电力行业信息安全检查方案.docx
《电力行业信息安全检查方案.docx》由会员分享,可在线阅读,更多相关《电力行业信息安全检查方案.docx(48页珍藏版)》请在冰豆网上搜索。
电力行业信息安全检查方案
附件1:
电力行业网络与信息安全检查方案
电力行业网络与信息安全领导小组办公室
二〇一二年七月
为贯彻落实《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔2012〕102号)要求,结合电力行业信息安全工作实际,制定电力行业网络与信息安全检查方案。
一、检查依据
1.《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔2012〕102号);
2.《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)。
3.《电力二次系统安全防护规定》(电监会5号令)。
二、检查目的
通过开展电力行业网络与信息安全检查,全面掌握重要电力网络与信息系统基本情况,分析面临的安全威胁和风险,评估安全防护水平,查找突出问题和薄弱环节,有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障电力网络与信息系统安全,维护电力系统安全稳定运行,保障党的十八大顺利召开。
三、检查范围
各电力企业运行使用的网络和信息系统,重点检查信息安全保护等级为3级及以上的重要网络与信息系统。
四、检查方式
本次检查按照“谁主管谁负责、谁运行谁负责”的原则,采用电力企业自查、电监会派出机构对辖区内电力企业自查情况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。
五、检查内容
本次信息安全检查主要分基本情况调查、安全防护情况检查和问题及风险分析三个方面。
(一)网络与信息系统基本情况调查。
主要调查系统特征,包括系统停止运行后对主要业务的影响程度,系统遭到攻击破坏后对社会公众的影响程度等;系统构成,包括主要软硬件设备的类型、数量、生产商等;信息技术外包服务,包括服务类型、服务提供商、服务方式、安全保密协议等。
各单位要在全面调查的基础上,汇总填写《电力行业信息安全检查情况报告表》(见附件1)。
(二)安全防护情况检查。
各单位主要从以下15个方面对本单位信息安全防护情况进行重点检查,并在认真检查的基础上,如实填写《电力企业信息安全检查表(2012版)》(见附件2)。
1.组织体系建设情况。
信息安全组织机构建立情况;第一责任人确立情况;责任落实情况;专职机构及岗位设置情况;安全人员配置情况等。
2.规章制度建立情况。
整体策略及总体规划(方案)制定情况;管理制度制定情况及制度体系完整性;操作规程制定情况;制度发布情况等。
3.资金保障情况。
经费预算情况;安全运维经费投入情况;安全建设经费投入情况等。
4.人员安全管理情况。
全员安全培训及保密协议签订情况;专业技能培训情况;岗位人员审查情况;岗位调整安全管控情况等。
5.服务外包管控情况。
外包服务协议签订情况;第三方人员访问管理情况;远程服务管控情况;现场开发管控情况等。
6.关键信息资产管控情况。
资产清单的建立情况;资产管理职责的落实情况;信息系统基础资料归档情况等。
7.信息系统建设安全管理情况。
系统上线安全测评情况;等级保护建设情况;等级保护测评情况;信息安全风险评估开展情况;密码产品采购情况;信息产品采购测试情况;安全产品国产化情况等。
8.安全分区防御情况。
安全分区情况;横向隔离及纵向认证设备部署情况;跨区连接管控情况;内外网隔离情况等。
9.网络安全防护情况。
生产控制大区安全防护情况;管理信息大区安全防护情况;互联网出口统一管理情况;互联网出口安全管控情况;无线网络安全防护情况等。
10.主机和设备安全防护情况。
补丁更新管理情况;恶意代码防护情况;系统加固情况;办公终端管控情况;主机和设备帐号口令管理情况等。
11.应用系统和数据安全防护情况。
应用系统安全功能及配置情况;对外服务系统信息监控和攻击防御情况;对外服务系统周期测试情况;应用系统账号口令管理情况;重要数据安全保护情况等。
12.物理环境安全防护情况。
机房安全建设情况等。
13.信息系统运行安全管理情况。
