1、电力信息系统信息安全检查规范Electric Power Information System Information Security Inspection Standard(V3.1)(征求意见稿)(本稿完成日期:2015-06-16)XXXX - XX - XX 发布 XXXX - XX - XX 实施GB XXXXXXXX中 华 人 民 共 和 国 国 家 标 准目 次前 言 .VII引 言 VIII电力信息系统信息安全检查规范 .11 范围 .12 规范性引用文件 .13 术语和定义 .13.1 管理信息类系统(Management Information System) 13.2
2、生产控制类系统(Production Control System) 13.3 电力信息系统 .23.4 控制区(Control area) .23.5 非控制区(Non-control area) .23.6 信息安全检查(Information Security Inspection) 24 检查内容的三种类型 .25 检查工作流程 .25.1 检查准备 .25.1.1 检查准备过程工作内容 .25.1.2 准备过程的角色和责任 .35.2 检查实施 .35.2.1 检查实施过程工作内容 .35.2.2 现场检查过程的角色和责任 .45.3 检查结果分析 .45.3.1 检查结果分析工作内
3、容 .55.3.2 检查总结过程的角色和责任 .56 检查内容的选择方法 .56.1 全覆盖法 .56.2 随机抽取法 .5从备选检查内容中按照索引目录从各检查类中随机抽取检查项。 .56.3 重点项抽取法 .56.4 增项检查法 .57 备选检查内容 .57.1 组织体系 .57.1.1 第一责任人确立(G) 57.1.2 信息安全责任落实(G) 67.1.3 专职机构及岗位设置(G) 67.1.4 安全人员配置(G) 67.2 规章制度 .77.2.1 整体策略及总体方案制定(G) 77.2.2 制度制定及体系完整性(G) 77.2.3 操作规程制定(G) 77.2.4 制度发布(G) 7
4、7.3 资金保障 .87.3.1 经费预算(G) 87.3.2 安全建设经费投入(G) 87.3.3 安全运维经费投入(G) 87.4 人员安全管理 .97.4.1 安全培训与考核(G) 97.4.2 保密协议签订(G) 97.4.3 人员审查(G) 97.4.4 岗位调整管控(G) 97.5 服务外包管控 107.5.1 外包服务协议(G) .107.5.2 外部人员访问管理(G) .107.5.3 远程服务管控(G) .107.5.4 现场开发管控(G) .117.6 关键信息资产管控 117.6.1 资产管理(G) .117.6.2 资产维修报废管理(G) .117.7 信息系统建设安全
5、管理 117.7.1 技术监督与审核(P) .127.7.2 上线安全测评(G) .127.7.3 等级保护建设(G) .127.7.4 等级测评开展情况(G) .127.7.5 风险评估(G) .137.7.6 产品采购和使用(G) .137.7.7 核心产品采购测试(G) .147.7.8 安全产品国产化情况(G) .147.8 安全分区防御体系 147.8.1 大区间隔离(P) .147.8.2 生产控制大区内部逻辑隔离(P) .147.8.3 纵向认证(P) .157.8.4 跨区连接管控(P) .157.8.5 安全接入区(P) .157.8.6 内外网隔离(M) .167.9 网络
6、安全防护 167.9.1 生产控制大区防护(P) .167.9.2 管理信息大区防护(M) .167.9.3 互联网出口统一管理(M) .177.9.4 互联网出口安全管控(M) .177.9.5 无线网络安全应用(G) .177.9.6 移动式设备安全接入(G) .187.10 主机和设备安全防护 .187.10.1 补丁更新(G) 187.10.2 恶意代码防护(G) 187.10.3 系统安全整改加固(G) 197.10.4 移动存储介质管理(G) 197.10.5 办公终端管控(M) 197.10.6 主机和设备账号口令管理(G) 207.11 应用系统和数据安全防护 .207.11.
