信息安全檢查表格.doc

1、附件1:電力行業(yè)網(wǎng)絡(luò)與信息安全檢查方案電力行業(yè)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組辦公室二0一二年七月為貫徹落實(shí)國(guó)務(wù)院辦公廳關(guān)于開展重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)的通知（國(guó)辦函2012 102 號(hào)）要求，結(jié)合電力行業(yè)信息安全工作實(shí)際，制定電力行業(yè)網(wǎng)絡(luò)與信息安全檢查方案。一、檢查依據(jù)1. 國(guó)務(wù)院辦公廳關(guān)于開展重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)的通知（國(guó)辦函2012 102 號(hào)） ；2. 電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定（電監(jiān)信息2007 50 號(hào)） 。3. 電力二次系統(tǒng)安全防護(hù)規(guī)定（電監(jiān)會(huì)5 號(hào)令） 。二、檢查目的通過開展電力行業(yè)網(wǎng)絡(luò)與信息安全檢查，全面掌握重要電力網(wǎng)絡(luò)與信息系統(tǒng)基本情況，分析面臨的安全威脅

2、和風(fēng)險(xiǎn)，評(píng)估安全防護(hù)水平，查找突出問題和薄弱環(huán)節(jié)，有針對(duì)性地采取防范對(duì)策和改進(jìn)措施，加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全管理、技術(shù)防護(hù)和人才隊(duì)伍建設(shè)，促進(jìn)安全防護(hù)能力和水平提升，預(yù)防和減少重大信息安全事件的發(fā)生，切實(shí)保障電力網(wǎng)絡(luò)與信息系統(tǒng)安全，維護(hù)電力系統(tǒng)安全穩(wěn)定運(yùn)行，保障黨的十八大順利召開。三、檢查范圍各電力企業(yè)運(yùn)行使用的網(wǎng)絡(luò)和信息系統(tǒng)，重點(diǎn)檢查信息安全保護(hù)等級(jí)為3 級(jí)及以上的重要網(wǎng)絡(luò)與信息系統(tǒng)。四、檢查方式本次檢查按照 “誰(shuí)主管誰(shuí)負(fù)責(zé)、 誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，采用電力企業(yè)自查、電監(jiān)會(huì)派出機(jī)構(gòu)對(duì)轄區(qū)內(nèi)電力企業(yè)自查情況、自查質(zhì)量進(jìn)行跟蹤檢查和電監(jiān)會(huì)組織專門隊(duì)伍同時(shí)進(jìn)行抽查相結(jié)合的方式。五、檢查內(nèi)容本次信息安

3、全檢查主要分基本情況調(diào)查、安全防護(hù)情況檢查和問題及風(fēng)險(xiǎn)分析三個(gè)方面。（一）網(wǎng)絡(luò)與信息系統(tǒng)基本情況調(diào)查。主要調(diào)查系統(tǒng)特征，包括系統(tǒng)停止運(yùn)行后對(duì)主要業(yè)務(wù)的影響程度，系統(tǒng)遭到攻擊破壞后對(duì)社會(huì)公眾的影響程度等；系統(tǒng)構(gòu)成，包括主要軟硬件設(shè)備的類型、數(shù)量、生產(chǎn)商等；信息技術(shù)外包服務(wù)，包括服務(wù)類型、服務(wù)提供商、服務(wù)方式、安全保密協(xié)議等。各單位要在全面調(diào)查的基礎(chǔ)上，匯總填寫電力行業(yè)信息安全檢查情況報(bào)告表（見附件1） 。（二）安全防護(hù)情況檢查。各單位主要從以下15 個(gè)方面對(duì)本單位信息安全防護(hù)情況進(jìn)行重點(diǎn)檢查，并在認(rèn)真檢查的基礎(chǔ)上，如實(shí)填寫電力企業(yè)信息安全檢查表（2012 版） （見附件2） 。1. 組織體系建設(shè)

4、情況。信息安全組織機(jī)構(gòu)建立情況；第一責(zé)任人確立情況；責(zé)任落實(shí)情況；專職機(jī)構(gòu)及崗位設(shè)置情況；安全人員配置情況等。2. 規(guī)章制度建立情況。整體策略及總體規(guī)劃（方案）制定情況；管理制度制定情況及制度體系完整性；操作規(guī)程制定情況；制度發(fā)布情況等。3. 資金保障情況。經(jīng)費(fèi)預(yù)算情況；安全運(yùn)維經(jīng)費(fèi)投入情況；安全建設(shè)經(jīng)費(fèi)投入情況等。4. 人員安全管理情況。全員安全培訓(xùn)及保密協(xié)議簽訂情況；專業(yè)技能培訓(xùn)情況；崗位人員審查情況；崗位調(diào)整安全管控情況等。5. 服務(wù)外包管控情況。外包服務(wù)協(xié)議簽訂情況；第三方人員訪問管理情況；遠(yuǎn)程服務(wù)管控情況；現(xiàn)場(chǎng)開發(fā)管控情況等。6. 關(guān)鍵信息資產(chǎn)管控情況。資產(chǎn)清單的建立情況；資產(chǎn)管理職

5、責(zé)的落實(shí)情況；信息系統(tǒng)基礎(chǔ)資料歸檔情況等。7. 信息系統(tǒng)建設(shè)安全管理情況。系統(tǒng)上線安全測(cè)評(píng)情況；等級(jí)保護(hù)建設(shè)情況；等級(jí)保護(hù)測(cè)評(píng)情況；信息安全風(fēng)險(xiǎn)評(píng)估開展情況；密碼產(chǎn)品采購(gòu)情況；信息產(chǎn)品采購(gòu)測(cè)試情況；安全產(chǎn)品國(guó)產(chǎn)化情況等。8. 安全分區(qū)防御情況。安全分區(qū)情況；橫向隔離及縱向認(rèn)證設(shè)備部署情況；跨區(qū)連接管控情況；內(nèi)外網(wǎng)隔離情況等。9. 網(wǎng)絡(luò)安全防護(hù)情況。生產(chǎn)控制大區(qū)安全防護(hù)情況；管理信息大區(qū)安全防護(hù)情況；互聯(lián)網(wǎng)出口統(tǒng)一管理情況；互聯(lián)網(wǎng)出口安全管控情況；無線網(wǎng)絡(luò)安全防護(hù)情況等。10. 主機(jī)和設(shè)備安全防護(hù)情況。補(bǔ)丁更新管理情況；惡意代碼防護(hù)情況；系統(tǒng)加固情況；辦公終端管控情況；主機(jī)和設(shè)備帳號(hào)口令管理情況

