《電力信息系統(tǒng)信息安全檢查規(guī)范》

中華人民共和國國家標(biāo)準(zhǔn)

GBXXXX—XXXX

電力信息系統(tǒng)信息安全檢查規(guī)范

ElectricPowerInformationSystemInformationSecurityInspectionStandard

（V3.1）

（征求意見稿）

（本稿完成日期:2015-06-16）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

目??次

前??言.............................................................................IV

引??言.............................................................錯誤！未定義書簽。

電力信息系統(tǒng)信息安全檢查規(guī)范..........................................................1

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語和定義..........................................................................1

3.1管理信息類系統(tǒng)（ManagementInformationSystem）.................................1

3.2生產(chǎn)控制類系統(tǒng)（ProductionControlSystem）.....................................1

3.3電力信息系統(tǒng)....................................................................2

3.4控制區(qū)（Controlarea）..........................................................2

3.5非控制區(qū)（Non-controlarea）....................................................2

3.6信息安全檢查(InformationSecurityInspection)...................................2

4檢查內(nèi)容的三種類型..................................................................2

5檢查工作流程........................................................................2

5.1檢查準(zhǔn)備........................................................................2

5.1.1檢查準(zhǔn)備過程工作內(nèi)容........................................................3

5.1.2準(zhǔn)備過程的角色和責(zé)任........................................................3

5.2檢查實施........................................................................3

5.2.1檢查實施過程工作內(nèi)容........................................................4

5.2.2現(xiàn)場檢查過程的角色和責(zé)任....................................................4

5.3檢查結(jié)果分析....................................................................5

5.3.1檢查結(jié)果分析工作內(nèi)容........................................................5

5.3.2檢查總結(jié)過程的角色和責(zé)任....................................................5

6檢查內(nèi)容的選擇方法..................................................................5

6.1全覆蓋法........................................................................5

6.2隨機(jī)抽取法......................................................................5

從備選檢查內(nèi)容中按照索引目錄從各檢查類中隨機(jī)抽取檢查項。..............................5

6.3重點項抽取法....................................................................5

6.4增項檢查法......................................................................5

7備選檢查內(nèi)容........................................................................5

7.1組織體系........................................................................6

7.1.1第一責(zé)任人確立（G）.........................................................6

7.1.2信息安全責(zé)任落實（G）.......................................................6

7.1.3專職機(jī)構(gòu)及崗位設(shè)置（G）.....................................................6

7.1.4安全人員配置（G）...........................................................6

7.2規(guī)章制度........................................................................7

7.2.1整體策略及總體方案制定（G）.................................................7

7.2.2制度制定及體系完整性（G）...................................................7

7.2.3操作規(guī)程制定（G）...........................................................7

7.2.4制度發(fā)布（G）...............................................................8

7.3資金保障........................................................................8

7.3.1經(jīng)費預(yù)算（G）...............................................................8

7.3.2安全建設(shè)經(jīng)費投入（G）.......................................................8

7.3.3安全運維經(jīng)費投入（G）.......................................................9

7.4人員安全管理....................................................................9

7.4.1安全培訓(xùn)與考核（G）.........................................................9

7.4.2保密協(xié)議簽訂（G）...........................................................9

7.4.3人員審查（G）...............................................................9

7.4.4崗位調(diào)整管控（G）..........................................................10

7.5服務(wù)外包管控...................................................................10

7.5.1外包服務(wù)協(xié)議（G）..........................................................10

7.5.2外部人員訪問管理（G）......................................................10

7.5.3遠(yuǎn)程服務(wù)管控（G）..........................................................10

7.5.4現(xiàn)場開發(fā)管控（G）..........................................................11

7.6關(guān)鍵信息資產(chǎn)管控...............................................................11

7.6.1資產(chǎn)管理（G）..............................................................11

7.6.2資產(chǎn)維修報廢管理（G）......................................................11

7.7信息系統(tǒng)建設(shè)安全管理...........................................................12

7.7.1技術(shù)監(jiān)督與審核（P）........................................................12

7.7.2上線安全測評（G）..........................................................12

7.7.3等級保護(hù)建設(shè)（G）..........................................................12

7.7.4等級測評開展情況（G）......................................................13

7.7.5風(fēng)險評估（G）..............................................................13

7.7.6產(chǎn)品采購和使用（G）........................................................13

7.7.7核心產(chǎn)品采購測試（G）......................................................14

7.7.8安全產(chǎn)品國產(chǎn)化情況（G）....................................................14

