1、企業信息安全風險評估實施細則 PAGE 5目 錄前言3資產評估4資產識別4資產賦值5威脅評估8脆弱性評估12信息安全管理評估13安全方針13信息安全公司機構15人員安全管理16信息安全制度文件管理17信息化建設中的安全管理19信息安全等級保護22信息安全評估管理23信息安全的宣傳與培訓23信息安全監督與考核24符合性管理25信息安全運行維護評估26信息系統運行管理26資產分類管理28配置與變更管理28業務連續性管理30物理環境安全31設備與介質安全33信息安全技術評估35網絡安全35操作系統安全39數據庫安全45通用服務安全51應用系統安全54安全設備56前言為了規范、深化國家電網公司信息安全

2、風險評估工作，依據國家電網公司信息安全風險評估管理暫行辦法、國家電網公司信息安全風險評估實施指南（以下簡稱實施指南），制定國家電網公司信息安全風險評估實施細則（以下簡稱細則）。本細則是公司統一的一體化企業級信息系統開展信息安全風險評估工作的主要依據， 各單位在相關的信息安全檢查、評價工作中也可參考本細則的內容。本細則結合公司當前信息化工作重點，針對實施指南中信息資產評估、威脅評估、脆弱性評估提出了具體的評估內容。其中，資產評估內容主要針對公司一體化企業級信息系統展開；威脅評估包含非人為威脅和人為威脅等因素；脆弱性評估內容分為信息安全管理評估、信息安全運行維護評估、信息安全技術評估三部分。公司統

3、一公司的評估工作應在本細則的基礎上，結合實施指南提出更詳細的實施方案，并采用專業的評估工具對信息系統進行全面的評估和深層的統計分析，并進行風險計算，確保全面掌握信息系統的安全問題，并提供解決問題的安全建議。本細則將隨公司信息安全管理、技術、運維情況的發展而滾動修訂與完善。本細則由國家電網公司信息工作辦公室組織制定、發布并負責解釋。資產評估資產評估是確定資產的信息安全屬性（機密性、完整性、可用性等）受到破壞而對信息系統造成影響的過程。在風險評估中，資產評估包含信息資產識別、資產賦值等內容。資產識別資產識別主要針對提供特定業務服務能力的應用系統展開，例如：網絡系統提供基礎網絡服務、OA 系統提供辦

4、公自動化服務。通常一個應用系統都可劃分為數據存儲、業務處理、業務服務提供和客戶端四個功能部分，這四個部分在信息系統的實例中都顯現為獨立的資產實體，例如：典型的 OA 系統可分為客戶端、Web 服務器、Domino 服務器、DB2 數據庫服務器四部分資產實體。應用系統的功能模塊（或子系統），可參照下表進行分解：應用系統分解表類別說明數據存儲應用系統中負責數據存儲的子系統或功能模塊。如數據庫服務器業務處理應用系統中負責進行數據處理運算的子系統或模塊，如應用服務器、通信前置機服務提供應用系統中負責對用戶提供服務的子系統或模塊，如 web 服務器客戶端由用戶或客戶直接使用、操縱的模塊，包括：工作站、客

5、戶機等，如應用客戶端、web 瀏覽器*注：以上的子系統(功能模塊)分類可能存在于一臺主機上，也可能分布在多臺主機上，對應用系統的分解不需要特別注明子系統的分布情況，只需詳細說明功能作用和構成。對于不具有多層結構的系統，可根據實際情況進行簡化分解，例如：僅分解為服務器端與客戶端。典型的應用系統分解結構圖如下：分解應用系統業務處理模塊數據存儲模塊客戶端服務提供模塊：代表數據傳輸本細則中對公司“SG186”工程應用系統按照上表進行信息資產的分解與識別，并在資產賦值部分按照這一分解進行賦值。資產賦值根據實施指南的定義，資產評估中對資產的賦值最終結果是對識別出的獨立資產實體的賦值。每項資產都要進行機密性

6、要求、完整性要求、可用性要求的賦值，賦值定義為： 安全性要求很高5、安全性要求高4、安全性要求中等3、安全性要求低2、安全性要求很低1。結合資產識別的情況，對公司“SG186”工程應用系統的各部分進行賦值，結果見下表。 PAGE 7業務系統系統安全等級客戶端服務提供業務處理數據存儲管理員普通用戶CIACIACIACIACIA一體化平臺企業信息門戶2422311224113數據中心2422233233444數據交換平臺2311134123目錄與單點登錄系統2411334223444信息網絡2313144財務（資金） 管理財務管理系統12544433355242353資金管理系統125444333

7、55242353營銷管理營銷管理信息系統2533422355242353客戶繳費系統231121122412425395598 客戶服務管理系統2312211113113232電能信息實時采集與監控系統1311211131131131市場管理系統1311211131131131客戶關系系統1311211131131131需求側管理系統2322211344244344輔助決策系統1311211132132132安全生產管理調度管理信息系統2322211133133133生產管理信息系統2322211133133133地理信息系統2322211133133133安全監督管理信息系統13112111

8、31131131電力市場交易系統2422322244244244協同辦公協同辦公2424323434323434人力資源管人力資源管理系統1322211131131331業務系統系統安全等級客戶端服務提供業務處理數據存儲管理員普通用戶CIACIACIACIACIA理物資管理物資管理系統1311211131131131招投標系統1431321331331331項目管理項目管理系統1311211131131131綜合管理規劃計劃管理系統1311211131131131審計管理系統1311211331331331金融信息管理系統1311211131131131法律事務管理系統131121133133

9、1331國際合作業務應用系統1311211331331331紀檢監察管理系統1311211131131131ERP 系統ERP 系統2433322344344344說明：（1）C 代表機密性賦值、I 代表完整性賦值、A 代表可用性賦值；（2）系統安全等級來源于國家電網公司信息系統安全保護等級定級指南，作為業務系統資產權值與每項賦值相乘后參與風險計算過程；（3）對各單位不包括在“SG186”工程中的應用系統，系統安全等級按照國家電網公司信息系統安全保護等級定級指南定義方法計算出來， 資產賦值按照實施指南定義的方法進行識別和賦值，同時可參考上表的賦值結果。威脅評估在信息安全風險評估中，威脅評估分為