6、等。11. 應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)情況。應(yīng)用系統(tǒng)安全功能及配置情況；對(duì)外服務(wù)系統(tǒng)信息監(jiān)控和攻擊防御情況；對(duì)外服務(wù)系統(tǒng)周期測(cè)試情況；應(yīng)用系統(tǒng)賬號(hào)口令管理情況；重要數(shù)據(jù)安全保護(hù)情況等。12. 物理環(huán)境安全防護(hù)情況。機(jī)房安全建設(shè)情況等。13. 信息系統(tǒng)運(yùn)行安全管理情況。日常維護(hù)情況；安全審計(jì)情況；補(bǔ)丁管理情況；介質(zhì)管理情況；安全監(jiān)測(cè)情況等。14. 災(zāi)難恢復(fù)情況。硬件冗余情況；定期備份情況；異地容災(zāi)中心建設(shè)情況；備份介質(zhì)恢復(fù)測(cè)試情況等。15. 應(yīng)急管理情況。網(wǎng)絡(luò)與信息安全信息通報(bào)情況；總體應(yīng)急預(yù)案制定情況；重要信息系統(tǒng)應(yīng)急預(yù)案制定情況；應(yīng)急演練開展情況；應(yīng)急資源配備情況；事故調(diào)查工作情況等。（三）存在

7、的問題和面臨的風(fēng)險(xiǎn)分析。在完成基本情況調(diào)查和安全防護(hù)情況檢查的基礎(chǔ)上，各單位要圍繞著以下三個(gè)方面對(duì)存在的問題和面臨的主要風(fēng)險(xiǎn)進(jìn)行分析。1. 當(dāng)前安全管理和技術(shù)防護(hù)中的主要問題及薄弱環(huán)節(jié)，制定安全防護(hù)能力提高的主要因素（包括法律法規(guī)、政策制度、技術(shù)手段等方面）。2. 統(tǒng)計(jì)國(guó)外產(chǎn)品和服務(wù)在主要軟硬件設(shè)備和信息技術(shù)外包服務(wù)中所占的比例，分析網(wǎng)絡(luò)與信息系統(tǒng)對(duì)國(guó)外產(chǎn)品和服務(wù)的依賴程度。3. 根據(jù)安全檢測(cè)發(fā)現(xiàn)的漏洞和隱患，分析網(wǎng)絡(luò)與信息系統(tǒng)存在的安全風(fēng)險(xiǎn)，判斷面臨的安全威脅程度以及具備的安全防護(hù)能力，評(píng)估網(wǎng)絡(luò)與信息系統(tǒng)總體安全狀況。六、檢查組織1. 電監(jiān)會(huì)統(tǒng)一組織本次信息安全檢查工作，電力行業(yè)網(wǎng)絡(luò)與信息安

8、全領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)信息安全檢查的日常工作。電監(jiān)會(huì)各派出機(jī)構(gòu)根據(jù)電監(jiān)會(huì)的統(tǒng)一部署，負(fù)責(zé)轄區(qū)內(nèi)電力企業(yè)信息安全自查督導(dǎo)和監(jiān)督檢查工作。2. 各電力（集團(tuán)）公司負(fù)責(zé)組織開展本單位及其下屬單位的信息安全檢查工作。七、進(jìn)度安排1.7月16日7月20日，動(dòng)員部署階段印發(fā)關(guān)于開展電力行業(yè)網(wǎng)絡(luò)與信息安全檢查行動(dòng)的通知和電力行業(yè)網(wǎng)絡(luò)與信息安全檢查方案，召開會(huì)議進(jìn)行動(dòng)員部署。2. 7月21日8月31日，實(shí)施階段8 月 22 日前，各單位完成本單位的信息安全自查工作，編寫自查報(bào)告，制定整改方案。9 月 31 日前，完成整改工作。電力（集團(tuán)）公司應(yīng)匯總填寫本系統(tǒng)電力行業(yè)信息安全檢查情況報(bào)告表和電力企業(yè)信息安全檢查項(xiàng)

9、目表（ 2012 版） ， 并和自查整改情況報(bào)告一起報(bào)送電監(jiān)會(huì)。對(duì)于無法及時(shí)完成整改的隱患項(xiàng)目，有關(guān)電力企業(yè)要說明原因，制定臨時(shí)應(yīng)急措施，并將情況說明按時(shí)報(bào)電監(jiān)會(huì)。檢查期間，電監(jiān)會(huì)將組織若干專業(yè)小組對(duì)各單位進(jìn)行抽查。抽查有關(guān)事項(xiàng)，電監(jiān)會(huì)將于行前通知。3. 9月1日9月15日，總結(jié)階段電監(jiān)會(huì)對(duì)檢查工作情況進(jìn)行匯總和全面總結(jié)，形成電力企業(yè)信息安全檢查報(bào)告并報(bào)國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室。八、工作要求1. 各單位要高度重視，加強(qiáng)組織領(lǐng)導(dǎo)，制定檢查方案，明確檢查任務(wù)，落實(shí)檢查責(zé)任，及時(shí)整改檢查中發(fā)現(xiàn)的問題，并將檢查整改情況按時(shí)報(bào)電監(jiān)會(huì)。2. 各單位要精心部署，周密安排，認(rèn)真組織。對(duì)于發(fā)現(xiàn)的問題，要

