信息安全检查表

信息安全检查表电力行业网络与信息安全检查方案电力行业网络与信息安全领导小组办公室二O—二年七月为贯彻落实《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函（2012）102号）要求，结合电力行业信息安全工作实际，制定电力行业网络与信息安全检查方案。一、 检查依据《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函（2012）102号）；《电力行业网络与信息安全监督治理暂行规定》（电监信息（2007〕50号）。《电力二次系统安全防护规定》（电监会5号令）。二、 检查目的通过开展电力行业网络与信息安全检查，全面把握重要电力网络与信息系统差不多情形，分析面临的安全威逼和风险，评估安全防护水平，查找突出咨询题和薄弱环节，有针对性地采取防范计策和改进措施，加大网络与信息系统安全治理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保证电力网络与信息系统安全，爱护电力系统安全稳固运行，保证党的十八大顺利召开。三、 检查范畴各电力企业运行使用的网络和信息系统，重点检查信息安全爱护等级为3级及以上的重要网络与信息系统。四、 检查方式此次检查按照“谁主管谁负责、谁运行谁负责”的原则，采纳电力企业自查、电监会派出机构对辖区内电力企业自查情形、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽查相结合的方式。五、 检查内容此次信息安全检查要紧分差不多情形调查、安全防护情形检查和咨询题及风险分析三个方面。（一）网络与信息系统差不多情形调查。要紧调查系统特点，包括系统停止运行后对要紧业务的阻碍程度，系统遭到攻击破坏后对社会公众的阻碍程度等；系统构成，包括要紧软硬件设备的类型、数量、生产商等；信息技术外包服务，包括服务类型、服务提供商、服务方式、安全保密协议等。各单位要在全面调查的基础上，汇总填写《电力行业信息安全检查情形报告表》（见附件1）。（二）安全防护情形检查。各单位要紧从以下15个方面对本单位信息安全防护情形进行重点检查，并在认真检查的基础上，如实填写《电力企业信息安全检查表（2012版）》（见附件2）。组织体系建设情形。信息安全组织机构建立情形；第一责任人确立情形；责任落实情形；专职机构及岗位设置情形；安全人员配置情形等。规章制度建立情形。整体策略及总体规划（方案）制定情形；治理制度制定情形及制度体系完整性；操作规程制定情形；制度公布情形等。资金保证情形。经费预算情形；安全运维经费投入情形；安全建设经费投入情形等。人员安全治理情形。全员安全培训及保密协议签订情形；专业技能培训情形；岗位人员审查情形；岗位调整安全管控情形等。服务外包管控情形。外包服务协议签订情形；第三方人员访咨询治理情形；远程服务管控情形；现场开发管控情形等。关键信息资产管控情形。资产清单的建立情形；资产治理职责的落实情形；信息系统基础资料归档情形等。信息系统建设安全治理情形。系统上线安全测评情形；等级爱护建设情形；等级爱护测评情形；信息安全风险评估开展情形；密码产品采购情形；信息产品采购测试情形；安全产品国产化情形等。&安全分区防备情形。安全分区情形；横向隔离及纵向认证设备部署情形；跨区连接管控情形；内外网隔离情形等。网络安全防护情形。生产操纵大区安全防护情形；治理信息大区安全防护情形；互联网出口统一治理情形；互联网出口安全管控情形；无线网络安全防护情形等。主机和设备安全防护情形。补丁更新治理情形；恶意代码防护情形;系统加固情形；办公终端管控情形；主机和设备帐号口令治理情形等。应用系统和数据安全防护情形。应用系统安全功能及配置情形；对外服务系统信息监控和攻击防备情形；对外服务系统周期测试情形；应用系统账号口令治理情形；重要数据安全爱护情形等。物理环境安全防护情形。机房安全建设情形等。信息系统运行安全治理情形。日常爱护情形；安全审计情形；补丁治理情形；介质治理情形；安全监测情形等。灾难复原情形。硬件冗余情形；定期备份情形；异地容灾中心建设情形；备份介质复原测试情形等。应急治理情形。网络与信息安全信息通报情形；总体应急预案制定情形；重要信息系统应急预案制定情形；应急演练开展情形；应急资源配备情形；事故调查工作情形等。（三）存在的咨询题和面临的风险分析。在完成差不多情形调查和安全防护情形检查的基础上，各单位要围绕着以下三个方面对存在的咨询题和面临的要紧风险进行分析。当前安全治理和技术防护中的要紧咨询题及薄弱环节，制定安全防护能力提升的要紧因素（包括法律法规、政策制度、技术手段等方面）。统计国外产品和服务在要紧软硬件设备和信息技术外包服务中所占的比例，分析网络与信息系统对国外产品和服务的依靠程度。按照安全检测发觉的漏洞和隐患，分析网络与信息系统存在的安全风险，判定面临的安全威逼程度以及具备的安全防护能力，评估网络与信息系统总体安全状况。六、检查组织电监会统一组织此次信息安全检查工作，电力行业网络与信息安全领导小组办公室负责信息安全检查的日常工作。电监会各派出机构按照电监会的统一部署，负责辖区内电力企业信息安全自查督导和监督检查工作。各电力（集团）公司负责组织开展本单位及其下属单位的信息安全检查工作。七、进度安排7月16日〜7月20日，动员部署时期印发《关于开展电力行业网络与信息安全检查行动的通知》和《电力行业网络与信息安全检查方案》，召开会议进行动员部署。7月21日〜8月31日，实施时期8月22日前，各单位完成本单位的信息安全自查工作，编写自查报告,制定整改方案。8月31日前，完成整改工作。电力（集团）公司应汇总填写本系统《电力行业信息安全检查情形报告表》和《电力企业信息安全检查项目表（2012版）》，并和自查整改情形报告一起报送电监会。关于无法及时完成整改的隐患项目，有关电力企业要讲明缘故，制定临时应急措施，并将情形讲明按时报电监会。检查期间，电监会将组织若干专业小组对各单位进行抽查。抽查有关事项，电监会将于行前通知。9月1日〜9月15日，总结时期电监会对检查工作情形进行汇总和全面总结，形成电力企业信息安全检查报告并报国家网络与信息安全和谐小组办公室。八、工作要求各单位要高度重视，加大组织领导，制定检查方案，明确检查任务,落实检查责任，及时整改检查中发觉的咨询题，并将检查整改情形按时报电监会。各单位要精心部署，周密安排，认真组织。关于发觉的咨询题，要找出缘故，并举一反三，连续改进。各单位要建立检查整改跟踪督办机制,力求使安全隐患都得到整改和妥善处置。安全检查工作对象是各单位的重要系统、重要数据和敏锐信息等资产，需要高度重视检查工作存在的风险，制定周密的应急防范措施，幸免发生阻碍系统正常运行和敏锐信息泄漏的事件。各单位要高度重视信息安全保密工作，加大信息安全保密措施，检查结果除按规定报送外，不得向其他单位和个人透露。所有检查往来文件一律加密。电监会抽查小组成员和派出机构督查小组成员要严格遵守党风廉政纪律，严格执行保密工作规定，不得随意泄露抽查组行程。附件：1.《电力行业信息安全检查情形报告表》2.《电力企业信息安全检查项目表（2012版）》