7.8安全分區(qū)防御體系...............................................................14

7.8.1大區(qū)間隔離（P）............................................................14

7.8.2生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離（P）..............................................15

7.8.3縱向認(rèn)證（P）..............................................................15

7.8.4跨區(qū)連接管控（P）..........................................................15

7.8.5安全接入?yún)^(qū)（P）............................................................16

7.8.6內(nèi)外網(wǎng)隔離（M）............................................................16

7.9網(wǎng)絡(luò)安全防護(hù)...................................................................16

7.9.1生產(chǎn)控制大區(qū)防護(hù)（P）......................................................16

7.9.2管理信息大區(qū)防護(hù)（M）......................................................17

7.9.3互聯(lián)網(wǎng)出口統(tǒng)一管理（M）....................................................17

7.9.4互聯(lián)網(wǎng)出口安全管控（M）....................................................17

7.9.5無線網(wǎng)絡(luò)安全應(yīng)用（G）......................................................17

7.9.6移動式設(shè)備安全接入（G）....................................................18

7.10主機(jī)和設(shè)備安全防護(hù)............................................................18

7.10.1補(bǔ)丁更新（G）.............................................................18

7.10.2惡意代碼防護(hù)（G）.........................................................18

7.10.3系統(tǒng)安全整改加固（G）.....................................................19

7.10.4移動存儲介質(zhì)管理（G）.....................................................19

7.10.5辦公終端管控（M）.........................................................19

7.10.6主機(jī)和設(shè)備賬號口令管理（G）...............................................20

7.11應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)........................................................20

7.11.1應(yīng)用系統(tǒng)安全功能及配置（G）...............................................20

7.11.2面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御（M）.................................20

7.11.3面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期測試（M）...........................................21

7.11.4應(yīng)用系統(tǒng)賬號口令管理（G）.................................................21

7.11.5重要數(shù)據(jù)安全保護(hù)（G）.....................................................21

7.12物理環(huán)境安全防護(hù)..............................................................22

7.12.1機(jī)房安全建設(shè)（G）.........................................................22

7.13信息系統(tǒng)運行安全管理..........................................................22

7.13.1日常維護(hù)（G）.............................................................22

7.13.2安全審計（G）.............................................................22

7.13.3補(bǔ)丁管理（G）.............................................................23

7.13.4安全監(jiān)測（M）.............................................................23

7.14災(zāi)難恢復(fù)......................................................................23

7.14.1硬件冗余（G）.............................................................23

7.14.2系統(tǒng)和數(shù)據(jù)備份（G）.......................................................24

7.14.3異地災(zāi)備（G）.............................................................24

7.14.4恢復(fù)測試（M）.............................................................24

7.15應(yīng)急管理......................................................................25

7.15.1信息通報（G）.............................................................25

7.15.2應(yīng)急預(yù)案制定（G）.........................................................25

7.15.3應(yīng)急演練（G）.............................................................25

7.15.4應(yīng)急資源配備（G）.........................................................26

7.15.5事故調(diào)查（G）.............................................................26

附錄A（資料性附錄）檢查內(nèi)容索引................................................27

附錄B（規(guī)范性附錄）主要過程及其活動輸出........................................29

附錄C（資料性附錄）風(fēng)險分析方法................................................31

C.1定性分析.......................................................................31

C.2定量分析.......................................................................32

前??言

本規(guī)范按照GB/T1.1-2009給出的規(guī)則起草。

本規(guī)范由全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。

本規(guī)范起草單位：國家能源局信息中心，華北能源監(jiān)管局、浙江能源監(jiān)管辦。

本規(guī)范主要起草人：

GBXXXXX—XXXX

電力信息系統(tǒng)信息安全檢查規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了電力信息系統(tǒng)信息安全檢查的內(nèi)容、流程、方法以及備選檢查內(nèi)容等。

本標(biāo)準(zhǔn)適用于開展電力信息系統(tǒng)的信息安全檢查、督查工作，同時也適用于電力企業(yè)在本集團(tuán)（系

統(tǒng)）范圍內(nèi)開展相關(guān)系統(tǒng)的信息安全自查。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》國家發(fā)改委令第14號

《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》電監(jiān)信息[2012]62號

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)安全設(shè)計技術(shù)要求》GB/T25070-2010

