电力行业网络与信息安全检查方案.doc

电力行业网络与信息安全检查方案 为落实落实《国务院办公厅关于展开重点领域网络与信息安全检查行动的通知》〔国办函〔2021〕102号〕要求，结合电力行业信息安全工作实际，制定电力行业网络与信息安全检查方案。 一、检查依据 1. 《国务院办公厅关于展开重点领域网络与信息安全检查行动的通知》〔国办函〔2021〕102号〕； 2. 《电力行业网络与信息安全监督管理暂行规定》〔电监信息〔2021〕50号〕。 3. 《电力二次系统安全防护规定》〔电监会5号令〕。 二、检查目的 通过展开电力行业网络与信息安全检查，全面掌握重要电力网络与信息系统基本状况，分析面临的安全威胁和风险，评估安全防护水平，查找特别问题和薄弱环节，有针对性地采纳防范对策和改善措施，强化网络与信息系统安全管理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实确保电力网络与信息系统安全，维护电力系统安全稳定运行，确保党的十八大顺利召开。 三、检查范围 各电力企业运行使用的网络和信息系统，重点检查信息安全保护等级为3级及以上的重要网络与信息系统。 四、检查方式 本次检查按照“谁主管谁负责、谁运行谁负责〞的原则，采纳电力企业自查、电监会派出机构对辖区内电力企业自查状况、自查质量进行跟踪检查和电监会组织专门队伍同时进行抽检相结合的方式。 五、检查内容 本次信息安全检查主要分基本状况调查、安全防护状况检查和问题及风险分析三个方面。 〔一〕网络与信息系统基本状况调查。 主要调查系统特征，包括系统停止运行后对主要业务的影响程度，系统遭到攻击破坏后对社会公众的影响程度等；系统构成，包括主要软硬件设备的类型、数量、生产商等；信息技术外包服务，包括服务类型、服务提供商、服务方式、安全保密协议等。各单位要在全面调查的基础上，汇总填写《电力行业信息安全检查状况报告表》〔见附件1〕。 〔二〕安全防护状况检查。 各单位主要从以下15个方面对本单位信息安全防护状况进行重点检查，并在认真检查的基础上，如实填写《电力企业信息安全检查表〔2021版〕》〔见附件2〕。 1. 组织体系建设状况。信息安全组织机构建立状况；第一责任人确立状况；责任落实状况；专职机构及岗位设置状况；安全人员配置状况等。 2. 规章制度建立状况。整体策略及总体规划〔方案〕制定状况；管理制度制定状况及制度体系完整性；操作规程制定状况；制度公布状况等。 3. 资金确保状况。经费预算状况；安全运维经费投入状况；安全建设经费投入状况等。 4. 人员安全管理状况。全员安全培训及保密协议签订状况；专业技能培训状况；岗位人员检察状况；岗位调整安全管控状况等。 5. 服务外包管控状况。外包服务协议签订状况；第三方人员访问管理状况；远程服务管控状况；现场开发管控状况等。 6. 关键信息资产管控状况。资产清单的建立状况；资产管理使命的落实状况；信息系统基础资料归档状况等。 7. 信息系统建设安全管理状况。系统上线安全测评状况；等级保护建设状况；等级保护测评状况；信息安全风险评估展开状况；密码产品采购状况；信息产品采购测试状况；安全产品国产化状况等。 8. 安全分区防御状况。安全分区状况；横向隔离及纵向认证设备布暑状况；跨区连接管控状况；内外网隔离状况等。 9. 网络安全防护状况。生产控制大区安全防护状况；管理信息大区安全防护状况；互联网出口统一管理状况；互联网出口安全管控状况；无线网络安全防护状况等。 10. 主机和设备安全防护状况。补丁更新管理状况；恶意代码防护状况；系统加固状况；办公终端管控状况；主机和设备帐号口令管理状况等。 11. 应用系统和数据安全防护状况。应用系统安全功能及配置状况；对外服务系统信息监控和攻击防御状况；对外服务系统周期测试状况；应用系统账号口令管理状况；重要数据安全保护状况等。