GB∕T 36047-2018
基本信息
标准号: GB∕T 36047-2018
中文名称:电力信息系统安全检查规范
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:2436KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36047-2018 电力信息系统安全检查规范
GB∕T36047-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS27.010
中华人民共和国国家标准
GB/T36047—2018
电力信息系统安全检查规范
Electric power information system security inspection standard2018-03-15发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-10-01实施
规范性引用文件
术语和定义
检查工作流程
检查准备
检查实施
检查结果分析
检查内容和检查方法
组织体系
规章制度
资金保障
人员安全管理bzxz.net
服务外包管控
关键信息资产管控
信息系统建设安全管理
信息系统运行安全管理
应急管理
安全分区防御体系
网络安全防护
主机和设备安全防护
应用系统和数据安全防护
物理环境安全防护
业务连续性保护
附录A(资料性附录)
A.1定性分析
A.2定量分析
参考文献
风险分析方法
.........
GB/T36047—2018
iiiKAoNikAca
本标准按照GB/T1.1—2009给出的规则起草。本标准由国家电力监管委员会提出。本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。GB/T36047—2018
本标准起草单位:国家能源局信息中心、国家能源局华北监管局、国家能源局浙江监管办公室。本标准主要起草人:梁建勇、胡红升、周志明、陈雪鸿、黄瑞意、陈红建、王鹏、温红子、叶世超、李焕、谷双魁、刘韧、朱朝阳、李凌、朱世顺、张五一、刘雪梅、陈华军、郑晓、张翻、赵婷、毛澍。iiiKAoNhikAca
GB/T36047—2018
为规范电力信息系统安全的检查流程、内容和方法,防范网络与信息安全攻击对电力信息系统造成的侵害,保障电力信息系统的安全稳定运行,保护国家关键信息基础设施的安全,依据国家有关信息安全和电力行业信息系统安全的规定和要求,制定本标准。IV
iiKANiKAca
1范围
电力信息系统安全检查规范
本标准规定了电力信息安全检查工作的流程、方法和内容等GB/T36047—2018
本标准适用于行业网络与信息安全主管部门开展电力信息系统安全的检查工作和电力企业在本集团(系统)范围内开展相关信息系统安全的自查工作。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8信息技术词汇第8部分:安全GB17859一1999计算机信息系统安全保护等级划分准则GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/T25069—2010信息安全技术术语3术语和定义
GB/T5271.8.GB17859—1999、GB/T22239—2008和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
电力信息系统electricpowerinformationsystem与电力企业的生产、运营、管理、控制相关的信息系统。注:根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息类系统和生产控制类系统。
management information system管理信息类系统
支持电力企业的经营、管理和运营的信息系统注:如门户网站系统、电力营销管理系统,财务管理系统、人力资源管理系统、物流管理系统和质量管理系统等。本类系统往往部署于管理信息大区,与互联网的隔离强度为逻辑隔离或强于逻辑隔离但弱于物理隔离3.3
生产控制类系统
productioncontrol system
用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备。注:如电力调度数据网络,电力数据采集与监控系统、能量管理系统、变电站自动化系统,换流站计算机监控系统发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统,电能量计量系统,实时电力市场的辅助控制系统等。本类系统原则上部署于生产控制大区,与互联网的隔离强度近似于物理隔离。3.4
控制区controlarea
