信息安全檢查表格.doc

1、附件1:電力行業(yè)網絡與信息安全檢查方案電力行業(yè)網絡與信息安全領導小組辦公室二0一二年七月為貫徹落實國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知（國辦函2012 102 號）要求，結合電力行業(yè)信息安全工作實際，制定電力行業(yè)網絡與信息安全檢查方案。一、檢查依據1. 國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知（國辦函2012 102 號） ；2. 電力行業(yè)網絡與信息安全監(jiān)督管理暫行規(guī)定（電監(jiān)信息2007 50 號） 。3. 電力二次系統(tǒng)安全防護規(guī)定（電監(jiān)會5 號令） 。二、檢查目的通過開展電力行業(yè)網絡與信息安全檢查，全面掌握重要電力網絡與信息系統(tǒng)基本情況，分析面臨的安全威脅

2、和風險，評估安全防護水平，查找突出問題和薄弱環(huán)節(jié)，有針對性地采取防范對策和改進措施，加強網絡與信息系統(tǒng)安全管理、技術防護和人才隊伍建設，促進安全防護能力和水平提升，預防和減少重大信息安全事件的發(fā)生，切實保障電力網絡與信息系統(tǒng)安全，維護電力系統(tǒng)安全穩(wěn)定運行，保障黨的十八大順利召開。三、檢查范圍各電力企業(yè)運行使用的網絡和信息系統(tǒng)，重點檢查信息安全保護等級為3 級及以上的重要網絡與信息系統(tǒng)。四、檢查方式本次檢查按照 “誰主管誰負責、 誰運行誰負責”的原則，采用電力企業(yè)自查、電監(jiān)會派出機構對轄區(qū)內電力企業(yè)自查情況、自查質量進行跟蹤檢查和電監(jiān)會組織專門隊伍同時進行抽查相結合的方式。五、檢查內容本次信息安

3、全檢查主要分基本情況調查、安全防護情況檢查和問題及風險分析三個方面。（一）網絡與信息系統(tǒng)基本情況調查。主要調查系統(tǒng)特征，包括系統(tǒng)停止運行后對主要業(yè)務的影響程度，系統(tǒng)遭到攻擊破壞后對社會公眾的影響程度等；系統(tǒng)構成，包括主要軟硬件設備的類型、數(shù)量、生產商等；信息技術外包服務，包括服務類型、服務提供商、服務方式、安全保密協(xié)議等。各單位要在全面調查的基礎上，匯總填寫電力行業(yè)信息安全檢查情況報告表（見附件1） 。（二）安全防護情況檢查。各單位主要從以下15 個方面對本單位信息安全防護情況進行重點檢查，并在認真檢查的基礎上，如實填寫電力企業(yè)信息安全檢查表（2012 版） （見附件2） 。1. 組織體系建設

4、情況。信息安全組織機構建立情況；第一責任人確立情況；責任落實情況；專職機構及崗位設置情況；安全人員配置情況等。2. 規(guī)章制度建立情況。整體策略及總體規(guī)劃（方案）制定情況；管理制度制定情況及制度體系完整性；操作規(guī)程制定情況；制度發(fā)布情況等。3. 資金保障情況。經費預算情況；安全運維經費投入情況；安全建設經費投入情況等。4. 人員安全管理情況。全員安全培訓及保密協(xié)議簽訂情況；專業(yè)技能培訓情況；崗位人員審查情況；崗位調整安全管控情況等。5. 服務外包管控情況。外包服務協(xié)議簽訂情況；第三方人員訪問管理情況；遠程服務管控情況；現(xiàn)場開發(fā)管控情況等。6. 關鍵信息資產管控情況。資產清單的建立情況；資產管理職

5、責的落實情況；信息系統(tǒng)基礎資料歸檔情況等。7. 信息系統(tǒng)建設安全管理情況。系統(tǒng)上線安全測評情況；等級保護建設情況；等級保護測評情況；信息安全風險評估開展情況；密碼產品采購情況；信息產品采購測試情況；安全產品國產化情況等。8. 安全分區(qū)防御情況。安全分區(qū)情況；橫向隔離及縱向認證設備部署情況；跨區(qū)連接管控情況；內外網隔離情況等。9. 網絡安全防護情況。生產控制大區(qū)安全防護情況；管理信息大區(qū)安全防護情況；互聯(lián)網出口統(tǒng)一管理情況；互聯(lián)網出口安全管控情況；無線網絡安全防護情況等。10. 主機和設備安全防護情況。補丁更新管理情況；惡意代碼防護情況；系統(tǒng)加固情況；辦公終端管控情況；主機和設備帳號口令管理情況