《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》國能

安全〔2015〕36號

《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269-2006

《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》國能安全〔2014〕317號

《電力行業(yè)信息安全等級保護(hù)管理辦法》國能安全〔2014〕318號

《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》GB/T20984-2007

3術(shù)語和定義

GB/T5271.8、GB17859-1999、GB/T22239-2008和GB/T25070-2010確立的以及下列術(shù)語和定義適

用于本規(guī)范。

3.1

管理信息類系統(tǒng)ManagementInformationSystem

管理信息類系統(tǒng)是指支持電力企業(yè)的經(jīng)營、管理和運營的信息系統(tǒng)，如門戶網(wǎng)站系統(tǒng)、電力營銷管

理系統(tǒng)、財務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、物流管理系統(tǒng)和質(zhì)量管理系統(tǒng)等。本類系統(tǒng)往往部署于管

理信息大區(qū)，與互聯(lián)網(wǎng)的隔離強(qiáng)度為邏輯隔離或強(qiáng)于邏輯隔離但弱于物理隔離。

3.2

生產(chǎn)控制類系統(tǒng)ProductionControlSystem

1

GBXXXXX—XXXX

生產(chǎn)控制類系統(tǒng)是用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運行過程的、基于計算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理

系統(tǒng)及智能設(shè)備，如電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)、電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、

換流站計算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計算機(jī)監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機(jī)繼電保護(hù)和安全自動裝置、廣

域相量測量系統(tǒng)、負(fù)荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量系統(tǒng)、實時

電力市場的輔助控制系統(tǒng)等。本類系統(tǒng)原則上部署于生產(chǎn)控制大區(qū)，與互聯(lián)網(wǎng)的隔離強(qiáng)度近似于物理隔

離。

3.3

電力信息系統(tǒng)

電力信息系統(tǒng)是指與電力企業(yè)的生產(chǎn)、管理、控制相關(guān)的信息系統(tǒng)，根據(jù)信息系統(tǒng)的責(zé)任單位、業(yè)

務(wù)類型和業(yè)務(wù)重要性及物理位置差異等各種因素，可分為管理信息類系統(tǒng)和生產(chǎn)控制類系統(tǒng)。

3.4

控制區(qū)Controlarea

控制區(qū)是指具有實時監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)

構(gòu)成的安全區(qū)域。

3.5

非控制區(qū)Non-controlarea

非控制區(qū)是指在生產(chǎn)控制范圍內(nèi)，由在線運行但不直接參與控制、作為電力生產(chǎn)過程的必要環(huán)節(jié)、

縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。

3.6

信息安全檢查InformationSecurityInspection

在以小時為單位的有限時間內(nèi)根據(jù)檢查目的通過檢查方法實施檢查活動以發(fā)現(xiàn)影響信息系統(tǒng)可用

性、機(jī)密性、完整性的主要因素，可以采取委托第三方機(jī)構(gòu)以測評（評估）的方法進(jìn)行全面細(xì)致檢查，

但通常建議以文檔審查等方式審查測評（評估）相關(guān)文檔以獲得相關(guān)信息。

4檢查內(nèi)容的三種類型

根據(jù)檢查對象的不同，檢查內(nèi)容進(jìn)一步細(xì)分為：與管理信息類系統(tǒng)相關(guān)的檢查項標(biāo)記為M，與生產(chǎn)

控制類系統(tǒng)相關(guān)的檢查項標(biāo)記為P；未區(qū)分針對管理信息類和生產(chǎn)控制類的檢查項標(biāo)記為G。

5檢查工作流程

5.1檢查準(zhǔn)備

本階段是開展檢查工作的前提和基礎(chǔ)，是整個檢查過程有效性的保證。檢查準(zhǔn)備工作是否充分直接

關(guān)系到后續(xù)工作能否順利開展。本階段的主要內(nèi)容是明確檢查工作的方式、依據(jù)、范圍和內(nèi)容，調(diào)研被

檢查單位和被檢查系統(tǒng)的情況，確定被檢查方的聯(lián)系人和聯(lián)絡(luò)方式，確定檢查組成員和檢查工具，制定

檢查方案和計劃并通知被檢查單位。

2

GBXXXXX—XXXX

5.1.1檢查準(zhǔn)備過程工作內(nèi)容

根據(jù)檢查工作的要求，明確安全檢查工作的方式，包括監(jiān)管機(jī)構(gòu)安全檢查、監(jiān)管機(jī)構(gòu)安全督察、企

業(yè)信息安全自查等；

明確安全檢查工作的依據(jù)，包括國家信息安全規(guī)范性文件及標(biāo)準(zhǔn)、行業(yè)信息安全規(guī)范性文件及標(biāo)準(zhǔn)、

