1、附件1:電力行業網絡與信息遴檢查濮電力行業網絡與信息安全領導小組辦公室二O二年七月為貫徹落實國務院辦公廳關于開展重點領域網絡與信 息安全檢查行動的通知（國辦函（2012） 102號）要求，結 合電力行業信息安全工作實際，制定電力行業網絡與信息安 全檢查方案。一、檢查依據1. 國務院辦公廳關于開展重點領域網絡與信息安全 檢查行動的通知（國辦函（2012） 102號）；2. 電力行業網絡與信息安全監督管理暫行規定（電 監信息（2007） 50號）。3. 電力二次系統安全防護規定（電監會5號令）。二、檢查目的通過開展電力行業網絡與信息安全檢查，全面掌握重要 電力網絡與信息系統基本情況，分析面臨的安全

2、威脅和風 險，評估安全防護水平，查找突出問題和薄弱環節，有針對 性地采取防范對策和改進措施，加強網絡與信息系統安全管 理、技術防護和人才隊伍建設，促進安全防護能力和水平提 升，預防和減少重大信息安全事件的發生，切實保障電力網 絡與信息系統安全，維護電力系統安全穩定運行，保障黨的 十八大順利召開。三、檢查范圍各電力企業運行使用的網絡和信息系統，重點檢查信息 安全保護等級為3級及以上的重要網絡與信息系統。四、檢查方式本次檢查按照“誰主管誰負責、誰運行誰負責”的原則, 采用電力企業自查、電監會派出機構對轄區內電力企業自查 情況、自查質量進行跟蹤檢查和電監會組織專門隊伍同時進 行抽查相結合的方式。五、

3、檢查內容本次信息安全檢查主要分基本情況調查、安全防護情況 檢查和問題及風險分析三個方面。（一）網絡與信息系統基本情況調查。主要調查系統特征，包括系統停止運行后對主要業務的 影響程度，系統遭到攻擊破壞后對社會公眾的影響程度等； 系統構成，包括主要軟硬件設備的類型、數量、生產商等； 信息技術外包服務，包括服務類型、服務提供商、服務方式、 安全保密協議等。各單位要在全面調查的基礎上，匯總填寫 電力行業信息安全檢查情況報告表（見附件1）。（二）安全防護情況檢查。各單位主要從以下15個方面對本單位信息安全防護情 況進行重點檢查，并在認真檢查的基礎上，如實填寫電力 企業信息安全檢查表（2012版）（見附件

4、2）。1. 組織體系建設情況。信息安全組織機構建立情況； 第一責任人確立情況；責任落實情況；專職機構及崗位設置 情況；安全人員配置情況等。2. 規章制度建立情況。整體策略及總體規劃（方案） 制定情況；管理制度制定情況及制度體系完整性；操作規程 制定情況；制度發布情況等。3. 資金保障情況。經費預算情況；安全運維經費投入 情況；安全建設經費投入情況等。4. 人員安全管理情況。全員安全培訓及保密協議簽訂 情況；專業技能培訓情況；崗位人員審查情況；崗位調整安 全管控情況等。5. 服務外包管控情況。外包服務協議簽訂情況；第三 方人員訪問管理情況；遠程服務管控情況；現場開發管控情 況等。6. 關鍵信息資

5、產管控情況。資產清單的建立情況；資 產管理職責的落實情況；信息系統基礎資料歸檔情況等。7. 信息系統建設安全管理情況。系統上線安全測評情 況；等級保護建設情況；等級保護測評情況；信息安全風險 評估開展情況；密碼產品采購情況；信息產品采購測試情況; 安全產品國產化情況等。8. 安全分區防御情況。安全分區情況；橫向隔離及縱 向認證設備部署情況；跨區連接管控情況；內外網隔離情況 等。9. 網絡安全防護情況。生產控制大區安全防護情況； 管理信息大區安全防護情況；互聯網出口統一管理情況；互 聯網出口安全管控情況；無線網絡安全防護情況等。10. 主機和設備安全防護情況。補丁更新管理情況；惡 意代碼防護情況