6、等。11. 應用系統(tǒng)和數(shù)據安全防護情況。應用系統(tǒng)安全功能及配置情況；對外服務系統(tǒng)信息監(jiān)控和攻擊防御情況；對外服務系統(tǒng)周期測試情況；應用系統(tǒng)賬號口令管理情況；重要數(shù)據安全保護情況等。12. 物理環(huán)境安全防護情況。機房安全建設情況等。13. 信息系統(tǒng)運行安全管理情況。日常維護情況；安全審計情況；補丁管理情況；介質管理情況；安全監(jiān)測情況等。14. 災難恢復情況。硬件冗余情況；定期備份情況；異地容災中心建設情況；備份介質恢復測試情況等。15. 應急管理情況。網絡與信息安全信息通報情況；總體應急預案制定情況；重要信息系統(tǒng)應急預案制定情況；應急演練開展情況；應急資源配備情況；事故調查工作情況等。（三）存在

7、的問題和面臨的風險分析。在完成基本情況調查和安全防護情況檢查的基礎上，各單位要圍繞著以下三個方面對存在的問題和面臨的主要風險進行分析。1. 當前安全管理和技術防護中的主要問題及薄弱環(huán)節(jié)，制定安全防護能力提高的主要因素（包括法律法規(guī)、政策制度、技術手段等方面）。2. 統(tǒng)計國外產品和服務在主要軟硬件設備和信息技術外包服務中所占的比例，分析網絡與信息系統(tǒng)對國外產品和服務的依賴程度。3. 根據安全檢測發(fā)現(xiàn)的漏洞和隱患，分析網絡與信息系統(tǒng)存在的安全風險，判斷面臨的安全威脅程度以及具備的安全防護能力，評估網絡與信息系統(tǒng)總體安全狀況。六、檢查組織1. 電監(jiān)會統(tǒng)一組織本次信息安全檢查工作，電力行業(yè)網絡與信息安

8、全領導小組辦公室負責信息安全檢查的日常工作。電監(jiān)會各派出機構根據電監(jiān)會的統(tǒng)一部署，負責轄區(qū)內電力企業(yè)信息安全自查督導和監(jiān)督檢查工作。2. 各電力（集團）公司負責組織開展本單位及其下屬單位的信息安全檢查工作。七、進度安排1.7月16日7月20日，動員部署階段印發(fā)關于開展電力行業(yè)網絡與信息安全檢查行動的通知和電力行業(yè)網絡與信息安全檢查方案，召開會議進行動員部署。2. 7月21日8月31日，實施階段8 月 22 日前，各單位完成本單位的信息安全自查工作，編寫自查報告，制定整改方案。9 月 31 日前，完成整改工作。電力（集團）公司應匯總填寫本系統(tǒng)電力行業(yè)信息安全檢查情況報告表和電力企業(yè)信息安全檢查項

9、目表（ 2012 版） ， 并和自查整改情況報告一起報送電監(jiān)會。對于無法及時完成整改的隱患項目，有關電力企業(yè)要說明原因，制定臨時應急措施，并將情況說明按時報電監(jiān)會。檢查期間，電監(jiān)會將組織若干專業(yè)小組對各單位進行抽查。抽查有關事項，電監(jiān)會將于行前通知。3. 9月1日9月15日，總結階段電監(jiān)會對檢查工作情況進行匯總和全面總結，形成電力企業(yè)信息安全檢查報告并報國家網絡與信息安全協(xié)調小組辦公室。八、工作要求1. 各單位要高度重視，加強組織領導，制定檢查方案，明確檢查任務，落實檢查責任，及時整改檢查中發(fā)現(xiàn)的問題，并將檢查整改情況按時報電監(jiān)會。2. 各單位要精心部署，周密安排，認真組織。對于發(fā)現(xiàn)的問題，要

10、找出原因，并舉一反三，持續(xù)改進。各單位要建立檢查整改跟蹤督辦機制，力求使安全隱患都得到整改和妥善處置。3. 安全檢查工作對象是各單位的重要系統(tǒng)、重要數(shù)據和敏感信息等資產，需要高度重視檢查工作存在的風險，制定周密的應急防范措施，避免發(fā)生影響系統(tǒng)正常運行和敏感信息泄漏的事件。4. 各單位要高度重視信息安全保密工作，加強信息安全保密措施，檢查結果除按規(guī)定報送外，不得向其他單位和個人透露。所有檢查往來文件一律加密。5. 電監(jiān)會抽查小組成員和派出機構督查小組成員要嚴格遵守黨風廉政紀律，嚴格執(zhí)行保密工作規(guī)定，不得隨意泄露抽查組行程。附件 : 1. 電力行業(yè)信息安全檢查情況報告表2. 電力企業(yè)信息安全檢查項

