信息安全检查表.docx_三一办公31ppt.com

资源描述

《信息安全检查表.docx》由会员分享，可在线阅读，更多相关《信息安全检查表.docx（35页珍藏版）》请在三一办公上搜索。

1、附件1：电力行业网络与信息安全检查方案电力行业网络与信息安全领导小组办公室二一二年七月- 7 -为贯彻落实国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函2012102号）要求，结合电力行业信息安全工作实际，制定电力行业网络与信息安全检查方案。一、检查依据1. 国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函2012102号）；2. 电力行业网络与信息安全监督管理暂行规定（电监信息200750号）。3. 电力二次系统安全防护规定（电监会5号令）。二、检查目的通过开展电力行业网络与信息安全检查，全面掌握重要电力网络与信息系统基本情况，分析面临的安全威胁和风险，评估

2、安全防护水平，查找突出问题和薄弱环节，有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障电力网络与信息系统安全，维护电力系统安全稳定运行，保障党的十八大顺利召开。三、检查范围各电力企业运行使用的网络和信息系统，重点检查信息安全保护等级为3级及以上的重要网络与信息系统。四、检查方式本次检查按照“谁主管谁负责、谁运行谁负责”的原则，采用电力企业自查、电监会派出机构对辖区内电力企业自查情况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。五、检查内容本次信息安全检查主要分基本情

3、况调查、安全防护情况检查和问题及风险分析三个方面。（一）网络与信息系统基本情况调查。主要调查系统特征，包括系统停止运行后对主要业务的影响程度，系统遭到攻击破坏后对社会公众的影响程度等；系统构成，包括主要软硬件设备的类型、数量、生产商等；信息技术外包服务，包括服务类型、服务提供商、服务方式、安全保密协议等。各单位要在全面调查的基础上，汇总填写电力行业信息安全检查情况报告表（见附件1）。（二）安全防护情况检查。各单位主要从以下15个方面对本单位信息安全防护情况进行重点检查，并在认真检查的基础上，如实填写电力企业信息安全检查表（2012版）（见附件2）。1. 组织体系建设情况。信息安全组织机构建立情

4、况；第一责任人确立情况；责任落实情况；专职机构及岗位设置情况；安全人员配置情况等。2. 规章制度建立情况。整体策略及总体规划（方案）制定情况；管理制度制定情况及制度体系完整性；操作规程制定情况；制度发布情况等。3. 资金保障情况。经费预算情况；安全运维经费投入情况；安全建设经费投入情况等。4. 人员安全管理情况。全员安全培训及保密协议签订情况；专业技能培训情况；岗位人员审查情况；岗位调整安全管控情况等。5. 服务外包管控情况。外包服务协议签订情况；第三方人员访问管理情况；远程服务管控情况；现场开发管控情况等。6. 关键信息资产管控情况。资产清单的建立情况；资产管理职责的落实情况；信息系统基础资

5、料归档情况等。7. 信息系统建设安全管理情况。系统上线安全测评情况；等级保护建设情况；等级保护测评情况；信息安全风险评估开展情况；密码产品采购情况；信息产品采购测试情况；安全产品国产化情况等。8. 安全分区防御情况。安全分区情况；横向隔离及纵向认证设备部署情况；跨区连接管控情况；内外网隔离情况等。9. 网络安全防护情况。生产控制大区安全防护情况；管理信息大区安全防护情况；互联网出口统一管理情况；互联网出口安全管控情况；无线网络安全防护情况等。10. 主机和设备安全防护情况。补丁更新管理情况；恶意代码防护情况；系统加固情况；办公终端管控情况；主机和设备帐号口令管理情况等。11. 应用系统和数据安

6、全防护情况。应用系统安全功能及配置情况；对外服务系统信息监控和攻击防御情况；对外服务系统周期测试情况；应用系统账号口令管理情况；重要数据安全保护情况等。12. 物理环境安全防护情况。机房安全建设情况等。13. 信息系统运行安全管理情况。日常维护情况；安全审计情况；补丁管理情况；介质管理情况；安全监测情况等。14. 灾难恢复情况。硬件冗余情况；定期备份情况；异地容灾中心建设情况；备份介质恢复测试情况等。15. 应急管理情况。网络与信息安全信息通报情况；总体应急预案制定情况；重要信息系统应急预案制定情况；应急演练开展情况；应急资源配备情况；事故调查工作情况等。（三）存在的问题和面临的风险分析。在完

