电力行业网络与信息安全检查方案(正式)
电力行业网络与信息安全管理办法(2篇)
电力行业网络与信息安全管理办法第一章总则第一条为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章监督管理职责第四条国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。
国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)组织制定电力行业网络与信息安全的发展战略和总体规划;(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;(七)组织开展电力行业网络与信息安全的技术研发工作;(八)电力行业网络与信息安全监督管理的其它事项。
第三章电力企业职责第六条电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
2023年网络与信息安全联合检查方案
2023年网络与信息安全联合检查方案一、前言近年来,随着互联网技术的发展和应用的普及,网络与信息安全问题日益突出。
为加强网络与信息安全管理,保障国家经济、社会以及人民群众的利益,有必要对网络与信息安全进行联合检查和监管。
本文针对2023年网络与信息安全联合检查工作,制定了以下方案。
二、目标与原则1. 目标:全面检查和监管各个领域的网络与信息安全道德和违法违规行为,减少网络安全风险,保障网络和信息安全。
2. 原则:a) 组织领导:各级政府部门加强组织领导,明确责任分工,形成合力。
b) 依法治理:依法对网络与信息安全问题进行检查和监管。
c) 全面覆盖:覆盖各个领域,包括政府、企事业单位、互联网企业等。
d) 建立标准:建立网络和信息安全检查的统一标准,确保检查的公正、公平。
e) 信息共享:各部门之间加强信息共享,提高检查和监管效果。
三、工作内容与要求1. 信息系统安全检查:a) 对政府机关、企事业单位的信息系统进行全面检查,发现漏洞和安全风险。
b) 要求各单位建立完善的信息系统安全管理制度,加强对信息系统的安全保护和风险防控措施。
c) 对违反信息系统安全管理制度的单位进行约谈和处罚。
2. 网络安全检查:a) 检查互联网企业的网络安全管理情况,重点关注个人信息、用户隐私保护等问题。
b) 要求互联网企业加强用户数据的保护,遵循信息安全和个人隐私的原则。
c) 对不合规的互联网企业进行整改,追究法律责任。
3. 微信与社交媒体安全检查:a) 对微信和其他社交媒体平台进行安全检查,发现违规行为和信息泄露风险。
b) 加强对网络舆情的监控和分析,及时发现和应对网络安全事件。
c) 对违法违规的微信公众号和社交媒体账号进行关闭和处罚。
4. 电子支付安全检查:a) 检查电子支付平台的安全管理情况,防止账户被盗、信息被窃等风险。
b) 要求电子支付平台建立健全的安全体系,确保用户资金安全。
c) 对电子支付平台存在安全漏洞和违法行为的进行整改和处罚。
2023年网络与信息安全检查工作方案
2023年网络与信息安全检查工作方案一、工作目标:1. 提升网络和信息安全意识,加强预防措施,促进网络和信息安全风险的管理和控制。
2. 推动网络和信息安全技术的创新与应用,提升信息系统的安全性和可靠性。
3. 加强网络和信息安全监控与应急响应能力,提高信息安全事件的处置效率。
二、工作重点:1. 加强网络和信息安全政策法规的宣传和培训,提升全体员工对网络和信息安全的认知和遵守。
2. 定期进行网络和信息安全风险评估,分析和识别系统中存在的安全隐患,并及时采取措施进行修复和加固。
3. 组织网络和信息安全应急演练,提高员工应对网络安全事件的处理能力,确保应急响应时的迅速和高效。
4. 建设和完善网络和信息安全保护体系,确保关键数据、关键系统的安全可靠性。
5. 加强网络和信息安全外部威胁的监测和分析,及时掌握和应对各类网络攻击活动。
6. 定期进行网络和信息安全检查,发现并修复系统中存在的安全漏洞,确保系统的安全运行。
7. 加强网络和信息安全培训,提高员工应对网络安全威胁的能力,改变员工在使用资安设备上的懈怠状态。
三、工作措施:1. 加强网络和信息安全宣传教育,提高全体员工的网络和信息安全意识。
(1) 组织网络和信息安全培训,包括网络安全政策法规、基础知识和常用防护技术等方面的培训。
(2) 发放网络和信息安全宣传材料,提醒员工注意网络和信息安全的重要性。
2. 进行网络和信息安全风险评估,分析和识别系统中存在的安全问题。