7、1 应用系统安全功能及配置(G) 207.11.2 面向互联网服务系统安全监控和攻击防御(M) 207.11.3 面向互联网服务系统周期测试(M) 217.11.4 应用系统账号口令管理(G) 217.11.5 重要数据安全保护(G) 217.12 物理环境安全防护 .217.12.1 机房安全建设(G) 217.13 信息系统运行安全管理 .227.13.1 日常维护(G) 227.13.2 安全审计(G) 227.13.3 补丁管理(G) 227.13.4 安全监测(M) 237.14 灾难恢复 .237.14.1 硬件冗余(G) 237.14.2 系统和数据备份(G) 237.14.3
8、异地灾备(G) 247.14.4 恢复测试(M) 247.15 应急管理 .247.15.1 信息通报(G) 247.15.2 应急预案制定(G) 257.15.3 应急演练(G) 257.15.4 应急资源配备(G) 267.15.5 事故调查(G) 26附 录 A (资料性附录) 检查内容索引 .27附 录 B (规范性附录) 主要过程及其活动输出 .29附 录 C (资料性附录) 风险分析方法 .31C.1 定性分析 31C.2 定量分析 32前 言本规范按照 GB/T1.1-2009 给出的规则起草。本规范由全国电力监管标准化技术委员会提出并归口。本规范起草单位:国家能源局信息中心,华
9、北能源监管局、浙江能源监管办。本规范主要起草人: 引 言为指导电力企业开展信息系统安全检查工作,规范电力信息系统信息安全检查过程,防范对电力信息系统的攻击侵害及由此引起的大面积停电事故,保障电力信息系统的安全稳定运行,保护国家重要基础设施的安全及提高信息安全保证能力,依据电力监控系统安全防护规定(国家发改委令第14号)、电力行业网络与信息安全管理办法(国能安全2014317号)、电力行业信息安全等级保护管理办法(国能安全2014317号)、电力行业信息系统安全等级保护基本要求(电监信息201262号)等,制定本规范。GB XXXXXXXXX1电力信息系统信息安全检查规范1 范围本标准规定了电力
10、信息系统信息安全检查的内容、流程、方法以及备选检查内容等。本标准适用于开展电力信息系统的信息安全检查、督查工作,同时也适用于电力企业在本集团(系统)范围内开展相关系统的信息安全自查。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。电力监控系统安全防护规定 国家发改委令第14号电力行业信息系统安全等级保护基本要求 电监信息2012 62号信息安全技术 信息系统安全等级保护基本要求 GB/T 22239-2008信息安全技术 信息系统安全等级保护安全设计技术要求 GB/T
11、 25070-2010国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知 国能安全201536号信息安全技术 信息系统安全管理要求 GB/T 20269-2006电力行业网络与信息安全管理办法 国能安全2014317号电力行业信息安全等级保护管理办法 国能安全2014318号信息安全技术 信息安全风险评估规范 GB/T 20984-20073 术语和定义GB/T 5271.8、GB 17859-1999、GB/T 22239-2008和GB/T 25070-2010确立的以及下列术语和定义适用于本规范。3.1 管理信息类系统 Management Informatio
12、n System管理信息类系统是指支持电力企业的经营、管理和运营的信息系统,如门户网站系统、电力营销管理系统、财务管理系统、人力资源管理系统、物流管理系统和质量管理系统等。本类系统往往部署于管理信息大区,与互联网的隔离强度为逻辑隔离或强于逻辑隔离但弱于物理隔离。3.2 生产控制类系统 Production Control SystemGB XXXXXXXXX2生产控制类系统是用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备,如电力调度数据网络、电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、
