電力行業網絡信息安全檢查方案
為貫徹落實《國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》(國辦函〔2012〕102號)要求,結合電力行業信息安全工作實際,制定電力行業網絡與信息安全檢查方案。
一、檢查依據
1.《國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》(國辦函〔2012〕102號);
2.《電力行業網絡與信息安全監督管理暫行規定》(電監信息〔2007〕50號)。
3.《電力二次系統安全防護規定》(電監會5號令)。
二、檢查目的
通過開展電力行業網絡與信息安全檢查,全面掌握重要電力網絡與信息系統基本情況,分析面臨的安全威脅和風險,評估安全防護水平,查找突出問題和薄弱環節,有針對性地采取防范對策和改進措施,加強網絡與信息系統安全管理、技術防護和人才隊伍建設,促進安全防護能力和水平提升,預防和減少重大信息安全事件的發生,切實保障電力網絡與信息系統安全,維護電力系統安全穩定運行,保障*****大順利召開。
三、檢查范圍
各電力企業運行使用的網絡和信息系統,重點檢查信息安全保護等級為3級及以上的重要網絡與信息系統。
四、檢查方式
本次檢查按照“誰主管誰負責、誰運行誰負責”的原則,采用電力企業自查、電監會派出機構對轄區內電力企業自查情況、自查質量進行跟蹤檢查和電監會組織專門隊伍同時進行抽查相結合的方式。
五、檢查內容
本次信息安全檢查主要分基本情況調查、安全防護情況檢查和問題及風險分析三個方面。
(一)網絡與信息系統基本情況調查。
主要調查系統特征,包括系統停止運行后對主要業務的影響程度,系統遭到攻擊破壞后對社會公眾的影響程度等;系統構成,包括主要軟硬件設備的類型、數量、生產商等;信息技術外包服務,包括服務類型、服務提供商、服務方式、安全保密協議等。各單位要在全面調查的基礎上,匯總填寫《電力行業信息安全檢查情況報告表》(見附件1)。
(二)安全防護情況檢查。
各單位主要從以下15個方面對本單位信息安全防護情況進行重點檢查,并在認真檢查的基礎上,如實填寫《電力企業信息安全檢查表(2012版)》(見附件2)。
1.組織體系建設情況。信息安全組織機構建立情況;第一責任人確立情況;責任落實情況;專職機構及崗位設置情況;安全人員配置情況等。
2.規章制度建立情況。整體策略及總體規劃(方案)制定情況;管理制度制定情況及制度體系完整性;操作規程制定情況;制度發布情況等。
3.資金保障情況。經費預算情況;安全運維經費投入情況;安全建設經費投入情況等。
4.人員安全管理情況。全員安全培訓及保密協議簽訂情況;專業技能培訓情況;崗位人員審查情況;崗位調整安全管控情況等。
5.服務外包管控情況。外包服務協議簽訂情況;第三方人員訪問管理情況;遠程服務管控情況;現場開發管控情況等。
6.關鍵信息資產管控情況。資產清單的建立情況;資產管理職責的落實情況;信息系統基礎資料歸檔情況等。
7.信息系統建設安全管理情況。系統上線安全測評情況;等級保護建設情況;等級保護測評情況;信息安全風險評估開展情況;密碼產品采購情況;信息產品采購測試情況;安全產品國產化情況等。
8.安全分區防御情況。安全分區情況;橫向隔離及縱向認證設備部署情況;跨區連接管控情況;內外網隔離情況等。
9.網絡安全防護情況。生產控制大區安全防護情況;管理信息大區安全防護情況;互聯網出口統一管理情況;互聯網出口安全管控情況;無線網絡安全防護情況等。
10.主機和設備安全防護情況。補丁更新管理情況;惡意代碼防護情況;系統加固情況;辦公終端管控情況;主機和設備帳號口令管理情況等。
11.應用系統和數據安全防護情況。應用系統安全功能及配置情況;對外服務系統信息監控和攻擊防御情況;對外服務系統周期測試情況;應用系統賬號口令管理情況;重要數據安全保護情況等。
12.物理環境安全防護情況。機房安全建設情況等。
13.信息系統運行安全管理情況。日常維護情況;安全審計情況;補丁管理情況;介質管理情況;安全監測情況等。
14.災難恢復情況。硬件冗余情況;定期備份情況;異地容災中心建設情況;備份介質恢復測試情況等。
15.應急管理情況。網絡與信息安全信息通報情況;總體應急預案制定情況;重要信息系統應急預案制定情況;應急演練開展情況;應急資源配備情況;事故調查工作情況等。
(三)存在的問題和面臨的風險分析。
在完成基本情況調查和安全防護情況檢查的基礎上,各單位要圍繞著以下三個方面對存在的問題和面臨的主要風險進行分析。
1.當前安全管理和技術防護中的主要問題及薄弱環節,制定安全防護能力提高的主要因素(包括法律法規、政策制度、技術手段等方面)。
2.統計國外產品和服務在主要軟硬件設備和信息技術外包服務中所占的比例,分析網絡與信息系統對國外產品和服務的依賴程度。
