2018電力信息系統(tǒng)信息安全檢查規(guī)范

電力信息系統(tǒng)信息安全檢查規(guī)范目??次前??言 IV引??言 V電力信息系統(tǒng)信息安全檢查規(guī)范 1范圍 1規(guī)范性引用文件 1術(shù)語和定義 1管理信息類系統(tǒng)（ManagementInformationSystem） 1生產(chǎn)控制類系統(tǒng)（ProductionControlSystem） 1電力信息系統(tǒng) 2控制區(qū)（Controlarea） 2非控制區(qū)（Non-controlarea） 2信息安全檢查(InformationSecurityInspection) 2檢查內(nèi)容的三種類型 2檢查工作流程 2檢查準備 2檢查準備過程工作內(nèi)容 3準備過程的角色和責(zé)任 3檢查實施 3檢查實施過程工作內(nèi)容 4現(xiàn)場檢查過程的角色和責(zé)任 4檢查結(jié)果分析 5檢查結(jié)果分析工作內(nèi)容 5檢查總結(jié)過程的角色和責(zé)任 5檢查內(nèi)容的選擇方法 5全覆蓋法 5隨機抽取法 5從備選檢查內(nèi)容中按照索引目錄從各檢查類中隨機抽取檢查項。 5重點項抽取法 5增項檢查法 5備選檢查內(nèi)容 5組織體系 6第一責(zé)任人確立（G） 6信息安全責(zé)任落實（G） 6專職機構(gòu)及崗位設(shè)置（G） 6安全人員配置（G） 6規(guī)章制度 7整體策略及總體方案制定（G） 7制度制定及體系完整性（G） 7操作規(guī)程制定（G） 7制度發(fā)布（G） 8資金保障 8經(jīng)費預(yù)算（G） 8安全建設(shè)經(jīng)費投入（G） 8安全運維經(jīng)費投入（G） 9人員安全管理 9安全培訓(xùn)與考核（G） 9保密協(xié)議簽訂（G） 9人員審查（G） 9崗位調(diào)整管控（G） 10服務(wù)外包管控 10外包服務(wù)協(xié)議（G） 10外部人員訪問管理（G） 10遠程服務(wù)管控（G） 10現(xiàn)場開發(fā)管控（G） 11關(guān)鍵信息資產(chǎn)管控 11資產(chǎn)管理（G） 11資產(chǎn)維修報廢管理（G） 11信息系統(tǒng)建設(shè)安全管理 12技術(shù)監(jiān)督與審核（P） 12上線安全測評（G） 12等級保護建設(shè)（G） 12等級測評開展情況（G） 13風(fēng)險評估（G） 13產(chǎn)品采購和使用（G） 13核心產(chǎn)品采購測試（G） 14安全產(chǎn)品國產(chǎn)化情況（G） 14安全分區(qū)防御體系 14大區(qū)間隔離（P） 14生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離（P） 15縱向認證（P） 15跨區(qū)連接管控（P） 15安全接入?yún)^(qū)（P） 16內(nèi)外網(wǎng)隔離（M） 16網(wǎng)絡(luò)安全防護 16生產(chǎn)控制大區(qū)防護（P） 16管理信息大區(qū)防護（M） 17互聯(lián)網(wǎng)出口統(tǒng)一管理（M） 17互聯(lián)網(wǎng)出口安全管控（M） 17無線網(wǎng)絡(luò)安全應(yīng)用（G） 17移動式設(shè)備安全接入（G） 18主機和設(shè)備安全防護 18補丁更新（G） 18惡意代碼防護（G） 18系統(tǒng)安全整改加固（G） 19移動存儲介質(zhì)管理（G） 19辦公終端管控（M） 19主機和設(shè)備賬號口令管理（G） 20應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護 20應(yīng)用系統(tǒng)安全功能及配置（G） 20面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御（M） 20面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期測試（M） 21應(yīng)用系統(tǒng)賬號口令管理（G） 21重要數(shù)據(jù)安全保護（G） 21物理環(huán)境安全防護 22機房安全建設(shè)（G） 22信息系統(tǒng)運行安全管理 22日常維護（G） 22安全審計（G） 22補丁管理（G） 23安全監(jiān)測（M） 23災(zāi)難恢復(fù) 23硬件冗余（G） 23系統(tǒng)和數(shù)據(jù)備份（G） 24異地災(zāi)備（G） 24恢復(fù)測試（M） 24應(yīng)急管理 25信息通報（G） 25應(yīng)急預(yù)案制定（G） 25應(yīng)急演練（G） 25應(yīng)急資源配備（G） 26事故調(diào)查（G） 26附 錄 A（資料性附錄）檢查內(nèi)容索引 27附 錄 B（規(guī)范性附錄）主要過程及其活動輸出 29附 錄 C（資料性附錄）風(fēng)險分析方法 31定性分析 31定量分析 32PAGEPAGE10電力信息系統(tǒng)信息安全檢查規(guī)范范圍本標(biāo)準規(guī)定了電力信息系統(tǒng)信息安全檢查的內(nèi)容、流程、方法以及備選檢查內(nèi)容等。（系統(tǒng)）范圍內(nèi)開展相關(guān)系統(tǒng)的信息安全自查。規(guī)范性引用文件《電力監(jiān)控系統(tǒng)安全防護規(guī)定》國家發(fā)改委令第14號《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》電監(jiān)信息[2012]62號《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護安全設(shè)計技術(shù)要求》GB/T25070-2010《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》國能安全〔2015〕36號《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269-2006《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》國能安全〔2014〕317號《電力行業(yè)信息安全等級保護管理辦法》國能安全〔2014〕318號《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》GB/T20984-2007術(shù)語和定義GB/T5271.8、GB17859-1999、GB/T22239-2008和GB/T25070-2010確立的以及下列術(shù)語和定義適用于本規(guī)范。