公司信息系统运行管理办法

《公司信息系统运行管理办法》由会员分享，可在线阅读，更多相关《公司信息系统运行管理办法（28页珍藏版）》请在装配图网上搜索。

1、附件：公司信息系统运行管理办法（试行）第一章 总 则第一条 为进一步规范信息系统运行管理工作，促进信息系 统运维工作适应公司各项业务工作需要，依据国家电网公 司信息系统运行管理暂行办法，制定本办法。第二条 本办法中所称信息系统主要包括一体化企业级信息 集成平台、业务应用系统、安全防护系统以及信息基础类应 用。（一）一体化企业级信息集成平台（以下简称“一体化平台” 是指信息网络、数据中心、集成服务和信息展现。（二）业务系统是指公司财务（资金）管理、营销管理、安 全生产管理、协同办公、人力资源管理、物资管理、项目管 理、综合管理等业务应用系统以及各单位正式运行的业务管 理系统。（三）信息基础类应用

2、是指邮件、域名服务、目录、数据备 份、信息综合运维监管、病毒防护、桌面管理、机房动力环 境监控等服务系统。第三条 信息系统运行管理工作应纳入各单位安全生产 管理体系。第四条 本办法适用于公司本部及所属各单位的信息系统运 行管理工作。第二章 组织体系及职责分工第五条 公司科技信息部是信息系统运行管理工作归口管理 部门，其主要职责是：贯彻落实上级有关法律、方针、政策、 标准、规程及规范，组织制定公司统一推广建设业务系统运 行管理工作制度，对各单位信息系统运行工作协调管理和检 查考核；协同安全监察部做好信息系统事故调查处置工作。 第六条 公司各业务部门负责审批系统用户权限和业务应用 配置参数，负责业

3、务应用的数据质量管理和应用情况监督； 组织业务应用的培训、交流、检查、统计、分析、评价和考 核工作。第七条 公司信息中心负责公司统一集中部署信息系统的运 行维护工作，参与制定并贯彻落实各业务系统运行维护工作 细则；负责公司统一集中部署信息系统运行情况的监管、指 标统计和运行分析，编制信息系统年度运行方式、年度检修 计划和公司信息系统运行月报，完成信息系统应急处置；负 责公司信息骨干网（包括公司本部与各二级单位间的广域网 公司本部与外部单位的专网互联、公司与国家电网2公司网络接入等）以及纵向贯通信息系统的运行维护；负责 公司本部的信息客户服务；负责对各二级单位信息中心提供 技术支持和指导。第八条

4、 各单位信息中心负责其所辖信息网络和信息系统的 运行维护与运行管理,贯彻落实各业务系统运行维护工作细 则；负责本单位信息系统运行情况的监管、指标统计和运行 分析，编制信息系统年度运行方式、年度检修计划和信息系 统运行月报，完成信息系统应急处置；负责本单位信息客户 服务和技术支持；负责协同本单位安全监察部做好信息系统 事故调查处置工作。第九条 各级信息中心设置与管辖范围相适应的业务应用系 统管理、系统平台管理、网络管理、信息安全管理和客户服 务等岗位；制定信息系统运维岗位职责，建立上岗考核制度。 重大应用系统管理、系统平台管理、网络管理、信息安全管 理等关键岗位实行主、副岗。第三章 运行值班管理

5、第十条 运行值班管理包括运行值班、巡视管理、运行监控、 客服管理、交接班管理等工作。第十一条 值班管理（一）信息系统实行运行值班制。为保障信息系统的正常运 行，公司信息中心实行7X24小时在岗值班；各二级单3位信息中心实行 5X 8 小时在岗值班，非工作时间必须安排 专人待岗值班并保持联络畅通，重大活动和特殊保障时期实 行7X24小时在岗值班。（二）各级信息中心要落实信息系统运行值班管理制度和各 项具体工作要求，设立运行值班电话，电话号码应在内网门 户网站上公布。（三）值班人员应坚守岗位，迅速准确地处理各项业务，及 时查询、传报和核对情况，不得以任何理由或借口推诿、拖 延业务的处理。认真做好值