主管機(jī)構(gòu)要求等；

明確安全檢查工作的范圍，包括被檢查單位、被檢查系統(tǒng)、涉及的人員、被檢查單位的上級主管單

位等，并通過調(diào)研形成《信息系統(tǒng)安全檢查工作調(diào)研表》；

明確安全檢查工作的內(nèi)容。由兩部分內(nèi)容組成，一部分為基本檢查內(nèi)容，相關(guān)要求見本規(guī)范第七章

節(jié)；另外一部分為補(bǔ)充檢查內(nèi)容，由檢查工作電力企業(yè)在每次檢查前，依據(jù)有關(guān)信息安全主管單位要求、

信息安全發(fā)展態(tài)勢和企業(yè)的信息安全管理工作開展情況進(jìn)行擬定；

由檢查機(jī)構(gòu)統(tǒng)一組織實施檢查工作，確定實施現(xiàn)場檢查工作的人員和設(shè)備，可委托第三方信息安全

服務(wù)機(jī)構(gòu)實施現(xiàn)場檢查工作，但檢查機(jī)構(gòu)應(yīng)安排專人陪同；

根據(jù)檢查工作的內(nèi)容，制定《信息系統(tǒng)安全檢查方案》、《信息系統(tǒng)安全檢查計劃》和《信息系統(tǒng)安

全檢查工作表》；

在現(xiàn)場檢查開始前，檢查組應(yīng)至少提前兩天將《信息系統(tǒng)安全檢查方案》和《信息系統(tǒng)安全檢查計

劃》下發(fā)至被檢查單位，明確要求被檢查單位對必要的系統(tǒng)和數(shù)據(jù)進(jìn)行備份，被檢查單位應(yīng)積極配合，

并提供必要的配合人員和辦公條件。

5.1.2準(zhǔn)備過程的角色和責(zé)任

檢查機(jī)構(gòu)職責(zé)：

a)向被檢查單位介紹安全檢查的意義和目的、檢查流程和工作方法；

b)了解被檢查單位的信息化建設(shè)狀況與發(fā)展；

c)指出被檢查單位應(yīng)提供的基本資料；

d)向被檢查單位說明檢查工作自身的風(fēng)險和規(guī)避方法；

e)準(zhǔn)備被檢查系統(tǒng)基本情況調(diào)查表單；

f)了解被檢查系統(tǒng)基本情況；

g)初步分析系統(tǒng)的安全情況；

h)準(zhǔn)備檢查工具和文檔。

被檢查單位職責(zé)：

a)向檢查機(jī)構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況；

b)準(zhǔn)備檢查機(jī)構(gòu)需要的資料；

c)為檢查人員的信息收集提供支持和協(xié)調(diào)；

d)根據(jù)被檢查系統(tǒng)的具體情況，如業(yè)務(wù)運行高峰期、網(wǎng)絡(luò)布置情況等，為檢查時間安排提供適宜

的建議；

e)備份數(shù)據(jù)和系統(tǒng)，制定應(yīng)急預(yù)案。

5.2檢查實施

3

GBXXXXX—XXXX

本階段是檢查工作的核心，主要依據(jù)檢查方案的總體要求將本檢查規(guī)范的要求落實到實際檢查工作

中，通過對被檢查單位的溝通訪談、文檔審查、配置檢查、工具測試和實地察看，并調(diào)閱自查或上次檢

查報告（如果有），對被檢查單位信息系統(tǒng)的安全保護(hù)現(xiàn)狀進(jìn)行取證，取得分析與總結(jié)活動所需的、足

夠的證據(jù)和資料。

5.2.1檢查實施過程工作內(nèi)容

檢查人員現(xiàn)場填寫《信息系統(tǒng)安全檢查工作表》，檢查完成后需要由被檢查方簽字確認(rèn)。

現(xiàn)場檢查完成后，需要由被檢查方對被檢查對象的運行情況進(jìn)行確認(rèn)，并在《系統(tǒng)運行情況驗證記

錄》上簽字確認(rèn)，對于因檢查工作導(dǎo)致系統(tǒng)運行異常的情況，應(yīng)如實記錄，并及時上報主管部門。

1、現(xiàn)場檢查采用的方法主要包括：

a)人員訪談

檢查人員通過與信息系統(tǒng)有關(guān)人員（個人/群體）進(jìn)行交流、討論等活動，獲取證據(jù)以證明信息系

統(tǒng)安全保護(hù)措施是否有效的一種方法。

b)文檔審查

檢查人員通過對被檢查單位支撐信息系統(tǒng)安全建設(shè)與運維的安全管理制度、記錄等文檔的核查，獲