附1:电力行业信息安全检查情形报告表单位名称：一、萱要信息系统安全检査情形差不多情形重要信息系统总数 9 （请另附系统清单，下同）（按实时性进行统计）非实时运行的系统数量实时运行的系统数量（按服务对象进行统计）面向社会公众提供服务的系统数量不面向社会公众提供服务的系统数量（按联网情形进行统计）直截了当连接互联网的系统数量同互联网强逻辑隔离的系统数量与互联网物理隔离的系统数屋（按数据集中情形进行统计）全国数据集中的系统数量省级数据集中的系统数量未进行数据集中的系统数量（按灾备情形进行统计）进行系统级灾备的系统数量仅对数据进行灾备的系统数量无灾备的系统数量系统构成情形要紧硬件和软件服务器路由器交换机防火墙磁盘阵列磁带库操作系统数据库国内品牌数量（台/套）国外品牌数量（台/套）业务应用软件系统自主设计开发（不含二次开发）的数量托付国内厂商开发的数量托付国外厂商开发的数量直截了当采购国内厂商产品的数量直截了当采购国外厂商产品的数量信息技术外包服务服务商名称：服务商性质：□国有□民营□外资服务内容：服务方式：□远程在线服务□现场服务（如有更多，请另列表）安全状况分析结果信息系统对国外产品和服务的依靠程度要紧业务对信息系统的依靠程度信息系统而临的安全威逼程度信息系统安全防护能力信息系统名称高中低咼中低高中低高中低1・

