1 檢查工作基本信息
受檢單位 基本信息 | 單位名稱 |
|
上級單位名稱 |
|
下級單位總數(shù) |
|
單位類型 | ?? 電網(wǎng)企業(yè)??????????? □ ?? 發(fā)電企業(yè)??????????? √ ?? 電力科研企業(yè)??????? □ ?? 電力設計施工企業(yè)??? □ ?? 其他類型企業(yè)??????? □ |
檢查方式 | ??? 本單位自查?????????? √??? ??? 上級單位督查???????? □???? ??? 電監(jiān)會抽查?????????? □ |
檢查時間 |
|
檢查范圍 |
|
檢查組基本信息 | 檢查組織單位 |
|
檢查組組長 |
|
檢查組成員 |
|
?
2 檢查項及檢查記錄
2.1 組織體系(ORG)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
ORG.1 | 組織機構建立 | 組織建立了由決策層、管理層�����、執(zhí)行層組成的完整信息安全組織機構���。 | 符合/不符合判斷法: 1)???? ? ?不符合���,此項得0分; 2)???? ? ?符合���,此項得0.4分���。 | 決策層 |
|
|
|
符合/不符合判斷法: 3)???? ? ?不符合,此項得0分�; 4)????? ? ?符合,此項得0.3分����。 | 管理層 |
|
符合/不符合判斷法: 5)???? ? ?不符合,此項得0分��; 6)????? ? ?符合,此項得0.3分。 | 執(zhí)行層 |
|
ORG.2 | 第一責任人確立 | 組織主要負責人是本單位網(wǎng)絡與信息安全的第一責任人,對本單位的網(wǎng)絡與信息安全負全面責任����。 | 符合/不符合判斷法: 1)???? ? ?不符合�,此項得0分�����; 2)???? ? ?符合���,此項得1分。 | 第一責任人 |
|
|
|
ORG.3 | 責任落實 | 組織機構職責涵蓋信息安全工作的主要方面���,職責明確到責任部門���、責任人員,并以正式文件形式發(fā)布�����。 | 符合/不符合判斷法: 1)???? ? ?不符合��,此項得0分; 2)???? ? ?符合��,此項得1分�����。 |
|
|
|
ORG.4 | 專職機構及崗位設置 | 組織信息安全機構及崗位設置符合如下要求:1)電力企業(yè)集團公司總部設置信息安全專職機構�;2)電力企業(yè)集團公司二級單位設置信息安全管理和技術崗位;3)電力企業(yè)基層單位設置信息安全崗位��。 | 符合/不符合判斷法: 1)???? ? ?不符合����,此項得0分; 2)???? ? ?符合�,此項得1分。 | 機構 |
|
| 依據(jù)企業(yè)層級選擇其中之一填寫�。 |
管理和技術崗位 |
|
信息安全崗位 |
|
ORG.5 | 安全人員配置 | 組織專職信息安全工作人員數(shù)量與組織總信息安全崗位數(shù)量的比值。 | 比率值法: 1) 得分= 
2) 取小數(shù)點后2位����。 | 信息安全崗位總數(shù) |
|
|
|
專職人員數(shù)量 |
|
?
2.2 規(guī)章制度(REG)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
REG.1 | 整體策略及總體規(guī)劃(方案)制定 | 組織制定了信息安全工作的整體策略和總體規(guī)劃(方案),說明信息安全工作的總體目標�、范圍、防護框架和防護措施����。 | 符合/不符合判斷法: 1)???? ? ?不符合�,此項得0分�; 2)???? ? ?符合,此項得0.5分���。 | 整體策略 |
|
|
|
符合/不符合判斷法: 3)???? ? ?不符合�,此項得0分�; 4)???? ? ?符合,此項得0.5分����。 | 總體規(guī)劃(方案) |
|
REG.2 | 規(guī)章制度及體系完整性 | 組織對信息安全工作制定了基本安全管理制度�����,并以此為基礎形成了涵蓋人員管理�����、資產(chǎn)管理���、存儲介質管理��、信息系統(tǒng)建設安全管理����、運行維護管理、外包服務管理�����、培訓教育等方面的制度體系�。 | 選項法: 1) 無制度,此項得0分��; 2) 制定了基本制度����,此項得0.5分; 3) 形成制度體系�,此項得1分。 | 基本制度 |
|
|
|
制度體系 |
|
REG.3 | 操作規(guī)程制定 | 組織對要求信息安全運行維護人員執(zhí)行的日常管理操作制定了運維流程和操作規(guī)程�����。 | 符合/不符合判斷法: 1)???? ? ?不符合�,此項得0分; 2)???? ? ?符合���,此項得0.5分�����。 | 運維流程 |
|
|
|
符合/不符合判斷法: 3)???? ? ?不符合���,此項得0分�; 4)???? ? ?符合�,此項得0.5分。 | 操作規(guī)程 |
|
REG.4 | 制度發(fā)布 | 組織信息安全管理制度通過正式�、有效的方式發(fā)布。 | 符合/不符合判斷法: 1)???? ? ?不符合�����,此項得0分����; 2)???? ? ?符合��,此項得0.5分����。 | 發(fā)布制度 |
|
|
|
符合/不符合判斷法: 3)???? ? ?不符合�,此項得0分�; 4)???? ? ?符合,此項得0.5分��。 | 主要文件符合發(fā)布制度要求 |
|
|
|
?