具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安1
iiiKAoNiKAca
GB/T36047—2018
全区域。
非控制区non-controlarea
生产控制范围内,由在线运行但不直接参与控制、作为电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域4检查工作流程
4.1检查准备
4.1.1明确检查工作依据
检查工作依据包括国家信息安全规范性文件及标准、行业信息安全规范性文件及标准、主管机构要求等。
4.1.2明确检查工作范围
检查工作范围包括被检查方、被检查系统、涉及的人员等,并通过调研形成信息系统安全检查工作调研表。
信息系统安全检查工作调研表可按包含以下要素进行设计:a)信息系统主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;b)
c)定级情况、数据集中情况、灾备情况等4.1.3明确检查工作内容
检查工作内容由检查方依据有关信息安全主管单位要求、信息安全发展态势和企业的信息安全管理工作开展情况等进行确定。检查内容由两部分组成,一部分为基本检查内容,见第5章,另外一部分为补充检查内容,由检查方拟定。根据检查对象的不同,检查内容进一步细分为:通用检查项(标记为G)、仅适用于管理信息类系统的检查项(标记为M)、仅适用于生产控制类系统的检查项(标记为P)。基本检查内容的选取方法分全覆盖法,随机抽取法和重点项抽取法:全覆盖法即区分被检查系统为管理信息类系统还是生产控制类系统,选取相关全部备选检查项作为检查内容,随机抽取法即从备选检查项中随机抽取检查内容,重点项抽取法即从备选检查项中确定重点内容进行检查。制定信息系统安全检查方案和信息系统安全检查工作表。信息系统安全检查方案一般包含概述检查依据、技术思路,被检查系统的范围、业务情况,安全防护情况,检查内容和检查组成员、工作计划和内容安排等:信息系统安全检查工作表需列出所有检查内容。在现场检查开始前,检查方宜提前将信息系统安全检查方案下发至被检查方,向被检查方介绍安全检查的意义和目的、检查流程和工作方法,明确被检查方应提供的基本资料,向被检查方说明检查工作自身的风险和规避方法。被检查方应积极配合,向检查方介绍本单位的信息化建设状况与发展情况,为检查人员的信息收集提供支持和协调,并备份数据和系统,制定应急预案。由检查方统一组织实施检查工作,确定实施现场检查工作的人员和设备;如委托第三方信息安全服务机构实施现场检查工作,检查方应在现场检查前对第三方服务机构及其委派人员的资质进行确认,并安排专人陪同。
iiKAONiKAca
4.2检查实施
4.2.1检查实施过程工作内容
GB/T36047—2018
要依据检查方案开展现场检查工作,通过人员访谈、文档查阅、配置核查、安全测试等检查方法,考查信息系统的保护措施与本标准要求的符合情况,取得分析与总结活动所需的资料。在现场检查过程中,检查方需辨别检查项的不适用,即检查项所防范的威胁在被检查方中是否存在,如果不存在,则该检查项应标为不适用项检查方原则上不接触被检查设备,由被检查方配合人员根据操作规程和检查需求对被检查对象进行核查操作。在进行验证测试和工具测试前,检查方应与被检查方充分沟通,提前采取预防措施,避免影响系统正常运行
被检查方应协助检查方完成业务相关内容的问询、验证和测试,如对某些需要验证的内容进行上机操作、协助检查人员实施工具测试并提供有效建议、对检查结果进行确认、检查完成之后确认被检查系统工作正常等。
检查方根据被检查系统实际情况如实填写信息系统安全检查工作表,检查完成后应由检查方和被检查方共同签字确认。
4.2.2检查实施过程采用的方法
4.2.2.1人员访谈:检查人员通过与信息系统有关人员(个人或群体)进行交流、讨论等活动,获取证据以证明信息系统安全防护措施是否有效的一种方法4.2.2.2文档查阅:检查人员通过对被检查方支撑信息系统安全建设与运维的安全管理制度、记录等文档的核查,获取证据以证明信息系统安全的防护要求是否全面,防护规定是否得到执行。4.2.2.3配置核查:检查人员通过对被检查对象的配置进行查验,获取证据以证明信息系统安全防护措施是否有效的一种方法。
4.2.2.4安全测试:检查人员使用预定的方法、工具使被检查对象产生特定的行为,通过查阅、分析这些行为的结果,获取证据以证明信息系统安全防护措施是否有效的一种方法。在检查中也可不重新实施安全测试而利用已有的安全测试结果。4.3检查结果分析
检查结果分析是总结被检查系统整体安全防护能力的综合评价活动,根据现场检查结果和本标准的相关要求,定位整个系统的安全防护现状与本标准安全要求之间的差距,并分析这些差距导致被检查系统面临的风险,从而给出检查结论,形成检查报告和整改通知书。在检查结果分析阶段,检查方对检查结果进行整理,编制信息系统安全检查报告和整改通知书,也可参见附录A的定量或定性风险分析方法,给出风险分析结果检查方应对检查过程中生成的过程文档进行归档保存,并严格管理。5检查内容和检查方法
