電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求

目前 引 第一部分通用要 適用范 第二部分：管理信息系統(tǒng)類要 總體要 ........................................................................5 安全管 .......................................................................11 安全管 .......................................................................23 安全管 第三部分：生產(chǎn)控制信息系統(tǒng)類要 總體要 ......................................................................41 安全管 ......................................................................47 安全管 ......................................................................58 安全管 ......................................................................73 附錄B基本安全要求的選擇和使 參考文 前A和附錄B是規(guī)范性附錄。引——《電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指導(dǎo)意見》（電監(jiān)信息[2007]44）相關(guān)配套標(biāo)準(zhǔn)。其中GB17859-1999、GB/T22239—2008是基礎(chǔ)性標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)是在GB17859-1999和GB/T22239—2008基礎(chǔ)上，根據(jù)電力行業(yè)信息系統(tǒng)和防護(hù)特點及要求，對GB/T22239—2008在本標(biāo)準(zhǔn)文本中，黑體字表示較級中沒有出現(xiàn)或增強的要求實）”GB/T22239—2008規(guī)定了電力行業(yè)管理類信息系統(tǒng)和生產(chǎn)控制類信息系統(tǒng)不同安全等級的信息系統(tǒng)等級保護(hù)《等級保護(hù)管理辦法》（公通字[2007]43號GB17859-1999《計算機信息系統(tǒng)安全保護(hù)等級保護(hù)劃分準(zhǔn)則》GB/T22239-2008《技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》《電力行業(yè)網(wǎng)絡(luò)與監(jiān)督管理暫行規(guī)定》（電監(jiān)信息[2007]50號《電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指導(dǎo)意見》（電監(jiān)信息[2007]44號GB/T5271.8GB17859-1999安全保護(hù)能力securityprotectionability系統(tǒng)能夠抵御、發(fā)現(xiàn)安全事件以及在系統(tǒng)遭到損害后能夠恢復(fù)先前狀態(tài)等的程度、第四級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的組織的、擁有豐富資源的源發(fā)起的嚴(yán)重的自然以及其他相當(dāng)危害程度的所造成的資源損害，、第五級安全保護(hù)能力：（略）基本安全要求是針對不同安全保護(hù)等級信息系統(tǒng)應(yīng)該具有的基本安全保護(hù)能力安全要求根、總體要求概括了電力行業(yè)防護(hù)策略的基本要求；基本技術(shù)要求從物理安全、主、A。碼的使用和管理，應(yīng)按照國家管理的相關(guān)規(guī)定和標(biāo)準(zhǔn)實施。S；A；GB具有層次網(wǎng)絡(luò)結(jié)構(gòu)的單位可統(tǒng)一提供互聯(lián)網(wǎng)出口；（新增二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)單獨成域；（新增如果本單位管理信息大區(qū)僅有一級信息系統(tǒng)時，通用管理要求等同采用一級；（新增物理控制機房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的防和防破壞防雷擊防火防水和防潮溫濕度控制電力供應(yīng)應(yīng)在機房供電線配置穩(wěn)壓器和過電壓防護(hù)設(shè)備結(jié)構(gòu)安全應(yīng)保證接入網(wǎng)絡(luò)和網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要控制應(yīng)在網(wǎng)絡(luò)邊界部署控制設(shè)備，啟用控制功能應(yīng)根據(jù)控制列表對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒應(yīng)通過控制列表對系統(tǒng)資源實現(xiàn)允許或用戶，控制粒度至少為用戶組網(wǎng)絡(luò)設(shè)備防護(hù)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行鑒別當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被 鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行標(biāo)識和鑒別 控制應(yīng)啟用控制功能，依據(jù)安全策略控制用戶對資源的應(yīng)限制默認(rèn)帳戶的權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令 防范 代碼防范應(yīng)安裝防代碼軟件，并及時更新防代碼軟件版本和代碼庫鑒別應(yīng)提供的登錄控制模塊對登錄用戶進(jìn)行標(biāo)識和鑒別應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制登錄次數(shù)和自動退出等措施應(yīng)啟用鑒別和登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)控制應(yīng)提供控制功能控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的應(yīng)由主體配置控制策略，并嚴(yán)格限制默認(rèn)用戶的權(quán)限通信完整性軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗功能保證通過人機接口輸入或通過通口輸入的數(shù)據(jù)格式或長度符合系數(shù)據(jù)完整性備份和恢復(fù)管理制度制定和發(fā)布應(yīng)指定或?qū)ｉT的負(fù)責(zé)安全管理制度的制定應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)手中應(yīng)保障信息系統(tǒng)安全建設(shè)、運維及等級保護(hù)等；（新增系統(tǒng)建設(shè)籌措方案和年度經(jīng)費應(yīng)包括保障項目。（新增崗位設(shè)置配備和資源的等關(guān)鍵活動進(jìn)行。溝通和合作應(yīng)加強與行業(yè)部門、機關(guān)、通信運營商、銀行及相關(guān)單位和部門的合作與溝通（增強錄用應(yīng)指定或?qū)ｉT的部門或員錄用應(yīng)對被錄用的和專業(yè)資格等進(jìn)行并確保其具有基本的專業(yè)技術(shù)水平和安全管理離崗應(yīng)立即終止由于離崗員工的所有權(quán)限應(yīng)收回各種件、、徽章等以及機構(gòu)提供的軟硬件設(shè)備。（安全意識教育和培訓(xùn)應(yīng)對各類進(jìn)行安全意識教育和崗位技能培訓(xùn)應(yīng)告知相關(guān)的安全責(zé)任和懲戒措施外部管理應(yīng)確保在外部受控區(qū)域前得到或系統(tǒng)定級應(yīng)以的形式說明信息系統(tǒng)確定為某個安全保護(hù)等級的方法和理由應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過行業(yè)主管部門等相關(guān)部門的批準(zhǔn)。（細(xì)化安全方案設(shè)計應(yīng)以的形式描述對系統(tǒng)的安全保護(hù)要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案產(chǎn)品采購和使用電力系統(tǒng)產(chǎn)品應(yīng)經(jīng)行業(yè)主管部門指定的安全機構(gòu)方可采購使用。（新增自行軟件開發(fā)外包軟件開發(fā)應(yīng)在軟件安裝之前檢測軟件包中可能存在的代碼工程實施應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)工程實施過程的管理測試驗收系統(tǒng)交付應(yīng)制定系統(tǒng)交付，并根據(jù)交付對所交接的設(shè)備、軟件和文檔等進(jìn)行清點應(yīng)對負(fù)責(zé)系統(tǒng)運行的技術(shù)進(jìn)行相應(yīng)的技能培訓(xùn)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行的文檔安全服務(wù)商選擇環(huán)境管理應(yīng)指定專門的部門或定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行管理資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容介質(zhì)管理應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄，并根據(jù)存檔介質(zhì) 定期盤點設(shè)備管理應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或定期進(jìn)行管理應(yīng)建立基于申報和專人負(fù)責(zé)的設(shè)備安全管理制度對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、和領(lǐng)用等過程進(jìn)行規(guī)范化管理。管理應(yīng)定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行及時的修補系統(tǒng)安全管理應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的控制策略應(yīng)定期進(jìn)行掃描，對發(fā)現(xiàn)的系統(tǒng)安全進(jìn)行及時的修補代碼防范管理備份與恢復(fù)管理應(yīng)規(guī)定備份信息的備份方式、備份頻度、介質(zhì)、保存期等安全事件處置物理位置的選擇物理控制機房各出應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的；（增強進(jìn)入機房的來訪應(yīng)經(jīng)過申請 流程，并限制 其活動范圍防和防破壞應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在或管道中應(yīng)對介質(zhì)分類標(biāo)識，在介質(zhì)庫或室中主機房應(yīng)安裝必要的防盜設(shè)施防雷擊防火機房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動系統(tǒng)防水和防潮應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和積水的轉(zhuǎn)移與滲透防靜電關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施溫濕度控制沒做濕度電力供應(yīng)應(yīng)在機房供電線配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求電磁防護(hù)電源線和通信線纜應(yīng)鋪設(shè)，避免互相干擾沒做鋪設(shè)（線路鋪設(shè)為光纖，電源線與通信線路不存在干擾結(jié)構(gòu)安全管理信息大區(qū)網(wǎng)絡(luò)與生產(chǎn)控制大區(qū)網(wǎng)絡(luò)應(yīng)物理兩網(wǎng)之間有信息通信交換時應(yīng)部署符合電力系統(tǒng)要求的單向裝置；（新增）管理信息大區(qū)網(wǎng)絡(luò)可進(jìn)一步劃分為網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩網(wǎng)之間有信息通信交換時防護(hù)強度應(yīng)強于邏輯；（新增）具有層次網(wǎng)絡(luò)結(jié)構(gòu)的單位可統(tǒng)一提供互聯(lián)網(wǎng)出口；（新增應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)期需要應(yīng)保證接入網(wǎng)絡(luò)和網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)期需要應(yīng)根據(jù)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，控制應(yīng)在網(wǎng)絡(luò)邊界部署控制設(shè)備，啟用控制功能應(yīng)限制具有撥號、等權(quán)限的用戶數(shù)量。（增強安全審計邊界完整性檢查應(yīng)能夠?qū)W(wǎng)絡(luò)中出現(xiàn)的用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查防范溢出、IP碎片和網(wǎng)絡(luò)蠕蟲等。