管理信息類系統(tǒng)ManagementInformationSystem生產(chǎn)控制類系統(tǒng)ProductionControlSystem電力信息系統(tǒng)控制區(qū)Controlarea非控制區(qū) Non-controlarea非控制區(qū)是指在生產(chǎn)控制范圍內(nèi)，由在線運行但不直接參與控制、作為電力生產(chǎn)過程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。信息安全檢查InformationSecurityInspection在以小時為單位的有限時間內(nèi)根據(jù)檢查目的通過檢查方法實施檢查活動以發(fā)現(xiàn)影響信息系統(tǒng)可用性、機密性、完整性的主要因素，可以采取委托第三方機構(gòu)以測評（評估）的方法進行全面細致檢查，但通常建議以文檔審查等方式審查測評（評估）相關(guān)文檔以獲得相關(guān)信息。檢查內(nèi)容的三種類型根據(jù)檢查對象的不同，檢查內(nèi)容進一步細分為：與管理信息類系統(tǒng)相關(guān)的檢查項標(biāo)記為M，與生產(chǎn)控制類系統(tǒng)相關(guān)的檢查項標(biāo)記為P；未區(qū)分針對管理信息類和生產(chǎn)控制類的檢查項標(biāo)記為G。檢查工作流程檢查準備檢查準備過程工作內(nèi)容準備過程的角色和責(zé)任檢查機構(gòu)職責(zé)：向被檢查單位介紹安全檢查的意義和目的、檢查流程和工作方法；了解被檢查單位的信息化建設(shè)狀況與發(fā)展；指出被檢查單位應(yīng)提供的基本資料；向被檢查單位說明檢查工作自身的風(fēng)險和規(guī)避方法；準備被檢查系統(tǒng)基本情況調(diào)查表單；了解被檢查系統(tǒng)基本情況；初步分析系統(tǒng)的安全情況；被檢查單位職責(zé)：向檢查機構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況；準備檢查機構(gòu)需要的資料；為檢查人員的信息收集提供支持和協(xié)調(diào)；備份數(shù)據(jù)和系統(tǒng)，制定應(yīng)急預(yù)案。檢查實施查報告如果有夠的證據(jù)和資料。檢查實施過程工作內(nèi)容檢查人員現(xiàn)場填寫《信息系統(tǒng)安全檢查工作表》，檢查完成后需要由被檢查方簽字確認。1、現(xiàn)場檢查采用的方法主要包括：人員訪談檢查人員通過與信息系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否有效的一種方法。文檔審查配置核查安全測試檢查人員使用預(yù)定的方法/工具使檢查對象產(chǎn)生特定的行為，通過查看、分析這些行為的結(jié)果，獲2、該階段主要可能的風(fēng)險包括：現(xiàn)場檢查過程的角色和責(zé)任檢查機構(gòu)職責(zé)：被檢查單位職責(zé)：協(xié)調(diào)被檢查系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合檢查工作的開展；相關(guān)人員回答檢查人員的問詢，對某些需要驗證的內(nèi)容上機進行操作；相關(guān)人員協(xié)助檢查人員實施工具測試并提供有效建議，降低安全檢查對系統(tǒng)運行的影響；相關(guān)人員協(xié)助檢查人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗證和測試；相關(guān)人員對檢查結(jié)果進行確認。檢查結(jié)果分析檢查結(jié)果分析工作內(nèi)容檢查總結(jié)過程的角色和責(zé)任檢查機構(gòu)職責(zé)：分析檢查結(jié)果，形成檢查結(jié)論；編制整改通知書，說明被檢查系統(tǒng)存在的安全隱患和缺陷，并給出改進建議；將生成的過程文檔歸檔保存，并將檢查過程中生成的電子文檔清除。檢查內(nèi)容的選擇方法全覆蓋法區(qū)分被檢查系統(tǒng)為管理信息類系統(tǒng)還是生產(chǎn)控制類系統(tǒng)，選取相關(guān)全部備選檢查項作為檢查內(nèi)容。隨機抽取法從備選檢查內(nèi)容中按照索引目錄從各檢查類中隨機抽取檢查項。重點項抽取法從備選檢查內(nèi)容中確定重點檢查項，只檢查重點項。增項檢查法根據(jù)檢查目的，設(shè)計備選檢查內(nèi)容中未包含的檢查項作為新增檢查項。（備選檢查內(nèi)容組織體系第一責(zé)任人確立（G）本檢查項包括：檢查電力企業(yè)主要負責(zé)人是否是信息安全第一責(zé)任人。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護總體方案》“安全管理”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條。檢查要素：a) 檢查方法：a) 文檔審查，查看信息安全電力企業(yè)文件。信息安全責(zé)任落實（G）本檢查項包括：檢查是否設(shè)立信息安全管理工作的職能部門，是否設(shè)立安全主管、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位；是否以文件的形式明確責(zé)任部門、責(zé)任人員的職責(zé)。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條?！峨娏ΡO(jiān)控系統(tǒng)安全防護規(guī)定》第十四條。檢查要素：a) 信息安全責(zé)任部門、責(zé)任人員。日常安全生產(chǎn)管理體系。檢查方法：a) 文檔審查，查看信息安全責(zé)任部門、責(zé)任人員職責(zé)文件。日常安全生產(chǎn)管理體系職責(zé)文件。專職機構(gòu)及崗位設(shè)置（G）本檢查項包括：檢查組織的信息安全管理部門及崗位設(shè)置是否符合以下要求：電力企業(yè)集團公司總部設(shè)置信息安全專職管理機構(gòu)；電力企業(yè)集團公司二級單位設(shè)置信息安全管理和技術(shù)崗位；電力企業(yè)基層單位設(shè)置信息安全崗位。檢查依據(jù)：a) 《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條。檢查要素：a) 企業(yè)級別、信息安全管理部門及崗位設(shè)置。檢查方法：人員訪談，詢問企業(yè)所屬級別和信息安全管理部門及崗位設(shè)置；文檔審查，根據(jù)企業(yè)級別查看信息安全管理部門及崗位設(shè)置說明文件。