信息安全检查表doc.docx

1、信息安全检查表doc附件1：电力行业网络与信息安全检查方案电力行业网络与信息安全领导小组办公室二一二年七月为贯彻落实国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函2012102号）要求，结合电力行业信息安全工作实际，制定电力行业网络与信息安全检查方案。一、检查依据1. 国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函2012102号）；2. 电力行业网络与信息安全监督管理暂行规定（电监信息200750号）。3. 电力二次系统安全防护规定（电监会5号令）。二、检查目的通过开展电力行业网络与信息安全检查，全面掌握重要电力网络与信息系统基本情况，分析面临的安全威胁和

2、风险，评估安全防护水平，查找突出问题和薄弱环节，有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障电力网络与信息系统安全，维护电力系统安全稳定运行，保障党的十八大顺利召开。三、检查范围各电力企业运行使用的网络和信息系统，重点检查信息安全保护等级为3级及以上的重要网络与信息系统。四、检查方式本次检查按照“谁主管谁负责、谁运行谁负责”的原则，采用电力企业自查、电监会派出机构对辖区内电力企业自查情况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。五、检查内容本次信息安全检查主

3、要分基本情况调查、安全防护情况检查和问题及风险分析三个方面。（一）网络与信息系统基本情况调查。主要调查系统特征，包括系统停止运行后对主要业务的影响程度，系统遭到攻击破坏后对社会公众的影响程度等；系统构成，包括主要软硬件设备的类型、数量、生产商等；信息技术外包服务，包括服务类型、服务提供商、服务方式、安全保密协议等。各单位要在全面调查的基础上，汇总填写电力行业信息安全检查情况报告表（见附件1）。（二）安全防护情况检查。各单位主要从以下15个方面对本单位信息安全防护情况进行重点检查，并在认真检查的基础上，如实填写电力企业信息安全检查表（2012版）（见附件2）。1. 组织体系建设情况。信息安全组织

4、机构建立情况；第一责任人确立情况；责任落实情况；专职机构及岗位设置情况；安全人员配置情况等。2. 规章制度建立情况。整体策略及总体规划（方案）制定情况；管理制度制定情况及制度体系完整性；操作规程制定情况；制度发布情况等。3. 资金保障情况。经费预算情况；安全运维经费投入情况；安全建设经费投入情况等。4. 人员安全管理情况。全员安全培训及保密协议签订情况；专业技能培训情况；岗位人员审查情况；岗位调整安全管控情况等。5. 服务外包管控情况。外包服务协议签订情况；第三方人员访问管理情况；远程服务管控情况；现场开发管控情况等。6. 关键信息资产管控情况。资产清单的建立情况；资产管理职责的落实情况；信息

5、系统基础资料归档情况等。7. 信息系统建设安全管理情况。系统上线安全测评情况；等级保护建设情况；等级保护测评情况；信息安全风险评估开展情况；密码产品采购情况；信息产品采购测试情况；安全产品国产化情况等。8. 安全分区防御情况。安全分区情况；横向隔离及纵向认证设备部署情况；跨区连接管控情况；内外网隔离情况等。9. 网络安全防护情况。生产控制大区安全防护情况；管理信息大区安全防护情况；互联网出口统一管理情况；互联网出口安全管控情况；无线网络安全防护情况等。10. 主机和设备安全防护情况。补丁更新管理情况；恶意代码防护情况；系统加固情况；办公终端管控情况；主机和设备帐号口令管理情况等。 11. 应用

6、系统和数据安全防护情况。应用系统安全功能及配置情况；对外服务系统信息监控和攻击防御情况；对外服务系统周期测试情况；应用系统账号口令管理情况；重要数据安全保护情况等。12. 物理环境安全防护情况。机房安全建设情况等。13. 信息系统运行安全管理情况。日常维护情况；安全审计情况；补丁管理情况；介质管理情况；安全监测情况等。14. 灾难恢复情况。硬件冗余情况；定期备份情况；异地容灾中心建设情况；备份介质恢复测试情况等。15. 应急管理情况。网络与信息安全信息通报情况；总体应急预案制定情况；重要信息系统应急预案制定情况；应急演练开展情况；应急资源配备情况；事故调查工作情况等。（三）存在的问题和面临的风

7、险分析。在完成基本情况调查和安全防护情况检查的基础上，各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。1.当前安全管理和技术防护中的主要问题及薄弱环节，制定安全防护能力提高的主要因素（包括法律法规、政策制度、技术手段等方面）。2. 统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例，分析网络与信息系统对国外产品和服务的依赖程度。3. 根据安全检测发现的漏洞和隐患，分析网络与信息系统存在的安全风险，判断面临的安全威胁程度以及具备的安全防护能力，评估网络与信息系统总体安全状况。六、检查组织1. 电监会统一组织本次信息安全检查工作，电力行业网络与信息安全领导小组办公室负