2.3 資金保障(FUN)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
FUN.1 | 經(jīng)費預算 | 組織信息安全建設及運行維護經(jīng)費被列入預算�。 | 符合/不符合判斷法: 1)???? ? ?不符合,此項得0分�����; 2)???? ? ?符合����,此項得1分。 |
|
|
|
FUN.2 | 安全建設經(jīng)費投入 | 組織用于信息安全建設(安全軟硬件購置����、系統(tǒng)安全功能開發(fā)、安全測試�、安全咨詢、安全培訓�����、安全專項研究等)的經(jīng)費占年度信息化建設總投入的比率�。(取當年值或近兩年平均值) | 選項法: 1) 比率= 2) 比率��,此項得0分��; 3) 比率���,此項得0.3分; 4) 比率����,此項得0.7分; 5) 比率�,此項得1分。 | 信息化建設總經(jīng)費 |
|
|
|
信息安全建設經(jīng)費 |
|
|
|
FUN.3 | 安全運維經(jīng)費投入 | 組織用于信息安全運行維護(監(jiān)督檢查�����、日常安全運維�����、監(jiān)測分析���、應急演練及應急保障、測試評估等)的經(jīng)費占整個信息系統(tǒng)運行維護總投入的比率�����。(取當年值或近兩年平均值) | 選項法: 1) 比率= 2) 比率,此項得0分���; 3) 比率�,此項得0.3分���; 4) 比率�,此項得0.7分�; 5) 比率,此項得1分�����。 | 信息系統(tǒng)運行維護總經(jīng)費 |
|
|
|
信息安全運行維護經(jīng)費 |
|
?
2.4 人員安全管理(PER)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
PER.1 | 全員安全培訓及保密協(xié)議簽訂 | 組織全體員工中參加年度信息安全培訓并簽署保密協(xié)議的比率�。 | 比率值法: 1)?????? ? ?得分= ; 2)?????? ? ?取小數(shù)點后2位���。 | 員工總數(shù) |
|
|
|
參加年度培訓人員數(shù) |
|
簽署保密協(xié)議人員數(shù) |
|
PER.2 | 專業(yè)技能培訓 | 組織信息安全工作人員中獲得國家�����、行業(yè)信息安全專業(yè)培訓證書的比率��。 | 比率值法: 1)???? ? ?得分=����; 2)???? ? ?取小數(shù)點后2位。 | 信息安全工作人員總數(shù) |
|
|
|
獲得信息安全培訓證書的人員數(shù) |
|
PER.3 | 人員審查 | 組織對信息安全崗位人員和其他敏感崗位人員實施身份���、背景和資質審查���。 | 符合/不符合判斷法: 1)?????? ? ?不符合,此項得0分�; 2)?????? ? ?符合,此項得1分�。 |
|
|
|
PER.4 | 崗位調整管控 | 組織在信息安全崗位人員及其他敏感崗位人員離崗時執(zhí)行權限回收和離崗承諾書簽署。 | 符合/不符合判斷法: 1)?????? ? ?不符合���,此項得0分�; 2)?????? ? ?符合����,此項得1分。 |
|
|
|
?