網(wǎng)絡(luò)設(shè)備防護(hù)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行鑒別；（；當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行標(biāo)識和鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶鑒別信息應(yīng)不易被冒用口令復(fù)雜度應(yīng)滿足要求并定期更（細(xì)化當(dāng)對服務(wù)器進(jìn)行管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被控制應(yīng)啟用控制功能，依據(jù)安全策略控制用戶對資源的應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的權(quán)限分離應(yīng)限制默認(rèn)帳戶的權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令安全審計統(tǒng)運行安全和效率為前提，采用第安全審計產(chǎn)品實現(xiàn)審計要求；（）防范代碼防范應(yīng)在本機安裝防代碼軟件或獨立部署代碼防護(hù)設(shè)備并及時更新防代碼軟件版本和代碼庫；（細(xì)化）應(yīng)支持防代碼的統(tǒng)一管理資源控制應(yīng)根據(jù)需要限制單個用戶對系統(tǒng)資源的最大或最小使用限度。（細(xì)化鑒別應(yīng)提供的登錄控制模塊對登錄用戶進(jìn)行標(biāo)識和鑒別應(yīng)用系統(tǒng)用戶鑒別信息應(yīng)不易被冒用口令復(fù)雜度應(yīng)滿足要求并定期更換應(yīng)供用戶份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶標(biāo)識用戶在一次登錄系統(tǒng)時修改分發(fā)的初始口令，口令長度不得小于8混合組合，用戶名和口令相同；應(yīng)用軟件不得明文口令數(shù)據(jù)；(增強)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制登錄次數(shù)和自動退出等措施；控制應(yīng)提供控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的控制的覆蓋范圍應(yīng)包括與資源相關(guān)的主體、客體及它們之間的操作應(yīng)由主體配置控制策略，并嚴(yán)格限制默認(rèn)帳戶 權(quán)限安全審計應(yīng)保證審計活動的完整性，保證無法刪除、修改或覆蓋審計記錄；（增強通信完整性應(yīng)采用技術(shù)保證通信過程中數(shù)據(jù)的完整性通信性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用技術(shù)進(jìn)行會話初始化驗證應(yīng)對通信過程中用戶口令、會話密鑰等敏感信息字段進(jìn)行加密。（細(xì)化軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗功能保證通過人機接口輸入或通過通口輸入的數(shù)據(jù)格式或長度符在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供部分功能，確保系統(tǒng)能夠?qū)嵤┗謴?fù)措施。（細(xì)化資源控制應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制數(shù)據(jù)完整性數(shù)據(jù)性備份和恢復(fù)管理制度應(yīng)制定工作的總體方針和安全策略說明機構(gòu)的總體目標(biāo)范圍原則和全框架等；具有管理制應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度制定和發(fā)布應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)安全管理制度的制定應(yīng)組織相關(guān)對制定的安全管理制度進(jìn)行論證和審定應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)手中評審和修訂崗位設(shè)置應(yīng)設(shè)立安全主管、安全管理各個方面的崗位，并定義各的職責(zé)配備安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等保障應(yīng)保障信息系統(tǒng)安全建設(shè)、運維及等級保護(hù)等；（新增系統(tǒng)建設(shè)籌措方案和年度經(jīng)費應(yīng)包括保障項目。（新增和重要資源的等關(guān)鍵活動進(jìn)行；應(yīng)針對關(guān)鍵活動建立流程，并由批準(zhǔn)人簽字確認(rèn)，并存檔備查。（增強溝通和合作應(yīng)加強各類管理之間、組織機構(gòu)之間以及的合作與溝通、應(yīng)加強與行業(yè)部門機關(guān)、通信運營商、銀行及相關(guān)單位和部門的合作與溝、審核和檢查安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)和數(shù)據(jù)備份等情況檢查周期沒做明確規(guī)定錄用應(yīng)規(guī)范錄用過程，對被錄用的、背景和專業(yè)資格等進(jìn)行，對其所具有的技術(shù)應(yīng)與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的簽署協(xié)議。（細(xì)化離崗應(yīng)規(guī)范離崗過程，及時收回離崗員工的所有權(quán)限；（增強應(yīng)收回各種件、、徽章等以及機構(gòu)提供的軟硬件設(shè)備只有在收回權(quán)限和各種證件、設(shè)備之后方可辦理調(diào)離手續(xù)。（細(xì)化考核應(yīng)定期對各個崗位的進(jìn)行安全技能及安全認(rèn)知的培訓(xùn)級考核安全意識教育和培訓(xùn)應(yīng)對各類進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)應(yīng)告知相關(guān)的安全責(zé)任和懲戒措施，并對違背安全策略和規(guī)定的進(jìn)行懲戒應(yīng)按照行業(yè)要求制定安全教育和培訓(xùn)計劃對基礎(chǔ)知識崗位操作規(guī)程進(jìn)行的培訓(xùn)應(yīng)至少每年舉辦一次（增強）外部管理應(yīng)確保在外部受控區(qū)域前得到或，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案系統(tǒng)定級應(yīng)以的形式說明信息系統(tǒng)確定為某個安全保護(hù)等級的方法和理由，對于跨電力公司聯(lián)網(wǎng)運行的信息系統(tǒng)由電力行業(yè)網(wǎng)絡(luò)與小組統(tǒng)一確定全保護(hù)等級對于屬同一電力公司但跨省聯(lián)網(wǎng)運行的信息系統(tǒng)司責(zé)任部門統(tǒng)一確定全保護(hù)等級對于通用信息系統(tǒng)由小組提出安全保護(hù)等級建議運營使用單位護(hù)等級對擬確定為第四級以上信息系統(tǒng)的由小組邀請息安全保護(hù)等級家評審評審。（細(xì)化），應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過行業(yè)主管部門批準(zhǔn)，方可到機關(guān)備案。（細(xì)化安全方案設(shè)計應(yīng)以形式描述對系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)對安全設(shè)計方案的合理性和正確性進(jìn)行論證和審定重大項目應(yīng)報行業(yè)主管部門進(jìn)行專項批準(zhǔn)。（）產(chǎn)品采購和使用應(yīng)確碼產(chǎn)品采購和使用符合國家主管部門的要求應(yīng)指定或?qū)ｉT的部門負(fù)責(zé)產(chǎn)品的采購電力系統(tǒng)產(chǎn)品應(yīng)經(jīng)行業(yè)主管部門指定的安全機構(gòu)方可采購使用。（新增自行軟件開發(fā)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和行為準(zhǔn)則應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管外包軟件開發(fā)應(yīng)在軟件安裝之前檢測軟件包中可能存在的代碼外包開發(fā)的軟件應(yīng)在本單位存有源代碼備份，并已通過軟件后門等安全性檢測。(增強工程實施應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)工程實施過程的管理應(yīng)制定詳細(xì)的工程實施方案，控制工程實施過程測試驗收應(yīng)組織相關(guān)部門和相關(guān)對系統(tǒng)測試進(jìn)行審定，并簽字確認(rèn)系統(tǒng)交付應(yīng)制定系統(tǒng)交付，并根據(jù)交付對所交接的設(shè)備、軟件和文檔等進(jìn)行清點應(yīng)對負(fù)責(zé)系統(tǒng)運行的技術(shù)每年進(jìn)行相應(yīng)的技能培訓(xùn),對安全教育和培訓(xùn)的情況和結(jié)果應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行的文檔系統(tǒng)備案與小組備案（新增）等級應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)經(jīng)電力行業(yè)網(wǎng)絡(luò)與小組批準(zhǔn)的單位進(jìn)行等級（新增）安全服務(wù)商選擇應(yīng)選擇符合國家及行業(yè)有關(guān)規(guī)定的服務(wù)商開展安全服務(wù)；（細(xì)化應(yīng)與選定的安全服務(wù)商簽訂安全協(xié)議，明確安全責(zé)任；（細(xì)化應(yīng)與服務(wù)商簽訂安全服務(wù)合同，明確技術(shù)支持和服務(wù)承諾。（增強環(huán)境管理應(yīng)指定專門的部門或定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行管理應(yīng)配備機房安全管理，對機房的出入、服務(wù)器的開機或關(guān)機等工作進(jìn)行管理應(yīng)加強對辦公環(huán)境的性管理包括調(diào)離應(yīng)立即交還該和不在辦公區(qū)接待來訪等。資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；不存在資產(chǎn)應(yīng)建立資產(chǎn)安全管理制度規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任或責(zé)任部門并規(guī)范資產(chǎn)管理和使用的行為。介質(zhì)管理應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實行環(huán)境專人管理應(yīng)建立移動介質(zhì)安全管理制度，對移動介質(zhì)的使用進(jìn)行管控；（新增）應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄，并根據(jù)存檔介質(zhì) 定期盤點應(yīng)對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的泄漏應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理設(shè)備管理行管理；應(yīng)建立基于申報和專人負(fù)責(zé)的設(shè)備安全管理制度對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、和領(lǐng)用等過程進(jìn)行規(guī)范化管理；規(guī)程實現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動//應(yīng)確保信息處理設(shè)備必須經(jīng)過才能帶離機房或辦公地點管理應(yīng)建立管理制度對配置日志保存時間安全策略升級與打補丁口更新周期等方面作出規(guī)定；應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行及時的修補應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份應(yīng)保證所有與外部系統(tǒng)的連接均得到和批準(zhǔn)系統(tǒng)安全管理應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的控制策略應(yīng)定期進(jìn)行掃描，對發(fā)現(xiàn)的系統(tǒng)安全及時進(jìn)行修補規(guī)定；應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行，詳細(xì)記錄操作日志，包括重要的日常操作、運行記錄參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行的操作；應(yīng)定期對運行日志和審計數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為代碼防范管理應(yīng)進(jìn)行檢查；應(yīng)指定專人對網(wǎng)絡(luò)和主機進(jìn)行代碼檢測并保存檢測記錄應(yīng)對防代碼軟件的使用、代碼庫升級、定期匯報等作出明確規(guī)定管理應(yīng)使用符合國家管理規(guī)定的技術(shù)和產(chǎn)品變更管理應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案，系統(tǒng)發(fā)生重要變更前應(yīng)向主管申請后方可實施變更并在實施后向相關(guān)通告，備份與恢復(fù)管理應(yīng)規(guī)定備份信息的備份方式、備份頻度、介質(zhì)、保存期等備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站方法。