10、威脅識別和威脅賦值兩部分內容。威脅識別通常依據威脅列表對歷史事件進行分析和判斷獲得。由于信息系統運行環境千差萬別，威脅可能性賦值無法給出統一定義，例如：海邊城市受到臺風威脅的可能性較大。本細則中僅給出威脅對信息資產機密性、完整性和可用性破壞的嚴重程度賦值。賦值定義為：破壞嚴重程度很大5、破壞嚴重程度大4、破壞嚴重程度中等3、破壞嚴重程度小2、破壞嚴重程度很小1。在評估實施時需要依據實施指南定義的方法，結合實際情況對威脅可能性進行判斷。下表是常見的威脅列表。8 PAGE 9威脅分類威脅名稱說明威脅可能性嚴重程度CIA非人為威脅火山爆發由火山爆發引起的系統故障N/A55颶風由颶風引起的系統故障N/

11、A45地震由地震引起的系統故障N/A45人員喪失由疾病、道路故障、暴動等原因導致人員無法正常工作引起的系統無法使用故障N/AN/A3硬件故障系統由于硬件設備老舊、損壞等造成的無法使用問題N/A45雷電由雷電引起的系統故障N/A55火災由火災引起的系統故障,包括在火災發生后進行消防工作中引起的設備不可用問題N/A45水災由水災引起的系統故障N/A45雪崩由雪崩引起的問題N/A24溫度異常由溫度超標引起的故障N/A44濕度異常由濕度超標引起的故障N/A33灰塵、塵土由灰塵超標引起的故障N/A33強磁場干擾由磁場干擾引起的故障N/A33電力故障由于電力中斷、用電波動、供電設備損壞導致系統停止運行等導

12、致的系統故障N/A44系統軟件故障由系統軟件問題所產生的故障344應用軟件故障由應用軟件問題所產生的故障445軟件缺陷軟件缺陷導致的安全問題444通信故障由通信故障所產生的問題N/A24DNS 失敗由 DNS 失敗導致的問題114人為威脅由誤操作傳輸錯誤的或不應傳送的數據個人失誤導致的安全問題431關鍵員工的離職由于關鍵員工的離職造成系統的安全問題N/AN/A4離開時未鎖門由于離開時未鎖門造成系統的安全問題431 PAGE 11威脅分類威脅名稱說明威脅可能性嚴重程度CIA離開時屏保未鎖定由于離開時屏保未鎖定造成的安全問題411在不恰當的人員中討論敏感文檔由于在不恰當的人員中討論敏感文檔造成的安

13、全問題5N/AN/A不恰當的配置和操作不恰當的管理系統、數據庫、無意的數據操作，導致安全問題344拒絕服務攻擊攻擊者以一種或者多種損害信息資源訪問或使用能力的方式消耗信息系統資源N/A35由于設備（如筆記本）丟失導致泄密等安全問題444過時的規定由于采用過時的規定所造成的安全問題443不遵守安全策略導致各種可能的安全威脅444不恰當的使用設備、系統與軟件不當的使用設備、系統與軟件造成的安全威脅N/A44惡意破壞系統設施對系統設備、存儲介質等資產進行惡意破壞N/A45濫用由于某授權的用戶（有意或無意的）執行了授權他人要執行的舉動、可能會發生檢測不到的信息資產損害543設備或軟件被控制或破壞惡意的

14、控制或破壞設備造成的安全威脅54N/A遠程維護端口被非授權的使用惡意的使用遠程維護端口，控制主機444數據傳輸或電話被監聽惡意截獲傳輸數據4N/AN/A辦公地點被非授權的控制惡意監控辦公地點、重要地帶，獲取重要信息544偵察通過系統開放的服務進行信息收集，獲取系統的相關信息，包括系統的軟件、硬件和用戶情況等信息44N/A口令的暴力攻擊惡意的暴力嘗試口令533威脅分類威脅名稱說明威脅可能性嚴重程度CIA各類軟件后門或后門軟件軟件預留的后門或其他專門的后門軟件帶來的信息泄露威脅432偷竊移動設備帶有機密信息的移動設備被竊取5N/A3惡意軟件計算機病毒、蠕蟲帶來的安全問題354偽裝標識的仿冒等信息安

15、全問題44N/A分析信息流分析信息流帶來的信息安全問題4N/AN/A非法閱讀機密信息非授權的從辦公環境中取得可獲得的機密信息或復制數據5N/AN/A社會工程學攻擊通過 email、msn、電話號碼、交談等欺騙或其他方式取得內部人員的信任，進而取得機密信息5N/AN/A未經授權將設備連接到網絡未經授權對外開放內部網絡或設備453密碼猜測攻擊對系統賬號和口令進行猜測，導致系統中的敏感信息泄漏531偽造證書惡意的偽造證書，進而取得機密信息551遠程溢出攻擊攻擊者利用系統調用中不合理的內存分配執行了非法的系統操作，從而獲取了某些系統特權，進而威脅到系統安全性553權限提升通過非法手段獲得系統更高的權限

16、，進而威脅到系統安全性553遠程文件訪問對服務器上的數據進行遠程文件訪問,導致敏感數據泄漏532法律糾紛由企業或信息系統行為導致的法律糾紛造成信譽和資產損失333不能或錯誤地響應和恢復系統無法或錯誤地響應和恢復導致故障和損失334流量過載由于網絡中通信流量過大導致的網絡無法訪問N/A35說明：C 代表對機密性的破壞程度、I 代表對完整性的破壞程度、A 代表對可用性的破壞程度，N/A 表示對此項安全屬性無破壞或無意義。脆弱性評估脆弱性評估包括管理、運維和技術三方面內容。脆弱性評估過程是對信息系統中存在的可被威脅利用的管理和運維缺陷、技術漏洞分析與發現，并確定脆弱性被利用威脅的難易程度（賦值）的過