10、找出原因，并舉一反三，持續(xù)改進(jìn)。各單位要建立檢查整改跟蹤督辦機(jī)制，力求使安全隱患都得到整改和妥善處置。3. 安全檢查工作對(duì)象是各單位的重要系統(tǒng)、重要數(shù)據(jù)和敏感信息等資產(chǎn)，需要高度重視檢查工作存在的風(fēng)險(xiǎn)，制定周密的應(yīng)急防范措施，避免發(fā)生影響系統(tǒng)正常運(yùn)行和敏感信息泄漏的事件。4. 各單位要高度重視信息安全保密工作，加強(qiáng)信息安全保密措施，檢查結(jié)果除按規(guī)定報(bào)送外，不得向其他單位和個(gè)人透露。所有檢查往來文件一律加密。5. 電監(jiān)會(huì)抽查小組成員和派出機(jī)構(gòu)督查小組成員要嚴(yán)格遵守黨風(fēng)廉政紀(jì)律，嚴(yán)格執(zhí)行保密工作規(guī)定，不得隨意泄露抽查組行程。附件 : 1. 電力行業(yè)信息安全檢查情況報(bào)告表2. 電力企業(yè)信息安全檢查項(xiàng)

11、目表（2012 版） 附1:電力行業(yè)信息安全檢查情況報(bào)告表單位名稱：一、重要信息系統(tǒng)安全檢查情況基本 情況重要信息系統(tǒng)總數(shù)9（請(qǐng)另附系統(tǒng)清單，下向）（按實(shí)時(shí)性進(jìn)行統(tǒng)計(jì)）1 .非實(shí)時(shí)運(yùn)行的系統(tǒng)數(shù)量2 .實(shí)時(shí)運(yùn)行的系統(tǒng)數(shù)量（按服務(wù)對(duì)象進(jìn)行統(tǒng)計(jì)）1 .面向社會(huì)公眾提供服務(wù)的系統(tǒng)數(shù)量2 . /、面向社會(huì)公眾提供服務(wù)的系統(tǒng)數(shù)量（按聯(lián)網(wǎng)情況進(jìn)行統(tǒng)計(jì)）1 .直接連接互聯(lián)網(wǎng)的系統(tǒng)數(shù)量 2 .同互聯(lián)網(wǎng)強(qiáng)邏輯隔離的系統(tǒng)數(shù)量 3 .與互聯(lián)網(wǎng)物理隔離的系統(tǒng)數(shù)量 （按數(shù)據(jù)集中情況進(jìn)行統(tǒng)計(jì)）1 .全國(guó)數(shù)據(jù)集中的系統(tǒng)數(shù)量2 .省級(jí)數(shù)據(jù)集中的系統(tǒng)數(shù)量 3 .未進(jìn)行數(shù)據(jù)集中的系統(tǒng)數(shù)量 （按災(zāi)備情況進(jìn)行統(tǒng)計(jì)）1 .進(jìn)行系統(tǒng)級(jí)災(zāi)備

12、的系統(tǒng)數(shù)量 2 .僅對(duì)數(shù)據(jù)進(jìn)行災(zāi)備的系統(tǒng)數(shù)量 3 .無災(zāi)備的系統(tǒng)數(shù)量 系統(tǒng) 構(gòu)成 情況主要 硬件 和軟 件服務(wù) 器路由 器交換 機(jī)防火 墻磁盤 陣列磁帶 庫(kù)操作 系統(tǒng)數(shù)據(jù) 庫(kù)國(guó)內(nèi)品牌數(shù)量（臺(tái)/套）國(guó)外品牌數(shù)量（臺(tái)/套）業(yè)務(wù)應(yīng)用 軟件系統(tǒng)1 .自主設(shè)計(jì)開發(fā)（不含二次開發(fā)）的數(shù)量 2 . 委托國(guó)內(nèi)1商開發(fā)的數(shù)量 委托國(guó)外1商開發(fā)的數(shù)量 3 .直接米購(gòu)國(guó)內(nèi)廠商產(chǎn)品的數(shù)量 直接米購(gòu)國(guó)外廠商產(chǎn)品的數(shù)量 信息 年 外包 服務(wù)服務(wù)商名稱：1.服務(wù)商性2.服務(wù)內(nèi)容3.服務(wù)方W:質(zhì)：口國(guó)有 民營(yíng)口外資二.二:遠(yuǎn)程在線服務(wù)口現(xiàn)場(chǎng)服務(wù)（如有更多，請(qǐng)另列表）信息系統(tǒng)對(duì)國(guó)主要業(yè)務(wù)信息系統(tǒng)信息系統(tǒng)狀況 分析 結(jié)果外產(chǎn)品和

13、服務(wù) 的依賴程度對(duì)信息系統(tǒng)的 依賴程度面臨的安全威 脅程度安全防護(hù)能力信息系統(tǒng)名稱高中低高中低高中低高中低1.2.（如有可且多，請(qǐng)另列表）、重要工業(yè)控制系統(tǒng)安全檢查情況基本情況重要，業(yè)控制系統(tǒng)運(yùn)營(yíng)單位總數(shù)：家:重要工業(yè)控制系統(tǒng)總數(shù)：套系統(tǒng)類型情況國(guó)內(nèi)品牌國(guó)外品牌數(shù)據(jù)米集與監(jiān)控（SCADA ）系統(tǒng)套套:分布式控制系統(tǒng)（DCS）套套過程控制系統(tǒng)（PCS）套套可編程控制器（PLC）臺(tái)臺(tái)中型臺(tái)臺(tái)小型臺(tái)臺(tái)就地測(cè)控設(shè)備儀表臺(tái)臺(tái)智能電子設(shè)備（IED）臺(tái)臺(tái)遠(yuǎn)端設(shè)備（RTU）臺(tái)臺(tái)系統(tǒng)構(gòu)成情況應(yīng)用服務(wù)器- 工程師工作站r應(yīng)用軟件套套系統(tǒng)軟件套套PC機(jī)/服務(wù)器臺(tái)臺(tái)數(shù)據(jù)庫(kù)服務(wù)器r數(shù)據(jù)庫(kù)軟件套套r系統(tǒng)軟件套套PC機(jī)/服