2・（如有更多，请另列表）二、置要工业操纵系统安全检査情形差不多情形重要工业操纵系统运营单位总数： 家重要工业操纵系统总数： 套系统类型情形国内品牌国外品牌数据采集与监控（SCADA）系统套套分布式操纵系统（DCS）套套过程操纵系统（PCS）套套可编程操纵器（PLC）大型台台中型台台小型台台就地测控设备外表台台智能电子设备（EED）台台远端设备（RTU）台台系统构成情形应用服务器-工程师工作站应用软件套套系统软件套套PC用1/服务器台台数据库服务器数据库软件套套系统软件套套PC服务器台台通信设备台台工业操纵网络连接情形直截了当与互联网连接的重要工业操纵系统数量：套与内部网络连接的重要工业操纵系统数量： 套含有无线接入方式的重要工业操纵系统数量： 套运行爱护情形采纳远程方式运行爱护的重要工业操纵系统数量： 套由国内厂商提供运行爱护服务的重要工业操纵系统数量： 套由国外厂商提供运行爱护服务的重要工业操纵系统数量： 套信息安全防护情形网络边界架设网络安全设备的重要工业操纵系统数量： 套安装防病毒软件或设备的重要工业操纵系统数量： 套定期进行安全更新的重要工业操纵系统数量： 套采取加密措施传输.储备敏锐数据的重要工业操纵系统数量：套电力企业信息安全检查项目表（2012版）D电力行业网络与信息安全领导小组办公室二O—二年七月目录1检查工作差不多信息・1・2检查项及检查记录・2・2.1组织体系（ORG）・2・2.2规章制度（REG）・4・2.3资金保证（FUN）・6・2.4人员安全治理（PER）・8・2.5服务外包管控（OSE）・9・2.6关键信息资产管控（ASS）・11・2.7信息系统建设安全治理（CON）122.8安全分区防备（SDD）142.9网络安全防护（NET）152.10主机和设备安全防护（HEQ）172.11应用系统和数据安全防护（ADA）182.12物理安全防护（PEN）192.13信息系统运行安全治理（OPE）202.14灾难复原（REC）212.15应急治理（EME）223检查结果综合统计方法243.1检查项权重243.2运算方法26

1检查工作差不多信息受检单位差不多信息单位名称上级单位名称下级单位总数单位类型电网企业口发电企业V电力科研企业口电力设计施工企业口其他类型企业口检查方式本单位自查V上级单位督查口电监会抽查口检查时刻检查范畴检查组差不多信息检查组织单位检查组组长检查组成员2检查项及检查记录2.1组织体系（ORG）标识检查项检査耍素得分判定方法检査记录得分备注ORG.1织织机构述立组织建立了由决策层.治理层、执行层组成的完整倍息安全组织机构。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得0.4分。决策层符合/不符合判定法：3） 不符合•此项得0分：4） 符合.此项得0.3分。治理层符合/不符合判定法：5） 不符合•此项得0分：6） 符合.此项得0.3分。执行层ORG.2第一资任人确立组织耍紧负资人是本单位网络与倍息安全的第一责任人•对本单位的网络与倍息安全负全面资任。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。第一责任人ORG.3资任落实组织机构职资涵盖倍息安全工作的要紧方面,职贵明确到资任部门.资任人员.并以正式文件形式公布。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。ORG.4专职机构及岗位设组织倍息安全机构及岗位设迸符合如下耍求^】〉电力企业集团公司总部设置倍息安全专职机构:2）电力企业樂团公司二级单位设置倍息安符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。机构依据企业层级选择其中之一填写。治理和技术岗位

全治理和技术岗位：3）电力企业基层单位设进信息安全岗位。信息安全岗<■ORG5安全人员配置组织专职倍息安全工作人员数址与组织总信息安全岗位数址的比值。比率值法：1） 得分-专职人员数显信息安全岗位总数2） 取小数点后2位。信息安全岗位总数专职人员数T.

