企业信息安全风险评估实施细则

1、企业信息安全风险评估实施细则 PAGE 5目 录前言3资产评估4资产识别4资产赋值5威胁评估8脆弱性评估12信息安全管理评估13安全方针13信息安全公司机构15人员安全管理16信息安全制度文件管理17信息化建设中的安全管理19信息安全等级保护22信息安全评估管理23信息安全的宣传与培训23信息安全监督与考核24符合性管理25信息安全运行维护评估26信息系统运行管理26资产分类管理28配置与变更管理28业务连续性管理30物理环境安全31设备与介质安全33信息安全技术评估35网络安全35操作系统安全39数据库安全45通用服务安全51应用系统安全54安全设备56前言为了规范、深化国家电网公司信息安全

2、风险评估工作，依据国家电网公司信息安全风险评估管理暂行办法、国家电网公司信息安全风险评估实施指南（以下简称实施指南），制定国家电网公司信息安全风险评估实施细则（以下简称细则）。本细则是公司统一的一体化企业级信息系统开展信息安全风险评估工作的主要依据， 各单位在相关的信息安全检查、评价工作中也可参考本细则的内容。本细则结合公司当前信息化工作重点，针对实施指南中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中，资产评估内容主要针对公司一体化企业级信息系统展开；威胁评估包含非人为威胁和人为威胁等因素；脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。公司统

3、一公司的评估工作应在本细则的基础上，结合实施指南提出更详细的实施方案，并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析，并进行风险计算，确保全面掌握信息系统的安全问题，并提供解决问题的安全建议。本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。本细则由国家电网公司信息工作办公室组织制定、发布并负责解释。资产评估资产评估是确定资产的信息安全属性（机密性、完整性、可用性等）受到破坏而对信息系统造成影响的过程。在风险评估中，资产评估包含信息资产识别、资产赋值等内容。资产识别资产识别主要针对提供特定业务服务能力的应用系统展开，例如：网络系统提供基础网络服务、OA 系统提供办

4、公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分，这四个部分在信息系统的实例中都显现为独立的资产实体，例如：典型的 OA 系统可分为客户端、Web 服务器、Domino 服务器、DB2 数据库服务器四部分资产实体。应用系统的功能模块（或子系统），可参照下表进行分解：应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块，如应用服务器、通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块，如 web 服务器客户端由用户或客户直接使用、操纵的模块，包括：工作站、客

5、户机等，如应用客户端、web 浏览器*注：以上的子系统(功能模块)分类可能存在于一台主机上，也可能分布在多台主机上，对应用系统的分解不需要特别注明子系统的分布情况，只需详细说明功能作用和构成。对于不具有多层结构的系统，可根据实际情况进行简化分解，例如：仅分解为服务器端与客户端。典型的应用系统分解结构图如下：分解应用系统业务处理模块数据存储模块客户端服务提供模块：代表数据传输本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别，并在资产赋值部分按照这一分解进行赋值。资产赋值根据实施指南的定义，资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。每项资产都要进行机密性

6、要求、完整性要求、可用性要求的赋值，赋值定义为： 安全性要求很高5、安全性要求高4、安全性要求中等3、安全性要求低2、安全性要求很低1。结合资产识别的情况，对公司“SG186”工程应用系统的各部分进行赋值，结果见下表。 PAGE 7业务系统系统安全等级客户端服务提供业务处理数据存储管理员普通用户CIACIACIACIACIA一体化平台企业信息门户2422311224113数据中心2422233233444数据交换平台2311134123目录与单点登录系统2411334223444信息网络2313144财务（资金） 管理财务管理系统12544433355242353资金管理系统125444333

7、55242353营销管理营销管理信息系统2533422355242353客户缴费系统231121122412425395598 客户服务管理系统2312211113113232电能信息实时采集与监控系统1311211131131131市场管理系统1311211131131131客户关系系统1311211131131131需求侧管理系统2322211344244344辅助决策系统1311211132132132安全生产管理调度管理信息系统2322211133133133生产管理信息系统2322211133133133地理信息系统2322211133133133安全监督管理信息系统13112111

8、31131131电力市场交易系统2422322244244244协同办公协同办公2424323434323434人力资源管人力资源管理系统1322211131131331业务系统系统安全等级客户端服务提供业务处理数据存储管理员普通用户CIACIACIACIACIA理物资管理物资管理系统1311211131131131招投标系统1431321331331331项目管理项目管理系统1311211131131131综合管理规划计划管理系统1311211131131131审计管理系统1311211331331331金融信息管理系统1311211131131131法律事务管理系统131121133133

9、1331国际合作业务应用系统1311211331331331纪检监察管理系统1311211131131131ERP 系统ERP 系统2433322344344344说明：（1）C 代表机密性赋值、I 代表完整性赋值、A 代表可用性赋值；（2）系统安全等级来源于国家电网公司信息系统安全保护等级定级指南，作为业务系统资产权值与每项赋值相乘后参与风险计算过程；（3）对各单位不包括在“SG186”工程中的应用系统，系统安全等级按照国家电网公司信息系统安全保护等级定级指南定义方法计算出来， 资产赋值按照实施指南定义的方法进行识别和赋值，同时可参考上表的赋值结果。威胁评估在信息安全风险评估中，威胁评估分为