安全事件處置本系統(tǒng)計算機安全事件進(jìn)行等級劃分；安全事件發(fā)生。應(yīng)急預(yù)案管理件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；應(yīng)對安全管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員等相關(guān)的進(jìn)行應(yīng)急預(yù)案培訓(xùn)應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。（細(xì)化）物理位置的選擇機房場地應(yīng)避免設(shè)在建筑物的或室，以及用水設(shè)備的下層或隔壁,如果不可避免，應(yīng)采取有效防水措施。（）物理控制機房各出應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的；（增強進(jìn)入機房的來訪應(yīng)經(jīng)過申請和流程，并限制和其活動范圍裝等過渡區(qū)域；（增強）重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的防和防破壞應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在或管道中應(yīng)對介質(zhì)分類標(biāo)識，在介質(zhì)庫或室中應(yīng)利用光、電等技術(shù)設(shè)置機房防盜系統(tǒng)應(yīng)對機房設(shè)置系統(tǒng)防雷擊防火機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動、自動滅火機房應(yīng)采取區(qū)域防火措施，將重要設(shè)備與其他設(shè)備開防水和防潮應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和積水的轉(zhuǎn)移與滲透應(yīng)安裝對水敏感的檢測儀表或元件，對機房進(jìn)行防水檢測和防靜電溫濕度控制機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)電力供應(yīng)應(yīng)在機房供電線配置穩(wěn)壓器和過電壓防護(hù)設(shè)備應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運行要求設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電，輸入電源應(yīng)采路自動切換供電方式（增強電磁防護(hù)電源線和通信線纜應(yīng)鋪設(shè)，避免互相干擾應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁結(jié)構(gòu)安全管理信息大區(qū)網(wǎng)絡(luò)與生產(chǎn)控制大區(qū)網(wǎng)絡(luò)應(yīng)物理兩網(wǎng)之間有信息通信交換時應(yīng)部署符合電力系統(tǒng)要求的單向裝置；（新增）管理信息大區(qū)網(wǎng)絡(luò)可進(jìn)一步劃分為網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩網(wǎng)之間有信息通信交換時防護(hù)強度應(yīng)強于邏輯；（新增）具有層次網(wǎng)絡(luò)結(jié)構(gòu)的單位可統(tǒng)一提供互聯(lián)網(wǎng)出口；（新增單個系統(tǒng)應(yīng)單獨劃分安全域，系統(tǒng)由獨立子網(wǎng)承載，每個域的網(wǎng)絡(luò)出口應(yīng)唯一；（新增應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)期需要應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)期需要應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的路徑應(yīng)根據(jù)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，，前端部署在，數(shù)據(jù)庫部分部署在內(nèi)網(wǎng)。（新增），控制應(yīng)在網(wǎng)絡(luò)邊界部署控制設(shè)備，啟用控制功能應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/的能力，控制粒度為端口級應(yīng)按用戶和系統(tǒng)之間的允許規(guī)則，決定允許或用戶對受控系統(tǒng)進(jìn)行資源，控制粒應(yīng)限制具有撥號、等權(quán)限的用戶數(shù)量；（增強應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTPFTP、NET、SMTP、POP3等協(xié)議令級的控制；在互聯(lián)網(wǎng)出口和網(wǎng)絡(luò)接口處應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；（細(xì)化重要網(wǎng)段應(yīng)采取技術(shù)防止地址安全審計應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等邊界完整性檢查應(yīng)能夠?qū)Ψ窃O(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查準(zhǔn)確定出位置并對其進(jìn)行有效阻斷防范沖區(qū)溢出、IP碎片和網(wǎng)絡(luò)蠕蟲等；代碼防范應(yīng)在網(wǎng)絡(luò)邊界處對代碼進(jìn)行檢測和清除應(yīng)代碼庫的升級和檢測系統(tǒng)的更新網(wǎng)絡(luò)設(shè)備防護(hù)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行鑒別；網(wǎng)絡(luò)設(shè)備標(biāo)識應(yīng)唯一同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識應(yīng)唯一多個共用一個賬號（增強；主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行鑒別當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被應(yīng)實現(xiàn)設(shè)備用戶的權(quán)限分離系統(tǒng)不支持的應(yīng)部署日志服務(wù)器保證管理員的操作能夠被審計，并且網(wǎng)絡(luò)用戶管理員無權(quán)對審計記錄進(jìn)行操作；（細(xì)化）鑒別對登錄操作系統(tǒng)的用戶進(jìn)行標(biāo)識和鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶鑒別信息應(yīng)不易被冒用口令復(fù)雜度應(yīng)滿足要求并定期更（細(xì)化當(dāng)對服務(wù)器進(jìn)行管理時，采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行鑒別控制應(yīng)啟用控制功能，依據(jù)安全策略控制用戶對資源的應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的權(quán)限分離應(yīng)限制默認(rèn)帳戶的權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令標(biāo)記，用以支持強制控制機制；（g)安全審計求的，應(yīng)以系統(tǒng)運行安全和效率為前提，采用第安全審計產(chǎn)品實現(xiàn)審計要求；（）應(yīng)能夠通過操作系統(tǒng)自身功能或第工具根據(jù)記錄數(shù)據(jù)進(jìn)行分析并生成審計報表（細(xì)化剩余信息保護(hù) 防范、應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行的行為能夠記錄的源IP的類型的目的、、應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并具有完整性恢復(fù)的能力。（增強代碼防范應(yīng)在本機安裝防代碼軟件或獨立部署代碼防護(hù)設(shè)備并及時更新防代碼軟件版本和代碼庫；（細(xì)化）應(yīng)支持防代碼的統(tǒng)一管理主機防代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防代碼產(chǎn)品不同的代碼庫資源控制應(yīng)根據(jù)需要限制單個用戶對系統(tǒng)資源的最大或最小使用限度；（細(xì)化應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和鑒別應(yīng)提供的登錄控制模塊對登錄用戶進(jìn)行標(biāo)識和鑒別應(yīng)用系統(tǒng)用戶鑒別信息應(yīng)不易被冒用口令復(fù)雜度應(yīng)滿足要求并定期更換應(yīng)供用戶份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶標(biāo)識用戶在第一次登錄系統(tǒng)時修改分發(fā)的初始口令，口令長度不得小于8混合組合，用戶名和口令相同；應(yīng)用軟件不得明文口令數(shù)據(jù)；(增強)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶鑒別應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制登錄次數(shù)和自動退出等措施控制應(yīng)提供控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的控制的覆蓋范圍應(yīng)包括與資源相關(guān)的主體、客體及它們之間的操作應(yīng)由主體配置控制策略，并嚴(yán)格限制默認(rèn)帳戶的權(quán)限標(biāo)記，用以支持強制控制機制；（）安全審計應(yīng)保證審計活動的完整性和連續(xù)性，保證無法刪除、修改或覆蓋審計記錄；（剩余信息保護(hù) 通信完整性應(yīng)采用技術(shù)保證通信過程中數(shù)據(jù)的完整性通信性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用技術(shù)進(jìn)行會話初始化驗證應(yīng)對通信過程中的整個報文或會話過程進(jìn)行加密抗抵賴應(yīng)具有在請求的情況下為數(shù)據(jù)者或接收者提供數(shù)據(jù)的功能應(yīng)具有在請求的情況下為數(shù)據(jù)者或接收者提供數(shù)據(jù)接收的功能軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗功能保證通過人機接口輸入或通過通口輸入的數(shù)據(jù)格式或長度符資源控制應(yīng)能夠?qū)σ粋€帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和數(shù)據(jù)完整性數(shù)據(jù)性應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸性應(yīng)采用加密或其他保護(hù)措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)性備份和恢復(fù)管理制度應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度應(yīng)對要求管理或操作執(zhí)行的日常管理操作建立操作規(guī)程應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的管理制度體系制定和發(fā)布應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)安全管理制度的制定安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制應(yīng)組織相關(guān)對制定的安全管理制度進(jìn)行論證和審定安全管理制度應(yīng)通過正式、有效的方式發(fā)布安全管理制度應(yīng)注明發(fā)布范圍，并對收進(jìn)行登記評審和修訂性進(jìn)行審定b)定期或在發(fā)生重大變更時對安全管理制度進(jìn)行檢查和審定對存在不足或需要改進(jìn)的安全管理崗位設(shè)置義各的職責(zé)；應(yīng)制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求配備每個電力企業(yè)應(yīng)配備專職安全管理員，不可兼任；（關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理保障應(yīng)保障信息系統(tǒng)安全建設(shè)、運維及等級保護(hù)等；（新增系統(tǒng)建設(shè)籌措方案和年度經(jīng)費應(yīng)包括保障項目。（新增和應(yīng)根據(jù)各個部門和崗位的職責(zé)明確事項、部門和批準(zhǔn)人等應(yīng)針對系統(tǒng)變更重要操作物理和系統(tǒng)接入等事項建立程序按照程序執(zhí)行審批過程，對重要活動建立逐級制度；應(yīng)定期事項，及時更新需和的項目、部門和人等信息應(yīng)針對關(guān)鍵活動建立流程，并由批準(zhǔn)人簽字確認(rèn)，并存檔備查。（溝通和合作、應(yīng)加強與行業(yè)部門機關(guān)、通信運營商、銀行及相關(guān)單位和部門的合作與溝、應(yīng)加強與供應(yīng)商、業(yè)界、專業(yè)的安全公司、安全組織的合作與溝通應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和等信息應(yīng)聘請作為常年的安全顧問，指導(dǎo)建設(shè)，參與安全規(guī)劃和安全評審等審核和檢查應(yīng)由或單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；果進(jìn)行通報；安全檢查活動。