02信息安全检测标准清单 - 国家电网

等保2.0测评详细指标（1-3级）PS：一级指标没有整理成表格，二三级整理成表格，看的会清晰一点。

一级测评要求指标一．技术安全大类1.安全的物理环境物理访问控制：机房出入口应安排专人值守或配置电子门禁系统，控制，鉴别和记录进入的人员。

防盗窃和破坏：应将设备或主要部件进行固定，并设置明显的不易除去的标识。

防雷击：应将各类机柜，设施和设备等通过基地系统安全接地。

防火：机房应该设置灭火设备。

防水和防潮：应采取措施防止雨水通过机房窗户，屋顶和墙壁渗透。

温湿度控制：应设置必要的温湿度调节设施，使机房温湿度的变化在设备运行所允许的范围之内。

电力供应：应在机房供电线路上配置稳压器和过电压防护设备。

2.安全的通信网络通信传输：应采用检验技术保证通信过程中数据的完整性。

可信验证：可给予可信根对通信设备的系统引导程序，系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。

3.安全的计算环境身份鉴别：1.应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份辨别信息具有复杂度要求并定期更换。

2.应具有登陆失败处理功能，应配置并启用结束会话，限制非法登录次数和挡登录连接超时自动退出等相关措施。

访问控制：1.应对登录的用户分配账户和权限2.应重命名或删除默认账户，修改默认账户的默认口令。

3.应及时删除或停用多余的，过期的账户，避免共享账户的存在。

入侵防范：1.应遵循最小安装的原则，仅安装需要的组件和应用程序。

2.应关闭不需要的系统服务，默认共享和高危端口。

恶意代码防范：应安装放恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。

可信验证：可基于可信根对计算机设备的系统引导程序，系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。

数据完整性：应采用检验技术保证重要数据在传输过程中的完整性。

数据备份恢复：应提供重要数据的本地数据备份与恢复功能。

4.安全的区域边界边界防护：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

等保测评2.0标准
等保测评2.0标准是指中国国家信息安全等级保护制度中的一
项安全评估标准。

该标准被广泛应用于评估信息系统的安全性和满足相关法律法规的要求，以确保信息系统的保密性、完整性、可用性和可控性。

等保测评2.0标准包括七个等级，分别为一级到七级，等级越
高要求越严格。

每个等级都有对应的安全要求和评估指标，包括技术要求、管理要求和工程建设要求等方面。

在等保测评2.0标准中，具体的评估指标包括：网络与终端安全、服务器与存储安全、数据安全、应用系统安全、密钥管理安全、安全运维管理、安全事件与应急管理、人员安全管理等。

通过进行等保测评，组织可以了解自身信息系统的安全状况，有针对性地修复和改进系统中的安全问题，提高信息系统的安全性和可信度。

同时，符合等保测评2.0标准也是企业在信息
安全方面的合规要求，能够获得相关行业和政府部门的认可和信任。

M30内六角螺栓的尺寸标准主要包括直径、螺距和螺栓长度。

直径：M30表示螺栓的直径为30mm。

螺距：M30的螺距为3.5mm。

螺栓长度：根据具体应用的需要，螺栓长度可以有不同的要求，例如M30x60表示螺栓的长度为60mm。

此外，螺栓的材质和表面处理也是标准中需要考虑的因素。

电力信息安全水平评价指标1 范围本标准规定了电力信息安全水平评价指标，描述了评价指标量化方法。

本标准适用于电力监管机构对电网、发电、电力科研及电力设计施工等电力组织机构开展信息安全水平评价，也适用于上述电力组织机构开展信息安全水平自评价。

信息安全服务提供商为电力组织机构提供服务时也可参考使用。

2 电力信息安全水平评价指标框架及量化方法2.1 评价指标框架电力信息安全水平评价指标分为组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理环境安全防护、信息系统运行安全管理、灾难恢复和应急管理等15类，共70项。

表1描述了电力信息安全水平评价指标框架。

1232.2 评价指标项描述评价指标项包含评价要素、指标权重、指标属性和量化方法四个部分，四个部分含义分别为：a) 评价要素：说明每个评价指标项的具体评价内容和要求，在定性评价指标项中描述组织机构信息安全工作应达到的水平，在定量评价指标项中描述应从组织机构信息安全工作中提取的具体量值。

b) 指标权重：每个评价指标项被赋予一个参考数值，以反映其相对于其他评价指标项的重要程度。

在水平评价实施过程中，如果部分评价指标项不适用于被评价组织机构，此部分评价指标项的权重按0计。

c) 指标属性：每个评价指标项的属性为“定性指标”和“定量指标”之一。

d) 量化方法：每个评价指标项的量化方法为“判断法”、“比率值法”和“选项赋值法”之一。

2.3 量化方法2.3.1 评价指标项量化方法 2.3.1.1 判断法根据组织机构信息安全工作实际情况是否符合评价要素描述，为评价指标项赋予量化值，表2列出了评价指标项量化值ij P 的赋值方法。