10、威胁识别和威胁赋值两部分内容。威胁识别通常依据威胁列表对历史事件进行分析和判断获得。由于信息系统运行环境千差万别，威胁可能性赋值无法给出统一定义，例如：海边城市受到台风威胁的可能性较大。本细则中仅给出威胁对信息资产机密性、完整性和可用性破坏的严重程度赋值。赋值定义为：破坏严重程度很大5、破坏严重程度大4、破坏严重程度中等3、破坏严重程度小2、破坏严重程度很小1。在评估实施时需要依据实施指南定义的方法，结合实际情况对威胁可能性进行判断。下表是常见的威胁列表。8 PAGE 9威胁分类威胁名称说明威胁可能性严重程度CIA非人为威胁火山爆发由火山爆发引起的系统故障N/A55飓风由飓风引起的系统故障N/

11、A45地震由地震引起的系统故障N/A45人员丧失由疾病、道路故障、暴动等原因导致人员无法正常工作引起的系统无法使用故障N/AN/A3硬件故障系统由于硬件设备老旧、损坏等造成的无法使用问题N/A45雷电由雷电引起的系统故障N/A55火灾由火灾引起的系统故障,包括在火灾发生后进行消防工作中引起的设备不可用问题N/A45水灾由水灾引起的系统故障N/A45雪崩由雪崩引起的问题N/A24温度异常由温度超标引起的故障N/A44湿度异常由湿度超标引起的故障N/A33灰尘、尘土由灰尘超标引起的故障N/A33强磁场干扰由磁场干扰引起的故障N/A33电力故障由于电力中断、用电波动、供电设备损坏导致系统停止运行等导

12、致的系统故障N/A44系统软件故障由系统软件问题所产生的故障344应用软件故障由应用软件问题所产生的故障445软件缺陷软件缺陷导致的安全问题444通信故障由通信故障所产生的问题N/A24DNS 失败由 DNS 失败导致的问题114人为威胁由误操作传输错误的或不应传送的数据个人失误导致的安全问题431关键员工的离职由于关键员工的离职造成系统的安全问题N/AN/A4离开时未锁门由于离开时未锁门造成系统的安全问题431 PAGE 11威胁分类威胁名称说明威胁可能性严重程度CIA离开时屏保未锁定由于离开时屏保未锁定造成的安全问题411在不恰当的人员中讨论敏感文档由于在不恰当的人员中讨论敏感文档造成的安

13、全问题5N/AN/A不恰当的配置和操作不恰当的管理系统、数据库、无意的数据操作，导致安全问题344拒绝服务攻击攻击者以一种或者多种损害信息资源访问或使用能力的方式消耗信息系统资源N/A35由于设备（如笔记本）丢失导致泄密等安全问题444过时的规定由于采用过时的规定所造成的安全问题443不遵守安全策略导致各种可能的安全威胁444不恰当的使用设备、系统与软件不当的使用设备、系统与软件造成的安全威胁N/A44恶意破坏系统设施对系统设备、存储介质等资产进行恶意破坏N/A45滥用由于某授权的用户（有意或无意的）执行了授权他人要执行的举动、可能会发生检测不到的信息资产损害543设备或软件被控制或破坏恶意的

14、控制或破坏设备造成的安全威胁54N/A远程维护端口被非授权的使用恶意的使用远程维护端口，控制主机444数据传输或电话被监听恶意截获传输数据4N/AN/A办公地点被非授权的控制恶意监控办公地点、重要地带，获取重要信息544侦察通过系统开放的服务进行信息收集，获取系统的相关信息，包括系统的软件、硬件和用户情况等信息44N/A口令的暴力攻击恶意的暴力尝试口令533威胁分类威胁名称说明威胁可能性严重程度CIA各类软件后门或后门软件软件预留的后门或其他专门的后门软件带来的信息泄露威胁432偷窃移动设备带有机密信息的移动设备被窃取5N/A3恶意软件计算机病毒、蠕虫带来的安全问题354伪装标识的仿冒等信息安

15、全问题44N/A分析信息流分析信息流带来的信息安全问题4N/AN/A非法阅读机密信息非授权的从办公环境中取得可获得的机密信息或复制数据5N/AN/A社会工程学攻击通过 email、msn、电话号码、交谈等欺骗或其他方式取得内部人员的信任，进而取得机密信息5N/AN/A未经授权将设备连接到网络未经授权对外开放内部网络或设备453密码猜测攻击对系统账号和口令进行猜测，导致系统中的敏感信息泄漏531伪造证书恶意的伪造证书，进而取得机密信息551远程溢出攻击攻击者利用系统调用中不合理的内存分配执行了非法的系统操作，从而获取了某些系统特权，进而威胁到系统安全性553权限提升通过非法手段获得系统更高的权限

16、，进而威胁到系统安全性553远程文件访问对服务器上的数据进行远程文件访问,导致敏感数据泄漏532法律纠纷由企业或信息系统行为导致的法律纠纷造成信誉和资产损失333不能或错误地响应和恢复系统无法或错误地响应和恢复导致故障和损失334流量过载由于网络中通信流量过大导致的网络无法访问N/A35说明：C 代表对机密性的破坏程度、I 代表对完整性的破坏程度、A 代表对可用性的破坏程度，N/A 表示对此项安全属性无破坏或无意义。脆弱性评估脆弱性评估包括管理、运维和技术三方面内容。脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和运维缺陷、技术漏洞分析与发现，并确定脆弱性被利用威胁的难易程度（赋值）的过