13、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统等。本类系统原则上部署于生产控制大区,与互联网的隔离强度近似于物理隔离。3.3 电力信息系统电力信息系统是指与电力企业的生产、管理、控制相关的信息系统,根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息类系统和生产控制类系统。3.4 控制区 Control area控制区是指具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。3.5 非控制区 Non-control area非控制
14、区是指在生产控制范围内,由在线运行但不直接参与控制、作为电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。3.6 信息安全检查 Information Security Inspection在以小时为单位的有限时间内根据检查目的通过检查方法实施检查活动以发现影响信息系统可用性、机密性、完整性的主要因素,可以采取委托第三方机构以测评(评估)的方法进行全面细致检查,但通常建议以文档审查等方式审查测评(评估)相关文档以获得相关信息。 4 检查内容的三种类型根据检查对象的不同,检查内容进一步细分为:与管理信息类系统相关的检查项标记为M,与生产控制类系统相关的检查
15、项标记为P;未区分针对管理信息类和生产控制类的检查项标记为G。5 检查工作流程5.1 检查准备本阶段是开展检查工作的前提和基础,是整个检查过程有效性的保证。检查准备工作是否充分直接关系到后续工作能否顺利开展。本阶段的主要内容是明确检查工作的方式、依据、范围和内容,调研被检查单位和被检查系统的情况,确定被检查方的联系人和联络方式,确定检查组成员和检查工具,制定检查方案和计划并通知被检查单位。GB XXXXXXXXX35.1.1 检查准备过程工作内容根据检查工作的要求,明确安全检查工作的方式,包括监管机构安全检查、监管机构安全督察、企业信息安全自查等;明确安全检查工作的依据,包括国家信息安全规范性
16、文件及标准、行业信息安全规范性文件及标准、主管机构要求等;明确安全检查工作的范围,包括被检查单位、被检查系统、涉及的人员、被检查单位的上级主管单位等,并通过调研形成信息系统安全检查工作调研表 ;明确安全检查工作的内容。由两部分内容组成,一部分为基本检查内容,相关要求见本规范第七章节;另外一部分为补充检查内容,由检查工作电力企业在每次检查前,依据有关信息安全主管单位要求、信息安全发展态势和企业的信息安全管理工作开展情况进行拟定;由检查机构统一组织实施检查工作,确定实施现场检查工作的人员和设备,可委托第三方信息安全服务机构实施现场检查工作,但检查机构应安排专人陪同;根据检查工作的内容,制定信息系统
17、安全检查方案 、 信息系统安全检查计划和信息系统安全检查工作表 ;在现场检查开始前,检查组应至少提前两天将信息系统安全检查方案和信息系统安全检查计划下发至被检查单位,明确要求被检查单位对必要的系统和数据进行备份,被检查单位应积极配合,并提供必要的配合人员和办公条件。5.1.2 准备过程的角色和责任检查机构职责:a) 向被检查单位介绍安全检查的意义和目的、检查流程和工作方法;b) 了解被检查单位的信息化建设状况与发展;c) 指出被检查单位应提供的基本资料;d) 向被检查单位说明检查工作自身的风险和规避方法;e) 准备被检查系统基本情况调查表单;f) 了解被检查系统基本情况;g) 初步分析系统的安
18、全情况;h) 准备检查工具和文档。被检查单位职责:a) 向检查机构介绍本单位的信息化建设状况与发展情况;b) 准备检查机构需要的资料;c) 为检查人员的信息收集提供支持和协调;d) 根据被检查系统的具体情况,如业务运行高峰期、网络布置情况等,为检查时间安排提供适宜的建议;e) 备份数据和系统,制定应急预案。5.2 检查实施GB XXXXXXXXX4本阶段是检查工作的核心,主要依据检查方案的总体要求将本检查规范的要求落实到实际检查工作中,通过对被检查单位的沟通访谈、文档审查、配置检查、工具测试和实地察看,并调阅自查或上次检查报告(如果有) ,对被检查单位信息系统的安全保护现状进行取证,取得分析与
19、总结活动所需的、足够的证据和资料。5.2.1 检查实施过程工作内容检查人员现场填写信息系统安全检查工作表 ,检查完成后需要由被检查方签字确认。现场检查完成后,需要由被检查方对被检查对象的运行情况进行确认,并在系统运行情况验证记录上签字确认,对于因检查工作导致系统运行异常的情况,应如实记录,并及时上报主管部门。1、现场检查采用的方法主要包括:a) 人员访谈检查人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。b) 文档审查检查人员通过对被检查单位支撑信息系统安全建设与运维的安全管理制度、记录等文档的核查,获取证据以证明信息系统的安