2.2规章制度（REG）标识检查项检査耍素得分判定方法检査记录得分备注REG1整体策略及总体规划（方案〉制定组织制定了倍息安全工作的整体策略和总体规划（方案〉.讲明倍息安全工作的总体目标.范畸、防护框架和防护措施。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得0.5分。整体策略符合/不符合判定法：3） 不符合•此项得0分：4） 符合.此项得0.5分。总体规划（方案）REG2规章制度及体系完整性组织对信息安全工作制定了差不多安全治I里制度•并以此为歴础形成了涵盖人员治I里.资产治理、储备介质治理.信息系统建设安全治理、运行爱护治鹿.外包服务治理.培训教丙等方面的制度体系。选项法：1） 无制度.此项得0分：2） 制定了差不多制度.此项得0.5分：3） 形成制度体系.此项得1分.差不多制度制度体系REG3操作规程制定组织对耍求信息安全运行爱护人员执行的口常治理操作制定了运维流程和操作规程。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得0.5分。运维流程符合/不符合判定法：3） 不符合•此项得0分：4） 符合.此项得0.5分。操作规程REG4制度公布组织倍息安全治建制度通过正式.有效的方式公布。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得0.5分。公布制度

符合/不符合判定法：3） 不符合•此项得0分：4） 符合.此项得0.5分。耍紧文件符合公布制度耍求

2.3资金保证（FUN）标识检查项检査耍素得分判定方法检査记录得分备注FUN.1经费预算组织倍息安全建设及运行爱护经费被列入预算。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。FUN.2安全建设经费投入组织用于信息安全建设＜安全软唤件购逆、系统安全功能开发.安全测试.安全咨询、安全培训、安全专项研究等）的经费占年度信息化建设总投入的比率。（取当年值或近两年平均值〉选项法：.•一安全建设费1〉比率■总建设经费2） 比率＜0-05.此项得0分：3） 0.05＜比率＜0.b此项得0.3分：4） 0.1＜比率＜0.15,此项得0.7分：5） 比率＞0.15.此项得1分。信息化建设总经费信息安全建设经费FUN.3安全运维经费投入组织用于信息安全运行爱护（监皆检査.口常安全运维、监测分折.应急演练及应急保证.测试评估零〉的经费占整个倍息系统运行爱护总投入的比率。（取当年值或近两年平均值〉选项法：安全运维费1〉比率■总运维紆费2）比率＜0-05.此项得0分：信息系统运行爱护总经费0.05＜比率＜0.b此项得0.3分：0.1＜比率＜0.15,此项得0.7分：比率＞0.15.此项得1分，信息安全运行爱护经费

2.4人员安全治理（PER）标识检査项检査耍素得分判定方法检査记录得分备注PER.1全员安全培训及保滋协议签订组织全体职员中参加年度信息安全培训并签署保密协议的比率。比率值法：1） 得分・年M训人齢协仪签窘Aft0负T.歆X? •2） 取小数点后2位。职员总数参加年度培训人员数签署保密协议人员数PER.2专业技能培训组织倍息安全工作人员中获得国家、行业信息安全专业培训证书的比率.比率值法：,如八获伽巧的人故侍力■佑思女全人员总故：2）取小数点后2位。信息安全工作人员总数获得倍息安全培训证书的人员数PER.3人员审査组织对倍息安全岗位人员和其他敬锐岗位人员实施身份.背景和资质审査。符介/不符合判定法：1） 不符此项得0分：2） 符介.此项得1分.PER.4岗位调整组织在倍息安全岗位人员及其他敬锐岗位人员离岗时执行权限回收和离岗承诺书签署。符介/不符合判定法：1） 不符此项得0分：2） 符介.此项得1分.

