信息安全检查表格.doc

1、附件1:电力行业网络与信息安全检查方案电力行业网络与信息安全领导小组办公室二0一二年七月为贯彻落实国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函2012 102 号）要求，结合电力行业信息安全工作实际，制定电力行业网络与信息安全检查方案。一、检查依据1. 国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函2012 102 号） ；2. 电力行业网络与信息安全监督管理暂行规定（电监信息2007 50 号） 。3. 电力二次系统安全防护规定（电监会5 号令） 。二、检查目的通过开展电力行业网络与信息安全检查，全面掌握重要电力网络与信息系统基本情况，分析面临的安全威胁

2、和风险，评估安全防护水平，查找突出问题和薄弱环节，有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障电力网络与信息系统安全，维护电力系统安全稳定运行，保障党的十八大顺利召开。三、检查范围各电力企业运行使用的网络和信息系统，重点检查信息安全保护等级为3 级及以上的重要网络与信息系统。四、检查方式本次检查按照 “谁主管谁负责、 谁运行谁负责”的原则，采用电力企业自查、电监会派出机构对辖区内电力企业自查情况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。五、检查内容本次信息安

3、全检查主要分基本情况调查、安全防护情况检查和问题及风险分析三个方面。（一）网络与信息系统基本情况调查。主要调查系统特征，包括系统停止运行后对主要业务的影响程度，系统遭到攻击破坏后对社会公众的影响程度等；系统构成，包括主要软硬件设备的类型、数量、生产商等；信息技术外包服务，包括服务类型、服务提供商、服务方式、安全保密协议等。各单位要在全面调查的基础上，汇总填写电力行业信息安全检查情况报告表（见附件1） 。（二）安全防护情况检查。各单位主要从以下15 个方面对本单位信息安全防护情况进行重点检查，并在认真检查的基础上，如实填写电力企业信息安全检查表（2012 版） （见附件2） 。1. 组织体系建设

4、情况。信息安全组织机构建立情况；第一责任人确立情况；责任落实情况；专职机构及岗位设置情况；安全人员配置情况等。2. 规章制度建立情况。整体策略及总体规划（方案）制定情况；管理制度制定情况及制度体系完整性；操作规程制定情况；制度发布情况等。3. 资金保障情况。经费预算情况；安全运维经费投入情况；安全建设经费投入情况等。4. 人员安全管理情况。全员安全培训及保密协议签订情况；专业技能培训情况；岗位人员审查情况；岗位调整安全管控情况等。5. 服务外包管控情况。外包服务协议签订情况；第三方人员访问管理情况；远程服务管控情况；现场开发管控情况等。6. 关键信息资产管控情况。资产清单的建立情况；资产管理职

5、责的落实情况；信息系统基础资料归档情况等。7. 信息系统建设安全管理情况。系统上线安全测评情况；等级保护建设情况；等级保护测评情况；信息安全风险评估开展情况；密码产品采购情况；信息产品采购测试情况；安全产品国产化情况等。8. 安全分区防御情况。安全分区情况；横向隔离及纵向认证设备部署情况；跨区连接管控情况；内外网隔离情况等。9. 网络安全防护情况。生产控制大区安全防护情况；管理信息大区安全防护情况；互联网出口统一管理情况；互联网出口安全管控情况；无线网络安全防护情况等。10. 主机和设备安全防护情况。补丁更新管理情况；恶意代码防护情况；系统加固情况；办公终端管控情况；主机和设备帐号口令管理情况

6、等。11. 应用系统和数据安全防护情况。应用系统安全功能及配置情况；对外服务系统信息监控和攻击防御情况；对外服务系统周期测试情况；应用系统账号口令管理情况；重要数据安全保护情况等。12. 物理环境安全防护情况。机房安全建设情况等。13. 信息系统运行安全管理情况。日常维护情况；安全审计情况；补丁管理情况；介质管理情况；安全监测情况等。14. 灾难恢复情况。硬件冗余情况；定期备份情况；异地容灾中心建设情况；备份介质恢复测试情况等。15. 应急管理情况。网络与信息安全信息通报情况；总体应急预案制定情况；重要信息系统应急预案制定情况；应急演练开展情况；应急资源配备情况；事故调查工作情况等。（三）存在