安全人員配置（G）本檢查項包括：檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“安全管理機構(gòu) 人員配備”檢查要素：a) 專職信息安全工作人員數(shù)量、信息安全崗位數(shù)量。檢查方法：a) 文檔審查，查閱電力企業(yè)崗位職責(zé)說明及人員崗位職責(zé)分配說明。規(guī)章制度整體策略及總體方案制定（G）本檢查項包括：檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十條《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“安全管理制度”中的“管理制度”檢查要素：a) 信息安全工作整體策略、總體方案、信息安全工作總體目標(biāo)、范圍、防護框架和防護措施。檢查方法：a) 文檔審查，查閱信息安全整體策略和總體方案文檔。制度制定及體系完整性（G）本檢查項包括：檢查電力企業(yè)是否針對信息安全工作制定基本安全管理制度，并以此為基礎(chǔ)形成涵蓋人員管檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“安全管理制度”中的“管理制度”檢查要素：a) 檢查方法：a) 操作規(guī)程制定（G）本檢查項包括：檢查電力企業(yè)是否對信息安全運行維護人員執(zhí)行的日常操作制定運維流程和操作規(guī)程。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護總體方案》“安全管理”。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“安全管理制度”中的“管理制度”。檢查要素：a) 檢查方法：a) 文檔審查，查閱組織制訂的運維流程和操作規(guī)程文檔。制度發(fā)布（G）本檢查項包括：檢查電力企業(yè)是否通過正式、有效的方式發(fā)布信息安全管理制度。檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“安全管理制度”中的“制定與發(fā)布”。檢查要素：a) 檢查方法：a) 文檔審查，查閱安全管理制度發(fā)布方式和相關(guān)記錄。資金保障經(jīng)費預(yù)算（G）本檢查項包括：檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“安全管理機構(gòu)”中“資金保障”。檢查要素：a) 信息安全建設(shè)費用、運行維護費用。檢查方法：a) 文檔審查，查看年度預(yù)算計劃。安全建設(shè)經(jīng)費投入（G）本檢查項包括：取當(dāng)年值或近兩年平均值）。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“安全管理機構(gòu)”中“資金保障”。檢查要素：a) 信息安全建設(shè)經(jīng)費、信息化建設(shè)總投入。檢查方法：a) 文檔審查，查看信息安全建設(shè)經(jīng)費、信息化建設(shè)總投入的實際情況。安全運維經(jīng)費投入（G）本檢查項包括：檢查電力企業(yè)用于信息安全運行維護的經(jīng)費占整個信息系統(tǒng)運行維護總投入的比率是否大于15%（取當(dāng)年值或近兩年平均值）。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“安全管理機構(gòu)”中“資金保障”。檢查要素：a) 信息安全運維經(jīng)費、信息系統(tǒng)運行維護總投入。檢查方法：a) 文檔審查，查看信息安全運維經(jīng)費、信息化建設(shè)總投入的實際情況。人員安全管理安全培訓(xùn)與考核（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護總體方案》“安全管理”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》中第十八條《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“人員安全管理”中“安全意識教育和培訓(xùn)”檢查要素：a) 檢查方法：a) 文檔審查，查閱參加安全培訓(xùn)的人員名單及成績單。保密協(xié)議簽訂（G）本檢查項包括：（如有）相關(guān)設(shè)備及系統(tǒng)的開發(fā)單位和供應(yīng)商簽署保密協(xié)議。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第十八條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“人員安全管理”中的“人員錄用”。檢查要素：a) 檢查方法：a) 文檔審查，查閱簽署保密協(xié)議的人員名單及其崗位或單位。人員審查（G）本檢查項包括：檢查電力企業(yè)是否對信息安全崗位人員和其他敏感崗位人員實施身份、背景和資質(zhì)審查。檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“人員安全管理”中的“人員錄用”。檢查要素：a) 人員的身份、背景和資質(zhì)審查制度和審查結(jié)果記錄。檢查方法：a) 文檔審查，查閱信息安全崗位人員和其他敏感崗位人員的身份、背景和資質(zhì)審查記錄。崗位調(diào)整管控（G）本檢查項包括：檢查電力企業(yè)是否在信息安全崗位人員及其他敏感崗位人員離崗時執(zhí)行權(quán)限回收和離崗承諾書簽署。檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“人員安全管理”中的“人員離崗”。檢查要素：a) 人員的權(quán)限回收記錄、離崗承諾書。檢查方法：a) 文檔審查，查閱信息安全崗位人員及其他敏感崗位人員的回收記錄和離崗承諾書。服務(wù)外包管控外包服務(wù)協(xié)議（G）本檢查項包括：檢查電力企業(yè)與合約方簽訂的外包服務(wù)協(xié)議中是否具有信息安全管控和保密條款。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)建設(shè)管理”中“外包軟件開發(fā)”?！峨娏ΡO(jiān)控系統(tǒng)安全防護方案總體方案》“4.3a) 檢查方法：a) 文檔審查，查閱外包服務(wù)協(xié)議中的信息安全管控和保密條款。外部人員訪問管理（G）本檢查項包括：檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“人員安全管理”中“外部人員訪問管理”。