6、班记录，值班记录内容至少包括： 值班员、日期、值班时间、巡视时间、巡视内容、异常记录、 交班人、接班人、交接班时间等。（四）值班人员不得擅自找人代替值班，确因有事离开值班 岗位或无法执行值班工作时，须经部门领导批准，代值人员 到位，履行交接班手续后方可离开。第十二条 巡视管理（一）值班人员值班期间须巡视信息机房等重要场所，检查 机房环境、机房基础设施、服务器、网络设备、信息系统等 运行情况，每天至少两次。（二）各级信息中心应制定巡视作业指导书，明确巡视的对 象、内容、方法、要求,至少包括以下内容：动力环境运行状 态（电源输入输出情况、UPS设备运行情况、空调运行情况、 机房温湿度情况）、硬件设

7、备运行状态（网络设备、4服务器、存贮设备、负载均衡设备、磁带库、安全设备等硬 件指示灯状态、负载情况及系统日志）、数据库和中间件运 行状态、系统日志、业务系统主要功能对外服务状态等。值 班人员值班期间须依据作业指导书认真进行巡视。（三）节假日、重要保电日、恶劣天气、设备和信息系统异 常等情况下要适当增加巡视频度。（四）巡视过程中发现异常，值班人员要立刻判断、分析原 因并进行处理，无法及时解决的，在第一时间通知相关负责 人进行处理。值班人员采取应急处理措施后，须将应急处理 情况在值班记录上进行记录并继续跟踪处理进程。（五）值班人员在巡视过程中不得随意操作设备。 第十三条 运行监控管理（一）各单位

8、必须使用信息运维综合监管系统及设备本身提 供的监视管理工具，对信息网络、服务器、存储设备、安全 设备、数据库、信息基础类应用、业务应用系统、安全系统 等进行监控。（二）值班人员应定时对系统运行情况进行检查，发现告警 信息和异常情况时及时处理，必要时通报相关人员进行处理 第十四条 客服管理（一）客户服务值班人员统一受理并响应用户在信息系统使 用过程中的服务请求，对于无法解答的问题应提交二线 处理，并负责跟踪、记录、汇总问题的处理与统计分析，包 含咨询受理、服务请求受理、故障受理、告警受理、统计分 析及其他日常管理等工作。（二）各单位应将客户服务工作纳入运行值班管理，建立客 户服务专用服务电话，在

9、条件许可的情况下，应采取与运行 值班同一电话号码。（三）咨询受理是指在线解答客户所提问题。（四）服务请求受理是指以国家电网公司信息系统运行维 护工作规范（试行）为依据，按照不同等级处理用户的服 务请求。（五）故障受理是指以国家电网公司信息系统运行维护工 作规范（试行）为依据，按照不同等级处理影响信息系统 业务正常开展的事件或问题。（六）告警受理是指受理由信息运维综合监管系统等监控工 具产生的系统运行异常告警事件。（七）统计分析包括每日一次对咨询、服务、事件记录进行 统计分析，及时制作日报、周报、月报。定期组织一次用户 满意度调查等。第十五条 交接班管理（一）建立交接班制度，做到手续清楚、责任明

10、确、上下衔 接。值班交接应提前做好准备工作，交接班后做到设备整齐、 地面清洁，仪表和工具就位，资料齐全，一切有序。6（二）正在进行故障、事故处理，重要测试、操作或特殊情 况时，不得进行交接班；应由交班人负责，接班人协助处理， 工作告一段落后再接班。（三）在接班人未到的情况下，交班人不得离开岗位。（四）在交接工作时，交接双方必须按“值班日志”规定的 项目认真检查。应将本班内有关情况、上级布置的有关事项 以及未完成的工作交接清楚，双方共同在值班日志上签字。（五）因漏交或错交而产生的问题，由交班人员承担责任； 因漏接或错接而产生的问题，由接班人员承担责任；交接双 方均未发现的问题，由双方承担责任。第