日常维护情况;安全审计情况;补丁管理情况;介质管理情况;安全监测情况等。
14.灾难恢复情况。
硬件冗余情况;定期备份情况;异地容灾中心建设情况;备份介质恢复测试情况等。
15.应急管理情况。
网络与信息安全信息通报情况;总体应急预案制定情况;重要信息系统应急预案制定情况;应急演练开展情况;应急资源配备情况;事故调查工作情况等。
(三)存在的问题和面临的风险分析。
在完成基本情况调查和安全防护情况检查的基础上,各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。
1.当前安全管理和技术防护中的主要问题及薄弱环节,制定安全防护能力提高的主要因素(包括法律法规、政策制度、技术手段等方面)。
2.统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例,分析网络与信息系统对国外产品和服务的依赖程度。
3.根据安全检测发现的漏洞和隐患,分析网络与信息系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估网络与信息系统总体安全状况。
六、检查组织
1.电监会统一组织本次信息安全检查工作,电力行业网络与信息安全领导小组办公室负责信息安全检查的日常工作。
电监会各派出机构根据电监会的统一部署,负责辖区内电力企业信息安全自查督导和监督检查工作。
2.各电力(集团)公司负责组织开展本单位及其下属单位的信息安全检查工作。
七、进度安排
1.7月16日~7月20日,动员部署阶段
印发《关于开展电力行业网络与信息安全检查行动的通知》和《电力行业网络与信息安全检查方案》,召开会议进行动员部署。
2.7月21日~8月31日,实施阶段
8月22日前,各单位完成本单位的信息安全自查工作,编写自查报告,制定整改方案。
8月31日前,完成整改工作。
电力(集团)公司应汇总填写本系统《电力行业信息安全检查情况报告表》和《电力企业信息安全检查项目表(2012版)》,并和自查整改情况报告一起报送电监会。
对于无法及时完成整改的隐患项目,有关电力企业要说明原因,制定临时应急措施,并将情况说明按时报电监会。
检查期间,电监会将组织若干专业小组对各单位进行抽查。
抽查有关事项,电监会将于行前通知。
3.9月1日~9月15日,总结阶段
电监会对检查工作情况进行汇总和全面总结,形成电力企业信息安全检查报告并报国家网络与信息安全协调小组办公室。
八、工作要求
1.各单位要高度重视,加强组织领导,制定检查方案,明确检查任务,落实检查责任,及时整改检查中发现的问题,并将检查整改情况按时报电监会。
2.各单位要精心部署,周密安排,认真组织。
对于发现的问题,要找出原因,并举一反三,持续改进。
各单位要建立检查整改跟踪督办机制,力求使安全隐患都得到整改和妥善处置。
3.安全检查工作对象是各单位的重要系统、重要数据和敏感信息等资产,需要高度重视检查工作存在的风险,制定周密的应急防范措施,避免发生影响系统正常运行和敏感信息泄漏的事件。
4.各单位要高度重视信息安全保密工作,加强信息安全保密措施,检查结果除按规定报送外,不得向其他单位和个人透露。
所有检查往来文件一律加密。
5.电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律,严格执行保密工作规定,不得随意泄露抽查组行程。
附件:
1.《电力行业信息安全检查情况报告表》
2.《电力企业信息安全检查项目表(2012版)》
附1:
电力行业信息安全检查情况报告表
单位名称:
一、重要信息系统安全检查情况
基本
情况
重要信息系统总数9(请另附系统清单,下同)
(按实时性进行统计)
1.非实时运行的系统数量
2.实时运行的系统数量
(按服务对象进行统计)
1.面向社会公众提供服务的系统数量
2.不面向社会公众提供服务的系统数量
(按联网情况进行统计)
1.直接连接互联网的系统数量
2.同互联网强逻辑隔离的系统数量
3.与互联网物理隔离的系统数量
(按数据集中情况进行统计)
1.全国数据集中的系统数量
2.省级数据集中的系统数量
3.未进行数据集中的系统数量
(按灾备情况进行统计)
1.进行系统级灾备的系统数量
2.仅对数据进行灾备的系统数量
3.无灾备的系统数量
系统构成情况
主要硬件和软件
服务器
路由器
交换机
防火墙
磁盘阵列
磁带库