17、程。在本实施细则中，列出了信息安全管理、运维和技术三方面的检查点，这些检查点都是对信息安全防护工作的具体要求，如果信息系统的管理、运维和技术条件不满足这些点的检查要求，则视为一个缺陷或漏洞。脆弱性检查表中标记了每个检查点对机密性（C）、完整性（I）、可用性（A）是否有影响存（表示有影响）。检查表结果参与实施指南中定义的风险计算和分析，以每一检查点的实际得分情况和该检查点的标准分值的比率来确定赋值，并由公司内专业技术支撑队伍进行计算，方法如下：首先，按（1实际得分/标准分值）%，算出该检查点的不满足程度； 然后按下表对应赋值：标识等级（1实际得分/标准分值）%很高5大于等于 80%高4大于等于

18、60%，但小于 80%中3大于等于 40%，但小于 60%低2大于等于 20%，但小于 40%很低1小于 20%举例说明：某检查点标准分值 10 分，实际得分 8 分，则脆弱性赋值：首先取(18/10)%20%，然后按照上表对应，赋值结果为 2“低”。12 PAGE 19信息安全管理评估（总计：1200 分）安全方针（小计：130 分）检查项目检查内容标准分值评分标准实际得分CIA信息安全方针文件满足国家、公司政策要求和本单位信息安全需求的独立信息安全方针文件20检查是否有独立的信息安全方针文件，或者有包含信息安全方针内容的纲领性文件(没有则该项不得分)信息安全方针文件中对信息安检查方针文件是

19、否对信息安全整体目标进行了阐述(不符合扣 10 分)检查方针文件是否对信息安全工作涉及的内容范围进行了明确界定(不符合扣 6 分)检查方针文件是否对信息安全相关工作的协调和配合提出了要求(不符合扣 4 分)全整体目标和信息安全工作范20围的定义信息安全方针文件内容对国家检查方针文件是否提出了以下要求相关内容：信息安全等级保护制度要求的落实情况、对信息系统重要性的10提出满足信息安全等级保护制度的要求(不符合扣 4 分)对信息系统进行了明确等级划分(不符合扣 4 分)定义3)提出了分等级保护的工作要求(不符合扣 2 分)检查方针文件是否符合：信息安全方针文件内容对公司信息安全工作目标、原则的贯彻

20、20信息安全纳入安全生产范畴的要求(不符合扣 8 分)公司信息安全三同步原则(不符合扣 8 分)3)主要业务系统的安全目标要求(不符合扣 4 分)信息安全方针对信息安全工作主要内容的阐述10检查方针文件：是否列出了信息安全工作内容(不符合扣 8 分)工作内容是否符合国家、公司的要求(不符合扣 2 分)信息安全方针文件应经过单位最高层领导的审批，在单位内部进行讨论和宣贯10检查独立的信息安全方针文件，或者包含信息安全方针内容的纲领性文件：是否经过本单位最高层领导的审批。(不符合扣 4 分)制定过程是否广泛征求了各相关业务部门的意见（检检查项目检查内容标准分值评分标准实际得分CIA查征求意见相关记

21、录）(不符合扣 4 分)发布后是否进行了内部宣传和学习。(不符合扣 2 分)信息安全方针文件中对信息安全检查信息安全方针文件或包含相关内容的文件中是否提出了方针落实情况进行考核、评价的10考核或评价的要求、方法和内容。(无考核、评价要求扣 10 分，要求有考核要求无具体内容扣 4 分)检查是否在涉及具体管理细节的内容点列出了相应的支持性信息安全方针文件中对各关键内容的支持性管理制度要求10管理制度文件名称，例如：内部用户不得访问外部非法网站时列出了内网用户行为管理办法(有明显制度文件缺失的点，每点扣 2 分，扣完为止)信息安全方针文件对自身的保密要求10检查方针文件是否规定了本身的传播范围(没

22、有规定范围扣 8 分)检查传播范围是否合理(不合理扣 2 分)信息安全方针文件中对进行修订和审核的周期以及负责审核部门的要求10检查是否定义了审核周期(不符合扣 6 分)检查是否明确了负责审核的部门(不符合扣 4 分)信息安全公司机构（小计：100 分）检查项目检查内容标准分值评分标准实际得分CIA公司机构信息化领导小组应承担信息安全领导职责，或者成立了包括高层领导的信息安全领导小组30检查是否有机构成立的相关文件(不符合扣 30)信息安全第一责任人应为单位高层领导10检查本单位是否自行制定了文件 (不符合本条扣 10 分)或者直接沿用上级单位下发的文件(仅符合本条得 4 分)成立跨部门的信息

23、安全工作协调机构来协调整体信息安全工作20检查是否有机构成立的相关正式文件。(不符合扣 20 分)信息安全领导机构和信息安全工作协调机构的职责10检查是否有领导机构职责定义文件(不符合扣 6 分)检查是否有工作协调机构职责定义文件(不符合扣 4 分)专业信息管理部门应获得高层授权开展日常的信息安全相关审核、审批工作10检查信息管理部门是否有信息安全相关审核、审批权力(不符合扣 6 分)检查是否有相关审核、审批记录(不符合扣 4 分)应设置信息安全管理岗位，有专人负责信息安全整体工作的协调和落实10检查是否有专人负责信息安全工作(不符合扣 6 分)检查是否设置了信息安全管理岗位(不符合扣 4 分

24、)外部信息安全专家与外部信息安全专业机构或专家沟通顺畅，在需要时能及时获得外部信息安全机构或专家的建议和技术支持10有经常联系的专业机构(不符合扣 6 分)专业机构能够及时提供技术支持(不符合扣 4 分)人员安全管理（小计：70）检查项目检查内容标准分值评分标准实际得分CIA人员录用对单位的新录用人员要签署保密协议101)2)检查是否有相关管理要求(不符合扣 4 分)检查是否有签署的保密协议文件(没有扣 6 分)人员离岗对即将离岗的员工应立即终止其在信息系统中的所有访问权限101)2)查看员工离岗流程中是否有相关要求(不符合扣 4 分)检查是否有终止访问权限的表单(没有扣 6 分)取回离岗人员

