为认真贯彻落实我局“七五”普法实施方案,现就《信息网络传播权保护条例》、《国家电网公司网络与信息系统安全管理办法》公布如下,请相关科室和责任人抓好学习和宣传。
(2006年5月18日中华人民共和国国务院令第468号公布 根据2013年1月30日《国务院关于修改〈信息网络传播权保护条例〉的决定》修订)
第一条 为保护著作权人、表演者、录音录像制作者(以下统称权利人)的信息网络传播权,鼓励有益于社会主义精神文明、物质文明建设的作品的创作和传播,根据《中华人民共和国著作权法》(以下简称著作权法),制定本条例。
第二条 权利人享有的信息网络传播权受著作权法和本条例保护。除法律、行政法规另有规定的外,任何组织或者个人将他人的作品、表演、录音录像制品通过信息网络向公众提供,应当取得权利人许可,并支付报酬。
第三条 依法禁止提供的作品、表演、录音录像制品,不受本条例保护。
权利人行使信息网络传播权,不得违反宪法和法律、行政法规,不得损害公共利益。
第四条 为了保护信息网络传播权,权利人可以采取技术措施。
任何组织或者个人不得故意避开或者破坏技术措施,不得故意制造、进口或者向公众提供主要用于避开或者破坏技术措施的装置或者部件,不得故意为他人避开或者破坏技术措施提供技术服务。但是,法律、行政法规规定可以避开的除外。
第五条 未经权利人许可,任何组织或者个人不得进行下列行为:
(一)故意删除或者改变通过信息网络向公众提供的作品、表演、录音录像制品的权利管理电子信息,但由于技术上的原因无法避免删除或者改变的除外;
(二)通过信息网络向公众提供明知或者应知未经权利人许可被删除或者改变权利管理电子信息的作品、表演、录音录像制品。
第六条 通过信息网络提供他人作品,属于下列情形的,可以不经著作权人许可,不向其支付报酬:
(一)为介绍、评论某一作品或者说明某一问题,在向公众提供的作品中适当引用已经发表的作品;
(二)为报道时事新闻,在向公众提供的作品中不可避免地再现或者引用已经发表的作品;
(三)为学校课堂教学或者科学研究,向少数教学、科研人员提供少量已经发表的作品;
(四)国家机关为执行公务,在合理范围内向公众提供已经发表的作品;
(五)将中国公民、法人或者其他组织已经发表的、以汉语言文字创作的作品翻译成的少数民族语言文字作品,向中国境内少数民族提供;
(六)不以营利为目的,以盲人能够感知的独特方式向盲人提供已经发表的文字作品;
(七)向公众提供在信息网络上已经发表的关于政治、经济问题的时事性文章;
(八)向公众提供在公众集会上发表的讲话。
第七条 图书馆、档案馆、纪念馆、博物馆、美术馆等可以不经著作权人许可,通过信息网络向本馆馆舍内服务对象提供本馆收藏的合法出版的数字作品和依法为陈列或者保存版本的需要以数字化形式复制的作品,不向其支付报酬,但不得直接或者间接获得经济利益。当事人另有约定的除外。
前款规定的为陈列或者保存版本需要以数字化形式复制的作品,应当是已经损毁或者濒临损毁、丢失或者失窃,或者其存储格式已经过时,并且在市场上无法购买或者只能以明显高于标定的价格购买的作品。
第八条 为通过信息网络实施九年制义务教育或者国家教育规划,可以不经著作权人许可,使用其已经发表作品的片断或者短小的文字作品、音乐作品或者单幅的美术作品、摄影作品制作课件,由制作课件或者依法取得课件的远程教育机构通过信息网络向注册学生提供,但应当向著作权人支付报酬。
第九条 为扶助贫困,通过信息网络向农村地区的公众免费提供中国公民、法人或者其他组织已经发表的种植养殖、防病治病、防灾减灾等与扶助贫困有关的作品和适应基本文化需求的作品,网络服务提供者应当在提供前公告拟提供的作品及其作者、拟支付报酬的标准。自公告之日起30日内,著作权人不同意提供的,网络服务提供者不得提供其作品;自公告之日起满30日,著作权人没有异议的,网络服务提供者可以提供其作品,并按照公告的标准向著作权人支付报酬。网络服务提供者提供著作权人的作品后,著作权人不同意提供的,网络服务提供者应当立即删除著作权人的作品,并按照公告的标准向著作权人支付提供作品期间的报酬。