2.5服务外包管控（OSE）标识检查项检査耍素得分判定方法检査记录得分备注OSE.1外包服务协议组织与合约方签订的外包服务协议中具有信息安全管控和保密条款。符合/不符合判定法：1） 不符合•此项得o分：2） 符合•此项得0.5分。管控条款符合/不符合判定法：3） 不符合•此项得0分：4） 符合•此项得0.5分。保密条款OSE.2第三方人员访咨询治理组织对第三方人员访咨询机房等受控区域釆取了书面审批.人员陪RK进出记录等管控措施。符合/不符合判定法：1） 不符合•此项得0分：2） 符合•此项得0.3分。受控区域符合/不符合判定法：3） 不符合•此项得0分：4） 符合•此项得0.3分。审批情形符合/不符合判定法：5） 不符合•此项得0分：6） 符合•此项得0.3分。陪冋和记录情形OSE.3远程服务组织针对远程访咨询采取了书面审批、访咨询操纵.在线监测.口志审计等管控措施。符合/不符合判定法：1） 不符合•此项得0分：2） 符合•此项得0.5分。审批情形符合/不符合判定法：3） 不符合•此项得0分：4） 符合•此项得0.5分。管控措施OSE.4现场开发组织采取技术措施保证开发测试环境与实际生产运行环境物理分离•并限定开发人员的活动范畸和行为。符合/不符合判定法：1） 不符合•此项得0分：2） 符合•此项得0.5分。环境分离措泡

符合/不符合判定法：3） 不符合•此项得0分：4） 符合•此项得0.5分。范踌和行为限定措施2.6关键信息资产管控（ASS）标识检查项检査耍素得分判定方法检査记录得分备注ASS.1资产清单组织识不所有倍息资产并有资产清单.符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。ASS.2资产治理职责组织对每项资产明确治理资任人及其职责。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。ASS.3信息系统基础资料归档姐织对源代码.设计方案、建设实施方案等歴础资料进行归档的系统数址与信息系统总数的比值。比率值法：1「1档系统数1） 得分.系统总数52） 取小数点后2位。倍息系统总数已归档系统数量

2.7信息系统建设安全治理（CON）标识脸査项检查耍素得分判定方法检査记录得分备注CON.1上线安全测评组织信息系统在上线前通过安全测评的比率。比率值法：1） 得分-通过上线测评系统数已投运系统总数-2） 取小数点后2位。己投运倍息系统通过安全测评系统CON.2等级爱护建设组织信息系统中按耍求开展等级爱护建设的比率。比率值法：1） 得分-已开展竽保建设的系统数系统总数 -2） 取小数点后2位。需开展建设系统己开展述设系统CON.3等级爱护测评组织信息系统中按耍求开展等级爱护测评的比率。比率值法：1） 得分-已开展竽保测评的系统数系统总数 -2） 取小数点后2位。需测评倍息系统已开展测评倍息系统CON.4风险评估组织倍息系统中按耍求开展信息安全风险评估的比率。比率值法：1）得分-需评估倍息系统

已开展风险评估的系统数系统总数 -2）取小数点后2位。开展评估倍息系统CON.5密码产品采购组织密码产品的采购和便用符介国家密码主管部门的耍求：符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。CON.6产品釆购测试组织对信息安全产品、系统基础软硬件、系统应用软件.工业操纵装逆等在釆购前实施安全性测试。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。CON.7安全产品国产化悄形组织信息安全产品国产化率.比率值法：1） 得分-国产信息安全产胡数信息安全产品总数:2） 取小数点后2位。信息安全产品总数国产产品数ft