20、全保护要求是否全面,安全保护规定是否得到执行。c) 配置核查检查人员通过对被检查对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。d) 安全测试检查人员使用预定的方法/工具使检查对象产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明信息系统安全保护措施是否有效的一种方法。在检查中也可不重新实施安全测试而利用已有的安全测试结果。2、该阶段主要可能的风险包括:a)验证测试影响系统正常运行。在现场检查时,需要对设备和系统的安全策略配置和安全功能进行必要的验证测试,部分测试内容涉及到对设备的操作,可能对系统的运行造成一定的影响,甚至存在误操作的可能;b)工
21、具测试影响系统正常运行。在现场检查时,有时会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试等。工具测试可能会对系统的负载造成一定的影响,其中漏洞测试和渗透测试可能对系统数据造成一定破坏;c)原则上检查方不接触被检查设备,应避免执行系统数据变更操作,由配合人员根据操作规程和检查项需求对被检查对象进行核查操作。5.2.2 现场检查过程的角色和责任检查机构职责:a) 利用人员访谈、文档审查、配置核查和安全测试的方法检查系统的保护措施与本规范要求的符合情况,以及正确性和有效性。GB XXXXXXXXX5被检查单位职责:a) 协调被检查系统内部相关人员的关系,配合检查工作的开展;b) 相关
22、人员回答检查人员的问询,对某些需要验证的内容上机进行操作;c) 相关人员协助检查人员实施工具测试并提供有效建议,降低安全检查对系统运行的影响;d) 相关人员协助检查人员完成业务相关内容的问询、验证和测试;e) 相关人员对检查结果进行确认。5.3 检查结果分析本阶段是总结被检查系统整体安全保护能力的综合评价活动,根据现场检查结果和本规范的相关要求,定位整个系统的安全保护现状与本规范安全要求之间的差距,并分析这些差距导致被检查系统面临的风险,从而给出检查结论,形成检查报告和整改通知书。5.3.1 检查结果分析工作内容现场检查工作完成后,由检查组对检查结果进行整理,采用定量或定性的风险分析方法,编制
23、信息系统安全检查报告 。5.3.2 检查总结过程的角色和责任检查机构职责:a) 分析检查结果,形成检查结论;b) 编制整改通知书,说明被检查系统存在的安全隐患和缺陷,并给出改进建议;c) 将生成的过程文档归档保存,并将检查过程中生成的电子文档清除。6 检查内容的选择方法6.1 全覆盖法区分被检查系统为管理信息类系统还是生产控制类系统,选取相关全部备选检查项作为检查内容。6.2 随机抽取法从备选检查内容中按照索引目录从各检查类中随机抽取检查项。6.3 重点项抽取法从备选检查内容中确定重点检查项,只检查重点项。6.4 增项检查法根据检查目的,设计备选检查内容中未包含的检查项作为新增检查项。(注:对
24、于检查内容的选择,不局限于采取单一方式进行选择,也可根据检查目的,采用多种选择方式相结合,如同时采用重点项抽取法和增项检查法确定检查内容)GB XXXXXXXXX67 备选检查内容7.1 组织体系7.1.1 第一责任人确立(G)本检查项包括:a) 检查电力企业主要负责人是否是信息安全第一责任人。检查依据:a) 电力监控系统安全防护总体方案“安全管理”。b) 电力行业网络与信息安全管理办法第七条。检查要素:a) 信息安全第一责任人。检查方法:a) 文档审查,查看信息安全电力企业文件。7.1.2 信息安全责任落实(G)本检查项包括:a) 检查是否设立信息安全管理工作的职能部门,是否设立安全主管、系
25、统管理员、网络管理员、安全管理员等岗位;b) 是否以文件的形式明确责任部门、责任人员的职责。c) 如有电力监控系统,是否将电力监控系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制。检查依据:a) 电力行业网络与信息安全管理办法第七条。b) 电力监控系统安全防护规定第十四条。检查要素:a) 信息安全责任部门、责任人员。日常安全生产管理体系。检查方法:a) 文档审查,查看信息安全责任部门、责任人员职责文件。日常安全生产管理体系职责文件。7.1.3 专职机构及岗位设置(G)本检查项包括:a) 检查组织的信息安全管理部门及岗位设置是否符合以下要求:1) 电力企业集团公司总部设