3.根據安全檢測發現的漏洞和隱患,分析網絡與信息系統存在的安全風險,判斷面臨的安全威脅程度以及具備的安全防護能力,評估網絡與信息系統總體安全狀況。
六、檢查組織
1.電監會統一組織本次信息安全檢查工作,電力行業網絡與信息安全領導小組辦公室負責信息安全檢查的日常工作。電監會各派出機構根據電監會的統一部署,負責轄區內電力企業信息安全自查督導和監督檢查工作。
2.各電力(集團)公司負責組織開展本單位及其下屬單位的信息安全檢查工作。
七、進度安排
1.7月16日~7月20日,動員部署階段
印發《關于開展電力行業網絡與信息安全檢查行動的通知》和《電力行業網絡與信息安全檢查方案》,召開會議進行動員部署。
2.7月21日~8月31日,實施階段
8月22日前,各單位完成本單位的信息安全自查工作,編寫自查報告,制定整改方案。
8月31日前,完成整改工作。電力(集團)公司應匯總填寫本系統《電力行業信息安全檢查情況報告表》和《電力企業信息安全檢查項目表(2012版)》,并和自查整改情況報告一起報送電監會。對于無法及時完成整改的隱患項目,有關電力企業要說明原因,制定臨時應急措施,并將情況說明按時報電監會。
檢查期間,電監會將組織若干專業小組對各單位進行抽查。抽查有關事項,電監會將于行前通知。
3.9月1日~9月15日,總結階段
電監會對檢查工作情況進行匯總和全面總結,形成電力企業信息安全檢查報告并報國家網絡與信息安全協調小組辦公室。
八、工作要求
1.各單位要高度重視,加強組織領導,制定檢查方案,明確檢查任務,落實檢查責任,及時整改檢查中發現的問題,并將檢查整改情況按時報電監會。
2.各單位要精心部署,周密安排,認真組織。對于發現的問題,要找出原因,并舉一反三,持續改進。各單位要建立檢查整改跟蹤督辦機制,力求使安全隱患都得到整改和妥善處置。
3.安全檢查工作對象是各單位的重要系統、重要數據和敏感信息等資產,需要高度重視檢查工作存在的風險,制定周密的應急防范措施,避免發生影響系統正常運行和敏感信息泄漏的事件。
4.各單位要高度重視信息安全保密工作,加強信息安全保密措施,檢查結果除按規定報送外,不得向其他單位和個人透露。所有檢查往來文件一律加密。
5.電監會抽查小組成員和派出機構督查小組成員要嚴格遵守黨風廉政紀律,嚴格執行保密工作規定,不得隨意泄露抽查組行程。
篇2:網絡信息安全聯合檢查方案
為認真貫徹落實省委省政府有關領導在全省維護穩定專題會議上的講話精神,進一步加強重要時期我縣網絡與信息安全保障工作,預防重大網絡與信息安全事件發生,確保十八大順利召開,結合我縣實際,制定本方案。
一、檢查依據
本次檢查根據《省委辦公廳省人民政府辦公廳關于加強我省網絡與信息安全工作的緊急通知》、《云南省人民政府辦公廳貫徹落實國務院辦公廳開展重點領域網絡與信息安全檢查行動的通知》、《云南省工業和信息化委關于加強十八大期間網絡與信息安全管理工作的通知》等相關要求開展。
二、檢查目的
為加強我縣網絡與信息安全保障工作,預防重大網絡與信息安全事件發生,確保十八大順利召開,以維護網絡與信息安全為目的,全面掌握全縣網絡與信息安全總體狀況,發現存在的主要問題,健全網絡與信息安全工作制度,完善技術措施,提高網絡與信息安全防護能力,對全縣網絡與信息安全管理工作進行重點檢檢。
三、聯合檢查組組成單位
根據國家、省、市網絡信息安全相關文件要求,此次聯合檢查由縣工信局牽頭,擔負網絡與信息安全管理工作的公安、安全、保密等相關職能部門共同組成聯合檢查組。公安部門重點加強對互聯網有害信息的監控和治理,協同查處互聯網網站安全事件;國家安全部門重點加強網絡與信息系統的安全預警,加大對境內外敵對勢力和境外間諜情報機關利用網絡對我縣進行竊密和攻擊活動的發現和打擊力度;國家保密部門重點加強對政府涉密信息系統的監管工作,加大對公開的政府信息進行監管和審查,防止涉密信息的泄漏。
四、檢查對象
(一)基礎電信運營企業,檢查范圍包括電子政務網絡及辦公自動化系統、托管行業信息系統及idc服務器等;
(二)重點行業部門自建網絡管理機房及信息系統;
(三)聯網接入并向公眾提供互聯網服務的企事業單位網站系統。
五、具體實施
(一)組織機構
根據各部門職責分工要求,成立網絡和信息安全檢查組,檢查組組成成員名單如下:
組長:陽春縣工業商務和信息化局黨委書記
副組長:唐登紅縣工業商務和信息化局副局長
成員:吳麗姝縣保密局局長
何剛文縣人民政府辦公室副科級秘書
施勇縣公安局網安大隊大隊長
蘇曉艷縣工業商務和信息化局科員
(二)時間安排
1.8月底前召開工作協調會議,確定具體抽查部門、檢查方式和職責分工;
2.9月上旬組織開展電信運營企業機房及服務器檢查;重點部門、重點行業機房及信息系統抽查;
3.9月中旬形成檢查報告報送縣人民政府及市工信委。