11、目表（2012 版） 附1:電力行業(yè)信息安全檢查情況報告表單位名稱：一、重要信息系統(tǒng)安全檢查情況基本 情況重要信息系統(tǒng)總數(shù)9（請另附系統(tǒng)清單，下向）（按實時性進行統(tǒng)計）1 .非實時運行的系統(tǒng)數(shù)量2 .實時運行的系統(tǒng)數(shù)量（按服務對象進行統(tǒng)計）1 .面向社會公眾提供服務的系統(tǒng)數(shù)量2 . /、面向社會公眾提供服務的系統(tǒng)數(shù)量（按聯(lián)網情況進行統(tǒng)計）1 .直接連接互聯(lián)網的系統(tǒng)數(shù)量 2 .同互聯(lián)網強邏輯隔離的系統(tǒng)數(shù)量 3 .與互聯(lián)網物理隔離的系統(tǒng)數(shù)量 （按數(shù)據集中情況進行統(tǒng)計）1 .全國數(shù)據集中的系統(tǒng)數(shù)量2 .省級數(shù)據集中的系統(tǒng)數(shù)量 3 .未進行數(shù)據集中的系統(tǒng)數(shù)量 （按災備情況進行統(tǒng)計）1 .進行系統(tǒng)級災備

12、的系統(tǒng)數(shù)量 2 .僅對數(shù)據進行災備的系統(tǒng)數(shù)量 3 .無災備的系統(tǒng)數(shù)量 系統(tǒng) 構成 情況主要 硬件 和軟 件服務 器路由 器交換 機防火 墻磁盤 陣列磁帶 庫操作 系統(tǒng)數(shù)據 庫國內品牌數(shù)量（臺/套）國外品牌數(shù)量（臺/套）業(yè)務應用 軟件系統(tǒng)1 .自主設計開發(fā)（不含二次開發(fā)）的數(shù)量 2 . 委托國內1商開發(fā)的數(shù)量 委托國外1商開發(fā)的數(shù)量 3 .直接米購國內廠商產品的數(shù)量 直接米購國外廠商產品的數(shù)量 信息 年 外包 服務服務商名稱：1.服務商性2.服務內容3.服務方W:質：口國有 民營口外資二.二:遠程在線服務口現(xiàn)場服務（如有更多，請另列表）信息系統(tǒng)對國主要業(yè)務信息系統(tǒng)信息系統(tǒng)狀況 分析 結果外產品和

13、服務 的依賴程度對信息系統(tǒng)的 依賴程度面臨的安全威 脅程度安全防護能力信息系統(tǒng)名稱高中低高中低高中低高中低1.2.（如有可且多，請另列表）、重要工業(yè)控制系統(tǒng)安全檢查情況基本情況重要，業(yè)控制系統(tǒng)運營單位總數(shù)：家:重要工業(yè)控制系統(tǒng)總數(shù)：套系統(tǒng)類型情況國內品牌國外品牌數(shù)據米集與監(jiān)控（SCADA ）系統(tǒng)套套:分布式控制系統(tǒng)（DCS）套套過程控制系統(tǒng)（PCS）套套可編程控制器（PLC）臺臺中型臺臺小型臺臺就地測控設備儀表臺臺智能電子設備（IED）臺臺遠端設備（RTU）臺臺系統(tǒng)構成情況應用服務器- 工程師工作站r應用軟件套套系統(tǒng)軟件套套PC機/服務器臺臺數(shù)據庫服務器r數(shù)據庫軟件套套r系統(tǒng)軟件套套PC機/服

14、務器臺臺通信設備臺臺工業(yè)控制網絡 連接情況1 .直接與互聯(lián)網連接的重要工業(yè)控制系統(tǒng)數(shù)量：套2 .與內部網絡連接的重要，業(yè)控制系統(tǒng)數(shù)量：套3 .含有無線接入方式的重要工業(yè)控制系統(tǒng)數(shù)量：套運行維護情況1 .米用遠程方式運行維護的重要工業(yè)控制系統(tǒng)數(shù)量：套2 .由國內廠商提供運行維護服務的重要工業(yè)控制系統(tǒng)數(shù)量：套3 .由國外廠商提供運行維護服務的重要工業(yè)控制系統(tǒng)數(shù)量：套信息安全 防護情況1 .網絡邊界架設網絡安全設備的重要，業(yè)控制系統(tǒng)數(shù)量：套2 .安裝防病毒軟件或設備的重要工業(yè)控制系統(tǒng)數(shù)量：套3 .定期進行安全更新的重要工業(yè)控制系統(tǒng)數(shù)量：套4 .采取加密措施傳輸、存儲敏感數(shù)據的重要，業(yè)控制系統(tǒng)數(shù)量：一