(1) 制定网络和信息安全风险评估方案,开展风险评估工作。
(2) 分析评估报告,及时修复和加固系统中的安全隐患。
3. 组织网络和信息安全应急演练,提高员工应对网络安全事件的处理能力。
(1) 制定网络和信息安全应急演练方案,定期组织演练活动。
(2) 分析演练过程中的问题和不足,及时完善应急响应机制。
4. 建设和完善网络和信息安全保护体系,确保关键数据、关键系统的安全可靠性。
(1) 强化系统的访问权限管理,限制员工对敏感数据和系统的访问权限。
{安全管理套表}信息安全检查表
1.非实时运行的系统数量
2.实时运行的系统数量
(按服务对象进行统计)
1.面向社会公众提供服务的系统数量
2.不面向社会公众提供服务的系统数量
(按联网情况进行统计)
1.直接连接互联网的系统数量
2.同互联网强逻辑隔离的系统数量
3.与互联网物理隔离的系统数量
(按数据集中情况进行统计)
1.全国数据集中的系统数量
3.根据安全检测发现的漏洞和隐患,分析网络与信息系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估网络与信息系统总体安全状况。
六、检查组织
1.电监会统一组织本次信息安全检查工作,电力行业网络与信息安全领导小组办公室负责信息安全检查的日常工作。电监会各派出机构根据电监会的统一部署,负责辖区内电力企业信息安全自查督导和监督检查工作。
过程控制系统(PCS)
套
套
可编程控制器(PLC)
大型
台
台
中型
台
台
小型
台
台
就地测控设备
仪表
台
台
智能电子设备(IED)
台
台
远端设备(RTU)
台
台
系统构成情况
应用服务器-
工程师工作站
应用软件
套
套
系统软件
套
套
PC机/服务器
台
台
数据库服务器
数据库软件
套
套
系统软件
套
套
PC机/服务器
台
台
通信设备
台
台
工业控制网络
连接情况
3.9月1日~9月15日,总结阶段
电监会对检查工作情况进行汇总和全面总结,形成电力企业信息安全检查报告并报国家网络与信息安全协调小组办公室。
网络与信息安全检查实施方案-无删减范文
网络与信息安全检查实施方案网络与信息安全检查实施方案1. 引言网络与信息安全是保障企业的核心业务和数据安全的重要组成部分。
为了确保网络和信息系统的安全性,及时进行安全检查和评估是必不可少的。
本文档旨在提供一套实施网络与信息安全检查的详细方案,以确保企业网络和信息系统的安全性。
2. 目标网络与信息安全检查的主要目标是:- 评估当前网络和信息系统的安全状态;- 发现并修复已存在的安全漏洞和风险;- 提供改进策略和建议,以提高网络和信息系统的安全性。
3. 实施步骤3.1. 风险评估在进行网络与信息安全检查之前,首先需要对企业当前的网络和信息系统进行风险评估。
风险评估的目的是识别潜在的安全威胁和漏洞,并为后续的安全检查提供基础。
风险评估的步骤包括:1. 收集相关的网络和系统资料;2. 识别潜在的安全威胁和漏洞;3. 对风险进行定级和评估;4. 编写风险评估报告。
3.2. 安全检查基于风险评估报告,制定安全检查计划并实施安全检查。
安全检查的目的是评估当前网络和信息系统的安全性,并发现已存在的安全漏洞和风险。
安全检查包括以下步骤:1. 网络设备的漏洞扫描,包括检测操作系统和应用程序的已知漏洞;2. 网络流量监测和分析,以识别异常流量和安全事件;3. 系统配置和访问权限的审计,确保系统配置符合安全标准,并限制非必要的访问权限;4. 安全策略和策略执行的审查,包括防火墙配置、密码策略等;5. 日志和事件管理的审查,确保日志记录和事件管理的有效性;6. 物理安全评估,包括服务器房间的访问控制、监控等检查。
3.3. 结果分析和报告基于安全检查的结果,进行漏洞和风险的分析,并编写最终的安全检查报告。
报告应包含以下内容:1. 对每个发现的漏洞和风险进行描述和定级;2. 提供相应的修复建议和改进措施;3. 列出未来改进和加强网络与信息安全的建议;4. 报告应以清晰的格式输出,便于阅读和理解。
4. 实施计划和资源本章节应详细介绍实施网络与信息安全检查的计划和相关资源。
2024年电力行业网络与信息安全管理办法(2篇)
2024年电力行业网络与信息安全管理办法第一章总则第一条为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章监督管理职责第四条国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。