17、程。在本實施細則中，列出了信息安全管理、運維和技術三方面的檢查點，這些檢查點都是對信息安全防護工作的具體要求，如果信息系統的管理、運維和技術條件不滿足這些點的檢查要求，則視為一個缺陷或漏洞。脆弱性檢查表中標記了每個檢查點對機密性（C）、完整性（I）、可用性（A）是否有影響存（表示有影響）。檢查表結果參與實施指南中定義的風險計算和分析，以每一檢查點的實際得分情況和該檢查點的標準分值的比率來確定賦值，并由公司內專業技術支撐隊伍進行計算，方法如下：首先，按（1實際得分/標準分值）%，算出該檢查點的不滿足程度； 然后按下表對應賦值：標識等級（1實際得分/標準分值）%很高5大于等于 80%高4大于等于

18、60%，但小于 80%中3大于等于 40%，但小于 60%低2大于等于 20%，但小于 40%很低1小于 20%舉例說明：某檢查點標準分值 10 分，實際得分 8 分，則脆弱性賦值：首先取(18/10)%20%，然后按照上表對應，賦值結果為 2“低”。12 PAGE 19信息安全管理評估（總計：1200 分）安全方針（小計：130 分）檢查項目檢查內容標準分值評分標準實際得分CIA信息安全方針文件滿足國家、公司政策要求和本單位信息安全需求的獨立信息安全方針文件20檢查是否有獨立的信息安全方針文件，或者有包含信息安全方針內容的綱領性文件(沒有則該項不得分)信息安全方針文件中對信息安檢查方針文件是

19、否對信息安全整體目標進行了闡述(不符合扣 10 分)檢查方針文件是否對信息安全工作涉及的內容范圍進行了明確界定(不符合扣 6 分)檢查方針文件是否對信息安全相關工作的協調和配合提出了要求(不符合扣 4 分)全整體目標和信息安全工作范20圍的定義信息安全方針文件內容對國家檢查方針文件是否提出了以下要求相關內容：信息安全等級保護制度要求的落實情況、對信息系統重要性的10提出滿足信息安全等級保護制度的要求(不符合扣 4 分)對信息系統進行了明確等級劃分(不符合扣 4 分)定義3)提出了分等級保護的工作要求(不符合扣 2 分)檢查方針文件是否符合：信息安全方針文件內容對公司信息安全工作目標、原則的貫徹

20、20信息安全納入安全生產范疇的要求(不符合扣 8 分)公司信息安全三同步原則(不符合扣 8 分)3)主要業務系統的安全目標要求(不符合扣 4 分)信息安全方針對信息安全工作主要內容的闡述10檢查方針文件：是否列出了信息安全工作內容(不符合扣 8 分)工作內容是否符合國家、公司的要求(不符合扣 2 分)信息安全方針文件應經過單位最高層領導的審批，在單位內部進行討論和宣貫10檢查獨立的信息安全方針文件，或者包含信息安全方針內容的綱領性文件：是否經過本單位最高層領導的審批。(不符合扣 4 分)制定過程是否廣泛征求了各相關業務部門的意見（檢檢查項目檢查內容標準分值評分標準實際得分CIA查征求意見相關記

21、錄）(不符合扣 4 分)發布后是否進行了內部宣傳和學習。(不符合扣 2 分)信息安全方針文件中對信息安全檢查信息安全方針文件或包含相關內容的文件中是否提出了方針落實情況進行考核、評價的10考核或評價的要求、方法和內容。(無考核、評價要求扣 10 分，要求有考核要求無具體內容扣 4 分)檢查是否在涉及具體管理細節的內容點列出了相應的支持性信息安全方針文件中對各關鍵內容的支持性管理制度要求10管理制度文件名稱，例如：內部用戶不得訪問外部非法網站時列出了內網用戶行為管理辦法(有明顯制度文件缺失的點，每點扣 2 分，扣完為止)信息安全方針文件對自身的保密要求10檢查方針文件是否規定了本身的傳播范圍(沒

22、有規定范圍扣 8 分)檢查傳播范圍是否合理(不合理扣 2 分)信息安全方針文件中對進行修訂和審核的周期以及負責審核部門的要求10檢查是否定義了審核周期(不符合扣 6 分)檢查是否明確了負責審核的部門(不符合扣 4 分)信息安全公司機構（小計：100 分）檢查項目檢查內容標準分值評分標準實際得分CIA公司機構信息化領導小組應承擔信息安全領導職責，或者成立了包括高層領導的信息安全領導小組30檢查是否有機構成立的相關文件(不符合扣 30)信息安全第一責任人應為單位高層領導10檢查本單位是否自行制定了文件 (不符合本條扣 10 分)或者直接沿用上級單位下發的文件(僅符合本條得 4 分)成立跨部門的信息

23、安全工作協調機構來協調整體信息安全工作20檢查是否有機構成立的相關正式文件。(不符合扣 20 分)信息安全領導機構和信息安全工作協調機構的職責10檢查是否有領導機構職責定義文件(不符合扣 6 分)檢查是否有工作協調機構職責定義文件(不符合扣 4 分)專業信息管理部門應獲得高層授權開展日常的信息安全相關審核、審批工作10檢查信息管理部門是否有信息安全相關審核、審批權力(不符合扣 6 分)檢查是否有相關審核、審批記錄(不符合扣 4 分)應設置信息安全管理崗位，有專人負責信息安全整體工作的協調和落實10檢查是否有專人負責信息安全工作(不符合扣 6 分)檢查是否設置了信息安全管理崗位(不符合扣 4 分