5.1组织体系
5.1.1第一责任人确立(G)
5.1.1.1检查项包括:电力企业主要负责人是否为本单位网络与信息安全的第一责任人。5.1.1.2检查方法:文档查阅,查阅电力企业信息安全文件中电力企业主要负责人是否为本单位网络与信息安全的第一责任人。
GB/T36047—2018
5.1.2信息安全责任落实(G)
5.1.2.1检查项包括:
a)是否设立信息安全管理工作的职能部门,是否设立安全主管、系统管理员、网络管理员、安全管理员等岗位;
是否以文件的形式明确责任部门,责任人员的职责;c
如有电力监控系统,是否将电力监控系统安全防护工作及其信息报送纳人日常安全生产管理体系,落实分级负责的责任制。5.1.2.2
文件。
检查方法:文档查阅,查阅信息安全责任部门、责任人员职责文件、日常安全生产管理体系职责5.1.3专职机构及岗位设置(G)5.1.3.1检查项包括:电力企业是否成立工作领导机构,并设立网络与信息安全岗位,定义岗位职责,明确人员分工和技能要求,明确责任部门。5.1.3.2检查方法:
a)人员访谈,询问电力企业是否设置信息安全工作领导机构,并设立网络与信息安全岗位,定义岗位职责,明确人员分工和技能要求;b)文档查阅,查阅电力企业信息安全工作领导机构及岗位设置说明文件。5.1.4安全人员配置(G)
5.1.4.1检查项包括:电力企业是否配备一定数量的专职信息安全工作人员,5.1.4.2检查方法:文档查阅,查阅电力企业岗位职责说明及人员岗位职责分配说明。5.2规章制度
5.2.1整体策略及总体方案制定(G)5.2.1.1检查项包括:电力企业是否制定符合国家及行业政策要求的信息安全工作整体策略和总体方案,是否说明了信息安全工作总体目标、范围、防护框架和防护措施。5.2.1.2检查方法:文档查阅,查阅电力企业信息安全整体策略和总体方案文档。5.2.2制度制定及体系完整性(G)5.2.2.1检查项包括:电力企业是否针对信息安全工作制定基本安全管理制度,并以此为基础形成涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系。
5.2.2.2检查方法:文档查阅,查阅电力企业的基本管理制度文件,查看其内容是否涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面。5.2.3操作规程制定(G)
检查项包括:电力企业是否对信息安全运行维护人员执行的日常操作制定运维流程和操作5.2.3.1
规程。
5.2.3.2检查方法:文档查阅,查阅电力企业制定的运维流程和操作规程文档。5.2.4制度发布(G)
5.2.4.1检查项包括:电力企业是否通过正式、有效的方式发布信息安全管理制度。4
5.2.4.2检查方法如下:
a)人员访谈,询问电力企业信息安全管理制度的发布方式;b)文档查阅,查阅电力企业信息安全管理制度发布方式和相关记录。5.3资金保障
5.3.1经费预算(G)
GB/T36047—2018
5.3.1.1检查项包括:电力企业是否将信息安全建设费用(安全软硬件购置、系统安全功能开发、安全验收测试、安全咨询与培训、安全专项研究等)和运行维护费用(日常安全运维、监测分析、应急演练、应急保障、信息安全监督检查、测试评估等)纳入年度预算。5.3.1.2检查方法:文档查阅,查阅电力企业年度预算计划是否包括信息安全建设费用和运行维护费用。
5.3.2安全建设经费投入(G)
5.3.2.1检查项包括:电力企业用于信息安全建设的经费占年度信息化建设总投人的比率。5.3.2.2检查方法:文档查阅,查阅并计算信息安全建设经费以及占年度信息化建设总投入的比率。5.3.3安全运维经费投入(G)
5.3.3.1检查项包括:电力企业用于信息安全运行维护的经费占整个信息系统运行维护总投人的比率。5.3.3.2检查方法:文档查阅,查阅并计算信息安全运维经费以及占整个信息系统运行维护总投人的比率。
5.4人员安全管理
5.4.1安全培训与考核(G)
5.4.1.1检查项包括:电力企业信息安全从业、信息系统设计、建设、运维等相关各类人员是否经培训合格后上岗,是否定期接受相应的政策规划和专业技能培训。5.4.1.2检查方法如下:
a)人员访谈,询问电力企业信息安全从业、信息系统设计、建设、运维等相关各类人员是否经培训合格后上岗,是否定期接受相应的政策规划和专业技能培训;b)文档查阅,查阅参加安全培训的人员名单及成绩单。5.4.2保密协议签订(G)
5.4.2.1检查项包括:电力企业是否与安全管理员、系统管理员、网络管理员等关键岗位的人员,电力监控系统(如有)相关设备及系统的开发单位和供应商签署保密协议。5.4.2.2检查方法如下:
a)人员访谈,询问电力企业是否与安全管理员、系统管理员、网络管理员等关键岗位的人员,以及电力监控系统相关设备及系统的开发单位和供应商签署保密协议;b)文档查阅,查阅签署保密协议的人员名单及其岗位或单位。5.4.3人员审查(G)
5.4.3.1检查项包括:电力企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。
GB/T36047—2018
2检查方法如下:
a)人员访谈,询问电力企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查;
b)文档查阅,查阅电力企业对信息安全岗位人员和其他敏感岗位人员的身份、背景和资质进行审查的相关文档和记录。
5.4.4岗位调整管控(G)
5.4.4.1检查项包括:电力企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署。
5.4.4.2检查方法如下:
a)人员访谈,询问电力企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署:
b)文档查阅,查阅信息安全岗位人员及其他敏感岗位人员的权限回收记录和离岗承诺书签署情况。
5.5服务外包管控
5.5.1外包服务协议(G)
5.5.1.1检查项包括:电力企业与合约方签订的外包服务协议中是否具有信息安全管控和保密条款。5.5.1.2检查方法:文档查阅,查阅外包服务协议中的信息安全管控和保密条款。5.5.2外部人员访问管理(G)
5.5.2.1检查项包括:电力企业是否对外部人员访问机房等受控区域采取书面审批、人员陪同、进出登记等管控措施。
5.5.2.2检查方法如下:
a)人员访谈,询问电力企业是否对外部人员访问机房等受控区域采取书面审批、人员陪同、进出登记等管控措施;
b)文档查阅,查阅外部人员访问管理制度和访问登记记录。5.5.3远程服务管控(G)
5.5.3.1检查项包括:电力企业是否采取远程服务,如采取远程服务,是否针对远程服务访问采取书面审批、访问控制、在线监测、日志审计等管控措施。5.5.3.2检查方法如下:
a)人员访谈,询问对远程服务访问采取的管控措施;b)文档查阅,查阅远程服务管控制度及远程服务管控的相关审计日志。5.5.4现场开发管控(G)
5.5.4.1检查项包括:电力企业是否采取技术措施实现开发测试环境与实际生产运行环境物理分离,并对开发人员的活动范围和行为实施管控。5.5.4.2检查方法如下:
a)人员访谈,询问是否将开发测试环境与实际生产运行环境物理分离;b)文档查阅,查阅开发人员的活动范围和行为管控制度。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T36047—2018
电力信息系统安全检查规范
Electric power information system security inspection standard2018-03-15发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-10-01实施
规范性引用文件
术语和定义
检查工作流程
检查准备
检查实施
检查结果分析
检查内容和检查方法
组织体系
规章制度
资金保障
人员安全管理bzxz.net
服务外包管控
关键信息资产管控
信息系统建设安全管理
信息系统运行安全管理
应急管理
安全分区防御体系
网络安全防护
主机和设备安全防护
应用系统和数据安全防护
物理环境安全防护
业务连续性保护
附录A(资料性附录)
A.1定性分析
A.2定量分析
参考文献
风险分析方法
.........
GB/T36047—2018
iiiKAoNikAca
本标准按照GB/T1.1—2009给出的规则起草。本标准由国家电力监管委员会提出。本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。GB/T36047—2018
本标准起草单位:国家能源局信息中心、国家能源局华北监管局、国家能源局浙江监管办公室。本标准主要起草人:梁建勇、胡红升、周志明、陈雪鸿、黄瑞意、陈红建、王鹏、温红子、叶世超、李焕、谷双魁、刘韧、朱朝阳、李凌、朱世顺、张五一、刘雪梅、陈华军、郑晓、张翻、赵婷、毛澍。iiiKAoNhikAca
GB/T36047—2018
为规范电力信息系统安全的检查流程、内容和方法,防范网络与信息安全攻击对电力信息系统造成的侵害,保障电力信息系统的安全稳定运行,保护国家关键信息基础设施的安全,依据国家有关信息安全和电力行业信息系统安全的规定和要求,制定本标准。IV
iiKANiKAca
1范围
电力信息系统安全检查规范
本标准规定了电力信息安全检查工作的流程、方法和内容等GB/T36047—2018