11、十六条 信息机房管理职责划分、环境要求、设备巡视、 运行分析等参照国家电网公司信息机房管理规范执行。 第四章 设备管理第十七条 信息设备管理包括信息设备的选型、购置、验收、 运行、检修、维护、变更、报废等全寿命周期管理。第十八条 信息设备全寿命周期管理过程要遵守信息安全管 理有关规定。第十九条 各级信息中心负责所属信息设备（资产）的管理 工作。包括：信息设备的验收、保管、变更、报废管理； 信息设备的运行、检修、维护工作等，并根据要求报送信息 设备有关报表。第二十条 设备验收管理包括：设备开箱验收、加电测试验 收及设备集成后的上线运行验收，设备的验收应由具有相关 经验的技术人员执行。第二十一条

12、设备台帐管理（一）信息系统设备必须建立台帐、设备卡片及设备标签， 做到帐、卡、物相符。设备因维护、检修、扩容、升级等原 因发生变化后应及时修正设备台帐、设备卡片及设备标签。（二）各级信息中心每年应组织一次设备清查工作，进行设 备台帐、实物核对，做到帐物相符，并上报科技信息部备案。 第二十二条 设备运行管理（一）新设备投入运行前，要编制详细的操作手册，并对该 设备运行人员进行技术培训和技术考核。（二）信息设备的运行管理应做到：责任到人；定期检查、 巡视和维护；建立完善的运行日志；认真记录设备异常、设 备缺陷、测试数据、故障分析、故障处理过程等运行情况； 做好运行统计工作。（三）信息设备只能由运行

13、值班人员、设备检修人员和设备 专责人按照规定权限进行操作，其他人员未经批准，不8得擅自操作。对信息设备的操作按照湖南省电力公司信息 系统现场作业管理规定（试行）执行。第二十三条 设备检修管理（一）信息设备的检修应严格执行检修管理规定，编制年度 和月度检修计划。（二）正式投入运行的设备不得随意停用或检修。设备停运 或检修，需办理工作票手续。（三）影响业务处理的信息系统检修必须经相关业务部门批 准后才能实施。（四）设备更改、检修时间超过8 小时或影响业务处理超过 4 小时的须列入月度检修工作计划，经相关业务部门同意和 主管领导批准后方可实施。（五）检修前要做好各项准备工作，编制设备检修方案，做 好

14、记录，尽可能快而准确地完成检修任务。（六）严格贯彻“谁检修谁负责”的原则，履行检修验收程 序，业务应用系统检修需经业务部门确认后方可验收。（七）为保证检修、维护工作的正常开展，须视具体情况配 备必需的仪器、仪表、工器具及备品备件。第二十四条 设备变更管理（一）设备变更是指对信息设备配件的增加、拆除、更换； 软件版本升级更新、配置修改等。（二）信息设备进行变更操作时，应填写变更申请，经9信息中心负责人审批后方可实施。（三）设备变更必须进行风险评估，确认变更对其它设备、 其它系统或数据不会造成任何影响，并在测试环境下进行全 面测试，方可部署到运行环境。（四）在设备变更前须对相关数据、配置或程序等进

15、行全面 备份，并在设备变更后的 48 小时内更新设备台帐。第二十五条 设备的报废与淘汰（一）设备报废的技术鉴定、审批程序及范围按公司财务和 物资有关规定执行。（二）经鉴定确认设备报废后，设备管理单位按规定执行设 备报废流程。报废设备回收入库后，按照公司规定统一组织 处理。（三）对报废或淘汰设备的可用部分或零配件，各单位要统 一组织收集并充分利用，详细记录利用情况、注明去向。第二十六条 备品备件管理（一）备品是指信息系统中关键设备（服务器、交换机、防 火墙等）的替换设备和普遍使用设备（计算机、打印机等）； 备件是指主要设备的零部件（板卡、硬盘等）。（二）编制备品备件定额应重点考虑网络和关键设备的

