電力信息系統(tǒng)信息安全檢查規(guī)范

FORMTEXT電力信息系統(tǒng)信息安全檢查規(guī)范FORMTEXTElectricPowerInformationSystemInformationSecurityInspectionStandard（V3.1）（征求意見稿）（本稿完成日期:2015-06-16）FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施GBFORMTEXTXXXX—FORMTEXTXXXXFORMTEXT?????中華人民共和國國家標(biāo)準(zhǔn)目??次TOC\o"1-4"\h\z\u前??言 電力信息系統(tǒng)信息安全檢查規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了電力信息系統(tǒng)信息安全檢查的內(nèi)容、流程、方法以及備選檢查內(nèi)容等。本標(biāo)準(zhǔn)適用于開展電力信息系統(tǒng)的信息安全檢查、督查工作，同時也適用于電力企業(yè)在本集團(tuán)（系統(tǒng)）范圍內(nèi)開展相關(guān)系統(tǒng)的信息安全自查。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件?！峨娏ΡO(jiān)控系統(tǒng)安全防護(hù)規(guī)定》國家發(fā)改委令第14號《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》電監(jiān)信息[2012]62號《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)安全設(shè)計技術(shù)要求》GB/T25070-2010《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》國能安全〔2015〕36號《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269-2006《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》國能安全〔2014〕317號《電力行業(yè)信息安全等級保護(hù)管理辦法》國能安全〔2014〕318號《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》GB/T20984-2007術(shù)語和定義GB/T5271.8、GB17859-1999、GB/T22239-2008和GB/T25070-2010確立的以及下列術(shù)語和定義適用于本規(guī)范。管理信息類系統(tǒng)ManagementInformationSystem管理信息類系統(tǒng)是指支持電力企業(yè)的經(jīng)營、管理和運(yùn)營的信息系統(tǒng)，如門戶網(wǎng)站系統(tǒng)、電力營銷管理系統(tǒng)、財務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、物流管理系統(tǒng)和質(zhì)量管理系統(tǒng)等。本類系統(tǒng)往往部署于管理信息大區(qū)，與互聯(lián)網(wǎng)的隔離強(qiáng)度為邏輯隔離或強(qiáng)于邏輯隔離但弱于物理隔離。生產(chǎn)控制類系統(tǒng)ProductionControlSystem生產(chǎn)控制類系統(tǒng)是用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運(yùn)行過程的、基于計算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備，如電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)、電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計算機(jī)監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機(jī)繼電保護(hù)和安全自動裝置、廣域相量測量系統(tǒng)、負(fù)荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量系統(tǒng)、實時電力市場的輔助控制系統(tǒng)等。本類系統(tǒng)原則上部署于生產(chǎn)控制大區(qū)，與互聯(lián)網(wǎng)的隔離強(qiáng)度近似于物理隔離。電力信息系統(tǒng)電力信息系統(tǒng)是指與電力企業(yè)的生產(chǎn)、管理、控制相關(guān)的信息系統(tǒng)，根據(jù)信息系統(tǒng)的責(zé)任單位、業(yè)務(wù)類型和業(yè)務(wù)重要性及物理位置差異等各種因素，可分為管理信息類系統(tǒng)和生產(chǎn)控制類系統(tǒng)?？刂茀^(qū)Controlarea控制區(qū)是指具有實時監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。非控制區(qū)Non-controlarea非控制區(qū)是指在生產(chǎn)控制范圍內(nèi)，由在線運(yùn)行但不直接參與控制、作為電力生產(chǎn)過程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。信息安全檢查InformationSecurityInspection在以小時為單位的有限時間內(nèi)根據(jù)檢查目的通過檢查方法實施檢查活動以發(fā)現(xiàn)影響信息系統(tǒng)可用性、機(jī)密性、完整性的主要因素，可以采取委托第三方機(jī)構(gòu)以測評（評估）的方法進(jìn)行全面細(xì)致檢查，但通常建議以文檔審查等方式審查測評（評估）相關(guān)文檔以獲得相關(guān)信息。檢查內(nèi)容的三種類型根據(jù)檢查對象的不同，檢查內(nèi)容進(jìn)一步細(xì)分為：與管理信息類系統(tǒng)相關(guān)的檢查項標(biāo)記為M，與生產(chǎn)控制類系統(tǒng)相關(guān)的檢查項標(biāo)記為P；未區(qū)分針對管理信息類和生產(chǎn)控制類的檢查項標(biāo)記為G。檢查工作流程檢查準(zhǔn)備本階段是開展檢查工作的前提和基礎(chǔ)，是整個檢查過程有效性的保證。檢查準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本階段的主要內(nèi)容是明確檢查工作的方式、依據(jù)、范圍和內(nèi)容，調(diào)研被檢查單位和被檢查系統(tǒng)的情況，確定被檢查方的聯(lián)系人和聯(lián)絡(luò)方式，確定檢查組成員和檢查工具，制定檢查方案和計劃并通知被檢查單位。檢查準(zhǔn)備過程工作內(nèi)容根據(jù)檢查工作的要求，明確安全檢查工作的方式，包括監(jiān)管機(jī)構(gòu)安全檢查、監(jiān)管機(jī)構(gòu)安全督察、企業(yè)信息安全自查等；明確安全檢查工作的依據(jù)，包括國家信息安全規(guī)范性文件及標(biāo)準(zhǔn)、行業(yè)信息安全規(guī)范性文件及標(biāo)準(zhǔn)、主管機(jī)構(gòu)要求等；明確安全檢查工作的范圍，包括被檢查單位、被檢查系統(tǒng)、涉及的人員、被檢查單位的上級主管單位等，并通過調(diào)研形成《信息系統(tǒng)安全檢查工作調(diào)研表》；明確安全檢查工作的內(nèi)容。由兩部分內(nèi)容組成，一部分為基本檢查內(nèi)容，相關(guān)要求見本規(guī)范第七章節(jié)；另外一部分為補(bǔ)充檢查內(nèi)容，由檢查工作電力企業(yè)在每次檢查前，依據(jù)有關(guān)信息安全主管單位要求、信息安全發(fā)展態(tài)勢和企業(yè)的信息安全管理工作開展情況進(jìn)行擬定；由檢查機(jī)構(gòu)統(tǒng)一組織實施檢查工作，確定實施現(xiàn)場檢查工作的人員和設(shè)備，可委托第三方信息安全服務(wù)機(jī)構(gòu)實施現(xiàn)場檢查工作，但檢查機(jī)構(gòu)應(yīng)安排專人陪同；根據(jù)檢查工作的內(nèi)容，制定《信息系統(tǒng)安全檢查方案》、《信息系統(tǒng)安全檢查計劃》和《信息系統(tǒng)安全檢查工作表》；在現(xiàn)場檢查開始前，檢查組應(yīng)至少提前兩天將《信息系統(tǒng)安全檢查方案》和《信息系統(tǒng)安全檢查計劃》下發(fā)至被檢查單位，明確要求被檢查單位對必要的系統(tǒng)和數(shù)據(jù)進(jìn)行備份，被檢查單位應(yīng)積極配合，并提供必要的配合人員和辦公條件。準(zhǔn)備過程的角色和責(zé)任檢查機(jī)構(gòu)職責(zé)：向被檢查單位介紹安全檢查的意義和目的、檢查流程和工作方法；了解被檢查單位的信息化建設(shè)狀況與發(fā)展；指出被檢查單位應(yīng)提供的基本資料；向被檢查單位說明檢查工作自身的風(fēng)險和規(guī)避方法；準(zhǔn)備被檢查系統(tǒng)基本情況調(diào)查表單；了解被檢查系統(tǒng)基本情況；初步分析系統(tǒng)的安全情況；準(zhǔn)備檢查工具和文檔。被檢查單位職責(zé)：向檢查機(jī)構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況；準(zhǔn)備檢查機(jī)構(gòu)需要的資料；為檢查人員的信息收集提供支持和協(xié)調(diào)；根據(jù)被檢查系統(tǒng)的具體情況，如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)布置情況等，為檢查時間安排提供適宜的建議；備份數(shù)據(jù)和系統(tǒng)，制定應(yīng)急預(yù)案。檢查實施本階段是檢查工作的核心，主要依據(jù)檢查方案的總體要求將本檢查規(guī)范的要求落實到實際檢查工作中，通過對被檢查單位的溝通訪談、文檔審查、配置檢查、工具測試和實地察看，并調(diào)閱自查或上次檢查報告（如果有），對被檢查單位信息系統(tǒng)的安全保護(hù)現(xiàn)狀進(jìn)行取證，取得分析與總結(jié)活動所需的、足夠的證據(jù)和資料。檢查實施過程工作內(nèi)容檢查人員現(xiàn)場填寫《信息系統(tǒng)安全檢查工作表》，檢查完成后需要由被檢查方簽字確認(rèn)?