25、的各种身份证件、钥匙、徽章等以及单位提供的软硬件设备101)2)查看员工离岗流程中是否有相关要求(不符合扣 4 分)检查是否有设备、证件等上缴表单记录(无记录扣 6 分)离岗人员应由人事部门办理调离手续，并由离岗人员书面承诺调离后的保密义务101)2)查看员工离岗流程中是否有相关要求(不符合扣 4 分)检查是否有签署的离岗保密承诺文件(无记录扣 6 分)第三方人员管理要求第三方人员在访问前与公司签署安全责任合同书或保密协议101)2)查看是否有对第三方访问进行管理的规定(没有扣 4 分)检查是否有书面保证文件(没有扣 6 分)对第三方人员访问重要区域应以书面形式批准，并由专人全程陪同或监督，记

26、录备案10检查是否有审批记录或监督记录(没有扣10分)对第三方人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行10检查是否有文件进行了规定(不符合扣10分)信息安全制度文件管理（小计：130）检查项目检查内容标准分值评分标准实际得分CIA信息安全策略体系建立信息安全策略体系，明确本单位需要的信息安全制度内容20检查是否有描述信息安全策略体系的相关文件或定义信息安全管理制度的文件内容(没有扣 20 分)信息安全制度管理定期对信息安全管理制度进行审核、修订、更新、废除过时的管理制度，制定、发布、宣贯新的管理要求10检查是否有制度管理文件(没有扣 10 分)检查制度管理文件

27、内容是否明确了制度审核的周期（没有扣 6 分）信息安全制度审核信息安全制度的修订、更新和废除10检查制度修订、更新和废除的相关工作记录或证明(没有扣5 分)现有管理制度是否有明显过时或已经不适用的内容(有则扣 5 分)信息安全管理制度机房管理制度，包括机房环境管理机房进出管理、机房内工作管理等内容8检查机房管理相关制度文件，缺少一项内容扣2分U盘、光盘使用管理制度6缺U盘使用管理制度，扣除4分，缺光盘使用管理制度，扣除2分主机设备安全管理制度8检查是否有相关管理制度(没有扣8分)网络设施安全管理制度8检查是否有相关管理制度(没有扣8分)物理设施分类标记管理制度6检查是否有相关管理制度(没有扣8

28、分)安全配置管理制度、系统分发和操作规章制度、系统文档安全管理制度、测试和评估制度、系统信息安全备份制度10缺少一项管理内容,扣除2分网络连接检查评估制度、网络使用授权制度、网络检测制度、网络设施（设备和协议）变更控制制度等8缺少一项管理内容,扣除2分检查项目检查内容标准分值评分标准实际得分CIA应用系统上线前测评制度、应用系统上线后安全评估制度、应用系统使用授权制度、应用系统配置管理10缺少一项管理内容,扣除2分制度、应用系统文档管理制度等人员安全管理制度、安全意识和安全技术教育制度、操作安全管理制度、操作系统和数据库管理制度、系统运行记录编写制度、病毒防护管理制度、网络互联安全管理制度18

29、缺少一项管理内容,扣除2分，扣完为止安全审计管理制度、安全事件报告制度、事故处理制度、应急管理制度和灾难恢复管理制度等信息分类标记制度、涉密信息安全管理制度、技术文档管理制度、存储介质管理制度、信息披露与发布8缺少一项管理内容,扣除2分，扣完为止审批管理制度等信息化建设中的安全管理（小计：400 分）检查项目检查内容标准分值评分标准实际得分CIA规划设计阶段的信息安全管理信息系统规划过程中应进行明确的信息安全需求分析20抽取 12 个新建成系统，查看规划阶段形成的文件：是否有管理要求明确系统建设规划阶段必须进行信息安全需求分析(没有扣 10 分)是否对建成后的系统运行环境进行了安全需求分析(没

30、有扣 5 分)是否对业务应用本身进行了安全需求分析(没有扣 5 分)在新系统建设或已有系统改造方案中，应包括安全要求20查看是否有管理要求对系统开发/采购过程提出明确的信息安全要求，没有明确要求扣 10 分抽查 2 个新系统的建设方案，没有提出明确安全要求，每个系统扣 5 分信息系统设计方案中应对软件安全功能进行了设计20检查信息系统设计方案中的安全功能设计是否与提出的安全需求相符(不符合扣 6 分)软件开发过程中应实现设计方案中提出的安全功能20抽查 1 个已建系统是否实现了设计方案中提出的安全功能，无相关实现的，则该项不得分。实现部分的，则扣 10 分系统开发的安全管理验证应用系统输入的数

31、据、验证不同类型输入的出错消息、响应验证错误的流程、定义所有数据输入过程中所涉及人员的职责等20抽取一个新建或在建系统的设计、开发文档，查看管理/技术要求中对系统安全性的规定，无相关要求的，该项不得分。抽查系统测试记录，若内容中无相关测试验证结果说明扣 10 分严格控制访问程序源码库20检查是否：有制度要求，不符合扣 10 分落实情况，是否符合要求，不符合扣 10 分软件开发外包：在与软件开发单位签订的协议中，应明确知识产权的归属和安全方面的要求20查看管理要求中的相关规定，无相关要求的，该项不得分。抽查文档记录，若缺少相关文档,则该项不得分软件开发外包：在软件安装之前检20查看管理/技术要求

