信息安全检查表.docx

信息安全检查表.docx

《信息安全检查表.docx》由会员分享，可在线阅读，更多相关《信息安全检查表.docx（48页珍藏版）》请在冰点文库上搜索。

信息安全检查表

信息安全检查表

电力行业网络与信息安全检查方案

电力行业网络与信息安全领导小组办公室

二〇一二年七月

为贯彻落实《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函〔2012〕102号）要求，结合电力行业信息安全工作实际，制定电力行业网络与信息安全检查方案。

一、检查依据

1.《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函〔2012〕102号）；

2.《电力行业网络与信息安全监督治理暂行规定》（电监信息〔2007〕50号）。

3.《电力二次系统安全防护规定》（电监会5号令）。

二、检查目的

通过开展电力行业网络与信息安全检查，全面把握重要电力网络与信息系统差不多情形，分析面临的安全威逼和风险，评估安全防护水平，查找突出咨询题和薄弱环节，有针对性地采取防范计策和改进措施，加大网络与信息系统安全治理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保证电力网络与信息系统安全，爱护电力系统安全稳固运行，保证党的十八大顺利召开。

三、检查范畴

各电力企业运行使用的网络和信息系统，重点检查信息安全爱护等级为3级及以上的重要网络与信息系统。

四、检查方式

此次检查按照“谁主管谁负责、谁运行谁负责”的原则，采纳电力企业自查、电监会派出机构对辖区内电力企业自查情形、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。

五、检查内容

此次信息安全检查要紧分差不多情形调查、安全防护情形检查和咨询题及风险分析三个方面。

（一）网络与信息系统差不多情形调查。

要紧调查系统特点，包括系统停止运行后对要紧业务的阻碍程度，系统遭到攻击破坏后对社会公众的阻碍程度等；系统构成，包括要紧软硬件设备的类型、数量、生产商等；信息技术外包服务，包括服务类型、服务提供商、服务方式、安全保密协议等。