本标准适用于行业网络与信息安全主管部门开展电力信息系统安全的检查工作和电力企业在本集团(系统)范围内开展相关信息系统安全的自查工作。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8信息技术词汇第8部分:安全GB17859一1999计算机信息系统安全保护等级划分准则GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/T25069—2010信息安全技术术语3术语和定义
GB/T5271.8.GB17859—1999、GB/T22239—2008和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
电力信息系统electricpowerinformationsystem与电力企业的生产、运营、管理、控制相关的信息系统。注:根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息类系统和生产控制类系统。
management information system管理信息类系统
支持电力企业的经营、管理和运营的信息系统注:如门户网站系统、电力营销管理系统,财务管理系统、人力资源管理系统、物流管理系统和质量管理系统等。本类系统往往部署于管理信息大区,与互联网的隔离强度为逻辑隔离或强于逻辑隔离但弱于物理隔离3.3
生产控制类系统
productioncontrol system
用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备。注:如电力调度数据网络,电力数据采集与监控系统、能量管理系统、变电站自动化系统,换流站计算机监控系统发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统,电能量计量系统,实时电力市场的辅助控制系统等。本类系统原则上部署于生产控制大区,与互联网的隔离强度近似于物理隔离。3.4
控制区controlarea
具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安1
iiiKAoNiKAca
GB/T36047—2018
全区域。
非控制区non-controlarea
生产控制范围内,由在线运行但不直接参与控制、作为电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域4检查工作流程
4.1检查准备
4.1.1明确检查工作依据
检查工作依据包括国家信息安全规范性文件及标准、行业信息安全规范性文件及标准、主管机构要求等。
4.1.2明确检查工作范围
检查工作范围包括被检查方、被检查系统、涉及的人员等,并通过调研形成信息系统安全检查工作调研表。
信息系统安全检查工作调研表可按包含以下要素进行设计:a)信息系统主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;b)
c)定级情况、数据集中情况、灾备情况等4.1.3明确检查工作内容
检查工作内容由检查方依据有关信息安全主管单位要求、信息安全发展态势和企业的信息安全管理工作开展情况等进行确定。检查内容由两部分组成,一部分为基本检查内容,见第5章,另外一部分为补充检查内容,由检查方拟定。根据检查对象的不同,检查内容进一步细分为:通用检查项(标记为G)、仅适用于管理信息类系统的检查项(标记为M)、仅适用于生产控制类系统的检查项(标记为P)。基本检查内容的选取方法分全覆盖法,随机抽取法和重点项抽取法:全覆盖法即区分被检查系统为管理信息类系统还是生产控制类系统,选取相关全部备选检查项作为检查内容,随机抽取法即从备选检查项中随机抽取检查内容,重点项抽取法即从备选检查项中确定重点内容进行检查。制定信息系统安全检查方案和信息系统安全检查工作表。信息系统安全检查方案一般包含概述检查依据、技术思路,被检查系统的范围、业务情况,安全防护情况,检查内容和检查组成员、工作计划和内容安排等:信息系统安全检查工作表需列出所有检查内容。在现场检查开始前,检查方宜提前将信息系统安全检查方案下发至被检查方,向被检查方介绍安全检查的意义和目的、检查流程和工作方法,明确被检查方应提供的基本资料,向被检查方说明检查工作自身的风险和规避方法。被检查方应积极配合,向检查方介绍本单位的信息化建设状况与发展情况,为检查人员的信息收集提供支持和协调,并备份数据和系统,制定应急预案。由检查方统一组织实施检查工作,确定实施现场检查工作的人员和设备;如委托第三方信息安全服务机构实施现场检查工作,检查方应在现场检查前对第三方服务机构及其委派人员的资质进行确认,并安排专人陪同。
iiKAONiKAca
4.2检查实施
4.2.1检查实施过程工作内容
GB/T36047—2018