檢查要素：a) 檢查方法：a) 文檔審查，查閱第三方人員訪問管理制度和記錄。遠程服務(wù)管控（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“3.9《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“網(wǎng)絡(luò)安全”中“訪問控制”。檢查要素：a) 檢查方法：人員訪談，詢問對遠程服務(wù)訪問采取的控制措施；文檔審查，查閱遠程服務(wù)管控措施制度和記錄；日志審計，如采取遠程服務(wù)，查閱遠程服務(wù)管控相關(guān)審計日志?，F(xiàn)場開發(fā)管控（G）本檢查項包括：檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)建設(shè)管理”中“自行軟件開發(fā)”。檢查要素：a) 檢查方法：人員訪談，詢問是否將開發(fā)測試環(huán)境與實際生產(chǎn)環(huán)境物理分離；文檔審查，查閱開發(fā)人員的活動范圍和行為管控制度。關(guān)鍵信息資產(chǎn)管控資產(chǎn)管理（G）本檢查項包括：檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)運維管理”中“資產(chǎn)管理”。檢查要素：a) 檢查方法：a) 資產(chǎn)維修報廢管理（G）本檢查項包括：檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)運維管理”中“介質(zhì)管理”。檢查要素：可信服務(wù)機構(gòu)選擇、數(shù)據(jù)保護措施和記錄。檢查方法：文檔審查，查閱系統(tǒng)、設(shè)備維修或報廢管理制度和記錄。信息系統(tǒng)建設(shè)安全管理技術(shù)監(jiān)督與審核（P）本檢查項包括：檢查依據(jù)：a) 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第十四條、十五條。檢查要素：a) 技術(shù)監(jiān)督，安全防護方案審核與驗收，接入技術(shù)方案和安全防護措施審核同意。檢查方法：文檔審查，查閱審核、驗收意見及相關(guān)材料。人員訪談，訪談實施技術(shù)監(jiān)督、審核、驗收等相關(guān)工作的流程。上線安全測評（G）本檢查項包括：檢查電力企業(yè)信息系統(tǒng)在上線前是否通過信息安全測評。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)建設(shè)管理”中“測試驗收”。《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“4.3a) 上線前通過安全測評的系統(tǒng)清單、信息系統(tǒng)清單。檢查方法：a) 文檔審查，查閱全部信息系統(tǒng)列表，查閱并統(tǒng)計已通過信息安全測評的系統(tǒng)測評報告。等級保護建設(shè)（G）本檢查項包括：檢查電力企業(yè)信息系統(tǒng)是否按要求開展信息安全等級保護建設(shè)。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條、第九條、第十條、第十一條?！峨娏π袠I(yè)信息安全等級保護管理辦法》第九條。檢查要素：a) 按要求開展信息安全等級保護建設(shè)的系統(tǒng)清單。檢查方法：a) 等級測評開展情況（G）本檢查項包括：檢查電力企業(yè)信息系統(tǒng)是否按要求開展等級測評。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條。《電力行業(yè)信息安全等級保護管理辦法》第十二條。檢查要素：a) 按要求開展等級保護測評的系統(tǒng)清單。檢查方法：a) 風(fēng)險評估（G）本檢查項包括：檢查電力企業(yè)信息系統(tǒng)是否按要求開展信息安全風(fēng)險評估并完成信息安全隱患整改。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十二條。《電力行業(yè)信息安全等級保護管理辦法》第十二條?！峨娏ΡO(jiān)控系統(tǒng)安全防護方案總體方案》“5a) 信息安全風(fēng)險評估報告、整改建設(shè)方案。檢查方法：a) 文檔審查，查閱電力企業(yè)信息系統(tǒng)安全風(fēng)險評估報告、整改建設(shè)方案。產(chǎn)品采購和使用（G）本檢查項包括：檢查電力企業(yè)安全產(chǎn)品和密碼產(chǎn)品的采購及使用是否符合國家有關(guān)規(guī)定。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第九條?！峨娏π袠I(yè)信息安全等級保護管理辦法》第九條、第十八條、第二十三條、第二十五條。《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第十三條。檢查要素：a) 安全產(chǎn)品和密碼產(chǎn)品，電力監(jiān)控系統(tǒng)設(shè)備選型、采購、配置、使用、整改等管理制度。檢查方法：人員訪談，訪談相關(guān)人員是否了解相關(guān)制度，是否存在不執(zhí)行相關(guān)制度的特殊情況；核心產(chǎn)品采購測試（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第九條、第十條。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)建設(shè)管理”中“產(chǎn)品采購和使用”。檢查要素：a) 檢查方法：a) 安全產(chǎn)品國產(chǎn)化情況（G）本檢查項包括：3a) 《信息安全等級保護管理辦法》第二十一條。檢查要素：a) 檢查方法：a) 文檔審查，查閱電力企業(yè)信息安全產(chǎn)品清單。安全分區(qū)防御體系大區(qū)間隔離（P）本檢查項包括：檢查電力企業(yè)是否按要求劃分生產(chǎn)控制大區(qū)和管理信息大區(qū)；檢查電力企業(yè)是否在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間設(shè)置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。檢查依據(jù)：a) 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第六條、第九條。