6、；系統加固情況；辦公終端管控情況；主機 和設備帳號口令管理情況等。11. 應用系統和數據安全防護情況。應用系統安全功能 及配置情況；對外服務系統信息監控和攻擊防御情況；對外 服務系統周期測試情況；應用系統賬號口令管理情況；重要 數據安全保護情況等。12. 物理環境安全防護情況。機房安全建設情況等。13. 信息系統運行安全管理情況。日常維護情況；安全 審計情況；補丁管理情況；介質管理情況；安全監測情況等。14. 災難恢復情況。硬件冗余情況；定期備份情況；異 地容災中心建設情況；備份介質恢復測試情況等。15. 應急管理情況。網絡與信息安全信息通報情況；總 體應急預案制定情況；重要信息系統應急預案制

7、定情況；應 急演練開展情況；應急資源配備情況；事故調查工作情況等。（三）存在的問題和面臨的風險分析。在完成基本情況調查和安全防護情況檢查的基礎上，各 單位要圍繞著以下三個方面對存在的問題和面臨的主要風 險進行分析。1. 當前安全管理和技術防護中的主要問題及薄弱環節， 制定安全防護能力提高的主要因素（包括法律法規、政策制 度、技術手段等方面）。2. 統計國外產品和服務在主要軟硬件設備和信息技術 外包服務中所占的比例，分析網絡與信息系統對國外產品和 服務的依賴程度。3. 根據安全檢測發現的漏洞和隱患，分析網絡與信息 系統存在的安全風險，判斷面臨的安全威脅程度以及具備的 安全防護能力，評估網絡與信息

8、系統總體安全狀況。六、檢查組織1. 電監會統一組織本次信息安全檢查工作，電力行業 網絡與信息安全領導小組辦公室負責信息安全檢查的日常 工作。電監會各派出機構根據電監會的統一部署，負責轄區 內電力企業信息安全自查督導和監督檢查工作。2. 各電力（集團）公司負責組織開展本單位及其下屬 單位的信息安全檢查工作。七、進度安排1. 7月16日7月20日，動員部署階段印發關于開展電力行業網絡與信息安全檢查行動的通 知和電力行業網絡與信息安全檢查方案，召開會議進 行動員部署。2. 7月21日8月31日，實施階段8月22日前，各單位完成本單位的信息安全自查工作， 編寫自查報告，制定整改方案。8月31日前，完成

9、整改工作。電力（集團）公司應匯總 填寫本系統電力行業信息安全檢查情況報告表和電力 企業信息安全檢查項目表（2012版），并和自查整改情況報 告一起報送電監會。對于無法及時完成整改的隱患項目，有 關電力企業要說明原因，制定臨時應急措施，并將情況說明 按時報電監會。檢查期間，電監會將組織若干專業小組對各單位進行抽 查。抽查有關事項，電監會將于行前通知。3. 9月1日9月15日，總結階段電監會對檢查工作情況進行匯總和全面總結，形成電力 企業信息安全檢查報告并報國家網絡與信息安全協調小組 辦公室。八、工作要求1. 各單位要高度重視，加強組織領導，制定檢查方案, 明確檢查任務，落實檢查責任，及時整改檢查

10、中發現的問題, 并將檢查整改情況按時報電監會。2. 各單位要精心部署，周密安排，認真組織。對于發 現的問題，要找出原因，并舉一反三，持續改進。各單位要 建立檢查整改跟蹤督辦機制，力求使安全隱患都得到整改和 妥善處置。3. 安全檢查工作對象是各單位的重要系統、重要數據 和敏感信息等資產，需要高度重視檢查工作存在的風險，制 定周密的應急防范措施，避免發生影響系統正常運行和敏感 信息泄漏的事件。4. 各單位要高度重視信息安全保密工作，加強信息安 全保密措施，檢查結果除按規定報送外，不得向其他單位和 個人透露。所有檢查往來文件一律加密。5. 電監會抽查小組成員和派出機構督查小組成員要嚴 格遵守黨風廉政

11、紀律，嚴格執行保密工作規定，不得隨意泄 露抽查組行程。附件：1.電力行業信息安全檢查情況報告表2.電力企業信息安全檢查項目表（2012版）附1:電力行業信息安全檢查情況報告表單位名稱:重要信息系統安全檢査1W況基本 情況重要信息系統總數9（請另附系統清單，下同）（按實時性進行統計）1. 非實時運行的系統數量2. 實時運行的系統數量（按服務對彖進行統計）1. 面向社會公眾提供服務的系統數量2. 不面向社會公眾提供服務的系統數量（按聯網情況進行統計）1. 直接連接互聯網的系統數量2. 同互聯網強邏輯隔離的系統數量3. 與互聯網物理隔離的系統數量（按數據集中情況進行統計）1. 全國數據集中的系統數量