，F(xiàn)場檢查完成后，需要由被檢查方對被檢查對象的運(yùn)行情況進(jìn)行確認(rèn)，并在《系統(tǒng)運(yùn)行情況驗證記錄》上簽字確認(rèn)，對于因檢查工作導(dǎo)致系統(tǒng)運(yùn)行異常的情況，應(yīng)如實記錄，并及時上報主管部門。1、現(xiàn)場檢查采用的方法主要包括：人員訪談檢查人員通過與信息系統(tǒng)有關(guān)人員（個人/群體）進(jìn)行交流、討論等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法。文檔審查檢查人員通過對被檢查單位支撐信息系統(tǒng)安全建設(shè)與運(yùn)維的安全管理制度、記錄等文檔的核查，獲取證據(jù)以證明信息系統(tǒng)的安全保護(hù)要求是否全面，安全保護(hù)規(guī)定是否得到執(zhí)行。配置核查檢查人員通過對被檢查對象進(jìn)行觀察、查驗、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法。安全測試檢查人員使用預(yù)定的方法/工具使檢查對象產(chǎn)生特定的行為，通過查看、分析這些行為的結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法。在檢查中也可不重新實施安全測試而利用已有的安全測試結(jié)果。2、該階段主要可能的風(fēng)險包括：a)驗證測試影響系統(tǒng)正常運(yùn)行。在現(xiàn)場檢查時，需要對設(shè)備和系統(tǒng)的安全策略配置和安全功能進(jìn)行必要的驗證測試，部分測試內(nèi)容涉及到對設(shè)備的操作，可能對系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能；b)工具測試影響系統(tǒng)正常運(yùn)行。在現(xiàn)場檢查時，有時會使用一些技術(shù)測試工具進(jìn)行漏洞測試、性能測試甚至抗?jié)B透能力測試等。工具測試可能會對系統(tǒng)的負(fù)載造成一定的影響，其中漏洞測試和滲透測試可能對系統(tǒng)數(shù)據(jù)造成一定破壞；c)原則上檢查方不接觸被檢查設(shè)備，應(yīng)避免執(zhí)行系統(tǒng)數(shù)據(jù)變更操作，由配合人員根據(jù)操作規(guī)程和檢查項需求對被檢查對象進(jìn)行核查操作?，F(xiàn)場檢查過程的角色和責(zé)任檢查機(jī)構(gòu)職責(zé)：利用人員訪談、文檔審查、配置核查和安全測試的方法檢查系統(tǒng)的保護(hù)措施與本規(guī)范要求的符合情況，以及正確性和有效性。被檢查單位職責(zé)：協(xié)調(diào)被檢查系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合檢查工作的開展；相關(guān)人員回答檢查人員的問詢，對某些需要驗證的內(nèi)容上機(jī)進(jìn)行操作；相關(guān)人員協(xié)助檢查人員實施工具測試并提供有效建議，降低安全檢查對系統(tǒng)運(yùn)行的影響；相關(guān)人員協(xié)助檢查人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗證和測試；相關(guān)人員對檢查結(jié)果進(jìn)行確認(rèn)。檢查結(jié)果分析本階段是總結(jié)被檢查系統(tǒng)整體安全保護(hù)能力的綜合評價活動，根據(jù)現(xiàn)場檢查結(jié)果和本規(guī)范的相關(guān)要求，定位整個系統(tǒng)的安全保護(hù)現(xiàn)狀與本規(guī)范安全要求之間的差距，并分析這些差距導(dǎo)致被檢查系統(tǒng)面臨的風(fēng)險，從而給出檢查結(jié)論，形成檢查報告和整改通知書。檢查結(jié)果分析工作內(nèi)容現(xiàn)場檢查工作完成后，由檢查組對檢查結(jié)果進(jìn)行整理，采用定量或定性的風(fēng)險分析方法，編制《信息系統(tǒng)安全檢查報告》。檢查總結(jié)過程的角色和責(zé)任檢查機(jī)構(gòu)職責(zé)：分析檢查結(jié)果，形成檢查結(jié)論；編制整改通知書，說明被檢查系統(tǒng)存在的安全隱患和缺陷，并給出改進(jìn)建議；將生成的過程文檔歸檔保存，并將檢查過程中生成的電子文檔清除。檢查內(nèi)容的選擇方法全覆蓋法區(qū)分被檢查系統(tǒng)為管理信息類系統(tǒng)還是生產(chǎn)控制類系統(tǒng)，選取相關(guān)全部備選檢查項作為檢查內(nèi)容。隨機(jī)抽取法從備選檢查內(nèi)容中按照索引目錄從各檢查類中隨機(jī)抽取檢查項。重點(diǎn)項抽取法從備選檢查內(nèi)容中確定重點(diǎn)檢查項，只檢查重點(diǎn)項。增項檢查法根據(jù)檢查目的，設(shè)計備選檢查內(nèi)容中未包含的檢查項作為新增檢查項。（注：對于檢查內(nèi)容的選擇，不局限于采取單一方式進(jìn)行選擇，也可根據(jù)檢查目的，采用多種選擇方式相結(jié)合，如同時采用重點(diǎn)項抽取法和增項檢查法確定檢查內(nèi)容）備選檢查內(nèi)容組織體系第一責(zé)任人確立（G）本檢查項包括：檢查電力企業(yè)主要負(fù)責(zé)人是否是信息安全第一責(zé)任人。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全管理”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條。檢查要素：信息安全第一責(zé)任人。檢查方法：文檔審查，查看信息安全電力企業(yè)文件。信息安全責(zé)任落實（G）本檢查項包括：檢查是否設(shè)立信息安全管理工作的職能部門，是否設(shè)立安全主管、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位；是否以文件的形式明確責(zé)任部門、責(zé)任人員的職責(zé)。如有電力監(jiān)控系統(tǒng)，是否將電力監(jiān)控系統(tǒng)安全防護(hù)工作及其信息報送納入日常安全生產(chǎn)管理體系，落實分級負(fù)責(zé)的責(zé)任制。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條?！峨娏ΡO(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十四條。檢查要素：信息安全責(zé)任部門、責(zé)任人員。日常安全生產(chǎn)管理體系。檢查方法：文檔審查，查看信息安全責(zé)任部門、責(zé)任人員職責(zé)文件。日常安全生產(chǎn)管理體系職責(zé)文件。專職機(jī)構(gòu)及崗位設(shè)置（G）本檢查項包括：檢查組織的信息安全管理部門及崗位設(shè)置是否符合以下要求： 電力企業(yè)集團(tuán)公司總部設(shè)置信息安全專職管理機(jī)構(gòu)；電力企業(yè)集團(tuán)公司二級單位設(shè)置信息安全管理和技術(shù)崗位；電力企業(yè)基層單位設(shè)置信息安全崗位。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條。檢查要素：企業(yè)級別、信息安全管理部門及崗位設(shè)置。檢查方法：人員訪談，詢問企業(yè)所屬級別和信息安全管理部門及崗位設(shè)置；文檔審查，根據(jù)企業(yè)級別查看信息安全管理部門及崗位設(shè)置說明文件。安全人員配置（G）本檢查項包括：檢查電力企業(yè)是否配備一定數(shù)量的專職信息安全工作人員，能否滿足電力企業(yè)信息安全崗位需求。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理機(jī)構(gòu)人員配備”。檢查要素：專職信息安全工作人員數(shù)量、信息安全崗位數(shù)量。檢查方法：文檔審查，查閱電力企業(yè)崗位職責(zé)說明及人員崗位職責(zé)分配說明。規(guī)章制度整體策略及總體方案制定（G）本檢查項包括：檢查電力企業(yè)是否制定符合國家及行業(yè)政策要求的信息安全工作整體策略和總體方案，是否說明了信息安全工作總體目標(biāo)、范圍、防護(hù)框架和防護(hù)措施。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十條《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理制度”中的“管理制度”檢查要素：信息安全工作整體策略、總體方案、信息安全工作總體目標(biāo)、范圍、防護(hù)框架和防護(hù)措施。檢查方法：文檔審查，查閱信息安全整體策略和總體方案文檔。制度制定及體系完整性（G）本檢查項包括：檢查電力企業(yè)是否針對信息安全工作制定基本安全管理制度，并以此為基礎(chǔ)形成涵蓋人員管理、資產(chǎn)管理、介質(zhì)管理、建設(shè)安全管理、運(yùn)行維護(hù)管理、外包服務(wù)管理、培訓(xùn)教育等方面的制度體系。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理制度”中的“管理制度”檢查要素：基本安全管理制度。檢查方法：文檔審查，查閱組織是否制訂了基本管理制度，內(nèi)容是否涵蓋人員管理、資產(chǎn)管理、介質(zhì)管理、建設(shè)安全管理、運(yùn)行維護(hù)管理、外包服務(wù)管理、培訓(xùn)教育等方面。操作規(guī)程制定（G）本檢查項包括：檢查電力企業(yè)是否對信息安全運(yùn)行維護(hù)人員執(zhí)行的日常操作制定運(yùn)維流程和操作規(guī)程。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全管理”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理制度”中的“管理制度”。檢查要素：運(yùn)維流程、操作規(guī)程。檢查方法：文檔審查，查閱組織制訂的運(yùn)維流程和操作規(guī)程文檔。制度發(fā)布（G）本檢查項包括：檢查電力企業(yè)是否通過正式、有效的方式發(fā)布信息安全管理制度。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理制度”中的“制定與發(fā)布”。檢查要素：制度發(fā)布方式。檢查方法：文檔審查，查閱安全管理制度發(fā)布方式和相關(guān)記錄。