錄用應(yīng)指定或?qū)ｉT的部門或員錄用應(yīng)與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的簽署協(xié)議；（細(xì)化應(yīng)與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的簽署崗位安全協(xié)議。（細(xì)化離崗應(yīng)嚴(yán)格規(guī)范離崗過程，及時收回離崗員工的所有權(quán)限；（細(xì)化應(yīng)收回各種件、、徽章等以及機構(gòu)提供的軟硬件設(shè)備考核應(yīng)定期對各個崗位的進(jìn)行安全技能及安全認(rèn)知的考核應(yīng)對安全管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員主管或?qū)Ｘ?zé)等關(guān)鍵崗位的進(jìn)行全面、嚴(yán)格的安全和技能考核；（細(xì)化）應(yīng)對考核結(jié)果進(jìn)行記錄并保存安全意識教育和培訓(xùn)應(yīng)對各類進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)應(yīng)對安全責(zé)任和懲戒措施進(jìn)行規(guī)定并告知相關(guān)對違背安全策略和規(guī)定的進(jìn)應(yīng)按照行業(yè)要求對定期安全教育和培訓(xùn)進(jìn)行規(guī)定針對不同崗位制定不同的訓(xùn)計劃，對基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行的培訓(xùn)應(yīng)至少每年舉辦一次；（增強）外部管理對外部允許的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行的規(guī)定，并按照規(guī)定執(zhí)行系統(tǒng)定級應(yīng)以的形式說明確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由，對于跨電力公司聯(lián)網(wǎng)運行的信息系統(tǒng)由電力行業(yè)網(wǎng)絡(luò)與小組統(tǒng)一確定全保護(hù)等級對于屬同一電力公司但跨省聯(lián)網(wǎng)運行的信息系統(tǒng)司責(zé)任部門統(tǒng)一確定全保護(hù)等級對于通用信息系統(tǒng)由小組提出安全保護(hù)等級建議運營使用單位護(hù)等級對擬確定為第四級以上信息系統(tǒng)的由小組邀請息安全保護(hù)等級家評審評審。(化)，應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過行業(yè)主管部門批準(zhǔn)，方可到機關(guān)備案。（細(xì)化安全方案設(shè)計應(yīng)指定和專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃制定近期和遠(yuǎn)期的安全建設(shè)作計劃；全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案，并形成配套文件；應(yīng)根據(jù)等級安全評估的結(jié)果每年定期調(diào)整和修訂總體安全策略安全技術(shù)框架安全理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。產(chǎn)品采購和使用應(yīng)確碼產(chǎn)品采購和使用符合國家主管部門的要求應(yīng)指定或?qū)ｉT的部門負(fù)責(zé)產(chǎn)品的采購應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品電力系統(tǒng)產(chǎn)品應(yīng)經(jīng)行業(yè)主管部門指定的安全機構(gòu)方可采購使用。（新增自行軟件開發(fā)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和行為準(zhǔn)則應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)參照規(guī)范編寫代碼應(yīng)確保對程序的修改、更新、發(fā)布進(jìn)行和批準(zhǔn)外包軟件開發(fā)應(yīng)在軟件安裝之前檢測軟件包中可能存在的代碼外包開發(fā)的軟件應(yīng)在本單位存有源代碼備份，并已通過軟件后門等安全性檢測。(增強工程實施應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)工程實施過程的管理應(yīng)制定詳細(xì)的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和行為準(zhǔn)則測試驗收應(yīng)委托國家或電力行業(yè)認(rèn)可的單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報告；(化)應(yīng)對系統(tǒng)測試驗收的控制方法和行為準(zhǔn)則進(jìn) 規(guī)定應(yīng)指定或?qū)ｉT的部門負(fù)責(zé)系統(tǒng)測試驗收的管理并按照管理規(guī)定的要求完成系統(tǒng)測試驗工作；應(yīng)組織相關(guān)部門和相關(guān)對系統(tǒng)測試進(jìn)行審定，并簽字確認(rèn)系統(tǒng)交付應(yīng)制定詳細(xì)的系統(tǒng)交付，并根據(jù)交付對所交接的設(shè)備、軟件和文檔等進(jìn)行清點應(yīng)對負(fù)責(zé)系統(tǒng)運行的技術(shù)每年進(jìn)行相應(yīng)的技能培訓(xùn),對安全教育和培訓(xùn)的情況和結(jié)果應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行的文檔應(yīng)對系統(tǒng)交付的控制方法和行為準(zhǔn)則進(jìn)行規(guī)定應(yīng)指定或?qū)ｉT的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。系統(tǒng)備案應(yīng)指定專門的部門或負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用網(wǎng)絡(luò)與小組備案；（細(xì)化），跨電力公司聯(lián)網(wǎng)運行且由電力行業(yè)網(wǎng)絡(luò)與小組統(tǒng)一確定安全等級的信系統(tǒng)小組負(fù)責(zé)統(tǒng)一向辦理備案手續(xù)電力公司跨省聯(lián)網(wǎng)運行且，司責(zé)任部門統(tǒng)一確定安全等級的信息系統(tǒng)，司責(zé)任部門負(fù)責(zé)統(tǒng)一向辦理備案手續(xù)其它信息系統(tǒng)的由運營使用單位直接向當(dāng)?shù)卦O(shè)區(qū)的市級以上機關(guān)備案跨省聯(lián)網(wǎng)運行的信息系統(tǒng)，在各地運行、應(yīng)用的分支系統(tǒng)，向當(dāng)?shù)卦O(shè)區(qū)的市級以上機關(guān)備案。（細(xì)化）等級在系統(tǒng)運行過程中應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要的及時；應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時；應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)經(jīng)電力行業(yè)中心批準(zhǔn)的單位進(jìn)等級；（增強）應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)等級的管理安全服務(wù)商選擇應(yīng)選擇符合國家及行業(yè)有關(guān)規(guī)定的服務(wù)商開展安全服務(wù)；（細(xì)化應(yīng)與選定的安全服務(wù)商簽訂安全協(xié)議，明確安全責(zé)任；（細(xì)化應(yīng)與服務(wù)商簽訂安全服務(wù)合同，明確技術(shù)支持和服務(wù)承諾。（增強環(huán)境管理應(yīng)指定專門的部門或定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行管理、還該、不在辦公區(qū)接待來訪離開座位應(yīng)確保終端計算機退出登錄狀、資產(chǎn)管理應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施應(yīng)對信息分類與標(biāo)識方法作出規(guī)定，并對信息的使用、傳輸和等進(jìn)行規(guī)范化管理介質(zhì)管理應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、和銷毀等方面作出規(guī)定應(yīng)建立移動介質(zhì)安全管理制度，對移動介質(zhì)的使用進(jìn)行管控；（新增應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實行環(huán)境專人管理行登記記錄，并根據(jù)存檔介質(zhì)的定期盤點；較高的介質(zhì)批準(zhǔn)不得自行銷毀；應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地，地的環(huán)境要求和管理方法應(yīng)與本地相同；標(biāo)識管理。（增強）設(shè)備管理行管理，每年至少一次；應(yīng)建立基于申報和專人負(fù)責(zé)的設(shè)備安全管理制度對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、和領(lǐng)用等過程進(jìn)行規(guī)范化管理；應(yīng)建立配套設(shè)施軟硬件方面的管理制度對其進(jìn)行有效的管理包括明的責(zé)任、維修和服務(wù)的、維修過程的監(jiān)督控制等；應(yīng)確保信息處理設(shè)備必須經(jīng)過才能帶離機房或辦公地點管理和安全警，形成記錄并妥善保存；應(yīng)組織相關(guān)定期對監(jiān)測和記錄進(jìn)行分析評審發(fā)現(xiàn)可疑行為形成分析報告并采取必要的應(yīng)對措施；應(yīng)建立安全對設(shè)備狀態(tài)代碼補丁升級安全審計等安全相關(guān)事項進(jìn)行集管理。管理應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行及時的修補應(yīng)實現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線備份應(yīng)保證所有與外部系統(tǒng)的連接均得到和批準(zhǔn)應(yīng)依據(jù)安全策略允許或者便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)定期檢查規(guī)定撥號上網(wǎng)或其他策略的行為系統(tǒng)安全管理應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的控制策略應(yīng)定期進(jìn)行掃描，對發(fā)現(xiàn)的系統(tǒng)安全及時進(jìn)行修補設(shè)定應(yīng)當(dāng)遵循最小原則；應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行，詳細(xì)記錄操作日志，包括重要的日常操作、運行記錄、代碼防范管理應(yīng)進(jìn)行檢查；應(yīng)指定專人對網(wǎng)絡(luò)和主機進(jìn)行代碼檢測并保存檢測記錄應(yīng)對防代碼軟件的使用、代碼庫升級、定期匯報等作出明確規(guī)定應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的代碼庫的升級情況并進(jìn)行記錄對主機防產(chǎn)品網(wǎng)關(guān)和郵件防網(wǎng)關(guān)上截獲的或代碼進(jìn)行及時分析處理并形成的表和總結(jié)匯報管理應(yīng)建立使用管理制度，使用符合國家管理規(guī)定的技術(shù)和產(chǎn)品變更管理方可實施變更，并在實施后將變更情況向相關(guān)通告；應(yīng)建立變更控制的申報和文件化程序?qū)ψ兏绊戇M(jìn)行分析并文檔化記錄變更實施過程并妥善保存所有文檔和記錄；應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序明確過程控制方法和職責(zé)必要時對恢復(fù)過程進(jìn)行演練。備份與恢復(fù)管理、、應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存?zhèn)浞莸幕謴?fù)。