取證據(jù)以證明信息系統(tǒng)的安全保護(hù)要求是否全面，安全保護(hù)規(guī)定是否得到執(zhí)行。

c)配置核查

檢查人員通過對被檢查對象進(jìn)行觀察、查驗、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施

是否有效的一種方法。

d)安全測試

檢查人員使用預(yù)定的方法/工具使檢查對象產(chǎn)生特定的行為，通過查看、分析這些行為的結(jié)果，獲

取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法。在檢查中也可不重新實施安全測試而利用已

有的安全測試結(jié)果。

2、該階段主要可能的風(fēng)險包括：

a)驗證測試影響系統(tǒng)正常運行。在現(xiàn)場檢查時，需要對設(shè)備和系統(tǒng)的安全策略配置和安全功能進(jìn)行

必要的驗證測試，部分測試內(nèi)容涉及到對設(shè)備的操作，可能對系統(tǒng)的運行造成一定的影響，甚至存在誤

操作的可能；

b)工具測試影響系統(tǒng)正常運行。在現(xiàn)場檢查時，有時會使用一些技術(shù)測試工具進(jìn)行漏洞測試、性能

測試甚至抗?jié)B透能力測試等。工具測試可能會對系統(tǒng)的負(fù)載造成一定的影響，其中漏洞測試和滲透測試

可能對系統(tǒng)數(shù)據(jù)造成一定破壞；

c)原則上檢查方不接觸被檢查設(shè)備，應(yīng)避免執(zhí)行系統(tǒng)數(shù)據(jù)變更操作，由配合人員根據(jù)操作規(guī)程和檢

查項需求對被檢查對象進(jìn)行核查操作。

5.2.2現(xiàn)場檢查過程的角色和責(zé)任

檢查機(jī)構(gòu)職責(zé)：

a)利用人員訪談、文檔審查、配置核查和安全測試的方法檢查系統(tǒng)的保護(hù)措施與本規(guī)范要求的符

合情況，以及正確性和有效性。

4

GBXXXXX—XXXX

被檢查單位職責(zé)：

a)協(xié)調(diào)被檢查系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合檢查工作的開展；

b)相關(guān)人員回答檢查人員的問詢，對某些需要驗證的內(nèi)容上機(jī)進(jìn)行操作；

c)相關(guān)人員協(xié)助檢查人員實施工具測試并提供有效建議，降低安全檢查對系統(tǒng)運行的影響；

d)相關(guān)人員協(xié)助檢查人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗證和測試；

e)相關(guān)人員對檢查結(jié)果進(jìn)行確認(rèn)。

5.3檢查結(jié)果分析

本階段是總結(jié)被檢查系統(tǒng)整體安全保護(hù)能力的綜合評價活動，根據(jù)現(xiàn)場檢查結(jié)果和本規(guī)范的相關(guān)要

求，定位整個系統(tǒng)的安全保護(hù)現(xiàn)狀與本規(guī)范安全要求之間的差距，并分析這些差距導(dǎo)致被檢查系統(tǒng)面臨

的風(fēng)險，從而給出檢查結(jié)論，形成檢查報告和整改通知書。

5.3.1檢查結(jié)果分析工作內(nèi)容

現(xiàn)場檢查工作完成后，由檢查組對檢查結(jié)果進(jìn)行整理，采用定量或定性的風(fēng)險分析方法，編制《信

息系統(tǒng)安全檢查報告》。

5.3.2檢查總結(jié)過程的角色和責(zé)任

檢查機(jī)構(gòu)職責(zé)：

a)分析檢查結(jié)果，形成檢查結(jié)論；

b)編制整改通知書，說明被檢查系統(tǒng)存在的安全隱患和缺陷，并給出改進(jìn)建議；

c)將生成的過程文檔歸檔保存，并將檢查過程中生成的電子文檔清除。

6檢查內(nèi)容的選擇方法

6.1全覆蓋法

區(qū)分被檢查系統(tǒng)為管理信息類系統(tǒng)還是生產(chǎn)控制類系統(tǒng)，選取相關(guān)全部備選檢查項作為檢查內(nèi)容。