7、的问题和面临的风险分析。在完成基本情况调查和安全防护情况检查的基础上，各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。1. 当前安全管理和技术防护中的主要问题及薄弱环节，制定安全防护能力提高的主要因素（包括法律法规、政策制度、技术手段等方面）。2. 统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例，分析网络与信息系统对国外产品和服务的依赖程度。3. 根据安全检测发现的漏洞和隐患，分析网络与信息系统存在的安全风险，判断面临的安全威胁程度以及具备的安全防护能力，评估网络与信息系统总体安全状况。六、检查组织1. 电监会统一组织本次信息安全检查工作，电力行业网络与信息安

8、全领导小组办公室负责信息安全检查的日常工作。电监会各派出机构根据电监会的统一部署，负责辖区内电力企业信息安全自查督导和监督检查工作。2. 各电力（集团）公司负责组织开展本单位及其下属单位的信息安全检查工作。七、进度安排1.7月16日7月20日，动员部署阶段印发关于开展电力行业网络与信息安全检查行动的通知和电力行业网络与信息安全检查方案，召开会议进行动员部署。2. 7月21日8月31日，实施阶段8 月 22 日前，各单位完成本单位的信息安全自查工作，编写自查报告，制定整改方案。9 月 31 日前，完成整改工作。电力（集团）公司应汇总填写本系统电力行业信息安全检查情况报告表和电力企业信息安全检查项

9、目表（ 2012 版） ， 并和自查整改情况报告一起报送电监会。对于无法及时完成整改的隐患项目，有关电力企业要说明原因，制定临时应急措施，并将情况说明按时报电监会。检查期间，电监会将组织若干专业小组对各单位进行抽查。抽查有关事项，电监会将于行前通知。3. 9月1日9月15日，总结阶段电监会对检查工作情况进行汇总和全面总结，形成电力企业信息安全检查报告并报国家网络与信息安全协调小组办公室。八、工作要求1. 各单位要高度重视，加强组织领导，制定检查方案，明确检查任务，落实检查责任，及时整改检查中发现的问题，并将检查整改情况按时报电监会。2. 各单位要精心部署，周密安排，认真组织。对于发现的问题，要

10、找出原因，并举一反三，持续改进。各单位要建立检查整改跟踪督办机制，力求使安全隐患都得到整改和妥善处置。3. 安全检查工作对象是各单位的重要系统、重要数据和敏感信息等资产，需要高度重视检查工作存在的风险，制定周密的应急防范措施，避免发生影响系统正常运行和敏感信息泄漏的事件。4. 各单位要高度重视信息安全保密工作，加强信息安全保密措施，检查结果除按规定报送外，不得向其他单位和个人透露。所有检查往来文件一律加密。5. 电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律，严格执行保密工作规定，不得随意泄露抽查组行程。附件 : 1. 电力行业信息安全检查情况报告表2. 电力企业信息安全检查项

11、目表（2012 版） 附1:电力行业信息安全检查情况报告表单位名称：一、重要信息系统安全检查情况基本 情况重要信息系统总数9（请另附系统清单，下向）（按实时性进行统计）1 .非实时运行的系统数量2 .实时运行的系统数量（按服务对象进行统计）1 .面向社会公众提供服务的系统数量2 . /、面向社会公众提供服务的系统数量（按联网情况进行统计）1 .直接连接互联网的系统数量 2 .同互联网强逻辑隔离的系统数量 3 .与互联网物理隔离的系统数量 （按数据集中情况进行统计）1 .全国数据集中的系统数量2 .省级数据集中的系统数量 3 .未进行数据集中的系统数量 （按灾备情况进行统计）1 .进行系统级灾备