資金保障經(jīng)費(fèi)預(yù)算（G）本檢查項包括：檢查電力企業(yè)是否將信息安全建設(shè)費(fèi)用（安全軟硬件購置、系統(tǒng)安全功能開發(fā)、安全驗收測試、安全咨詢與培訓(xùn)、安全專項研究等）和運(yùn)行維護(hù)費(fèi)用（日常安全運(yùn)維、監(jiān)測分析、應(yīng)急演練、應(yīng)急保障、信息安全監(jiān)督檢查、測試評估等）納入年度預(yù)算。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理機(jī)構(gòu)”中“資金保障”。檢查要素：信息安全建設(shè)費(fèi)用、運(yùn)行維護(hù)費(fèi)用。檢查方法：文檔審查，查看年度預(yù)算計劃。安全建設(shè)經(jīng)費(fèi)投入（G）本檢查項包括：檢查電力企業(yè)用于信息安全建設(shè)的經(jīng)費(fèi)占年度信息化建設(shè)總投入的比率是否大于15%（取當(dāng)年值或近兩年平均值）。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條。《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理機(jī)構(gòu)”中“資金保障”。檢查要素：信息安全建設(shè)經(jīng)費(fèi)、信息化建設(shè)總投入。檢查方法：文檔審查，查看信息安全建設(shè)經(jīng)費(fèi)、信息化建設(shè)總投入的實際情況。安全運(yùn)維經(jīng)費(fèi)投入（G）本檢查項包括：檢查電力企業(yè)用于信息安全運(yùn)行維護(hù)的經(jīng)費(fèi)占整個信息系統(tǒng)運(yùn)行維護(hù)總投入的比率是否大于15%（取當(dāng)年值或近兩年平均值）。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條。《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理機(jī)構(gòu)”中“資金保障”。檢查要素：信息安全運(yùn)維經(jīng)費(fèi)、信息系統(tǒng)運(yùn)行維護(hù)總投入。檢查方法：文檔審查，查看信息安全運(yùn)維經(jīng)費(fèi)、信息化建設(shè)總投入的實際情況。人員安全管理安全培訓(xùn)與考核（G）本檢查項包括：檢查電力企業(yè)信息安全從業(yè)，信息系統(tǒng)設(shè)計、建設(shè)、運(yùn)維等相關(guān)各類人員是否經(jīng)培訓(xùn)合格后上崗，是否定期接受相應(yīng)的政策規(guī)劃和專業(yè)技能培訓(xùn)。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全管理”。《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》中第十八條《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中“安全意識教育和培訓(xùn)”檢查要素：人員安全培訓(xùn)及考核。檢查方法：文檔審查，查閱參加安全培訓(xùn)的人員名單及成績單。保密協(xié)議簽訂（G）本檢查項包括：檢查電力企業(yè)是否與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的人員，電力監(jiān)控系統(tǒng)（如有）相關(guān)設(shè)備及系統(tǒng)的開發(fā)單位和供應(yīng)商簽署保密協(xié)議。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十八條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中的“人員錄用”。檢查要素：保密協(xié)議簽訂。檢查方法：文檔審查，查閱簽署保密協(xié)議的人員名單及其崗位或單位。人員審查（G）本檢查項包括：檢查電力企業(yè)是否對信息安全崗位人員和其他敏感崗位人員實施身份、背景和資質(zhì)審查。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中的“人員錄用”。檢查要素：人員的身份、背景和資質(zhì)審查制度和審查結(jié)果記錄。檢查方法：文檔審查，查閱信息安全崗位人員和其他敏感崗位人員的身份、背景和資質(zhì)審查記錄。崗位調(diào)整管控（G）本檢查項包括：檢查電力企業(yè)是否在信息安全崗位人員及其他敏感崗位人員離崗時執(zhí)行權(quán)限回收和離崗承諾書簽署。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中的“人員離崗”。檢查要素：人員的權(quán)限回收記錄、離崗承諾書。檢查方法：文檔審查，查閱信息安全崗位人員及其他敏感崗位人員的回收記錄和離崗承諾書。服務(wù)外包管控外包服務(wù)協(xié)議（G）本檢查項包括：檢查電力企業(yè)與合約方簽訂的外包服務(wù)協(xié)議中是否具有信息安全管控和保密條款。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)建設(shè)管理”中“外包軟件開發(fā)”?！峨娏ΡO(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“4.3工程實施的安全管理”。檢查要素：外包服務(wù)協(xié)議。檢查方法：文檔審查，查閱外包服務(wù)協(xié)議中的信息安全管控和保密條款。外部人員訪問管理（G）本檢查項包括：檢查電力企業(yè)是否對外部人員訪問機(jī)房等受控區(qū)域采取書面審批、人員陪同、進(jìn)出記錄等管控措施。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中“外部人員訪問管理”。檢查要素：受控區(qū)域訪問控制措施和記錄。檢查方法：文檔審查，查閱第三方人員訪問管理制度和記錄。遠(yuǎn)程服務(wù)管控（G）本檢查項包括：檢查電力企業(yè)是否采取遠(yuǎn)程服務(wù)，如采取遠(yuǎn)程服務(wù)，針對遠(yuǎn)程服務(wù)訪問采取書面審批、訪問控制、在線監(jiān)測、日志審計等管控措施。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“3.9遠(yuǎn)程撥號訪問”。《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“網(wǎng)絡(luò)安全”中“訪問控制”。檢查要素：遠(yuǎn)程服務(wù)管控措施和記錄。檢查方法：人員訪談，詢問對遠(yuǎn)程服務(wù)訪問采取的控制措施；文檔審查，查閱遠(yuǎn)程服務(wù)管控措施制度和記錄；日志審計，如采取遠(yuǎn)程服務(wù)，查閱遠(yuǎn)程服務(wù)管控相關(guān)審計日志?，F(xiàn)場開發(fā)管控（G）本檢查項包括：檢查電力企業(yè)是否采取技術(shù)措施實現(xiàn)開發(fā)測試環(huán)境與實際生產(chǎn)運(yùn)行環(huán)境物理分離，并對開發(fā)人員的活動范圍和行為實施管控。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)建設(shè)管理”中“自行軟件開發(fā)”。檢查要素：現(xiàn)場開發(fā)的管控措施和記錄。檢查方法：人員訪談，詢問是否將開發(fā)測試環(huán)境與實際生產(chǎn)環(huán)境物理分離；文檔審查，查閱開發(fā)人員的活動范圍和行為管控制度。關(guān)鍵信息資產(chǎn)管控資產(chǎn)管理（G）本檢查項包括：檢查電力企業(yè)是否識別所有與信息系統(tǒng)相關(guān)的資產(chǎn)并編制了準(zhǔn)確的資產(chǎn)清單，是否對每項資產(chǎn)明確管理責(zé)任人及其職責(zé)。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理”中“資產(chǎn)管理”。檢查要素：資產(chǎn)清單。檢查方法：文檔審查，查閱資產(chǎn)清單，檢查是否識別所有與信息系統(tǒng)相關(guān)的資產(chǎn)，是否對每項資產(chǎn)明確管理責(zé)任人及其職責(zé)。資產(chǎn)維修報廢管理（G）本檢查項包括：檢查電力企業(yè)是否在系統(tǒng)、設(shè)備維修或報廢時，選取了可信服務(wù)機(jī)構(gòu)并對數(shù)據(jù)采取了備份、清除等有效保護(hù)措施。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理”中“介質(zhì)管理”。檢查要素：可信服務(wù)機(jī)構(gòu)選擇、數(shù)據(jù)保護(hù)措施和記錄。檢查方法：文檔審查，查閱系統(tǒng)、設(shè)備維修或報廢管理制度和記錄。信息系統(tǒng)建設(shè)安全管理技術(shù)監(jiān)督與審核（P）本檢查項包括：電力調(diào)度機(jī)構(gòu)是否開展了其直接調(diào)度范圍內(nèi)的下一級電力調(diào)度機(jī)構(gòu)、變電站、發(fā)電廠涉網(wǎng)部分的電力監(jiān)控系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督，發(fā)電廠內(nèi)其它監(jiān)控系統(tǒng)的安全防護(hù)是否由其上級主管單位實施了技術(shù)監(jiān)督。電力調(diào)度機(jī)構(gòu)、發(fā)電廠、變電站等運(yùn)行單位的電力監(jiān)控系統(tǒng)安全防護(hù)實施方案是否經(jīng)本企業(yè)的上級專業(yè)管理部門和信息安全管理部門以及相應(yīng)電力調(diào)度機(jī)構(gòu)的審核，方案實施完成后是否由上述機(jī)構(gòu)驗收。接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的設(shè)備和應(yīng)用系統(tǒng)，其接入技術(shù)方案和安全防護(hù)措施是否經(jīng)直接負(fù)責(zé)的電力調(diào)度機(jī)構(gòu)同意。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十四條、十五條。檢查要素：技術(shù)監(jiān)督，安全防護(hù)方案審核與驗收，接入技術(shù)方案和安全防護(hù)措施審核同意。