2.5 服務外包管控(OSE)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
OSE.1 | 外包服務協(xié)議 | 組織與合約方簽訂的外包服務協(xié)議中具有信息安全管控和保密條款����。 | 符合/不符合判斷法: 1)?????? ? ?不符合,此項得0分���; 2)?????? ? ?符合����,此項得0.5分����。 | 管控條款 |
|
|
|
符合/不符合判斷法: 3)?????? ? ?不符合,此項得0分���; 4)?????? ? ?符合�,此項得0.5分���。 | 保密條款 |
|
OSE.2 | 第三方人員訪問管理 | 組織對第三方人員訪問機房等受控區(qū)域采取了書面審批�、人員陪同�����、進出記錄等管控措施��。 | 符合/不符合判斷法: 1)?????? ? ?不符合,此項得0分����; 2)?????? ? ?符合,此項得0.3分���。 | 受控區(qū)域 |
|
|
|
符合/不符合判斷法: 3)?????? ? ?不符合��,此項得0分�; 4)?????? ? ?符合�,此項得0.3分。 | 審批情況 |
|
符合/不符合判斷法: 5)?????? ? ?不符合�,此項得0分; 6)?????? ? ?符合�,此項得0.3分。 | 陪同和記錄情況 |
|
OSE.3 | 遠程服務管控 | 組織針對遠程訪問采取了書面審批�、訪問控制、在線監(jiān)測�����、日志審計等管控措施�����。 | 符合/不符合判斷法: 1)?????? ? ?不符合,此項得0分����; 2)?????? ? ?符合�,此項得0.5分。 | 審批情況 |
|
|
|
符合/不符合判斷法: 3)?????? ? ?不符合�����,此項得0分�; 4)?????? ? ?符合,此項得0.5分����。 | 管控措施 |
|
OSE.4 | 現(xiàn)場開發(fā)管控 | 組織采取技術措施保證開發(fā)測試環(huán)境與實際生產(chǎn)運行環(huán)境物理分離,并限定開發(fā)人員的活動范圍和行為�����。 | 符合/不符合判斷法: 1)?????? ? ?不符合�����,此項得0分�; 2)?????? ? ?符合����,此項得0.5分���。 | 環(huán)境分離措施 |
|
|
|
符合/不符合判斷法: 3)?????? ? ?不符合�����,此項得0分�����; 4)?????? ? ?符合����,此項得0.5分�。 | 范圍和行為限定措施 |
|
?
2.6 關鍵信息資產(chǎn)管控(ASS)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
ASS.1 | 資產(chǎn)清單 | 組織識別所有信息資產(chǎn)并有資產(chǎn)清單。 | 符合/不符合判斷法: 1)?????? ? ?不符合�,此項得0分; 2)?????? ? ?符合��,此項得1分�����。 |
|
|
|
ASS.2 | 資產(chǎn)管理職責 | 組織對每項資產(chǎn)明確管理責任人及其職責。 | 符合/不符合判斷法: 1)?????? ? ?不符合�,此項得0分; 2)?????? ? ?符合�����,此項得1分����。 |
|
|
|
ASS.3 | 信息系統(tǒng)基礎資料歸檔 | 組織對源代碼�、設計方案、建設實施方案等基礎資料進行歸檔的系統(tǒng)數(shù)量與信息系統(tǒng)總數(shù)的比值�。 | 比率值法: 1)???? ? ?得分=; 2)???? ? ?取小數(shù)點后2位�����。 | 信息系統(tǒng)總數(shù) |
|
|
|
已歸檔系統(tǒng)數(shù)量 |
|
?
