信息安全检查表

电力行业网络与信息安全检查方案电力行业网络与信息安全领导小组办公室二〇一二年七月附件1：-2-为贯彻落实《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函〔2012〕102号）要求，结合电力行业信息安全工作实际，制定电力行业网络与信息安全检查方案。一、检查依据1.《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函〔2012〕102号）；2.《电力行业网络与信息安全监督管理暂行规定》（电监信息〔2007〕50号）。3.《电力二次系统安全防护规定》（电监会5号令）。二、检查目的通过开展电力行业网络与信息安全检查，全面掌握重要电力网络与信息系统基本情况，分析面临的安全威胁和风险，评估安全防护水平，查找突出问题和薄弱环节，有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障电力网络与信息系统安全，维护电力系统安全稳定运行，保障党的十八大顺利召开。三、检查范围各电力企业运行使用的网络和信息系统，重点检查信息安全保护等级为3级及以上的重要网络与信息系统。四、检查方式本次检查按照“谁主管谁负责、谁运行谁负责”的原则，-3-采用电力企业自查、电监会派出机构对辖区内电力企业自查情况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。五、检查内容本次信息安全检查主要分基本情况调查、安全防护情况检查和问题及风险分析三个方面。（一）网络与信息系统基本情况调查。主要调查系统特征，包括系统停止运行后对主要业务的影响程度，系统遭到攻击破坏后对社会公众的影响程度等；系统构成，包括主要软硬件设备的类型、数量、生产商等；信息技术外包服务，包括服务类型、服务提供商、服务方式、安全保密协议等。各单位要在全面调查的基础上，汇总填写《电力行业信息安全检查情况报告表》（见附件1）。（二）安全防护情况检查。各单位主要从以下15个方面对本单位信息安全防护情况进行重点检查，并在认真检查的基础上，如实填写《电力企业信息安全检查表（2012版）》（见附件2）。1.组织体系建设情况。信息安全组织机构建立情况；第一责任人确立情况；责任落实情况；专职机构及岗位设置情况；安全人员配置情况等。2.规章制度建立情况。整体策略及总体规划（方案）制定情况；管理制度制定情况及制度体系完整性；操作规程制定情况；制度发布情况等。3.资金保障情况。经费预算情况；安全运维经费投入-4-情况；安全建设经费投入情况等。4.人员安全管理情况。全员安全培训及保密协议签订情况；专业技能培训情况；岗位人员审查情况；岗位调整安全管控情况等。5.服务外包管控情况。外包服务协议签订情况；第三方人员访问管理情况；远程服务管控情况；现场开发管控情况等。6.关键信息资产管控情况。资产清单的建立情况；资产管理职责的落实情况；信息系统基础资料归档情况等。7.信息系统建设安全管理情况。系统上线安全测评情况；等级保护建设情况；等级保护测评情况；信息安全风险评估开展情况；密码产品采购情况；信息产品采购测试情况；安全产品国产化情况等。8.安全分区防御情况。安全分区情况；横向隔离及纵向认证设备部署情况；跨区连接管控情况；内外网隔离情况等。9.网络安全防护情况。生产控制大区安全防护情况；管理信息大区安全防护情况；互联网出口统一管理情况；互联网出口安全管控情况；无线网络安全防护情况等。10.主机和设备安全防护情况。补丁更新管理情况；恶意代码防护情况；系统加固情况；办公终端管控情况；主机和设备帐号口令管理情况等。11.应用系统和数据安全防护情况。应用系统安全功能及配置情况；对外服务系统信息监控和攻击防御情况；对外-5-服务系统周期测试情况；应用系统账号口令管理情况；重要数据安全保护情况等。12.物理环境安全防护情况。机房安全建设情况等。13.信息系统运行安全管理情况。日常维护情况；安全审计情况；补丁管理情况；介质管理情况；安全监测情况等。14.灾难恢复情况。硬件冗余情况；定期备份情况；异地容灾中心建设情况；备份介质恢复测试情况等。15.应急管理情况。网络与信息安全信息通报情况；总体应急预案制定情况；重要信息系统应急预案制定情况；应急演练开展情况；应急资源配备情况；事故调查工作情况等。（三）存在的问题和面临的风险分析。在完成基本情况调查和安全防护情况检查的基础上，各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。1.当前安全管理和技术防护中的主要问题及薄弱环节，制定安全防护能力提高的主要因素（包括法律法规、政策制度、技术手段等方面）。2.统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例，分析网络与信息系统对国外产品和服务的依赖程度。3.根据安全检测发现的漏洞和隐患，分析网络与信息系统存在的安全风险，判断面临的安全威胁程度以及具备的安全防护能力，评估网络与信息系统总体安全状况。六、检查组织-6-1.电监会统一组织本次信息安全检查工作，电力行业网络与信息安全领导小组办公室负责信息安全检查的日常工作。电监会各派出机构根据电监会的统一部署，负责辖区内电力企业信息安全自查督导和监督检查工作。2.各电力（集团）公司负责组织开展本单位及其下属单位的信息安全检查工作。七、进度安排1.7月16日～7月20日，动员部署阶段印发《关于开展电力行业网络与信息安全检查行动的通知》和《电力行业网络与信息安全检查方案》，召开会议进行动员部署。2.7月21日～8月31日，实施阶段8月22日前，各单位完成本单位的信息安全自查工作，编写自查报告，制定整改方案。8月31日前，完成整改工作。电力（集团）公司应汇总填写本系统《电力行业信息安全检查情况报告表》和《电力企业信息安全检查项目表（2012版）》，并和自查整改情况报告一起报送电监会。对于无法及时完成整改的隐患项目，有关电力企业要说明原因，制定临时应急措施，并将情况说明按时报电监会。