火力发电发电厂安全性评价B.doc

序号 评 价 项 目 标准分 查评方法 评分标准及办法 备 注 2.7 网络安全 800 新增内容 2.7.1 基础管理 160 2.7.1.1 组织与岗位职责 20 1） 具备完整安全管理体系，配备专业岗位人员和各层次兼职岗位人员 10 相关文件及记录 体系不完整扣1-5分；未配备专业岗位人员扣3分，体系内人员不完整酌情扣1-2分 2） 明确界定体系内各专责人员的工作职责与工作范围 10 相关文件 无工作职责与工作范围扣5分，工作职责与工作范围不完整酌情扣1-5分 2.7.1.2 网络管理制度 20 1） 制定了局域网、广域网运行管理标准、运行规程 10 书面文件 无明确标准扣5分，标准不全扣1～5分，无运行规程扣5分，规程不全扣1～5分 2） 组织贯彻执行上级有关网络系统的指示、规定、标准，有具体实施细则 5 相关文件及记录 指示、规定、标准不全扣3分无实施细则扣2分 3） 对本单位因网络设备损坏等突发事件制定相关应急措施 5 相关文件及记录 无相关措施文档不得分，措施不全扣1-5分 2.7.1.3 系统管理制度 40 1） 制定防火墙规则配置的设置建立、更改制度，制定更改流程 5 查看相关制度 检查规章制度，如无制度扣3分，无更改流程扣2分 2） 建立主机、网络、数据库、应用系统安全管理制度，及移动介质（如U盘、光盘）使用管理制度 10 查看相关制度 缺少一项管理制度，扣1分 3） 建立服务器、存储、备份系统具体管理制度和运行规程 10 书面文件 每少一项扣3分 4） 服务器的补丁管理制度 5 检查相关文档 无制度不得分 5） 建立数据库系统的管理制度和运行规程为确保其有效版本，应建立标准的更新制度和记录 5 书面文件 每少一项扣2分；未建立标准更新制度或半年内未进行更新的项目扣1分 6） 建立防病毒系统，并规定防病毒预警机制及处置预案 5 检查文件和系统设置 无防病毒系统扣4分，无方案扣1分 2.7.1.4 计算机使用管理规定 20 1） 实施上网行为管理系统并制定上网行为管理制度或规范 5 检查文件和系统设置 无管理制度或规范，扣2分，无上网行为管理系统，扣3分 2） 办公自动化、内外网站、邮件管理及使用制度 10 查看相关制度 每少一项扣3分 3） 制定计算机使用制度（口令、机器名、补丁、防病毒、个人防火墙等） 5 查看相关制度 无制度不得分，每少一项扣2分 2.7.1.5 信息机房制度 20 1） 机房的管理制度（包括机房准入准出制度、机房内相关操作制度） 10 查看相关制度 缺一项扣5分 2） 机房维护手册（应用系统、网络系统主机、存储系统） 10 检查文件 缺一项扣3分 2.7.1.6 其它管理制度 40 1） 建立各应用系统的管理制度和运行规程 10 查看相关制度 制度及规程不全酌情扣分 2） 制订了安全系统的运行管理规程 10 检查相关规程 无运行管理规程不得分；规程不完善酌情扣5分 3） 建立了桌面用户管理系统并覆盖了全部用户 5 检查系统 未建立桌面用户管理系统不得分，未覆盖全部用户酌情扣分 4） 信息系统安全应急预案管理制度 10 查看相关制度 无制度不得分，不完善酌情扣分 5） 数据存储、备份管理制度 5 查看相关制度 无制度不得分，不完善酌情扣分 2.7.2 技术管理 450 2.7.2.1 技术管理通用要求 60 1） 建立设备台帐，包括：型号、主要参数、制造厂家、出厂日期、投运日期等 20 查阅书面台帐或电子文档 无台帐扣20分，不全面扣5-10分 2） 关键设备采用冗余配置（设备本身及电源） 10 检查关键设备 不符合扣5-10分 3） 对设备配置进行备份（电子、物理介质） 10 检查备份设备 缺一项扣5分 4） 设备名称应具有合理的命名体系和名称标识 10 检查管理记录 无命名体系扣5分，标识不清晰酌情扣分 5） 存档资料统一编号分类管理，有电子文档便于查询 5 存档记录 每无一项分类资料扣3分，每无一项电子文档扣2分 6） 系统及设备口令采取强密码，重要设备及系统口令定期更换 5 抽查设备 未采取强密码扣3分，重要设备及系统口令未定期更换扣2分 2.7.2.2 网络系统 90 1） 网络拓扑结构的合理性和可扩展性 10 查阅网络拓朴图、专责人查问 无网络拓朴图扣5分，结构不合理扣1-5分 2） 不应有不经过防火墙的外联链路 10 查阅设备连接情况、网络拓朴图 不符合要求不得分 3） 在相关网络的隔离点，设立合理的访问控制 10 查阅设备配置、记录文档 无访问控制扣5分，访问控