6.2隨機(jī)抽取法

從備選檢查內(nèi)容中按照索引目錄從各檢查類中隨機(jī)抽取檢查項。

6.3重點項抽取法

從備選檢查內(nèi)容中確定重點檢查項，只檢查重點項。

6.4增項檢查法

根據(jù)檢查目的，設(shè)計備選檢查內(nèi)容中未包含的檢查項作為新增檢查項。

（注：對于檢查內(nèi)容的選擇，不局限于采取單一方式進(jìn)行選擇，也可根據(jù)檢查目的，采用多種選擇

方式相結(jié)合，如同時采用重點項抽取法和增項檢查法確定檢查內(nèi)容）

7備選檢查內(nèi)容

5

GBXXXXX—XXXX

7.1組織體系

7.1.1第一責(zé)任人確立（G）

本檢查項包括：

a)檢查電力企業(yè)主要負(fù)責(zé)人是否是信息安全第一責(zé)任人。

檢查依據(jù)：

a)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全管理”。

b)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條。

檢查要素：

a)信息安全第一責(zé)任人。

檢查方法：

a)文檔審查，查看信息安全電力企業(yè)文件。

7.1.2信息安全責(zé)任落實（G）

本檢查項包括：

a)檢查是否設(shè)立信息安全管理工作的職能部門，是否設(shè)立安全主管、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、

安全管理員等崗位；

b)是否以文件的形式明確責(zé)任部門、責(zé)任人員的職責(zé)。

c)如有電力監(jiān)控系統(tǒng)，是否將電力監(jiān)控系統(tǒng)安全防護(hù)工作及其信息報送納入日常安全生產(chǎn)管理體

系，落實分級負(fù)責(zé)的責(zé)任制。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條。

b)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十四條。

檢查要素：

a)信息安全責(zé)任部門、責(zé)任人員。日常安全生產(chǎn)管理體系。

檢查方法：

a)文檔審查，查看信息安全責(zé)任部門、責(zé)任人員職責(zé)文件。日常安全生產(chǎn)管理體系職責(zé)文件。

7.1.3專職機(jī)構(gòu)及崗位設(shè)置（G）

本檢查項包括：

a)檢查組織的信息安全管理部門及崗位設(shè)置是否符合以下要求：

1)電力企業(yè)集團(tuán)公司總部設(shè)置信息安全專職管理機(jī)構(gòu)；

2)電力企業(yè)集團(tuán)公司二級單位設(shè)置信息安全管理和技術(shù)崗位；

3)電力企業(yè)基層單位設(shè)置信息安全崗位。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條。

檢查要素：

a)企業(yè)級別、信息安全管理部門及崗位設(shè)置。

檢查方法：

a)人員訪談，詢問企業(yè)所屬級別和信息安全管理部門及崗位設(shè)置；

b)文檔審查，根據(jù)企業(yè)級別查看信息安全管理部門及崗位設(shè)置說明文件。

7.1.4安全人員配置（G）

6

GBXXXXX—XXXX

本檢查項包括：

a)檢查電力企業(yè)是否配備一定數(shù)量的專職信息安全工作人員，能否滿足電力企業(yè)信息安全崗位需

求。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條。

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理機(jī)構(gòu)人員配備”。

檢查要素：

a)專職信息安全工作人員數(shù)量、信息安全崗位數(shù)量。

檢查方法：

a)文檔審查，查閱電力企業(yè)崗位職責(zé)說明及人員崗位職責(zé)分配說明。

7.2規(guī)章制度

7.2.1整體策略及總體方案制定（G）

本檢查項包括：

a)檢查電力企業(yè)是否制定符合國家及行業(yè)政策要求的信息安全工作整體策略和總體方案，是否說

明了信息安全工作總體目標(biāo)、范圍、防護(hù)框架和防護(hù)措施。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十條

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理制度”中的“管理制度”

檢查要素：

a)信息安全工作整體策略、總體方案、信息安全工作總體目標(biāo)、范圍、防護(hù)框架和防護(hù)措施。

檢查方法：

a)文檔審查，查閱信息安全整體策略和總體方案文檔。

7.2.2制度制定及體系完整性（G）

本檢查項包括：

a)檢查電力企業(yè)是否針對信息安全工作制定基本安全管理制度，并以此為基礎(chǔ)形成涵蓋人員管

理、資產(chǎn)管理、介質(zhì)管理、建設(shè)安全管理、運行維護(hù)管理、外包服務(wù)管理、培訓(xùn)教育等方面的

制度體系。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第七條

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理制度”中的“管理制度”