2.7 信息系統(tǒng)建設安全管理(CON)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
CON.1 | 上線安全測評 | 組織信息系統(tǒng)在上線前通過安全測評的比率�����。 | 比率值法: 1)???? ? ?得分= ����; 2)???? ? ?取小數(shù)點后2位��。 | 已投運信息系統(tǒng) |
|
|
|
通過安全測評系統(tǒng) |
|
CON.2 | 等級保護建設 | 組織信息系統(tǒng)中按要求開展等級保護建設的比率�。 | 比率值法: 1)???? ? ?得分= ; 2)???? ? ?取小數(shù)點后2位�����。 | 需開展建設系統(tǒng) |
|
|
|
已開展建設系統(tǒng) |
|
|
|
CON.3 | 等級保護測評 | 組織信息系統(tǒng)中按要求開展等級保護測評的比率���。 | 比率值法: 1)???? ? ?得分= ; 2)???? ? ?取小數(shù)點后2位����。 | 需測評信息系統(tǒng) |
|
|
|
已開展測評信息系統(tǒng) |
|
CON.4 | 風險評估 | 組織信息系統(tǒng)中按要求開展信息安全風險評估的比率。 | 比率值法: 1)???? ? ?得分= ���; 2)???? ? ?取小數(shù)點后2位�。 | 需評估信息系統(tǒng) |
|
|
|
開展評估信息系統(tǒng) |
|
CON.5 | 密碼產(chǎn)品采購 | 組織密碼產(chǎn)品的采購和使用符合國家密碼主管部門的要求�。 | 符合/不符合判斷法: 1)?????? ? ?不符合,此項得0分���; 2)?????? ? ?符合�,此項得1分。 |
|
|
|
CON.6 | 產(chǎn)品采購測試 | 組織對信息安全產(chǎn)品�、系統(tǒng)基礎軟硬件、系統(tǒng)應用軟件��、工業(yè)控制裝置等在采購前實施安全性測試��。 | 符合/不符合判斷法: 1)?????? ? ?不符合�����,此項得0分�; 2)?????? ? ?符合,此項得1分�����。 |
|
|
|
CON.7 | 安全產(chǎn)品國產(chǎn)化情況 | 組織信息安全產(chǎn)品國產(chǎn)化率���。 | 比率值法: 1)???? ? ?得分= ; 2)???? ? ?取小數(shù)點后2位����。 | 信息安全產(chǎn)品總數(shù) |
|
|
|
國產(chǎn)產(chǎn)品數(shù)量 |
|
?
2.8 安全分區(qū)防御(SDD)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
SDD.1 | 安全分區(qū) | 按照《電力二次系統(tǒng)安全防護規(guī)定》要求,劃分了生產(chǎn)控制大區(qū)和管理信息大區(qū)�,生產(chǎn)控制大區(qū)內的控制區(qū)和非控制區(qū)邏輯隔離。 | 符合/不符合判斷法: 1)?????? ? ?不符合�����,此項得0分; 2)?????? ? ?符合���,此項得1分��。 | 生產(chǎn)大區(qū)內部分2個區(qū)���,信息管理大區(qū)內部分1個區(qū)。 |
|
|
SDD.2 | 橫向隔離及縱向認證 | 按照《電力二次系統(tǒng)安全防護規(guī)定》要求���,在生產(chǎn)控制大區(qū)與其他區(qū)域有信息交換時�,部署橫向隔離裝置�����,在調度數(shù)據(jù)網(wǎng)上下級網(wǎng)絡接口部署縱向加密裝置���。 | 符合/不符合判斷法: 1)?????? ? ?不符合����,此項得0分; 2)?????? ? ?符合�,此項得1分。 | 生產(chǎn)大區(qū)內部1���、2區(qū)之間���。廠級和網(wǎng)調之間未加密。 |
|
|
SDD.3 | 跨區(qū)連接管控 | 組織不存在未通過橫向隔離裝置跨區(qū)網(wǎng)絡直接連接的情況����。 | 符合/不符合判斷法: 1)?????? ? ?不符合,此項得0分�; 2)?????? ? ?符合,此項得1分���。 |
|
|
|
SDD.4 | 內外網(wǎng)隔離 | 組織應用獨立的網(wǎng)絡及終端處理敏感信息且未與互聯(lián)網(wǎng)連接�。 | 符合/不符合判斷法: 1)?????? ? ?不符合�����,此項得0分�����; 2)?????? ? ?符合�����,此項得1分�����。 |
|
|
|
?