12、的系统数量 2 .仅对数据进行灾备的系统数量 3 .无灾备的系统数量 系统 构成 情况主要 硬件 和软 件服务 器路由 器交换 机防火 墙磁盘 阵列磁带 库操作 系统数据 库国内品牌数量（台/套）国外品牌数量（台/套）业务应用 软件系统1 .自主设计开发（不含二次开发）的数量 2 . 委托国内1商开发的数量 委托国外1商开发的数量 3 .直接米购国内厂商产品的数量 直接米购国外厂商产品的数量 信息 年 外包 服务服务商名称：1.服务商性2.服务内容3.服务方W:质：口国有 民营口外资二.二:远程在线服务口现场服务（如有更多，请另列表）信息系统对国主要业务信息系统信息系统状况 分析 结果外产品和

13、服务 的依赖程度对信息系统的 依赖程度面临的安全威 胁程度安全防护能力信息系统名称高中低高中低高中低高中低1.2.（如有可且多，请另列表）、重要工业控制系统安全检查情况基本情况重要，业控制系统运营单位总数：家:重要工业控制系统总数：套系统类型情况国内品牌国外品牌数据米集与监控（SCADA ）系统套套:分布式控制系统（DCS）套套过程控制系统（PCS）套套可编程控制器（PLC）台台中型台台小型台台就地测控设备仪表台台智能电子设备（IED）台台远端设备（RTU）台台系统构成情况应用服务器- 工程师工作站r应用软件套套系统软件套套PC机/服务器台台数据库服务器r数据库软件套套r系统软件套套PC机/服

14、务器台台通信设备台台工业控制网络 连接情况1 .直接与互联网连接的重要工业控制系统数量：套2 .与内部网络连接的重要，业控制系统数量：套3 .含有无线接入方式的重要工业控制系统数量：套运行维护情况1 .米用远程方式运行维护的重要工业控制系统数量：套2 .由国内厂商提供运行维护服务的重要工业控制系统数量：套3 .由国外厂商提供运行维护服务的重要工业控制系统数量：套信息安全 防护情况1 .网络边界架设网络安全设备的重要，业控制系统数量：套2 .安装防病毒软件或设备的重要工业控制系统数量：套3 .定期进行安全更新的重要工业控制系统数量：套4 .采取加密措施传输、存储敏感数据的重要，业控制系统数量：一

15、套附2:电力企业信息安全检查项目表（2012 版）D电力行业网络与信息安全领导小组办公室二o一二年七月1 检查工作基本信息- 1 -2 检查项及检查记录- 2 -2.1 组织体系（ORG） -2-2.2 规章制度（REG） -4-2.3 资金保障（FUN） -5-2.4 人员安全管理（PER） - 6 -2.5 服务外包管控（OSE） - 7 -2.6 关键信息资产管控（ASS） - 8 -2.7 信息系统建设安全管理（CON） 92.8 安全分区防御（SDD） 112.9 网络安全防护（NET） 122.10 主机和设备安全防护（HEQ） 132.11 应用系统和数据安全防护（ADA） 14

16、2.12 物理安全防护（PEN） 152.13 信息系统运行安全管理（OPE） 162.14 灾难恢复（REC） 172.15 应急管理（EME） 183 检查结果综合统计方法203.1 检查项权重203.2 计算方法221检查工作基本信息受检单位 基本信息单位名称上级单位名称下级单位总数单位:类型电网企业 口 发电企业 V 电力科研企业 口 电力设计她，企业 口 其他类型企业 口检查方式本单位自查V上级单位督查口电监会抽查口检查时间检查范围检查组基本信息检查组织单位检查组组长检查组成员2检查项及检查记录2.1 组织体系（ORG）标识检查项检查要素得分判定方法检查记录得分备注ORG.1组织机构