12、2. 省級數據集中的系統數量3. 未進行數據集中的系統數量（按災備情況進行統計）1. 進行系統級災備的系統數量2. 僅對數據進行災備的系統數量3. 無災備的系統數量系統 構成 情況主要硬件 和軟件服務器路由器交換 機防火墻磁盤陣列磁帶 庫操作 系統數據 庫國內品牌數量（臺/套）國外品牌數量（臺/套）業務應用 軟件系統1. 自主設計開發（不含二次開發）的數量2. 委托國內廠商開發的數量 委托國外廠商開發的數量3. 直接采購國內廠商產品的數量 直接采購國外廠商產品的數量信息 技術 外包 服務服務商名稱：1. 服務商性質：國有民營外資2. 服務內容：3. 服務方式：遠程在線服務現場服務（如有更多，請

13、另列表）安全信息系統對國主要業務信息系統信息系統狀況 分析 結果外產品和服務 的依賴程度對信息系統的 依賴程度面臨的安全威 脅程度安全防護能力信息系統名稱高中低高中低咼中低高中低1.2.（如有更多，請另列表）二、萱要工業控制系統安全檢査悄況基本情況重要工業控制系統運營單位總數：家重要工業控制系統總數：套系統類型情況國內品牌國外品牌數據采集與監控（SCADA）系統套套分布式控制系統（DCS）套套過程控制系統（PCS）套套可編程控制器（PLC）大型臺臺中型臺臺小型臺臺就地測控設備儀表臺臺智能電子設備（IED）臺臺遠端設備（RTU）臺臺系統構成情況應用服務器- 工程師工作站應用軟件套套系統軟件套套P

14、C機/服務器臺臺數據庫服務器數據庫軟件套套系統軟件套套PC機/服務器臺臺通信設備臺臺工業控制網絡 連接情況1. 直接與互聯網連接的重要工業控制系統數量：套2. 與內部網絡連接的重要工業控制系統數量：套3. 含有無線接入方式的重要工業控制系統數量：套運行維護情況1. 采用遠程方式運行維護的重要工業控制系統數量：套2. 由國內廠商提供運行維護服務的重要工業控制系統數量：套3. 由國外廠商提供運行維護服務的重要工業控制系統數量：套信息安全 防護情況1. 網絡邊界架設網絡安全設備的重要工業控制系統數量：套2. 安裝防病毒軟件或設備的重要工業控制系統數量：套3. 定期進行安全更新的重要工業控制系統數量：

15、套4. 采取加密措施傳輸、存儲敏感數據的重要工業控制系統數量：套附2：電力企業信息安全會項目表（2012 版）D電力行業網絡與信息安全領導小組辦公室二o二年七月1檢查工作基本信息受檢單位 基本信息單位名稱上級單位名稱下級單位總數單位類型電網企業 口 發電企業 V 電力科研企業 口 電力設計施工企業 口 其他類型企業 口檢查方式本單位自查 V 上級單位督查 口 電監會抽查 口檢査時間檢查范圍檢查組基本信息檢查組織單位檢查組組長檢查組成員2檢查項及檢查記錄2.1組織體系（ORG）標識檢査項檢査耍素得分判定方法檢査記錄得分備注ORG.1組織機構 建立組織建立了由決策層、管理層、執行 只組成的完整信息

16、安全組織機構。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得0.4分。決策口符合/不符合判斷法：3）不符合，此項得0分：4）符合.此項得0.3分。管理口符合/不符合判斷法：5）不符合，此項得0分：6）符合，此項得0.3分。執行層ORG.2第一資任 人確立組織主要負資人是本單位網絡與信 息安全的第一貴任人.對本單位的網 絡與信息安全負全面貴任。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。第一責任人ORG.3承任落實組織機構職資涵蓋信息安全工作的 主耍方面.職責明確到貴任部門、資 任人員.并以正式文件形式發布。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項