32、中的相关规定，无相关要求的，该项不得 PAGE 29检查项目检查内容标准分值评分标准实际得分CIA测软件包中可能存在的恶意代码，并保留完整的测试记录分。抽查测试记录,没有则该项为 0 分软件开发外包：要求开发单位提供软件设计的相关文档和使用指南10查看管理要求中的相关规定，无相关要求的，该项不得分。抽查测试记录,没有则该项不得分自行开发：开发环境与实际运行环境应做到物理分离20查看是否有管理制度予以要求(没有扣 10 分)检查在建系统的开发环境是否符合要求(不符合扣 10 分)自行开发：系统开发文档由专人负责保管，文档使用应受到控制10查看管理要求中的相关规定，无相关要求的，该项不得分。抽查文

33、档使用的权限控制记录，没有则该项不得分自行开发：制定开发方面的管理制度，以明确说明开发过程的控制方法和人员行为准则10若无相关制度，则该项为 0 分系统集成与采购中的安全管理提供规范的软件设计文档和使用指南10抽查设计文档和使用指南(没有扣 10 分)对程序资源库的修改、更新、发布应经过授权和批准20查看管理要求中的相关规定，无相关要求的，该项不得分。抽查授权记录，不能提供的该项不得分对厂商交付的主机操作系统、数据库系统等进行了配置安全加固审核、操作系统安全补丁安装情况审核20查看管理要求中的相关规定，无主机操作系统安全加固方面相关规定的，扣 10 分，无数据库系统安全加固方面相关规定的扣 1

34、0 分应有机制确保采购和集成中的安全设备都通过了国家、公司相关机构的测评、认证20查看产品采购管理制度中的相关规定，无相关要求的，该项不得分。抽查测试记录,没有则该项为 0 分要求厂家针对其提供的系统或设备提供信息安全方面的技术服务10查看产品采购管理制度中的相关规定，无相关要求的，该项不得分密码技术应用控制确定数据的敏感程度和所需的保护级别10若没有相关策略,则该项为 0 分使用数字签名保护电子文档的真实性和完整性20查看管理方法中的相关规定，无相关要求的，该项不得分。若确定了保护等级,但缺少加密技术保护数据,则该项为 10 分;若未确定保护等级,则该项为 0 分检查项目检查内容标准分值评分

35、标准实际得分CIA使用不可否认服务10若未使用,则该项为 0 分新设备和新系统的接入管理新系统、新设备接入网络运行的审核、审批管理制度16查看管理要求中的相关规定，无相关要求的，则该项不得分不经过信息安全审核的系统不能接入单位网络运行16查看管理要求中的相关规定，无相关要求的，则该项不得分新建系统或新采购设备接入单位网络时应经过信息安全的审批16查看管理要求中的相关规定，无相关要求的，则该项不得分信息安全监理制定信息安全监理管理相关规定10查看管理要求中的相关规定，无相关要求的，则该项不得分重大系统建设应引入第三方信息安全监理机制，确保系统建设过程中各环节的安全性6查看管理要求中的相关规定，无

36、相关要求的，则该项不得分对监理方的意见应给予充分的考虑6检查相关会议记录、问题答复(没有扣 6 分)信息安全等级保护（小计：70 分）检查项目检查内容标准分值评分标准实际得分CIA等级保护定级按照公司信息系统统一定级情况对本单位信息系统定级进行核实10查看是否有定级情况核实工作的记录(没有扣 10 分)对不属于公司统一定级范畴的信息系统自行开展定级工作10查看是否有定级文件(没有扣 10 分)信息系统定级情况对各业务部门进行通报10查看是否有对各业务部门进行定级情况通报的文件(没有扣 10分)等级防护工作根据各业务系统的定级进行安全域的划分20查看是否根据业务系统的信息安全等级进行了安全域的划

37、分(不符合扣 20 分)针对不同等级信息系统制定等级保护方案20查看是否制定了等级保护方案(没有扣 20 分)信息安全评估管理（小计：80 分）检查项目检查内容标准分值评分标准实际得分CIA信息安全评估、评测管理制定评估、评测管理办法20查看评估、评测管理相关文件(没有扣20分)确定管理办法文件经过高层审批并颁发(不符合扣16分)评估管理办法中应对规划、设计阶段的信息系统提出安全性评估要求10查看评估管理规定是否有相关要求(没有扣10分)新系统上线必须通过运行环境安全性评估、系统软件安全性评测20查看评测管理相关文件是否有相关内容(没有扣10分)抽查12个系统，查看是否进行了相关安全评估和评测

38、工作(没有扣10分)管理信息系统定期开展信息安全风险评估工作20查看是否有定期对管理信息系统风险评估的记录或报告(没有扣20分)系统更新或设备报废时，对废弃系统和设备中残留数据执行评估和销毁程序10查看是否有系统更新或设备报废的数据清除或销毁记录(没有扣10分)信息安全的宣传与培训（小计：60 分）检查项目检查内容标准分值评分标准实际得分CIA信息安全宣传协调政工等部门进行信息安全宣传工作10查看是否有信息安全相关宣传工作的记录(没有扣 10 分)对外来工作人员进行本单位信息安全政策的宣传和提示10查看是否有对外来工作人员进行本单位信息安全政策和管理要求进行提示或宣传的证明(没有扣 10 分)