17、 建立组织建立了由决策层、 管理层、执行 层组成的完整信息安全组织机构。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.4分。决策层符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.3分。管理层符合/不符合判断法：5）不符合，此项得0分；6）符合，此项得0.3分。执行层ORG.2桁中任 人确立组织主要负责人是本单位网络与信 息安全的第一责任人， 对本单位的网 络与信息安全负全面责任。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。第f任人ORG.3责任落实组织机构职责涵盖信息安全工作的 主要方面，职责明确到责任部门、责 任人员，并以正式文件形式发

18、布。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。ORG.4专职机构 及岗位设 置组织信息安全机构及岗位设置符合如卜要求：1）电力企业集团公司总部设置信息安全专职机构；2）电力企业集团公司二级单位设置信息安 全官理和技术冈位；3）电力企业基 层单位设置信息安全岗位。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。机构依据企业层 级选择其中 之一填写。管理和技术 岗位信息安全岗 位ORG.5安全人员 配置组织专职信息安全工作人员数量与 组织总信息安全岗位数量的比值。比率值法：1）得分=专职人员数量 信息安全岗位总数2）取小数点后2位。信息安全岗 位总数专职人

19、员数 量2.2 规章制度（REG）标识检查项检查要素得分判定方法检查记录得分备注REG.1整体策略 及总体规 划（方案） 制定组织制定了信息安全工作的整体策 略和总体规划（方案），说明信息安 全工作的总体目标、范围、防护框架 和防护措施。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.5分。整体策略符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.5分。总体规划（方 案）REG.2规章制度 及体系完 整性组织对信息安全工作制定了基本安 全管理制度，并以此为基础形成了涵 盖人员管理、资产管理、存储介质管 理、信息系统建设安全管理、运行维 护管理、外包服务管理、培训教

20、育等 力卸的制度体系。选项法：1）无制度，此项得0分；2）制定了基本制度，此 项得0.5分；3）形成制度体系，此项 得1分。基本制度制度体系REG.3操作规程 制定组织对要求信息安全运行维护人员 执行的日常管理操作制定了运维流 程和操作规程。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.5分。运维流程符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.5分。操作规程REG.4制度发布组织信息安全管理制度通过正式、有 效的方式发布。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.5分。发布制度符合/不符合判断法：3）不符合，此项得0分；4）符合，此项

21、得0.5分。主要文件符 合发布制度 要求2.3 资金保障（FUN）标识检查项检查要素得分判定方法检查记录得分备注FUN.1经费预算组织信息安全建设及运行维护经费 被列入预算。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。FUN.2安全建设 经费投入组织用于信息安全建设（安全软硬件 购置、系统安全功能开发、安全测试、 安全咨询、安全培训、安全专项研究 等）的经费占年度信息化建设总投入 的比率。（取当年值或近两年平均值）选项法：安全建设费1）比率=总建设经费2）比率 0.05 ,此项得 0分；3） 0.05 比率 0.1, 此项得0.3分；4） 0.1 比率 0.15, 此项得

22、0.7分；5）比率 0.15,此项得 1分。信息化建设总 经费信息安全建设 经费FUN.3安全运维 经费投入组织用于信息安全运行维护（监督检 查、日常安全运维、监测分析、应急 演练及应急保障、测试评估等）的经 费占整个信息系统运行维护总投入 的比率。（取当年值或近两年平均值）选项法：安全运维费1）比率=总运维经费2）比率 0.05 ,此项得 0分；3） 0.05 比率 0.1, 此项得0.3分；4） 0.1 比率 0.15, 此项得0.7分；5）比率 0.15,此项得 1分。信息系统运行 维护总经费信息安全运行 维护经费2.4 人员安全管理（PER）标识检查项检查要素得分判定方法检查记录得分备

23、注PER.1全员安全 培训及保 密协议签 订组织全体员工中参加年度信息安 全培训并签署保密协议的比率。比率值法：1）得分=年度培训人数p议签署人数.22）取小数点后2位。员工总数参加年度培训 人员数签署保密协议 人员数PER.2专业技能 培训组织信息安全工作人员中获得国 家、行业信息安全专业培训证书的 比率。比率值法：获得证书的人数1）得分=信息安全人员总数；2）取小数点后2位。信息安全工作 人员总数获得信息安全 培训证书的人 员数PER.3人员审查组织对信息安全岗位人员和其他 敏感岗位人员实施身份、 背景和资 质审查。符合/不符合判断法：1）不符合，此项得。分；2）符合，此项得1分。PER.