24、)外部信息安全專家與外部信息安全專業機構或專家溝通順暢，在需要時能及時獲得外部信息安全機構或專家的建議和技術支持10有經常聯系的專業機構(不符合扣 6 分)專業機構能夠及時提供技術支持(不符合扣 4 分)人員安全管理（小計：70）檢查項目檢查內容標準分值評分標準實際得分CIA人員錄用對單位的新錄用人員要簽署保密協議101)2)檢查是否有相關管理要求(不符合扣 4 分)檢查是否有簽署的保密協議文件(沒有扣 6 分)人員離崗對即將離崗的員工應立即終止其在信息系統中的所有訪問權限101)2)查看員工離崗流程中是否有相關要求(不符合扣 4 分)檢查是否有終止訪問權限的表單(沒有扣 6 分)取回離崗人員

25、的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設備101)2)查看員工離崗流程中是否有相關要求(不符合扣 4 分)檢查是否有設備、證件等上繳表單記錄(無記錄扣 6 分)離崗人員應由人事部門辦理調離手續，并由離崗人員書面承諾調離后的保密義務101)2)查看員工離崗流程中是否有相關要求(不符合扣 4 分)檢查是否有簽署的離崗保密承諾文件(無記錄扣 6 分)第三方人員管理要求第三方人員在訪問前與公司簽署安全責任合同書或保密協議101)2)查看是否有對第三方訪問進行管理的規定(沒有扣 4 分)檢查是否有書面保證文件(沒有扣 6 分)對第三方人員訪問重要區域應以書面形式批準，并由專人全程陪同或監督，記

26、錄備案10檢查是否有審批記錄或監督記錄(沒有扣10分)對第三方人員允許訪問的區域、系統、設備、信息等內容應進行書面的規定，并按照規定執行10檢查是否有文件進行了規定(不符合扣10分)信息安全制度文件管理（小計：130）檢查項目檢查內容標準分值評分標準實際得分CIA信息安全策略體系建立信息安全策略體系，明確本單位需要的信息安全制度內容20檢查是否有描述信息安全策略體系的相關文件或定義信息安全管理制度的文件內容(沒有扣 20 分)信息安全制度管理定期對信息安全管理制度進行審核、修訂、更新、廢除過時的管理制度，制定、發布、宣貫新的管理要求10檢查是否有制度管理文件(沒有扣 10 分)檢查制度管理文件

27、內容是否明確了制度審核的周期（沒有扣 6 分）信息安全制度審核信息安全制度的修訂、更新和廢除10檢查制度修訂、更新和廢除的相關工作記錄或證明(沒有扣5 分)現有管理制度是否有明顯過時或已經不適用的內容(有則扣 5 分)信息安全管理制度機房管理制度，包括機房環境管理機房進出管理、機房內工作管理等內容8檢查機房管理相關制度文件，缺少一項內容扣2分U盤、光盤使用管理制度6缺U盤使用管理制度，扣除4分，缺光盤使用管理制度，扣除2分主機設備安全管理制度8檢查是否有相關管理制度(沒有扣8分)網絡設施安全管理制度8檢查是否有相關管理制度(沒有扣8分)物理設施分類標記管理制度6檢查是否有相關管理制度(沒有扣8

28、分)安全配置管理制度、系統分發和操作規章制度、系統文檔安全管理制度、測試和評估制度、系統信息安全備份制度10缺少一項管理內容,扣除2分網絡連接檢查評估制度、網絡使用授權制度、網絡檢測制度、網絡設施（設備和協議）變更控制制度等8缺少一項管理內容,扣除2分檢查項目檢查內容標準分值評分標準實際得分CIA應用系統上線前測評制度、應用系統上線后安全評估制度、應用系統使用授權制度、應用系統配置管理10缺少一項管理內容,扣除2分制度、應用系統文檔管理制度等人員安全管理制度、安全意識和安全技術教育制度、操作安全管理制度、操作系統和數據庫管理制度、系統運行記錄編寫制度、病毒防護管理制度、網絡互聯安全管理制度18

29、缺少一項管理內容,扣除2分，扣完為止安全審計管理制度、安全事件報告制度、事故處理制度、應急管理制度和災難恢復管理制度等信息分類標記制度、涉密信息安全管理制度、技術文檔管理制度、存儲介質管理制度、信息披露與發布8缺少一項管理內容,扣除2分，扣完為止審批管理制度等信息化建設中的安全管理（小計：400 分）檢查項目檢查內容標準分值評分標準實際得分CIA規劃設計階段的信息安全管理信息系統規劃過程中應進行明確的信息安全需求分析20抽取 12 個新建成系統，查看規劃階段形成的文件：是否有管理要求明確系統建設規劃階段必須進行信息安全需求分析(沒有扣 10 分)是否對建成后的系統運行環境進行了安全需求分析(沒

30、有扣 5 分)是否對業務應用本身進行了安全需求分析(沒有扣 5 分)在新系統建設或已有系統改造方案中，應包括安全要求20查看是否有管理要求對系統開發/采購過程提出明確的信息安全要求，沒有明確要求扣 10 分抽查 2 個新系統的建設方案，沒有提出明確安全要求，每個系統扣 5 分信息系統設計方案中應對軟件安全功能進行了設計20檢查信息系統設計方案中的安全功能設計是否與提出的安全需求相符(不符合扣 6 分)軟件開發過程中應實現設計方案中提出的安全功能20抽查 1 個已建系統是否實現了設計方案中提出的安全功能，無相關實現的，則該項不得分。實現部分的，則扣 10 分系統開發的安全管理驗證應用系統輸入的數

31、據、驗證不同類型輸入的出錯消息、響應驗證錯誤的流程、定義所有數據輸入過程中所涉及人員的職責等20抽取一個新建或在建系統的設計、開發文檔，查看管理/技術要求中對系統安全性的規定，無相關要求的，該項不得分。抽查系統測試記錄，若內容中無相關測試驗證結果說明扣 10 分嚴格控制訪問程序源碼庫20檢查是否：有制度要求，不符合扣 10 分落實情況，是否符合要求，不符合扣 10 分軟件開發外包：在與軟件開發單位簽訂的協議中，應明確知識產權的歸屬和安全方面的要求20查看管理要求中的相關規定，無相關要求的，該項不得分。抽查文檔記錄，若缺少相關文檔,則該項不得分軟件開發外包：在軟件安裝之前檢20查看管理/技術要求