8、责信息安全检查的日常工作。电监会各派出机构根据电监会的统一部署，负责辖区内电力企业信息安全自查督导和监督检查工作。2. 各电力（集团）公司负责组织开展本单位及其下属单位的信息安全检查工作。 七、进度安排1. 7月16日7月20日，动员部署阶段印发关于开展电力行业网络与信息安全检查行动的通知和电力行业网络与信息安全检查方案，召开会议进行动员部署。2. 7月21日8月31日，实施阶段8月22日前，各单位完成本单位的信息安全自查工作，编写自查报告，制定整改方案。8月31日前，完成整改工作。电力（集团）公司应汇总填写本系统电力行业信息安全检查情况报告表和电力企业信息安全检查项目表（2012版），并和自

9、查整改情况报告一起报送电监会。对于无法及时完成整改的隐患项目，有关电力企业要说明原因，制定临时应急措施，并将情况说明按时报电监会。检查期间，电监会将组织若干专业小组对各单位进行抽查。抽查有关事项，电监会将于行前通知。3. 9月1日9月15日，总结阶段电监会对检查工作情况进行汇总和全面总结，形成电力企业信息安全检查报告并报国家网络与信息安全协调小组办公室。八、工作要求1. 各单位要高度重视，加强组织领导，制定检查方案，明确检查任务，落实检查责任，及时整改检查中发现的问题，并将检查整改情况按时报电监会。2. 各单位要精心部署，周密安排，认真组织。对于发现的问题，要找出原因，并举一反三，持续改进。各

10、单位要建立检查整改跟踪督办机制，力求使安全隐患都得到整改和妥善处置。3. 安全检查工作对象是各单位的重要系统、重要数据和敏感信息等资产，需要高度重视检查工作存在的风险，制定周密的应急防范措施，避免发生影响系统正常运行和敏感信息泄漏的事件。4. 各单位要高度重视信息安全保密工作，加强信息安全保密措施，检查结果除按规定报送外，不得向其他单位和个人透露。所有检查往来文件一律加密。5. 电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律，严格执行保密工作规定，不得随意泄露抽查组行程。附件: 1. 电力行业信息安全检查情况报告表 2. 电力企业信息安全检查项目表（2012版）附1：电力行业信

11、息安全检查情况报告表单位名称： 一、重要信息系统安全检查情况基本情况重要信息系统总数 9 （请另附系统清单，下同）（按实时性进行统计）1.非实时运行的系统数量 2.实时运行的系统数量 （按服务对象进行统计）1.面向社会公众提供服务的系统数量 2.不面向社会公众提供服务的系统数量 （按联网情况进行统计）1.直接连接互联网的系统数量 2.同互联网强逻辑隔离的系统数量 3.与互联网物理隔离的系统数量 （按数据集中情况进行统计）1.全国数据集中的系统数量 2.省级数据集中的系统数量 3.未进行数据集中的系统数量 （按灾备情况进行统计）1.进行系统级灾备的系统数量 2.仅对数据进行灾备的系统数量 3.无

12、灾备的系统数量 系统构成情况主要硬件和软件服务器路由器交换机防火墙磁盘阵列磁带库操作系统数据库国内品牌数量（台/套）国外品牌数量（台/套）业务应用软件系统1.自主设计开发（不含二次开发）的数量 2.委托国内厂商开发的数量 委托国外厂商开发的数量 3.直接采购国内厂商产品的数量 直接采购国外厂商产品的数量 信息技术外包服务服务商名称： 1.服务商性质：国有 民营 外资2.服务内容： 3.服务方式：远程在线服务 现场服务（如有更多，请另列表）安全状况分析结果信息系统对国外产品和服务的依赖程度主要业务对信息系统的依赖程度信息系统面临的安全威胁程度信息系统安全防护能力信息系统名称高中低高中低高中低高中

13、低1.2.（如有更多，请另列表）二、重要工业控制系统安全检查情况基本情况重要工业控制系统运营单位总数： 家重要工业控制系统总数： 套系统类型情况国内品牌国外品牌数据采集与监控（SCADA）系统 套 套分布式控制系统（DCS） 套 套过程控制系统（PCS） 套 套可编程控制器（PLC）大型 台 台中型 台 台小型 台 台就地测控设备仪表 台 台智能电子设备（IED） 台 台远端设备（RTU） 台 台系统构成情况应用服务器-工程师工作站应用软件 套 套系统软件 套 套PC机/服务器 台 台数据库服务器数据库软件 套 套系统软件 套 套PC机/服务器 台 台通信设备 台 台工业控制网络连接情况1.直