国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)组织制定电力行业网络与信息安全的发展战略和总体规划;(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;(七)组织开展电力行业网络与信息安全的技术研发工作;(八)电力行业网络与信息安全监督管理的其它事项。
第三章电力企业职责第六条电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
电力行业信息化建设网络安全解决方案
电力行业信息化建设网络安全解决方案随着电力行业信息化建设的不断深入,网络安全问题也变得日益突出。
电力行业的信息化建设网络安全解决方案需要综合考虑网络安全技术、安全管理体系和安全防控策略,以确保电力行业信息系统的安全运行。
首先,电力行业信息化建设的网络安全解决方案需要采用多层次、多维度的网络安全技术。
这包括建立网络边界防护、入侵检测与防御、网络流量监控与分析等技术措施。
其中,建立网络边界防护包括建立防火墙、入侵检测系统和入侵防御系统,以阻止未经授权的访问和攻击。
入侵检测与防御则通过实时监测、检测异常行为,并采取相应的防御措施来保护系统安全。
网络流量监控与分析则可以及时发现异常流量和攻击行为,并做出相应的处理。
其次,电力行业信息化建设的网络安全解决方案需要建立全面的安全管理体系。
这包括建立安全策略与规范管理、安全培训与教育、安全事件响应与处置等管理措施。
安全策略与规范管理包括制定网络安全策略和规范,并进行监督和审计。
安全培训与教育则是为员工提供网络安全意识教育和技能培训,提高员工的安全防护意识和实践能力。
安全事件响应与处置则是建立安全事件的报告、分析和处置机制,能够及时应对安全事件,降低损失和风险。
最后,电力行业信息化建设的网络安全解决方案需要制定科学有效的安全防控策略。
这包括加强系统和应用软件的安全防护、加强身份认证与访问控制、加强数据加密与传输安全等策略。
加强系统和应用软件的安全防护可以通过及时打补丁、漏洞扫描和安全评估来提升安全性。
加强身份认证与访问控制可以通过采用多层次身份认证、强化密码策略和访问控制策略来防止非法访问。
加强数据加密与传输安全可以通过加密算法、VPN 隧道等技术手段来确保数据的机密性和完整性。
综上所述,电力行业信息化建设网络安全解决方案需要综合采用网络安全技术、安全管理体系和安全防控策略来确保信息系统的安全运行。
只有通过建立多层次、多维度的网络安全体系,才能有效防止黑客攻击和数据泄露,确保电力行业信息系统的安全可靠运行。
网络与信息安全检查方案
网络与信息安全检查方案网络与信息安全检查方案一、引言网络与信息安全是当今社会互联网普及的背景下,企业、组织和个人保护重要信息资产免受未经授权访问、使用、泄露、破坏、篡改等威胁的重要环节。
为了做好网络与信息安全工作,本文档将提供一套全面、详细的网络与信息安全检查方案。
二、检查范围⒈网络设备安全检查⑴路由器安全检查⑵交换机安全检查⑶防火墙安全检查⑷ VPN设备安全检查⑸入侵检测与防御系统安全检查⒉系统与应用安全检查⑴操作系统安全检查⑵数据库安全检查⑶ Web应用安全检查⑷移动应用安全检查⒊网络与信息传输安全检查⑴网络通信安全检查⑵无线网络安全检查⑶数据传输加密与解密安全检查⒋身份认证与访问控制安全检查⑴用户账号安全检查⑵访问权限安全检查⑶身份认证技术安全检查⒌日志与审计安全检查⑴日志记录安全检查⑵审计工具安全检查⑶网络流量分析安全检查三、检查方法与工具⒈信息收集与准备⑴检查列表准备⑵风险评估与排查⑶检查辅助工具准备⒉检查实施与记录⑴检查流程与步骤⑵检查方法与技术⑶检查记录与数据分析⒊检查结果与报告⑴检查结果统计与整理⑵漏洞与风险评估⑶检查报告编写与提交四、附件本文档涉及以下附件供参考:⒈网络设备清单⒉系统与应用清单⒊身份认证与访问控制列表⒋日志与审计记录五、法律名词及注释⒈网络安全法:指中华人民共和国于2016年11月7日第八届全国人民代表大会常务委员会第二十四次会议通过的法律,是维护国家网络安全和保护网络空间主权、国家安全、社会公共利益的基本法律。
⒉信息安全技术及评测要求:是国家密码管理局发布的信息安全技术、产品及服务可信度供应商资质评价体系文件,用于评价信息安全产品与服务的可信度和安全性。
⒊个人信息保护法:是中华人民共和国《中华人民共和国网络安全法》第41条修订案,对个人信息的收集、存储和使用提出了具体要求。
中国大唐集团公司网络与信息安全检查管理办法