32、中的相關規定，無相關要求的，該項不得 PAGE 29檢查項目檢查內容標準分值評分標準實際得分CIA測軟件包中可能存在的惡意代碼，并保留完整的測試記錄分。抽查測試記錄,沒有則該項為 0 分軟件開發外包：要求開發單位提供軟件設計的相關文檔和使用指南10查看管理要求中的相關規定，無相關要求的，該項不得分。抽查測試記錄,沒有則該項不得分自行開發：開發環境與實際運行環境應做到物理分離20查看是否有管理制度予以要求(沒有扣 10 分)檢查在建系統的開發環境是否符合要求(不符合扣 10 分)自行開發：系統開發文檔由專人負責保管，文檔使用應受到控制10查看管理要求中的相關規定，無相關要求的，該項不得分。抽查文

33、檔使用的權限控制記錄，沒有則該項不得分自行開發：制定開發方面的管理制度，以明確說明開發過程的控制方法和人員行為準則10若無相關制度，則該項為 0 分系統集成與采購中的安全管理提供規范的軟件設計文檔和使用指南10抽查設計文檔和使用指南(沒有扣 10 分)對程序資源庫的修改、更新、發布應經過授權和批準20查看管理要求中的相關規定，無相關要求的，該項不得分。抽查授權記錄，不能提供的該項不得分對廠商交付的主機操作系統、數據庫系統等進行了配置安全加固審核、操作系統安全補丁安裝情況審核20查看管理要求中的相關規定，無主機操作系統安全加固方面相關規定的，扣 10 分，無數據庫系統安全加固方面相關規定的扣 1

34、0 分應有機制確保采購和集成中的安全設備都通過了國家、公司相關機構的測評、認證20查看產品采購管理制度中的相關規定，無相關要求的，該項不得分。抽查測試記錄,沒有則該項為 0 分要求廠家針對其提供的系統或設備提供信息安全方面的技術服務10查看產品采購管理制度中的相關規定，無相關要求的，該項不得分密碼技術應用控制確定數據的敏感程度和所需的保護級別10若沒有相關策略,則該項為 0 分使用數字簽名保護電子文檔的真實性和完整性20查看管理方法中的相關規定，無相關要求的，該項不得分。若確定了保護等級,但缺少加密技術保護數據,則該項為 10 分;若未確定保護等級,則該項為 0 分檢查項目檢查內容標準分值評分

35、標準實際得分CIA使用不可否認服務10若未使用,則該項為 0 分新設備和新系統的接入管理新系統、新設備接入網絡運行的審核、審批管理制度16查看管理要求中的相關規定，無相關要求的，則該項不得分不經過信息安全審核的系統不能接入單位網絡運行16查看管理要求中的相關規定，無相關要求的，則該項不得分新建系統或新采購設備接入單位網絡時應經過信息安全的審批16查看管理要求中的相關規定，無相關要求的，則該項不得分信息安全監理制定信息安全監理管理相關規定10查看管理要求中的相關規定，無相關要求的，則該項不得分重大系統建設應引入第三方信息安全監理機制，確保系統建設過程中各環節的安全性6查看管理要求中的相關規定，無

36、相關要求的，則該項不得分對監理方的意見應給予充分的考慮6檢查相關會議記錄、問題答復(沒有扣 6 分)信息安全等級保護（小計：70 分）檢查項目檢查內容標準分值評分標準實際得分CIA等級保護定級按照公司信息系統統一定級情況對本單位信息系統定級進行核實10查看是否有定級情況核實工作的記錄(沒有扣 10 分)對不屬于公司統一定級范疇的信息系統自行開展定級工作10查看是否有定級文件(沒有扣 10 分)信息系統定級情況對各業務部門進行通報10查看是否有對各業務部門進行定級情況通報的文件(沒有扣 10分)等級防護工作根據各業務系統的定級進行安全域的劃分20查看是否根據業務系統的信息安全等級進行了安全域的劃

37、分(不符合扣 20 分)針對不同等級信息系統制定等級保護方案20查看是否制定了等級保護方案(沒有扣 20 分)信息安全評估管理（小計：80 分）檢查項目檢查內容標準分值評分標準實際得分CIA信息安全評估、評測管理制定評估、評測管理辦法20查看評估、評測管理相關文件(沒有扣20分)確定管理辦法文件經過高層審批并頒發(不符合扣16分)評估管理辦法中應對規劃、設計階段的信息系統提出安全性評估要求10查看評估管理規定是否有相關要求(沒有扣10分)新系統上線必須通過運行環境安全性評估、系統軟件安全性評測20查看評測管理相關文件是否有相關內容(沒有扣10分)抽查12個系統，查看是否進行了相關安全評估和評測

38、工作(沒有扣10分)管理信息系統定期開展信息安全風險評估工作20查看是否有定期對管理信息系統風險評估的記錄或報告(沒有扣20分)系統更新或設備報廢時，對廢棄系統和設備中殘留數據執行評估和銷毀程序10查看是否有系統更新或設備報廢的數據清除或銷毀記錄(沒有扣10分)信息安全的宣傳與培訓（小計：60 分）檢查項目檢查內容標準分值評分標準實際得分CIA信息安全宣傳協調政工等部門進行信息安全宣傳工作10查看是否有信息安全相關宣傳工作的記錄(沒有扣 10 分)對外來工作人員進行本單位信息安全政策的宣傳和提示10查看是否有對外來工作人員進行本單位信息安全政策和管理要求進行提示或宣傳的證明(沒有扣 10 分)