2.8安全分区防备（SDD）标识检查项检査耍素得分判定方法检査记录得分备注SDD.1安全分区按照《电力二次系统安全防护规定P耍求•划分了生产操纵大区和治理信息大区•生产操纵大区内的操纵区和非操纵区逻辑隔离。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。生产大区内部分2个区•信息治建大区内部分1个区。SDD.2战向隔离及纵向认证按照《电力二次系统安全防护规定3耍求.在生产操纵大区与其他区域有倍息交换时.部署横向陽离装置.在调度数据网上下级网络接口部署纵向加密装置。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。生产大区内部h2区之间。厂级和网调Z间未加密。SDD.3跨区连接组织不存在未通过战向隔离装置跨区网络直截了当连接的情形。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。SDD.4内外网隔组织应用独立的网络及终缁处理敏说信息且未与互联网连接。符合/不符合判定法：1） 不符合•此项得0分：2） 符合.此项得1分。

2.9网络安全防护（NET）标识检査项检査耍素得分判定方法检査记录得分备注NET.1生产操纵大区防护组织在生产操纵大区内部实施了网络设备安全防护.ARP防范.非授权网络接入管控等技术措施。符合/不符介判定法：1） 不符合.此项得0分：2） 符合.此项得1分。NET.2治理信息大区防护组织在治理信息大区内部实施了网络设备安全防护.ARP防范.IF授权网络接入管控等技术措施。符合/不符介判定法：1） 不符合.此项得0分：2） 符合.此项得1分。NET.3互联网出口统一治理组织互联网出口数量与组织内独立部门（单位）总数的比迫。比率值法：九联网出门数1） 比率■独工单.位总数:2） 比率＞2,得0分：3） 1S比率＜2・得0.3分4） 0.5＜比率＜1•得0.7分5） 比率＜0.5・得1分6） 取小数点后2位。独立部门（单位）总数互联网出口数量NET.4互联网出口安全管控组织互联网出口中部署了访咨询操纵设备和入佞检测设备且访咨询操纵粒度达到端口级的比率。比率值法：..如八符儈妥求川II故1） 侍分 ：2） 取小数点后2位。互联网出口数址防护符合耍求出口数虽NET.5无线网络安全应用比率值法：1）得分・应用无线网络倍息系统总数

符介防护妾求系块数同用无线网於条统总数:2）取小数点后2位。符合防护要求的系统数

2.10主机和设备安全防护（HEQ）标识脸査项检査耍素得分判定方法检査记录得分备注HEQ.1补丁更新组织按照补丁治理耍求进行了可更新补丁的更新，符合/不符合判定法：1） 不符合.此项得0分：2） 符合，此项得1分。HEQ.2恶惫代码防护组织按照恶总代码治理耍求进行了恶惫代码检测程序及可更新恶恿代码曲的更新，符合/不符合判定法：1） 不符合.此项得0分：2） 符合，此项得1分。HEQ.3系统加固组织主机和设备中按照等级爱护测评.风险评估.倍息安全检査等发觉的涛询題完成加固的比率。比率值法:.斗八己完或加固的主机和设备故1） 付〃.应切固上机和设备数2） 取小数点后2位.应加固主机和设备数址完成加固主机和设备数址HEQ.4办公终瑞管控组织实施安全管控并统一安装防病毒软件的办公终端数址与办公终端总数的比值，比率值法:IY如八C許拎终瑞散2）取小数点后2位.办公终瑞总数实施管控终端数址HEQ.5主机和设备账号口令组织主机和设备中经检测未发觉存在不符介口令治理制度要求帐号口令的主机和设备比率。比率值法:1） 得分-未发现何題的主机和设务台数总检浏台数 :2） 取小数点后2位.检测主机和设备数址未发觉咨询题的主机和设备数