依照前款规定提供作品的,不得直接或者间接获得经济利益。
第十条 依照本条例规定不经著作权人许可、通过信息网络向公众提供其作品的,还应当遵守下列规定:
(一)除本条例第六条第一项至第六项、第七条规定的情形外,不得提供作者事先声明不许提供的作品;
(二)指明作品的名称和作者的姓名(名称);
(三)依照本条例规定支付报酬;
(四)采取技术措施,防止本条例第七条、第八条、第九条规定的服务对象以外的其他人获得著作权人的作品,并防止本条例第七条规定的服务对象的复制行为对著作权人利益造成实质性损害;
(五)不得侵犯著作权人依法享有的其他权利。
第十一条 通过信息网络提供他人表演、录音录像制品的,应当遵守本条例第六条至第十条的规定。
第十二条 属于下列情形的,可以避开技术措施,但不得向他人提供避开技术措施的技术、装置或者部件,不得侵犯权利人依法享有的其他权利:
(一)为学校课堂教学或者科学研究,通过信息网络向少数教学、科研人员提供已经发表的作品、表演、录音录像制品,而该作品、表演、录音录像制品只能通过信息网络获取;
(二)不以营利为目的,通过信息网络以盲人能够感知的独特方式向盲人提供已经发表的文字作品,而该作品只能通过信息网络获取;
(三)国家机关依照行政、司法程序执行公务;
(四)在信息网络上对计算机及其系统或者网络的安全性能进行测试。
第十三条 著作权行政管理部门为了查处侵犯信息网络传播权的行为,可以要求网络服务提供者提供涉嫌侵权的服务对象的姓名(名称)、联系方式、网络地址等资料。
第十四条 对提供信息存储空间或者提供搜索、链接服务的网络服务提供者,权利人认为其服务所涉及的作品、表演、录音录像制品,侵犯自己的信息网络传播权或者被删除、改变了自己的权利管理电子信息的,可以向该网络服务提供者提交书面通知,要求网络服务提供者删除该作品、表演、录音录像制品,或者断开与该作品、表演、录音录像制品的链接。通知书应当包含下列内容:
(一)权利人的姓名(名称)、联系方式和地址;
(二)要求删除或者断开链接的侵权作品、表演、录音录像制品的名称和网络地址;
(三)构成侵权的初步证明材料。
权利人应当对通知书的真实性负责。
第十五条 网络服务提供者接到权利人的通知书后,应当立即删除涉嫌侵权的作品、表演、录音录像制品,或者断开与涉嫌侵权的作品、表演、录音录像制品的链接,并同时将通知书转送提供作品、表演、录音录像制品的服务对象;服务对象网络地址不明、无法转送的,应当将通知书的内容同时在信息网络上公告。
第十六条 服务对象接到网络服务提供者转送的通知书后,认为其提供的作品、表演、录音录像制品未侵犯他人权利的,可以向网络服务提供者提交书面说明,要求恢复被删除的作品、表演、录音录像制品,或者恢复与被断开的作品、表演、录音录像制品的链接。书面说明应当包含下列内容:
(一)服务对象的姓名(名称)、联系方式和地址;
(二)要求恢复的作品、表演、录音录像制品的名称和网络地址;
(三)不构成侵权的初步证明材料。
服务对象应当对书面说明的真实性负责。
第十七条 网络服务提供者接到服务对象的书面说明后,应当立即恢复被删除的作品、表演、录音录像制品,或者可以恢复与被断开的作品、表演、录音录像制品的链接,同时将服务对象的书面说明转送权利人。权利人不得再通知网络服务提供者删除该作品、表演、录音录像制品,或者断开与该作品、表演、录音录像制品的链接。
第十八条 违反本条例规定,有下列侵权行为之一的,根据情况承担停止侵害、消除影响、赔礼道歉、赔偿损失等民事责任;同时损害公共利益的,可以由著作权行政管理部门责令停止侵权行为,没收违法所得,非法经营额5万元以上的,可处非法经营额1倍以上5倍以下的罚款;没有非法经营额或者非法经营额5万元以下的,根据情节轻重,可处25万元以下的罚款;情节严重的,著作权行政管理部门可以没收主要用于提供网络服务的计算机等设备;构成犯罪的,依法追究刑事责任:
(一)通过信息网络擅自向公众提供他人的作品、表演、录音录像制品的;
(二)故意避开或者破坏技术措施的;
(三)故意删除或者改变通过信息网络向公众提供的作品、表演、录音录像制品的权利管理电子信息,或者通过信息网络向公众提供明知或者应知未经权利人许可而被删除或者改变权利管理电子信息的作品、表演、录音录像制品的;
(四)为扶助贫困通过信息网络向农村地区提供作品、表演、录音录像制品超过规定范围,或者未按照公告的标准支付报酬,或者在权利人不同意提供其作品、表演、录音录像制品后未立即删除的;
(五)通过信息网络提供他人的作品、表演、录音录像制品,未指明作品、表演、录音录像制品的名称或者作者、表演者、录音录像制作者的姓名(名称),或者未支付报酬,或者未依照本条例规定采取技术措施防止服务对象以外的其他人获得他人的作品、表演、录音录像制品,或者未防止服务对象的复制行为对权利人利益造成实质性损害的。
第十九条 违反本条例规定,有下列行为之一的,由著作权行政管理部门予以警告,没收违法所得,没收主要用于避开、破坏技术措施的装置或者部件;情节严重的,可以没收主要用于提供网络服务的计算机等设备;非法经营额5万元以上的,可处非法经营额1倍以上5倍以下的罚款;没有非法经营额或者非法经营额5万元以下的,根据情节轻重,可处25万元以下的罚款;构成犯罪的,依法追究刑事责任:
(一)故意制造、进口或者向他人提供主要用于避开、破坏技术措施的装置或者部件,或者故意为他人避开或者破坏技术措施提供技术服务的;
(二)通过信息网络提供他人的作品、表演、录音录像制品,获得经济利益的;
(三)为扶助贫困通过信息网络向农村地区提供作品、表演、录音录像制品,未在提供前公告作品、表演、录音录像制品的名称和作者、表演者、录音录像制作者的姓名(名称)以及报酬标准的。
第二十条 网络服务提供者根据服务对象的指令提供网络自动接入服务,或者对服务对象提供的作品、表演、录音录像制品提供自动传输服务,并具备下列条件的,不承担赔偿责任:
(一)未选择并且未改变所传输的作品、表演、录音录像制品;
(二)向指定的服务对象提供该作品、表演、录音录像制品,并防止指定的服务对象以外的其他人获得。
第二十一条 网络服务提供者为提高网络传输效率,自动存储从其他网络服务提供者获得的作品、表演、录音录像制品,根据技术安排自动向服务对象提供,并具备下列条件的,不承担赔偿责任:
(一)未改变自动存储的作品、表演、录音录像制品;
(二)不影响提供作品、表演、录音录像制品的原网络服务提供者掌握服务对象获取该作品、表演、录音录像制品的情况;
(三)在原网络服务提供者修改、删除或者屏蔽该作品、表演、录音录像制品时,根据技术安排自动予以修改、删除或者屏蔽。
第二十二条 网络服务提供者为服务对象提供信息存储空间,供服务对象通过信息网络向公众提供作品、表演、录音录像制品,并具备下列条件的,不承担赔偿责任:
(一)明确标示该信息存储空间是为服务对象所提供,并公开网络服务提供者的名称、联系人、网络地址;
(二)未改变服务对象所提供的作品、表演、录音录像制品;
(三)不知道也没有合理的理由应当知道服务对象提供的作品、表演、录音录像制品侵权;
(四)未从服务对象提供作品、表演、录音录像制品中直接获得经济利益;
(五)在接到权利人的通知书后,根据本条例规定删除权利人认为侵权的作品、表演、录音录像制品。
第二十三条 网络服务提供者为服务对象提供搜索或者链接服务,在接到权利人的通知书后,根据本条例规定断开与侵权的作品、表演、录音录像制品的链接的,不承担赔偿责任;但是,明知或者应知所链接的作品、表演、录音录像制品侵权的,应当承担责任。
