搜索
新疆电力行业信息技术监督实施细则新疆维吾尔自治区经济和信息化委员会二〇一一年三月11总则1.1技术监督是保证电网和电力设备长期稳定运行和提高设备健康水平的重要环节,必须依靠科学标准,利用先进的测试与管理手段,对保证设备健康水平与安全、经济、稳定运行有重要作用的参数与指标进行监督、检查、调整,以确保发供电设备在良好状态或允许范围内运行。为贯彻“安全第一、预防为主、综合治理”的方针,适应电网的发展,进一步加强技术监督工作,依据《西北电网有限公司技术监督条例》结合新疆实际制定本细则。1.2技术监督按照依法监督、分级管理、行业归口的原则,从设计审查、设备选型、设备监造、安装、调试、运行、检修、停用及技术改造的电力生产、建设全过程进行技术监督,及时发现和消除各种隐患,防止事故的发生。1.3技术监督监督以质量为中心,以标准为依据,以计量为手段建立质量、标准、计量三位一体的技术监督体系。1.4本细则适用于接入电网的发电、电网企业和重要电力用户。2监督范围信息技术监督工作的目的和出发点是保证信息系统的安全稳定运行,是信息技术专业管理的重要方面,将充分考虑信息行业的特点和各个单位的具体情况,将从信息化工程建设与应用、信息化保障与管理体系、信息化作用与绩效三个方面系统、全面地反映信息化过程和信息化成果。信息技术监督范围包括企业所辖局域网以及与其它单位互连的广域网系统、信息机房环境、主机硬件系统、各类应用系统(包括企业级信息系统)、安全系统、存储与备份系统、辅助系统、终端计算机用户设备等。信息技术监督将贯穿信息系统的规划、设计、实施、运行维护、废弃等全生命周期。3监督内容3.1组织和人员保证3.1.1企业应成立信息化领导小组,确定信息化管理部门。3.1.2应设立系统管理员、网络管理员、安全(专责)管理员等岗位,并定义各个工作岗位的职责,并制定相应文件明确信息化管理机构各个部门和岗位的职责、分工和技能要求。3.1.3应成立信息安全领导小组,必须配备至少一名信息安全员,并且信息安全专责不得兼职其他(非信息化)工作。23.1.4为保障信息技术系统的开发与运行管理的质量,电网企业本部信息专职技术人员编制应不少于企业总人数的2-5%,发电企业部信息专职技术人员编制应不少于企业总人数的1-3%。(人资标准)3.1.5禁止使用有劣迹、违法犯罪记录人员从事信息技术工作。3.1.6信息技术人员应当定期进行业务培训和技术培训,不合格或未参加培训者严禁上岗,按要求参加技术监督中心举办的技术监督专责资格培训和其它技术培训,不断提高人员水平。3.1.7办公计算机使用人员离岗离职,有关部门要及时报运行维护部门对其办公计算机进行涉及企业秘密信息的清理,并取消其办公计算机及应用系统的访问权限。3.1.8应该在各部门设立兼职或专职信息员,处理各部门的计算机和网络的基本缺陷、对信息员应该定期培训并建立考核、奖励制度。3.1.9提高用户计算机维护的技术手段和响应时间,公开服务值班电话,可通过建立实现在线咨询,降低运行成本,提高工作效率,提升网络用户的满意度。3.2信息网络监督3.2.1企业网络系统建设运行由信息主管部门统一归口管理。3.2.2对企业信息内、外网规划、设计、施工建设过程进行监督。3.2.3对重要网络硬件设备及软件的设备选型、安装调试、运行维护及更新进行监督。3.2.4企业采购的网络设备应该采用国内外知名的成熟产品,对产品出现的问题应及时上报技术监督中心。3.2.5设备到货开箱验收包括开箱清点、检查设备及附件(配件)数量、随机资料、设备质量鉴定,验收依据为签订的合同内容。设备开箱验收后要提交书面验收报告,并由验收人员签字。验收报告包括设备到货清单、随机资料清单以及设备质量鉴定说明等内容。3.2.6设备现场安装验收后,必须在30天内建立设备台帐、设备卡片及设备标签,做到帐、卡、物及标签内容一致。3.2.7网络设备的当前配置情况必须有文字存档和电子存档。做好本单位网络拓扑结构图的及时更新。3.2.8网络设备和服务器应该安装在机柜内。