各单位要在全面调查的基础上，汇总填写《电力行业信息安全检查情形报告表》（见附件1）。

（二）安全防护情形检查。

各单位要紧从以下15个方面对本单位信息安全防护情形进行重点检查，并在认真检查的基础上，如实填写《电力企业信息安全检查表（2012版）》（见附件2）。

1.组织体系建设情形。

信息安全组织机构建立情形；第一责任人确立情形；责任落实情形；专职机构及岗位设置情形；安全人员配置情形等。

2.规章制度建立情形。

整体策略及总体规划（方案）制定情形；治理制度制定情形及制度体系完整性；操作规程制定情形；制度公布情形等。

3.资金保证情形。

经费预算情形；安全运维经费投入情形；安全建设经费投入情形等。

4.人员安全治理情形。

全员安全培训及保密协议签订情形；专业技能培训情形；岗位人员审查情形；岗位调整安全管控情形等。

5.服务外包管控情形。

外包服务协议签订情形；第三方人员访咨询治理情形；远程服务管控情形；现场开发管控情形等。

6.关键信息资产管控情形。

资产清单的建立情形；资产治理职责的落实情形；信息系统基础资料归档情形等。

7.信息系统建设安全治理情形。

系统上线安全测评情形；等级爱护建设情形；等级爱护测评情形；信息安全风险评估开展情形；密码产品采购情形；信息产品采购测试情形；安全产品国产化情形等。

8.安全分区防备情形。

安全分区情形；横向隔离及纵向认证设备部署情形；跨区连接管控情形；内外网隔离情形等。

9.网络安全防护情形。

生产操纵大区安全防护情形；治理信息大区安全防护情形；互联网出口统一治理情形；互联网出口安全管控情形；无线网络安全防护情形等。

10.主机和设备安全防护情形。

补丁更新治理情形；恶意代码防护情形；系统加固情形；办公终端管控情形；主机和设备帐号口令治理情形等。

11.应用系统和数据安全防护情形。

应用系统安全功能及配置情形；对外服务系统信息监控和攻击防备情形；对外服务系统周期测试情形；应用系统账号口令治理情形；重要数据安全爱护情形等。

12.物理环境安全防护情形。

机房安全建设情形等。

13.信息系统运行安全治理情形。

日常爱护情形；安全审计情形；补丁治理情形；介质治理情形；安全监测情形等。

14.灾难复原情形。

硬件冗余情形；定期备份情形；异地容灾中心建设情形；备份介质复原测试情形等。

15.应急治理情形。

网络与信息安全信息通报情形；总体应急预案制定情形；重要信息系统应急预案制定情形；应急演练开展情形；应急资源配备情形；事故调查工作情形等。

（三）存在的咨询题和面临的风险分析。

在完成差不多情形调查和安全防护情形检查的基础上，各单位要围绕着以下三个方面对存在的咨询题和面临的要紧风险进行分析。

1.当前安全治理和技术防护中的要紧咨询题及薄弱环节，制定安全防护能力提升的要紧因素（包括法律法规、政策制度、技术手段等方面）。

2.统计国外产品和服务在要紧软硬件设备和信息技术外包服务中所占的比例，分析网络与信息系统对国外产品和服务的依靠程度。

3.按照安全检测发觉的漏洞和隐患，分析网络与信息系统存在的安全风险，判定面临的安全威逼程度以及具备的安全防护能力，评估网络与信息系统总体安全状况。

六、检查组织

1.电监会统一组织此次信息安全检查工作，电力行业网络与信息安全领导小组办公室负责信息安全检查的日常工作。

电监会各派出机构按照电监会的统一部署，负责辖区内电力企业信息安全自查督导和监督检查工作。

2.各电力（集团）公司负责组织开展本单位及其下属单位的信息安全检查工作。

七、进度安排

1.7月16日～7月20日，动员部署时期

印发《关于开展电力行业网络与信息安全检查行动的通知》和《电力行业网络与信息安全检查方案》，召开会议进行动员部署。

2.7月21日～8月31日，实施时期

8月22日前，各单位完成本单位的信息安全自查工作，编写自查报告，制定整改方案。

8月31日前，完成整改工作。

电力（集团）公司应汇总填写本系统《电力行业信息安全检查情形报告表》和《电力企业信息安全检查项目表（2012版）》，并和自查整改情形报告一起报送电监会。

关于无法及时完成整改的隐患项目，有关电力企业要讲明缘故，制定临时应急措施，并将情形讲明按时报电监会。

检查期间，电监会将组织若干专业小组对各单位进行抽查。

抽查有关事项，电监会将于行前通知。

3.9月1日～9月15日，总结时期

电监会对检查工作情形进行汇总和全面总结，形成电力企业信息安全检查报告并报国家网络与信息安全和谐小组办公室。

八、工作要求

1.各单位要高度重视，加大组织领导，制定检查方案，明确检查任务，落实检查责任，及时整改检查中发觉的咨询题，并将检查整改情形按时报电监会。

2.各单位要精心部署，周密安排，认真组织。

关于发觉的咨询题，要找出缘故，并举一反三，连续改进。

各单位要建立检查整改跟踪督办机制，力求使安全隐患都得到整改和妥善处置。

3.安全检查工作对象是各单位的重要系统、重要数据和敏锐信息等资产，需要高度重视检查工作存在的风险，制定周密的应急防范措施，幸免发生阻碍系统正常运行和敏锐信息泄漏的事件。

4.各单位要高度重视信息安全保密工作，加大信息安全保密措施，检查结果除按规定报送外，不得向其他单位和个人透露。

所有检查往来文件一律加密。

5.电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律，严格执行保密工作规定，不得随意泄露抽查组行程。

附件:

1.《电力行业信息安全检查情形报告表》

2.《电力企业信息安全检查项目表（2012版）》

附1：

电力行业信息安全检查情形报告表

单位名称：

一、重要信息系统安全检查情形

差不多

情形

重要信息系统总数9（请另附系统清单，下同）

（按实时性进行统计）

1.非实时运行的系统数量

2.实时运行的系统数量

（按服务对象进行统计）

1.面向社会公众提供服务的系统数量

2.不面向社会公众提供服务的系统数量

（按联网情形进行统计）

1.直截了当连接互联网的系统数量

2.同互联网强逻辑隔离的系统数量

3.与互联网物理隔离的系统数量

（按数据集中情形进行统计）

1.全国数据集中的系统数量

2.省级数据集中的系统数量

3.未进行数据集中的系统数量

（按灾备情形进行统计）

1.进行系统级灾备的系统数量

2.仅对数据进行灾备的系统数量

3.无灾备的系统数量

系统构成情形

要紧硬件和软件

服务器

路由器

交换机

防火墙

磁盘阵列

磁带库

操作系统

数据库

国内品牌数量（台/套）

国外品牌数量（台/套）

业务应用

软件系统

1.自主设计开发（不含二次开发）的数量

2.托付国内厂商开发的数量

托付国外厂商开发的数量

3.直截了当采购国内厂商产品的数量

直截了当采购国外厂商产品的数量

信息技术外包服务

服务商名称：

1.服务商性质：

□国有□民营□外资

2.服务内容：

3.服务方式：

□远程在线服务□现场服务

（如有更多，请另列表）

安全状况分析结果

信息系统对国外产品和服务的依靠程度

要紧业务

对信息系统的依靠程度

信息系统

面临的安全威逼程度

信息系统

安全防护能力

信息系统名称

高

中

低

高

中

低

高

中

低

高

中

低

1.

2.

（如有更多，请另列表）

二、重要工业操纵系统安全检查情形

差不多情形

重要工业操纵系统运营单位总数：

家

重要工业操纵系统总数：

套

系统类型情形

国内品牌

国外品牌

数据采集与监控（SCADA）系统

套

套

分布式操纵系统（DCS）

套

套

过程操纵系统（PCS）

套

套

可编程操纵器（PLC）

大型

台

台

中型

台

台

小型

台

台

就地测控设备

外表

台

台

智能电子设备（IED）

台

台

远端设备（RTU）

台

台

系统构成情形

应用服务器-

工程师工作站

应用软件

套

套

系统软件

套

套

PC机/服务器

台

台

数据库服务器

数据库软件

套

套

系统软件

套

套

PC机/服务器

台

台

通信设备

台

台

工业操纵网络

连接情形

1.直截了当与互联网连接的重要工业操纵系统数量：

套

2.与内部网络连接的重要工业操纵系统数量：

套

3.含有无线接入方式的重要工业操纵系统数量：

套

运行爱护情形

1.采纳远程方式运行爱护的重要工业操纵系统数量：

套

2.由国内厂商提供运行爱护服务的重要工业操纵系统数量：

套

3.由国外厂商提供运行爱护服务的重要工业操纵系统数量：

套

信息安全

防护情形

1.网络边界架设网络安全设备的重要工业操纵系统数量：

套

2.安装防病毒软件或设备的重要工业操纵系统数量：

套

3.定期进行安全更新的重要工业操纵系统数量：

套

4.采取加密措施传输、储备敏锐数据的重要工业操纵系统数量：

套

附2：

电力企业信息安全检查项目表

（2012版）

D

电力行业网络与信息安全领导小组办公室

二〇一二年七月

1检查工作差不多信息

受检单位

差不多信息

单位名称

上级单位名称

下级单位总数

单位类型

电网企业□

发电企业√

电力科研企业□

电力设计施工企业□

其他类型企业□

检查方式

本单位自查√

上级单位督查□

电监会抽查□

检查时刻

检查范畴

检查组差不多信息

检查组织单位

检查组组长

检查组成员

2检查项及检查记录

2.1组织体系（ORG）

标识

检查项

检查要素

得分判定方法

检查记录

得分

备注

ORG.1

组织机构建立

组织建立了由决策层、治理层、执行层组成的完整信息安全组织机构。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得0.4分。

决策层

符合/不符合判定法：

3）不符合，此项得0分；

4）符合，此项得0.3分。

治理层

符合/不符合判定法：

5）不符合，此项得0分；

6）符合，此项得0.3分。

执行层

ORG.2

第一责任人确立

组织要紧负责人是本单位网络与信息安全的第一责任人，对本单位的网络与信息安全负全面责任。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