15、套附2:電力企業(yè)信息安全檢查項目表（2012 版）D電力行業(yè)網絡與信息安全領導小組辦公室二o一二年七月1 檢查工作基本信息- 1 -2 檢查項及檢查記錄- 2 -2.1 組織體系（ORG） -2-2.2 規(guī)章制度（REG） -4-2.3 資金保障（FUN） -5-2.4 人員安全管理（PER） - 6 -2.5 服務外包管控（OSE） - 7 -2.6 關鍵信息資產管控（ASS） - 8 -2.7 信息系統(tǒng)建設安全管理（CON） 92.8 安全分區(qū)防御（SDD） 112.9 網絡安全防護（NET） 122.10 主機和設備安全防護（HEQ） 132.11 應用系統(tǒng)和數(shù)據安全防護（ADA） 14

16、2.12 物理安全防護（PEN） 152.13 信息系統(tǒng)運行安全管理（OPE） 162.14 災難恢復（REC） 172.15 應急管理（EME） 183 檢查結果綜合統(tǒng)計方法203.1 檢查項權重203.2 計算方法221檢查工作基本信息受檢單位 基本信息單位名稱上級單位名稱下級單位總數(shù)單位:類型電網企業(yè) 口 發(fā)電企業(yè) V 電力科研企業(yè) 口 電力設計她，企業(yè) 口 其他類型企業(yè) 口檢查方式本單位自查V上級單位督查口電監(jiān)會抽查口檢查時間檢查范圍檢查組基本信息檢查組織單位檢查組組長檢查組成員2檢查項及檢查記錄2.1 組織體系（ORG）標識檢查項檢查要素得分判定方法檢查記錄得分備注ORG.1組織機構

17、 建立組織建立了由決策層、 管理層、執(zhí)行 層組成的完整信息安全組織機構。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得0.4分。決策層符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項得0.3分。管理層符合/不符合判斷法：5）不符合，此項得0分；6）符合，此項得0.3分。執(zhí)行層ORG.2桁中任 人確立組織主要負責人是本單位網絡與信 息安全的第一責任人， 對本單位的網 絡與信息安全負全面責任。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。第f任人ORG.3責任落實組織機構職責涵蓋信息安全工作的 主要方面，職責明確到責任部門、責 任人員，并以正式文件形式發(fā)

18、布。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。ORG.4專職機構 及崗位設 置組織信息安全機構及崗位設置符合如卜要求：1）電力企業(yè)集團公司總部設置信息安全專職機構；2）電力企業(yè)集團公司二級單位設置信息安 全官理和技術岡位；3）電力企業(yè)基 層單位設置信息安全崗位。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。機構依據企業(yè)層 級選擇其中 之一填寫。管理和技術 崗位信息安全崗 位ORG.5安全人員 配置組織專職信息安全工作人員數(shù)量與 組織總信息安全崗位數(shù)量的比值。比率值法：1）得分=專職人員數(shù)量 信息安全崗位總數(shù)2）取小數(shù)點后2位。信息安全崗 位總數(shù)專職人

19、員數(shù) 量2.2 規(guī)章制度（REG）標識檢查項檢查要素得分判定方法檢查記錄得分備注REG.1整體策略 及總體規(guī) 劃（方案） 制定組織制定了信息安全工作的整體策 略和總體規(guī)劃（方案），說明信息安 全工作的總體目標、范圍、防護框架 和防護措施。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得0.5分。整體策略符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項得0.5分。總體規(guī)劃（方 案）REG.2規(guī)章制度 及體系完 整性組織對信息安全工作制定了基本安 全管理制度，并以此為基礎形成了涵 蓋人員管理、資產管理、存儲介質管 理、信息系統(tǒng)建設安全管理、運行維 護管理、外包服務管理、培訓教

