信息安全自查操作指南.docx

1、信息安全自查操作指南信息安全自查操作指南二一二年八月目 录 概 述 1一、自查目的 1二、自查工作流程 1环节一 自查工作部署 3一、研究制定自查实施方案 3二、自查工作动员部署 4环节二 基本情况自查 6一、系统基本情况自查 6二、安全管理情况自查 12三、技术防护情况自查 17四、应急处置及容灾备份情况自查 19五、安全技术检测 20环节三 问题与风险分析 22一、主要问题分析 22二、国外依赖度分析 22三、主要威胁分析 23环节四 自查工作总结 25一、自查工作总结 25二、自查情况上报 25有关工作要求 26附件1 信息安全自查报告编写参考格式 28附件2 信息安全检查情况报告表 3

2、0概 述为指导重点领域信息安全自查工作，依据国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函2012102号，以下简称检查通知），制定本指南。本指南主要用于各电力企业（以下统称自查单位）在开展信息安全自查具体工作时参考。一、自查目的通过开展安全自查，进一步梳理、掌握本单位重要网络与信息系统基本情况，查找突出问题和薄弱环节，分析面临的安全威胁和风险，评估安全防护水平，有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理和技术防护，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障本单位网络与信息安全。二、自查工作流程 信息安全自查主要包括自查工作部署、

3、基本情况自查、问题与风险分析、自查工作总结等4个环节环节一 自查工作部署一、研究制定自查实施方案认真学习检查通知，深刻领会文件精神和有关要求，研究制定自查实施方案，并报主管领导批准。（一）自查实施方案应当明确的内容自查实施方案应当明确以下内容：（1）自查工作负责人、组织单位和实施机构。（2）自查范围和自查对象。（3）自查工作的组织方式。（4）自查工作时间进度安排。1. 关于自查范围。此次自查范围是电力行业的网络与信息系统（含工业控制系统，以下同）。检查的重点是事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统。2. 关于自查对象。主要指网络与信息系统安全管理

4、与防护涉及到的信息安全综合管理部门、信息化部门、业务部门、生产管理部门、财务部门、人事部门等相关部门。各单位可根据实际情况确定具体的自查对象。3. 关于自查工作组织。自查单位可成立自查工作组开展检查，也可指定专门机构负责自查实施工作。自查工作组可由本单位信息化与信息安全部门以及相关业务部门中熟悉业务、具备信息安全知识、技术能力较强的人员，以及本单位相关技术支撑机构业务骨干等组成。单位内各部门可指定人员负责协调配合和联络工作。对于有工业控制系统的单位，可考虑生产管理部门参与工业控制系统信息安全检查。对于信息系统复杂、自查工作涉及部门多的单位，可根据需要成立自查工作领导小组，负责自查工作的组织协调

5、与资源配置。领导小组组长可由本单位信息安全主管领导担任，领导小组成员可包括信息安全综合管理部门负责人、信息化部门负责人，以及其他相关部门负责人（如人事部门、财务部门、业务部门、生产管理部门领导）等。（二）应当注意的有关事项1. 纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。从安全防护的角度判断网络与信息系统独立性的方法如下：根据系统所承担业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素，对网络与信息系统进行全面梳理并综合分析，划分出相对独立的网络与信息系统，并形成网络与信息系统清单，以便于更好地界定检查范围。2. 关于重要网络与信息系统，可从

6、系统特征的角度，立足本地区、本部门或本行业实际，参考以下标准进行判定：（1）业务依赖度高。（2）数据集中度高（全国或省级数据集中）。（3）实时性要求高。（4）系统关联性强（发生重大信息安全事件后，会对与其相连的其他系统造成较大影响，并产生连片连锁反应）。（5）直接面向社会公众提供服务，用户数量庞大，覆盖范围广。（6）灾备等级高（系统级灾备）。3. 关于重要工业控制系统，可从发生信息安全事件造成危害的角度，参考以下标准进行判定：（1）发生重大信息安全事件，致使系统出现严重故障后，可能导致10人以上死亡或50人以上重伤。（2）发生重大信息安全事件，致使系统出现严重故障后，可能导致5000万元以上直

7、接经济损失。（3）发生重大信息安全事件，致使系统出现严重故障后，可能影响100万人以上正常生活。（4）发生重大信息安全事件，致使系统出现严重故障后，可能对与其相连的其他系统造成影响，并产生连片连锁反应。（5）发生重大信息安全事件，致使系统出现严重故障后，可能对生态环境造成严重破坏。（6）发生重大信息安全事件，致使系统出现严重故障后，可能对国家安全和社会稳定产生重大影响。二、自查工作动员部署自查单位可通过召开会议、下发文件等方式对自查工作进行部署，布置自查工作任务。相关人员要切实落实自查工作责任，各司其职，形成合力，共同推进自查工作。环节二 基本情况自查一、系统基本情况自查（一）系统特征情况1.