檢查方法：文檔審查，查閱審核、驗收意見及相關(guān)材料。人員訪談，訪談實施技術(shù)監(jiān)督、審核、驗收等相關(guān)工作的流程。上線安全測評（G）本檢查項包括：檢查電力企業(yè)信息系統(tǒng)在上線前是否通過信息安全測評。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)建設(shè)管理”中“測試驗收”?！峨娏ΡO(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“4.3工程實施的安全管理”。檢查要素：上線前通過安全測評的系統(tǒng)清單、信息系統(tǒng)清單。檢查方法：文檔審查，查閱全部信息系統(tǒng)列表，查閱并統(tǒng)計已通過信息安全測評的系統(tǒng)測評報告。等級保護(hù)建設(shè)（G）本檢查項包括：檢查電力企業(yè)信息系統(tǒng)是否按要求開展信息安全等級保護(hù)建設(shè)。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條、第九條、第十條、第十一條?！峨娏π袠I(yè)信息安全等級保護(hù)管理辦法》第九條。檢查要素：按要求開展信息安全等級保護(hù)建設(shè)的系統(tǒng)清單。檢查方法：文檔審查，查閱全部信息系統(tǒng)列表，查閱已按要求開展信息安全等級保護(hù)建設(shè)的信息系統(tǒng)相關(guān)文檔。等級測評開展情況（G）本檢查項包括：檢查電力企業(yè)信息系統(tǒng)是否按要求開展等級測評。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條。《電力行業(yè)信息安全等級保護(hù)管理辦法》第十二條。檢查要素：按要求開展等級保護(hù)測評的系統(tǒng)清單。檢查方法：文檔審查，查閱全部信息系統(tǒng)列表，查閱并統(tǒng)計已開展信息系統(tǒng)安全等級保護(hù)測評的方案數(shù)量和等級測評報告。風(fēng)險評估（G）本檢查項包括：檢查電力企業(yè)信息系統(tǒng)是否按要求開展信息安全風(fēng)險評估并完成信息安全隱患整改。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十二條?！峨娏π袠I(yè)信息安全等級保護(hù)管理辦法》第十二條?！峨娏ΡO(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“5安全防護(hù)評估”檢查要素：信息安全風(fēng)險評估報告、整改建設(shè)方案。檢查方法：文檔審查，查閱電力企業(yè)信息系統(tǒng)安全風(fēng)險評估報告、整改建設(shè)方案。產(chǎn)品采購和使用（G）本檢查項包括：檢查電力企業(yè)安全產(chǎn)品和密碼產(chǎn)品的采購及使用是否符合國家有關(guān)規(guī)定。電力監(jiān)控系統(tǒng)在設(shè)備選型及配置時，是否禁止選用經(jīng)國家相關(guān)管理部門檢測認(rèn)定并經(jīng)國家能源局通報存在漏洞和風(fēng)險的系統(tǒng)及設(shè)備；對于已經(jīng)投入運(yùn)行的系統(tǒng)及設(shè)備，是否按照國家能源局及其派出機(jī)構(gòu)的要求及時進(jìn)行整改，同時應(yīng)當(dāng)加強(qiáng)相關(guān)系統(tǒng)及設(shè)備的運(yùn)行管理和安全防護(hù)。生產(chǎn)控制大區(qū)中除安全接入?yún)^(qū)外，是否禁止選用具有無線通信功能的設(shè)備。檢查依據(jù)：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第九條?！峨娏π袠I(yè)信息安全等級保護(hù)管理辦法》第九條、第十八條、第二十三條、第二十五條。《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十三條。檢查要素：安全產(chǎn)品和密碼產(chǎn)品，電力監(jiān)控系統(tǒng)設(shè)備選型、采購、配置、使用、整改等管理制度。檢查方法：人員訪談，訪談相關(guān)人員是否了解相關(guān)制度，是否存在不執(zhí)行相關(guān)制度的特殊情況；文檔審查，查閱電力企業(yè)相關(guān)管理制度和資產(chǎn)清單等，檢查其采購及使用是否符合國家有關(guān)規(guī)定。配置核查，核查已被通報存在隱患的在線運(yùn)行的系統(tǒng)和設(shè)備是否已經(jīng)整改及相關(guān)運(yùn)行管理和安全防護(hù)措施。核心產(chǎn)品采購測試（G）本檢查項包括：電力企業(yè)應(yīng)用的信息安全產(chǎn)品、系統(tǒng)基礎(chǔ)軟硬件、系統(tǒng)應(yīng)用軟件、工業(yè)控制裝置等在采購前是否通過了安全性測試。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第九條、第十條。《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)建設(shè)管理”中“產(chǎn)品采購和使用”。檢查要素：安全性測試報告。檢查方法：文檔審查，查閱電力企業(yè)應(yīng)用的信息安全產(chǎn)品、系統(tǒng)基礎(chǔ)軟硬件、系統(tǒng)應(yīng)用軟件、工業(yè)控制裝置等的安全性測試報告。安全產(chǎn)品國產(chǎn)化情況（G）本檢查項包括：檢查電力企業(yè)3級及以上系統(tǒng)所采用信息安全產(chǎn)品是否為國產(chǎn)產(chǎn)品。檢查依據(jù)：《信息安全等級保護(hù)管理辦法》第二十一條。檢查要素：信息安全產(chǎn)品清單。檢查方法：文檔審查，查閱電力企業(yè)信息安全產(chǎn)品清單。安全分區(qū)防御體系大區(qū)間隔離（P）本檢查項包括：檢查電力企業(yè)是否按要求劃分生產(chǎn)控制大區(qū)和管理信息大區(qū)；檢查電力企業(yè)是否在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第六條、第九條。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、單向隔離裝置產(chǎn)品資質(zhì)材料。檢查方法：文檔審查，查看電力企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否劃分生產(chǎn)控制大區(qū)和管理信息大區(qū)，查看單向隔離裝置的檢測報告或認(rèn)證證書。配置核查，核查單向隔離裝置是否配置有效。生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離（P）本檢查項包括：檢查電力企業(yè)是否按要求在生產(chǎn)控制大區(qū)內(nèi)部控制區(qū)與非控制區(qū)之間采用國產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或等效功能的設(shè)施進(jìn)行邏輯隔離。生產(chǎn)控制大區(qū)內(nèi)部各系統(tǒng)間是否采用VLAN和訪問控制等安全措施限制系統(tǒng)間的直接互聯(lián)。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第九條。《電力監(jiān)控系統(tǒng)安全防護(hù)方案》“2.1.5生產(chǎn)控制大區(qū)內(nèi)部安全防護(hù)要求”。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、邏輯隔離產(chǎn)品資質(zhì)材料。檢查方法：人員訪談，訪談生產(chǎn)控制大區(qū)內(nèi)部所采取的訪問控制措施。文檔審查，查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否在生產(chǎn)控制大區(qū)內(nèi)部控制區(qū)與非控制區(qū)之間采用邏輯隔離產(chǎn)品，查看邏輯隔離產(chǎn)品的檢測報告或認(rèn)證證書。配置核查，核查邏輯隔離產(chǎn)品配置及策略?？v向認(rèn)證（P）本檢查項包括：檢查電力企業(yè)是否按要求在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十條。《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全防護(hù)方案”。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、電力專用縱向加密認(rèn)證產(chǎn)品或加密認(rèn)證網(wǎng)關(guān)產(chǎn)品的資質(zhì)材料。檢查方法：文檔審查，查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處設(shè)置電力專用縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)，查看電力專用縱向加密認(rèn)證產(chǎn)品或加密認(rèn)證網(wǎng)關(guān)產(chǎn)品的檢測報告或認(rèn)證證書。跨區(qū)連接管控（P）本檢查項包括：檢查電力企業(yè)是否不存在未通過電力專用橫向單向隔離裝置將生產(chǎn)控制大區(qū)和管理信息大區(qū)網(wǎng)絡(luò)直接連接的情況。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第六條。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。檢查方法：文檔審查，查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否不存在未通過電力專用橫向單向隔離裝置將生產(chǎn)控制大區(qū)和管理信息大區(qū)網(wǎng)絡(luò)直接連接的情況。測試，利用相關(guān)命令語句等測試是否存在大區(qū)連通現(xiàn)象。安全接入?yún)^(qū)（P）本檢查項包括：檢查生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)在與其終端的縱向聯(lián)接中是否使用無線通信網(wǎng)、電力企業(yè)其它數(shù)據(jù)網(wǎng)（非電力調(diào)度數(shù)據(jù)網(wǎng)）或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)絡(luò)方式（VPN）等進(jìn)行通信。