燃煤發電企業信息系統安全與管理安全風險控制指導手冊序號控制節點標準分風險管控重點要求管控效果評估評審依據頻次3.18信息系統安全與管理2003.18.1安全防護技術措施100物理安全201.電力監控系統機房應當采取有效防水、防潮、防火、防雷擊、防盜竊、防破壞措施；2.機房應配置電子門禁系統以加強物理訪問控制，必要時安全專人值守；3．機房內所有設備的金屬外殼、金屬道、金屬線槽、建筑物金屬結構等必須進行等電位聯結并接地；4.按規定周期和內容要求巡視機房及設施設備，發現異常及時處理1.防水、防潮、防火、防雷擊、防盜竊、防破壞措施不符合，扣8分；2.無電子門禁系統，扣2分；3.設備接地不符合要求，扣6分；4.無機房巡檢記錄，扣4分；記錄內容不全，扣2分。1.《電力監控系統安全防護規定》（發改委令14號）第3.1條；2.《數據中心設計規范》（GB50174-2017）第8.4.4條；3.《信息安全技術信息系統安全管理要求》（GB/T20269-2006）第條1次/年結構安全201.有廠內業務系統的分區表，分區表包含了廠內所有的電力監控系統，業務分區準確；2.生產控制大區劃分不同的網絡安全域，并進行區域之間的安全訪問控制；3.生產控制大區和管理信息大區之間橫向部署了專用隔離裝置，僅允許非TCP直連方式的數據通信；4.調度數據網縱向部署專用加密認證裝置，僅允許專用的通信服務，嚴格設置訪問控制策略；5.監控系統網絡核心交換設備、廣域網核心路由設備應采取設備冗余或準備了備用設備，同時路由鏈路也應該施行冗余方式，核心網絡不存在明顯的單點故障隱患1.分區表不準確，扣10分，不完整，扣4分；2.不同的網絡安全域之間無訪問控制措施，，扣6分；3．生產控制大區和管理信息大區之間未部署專用隔離裝置不得分，策略配置不完整，扣4分；4.調度數據網縱向未部署加密認證裝置，不得分，策略配置不完整，扣4分；5.網絡架構可靠性不足扣4分。《電力監控系統安全防護規定》（發改委令14號）第2.1條、2.2條、2.3條、3.2條網絡設備安全防護201.對登錄網絡設備、安全設備采用了HTTPS、SSH等加密方式或配置堡壘機；2.對登錄用戶進行身份鑒別及權限控制，登錄用戶口令滿足復雜度要求，且制定有更換策略并由專人負責保管；3．及時清理網絡及安全設備上的臨時用戶、多余用戶；4.網絡設備空閑端口進行了封堵1.對登錄網絡設備、安全設備采用未使用了HTTPS、SSH等加密方式，扣4分；2.登錄用戶口令不滿足復雜度要求或未制定有更換策略，扣6分；3．未及時清理網絡及安全設備上的臨時用戶、多余用戶，扣4分；4.未對網絡設備空閑端口進行了封堵，扣6分。1.《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）第8.1.2條；2.《燃煤火力發電廠技術監控規程第11部分：工控系統網絡信息安全防護技術監督》（Q/CDT10111003.11—2019）第4.3.2條1次/年主機防護201.對DCS、NCS等人機交互站，廠級監控信息系統等關鍵應用系統的主服務器，以及網絡邊界處的通信網關機、Web服務器、數據庫服務器等采取了安全加固措施；2..制訂主機安全加固的審核流程與管理制度以及主機加固技術標準和加固管理的策略；3.生產控制大區的各主機應當關閉或拆除不必要的軟盤驅動、光盤驅動、USB接口、串行口、無線、藍牙等，確需保留的須通過安全管理及技術措施實施嚴格監控；4.禁止在生產控制大區和管理信息大區之間交叉使用移動存儲介質以及便攜計算機。確需通過外設接入的設備，應在接入前采取病毒查殺等安全預防措施，且通過安全管理及技術措施實施嚴格監控，并履行發電廠安全接入審批手續1.對DCS、NCS等人機交互站，廠級監控信息系統等關鍵應用系統的主服務器，以及網絡邊界處的通信網關機、Web服務器、數據庫服務器等未實施安全加固措施，扣4分；2..未制訂主機安全加固的審核流程與管理制度，扣2分；3.生產控制大區的各主機未關閉或拆除不必要的軟盤驅動、光盤驅動、USB接口、串行口、無線、藍牙等，扣6分；4.生產控制大區和管理信息大區之間交叉使用移動存儲介質以及便攜計算機，未通過安全管理及技術措施實施管控及審批，扣8分。《燃煤火力發電廠技術監控規程第11部分：工控系統網絡信息安全防護技術監督》（Q/CDT10111003.11—2019）第4.3.3條1次/年入侵監測及安全審計101.在生產控制大區部署網絡入侵檢測系統；設置了包含有工控系統專有攻擊特征庫的檢測規則；2.生產控制大區各關鍵生產系統內部署網絡流量審計設備；具備針對工控協議的深度包協議解析、及時發現隱藏在正常流量中的異常數據包、實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、違規外聯、非法設備接入等內網異常行為的功能；3.生產控制大區主要業務系統需具備日志審計功能；保存至少6個月的日志數據1.在生產控制大區未部署網絡入侵檢測系統，扣3分；2.生產控制大區各關鍵生產系統內未部署網絡流量審計設備，扣3分；3.生產控制大區主要業務系統不具備日志審計功能，扣3分。