39、信息安全培训对公司单位相关人员进行信息安全普及性培训与宣传工作10查看是否有信息安全普及性培训的工作记录(没有扣 10 分)检查项目检查内容标准分值评分标准实际得分CIA制定专业人员的信息安全培训计划、并进行专业的信息安全培训20查看是否有对专业人员进行信息安全培训的管理要求，或培训计划(没有扣 10 分)查看是否有对专业人员进行过信息安全培训(没有扣 10分)各单位信息化管理、运行等部门负责人、信息安全管理员、系统管理员、数据库管理员、网络管理员等在上岗前应经过网络与信息安全培训10查看是否有相关管理规定(没有扣5分)查看有是否进行过岗前培训的证明(没有扣5分)信息安全监督与考核（小计：60

40、 分）检查项目检查内容标准分值评分标准实际得分CIA信息安全监督建立信息安全监督机制，对所辖单位信息安全工作情况进行定期评价14查看是否有信息安全监督的文档(没有扣 7 分)查看是否有监督的记录(没有扣 7 分)建立信息安全检查机制，确保在春秋安全大检查中对信息安全情况进行检查10查看是否有管理制度规定将信息安全纳入春秋安全大检查的工作中(没有扣 4 分)检查当年的春检或秋检中是否进行了信息安全方面的检查工作(没有扣 6 分)落实公司同业对标工作10检查是否落实了公司同业对标工作(没有扣 10 分)信息安全考核建立信息安全考核办法，根据各单位信息安全状况、信息安全工作执行情况进行考核10检查信

41、息安全考核相关管理规定中是否对信息安全状况、工作执行情况等提出了具体的考核办法(没有扣 10 分)将网络与信息安全防护工作的表现纳入员工的岗位责任制10查看相关岗位职责文件(不符合扣10分)信息安全考核制度中明确了奖、惩办法6查看信息安全考核相关管理规定中是否有明确了奖惩办法(没有扣 6 分)符合性管理（小计：100 分）检查项目检查内容标准分值评分标准实际得分CIA法律符合性在信息系统相关的合同条文中明确适用的法律、法规条文10抽查 12 个信息系统建设合同文本，检查是否包含了相关法律、法规责任(没有扣 10 分)所有信息系统相关的合同应经过法律事务部门的审核10抽查 12 个信息系统建设合

42、同文本，检查是否经过法律事务部门的审核(没有扣 10 分)制定系统运行管理技术人员不得利用职权侵犯他人隐私的管理规定10检查是否有相关管理内容(没有扣 10 分)知识产权保护制定或沿用上级单位知识产权管理的制度10检查是否有明确的知识产权相关管理制度(没有扣 10 分)在所有软件开发合同、协议中明确知识产权的归属20抽查相关合同、协议文件，查看知识产权保护的内容(不符合扣20分)确保软件知识产权证书、文档、手册、源代码及可执行程序都已提交相关管理部门10抽查12个信息系统建设的归档文件，查看相关内容、记录是否齐全(一项缺失扣5分)在集成、开发、采购合同中向乙方提出确保系统来源合法，提交相应产权

43、证明材料的要求20抽查12个信息系统集成或采购合同文本，查看是否有相关的要求(没有扣10分)制定限制内部员工在单位设备上私自使用、安装盗版软件的管理内容10查看是否有相关管理内容(没有扣10分)信息安全运行维护评估（总计：900 分）信息系统运行管理（小计：200 分）检查项目检查内容标准分值评分标准实际得分CIA岗位职责网络设施应指定专职的网络管理技术人员负责运行维护20查看是否有指定的网络管理人员文件(没有扣 20 分)各种信息安全技术设施应指定专职的信息安全技术人员负责运行维护20查看是否有指定信息安全技术措施运行管理人员的文件(没有扣 20 分)各业务系统应指定专职的技术人员负责运行维

44、护20查看是否有指定业务系统运行维护专责的文件(没有扣 20 分)各系统服务器、数据库系统等应指定专职的系统管理技术人员负责运行维护工作20查看是否有指定相关运行维护专责的文件(没有扣 20 分)明确界定各专责的工作职责与工作范围10查看所有岗位是否有定义文件(没有扣 10 分)实行主、副岗备用制度10查看是否所有岗位都指定了主、副负责人员 (没有扣 10 分)运行管理根据公司总部颁发的信息系统运行管理规程制订本单位的运行管理规程20检查是否有运行管理规程(没有扣 20 分)对信息系统的重要操作实行工作票、操作票制度20检查是否有近 3 个月来的工作票、操作票(没有扣 20 分)机房出入管理制

45、度张贴于恰当的位置10检查相关制度是否张贴于机房墙壁上(没有扣 10 分)近 3 个月的机房进出情况20检查近三个月机房的进出记录(没有扣 20 分)运行值班制度中应规定普通情况下 58 小时、关键时期 724 小20检查是否有相关的值班要求(没有扣 20 分)检查项目检查内容标准分值评分标准实际得分CIA时的现场值班内容对值班人员的值班计划进行安排，近 3 个月值班记录内容10检查近三个月的值班安排和记录表(没有扣 10 分)资产分类管理（小计：80 分）检查项目检查内容标准分值评分标准实际得分CIA资产清单维护每个信息系统重要资产的清单或登记20查看资产清单(没有扣 20 分)每个信息资产