檢查要素：

a)基本安全管理制度。

檢查方法：

a)文檔審查，查閱組織是否制訂了基本管理制度，內(nèi)容是否涵蓋人員管理、資產(chǎn)管理、介質(zhì)管理、

建設(shè)安全管理、運行維護(hù)管理、外包服務(wù)管理、培訓(xùn)教育等方面。

7.2.3操作規(guī)程制定（G）

本檢查項包括：

a)檢查電力企業(yè)是否對信息安全運行維護(hù)人員執(zhí)行的日常操作制定運維流程和操作規(guī)程。

7

GBXXXXX—XXXX

檢查依據(jù)：

a)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全管理”。

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理制度”中的“管理制度”。

檢查要素：

a)運維流程、操作規(guī)程。

檢查方法：

a)文檔審查，查閱組織制訂的運維流程和操作規(guī)程文檔。

7.2.4制度發(fā)布（G）

本檢查項包括：

a)檢查電力企業(yè)是否通過正式、有效的方式發(fā)布信息安全管理制度。

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理制度”中的“制定與發(fā)布”。

檢查要素：

a)制度發(fā)布方式。

檢查方法：

a)文檔審查，查閱安全管理制度發(fā)布方式和相關(guān)記錄。

7.3資金保障

7.3.1經(jīng)費預(yù)算（G）

本檢查項包括：

a)檢查電力企業(yè)是否將信息安全建設(shè)費用（安全軟硬件購置、系統(tǒng)安全功能開發(fā)、安全驗收測試、

安全咨詢與培訓(xùn)、安全專項研究等）和運行維護(hù)費用（日常安全運維、監(jiān)測分析、應(yīng)急演練、

應(yīng)急保障、信息安全監(jiān)督檢查、測試評估等）納入年度預(yù)算。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條。

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理機(jī)構(gòu)”中“資金保障”。

檢查要素：

a)信息安全建設(shè)費用、運行維護(hù)費用。

檢查方法：

a)文檔審查，查看年度預(yù)算計劃。

7.3.2安全建設(shè)經(jīng)費投入（G）

本檢查項包括：

a)檢查電力企業(yè)用于信息安全建設(shè)的經(jīng)費占年度信息化建設(shè)總投入的比率是否大于15%（取當(dāng)年

值或近兩年平均值）。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條。

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理機(jī)構(gòu)”中“資金保障”。

檢查要素：

a)信息安全建設(shè)經(jīng)費、信息化建設(shè)總投入。

檢查方法：

8

GBXXXXX—XXXX

a)文檔審查，查看信息安全建設(shè)經(jīng)費、信息化建設(shè)總投入的實際情況。

7.3.3安全運維經(jīng)費投入（G）

本檢查項包括：

a)檢查電力企業(yè)用于信息安全運行維護(hù)的經(jīng)費占整個信息系統(tǒng)運行維護(hù)總投入的比率是否大于

15%（取當(dāng)年值或近兩年平均值）。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十七條。

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“安全管理機(jī)構(gòu)”中“資金保障”。

檢查要素：

a)信息安全運維經(jīng)費、信息系統(tǒng)運行維護(hù)總投入。

檢查方法：

a)文檔審查，查看信息安全運維經(jīng)費、信息化建設(shè)總投入的實際情況。

7.4人員安全管理

7.4.1安全培訓(xùn)與考核（G）

本檢查項包括：

a)檢查電力企業(yè)信息安全從業(yè)，信息系統(tǒng)設(shè)計、建設(shè)、運維等相關(guān)各類人員是否經(jīng)培訓(xùn)合格后上

崗，是否定期接受相應(yīng)的政策規(guī)劃和專業(yè)技能培訓(xùn)。

檢查依據(jù)：

a)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》“安全管理”。

b)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》中第十八條

c)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中“安全意識教育和培訓(xùn)”

檢查要素：

a)人員安全培訓(xùn)及考核。

檢查方法：

a)文檔審查，查閱參加安全培訓(xùn)的人員名單及成績單。

7.4.2保密協(xié)議簽訂（G）

本檢查項包括：

a)檢查電力企業(yè)是否與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的人員，電力監(jiān)控系統(tǒng)