檢查采取如上所述方式進(jìn)行通信的是否設(shè)立了安全接入?yún)^(qū)。檢查安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的聯(lián)接處是否設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置且配置有效。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第八條、第九條。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。檢查方法：人員訪談，訪談生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)是否存在需要通過非電力調(diào)度數(shù)據(jù)網(wǎng)與其終端通信，設(shè)置安全接入?yún)^(qū)采取的技術(shù)措施。文檔審查，查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否通過設(shè)置安全接入?yún)^(qū)實現(xiàn)與其終端的非電力調(diào)度數(shù)據(jù)網(wǎng)的通信連接。內(nèi)外網(wǎng)隔離（M）本檢查項包括：檢查電力企業(yè)是否通過獨(dú)立的網(wǎng)絡(luò)和終端處理敏感信息，且與互聯(lián)網(wǎng)之間有信息交換時邊界防護(hù)強(qiáng)度強(qiáng)于邏輯隔離。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》總體技術(shù)要求。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。檢查方法：文檔審查，查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否通過獨(dú)立的網(wǎng)絡(luò)和終端處理敏感信息，隔離裝置的技術(shù)說明文檔。網(wǎng)絡(luò)安全防護(hù)生產(chǎn)控制大區(qū)防護(hù)（P）本檢查項包括：檢查電力企業(yè)是否在生產(chǎn)控制大區(qū)內(nèi)部采取安全審計、惡意代碼防范、入侵檢測、非授權(quán)網(wǎng)絡(luò)接入管控等技術(shù)措施實施安全防護(hù)。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“2.1.5生產(chǎn)控制大區(qū)內(nèi)部安全防護(hù)要求”。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、生產(chǎn)控制大區(qū)網(wǎng)絡(luò)。檢查方法：文檔審查，查閱網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否在生產(chǎn)控制大區(qū)內(nèi)部采取安全防護(hù)措施；配置核查，檢查生產(chǎn)控制大區(qū)網(wǎng)絡(luò)邊界的安全審計、入侵檢測、非授權(quán)網(wǎng)絡(luò)接入管控等防護(hù)設(shè)備配置情況。管理信息大區(qū)防護(hù)（M）本檢查項包括：檢查電力企業(yè)是否在管理信息大區(qū)內(nèi)部采取入侵防御、ARP防范、非授權(quán)網(wǎng)絡(luò)接入管控、集中運(yùn)維操作審計等技術(shù)措施實施安全防護(hù)。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、管理信息大區(qū)網(wǎng)絡(luò)。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“網(wǎng)絡(luò)安全入侵防范邊界完整性檢查”等?！峨娏ΡO(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“2.1.6管理信息大區(qū)安全要求”。檢查方法：文檔審查，查閱網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否在管理信息大區(qū)內(nèi)部采取安全防護(hù)措施；配置核查，檢查管理信息大區(qū)網(wǎng)絡(luò)邊界的入侵檢測、ARP防范、非授權(quán)網(wǎng)絡(luò)接入管控、集中運(yùn)維操作審計等防護(hù)設(shè)備配置情況?；ヂ?lián)網(wǎng)出口統(tǒng)一管理（M）本檢查項包括：檢查電力企業(yè)中基層單位管理信息大區(qū)的互聯(lián)網(wǎng)出口數(shù)量是否不多于1個。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》總體技術(shù)要求。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、管理信息大區(qū)網(wǎng)絡(luò)。檢查方法：文檔審查，查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中基層單位管理信息大區(qū)的互聯(lián)網(wǎng)出口數(shù)量是否不多于1個。互聯(lián)網(wǎng)出口安全管控（M）本檢查項包括：檢查電力企業(yè)互聯(lián)網(wǎng)出口是否采取訪問控制、入侵防御、上網(wǎng)行為管理等必要安全防護(hù)措施且針對第2級以上系統(tǒng)訪問控制粒度是否達(dá)到端口級。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“網(wǎng)絡(luò)安全訪問控制”等。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、采用端口級安全防護(hù)措施的出口。檢查方法：文檔審查，查閱網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看互聯(lián)網(wǎng)出口中訪問控制產(chǎn)品配置情況；配置核查，檢查互聯(lián)網(wǎng)出口是否采取訪問控制、入侵防御、上網(wǎng)行為管理等必要安全防護(hù)措施且針對第2級以上系統(tǒng)訪問控制粒度達(dá)到端口級。無線網(wǎng)絡(luò)安全應(yīng)用（G）本檢查項包括：檢查電力企業(yè)應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)類型（管理類信息系統(tǒng)或生產(chǎn)控制類系統(tǒng)），是否采取設(shè)置安全接入?yún)^(qū)、身份認(rèn)證、完整性保護(hù)、機(jī)密性保護(hù)等必要安全防護(hù)措施。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第八條。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)采用安全防護(hù)措施的系統(tǒng)。檢查方法：人員訪談，詢問應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)中采取了哪些安全防護(hù)措施；文檔審查，查閱網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)采用的安全防護(hù)情況；配置核查，檢查應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息系統(tǒng)中采取的安全防護(hù)措施。移動式設(shè)備安全接入（G）本檢查項包括：檢查電力企業(yè)是否針對移動式設(shè)備接入采取了安全性檢測、書面審批、統(tǒng)一接入管控、訪問控制、在線監(jiān)測、日志審計等必要管控措施。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“4.4設(shè)備和應(yīng)用系統(tǒng)的接入管理”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理網(wǎng)絡(luò)安全管理”。檢查要素：移動終端安全管控措施和記錄。檢查方法：人員訪談，詢問對移動式設(shè)備接入采取哪些控制措施；文檔審查，查閱管理制度是否要求移動終端接入前采取安全性檢測、書面審批、統(tǒng)一接入管控、訪問控制、在線監(jiān)測、日志審計等管控措施；配置核查，檢查移動終端接入相關(guān)訪問控制，日志審計記錄。主機(jī)和設(shè)備安全防護(hù)補(bǔ)丁更新（G）本檢查項包括：檢查電力企業(yè)是否按照補(bǔ)丁管理制度要求進(jìn)行可更新補(bǔ)丁的更新。檢查要素：補(bǔ)丁更新管理制度、補(bǔ)丁更新情況。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”。《電力行業(yè)信息系統(tǒng)安全基本要求》“系統(tǒng)運(yùn)維管理系統(tǒng)安全管理”。檢查方法：文檔審查，查閱補(bǔ)丁更新管理制度和補(bǔ)丁更新頻率；配置核查，檢查主機(jī)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的補(bǔ)丁更新情況；安全測試，在確保應(yīng)用系統(tǒng)的安全前提下，通過漏洞掃描工具驗證主機(jī)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的補(bǔ)丁更新情況。惡意代碼防護(hù)（G）本檢查項包括：檢查電力企業(yè)是否按照惡意代碼管理制度要求進(jìn)行惡意代碼檢測和可更新惡意代碼庫的更新。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全基本要求》“系統(tǒng)運(yùn)維管理惡意代碼防范”。檢查要素：惡意代碼防范管理制度、惡意代碼庫更新情況。檢查方法：文檔審查，查閱惡意代碼防范管理制度和更新頻率；配置核查，檢查惡意代碼檢測程序和可更新惡意代碼庫的更新情況。系統(tǒng)安全整改加固（G）本檢查項包括：檢查電力企業(yè)主機(jī)和設(shè)備中對等級保護(hù)測評、風(fēng)險評估、信息安全檢查等工作中發(fā)現(xiàn)的問題是否完成安全整改加固。