46、都明确其责任人，资产清单中明确记录资产的物理位 置，定义并认可安全分类20查看系统资产清单内容(不符合扣 20 分)设备管理完备的设备验收流程，并提交书面验收报告10检查是否有验收流程(没有扣 6 分)检查是否有设备验收报告(没有扣 4 分)设备的运行管理应定期检查、巡视和维护10抽查近三个月的巡视、维护和检查记录(没有扣 10 分)对设备的改造与更新应做到事前计划和事后记录10检查一年内的计划和记录文件(没有扣 10 分)未经适当的授权不允许带走设备、信息或软件10抽查近半年设备、信息或软件的使用记录(没有扣 10 分)配置与变更管理（小计 80 分）检查项目检查内容标准分值评分标准实际得分

47、CIA配置管理对信息系统的配置参数进行管理、建立系统、设备的配置参数定义文件库（如：所有防火墙的规则配置文件）15检查是否建立了配置文件库(没有扣 15 分)检查项目检查内容标准分值评分标准实际得分CIA对各系统初始化软硬件配置环境进行记录和备份15检查是否有初始化配置清单、或文件库(没有扣 15 分)变更管理对系统中发生的变更，应有流程对其进行确认并制定变更方案10检查是否有变更审核流程(没有扣 7 分)检查近一年的变更方案(没有扣 3 分)重要系统变更前，应经过主管领导申请、变更方案经过评审、审批后方可实施变更的工作流程10检查近一年的变更审核、审批记录(没有扣 10 分)对变更影响进行分

48、析和变更实施过程进行文档记录15检查近一年的变更工作记录(没有扣 15 分)设备型号、网络结构发生变化时，应能在第一时间反映到相应的配置文件、拓扑结构图中15检查最新的拓扑结构图是否和系统情况完全相符(不符合扣 15 分) PAGE 34业务连续性管理（小计：200）检查项目检查内容标准分值评分标准实际得分CIA应急预案根据公司应急预案管理办法制定相应的应急预案10查看是否有针对公司信息安全事件的应急预案(没有扣 10分)制定针对重要系统的专项应急预案10查看是否针对所有重要系统都有应急预案(没有扣 10 分)对应急预案进行定期演练10查看一年内的应急预案演练记录(没有扣 10 分)所有相关人

49、员应清楚地知道自己在应急响应中的角色和职责10根据应急预案，抽查 2 名相关人员，检查其是否明确自己的角色和职责(一人不清楚扣 5 分)定期对应急预案进行评估和修订10检查近两年应急预案的评估和修订记录(没有扣 10 分)通报机制按照国家电网公司的要求建立及时的信息安全信息通报机制10检查是否有专人负责信息安全通报(没有扣 6 分)检查是否有通报记录(没有扣 4 分)主机备份关键业务系统主机应有备用设备10检查关键系统主机是否有备用设备(没有扣 10 分)采用热备份方式的主机应进行故障切换测试10检查热备系统是否进行过切换测试(没有扣 10 分)采用负载均衡方式的系统主机应进行故障压力测试10

50、检查负载均衡系统是否进行过压力测试(没有扣 10 分)数据备份与恢复制定详细的数据备份策略，对每个系统和系统数据按照备份策略定期进行备份20查看是否制定了数据备份策略(没有扣 10 分)策略内容是否对每个系统和数据的备份都提出了要求(没有扣 10 分)备份数据与原始数据存放于不同的物理环境中10查看备份数据是否与原始数据存放在不同物理环境中(不符合扣 10 分)进行过备份数据的恢复演练10检查是否进行过备份数据的恢复测试(没有扣 10 分)网络可靠性保障关键系统的通信链路采取双链路方式10检查关键通信链路是否采取了双链路方式(不符合扣 10 分)关键网络节点设备应有备份措施，确保设备故障后可以

51、及时更换设10检查关键网络节点设备是否有备份(没有扣 10 分)检查项目检查内容标准分值评分标准实际得分CIA备定期对光纤设备进行可靠性测试10查看近一年的测试记录(没有扣 10 分)光缆采用走多路竖井的方式进入办公大楼10检查光缆进入机房的方式(不符合扣 10 分)电源可靠性保障采用 UPS 设施，确保停电后系统的供电安全10检查是否有 UPS 系统(没有扣 10 分)UPS 设施的容量10检查 UPS 设备容量是否充足(不充足扣 10 分)UPS 充放电试验10检查 UPS 系统近两年来的充放电测试记录(没有扣 10 分)物理环境安全（小计：220 分）检查项目检查内容标准分值评分标准实际

52、得分CIA机房安全防护机房场地避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁4(不符合扣 4 分)机房场地避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区8(不符合扣 8 分)所有机房安装门禁、监控与报警系统10检查机房设施(不符合扣 10 分)机房出入口有专门人员或设施值守，鉴别进入的人员身份并进行记录10检查机房出入情况(不符合扣 10 分)对于进入机房的来访人员，限制和监控其活动范围20检查对外来人员的活动是否进行约束(不符合扣 20 分)检查项目检查内容标准分值评分标准实际得分CIA机房的四壁使用非透明的介质， 如墙壁、窗帘、磨砂玻璃等，

53、以避免走廊或窗外建筑对机房内的设备、标记与操作的直视8(不符合扣 8 分)防盗窃/破坏将通信线缆铺设在隐蔽处（如铺设在地下或管道中等）8(不符合扣 8 分)机房防盗/防破坏能力12(不符合扣 12 分)机房监控报警系统12(不符合扣 12 分)机房供、配电机房配线图8检查配线图和更新记录(没有扣 8 分)将动力、照明用电与计算机系统供电线路分开20(不符合扣 20 分)设置稳压器和过电压防护设备8检查是否有稳压器和过电压防护设备(没有扣 8 分)隔离电源线和通信线缆，避免互相干扰8(不符合扣 8 分)对重要设备和磁介质实施电磁屏蔽8(不符合扣 8 分)机房配备应急照明装置4检查应急装置(没有扣