16、备品 备件，已经冗余配置的核心设备可不考虑备品。（三）新设备投运后，应及时补充备品备件，备品备件保管 和使用管理要责任到人，有据可查。10（四）对已淘汰设备和已变质损坏的备品备件，由运行单位 提出报废申请，按设备的报废与淘汰流程处理。第五章 资料管理第二十七条 信息资料是指信息系统建设和运行过程中相关的标准、制度、规划、计划、项目管理文档、设备台帐（卡 片）、技术方案/运维手册/操作手册等文档和信息系统运行过 程中收集的记录运行日志、运行参数、技术指标、安全模式、 设备配置、运维报告、事故处理分析报告、总结等重要信息 文档。第二十八条 各级信息中心应安排专人负责信息资料的收集 整理、登记、造册

17、、保管、鉴定、销毁等管理工作。第二十九条 设备技术资料应齐全、正确、统一、清晰。对 于重要及核心设备，应将资料复制并以多种方式、不同地点 保存。第三十条 项目建设资料由该项目负责人或指定专人负责收 集和整理，在工程验收后一周内将全部项目文档资料提交资 料管理人员归档。归档时应先履行手续，填写移交目录一式 两份，交接双方签字后分别保存。第三十一条 资料管理人员在归档时，应写出案卷标题，标 题要确切简明地反映卷内资料的内容。第三十二条 资料应分类保存，统一管理，防止丢失和 11 泄密。借阅资料须履行必要的登记手续。使用资料时，任何 人不得抽取、涂改、勾抹或污损。第三十三条 资料应每年进行一次鉴定。

18、资料的鉴定需由主 管领导主持、相关技术人员和资料管理人员参加。通过资料 鉴定提出存毁意见，经鉴定已确定失去保存价值的资料，编 制销毁清单留有备案后，方可销毁。第六章 应用系统管理第三十四条 应用系统上线管理按照国家电网公司信息系 统上下线管理办法执行。对投入运行的应用系统，各级信 息中心应明确系统维护人员及其职责，建立系统运行档案， 做好运行日志。第三十五条 应用系统的日常运行维护工作包括运行监控、 用户管理、变更管理、安全管理等工作。第三十六条 系统维护人员应定期检查系统是否正常，清理 维护过程中及系统自身产生的垃圾数据。第三十七条 运行中的系统如发现功能障碍，系统维护人员 应查清具体情况及

19、时处理。第三十八条 投入运行的应用系统服务器及终端上的软、硬 件配置不得随意更改，严禁安装与工作无关的程序和软件。 应用系统的管理和维护人员应严格按照各自的权限和业务 流程使用系统。12第三十九条 用户的建立、变更、注销等应执行审批流程。 用户账号建立、权限更改、用户节点增加等日常维护业务， 应及时记录并整理归档。要建立用户权限手册，记录每个用 户的账号权限。第四十条 对应用系统进行重大变更操作时，须报经相关业 务部门审核同意，方可实施。第四十一条 系统变更必须进行风险评估，经测试并通过审 批后，方可部署到运行环境下，不得擅自进行在线调试和修 改。系统变更前须制定相应的安全预案，并对系统数据和

20、原 程序进行全面备份。系统变更如影响到业务应用，应提前告 知用户。第四十二条 对于有条件的应用系统应定期进行反事故演习 第四十三条 应用系统的数据备份管理按照湖南省电力公 司信息系统数据备份运行管理实施细则（试行）执行。第四十四条 应用系统下线管理按照国家电网公司信息系 统上下线管理办法执行。第七章 检修管理第四十五条 信息系统检修内容主要包括：网络设备、服务 器、存储与备份设备、安全设备和机房辅助系统等的维修、 升级、更改、故障处理；信息基础类应用及业务应用系13 统变更、升级、故障处理等。第四十六条 设备检修坚持“预防为主”的方针，按照“应 修必修，修必修好”的原则执行。第四十七条 检修计