17、得1分。ORG.4專職機構 及崗位設S.組織信息安全機溝及崗位設趙符合 如下婆求：1電力企業集團公司總 部設置信息安全專職機構;2）電力 企業集團公司二級單位設迸信息安 全管理和技術崗位：3）電力企業基 層單位設置信息安全崗位。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。機構依據企業層 級選擇其中 之一填寫。管理和技術信息安全囪ORG.5安全人員 配置組織專職倍息安全工作人員數址與 組織總信息安全崗位數址的比值。比率值法：1）得分專職人員數顯： 信息安全崗位總數2）取小數點后2位。信息安全囪 位總數專職人員數2.2規章制度（REG）標識檢査項檢査耍素得分判定方法檢査記錄得分

18、備注REGI整體策略及總體規 劃（方案 制定俎織制定了信息安全工作的整體策 略和總體規劃（方案,說明倍息安 全工作的總體目標、范由、防護框架 和防護措施。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得0.5分。整體策略符合/不符合判斷法：3）不符合，此項得0分：4）符合，此項得0.5分。總體規劃（方 案）REG2規章制度 及體系完整性組織對信息安全工作制定了基本安 全管理制度.并以此為基礎形成了涵 蓋人員管理、資產管理、存儲介質管 理、信息系統建設安全管理、運行維 護管理、外包服務管理、培訓教育等 方面的制度體系。選項法：1）無制度.此項得0分：2）制定了基本制度.此 項得0.5分

19、：3）形成制度體系.此項 得1分.基本制度制度體系REG3操作規程 制定組織對要求信息安全運行維護人員 執行的口當管理操作制定了運維漩 程和操作規程。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得0.5分。運維流程符合/不符合判斷法：3）不符合，此項得0分：4）符合，此項得0.5分。操作規程REG4制度發布組織信息安全管理制度通過正式、有 效的方式發布。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得0.5分。發布制度符合/不符合判斷法：3）不符合，此項得0分：4）符合，此項得0.5分。主要文件符 合發布制度 要求2.3資金保障（FUN）標識檢査項檢査耍素得分判定方法檢査

20、記錄得分備注FUN.1經費預算組織信息安全建設及運行維護經費 被列入預算。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。FUN.2安全建設 經費投入組織用F信息安全建設（安全軟喚件 購亀、系統安全功能開發、安全測試、 安全涔詢、安全培訓、安全專項研丸 等）的經費占年度信息化建設總投入 的比率。（取當年值或近兩年平均值）選項法：安全建設費 比率-總爲設經費2）比率0.05.此項得0分：3）0.05 比率0.1，此項得0.3分：4）0.1 比率0.15.此項得0.7分：5）比率0.15.此項得1分：倍息化建設總經費信息安全建設經費FUN.3安全運維 經費投入組織用F信息安全運行維

21、護 監俘檢 査、日常安全運維、監測分析、應急 演練及脫急保障、測試評估零的經 費占整個信息系統運行維護總投入 的比率。（取當年值或近兩年平均值）選項法：安全運維費 比率-總區維直費2）比率0.05此項得0分：3）0.05 比率0.1,此項得0.3分：4）0.1 比率0.15.此項得0.7分：5）比率0.15.此項得1分。信息系統運行 維護總經費信息安全運行 維護經費2.4人員安全管理（PER）標識檢查項松伍嗖索得分判定方法檢査記錄得分備注PER.1全員安全 培訓及保 空協議簽訂組織全體員工屮參加年度信息安 全皓訓井簽署保密協議的比率。比率值法：1）得分-年度焙訓人數+輸儀簽廿人歡_2）取小數點

22、后2位。員工總數參加年度培訓 人員數簽署保密協議 人員數PER.2專業技能培訓組織信息安全匸作人員中獲得國 家、行業信息安全專業培訓證書的 比率.比率值法：. 如八獲得證書的人故1倚力-佑思安全人員總數；2）取小數點后2位。信息安全工作 人員總數獲得信息安全 培訓證書的人 員數PER.3人員審査組織對倍息安全囪位人員和其他 敏感崗位人員實施身份、背隸和資 質審査。符合/不符合判斷法：1）不符介，此項得0分：2）符合.此項得1分.PER.4崗位調整 管控組織在倍息安全囪位人員及其他 敏感崗位人員離崗時執行權限回 收和離崗承諾書簽署。符合/不符合判斷法：1）不符介，此項得0分：2）符合.此項得1分