附件中国大唐集团公司网络与信息安全检查管理办法第一章总则第一条为加强中国大唐集团公司(以下简称集团公司)网络与信息安全管理,全面掌握集团公司及所属各企业网络与信息安全现状,及时发现存在的薄弱环节和安全隐患,有效防范信息安全事件的发生,规范网络与信息安全检查工作,制定本办法。
第二条网络与信息安全检查坚持“贵在真实,重在整改”的工作原则。
第三条网络与信息安全检查工作由各企业行政正职负责,分管副职组织实施,做到责任明确,措施到位。
第四条本办法适用于集团公司各上市公司、分公司、省发电公司、专业公司(以下简称系统各企业)。
第二章工作职责第五条集团公司科技信息部的主要职责:(一)落实国家有关职能部门安排的各项网络与信息安全检查工作;1(二)制定集团公司组织的网络与信息安全检查计划,并组织专家实施检查与考核工作;(三)汇总、审阅系统各企业网络与信息安全自查计划和自查报告,审核风险控制措施和整改方案,督促解决检查中发现的突出问题;(四)组织研究网络与信息安全检查工作中存在的共性问题,并提出对策;对涉及集团公司层面的重大问题,提出整改意见;(五)指导系统各企业全面、深入开展网络与信息安全检查工作,制定检查标准、制度与实施细则。
第六条集团公司各业务部门应积极配合开展网络与信息安全检查工作。
第七条系统各企业工作职责:(一)根据当地政府和集团公司的安排,组织实施所管理和所属企业的网络与信息安全检查工作。
(二)统筹所管理和所属企业各类网络与信息安全检查工作,确保检查工作正常开展。
(三)对所管理和所属企业网络与信息安全自查工作进行指导。
(四)组织审查所管理和所属企业制定的整改计划和自查报告。
(五)监督所管理和所属企业网络与信息安全检查整改计划的执行情况,将未及时完成整改的问题要列入监控重点,确保2整改到位。
(六)对所管理和所属企业的网络与信息安全检查工作存在的共性问题进行研究,审查检查中发现重大问题的整改方案。
(七)对集团公司网络与信息安全检查标准的改进和完善提出意见和建议。
电力行业网络与信息安全管理办法范文(二篇)
电力行业网络与信息安全管理办法范文第一章总则第一条为加强电力行业网络与信息安全管理,保障信息系统正常运行,保护电力信息资产安全和用户隐私,维护电力行业网络与信息安全,根据相关法律法规,制定本办法。
第二条本办法适用于电力行业各级单位、企事业单位、合作伙伴、用户以及与电力行业信息系统相关的各类企事业单位,以及电力行业内外相关人员。
第二章安全责任第三条电力行业各级单位应当明确网络与信息安全工作的责任单位、责任人,并将网络与信息安全工作列为重要的管理事项。
第四条电力行业各级单位应当制定网络与信息安全管理制度和相关操作规程,并组织实施。
第五条电力行业各级单位应当加强网络与信息安全专业人员的培训和考核,确保其具备相关技能和知识,提高网络与信息安全防护水平。
第三章信息资产保护第六条电力行业各级单位应当建立信息资产清单,对重要信息资产进行分类、登记和保护。
第七条电力行业各级单位应当采取技术措施和管理措施,保护信息系统及其相关组件的完整性、可靠性和可用性。
第八条电力行业各级单位应当加强对信息资产的访问控制,确保信息资产只能由授权人员访问和使用。
第九条电力行业各级单位应当建立信息资产备份和恢复机制,定期进行备份和测试,以保障信息系统的可持续性和可恢复性。
第四章网络安全防范第十条电力行业各级单位应当采取技术手段和管理措施,防御网络攻击和恶意软件侵害。
第十一条电力行业各级单位应当建立网络安全事件监测和应急响应机制,对网络安全事件进行及时监测、分析和响应。
第十二条电力行业各级单位应当加强网络设备和系统的安全配置和管理,及时修补系统漏洞,防止未授权访问和信息泄漏。
第五章信息安全检测和评估第十三条电力行业各级单位应当定期对信息系统进行安全检测和评估,发现潜在安全隐患并及时修复。
第十四条电力行业各级单位应当委托具备资质的第三方机构进行信息安全评估和认证,确保信息系统的安全性和合规性。
第六章人员管理第十五条电力行业各级单位应当加强对网络与信息安全相关人员的管理,确保其遵守保密制度和相关规定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编订:__________________
单位:__________________
时间:__________________
电力行业网络与信息安全检查方案(正式) Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level.