表2 应用判断法的P 2.3.1.2 比率值法根据组织机构信息安全工作实际情况，依据评价要素计算得出比率或比值，并将比率或比值作为评价指标项量化值。

电力行业等保测评标准
电力行业等保测评标准是指对电力行业信息系统等级保护水平进行评估和测定的标准。

下面是一些常见的电力行业等保测评标准：
1. 电力行业信息系统安全等级保护基本要求：该标准规定了电力行业信息系统的基本安全保护要求，包括网络安全、物理安全、应急响应等方面的要求。

2. 电力行业信息系统安全等级保护测评技术要求：该标准规定了电力行业信息系统安全等级测评的具体技术要求和方法，包括系统分类、测评流程、测评指标等方面的内容。

3. 电力行业信息系统等级保护测评规则：该标准规定了电力行业信息系统等级保护测评的一般规则和程序，包括测评申请、测评范围、测评周期等方面的规定。

4. 电力行业信息系统安全等级保护测评指南：该指南提供了电力行业信息系统安全等级保护测评的详细指导，包括测评目标、测评内容、测评方法等方面的指导。

这些等保测评标准旨在帮助电力行业建立健全的信息系统安全保护机制，确保电力行业信息系统的安全可靠运行。

电力行业信息系统安全等级保护基本要求随着信息技术在电力行业中的广泛应用，电力行业信息系统安全问题日益凸显。

为了保护电力行业的信息安全，提高电力行业信息系统的安全等级，国家制定了电力行业信息系统安全等级保护基本要求。

以下是这些基本要求的详细介绍。

一、基本要求的概述基本要求包括安全等级划分、安全技术要求、安全管理要求、监督检查要求等方面内容。

二、安全等级划分根据不同的保护需求，将电力行业信息系统分为五个等级，从低到高分别是一级、二级、三级、四级、五级。

三、安全技术要求安全技术要求包括电力行业信息系统安全的要求和控制措施。

控制措施包括访问控制、身份认证、数据加密、安全传输、安全审计等方面。

四、安全管理要求安全管理要求包括组织管理、安全策略和规程、人员安全管理、物理环境管理等方面。

组织管理主要涉及电力行业信息系统安全的组织机构、职责划分和人员配备。

安全策略和规程要求制定合理的安全策略和规程，明确安全责任、权限和流程。

人员安全管理要求对操作人员进行安全培训，确保人员的安全意识和安全素质。

物理环境管理要求对信息系统的机房、终端设备等进行有效的保护和管理。

五、监督检查要求监督检查要求包括自查、定期检查、不定期检查等方面。

自查是指电力企事业单位定期对信息系统进行自我评估，发现问题及时改进。

定期检查是指国家相关部门定期对电力行业信息系统进行检查，评估其安全状况。

不定期检查是指国家相关部门根据需要对电力行业信息系统进行突击检查。

六、其它要求此外，电力行业信息系统安全等级保护基本要求还包括突发事件处置、安全漏洞管理、信息共享和协作等方面的要求。

突发事件处置要求电力行业信息系统建立应急响应机制，及时处置信息安全事件。

安全漏洞管理要求建立漏洞监测和修复机制，及时修补系统中的漏洞。

信息共享和协作要求电力行业加强与相关部门的信息共享和协作，形成多方合作、共同防范的态势。

总之，电力行业信息系统安全等级保护基本要求对电力行业的信息系统进行了全面规范和保护，为电力行业信息安全提供了重要的技术和管理支持，有效保障了电力行业信息系统的安全等级。

《国家电网公司信息系统安全管理办法》第一章总则第一条为加强和规范国家电网公司（以下简称公司）信息系统安全工作，提高公司信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控，依据国家有关法律、法规、规定及公司有关制度，制定本办法。

第二条本办法所称信息系统指公司一体化企业级信息系统，主要包括一体化企业级信息集成平台（以下简称“一体化平台”）和八大业务应用。

“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户；“业务应用”包含财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。

电力二次系统安全防护遵照国家电力监管委员会5号令《电力二次系统安全防护规定》及其配套文件《电力二次系统安全防护总体方案》执行。

第三条信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故。

第四条公司信息系统安全坚持“分区、分级、分域”总体防护策略，执行信息系统安全等级保护制度。

管理信息网络分为信息内网和信息外网，实现“双机双网”，信息内网定位为公司信息化“sg186”工程业务应用承载网络和内部办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。

信息内、外网之间实施强逻辑隔离的措施。

电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。

第五条在规划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。

第六条本办法适用于公司总部，各区域电网、省（自治区、直辖市）电力公司和公司直属单位（以下简称各单位）的信息系统安全管理工作。