23、.2.5服務外包管控（OSE）標識檢査項檢査耍素得分判定方法檢査記錄得分備注OSE.1外包服務 協議組織與合約方簽訂的外包服務協議 中具有信息安全管控和保密條款。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得0.5分。管控條款符合/不符合判斷法：3）不符合.此項得0分：4）符合，此項得0.5分。保密條款OSE.2第三方人 員訪問管理組織對第三方人員訪問機房等受控 區域采取了書面審批、人員陪冋、進 出記錄等管控措施。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得0.3分。受控區域符合/不符合判斷法：3）不符合.此項得0分：4）符合，此項得0.3分。審批情況符合/不符合

24、判斷法：5）不符合.此項得0分：6）符合，此項得0.3分。陪冋和記錄 情況OSE.3遠程服務 管控組織針對遠程訪問釆取了書面審批、 訪問控制、在線監測、日志審計等管 控措施。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得0.5分。審批情況符合/不符合判斷法：3）不符合.此項得0分：4）符合，此項得0.5分。管控措施OSE.4現場開發 管控組織采取技術措施保證開發測試環 境與實際生產運行環境物理分離并 眼定開發人員的活動范由和行為。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得0.5分。環境分離措 施符合/不符合判斷法：3）不符合.此項得0分：4）符合，此項得0.5分

25、。范圍和行為 限定措施2.6關鍵信息資產管控（ASS）標識檢査項檢査耍素得分判定方法檢査記錄得分備注ASS.1資產淸單組織識別所有信息資產并有資產淸 單.符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得1分。ASS.2資產管理 職資組織對每項資產明確管理貴任人及 其職承。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得1分。ASS.3信息系統 基礎資料歸檔組織對源代碼、設計方案、述設實施 方案等基礎資料進行歸檔的系統數 址與信息系統總數的比值。比率值法：八已歸檔系統數1）得分.系統總數：2）取小數點后2位。信息系統總 數己歸檔系統 數量2.7信息系統建設安全管理（CON

26、）標識檢查項檢査耍素得分判定方法檢査記錄得分備注CON.1上線安全 測評組織信息系統在上線前通過安全 測評的比率.比率值法：1）得分通過上線測評系統數 已投運系統總數：2）取小數點后2位。已投運信息 系統通過安全測 評系統CON.2等級保護 建設組織信息系統中按耍求開展等級 保護建設的比率。比率值法：1）得分己開展等保建設的系統數 系統總數：2）取小數點后2位。需開展建設系統已開展建設系統CON.3等級保護 測評組織信息系統中按要求開展等級 保護測評的比率。比率值法：1）得分已開展尊保測評的系統數 系統總數：2）取小數點后2位。需測評倍息 系統已開展測評 信息系統CON.4風險評估組織信息系統

27、中按要求開展倍息 安全風險評估的比率。比率值法：1）得分己開展風険評估的系統數 系統總數：2）取小數點后2位。需評估倍息 系統開展評估信 息系統CON.5密碼產品 釆購組織密碼產品的采購和便用符介 國家密碼主管部門的耍求.符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得1分。CON.6產品采購 測試組織對信息安全產品、系統基礎 軟硬件、系統應用軟件、工業控 制裝逍等在采購前實施安全性測 試。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得1分。CON.7安全產品 國產化悄 況紐織信息安全產品國產化率.比率值法：1）得分國產借息安全產骷數 信息安全產品總數：2）取小數點后

28、2位。信息安全產 品總數國產產品數 ft2.8安全分區防御（SDD）標識檢査項檢査耍素得分判定方法檢査記錄得分備注SDD.1安全分區按照電力二次系統安全防護規定3 耍求，劃分了生產控制大區和管理倍 息大區.生產控制大區內的控制區和 非控制區邏輯隔離。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得1分。生產大區內部分2個區.信息管理大區 內部分1個區。SDD.2橫向隔離 及縱向認證按照電力二次系統安全防護規定3 要求在生產控制大區與其他區域有 信息交換時.部署橫向隔離裝迸.在 調度數據網上下級網絡接口部署縱 向加密裝置。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得1