Word格式 / 完整 / 可编辑
文件编号:KG-AO-8637-16 电力行业网络与信息安全检查方案
(正式)
使用备注:本文档可用在日常工作场景,通过对目的、要求、方式、方法、进度等进行
具体、周密的部署,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常
工作或活动达到预期的水平。
下载后就可自由编辑。
为贯彻落实《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔2012〕102号)要求,结合电力行业信息安全工作实际,制定电力行业网络与信息安全检查方案。
一、检查依据
1. 《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔2012〕102号);
2. 《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)。
3. 《电力二次系统安全防护规定》(电监会5号令)。
二、检查目的
通过开展电力行业网络与信息安全检查,全面掌
握重要电力网络与信息系统基本情况,分析面临的安全威胁和风险,评估安全防护水平,查找突出问题和薄弱环节,有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障电力网络与信息系统安全,维护电力系统安全稳定运行,保障党的十八大顺利召开。
三、检查范围
各电力企业运行使用的网络和信息系统,重点检查信息安全保护等级为3级及以上的重要网络与信息系统。
四、检查方式
本次检查按照“谁主管谁负责、谁运行谁负责”的原则,采用电力企业自查、电监会派出机构对辖区内电力企业自查情况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。
五、检查内容
本次信息安全检查主要分基本情况调查、安全防护情况检查和问题及风险分析三个方面。
(一)网络与信息系统基本情况调查。
主要调查系统特征,包括系统停止运行后对主要业务的影响程度,系统遭到攻击破坏后对社会公众的影响程度等;系统构成,包括主要软硬件设备的类型、数量、生产商等;信息技术外包服务,包括服务类型、服务提供商、服务方式、安全保密协议等。
各单位要在全面调查的基础上,汇总填写《电力行业信息安全检查情况报告表》(见附件1)。
(二)安全防护情况检查。
各单位主要从以下15个方面对本单位信息安全防护情况进行重点检查,并在认真检查的基础上,如实填写《电力企业信息安全检查表(2012版)》(见附件2)。
1. 组织体系建设情况。
信息安全组织机构建立情况;第一责任人确立情况;责任落实情况;专职机构及岗位设置情况;安全人员配置情况等。
2. 规章制度建立情况。
整体策略及总体规划(方案)制定情况;管理制度制定情况及制度体系完整性;操作规程制定情况;制度发布情况等。
3. 资金保障情况。
经费预算情况;安全运维经费投入情况;安全建设经费投入情况等。
4. 人员安全管理情况。
全员安全培训及保密协议签订情况;专业技能培训情况;岗位人员审查情况;岗位调整安全管控情况等。
5. 服务外包管控情况。
外包服务协议签订情况;第三方人员访问管理情况;远程服务管控情况;现场开发管控情况等。
6. 关键信息资产管控情况。
资产清单的建立情况;资产管理职责的落实情况;信息系统基础资料归档情况等。
7. 信息系统建设安全管理情况。
系统上线安全测评情况;等级保护建设情况;等级保护测评情况;信息安全风险评估开展情况;密码产品采购情况;信息产品采购测试情况;安全产品国产化情况等。
8. 安全分区防御情况。
安全分区情况;横向隔离及纵向认证设备部署情况;跨区连接管控情况;内外网隔离情况等。
9. 网络安全防护情况。
生产控制大区安全防护情况;管理信息大区安全防护情况;互联网出口统一管理情况;互联网出口安全管控情况;无线网络安全防护情况等。
10. 主机和设备安全防护情况。