20、育等 力卸的制度體系。選項法：1）無制度，此項得0分；2）制定了基本制度，此 項得0.5分；3）形成制度體系，此項 得1分?；局贫戎贫润w系REG.3操作規(guī)程 制定組織對要求信息安全運行維護人員 執(zhí)行的日常管理操作制定了運維流 程和操作規(guī)程。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得0.5分。運維流程符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項得0.5分。操作規(guī)程REG.4制度發(fā)布組織信息安全管理制度通過正式、有 效的方式發(fā)布。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得0.5分。發(fā)布制度符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項

21、得0.5分。主要文件符 合發(fā)布制度 要求2.3 資金保障（FUN）標識檢查項檢查要素得分判定方法檢查記錄得分備注FUN.1經費預算組織信息安全建設及運行維護經費 被列入預算。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。FUN.2安全建設 經費投入組織用于信息安全建設（安全軟硬件 購置、系統(tǒng)安全功能開發(fā)、安全測試、 安全咨詢、安全培訓、安全專項研究 等）的經費占年度信息化建設總投入 的比率。（取當年值或近兩年平均值）選項法：安全建設費1）比率=總建設經費2）比率 0.05 ,此項得 0分；3） 0.05 比率 0.1, 此項得0.3分；4） 0.1 比率 0.15, 此項得

22、0.7分；5）比率 0.15,此項得 1分。信息化建設總 經費信息安全建設 經費FUN.3安全運維 經費投入組織用于信息安全運行維護（監(jiān)督檢 查、日常安全運維、監(jiān)測分析、應急 演練及應急保障、測試評估等）的經 費占整個信息系統(tǒng)運行維護總投入 的比率。（取當年值或近兩年平均值）選項法：安全運維費1）比率=總運維經費2）比率 0.05 ,此項得 0分；3） 0.05 比率 0.1, 此項得0.3分；4） 0.1 比率 0.15, 此項得0.7分；5）比率 0.15,此項得 1分。信息系統(tǒng)運行 維護總經費信息安全運行 維護經費2.4 人員安全管理（PER）標識檢查項檢查要素得分判定方法檢查記錄得分備

23、注PER.1全員安全 培訓及保 密協(xié)議簽 訂組織全體員工中參加年度信息安 全培訓并簽署保密協(xié)議的比率。比率值法：1）得分=年度培訓人數(shù)p議簽署人數(shù).22）取小數(shù)點后2位。員工總數(shù)參加年度培訓 人員數(shù)簽署保密協(xié)議 人員數(shù)PER.2專業(yè)技能 培訓組織信息安全工作人員中獲得國 家、行業(yè)信息安全專業(yè)培訓證書的 比率。比率值法：獲得證書的人數(shù)1）得分=信息安全人員總數(shù)；2）取小數(shù)點后2位。信息安全工作 人員總數(shù)獲得信息安全 培訓證書的人 員數(shù)PER.3人員審查組織對信息安全崗位人員和其他 敏感崗位人員實施身份、 背景和資 質審查。符合/不符合判斷法：1）不符合，此項得。分；2）符合，此項得1分。PER.

24、4崗位調整 管控組織在信息安全崗位人員及其他 敏感崗位人員離崗時執(zhí)行權限回 收和離崗承諾書簽署。符合/不符合判斷法：1）不符合，此項得。分；2）符合，此項得1分。2.5 服務外包管控（OSE）標識檢查項檢查要素得分判定方法檢查記錄得分備注OSE.1外包服務 協(xié)議組織與合約方簽訂的外包服務協(xié)議 中具有信息安全管控和保密條款。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得0.5分。管控條款符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項得0.5分。保密條款OSE.2第三方人 員訪問管 理組織對第三方人員訪問機房等受控 區(qū)域采取了書面審批、人員陪同、進 出記錄等管控措施。符合

25、/不符合判斷法：1）不符合，此項得0分；2）符合，此項得0.3分。受控區(qū)域符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項得0.3分。審批情況符合/不符合判斷法：5）不符合，此項得0分；6）符合，此項得0.3分。陪同和記錄 情況OSE.3遠程服務 管控組織針對遠程訪問采取了書面審批、 訪問控制、在線監(jiān)測、日志審計等管 控措施。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得0.5分。審批情況符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項得0.5分。管控措施OSE.4現(xiàn)場開發(fā) 管控組織采取技術措施保證開發(fā)測試環(huán) 境與實際生產運行環(huán)境物理分離，并 限定開發(fā)人員的活