要依据检查方案开展现场检查工作,通过人员访谈、文档查阅、配置核查、安全测试等检查方法,考查信息系统的保护措施与本标准要求的符合情况,取得分析与总结活动所需的资料。在现场检查过程中,检查方需辨别检查项的不适用,即检查项所防范的威胁在被检查方中是否存在,如果不存在,则该检查项应标为不适用项检查方原则上不接触被检查设备,由被检查方配合人员根据操作规程和检查需求对被检查对象进行核查操作。在进行验证测试和工具测试前,检查方应与被检查方充分沟通,提前采取预防措施,避免影响系统正常运行
被检查方应协助检查方完成业务相关内容的问询、验证和测试,如对某些需要验证的内容进行上机操作、协助检查人员实施工具测试并提供有效建议、对检查结果进行确认、检查完成之后确认被检查系统工作正常等。
检查方根据被检查系统实际情况如实填写信息系统安全检查工作表,检查完成后应由检查方和被检查方共同签字确认。
4.2.2检查实施过程采用的方法
4.2.2.1人员访谈:检查人员通过与信息系统有关人员(个人或群体)进行交流、讨论等活动,获取证据以证明信息系统安全防护措施是否有效的一种方法4.2.2.2文档查阅:检查人员通过对被检查方支撑信息系统安全建设与运维的安全管理制度、记录等文档的核查,获取证据以证明信息系统安全的防护要求是否全面,防护规定是否得到执行。4.2.2.3配置核查:检查人员通过对被检查对象的配置进行查验,获取证据以证明信息系统安全防护措施是否有效的一种方法。
4.2.2.4安全测试:检查人员使用预定的方法、工具使被检查对象产生特定的行为,通过查阅、分析这些行为的结果,获取证据以证明信息系统安全防护措施是否有效的一种方法。在检查中也可不重新实施安全测试而利用已有的安全测试结果。4.3检查结果分析
检查结果分析是总结被检查系统整体安全防护能力的综合评价活动,根据现场检查结果和本标准的相关要求,定位整个系统的安全防护现状与本标准安全要求之间的差距,并分析这些差距导致被检查系统面临的风险,从而给出检查结论,形成检查报告和整改通知书。在检查结果分析阶段,检查方对检查结果进行整理,编制信息系统安全检查报告和整改通知书,也可参见附录A的定量或定性风险分析方法,给出风险分析结果检查方应对检查过程中生成的过程文档进行归档保存,并严格管理。5检查内容和检查方法
5.1组织体系
5.1.1第一责任人确立(G)
5.1.1.1检查项包括:电力企业主要负责人是否为本单位网络与信息安全的第一责任人。5.1.1.2检查方法:文档查阅,查阅电力企业信息安全文件中电力企业主要负责人是否为本单位网络与信息安全的第一责任人。
GB/T36047—2018
5.1.2信息安全责任落实(G)
5.1.2.1检查项包括:
a)是否设立信息安全管理工作的职能部门,是否设立安全主管、系统管理员、网络管理员、安全管理员等岗位;
是否以文件的形式明确责任部门,责任人员的职责;c
如有电力监控系统,是否将电力监控系统安全防护工作及其信息报送纳人日常安全生产管理体系,落实分级负责的责任制。5.1.2.2
文件。
检查方法:文档查阅,查阅信息安全责任部门、责任人员职责文件、日常安全生产管理体系职责5.1.3专职机构及岗位设置(G)5.1.3.1检查项包括:电力企业是否成立工作领导机构,并设立网络与信息安全岗位,定义岗位职责,明确人员分工和技能要求,明确责任部门。5.1.3.2检查方法:
a)人员访谈,询问电力企业是否设置信息安全工作领导机构,并设立网络与信息安全岗位,定义岗位职责,明确人员分工和技能要求;b)文档查阅,查阅电力企业信息安全工作领导机构及岗位设置说明文件。5.1.4安全人员配置(G)
5.1.4.1检查项包括:电力企业是否配备一定数量的专职信息安全工作人员,5.1.4.2检查方法:文档查阅,查阅电力企业岗位职责说明及人员岗位职责分配说明。5.2规章制度
5.2.1整体策略及总体方案制定(G)5.2.1.1检查项包括:电力企业是否制定符合国家及行业政策要求的信息安全工作整体策略和总体方案,是否说明了信息安全工作总体目标、范围、防护框架和防护措施。5.2.1.2检查方法:文档查阅,查阅电力企业信息安全整体策略和总体方案文档。5.2.2制度制定及体系完整性(G)5.2.2.1检查项包括:电力企业是否针对信息安全工作制定基本安全管理制度,并以此为基础形成涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系。
5.2.2.2检查方法:文档查阅,查阅电力企业的基本管理制度文件,查看其内容是否涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面。5.2.3操作规程制定(G)
检查项包括:电力企业是否对信息安全运行维护人员执行的日常操作制定运维流程和操作5.2.3.1
规程。
5.2.3.2检查方法:文档查阅,查阅电力企业制定的运维流程和操作规程文档。5.2.4制度发布(G)