檢查要素：a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、單向隔離裝置產(chǎn)品資質(zhì)材料。檢查方法：配置核查，核查單向隔離裝置是否配置有效。生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離（P）本檢查項包括：VLAN《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第九條?！峨娏ΡO(jiān)控系統(tǒng)安全防護方案》“2.1.5a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、邏輯隔離產(chǎn)品資質(zhì)材料。檢查方法：人員訪談，訪談生產(chǎn)控制大區(qū)內(nèi)部所采取的訪問控制措施。配置核查，核查邏輯隔離產(chǎn)品配置及策略?？v向認證（P）本檢查項包括：檢查電力企業(yè)是否按要求在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或加密認證網(wǎng)關(guān)。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第十條?！峨娏ΡO(jiān)控系統(tǒng)安全防護總體方案》“安全防護方案”。檢查要素：a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、電力專用縱向加密認證產(chǎn)品或加密認證網(wǎng)關(guān)產(chǎn)品的資質(zhì)材料。檢查方法：a)跨區(qū)連接管控（P）本檢查項包括：檢查電力企業(yè)是否不存在未通過電力專用橫向單向隔離裝置將生產(chǎn)控制大區(qū)和管理信息大區(qū)網(wǎng)絡(luò)直接連接的情況。檢查依據(jù)：a) 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第六條。檢查要素：a) 檢查方法：測試，利用相關(guān)命令語句等測試是否存在大區(qū)連通現(xiàn)象。安全接入?yún)^(qū)（P）本檢查項包括：檢查采取如上所述方式進行通信的是否設(shè)立了安全接入?yún)^(qū)。檢查安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的聯(lián)接處是否設(shè)置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置且配置有效。檢查依據(jù)：a) 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第八條、第九條。檢查要素：a) 檢查方法：人員訪談，訪談生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)是否存在需要通過非電力調(diào)度數(shù)據(jù)網(wǎng)與其終端通信，設(shè)置安全接入?yún)^(qū)采取的技術(shù)措施。內(nèi)外網(wǎng)隔離（M）本檢查項包括：檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》總體技術(shù)要求。檢查要素：檢查方法：a) 網(wǎng)絡(luò)安全防護生產(chǎn)控制大區(qū)防護（P）本檢查項包括：檢查依據(jù)：a) 《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“2.1.5a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、生產(chǎn)控制大區(qū)網(wǎng)絡(luò)。檢查方法：文檔審查，查閱網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖是否在生產(chǎn)控制大區(qū)內(nèi)部采取安全防護措施；管理信息大區(qū)防護（M）本檢查項包括：ARP檢查要素：a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、管理信息大區(qū)網(wǎng)絡(luò)。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“2.1.6文檔審查，查閱網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖是否在管理信息大區(qū)內(nèi)部采取安全防護措施；ARP互聯(lián)網(wǎng)出口統(tǒng)一管理（M）本檢查項包括：1a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》總體技術(shù)要求。檢查要素：a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、管理信息大區(qū)網(wǎng)絡(luò)。檢查方法：a) 1互聯(lián)網(wǎng)出口安全管控（M）本檢查項包括：2檢查依據(jù)：a) a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、采用端口級安全防護措施的出口。檢查方法：文檔審查，查閱網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，查看互聯(lián)網(wǎng)出口中訪問控制產(chǎn)品配置情況；2無線網(wǎng)絡(luò)安全應(yīng)用（G）本檢查項包括：檢查電力企業(yè)應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)類型（管理類信息系統(tǒng)或生產(chǎn)控制類系統(tǒng)），是否采取設(shè)置安全接入?yún)^(qū)、身份認證、完整性保護、機密性保護等必要安全防護措施。檢查依據(jù)：a) 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第八條。檢查要素：a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)采用安全防護措施的系統(tǒng)。檢查方法：人員訪談，詢問應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)中采取了哪些安全防護措施；配置核查，檢查應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)中采取的安全防護措施。