检查期间，电监会将组织若干专业小组对各单位进行抽查。抽查有关事项，电监会将于行前通知。3.9月1日～9月15日，总结阶段电监会对检查工作情况进行汇总和全面总结，形成电力-7-企业信息安全检查报告并报国家网络与信息安全协调小组办公室。八、工作要求1.各单位要高度重视，加强组织领导，制定检查方案，明确检查任务，落实检查责任，及时整改检查中发现的问题，并将检查整改情况按时报电监会。2.各单位要精心部署，周密安排，认真组织。对于发现的问题，要找出原因，并举一反三，持续改进。各单位要建立检查整改跟踪督办机制，力求使安全隐患都得到整改和妥善处置。3.安全检查工作对象是各单位的重要系统、重要数据和敏感信息等资产，需要高度重视检查工作存在的风险，制定周密的应急防范措施，避免发生影响系统正常运行和敏感信息泄漏的事件。4.各单位要高度重视信息安全保密工作，加强信息安全保密措施，检查结果除按规定报送外，不得向其他单位和个人透露。所有检查往来文件一律加密。5.电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律，严格执行保密工作规定，不得随意泄露抽查组行程。附件:1.《电力行业信息安全检查情况报告表》2.《电力企业信息安全检查项目表（2012版）》-1-附1：电力行业信息安全检查情况报告表单位名称：一、重要信息系统安全检查情况基本情况重要信息系统总数9（请另附系统清单，下同）（按实时性进行统计）1.非实时运行的系统数量2.实时运行的系统数量（按服务对象进行统计）1.面向社会公众提供服务的系统数量2.不面向社会公众提供服务的系统数量（按联网情况进行统计）1.直接连接互联网的系统数量2.同互联网强逻辑隔离的系统数量3.与互联网物理隔离的系统数量（按数据集中情况进行统计）1.全国数据集中的系统数量2.省级数据集中的系统数量3.未进行数据集中的系统数量（按灾备情况进行统计）1.进行系统级灾备的系统数量2.仅对数据进行灾备的系统数量3.无灾备的系统数量系统构成情况主要硬件和软件服务器路由器交换机防火墙磁盘阵列磁带库操作系统数据库国内品牌数量（台/套）国外品牌数量（台/套）业务应用软件系统1.自主设计开发（不含二次开发）的数量2.委托国内厂商开发的数量委托国外厂商开发的数量3.直接采购国内厂商产品的数量直接采购国外厂商产品的数量信息技术外包服务服务商名称：1.服务商性质：□国有□民营□外资2.服务内容：3.服务方式：□远程在线服务□现场服务（如有更多，请另列表）安全信息系统对国主要业务信息系统信息系统-2-状况分析结果外产品和服务的依赖程度对信息系统的依赖程度面临的安全威胁程度安全防护能力信息系统名称高中低高中低高中低高中低1.2.（如有更多，请另列表）二、重要工业控制系统安全检查情况基本情况重要工业控制系统运营单位总数：家重要工业控制系统总数：套系统类型情况国内品牌国外品牌数据采集与监控（SCADA）系统套套分布式控制系统（DCS）套套过程控制系统（PCS）套套可编程控制器（PLC）大型台台中型台台小型台台就地测控设备仪表台台智能电子设备（IED）台台远端设备（RTU）台台系统构成情况应用服务器-工程师工作站应用软件套套系统软件套套PC机/服务器台台数据库服务器数据库软件套套系统软件套套PC机/服务器台台通信设备台台工业控制网络连接情况1.直接与互联网连接的重要工业控制系统数量：套2.与内部网络连接的重要工业控制系统数量：套3.含有无线接入方式的重要工业控制系统数量：套运行维护情况1.采用远程方式运行维护的重要工业控制系统数量：套2.由国内厂商提供运行维护服务的重要工业控制系统数量：套3.由国外厂商提供运行维护服务的重要工业控制系统数量：套信息安全防护情况1.网络边界架设网络安全设备的重要工业控制系统数量：套2.安装防病毒软件或设备的重要工业控制系统数量：套3.定期进行安全更新的重要工业控制系统数量：套4.采取加密措施传输、存储敏感数据的重要工业控制系统数量：套电力企业信息安全检查项目表（2012版）D电力行业网络与信息安全领导小组办公室二〇一二年七月附2：目录1检查工作基本信息...........................-1-2检查项及检查记录...........................-2-2.1组织体系（ORG）.........................-2-2.2规章制度（REG）.........................-4-2.3资金保障（FUN）.........................-5-2.4人员安全管理（PER）.....................-6-2.5服务外包管控（OSE）.....................-7-2.6关键信息资产管控（ASS）.................-8-2.7信息系统建设安全管理（CON）.................92.8安全分区防御（SDD）........................112.9网络安全防护（NET）........................122.10主机和设备安全防护（HEQ）..................132.11应用系统和数据安全防护（ADA）..............142.12物理安全防护（PEN）........................152.13信息系统运行安全管理（OPE）...............162.14灾难恢复（REC）...........................172.15应急管理（EME）...........................183检查结果综合统计方法..........................203.1检查项权重..................................203.2计算方法....................................22-1-1检查工作基本信息受检单位基本信息单位名称上级单位名称下级单位总数单位