5.2.4.1检查项包括:电力企业是否通过正式、有效的方式发布信息安全管理制度。4
5.2.4.2检查方法如下:
a)人员访谈,询问电力企业信息安全管理制度的发布方式;b)文档查阅,查阅电力企业信息安全管理制度发布方式和相关记录。5.3资金保障
5.3.1经费预算(G)
GB/T36047—2018
5.3.1.1检查项包括:电力企业是否将信息安全建设费用(安全软硬件购置、系统安全功能开发、安全验收测试、安全咨询与培训、安全专项研究等)和运行维护费用(日常安全运维、监测分析、应急演练、应急保障、信息安全监督检查、测试评估等)纳入年度预算。5.3.1.2检查方法:文档查阅,查阅电力企业年度预算计划是否包括信息安全建设费用和运行维护费用。
5.3.2安全建设经费投入(G)
5.3.2.1检查项包括:电力企业用于信息安全建设的经费占年度信息化建设总投人的比率。5.3.2.2检查方法:文档查阅,查阅并计算信息安全建设经费以及占年度信息化建设总投入的比率。5.3.3安全运维经费投入(G)
5.3.3.1检查项包括:电力企业用于信息安全运行维护的经费占整个信息系统运行维护总投人的比率。5.3.3.2检查方法:文档查阅,查阅并计算信息安全运维经费以及占整个信息系统运行维护总投人的比率。
5.4人员安全管理
5.4.1安全培训与考核(G)
5.4.1.1检查项包括:电力企业信息安全从业、信息系统设计、建设、运维等相关各类人员是否经培训合格后上岗,是否定期接受相应的政策规划和专业技能培训。5.4.1.2检查方法如下:
a)人员访谈,询问电力企业信息安全从业、信息系统设计、建设、运维等相关各类人员是否经培训合格后上岗,是否定期接受相应的政策规划和专业技能培训;b)文档查阅,查阅参加安全培训的人员名单及成绩单。5.4.2保密协议签订(G)
5.4.2.1检查项包括:电力企业是否与安全管理员、系统管理员、网络管理员等关键岗位的人员,电力监控系统(如有)相关设备及系统的开发单位和供应商签署保密协议。5.4.2.2检查方法如下:
a)人员访谈,询问电力企业是否与安全管理员、系统管理员、网络管理员等关键岗位的人员,以及电力监控系统相关设备及系统的开发单位和供应商签署保密协议;b)文档查阅,查阅签署保密协议的人员名单及其岗位或单位。5.4.3人员审查(G)
5.4.3.1检查项包括:电力企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。
GB/T36047—2018
2检查方法如下:
a)人员访谈,询问电力企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查;
b)文档查阅,查阅电力企业对信息安全岗位人员和其他敏感岗位人员的身份、背景和资质进行审查的相关文档和记录。
5.4.4岗位调整管控(G)
5.4.4.1检查项包括:电力企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署。
5.4.4.2检查方法如下:
a)人员访谈,询问电力企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署:
b)文档查阅,查阅信息安全岗位人员及其他敏感岗位人员的权限回收记录和离岗承诺书签署情况。
5.5服务外包管控
5.5.1外包服务协议(G)
5.5.1.1检查项包括:电力企业与合约方签订的外包服务协议中是否具有信息安全管控和保密条款。5.5.1.2检查方法:文档查阅,查阅外包服务协议中的信息安全管控和保密条款。5.5.2外部人员访问管理(G)
5.5.2.1检查项包括:电力企业是否对外部人员访问机房等受控区域采取书面审批、人员陪同、进出登记等管控措施。
5.5.2.2检查方法如下:
a)人员访谈,询问电力企业是否对外部人员访问机房等受控区域采取书面审批、人员陪同、进出登记等管控措施;
b)文档查阅,查阅外部人员访问管理制度和访问登记记录。5.5.3远程服务管控(G)
5.5.3.1检查项包括:电力企业是否采取远程服务,如采取远程服务,是否针对远程服务访问采取书面审批、访问控制、在线监测、日志审计等管控措施。5.5.3.2检查方法如下:
a)人员访谈,询问对远程服务访问采取的管控措施;b)文档查阅,查阅远程服务管控制度及远程服务管控的相关审计日志。5.5.4现场开发管控(G)
5.5.4.1检查项包括:电力企业是否采取技术措施实现开发测试环境与实际生产运行环境物理分离,并对开发人员的活动范围和行为实施管控。5.5.4.2检查方法如下:
a)人员访谈,询问是否将开发测试环境与实际生产运行环境物理分离;b)文档查阅,查阅开发人员的活动范围和行为管控制度。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。