1.《電力監控系統安全防護規定》（發改委令14號）第3.5條、3.11條2.《燃煤火力發電廠技術監控規程第11部分：工控系統網絡信息安全防護技術監督》（Q/CDT10111003.11—2019）第4.3.4條、4.3.6條1次/年數據安全10定期對關鍵業務的數據進行備份，對生產運行等重要數據實現雙備份并至少保存12個月未開展數據備份工作不得分，備份工作不規范酌情扣3分。《燃煤火力發電廠技術監控規程第11部分：工控系統網絡信息安全防護技術監督》（Q/CDT10111003.11—2019）第4.3.8條1次/年3.18.2網絡安全管理801次/年組織機構201.成立了明網絡安全及信息化領導小組，企業主要負責人為領導小組組長；2.有專門負責網絡安全的部門；3.配備了專門的網絡安全管理員1.未成立網絡安全與信息化領導小組，扣8分；2.未明確負責網絡安全的部門，扣6分；3，未配備專門的網絡安全管理員，扣6分。1．《信息安全技術信息系統安全管理要求》（GB/T20269-2006）5.2.1條；2．《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）8.1.7條人員管理101.每年開展網絡安全培訓；2.與第三方外包人員簽署保密協議；3.系統使用權限遵循權限最小化原則；當崗位調整時能及時在系統做權限變更或注銷等相應處理1.未開展網絡安全培訓，扣3分；2.與第三方人員未簽訂保密協議，扣3分；3.未及時開展權限調整工作，扣3分。《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）第8.1.8條1次/年管理制度101.制訂門禁、人員、權限、訪問控制管理制度；2.制訂電力監控系統的維護管理制度；3.制訂惡意代碼防護、審計、數據及系統的備份、用戶口令、安全培訓等管理制度；4.分別對各類設備、介質、資產、網絡、業務系統制訂了安全管理制度并在存放環境、使用以及銷毀、報廢等方面做出了詳細規定，并建立了安全審計管理制度1.未制定相關制度，扣3分；2.未制定相關制度，扣3分；3.未制定相關制度，扣3分；4.未制定相關制度，扣3分。《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）第條1次/年技術資料管理101.整理了工控系統設備臺賬，臺賬包括各系統涉及的物理場所、網絡設備、主機設備、安全設備及應用軟件等，臺賬信息準確，更新及時；2.有全廠各業務系統的網絡拓撲圖，拓撲圖繪制規范，與現場實際相符1.無臺賬資料或臺賬資料不完整，扣4分；2.無網絡拓撲圖或拓撲圖不完整，扣3分。《燃煤火力發電廠技術監控規程第11部分：工控系統網絡信息安全防護技術監督》（Q/CDT10111003.11—2019）第5.1條1次/年系統建設管理101.系統建設所涉及到的軟硬件系統、設備及專用信息安全產品符合國家及行業資質、質量標準等相關規定與要求；2.自行開發或外包開發的軟件產品投運前進行安全評估并留有相關工作記錄；3.選定的施工建設單位和安全服務商具備國家和行業主管部門要求的資質；與選定的安全服務商簽訂安全保護承諾等相關協議，明確約定相關責任并簽署保密協議；4.系統應進行上線前的安全測試，并形成測試報告；5.系統驗收應形成正式的驗收報告1.產品不符合國家及行業資質要求、質量標準等，扣3分；2.未開展安全評估，扣3分；3．施工單位無相關資質，或未簽訂保密協議，扣3分；4.系統未開展上線前安全測試，扣3分；5.系統驗收未形成正式的驗收報告，扣3分。1．《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）8.1.9條；2.《中國大唐集團有限公司網絡安全和信息化項目管理辦法》（大唐集團制〔2020〕197號）第7章1次/年系統運維管理101.制定了相關的維護規程或操作手冊；2．運維操作有詳細、準確的日志記錄；3.變更過程履行了相關審批手續并項目記錄1.無相關的規程或手冊，扣3分；2.運維操作無記錄，扣3分；3．變更操作無審批，無記錄，扣4分。《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）第8.1.10條1次/年應急管理101.建立網絡安全應急處置預案，按照事件發生后的危害程度、影響范圍等因素對網絡安全事件進行分級，并規定相應的應急處置措施，并建立網絡安全事件通報制度；2.至少每年開展一次應急預案演練，并有相關過程資料1.無相關預案不得分，預案無針對性扣標準分的，扣3分；2.預案未演練，扣3分。《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）第8.1.10條1次/年3.18.3等級保護及安全風險評估201次/年等保測評101.開展過本年度的等保測評，取得相關報告；2.根據年度等保測評結果制定整改計劃，開展整改工作并形成相關工作記錄1.未開展備案定級及測評工作，不得分；2.未開展整改工作，扣2分。1.《中華人民共和國網絡安