2.9 網(wǎng)絡安全防護(NET)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
NET.1 | 生產(chǎn)控制大區(qū)防護 | 組織在生產(chǎn)控制大區(qū)內部實施了網(wǎng)絡設備安全防護�����、ARP防范�、非授權網(wǎng)絡接入管控等技術措施。 | 符合/不符合判斷法: 1)?????? ? ?不符合�,此項得0分; 2)?????? ? ?符合���,此項得1分���。 |
|
|
|
NET.2 | 管理信息大區(qū)防護 | 組織在管理信息大區(qū)內部實施了網(wǎng)絡設備安全防護、ARP防范���、非授權網(wǎng)絡接入管控等技術措施�����。 | 符合/不符合判斷法: 1)?????? ? ?不符合����,此項得0分; 2)?????? ? ?符合���,此項得1分�����。 |
|
|
|
NET.3 | 互聯(lián)網(wǎng)出口統(tǒng)一管理 | 組織互聯(lián)網(wǎng)出口數(shù)量與組織內獨立部門(單位)總數(shù)的比值����。 | 比率值法: 1)???? ? ?比率=�����; 2)???? ? ?�,得0分�����; 3)???? ? ?,得0.3分 4)???? ? ?����,得0.7分 5)???? ? ?,得1分 6)???? ? ?取小數(shù)點后2位����。 | 獨立部門(單位)總數(shù) |
|
|
|
互聯(lián)網(wǎng)出口數(shù)量 |
|
NET.4 | 互聯(lián)網(wǎng)出口安全管控 | 組織互聯(lián)網(wǎng)出口中部署了訪問控制設備和入侵檢測設備且訪問控制粒度達到端口級的比率。 | 比率值法: 1)???? ? ?得分=�; 2)???? ? ?取小數(shù)點后2位。 | 互聯(lián)網(wǎng)出口數(shù)量 |
|
|
|
防護符合要求出口數(shù)量 |
|
NET.5 | 無線網(wǎng)絡安全應用 | 組織應用無線網(wǎng)絡承載業(yè)務的信息系統(tǒng)中采取認證����、完整性保護、機密性保護等必要安全防護措施的比率��。 | 比率值法: 1)???? ? ?得分= �����; 2)???? ? ?取小數(shù)點后2位��。 | 應用無線網(wǎng)絡信息系統(tǒng)總數(shù) |
|
|
|
符合防護要求的系統(tǒng)數(shù) |
|
?
2.10主機和設備安全防護(HEQ)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
HEQ.1 | 補丁更新 | 組織按照補丁管理要求進行了可更新補丁的更新�。 | 符合/不符合判斷法: 1)?????? ? ?不符合,此項得0分���; 2)?????? ? ?符合����,此項得1分。 |
|
|
|
HEQ.2 | 惡意代碼防護 | 組織按照惡意代碼管理要求進行了惡意代碼檢測程序及可更新惡意代碼庫的更新�����。 | 符合/不符合判斷法: 1)?????? ? ?不符合�����,此項得0分�����; 2)?????? ? ?符合�����,此項得1分�����。 |
|
|
|
HEQ.3 | 系統(tǒng)加固 | 組織主機和設備中按照等級保護測評��、風險評估�����、信息安全檢查等發(fā)現(xiàn)的問題完成加固的比率����。 | 比率值法: 1)???? ? ?得分= 2)???? ? ?取小數(shù)點后2位。 | 應加固主機和設備數(shù)量 |
|
|
|
完成加固主機和設備數(shù)量 |
|
HEQ.4 | 辦公終端管控 | 組織實施安全管控并統(tǒng)一安裝防病毒軟件的辦公終端數(shù)量與辦公終端總數(shù)的比值�����。 | 比率值法: 1)???? ? ?得分=���; 2)???? ? ?取小數(shù)點后2位����。 | 辦公終端總數(shù) |
|
|
|
實施管控終端數(shù)量 |
|
HEQ.5 | 主機和設備賬號口令 | 組織主機和設備中經(jīng)檢測未發(fā)現(xiàn)存在不符合口令管理制度要求帳號口令的主機和設備比率����。 | 比率值法: 1)???? ? ?得分= ; 2)???? ? ?取小數(shù)點后2位�。 | 檢測主機和設備數(shù)量 |
|
|
|
未發(fā)現(xiàn)問題的主機和設備數(shù) |
|
?