安全事件處置處理方法等；應(yīng)在安全事件報告和響應(yīng)處理過程中分析和鑒定事件產(chǎn)生的原因收集記錄處理過程總結(jié)經(jīng)驗教訓(xùn)，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應(yīng)妥善保存；對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報告程序應(yīng)急預(yù)案管理應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期應(yīng)規(guī)定應(yīng)急預(yù)案需要定期和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行力系統(tǒng)要求的單向裝置，確保單向裝置策略配置安全有效，任何穿越邊界的控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)或采用具有控制功能的設(shè)備進(jìn)行（新增二級系統(tǒng)統(tǒng)一成域，三級及以上系統(tǒng)單獨成域；（新增如果本單位生產(chǎn)控制大區(qū)僅有一級信息系統(tǒng)時，通用管理要求等同采用一級；（新增物理控制機房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的防和防破壞防雷擊防火防水和防潮溫濕度控制電力供應(yīng)應(yīng)在機房供電線配置穩(wěn)壓器和過電壓防護(hù)設(shè)備結(jié)構(gòu)安全應(yīng)保證接入網(wǎng)絡(luò)和網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要控制應(yīng)在網(wǎng)絡(luò)邊界部署控制設(shè)備，啟用控制功能應(yīng)通過控制列表對系統(tǒng)資源實現(xiàn)允許或用戶，控制粒度至少為用戶組網(wǎng)絡(luò)設(shè)備防護(hù)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行鑒別當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被 鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行標(biāo)識和鑒別 控制應(yīng)啟用控制功能，依據(jù)安全策略控制用戶對資源的應(yīng)限制默認(rèn)帳戶的權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令 防范 代碼防范應(yīng)安裝防代碼軟件，并及時更新防代碼軟件版本和代碼庫鑒別應(yīng)提供的登錄控制模塊對登錄用戶進(jìn)行標(biāo)識和鑒別應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制登錄次數(shù)和自動退出等措施應(yīng)啟用鑒別和登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)控制應(yīng)提供控制功能控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的應(yīng)由主體配置控制策略，并嚴(yán)格限制默認(rèn)用戶的權(quán)限通信完整性軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗功能保證通過人機接口輸入或通過通口輸入的數(shù)據(jù)格式或長度符合系數(shù)據(jù)完整性備份和恢復(fù)管理制度的總體方針和安全策略，說明機構(gòu)的總體目標(biāo)、范圍、原則和安全框架等，制定和發(fā)布應(yīng)指定或?qū)ｉT的負(fù)責(zé)安全管理制度的制定應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)手中崗位設(shè)置應(yīng)明確由主管安全生產(chǎn)的作為電力二次系統(tǒng)安全防護(hù)的主要責(zé)任人；（新增保障應(yīng)保障電力二次系統(tǒng)安全建設(shè)、運維及等級保護(hù)等；（新增系統(tǒng)建設(shè)籌措方案和年度經(jīng)費應(yīng)包括保障項目。（新增配備和重要資源的等關(guān)鍵活動進(jìn)行。溝通和合作應(yīng)加強與行業(yè)部門、機關(guān)、通信運營商、銀行及相關(guān)單位和部門的合作與溝通（細(xì)化錄用應(yīng)指定或?qū)ｉT的部門或員錄用應(yīng)對被錄用的和專業(yè)資格等進(jìn)行并確保其具有基本的專業(yè)技術(shù)水平和安全管理離崗應(yīng)立即終止由于離崗員工的所有權(quán)限應(yīng)收回各種件、、徽章等以及機構(gòu)提供的軟硬件設(shè)備。（安全意識教育和培訓(xùn)應(yīng)對各類進(jìn)行安全意識教育和崗位技能培訓(xùn)應(yīng)告知相關(guān)的安全責(zé)任和懲戒措施外部管理應(yīng)確保在外部受控區(qū)域前得到或系統(tǒng)定級應(yīng)以的形式說明信息系統(tǒng)確定為某個安全保護(hù)等級的方法和理由應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過行業(yè)主管部門等相關(guān)部門的批準(zhǔn)。（細(xì)化安全方案設(shè)計應(yīng)以的形式描述對系統(tǒng)的安全保護(hù)要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)應(yīng)在軟件安裝之前檢測軟件包中可能存在的代碼工程實施應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)工程實施過程的管理測試驗收系統(tǒng)交付應(yīng)制定系統(tǒng)交付，并根據(jù)交付對所交接的設(shè)備、軟件和文檔等進(jìn)行清點應(yīng)對負(fù)責(zé)系統(tǒng)運行的技術(shù)進(jìn)行相應(yīng)的技能培訓(xùn)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行的文檔安全服務(wù)商選擇應(yīng)選擇符合國家及行業(yè)有關(guān)規(guī)定的服務(wù)商開展安全服務(wù)；（增強環(huán)境管理應(yīng)指定專門的部門或定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行管理資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容介質(zhì)管理應(yīng)建立生產(chǎn)控制大區(qū)移動介質(zhì)安全管理制度，對移動介質(zhì)的使用進(jìn)行限制；（新增應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄，并根據(jù)存檔介質(zhì) 定期盤點設(shè)備管理應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或定期進(jìn)行管理應(yīng)建立基于申報和專人負(fù)責(zé)的設(shè)備安全管理制度對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、和領(lǐng)用等過程進(jìn)行規(guī)范化管理。管理應(yīng)定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行及時的修補系統(tǒng)安全管理應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的控制策略應(yīng)定期進(jìn)行掃描，對發(fā)現(xiàn)的系統(tǒng)安全進(jìn)行及時的修補電力調(diào)度機構(gòu)應(yīng)指定專人負(fù)責(zé)管理本級調(diào)度數(shù)字系統(tǒng)。（新增代碼防范管理應(yīng)進(jìn)行檢查；在更新代碼庫、木馬庫以及IDS規(guī)則庫前，應(yīng)首先在測試環(huán)境中測試通過，更新操作應(yīng)離線進(jìn)行，生產(chǎn)控制大區(qū)代碼更新應(yīng)由專人負(fù)責(zé)，并保存更新記錄。（新增）備份與恢復(fù)管理應(yīng)規(guī)定備份信息的備份方式、備份頻度、介質(zhì)、保存期等安全事件處置應(yīng)建立電力二次系統(tǒng)聯(lián)合防護(hù)和應(yīng)急機制，負(fù)責(zé)處置跨部門電力二次系統(tǒng)安全事件；（新增物理位置的選擇物理控制機房各出應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的；（增強進(jìn)入機房的來訪應(yīng)經(jīng)過申請和流程，并限制和其活動范圍防和防破壞應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在或管道中應(yīng)對介質(zhì)分類標(biāo)識，在介質(zhì)庫或室中主機房應(yīng)安裝必要的防盜設(shè)施防雷擊防火機房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動系統(tǒng)防水和防潮應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和積水的轉(zhuǎn)移與滲透防靜電主要設(shè)備采用必要的接地防靜電措施。（增強溫濕度控制電力供應(yīng)應(yīng)在機房供電線配置穩(wěn)壓器和過電壓防護(hù)設(shè)備電磁防護(hù)電源線和通信線纜應(yīng)鋪設(shè)，避免互相干擾結(jié)構(gòu)安全應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)期需要應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)期需要；（增強應(yīng)根據(jù)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，控制應(yīng)在網(wǎng)絡(luò)邊界部署控制設(shè)備，啟用控制功能應(yīng)按用戶和系統(tǒng)之間的允許規(guī)則邊界的網(wǎng)絡(luò)控制設(shè)備決定允許或用戶對受控系統(tǒng)進(jìn)行資源，控制粒度為單個用戶。以撥號或等方式接入網(wǎng)絡(luò)的，應(yīng)采用強認(rèn)證方式，并對用戶權(quán)限進(jìn)行嚴(yán)格限制；（增強）生產(chǎn)控制大區(qū)的撥號服務(wù)服務(wù)器和客戶端均應(yīng)使用經(jīng)安全加固的達(dá)到級等級保護(hù)應(yīng)限制具有撥號、等權(quán)限的用戶數(shù)量。（增強安全審計邊界完整性檢查應(yīng)能夠?qū)W(wǎng)絡(luò)中出現(xiàn)的用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查防范溢出、IP碎片和網(wǎng)絡(luò)蠕蟲等。網(wǎng)絡(luò)設(shè)備防護(hù)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行鑒別；網(wǎng)絡(luò)設(shè)備標(biāo)識應(yīng)唯一同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識應(yīng)唯一多個共用一個賬號（增強；當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行標(biāo)識和鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶鑒別信息應(yīng)不易被冒用口令復(fù)雜度應(yīng)滿足要求并定期更（增強當(dāng)對服務(wù)器進(jìn)行管理時，采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被控制應(yīng)啟用控制功能，依據(jù)安全策略控制用戶對資源的應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的權(quán)限分離應(yīng)限制默認(rèn)帳戶的權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令安全審計統(tǒng)運行安全和效率為前提，采用第安全審計產(chǎn)品實現(xiàn)審計要求；（增強）防范代碼防范應(yīng)在本機安裝防代碼軟件或獨立部署代碼防護(hù)設(shè)備并及時更新防代碼軟件版本和代碼庫；（增強）應(yīng)支持防代碼的統(tǒng)一管理資源控制鑒別應(yīng)提供的登錄控制模塊對登錄用戶進(jìn)行標(biāo)識和鑒別字符的混合組合，用戶名和口令相同；應(yīng)用軟件不得明文口令數(shù)據(jù)；（增強）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制登錄次數(shù)和自動退出等措施；控制應(yīng)提供控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的控制的覆蓋范圍應(yīng)包括與資源相關(guān)的主體、客體及它們之間的操作應(yīng)由主體配置控制策略，并嚴(yán)格限制默認(rèn)帳戶的權(quán)限安全審計應(yīng)保證審計活動的完整性，保證無法刪除、修改或覆蓋審計記錄；（增強通信完整性應(yīng)采用技術(shù)保證通信過程中數(shù)據(jù)的完整性通信性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用技術(shù)進(jìn)行會話初始化驗證未進(jìn)行加理軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗功能保證通過人機接口輸入或通過通口輸入的數(shù)據(jù)格式或長度符資源控制數(shù)據(jù)完整性數(shù)據(jù)性應(yīng)采用加密或其他保護(hù)措施實現(xiàn)鑒別信息的性備份和恢復(fù)管理制度及數(shù)據(jù)網(wǎng)絡(luò)的安全管理；（細(xì)化）應(yīng)對安全管理或操作執(zhí)行的重要管理操作建立操作規(guī)程制定和發(fā)布應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)安全管理制度的制定應(yīng)組織相關(guān)對制定的安全管理制度進(jìn)行論證和審定應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)手中評審和修訂進(jìn)行修訂。