21、划分为年度计划、月度计划。检修计划 的编制应充分考虑计划的必要性、可行性，做到内容全面、 目标明确、任务具体、科学合理。检修计划的编制内容主要 包括：单位名称、检修系统（设备）名称、检修内容、检修 起止时间、检修人员等。第四十八条 各级信息中心应根据设备的运行状况、巡视、 检测的结果、检修周期、风险评估结果及反事故措施的要求 等，确定下一年度的检修项目，编制度检修计划，经单位主 管领导批准后，于 12 月底前报科技信息部。第四十九条 年度计划审批下达后，分解到月度计划并严格 执行。第八章 缺陷管理第五十条 未造成信息系统事故的信息系统故障为信息系统 缺陷。根据信息系统发生缺陷的严重程度，将信息

22、系统缺陷 分为紧急、重要和一般三种类别。（一）紧急缺陷：系统发生了直接威胁安全运行的问题，如 不立即处理，随时可能造成事故并致使系统停运的隐患。例 如：双机容错的主机系统、网络设备等中的一台宕机，未 1414 影响对外服务；网络流量发生异常，使网络传输效率显著下 降，但连通性未影响；机房专用空调制冷失效导致主机设备 迅速升温等。（二）重要缺陷：对系统运行安全有严重威胁或性能有明显下降，但尚能继续运行。例如：CPU、内存、磁盘等系统资 源问题造成系统响应效率下降。（三）一般缺陷：短时间内不会劣化成危急或严重的缺陷， 例如：双机容错的UPS中的一台宕机，未影响对外服务；机 房环境出现异常，但未影响

23、系统设备运行。第五十一条 信息系统运行维护人员发现缺陷后应对缺陷进 行定性并做好记录，根据缺陷的不同类别进行报告和处理。 缺陷在没有得到处理前，应加强监视或采取必要措施，防止 进一步恶化。已经记录的缺陷，如在监视过程中有进一步恶 化的趋势，应及时上报。第五十二条 对于紧急缺陷必须立即报告相关负责人并开展 有效的处理工作，缺陷现场必须有人值班监视。紧急缺陷原 则上应在16 小时内消除，如确因设备问题无法彻底消缺， 则应最大限度降低缺陷等级，减少对系统安全运行的威胁。 第五十三条 对于重要缺陷应落实专人负责处理，指派专人 进行监视并采取必要措施，重要缺陷应在 72小时内完成消 缺工作。15第五十四

24、条 对于一般缺陷，在运行巡检中要重点检查，并 增加检查频度，一般缺陷应在 7 日内完成消缺工作。第五十五条 在紧急和重要缺陷处理后，按照应用系统维护 等级，三级、二级、一级系统分别在3、5、7 日内提交故障 分析处理情况报告。第五十六条 缺陷消除后，应及时记录注销。并将每月新发 现和处理完的缺陷汇总计入运行月报。第五十七条 现场缺陷处理，包括故障定位、原因分析、故 障排除、恢复系统运行及协调厂商维保服务等，各单位应对 信息系统缺陷的发现、定性与定位、记录、报告、处理（或 消缺、分析等工作流程闭环管理进行具体规定。第九章 安全管理第五十八条 公司信息系统安全工作按照国家电网公司信 息系统安全管理

25、办法、信息安全等级保护管理办法、国 家电网公司办公计算机信息安全和保密管理规定执行。 第五十九条 信息系统安全主要任务是确保信息系统持续、 稳定、可靠运行和确保信息内容的机密性、完整性、可用性， 防止因信息系统本身故障导致信息系统不能正常使用和系 统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各 类攻击和破坏，防止信息内容及数据丢失和失密，防止 16 16 有害信息在网上传播，防止公司对外服务中断和由此造成的 电力系统运行事故。第六十条 公司信息系统安全坚持“分区、分级、分域”总 体防护策略，执行信息系统安全等级保护制度。第十章 数据备份与恢复管理第六十一条 数据备份/恢复主要用于保证数据

26、的准确性、完 整性、连续性，确保在信息系统发生故障时能快速的恢复数 据，主要包括数据的备份、保存、校验、恢复测试、数据恢 复等工作。第六十二条 数据备份。根据业务系统具体情况和备份内容 采用不同的备份策略。备份策略一般分为： （一）存档备份：对于不再修改并需要长期保存的数据进行 存档备份。（二）完全备份：对数据的内容进行整体备份。（三）增量备份：仅备份上次备份后新增加和修改过的数据。（四）日志备份：备份在线运行系统的日志，保证数据能够 实时恢复。Oracle、DB2等数据库日志数据都需要进行日志 备份。第六十三条 根据各种数据的重要性、数据量及系统容量， 确定备份方式、备份周期和保留期限。ER