7、成基本情况调查和安全防护情况检查的基础上，各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。1.当前安全管理和技术防护中的主要问题及薄弱环节，制定安全防护能力提高的主要因素（包括法律法规、政策制度、技术手段等方面）。2. 统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例，分析网络与信息系统对国外产品和服务的依赖程度。3. 根据安全检测发现的漏洞和隐患，分析网络与信息系统存在的安全风险，判断面临的安全威胁程度以及具备的安全防护能力，评估网络与信息系统总体安全状况。六、检查组织1. 电监会统一组织本次信息安全检查工作，电力行业网络与信息安全领导小组办公室负责信息安全检

8、查的日常工作。电监会各派出机构根据电监会的统一部署，负责辖区内电力企业信息安全自查督导和监督检查工作。2. 各电力（集团）公司负责组织开展本单位及其下属单位的信息安全检查工作。七、进度安排1. 7月16日7月20日，动员部署阶段印发关于开展电力行业网络与信息安全检查行动的通知和电力行业网络与信息安全检查方案，召开会议进行动员部署。2. 7月21日8月31日，实施阶段8月22日前，各单位完成本单位的信息安全自查工作，编写自查报告，制定整改方案。8月31日前，完成整改工作。电力（集团）公司应汇总填写本系统电力行业信息安全检查情况报告表和电力企业信息安全检查项目表（2012版），并和自查整改情况报

9、告一起报送电监会。对于无法及时完成整改的隐患项目，有关电力企业要说明原因，制定临时应急措施，并将情况说明按时报电监会。检查期间，电监会将组织若干专业小组对各单位进行抽查。抽查有关事项，电监会将于行前通知。3. 9月1日9月15日，总结阶段电监会对检查工作情况进行汇总和全面总结，形成电力企业信息安全检查报告并报国家网络与信息安全协调小组办公室。八、工作要求1. 各单位要高度重视，加强组织领导，制定检查方案，明确检查任务，落实检查责任，及时整改检查中发现的问题，并将检查整改情况按时报电监会。2. 各单位要精心部署，周密安排，认真组织。对于发现的问题，要找出原因，并举一反三，持续改进。各单位要建立检

10、查整改跟踪督办机制，力求使安全隐患都得到整改和妥善处置。3. 安全检查工作对象是各单位的重要系统、重要数据和敏感信息等资产，需要高度重视检查工作存在的风险，制定周密的应急防范措施，避免发生影响系统正常运行和敏感信息泄漏的事件。4. 各单位要高度重视信息安全保密工作，加强信息安全保密措施，检查结果除按规定报送外，不得向其他单位和个人透露。所有检查往来文件一律加密。5. 电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律，严格执行保密工作规定，不得随意泄露抽查组行程。附件: 1. 电力行业信息安全检查情况报告表 2. 电力企业信息安全检查项目表（2012版）附1：电力行业信息安全检查情

11、况报告表单位名称：一、重要信息系统安全检查情况基本情况重要信息系统总数 9 （请另附系统清单，下同）（按实时性进行统计）1. 非实时运行的系统数量 2. 实时运行的系统数量（按服务对象进行统计）1. 面向社会公众提供服务的系统数量 2. 不面向社会公众提供服务的系统数量（按联网情况进行统计）1. 直接连接互联网的系统数量 2. 同互联网强逻辑隔离的系统数量 3. 与互联网物理隔离的系统数量（按数据集中情况进行统计）1. 全国数据集中的系统数量 2. 省级数据集中的系统数量 3. 未进行数据集中的系统数量（按灾备情况进行统计）1. 进行系统级灾备的系统数量 2. 仅对数据进行灾备的系统

12、数量 3. 无灾备的系统数量系统构成情况主要硬件和软件服务器路由器交换机防火墙磁盘阵列磁带库操作系统数据库国内品牌数量（台/套）国外品牌数量（台/套）业务应用软件系统1. 自主设计开发（不含二次开发）的数量 2. 委托国内厂商开发的数量委托国外厂商开发的数量 3. 直接采购国内厂商产品的数量直接采购国外厂商产品的数量信息技术外包服务服务商名称： 1. 服务商性质：国有民营外资2. 服务内容： 3. 服务方式：远程在线服务现场服务（如有更多，请另列表）安全状况分析结果信息系统对国外产品和服务的依赖程度主要业务对信息系统的依赖程度信息系统面临的安全威胁程度信息系统安全防护能力信息系统