移動式設(shè)備安全接入（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“4.4a) 檢查方法：人員訪談，詢問對移動式設(shè)備接入采取哪些控制措施；配置核查，檢查移動終端接入相關(guān)訪問控制，日志審計記錄。主機和設(shè)備安全防護補丁更新（G）本檢查項包括：檢查電力企業(yè)是否按照補丁管理制度要求進行可更新補丁的更新。檢查要素：a) 補丁更新管理制度、補丁更新情況。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。文檔審查，查閱補丁更新管理制度和補丁更新頻率；配置核查，檢查主機操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的補丁更新情況；惡意代碼防護（G）本檢查項包括：檢查電力企業(yè)是否按照惡意代碼管理制度要求進行惡意代碼檢測和可更新惡意代碼庫的更新。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。a) 惡意代碼防范管理制度、惡意代碼庫更新情況。檢查方法：文檔審查，查閱惡意代碼防范管理制度和更新頻率；配置核查，檢查惡意代碼檢測程序和可更新惡意代碼庫的更新情況。系統(tǒng)安全整改加固（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第十三條、第二十一條?！峨娏π袠I(yè)信息安全等級保護管理辦法》第十一條、第十七條。檢查要素：a) 安全問題報告、安全整改加固實施工作報告。檢查方法：文檔審查，查閱安全問題報告，查閱安全整改加固實施工作報告；配置核查，檢查與驗證安全整改加固工作實施情況。移動存儲介質(zhì)管理（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護總體方案》“通用安全防護措施”；a) 檢查方法：文檔審查，查閱移動存儲介質(zhì)安全管理制度；安全測試，驗證系統(tǒng)中是否具備移動存儲介質(zhì)管理技術(shù)措施。辦公終端管控（M）本檢查項包括：并統(tǒng)一安裝防病毒軟件。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。檢查要素：a) 終端安全管理措施、實施了安全管控措施的終端。檢查方法：人員訪談，詢問采取了何種終端安全管理措施；文檔審查，查閱終端安全管理制度；配置核查，檢查并統(tǒng)計終端安全管理措施部署情況。主機和設(shè)備賬號口令管理（G）本檢查項包括：檢查電力企業(yè)主機和設(shè)備中口令設(shè)置是否符合口令管理制度要求。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。a) 符合口令管理制度要求的主機和設(shè)備。檢查方法：文檔審查，查閱主機和設(shè)備安全檢測報告；配置核查，檢查并統(tǒng)計符合口令管理制度要求的主機和設(shè)備數(shù)量。應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護應(yīng)用系統(tǒng)安全功能及配置（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第十六條?！峨娏ΡO(jiān)控系統(tǒng)安全防護方案總體方案》“安全防護評估”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條、第十一條、第十二條?！峨娏π袠I(yè)信息安全等級保護管理辦法》第十二條、第十三條。檢查要素：a) 未發(fā)現(xiàn)安全功能及配置方面存在嚴重問題的系統(tǒng)清單、所有應(yīng)用系統(tǒng)清單。檢查方法：a) 面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御（M）本檢查項包括：檢查電力企業(yè)面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)是否按要求采取安全監(jiān)控和攻擊防御等措施。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。a) 檢查方法：文檔審查，查閱面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)數(shù)量；面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期測試（M）本檢查項包括：檢查電力企業(yè)面向互聯(lián)網(wǎng)服務(wù)的系統(tǒng)是否按要求進行周期性信息安全測試。檢查依據(jù)：a) 《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“安全管理”。檢查要素：a) 面向互聯(lián)網(wǎng)服務(wù)的系統(tǒng)、周期性信息安全測試。檢查方法：a) 文檔審查，查閱面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)清單；查閱面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)檢測報告，統(tǒng)計未發(fā)現(xiàn)安全功能及配置方面存在嚴重問題的系統(tǒng)數(shù)量。應(yīng)用系統(tǒng)賬號口令管理（G）本檢查項包括：檢查電力企業(yè)應(yīng)用系統(tǒng)中賬號口令設(shè)置是否符合口令管理制度要求。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。a) 檢查方法：文檔審查，查閱應(yīng)用系統(tǒng)安全檢測報告；配置核查，檢查符合口令管理制度要求的應(yīng)用系統(tǒng)清單。重要數(shù)據(jù)安全保護（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。a) 應(yīng)用系統(tǒng)設(shè)計文檔、重要數(shù)據(jù)的完整性和機密性保護措施。檢查方法：物理環(huán)境安全防護機房安全建設(shè)（G）本檢查項包括：檢查電力企業(yè)的機房中是否按照等級保護要求落實物理安全防護。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施 ”。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“物理安全”。