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十三條、第二十一條?！峨娏π袠I(yè)信息安全等級保護(hù)管理辦法》第十一條、第十七條。檢查要素：安全問題報告、安全整改加固實施工作報告。檢查方法：文檔審查，查閱安全問題報告，查閱安全整改加固實施工作報告；配置核查，檢查與驗證安全整改加固工作實施情況。移動存儲介質(zhì)管理（G）本檢查項包括：檢查電力企業(yè)是否設(shè)置限制和管理移動存儲介質(zhì)使用的管理和技術(shù)措施，是否對移動存儲介質(zhì)的分發(fā)、注冊、使用、存放、銷毀實施管理，是否禁止移動存儲介質(zhì)在生產(chǎn)控制大區(qū)和管理信息大區(qū)的混用。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“通用安全防護(hù)措施”；《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理介質(zhì)管理”。檢查要素：移動存儲介質(zhì)管理措施。檢查方法：文檔審查，查閱移動存儲介質(zhì)安全管理制度；安全測試，驗證系統(tǒng)中是否具備移動存儲介質(zhì)管理技術(shù)措施。辦公終端管控（M）本檢查項包括：檢查電力企業(yè)辦公終端是否實施了安全管控（安全管理、接入管理等）并統(tǒng)一安裝防病毒軟件。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理惡意代碼防范管理”。檢查要素：終端安全管理措施、實施了安全管控措施的終端。檢查方法：人員訪談，詢問采取了何種終端安全管理措施；文檔審查，查閱終端安全管理制度；配置核查，檢查并統(tǒng)計終端安全管理措施部署情況。主機(jī)和設(shè)備賬號口令管理（G）本檢查項包括：檢查電力企業(yè)主機(jī)和設(shè)備中口令設(shè)置是否符合口令管理制度要求。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”。《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“主機(jī)安全身份鑒別”。檢查要素：符合口令管理制度要求的主機(jī)和設(shè)備。檢查方法：文檔審查，查閱主機(jī)和設(shè)備安全檢測報告；配置核查，檢查并統(tǒng)計符合口令管理制度要求的主機(jī)和設(shè)備數(shù)量。應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)應(yīng)用系統(tǒng)安全功能及配置（G）本檢查項包括：檢查電力企業(yè)應(yīng)用系統(tǒng)是否在等級保護(hù)測評、風(fēng)險評估、信息安全檢查等工作中未發(fā)現(xiàn)安全功能及配置方面存在嚴(yán)重問題。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十六條?！峨娏ΡO(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“安全防護(hù)評估”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條、第十一條、第十二條?！峨娏π袠I(yè)信息安全等級保護(hù)管理辦法》第十二條、第十三條。檢查要素：未發(fā)現(xiàn)安全功能及配置方面存在嚴(yán)重問題的系統(tǒng)清單、所有應(yīng)用系統(tǒng)清單。檢查方法：文檔審查，查閱應(yīng)用系統(tǒng)安全檢測報告，統(tǒng)計未發(fā)現(xiàn)安全功能及配置方面存在嚴(yán)重問題的系統(tǒng)數(shù)量。面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御（M）本檢查項包括：檢查電力企業(yè)面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)是否按要求采取安全監(jiān)控和攻擊防御等措施。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“網(wǎng)絡(luò)安全入侵防范”。檢查要素：面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)中采取安全監(jiān)控和攻擊防御等措施的系統(tǒng)、所有面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)清單。檢查方法：文檔審查，查閱面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)數(shù)量；配置核查，檢查并統(tǒng)計面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)中采取安全監(jiān)控和攻擊防御等措施的系統(tǒng)清單。面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期測試（M）本檢查項包括：檢查電力企業(yè)面向互聯(lián)網(wǎng)服務(wù)的系統(tǒng)是否按要求進(jìn)行周期性信息安全測試。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“安全管理”。檢查要素：面向互聯(lián)網(wǎng)服務(wù)的系統(tǒng)、周期性信息安全測試。檢查方法：文檔審查，查閱面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)清單；查閱面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)檢測報告，統(tǒng)計未發(fā)現(xiàn)安全功能及配置方面存在嚴(yán)重問題的系統(tǒng)數(shù)量。應(yīng)用系統(tǒng)賬號口令管理（G）本檢查項包括：檢查電力企業(yè)應(yīng)用系統(tǒng)中賬號口令設(shè)置是否符合口令管理制度要求。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“應(yīng)用安全身份鑒別”。檢查要素：應(yīng)用系統(tǒng)賬號口令。檢查方法：文檔審查，查閱應(yīng)用系統(tǒng)安全檢測報告；配置核查，檢查符合口令管理制度要求的應(yīng)用系統(tǒng)清單。重要數(shù)據(jù)安全保護(hù)（G）本檢查項包括：檢查電力企業(yè)是否采用加密或其它有效措施實現(xiàn)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的完整性和機(jī)密性保護(hù)。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“數(shù)據(jù)安全數(shù)據(jù)完整性”。檢查要素：應(yīng)用系統(tǒng)設(shè)計文檔、重要數(shù)據(jù)的完整性和機(jī)密性保護(hù)措施。檢查方法：文檔審查，查閱應(yīng)用系統(tǒng)設(shè)計文檔對于系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的完整性和機(jī)密性保護(hù)措施；配置核查，檢查應(yīng)用系統(tǒng)是否采用加密或其它有效措施實現(xiàn)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的完整性和機(jī)密性保護(hù)。物理環(huán)境安全防護(hù)機(jī)房安全建設(shè)（G）本檢查項包括：檢查電力企業(yè)的機(jī)房中是否按照等級保護(hù)要求落實物理安全防護(hù)。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“物理安全”。檢查要素：按照等級保護(hù)要求落實物理安全防護(hù)的機(jī)房清單。檢查方法：文檔審查，查閱等級測評報告等并統(tǒng)計按照等級保護(hù)要求落實物理安全防護(hù)的機(jī)房。信息系統(tǒng)運(yùn)行安全管理日常維護(hù)（G）本檢查項包括：檢查電力企業(yè)是否按照制定的規(guī)章制度、運(yùn)維流程、操作規(guī)程等執(zhí)行信息系統(tǒng)日常維護(hù)并有詳盡記錄。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“安全管理”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理系統(tǒng)安全管理”。檢查要素：日常運(yùn)維制度、運(yùn)維流程、操作規(guī)程和記錄。檢查方法：文檔審查，查閱是否按照制定的規(guī)章制度、運(yùn)維流程、操作規(guī)程等執(zhí)行信息系統(tǒng)日常維護(hù)并有詳盡記錄。安全審計（G）本檢查項包括：檢查電力企業(yè)是否對網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)備和系統(tǒng)運(yùn)行日志等進(jìn)行集中收集、定期分析。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“總體技術(shù)要求”。檢查要素：日志集中收集措施、日志定期分析報告。檢查方法：文檔審查，查閱是否具備集中日志定期分析報告；配置核查，檢查是否對網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)備和系統(tǒng)運(yùn)行日志等進(jìn)行集中收集。補(bǔ)丁管理（G）本檢查項包括：檢查電力企業(yè)是否按照補(bǔ)丁管理制度制定補(bǔ)丁升級策略，是否針對關(guān)鍵業(yè)務(wù)系統(tǒng)建立補(bǔ)丁升級測試環(huán)境或建立了獲取已測試補(bǔ)丁的有效渠道。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“主機(jī)安全入侵防范”、“系統(tǒng)運(yùn)維管理系統(tǒng)安全管理”。檢查要素：補(bǔ)丁管理制度和記錄、補(bǔ)丁升級策略、補(bǔ)丁升級測試環(huán)境或渠道。