13、名称高中低高中低高中低高中低1.2.（如有更多，请另列表）二、重要工业控制系统安全检查情况基本情况重要工业控制系统运营单位总数：家重要工业控制系统总数：套系统类型情况国内品牌国外品牌数据采集与监控（SCADA）系统套套分布式控制系统（DCS）套套过程控制系统（PCS）套套可编程控制器（PLC）大型台台中型台台小型台台就地测控设备仪表台台智能电子设备（IED）台台远端设备（RTU）台台系统构成情况应用服务器-工程师工作站应用软件套套系统软件套套PC机/服务器台台数据库服务器数据库软件套套系统软件套套PC机/服务器台台通信设备台台

14、工业控制网络连接情况1. 直接与互联网连接的重要工业控制系统数量：套2. 与内部网络连接的重要工业控制系统数量：套3. 含有无线接入方式的重要工业控制系统数量：套运行维护情况1. 采用远程方式运行维护的重要工业控制系统数量：套2. 由国内厂商提供运行维护服务的重要工业控制系统数量：套3. 由国外厂商提供运行维护服务的重要工业控制系统数量：套信息安全防护情况1. 网络边界架设网络安全设备的重要工业控制系统数量：套2. 安装防病毒软件或设备的重要工业控制系统数量：套3. 定期进行安全更新的重要工业控制系统数量：套4. 采取加密措施传输、存储敏感数据的重要工业控制系统数量：套-

15、2 -附2：电力企业信息安全检查项目表（2012版）D 电力行业网络与信息安全领导小组办公室二一二年七月- 3 -目录1 检查工作基本信息12 检查项及检查记录 2 2.1 组织体系（ORG） 2 2.2 规章制度（REG） 4 2.3 资金保障（FUN） 5 2.4 人员安全管理（PER） 6 2.5 服务外包管控（OSE） 7 2.6 关键信息资产管控（ASS） 8 2.7 信息系统建设安全管理（CON）92.8 安全分区防御（SDD）112.9 网络安全防护（NET）122.10主机和设备安全防护（HEQ）132.11应用系统和数据安全防护（ADA）142.12物理安全防护（PEN）

16、152.13 信息系统运行安全管理（OPE）162.14 灾难恢复（REC）172.15 应急管理（EME）183 检查结果综合统计方法203.1检查项权重203.2计算方法221 检查工作基本信息受检单位基本信息单位名称上级单位名称下级单位总数单位类型电网企业发电企业电力科研企业电力设计施工企业其他类型企业检查方式本单位自查上级单位督查电监会抽查检查时间检查范围检查组基本信息检查组织单位检查组组长检查组成员- 19 -2 检查项及检查记录2.1 组织体系（ORG）标识检查项检查要素得分判定方法检查记录得分备注ORG.1组织机构建立组织建立了由决策层、管理层、执行层组成的完

17、整信息安全组织机构。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得0.4分。决策层符合/不符合判断法：3) 不符合，此项得0分；4) 符合，此项得0.3分。管理层符合/不符合判断法：5) 不符合，此项得0分；6) 符合，此项得0.3分。执行层ORG.2第一责任人确立组织主要负责人是本单位网络与信息安全的第一责任人，对本单位的网络与信息安全负全面责任。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。第一责任人ORG.3责任落实组织机构职责涵盖信息安全工作的主要方面，职责明确到责任部门、责任人员，并以正式文件形式发布。符合/不符合判断法：1) 不符合，此项得

18、0分；2) 符合，此项得1分。ORG.4专职机构及岗位设置组织信息安全机构及岗位设置符合如下要求：1）电力企业集团公司总部设置信息安全专职机构；2）电力企业集团公司二级单位设置信息安全管理和技术岗位；3）电力企业基层单位设置信息安全岗位。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。机构依据企业层级选择其中之一填写。管理和技术岗位信息安全岗位ORG.5安全人员配置组织专职信息安全工作人员数量与组织总信息安全岗位数量的比值。比率值法：1）得分=2）取小数点后2位。信息安全岗位总数专职人员数量2.2 规章制度（REG）标识检查项检查要素得分判定方法检查记录得分备注REG