39、信息安全培訓對公司單位相關人員進行信息安全普及性培訓與宣傳工作10查看是否有信息安全普及性培訓的工作記錄(沒有扣 10 分)檢查項目檢查內容標準分值評分標準實際得分CIA制定專業人員的信息安全培訓計劃、并進行專業的信息安全培訓20查看是否有對專業人員進行信息安全培訓的管理要求，或培訓計劃(沒有扣 10 分)查看是否有對專業人員進行過信息安全培訓(沒有扣 10分)各單位信息化管理、運行等部門負責人、信息安全管理員、系統管理員、數據庫管理員、網絡管理員等在上崗前應經過網絡與信息安全培訓10查看是否有相關管理規定(沒有扣5分)查看有是否進行過崗前培訓的證明(沒有扣5分)信息安全監督與考核（小計：60

40、 分）檢查項目檢查內容標準分值評分標準實際得分CIA信息安全監督建立信息安全監督機制，對所轄單位信息安全工作情況進行定期評價14查看是否有信息安全監督的文檔(沒有扣 7 分)查看是否有監督的記錄(沒有扣 7 分)建立信息安全檢查機制，確保在春秋安全大檢查中對信息安全情況進行檢查10查看是否有管理制度規定將信息安全納入春秋安全大檢查的工作中(沒有扣 4 分)檢查當年的春檢或秋檢中是否進行了信息安全方面的檢查工作(沒有扣 6 分)落實公司同業對標工作10檢查是否落實了公司同業對標工作(沒有扣 10 分)信息安全考核建立信息安全考核辦法，根據各單位信息安全狀況、信息安全工作執行情況進行考核10檢查信

41、息安全考核相關管理規定中是否對信息安全狀況、工作執行情況等提出了具體的考核辦法(沒有扣 10 分)將網絡與信息安全防護工作的表現納入員工的崗位責任制10查看相關崗位職責文件(不符合扣10分)信息安全考核制度中明確了獎、懲辦法6查看信息安全考核相關管理規定中是否有明確了獎懲辦法(沒有扣 6 分)符合性管理（小計：100 分）檢查項目檢查內容標準分值評分標準實際得分CIA法律符合性在信息系統相關的合同條文中明確適用的法律、法規條文10抽查 12 個信息系統建設合同文本，檢查是否包含了相關法律、法規責任(沒有扣 10 分)所有信息系統相關的合同應經過法律事務部門的審核10抽查 12 個信息系統建設合

42、同文本，檢查是否經過法律事務部門的審核(沒有扣 10 分)制定系統運行管理技術人員不得利用職權侵犯他人隱私的管理規定10檢查是否有相關管理內容(沒有扣 10 分)知識產權保護制定或沿用上級單位知識產權管理的制度10檢查是否有明確的知識產權相關管理制度(沒有扣 10 分)在所有軟件開發合同、協議中明確知識產權的歸屬20抽查相關合同、協議文件，查看知識產權保護的內容(不符合扣20分)確保軟件知識產權證書、文檔、手冊、源代碼及可執行程序都已提交相關管理部門10抽查12個信息系統建設的歸檔文件，查看相關內容、記錄是否齊全(一項缺失扣5分)在集成、開發、采購合同中向乙方提出確保系統來源合法，提交相應產權

43、證明材料的要求20抽查12個信息系統集成或采購合同文本，查看是否有相關的要求(沒有扣10分)制定限制內部員工在單位設備上私自使用、安裝盜版軟件的管理內容10查看是否有相關管理內容(沒有扣10分)信息安全運行維護評估（總計：900 分）信息系統運行管理（小計：200 分）檢查項目檢查內容標準分值評分標準實際得分CIA崗位職責網絡設施應指定專職的網絡管理技術人員負責運行維護20查看是否有指定的網絡管理人員文件(沒有扣 20 分)各種信息安全技術設施應指定專職的信息安全技術人員負責運行維護20查看是否有指定信息安全技術措施運行管理人員的文件(沒有扣 20 分)各業務系統應指定專職的技術人員負責運行維

44、護20查看是否有指定業務系統運行維護專責的文件(沒有扣 20 分)各系統服務器、數據庫系統等應指定專職的系統管理技術人員負責運行維護工作20查看是否有指定相關運行維護專責的文件(沒有扣 20 分)明確界定各專責的工作職責與工作范圍10查看所有崗位是否有定義文件(沒有扣 10 分)實行主、副崗備用制度10查看是否所有崗位都指定了主、副負責人員 (沒有扣 10 分)運行管理根據公司總部頒發的信息系統運行管理規程制訂本單位的運行管理規程20檢查是否有運行管理規程(沒有扣 20 分)對信息系統的重要操作實行工作票、操作票制度20檢查是否有近 3 個月來的工作票、操作票(沒有扣 20 分)機房出入管理制

45、度張貼于恰當的位置10檢查相關制度是否張貼于機房墻壁上(沒有扣 10 分)近 3 個月的機房進出情況20檢查近三個月機房的進出記錄(沒有扣 20 分)運行值班制度中應規定普通情況下 58 小時、關鍵時期 724 小20檢查是否有相關的值班要求(沒有扣 20 分)檢查項目檢查內容標準分值評分標準實際得分CIA時的現場值班內容對值班人員的值班計劃進行安排，近 3 個月值班記錄內容10檢查近三個月的值班安排和記錄表(沒有扣 10 分)資產分類管理（小計：80 分）檢查項目檢查內容標準分值評分標準實際得分CIA資產清單維護每個信息系統重要資產的清單或登記20查看資產清單(沒有扣 20 分)每個信息資產

46、都明確其責任人，資產清單中明確記錄資產的物理位 置，定義并認可安全分類20查看系統資產清單內容(不符合扣 20 分)設備管理完備的設備驗收流程，并提交書面驗收報告10檢查是否有驗收流程(沒有扣 6 分)檢查是否有設備驗收報告(沒有扣 4 分)設備的運行管理應定期檢查、巡視和維護10抽查近三個月的巡視、維護和檢查記錄(沒有扣 10 分)對設備的改造與更新應做到事前計劃和事后記錄10檢查一年內的計劃和記錄文件(沒有扣 10 分)未經適當的授權不允許帶走設備、信息或軟件10抽查近半年設備、信息或軟件的使用記錄(沒有扣 10 分)配置與變更管理（小計 80 分）檢查項目檢查內容標準分值評分標準實際得分

