电力行业重要信息系统范文.doc

电力行业信息安全检查工作方案电力行业重要信息系统安全检查工作方案国家电力监管委员会二六年八月在展览大厅，我认真观看学习了每个视频、展板和案例，通过对魏民洲、杨殿钟、赵红专、李益民、李大有等严重违纪违法分子犯罪事实的学习manufacturers of technical documents on the quality requirements applicable to this project. Construction quality inspection and evaluation standards issued by the national power company of the electric power construction standard for quality inspection and assessment of the 11 articles assessment inspection standards as well as other relevant regulations issued by the Ministry of electric power, the State power company executive. Does not verify in the specification within the evaluation criteria, implementation design, manufacturer or . Or issue a new national standards and regulations, bidders shall comply with new norms and standards. If there are conflicts or is inconsistent, whichever is the higher standards. 3.3 3.3.1 project of responsibility, authority and communication organization and project managers, at all levels of responsibility and authority see section II of chapter III of the present tender site management organization and part of workforce planning. 3.3.2 according ISO 9001, GB/T 50430 and company quality distribution of the quality manual, combining the departments of projects, project quality function distribution allocation table on the following page of the projects quality functions shown below. 3.3.3 project with each Department interface, interface between the internal departments of the project by project managers at all levels and the quality regulations of the responsibilities and authorities of the Department. Customer requirements and hope: project management; Quality planning, management program: the projects quality control Department; Site design: Project Engineering Department; Contract: the contract budgeti- -目 录1 目标12 工作组织13 范围与内容34 方法与流程45 工作进度计划56 检查工作风险控制6检查表一 规章制度与组织管理7检查表二 网络与系统安全8检查表三 网络服务与应用系统9检查表四 安全技术管理与设备运行状况10检查表五 存储备份系统11检查表六 介质及物理环境安全12检查表七 安全服务状况13检查表八 应急处置14检查表九 安全事件登记表15- 15 -根据国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开展安全检查的通知（信安通200615号）的要求，国家电力监管委员（以下简称电监会）对中国南方电网有限责任公司和各发电企业集团公司开展电力行业重要信息系统安全检查工作。1 目标电力企业信息安全检查工作的主要目标是通过检查评估的方式，发现企业重要信息系统当前面临的主要安全问题，督促整改，确保电力重要信息系统的安全。本次安全检查工作完成以下任务：完成电力企业重点单位、重要系统安全大检查，进行安全情况总体分析，统计重大和典型信息安全问题，提出有效的整改措施。2 工作组织电力行业重要信息系统安全检查工作组织如图1所示: 图1 电力行业重要信息系统安全检查工作组织图电力信息安全检查领导小组：统一协调领导电力重要信息系统安全检查工作。电监会副主席史玉波同志任组长，中国南方电网有限责任公司、各发电集团公司、电监会信息中心、电监会安全监管局负责人参加。电力信息安全专家委员会：对检查工作提供指导、咨询。电力信息安全检查领导小组办公室：负责日常事务，组织成立电力重要信息系统安全检查工作组。办公室设在信息中心，办公室主任由倪吉祥主任兼任。电力重要信息系统安全检查工作组：督导检查各单位重要信息系统的安全自查工作。电力企业信息安全检查工作组：由被检查的电力企业工作人员组成，负责本电力企业检查工作的配合、协调和管理工作。技术支持单位：按照电力信息安全检查领导小组办公室的统一部署，由国家电网信息安全实验室等技术支持单位为各电力企业集团重要信息系统安全检查工作提供技术支持。