27、P、电力营销、17 协同办公、安全生产等重要管理系统数据要求每周进行一次 全备份、每天进行一次增量备份。第六十四条 重要数据备份至少应保留两份拷贝，一份本地 保存，以保证数据的正常快速恢复和数据查询；另一份异地 存放，确保数据的灾后恢复。第六十五条 对服务器、网络设备、安全设备、电源设备进 行维护、升级改造、更改配置、新增设备接入，以及对操作 系统、支持软件、应用软件等进行新增、升级改造、安装调 试等操作时，必须先进行系统、数据和设备参数的完全备份。 应用系统更新后，将原系统及其数据的完全备份资料进行归 档保存。第六十六条 数据备份系统应实时保存每日、每周的数据， 并将每月、每季度、每半年及每

28、年的历史数据，完整、真实、 准确地转储到可靠的介质集中保存，保存期限至少 5 年。第六十七条 涉及安全和商业机密的运行数据必须采取保密 措施。数据备份介质应在指定的数据保管室或指定的场所保 管，介质保管员必须对备份数据进行规范的登记管理。备份 数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设 施。第六十八条 应加强备份数据的安全保密工作，存档的数据 备份应由专人负责保管，防止信息资料流失，禁止外借。 18 数据应仅用于明确规定的目的，未经批准不得挪作他用。无 正当理由和未办理批准手续时，不得查阅数据备份。经正式 批准查阅数据备份时必须登记，并由查阅人签字。第六十九条 应建立系统测试环境，每

29、年对备份的数据进行 恢复测试并出具测试报告，确保备份数据的可用性。 第七十条 数据恢复。对系统异常只能采取数据恢复措施解 决时，必须提交书面故障分析报告、数据恢复操作主要步骤、 对系统数据完整性所产生的影响及相应补救措施等，并提出 系数据恢复申请。第七十一条 系统平台管理员在收到系统备份恢复申请后， 应与相关应用系统管理员制定详细的恢复计划，包括应恢复 的内容、恢复的时间、恢复的操作步骤、恢复计划的可行性、 恢复对应用系统造成的影响、恢复前应进行的相关准备工作 等内容，并形成书面的恢复计划,提交本单位主管领导进行审 批。第七十二条 需对备份数据进行恢复时，不允许单人进行恢 复操作，必须有两名以

30、上相关人员同时在现场方能进行。第七十三条 在进行恢复操作前，应对现有的内容作相应的 备份。操作负责人应再次确认恢复计划的可行性及造成的后 果，确认无误后方可实施恢复操作。完成恢复操作后，应测 试恢复的结果，对恢复后的系统进行相应的备份。19第七十四条 恢复操作的执行过程应记录备查。完成恢复操 作后，应将恢复操作的执行者、恢复操作的时间、过程、完 成的情况等形成书面报告，并和故障分析报告、数据恢复申 请、恢复计划和操作记录一起存档备案。第十一章 应急管理第七十五条 各单位应建立自上而下的信息系统应急管理机 制，确保在突发情况下能有效开展系统恢复工作。第七十六条 各级信息中心要按照“谁主管、谁负责

31、，谁运 行、谁负责”的原则，制定信息系统应急预案并统一纳入本 单位应急管理体系。第七十七条 信息系统应急预案应包括以下内容：编制依据 适用范围、组织机构与职责、信息安全事件分类与分级应急 响应（应急启动、事件报告、应急处置、事件结束等）、保 障措施、信息发布、后期处置宣传、培训与演练。第七十八条 信息系统专项应急预案应包括以下内容：预案 等级，涉及部门，涉及人员及联系方式，预案事件描述，预 案启动条件，应急处置过程需要时间，应急处置结果，预案 处理要求，演练要求，预案流程及说明等。第七十九条 信息系统应急预案应结合本单位信息系统发展 状况及时进行修订、完善。信息系统各专项应急预案应在信 息建设