47、CIA配置管理對信息系統的配置參數進行管理、建立系統、設備的配置參數定義文件庫（如：所有防火墻的規則配置文件）15檢查是否建立了配置文件庫(沒有扣 15 分)檢查項目檢查內容標準分值評分標準實際得分CIA對各系統初始化軟硬件配置環境進行記錄和備份15檢查是否有初始化配置清單、或文件庫(沒有扣 15 分)變更管理對系統中發生的變更，應有流程對其進行確認并制定變更方案10檢查是否有變更審核流程(沒有扣 7 分)檢查近一年的變更方案(沒有扣 3 分)重要系統變更前，應經過主管領導申請、變更方案經過評審、審批后方可實施變更的工作流程10檢查近一年的變更審核、審批記錄(沒有扣 10 分)對變更影響進行分

48、析和變更實施過程進行文檔記錄15檢查近一年的變更工作記錄(沒有扣 15 分)設備型號、網絡結構發生變化時，應能在第一時間反映到相應的配置文件、拓撲結構圖中15檢查最新的拓撲結構圖是否和系統情況完全相符(不符合扣 15 分) PAGE 34業務連續性管理（小計：200）檢查項目檢查內容標準分值評分標準實際得分CIA應急預案根據公司應急預案管理辦法制定相應的應急預案10查看是否有針對公司信息安全事件的應急預案(沒有扣 10分)制定針對重要系統的專項應急預案10查看是否針對所有重要系統都有應急預案(沒有扣 10 分)對應急預案進行定期演練10查看一年內的應急預案演練記錄(沒有扣 10 分)所有相關人

49、員應清楚地知道自己在應急響應中的角色和職責10根據應急預案，抽查 2 名相關人員，檢查其是否明確自己的角色和職責(一人不清楚扣 5 分)定期對應急預案進行評估和修訂10檢查近兩年應急預案的評估和修訂記錄(沒有扣 10 分)通報機制按照國家電網公司的要求建立及時的信息安全信息通報機制10檢查是否有專人負責信息安全通報(沒有扣 6 分)檢查是否有通報記錄(沒有扣 4 分)主機備份關鍵業務系統主機應有備用設備10檢查關鍵系統主機是否有備用設備(沒有扣 10 分)采用熱備份方式的主機應進行故障切換測試10檢查熱備系統是否進行過切換測試(沒有扣 10 分)采用負載均衡方式的系統主機應進行故障壓力測試10

50、檢查負載均衡系統是否進行過壓力測試(沒有扣 10 分)數據備份與恢復制定詳細的數據備份策略，對每個系統和系統數據按照備份策略定期進行備份20查看是否制定了數據備份策略(沒有扣 10 分)策略內容是否對每個系統和數據的備份都提出了要求(沒有扣 10 分)備份數據與原始數據存放于不同的物理環境中10查看備份數據是否與原始數據存放在不同物理環境中(不符合扣 10 分)進行過備份數據的恢復演練10檢查是否進行過備份數據的恢復測試(沒有扣 10 分)網絡可靠性保障關鍵系統的通信鏈路采取雙鏈路方式10檢查關鍵通信鏈路是否采取了雙鏈路方式(不符合扣 10 分)關鍵網絡節點設備應有備份措施，確保設備故障后可以

51、及時更換設10檢查關鍵網絡節點設備是否有備份(沒有扣 10 分)檢查項目檢查內容標準分值評分標準實際得分CIA備定期對光纖設備進行可靠性測試10查看近一年的測試記錄(沒有扣 10 分)光纜采用走多路豎井的方式進入辦公大樓10檢查光纜進入機房的方式(不符合扣 10 分)電源可靠性保障采用 UPS 設施，確保停電后系統的供電安全10檢查是否有 UPS 系統(沒有扣 10 分)UPS 設施的容量10檢查 UPS 設備容量是否充足(不充足扣 10 分)UPS 充放電試驗10檢查 UPS 系統近兩年來的充放電測試記錄(沒有扣 10 分)物理環境安全（小計：220 分）檢查項目檢查內容標準分值評分標準實際

52、得分CIA機房安全防護機房場地避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁4(不符合扣 4 分)機房場地避開強電場、強磁場、強震動源、強噪聲源、重度環境污染、易發生火災、水災、易遭受雷擊的地區8(不符合扣 8 分)所有機房安裝門禁、監控與報警系統10檢查機房設施(不符合扣 10 分)機房出入口有專門人員或設施值守，鑒別進入的人員身份并進行記錄10檢查機房出入情況(不符合扣 10 分)對于進入機房的來訪人員，限制和監控其活動范圍20檢查對外來人員的活動是否進行約束(不符合扣 20 分)檢查項目檢查內容標準分值評分標準實際得分CIA機房的四壁使用非透明的介質， 如墻壁、窗簾、磨砂玻璃等，

53、以避免走廊或窗外建筑對機房內的設備、標記與操作的直視8(不符合扣 8 分)防盜竊/破壞將通信線纜鋪設在隱蔽處（如鋪設在地下或管道中等）8(不符合扣 8 分)機房防盜/防破壞能力12(不符合扣 12 分)機房監控報警系統12(不符合扣 12 分)機房供、配電機房配線圖8檢查配線圖和更新記錄(沒有扣 8 分)將動力、照明用電與計算機系統供電線路分開20(不符合扣 20 分)設置穩壓器和過電壓防護設備8檢查是否有穩壓器和過電壓防護設備(沒有扣 8 分)隔離電源線和通信線纜，避免互相干擾8(不符合扣 8 分)對重要設備和磁介質實施電磁屏蔽8(不符合扣 8 分)機房配備應急照明裝置4檢查應急裝置(沒有扣