19、.1整体策略及总体规划（方案）制定组织制定了信息安全工作的整体策略和总体规划（方案），说明信息安全工作的总体目标、范围、防护框架和防护措施。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得0.5分。整体策略符合/不符合判断法：3) 不符合，此项得0分；4) 符合，此项得0.5分。总体规划（方案）REG.2规章制度及体系完整性组织对信息安全工作制定了基本安全管理制度，并以此为基础形成了涵盖人员管理、资产管理、存储介质管理、信息系统建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系。选项法：1）无制度，此项得0分；2）制定了基本制度，此项得0.5分；3）形成制

20、度体系，此项得1分。基本制度制度体系REG.3操作规程制定组织对要求信息安全运行维护人员执行的日常管理操作制定了运维流程和操作规程。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得0.5分。运维流程符合/不符合判断法：3) 不符合，此项得0分；4) 符合，此项得0.5分。操作规程REG.4制度发布组织信息安全管理制度通过正式、有效的方式发布。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得0.5分。发布制度符合/不符合判断法：3) 不符合，此项得0分；4) 符合，此项得0.5分。主要文件符合发布制度要求2.3 资金保障（FUN）标识检查项检查要素得分判定方法检查

21、记录得分备注FUN.1经费预算组织信息安全建设及运行维护经费被列入预算。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。FUN.2安全建设经费投入组织用于信息安全建设（安全软硬件购置、系统安全功能开发、安全测试、安全咨询、安全培训、安全专项研究等）的经费占年度信息化建设总投入的比率。（取当年值或近两年平均值）选项法：1）比率=2）比率，此项得0分；3）比率，此项得0.3分；4）比率，此项得0.7分；5）比率，此项得1分。信息化建设总经费信息安全建设经费FUN.3安全运维经费投入组织用于信息安全运行维护（监督检查、日常安全运维、监测分析、应急演练及应急保障、测试评

22、估等）的经费占整个信息系统运行维护总投入的比率。（取当年值或近两年平均值）选项法：1）比率=2）比率，此项得0分；3）比率，此项得0.3分；4）比率，此项得0.7分；5）比率，此项得1分。信息系统运行维护总经费信息安全运行维护经费2.4 人员安全管理（PER）标识检查项检查要素得分判定方法检查记录得分备注PER.1全员安全培训及保密协议签订组织全体员工中参加年度信息安全培训并签署保密协议的比率。比率值法：1) 得分=；2) 取小数点后2位。员工总数参加年度培训人员数签署保密协议人员数PER.2专业技能培训组织信息安全工作人员中获得国家、行业信息安全专业培训证书的比率。比率值法：1)

23、得分=；2) 取小数点后2位。信息安全工作人员总数获得信息安全培训证书的人员数PER.3人员审查组织对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。PER.4岗位调整管控组织在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。2.5 服务外包管控（OSE）标识检查项检查要素得分判定方法检查记录得分备注OSE.1外包服务协议组织与合约方签订的外包服务协议中具有信息安全管控和保密条款。符合/不符合判断法：1) 不符合，此项得0

24、分；2) 符合，此项得0.5分。管控条款符合/不符合判断法：3) 不符合，此项得0分；4) 符合，此项得0.5分。保密条款OSE.2第三方人员访问管理组织对第三方人员访问机房等受控区域采取了书面审批、人员陪同、进出记录等管控措施。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得0.3分。受控区域符合/不符合判断法：3) 不符合，此项得0分；4) 符合，此项得0.3分。审批情况符合/不符合判断法：5) 不符合，此项得0分；6) 符合，此项得0.3分。陪同和记录情况OSE.3远程服务管控组织针对远程访问采取了书面审批、访问控制、在线监测、日志审计等管控措施。符合/不符合判断法：1)

25、不符合，此项得0分；2) 符合，此项得0.5分。审批情况符合/不符合判断法：3) 不符合，此项得0分；4) 符合，此项得0.5分。管控措施OSE.4现场开发管控组织采取技术措施保证开发测试环境与实际生产运行环境物理分离，并限定开发人员的活动范围和行为。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得0.5分。环境分离措施符合/不符合判断法：3) 不符合，此项得0分；4) 符合，此项得0.5分。范围和行为限定措施2.6 关键信息资产管控（ASS）标识检查项检查要素得分判定方法检查记录得分备注ASS.1资产清单组织识别所有信息资产并有资产清单。符合/不符合判断法：1) 不符合，此