2.11应用系统和数据安全防护（ADA）标识检査项检查耍素得分判定方法检査记录得分备注ADA.1戚用系统安全功能组织在零级爱护测评.风险评估.倍息安全检査等工作中未发觉应用系统安全功能及配置方面存在咨询题的应用系统比率.比率值法：1） 得分-未发现何題的系统数总检査评估系统数:2） 取小数点后2位。总检査、评估系统数未发觉咨询題的系统数ADA.2面向互联网服务系统安全监控和攻击防备组织面向互联网服务的信息系统中部署倍息监控和攻击防备措施的比率。比率值法：1） 得分-符介耍求的系统数兀联网服务系统数52） 取小数点后2位。面向互联网提供服务系统数符合防护耍求系统数ADA.3面向互联网服务系统周期性测试组织按耍求对面向互联网服务的系统进行周期性安全测试的比率。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得1分。ADA.4戚用系统帐号口令治理组织賊用系统中经检测未发觉存在不符合口令治建制度要求帐巧口令的比率。比率值法：1） 得分-耒检出何题的系统数总检测系统数:2） 取小数点后2位。应用系统检测总饕未检出咨询題的应用系统数ADA.5垂耍数据安全防护组织釆纳加密或其它措施实现系统治理数据、鉴不信息和垂耍业务数据传输和储备的完整性和保密性爱护.符合/不符合判定法：1） 不符合・此项得0分：2） 符介.此项得1分.

2.12物理安全防护(PEN)标识检查项检査耍素得分判定方法检査记录得分备注PEN.1机房安全建设组织按照竽级爱护耍求落实物理安全防护的机房比率。比率值法：得分-符合塑求的机房数纽织机房总数：取小数点后2位。机房总数符介防护耍求机房

2.13信息系统运行安全治理（OPE）标识检查项检査耍素得分判定方法检査记录得分备注OPE.1日常爱护组织按照制定的规章制度.操作规程等执行了口常爱护工作•并有详尽记录。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得I分。OPE.2日志审计组织对网络运行口志、操作系统日志.数据库访咨询日志、业务应用系统运行口志.安全设施运行口志邹进行集中收集.定期分析。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得I分。OPE.3补丁治理组织制定了补丁升级治理制度和补丁升级策略.建立有关键业务系统补丁升级测试环境。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得0.5分。制度及策略符合/不符合判定法：3） 不符合.此项得0分：4） 符合.此项得0.5分测试环境OPE.4介质治理组织设置实施了限制移动介质使用的技术措施.对移动储备介质的发放、注册.使用.存放.销毀有记录。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得I分。OPE.5安全监测组织建立安全监测系统对互联网出口、面向互联网提供服务系统、垂耍倍息系统的运行.病毒木马.办公终端安全防护等情形进行监测。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得I分。

2.14灾难复原（REC）标识检查项检査耍素得分判定方法检査记录得分备注REC.1硬件兀余组织垂耍倍息系统网络设备.通信线路和数抿处理系统硬件冗余。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得I分。REC.2定期备份组织垂耍倍息系统实施本地备份•并制定定期检査策略.备份介质场外存放。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得I分。讲明是系统备份依旧数据备份.是全部备份依旧部分备份REC.3异地容灾中心组织建立异地灾备中心，三级倍息系统实现关键数据定时批址传送至备用场地.四级信息系统实现业务应用实时无缝切换。符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得I分。REC.4复原测试组织按照备份及复原测试耍求定期组织实施复原测试.并有文档记录•符合/不符合判定法：1） 不符合.此项得0分：2） 符合.此项得I分。

2.15应急治理（EME）标识检查项检查耍索得分判定方法检査记录得分备注ENIE.1倍息通报组织建立了网络与信息安全信息通报机制.按耍求向电力监管机构通报网络和信息安全状况，符介/不符合判定法：1＞不符合，此项得0分：2）符合.此项得1分。ENIE.2应急预案制定组织按照电力行业网络与信息安全应急预案•制定了网络与信息安全应急预案。符介/不符合判定法：1＞不符合，此项得0分：2）符合.此项得1分。EME.3垂耍信息系统应急预案制定组织莹耍信息系统中制定了专项应急处置预案的比率。比率值法：1） 得分-有方项处凶预案的系统数至要信息系统总数 ：2） 取小数点后2位。莹耍信息系统总数制定专项案的信息系统数ENIE.4应急演练组织实施了年度应急演练＞并有演练脚本和演练实施文档记录。符介/不符合判定法：1＞不符合，此项得0分：2）符合.此