2.11應用系統(tǒng)和數(shù)據(jù)安全防護(ADA)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
ADA.1 | 應用系統(tǒng)安全功能及配置 | 組織在等級保護測評、風險評估����、信息安全檢查等工作中未發(fā)現(xiàn)應用系統(tǒng)安全功能及配置方面存在問題的應用系統(tǒng)比率�����。 | 比率值法: 1)???? ? ?得分= ���; 2)???? ? ?取小數(shù)點后2位。 | 總檢查�����、評估系統(tǒng)數(shù) |
|
|
|
未發(fā)現(xiàn)問題的系統(tǒng)數(shù) |
|
ADA.2 | 面向互聯(lián)網(wǎng)服務系統(tǒng)安全監(jiān)控和攻擊防御 | 組織面向互聯(lián)網(wǎng)服務的信息系統(tǒng)中部署信息監(jiān)控和攻擊防御措施的比率���。 | 比率值法: 1)???? ? ?得分= ��; 2)???? ? ?取小數(shù)點后2位�����。 | 面向互聯(lián)網(wǎng)提供服務系統(tǒng)數(shù) |
|
|
|
符合防護要求系統(tǒng)數(shù) |
|
ADA.3 | 面向互聯(lián)網(wǎng)服務系統(tǒng)周期性測試 | 組織按要求對面向互聯(lián)網(wǎng)服務的系統(tǒng)進行周期性安全測試的比率���。 | 符合/不符合判斷法: 1)???? ? ?不符合,此項得0分; 2)???? ? ?符合�,此項得1分。 |
|
|
|
ADA.4 | 應用系統(tǒng)帳號口令管理 | 組織應用系統(tǒng)中經(jīng)檢測未發(fā)現(xiàn)存在不符合口令管理制度要求帳號口令的比率���。 | 比率值法: 1)???? ? ?得分= ����; 2)???? ? ?取小數(shù)點后2位����。 | 應用系統(tǒng)檢測總數(shù) |
|
|
|
未檢出問題的應用系統(tǒng)數(shù) |
|
ADA.5 | 重要數(shù)據(jù)安全防護 | 組織采用加密或其它措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)�、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸和存儲的完整性和保密性保護。 | 符合/不符合判斷法: 1)?????? ? ?不符合��,此項得0分�����; 2)?????? ? ?符合�,此項得1分。 |
|
|
|
?
2.12物理安全防護(PEN)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
PEN.1 | 機房安全建設 | 組織按照等級保護要求落實物理安全防護的機房比率�����。 | 比率值法: 1)???? ? ?得分= ; 2)???? ? ?取小數(shù)點后2位��。 | 機房總數(shù) |
|
|
|
符合防護要求機房 |
|
?
2.13 信息系統(tǒng)運行安全管理(OPE)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
OPE.1 | 日常維護 | 組織按照制定的規(guī)章制度���、操作規(guī)程等執(zhí)行了日常維護工作��,并有詳盡記錄�����。 | 符合/不符合判斷法: 1) 不符合��,此項得0分�����; 2) 符合�����,此項得1分�����。 |
|
|
|
OPE.2 | 日志審計 | 組織對網(wǎng)絡運行日志�����、操作系統(tǒng)日志��、數(shù)據(jù)庫訪問日志�����、業(yè)務應用系統(tǒng)運行日志��、安全設施運行日志等進行集中收集�、定期分析���。 | 符合/不符合判斷法: 1) 不符合���,此項得0分; 2) 符合���,此項得1分����。 |
|
|
|
OPE.3 | 補丁管理 | 組織制定了補丁升級管理制度和補丁升級策略��,建立有關鍵業(yè)務系統(tǒng)補丁升級測試環(huán)境。 | 符合/不符合判斷法: 1) 不符合���,此項得0分����; 2) 符合����,此項得0.5分。 | 制度及策略 |
|
|
|
符合/不符合判斷法: 3) 不符合�����,此項得0分����; 4) 符合,此項得0.5分 | 測試環(huán)境 |
|
OPE.4 | 介質管理 | 組織設置實施了限制移動介質使用的技術措施�����,對移動存儲介質的發(fā)放����、注冊�����、使用���、存放、銷毀有記錄�。 | 符合/不符合判斷法: 1) 不符合,此項得0分�; 2) 符合,此項得1分��。 |
|
|
|
OPE.5 | 安全監(jiān)測 | 組織建立安全監(jiān)測系統(tǒng)對互聯(lián)網(wǎng)出口�����、面向互聯(lián)網(wǎng)提供服務系統(tǒng)��、重要信息系統(tǒng)的運行�、病毒木馬��、辦公終端安全防護等情況進行監(jiān)測����。 | 符合/不符合判斷法: 1) 不符合�,此項得0分����; 2) 符合,此項得1分���。 |
|
|
|
|
?