26、動范圍和行為。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得0.5分。環(huán)境分離措 施符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項得0.5分。范圍和行為 限定措施2.6 關鍵信息資產管控（ASS）標識檢查項檢查要素得分判定方法檢查記錄得分備注ASS.1資產清單組織識別所有信息資產并有資產清 單。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。ASS.2資產管理 職責組織對每項資產明確管理責任人及 其職責。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。ASS.3信息系統(tǒng) 基礎資料 歸檔組織對源代碼、設計方案、建設實施 方案等基礎資料

27、進行歸檔的系統(tǒng)數(shù) 量與信息系統(tǒng)總數(shù)的比值。比率值法：已歸檔系統(tǒng)數(shù)1）得分=系統(tǒng)總數(shù)；2）取小數(shù)點后2位。信息系統(tǒng)總 數(shù)已歸檔系統(tǒng) 數(shù)量2.7 信息系統(tǒng)建設安全管理（CON）標識檢查項檢查要素得分判定方法檢查記錄得分備注CON.1上線安全 測評組織信息系統(tǒng)在上線前通過安全 測評的比率。比率值法：1）得分=通過上線測評系統(tǒng)數(shù)已投運系統(tǒng)總數(shù)；2）取小數(shù)點后2位。已投運信息 系統(tǒng)通過安全測 評系統(tǒng)CON.2等級保護 建設組織信息系統(tǒng)中按要求開展等級 保護建設的比率。比率值法：1）得分=已開展等保建設的系統(tǒng) 數(shù)系統(tǒng)總數(shù)；2）取小數(shù)點后2位。需開展建設 系統(tǒng)已開展建設 系統(tǒng)CON.3等級保護 測評組織信息

28、系統(tǒng)中按要求開展等級 保護測評的比率。比率值法：1）得分=已開展等保測評的系統(tǒng)數(shù)系統(tǒng)總數(shù)；2）取小數(shù)點后2位。需測評信息 系統(tǒng)已開展測評 信息系統(tǒng)CON.4風險評估組織信息系統(tǒng)中按要求開展信息 安全風險評估的比率。比率值法：1）得分=已開展風險評估的系統(tǒng)數(shù)系統(tǒng)總數(shù)；2）取小數(shù)點后2位。需評估信息 系統(tǒng)開展評估信 息系統(tǒng)CON.5密碼產品 采購組織密他產品的采購和使用符合 國家密碼主管部門的要求。符合/不符合判斷法：1）不符合，此項得。分；2）符合，此項得1分。CON.6產品采購 測試組織對信息安全產品、系統(tǒng)基礎 軟硬件、系統(tǒng)應用軟件、工業(yè)控 制裝置等在采購前實施安全性測 試。符合/不符合判斷法

29、：1）不符合，此項得。分；2）符合，此項得1分。CON.7安全產品 國產化情 況組織信息安全產品國產化率。比率值法：1）得分=國產信息安全產品數(shù) 信息安全產品總數(shù)；2）取小數(shù)點后2位。信息安全產 品總數(shù)國產產品數(shù) 量2.8 安全分區(qū)防御（SDD）標識檢查項檢查要素得分判定方法檢查記錄得分備注SDD.1安全分區(qū)按照電力二次系統(tǒng)安全防護規(guī)定 要求，劃分了生產控制大區(qū)和管理信 息大區(qū)，生產控制大區(qū)內的控制區(qū)和 非控制區(qū)邏輯隔離。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。生產大區(qū)內部分 2個區(qū)，信息管理大區(qū) 內部分1個區(qū)。SDD.2橫向隔離 及縱向認 證按照電力二次系統(tǒng)安全防護

30、規(guī)定 要求，在生產控制大區(qū)與其他區(qū)域有 信息交換時，部署橫向隔離裝置，在 調度數(shù)據網上下級網絡接口部署縱 向加密裝置。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。生產大區(qū)內部1、2區(qū)之間。廠級和網 調之間未加密。SDD.3跨區(qū)連接 管控組織不存在未通過橫向隔離裝置跨 區(qū)網絡直接連接的情況。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。SDD.4內外網隔 離組織應用獨立的網絡及終端處理敏 感信息且未與互聯(lián)網連接。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。2.9 網絡安全防護（NET）標識檢查項檢查要素得分判定方法檢查記錄得分備注N