26、项得0分；2) 符合，此项得1分。ASS.2资产管理职责组织对每项资产明确管理责任人及其职责。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。ASS.3信息系统基础资料归档组织对源代码、设计方案、建设实施方案等基础资料进行归档的系统数量与信息系统总数的比值。比率值法：1) 得分=；2) 取小数点后2位。信息系统总数已归档系统数量2.7 信息系统建设安全管理（CON）标识检查项检查要素得分判定方法检查记录得分备注CON.1上线安全测评组织信息系统在上线前通过安全测评的比率。比率值法：1) 得分=；2) 取小数点后2位。已投运信息系统通过安全测评系统CON.2等级保护建设组织

27、信息系统中按要求开展等级保护建设的比率。比率值法：1) 得分=；2) 取小数点后2位。需开展建设系统已开展建设系统CON.3等级保护测评组织信息系统中按要求开展等级保护测评的比率。比率值法：1) 得分=；2) 取小数点后2位。需测评信息系统已开展测评信息系统CON.4风险评估组织信息系统中按要求开展信息安全风险评估的比率。比率值法：1) 得分=；2) 取小数点后2位。需评估信息系统开展评估信息系统CON.5密码产品采购组织密码产品的采购和使用符合国家密码主管部门的要求。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。CON.6产品采购测试组织对信息安全产品、系统基础软硬件

28、、系统应用软件、工业控制装置等在采购前实施安全性测试。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。CON.7安全产品国产化情况组织信息安全产品国产化率。比率值法：1) 得分=；2) 取小数点后2位。信息安全产品总数国产产品数量2.8 安全分区防御（SDD）标识检查项检查要素得分判定方法检查记录得分备注SDD.1安全分区按照电力二次系统安全防护规定要求，划分了生产控制大区和管理信息大区，生产控制大区内的控制区和非控制区逻辑隔离。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。生产大区内部分2个区，信息管理大区内部分1个区。SDD.2横向隔离及纵向认

29、证按照电力二次系统安全防护规定要求，在生产控制大区与其他区域有信息交换时，部署横向隔离装置，在调度数据网上下级网络接口部署纵向加密装置。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。生产大区内部1、2区之间。厂级和网调之间未加密。SDD.3跨区连接管控组织不存在未通过横向隔离装置跨区网络直接连接的情况。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。SDD.4内外网隔离组织应用独立的网络及终端处理敏感信息且未与互联网连接。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。2.9 网络安全防护（NET）标识检查项检查要素得分判定方

30、法检查记录得分备注NET.1生产控制大区防护组织在生产控制大区内部实施了网络设备安全防护、ARP防范、非授权网络接入管控等技术措施。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。NET.2管理信息大区防护组织在管理信息大区内部实施了网络设备安全防护、ARP防范、非授权网络接入管控等技术措施。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。NET.3互联网出口统一管理组织互联网出口数量与组织内独立部门（单位）总数的比值。比率值法：1) 比率=；2) ，得0分；3) ，得0.3分4) ，得0.7分5) ，得1分6) 取小数点后2位。独立部门（单位）总数

31、互联网出口数量NET.4互联网出口安全管控组织互联网出口中部署了访问控制设备和入侵检测设备且访问控制粒度达到端口级的比率。比率值法：1) 得分=；2) 取小数点后2位。互联网出口数量防护符合要求出口数量NET.5无线网络安全应用组织应用无线网络承载业务的信息系统中采取认证、完整性保护、机密性保护等必要安全防护措施的比率。比率值法：1) 得分=；2) 取小数点后2位。应用无线网络信息系统总数符合防护要求的系统数2.10主机和设备安全防护（HEQ）标识检查项检查要素得分判定方法检查记录得分备注HEQ.1补丁更新组织按照补丁管理要求进行了可更新补丁的更新。符合/不符合判断法：1) 不符合，此项得0分

32、；2) 符合，此项得1分。HEQ.2恶意代码防护组织按照恶意代码管理要求进行了恶意代码检测程序及可更新恶意代码库的更新。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。HEQ.3系统加固组织主机和设备中按照等级保护测评、风险评估、信息安全检查等发现的问题完成加固的比率。比率值法：1) 得分=2) 取小数点后2位。应加固主机和设备数量完成加固主机和设备数量HEQ.4办公终端管控组织实施安全管控并统一安装防病毒软件的办公终端数量与办公终端总数的比值。比率值法：1) 得分=；2) 取小数点后2位。办公终端总数实施管控终端数量HEQ.5主机和设备账号口令组织主机和设备中经检测未发