檢查方法：文檔審查，查閱是否具備補(bǔ)丁管理制度，是否明確補(bǔ)丁升級策略，查閱是否具備補(bǔ)丁升級記錄；配置核查，檢查是否對關(guān)鍵業(yè)務(wù)系統(tǒng)建立補(bǔ)丁升級測試環(huán)境或建立了獲取已測試補(bǔ)丁的有效渠道。安全監(jiān)測（M）本檢查項包括：檢查電力企業(yè)是否建立安全監(jiān)測系統(tǒng)對互聯(lián)網(wǎng)出口、面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)、重要信息系統(tǒng)、辦公終端的運(yùn)行情況、安全防護(hù)情況、病毒木馬情況等進(jìn)行實時監(jiān)測。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理監(jiān)控管理和安全管理中心”。檢查要素：安全監(jiān)測系統(tǒng)、安全監(jiān)測報告。檢查方法：文檔審查，查閱是否描述了安全監(jiān)測系統(tǒng)的監(jiān)測對象范圍和監(jiān)測內(nèi)容，查閱是否具備安全監(jiān)測報告；配置核查，檢查安全監(jiān)測系統(tǒng)的監(jiān)測對象范圍和監(jiān)測內(nèi)容。災(zāi)難恢復(fù)硬件冗余（G）本檢查項包括：檢查電力企業(yè)重要信息系統(tǒng)網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)硬件冗余。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“網(wǎng)絡(luò)安全結(jié)構(gòu)安全”。檢查要素：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)。檢查方法：文檔審核，查閱網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否標(biāo)明了重要信息系統(tǒng)網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)硬件冗余；配置核查，檢查重要信息系統(tǒng)網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余情況。系統(tǒng)和數(shù)據(jù)備份（G）本檢查項包括：檢查電力企業(yè)重要信息系統(tǒng)是否實施數(shù)據(jù)級和系統(tǒng)級備份，備份介質(zhì)是否場外存放。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十六條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“數(shù)據(jù)安全備份和恢復(fù)”。檢查要素：數(shù)據(jù)備份介質(zhì)、數(shù)據(jù)備份場所。檢查方法：人員訪談，詢問重要信息系統(tǒng)數(shù)據(jù)備份的級別和備份的場所；配置核查，檢查重要信息系統(tǒng)數(shù)據(jù)備份是否達(dá)到數(shù)據(jù)級和系統(tǒng)級，備份介質(zhì)存儲的位置是否在本電力企業(yè)場所之外。異地災(zāi)備（G）本檢查項包括：檢查電力企業(yè)是否建立異地災(zāi)備中心，三級信息系統(tǒng)是否實現(xiàn)關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地，四級信息系統(tǒng)是否實現(xiàn)業(yè)務(wù)應(yīng)用實時無縫切換。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“通用安全防護(hù)措施”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“數(shù)據(jù)安全備份和恢復(fù)”、“系統(tǒng)運(yùn)維管理介質(zhì)管理”。檢查要素：異地災(zāi)備中心、三級信息系統(tǒng)數(shù)據(jù)備份方式，四級信息系統(tǒng)業(yè)務(wù)切換方式。檢查方法：人員訪談，詢問是否建立異地災(zāi)備中心，是否具有正在運(yùn)行的等級保護(hù)三級和四級信息系統(tǒng)；配置核查，檢查異地災(zāi)備中心的建立情況，檢查三級信息系統(tǒng)是否實現(xiàn)關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地，四級信息系統(tǒng)是否實現(xiàn)業(yè)務(wù)應(yīng)用實時無縫切換?；謴?fù)測試（M）本檢查項包括：檢查電力企業(yè)是否按照恢復(fù)測試要求，定期實施恢復(fù)測試演練，并檢查和測試備份介質(zhì)的有效性。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理備份與恢復(fù)管理”。檢查要素：恢復(fù)測試管理制度、恢復(fù)測試演練計劃和記錄。檢查方法：文檔審核，查閱是否制定恢復(fù)測試管理制度，是否要求定期對備份數(shù)據(jù)進(jìn)行恢復(fù)測試演練，查閱備份恢復(fù)測試記錄。應(yīng)急管理信息通報（G）本檢查項包括：檢查電力企業(yè)是否建立網(wǎng)絡(luò)與信息安全信息通報機(jī)制，按要求向電力監(jiān)管機(jī)構(gòu)通報網(wǎng)絡(luò)和信息系統(tǒng)安全狀況。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十七條?！峨娏ΡO(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全管理”。《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十三條、第十五條?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全運(yùn)維管理安全事件處置”。檢查要素：網(wǎng)絡(luò)與信息安全信息通報機(jī)制。檢查方法：文檔審核，查閱是否通過制度建立網(wǎng)絡(luò)與信息安全信息通報機(jī)制，是否明確需要通報的內(nèi)容和范圍，是否落實負(fù)責(zé)人員。應(yīng)急預(yù)案制定（G）本檢查項包括：檢查電力企業(yè)是否按照電力行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，制定本組織網(wǎng)絡(luò)與信息安全及專項應(yīng)急預(yù)案。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十七條。《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全管理”。《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十四條。《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理應(yīng)急預(yù)案管理”。檢查要素：網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案。檢查方法：人員訪談，詢問否定同件應(yīng)急案；文檔審核，查閱是否按照電力行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，制定本組織網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，是否明確啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育培訓(xùn)和定期審核更新等方面的內(nèi)。應(yīng)急演練（G）本檢查項包括：檢查電力企業(yè)是否實施年度應(yīng)急演練，是否有演練腳本和演練實施記錄文檔。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“安全管理”?！峨娏π袠I(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十四條。《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理應(yīng)急預(yù)案管理”。檢查要素：應(yīng)急演練制度和記錄。檢查方法：文檔審核，查閱是否制定應(yīng)急演練制度，是否實施年度應(yīng)急演練，是否有演練腳本和演練實施記錄文檔。應(yīng)急資源配備（G）本檢查項包括：檢查電力企業(yè)是否根據(jù)信息安全工作需求，配置應(yīng)急支援技術(shù)隊伍并儲備備機(jī)備件。檢查依據(jù)：《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理應(yīng)急預(yù)案管理”。檢查要素：應(yīng)急支援技術(shù)隊伍與物資。檢查方法：人員訪談，詢問是否具應(yīng)急備機(jī)備件能正常工作；文檔審核，查閱事故調(diào)查（G）本檢查項包括：檢查電力企業(yè)是否按照行業(yè)及本單位應(yīng)急預(yù)案要求，配合或組織開展事故調(diào)查。檢查依據(jù)：《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“安全管理”?！峨娏π袠I(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運(yùn)維管理安全事件處置”。檢查要素：事故調(diào)查制度、事故調(diào)查記錄或報告。檢查方法：人員訪談，詢問是否曾配合或組織開展事故調(diào)查；文檔審核，查閱信息安全事故調(diào)查制度，查閱信息安全事故調(diào)查記錄或報告是否記錄引發(fā)安全事故的原因，是否記錄事故調(diào)查過程。

（資料性附錄）