14、務(wù)器臺(tái)臺(tái)通信設(shè)備臺(tái)臺(tái)工業(yè)控制網(wǎng)絡(luò) 連接情況1 .直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量：套2 .與內(nèi)部網(wǎng)絡(luò)連接的重要，業(yè)控制系統(tǒng)數(shù)量：套3 .含有無線接入方式的重要工業(yè)控制系統(tǒng)數(shù)量：套運(yùn)行維護(hù)情況1 .米用遠(yuǎn)程方式運(yùn)行維護(hù)的重要工業(yè)控制系統(tǒng)數(shù)量：套2 .由國(guó)內(nèi)廠商提供運(yùn)行維護(hù)服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量：套3 .由國(guó)外廠商提供運(yùn)行維護(hù)服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量：套信息安全 防護(hù)情況1 .網(wǎng)絡(luò)邊界架設(shè)網(wǎng)絡(luò)安全設(shè)備的重要，業(yè)控制系統(tǒng)數(shù)量：套2 .安裝防病毒軟件或設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量：套3 .定期進(jìn)行安全更新的重要工業(yè)控制系統(tǒng)數(shù)量：套4 .采取加密措施傳輸、存儲(chǔ)敏感數(shù)據(jù)的重要，業(yè)控制系統(tǒng)數(shù)量：一

15、套附2:電力企業(yè)信息安全檢查項(xiàng)目表（2012 版）D電力行業(yè)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組辦公室二o一二年七月1 檢查工作基本信息- 1 -2 檢查項(xiàng)及檢查記錄- 2 -2.1 組織體系（ORG） -2-2.2 規(guī)章制度（REG） -4-2.3 資金保障（FUN） -5-2.4 人員安全管理（PER） - 6 -2.5 服務(wù)外包管控（OSE） - 7 -2.6 關(guān)鍵信息資產(chǎn)管控（ASS） - 8 -2.7 信息系統(tǒng)建設(shè)安全管理（CON） 92.8 安全分區(qū)防御（SDD） 112.9 網(wǎng)絡(luò)安全防護(hù)（NET） 122.10 主機(jī)和設(shè)備安全防護(hù)（HEQ） 132.11 應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)（ADA） 14

16、2.12 物理安全防護(hù)（PEN） 152.13 信息系統(tǒng)運(yùn)行安全管理（OPE） 162.14 災(zāi)難恢復(fù)（REC） 172.15 應(yīng)急管理（EME） 183 檢查結(jié)果綜合統(tǒng)計(jì)方法203.1 檢查項(xiàng)權(quán)重203.2 計(jì)算方法221檢查工作基本信息受檢單位 基本信息單位名稱上級(jí)單位名稱下級(jí)單位總數(shù)單位:類型電網(wǎng)企業(yè) 口 發(fā)電企業(yè) V 電力科研企業(yè) 口 電力設(shè)計(jì)她，企業(yè) 口 其他類型企業(yè) 口檢查方式本單位自查V上級(jí)單位督查口電監(jiān)會(huì)抽查口檢查時(shí)間檢查范圍檢查組基本信息檢查組織單位檢查組組長(zhǎng)檢查組成員2檢查項(xiàng)及檢查記錄2.1 組織體系（ORG）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注ORG.1組織機(jī)構(gòu)

17、 建立組織建立了由決策層、 管理層、執(zhí)行 層組成的完整信息安全組織機(jī)構(gòu)。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得0.4分。決策層符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)得0.3分。管理層符合/不符合判斷法：5）不符合，此項(xiàng)得0分；6）符合，此項(xiàng)得0.3分。執(zhí)行層ORG.2桁中任 人確立組織主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)與信 息安全的第一責(zé)任人， 對(duì)本單位的網(wǎng) 絡(luò)與信息安全負(fù)全面責(zé)任。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。第f任人ORG.3責(zé)任落實(shí)組織機(jī)構(gòu)職責(zé)涵蓋信息安全工作的 主要方面，職責(zé)明確到責(zé)任部門、責(zé) 任人員，并以正式文件形式發(fā)

18、布。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。ORG.4專職機(jī)構(gòu) 及崗位設(shè) 置組織信息安全機(jī)構(gòu)及崗位設(shè)置符合如卜要求：1）電力企業(yè)集團(tuán)公司總部設(shè)置信息安全專職機(jī)構(gòu)；2）電力企業(yè)集團(tuán)公司二級(jí)單位設(shè)置信息安 全官理和技術(shù)岡位；3）電力企業(yè)基 層單位設(shè)置信息安全崗位。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。機(jī)構(gòu)依據(jù)企業(yè)層 級(jí)選擇其中 之一填寫。管理和技術(shù) 崗位信息安全崗 位ORG.5安全人員 配置組織專職信息安全工作人員數(shù)量與 組織總信息安全崗位數(shù)量的比值。比率值法：1）得分=專職人員數(shù)量 信息安全崗位總數(shù)2）取小數(shù)點(diǎn)后2位。信息安全崗 位總數(shù)專職人

19、員數(shù) 量2.2 規(guī)章制度（REG）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注REG.1整體策略 及總體規(guī) 劃（方案） 制定組織制定了信息安全工作的整體策 略和總體規(guī)劃（方案），說明信息安 全工作的總體目標(biāo)、范圍、防護(hù)框架 和防護(hù)措施。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得0.5分。整體策略符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)得0.5分?？傮w規(guī)劃（方 案）REG.2規(guī)章制度 及體系完 整性組織對(duì)信息安全工作制定了基本安 全管理制度，并以此為基礎(chǔ)形成了涵 蓋人員管理、資產(chǎn)管理、存儲(chǔ)介質(zhì)管 理、信息系統(tǒng)建設(shè)安全管理、運(yùn)行維 護(hù)管理、外包服務(wù)管理、培訓(xùn)教