54、 4 分)對機房內設備的電源要求進行登記與統計4檢查登記和統計記錄(沒有扣 4 分)機房環境防護氣體防火措施10檢查防火措施(不符合扣 10 分)火災自動消防系統，自動檢測火情、自動報警、自動滅火18檢查消防系統(不符合扣 18 分)機房建筑的避雷裝置8檢查是否設置了避雷裝置(沒有扣 8 分)接地等防靜電措施8檢查防靜電措施(沒有扣 8 分)定期對空調系統進行檢查8檢查空調系統維護日志(沒有扣 8 分)恒溫恒濕系統，使機房溫、濕度的變化在設備運行所允許的范圍之內8檢查恒溫恒濕系統(沒有扣 8 分)檢查項目檢查內容標準分值評分標準實際得分CIA防水與防潮8檢查機房防水措施(不符合扣 8 分)設備

55、與介質安全（小計 120 分）檢查項目檢查內容標準分值評分標準實際得分CIA介質管理敏感數據的信息處理設備及存儲介質應妥善存放，以減少使用時被瀏覽的風險10(不符合扣 10 分)紙張及計算機介質不用時（特別是在規定工作時間之外），應存儲在合適的能夠上鎖的柜子內而不是散落于各處10(不符合扣 10 分)有敏感信息的存儲介質應被物理銷毀或安全的覆蓋，而不是使用遺棄或刪除功能（如：紙張應采用碎紙機等設備進行銷毀）15(不符合扣 15 分)U 盤、移動硬盤等存儲介質應有資產記錄和責任人5檢查資產記錄情況(沒有扣 5 分)磁盤、光盤等存儲介質應有專人保管10檢查保管記錄(不符合扣 10 分)筆記本使用管

56、理制度5檢查是否有管理制度(不符合扣 5 分)定期對存放在介質庫中的介質進行完整性和可用性檢查，以確認介質內容沒有受到損壞或丟失5檢查存放、檢查日志(不符合扣 5 分)有備用的硬盤、磁帶等存儲設備， 以及時緩解存儲空間的不足或替換損壞的介質10檢查備用介質(不符合扣 10 分)檢查項目檢查內容標準分值評分標準實際得分CIA設備安全對在信息處理設備附近飲食及吸煙的控制策略5(沒有扣 5 分)按供應商的建議進行服務間隔及規格維護5(不符合扣 5 分)只有授權的維護人員才可以修理設備5(不符合扣 5 分)記錄所有可疑的或真實的故障，以及所有防范及改正措施10(不符合扣 10 分)備份設備及備份介質放

57、置在距離主設備有一段距離的安全區域, 以避免工作地點發生災難時受到破壞10(不符合扣 10 分)主機、設備本身應具備一定的抗電磁干擾能力5(不符合扣 5 分)擺放設備的機柜應有鑰匙鎖定，對鑰匙的管理應有相應的規定10(不符合扣 10 分)信息安全技術評估（總計：900 分）網絡安全（包括架構、路由和交換設備 小計：120 分）.網絡架構（小計：43 分）檢查項目檢查內容標準分值評分標準實際得分CIA網絡架構網絡拓撲結構的合理性和可擴展性6檢查網絡拓撲結構，如不符合或無網絡拓撲則記為 0 分局域網核心交換設備、廣域網核心路由設備應采取設備冗余或準備了備用設備，同時路由鏈路也應該施行冗余方式6檢查

58、拓撲結構和實際情況，發現一個問題扣 2 分，扣完為止對網絡的邊界接入方式進行過全面的安全分析并有分析記錄2檢查分析記錄，如不符合則此項記為 0 分對網絡管理協議進行安全設置、業務系統采用相對可靠的安全協議3驗證安全設置與安全協議，發現一個問題扣 2 分，無安全設置和安全協議不得分不應有不經過防火墻的外聯鏈路3檢查拓撲、網絡分析，如發現外聯則此項不得分在相關網絡的隔離點，設立合理的訪問控制3檢查拓撲和配置文檔，如無訪問控制則此項不得分對網絡異常流量進行分析、明確的流量管理目標以及對服務質量保障（QoS）措施評價3檢查分析報告，無相關內容則此項不得分有網絡故障的分析手段、并對網絡故障分析的資料進行

59、分類整理3檢查網絡故障分析手段，沒有或不可用則記為 0 分當網絡結構發生變化時，應有流程或制度及時記錄與變更網絡拓撲2檢查管理制度、變更記錄，如沒有或不可用則記為 0 分 PAGE 39檢查項目檢查內容標準分值評分標準實際得分CIA信息給網絡的每個節點規劃足夠的帶寬2檢查網絡分析，如不符合則記為 0 分1）檢查是否進行網絡安全域劃分，沒有劃分則記為 0 分網絡安全域劃分、技術文檔以及安全控制32）檢查是否有網絡安全域劃分的技術文檔，沒有文檔扣 1 分3）檢查信任網絡和不信任網絡之間是否有安全控制，沒有安全控制則記為 0 分網絡安全域劃分根據各部門的工作職能、重要性、所涉及信息的重要程度等因素，

60、劃分不同的網絡安全域，并按照方便2檢查安全域的劃分，如不符合則記為 0 分管理和控制的原則為各子網、網段分配地址段各個獨立網絡節點的安全控制策3檢查網絡節點的安全控制，如不符合則記為 0 分略VLAN 間訪問控制的合理性2檢查拓撲結構、網絡設備配置，如不符合則記為 0 分.路由和交換設備（小計：42 分）檢查項目檢查內容標準分值評分標準實際得分CIA網絡設備網絡設備配置進行備份（電子、物理介質）3檢查備份設備，缺失一項扣 2 分，扣完為止網絡設備名稱應具有合理的命名體系和名稱標識（便于網管人員迅速準確識別）1檢查管理記錄，如不符合則此項記為 0 分關鍵網絡設備采用雙電源3檢查關鍵設備，如不符合