3.2.9网络设备和服务器等应有专人管理,责任到人,确保安全经济运行。3.2.10保证网络系统的正常运行,及时排除故障,信息网络运行管理部门必须视具体情况配备必需的仪器、仪表、工具和备品备件。3.2.11安装软件、系统补丁软件、系统安装详细操作说明、系统设置的详细参数及设置步骤等一切必备的系统安装软硬件以及机柜钥匙等附属配件必须集中放置在安全、易取3的地方。3.2.12定期检查服务器、防火墙、入侵检测等重要设备的日志记录文件,并做好相应处理。建立完整的计算机运行日志、操作记录及其它与安全有关的资料。3.2.13计算机网络综合布线系统应达到GB50312-2007《建筑与建筑群综合布线系统工程验收规范》和DB65/041—2001《建筑与建筑群计算机信息网络布线标准》要求,对综合布线系统应每5年进行一次性能测试,测试必须由具有国家公正检验资质的单位进行。3.2.14信息主管部门对IP地址进行统一规划、分配、回收。3.2.15网络设备IP地址的分配应采用静态方式进行分配,入网设备的IP地址与Mac地址必须进行登记并绑定。3.2.16用户申请入网必须经过严格的审查,并须经有关部门批准。应实行用户备案制度。用户调离本单位后,应立即注销其账号。对拨号访问服务器本身必须采取足够的安全防护措施,禁止远程配置,取消不必要的网络协议、服务与接口。3.3应用系统运行维护监督3.3.1对服务器及应用系统软件的设计规划、采购、开发、安装调试及更新进行全过程技术监督。3.3.2信息网络运行管理部门对应用系统接入应制定严格的接入管理规范,对应用系统服务器接入网络设备的端口、服务器节点命名、IP地址分配、VLAN划分等有关运行配置参数进行严格管理。3.3.3对接入信息网络运行的应用系统,在系统投入运行前,应对系统运行的稳定性、安全性进行严格测试。包括检查应用系统自身是否存在安全漏洞和隐患,系统是否安装最新的补丁软件,是否已关闭所有不必要的服务端口,是否已关闭所有不必要的服务进程,是否已删除所有不必要的用户,各级用户口令是否足够强壮等。有条件的情况下,应使用相关工具软件进行安全检查,确认没有系统漏洞后方可正式上线运行。3.3.4投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改。应用系统的管理和维护人员应严格按照各自的权限和业务流程使用系统。未经网络管理部门同意,各单位应用系统服务器及工作站不得随意调整其网络连接。3.3.5应用系统的建设应统一管理,服务器上应摆放在统一集中的中心机房内。所有服务器应关闭与业务无关的服务及端口。应用数据库应进行优化设置,关闭不需要的进程,杜绝数据库漏洞。3.3.6企业应具备最基本的企业人、财、物计算机应用系统,以提高企业的劳动生产率,包括内部网站、办公自动化系统、人力资源管理系统、财务电算化管理系统、营销支持4系统(电网经营企业)、设备及缺陷管理系统、生产管理等。3.3.7应用系统数据应及时更新,与实际情况相符,达到实用化要求。3.3.8保证内外网站发布信息的真实性、完整性、可靠性、准确性、安全性、保密性,必须建立严格完善的信息分级审核制度,随时对上网信息进行审查,禁止传播涉密及非法信息。网站信息定期更新,保证新闻信息的时效性、重要信息的准确性。3.3.9电子邮件系统必须具有较高的可靠性。在条件允许的情况下,应配置成双机热备。如果没有冗余硬件,必须有一个能够快速实施的故障恢复预案。应对用户邮箱的空间大小设置限制,防止滥用系统资源。3.3.10关键业务服务器不得安装其它用途的应用软件,不得用于Internet浏览、E-mail。3.3.11应用系统必须采用合法的正版软件,保证软件能够得到及时升级。3.3.12在应用系统出现意外情况确需恢复原有系统时,应根据系统数据恢复管理规程完成相关审批流程后再进行操作,不允许单人进行恢复操作,必须有应用系统管理员和数据库管理员同时在现场方能进行。3.3.13对纳入信息网络运行管理部门集中管理的应用系统应制订可操作的数据备份规程。