31、ET.1生產控制 大區(qū)防護組織在生產控制大區(qū)內部實施了網 絡設備安全防護、 ARP防范、非授 權網絡接入管控等技術措施。符合/不符合判斷法：1）不符合，此項得。分；2）符合，此項得1分。NET.2管理信息 大區(qū)防護組織在管理信息大區(qū)內部實施了網 絡設備安全防護、 ARP防范、非授 權網絡接入管控等技術措施。符合/不符合判斷法：1）不符合，此項得。分；2）符合，此項得1分。NET.3互聯(lián)網出 口統(tǒng)一管 理組織互聯(lián)網出口數(shù)量與組織內獨立 部門（單位）總數(shù)的比值。比率值法：互聯(lián)網出口數(shù)1）比率=獨立單位總數(shù)；2）比率 2,得。分；3） 1比率 2 ,得0.3分4） 0.5 比率 1,得 0.7分5）

32、比率 0.5，得1分6）取小數(shù)點后2位。獨立部門（單位）總 數(shù)互聯(lián)網出口 數(shù)量NET.4互聯(lián)網出 口安全管 控組織互聯(lián)網出口中部署了訪問控制 設備和入侵檢測設備且訪問控制粒 度達到端口級的比率。比率值法：符合要求出口數(shù)1）得分二總出口數(shù)；2）取小數(shù)點后2位。互聯(lián)網出口 數(shù)量防護符合要 求出口數(shù)量NET.5無線網絡 安全應用組織應用無線網絡承載業(yè)務的信息 系統(tǒng)中采取認證、完整性保護、機 密性保護等必要安全防護措施的比 率。比率值法：1）得分=符合防護要求系統(tǒng)數(shù)應用無線網絡系統(tǒng)總數(shù) ；2）取小數(shù)點后2位。應用無線網 絡信息系統(tǒng) 總數(shù)符合防護要 求的系統(tǒng)數(shù)2.10 主機和設備安全防護（HEQ）標識檢

33、查項檢查要素得分判定方法檢查記錄得分備注HEQ.1補更新組織按照補丁管理要求進行了可 更新補的更新。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。HEQ.2惡意代碼 防護組織按照惡意代碼管理要求進行 了惡意代碼檢測程序及可更新惡 意代碼庫的更新。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。HEQ.3系統(tǒng)加固組織主機和設備中按照等級保護 測評、風險評估、信息安全檢查 等發(fā)現(xiàn)的問題完成加固的比率。比率值法：已完成加固的主機和設備數(shù)1）得分=應加固主機和設備數(shù)2）取小數(shù)點后2位。應加固主機和 設備數(shù)量完成加固主機 和設備數(shù)量HEQ.4辦公終端 管控組織實施安

34、全管控并統(tǒng)一安裝防 病毒軟件的辦公終端數(shù)量與辦公 終端總數(shù)的比值。比率值法：已管控終端數(shù)1）得分=總終端數(shù)，2）取小數(shù)點后2位。辦公終端總數(shù)實施管控終端 數(shù)量HEQ.5主機和設 備賬號口 令組織主機和設備中經檢測未發(fā)現(xiàn) 存在不符合口令臂埋制度要求帳 號口令的主機和設備比率。比率值法：1）得分=未發(fā)現(xiàn)問題的主機和設備臺數(shù)總檢測臺數(shù)；2）取小數(shù)點后2位。檢測主機和設 備數(shù)量未發(fā)現(xiàn)問題的 主機和設備數(shù)2.11 應用系統(tǒng)和數(shù)據安全防護（ADA ）標識檢查項檢查要素得分判定方法檢查記錄得分備注ADA.1應用系統(tǒng) 安全功能 及配置組織在等級保護測評、風險評估、 信息安全檢查等工作中未發(fā)現(xiàn)應用 系統(tǒng)安至功能

35、及配直方卸存在問題 的應用系統(tǒng)比率。比率值法：1）得分=未發(fā)現(xiàn)問題的系統(tǒng)數(shù)總檢查評估系統(tǒng)數(shù)；2）取小數(shù)點后2位。總檢查、評估 系統(tǒng)數(shù)未發(fā)現(xiàn)問題的 系統(tǒng)數(shù)ADA.2面向互聯(lián) 網服務系 統(tǒng)安全監(jiān) 控和攻擊 防御組織面向互聯(lián)網服務的信息系統(tǒng)中 部署信息監(jiān)控和攻擊防御措施的比 率。比率值法：1）得分=符合要求的系統(tǒng)數(shù)互聯(lián)網服務系統(tǒng)數(shù)；2）取小數(shù)點后2位。面向互聯(lián)網提 供服務系統(tǒng)數(shù)符合防護要求 系統(tǒng)數(shù)ADA.3面向互聯(lián) 網服務系 統(tǒng)周期性 測試組織按要求對面向互聯(lián)網服務的系 統(tǒng)進行周期性安全測試的比率。符合/不符合判斷法：1）不符合，此項得。分；2）符合，此項得1分。ADA.4應用系統(tǒng) 帳號口令 管理組