操作系统
数据库
国内品牌数量(台/套)
国外品牌数量(台/套)
业务应用
软件系统
1.自主设计开发(不含二次开发)的数量
2.委托国内厂商开发的数量
委托国外厂商开发的数量
3.直接采购国内厂商产品的数量
直接采购国外厂商产品的数量
信息技术外包服务
服务商名称:
1.服务商性质:
□国有□民营□外资
2.服务内容:
3.服务方式:
□远程在线服务□现场服务
(如有更多,请另列表)
安全状况分析结果
信息系统对国外产品和服务的依赖程度
主要业务
对信息系统的依赖程度
信息系统
面临的安全威胁程度
信息系统
安全防护能力
信息系统名称
高
中
低
高
中
低
高
中
低
高
中
低
1.
2.
(如有更多,请另列表)
二、重要工业控制系统安全检查情况
基本情况
重要工业控制系统运营单位总数:
家
重要工业控制系统总数:
套
系统类型情况
国内品牌
国外品牌
数据采集与监控(SCADA)系统
套
套
分布式控制系统(DCS)
套
套
过程控制系统(PCS)
套
套
可编程控制器(PLC)
大型
台
台
中型
台
台
小型
台
台
就地测控设备
仪表
台
台
智能电子设备(IED)
台
台
远端设备(RTU)
台
台
系统构成情况
应用服务器-
工程师工作站
应用软件
套
套
系统软件
套
套
PC机/服务器
台
台
数据库服务器
数据库软件
套
套
系统软件
套
套
PC机/服务器
台
台
通信设备
台
台
工业控制网络
连接情况
1.直接与互联网连接的重要工业控制系统数量:
套
2.与内部网络连接的重要工业控制系统数量:
套
3.含有无线接入方式的重要工业控制系统数量:
套
运行维护情况
1.采用远程方式运行维护的重要工业控制系统数量:
套
2.由国内厂商提供运行维护服务的重要工业控制系统数量:
套
3.由国外厂商提供运行维护服务的重要工业控制系统数量:
套
信息安全
防护情况
1.网络边界架设网络安全设备的重要工业控制系统数量:
套
2.安装防病毒软件或设备的重要工业控制系统数量:
套
3.定期进行安全更新的重要工业控制系统数量:
套
4.采取加密措施传输、存储敏感数据的重要工业控制系统数量:
套
附2:
电力企业信息安全检查项目表
(2012版)
电力行业网络与信息安全领导小组办公室
二〇一二年七月
1检查工作基本信息
受检单位
基本信息
单位名称
上级单位名称
下级单位总数
单位类型
电网企业□
发电企业√
电力科研企业□
电力设计施工企业□
其他类型企业□
检查方式
本单位自查√
上级单位督查□
电监会抽查□
检查时间
检查范围
检查组基本信息
检查组织单位
检查组组长
检查组成员
2检查项及检查记录
2.1组织体系(ORG)
标识
检查项
检查要素
得分判定方法
检查记录
得分
备注
ORG.1
组织机构建立
组织建立了由决策层、管理层、执行层组成的完整信息安全组织机构。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得0.4分。
决策层
符合/不符合判断法:
3)不符合,此项得0分;
4)符合,此项得0.3分。
管理层
符合/不符合判断法:
5)不符合,此项得0分;
6)符合,此项得0.3分。
执行层
ORG.2
第一责任人确立
组织主要负责人是本单位网络与信息安全的第一责任人,对本单位的网络与信息安全负全面责任。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
第一责任人
ORG.3
责任落实
组织机构职责涵盖信息安全工作的主要方面,职责明确到责任部门、责任人员,并以正式文件形式发布。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
ORG.4
专职机构及岗位设置
组织信息安全机构及岗位设置符合如下要求:
1)电力企业集团公司总部设置信息安全专职机构;2)电力企业集团公司二级单位设置信息安全管理和技术岗位;3)电力企业基层单位设置信息安全岗位。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
机构
依据企业层级选择其中之一填写。
管理和技术岗位
信息安全岗位
ORG.5
安全人员配置
组织专职信息安全工作人员数量与组织总信息安全岗位数量的比值。
比率值法:
1)得分=
2)取小数点后2位。
信息安全岗位总数
专职人员数量
2.2规章制度(REG)
标识
检查项
检查要素
得分判定方法
检查记录
得分
备注
REG.1
整体策略及总体规划(方案)制定
组织制定了信息安全工作的整体策略和总体规划(方案),说明信息安全工作的总体目标、范围、防护框架和防护措施。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得0.5分。
整体策略
符合/不符合判断法:
3)不符合,此项得0分;
4)符合,此项得0.5分。
总体规划(方案)
REG.2
规章制度及体系完整性
组织对信息安全工作制定了基本安全管理制度,并以此为基础形成了涵盖人员管理、资产管理、存储介质管理、信息系统建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系。
选项法:
1)无制度,此项得0分;
2)制定了基本制度,此项得0.5分;
3)形成制度体系,此项得1分。
基本制度
制度体系
REG.3
操作规程制定
组织对要求信息安全运行维护人员执行的日常管理操作制定了运维流程和操作规程。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得0.5分。
运维流程
符合/不符合判断法:
3)不符合,此项得0分;
4)符合,此项得0.5分。
操作规程
REG.4
制度发布
组织信息安全管理制度通过正式、有效的方式发布。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得0.5分。
发布制度
符合/不符合判断法:
3)不符合,此项得0分;
4)符合,此项得0.5分。
主要文件符合发布制度要求
2.3资金保障(FUN)
标识
检查项
检查要素
得分判定方法
检查记录
得分
备注
FUN.1
经费预算
组织信息安全建设及运行维护经费被列入预算。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
FUN.2
安全建设经费投入
组织用于信息安全建设(安全软硬件购置、系统安全功能开发、安全测试、安全咨询、安全培训、安全专项研究等)的经费占年度信息化建设总投入的比率。
(取当年值或近两年平均值)
选项法:
1)比率=
2)比率
,此项得0分;
3)
比率
,此项得0.3分;
4)
比率
,此项得0.7分;
5)比率
,此项得1分。
信息化建设总经费
信息安全建设经费
FUN.3
安全运维经费投入
组织用于信息安全运行维护(监督检查、日常安全运维、监测分析、应急演练及应急保障、测试评估等)的经费占整个信息系统运行维护总投入的比率。
(取当年值或近两年平均值)
选项法:
1)比率=
2)比率
,此项得0分;
3)
比率
,此项得0.3分;
4)
比率
,此项得0.7分;
5)比率
,此项得1分。
信息系统运行维护总经费
信息安全运行维护经费
2.4人员安全管理(PER)
标识
检查项
检查要素
得分判定方法
检查记录
得分
备注
PER.1
全员安全培训及保密协议签订
组织全体员工中参加年度信息安全培训并签署保密协议的比率。
比率值法:
1)得分=
;
2)取小数点后2位。
员工总数
参加年度培训人员数
签署保密协议人员数
PER.2
专业技能培训
组织信息安全工作人员中获得国家、行业信息安全专业培训证书的比率。
比率值法:
1)得分=
;
2)取小数点后2位。
信息安全工作人员总数
获得信息安全培训证书的人员数
PER.3
人员审查
组织对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
PER.4
岗位调整管控
组织在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
2.5服务外包管控(OSE)
标识
检查项
检查要素
得分判定方法
检查记录
得分
备注
OSE.1
外包服务协议
组织与合约方签订的外包服务协议中具有信息安全管控和保密条款。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得0.5分。
管控条款
符合/不符合判断法:
3)不符合,此项得0分;
4)符合,此项得0.5分。
保密条款