建立合理的备份策略,在无任何配置更改的情况下,应用系统软件(含操作系统)和环境配置应每半年备份一次。对应用系统服务器操作系统参数和应用系统软件做改动时,应在改动前及改动后各做一次完全备份。3.3.14应根据各种数据的重要性及其容量,确定备份方式、备份周期和保留周期,制定确保数据安全、有效的备份策略以及恢复预案。在运系统备份需求发生变化时,要及时更新数据备份策略和恢复预案。对于关键业务系统,每年应至少进行一次备份数据的恢复演练。应加强备份系统的运行管理,对备份系统的操作应记入运行日志3.3.15数据备份至少应保留两份拷贝,一份在现使用地保存,以保证数据的正常快速恢复和数据查询,另一份在现使用地外保存,避免发生灾难事件后数据无法恢复。3.3.16加强对存储介质的管理,建立介质的管理制度和废弃介质的处理制度,符合有关保密管理规定,存储介质应存放在适于保存的安全环境(如防盗、防潮、防鼠害、磁性介质远离磁性、辐射性等),并有严格的存取控制,对备份了数据的存储介质要进行定期检查,确认所备份数据的完整性、正确性和有效性。3.3.17对同一应用系统软件的备份至少要保存最近两次的版本。备份由专人保管,一式两份,介质异地保存,统一编号并建档。3.3.18应用系统服务器系统的改变或数据库的改变,需要进行相关备份策略的修正和确认。备份策略的改变,应按一定的程序进行,不应由存储系统管理员自行进行修改,应5由各应用系统管理员和数据库管理员共同承担,存储系统管理员从技术上协助系统管理员和数据库管理员使用备份系统。3.3.19在信息系统运行维护、数据交互和调试期间,认真履行相关流程和审批制度,执行工作票和操作票制度,不得擅自进行在线调试和修改,相关维护操作在测试环境通过后再部署到正式环境。对合作单位有关人员的操作,各单位要指定专人监控。3.3.20工作票的签发人、工作负责人、工作许可人的管理应符合《电力安全工作规程》的要求,工作票的签发人、工作负责人、工作许可人不可相互兼任;每年各单位确定信息系统工作票签发人、工作负责人、工作票许可人名单,经本单位信息主管理部门批准后发布。3.3.21操作票应明确操作时间、地点、任务、安全措施、详细的操作步骤、操作人、监护人等内容,每张操作票只能填写一个操作任务。操作人员应认真填写操作票,操作项目应能反映操作任务的主要内容或步骤,应具体详细。3.4账号与口令管理监督3.4.1应用软件、系统正式投运或上线后,应指定专人进行管理,删除或者禁用不使用的系统缺省账户、测试账号,杜绝缺省口令帐号。3.4.2各单位要高度重视废旧账号清理工作,要建立废旧账号清理制度,及时删除由于人员离职、调动等原因造成的长期废弃未用的旧账号,避免非公司人员利用废旧帐号权限而产生的安全威胁。3.4.3用户口令管理:杜绝信息系统、桌面计算机、操作系统和数据库系统等用户访问账号和口令为空或相同。口令要足够强健(长度不得少于8位,由字符和数字或特殊字符组成),要及时更新。系统员口令修改间隔不得超过3个月并且不能使用前三次以内使用过的口令。用户丢失或遗忘口令,必须向相关口令管理或运维部门重新申请。3.4.4各单位在运业务系统禁止出现共用帐户及口令情况,禁止跨权限操作,要开启操作审计功能,确保每一步操作内容可追溯,操作人员可追溯3.5信息安全管理保障3.5.1信息安全要统一纳入企业的安全生产体系,遵循“统一领导、统一规划、统一标准、统一组织建设”和“谁主管、谁负责,联合防护、协同处置”的原则,实行“安全第一、预防为主,管理和技术并重、综合防范”的方针。3.5.2各单位应当按照国家信息系统安全等级保护实施指南等有关文件、规程,开展实施等级保护工作。3.5.3企业的业务和信息化的结合越来越紧密,信息系统的安全风险直接影响到企业的效益,必须常态化开展信息安全风险评估工作,自评估根据企业信息化建设情况自行掌6握评估周期,联合评估以三年为一个周期,通过评估掌握信息系统存在的风险并制定解决措施。3.5.4自评估、联合评