26、置信息安全专职管理机构;2) 电力企业集团公司二级单位设置信息安全管理和技术岗位;3) 电力企业基层单位设置信息安全岗位。检查依据:a) 电力行业网络与信息安全管理办法第七条。检查要素:a) 企业级别、信息安全管理部门及岗位设置。检查方法:a) 人员访谈,询问企业所属级别和信息安全管理部门及岗位设置;b) 文档审查,根据企业级别查看信息安全管理部门及岗位设置说明文件。GB XXXXXXXXX77.1.4 安全人员配置(G)本检查项包括:a) 检查电力企业是否配备一定数量的专职信息安全工作人员,能否满足电力企业信息安全岗位需求。检查依据:a) 电力行业网络与信息安全管理办法第七条。b) 电力行业
27、信息系统安全等级保护基本要求“安全管理机构 人员配备” 。检查要素:a) 专职信息安全工作人员数量、信息安全岗位数量。检查方法:a) 文档审查,查阅电力企业岗位职责说明及人员岗位职责分配说明。7.2 规章制度7.2.1 整体策略及总体方案制定(G)本检查项包括:a) 检查电力企业是否制定符合国家及行业政策要求的信息安全工作整体策略和总体方案,是否说明了信息安全工作总体目标、范围、防护框架和防护措施。检查依据:a) 电力行业网络与信息安全管理办法第十条b) 电力行业信息系统安全等级保护基本要求“安全管理制度”中的“管理制度”检查要素:a) 信息安全工作整体策略、总体方案、信息安全工作总体目标、范
28、围、防护框架和防护措施。检查方法:a) 文档审查,查阅信息安全整体策略和总体方案文档。7.2.2 制度制定及体系完整性(G)本检查项包括:a) 检查电力企业是否针对信息安全工作制定基本安全管理制度,并以此为基础形成涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系。检查依据:a) 电力行业网络与信息安全管理办法第七条b) 电力行业信息系统安全等级保护基本要求“安全管理制度”中的“管理制度”检查要素:a) 基本安全管理制度。检查方法:a) 文档审查,查阅组织是否制订了基本管理制度,内容是否涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管
29、理、外包服务管理、培训教育等方面。7.2.3 操作规程制定(G)本检查项包括:GB XXXXXXXXX8a) 检查电力企业是否对信息安全运行维护人员执行的日常操作制定运维流程和操作规程。检查依据:a) 电力监控系统安全防护总体方案“安全管理”。b) 电力行业信息系统安全等级保护基本要求“安全管理制度”中的“管理制度”。检查要素:a) 运维流程、操作规程。检查方法:a) 文档审查,查阅组织制订的运维流程和操作规程文档。7.2.4 制度发布(G)本检查项包括:a) 检查电力企业是否通过正式、有效的方式发布信息安全管理制度。检查依据:a) 电力行业信息系统安全等级保护基本要求“安全管理制度”中的“制
30、定与发布”。检查要素:a) 制度发布方式。检查方法:a) 文档审查,查阅安全管理制度发布方式和相关记录。7.3 资金保障7.3.1 经费预算(G)本检查项包括:a) 检查电力企业是否将信息安全建设费用(安全软硬件购置、系统安全功能开发、安全验收测试、安全咨询与培训、安全专项研究等)和运行维护费用(日常安全运维、监测分析、应急演练、应急保障、信息安全监督检查、测试评估等)纳入年度预算。检查依据:a) 电力行业网络与信息安全管理办法第十七条。b) 电力行业信息系统安全等级保护基本要求“安全管理机构”中“资金保障”。检查要素:a) 信息安全建设费用、运行维护费用。检查方法:a) 文档审查,查看年度预
31、算计划。7.3.2 安全建设经费投入(G)本检查项包括:a) 检查电力企业用于信息安全建设的经费占年度信息化建设总投入的比率是否大于 15%(取当年值或近两年平均值)。检查依据:a) 电力行业网络与信息安全管理办法第十七条。b) 电力行业信息系统安全等级保护基本要求“安全管理机构”中“资金保障”。检查要素:a) 信息安全建设经费、信息化建设总投入。GB XXXXXXXXX9检查方法:a) 文档审查,查看信息安全建设经费、信息化建设总投入的实际情况。7.3.3 安全运维经费投入(G)本检查项包括:a) 检查电力企业用于信息安全运行维护的经费占整个信息系统运行维护总投入的比率是否大于15%(取当年