2.14 災難恢復(REC)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
REC.1 | 硬件冗余 | 組織重要信息系統(tǒng)網(wǎng)絡設備����、通信線路和數(shù)據(jù)處理系統(tǒng)硬件冗余�����。 | 符合/不符合判斷法: 1) 不符合���,此項得0分�����; 2) 符合�,此項得1分�����。 |
|
|
|
REC.2 | 定期備份 | 組織重要信息系統(tǒng)實施本地備份,并制定定期檢查策略����,備份介質場外存放。 | 符合/不符合判斷法: 1) 不符合����,此項得0分; 2) 符合�,此項得1分。 |
|
| 說明是系統(tǒng)備份還是數(shù)據(jù)備份�����,是全部備份還是部分備份 |
REC.3 | 異地容災中心 | 組織建立異地災備中心���,三級信息系統(tǒng)實現(xiàn)關鍵數(shù)據(jù)定時批量傳送至備用場地�,四級信息系統(tǒng)實現(xiàn)業(yè)務應用實時無縫切換�。 | 符合/不符合判斷法: 1) 不符合���,此項得0分���; 2) 符合�,此項得1分��。 |
|
|
|
REC.4 | 恢復測試 | 組織按照備份及恢復測試要求����,定期組織實施恢復測試,并有文檔記錄�����。 | 符合/不符合判斷法: 1) 不符合���,此項得0分���; 2) 符合,此項得1分��。 |
|
|
|
?
2.15 應急管理(EME)
標識 | 檢查項 | 檢查要素 | 得分判定方法 | 檢查記錄 | 得分 | 備注 |
EME.1 | 信息通報 | 組織建立了網(wǎng)絡與信息安全信息通報機制�����,按要求向電力監(jiān)管機構通報網(wǎng)絡和信息安全狀況��。 | 符合/不符合判斷法: 1) 不符合�����,此項得0分; 2) 符合�,此項得1分。 |
|
|
|
EME.2 | 應急預案制定 | 組織按照電力行業(yè)網(wǎng)絡與信息安全應急預案�����,制定了網(wǎng)絡與信息安全應急預案�。 | 符合/不符合判斷法: 1) 不符合,此項得0分���; 2) 符合���,此項得1分。 |
|
|
|
EME.3 | 重要信息系統(tǒng)應急預案制定 | 組織重要信息系統(tǒng)中制定了專項應急處置預案的比率����。 | 比率值法: 1)???? ? ?得分= ; 2)???? ? ?取小數(shù)點后2位�����。 | 重要信息系統(tǒng)總數(shù) |
|
|
|
制定專項案的信息系統(tǒng)數(shù) |
|
EME.4 | 應急演練 | 組織實施了年度應急演練��,并有演練腳本和演練實施文檔記錄�����。 | 符合/不符合判斷法: 1) 不符合�,此項得0分; 2) 符合�,此項得1分。 |
|
|
|
EME.5 | 應急資源配備 | 組織結合信息安全工作需求�����,儲備��、購置應急所需技術隊伍和物資�。 | 符合/不符合判斷法: 1) 不符合,此項得0分��; 2) 符合����,此項得0.5分。 | 應急支援隊伍 |
|
|
|
符合/不符合判斷法: 3) 不符合�����,此項得0分; 4) 符合���,此項得0.5分�����。 | 已配備或已落實應急供應渠道 |
|
|
|
EME.6 | 事故調查 | 組織按照國家����、行業(yè)及本單位應急預案要求��,配合或組織開展事故調查�。 | 符合/不符合判斷法: 1) 不符合,此項得0分����; 2) 符合,此項得1分���。 |
|
|
|
?
?
