62信息安全全过程技术监督精益化管理实施细则.xls

技术监督阶段技术监督专业 序号 监督项目关键项权重 监督要点 监督依据 监督要求 监督结果1 安全责任 落实 遵 循 “ 谁 主 管 ， 谁 负 责 ； 谁 运 行 ， 谁 负 责 ； 谁 使 用 ， 谁负责；管业务必须管安全”的原则 《 电 力 行 业 网 络 与 信 息 安 全 管 理 办 法 》 （ 国 能 安 全 〔 2014〕 317号）、《国家电网公司网络与信息系统安全管理办法》 查 看 相 关 制 度文件是□ 否□有包含原则的文件2 安全防护 落实对 公 司 自 主 移 动 应 用 加 强 网 络 、 终 端 、 边 界 、 应 用 安 全防 护 全 面 覆 盖 ； 对 基 于 互 联 网 企 业 服 务 的 移 动 应 用 应 重点加强数据安全防护、访问认证《 电 力 行 业 网 络 与 信 息 安 全 管 理 办 法 》 （ 国 能 安 全 〔 2014〕 317号）、《国家电网公司网络与信息系统安全管理办法》查 看 安 全 防 护方案是□ 否□防护全面，安全措施到位备注：3 安全备案 管理移 动 应 用 系 统 及 相 关 硬 件 如 主 机 、 网 络 设 备 、 安 全 设 备等 ， 投 运 前 必 须 在 I6000或 IMS系 统 中 进 行 安 全 备 案 ,有 安全备案号，并在移动应用上标注安全备案号《 电 力 行 业 网 络 与 信 息 安 全 管 理 办 法 》 （ 国 能 安 全 〔 2014〕 317号）、《国家电网公司网络与信息系统安全管理办法》。

查 看 I6000或IMS系 统 中 的 备案 信 息 ， 查 看应用上的备案是□ 否□在I6000或IMS系统中进行安全备案4 上线测评 管理 移 动 应 用 必 须 通 过 公 司 认 可 的 第 三 方 测 评 机 构 安 全 测 试后才可上线 《 电 力 行 业 网 络 与 信 息 安 全 管 理 办 法 》 （ 国 能 安 全 〔 2014〕 317号）、《国家电网公司网络与信息系统安全管理办法》 查看测评报告是□ 否□有第三方测评报告5 基 于 互 联 网 企 业 服 务 的 ， 且 与 公 司 信 息 系 统 有 客 户 与 业务数据交互的移动应用，应与第三方签署数据安全协议《 国 网 信 通 部 关 于 进 一 步 加 强 移 动 应 用 安 全 防 护 工 作 的 通 知 》（信通技术〔2015〕148号）：四 （ 一 ） 备 案 审 核 对 基 于 互 联 网 企 业 服 务 的 ， 且 与 公 司 信 息系 统 有 客 户 与 业 务 数 据 交 互 的 移 动 应 用 ， 应 与 第 三 方 签 署 数 据安全协议，落实信息安全管理责任查 看 签 署 的 安全协议是□ 否□与第三方签署数据安全协议备注：6公 司 侧 应 用 服 务 端 与 第 三 方 平 台 交 互 的 数 据 有 签 名 认证 ， 敏 感 客 户 与 业 务 数 据 加 密 传 输 ， 并 应 由 公 司 侧 应 用服务端与客户终端直接交互《 国 网 信 通 部 关 于 进 一 步 加 强 移 动 应 用 安 全 防 护 工 作 的 通 知 》（信通技术〔2015〕148号）：四 （ 三 ） 数 据 安 全 。