第二十四条 因权利人的通知导致网络服务提供者错误删除作品、表演、录音录像制品,或者错误断开与作品、表演、录音录像制品的链接,给服务对象造成损失的,权利人应当承担赔偿责任。
第二十五条 网络服务提供者无正当理由拒绝提供或者拖延提供涉嫌侵权的服务对象的姓名(名称)、联系方式、网络地址等资料的,由著作权行政管理部门予以警告;情节严重的,没收主要用于提供网络服务的计算机等设备。
第二十六条 本条例下列用语的含义:
信息网络传播权,是指以有线或者无线方式向公众提供作品、表演或者录音录像制品,使公众可以在其个人选定的时间和地点获得作品、表演或者录音录像制品的权利。
技术措施,是指用于防止、限制未经权利人许可浏览、欣赏作品、表演、录音录像制品的或者通过信息网络向公众提供作品、表演、录音录像制品的有效技术、装置或者部件。
权利管理电子信息,是指说明作品及其作者、表演及其表演者、录音录像制品及其制作者的信息,作品、表演、录音录像制品权利人的信息和使用条件的信息,以及表示上述信息的数字或者代码。
第二十七条 本条例自2006年7月1日起施行。
国家电网公司网络与信息系统 安全管理办法
第一章 总则
第一条 为加强和规范国家电网公司(以下简称“公司”)网络与信息系统安全工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力,实现网络与信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条 本办法所称网络与信息系统是指公司电力通信网及其承载的管理信息系统和电力二次系统。
第三条 本办法适用于公司总(分)部及所属各级单位的网络与信息系统安全管理工作。
第四条 网络与信息系统安全防护目标是保障电力生产监控系统及电力调度数据网络的安全,保障管理信息系统及通信、网络的安全,落实信息系统生命周期全过程安全管理,实现信息安全可控、能控、在控。防范对电力二次系统、管理信息系统的恶意攻击及侵害,抵御内外部有组织的攻击,防止由于电力二次系统、管理信息系统的崩溃或瘫痪造成的电力系统事故。
第五条 公司网络与信息系统安全工作坚持“三纳入一融合”原则,将等级保护纳入网络与信息系统安全工作中,将网络与信息系统安全纳入信息化日常工作中,将网络与信息系统安全纳入公司安全生产管理体系中,将网络与信息系统安全融入公司安全生产中。在规划和建设网络与信息系统时,信息通信安全防护措施应按照“三同步”原则,与网络与信息系统建设同步规划、同步建设、同步投入运行。
第六条 管理信息系统安全防护坚持“双网双机、分区分域、安全接入、动态感知、全面防护、准入备案”的总体安全策略,执行信息安全等级保护制度。其中“双网双机”指信息内外网间采用逻辑强隔离设备进行隔离,并分别采用独立的服务器及桌面主机;“分区分域”指依据等级保护定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;“安全接入”指通过采用终端加固、安全通道、认证等措施保障终端接入公司信息内外网安全;“动态感知”指对公司网络、信息系统、终端及设备等安全状态进行全面动态监测,实现事前预警、事中监测和事后审计;“全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象;“准入备案”指对所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理。
第七条 电力二次系统安全防护按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则,并遵照原国家电力监管委员会《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关文件执行。
第二章 职责分工