32、值或近两年平均值)。检查依据:a) 电力行业网络与信息安全管理办法第十七条。b) 电力行业信息系统安全等级保护基本要求“安全管理机构”中“资金保障”。检查要素:a) 信息安全运维经费、信息系统运行维护总投入。检查方法:a) 文档审查,查看信息安全运维经费、信息化建设总投入的实际情况。7.4 人员安全管理7.4.1 安全培训与考核(G)本检查项包括:a) 检查电力企业信息安全从业,信息系统设计、建设、运维等相关各类人员是否经培训合格后上岗,是否定期接受相应的政策规划和专业技能培训。检查依据:a) 电力监控系统安全防护总体方案“安全管理”。b) 电力行业网络与信息安全管理办法中第十八条c) 电力行
33、业信息系统安全等级保护基本要求“人员安全管理”中“安全意识教育和培训”检查要素:a) 人员安全培训及考核。检查方法:a) 文档审查,查阅参加安全培训的人员名单及成绩单。7.4.2 保密协议签订(G)本检查项包括:a) 检查电力企业是否与安全管理员、系统管理员、网络管理员等关键岗位的人员,电力监控系统(如有)相关设备及系统的开发单位和供应商签署保密协议。检查依据:a) 电力监控系统安全防护规定第十八条。b) 电力行业信息系统安全等级保护基本要求“人员安全管理”中的“人员录用”。检查要素:a) 保密协议签订。检查方法:a) 文档审查,查阅签署保密协议的人员名单及其岗位或单位。7.4.3 人员审查(
34、G)GB XXXXXXXXX10本检查项包括:a) 检查电力企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。检查依据:a) 电力行业信息系统安全等级保护基本要求“人员安全管理”中的“人员录用”。检查要素:a) 人员的身份、背景和资质审查制度和审查结果记录。检查方法:a) 文档审查,查阅信息安全岗位人员和其他敏感岗位人员的身份、背景和资质审查记录。7.4.4 岗位调整管控(G)本检查项包括:a) 检查电力企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署。检查依据:a) 电力行业信息系统安全等级保护基本要求“人员安全管理”中的“人员离岗”。检查要
35、素:a) 人员的权限回收记录、离岗承诺书。检查方法:a) 文档审查,查阅信息安全岗位人员及其他敏感岗位人员的回收记录和离岗承诺书。7.5 服务外包管控7.5.1 外包服务协议(G)本检查项包括:a) 检查电力企业与合约方签订的外包服务协议中是否具有信息安全管控和保密条款。检查依据:a) 电力行业信息系统安全等级保护基本要求“系统建设管理”中“外包软件开发”。b) 电力监控系统安全防护方案总体方案“4.3 工程实施的安全管理”。检查要素:a) 外包服务协议。检查方法:a) 文档审查,查阅外包服务协议中的信息安全管控和保密条款。7.5.2 外部人员访问管理(G)本检查项包括:a) 检查电力企业是否
36、对外部人员访问机房等受控区域采取书面审批、人员陪同、进出记录等管控措施。检查依据:a) 电力行业信息系统安全等级保护基本要求“人员安全管理”中“外部人员访问管理”。检查要素:a) 受控区域访问控制措施和记录。检查方法:a) 文档审查,查阅第三方人员访问管理制度和记录。GB XXXXXXXXX117.5.3 远程服务管控(G)本检查项包括:a) 检查电力企业是否采取远程服务,如采取远程服务,针对远程服务访问采取书面审批、访问控制、在线监测、日志审计等管控措施。检查依据:a) 电力监控系统安全防护方案总体方案“3.9 远程拨号访问”。b) 电力行业信息系统安全等级保护基本要求“网络安全”中“访问控
37、制”。检查要素:a) 远程服务管控措施和记录。检查方法:a) 人员访谈,询问对远程服务访问采取的控制措施;b) 文档审查,查阅远程服务管控措施制度和记录;c) 日志审计,如采取远程服务,查阅远程服务管控相关审计日志。7.5.4 现场开发管控(G)本检查项包括:a) 检查电力企业是否采取技术措施实现开发测试环境与实际生产运行环境物理分离,并对开发人员的活动范围和行为实施管控。检查依据:a) 电力行业信息系统安全等级保护基本要求“系统建设管理”中“自行软件开发”。检查要素:a) 现场开发的管控措施和记录。检查方法:a) 人员访谈,询问是否将开发测试环境与实际生产环境物理分离;b) 文档审查,查阅开