3 檢查結果綜合統(tǒng)計方法
檢查類標識 | 檢查類 | 檢查項標識 | 檢查項 | 權重 |
ORG | 組織體系 | ORG.1 | 組織機構建立 | 2 |
ORG.2 | 第一責任人確立 | 2 |
ORG.3 | 責任落實 | 2 |
ORG.4 | 專職機構及崗位設置 | 2 |
ORG.5 | 安全人員配置 | 2 |
REG | 規(guī)章制度 | REG.1 | 整體策略及總體規(guī)劃(方案)制定 | 2 |
REG.2 | 規(guī)章制度及體系完整性 | 2 |
REG.3 | 操作規(guī)程制定 | 2 |
REG.4 | 制度發(fā)布 | 2 |
FUN | 資金保障 | FUN.1 | 經(jīng)費預算 | 1 |
FUN.2 | 安全建設經(jīng)費投入 | 2 |
FUN.3 | 安全運維經(jīng)費投入 | 2 |
PER | 人員安全管理 | PER.1 | 全員安全培訓及保密協(xié)議簽訂 | 1 |
PER.2 | 專業(yè)技能培訓 | 2 |
PER.3 | 人員審查 | 1 |
PER.4 | 崗位調整管控 | 1 |
OSE | 服務外包管控 | OSE.1 | 外包服務協(xié)議 | 1 |
OSE.2 | 第三方人員訪問管理 | 1 |
OSE.3 | 遠程服務管控 | 2 |
OSE.4 | 現(xiàn)場開發(fā)管控 | 1 |
ASS | 關鍵信息資產(chǎn)管控 | ASS.1 | 資產(chǎn)清單 | 2 |
ASS.2 | 資產(chǎn)管理職責 | 1 |
ASS.3 | 信息系統(tǒng)基礎資料歸檔 | 2 |
CON | 信息系統(tǒng)建設安全管理 | CON.1 | 上線安全測評 | 1 |
CON.2 | 等級保護建設 | 2 |
CON.3 | 等級保護測評 | 1 |
CON.4 | 風險評估 | 1 |
CON.5 | 密碼產(chǎn)品采購 | 1 |
CON.6 | 產(chǎn)品采購測試 | 1 |
CON.7 | 安全產(chǎn)品國產(chǎn)化情況 | 1 |
SDD | 安全分區(qū)防御 | SDD.1 | 安全分區(qū) | 2 |
SDD.2 | 橫向隔離及縱向認證 | 2 |
SDD.3 | 跨區(qū)連接管控 | 3 |
SDD.4 | 內外網(wǎng)隔離 | 2 |
NET | 網(wǎng)絡安全防護 | NET.1 | 生產(chǎn)控制大區(qū)防護 | 2 |
NET.2 | 管理信息大區(qū)防護 | 2 |
NET.3 | 互聯(lián)網(wǎng)出口統(tǒng)一管理 | 1 |
NET.4 | 互聯(lián)網(wǎng)出口安全管控 | 2 |
NET.5 | 無線網(wǎng)絡安全應用 | 1 |
HEQ | 設備和操作系統(tǒng)安全防護 | HEQ.1 | 補丁更新 | 1 |
HEQ.2 | 惡意代碼防護 | 2 |
HEQ.3 | 系統(tǒng)加固 | 2 |
HEQ.4 | 辦公終端管控 | 2 |
HEQ.5 | 主機和設備賬號口令 | 2 |
ADA | 應用系統(tǒng)和數(shù)據(jù)安全防護 | ADA.1 | 應用系統(tǒng)安全功能及配置 | 1 |
ADA.2 | 面向互聯(lián)網(wǎng)服務系統(tǒng)安全監(jiān)控和攻擊防御 | 2 |
ADA.3 | 面向互聯(lián)網(wǎng)服務系統(tǒng)周期性測試 | 1 |
ADA.4 | 應用系統(tǒng)帳號口令管理 | 1 |
ADA.5 | 重要數(shù)據(jù)安全防護 | 1 |
PEN | 物理安全防護 | PEN.1 | 機房安全建設 | 3 |
OPE | 信息系統(tǒng)運行安全管理 | OPE.1 | 日常維護 | 2 |
OPE.2 | 安全審計 | 1 |
OPE.3 | 補丁管理 | 2 |
OPE.4 | 介質管理 | 1 |
OPE.5 | 安全監(jiān)測 | 1 |
REC | 災難恢復 | REC.1 | 硬件冗余 | 2 |
REC.2 | 定期備份 | 2 |
REC.3 | 異地容災中心 | 1 |
REC.4 | 恢復測試 | 1 |
EME | 應急管理 | EME.1 | 信息通報 | 1 |
EME.2 | 應急預案制定 | 1 |
EME.3 | 重要信息系統(tǒng)應急預案制定 | 1 |
EME.4 | 應急演練 | 1 |
EME.5 | 應急資源配備 | 1 |
EME.6 | 事故調查 | 1 |
組織信息安全工作情況及成效綜合統(tǒng)計值可由式(1)計算求得:
???????????????????????? ??????????………………………(1)
式中:
—檢查項量化值��;
—檢查項權重��;
—第檢查類包含的檢查項個數(shù)����;
—檢查類個數(shù)�。
??
?