第八条 公司信息安全工作实行统一领导、分级管理,遵循“谁主管谁负责;谁运行谁负责;谁使用谁负责;管业务必须管安全”的原则,严格落实网络与信息系统安全责任。各级单位主要负责人是本单位网络与信息系统安全第一责任人。各级单位信息化领导小组负责本单位网络信息安全(含生产控制大区和管理信息大区)的总体协调领导。
第九条 网络与信息系统实行专业管理、归口监督。国网信通部是信息安全防护的归口部门,负责管理信息系统及电力通信网的安全防护。国调中心负责调度数据网络和电力二次系统的安全防护。国网安质部负责公司信息安全监督、检查和评价工作。国网办公厅(保密办)负责公司保密管理,负责信息失泄密情况的调查和处理。各业务部门负责本专业系统及终端的安全监控和防护。各级单位负责落实本单位网络与信息系统安全工作。
第十条 国网信通部主要职责如下:
(一)落实国家有关网络与信息系统安全法规、方针、政策、标准和规范,联系国家有关部门落实相关安全工作。组织制定公司网络与信息系统安全管理标准规范和规章制度。
(二)负责公司网络与信息系统安全体系规划设计、架构管控、总体安全防护方案制订、核心安全防护措施部署和策略优化配置并组织实施。
(三)指导总部各部门、公司各级单位开展网络与信息系统全生命周期安全管控工作,组织落实等级保护测评整改、风险评估和隐患排查治理等工作。
(四)负责信息安全技术督查体系建设,组织开展公司信息安全技术督查工作。
(五)协助开展网络与信息系统事件的调查处理,组织制定、落实网络与信息系统反事故措施。
(六)负责信息安全态势跟踪、事件监测与分析、信息安全通报。
(七)负责网络与信息系统应急管理体系建设与应急处置。
第十一条 国调中心主要职责如下:
(一)负责公司生产控制大区(含各级调度、变电站、发电厂、配电自动化、负荷控制等)工控系统安全防护管理,统筹公司经营范围内并网发电厂涉网部分的监控系统和继电保护等工控系统安全防护的技术监督管理。
(二)负责落实国家电力二次系统安全防护要求,组织制定公司电力二次系统安全管理制度,指导各级单位开展电力二次系统安全防护的实施方案制定和运行管理。
(三)配合完成国家有关部门对公司电力二次系统开展的风险评估和隐患排查、信息安全检查,落实等级保护制度等工作。
(四)负责电力二次系统安全防护技术督查体系建设以及组织开展电力二次系统的安全技术督查工作。
(五)负责电力二次系统应急管理体系建设与应急处置。
第十二条 国网安质部主要职责如下:
(一)负责公司网络与信息系统安全检查和评价。
(二)负责公司信息安全事件的调查、分析、处理和事件通报。
第十三条 业务部门主要职责如下:
(一)牵头开展本专业信息系统信息安全防护工作,依据公司总体安全策略组织制定相关系统信息安全防护方案,经公司信息安全专家审查委员会审批后执行。
(二)落实业务系统信息安全等级保护工作,配合开展业务系统安全测评、风险评估和隐患排查治理等工作。
(三)国网运检部负责配电自动化终端具体安全防护及运行维护管理,负责相关安全防护的技改项目管理。
(四)国网营销部负责营销业务涉及控制类系统及终端(如负荷控制系统、负控终端及用电信息采集控制终端等)的具体安全防护及运行维护管理。
(五)国网农电部负责代管县供电企业的农村电网涉及控制类系统及终端安全防护管理。
(六)在本专业人员培训过程中贯彻公司信息安全相关要求。
第十四条 各级单位主要职责如下:
(一)负责贯彻落实国家有关网络与信息系统安全法规、方针、政策、标准和规范,贯彻落实公司网络与信息系统安全相关标准规范和规章制度。
(二)落实本单位范围内网络与信息系统安全工作责任体系。
(三)落实本单位网络与信息系统全生命周期安全管控、等级保护测评整改、安全准入、风险评估、隐患排查治理和信息安全技术督查等工作。
(四)按照公司网络与信息系统应急管理要求建立本单位应急体系,组织本单位突发事件的应急处理。