33、现存在不符合口令管理制度要求帐号口令的主机和设备比率。比率值法：1) 得分=；2) 取小数点后2位。检测主机和设备数量未发现问题的主机和设备数2.11应用系统和数据安全防护（ADA）标识检查项检查要素得分判定方法检查记录得分备注ADA.1应用系统安全功能及配置组织在等级保护测评、风险评估、信息安全检查等工作中未发现应用系统安全功能及配置方面存在问题的应用系统比率。比率值法：1) 得分=；2) 取小数点后2位。总检查、评估系统数未发现问题的系统数ADA.2面向互联网服务系统安全监控和攻击防御组织面向互联网服务的信息系统中部署信息监控和攻击防御措施的比率。比率值法：1) 得分=；2) 取小数点后2

34、位。面向互联网提供服务系统数符合防护要求系统数ADA.3面向互联网服务系统周期性测试组织按要求对面向互联网服务的系统进行周期性安全测试的比率。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。ADA.4应用系统帐号口令管理组织应用系统中经检测未发现存在不符合口令管理制度要求帐号口令的比率。比率值法：1) 得分=；2) 取小数点后2位。应用系统检测总数未检出问题的应用系统数ADA.5重要数据安全防护组织采用加密或其它措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的完整性和保密性保护。符合/不符合判断法：1) 不符合，此项得0分；2) 符合，此项得1分。2.12物理安全

35、防护（PEN）标识检查项检查要素得分判定方法检查记录得分备注PEN.1机房安全建设组织按照等级保护要求落实物理安全防护的机房比率。比率值法：1) 得分=；2) 取小数点后2位。机房总数符合防护要求机房2.13 信息系统运行安全管理（OPE）标识检查项检查要素得分判定方法检查记录得分备注OPE.1日常维护组织按照制定的规章制度、操作规程等执行了日常维护工作，并有详尽记录。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。OPE.2日志审计组织对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、定期分析。符合/不符合判断法：1）

36、不符合，此项得0分；2）符合，此项得1分。OPE.3补丁管理组织制定了补丁升级管理制度和补丁升级策略，建立有关键业务系统补丁升级测试环境。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.5分。制度及策略符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.5分测试环境OPE.4介质管理组织设置实施了限制移动介质使用的技术措施，对移动存储介质的发放、注册、使用、存放、销毁有记录。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。OPE.5安全监测组织建立安全监测系统对互联网出口、面向互联网提供服务系统、重要信息系统的运行、病毒木马、办公终端

37、安全防护等情况进行监测。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。2.14 灾难恢复（REC）标识检查项检查要素得分判定方法检查记录得分备注REC.1硬件冗余组织重要信息系统网络设备、通信线路和数据处理系统硬件冗余。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。REC.2定期备份组织重要信息系统实施本地备份，并制定定期检查策略，备份介质场外存放。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。说明是系统备份还是数据备份，是全部备份还是部分备份REC.3异地容灾中心组织建立异地灾备中心，三级信息系统实现关键数据定时批量传送

38、至备用场地，四级信息系统实现业务应用实时无缝切换。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。REC.4恢复测试组织按照备份及恢复测试要求，定期组织实施恢复测试，并有文档记录。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。2.15 应急管理（EME）标识检查项检查要素得分判定方法检查记录得分备注EME.1信息通报组织建立了网络与信息安全信息通报机制，按要求向电力监管机构通报网络和信息安全状况。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。EME.2应急预案制定组织按照电力行业网络与信息安全应急预案，制定了网络与信息安全应

39、急预案。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。EME.3重要信息系统应急预案制定组织重要信息系统中制定了专项应急处置预案的比率。比率值法：1) 得分=；2) 取小数点后2位。重要信息系统总数制定专项案的信息系统数EME.4应急演练组织实施了年度应急演练，并有演练脚本和演练实施文档记录。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。EME.5应急资源配备组织结合信息安全工作需求，储备、购置应急所需技术队伍和物资。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.5分。应急支援队伍符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.5分。已配备或已落实应急供应渠道EME.6事故调查组织按照国家、行业及本单位应急预案

展开阅读全文