36、織應用系統(tǒng)中經檢測未發(fā)現(xiàn)存在 不符合口令管理制度要求帳號口令 的比率。比率值法：1）得分=未檢出問題的系統(tǒng)數(shù)總檢測系統(tǒng)數(shù)；2）取小數(shù)點后2位。應用系統(tǒng)檢測 總數(shù)未檢出問題的 應用系統(tǒng)數(shù)ADA.5重要數(shù)據 安全防護組織米用加密或其它措施實現(xiàn)系統(tǒng) 管理數(shù)據、鑒別信息和重要業(yè)務數(shù) 據傳輸和存儲的完整性和保密性保 護。符合/不符合判斷法：1）不符合，此項得。分；2）符合，此項得1分。2.12 物理安全防護（PEN）標識檢查項檢查要素得分判定方法檢查記錄得分備注PEN.1機房安全組織按照等級保護要求落實物理安比率值法：1）得分=符合要求的機房數(shù)組織機房總數(shù)；2）取小數(shù)點后2位。機房總數(shù)建設全防護的機房比

37、率。符合防護要 求機房2.13 信息系統(tǒng)運行安全管理（OPE）標識檢查項檢查要素得分判定方法檢查記錄得分備注OPE.1日常維護組織按照制定的規(guī)章制度、操作規(guī)程 等執(zhí)行了日常維護工作， 并有詳盡記 錄。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。OPE.2日志中U組織對網絡運行日志、操作系統(tǒng)日志、數(shù)據庫訪問日志、業(yè)務應用系統(tǒng) 運行日志、安全設施運行日志等進行 集中收集、定期分析。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。OPE.3補丁管理組織制定了補丁升級管理制度和補 丁升級策略，建立有關鍵業(yè)務系統(tǒng)補 丁升級測試環(huán)境。符合/不符合判斷法：1）不符合，

38、此項得0分；2）符合，此項得0.5分。制度及策略符合/不符合判斷法：3）不符合，此項得0分；4）符合，此項得0.5分測試環(huán)境OPE.4介質管理組織設置實施了限制移動介質使用 的技術措施，對移動存儲介質的發(fā) 放、注冊、使用、存放、銷毀有記錄。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。OPE.5安全監(jiān)測組織建立安全監(jiān)測系統(tǒng)對互聯(lián)網出口、面向互聯(lián)網提供服務系統(tǒng)、重要 信息系統(tǒng)的運行、病毒木馬、辦公終 端安全防護等情況進行監(jiān)測。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。2.14 災難恢復（REC）標識檢查項檢查要素得分判定方法檢查記錄得分備注REC.1硬

39、件冗余組織重要信息系統(tǒng)網絡設備、通信線 路和數(shù)據處理系統(tǒng)硬件冗余。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。REC.2定期備份組織重要信息系統(tǒng)實施本地備份，并 制定定期檢查策略，備份介質場外存 放。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。說明是系統(tǒng)備 份還是數(shù)據備 份，是全部備 份還是部分備 份REC.3異地容災 中心組織建立異地災備中心，三級信息系 統(tǒng)實現(xiàn)關鍵數(shù)據定時批量傳送至備 用場地，四級信息系統(tǒng)實現(xiàn)業(yè)務應用 實時無縫切換。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。REC.4恢復測試組織按照備份及恢復測試要求，定期

40、 組織實施恢復測試，并有文檔記錄。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。2.15 應急管理（EME）標識檢查項檢查要素得分判定方法檢查記錄得分備注EME.1信息通報組織建立了網絡與信息安全信息 通報機制，按要求向電力監(jiān)管機構 通報網絡和信息安全狀況。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。EME.2應急預案 制定組織按照電力行業(yè)網絡與信息安 全應急預案，制定了網絡與信息安 全應急預案。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此項得1分。EME.3重要信息 系統(tǒng)應急 頂殺制7E組織重要信息系統(tǒng)中制定了專項 應急處置預案的比率。比率值法：1）得分=有專項處置預案的系統(tǒng) 數(shù)重要信息系統(tǒng)總數(shù)；2）取小數(shù)點后2位。重要信息系 統(tǒng)總數(shù)制定專項案 的信息系統(tǒng) 數(shù)EME.4應急演練組織實施了年度應急演練，并宿演 練腳本和演練實施文檔記錄。符合/不符合判斷法：1）不符合，此項得0分；2）符合，此