（增強）崗位設(shè)置應(yīng)明確由主管安全生產(chǎn)的作為電力二次系統(tǒng)安全防護(hù)的主要責(zé)任人應(yīng)設(shè)立安全主管、安全管理各個方面的崗位，并定義各的職責(zé)配備安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等保障應(yīng)保障電力二次系統(tǒng)安全建設(shè)、運維及等級保護(hù)等；（新增系統(tǒng)建設(shè)籌措方案和年度經(jīng)費應(yīng)包括保障項目。（新增和重要資源的等關(guān)鍵活動進(jìn)行；應(yīng)針對關(guān)鍵活動建立流程，并由批準(zhǔn)人簽字確認(rèn)級電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的調(diào)度機構(gòu)核準(zhǔn)。（增強）溝通和合作、、審核和檢查安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)和數(shù)據(jù)備份等情況錄用應(yīng)指定或?qū)ｉT的部門或員錄用應(yīng)與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的簽署協(xié)議。（細(xì)化離崗應(yīng)規(guī)范離崗過程，及時終止離崗員工的所有權(quán)限應(yīng)取回各種件、、徽章等以及機構(gòu)提供的軟硬件設(shè)備只有在收回權(quán)限和各種證件、設(shè)備之后方可辦理調(diào)離手續(xù)。（細(xì)化考核應(yīng)定期對各個崗位的進(jìn)行安全技能及安全認(rèn)知的考核安全意識教育和培訓(xùn)應(yīng)對各類進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)應(yīng)告知相關(guān)的安全責(zé)任和懲戒措施，并對違背安全策略和規(guī)定的進(jìn)行懲戒應(yīng)按照行業(yè)要求制定安全教育和培訓(xùn)計劃對基礎(chǔ)知識崗位操作規(guī)程進(jìn)行的培訓(xùn)應(yīng)至少每年舉辦一次（增強）外部管理應(yīng)確保在外部受控區(qū)域前得到或，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案系統(tǒng)定級應(yīng)以的形式說明信息系統(tǒng)確定為某個安全保護(hù)等級的方法和理由應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過行業(yè)主管部門批準(zhǔn)，方可到機關(guān)備案。（增強安全方案設(shè)計應(yīng)以形式描述對系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)對安全設(shè)計方案的合理性和正確性進(jìn)行論證和審定并過主管部門和相應(yīng)電力調(diào)度機構(gòu)的審核方案實施完成后應(yīng)當(dāng)由相關(guān)機構(gòu)共同織驗收。（增強）產(chǎn)品采購和使用應(yīng)確碼產(chǎn)品采購和使用符合國家主管部門的要求應(yīng)指定或?qū)ｉT的部門負(fù)責(zé)產(chǎn)品的采購檢測證明，其電磁兼容性還需有電力系統(tǒng)電磁兼容檢測證明。（新增）自行軟件開發(fā)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和行為準(zhǔn)則應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管外包軟件開發(fā)應(yīng)在軟件安裝之前檢測軟件包中可能存在的代碼應(yīng)在外包開發(fā)合同中明確開發(fā)單位供應(yīng)商所提供的電力二次設(shè)備及系統(tǒng)應(yīng)包含生命期、和設(shè)備擴(kuò)散等方面的條款；（增強）外包開發(fā)的軟件應(yīng)在本單位存有源代碼備份，并已通過軟件后門等安全性檢測。（細(xì)化工程實施應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)工程實施過程的管理應(yīng)制定詳細(xì)的工程實施方案，控制工程實施過程測試驗收應(yīng)組織相關(guān)部門和相關(guān)對系統(tǒng)測試進(jìn)行審定，并簽字確認(rèn)系統(tǒng)交付應(yīng)制定系統(tǒng)交付，并根據(jù)交付對所交接的設(shè)備、軟件和文檔等進(jìn)行清點應(yīng)對負(fù)責(zé)系統(tǒng)運行的技術(shù)進(jìn)行相應(yīng)的技能培訓(xùn)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行的文檔安全服務(wù)商選擇應(yīng)選擇符合國家及行業(yè)有關(guān)規(guī)定的服務(wù)商開展安全服務(wù)；（增強應(yīng)與選定的安全服務(wù)商簽訂安全協(xié)議，明確安全責(zé)任；（增強應(yīng)與服務(wù)商簽訂安全服務(wù)合同，確保提供技術(shù)培訓(xùn)，并明確服務(wù)承諾。（增強環(huán)境管理應(yīng)指定專門的部門或定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行管理應(yīng)配備機房安全管理，對機房的出入、服務(wù)器的開機或關(guān)機等工作進(jìn)行管理應(yīng)加強對辦公環(huán)境的性管理包括調(diào)離應(yīng)立即交還該和不在辦資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容應(yīng)建立資產(chǎn)安全管理制度規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任或責(zé)任部門并規(guī)范資產(chǎn)管理和使用的行為。介質(zhì)管理應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實行環(huán)境專人管理應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄，并根據(jù)存檔介質(zhì) 定期盤點應(yīng)對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的泄漏應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理設(shè)備管理行管理；應(yīng)建立基于申報和專人負(fù)責(zé)的設(shè)備安全管理制度對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、和領(lǐng)用等過程進(jìn)行規(guī)范化管理；規(guī)程實現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動//應(yīng)確保信息處理設(shè)備必須經(jīng)過才能帶離機房或辦公地點應(yīng)確保信息處理設(shè)備必須經(jīng)過才能帶入機房或辦公地點。（新增管理應(yīng)建立管理制度對配置日志保存時間安全策略升級與打補丁口更新周期等方面作出規(guī)定；應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行及時的修補應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份應(yīng)保證所有與外部系統(tǒng)的連接均得到和批準(zhǔn)系統(tǒng)安全管理應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的控制策略應(yīng)定期進(jìn)行掃描，對發(fā)現(xiàn)的系統(tǒng)安全及時進(jìn)行修補規(guī)定；應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行，詳細(xì)記錄操作日志，包括重要的日常操作、運行記錄參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行的操作；應(yīng)定期對運行日志和審計數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為電力調(diào)度機構(gòu)應(yīng)指定專人負(fù)責(zé)管理本級調(diào)度數(shù)字系統(tǒng)。（增強代碼防范管理應(yīng)進(jìn)行檢查；在更新代碼庫、木馬庫以及ID規(guī)則庫前，應(yīng)首先在測試環(huán)境中測試通過，更新操作應(yīng)線進(jìn)行，生產(chǎn)控制大區(qū)代碼更新應(yīng)由專人負(fù)責(zé)，并保存更新記錄；（新增）應(yīng)指定專人對網(wǎng)絡(luò)和主機進(jìn)行代碼檢測并保存檢測記錄應(yīng)對防代碼軟件的使用、代碼庫升級、定期匯報等作出明確規(guī)定管理應(yīng)使用符合國家管理規(guī)定的技術(shù)和產(chǎn)品變更管理應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案，系統(tǒng)發(fā)生重要變更前應(yīng)向主管申請后方可實施變更并在實施后向相關(guān)通告，備份與恢復(fù)管理應(yīng)規(guī)定備份信息的備份方式、備份頻度、介質(zhì)、保存期等備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站方法。安全事件處置只有《湖南雷電系統(tǒng)應(yīng)急恢復(fù)預(yù)案本系統(tǒng)計算機安全事件進(jìn)行等級劃分；安全事件發(fā)生；沒有記應(yīng)建立電力二次系統(tǒng)聯(lián)合防護(hù)和應(yīng)急機制，負(fù)責(zé)處置跨部門電力二次系統(tǒng)安全事件。（新增應(yīng)急預(yù)案管理件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；有應(yīng)急預(yù)應(yīng)制定電力二次系統(tǒng)聯(lián)合防護(hù)和應(yīng)急處置預(yù)案，并經(jīng)過演練；（新增未做過演練應(yīng)對安全管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員等相關(guān)的進(jìn)行應(yīng)急預(yù)案培訓(xùn)應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。（增強）物理位置的選擇機房場地應(yīng)避免設(shè)在建筑物的或室，以及用水設(shè)備的下層或隔壁,如果不可避免，應(yīng)采取有效防水措施。（）物理控制機房各出應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的；（增強進(jìn)入機房的來訪應(yīng)經(jīng)過申請和流程，并限制和其活動范圍重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的防和防破壞應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在或管道中應(yīng)對介質(zhì)分類標(biāo)識，在介質(zhì)庫或室中應(yīng)利用光、電等技術(shù)設(shè)置機房防盜系統(tǒng)應(yīng)對機房設(shè)置系統(tǒng)防雷擊防火機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動，自動滅火機房應(yīng)采取區(qū)域防火措施，將重要設(shè)備與其他設(shè)備開防水和防潮應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和積水的轉(zhuǎn)移與滲透應(yīng)安裝對水敏感的檢測儀表或元件，對機房進(jìn)行防水檢測和防靜電溫濕度控制電力供應(yīng)應(yīng)在機房供電線配置穩(wěn)壓器和過電壓防護(hù)設(shè)備設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電，輸入電源應(yīng)采路自動切換供電方式（增強電磁防護(hù)電源線和通信線纜應(yīng)鋪設(shè)，避免互相干擾應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁結(jié)構(gòu)安全應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)期需要應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)期需要應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的路徑應(yīng)根據(jù)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，單個系統(tǒng)應(yīng)單獨劃分安全域，系統(tǒng)由獨立子網(wǎng)承載，每個域的網(wǎng)絡(luò)出口應(yīng)唯一；（新增控制應(yīng)在網(wǎng)絡(luò)邊界部署控制設(shè)備，啟用控制功能行資源，控制粒度為單個用戶。