32、完成、演练、变更等情况发生后一个月内进行制 2020定或修订。第八十条 应急预案应保存二份，一份存放在可靠、易取的 场所，便于快速处理，一份由本单位指定专人归档存放。 第八十一条 信息系统应急处置按照各专业协同处理的原则 进行，需要内部多个部门和专业协同处置或外部应急资源支 持的应急事件，由本单位应急领导小组负责统一协调。 第八十二条 处置信息系统突发事件时，要以保障重要应用 系统、信息网络及信息基础类应用的安全稳定运行为根本。 当发生病毒、非法入侵、网络攻击、有害信息传播、不符合 规定的涉密信息传播事件时，迅速调整网络安全设备的安全 策略或隔离事件区域，查找源头，采取有效措施，控制事件 的发

33、展。当信息系统出现软硬件设备故障、网络链路故障、 机房环境设备故障等事件时，应立即启用备份系统、备用设 备或相应专项应急预案，调整系统运行和安全策略，尽快恢 复系统正常运行。第八十三条 当出现自然灾害、恐怖袭击、战争、人为非法 破坏等重大突发事件；发生大规模计算机病毒爆发、网络攻 击、内部人员重大作案等重大网络与信息安全事件；由于重 大技术故障导致信息网络与重要信息系统无法正常运行事 件等，无法迅速恢复正常生产、经营和管理工作时，应立即 启动本单位重要突发事件应急响应处理，并上报公司科技信 息部。21 第八十四条 应急处置目标。（一）尽快使信息系统恢复正常操作。（二）尽量减轻信息安全事件对其他

34、信息系统的影响，防止 衍生或次生其他信息安全事件。（三）避免发生同类信息安全事件； 避免使信息安全事件 升级。（四）查出引发信息安全事件的主要原因。（五）评估信息安全事件的影响和破坏程度。（六）收集证据为日后立案调查提供证明。第八十五条 应急处置优先顺序。（一）保障人员生命安全。（二）保护涉及国家秘密或敏感数据等关键资源。（三）保护遗失或损毁后造成严重、特别严重损失的重要数 据。（四）防止因停机、停运和服务终止后造成严重、特别严重 损失及恢复成本较高的信息系统受到损坏。（五）将服务中断的影响减到最小。（六）维护公司整体公众形象。第十二章 人员管理第八十六条 人员管理适用于重点或敏感岗位人员、外

35、委人 员、外来人员的信息安全管理。22第八十七条 重点或敏感岗位人员包括信息系统用户、网络 与信息安全管理员、计算机信息（数据）管理员、保密员等。 此类人员上岗前要进行信息安全、保密等培训，考核合格后 方可上岗。第八十八条 重点或敏感岗位人员上岗前要签订信息安全 与保密承诺书（见附录 1），离岗后须签署离岗保密承诺 书（见附录 2），离岗后，要终止其在信息系统中的所有权 限，做好交接手续，收回离岗人员的钥匙及单位提供的软、 硬件设备。第八十九条 重点或敏感岗位人员调离或工作岗位发生变动 人力资源管理部门或人员所在部门应在岗位变动前书面通 知本单位信息中心，信息中心应及时更改其信息资源的访问 权

36、限。第九十条 信息中心负责外委人员审查、工作检查、考核等 管理工作，办理外委人员进入办公区的相关手续，调查外委 人员引起的各类安全保密事件。第九十一条 外委公司是其所辖外委人员的管理方，负责做 好所辖外委人员的教育、培训、管理、工作安排等，并接受 信息中心的工作安排及日常管理。第九十二条 外委人员上岗前，信息中心应组织对其进行安 全、保密教育，学习相关管理规定和要求，并签订信息安 全与保密承诺书后，方可参与信息工作。23第九十三条 外委人员从事的工作不得超出安排的工作范围， 不得进行网络与信息系统核心部分（骨干网络系统、数据库 系统和重要应用系统）的管理工作，严禁利用单位提供的办 公场所、设备