第一责任人

ORG.3

责任落实

组织机构职责涵盖信息安全工作的要紧方面，职责明确到责任部门、责任人员，并以正式文件形式公布。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

ORG.4

专职机构及岗位设置

组织信息安全机构及岗位设置符合如下要求：

1）电力企业集团公司总部设置信息安全专职机构；2）电力企业集团公司二级单位设置信息安全治理和技术岗位；3）电力企业基层单位设置信息安全岗位。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

机构

依据企业层级选择其中之一填写。

治理和技术岗位

信息安全岗位

ORG.5

安全人员配置

组织专职信息安全工作人员数量与组织总信息安全岗位数量的比值。

比率值法：

1）得分=

2）取小数点后2位。

信息安全岗位总数

专职人员数量

2.2规章制度（REG）

标识

检查项

检查要素

得分判定方法

检查记录

得分

备注

REG.1

整体策略及总体规划（方案）制定

组织制定了信息安全工作的整体策略和总体规划（方案），讲明信息安全工作的总体目标、范畴、防护框架和防护措施。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得0.5分。

整体策略

符合/不符合判定法：

3）不符合，此项得0分；

4）符合，此项得0.5分。

总体规划（方案）

REG.2

规章制度及体系完整性

组织对信息安全工作制定了差不多安全治理制度，并以此为基础形成了涵盖人员治理、资产治理、储备介质治理、信息系统建设安全治理、运行爱护治理、外包服务治理、培训教育等方面的制度体系。

选项法：

1）无制度，此项得0分；

2）制定了差不多制度，此项得0.5分；

3）形成制度体系，此项得1分。

差不多制度

制度体系

REG.3

操作规程制定

组织对要求信息安全运行爱护人员执行的日常治理操作制定了运维流程和操作规程。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得0.5分。

运维流程

符合/不符合判定法：

3）不符合，此项得0分；

4）符合，此项得0.5分。

操作规程

REG.4

制度公布

组织信息安全治理制度通过正式、有效的方式公布。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得0.5分。

公布制度

符合/不符合判定法：

3）不符合，此项得0分；

4）符合，此项得0.5分。

要紧文件符合公布制度要求

2.3资金保证（FUN）

标识

检查项

检查要素

得分判定方法

检查记录

得分

备注

FUN.1

经费预算

组织信息安全建设及运行爱护经费被列入预算。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

FUN.2

安全建设经费投入

组织用于信息安全建设（安全软硬件购置、系统安全功能开发、安全测试、安全咨询、安全培训、安全专项研究等）的经费占年度信息化建设总投入的比率。

（取当年值或近两年平均值）

选项法：

1）比率=

2）比率

，此项得0分；

3）

比率

，此项得0.3分；

4）

比率

，此项得0.7分；

5）比率

，此项得1分。

信息化建设总经费

信息安全建设经费

FUN.3

安全运维经费投入

组织用于信息安全运行爱护（监督检查、日常安全运维、监测分析、应急演练及应急保证、测试评估等）的经费占整个信息系统运行爱护总投入的比率。

（取当年值或近两年平均值）

选项法：

1）比率=

2）比率

，此项得0分；

3）

比率

，此项得0.3分；

4）

比率

，此项得0.7分；

5）比率

，此项得1分。

信息系统运行爱护总经费

信息安全运行爱护经费

2.4人员安全治理（PER）

标识

检查项

检查要素

得分判定方法

检查记录

得分

备注

PER.1

全员安全培训及保密协议签订

组织全体职员中参加年度信息安全培训并签署保密协议的比率。

比率值法：

1）得分=

；

2）取小数点后2位。

职员总数

参加年度培训人员数

签署保密协议人员数

PER.2

专业技能培训

组织信息安全工作人员中获得国家、行业信息安全专业培训证书的比率。

比率值法：

1）得分=

；

2）取小数点后2位。

信息安全工作人员总数

获得信息安全培训证书的人员数

PER.3

人员审查

组织对信息安全岗位人员和其他敏锐岗位人员实施身份、背景和资质审查。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

