内部使用 信息安全策略 版本号状态拟稿和修改时间说明 V1.0新建 2021/02/10 V2.0修改 2023/4/2第一章总则 第一条目的 为了保障北京思度文库有限公司信息系统的硬件、软件、业务信息和数据 、 通信网络设备等资源的安全，有效防范各类安全事故，合法合规发展各类信息 系统，确保为社会提供高效稳定的电力服务，依据《信息系统安全等级保护基 本要求》等相关标准法规制定本策略纲要。 第二条适用范围 本规定适用于公司所有信息系统。 第三条规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的 引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通 知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最 新版本。凡未注日期的引用文件，其最新版本适用于本标准 《信息安全技术 信息系统安全保障评估框架》（ GB/T 20274.1-2006 ） 《信息安全技术 信息系统安全管理要求》（ GB/T 20269-2006 ） 《信息安全技术 信息系统安全等级保护基本要求》（ GBT 22239- 2019） 本标准未涉及的管理内容，参照国家、行业、公司的有关标准和规定执行 。第二章总体方针 第四条组织与体制 构筑确保信息安全所必需的组织与体制，明确其责任与权限。 第五条遵守法令法规 遵守与信息安全有关的法令法规，制定并遵守按基本方针所制定的信息安 全相关的规定。 第六条信息资产的分类与管理 按照重要级别信息资产进行分类，并妥善管理。 第七条培训与教育 为使相关人员全面了解信息安全的重要性，适当开展针对性培训与教育活 动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。 第八条物理性保护 为避免非法入侵、干扰及破坏信息资产等事故的发生，对其保管场所与保 管办法加以明确。 第九条技术性保护 为切实保护信息资产不受来自外部的非法入侵，对信息系统的登录方法、 使用限制、网络管理等采取适当的措施。 第十条运用 为确保基本方针的实际成效， 在对遵守情况进行监督的同时，对违反基本 方针时的 处置办法及针对来自外部的非法入侵等 紧急事态采取的 应对措施等加 以规定。 第十一条评价及复审 随着社会环境的变化、技术的进 步等，应定期对基本方针与运用方 式进行 评价与复审。 第三章安全策略 第十二条安全管理制度 (一)在信息安全中，最活 跃的因素是人，对人的管理包括法 律、法规与 政策的约束、安全指南的帮助、安全意识的提高、安全技 能的培训、人力资源 管理措施以及 企业文化的熏陶，这些功能的实现都是以完备的安全管理 政策和 制度为前提。安全管理制度包括信息安全 工作的总体方针、策略、规范各 种安 全管理活动的管理制度以及管理人员或 操作人员日常操作的操作规程。 (二)安全管理制度重 点关注管理制度、制定和发 布、评审和修订三方面。 (三)目的是根据系统的安全等级，依照国家相关法 律法规及政策标准， 建立信息安全的各 项管理规范和技术标准，规范基 础设施建设、系统和网络 平 台建设、应用系统开发、运行管理等重要 环节，奠定信息安全的基 础。 第十三条安全管理 机构 (一)建立组织管理体系是为了建 立自上而下的信息安全 工作管理体系， 确定安全管理组织 机构的职责，统筹规划、专家决策，以推动信息安全 工作的开展。 (二)公司成立信息安全 领导小组，是信息安全的最高 决策机构，负责研 究重大事件，落实方针政策，制定实施策略和 原则，开展安全 普及教育等。下 设办公室负责信息安全 领导小组的日常事务。 (三)信息安全 领导小组下设两个工作组：信息安全 工作组、应急处理工 作组。组长均由公司负责人担任。 第十四条人员安全管理 (一)通过建立安全岗位责任制，最 大限度降低人为失误所造成的风险。 人是决定性因素，人员安全管理的 原则是：职责分离、有限授权、相互制约、 任期审计。 (二)人员安全管理的要 素包括：安全管理人员 配备、信息系统关 键岗位 人员录用、人员 离岗、人员考核与审查、第三方人员管理等。 (三)信息安全人员的 配备和变更情况，应向上一级单位报告、备案。 (四)信息安全人员 调离岗位，必须严格办理调离手续，承诺其调离后的 保密义务。