14、接与互联网连接的重要工业控制系统数量： 套2.与内部网络连接的重要工业控制系统数量： 套3.含有无线接入方式的重要工业控制系统数量： 套运行维护情况1.采用远程方式运行维护的重要工业控制系统数量： 套2.由国内厂商提供运行维护服务的重要工业控制系统数量： 套3.由国外厂商提供运行维护服务的重要工业控制系统数量： 套信息安全防护情况1.网络边界架设网络安全设备的重要工业控制系统数量： 套2.安装防病毒软件或设备的重要工业控制系统数量： 套3.定期进行安全更新的重要工业控制系统数量： 套4.采取加密措施传输、存储敏感数据的重要工业控制系统数量： 套附2： 电力企业信息安全检查项目表（2012版）D

15、 电力行业网络与信息安全领导小组办公室二一二年七月1 检查工作基本信息受检单位基本信息单位名称上级单位名称下级单位总数单位类型 电网企业 发电企业 电力科研企业 电力设计施工企业 其他类型企业 检查方式 本单位自查 上级单位督查 电监会抽查 检查时间检查范围检查组基本信息检查组织单位检查组组长检查组成员2 检查项及检查记录2.1 组织体系（ORG）标识检查项检查要素得分判定方法检查记录得分备注ORG.1组织机构建立组织建立了由决策层、管理层、执行层组成的完整信息安全组织机构。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得0.4分。决策层符合/不符合判断法：3)不符合，此项得0分；

16、4)符合，此项得0.3分。管理层符合/不符合判断法：5)不符合，此项得0分；6)符合，此项得0.3分。执行层ORG.2第一责任人确立组织主要负责人是本单位网络与信息安全的第一责任人，对本单位的网络与信息安全负全面责任。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。第一责任人ORG.3责任落实组织机构职责涵盖信息安全工作的主要方面，职责明确到责任部门、责任人员，并以正式文件形式发布。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。ORG.4专职机构及岗位设置组织信息安全机构及岗位设置符合如下要求：1）电力企业集团公司总部设置信息安全专职机构；2）电力企业集团

17、公司二级单位设置信息安全管理和技术岗位；3）电力企业基层单位设置信息安全岗位。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。机构依据企业层级选择其中之一填写。管理和技术岗位信息安全岗位ORG.5安全人员配置组织专职信息安全工作人员数量与组织总信息安全岗位数量的比值。比率值法：1）得分=2）取小数点后2位。信息安全岗位总数专职人员数量2.2 规章制度（REG）标识检查项检查要素得分判定方法检查记录得分备注REG.1整体策略及总体规划（方案）制定组织制定了信息安全工作的整体策略和总体规划（方案），说明信息安全工作的总体目标、范围、防护框架和防护措施。符合/不符合判断法：1)不符

18、合，此项得0分；2)符合，此项得0.5分。整体策略符合/不符合判断法：3)不符合，此项得0分；4)符合，此项得0.5分。总体规划（方案）REG.2规章制度及体系完整性组织对信息安全工作制定了基本安全管理制度，并以此为基础形成了涵盖人员管理、资产管理、存储介质管理、信息系统建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系。选项法：1）无制度，此项得0分；2）制定了基本制度，此项得0.5分；3）形成制度体系，此项得1分。基本制度制度体系REG.3操作规程制定组织对要求信息安全运行维护人员执行的日常管理操作制定了运维流程和操作规程。符合/不符合判断法：1)不符合，此项得0分；2)符

19、合，此项得0.5分。运维流程符合/不符合判断法：3)不符合，此项得0分；4)符合，此项得0.5分。操作规程REG.4制度发布组织信息安全管理制度通过正式、有效的方式发布。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得0.5分。发布制度符合/不符合判断法：3)不符合，此项得0分；4)符合，此项得0.5分。主要文件符合发布制度要求2.3 资金保障（FUN）标识检查项检查要素得分判定方法检查记录得分备注FUN.1经费预算组织信息安全建设及运行维护经费被列入预算。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。FUN.2安全建设经费投入组织用于信息安全建设（安全软硬件购

20、置、系统安全功能开发、安全测试、安全咨询、安全培训、安全专项研究等）的经费占年度信息化建设总投入的比率。（取当年值或近两年平均值）选项法：1）比率=2）比率，此项得0分；3）比率，此项得0.3分；4）比率，此项得0.7分；5）比率，此项得1分。信息化建设总经费信息安全建设经费FUN.3安全运维经费投入组织用于信息安全运行维护（监督检查、日常安全运维、监测分析、应急演练及应急保障、测试评估等）的经费占整个信息系统运行维护总投入的比率。（取当年值或近两年平均值）选项法：1）比率=2）比率，此项得0分；3）比率，此项得0.3分；4）比率，此项得0.7分；5）比率，此项得1分。信息系统运行维护总经费信