PER.4

岗位调整管控

组织在信息安全岗位人员及其他敏锐岗位人员离岗时执行权限回收和离岗承诺书签署。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

2.5服务外包管控（OSE）

标识

检查项

检查要素

得分判定方法

检查记录

得分

备注

OSE.1

外包服务协议

组织与合约方签订的外包服务协议中具有信息安全管控和保密条款。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得0.5分。

管控条款

符合/不符合判定法：

3）不符合，此项得0分；

4）符合，此项得0.5分。

保密条款

OSE.2

第三方人员访咨询治理

组织对第三方人员访咨询机房等受控区域采取了书面审批、人员陪同、进出记录等管控措施。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得0.3分。

受控区域

符合/不符合判定法：

3）不符合，此项得0分；

4）符合，此项得0.3分。

审批情形

符合/不符合判定法：

5）不符合，此项得0分；

6）符合，此项得0.3分。

陪同和记录情形

OSE.3

远程服务管控

组织针对远程访咨询采取了书面审批、访咨询操纵、在线监测、日志审计等管控措施。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得0.5分。

审批情形

符合/不符合判定法：

3）不符合，此项得0分；

4）符合，此项得0.5分。

管控措施

OSE.4

现场开发管控

组织采取技术措施保证开发测试环境与实际生产运行环境物理分离，并限定开发人员的活动范畴和行为。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得0.5分。

环境分离措施

符合/不符合判定法：

3）不符合，此项得0分；

4）符合，此项得0.5分。

范畴和行为限定措施

2.6关键信息资产管控（ASS）

标识

检查项

检查要素

得分判定方法

检查记录

得分

备注

ASS.1

资产清单

组织识不所有信息资产并有资产清单。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

ASS.2

资产治理职责

组织对每项资产明确治理责任人及其职责。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

ASS.3

信息系统基础资料归档

组织对源代码、设计方案、建设实施方案等基础资料进行归档的系统数量与信息系统总数的比值。

比率值法：

1）得分=

；

2）取小数点后2位。

信息系统总数

已归档系统数量

2.7信息系统建设安全治理（CON）

标识

检查项

检查要素

得分判定方法

检查记录

得分

备注

CON.1

上线安全测评

组织信息系统在上线前通过安全测评的比率。

比率值法：

1）得分=

；

2）取小数点后2位。

已投运信息系统

通过安全测评系统

CON.2

等级爱护建设

组织信息系统中按要求开展等级爱护建设的比率。

比率值法：

1）得分=

；

2）取小数点后2位。

需开展建设系统

已开展建设系统

CON.3

等级爱护测评

组织信息系统中按要求开展等级爱护测评的比率。

比率值法：

1）得分=

；

2）取小数点后2位。

需测评信息系统

已开展测评信息系统

CON.4

风险评估

组织信息系统中按要求开展信息安全风险评估的比率。

比率值法：

1）得分=

；

2）取小数点后2位。

需评估信息系统

开展评估信息系统

CON.5

密码产品采购

组织密码产品的采购和使用符合国家密码主管部门的要求。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

CON.6

产品采购测试

组织对信息安全产品、系统基础软硬件、系统应用软件、工业操纵装置等在采购前实施安全性测试。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

CON.7

安全产品国产化情形

组织信息安全产品国产化率。

比率值法：

1）得分=

；

2）取小数点后2位。

信息安全产品总数

国产产品数量

2.8安全分区防备（SDD）

标识

检查项

检查要素

得分判定方法

检查记录

得分

备注

SDD.1

安全分区

按照《电力二次系统安全防护规定》要求，划分了生产操纵大区和治理信息大区，生产操纵大区内的操纵区和非操纵区逻辑隔离。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

生产大区内部分2个区，信息治理大区内部分1个区。

SDD.2

横向隔离及纵向认证

按照《电力二次系统安全防护规定》要求，在生产操纵大区与其他区域有信息交换时，部署横向隔离装置，在调度数据网上下级网络接口部署纵向加密装置。

符合/不符合判定法：

1）不符合，此项得0分；

2）符合，此项得1分。

生产