(五)负责明确本单位网络与信息系统安全运行维护部门或机构,落实网络与信息系统安全运行维护日常工作。明确落实本单位信息安全技术督查体系。
(六)组织本单位信息安全宣传和培训工作。
第十五条 各业务支撑和实施机构信息安全职责如下:
(一)各级调控机构:分别负责本级调度控制系统和调度数据网络的安全防护和运行维护管理,负责直调发电厂涉网部分的监控系统和继电保护等工控系统安全防护技术监督。
(二)国网运行分公司、各省检修(分)公司、各地(市)检修工公司和县运检部[检修(建设)工区]:分别负责运维范围内变电站、开关站、换流站的系统、设备和终端的安全运维和应急处置工作。
(三)国网新源控股公司:负责运维范围内发电厂的系统、设备和终端的安全运维和应急处置工作。
(四)中国电科院:负责公司信息通信安全研究,提供信息安全专业技术支撑;负责公司信息通信系统和设备的安全测试工作;负责信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价;负责执行信息通信安全技术督查及专项检查。
(五)省电科院:负责信息通信安全研究,为各省(自治区、直辖市)电力公司提供信息安全专业技术支撑;负责省公司信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价;负责本单位信息安全技术督查。
(六)国网信通公司:负责公司总部信息通信系统、一级部署信息系统、直属单位集中部署信息系统和一级骨干信息通信网的安全运维和应急处置工作。
(七)省信通(分)公司:负责调管范围内信息通信系统调度监控和应急处置;负责资产管理范围内信息通信系统、设备和终端的安全运维和应急处置工作。
(八)地(市)信通分公司:受职能管理部门委托开展本单位信息安全保障工作。
第三章 管理要求
第十六条 按照公司制度标准体系建设工作要求和统一部署,由总部统一制定、发布与组织实施信息通信安全管理制度,实现全职责、全业务、全流程覆盖,确保纵向层级支撑,横向衔接联动。
第十七条 按照公司“三集五大”体系设计确定的岗位,公司统一确定信息系统建设、运行、使用等相关岗位的信息安全职责,各级单位遵照执行并加强管理。各级单位信息通信职能管理部门、电力调度管理部门应设置专门的信息安全管理岗位,配备安全管理人员,明确安全工作职责。
第十八条 加强员工信息安全管理,严格人员录用过程,与关键岗位员工签订保密协议,明确信息安全保密的内容和职责;切实加强员工信息安全培训工作,提高全员安全意识;及时终止离岗员工的所有访问权限。
对承担公司核心信息系统规划、研发、运维管理等关键岗位人员开展安全培训和考核,对系统运维关键岗位建立持证上岗制度,明确持证上岗要求。对关键岗位人员进行安全技能考核。将信息安全技能考核内容纳入公司安规考试。
加强对临时来访人员和常驻外包服务人员的信息安全管理。加强外来人员的出入登记和接待管理,严格控制外来人员活动区域。外来人员进入机房等重要区域,应办理审批登记手续并由相关管理人员全程陪同,相关操作必须有审计及监控。
第十九条 网络与信息系统安全管理工作机制如下:
(一)遵循“统一指挥、密切配合、职责明确、流程规范、响应及时”的协同原则,做好公司信息安全内、外部协同机制的落实工作。
(二)健全信息安全技术督查工作,加强对信息安全技术督查的一体化管控,强化督查责任落实,深化年度、专项、日常督查工作。进一步提升督查队伍装备水平,优化督查工作流程,强化督查队伍评价考核。
(三)落实常态信息安全风险评估工作,与公司春秋季检和迎峰度夏工作相结合,切实将风险评估工作常态化,及时落实整改,消除安全隐患。
(四)切实加强网络与信息系统应急管理体系建设。按照综合协调、统一领导、分级负责的原则,在公司总部、各分部、省(自治区、直辖市)电力公司、直属单位建立应急组织和指挥体系;坚持“安全第一、预防为主”的方针,加强应急响应队伍建设,优化完善应急预案,落实常态应急演练工作,做好应急保障工作;加强安全风险监测与预警,建立“上下联动、区域协作”的快速响应工作,强化应急处置。