24、4岗位调整 管控组织在信息安全岗位人员及其他 敏感岗位人员离岗时执行权限回 收和离岗承诺书签署。符合/不符合判断法：1）不符合，此项得。分；2）符合，此项得1分。2.5 服务外包管控（OSE）标识检查项检查要素得分判定方法检查记录得分备注OSE.1外包服务 协议组织与合约方签订的外包服务协议 中具有信息安全管控和保密条款。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.5分。管控条款符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.5分。保密条款OSE.2第三方人 员访问管 理组织对第三方人员访问机房等受控 区域采取了书面审批、人员陪同、进 出记录等管控措施。符合

25、/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.3分。受控区域符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.3分。审批情况符合/不符合判断法：5）不符合，此项得0分；6）符合，此项得0.3分。陪同和记录 情况OSE.3远程服务 管控组织针对远程访问采取了书面审批、 访问控制、在线监测、日志审计等管 控措施。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.5分。审批情况符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.5分。管控措施OSE.4现场开发 管控组织采取技术措施保证开发测试环 境与实际生产运行环境物理分离，并 限定开发人员的活

26、动范围和行为。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得0.5分。环境分离措 施符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.5分。范围和行为 限定措施2.6 关键信息资产管控（ASS）标识检查项检查要素得分判定方法检查记录得分备注ASS.1资产清单组织识别所有信息资产并有资产清 单。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。ASS.2资产管理 职责组织对每项资产明确管理责任人及 其职责。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。ASS.3信息系统 基础资料 归档组织对源代码、设计方案、建设实施 方案等基础资料

27、进行归档的系统数 量与信息系统总数的比值。比率值法：已归档系统数1）得分=系统总数；2）取小数点后2位。信息系统总 数已归档系统 数量2.7 信息系统建设安全管理（CON）标识检查项检查要素得分判定方法检查记录得分备注CON.1上线安全 测评组织信息系统在上线前通过安全 测评的比率。比率值法：1）得分=通过上线测评系统数已投运系统总数；2）取小数点后2位。已投运信息 系统通过安全测 评系统CON.2等级保护 建设组织信息系统中按要求开展等级 保护建设的比率。比率值法：1）得分=已开展等保建设的系统 数系统总数；2）取小数点后2位。需开展建设 系统已开展建设 系统CON.3等级保护 测评组织信息

28、系统中按要求开展等级 保护测评的比率。比率值法：1）得分=已开展等保测评的系统数系统总数；2）取小数点后2位。需测评信息 系统已开展测评 信息系统CON.4风险评估组织信息系统中按要求开展信息 安全风险评估的比率。比率值法：1）得分=已开展风险评估的系统数系统总数；2）取小数点后2位。需评估信息 系统开展评估信 息系统CON.5密码产品 采购组织密他产品的采购和使用符合 国家密码主管部门的要求。符合/不符合判断法：1）不符合，此项得。分；2）符合，此项得1分。CON.6产品采购 测试组织对信息安全产品、系统基础 软硬件、系统应用软件、工业控 制装置等在采购前实施安全性测 试。符合/不符合判断法

29、：1）不符合，此项得。分；2）符合，此项得1分。CON.7安全产品 国产化情 况组织信息安全产品国产化率。比率值法：1）得分=国产信息安全产品数 信息安全产品总数；2）取小数点后2位。信息安全产 品总数国产产品数 量2.8 安全分区防御（SDD）标识检查项检查要素得分判定方法检查记录得分备注SDD.1安全分区按照电力二次系统安全防护规定 要求，划分了生产控制大区和管理信 息大区，生产控制大区内的控制区和 非控制区逻辑隔离。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。生产大区内部分 2个区，信息管理大区 内部分1个区。SDD.2横向隔离 及纵向认 证按照电力二次系统安全防护