54、 4 分)对机房内设备的电源要求进行登记与统计4检查登记和统计记录(没有扣 4 分)机房环境防护气体防火措施10检查防火措施(不符合扣 10 分)火灾自动消防系统，自动检测火情、自动报警、自动灭火18检查消防系统(不符合扣 18 分)机房建筑的避雷装置8检查是否设置了避雷装置(没有扣 8 分)接地等防静电措施8检查防静电措施(没有扣 8 分)定期对空调系统进行检查8检查空调系统维护日志(没有扣 8 分)恒温恒湿系统，使机房温、湿度的变化在设备运行所允许的范围之内8检查恒温恒湿系统(没有扣 8 分)检查项目检查内容标准分值评分标准实际得分CIA防水与防潮8检查机房防水措施(不符合扣 8 分)设备

55、与介质安全（小计 120 分）检查项目检查内容标准分值评分标准实际得分CIA介质管理敏感数据的信息处理设备及存储介质应妥善存放，以减少使用时被浏览的风险10(不符合扣 10 分)纸张及计算机介质不用时（特别是在规定工作时间之外），应存储在合适的能够上锁的柜子内而不是散落于各处10(不符合扣 10 分)有敏感信息的存储介质应被物理销毁或安全的覆盖，而不是使用遗弃或删除功能（如：纸张应采用碎纸机等设备进行销毁）15(不符合扣 15 分)U 盘、移动硬盘等存储介质应有资产记录和责任人5检查资产记录情况(没有扣 5 分)磁盘、光盘等存储介质应有专人保管10检查保管记录(不符合扣 10 分)笔记本使用管

56、理制度5检查是否有管理制度(不符合扣 5 分)定期对存放在介质库中的介质进行完整性和可用性检查，以确认介质内容没有受到损坏或丢失5检查存放、检查日志(不符合扣 5 分)有备用的硬盘、磁带等存储设备， 以及时缓解存储空间的不足或替换损坏的介质10检查备用介质(不符合扣 10 分)检查项目检查内容标准分值评分标准实际得分CIA设备安全对在信息处理设备附近饮食及吸烟的控制策略5(没有扣 5 分)按供应商的建议进行服务间隔及规格维护5(不符合扣 5 分)只有授权的维护人员才可以修理设备5(不符合扣 5 分)记录所有可疑的或真实的故障，以及所有防范及改正措施10(不符合扣 10 分)备份设备及备份介质放

57、置在距离主设备有一段距离的安全区域, 以避免工作地点发生灾难时受到破坏10(不符合扣 10 分)主机、设备本身应具备一定的抗电磁干扰能力5(不符合扣 5 分)摆放设备的机柜应有钥匙锁定，对钥匙的管理应有相应的规定10(不符合扣 10 分)信息安全技术评估（总计：900 分）网络安全（包括架构、路由和交换设备 小计：120 分）.网络架构（小计：43 分）检查项目检查内容标准分值评分标准实际得分CIA网络架构网络拓扑结构的合理性和可扩展性6检查网络拓扑结构，如不符合或无网络拓扑则记为 0 分局域网核心交换设备、广域网核心路由设备应采取设备冗余或准备了备用设备，同时路由链路也应该施行冗余方式6检查

58、拓扑结构和实际情况，发现一个问题扣 2 分，扣完为止对网络的边界接入方式进行过全面的安全分析并有分析记录2检查分析记录，如不符合则此项记为 0 分对网络管理协议进行安全设置、业务系统采用相对可靠的安全协议3验证安全设置与安全协议，发现一个问题扣 2 分，无安全设置和安全协议不得分不应有不经过防火墙的外联链路3检查拓扑、网络分析，如发现外联则此项不得分在相关网络的隔离点，设立合理的访问控制3检查拓扑和配置文档，如无访问控制则此项不得分对网络异常流量进行分析、明确的流量管理目标以及对服务质量保障（QoS）措施评价3检查分析报告，无相关内容则此项不得分有网络故障的分析手段、并对网络故障分析的资料进行

59、分类整理3检查网络故障分析手段，没有或不可用则记为 0 分当网络结构发生变化时，应有流程或制度及时记录与变更网络拓扑2检查管理制度、变更记录，如没有或不可用则记为 0 分 PAGE 39检查项目检查内容标准分值评分标准实际得分CIA信息给网络的每个节点规划足够的带宽2检查网络分析，如不符合则记为 0 分1）检查是否进行网络安全域划分，没有划分则记为 0 分网络安全域划分、技术文档以及安全控制32）检查是否有网络安全域划分的技术文档，没有文档扣 1 分3）检查信任网络和不信任网络之间是否有安全控制，没有安全控制则记为 0 分网络安全域划分根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，

60、划分不同的网络安全域，并按照方便2检查安全域的划分，如不符合则记为 0 分管理和控制的原则为各子网、网段分配地址段各个独立网络节点的安全控制策3检查网络节点的安全控制，如不符合则记为 0 分略VLAN 间访问控制的合理性2检查拓扑结构、网络设备配置，如不符合则记为 0 分.路由和交换设备（小计：42 分）检查项目检查内容标准分值评分标准实际得分CIA网络设备网络设备配置进行备份（电子、物理介质）3检查备份设备，缺失一项扣 2 分，扣完为止网络设备名称应具有合理的命名体系和名称标识（便于网管人员迅速准确识别）1检查管理记录，如不符合则此项记为 0 分关键网络设备采用双电源3检查关键设备，如不符合