3 范围与内容电力企业信息安全检查工作主要面对电力二次系统和重要管理信息系统，检查范围如下：（1）管理信息系统强调对基础信息系统和重点业务系统进行安全性检查，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况。重点单位：各集团公司总部。（2）电力二次系统对电力二次系统的检查在遵循上面提到的内容外，还要依据电力二次系统安全防护总体方案的技术要求，具体包括：网络分区和边界安全、网络和主机设备的配置与管理、现有安全防护措施、二次系统安全管理。重点单位：各级调度（交易）中心、电厂。4 方法与流程安全检查工作中将采取风险评估的基本方法，确保检查工作的科学性。本次安全检查工作时间紧、涉及范围广，为确保工作的质量，采用如下图2所示的工作流程：安全整改各单位资产半年内安全事件记录安全检查表资产清单、事件清单、检查结果表安全检查报告重要资产清单安全事件列表检查结果表安全检查报告重要资产判别安全事件收集安缺陷全检查综合分析图2 工作流程1) 重要资产识别识别重要系统、重要网络设备、重要服务器，及其安全属性破坏后的影响。2) 安全事件统计各单位半年内发生的较大的、或者发生次数较多的信息安全事件，形成安全事件列表。3) 安全缺陷检查对重要资产清单中所列的系统或信息资产进行安全缺陷检查，填写安全缺陷列表。4) 综合分析统计安全事件、缺陷，分析产生的原因，形成安全检查报告，提出针对性的整改要求。5) 安全整改各单位根据安全检查报告中的解决措施，实施整改，力争将检查中发现的安全隐患快速、高效的解决。5 工作进度计划电力企业检查工作计划如下：工作计划与成果工作阶段时间安排工作内容工作成果准备阶段1） 成立信息安全检查工作组、专家委员会l 电力企业信息安全检查工作方案l 各单位检查工作计划2） 制定安全检查工作方案1） 各单位检查工作计划2）3）实施阶段1） 各单位安全检查工作l 重点单位评估报告l 各单位检查报告l 各单位整改工作报告2） 各单位检查结果整理总结阶段1） 对各单位检查结果进行汇总、整理，形成本次检查工作的工作报告l 电力企业信息安全检查工作报告，上报电监会。6 检查工作风险控制安全检查工作对象是对各单位重要系统、重要数据和敏感信息等资产，因此，存在影响系统的正常运行、敏感信息泄漏等风险，需要高度重视，制定周密的防范措施。检查表一 规章制度与组织管理检查项目检查内容检查结果1 组织机构是否成立了信息安全领导机构、工作机构2岗位职责是否有专职网络管理人员 是否有专职应用系统管理人员是否有专职系统管理人员各专责的工作职责与工作范围是否有制度明确进行界定3病毒管理是否制定了计算机病毒防治管理制度 是否制定了定期升级的安全策略是否制定了病毒预警和报告机制病毒扫描策略是否规定了1周内至少进行一次扫描？ 4运行管理是否建立了信息系统运行管理规程？ 机房管理制度？ 运行值班制度是否规定了普通情况下58小时、关键时期的724小时的现场值班内容？是否建立了缺陷管理制度是否建立了统计汇报制度是否建立了运维流程，并按照流程进行操作是否对值班人员进行了安排？5 账号与口令管理是否制定了账号、口令管理制度？ 普通用户账户密码、口令长度是否有要求？ 系统用户身份发生变化后是否及时对其账户进行了变更或注销？检查表二 网络与系统安全检查项目检查内容检查结果1 网络架构局域网核心交换设备，广域网核心路由设备是否采取了设备冗余或准备了备用设备？ 是否有不经过防火墙的外联链路？ 2 网络分区生产控制系统和管理信息系统之间是否部署了隔离措施VLAN间的访问控制是否合理？ 3 网络设备网络设备配置是否进行了备份？（电子、物理介质）网络关键点设备是否双电源？ 是否关闭了HTTP、FTP、TFTP等服务？ 是否有IP地址的规划方案和分配策略？ 是否有IP地址分配记录？ 5补丁管理是否有补丁管理的手段，或管理制度？Windows系统主机补丁安装是否齐全？ 是否有补丁安装的测试记录？6系统安全配置是否对操作系统的安全配置进行了严格的设置？ 是否删除了系统中不必要的服务、协议？ 8主机备份重要的系统主机是否采用了双机备份？ 是否进行过热切换，或者故障恢复的测试？ 检查表三 网络服务与应用系统检查项目检查内容检查结果1 WWW服务WWW服务用户账户、口令是否健壮？外部网站是否有备份，或其他保护措施？ 2 电子邮件服务是否对近3个月的邮件数据进行了备份？ 是否有专门针对邮件病毒、垃圾邮件的安全措施？ 邮件系统管理员账户/口令是否强健？邮件系统的维护、检查是否有审计记录？ 3 远程拨号访问服务是否有限制远程拨号访问的管理措施？ 用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施？ 4 应用系统应用系统的角色、权限分配是否有记录？ 用户账户的变更、修改、注销是否有记录？（查看半年记录情况）关键应用系统的数据功能操作是否进行审计？是否有针对关键应用系统的应急预案？ 新系统上线前是否进行过安全性测试？ 检查表四 安全技术管理与设备运行状况检查项目检查内容检查分值1防火墙网络中的防火墙部署位置是否合理？ 防护墙规则配置是否符合安全要求？ 2防病毒系统防病毒系统是否覆盖所有服务器及客户端？对服务器的防病毒客户端管理策略配置是否合理？是否有专责人员负责维护防病毒系统，并及时发布病毒通告？ 3 入侵检测系统检查入侵检测系统部署是否合理、能否覆盖主要网络边界与主要服务器？ 是否定期对审计信息进行分析？ 4 安全技术管理是否部署了身份认证系统？ 是否部署了安全管理平台？ 是否采用了漏洞扫描系统？重要系统一年内是否进行了信息安全风险评估？ 是否部署了针对安全设备的日志服务器？ 检查表五 存储备份系统检查项目检查内容检查分值1 备份策略是否建立了明确、合理的备份策略？是否严格按照备份策略对系统数据进行备份？2 恢复预案是否建立了明确的恢复预案？是否定期进行恢复演练？3 备份介质管理检查是否建立介质的管理制度和废弃介质的处理制度 储存介质是否存放在安全环境是否有严格的介质存取控制，是否有专人对存储介质进行定期检查检查表六 介质及物理环境安全检查项目检查内容检查结果1 机房内部安全防护主机房是否安装了门禁、监控与报警系统？2 机房供、配电是否有详细的机房配线图？机房供电系统是否将动力、照明用电与计算机系统供电线路分开？ 机房是否配备应急照明装置？ 是否定期对UPS的运行状况进行检测？3 机房环境防护是否采用了气体防火措施？ 空调系统是