檢查內(nèi)容索引序號檢查類檢查項1組織體系第一責(zé)任人確立信息安全職責(zé)落實專職機(jī)構(gòu)及崗位設(shè)置安全人員配置2規(guī)章制度整體策略及總體方案制定制度制定及體系完整性操作規(guī)程制定制度發(fā)布3資金保障經(jīng)費(fèi)預(yù)算安全建設(shè)經(jīng)費(fèi)投入安全運(yùn)維經(jīng)費(fèi)投入4人員安全管理安全培訓(xùn)與考核保密協(xié)議簽訂人員審查崗位調(diào)整管控5服務(wù)外包管控外包服務(wù)協(xié)議第三方人員訪問管理遠(yuǎn)程服務(wù)管控現(xiàn)場開發(fā)管控6關(guān)鍵信息資產(chǎn)管控資產(chǎn)管理資產(chǎn)維修報廢管理7信息系統(tǒng)建設(shè)安全管理上線安全測評等級保護(hù)建設(shè)等級保護(hù)測評開展情況風(fēng)險評估產(chǎn)品采購和使用核心產(chǎn)品采購測試安全產(chǎn)品國產(chǎn)化情況8安全分區(qū)防御體系大區(qū)間隔離生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離縱向認(rèn)證跨區(qū)連接管控安全接入?yún)^(qū)內(nèi)外網(wǎng)隔離9網(wǎng)絡(luò)安全防護(hù)生產(chǎn)控制大區(qū)防護(hù)管理信息大區(qū)防護(hù)互聯(lián)網(wǎng)出口統(tǒng)一管理互聯(lián)網(wǎng)出口安全管控?zé)o線網(wǎng)絡(luò)安全應(yīng)用移動終端安全接入10主機(jī)和設(shè)備安全防護(hù)補(bǔ)丁更新惡意代碼防護(hù)系統(tǒng)安全整改加固移動存儲介質(zhì)管理辦公終端管控主機(jī)和設(shè)備賬號口令管理11應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)應(yīng)用系統(tǒng)安全功能及配置面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期測試應(yīng)用系統(tǒng)賬號口令管理重要數(shù)據(jù)安全保護(hù)物理環(huán)境安全防護(hù)機(jī)房安全建設(shè)12信息系統(tǒng)運(yùn)行安全管理日常維護(hù)安全審計補(bǔ)丁管理安全監(jiān)測13災(zāi)難恢復(fù)硬件冗余系統(tǒng)和數(shù)據(jù)備份異地災(zāi)備恢復(fù)測試14應(yīng)急管理信息通報應(yīng)急預(yù)案制定應(yīng)急演練應(yīng)急資源配備事故調(diào)查

（規(guī)范性附錄）

主要過程及其活動輸出任務(wù)階段輸出文檔文檔內(nèi)容信息收集和分析《附件1：信息系統(tǒng)安全檢查工作調(diào)研表》主要功能、部署位置、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、服務(wù)對象、用戶規(guī)模、業(yè)務(wù)周期、運(yùn)行高峰期等；業(yè)務(wù)主管部門、運(yùn)維機(jī)構(gòu)、系統(tǒng)開發(fā)商和集成商、上線運(yùn)行及系統(tǒng)升級日期等；定級情況、數(shù)據(jù)集中情況、災(zāi)備情況等。檢查內(nèi)容確定《附件2：信息系統(tǒng)安全檢查工作表》由兩部分內(nèi)容組成：一部分為基本檢查內(nèi)容，相關(guān)要求來自于本規(guī)范第五章節(jié)；另外一部分為補(bǔ)充檢查內(nèi)容，由檢查工作電力企業(yè)在每次檢查前，依據(jù)信息安全發(fā)展態(tài)勢和企業(yè)的實際情況進(jìn)行擬定。工具和文檔準(zhǔn)備《附件3：信息系統(tǒng)安全檢查工作通知書》《附件4：信息系統(tǒng)安全檢查工作文檔交接單》《附件5：工具驗證記錄》現(xiàn)場檢查工作的時間、依據(jù)、內(nèi)容、范圍和人員等信息；交接文檔名稱、時間、人員信息；對現(xiàn)場檢查需要用到的工具進(jìn)行升級更新和病毒查殺情況。檢查方案編制《附件6：信息系統(tǒng)安全檢查方案》概述、檢查依據(jù)、技術(shù)思路、被檢查系統(tǒng)的范圍、安全要求、業(yè)務(wù)情況、保護(hù)情況、被檢查系統(tǒng)的管理模式、檢查內(nèi)容和檢查組成員、工作計劃和內(nèi)容安排等?，F(xiàn)場檢查實施《附件7：首次會議記錄》《附件8：信息系統(tǒng)安全檢查工作表》記錄《附件9：風(fēng)險確認(rèn)書》日期、時間、會議內(nèi)容、與會人員名單；訪談結(jié)果記錄或訪談錄音、管理制度和管理執(zhí)行過程文檔的符合情況、安全技術(shù)要求的符合情況、漏洞掃描、滲透性測試、入侵檢測和協(xié)議分析等內(nèi)容的技術(shù)測試結(jié)果記錄以及電子記錄；對系統(tǒng)漏洞掃描過程中可能出現(xiàn)的危險進(jìn)行描述，提醒被檢查單位及時進(jìn)行數(shù)據(jù)備份和恢復(fù)。檢查結(jié)果確認(rèn)《附件10：信息系統(tǒng)安全檢查問題確認(rèn)單》《附件11：系統(tǒng)運(yùn)行情況驗證記錄》《附件12：末次會議記錄》檢查過程中發(fā)現(xiàn)的問題（包括問題的證據(jù)和證據(jù)源）、被檢查單位配合人員的書面認(rèn)可文件；日期、時間、系統(tǒng)運(yùn)行情況記錄；日期、時間、會議內(nèi)容、與會人員名單。檢查結(jié)果統(tǒng)計分析《附件13：信息系統(tǒng)安全檢查報告》概述、被檢查系統(tǒng)描述、被檢查對象說明、檢查內(nèi)容和方法說明、檢查結(jié)果匯總、風(fēng)險分析和評價等。檢查結(jié)果輸出《附件14：信息系統(tǒng)安全檢查問題整改報告》安全檢查結(jié)論，整改建議，整改期限等。

（資料性附錄）

風(fēng)險分析方法C.1定性分析1）判斷安全問題發(fā)生的可能性，可能性的取值范圍為高、中和低；標(biāo)識定義高安全問題出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過；或其實現(xiàn)條件較容易被攻擊者獲得。中安全問題出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過；或其實現(xiàn)條件難以被攻擊者獲得。低安全問題出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過；或其實現(xiàn)條件很難被攻擊者獲得。2）判斷安全問題被威脅利用后，對信息系統(tǒng)安全造成的影響程度，影響程度取值范圍為高、中和低；標(biāo)識定義高如果安全問題出現(xiàn)，將對信息系統(tǒng)造成重大損害。中如果安全問題出現(xiàn)，將對信息系統(tǒng)造成一般損害。低如果安全問題出現(xiàn)，將對信息系統(tǒng)造成較小或輕微損害。3）綜合1）和2）的結(jié)果對信息系統(tǒng)面臨的安全風(fēng)險進(jìn)行賦值，風(fēng)險值的取值范圍為高、中和低；標(biāo)識描述高一旦發(fā)生將產(chǎn)生較為嚴(yán)重的經(jīng)濟(jì)或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽(yù)造成損害。中一旦發(fā)生會造成一定的經(jīng)濟(jì)、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大。低一旦發(fā)生造成的影響程度較低甚至幾乎不存在，一般僅限于組織內(nèi)部，通過較為簡單的手段很快能解決。圖1安全問題風(fēng)險分布圖圖2檢查項問題分布圖C.2定量分析根據(jù)電力企業(yè)信息安全工作實際情況是否符合檢查項描述，為檢查項賦予權(quán)重值（Vij），根據(jù)檢查結(jié)果判定賦予量化值（Pij），安全檢查結(jié)果量化由公式（1）計算求得：（1）式中：n——檢查項個數(shù)m——第i檢查項中檢查條款的個數(shù)檢查類檢查項權(quán)重值（Vij）量化判定值（Pij）組織體系第一責(zé)任人確立1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0信息安全責(zé)任落實2符合：Pij=1部分符合：Pij=0.5不符合：Pij=0專職機(jī)構(gòu)及崗位設(shè)置2符合：Pij=1部分符合：Pij=0.5不符合：Pij=0安全人員配置2Pij=比值的小數(shù)點(diǎn)后兩位規(guī)章制度整體策略及總體方案制定2符合：Pij=1部分符合：Pij=0.5不符合：Pij=0制度制定及體系完整性2形成體系：0.5﹤Pij≤1制定基本制度：0﹤Pij≤0.5無制度：Pij=0操作規(guī)程制定2符合：Pij=1部分符合：Pij=0.5不符合：Pij=0制度發(fā)布1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0管理體系認(rèn)證1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0資金保障經(jīng)費(fèi)預(yù)算1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0安全建設(shè)經(jīng)費(fèi)投入2投入比率﹤0.5，Pij=00.05﹤投入比率≤0.1，Pij=0.30.1﹤投入比率≤0.15，Pij=0.7投入比率≥0.15，Pij=1安全運(yùn)維經(jīng)費(fèi)投入2投入比率﹤0.5，Pij=00.05﹤投入比率≤0.1，Pij=0.30.1﹤投入比率≤0.15，Pij=0.7投入比率≥0.15，Pij=1人員安全管理全員安全培訓(xùn)1Pij=比值的小數(shù)點(diǎn)后兩位全員保密協(xié)議簽訂1Pij=比值的小數(shù)點(diǎn)后兩位專業(yè)技能培訓(xùn)2Pij=比值的小數(shù)點(diǎn)后兩位人員審查1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0崗位調(diào)整管控1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0服務(wù)外包管控外包服務(wù)協(xié)議1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0第三方人員訪問管理1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0遠(yuǎn)程服務(wù)管控2符合：Pij=1部分符合：Pij=0.5不符合：Pij=0現(xiàn)場開發(fā)管控1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0關(guān)鍵信息資產(chǎn)管控資產(chǎn)清單1符合：Pij=1部分符合：Pij=0.5不符合：Pij=0資產(chǎn)管理職責(zé)1符合：Pij=1部分