20、育等 力卸的制度體系。選項(xiàng)法：1）無制度，此項(xiàng)得0分；2）制定了基本制度，此 項(xiàng)得0.5分；3）形成制度體系，此項(xiàng) 得1分。基本制度制度體系REG.3操作規(guī)程 制定組織對(duì)要求信息安全運(yùn)行維護(hù)人員 執(zhí)行的日常管理操作制定了運(yùn)維流 程和操作規(guī)程。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得0.5分。運(yùn)維流程符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)得0.5分。操作規(guī)程REG.4制度發(fā)布組織信息安全管理制度通過正式、有 效的方式發(fā)布。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得0.5分。發(fā)布制度符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)

21、得0.5分。主要文件符 合發(fā)布制度 要求2.3 資金保障（FUN）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注FUN.1經(jīng)費(fèi)預(yù)算組織信息安全建設(shè)及運(yùn)行維護(hù)經(jīng)費(fèi) 被列入預(yù)算。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。FUN.2安全建設(shè) 經(jīng)費(fèi)投入組織用于信息安全建設(shè)（安全軟硬件 購(gòu)置、系統(tǒng)安全功能開發(fā)、安全測(cè)試、 安全咨詢、安全培訓(xùn)、安全專項(xiàng)研究 等）的經(jīng)費(fèi)占年度信息化建設(shè)總投入 的比率。（取當(dāng)年值或近兩年平均值）選項(xiàng)法：安全建設(shè)費(fèi)1）比率=總建設(shè)經(jīng)費(fèi)2）比率 0.05 ,此項(xiàng)得 0分；3） 0.05 比率 0.1, 此項(xiàng)得0.3分；4） 0.1 比率 0.15, 此項(xiàng)得

22、0.7分；5）比率 0.15,此項(xiàng)得 1分。信息化建設(shè)總 經(jīng)費(fèi)信息安全建設(shè) 經(jīng)費(fèi)FUN.3安全運(yùn)維 經(jīng)費(fèi)投入組織用于信息安全運(yùn)行維護(hù)（監(jiān)督檢 查、日常安全運(yùn)維、監(jiān)測(cè)分析、應(yīng)急 演練及應(yīng)急保障、測(cè)試評(píng)估等）的經(jīng) 費(fèi)占整個(gè)信息系統(tǒng)運(yùn)行維護(hù)總投入 的比率。（取當(dāng)年值或近兩年平均值）選項(xiàng)法：安全運(yùn)維費(fèi)1）比率=總運(yùn)維經(jīng)費(fèi)2）比率 0.05 ,此項(xiàng)得 0分；3） 0.05 比率 0.1, 此項(xiàng)得0.3分；4） 0.1 比率 0.15, 此項(xiàng)得0.7分；5）比率 0.15,此項(xiàng)得 1分。信息系統(tǒng)運(yùn)行 維護(hù)總經(jīng)費(fèi)信息安全運(yùn)行 維護(hù)經(jīng)費(fèi)2.4 人員安全管理（PER）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備

23、注PER.1全員安全 培訓(xùn)及保 密協(xié)議簽 訂組織全體員工中參加年度信息安 全培訓(xùn)并簽署保密協(xié)議的比率。比率值法：1）得分=年度培訓(xùn)人數(shù)p議簽署人數(shù).22）取小數(shù)點(diǎn)后2位。員工總數(shù)參加年度培訓(xùn) 人員數(shù)簽署保密協(xié)議 人員數(shù)PER.2專業(yè)技能 培訓(xùn)組織信息安全工作人員中獲得國(guó) 家、行業(yè)信息安全專業(yè)培訓(xùn)證書的 比率。比率值法：獲得證書的人數(shù)1）得分=信息安全人員總數(shù)；2）取小數(shù)點(diǎn)后2位。信息安全工作 人員總數(shù)獲得信息安全 培訓(xùn)證書的人 員數(shù)PER.3人員審查組織對(duì)信息安全崗位人員和其他 敏感崗位人員實(shí)施身份、 背景和資 質(zhì)審查。符合/不符合判斷法：1）不符合，此項(xiàng)得。分；2）符合，此項(xiàng)得1分。PER.

24、4崗位調(diào)整 管控組織在信息安全崗位人員及其他 敏感崗位人員離崗時(shí)執(zhí)行權(quán)限回 收和離崗承諾書簽署。符合/不符合判斷法：1）不符合，此項(xiàng)得。分；2）符合，此項(xiàng)得1分。2.5 服務(wù)外包管控（OSE）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注OSE.1外包服務(wù) 協(xié)議組織與合約方簽訂的外包服務(wù)協(xié)議 中具有信息安全管控和保密條款。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得0.5分。管控條款符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)得0.5分。保密條款OSE.2第三方人 員訪問管 理組織對(duì)第三方人員訪問機(jī)房等受控 區(qū)域采取了書面審批、人員陪同、進(jìn) 出記錄等管控措施。符合

25、/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得0.3分。受控區(qū)域符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)得0.3分。審批情況符合/不符合判斷法：5）不符合，此項(xiàng)得0分；6）符合，此項(xiàng)得0.3分。陪同和記錄 情況OSE.3遠(yuǎn)程服務(wù) 管控組織針對(duì)遠(yuǎn)程訪問采取了書面審批、 訪問控制、在線監(jiān)測(cè)、日志審計(jì)等管 控措施。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得0.5分。審批情況符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)得0.5分。管控措施OSE.4現(xiàn)場(chǎng)開發(fā) 管控組織采取技術(shù)措施保證開發(fā)測(cè)試環(huán) 境與實(shí)際生產(chǎn)運(yùn)行環(huán)境物理分離，并 限定開發(fā)人員的活