公 司 侧 应 用 服 务 端 与 第 三 方 平 台 数 据 交互 ， 应 使 用 签 名 认 证 ， 确 保 请 求 来 源 可 信 ； 对 敏 感 客 户 与 业 务数据要求加密传输，并应由公司侧应用服务端与客户终端现 场 查 看 数 据策略机制是□ 否□对敏感数据进行加密传输备注：7 等级保护 情况 严格落实公司等级保护定级、备案、建设、测评及整改工作《进一步加强信息内外网网站管理的意见》（国家电网信息〔2009〕726号）：一、进一步加强网站设置管理三）公司对外网站应严格履行备案程序现 场 查 看 系 统定 级 备 案 表 、测评报告是□ 否□按照要求进行等级保护工作备注：8 内外网网站与移动应用不能存在高危漏洞《进一步加强信息内外网网站管理的意见》（国家电网信息〔2009〕726号）：四、进一步加强网络安全，（二）各单位信息运维部门应定期对网站进行安全检查、风险评估和系统加固；要加强技术防护手段建设，健全安全防范体系，提高公司各单位网站安全防护使 用 漏 扫 工 具检 查 外 网 网 站与 移 动 应 用 是否 存 在 安 全 漏洞是□ 否□存在高危漏洞备注：9 内外网网站与移动应用不能存在无用帐号、帐号不能存在弱口令《进一步加强信息内外网网站管理的意见》（国家电网信息〔2009〕726号）：四、进一步加强网络安全，（二）各单位信息运维部门应定期对网站进行安全检查、风险评估和系统加固；要加强技术防护手段建设，健全安全防范体系，提高公司各单位网站安全防护现 场 查 看 帐 号信息是□ 否□存在弱口令或无用账号备注：10外网网站与移动应用服务器主机操作系统、中间件、数据库补丁更新不超过3个月。

关于高危漏洞，国家、相关组织机构或公司发布预警和补丁后，应7天内完成修补《进一步加强信息内外网网站管理的意见》2009-726号：四、进一步加强网络安全，（二）各单位信息运维部门应定期对网站进行安全检查、风险评估和系统加固；要加强技术防护手段建设，健全安全防范体系，提高公司各单位网站安全防护现 场 查 看 补 丁更新记录是□ 否□及时更新备注：11 内外网网站与移动应用主机必须部署防病毒软件，病毒库版本更新时间不超过1个月《进一步加强信息内外网网站管理的意见》（国家电网信息〔2009〕726号）：四、进一步加强网络安全，（二）各单位信息运维部门应定期对网站进行安全检查、风险评估和系统加固；要加强技术防护手段建设，健全安全防范体系，提高公司各单位网站安全防护现 场 查 看 病 毒库 版 本 更 新 记录是□ 否□及时更新备注：12 组织管理 隐患发现主体需为本单位信息安全队伍《国网信通部关于印发特殊时期信息通信保障工作要求、网络与信息安全漏洞和隐患发现工作安全措施（试行）的通知》（〔2015〕83号）：一、进一步加强隐患发现工作组织管理（一）各单位隐患发现工作主体人员为本单位信息安全队伍，由各单位信息职能管理部门、漏洞和隐患发现队伍（红队）统一管理现场访谈查看是□ 否□是本单位信息安全人员发现隐患备注：信息安全全过程技术监督精益化管理实施评价细则监督内容竣工验收运维检修阶段信息通信数据安全保护落实安全防护情况13 安全管理 对公司重要系统开展隐患发现工作，填报申请单及相关计划，提前一周报送国网信调及联研院《国网信通部关于印发特殊时期信息通信保障工作要求、网络与信息安全漏洞和隐患发现工作安全措施（试行）的通知》（〔2015〕83号）：二、进一步做好隐患发现工作基础安全管理（二）做好计划管理。

各单位对公司重要信息系统开展隐患发现工作，申请通过后，工作开始前一周，填写相关计划，报送国网信息通信调度，同时报送国网智研院现 场 查 看 隐 患申 请 单 或 工 作计划是□ 否□有隐患申请单或工作计划备注：14 流程管理 制定本单位隐患发现、整改工作流程《国网信通部关于印发特殊时期信息通信保障工作要求、网络与信息安全漏洞和隐患发现工作安全措施（试行）的通知》（〔2015〕83号）：三、进一步加强隐患发现工作的流程管理（三）各单位结合本单位实际情况制定本单位隐患发现工作流程现场查看流程是□ 否□有隐患发现工作流程备注：15 风险评估 对隐患发现常用工具、专用工具及方法必要性及风险性进行评估《国网信通部关于印发特殊时期信息通信保障工作要求、网络与信息安全漏洞和隐患发现工作安全措施（试行）的通知》（〔2015〕83号）：四、进一步加强对隐患发现方式的风险进行评估（一）国网智研院牵头对各单位常用的、专用的工具、方法必要性及风险性进行评估，给出意见，于2015年8月31日前报送国网信通部现 场 查 看 评 估及意见是□ 否□对常用工具、专用工具及方法必要性及风险性进行评估备注：16 发现行为 Ⅱ 禁止以下高风险隐患发现行为：有意破坏信息系统；删除和修改系统数据；向信息系统填充垃圾数据《国网信通部关于印发特殊时期信息通信保障工作要求、网络与信息安全漏洞和隐患发现工作安全措施（试行）的通知》（〔2015〕83号）：五、严格禁止高风险隐患发现行为（一）有意破坏信息系统；（二）删除和修改系统数据；（三）向信息系统填充垃圾数据现场查看是□ 否□存在高风险行为备注：17三级系统的测评情况对公司所属三级系统的等级保护测评情况进行督查。

