2887-2000《计算机场地通用规范》
8、GB9361-88《计算站场地安全要求》
9、GB50312-2000《建筑与建筑群综合布线系统工程验收规范》
10、DB65/041-2001《建筑与建筑群计算机信息网络布线标准》
11、DL/T5365-2006《电力数据通信网络工程初步设计内容深度规定》
附录B信息技术监督季报表(2009版)
单位:
报出时间:
年月日
1
指标
本季累计中断
计划内中断
故障中断
异常
本部本地网络系统运行率
次数
累计时间
(分钟)
次数
累计时间
(分钟)
次数
累计时间
(分钟)
次数
累计时间
(分钟)
2
指标
本季累计停机
计划内停机
故障停机
异常
应用子系统服务器运行率
次数
累计时间
(分钟)
次数
累计时间
(分钟)
次数
累计时间
(分钟)
次数
累计时间
(分钟)
3
指标
正常运行率%
故障时间
(分钟)
备注
企业广域网通道
4
网络安全设备运行情况
宕机次数
次
故障
小时
5
出现的计算机病毒种类、感染台数
计算机网络系统缺陷、故障情况(说明设备型号、缺陷及处理情况描述):
信息化应用及存在问题:
本季度完成的主要工作:
其它:
填报人:
监督专责人:
主管领导
升级会员 