参照安全生产违章分类促进信息安全管理.docVIP

参照安全生产违章分类促进信息安全管理 　　摘 要 国家电网公司将信息安全作为公司安全生产的一个重要组成部分纳入体系一同管理。为切实加强信息安全工作，江苏南通海安县供电公司借鉴安全生产违章分类考核管理的办法，将信息安全违章行为进行分别界定，建立了信息安全违章分类考核机制，提高了员工信息安全责任意识，确保了信息安全目标的实现。 关键词 管理；信息；安全；违章 中图分类号：X934 文献标识码：A 文章编号：1671-7597（2013）20-0163-02 随着科学技术的发展，信息化的进程越来越快，并在电力市场经济环境的促使下，供电企业开始加大自身的信息化建设，信息安全管理逐步得到完善。作为新时代的一员，每个人都自然而然的成为了信息化的一部分，所以信息化同时也影响着社会上的每个人，信息安全管理的问题也成为了人们最关切的问题。 1 信息安全管理的目标描述 1.1 信息安全管理的理念 信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身（数据）的安全和信息系统的安全。其中，数据安全就是防止数据丢失、防止数据被窃取，防止数据被篡改；信息安全就是要保证系统安全稳定运行，确保有权使用系统的人能顺利地使用，无权使用该系统的人无法访问它。 1.2 信息安全管理的范围和目标 1）信息安全管理的范围。海安县供电公司信息安全的范围包括：信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。 2）信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求，巩固公司信息安全防护基础，强化安全风险预控手段，提高应急反应和处置能力，确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标（见附表）。 2 信息安全分类考核的主要做法 2.1 建立信息安全分类考核机制的目的 为贯彻国网以及省市公司关于信息安全工作的管理要求，确保信息系统安全稳定运行，加强公司员工信息安全责任意识，界定信息安全违章行为，进一步明确考核细则，海安县供电公司借鉴生产安全的管理制度，出台了《海安县供电公司信息安全违章考核办法（试行）》。 2.2 信息安全分类考核的依据和原则 依据国家电网公司、省市公司信息安全考核管理工作要求，以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。 2.3 信息安全违章行为界定 违反国家信息安全有关法律和法规；违反国家电网公司和省市公司信息安全管理规章制度。 2.4 信息安全违章行为的分类 2.4.1 一般性违章（III类违章） 1）部门及人员未按公司要求及时签订《信息安全必威体育官网网址承诺书》。 2）计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。 3）未按要求使用安全移动存储介质进行内外网信息交换；擅自删除或破坏已注册安全移动存储介质内的管理软件。 4）擅自卸载（含格式化）本单位规定安装的操作系统和业务应用系统客户端。 5）计算机未按要求进行注册或注册信息与责任人信息不一致。 6）在公司所有工作场所的计算机终端上做任何与工作无关的事情（如游戏、看电影或电视剧、聊天、炒股等）。 7）违反上级公司信息安全管理规定被认定为一般违章的其他行为。 2.4.2 较严重违章（II类违章） 1）计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。 2）计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。 3）在计算机上安装双网卡或双操作系统，进行内外网切换；私自拆卸与混用内外网计算机硬盘。 4）私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。 5）擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。 6）计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令；设置了登录口令，但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成；使用系统内的通用密码；擅自新增用户，未按安全密码要求设置密码。 7）未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。 8）未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。 9）在非涉密计算机中存储和处理及通过互联网传输国家、公司的涉密信息。 10）内网计算机私自带出公司。 11）擅自组建无线网络并接入信息内网。 12）干扰他人正常工作行为，包括：发布不真实信息、垃圾信息；散布病毒及木马；未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。