涉及公司业务 核心技术的信息安全人员 调离单位，必须进行离岗审 计，并在规定的脱密期后，方可 调离。 第十五条系统建设管理 (一)信息系统的安全管理 贯穿系统的整个生命周期，系统建设管理 主要 关注的是生 命周期中的前三个阶段（初始、采购、实施）中各 项安全管理活动。 (二)系统建设管理分别 从工程实施建设 前、建设过 程以及建设 完毕交付 等三方面 考虑，具体包括系统定级、安全方 案设计、产品采购和使用、自行软 件开发、外包软件开发、 工程实施、测试验收、系统交付、系统备 案、等级测 评和安全服务 商选择十一个控制点。 第十六条系统运维管理 (一)目的是保障信息系统日 常运行的安全稳定，对运行 环境、技术支持操作使用、病毒防范、备 份措施、文 档建立等全方位管理。包括用 户管理、运 行操作管理、运行 维护管理、外包服务管理、有关安全 机制保障、安全管理 控 制平台等方面的管理要 素。 (二)对运行过 程的任何变化，数据、软件、物理设 置等，都应实施技术 监控和管理手段以确保其 完整性，防止信息非法 复制、篡改，任何查询和变更 操作需经过授权和合法性 验证。 (三)应急管理也是运维的重要内容，目的是分 析信息系统可 能出现的紧 急事件或灾难，建立一整套应急措施，以保障 核心业务的快速恢复和持续稳定 运行。应急计划包括应急处理、灾难恢复策略和实施保障等管理要 素。 第十七条物理安全 (一)目的是保护 计算机设备、设施（ 含网络）以及信息系统免 遭自然灾 害和其他形式的破坏，保 证信息系统的实体安全。 (二)有关物理 环境的选址和设计应遵照相关标准， 配备防火、防水、防 雷击、防静电、防鼠害等机房措施，维持系统不间 断运行能力，确保信息系统 运行的安全可 靠。 (三)对重要安全设备的 选择，需符合国家相关标准规范，相关 证书齐全。 (四)严格确定设备的合法使用人，建 立详细运行日志和维护记录。 第十八条网络安全 (一)目的是有效防范网络体系的安全 风险，为业务 应用系统提供安全、 可靠、稳定的网络管理和技术 平台。 (二)对于依赖网络架构安全的业务 应用系统，需根据其安全级别，实施 相应的访问控制、身份认证、审计等安全服务 机制；在网络边界处，需根据资 源的保护等级，实施相 应安全级别的防 火墙、认证、审计、动态检测等技术， 防范信息资源的非法 访问、篡改和破坏。第十九条主机安全 (一)主机安全包括服务 器、终端/工作站等在内的计算机设备在操作系统 及数据库系统 层面的安全。 终端/工作站是带外设的台式机与笔记本计算机，服 务器则包括应用程序、网络、web、文件与通信等服务 器。主机承载着各种应 用，是保护信息安全的中 坚力量。 (二)主机安全需着重关注和加 强身份鉴别、访问控制、恶意代码防范、 入侵防范、安全 审计几个方面，同时定期或不定期的进行安全评估（ 含渗透性 测试）和加固，实时确保 主机的健壮性。 第二十条应用安全 (一)应用安全成是信息系统 整体防御的最后一 道防线，目的是保障业务 应用系统开发过 程及最终产品的安全性。 (二)在应用层面运行着信息系统的基于网络的 应用以及特定业务应用。 基于网络的 应用是形成其他应用的基础，是基本的 应用；业务应用采纳基本应 用的功能以满足特定业务的要求 ；故最终是保护系统的各 种业务应用程序的安 全运行。 (三)应用系统的总体需求 计划阶段，应全面评估系统的安全 风险，确定 系统的访问控制、身份认证、审计跟踪等安全需求 ；总体架构设 计阶段，应实 施安全需求设 计，确立安全服务 机制、开发人员技术要求和 操作规程；应用系 统的实现阶段，应全程实施质量控制，防止程序后门，减少代码漏洞；在上线 运行之前，应充分进行 局部功能、整体功能、压力测试，以及系统安全性 能、 操作流程、应急方案的测试。 第二十一条 数据安全及备 份恢复 (一)信息系统 处理的各种数据（用 户数据、系统数据、业务数据等） 在 维持系统正常运行上起着至关重要的 作用。由于信息系统的各 个层面（网络、 主机、应用等）都对各类数据进行 传输、存储和处理等，因此，对数据的保护需要物理 环境、网络、数据库和 操作系统、应用程序等提供支持。 (二)数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备 份 等更是保证系统可用的重要内容。 第四章附 则 本标准由北京思度文库有限公司 负责解释。 本标准自 颁布之日起实行。