8、 查看系统规划设计方案、安全防护规划设计方案、网络拓扑图等，核实系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况，记录检查结果（表1）。表1 系统基本情况检查记录表序号系统名称实时性服务对象连接互联网情况数据集中情况灾备情况实时非实时面向社会公众不面向社会公众采用逻辑隔离措施连接采用逻辑强隔离措施连接不连接全省集中市级集中不集中系统级灾备仅数据灾备无灾备1232. 根据上述系统基本情况核查结果，分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征，记录分析结果（表2）。（1）关于系统停止运行后对主要业务的影响程度判定标准如下：影响程度

9、高：系统停止运行后，主要业务无法开展或对主要业务运行产生严重影响；影响程度中：系统停止运行后，对主要业务运行有一定影响，可用手工等传统方式替代；影响程度低：系统停止运行后，对主要业务运行影响较小或无影响。（2）关于系统遭受攻击破坏后对社会公众的影响程度判定标准如下：影响程度高：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生严重影响；影响程度中：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生一定影响；影响程度低：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正

10、常生活、公众利益等影响较小或无影响。表2 系统特征情况分析记录表序号系统名称系统对主要业务的影响程度系统对社会公众的影响程度高中低高中低123（二）系统构成情况1. 重点检查主要硬件设备类型、数量、生产商（品牌）情况，记录检查结果（表3）。硬件设备类型主要有：服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。硬件设备生产商（品牌）按国内、国外两类进行记录。其中，国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等，国外主要有IBM、HP、DELL、Cisco、Juniper、H3C等。2. 重点检查主要软件设备类型、套数、生产商（品牌）情况，记录检

11、查结果（表4）。软件设备类型主要有：操作系统、数据库及主要业务应用系统。软件设备生产商（品牌）按国内、国外两类进行记录。其中，国内主要有红旗、麒麟、金仓、达梦等，国外主要有Windows、RedHat、HP-Unix、AIX、Solaris、Oracle、DB2、SQL Server等。（三）工业控制系统类型与构成情况通过调阅资产清单、现场查看、上机检查等方式，检查工业控制系统类型和构成情况，汇总记录检查结果（表5）。工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备（仪表、智能电子设备、远端设备）等。工业控制系统软硬件主要包括：应用服务器工程

12、师工作站（组态监控软件、系统软件、PC机/服务器）、数据服务器（数据库软件、系统软件、PC机/服务器）等。表3 信息系统主要硬件检查记录表检查项检查结果主要硬件服务器国内品牌数量浪潮曙光联想方正其他：1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表）国外品牌数量IBMHPDELL其他：1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表）路由器国内品牌数量华为中兴其他：1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表）国外品牌数量CiscoJuniperH3C其他：1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表）交换机国内品牌数量华为中兴其他：1.

13、 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表）国外品牌数量CiscoJuniperH3C其他：1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表）防火墙国内1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表） 国外1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表） 磁盘阵列国内1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表） 国外1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表） 磁带库国内1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表） 国外1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，请另列表） 其他

14、国内1. 设备类型： ，品牌 ，数量 2. 设备类型： ，品牌 ，数量 （如有更多，请另列表）国外1. 设备类型： ，品牌 ，数量 2. 设备类型： ，品牌 ，数量 （如有更多，请另列表）表4 信息系统主要软件检查记录表检查项检查结果主要软件操作系统国内品牌套数红旗麒麟其他：1. 品牌 ，套数 2. 品牌 ，套数 （如有更多，请另列表）国外品牌套数WindowsRedHatHP-UnixAIX其他：1. 品牌 ，套数 2. 品牌 ，套数 （如有更多，请另列表）数据库国内品牌套数金仓达梦其他：1. 品牌 ，套数 2. 品牌 ，套数 （如有更多，请另列表）国外品牌套数OracleDB2SQLSer

15、ver其他：1. 品牌 ，套数 2. 品牌 ，套数 （如有更多，请另列表）其他国内1. 设备类型： ，品牌 ，套数 2. 设备类型： ，品牌 ，套数 （如有更多，请另列表）国外1. 设备类型： ，品牌 ，套数 2. 设备类型： ，品牌 ，套数 （如有更多，请另列表）表5 工业控制系统类型与构成情况检查记录表（选填）检查项检查结果国内品牌国外品牌系统类型情况数据采集与监控（SCADA）系统套套分布式控制系统（DCS）套套过程控制系统（PCS）套套可编程控制器（PLC）大型台台中型台台小型台台就地测控设备仪表台台智能电子设备（IED）台台远端设备（RTU）台台系统构成情况应用服务器-工程师工作站组

