电力行业网络与信息安全检查方案标准版本
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文件编号:RHD-QB-K3109 (解决方案范本系列)
编辑:XXXXXX
查核:XXXXXX
时间:XXXXXX
电力行业网络与信息安全检查方案标准版本
电力行业网络与信息安全检查方案
标准版本
操作指导:该解决方案文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时进行更好的判断与管理。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。
为贯彻落实《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔2012〕102号)要求,结合电力行业信息安全工作实际,制定电力行业网络与信息安全检查方案。
一、检查依据
1. 《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔2012〕102号);
2. 《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)。
3. 《电力二次系统安全防护规定》(电监会5号令)。
二、检查目的
通过开展电力行业网络与信息安全检查,全面掌握重要电力网络与信息系统基本情况,分析面临的安全威胁和风险,评估安全防护水平,查找突出问题和薄弱环节,有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障电力网络与信息系统安全,维护电力系统安全稳定运行,保障党的十八大顺利召开。
三、检查范围
各电力企业运行使用的网络和信息系统,重点检查信息安全保护等级为3级及以上的重要网络与信
息系统。
四、检查方式
本次检查按照“谁主管谁负责、谁运行谁负责”的原则,采用电力企业自查、电监会派出机构对辖区内电力企业自查情况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。
五、检查内容
本次信息安全检查主要分基本情况调查、安全防护情况检查和问题及风险分析三个方面。
(一)网络与信息系统基本情况调查。
主要调查系统特征,包括系统停止运行后对主要业务的影响程度,系统遭到攻击破坏后对社会公众的影响程度等;系统构成,包括主要软硬件设备的类型、数量、生产商等;信息技术外包服务,包括服务类型、服务提供商、服务方式、安全保密协议等。各
单位要在全面调查的基础上,汇总填写《电力行业信息安全检查情况报告表》(见附件1)。
(二)安全防护情况检查。
各单位主要从以下15个方面对本单位信息安全防护情况进行重点检查,并在认真检查的基础上,如实填写《电力企业信息安全检查表(2012版)》(见附件2)。
1. 组织体系建设情况。信息安全组织机构建立情况;第一责任人确立情况;责任落实情况;专职机构及岗位设置情况;安全人员配置情况等。
2. 规章制度建立情况。整体策略及总体规划(方案)制定情况;管理制度制定情况及制度体系完整性;操作规程制定情况;制度发布情况等。
3. 资金保障情况。经费预算情况;安全运维经费投入情况;安全建设经费投入情况等。
4. 人员安全管理情况。全员安全培训及保密协议签订情况;专业技能培训情况;岗位人员审查情况;岗位调整安全管控情况等。
5. 服务外包管控情况。外包服务协议签订情况;第三方人员访问管理情况;远程服务管控情况;现场开发管控情况等。
6. 关键信息资产管控情况。资产清单的建立情况;资产管理职责的落实情况;信息系统基础资料归档情况等。
7. 信息系统建设安全管理情况。系统上线安全测评情况;等级保护建设情况;等级保护测评情况;信息安全风险评估开展情况;密码产品采购情况;信息产品采购测试情况;安全产品国产化情况等。
8. 安全分区防御情况。安全分区情况;横向隔离及纵向认证设备部署情况;跨区连接管控情况;内
9. 网络安全防护情况。生产控制大区安全防护情况;管理信息大区安全防护情况;互联网出口统一管理情况;互联网出口安全管控情况;无线网络安全防护情况等。
10. 主机和设备安全防护情况。补丁更新管理情况;恶意代码防护情况;系统加固情况;办公终端管控情况;主机和设备帐号口令管理情况等。
11. 应用系统和数据安全防护情况。应用系统安全功能及配置情况;对外服务系统信息监控和攻击防御情况;对外服务系统周期测试情况;应用系统账号口令管理情况;重要数据安全保护情况等。12. 物理环境安全防护情况。机房安全建设情况等。
13. 信息系统运行安全管理情况。日常维护情况;安全审计情况;补丁管理情况;介质管理情况;
14. 灾难恢复情况。硬件冗余情况;定期备份情况;异地容灾中心建设情况;备份介质恢复测试情况等。
15. 应急管理情况。网络与信息安全信息通报情况;总体应急预案制定情况;重要信息系统应急预案制定情况;应急演练开展情况;应急资源配备情况;事故调查工作情况等。
(三)存在的问题和面临的风险分析。
在完成基本情况调查和安全防护情况检查的基础上,各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。
1.当前安全管理和技术防护中的主要问题及薄弱环节,制定安全防护能力提高的主要因素(包括法律法规、政策制度、技术手段等方面)。
2. 统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例,分析网络与信息系统对国外产品和服务的依赖程度。
3. 根据安全检测发现的漏洞和隐患,分析网络与信息系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估网络与信息系统总体安全状况。
六、检查组织
1. 电监会统一组织本次信息安全检查工作,电力行业网络与信息安全领导小组办公室负责信息安全检查的日常工作。电监会各派出机构根据电监会的统一部署,负责辖区内电力企业信息安全自查督导和监督检查工作。
2. 各电力(集团)公司负责组织开展本单位及其下属单位的信息安全检查工作。