29、分。生產大區內部1、2區Z間。廠級和網 調Z間未加密。SDD.3跨區連接 管控組織不存在未通過橫向隔離裝置跨 區網絡直接連接的悄況。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得1分。SDD.4內外網隔 離組織應用獨立的網絡及終縊處理敏 感倍息且未與互聯網連接。符合/不符合判斷法：1）不符合，此項得0分：2）符合，此項得1分。2.9網絡安全防護（NET）標識檢査項檢査耍素得分判定方法檢査記錄得分備注NET.1生產控制 大區防護組織在生產控制大區內部實施了網 絡設備安全防護、ARP防范、非授 權網絡接入管控等技術措施。符合/不符介判斷法：1）不符合，此項得0分；2）符合，此項得1分

30、。NET.2管理信息 大區防護組織在管理信息大區內部實施了網 絡設備安全防護、ARP防范、非授 權網絡接入管控等技術措施。符合/不符介判斷法：1）不符合，此項得0分；2）符合，此項得1分。NET.3互聯網出 口統一管理組織互聯網出口數址與組織內獨立 部門（單位）總數的比值。比率值法：互聯網岀口數1）比率獨立單位總數：2）比率2,得0分：3）1$比率2，得0.3分4）0. 5 比率 1,得 0.7 分5）比率0.5,得1分6）取小數點后2位。獨立部門 （單位）總數互聯網出口 數量NET.4互聯網出 口安全管控組織互聯網出口中部署了訪問控制 設備和入侵檢測設備且訪問控制粒 度達到端口級的比率。比率

31、值法：簣介要求出口數1）侍才總出口數:2）取小數點后2位。互聯網出口 數址防護符合耍 求出口數量NET.5無線網絡 安全應用組織應用無線網絡承拔業務的信息 系統中釆取認證、完整性保護、機 '密性保護等必耍安全防護措施的比 率。比率值法：1）得分符合防護妾求系絞數 同用無線網絡條統總數：2）取小數點后2位。應用無線網 絡倍息系統總數符合防護要求的系統數2.10主機和設備安全防護（HEQ）標識檢查項檢査要素得分判定方法檢査記錄得分備注HEQ.1補丁更新紐織按照補丁管理耍求進行了可 更新補丁的更新.符合/不符合判斷法:1）不符合.此項得0分：2）符合.此項得1分。HEQ.2惡憊代碼 防護組織

32、按照惡總代碼管理耍求進行 了惡慝代碼檢測程序及可更新惡 總代碼陣的更新.符合/不符合判斷法：1）不符合.此項得0分：2）符合.此項得1分。HEQ.3系統加固組織主機和設備中按照等級保護 測評、風險評估、信息安全檢査 等發現的問題完成加固的比率。比率值法：,，、己完說加同的主機和設備故1）倚刀一應加固主機和設備故2）取小數點后2位.應加固主機和設備敵址完成加固主機 和設備敵址HEQ.4辦公終縊 管控組織實施安全管控并統一安裝防 稿毒軟件的辦公終端數址與辦公 終端總數的比值.比率值法：，"八己符押終瑙故 A）倚刀.總終端數52）取小數點后2位.辦公終端總數實施管控終端 數址HEQ.5主機

33、和設 備賬號口令組織主機和設備中經檢測未發現 存在不符介口令管理制度要求帳 號口令的主機和設備比率。比率值法：1）得分未發現問也的主機和設備臺數 總檢側臺數：2）取小數點后2位.檢測主機和設 備數量未發現問題的 主機和設備數2.11應用系統和數據安全防護（ADA）標識檢查項檢査耍素得分判定方法檢査記錄得分備注ADA.1應用系統 安全功能 及配置組織在等級保護測評、風險評估、 倍息安全檢査等E作中未發現應用 系統安全功能及配宜方面存在問題 的應用系統比率。比率值法：1）得分未發現何趣的系統數 總檢査評估系烷數：2）取小數點后2位。總檢査、評估 系統數未發現問題的 系統數ADA.2面向互聯 網服務