38、发人员的活动范围和行为管控制度。7.6 关键信息资产管控7.6.1 资产管理(G)本检查项包括:a) 检查电力企业是否识别所有与信息系统相关的资产并编制了准确的资产清单,是否对每项资产明确管理责任人及其职责。检查依据:a) 电力行业信息系统安全等级保护基本要求“系统运维管理”中“资产管理”。检查要素:a) 资产清单。检查方法:a) 文档审查,查阅资产清单,检查是否识别所有与信息系统相关的资产,是否对每项资产明确管理责任人及其职责。7.6.2 资产维修报废管理(G)本检查项包括:GB XXXXXXXXX12a) 检查电力企业是否在系统、设备维修或报废时,选取了可信服务机构并对数据采取了备份、清除
39、等有效保护措施。检查依据:a) 电力行业信息系统安全等级保护基本要求“系统运维管理”中“介质管理”。检查要素:a) 可信服务机构选择、数据保护措施和记录。检查方法:b) 文档审查,查阅系统、设备维修或报废管理制度和记录。7.7 信息系统建设安全管理7.7.1 技术监督与审核(P)本检查项包括:a) 电力调度机构是否开展了其直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系统安全防护的技术监督,发电厂内其它监控系统的安全防护是否由其上级主管单位实施了技术监督。b) 电力调度机构、发电厂、变电站等运行单位的电力监控系统安全防护实施方案是否经本企业的上级专业管理部门和信息安全管理
40、部门以及相应电力调度机构的审核,方案实施完成后是否由上述机构验收。c) 接入电力调度数据网络的设备和应用系统,其接入技术方案和安全防护措施是否经直接负责的电力调度机构同意。检查依据:a) 电力监控系统安全防护规定第十四条、十五条。检查要素:a) 技术监督,安全防护方案审核与验收,接入技术方案和安全防护措施审核同意。检查方法:a) 文档审查,查阅审核、验收意见及相关材料。b) 人员访谈,访谈实施技术监督、审核、验收等相关工作的流程。7.7.2 上线安全测评(G)本检查项包括:a) 检查电力企业信息系统在上线前是否通过信息安全测评。检查依据:a) 电力行业信息系统安全等级保护基本要求“系统建设管理
41、”中“测试验收”。b) 电力监控系统安全防护方案总体方案“4.3 工程实施的安全管理”。检查要素:a) 上线前通过安全测评的系统清单、信息系统清单。检查方法:a) 文档审查,查阅全部信息系统列表,查阅并统计已通过信息安全测评的系统测评报告。7.7.3 等级保护建设(G)本检查项包括:a) 检查电力企业信息系统是否按要求开展信息安全等级保护建设。GB XXXXXXXXX13检查依据:a) 电力行业网络与信息安全管理办法第八条、第九条、第十条、第十一条。b) 电力行业信息安全等级保护管理办法第九条。检查要素:a) 按要求开展信息安全等级保护建设的系统清单。检查方法:a) 文档审查,查阅全部信息系统
42、列表,查阅已按要求开展信息安全等级保护建设的信息系统相关文档。7.7.4 等级测评开展情况(G)本检查项包括:a) 检查电力企业信息系统是否按要求开展等级测评。检查依据:a) 电力行业网络与信息安全管理办法第八条。b) 电力行业信息安全等级保护管理办法第十二条。检查要素:a) 按要求开展等级保护测评的系统清单。检查方法:a) 文档审查,查阅全部信息系统列表,查阅并统计已开展信息系统安全等级保护测评的方案数量和等级测评报告。7.7.5 风险评估(G)本检查项包括:a) 检查电力企业信息系统是否按要求开展信息安全风险评估并完成信息安全隐患整改。检查依据:a) 电力行业网络与信息安全管理办法第十二条
43、。b) 电力行业信息安全等级保护管理办法第十二条。c) 电力监控系统安全防护方案总体方案“5 安全防护评估”检查要素:a) 信息安全风险评估报告、整改建设方案。检查方法:a) 文档审查,查阅电力企业信息系统安全风险评估报告、整改建设方案。7.7.6 产品采购和使用(G)本检查项包括:a) 检查电力企业安全产品和密码产品的采购及使用是否符合国家有关规定。b) 电力监控系统在设备选型及配置时,是否禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备;对于已经投入运行的系统及设备,是否按照国家能源局及其派出机构的要求及时进行整改,同时应当加强相关系统及设备的运行管理和安全防