26、動(dòng)范圍和行為。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得0.5分。環(huán)境分離措 施符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)得0.5分。范圍和行為 限定措施2.6 關(guān)鍵信息資產(chǎn)管控（ASS）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注ASS.1資產(chǎn)清單組織識(shí)別所有信息資產(chǎn)并有資產(chǎn)清 單。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。ASS.2資產(chǎn)管理 職責(zé)組織對(duì)每項(xiàng)資產(chǎn)明確管理責(zé)任人及 其職責(zé)。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。ASS.3信息系統(tǒng) 基礎(chǔ)資料 歸檔組織對(duì)源代碼、設(shè)計(jì)方案、建設(shè)實(shí)施 方案等基礎(chǔ)資料

27、進(jìn)行歸檔的系統(tǒng)數(shù) 量與信息系統(tǒng)總數(shù)的比值。比率值法：已歸檔系統(tǒng)數(shù)1）得分=系統(tǒng)總數(shù)；2）取小數(shù)點(diǎn)后2位。信息系統(tǒng)總 數(shù)已歸檔系統(tǒng) 數(shù)量2.7 信息系統(tǒng)建設(shè)安全管理（CON）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注CON.1上線安全 測(cè)評(píng)組織信息系統(tǒng)在上線前通過安全 測(cè)評(píng)的比率。比率值法：1）得分=通過上線測(cè)評(píng)系統(tǒng)數(shù)已投運(yùn)系統(tǒng)總數(shù)；2）取小數(shù)點(diǎn)后2位。已投運(yùn)信息 系統(tǒng)通過安全測(cè) 評(píng)系統(tǒng)CON.2等級(jí)保護(hù) 建設(shè)組織信息系統(tǒng)中按要求開展等級(jí) 保護(hù)建設(shè)的比率。比率值法：1）得分=已開展等保建設(shè)的系統(tǒng) 數(shù)系統(tǒng)總數(shù)；2）取小數(shù)點(diǎn)后2位。需開展建設(shè) 系統(tǒng)已開展建設(shè) 系統(tǒng)CON.3等級(jí)保護(hù) 測(cè)評(píng)組織信息

28、系統(tǒng)中按要求開展等級(jí) 保護(hù)測(cè)評(píng)的比率。比率值法：1）得分=已開展等保測(cè)評(píng)的系統(tǒng)數(shù)系統(tǒng)總數(shù)；2）取小數(shù)點(diǎn)后2位。需測(cè)評(píng)信息 系統(tǒng)已開展測(cè)評(píng) 信息系統(tǒng)CON.4風(fēng)險(xiǎn)評(píng)估組織信息系統(tǒng)中按要求開展信息 安全風(fēng)險(xiǎn)評(píng)估的比率。比率值法：1）得分=已開展風(fēng)險(xiǎn)評(píng)估的系統(tǒng)數(shù)系統(tǒng)總數(shù)；2）取小數(shù)點(diǎn)后2位。需評(píng)估信息 系統(tǒng)開展評(píng)估信 息系統(tǒng)CON.5密碼產(chǎn)品 采購(gòu)組織密他產(chǎn)品的采購(gòu)和使用符合 國(guó)家密碼主管部門的要求。符合/不符合判斷法：1）不符合，此項(xiàng)得。分；2）符合，此項(xiàng)得1分。CON.6產(chǎn)品采購(gòu) 測(cè)試組織對(duì)信息安全產(chǎn)品、系統(tǒng)基礎(chǔ) 軟硬件、系統(tǒng)應(yīng)用軟件、工業(yè)控 制裝置等在采購(gòu)前實(shí)施安全性測(cè) 試。符合/不符合判斷法

29、：1）不符合，此項(xiàng)得。分；2）符合，此項(xiàng)得1分。CON.7安全產(chǎn)品 國(guó)產(chǎn)化情 況組織信息安全產(chǎn)品國(guó)產(chǎn)化率。比率值法：1）得分=國(guó)產(chǎn)信息安全產(chǎn)品數(shù) 信息安全產(chǎn)品總數(shù)；2）取小數(shù)點(diǎn)后2位。信息安全產(chǎn) 品總數(shù)國(guó)產(chǎn)產(chǎn)品數(shù) 量2.8 安全分區(qū)防御（SDD）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注SDD.1安全分區(qū)按照電力二次系統(tǒng)安全防護(hù)規(guī)定 要求，劃分了生產(chǎn)控制大區(qū)和管理信 息大區(qū)，生產(chǎn)控制大區(qū)內(nèi)的控制區(qū)和 非控制區(qū)邏輯隔離。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。生產(chǎn)大區(qū)內(nèi)部分 2個(gè)區(qū)，信息管理大區(qū) 內(nèi)部分1個(gè)區(qū)。SDD.2橫向隔離 及縱向認(rèn) 證按照電力二次系統(tǒng)安全防護(hù)

30、規(guī)定 要求，在生產(chǎn)控制大區(qū)與其他區(qū)域有 信息交換時(shí)，部署橫向隔離裝置，在 調(diào)度數(shù)據(jù)網(wǎng)上下級(jí)網(wǎng)絡(luò)接口部署縱 向加密裝置。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。生產(chǎn)大區(qū)內(nèi)部1、2區(qū)之間。廠級(jí)和網(wǎng) 調(diào)之間未加密。SDD.3跨區(qū)連接 管控組織不存在未通過橫向隔離裝置跨 區(qū)網(wǎng)絡(luò)直接連接的情況。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。SDD.4內(nèi)外網(wǎng)隔 離組織應(yīng)用獨(dú)立的網(wǎng)絡(luò)及終端處理敏 感信息且未與互聯(lián)網(wǎng)連接。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。2.9 網(wǎng)絡(luò)安全防護(hù)（NET）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注N