OSE.2
第三方人员访问管理
组织对第三方人员访问机房等受控区域采取了书面审批、人员陪同、进出记录等管控措施。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得0.3分。
受控区域
符合/不符合判断法:
3)不符合,此项得0分;
4)符合,此项得0.3分。
审批情况
符合/不符合判断法:
5)不符合,此项得0分;
6)符合,此项得0.3分。
陪同和记录情况
OSE.3
远程服务管控
组织针对远程访问采取了书面审批、访问控制、在线监测、日志审计等管控措施。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得0.5分。
审批情况
符合/不符合判断法:
3)不符合,此项得0分;
4)符合,此项得0.5分。
管控措施
OSE.4
现场开发管控
组织采取技术措施保证开发测试环境与实际生产运行环境物理分离,并限定开发人员的活动范围和行为。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得0.5分。
环境分离措施
符合/不符合判断法:
3)不符合,此项得0分;
4)符合,此项得0.5分。
范围和行为限定措施
2.6关键信息资产管控(ASS)
标识
检查项
检查要素
得分判定方法
检查记录
得分
备注
ASS.1
资产清单
组织识别所有信息资产并有资产清单。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
ASS.2
资产管理职责
组织对每项资产明确管理责任人及其职责。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
ASS.3
信息系统基础资料归档
组织对源代码、设计方案、建设实施方案等基础资料进行归档的系统数量与信息系统总数的比值。
比率值法:
1)得分=
;
2)取小数点后2位。
信息系统总数
已归档系统数量
2.7信息系统建设安全管理(CON)
标识
检查项
检查要素
得分判定方法
检查记录
得分
备注
CON.1
上线安全测评
组织信息系统在上线前通过安全测评的比率。
比率值法:
1)得分=
;
2)取小数点后2位。
已投运信息系统
通过安全测评系统
CON.2
等级保护建设
组织信息系统中按要求开展等级保护建设的比率。
比率值法:
1)得分=
;
2)取小数点后2位。
需开展建设系统
已开展建设系统
CON.3
等级保护测评
组织信息系统中按要求开展等级保护测评的比率。
比率值法:
1)得分=
;
2)取小数点后2位。
需测评信息系统
已开展测评信息系统
CON.4
风险评估
组织信息系统中按要求开展信息安全风险评估的比率。
比率值法:
1)得分=
;
2)取小数点后2位。
需评估信息系统
开展评估信息系统
CON.5
密码产品采购
组织密码产品的采购和使用符合国家密码主管部门的要求。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
CON.6
产品采购测试
组织对信息安全产品、系统基础软硬件、系统应用软件、工业控制装置等在采购前实施安全性测试。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
CON.7
安全产品国产化情况
组织信息安全产品国产化率。
比率值法:
1)得分=
;
2)取小数点后2位。
信息安全产品总数
国产产品数量
2.8安全分区防御(SDD)
标识
检查项
检查要素
得分判定方法
检查记录
得分
备注
SDD.1
安全分区
按照《电力二次系统安全防护规定》要求,划分了生产控制大区和管理信息大区,生产控制大区内的控制区和非控制区逻辑隔离。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
生产大区内部分2个区,信息管理大区内部分1个区。
SDD.2
横向隔离及纵向认证
按照《电力二次系统安全防护规定》要求,在生产控制大区与其他区域有信息交换时,部署横向隔离装置,在调度数据网上下级网络接口部署纵向加密装置。
符合/不符合判断法:
1)不符合,此项得0分;
2)符合,此项得1分。
生产大区内部1、2区之间。
厂级和网调之间未加密。
SDD.3
跨区连