以撥號或等方式接入網(wǎng)絡(luò)的，應(yīng)采用強認(rèn)證方式，并對用戶權(quán)限進(jìn)行嚴(yán)格限制；（增強）生產(chǎn)控制大區(qū)的撥號服務(wù)服務(wù)器均應(yīng)使用經(jīng)安全加固的達(dá)到國家三級等級保護(hù)要求的操應(yīng)限制具有撥號、等權(quán)限的用戶數(shù)量；（增強應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、NET、SMTP、POP3等協(xié)議命在網(wǎng)絡(luò)出口和網(wǎng)絡(luò)接口處應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；（重要網(wǎng)段應(yīng)采取技術(shù)防止地址安全審計邊界完整性檢查應(yīng)能夠?qū)Ψ窃O(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查準(zhǔn)確定出位置并對其進(jìn)行有效阻斷防范沖區(qū)溢出、IP碎片和網(wǎng)絡(luò)蠕蟲等；代碼防范應(yīng)在網(wǎng)絡(luò)邊界處對代碼進(jìn)行檢測和清除應(yīng)代碼庫的升級和檢測系統(tǒng)的更新網(wǎng)絡(luò)設(shè)備防護(hù)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行鑒別；網(wǎng)絡(luò)設(shè)備標(biāo)識應(yīng)唯一同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識應(yīng)唯一多個共用一個賬號（增強；主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行鑒別當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被應(yīng)實現(xiàn)設(shè)備用戶的權(quán)限分離系統(tǒng)不支持的應(yīng)部署日志服務(wù)器保證管理員的操作能夠被審計，并且網(wǎng)絡(luò)用戶管理員無權(quán)對審計記錄進(jìn)行操作；（增強）鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行標(biāo)識和鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶鑒別信息應(yīng)不易被冒用口令復(fù)雜度應(yīng)滿足要求并定期更（增強當(dāng)對服務(wù)器進(jìn)行管理時，采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行鑒別控制應(yīng)啟用控制功能，依據(jù)安全策略控制用戶對資源的應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的權(quán)限分離應(yīng)嚴(yán)格限制默認(rèn)帳戶的權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令標(biāo)記，用以支持強制控制機制；（）安全審計求的，應(yīng)以系統(tǒng)運行安全和效率為前提，采用第安全審計產(chǎn)品實現(xiàn)審計要求；（增強）應(yīng)能夠通過操作系統(tǒng)自身功能或第工具根據(jù)記錄數(shù)據(jù)進(jìn)行分析并生成審計報表（增強剩余信息保護(hù) 防范應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行的行為能夠記錄的源IP的類型的目的、應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并具有完整性恢復(fù)的能力；（代碼防范應(yīng)在本機安裝防代碼軟件或獨立部署代碼防護(hù)設(shè)備并及時更新防代碼軟件版本和代碼庫；（增強）應(yīng)支持防代碼的統(tǒng)一管理主機防代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防代碼產(chǎn)品不同的代碼庫資源控制應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和鑒別應(yīng)提供的登錄控制模塊對登錄用戶進(jìn)行標(biāo)識和鑒別混合組合，用戶名和口令相同；應(yīng)用軟件不得明文口令數(shù)據(jù)；（增強）應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶鑒別應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制登錄次數(shù)和自動退出等措施控制應(yīng)提供控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的控制的覆蓋范圍應(yīng)包括與資源相關(guān)的主體、客體及它們之間的操作應(yīng)由主體配置控制策略，并嚴(yán)格限制默認(rèn)帳戶的權(quán)限標(biāo)記，用以支持強制控制機制；安全審計應(yīng)保證審計活動的完整性和連續(xù)性，保證無法刪除、修改或覆蓋審計記錄；（剩余信息保護(hù) 通信完整性應(yīng)采用技術(shù)保證通信過程中數(shù)據(jù)的完整性通信性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用技術(shù)進(jìn)行會話初始化驗證抗抵賴應(yīng)具有在請求的情況下為數(shù)據(jù)者或接收者提供數(shù)據(jù)的功能應(yīng)具有在請求的情況下為數(shù)據(jù)者或接收者提供數(shù)據(jù)接收的功能軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗功能保證通過人機接口輸入或通過通口輸入的數(shù)據(jù)格式或長度符資源控制應(yīng)能夠?qū)σ粋€帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和數(shù)據(jù)完整性數(shù)據(jù)性應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸性應(yīng)采用加密或其他保護(hù)措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)性備份和恢復(fù)管理制度的總體方針和安全策略，說明機構(gòu)的總體目標(biāo)、范圍、原則和安全框架等，、管理控制管理、防尾隨管理安全防護(hù)系統(tǒng)的管理常規(guī)設(shè)備及各系統(tǒng)的管理、應(yīng)對安全管理或操作執(zhí)行的重要管理操作建立操作規(guī)程應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的管理制度體系制定和發(fā)布應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)安全管理制度的制定安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制應(yīng)組織相關(guān)對制定的安全管理制度進(jìn)行論證和審定安全管理制度應(yīng)通過正式、有效的方式發(fā)布安全管理制度應(yīng)注明發(fā)布范圍，并對收進(jìn)行登記評審和修訂a)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)對安全管理制度體系的合理性和適用b)應(yīng)定期或不定期或在發(fā)生重大變更時對安全管理制度進(jìn)行檢查和審定崗位設(shè)置應(yīng)明確由主管安全生產(chǎn)的作為電力二次系統(tǒng)安全防護(hù)的主要責(zé)任人成立指導(dǎo)和管理信息義各的職責(zé)；應(yīng)制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求配備應(yīng)配備專職安全管理員，不可兼任關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理保障應(yīng)保障電力二次系統(tǒng)安全建設(shè)、運維及等級保護(hù)等；（新增系統(tǒng)建設(shè)籌措方案和年度經(jīng)費應(yīng)包括保障項目。（新增和、應(yīng)根據(jù)各個部門和崗位的職責(zé)明確事項部門及批準(zhǔn)人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的等關(guān)鍵活動進(jìn)行；（細(xì)化）、應(yīng)針對系統(tǒng)變更重要操作物理和系統(tǒng)接入等事項建立程序按照程序執(zhí)行審批過程，對重要活動建立逐級制度；應(yīng)定期事項，及時更新需和的項目、部門和人等信息應(yīng)記錄過程并保存文檔溝通和合作、應(yīng)加強與行業(yè)部門機關(guān)、通信運營商、銀行及相關(guān)單位和部門的合作與溝、應(yīng)加強與供應(yīng)商、業(yè)界、專業(yè)的安全公司、安全組織的合作與溝通應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和等信息應(yīng)聘請作為常年的安全顧問，指導(dǎo)建設(shè)，參與安全規(guī)劃和安全評審等審核和檢查應(yīng)由或單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；果進(jìn)行通報；安全檢查活動。錄用應(yīng)指定或?qū)ｉT的部門或員錄用應(yīng)與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的簽署協(xié)議；（細(xì)化應(yīng)從中選拔從事關(guān)鍵崗位的，并簽署崗位安全協(xié)議離崗應(yīng)嚴(yán)格規(guī)范離崗過程，及時終止離崗員工的所有權(quán)限應(yīng)收回各種件、、徽章等以及機構(gòu)提供的軟硬件設(shè)備；（考核應(yīng)定期對各個崗位的進(jìn)行安全技能及安全認(rèn)知的考核應(yīng)對關(guān)鍵崗位的進(jìn)行全面、嚴(yán)格的安全和技能考核應(yīng)對考核結(jié)果進(jìn)行記錄并保存安全意識教育和培訓(xùn)應(yīng)對各類進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)應(yīng)對安全責(zé)任和懲戒措施進(jìn)行規(guī)定并告知相關(guān)對違背安全策略和規(guī)定的進(jìn)應(yīng)按照行業(yè)要求對定期安全教育和培訓(xùn)進(jìn)行規(guī)定針對不同崗位制定不同的訓(xùn)計劃，對基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行的培訓(xùn)應(yīng)至少每年舉辦一次；（新增）外部管理對外部允許的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行的規(guī)定，并按照規(guī)定執(zhí)行系統(tǒng)定級應(yīng)以的形式說明信息系統(tǒng)確定為某個安全保護(hù)等級的方法和理由應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過行業(yè)主管部門批準(zhǔn)，方可到機關(guān)備案。（增強安全方案設(shè)計應(yīng)指定和專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃制定近期和遠(yuǎn)期的安全建設(shè)作計劃；全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案，并形成配套文件；應(yīng)根據(jù)等級安全評估的結(jié)果定期調(diào)整和修訂總體安全策略安全技術(shù)框架安全管理略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。產(chǎn)品采購和使用應(yīng)確碼產(chǎn)品采購和使用符合國家主管部門的要求應(yīng)指定或?qū)ｉT的部門負(fù)責(zé)產(chǎn)品的采購應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品自行軟件開發(fā)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和行為準(zhǔn)則應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)參照規(guī)范編寫代碼應(yīng)確保對程序的修改、更新、發(fā)布進(jìn)行和批準(zhǔn)外包軟件開發(fā)應(yīng)在軟件安裝之前檢測軟件包中可能存在的代碼外包開發(fā)的軟件應(yīng)在本單位存有源代碼備份，并已通過軟件后門等安全性檢測。（細(xì)化工程實施應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)工程實施過程的管理應(yīng)制定詳細(xì)的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和行為準(zhǔn)則測試驗收應(yīng)委托公正的第測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報告應(yīng)對系統(tǒng)測試驗收的控制方法和行為準(zhǔn)則進(jìn)行規(guī)定應(yīng)指定或?qū)ｉT的部門負(fù)責(zé)系統(tǒng)測試驗收的管理并按照管理規(guī)定的要求完成系統(tǒng)測試驗工作；應(yīng)組織相關(guān)部門和相關(guān)對系統(tǒng)測試進(jìn)行審定，并簽字確認(rèn)系統(tǒng)交付應(yīng)制定詳細(xì)的系統(tǒng)交付，并根據(jù)交付對所交接的設(shè)備、軟件和文檔等進(jìn)行清點應(yīng)對負(fù)責(zé)系統(tǒng)運行的技術(shù)進(jìn)行相應(yīng)的技能培訓(xùn)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行的文檔應(yīng)對系統(tǒng)交付的控制方法和行為準(zhǔn)則進(jìn)行規(guī)定應(yīng)指定或?qū)ｉT的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。