檢查要素：a) 按照等級保護要求落實物理安全防護的機房清單。檢查方法：a) 文檔審查，查閱等級測評報告等并統(tǒng)計按照等級保護要求落實物理安全防護的機房。信息系統(tǒng)運行安全管理日常維護（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“安全管理”。a) 日常運維制度、運維流程、操作規(guī)程和記錄。檢查方法：a) 安全審計（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“總體技術(shù)要求”。檢查要素：a) 日志集中收集措施、日志定期分析報告。檢查方法：文檔審查，查閱是否具備集中日志定期分析報告；補丁管理（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求“主機安全 入侵防范、“系統(tǒng)運維管理 統(tǒng)安全管理”。檢查要素：a) 補丁管理制度和記錄、補丁升級策略、補丁升級測試環(huán)境或渠道。檢查方法：安全監(jiān)測（M）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)運維管理 監(jiān)控管理和安全管理中心檢查要素：a) 檢查方法：配置核查，檢查安全監(jiān)測系統(tǒng)的監(jiān)測對象范圍和監(jiān)測內(nèi)容。災(zāi)難恢復(fù)硬件冗余（G）本檢查項包括：檢查電力企業(yè)重要信息系統(tǒng)網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)硬件冗余。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“網(wǎng)絡(luò)安全 結(jié)構(gòu)安全”檢查要素：a) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)。檢查方法：配置核查，檢查重要信息系統(tǒng)網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余情況。系統(tǒng)和數(shù)據(jù)備份（G）本檢查項包括：檢查電力企業(yè)重要信息系統(tǒng)是否實施數(shù)據(jù)級和系統(tǒng)級備份，備份介質(zhì)是否場外存放。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十六條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“數(shù)據(jù)安全 備份和恢復(fù)”檢查要素：a) 檢查方法：人員訪談，詢問重要信息系統(tǒng)數(shù)據(jù)備份的級別和備份的場所；異地災(zāi)備（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“通用安全防護措施”。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求“數(shù)據(jù)安全 備份和恢復(fù)“系統(tǒng)運維管理 質(zhì)管理”。檢查要素：a) 異地災(zāi)備中心、三級信息系統(tǒng)數(shù)據(jù)備份方式，四級信息系統(tǒng)業(yè)務(wù)切換方式。檢查方法：人員訪談，詢問是否建立異地災(zāi)備中心，是否具有正在運行的等級保護三級和四級信息系統(tǒng)；恢復(fù)測試（M）本檢查項包括：檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)運維管理 備份與恢復(fù)管理”檢查要素：a) 恢復(fù)測試管理制度、恢復(fù)測試演練計劃和記錄。檢查方法：a) 應(yīng)急管理信息通報（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第十七條?！峨娏ΡO(jiān)控系統(tǒng)安全防護總體方案》“安全管理”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十三條、第十五條。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“安全運維管理 安全事件處置”檢查要素：a) 檢查方法：a) 應(yīng)急預(yù)案制定（G）本檢查項包括：檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護規(guī)定》第十七條?！峨娏ΡO(jiān)控系統(tǒng)安全防護總體方案》“安全管理”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十四條。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)運維管理 應(yīng)急預(yù)案管理”檢查要素：a) 檢查方法：應(yīng)急演練（G）本檢查項包括：檢查電力企業(yè)是否實施年度應(yīng)急演練，是否有演練腳本和演練實施記錄文檔。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“安全管理”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十四條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)運維管理 應(yīng)急預(yù)案管理”檢查要素：a) 檢查方法：a) 應(yīng)急資源配備（G）本檢查項包括：檢查電力企業(yè)是否根據(jù)信息安全工作需求，配置應(yīng)急支援技術(shù)隊伍并儲備備機備件。檢查依據(jù)：a) 《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)運維管理 應(yīng)急預(yù)案管理”檢查要素：a) 檢查方法：事故調(diào)查（G）本檢查項包括：檢查電力企業(yè)是否按照行業(yè)及本單位應(yīng)急預(yù)案要求，配合或組織開展事故調(diào)查。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護方案總體方案》“安全管理”。