补丁更新管理情况;恶意代码防护情况;系统加固情况;办公终端管控情况;主机和设备帐号口令管理情况等。
11. 应用系统和数据安全防护情况。
应用系统安全功能及配置情况;对外服务系统信息监控和攻击防御情况;对外服务系统周期测试情况;应用系统账号口令管理情况;重要数据安全保护情况等。
12. 物理环境安全防护情况。
机房安全建设情况等。
13. 信息系统运行安全管理情况。
日常维护情况;安全审计情况;补丁管理情况;介质管理情况;安全监测情况等。
14. 灾难恢复情况。
硬件冗余情况;定期备份情况;异地容灾中心建设情况;备份介质恢复测试情况等。
15. 应急管理情况。
网络与信息安全信息通报情况;总体应急预案制定情况;重要信息系统应急预案制定情况;应急演练开展情况;应急资源配备情况;事故调查工作情况等。
(三)存在的问题和面临的风险分析。
在完成基本情况调查和安全防护情况检查的基础上,各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。
1.当前安全管理和技术防护中的主要问题及薄弱环节,制定安全防护能力提高的主要因素(包括法律法规、政策制度、技术手段等方面)。
2. 统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例,分析网络与信息系统对国外产品和服务的依赖程度。
3. 根据安全检测发现的漏洞和隐患,分析网络与
信息系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估网络与信息系统总体安全状况。
六、检查组织
1. 电监会统一组织本次信息安全检查工作,电力行业网络与信息安全领导小组办公室负责信息安全检查的日常工作。
电监会各派出机构根据电监会的统一部署,负责辖区内电力企业信息安全自查督导和监督检查工作。
2. 各电力(集团)公司负责组织开展本单位及其下属单位的信息安全检查工作。
七、进度安排
1. 7月16日~7月20日,动员部署阶段
印发《关于开展电力行业网络与信息安全检查行动的通知》和《电力行业网络与信息安全检查方案》,召开会议进行动员部署。
2. 7月21日~8月31日,实施阶段
8月22日前,各单位完成本单位的信息安全自查
工作,编写自查报告,制定整改方案。
8月31日前,完成整改工作。
电力(集团)公司应汇总填写本系统《电力行业信息安全检查情况报告表》和《电力企业信息安全检查项目表(2012版)》,并和自查整改情况报告一起报送电监会。
对于无法及时完成整改的隐患项目,有关电力企业要说明原因,制定临时应急措施,并将情况说明按时报电监会。
检查期间,电监会将组织若干专业小组对各单位进行抽查。
抽查有关事项,电监会将于行前通知。
3. 9月1日~9月15日,总结阶段
电监会对检查工作情况进行汇总和全面总结,形成电力企业信息安全检查报告并报国家网络与信息安全协调小组办公室。
八、工作要求
1. 各单位要高度重视,加强组织领导,制定检查方案,明确检查任务,落实检查责任,及时整改检查中发现的问题,并将检查整改情况按时报电监会。
2. 各单位要精心部署,周密安排,认真组织。
对
于发现的问题,要找出原因,并举一反三,持续改进。
各单位要建立检查整改跟踪督办机制,力求使安全隐患都得到整改和妥善处置。
3. 安全检查工作对象是各单位的重要系统、重要数据和敏感信息等资产,需要高度重视检查工作存在的风险,制定周密的应急防范措施,避免发生影响系统正常运行和敏感信息泄漏的事件。
4. 各单位要高度重视信息安全保密工作,加强信息安全保密措施,检查结果除按规定报送外,不得向其他单位和个人透露。
所有检查往来文件一律加密。
5. 电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律,严格执行保密工作规定,不得随意泄露抽查组行程。
请在这里输入公司或组织的名字
Enter The Name Of The Company Or Organization Here。