30、规定 要求，在生产控制大区与其他区域有 信息交换时，部署横向隔离装置，在 调度数据网上下级网络接口部署纵 向加密装置。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。生产大区内部1、2区之间。厂级和网 调之间未加密。SDD.3跨区连接 管控组织不存在未通过横向隔离装置跨 区网络直接连接的情况。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。SDD.4内外网隔 离组织应用独立的网络及终端处理敏 感信息且未与互联网连接。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。2.9 网络安全防护（NET）标识检查项检查要素得分判定方法检查记录得分备注N

31、ET.1生产控制 大区防护组织在生产控制大区内部实施了网 络设备安全防护、 ARP防范、非授 权网络接入管控等技术措施。符合/不符合判断法：1）不符合，此项得。分；2）符合，此项得1分。NET.2管理信息 大区防护组织在管理信息大区内部实施了网 络设备安全防护、 ARP防范、非授 权网络接入管控等技术措施。符合/不符合判断法：1）不符合，此项得。分；2）符合，此项得1分。NET.3互联网出 口统一管 理组织互联网出口数量与组织内独立 部门（单位）总数的比值。比率值法：互联网出口数1）比率=独立单位总数；2）比率 2,得。分；3） 1比率 2 ,得0.3分4） 0.5 比率 1,得 0.7分5）

32、比率 0.5，得1分6）取小数点后2位。独立部门（单位）总 数互联网出口 数量NET.4互联网出 口安全管 控组织互联网出口中部署了访问控制 设备和入侵检测设备且访问控制粒 度达到端口级的比率。比率值法：符合要求出口数1）得分二总出口数；2）取小数点后2位。互联网出口 数量防护符合要 求出口数量NET.5无线网络 安全应用组织应用无线网络承载业务的信息 系统中采取认证、完整性保护、机 密性保护等必要安全防护措施的比 率。比率值法：1）得分=符合防护要求系统数应用无线网络系统总数 ；2）取小数点后2位。应用无线网 络信息系统 总数符合防护要 求的系统数2.10 主机和设备安全防护（HEQ）标识检

33、查项检查要素得分判定方法检查记录得分备注HEQ.1补更新组织按照补丁管理要求进行了可 更新补的更新。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。HEQ.2恶意代码 防护组织按照恶意代码管理要求进行 了恶意代码检测程序及可更新恶 意代码库的更新。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。HEQ.3系统加固组织主机和设备中按照等级保护 测评、风险评估、信息安全检查 等发现的问题完成加固的比率。比率值法：已完成加固的主机和设备数1）得分=应加固主机和设备数2）取小数点后2位。应加固主机和 设备数量完成加固主机 和设备数量HEQ.4办公终端 管控组织实施安

34、全管控并统一安装防 病毒软件的办公终端数量与办公 终端总数的比值。比率值法：已管控终端数1）得分=总终端数，2）取小数点后2位。办公终端总数实施管控终端 数量HEQ.5主机和设 备账号口 令组织主机和设备中经检测未发现 存在不符合口令臂埋制度要求帐 号口令的主机和设备比率。比率值法：1）得分=未发现问题的主机和设备台数总检测台数；2）取小数点后2位。检测主机和设 备数量未发现问题的 主机和设备数2.11 应用系统和数据安全防护（ADA ）标识检查项检查要素得分判定方法检查记录得分备注ADA.1应用系统 安全功能 及配置组织在等级保护测评、风险评估、 信息安全检查等工作中未发现应用 系统安至功能