31、ET.1生產(chǎn)控制 大區(qū)防護(hù)組織在生產(chǎn)控制大區(qū)內(nèi)部實(shí)施了網(wǎng) 絡(luò)設(shè)備安全防護(hù)、 ARP防范、非授 權(quán)網(wǎng)絡(luò)接入管控等技術(shù)措施。符合/不符合判斷法：1）不符合，此項(xiàng)得。分；2）符合，此項(xiàng)得1分。NET.2管理信息 大區(qū)防護(hù)組織在管理信息大區(qū)內(nèi)部實(shí)施了網(wǎng) 絡(luò)設(shè)備安全防護(hù)、 ARP防范、非授 權(quán)網(wǎng)絡(luò)接入管控等技術(shù)措施。符合/不符合判斷法：1）不符合，此項(xiàng)得。分；2）符合，此項(xiàng)得1分。NET.3互聯(lián)網(wǎng)出 口統(tǒng)一管 理組織互聯(lián)網(wǎng)出口數(shù)量與組織內(nèi)獨(dú)立 部門（單位）總數(shù)的比值。比率值法：互聯(lián)網(wǎng)出口數(shù)1）比率=獨(dú)立單位總數(shù)；2）比率 2,得。分；3） 1比率 2 ,得0.3分4） 0.5 比率 1,得 0.7分5）

32、比率 0.5，得1分6）取小數(shù)點(diǎn)后2位。獨(dú)立部門（單位）總 數(shù)互聯(lián)網(wǎng)出口 數(shù)量NET.4互聯(lián)網(wǎng)出 口安全管 控組織互聯(lián)網(wǎng)出口中部署了訪問控制 設(shè)備和入侵檢測(cè)設(shè)備且訪問控制粒 度達(dá)到端口級(jí)的比率。比率值法：符合要求出口數(shù)1）得分二總出口數(shù)；2）取小數(shù)點(diǎn)后2位?；ヂ?lián)網(wǎng)出口 數(shù)量防護(hù)符合要 求出口數(shù)量NET.5無線網(wǎng)絡(luò) 安全應(yīng)用組織應(yīng)用無線網(wǎng)絡(luò)承載業(yè)務(wù)的信息 系統(tǒng)中采取認(rèn)證、完整性保護(hù)、機(jī) 密性保護(hù)等必要安全防護(hù)措施的比 率。比率值法：1）得分=符合防護(hù)要求系統(tǒng)數(shù)應(yīng)用無線網(wǎng)絡(luò)系統(tǒng)總數(shù) ；2）取小數(shù)點(diǎn)后2位。應(yīng)用無線網(wǎng) 絡(luò)信息系統(tǒng) 總數(shù)符合防護(hù)要 求的系統(tǒng)數(shù)2.10 主機(jī)和設(shè)備安全防護(hù)（HEQ）標(biāo)識(shí)檢

33、查項(xiàng)檢查要素得分判定方法檢查記錄得分備注HEQ.1補(bǔ)更新組織按照補(bǔ)丁管理要求進(jìn)行了可 更新補(bǔ)的更新。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。HEQ.2惡意代碼 防護(hù)組織按照惡意代碼管理要求進(jìn)行 了惡意代碼檢測(cè)程序及可更新惡 意代碼庫(kù)的更新。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。HEQ.3系統(tǒng)加固組織主機(jī)和設(shè)備中按照等級(jí)保護(hù) 測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、信息安全檢查 等發(fā)現(xiàn)的問題完成加固的比率。比率值法：已完成加固的主機(jī)和設(shè)備數(shù)1）得分=應(yīng)加固主機(jī)和設(shè)備數(shù)2）取小數(shù)點(diǎn)后2位。應(yīng)加固主機(jī)和 設(shè)備數(shù)量完成加固主機(jī) 和設(shè)備數(shù)量HEQ.4辦公終端 管控組織實(shí)施安

34、全管控并統(tǒng)一安裝防 病毒軟件的辦公終端數(shù)量與辦公 終端總數(shù)的比值。比率值法：已管控終端數(shù)1）得分=總終端數(shù)，2）取小數(shù)點(diǎn)后2位。辦公終端總數(shù)實(shí)施管控終端 數(shù)量HEQ.5主機(jī)和設(shè) 備賬號(hào)口 令組織主機(jī)和設(shè)備中經(jīng)檢測(cè)未發(fā)現(xiàn) 存在不符合口令臂埋制度要求帳 號(hào)口令的主機(jī)和設(shè)備比率。比率值法：1）得分=未發(fā)現(xiàn)問題的主機(jī)和設(shè)備臺(tái)數(shù)總檢測(cè)臺(tái)數(shù)；2）取小數(shù)點(diǎn)后2位。檢測(cè)主機(jī)和設(shè) 備數(shù)量未發(fā)現(xiàn)問題的 主機(jī)和設(shè)備數(shù)2.11 應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)（ADA ）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注ADA.1應(yīng)用系統(tǒng) 安全功能 及配置組織在等級(jí)保護(hù)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、 信息安全檢查等工作中未發(fā)現(xiàn)應(yīng)用 系統(tǒng)安至功能

35、及配直方卸存在問題 的應(yīng)用系統(tǒng)比率。比率值法：1）得分=未發(fā)現(xiàn)問題的系統(tǒng)數(shù)總檢查評(píng)估系統(tǒng)數(shù)；2）取小數(shù)點(diǎn)后2位?？倷z查、評(píng)估 系統(tǒng)數(shù)未發(fā)現(xiàn)問題的 系統(tǒng)數(shù)ADA.2面向互聯(lián) 網(wǎng)服務(wù)系 統(tǒng)安全監(jiān) 控和攻擊 防御組織面向互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)中 部署信息監(jiān)控和攻擊防御措施的比 率。比率值法：1）得分=符合要求的系統(tǒng)數(shù)互聯(lián)網(wǎng)服務(wù)系統(tǒng)數(shù)；2）取小數(shù)點(diǎn)后2位。面向互聯(lián)網(wǎng)提 供服務(wù)系統(tǒng)數(shù)符合防護(hù)要求 系統(tǒng)數(shù)ADA.3面向互聯(lián) 網(wǎng)服務(wù)系 統(tǒng)周期性 測(cè)試組織按要求對(duì)面向互聯(lián)網(wǎng)服務(wù)的系 統(tǒng)進(jìn)行周期性安全測(cè)試的比率。符合/不符合判斷法：1）不符合，此項(xiàng)得。分；2）符合，此項(xiàng)得1分。ADA.4應(yīng)用系統(tǒng) 帳號(hào)口令 管理組

