本质安全型火力发电企业安全风险管控效果评估设备单元.pptVIP

;3.5信息网络平安;;;3.5.1管理制度〔40分〕

风险控制重点

1.建立网络、系统及机房管理制度；

2.管理制度应包括信息系统、设备运行、备份、平安管理、机房管理等内容；

3.信息平安管理制度应对机构与职责，软、硬件的平安措施，系统应用评估与考核进行规定

查评暴露问题：

1.有的企业信息平安管理制度中缺少系统应用评估方面的内容。

2.制度内容不健全，无专门的信息人员修编制度，制度未履行审批程序。

3.有企业对信息工作重视程度不够，表现在岗位人员少、工作量大、管理不标准，员工工作质量达不到标准。;3.5.2.2设备检测安装

风险控制重点

1．检查设备资料，应使用经国家信息平安测评机构认可的信息平安产品；

2．不直接采用境外密码设备；

3．信息系统中的所有设备必须是经过测评认证的合格产品；

4．新选的设备应符合国家标准?数据处理设备的平安?、?电动办公机器的平安?中规定的要求，其电磁辐射强度、可靠性及兼容性应符合现代平安管理等级要求

查评暴露问题：

某厂检查设备资料，信息系统中安装的隔离装置无法确认是经国家权威机构测试和平安认证过的产品，信息管理人员拿不出证明材料。;3.5.2.5设备运行维护

风险控制重点:

建立设备巡检记录，规定设备巡检周期和检查标准，发现问题及时处理，并录入设备运行日志

管控效果评估:

1．无记录不得分；

2．记录内容不全的扣20%标准分

查评暴露问题：

存在缺少巡检管理标准，没有建立设备运行日志，巡检记录的情况。有的企业巡检管理标准对巡检周期规定不合理，如规定对网络巡检周期为〞每季度“，对信息机房规定为〞定期“，可操作性不强。;3.5.3软件平安管理

3.5.3.1需求提出与分析

风险控制重点:

1．建立和完善需求分析报告；

2．使用部门提出需求申请；涉及多个业务部门的，要经过相关业务部门分析讨论，并经过分管领导审核

管控效果评估:

1．无记录不得分；

2．记录不符合要求的扣20%标准分

查评发现问题：

有的企业软件功能增减未见使用部门提出需求申请，已有的需求分析报告，涉及到多个业务部门的工程,存在未经过相关业务部门分析讨论，未经分管领导审核的情况。;3.5.3.3软件的试运行与验收

风险控制重点:

1．建立和完善软件系统上线试运行报告；

2．检查软件系统验收报告，验收报告应包括功能测试、性能测试和平安测试

管控效果评估:

1．无报告不得分；

2．报告内容不全的扣20%标准分

查评问题：

存在缺少软件系统上线试运行报告和软件系统验收报告的情况，如某厂未见MIS系统、生产任务单系统、星级考评系统上线运行报告和验收报告。;3.5.3.5软件的使用和维护

风险控制重点:

1．建立软件系统使用手册、维护记录；

2．每个信息系统应指定一个系统管理员；

3．系统管理人员应对软件系统的组织、人员、权限等进行维护；对数据库等后台支撑环境进行维护，保证系统正常运行；

4．系统管理员应每天对系统及相关设备进行巡检，及时发现并处理问题

管控效果评估:

1．无记录扣20分；2．记录内容不全的扣20%标准分；

3．系统未指定管理员扣20%标准分

查评暴露问题：

查过的多个企业信息中心都是2-3名系统管理员，管理30多个系统，未能做到每天对系统及相关设备进行巡检。;3.5.3.7系统备份管理

风险控制重点:

1．建立系统和数据备份相关管理制度；

2．应建立定期备份机制，并按规定进行数据和系统备份

管控效果评估:

1．无相应制度扣20%标准分；2．备份不符合规定的扣20%标准分

查评发现问题：

数据和系统的备份没有做异地备份，不满足?大唐集团公司信息系统数据管理方法?〔大唐集团制〔2021〕46号〕中第十七条“原那么上备份数据应保存在原数据运行环境之外的建筑物内，重要数据应做同城异地〔两地距离应大于2公里〕备份〞的规定。;;;信息系统防护;3.5.5场地设施管理

风险控制重点:

设立机房巡检记录、机房出入管理记录；按规定周期和内容要求巡视场地设施，发现异常及时处理

管控效果评估:

1．无记录扣20分；2．记录内容不全的扣20%标准分

查评发现问题：

有企业信息系统机房设施存在一些问题：机房供电线路上没有配置稳压器和过电压防