系統(tǒng)備案應(yīng)指定專門的部門或負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用應(yīng)將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門備案應(yīng)將系統(tǒng)等級及其他要求的備案材料報相應(yīng)機關(guān)備案等級在系統(tǒng)運行過程中應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要的及時；應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時；應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的并由行業(yè)主管部門指定的單位進(jìn)行等級；（）應(yīng)指定或?qū)ｉT的部門或負(fù)責(zé)等級的管理安全服務(wù)商選擇應(yīng)選擇符合國家及行業(yè)有關(guān)規(guī)定的服務(wù)商開展安全服務(wù)；（增強應(yīng)與選定的安全服務(wù)商簽訂安全協(xié)議，明確安全責(zé)任；（增強應(yīng)與服務(wù)商簽訂安全服務(wù)合同，確保提供技術(shù)培訓(xùn)，并明確服務(wù)承諾。（增強環(huán)境管理應(yīng)指定專門的部門或定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行管理應(yīng)加強對辦公環(huán)境的性管理包括調(diào)離應(yīng)立即交還該和不在辦公區(qū)接待來訪離開座位應(yīng)確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施應(yīng)對信息分類與標(biāo)識方法作出規(guī)定，并對信息的使用、傳輸和等進(jìn)行規(guī)范化管理介質(zhì)管理應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、和銷毀等方面作出規(guī)定應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實行環(huán)境專人管理程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的定期盤點；應(yīng)對介質(zhì)的使用過程送出維以及銷毀等進(jìn)行嚴(yán)格的管理對帶出工作環(huán)境的介質(zhì)進(jìn)行內(nèi)容加密和管理對送出修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)對較高的介質(zhì)批準(zhǔn)不得自行銷毀；應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地，地的環(huán)境要求和管理方法應(yīng)與本地相同；設(shè)備管理行管理；應(yīng)建立基于申報和專人負(fù)責(zé)的設(shè)備安全管理制度對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、和領(lǐng)用等過程進(jìn)行規(guī)范化管理；應(yīng)建立配套設(shè)施軟硬件方面的管理制度對其進(jìn)行有效的管理包括明的責(zé)任、維修和服務(wù)的、維修過程的監(jiān)督控制等；應(yīng)確保信息處理設(shè)備必須經(jīng)過才能帶離機房或辦公地點應(yīng)確保信息處理設(shè)備必須經(jīng)過才能帶入機房或辦公地點。（新增管理和安全警，形成記錄并妥善保存；應(yīng)定期對監(jiān)測和記錄進(jìn)行分析評審發(fā)現(xiàn)可疑行為形成分析報告并采取必要的應(yīng)措施；（）應(yīng)建立安全對設(shè)備狀態(tài)代碼補升級安全審計等安全相關(guān)事項進(jìn)行集管理。管理應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新并在更新前對現(xiàn)有的重要文件進(jìn)試應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行及時的修補應(yīng)實現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線備份應(yīng)保證所有與外部系統(tǒng)的連接均得到和批準(zhǔn)應(yīng)依據(jù)安全策略對允許或者便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)依據(jù)安全策略對接入網(wǎng)絡(luò)的便攜式和移動式設(shè)備的網(wǎng)絡(luò)使用行為進(jìn)行管控；（新增應(yīng)定期檢查規(guī)定撥號上網(wǎng)或其他策略的行為系統(tǒng)安全管理應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的控制策略應(yīng)定期進(jìn)行掃描，對發(fā)現(xiàn)的系統(tǒng)安全及時進(jìn)行修補性進(jìn)試通過，并對重要文件進(jìn)行備份后，方可實施系統(tǒng)補丁程序的安裝；（細(xì)化）設(shè)定應(yīng)當(dāng)遵循最小原則；應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行，詳細(xì)記錄操作日志，包括重要的日常操作、運行記錄、電力調(diào)度機構(gòu)應(yīng)指定專人負(fù)責(zé)管理本級調(diào)度數(shù)字系統(tǒng)。（增強代碼防范管理應(yīng)進(jìn)行檢查；在更新代碼庫、木馬庫以及IDS規(guī)則庫前，應(yīng)首先在測試環(huán)境中對代碼庫、木馬庫以及IDS規(guī)則庫的安全性和兼容性進(jìn)試通過，更新操作應(yīng)離線進(jìn)行，生產(chǎn)控制大區(qū)代碼應(yīng)指定專人對網(wǎng)絡(luò)和主機進(jìn)行代碼檢測并保存檢測記錄應(yīng)對防代碼軟件的使用、代碼庫升級、定期匯報等作出明確規(guī)定應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的代碼庫的升級情況并進(jìn)行記錄對主機防產(chǎn)品防網(wǎng)關(guān)和郵件防網(wǎng)關(guān)上截獲的或代碼進(jìn)行及時分析處理并形成的表和總結(jié)匯報管理應(yīng)建立使用管理制度，使用符合國家管理規(guī)定的技術(shù)和產(chǎn)品變更管理請，后方可實施變更，并在實施后向相關(guān)通告；（增強）應(yīng)建立變更控制的申報和文件化程序?qū)ψ兏绊戇M(jìn)行分析并文檔化記錄變更實施過程并妥善保存所有文檔和記錄；應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序明確過程控制方法和職責(zé)必要時對恢復(fù)過程進(jìn)行演練。備份與恢復(fù)管理、、備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站方法；應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存?zhèn)浞莸幕謴?fù)。安全事件處置處理方法等；應(yīng)在安全事件報告和響應(yīng)處理過程中分析和鑒定事件產(chǎn)生的原因收集記錄處理過程總結(jié)經(jīng)驗教訓(xùn)，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應(yīng)妥善保存；對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報告程序應(yīng)建立電力二次系統(tǒng)聯(lián)合防護(hù)和應(yīng)急機制，負(fù)責(zé)處置跨部門電力二次系統(tǒng)安全事件。（新增應(yīng)急預(yù)案管理應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期應(yīng)制定電力二次系統(tǒng)聯(lián)合防護(hù)和應(yīng)急處置預(yù)案，并經(jīng)過演練；（新增應(yīng)規(guī)定應(yīng)急預(yù)案需要定期和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行物理位置的選擇機房場地應(yīng)避免設(shè)在建筑物的或室，以及用水設(shè)備的下層或隔壁,如果不可避免，應(yīng)采取有效防水措施。（）物理控制機房各出應(yīng)安排專人值守并配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的進(jìn)入機房的來訪應(yīng)經(jīng)過申請和流程，并限制和其活動范圍重要區(qū)域應(yīng)配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的防和防破壞應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在或管道中應(yīng)對介質(zhì)分類標(biāo)識，在介質(zhì)庫或室中應(yīng)利用光、電等技術(shù)設(shè)置機房防盜系統(tǒng)應(yīng)對機房設(shè)置系統(tǒng)防雷擊防火機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動，自動滅火機房應(yīng)采取區(qū)域防火措施，將重要設(shè)備與其他設(shè)備開防水和防潮應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和積水的轉(zhuǎn)移與滲透應(yīng)安裝對水敏感的檢測儀表或元件，對機房進(jìn)行防水檢測和防靜電溫濕度控制電力供應(yīng)應(yīng)在機房供電線配置穩(wěn)壓器和過電壓防護(hù)設(shè)備設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電，輸入電源應(yīng)采路自動切換供電方式（增強電磁防護(hù)電源線和通信線纜應(yīng)鋪設(shè)，避免互相干擾應(yīng)對關(guān)鍵區(qū)域?qū)嵤╇姶沤Y(jié)構(gòu)安全應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)期需要應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)期需要應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的路徑應(yīng)根據(jù)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，單個系統(tǒng)應(yīng)單獨劃分安全域，系統(tǒng)由獨立子網(wǎng)承載，每個域的網(wǎng)絡(luò)出口應(yīng)唯一；（新增控制應(yīng)在網(wǎng)絡(luò)邊界部署控制設(shè)備，啟用控制功能應(yīng)根據(jù)數(shù)據(jù)的敏感標(biāo)記允許或數(shù)據(jù)通過應(yīng)不開放撥號功能安全審計設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；（增強）邊界完整性檢查應(yīng)能夠?qū)Ψ窃O(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查準(zhǔn)確定出位置并對其進(jìn)行有效阻斷防范沖區(qū)溢出、IP碎片和網(wǎng)絡(luò)蠕蟲等；時應(yīng)提供，必要時可配置為自動采取相應(yīng)動作。（）代碼防范應(yīng)在網(wǎng)絡(luò)邊界處對代碼進(jìn)行檢測和清除應(yīng)代碼庫的升級和檢測系統(tǒng)的更新網(wǎng)絡(luò)設(shè)備防護(hù)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行鑒別；網(wǎng)絡(luò)設(shè)備標(biāo)識應(yīng)唯一同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識應(yīng)唯一多個共用一個賬號（增強；主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行鑒別網(wǎng)絡(luò)設(shè)備用戶的鑒別信息至少應(yīng)有一種是不可的當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被應(yīng)實現(xiàn)設(shè)備用戶的權(quán)限分離系統(tǒng)不支持的應(yīng)部署日志服務(wù)器保證管理員的操作能夠被審計，并且網(wǎng)絡(luò)用戶管理員無權(quán)對審計記錄進(jìn)行操作；（增強）鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行標(biāo)識和鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶鑒別信息應(yīng)不易被冒用口令復(fù)雜度應(yīng)滿足要求并定期更（增強應(yīng)設(shè)置鑒別警示信息，描述未可能導(dǎo)致的當(dāng)對服務(wù)器進(jìn)行管理時，采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行鑒別并且鑒別信息至少有一安全標(biāo)記控制應(yīng)依據(jù)安全策略和所有主體和客體設(shè)置的敏感標(biāo)記控制主體對客體的應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的權(quán)限分離應(yīng)嚴(yán)格限制默認(rèn)帳戶的權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令可信路徑在系統(tǒng)對用戶進(jìn)行鑒別時