电力行业网络与信息安全检查方案Word文档格式.docx
《电力行业网络与信息安全检查方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《电力行业网络与信息安全检查方案Word文档格式.docx(4页珍藏版)》请在冰豆网上搜索。
一、检查依据
1.《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔2012〕102号);
2.《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)。
3.《电力二次系统安全防护规定》(电监会5号令)。
二、检查目的
通过开展电力行业网络与信息安全检查,全面掌握重要电力网络与信息系统基本情况,分析面临的安全威胁和风险,评估安全防护水平,查找突出问题和薄弱环节,有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障电力网络与信息系统安全,维护电力系统安全稳定运行,保障党的十八大顺利召开。
三、检查范围
各电力企业运行使用的网络和信息系统,重点检查信息安全保护等级为3级及以上的重要网络与信息系统。
四、检查方式
本次检查按照“谁主管谁负责、谁运行谁负责”的原则,采用电力企业自查、电监会派出机构对辖区内电力企业自查情况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。
五、检查内容
本次信息安全检查主要分基本情况调查、安全防护情况检查和问题及风险分析三个方面。
(一)网络与信息系统基本情况调查。
主要调查系统特征,包括系统停止运行后对主要业务的影响程度,系统遭到攻击破坏后对社会公众的影响程度等;
系统构成,包括主要软硬件设备的类型、数量、生产商等;
信息技术外包服务,包括服务类型、服务提供商、服务方式、安全保密协议等。
各单位要在全面调查的基础上,汇总填写《电力行业信息安全检查情况报告表》(见附件1)。
(二)安全防护情况检查。
各单位主要从以下15个方面对本单位信息安全防护情况进行重点检查,并在认真检查的基础上,如实填写《电力企业信息安全检查表(2012版)》(见附件2)。
1.组织体系建设情况。
信息安全组织机构建立情况;
第一责任人确立情况;
责任落实情况;
专职机构及岗位设置情况;
安全人员配置情况等。
2.规章制度建立情况。
整体策略及总体规划(方案)制定情况;
管理制度制定情况及制度体系完整性;
操作规程制定情况;
制度发布情况等。
3.资金保障情况。
经费预算情况;
安全运维经费投入情况;
安全建设经费投入情况等。
4.人员安全管理情况。
全员安全培训及保密协议签订情况;
专业技能培训情况;
岗位人员审查情况;
岗位调整安全管控情况等。
5.服务外包管控情况。
外包服务协议签订情况;
第三方人员访问管理情况;
远程服务管控情况;
现场开发管控情况等。
6.关键信息资产管控情况。
资产清单的建立情况;
资产管理职责的落实情况;
信息系统基础资料归档情况等。
7.信息系统建设安全管理情况。
系统上线安全测评情况;
等级保护建设情况;
等级保护测评情况;
信息安全风险评估开展情况;
密码产品采购情况;
信息产品采购测试情况;
安全产品国产化情况等。
8.安全分区防御情况。
安全分区情况;
横向隔离及纵向认证设备部署情况;
跨区连接管控情况;
内外网隔离情况等。
9.网络安全防护情况。
生产控制大区安全防护情况;
管理信息大区安全防护情况;
互联网出口统一管理情况;
互联网出口安全管控情况;
无线网络安全防护情况等。
10.主机和设备安全防护情况。
补丁更新管理情况;
恶意代码防护情况;
系统加固情况;
办公终端管控情况;
主机和设备帐号口令管理情况等。
11.应用系统和数据安全防护情况。
应用系统安全功能及配置情况;
对外服务系统信息监控和攻击防御情况;
对外服务系统周期测试情况;
应用系统账号口令管理情况;
重要数据安全保护情况等。
12.物理环境安全防护情况。
机房安全建设情况等。
13.信息系统运行安全管理情况。
日常维护情况;
安全审计情况;
补丁管理情况;
介质管理情况;
安全监测情况等。
14.灾难恢复情况。
硬件冗余情况;
定期备份情况;
异地容灾中心建设情况;
备份介质恢复测试情况等。
15.应急管理情况。
网络与信息安全信息通报情况;
总体应急预案制定情况;
重要信息系统应急预案制定情况;
应急演练开展情况;
应急资源配备情况;
事故调查工作情况等。
(三)存在的问题和面临的风险分析。
在完成基本情况调查和安全防护情况检查的基础上,各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。
1.当前安全管理和技术防护中的主要问题及薄弱环节,制定安全防护能力提高的主要因素(包括法律法规、政策制度、技术手段等方面)。
2.统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例,分析网络与信息系统对国外产品和服务的依赖程度。
3.根据安全检测发现的漏洞和隐患,分析网络与信息系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估网络与信息系统总体安全状况。
六、检查组织
1.电监会统一组织本次信息安全检查工作,电力行业网络与信息安全领导小组办公室负责信息安全检查的日常工作。
电监会各派出机构根据电监会的统一部署,负责辖区内电力企业信息安全自查督导和监督检查工作。
2.各电力(集团)公司负责组织开展本单位及其下属单位的信息安全检查工作。
七、进度安排
1.7月16日~7月20日,动员部署阶段
印发《关于开展电力行业网络与信息安全检查行动的通知》和《电力行业网络与信息安全检查方案》,召开会议进行动员部署。
2.7月21日~8月31日,实施阶段
8月22日前,各单位完成本单位的信息安全自查工作,编写自查报告,制定整改方案。
8月31日前,完成整改工作。
电力(集团)公司应汇总填写本系统《电力行业信息安全检查情况报告表》和《电力企业信息安全检查项目表(2012版)》,并和自查整改情况报告一起报送电监会。
对于无法及时完成整改的隐患项目,有关电力企业要说明原因,制定临时应急措施,并将情况说明按时报电监会。
检查期间,电监会将组织若干专业小组对各单位进行抽查。
抽查有关事项,电监会将于行前通知。
3.9月1日~9月15日,总结阶段
电监会对检查工作情况进行汇总和全面总结,形成电力企业信息安全检查报告并报国家网络与信息安全协调小组办公室。
八、工作要求
1.各单位要高度重视,加强组织领导,制定检查方案,明确检查任务,落实检查责任,及时整改检查中发现的问题,并将检查整改情况按时报电监会。
2.各单位要精心部署,周密安排,认真组织。
对于发现的问题,要找出原因,并举一反三,持续改进。
各单位要建立检查整改跟踪督办机制,力求使安全隐患都得到整改和妥善处置。
3.安全检查工作对象是各单位的重要系统、重要数据和敏感信息等资产,需要高度重视检查工作存在的风险,制定周密的应急防范措施,避免发生影响系统正常运行和敏感信息泄漏的事件。
4.各单位要高度重视信息安全保密工作,加强信息安全保密措施,检查结果除按规定报送外,不得向其他单位和个人透露。
所有检查往来文件一律加密。
5.电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律,严格执行保密工作规定,不得随意泄露抽查组行程。
升级会员 