37、从事与工作无关的项目开发、维护等工作。第九十四条 外委人员未经许可，不得随意进入其他工作场 所，确需到其他场所工作，必须经信息中心同意，必要时由 正式员工带领。第九十五条 外委人员离职时，应将其使用的全部资料及拷 贝上交，不得带出，并签订离岗保密承诺书。第九十六条 外来人员只允许访问与来访工作有关的区域、 系统、设备、信息等。外来人员访问核心机房等重要区域须 以书面形式经批准后，由专人全程陪同、监督方可进行。第十三章 培训管理第九十七条 各单位应建立信息系统运行相关的培训制度， 开展常态的培训工作，包括维护人员上岗培训、用户操作和 使用培训。第九十八条 各级信息中心应针对信息系统运维人员的岗位

38、 职责和岗位技能要求，确定信息系统运维的培训需求并制订 相应的年度培训计划。第九十九条 运维人员培训内容应包括国家电网公司发24布的相关管理制度和规定、信息系统运行维护基础知识、信 息安全知识、保密管理等，以及针对信息业务系统运行、维 护、应用服务的培训。第一百条 业务部门应建立信息系统用户培训制度，制订用 户培训计划，定期开展用户培训。第十四章 考核管理第一百零一条 科技信息部负责制定信息系统运行工作考核 指标，负责落实对各单位信息系统安全运行工作的考核管理 第一百零二条 各单位负责制定信息系统安全运行工作考核 细则，负责落实对下属单位信息系统安全运行工作的考核管 理。第一百零三条 依据国家

39、电网公司信息系统事故调查及统 计规定（试行）、湖南省电力公司企业负责人年度业绩考核 管理暂行办法对信息系统故障、障碍、信息安全事件等进 行认定，并按照考核指标进行考核。第十五章 附 则第一百零四条 本办法由公司科技信息部负责解释。第一百零五条 本办法自发布之日起执行。附录 1：信息安全与保密承诺书本人自觉遵守国家及公司有关信息安全与保密规定，严格做到：1. 按照公司对个人计算机终端要求和桌面终端标准化规定，对本人使用保管的计算机进行帐号、口令、服务、本地策略等方面安全加固，不利用个人计算机终端做与工作无关的事；2. 不通过拨号、无线上网等任何形式将信息内网计算机与外部网络连 接；3. 不私自采

40、用无线路由器、无线接入点、无线 Hub 等无线设备扩展信 息内网或信息外网；4. 计算机终端接入公司信息内网或信息外网时，遵守公司有关审批规定，不私自更改IP地址、MAC地址等有关机器访问控制参数；5. 不将涉密计算机与公司内网、外网和互联网进行连接；6. 不在公司内网、外网和互联网存储、处理、传递国家秘密；不在公司外网和互联网存储、处理、传递公司秘密；7. 不利用非涉密计算机、多功能一体机、打印机、扫描仪、传真机和 复印机等设备存储、处理、传递国家秘密；不利用与外网和互联网连 接的计算机、打印机、扫描仪存储、处理、传递公司秘密；8. 不将计算机、多功能一体机、打印机和扫描仪等设备在公司内网、 外网和互联网间交叉连接使用；9. 不将普通移动存储介质在公司内网、外网和互联网交叉使用。在公 司内网、外网和互联网上交换数据必须使用公司安全移动存储介质。 本承诺书未尽事宜按公司有关规定执行。本承诺书一式两份。 承诺人与（XX单位）各执一份。承诺人：年月日附录 2：离岗人员保密承诺书/亠离岗岗位：本人郑重承诺：虽然我离开了这个岗位，但无论在任何岗位都会自觉 遵守、执行公司信息保密制度，按照离岗管理制度，做好信息系统及 设备的交接及上缴工作，坚守职业道德，绝不泄露企业秘密。如有违 反行为，愿意无条件按照公司有关规章制度接受处罚。本承诺书一式两份，承诺人与（XX单位）各执一份。承诺人：年月日