35、及配直方卸存在问题 的应用系统比率。比率值法：1）得分=未发现问题的系统数总检查评估系统数；2）取小数点后2位。总检查、评估 系统数未发现问题的 系统数ADA.2面向互联 网服务系 统安全监 控和攻击 防御组织面向互联网服务的信息系统中 部署信息监控和攻击防御措施的比 率。比率值法：1）得分=符合要求的系统数互联网服务系统数；2）取小数点后2位。面向互联网提 供服务系统数符合防护要求 系统数ADA.3面向互联 网服务系 统周期性 测试组织按要求对面向互联网服务的系 统进行周期性安全测试的比率。符合/不符合判断法：1）不符合，此项得。分；2）符合，此项得1分。ADA.4应用系统 帐号口令 管理组

36、织应用系统中经检测未发现存在 不符合口令管理制度要求帐号口令 的比率。比率值法：1）得分=未检出问题的系统数总检测系统数；2）取小数点后2位。应用系统检测 总数未检出问题的 应用系统数ADA.5重要数据 安全防护组织米用加密或其它措施实现系统 管理数据、鉴别信息和重要业务数 据传输和存储的完整性和保密性保 护。符合/不符合判断法：1）不符合，此项得。分；2）符合，此项得1分。2.12 物理安全防护（PEN）标识检查项检查要素得分判定方法检查记录得分备注PEN.1机房安全组织按照等级保护要求落实物理安比率值法：1）得分=符合要求的机房数组织机房总数；2）取小数点后2位。机房总数建设全防护的机房比

37、率。符合防护要 求机房2.13 信息系统运行安全管理（OPE）标识检查项检查要素得分判定方法检查记录得分备注OPE.1日常维护组织按照制定的规章制度、操作规程 等执行了日常维护工作， 并有详尽记 录。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。OPE.2日志中U组织对网络运行日志、操作系统日志、数据库访问日志、业务应用系统 运行日志、安全设施运行日志等进行 集中收集、定期分析。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。OPE.3补丁管理组织制定了补丁升级管理制度和补 丁升级策略，建立有关键业务系统补 丁升级测试环境。符合/不符合判断法：1）不符合，

38、此项得0分；2）符合，此项得0.5分。制度及策略符合/不符合判断法：3）不符合，此项得0分；4）符合，此项得0.5分测试环境OPE.4介质管理组织设置实施了限制移动介质使用 的技术措施，对移动存储介质的发 放、注册、使用、存放、销毁有记录。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。OPE.5安全监测组织建立安全监测系统对互联网出口、面向互联网提供服务系统、重要 信息系统的运行、病毒木马、办公终 端安全防护等情况进行监测。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。2.14 灾难恢复（REC）标识检查项检查要素得分判定方法检查记录得分备注REC.1硬

39、件冗余组织重要信息系统网络设备、通信线 路和数据处理系统硬件冗余。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。REC.2定期备份组织重要信息系统实施本地备份，并 制定定期检查策略，备份介质场外存 放。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。说明是系统备 份还是数据备 份，是全部备 份还是部分备 份REC.3异地容灾 中心组织建立异地灾备中心，三级信息系 统实现关键数据定时批量传送至备 用场地，四级信息系统实现业务应用 实时无缝切换。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。REC.4恢复测试组织按照备份及恢复测试要求，定期

40、 组织实施恢复测试，并有文档记录。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。2.15 应急管理（EME）标识检查项检查要素得分判定方法检查记录得分备注EME.1信息通报组织建立了网络与信息安全信息 通报机制，按要求向电力监管机构 通报网络和信息安全状况。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。EME.2应急预案 制定组织按照电力行业网络与信息安 全应急预案，制定了网络与信息安 全应急预案。符合/不符合判断法：1）不符合，此项得0分；2）符合，此项得1分。EME.3重要信息 系统应急 顶杀制7E组织重要信息系统中制定了专项 应急处置预案的比率。比率值法：1）得分=有专项处置预案的系统 数重要信息系统总数；2）取小数点后2位。重要信息系 统总数制定专项案 的信息系统 数EME.4应急演练组织实施了年度应急演练，并宿演 练脚本和演练实施文档记录。符合/不符合判断法：1）不符合，此项得0分；2）符合，此