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》“系統(tǒng)運維管理 安全事件處置”檢查要素：a) 檢查方法：人員訪談，詢問是否曾配合或組織開展事故調(diào)查；附 錄 A（資料性附錄）檢查內(nèi)容索引序號檢查類檢查項1組織體系第一責(zé)任人確立信息安全職責(zé)落實專職機構(gòu)及崗位設(shè)置安全人員配置2規(guī)章制度整體策略及總體方案制定制度制定及體系完整性操作規(guī)程制定制度發(fā)布3資金保障經(jīng)費預(yù)算安全建設(shè)經(jīng)費投入安全運維經(jīng)費投入4人員安全管理安全培訓(xùn)與考核保密協(xié)議簽訂人員審查崗位調(diào)整管控5服務(wù)外包管控外包服務(wù)協(xié)議第三方人員訪問管理遠程服務(wù)管控現(xiàn)場開發(fā)管控6關(guān)鍵信息資產(chǎn)管控資產(chǎn)管理資產(chǎn)維修報廢管理7信息系統(tǒng)建設(shè)安全管理上線安全測評等級保護建設(shè)等級保護測評開展情況風(fēng)險評估產(chǎn)品采購和使用核心產(chǎn)品采購測試安全產(chǎn)品國產(chǎn)化情況8安全分區(qū)防御體系大區(qū)間隔離生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離縱向認證跨區(qū)連接管控安全接入?yún)^(qū)序號檢查類檢查項內(nèi)外網(wǎng)隔離9網(wǎng)絡(luò)安全防護生產(chǎn)控制大區(qū)防護管理信息大區(qū)防護互聯(lián)網(wǎng)出口統(tǒng)一管理互聯(lián)網(wǎng)出口安全管控?zé)o線網(wǎng)絡(luò)安全應(yīng)用移動終端安全接入10主機和設(shè)備安全防護補丁更新惡意代碼防護系統(tǒng)安全整改加固移動存儲介質(zhì)管理辦公終端管控主機和設(shè)備賬號口令管理11應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護應(yīng)用系統(tǒng)安全功能及配置面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期測試應(yīng)用系統(tǒng)賬號口令管理重要數(shù)據(jù)安全保護物理環(huán)境安全防護機房安全建設(shè)12信息系統(tǒng)運行安全管理日常維護安全審計補丁管理安全監(jiān)測13災(zāi)難恢復(fù)硬件冗余系統(tǒng)和數(shù)據(jù)備份異地災(zāi)備恢復(fù)測試14應(yīng)急管理信息通報應(yīng)急預(yù)案制定應(yīng)急演練應(yīng)急資源配備事故調(diào)查附 錄 B（規(guī)范性附錄）主要過程及其活動輸出任務(wù)階段輸出文檔文檔內(nèi)容信息收集和分析《附件1：信息系統(tǒng)安全檢查工作調(diào)研表》業(yè)務(wù)周期、運行高峰期等；及系統(tǒng)升級日期等；備情況等。檢查內(nèi)容確定《附件2：信息系統(tǒng)安全檢查工作表》由兩部分內(nèi)容組成：由檢查工作電力企業(yè)在每次勢和企業(yè)的實際情況進行擬定。工具和文檔準備《附件3：信息系統(tǒng)安全檢查工作通知書》單》《附件5：工具驗證記錄》內(nèi)容、范圍和人員等信息；息；對現(xiàn)場檢查需要用到的工具進行升級更新和病毒查殺情況。檢查方案編制《附件6：信息系統(tǒng)安全檢查方案》a）被檢查系統(tǒng)的范圍、安全要內(nèi)容安排等?，F(xiàn)場檢查實施《附件7：首次會議記錄》《附件8：信息系統(tǒng)安全檢查工作表》記錄《附件9：風(fēng)險確認書》人員名單；理制度和管理執(zhí)行過程文檔的符合情況、安全技術(shù)要求的任務(wù)階段輸出文檔文檔內(nèi)容內(nèi)容的技術(shù)測試結(jié)果記錄以及電子記錄；c）對系統(tǒng)漏洞掃描過程中可能出現(xiàn)的危險進行描述，提醒被檢查單位及時進行數(shù)據(jù)備份和恢復(fù)。檢查結(jié)果確認《附件11：系統(tǒng)運行情況驗證記錄》《附件12：末次會議記錄》（問題的證據(jù)和證據(jù)源查單位配合人員的書面認可文件；錄；人員名單。檢查結(jié)果統(tǒng)計分析《附件13：信息系統(tǒng)安全檢查報告》a）析和評價等。檢查結(jié)果輸出《附件14：信息系統(tǒng)安全檢查問題整改報告》a）安全檢查結(jié)論，整改建議，整改期限等。附 錄 C（資料性附錄）風(fēng)險分析方法定性分析判斷安全問題發(fā)生的可能性，可能性的取值范圍為高、中和低；標(biāo)識定義高（或≥1/月可以證實多次發(fā)生過；或其實現(xiàn)條件較容易被攻擊者獲得。中或>1次/半年實曾經(jīng)發(fā)生過；或其實現(xiàn)條件難以被攻擊者獲得。低安全問題出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過；或其實現(xiàn)條件很難被攻擊者獲得。判斷安全問題被威脅利用后，對信息系統(tǒng)安全造成的影響程度，影響程度取值范圍為高、中和低；標(biāo)識定義高如果安全問題出現(xiàn)，將對信息系統(tǒng)造成重大損害。中如果安全問題出現(xiàn)，將對信息系統(tǒng)造成一般損害。低如果安全問題出現(xiàn)，將對信息系統(tǒng)造成較小或輕微損害。1）2）的結(jié)果對信息系統(tǒng)面臨的安全風(fēng)險進行賦值，風(fēng)險值的取值范圍為高、中和低；標(biāo)識描述高一旦發(fā)生將產(chǎn)生較為嚴重的經(jīng)濟或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害。中一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大。標(biāo)識描述低一旦發(fā)生造成的影響程度較低甚至幾乎不存在，一般僅限于組織內(nèi)部，通過較為簡單的手段很快能解決。圖1安全問題風(fēng)險分布圖圖2檢查項問題分布圖定量分析（V（P（1nm ISL

j

（1）式中：

j1 n——檢查項個數(shù)m——第i檢查項中檢查條款的個數(shù)檢查類檢查項（Vij）量化判定值（Pij）組織體系第一責(zé)任人確立1j=1j=5j=0信息安全責(zé)任落實2j=1j=5j=0專職機構(gòu)及崗位設(shè)置2j=1j=5j=0安全人員配置2專職信息安全人員數(shù)量比值信息安全崗位總數(shù)j=規(guī)章制度整體策略及總體方案制定2j=1j=5j=0制度制定及體系完整性25﹤j≤10﹤j≤5j=0操作規(guī)程制定2j=1j=5j=0制度發(fā)布1j=1j=5j=0管理體系認證1j=1j=5j=0資金保障經(jīng)費預(yù)算1j=1j=5