21、息安全运行维护经费2.4 人员安全管理（PER）标识检查项检查要素得分判定方法检查记录得分备注PER.1全员安全培训及保密协议签订组织全体员工中参加年度信息安全培训并签署保密协议的比率。比率值法：1)得分=；2)取小数点后2位。员工总数参加年度培训人员数签署保密协议人员数PER.2专业技能培训组织信息安全工作人员中获得国家、行业信息安全专业培训证书的比率。比率值法：1)得分=；2)取小数点后2位。信息安全工作人员总数获得信息安全培训证书的人员数PER.3人员审查组织对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。P

22、ER.4岗位调整管控组织在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。2.5 服务外包管控（OSE）标识检查项检查要素得分判定方法检查记录得分备注OSE.1外包服务协议组织与合约方签订的外包服务协议中具有信息安全管控和保密条款。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得0.5分。管控条款符合/不符合判断法：3)不符合，此项得0分；4)符合，此项得0.5分。保密条款OSE.2第三方人员访问管理组织对第三方人员访问机房等受控区域采取了书面审批、人员陪同、进出记录等管控措施。符合/不符合判断

23、法：1)不符合，此项得0分；2)符合，此项得0.3分。受控区域符合/不符合判断法：3)不符合，此项得0分；4)符合，此项得0.3分。审批情况符合/不符合判断法：5)不符合，此项得0分；6)符合，此项得0.3分。陪同和记录情况OSE.3远程服务管控组织针对远程访问采取了书面审批、访问控制、在线监测、日志审计等管控措施。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得0.5分。审批情况符合/不符合判断法：3)不符合，此项得0分；4)符合，此项得0.5分。管控措施OSE.4现场开发管控组织采取技术措施保证开发测试环境与实际生产运行环境物理分离，并限定开发人员的活动范围和行为。符合/不符合

24、判断法：1)不符合，此项得0分；2)符合，此项得0.5分。环境分离措施符合/不符合判断法：3)不符合，此项得0分；4)符合，此项得0.5分。范围和行为限定措施2.6 关键信息资产管控（ASS）标识检查项检查要素得分判定方法检查记录得分备注ASS.1资产清单组织识别所有信息资产并有资产清单。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。ASS.2资产管理职责组织对每项资产明确管理责任人及其职责。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。ASS.3信息系统基础资料归档组织对源代码、设计方案、建设实施方案等基础资料进行归档的系统数量与信息系统总数的比值。比

25、率值法：1)得分=；2)取小数点后2位。信息系统总数已归档系统数量2.7 信息系统建设安全管理（CON）标识检查项检查要素得分判定方法检查记录得分备注CON.1上线安全测评组织信息系统在上线前通过安全测评的比率。比率值法：1)得分=；2)取小数点后2位。已投运信息系统通过安全测评系统CON.2等级保护建设组织信息系统中按要求开展等级保护建设的比率。比率值法：1)得分=；2)取小数点后2位。需开展建设系统已开展建设系统CON.3等级保护测评组织信息系统中按要求开展等级保护测评的比率。比率值法：1)得分=；2)取小数点后2位。需测评信息系统已开展测评信息系统CON.4风险评估组织信息系统中按要求开

26、展信息安全风险评估的比率。比率值法：1)得分=；2)取小数点后2位。需评估信息系统开展评估信息系统CON.5密码产品采购组织密码产品的采购和使用符合国家密码主管部门的要求。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。CON.6产品采购测试组织对信息安全产品、系统基础软硬件、系统应用软件、工业控制装置等在采购前实施安全性测试。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。CON.7安全产品国产化情况组织信息安全产品国产化率。比率值法：1)得分=；2)取小数点后2位。信息安全产品总数国产产品数量2.8 安全分区防御（SDD）标识检查项检查要素得分判定方法检查记录得分备注SDD.1安全分区按照电力二次系统安全防护规定要求，划分了生产控制大区和管理信息大区，生产控制大区内的控制区和非控制区逻辑隔离。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。生产大区内部分2个区，信息管理大区内部分1个区。SDD.2横向隔离及纵向认证按照电力二次系统安全防护规定要求，在生产控制大区与其他区域有信息交换时，部署横向隔离装置，在调度数据网上下级网络接口部署纵向加密装置。符合/不符合判断法：1)不符合，此项得0分；2)符合，此项得1分。生产大区内部1、2区之间。厂级和网调之间未加密。SD