16、态监控软件套套系统软件套套PC机/服务器台台数据服务器数据库软件套套系统软件套套PC机/服务器台台通信设备台台（四）信息技术外包服务情况重点检查信息技术外包服务类型、服务提供商、服务方式、安全保密协议等，记录检查结果（表6）。服务类型主要有系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。服务方式主要有远程在线服务和现场服务。安全保密协议内容应包括安全责任、违约责任、协议有效期和责任人等内容。对于没有安全保密协议文本，但在外包服务合同中具有相关内容的，视同签订安全保密协议。表6 信息技术外包服务检查结果记录表检查项检查结果外包服务机

17、构1机构名称机构性质国有 民营 外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订 未签订外包服务机构2机构名称机构性质国有 民营 外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订 未签订外包服务机构3机构名称机构性质国有 民营 外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订 未签订（如有更多，可另列表）二、安全管理情况自查（一）信息安全责任制建立及落实情况重点检查信息安全主管领导、信息安全管理机构、信息安全工作人员履职以及岗位责任、事故责任追究情况等，记录检查结果（表7）。1. 信息安全主管领导明确及工作落实情况。检查方法：调阅领导分工等

18、文件，检查是否明确了信息安全主管领导。调阅信息安全相关工作批示和会议记录等文件，了解主管领导工作落实情况。2. 信息安全管理机构指定及工作落实情况。检查方法：调阅单位内各部门职责分工等文件，检查是否指定了信息安全管理机构。调阅工作计划、工作方案、管理规章制度、监督检查记录等文件，了解管理机构工作落实情况。3. 信息安全工作人员配备及工作落实情况。检查方法：调阅人员列表、岗位职责分工等文件，检查是否配备了信息安全工作人员。访谈信息安全工作人员，调阅工作计划、工作记录、工作报告等文件，检查信息安全工作人员的工作落实情况。4. 岗位责任和事故责任追究情况。检查方法：调阅安全事件记录等文件，检查是否发

19、生过因违反制度规定造成的信息安全事故。调阅安全事件处置文件，检查是否对信息安全责任事故进行了查处。表7 信息安全责任制建立及落实情况检查记录表检查项检查结果1分管信息安全工作的领导姓名：_职务：_（本部门正职或副职领导）2信息安全管理机构名称：_负责人：_ 职务：_联系人：_ 电话：_3信息安全专职工作机构名称：_负责人：_ 电话：_4信息安全员本单位内设机构数量：_信息安全员数量： _专职信息安全员数量：_5岗位责任和事故责任追究岗位信息安全责任制度： 已制定 未制定安全责任事故： 发生过：所有事故均已查处相关责任人有事故未查处相关责任人未发生过（二）日常安全管理制度建立和落实情况重点检查人

20、员管理、资产管理、存储介质管理、运行维护管理、年度教育培训等制度建立和落实情况，记录检查结果（表8）。1. 人员管理制度。检查方法：调阅人员管理制度等文件，检查是否有岗位信息安全责任、人员离岗离职管理、外部人员访问管理等相关规定。调阅人员信息安全保密协议，检查系统管理员、网络管理员、信息安全员等重点岗位人员是否签订了协议。调阅人员离岗离职记录、人员离岗离职承诺书等文件，抽查离岗离职人员信息系统访问权限终止情况，检查人员离岗离职管理落实情况。调阅外部人员访问审批手续、访问记录等文件，检查外部人员访问管理落实情况及相关记录完整性。2. 资产管理制度检查方法：调阅资产管理制度等文件，检查是否有设备发

21、放、使用、维修、维护和报废等相关规定。调阅资产台账，抽取一定比例的在用设备，核查其对应的资产台账记录；随机抽取资产台账中的设备，核查其对应的实物，检查资产台账完整性和账物符合性。调阅设备管理员任命、岗位分工等文件，访谈设备管理员，检查是否指定了专人负责资产管理工作。3. 存储介质管理制度。检查方法：调阅存储介质管理制度等文件，检查是否有介质领用、交回、维修、报废、销毁等相关规定，调阅存储介质管理相关记录，检查存储介质管理制度落实情况。访谈网络管理员、数据库管理员，了解存储阵列、磁带库等大容量存储介质是否外联，外联时是否有安全防护措施，是否存在远程维护。4. 运行维护管理制度。检查方法：调阅运行