每年至少一次测评《电力行业信息安全等级保护基本要求》（电监信息〔2012〕62号）第二部分8第三级基本要求：8.2.4.10.等级测评（G3）a）在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等级保护测标准要求的及时整改现 场 查 看 测 评报告已测评三级系统数量（经国家或行业认可测评机构测评）：______测评三级系统名称：_______国家认可机构完成测评的系统数量：_________完成测评系统名称：_________18 二级系统测评情况二级系统等级保护测评报告情况详细记录，报告包括：等保测评报告、SG186验收报告、上线测评报告，并标注报告单位每2年一次测评如：中国电力科学研究院、国网电力科学研究院《电力行业信息安全等级保护基本要求》（电监信息〔2012〕62号）第二部分7第二级基本要求：二级系统每2年一次测评，等级保护测评报告情况详细记录，报告包括：等保测评报告、SG186验收报告、上线测评报告，并标注报告单位现 场 查 看 测 评报告已测评二级系统数量：________个已测评二级系统名称：_______公安部指定机构完成测评的数量：____系统名称：____________19 病毒木马 处置 防病毒服务器必须进行升级 《信息安全技术督查作业规范手册V1.2》附表1： 第一部分桌面管理，检查防病毒服务器是否进行升级检 查 防 病 毒 服务 器 的 升 级 日期是□ 否□未升级服务器个数:___当前防病毒服务器定义版本:___备注：20 补丁必须进行更新 《信息安全技术督，查作业规范手册V1.2》附表1： 第一部分桌面管理，检查是否将补丁进行更新通 过 统 一 漏 洞补 丁 系 统 检 查补丁安装情况是□ 否□及时更新补丁备注：21 内外网不能存在未处理的高危漏洞 《信息安全技术督查作业规范手册V1.2》附表1： 第一部分桌面管理，检查内外网是否存在未处理的高危漏洞通 过 统 一 漏 洞补 丁 系 统 检 查是否存在高危是□ 否□存在高危漏洞备注：运维检修阶段信息通信漏洞处置22 内外网邮 箱 外网不能存在自建的外网邮箱 《信息安全技术督查作业规范手册V1.2》附表1： 第一部分桌面管理，检查外网是否存在自建的外网邮箱 现 场 检 查 、 访谈审查是□ 否□存在自建的外网邮箱24 内网桌面终端注册率必须为100% 《信息安全技术督查作业规范手册V1.2》附表1： 第一部分桌面管理，检查各单位是否注册内、外网桌面终端登 录 北 信 源 桌面 终 端 标 准 化管 理 系 统 ， 查看 内 网 桌 面 终端注册率是否是□ 否□注册率___备注：25 终端IP与MAC必须绑定 《信息安全技术督查作业规范手册V1.2》附表1： 第一部分桌面管理，检查各单位是否进行IP与MAC地址的绑定登 录 ISS监 测系 统 ， 查 看 “桌 面 终 端 ” 下“ IP与 MAC的 绑定”菜单是□ 否□对终端进行IP与MAC必须绑定备注：26 内 、 外 网 桌 面 终 端 的 “ 移 动 存 储 ” “ 补 丁 分 发 ” 等 策 略必须开启《信息安全技术督查作业规范手册V1.2》附表1：第 一 部 分 桌 面 管 理 ， 检 查 桌 面 终 端 标 准 化 管 理 系 统 是 否 启 用 了公司要求的基线策略登 录 内 、 外 。