44、护。生产控制大区中除安全接入区外,是否禁止选用具有无线通信功能的设备。检查依据:a) 电力行业网络与信息安全管理办法第九条。b) 电力行业信息安全等级保护管理办法第九条、第十八条、第二十三条、第二十五条。GB XXXXXXXXX14c) 电力监控系统安全防护规定第十三条。检查要素:a) 安全产品和密码产品,电力监控系统设备选型、采购、配置、使用、整改等管理制度。检查方法:a) 人员访谈,访谈相关人员是否了解相关制度,是否存在不执行相关制度的特殊情况;b) 文档审查,查阅电力企业相关管理制度和资产清单等,检查其采购及使用是否符合国家有关规定。c) 配置核查,核查已被通报存在隐患的在线运行的系统和
45、设备是否已经整改及相关运行管理和安全防护措施。7.7.7 核心产品采购测试(G)本检查项包括:a) 电力企业应用的信息安全产品、系统基础软硬件、系统应用软件、工业控制装置等在采购前是否通过了安全性测试。检查依据:a) 电力监控系统安全防护规定第九条、第十条。b) 电力行业信息系统安全等级保护基本要求“系统建设管理”中“产品采购和使用”。检查要素:a) 安全性测试报告。检查方法:a) 文档审查,查阅电力企业应用的信息安全产品、系统基础软硬件、系统应用软件、工业控制装置等的安全性测试报告。7.7.8 安全产品国产化情况(G)本检查项包括:a) 检查电力企业 3 级及以上系统所采用信息安全产品是否为
46、国产产品。检查依据:a) 信息安全等级保护管理办法第二十一条。检查要素:a) 信息安全产品清单。检查方法:a) 文档审查,查阅电力企业信息安全产品清单。7.8 安全分区防御体系7.8.1 大区间隔离(P)本检查项包括:a) 检查电力企业是否按要求划分生产控制大区和管理信息大区;b) 检查电力企业是否在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。检查依据:a) 电力监控系统安全防护规定第六条、第九条。检查要素:GB XXXXXXXXX15a) 网络拓扑结构图、单向隔离装置产品资质材料。检查方法:a) 文档审查,查看电力企业网络拓扑结构图是否划分生产控制
47、大区和管理信息大区,查看单向隔离装置的检测报告或认证证书。b) 配置核查,核查单向隔离装置是否配置有效。7.8.2 生产控制大区内部逻辑隔离(P)本检查项包括:a) 检查电力企业是否按要求在生产控制大区内部控制区与非控制区之间采用国产硬件防火墙、具有访问控制功能的设备或等效功能的设施进行逻辑隔离。b) 生产控制大区内部各系统间是否采用 VLAN 和访问控制等安全措施限制系统间的直接互联。检查依据:a) 电力监控系统安全防护规定第九条。b) 电力监控系统安全防护方案“2.1.5 生产控制大区内部安全防护要求”。检查要素:a) 网络拓扑结构图、逻辑隔离产品资质材料。检查方法:a) 人员访谈,访谈生
48、产控制大区内部所采取的访问控制措施。b) 文档审查,查看网络拓扑结构图是否在生产控制大区内部控制区与非控制区之间采用逻辑隔离产品,查看逻辑隔离产品的检测报告或认证证书。c) 配置核查,核查逻辑隔离产品配置及策略。7.8.3 纵向认证(P)本检查项包括:a) 检查电力企业是否按要求在生产控制大区与广域网的纵向交接处设置经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关。检查依据:a) 电力监控系统安全防护规定第十条。b) 电力监控系统安全防护总体方案“安全防护方案” 。检查要素:a) 网络拓扑结构图、电力专用纵向加密认证产品或加密认证网关产品的资质材料。检查方法:a) 文档审查,查
49、看网络拓扑结构图是否在生产控制大区与广域网的纵向交接处设置电力专用纵向加密认证装置或加密认证网关,查看电力专用纵向加密认证产品或加密认证网关产品的检测报告或认证证书。7.8.4 跨区连接管控(P)本检查项包括:a) 检查电力企业是否不存在未通过电力专用横向单向隔离装置将生产控制大区和管理信息大区网络直接连接的情况。检查依据:a) 电力监控系统安全防护规定第六条。检查要素:GB XXXXXXXXX16a) 网络拓扑结构图。检查方法:a) 文档审查,查看网络拓扑结构图是否不存在未通过电力专用横向单向隔离装置将生产控制大区和管理信息大区网络直接连接的情况。b) 测试,利用相关命令语句等测试是否存在大区连通现象。7.8.5 安全接入区(P)本检查项包括:a) 检查生产控制大区的业务系统在与其终端的纵向联接中是否使用无线通信网、电力企业其它数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行