22、维护管理制度等相关文件，检查是否包含备份、应急、监控、审计、变更管理等相关内容。调阅运维操作手册和运维相关记录，检查是否有运维操作手册、运行维护管理制度落实情况及相关记录完整性。5. 年度教育培训。检查方法：访谈网络管理员、系统管理员和工作人员，了解信息安全基本防护技能掌握情况，调阅信息安全教育培训制度、培训计划、培训记录、考核记录及试卷等相关文件，检查年度培训计划制定情况、培训记录（培训时间、培训内容、人员签到、培训讲师等内容），确认信息安全管理人员和技术人员培训内容中是否包含专业技能，确认领导干部和机关工作人员培训内容中是否包含信息安全基本技能。表8 日常安全管理制度建立和落实情况检查结果

23、记录表检查项检查结果1人员管理重要岗位人员安全保密协议：全部签订 部分签订 未签订人员离岗离职安全管理规定：已制定 未制定外部人员访问审批制度：已制定 未制定2资产管理资产管理制度：已制定 未制定是否指定专人进行资产管理：是 否设备维修维护和报废管理制度：已制定 未制定设备维修维护和报废记录是否完整：是 否3存储介质管理存储介质管理制度：已制定 未制定存储介质管理记录：完整 不完整大容量存储介质：外联：采取了技术防范措施未采取技术防范措施不外联4运行维护管理日常运维制度：已制定 未制定运维操作手册：已制定 未制定运维操作记录：完整 不完整5年度教育培训年度培训计划：已制定 未制定本年度接受信息

24、安全教育培训的人数：_人占本单位总人数的比例：_本年度开展信息安全教育培训的次数：_次本年度信息安全管理和技术人员参加专业培训：_人次（三）信息安全经费投入情况重点检查信息安全经费预算和投入情况，记录检查结果（表9）。1. 本年度信息安全经费预算检查方法：调阅本年度经费预算文件，检查是否将信息安全防护设施建设、运行、维护以及信息安全相关检查、测评、管理等费用纳入了年度预算，记录本年度信息安全经费预算情况。2. 上年度信息安全经费投入检查方法：查阅相关财务文件，记录上一年度信息安全经费实际投入情况。表9 信息安全经费投入情况表检查项检查结果1本年度信息安全经费预算本年度信息安全预算：有，预算额：

25、_万元无2上年度信息安全经费投入上年度信息安全经费实际投入额：_万元三、技术防护情况自查对纳入检查范围的每一个网络与信息系统、工业控制系统的技术防护情况逐个进行检查，重点检查技术防护体系建设、网络边界安全防护措施、设备安全策略配置、重要数据传输存储安全防护措施等情况，记录检查结果（表10）。（一）网络边界安全防护措施检查方法：对照网络拓扑图，检查网络实际连接情况，确认同网络拓扑图一致。分析网络拓扑图，查看网络隔离设备部署、交换机VLAN划分，检查网络是否按重要程度划分安全区域，确认不同区域采用了正确的隔离措施。检查互联网连接情况，统计网络外联的出口个数，检查每个出口是否都进行了安全控制。检查网

26、络边界防护设备部署情况，确认外部网络接入内部网络采用了安全的加密传输方式（如VPN）等。（二）安全策略或安全功能配置及有效性检查方法：分别登录服务器、网络设备、安全设备，查看安全策略配置，检查安全策略配置是否合理，并验证其有效性，确认按需开放端口、符合最小服务原则。检查应用系统安全功能配置情况，确认具有身份认证、访问控制、安全审计等安全功能，登录系统验证安全功能的有效性。（三）重要数据传输、存储安全防护措施检查方法：登录数据库，查看重要数据，确认加密存储。采用网络嗅探工具抓取访问系统时的通信数据包，检查是否加密传输。访谈数据库管理员，检查重要数据是否进行备份，确认备份方式是本地备份还是异地备份

27、。核查备份数据文件，确认备份周期。（四）密码技术和设备情况。检查方法：调阅资产台账，查看在用系统，检查在用的密码设备、密码技术，检查供应商情况、是否具有相应资质。表10 技术防护情况检查记录表（每个系统单独成一张表）系统名称_检查项检查结果1网络边界防护安全域隔离情况：逻辑强隔离 逻辑隔离 无隔离连接互联网情况：连接互联网：互联网接入总数：_个其中联通 接入口数量:_个 接入带宽:_兆电信 接入口数量:_个 接入带宽:_兆其他:_接入口数量:_个接入带宽:_兆不连接互联网网络边界防护措施（多选）:访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 VPN方式接入 无措施 2安全防护策略服务器安全策略：使用默认配置 根据应用自主配置按需开放端口 最小服务配置网络设备安全策略：使用默认配置 根据应用自主配置按需开放端口 最小服务配置