34、系 統安全監 控和攻擊 防御組織面向互聯網服務的倍息系統中 部署信息曲控和攻擊防御措施的比 率。比率值法：1）得分符介要求的系統數 互聯網服務系統敵：2）取小數點后2位。面向互聯網提 供服務系統數符合防護要求 系統數ADA.3面向互聯 網服務系 統周期性 測試組織按耍求對面向互聯網服務的系 統進行周期性安全測試的比率。符合/不符合判斷法：1）不符合.此項得0分：2）符合.此項得1分。ADA.4應用系統 帳號口令 管理組織賊用系統中經檢測未發現存在 不符合口令管理制度要求帳兮口令 的比率。比率值法：1）得分耒檢出何題的系統數 總檢測系統數：2）取小數點后2位。應用系統檢測 總數未檢出問題的 應用

35、系統數ADA.5垂要數據 安全防護組織采用加密或其它措施實現系統 管理數據、鑒別倍息和垂要業務數 抵傳輸和存儲的完整性和保密性保 護。符合/不符合判斷法：1）不符介.此項得0分：2）符介.此項得1分.2.12物理安全防護(PEN)標識檢査項檢査耍素得分判定方法檢査記錄得分備注PEN.1機房安全 建設組織按照等級保護婆求落實物理安 全防護的機房比率。比率值法：1) 得分符合要求的機房數 紐織機房總數；2) 取小數點后2位。機房總數符合防護婆 求機房2.13信息系統運行安全管理（OPE）標識檢査項檢査耍素得分判定方法檢査記錄得分備注OPE.1日常維護組織按照制定的規堂制度、操作規程 等執行了 口常

36、維護工作并有詳盡記 錄。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。OPE.2日志審計組織對網絡運行口志、操作系統日 志、數據庫訪問日志、業務應用系統 運行日志、安全設施運行口志等進行 樂中收集、定期分析。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。OPE.3補丁管理組織制定了補丁升級管理制度和補 丁升級策略.建立有關鍵業務系統補 丁升級測試環境。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得0.5分。制度及策略符合/不符合判斷法：3）不符合，此項得0分：4）符合，此項得0.5分測試壞境OPE.4介質管理俎織設置實施了限制移動介質使用 的技術

37、措施.對移動存儲介質的發 放、注冊、使用、存放、銷毀有記錄。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。OPE.5安全監測組織建立安全監測系統對互聯網出 口、面向互聯網捉供服務系統、垂耍 信息系統的運行、病希木馬、辦公終 端安全防護等悄況進行監測。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。2.14災難恢復（REC）標識檢査項檢査耍素得分判定方法檢査記錄得分備注REC.1硬件冗余組織垂耍信息系統網絡設備、通信線 路和數抿處理系統硬件冗余。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。REC.2定期備份組織垂耍信息系統實施本地備份并 制定

38、定期檢査笫略.備份介質場外存 放.符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。說明是系統備 份還妊數據備 份.堆全部備 份還是部分備 份REC.3異地容災 中心組織建立異地災備中心，三級信息系 統實現關鍵敵據定時批址傳送至備 用場地.四級信息系統實現業務應用 實時無縫切換。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。REC.4恢復測試組織按照備份及恢復測試要朮定期 組織實施恢復測試.并有文檔記錄。符合/不符合判斷法：1）不符合此項得0分：2）符合.此項得1分。2.15應急管理（EME）標識檢査項檢査要索得分判定方法檢査記錄得分備注ENIE.1信息通報組織

39、建立了網絡與信息安全信息 通報機制.按要求向電力監管機構 通報網絡和信息安全狀況.符合/不符合判斷法：1）不符合.此項得0分：2）符合.此項得1分。EME.2應急預案 制定組織按照電力行業網絡與信息安 全應急預案.制定了網絡與信息安 全應急預案。符合/不符合判斷法：1）不符合.此項得0分：2）符合.此項得1分。EME3垂耍信息 系統應急 預案制定組織重耍信息系統中制定了專項 應急處進預案的比率。比率值法：1）得分有方項處兇預來的系統數 蟲箜依忌糸統總數：2）取小數點后2位。亙要信息系 統總數制定專項案 的信息系統 數EME-4應急演練組織實施了年度應急演縊并有演 練腳本和演練實施文檔記錄。符合/不符合判斷法：1）不符合.此項得0分：2）符合.此項得1分。EME.5應急資源 配備組織結介信息安全工作需求.儲 備、購置賊急所滯技術隊