(五)严格执行信息安全事故通报制度(通报规范见附件1),做好节假日和特殊时期的安全运行情况报送工作。
(六)落实健全网络与信息系统安全准入工作,加强对接入公司网络的各类系统、终端、设备的准入及备案管理,强化备案信息与上下线相关运行安全工作的准入联动工作。
(七)严格按照公司安全事故调查规程,开展事故原因分析,做好事故调查工作,坚持“四不放过”原则,有效落实整改。
(八)贯彻落实信息安全等级保护制度,持续强化信息安全等级保护工作管理,做好系统等级保护定级、备案、建设、测评与整改工作。
(九)深入开展信息安全动态治理工作,推动各级单位信息安全工作的落实与持续改进,提升信息安全流程化、标准化和规范化水平。强化隐患排查治理工作,强化从隐患发现到隐患治理的闭环管理工作,消除信息安全薄弱环节。
(十)开展信息技术供应链安全管理工作,开展信息技术软硬件设备和服务供应商安全管理、软硬件设备选型和安全测试工作,逐步实现核心运行系统的国产化。加强外部合作单位和供应商管理,严格外部单位资质审核。严禁合作单位和供应商在对互联网提供服务的网络和信息系统中存储和运行公司相关业务系统数据和敏感信息。关键软硬件设备采购应开展产品预先选型和安全检测。对涉及的信息安全软硬件产品和密码产品要坚持国产化原则,信息安全核心防护产品以自主研发为主。管理信息系统软硬件产品逐步采用全国产化产品。及时开展各种软硬件漏洞检测及修复。
(十一)建立信息安全综合评价体系,加强信息安全监督及考核评价,将网络与信息系统安全落实情况纳入各级单位信息化水平评价。
(十二)加强密码技术的开发利用以及密码安全保障,落实密钥的统一选型及应用工作,充分发挥密码技术在信息安全工作中的基础作用。
第二十条 加强电力通信网的安全管理,规范电力通信网络安全防护体系,健全针对各类网络在线监测和安全预警能力,做好对光缆、网络交换设备、物理区域与人员的安全访问管理,禁止通信网管系统未经网络隔离装置与信息内网互联,禁止通信网管系统与外部维护厂商间进行网络连接。电力通信设备、线路等应采用冗余保障、网络优化、设备网管防护等措施提高可用性。
第二十一条 加强信息内外网网站管理。各级单位对外网站应与公司外网企业门户网站进行整合,内网宣传网站要与公司内网企业门户进行整合,实现网站统一管理与备案。网站信息发布须严格按照公司审核发布流程。各级单位网站统一使用公司域名,并规范网站功能设置及网站风格设计。加强内外网邮件统一管理,禁止各级单位建立独立内外网邮件系统,如确实需要建立,需提前报公司批准。
第二十二条 加强信息安全备案准入工作。各级单位要巩固信息安全备案准入成果,加强对采集类业务终端的安全备案,严格各类信息资产安全备案作为入网的必要条件。加强安全备案数据质量的治理工作,确保填报信息完整、准确及更新及时,对于未备案的业务系统、网络专线,一经发现立即关停,按照公司有关要求进行追责及处置。
第二十三条 微博微信等新业务安全管理要求如下:
(一)强化对企业官方微博微信、Wi-Fi网络、其他新业务的安全备案准入与管理,加强微博微信开设、使用的安全管理,加强信息外网无线Wi-Fi网络的审批、备案与使用管理。
(二)各级单位要加强官方微博微信的开设与管理,加强对本单位官方微博微信所发布的内容审查与核实。微博微信的发布终端要按照公司办公计算机防护要求部署安全措施。公司两级技术督查队伍在日常的安全督查中要加强对微博微信发布终端的检查深度和频度。
(三)各级单位信息外网使用Wi-Fi要严格落实审核批准与备案工作,要加强Wi-Fi组网的网络准入、安全审计、用户身份认证方面的安全防护技术手段。
(四)各级单位要控制内网第三方专线接入公司信息网络的专线数量,对于确需第三方接入的新业务,要选择安全的接入方式并强化落实边界安全防护措施。
