电力信息系统信息安全检查规范及相关机理探析.docVIP

电力信息系统信息安全检查规范 Electric Power Information System Information Security Inspection Standard （V3.1） （征求意见稿） （本稿完成日期:2015-06-16） XXXX - XX - XX发布 XXXX - XX - XX实施 GB XXXX—XXXX ????? 中华人民共和国国家标准 目??次 前??言 VII 引??言 VIII 电力信息系统信息安全检查规范 1 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 3.1 管理信息类系统（Management Information System） 1 3.2 生产控制类系统（Production Control System） 1 3.3 电力信息系统 2 3.4 控制区（Control area） 2 3.5 非控制区（Non-control area） 2 3.6 信息安全检查(Information Security Inspection) 2 4 检查内容的三种类型 2 5 检查工作流程 2 5.1 检查准备 2 5.1.1 检查准备过程工作内容 2 5.1.2 准备过程的角色和责任 3 5.2 检查实施 3 5.2.1 检查实施过程工作内容 3 5.2.2 现场检查过程的角色和责任 4 5.3 检查结果分析 4 5.3.1 检查结果分析工作内容 5 5.3.2 检查总结过程的角色和责任 5 6 检查内容的选择方法 5 6.1 全覆盖法 5 6.2 随机抽取法 5 从备选检查内容中按照索引目录从各检查类中随机抽取检查项。 5 6.3 重点项抽取法 5 6.4 增项检查法 5 7 备选检查内容 5 7.1 组织体系 5 7.1.1 第一责任人确立（G） 5 7.1.2 信息安全责任落实（G） 6 7.1.3 专职机构及岗位设置（G） 6 7.1.4 安全人员配置（G） 6 7.2 规章制度 7 7.2.1 整体策略及总体方案制定（G） 7 7.2.2 制度制定及体系完整性（G） 7 7.2.3 操作规程制定（G） 7 7.2.4 制度发布（G） 7 7.3 资金保障 8 7.3.1 经费预算（G） 8 7.3.2 安全建设经费投入（G） 8 7.3.3 安全运维经费投入（G） 8 7.4 人员安全管理 9 7.4.1 安全培训与考核（G） 9 7.4.2 保密协议签订（G） 9 7.4.3 人员审查（G） 9 7.4.4 岗位调整管控（G） 9 7.5 服务外包管控 10 7.5.1 外包服务协议（G） 10 7.5.2 外部人员访问管理（G） 10 7.5.3 远程服务管控（G） 10 7.5.4 现场开发管控（G） 11 7.6 关键信息资产管控 11 7.6.1 资产管理（G） 11 7.6.2 资产维修报废管理（G） 11 7.7 信息系统建设安全管理 11 7.7.1 技术监督与审核（P） 12 7.7.2 上线安全测评（G） 12 7.7.3 等级保护建设（G） 12 7.7.4 等级测评开展情况（G） 12 7.7.5 风险评估（G） 13 7.7.6 产品采购和使用（G） 13 7.7.7 核心产品采购测试（G） 14 7.7.8 安全产品国产化情况（G） 14 7.8 安全分区防御体系 14 7.8.1 大区间隔离（P） 14 7.8.2 生产控制大区内部逻辑隔离（P） 14 7.8.3 纵向认证（P） 15 7.8.4 跨区连接管控（P） 15 7.8.5 安全接入区（P） 15 7.8.6 内外网隔离（M） 16 7.9 网络安全防护 16 7.9.1 生产控制大区防护（P） 16 7.9.2 管理信息大区防护（M） 16 7.9.3 互联网出口统一管理（M） 17 7.9.4 互联网出口安全管控（M） 17 7.9.5 无线网络安全应用（G） 17 7.9.6 移动式设备安全接入（G） 18 7.10 主机和设备安全防护 18 7.10.1 补丁更新（G） 18 7.10.2 恶意代码防护（G） 18 7.10.3 系统安全整改加固（G） 19 7.10.4 移动存储介质管理（G） 19 7.10.5 办公终端管控（M） 19 7.10.6 主机和设备账号口令管理（G） 20 7.11 应用系统和数据安全防护 20 7.11.1 应用系统安全功能及配置（G） 20 7.11.2 面向互联网服务系统安全监控和攻击防御（M） 20 7.11.3 面向互联网服务系统周期测试（M） 21 7.11.4 应用系统账号口令管理（G） 21 7.11.5 重要数据安全保护（G） 21 7.12 物理环境安全防护 21 7.12.1 机房安全建设（G