36、織應(yīng)用系統(tǒng)中經(jīng)檢測(cè)未發(fā)現(xiàn)存在 不符合口令管理制度要求帳號(hào)口令 的比率。比率值法：1）得分=未檢出問題的系統(tǒng)數(shù)總檢測(cè)系統(tǒng)數(shù)；2）取小數(shù)點(diǎn)后2位。應(yīng)用系統(tǒng)檢測(cè) 總數(shù)未檢出問題的 應(yīng)用系統(tǒng)數(shù)ADA.5重要數(shù)據(jù) 安全防護(hù)組織米用加密或其它措施實(shí)現(xiàn)系統(tǒng) 管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù) 據(jù)傳輸和存儲(chǔ)的完整性和保密性保 護(hù)。符合/不符合判斷法：1）不符合，此項(xiàng)得。分；2）符合，此項(xiàng)得1分。2.12 物理安全防護(hù)（PEN）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注PEN.1機(jī)房安全組織按照等級(jí)保護(hù)要求落實(shí)物理安比率值法：1）得分=符合要求的機(jī)房數(shù)組織機(jī)房總數(shù)；2）取小數(shù)點(diǎn)后2位。機(jī)房總數(shù)建設(shè)全防護(hù)的機(jī)房比

37、率。符合防護(hù)要 求機(jī)房2.13 信息系統(tǒng)運(yùn)行安全管理（OPE）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注OPE.1日常維護(hù)組織按照制定的規(guī)章制度、操作規(guī)程 等執(zhí)行了日常維護(hù)工作， 并有詳盡記 錄。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。OPE.2日志中U組織對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng) 運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行 集中收集、定期分析。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。OPE.3補(bǔ)丁管理組織制定了補(bǔ)丁升級(jí)管理制度和補(bǔ) 丁升級(jí)策略，建立有關(guān)鍵業(yè)務(wù)系統(tǒng)補(bǔ) 丁升級(jí)測(cè)試環(huán)境。符合/不符合判斷法：1）不符合，

38、此項(xiàng)得0分；2）符合，此項(xiàng)得0.5分。制度及策略符合/不符合判斷法：3）不符合，此項(xiàng)得0分；4）符合，此項(xiàng)得0.5分測(cè)試環(huán)境OPE.4介質(zhì)管理組織設(shè)置實(shí)施了限制移動(dòng)介質(zhì)使用 的技術(shù)措施，對(duì)移動(dòng)存儲(chǔ)介質(zhì)的發(fā) 放、注冊(cè)、使用、存放、銷毀有記錄。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。OPE.5安全監(jiān)測(cè)組織建立安全監(jiān)測(cè)系統(tǒng)對(duì)互聯(lián)網(wǎng)出口、面向互聯(lián)網(wǎng)提供服務(wù)系統(tǒng)、重要 信息系統(tǒng)的運(yùn)行、病毒木馬、辦公終 端安全防護(hù)等情況進(jìn)行監(jiān)測(cè)。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。2.14 災(zāi)難恢復(fù)（REC）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注REC.1硬

39、件冗余組織重要信息系統(tǒng)網(wǎng)絡(luò)設(shè)備、通信線 路和數(shù)據(jù)處理系統(tǒng)硬件冗余。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。REC.2定期備份組織重要信息系統(tǒng)實(shí)施本地備份，并 制定定期檢查策略，備份介質(zhì)場(chǎng)外存 放。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。說明是系統(tǒng)備 份還是數(shù)據(jù)備 份，是全部備 份還是部分備 份REC.3異地容災(zāi) 中心組織建立異地災(zāi)備中心，三級(jí)信息系 統(tǒng)實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備 用場(chǎng)地，四級(jí)信息系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)應(yīng)用 實(shí)時(shí)無縫切換。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。REC.4恢復(fù)測(cè)試組織按照備份及恢復(fù)測(cè)試要求，定期

40、 組織實(shí)施恢復(fù)測(cè)試，并有文檔記錄。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。2.15 應(yīng)急管理（EME）標(biāo)識(shí)檢查項(xiàng)檢查要素得分判定方法檢查記錄得分備注EME.1信息通報(bào)組織建立了網(wǎng)絡(luò)與信息安全信息 通報(bào)機(jī)制，按要求向電力監(jiān)管機(jī)構(gòu) 通報(bào)網(wǎng)絡(luò)和信息安全狀況。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。EME.2應(yīng)急預(yù)案 制定組織按照電力行業(yè)網(wǎng)絡(luò)與信息安 全應(yīng)急預(yù)案，制定了網(wǎng)絡(luò)與信息安 全應(yīng)急預(yù)案。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此項(xiàng)得1分。EME.3重要信息 系統(tǒng)應(yīng)急 頂殺制7E組織重要信息系統(tǒng)中制定了專項(xiàng) 應(yīng)急處置預(yù)案的比率。比率值法：1）得分=有專項(xiàng)處置預(yù)案的系統(tǒng) 數(shù)重要信息系統(tǒng)總數(shù)；2）取小數(shù)點(diǎn)后2位。重要信息系 統(tǒng)總數(shù)制定專項(xiàng)案 的信息系統(tǒng) 數(shù)EME.4應(yīng)急演練組織實(shí)施了年度應(yīng)急演練，并宿演 練腳本和演練實(shí)施文檔記錄。符合/不符合判斷法：1）不符合，此項(xiàng)得0分；2）符合，此