（如有）相關(guān)設(shè)備及系統(tǒng)的開發(fā)單位和供應(yīng)商簽署保密協(xié)議。

檢查依據(jù)：

a)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十八條。

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中的“人員錄用”。

檢查要素：

a)保密協(xié)議簽訂。

檢查方法：

a)文檔審查，查閱簽署保密協(xié)議的人員名單及其崗位或單位。

7.4.3人員審查（G）

本檢查項包括：

9

GBXXXXX—XXXX

a)檢查電力企業(yè)是否對信息安全崗位人員和其他敏感崗位人員實施身份、背景和資質(zhì)審查。

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中的“人員錄用”。

檢查要素：

a)人員的身份、背景和資質(zhì)審查制度和審查結(jié)果記錄。

檢查方法：

a)文檔審查，查閱信息安全崗位人員和其他敏感崗位人員的身份、背景和資質(zhì)審查記錄。

7.4.4崗位調(diào)整管控（G）

本檢查項包括：

a)檢查電力企業(yè)是否在信息安全崗位人員及其他敏感崗位人員離崗時執(zhí)行權(quán)限回收和離崗承諾

書簽署。

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中的“人員離崗”。

檢查要素：

a)人員的權(quán)限回收記錄、離崗承諾書。

檢查方法：

a)文檔審查，查閱信息安全崗位人員及其他敏感崗位人員的回收記錄和離崗承諾書。

7.5服務(wù)外包管控

7.5.1外包服務(wù)協(xié)議（G）

本檢查項包括：

a)檢查電力企業(yè)與合約方簽訂的外包服務(wù)協(xié)議中是否具有信息安全管控和保密條款。

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)建設(shè)管理”中“外包軟件開發(fā)”。

b)《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“4.3工程實施的安全管理”。

檢查要素：

a)外包服務(wù)協(xié)議。

檢查方法：

a)文檔審查，查閱外包服務(wù)協(xié)議中的信息安全管控和保密條款。

7.5.2外部人員訪問管理（G）

本檢查項包括：

a)檢查電力企業(yè)是否對外部人員訪問機(jī)房等受控區(qū)域采取書面審批、人員陪同、進(jìn)出記錄等管控

措施。

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“人員安全管理”中“外部人員訪問管理”。

檢查要素：

a)受控區(qū)域訪問控制措施和記錄。

檢查方法：

a)文檔審查，查閱第三方人員訪問管理制度和記錄。

7.5.3遠(yuǎn)程服務(wù)管控（G）

10

GBXXXXX—XXXX

本檢查項包括：

a)檢查電力企業(yè)是否采取遠(yuǎn)程服務(wù)，如采取遠(yuǎn)程服務(wù)，針對遠(yuǎn)程服務(wù)訪問采取書面審批、訪問控

制、在線監(jiān)測、日志審計等管控措施。

檢查依據(jù)：

a)《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“3.9遠(yuǎn)程撥號訪問”。

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“網(wǎng)絡(luò)安全”中“訪問控制”。

檢查要素：

a)遠(yuǎn)程服務(wù)管控措施和記錄。

檢查方法：

a)人員訪談，詢問對遠(yuǎn)程服務(wù)訪問采取的控制措施；

b)文檔審查，查閱遠(yuǎn)程服務(wù)管控措施制度和記錄；

c)日志審計，如采取遠(yuǎn)程服務(wù)，查閱遠(yuǎn)程服務(wù)管控相關(guān)審計日志。

7.5.4現(xiàn)場開發(fā)管控（G）

本檢查項包括：

a)檢查電力企業(yè)是否采取技術(shù)措施實現(xiàn)開發(fā)測試環(huán)境與實際生產(chǎn)運行環(huán)境物理分離，并對開發(fā)人

員的活動范圍和行為實施管控。

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)建設(shè)管理”中“自行軟件開發(fā)”。

檢查要素：

a)現(xiàn)場開發(fā)的管控措施和記錄。

檢查方法：

a)人員訪談，詢問是否將開發(fā)測試環(huán)境與實際生產(chǎn)環(huán)境物理分離；

b)文檔審查，查閱開發(fā)人員的活動范圍和行為管控制度。

7.6關(guān)鍵信息資產(chǎn)管控

7.6.1資產(chǎn)管理（G）

本檢查項包括：

a)檢查電力企業(yè)是否識別所有與信息系統(tǒng)相關(guān)的資產(chǎn)并編制了準(zhǔn)確的資產(chǎn)清單，是否對每項資產(chǎn)

明確管理責(zé)任人及其職責(zé)。

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運維管理”中“資產(chǎn)管理”。

檢查要素：

a)資產(chǎn)清單。

檢查方法：

a)文檔審查，查閱資產(chǎn)清單，檢查是否識別所有與信息系統(tǒng)相關(guān)的資產(chǎn)，是否對每項資產(chǎn)明確管

理責(zé)任人及其職責(zé)。

7.6.2資產(chǎn)維修報廢管理（G）

本檢查項包括：

a)檢查電力企業(yè)是否在系統(tǒng)、設(shè)備維修或報廢時，選取了可信服務(wù)機(jī)構(gòu)并對數(shù)據(jù)采取了備份、清

除等有效保護(hù)措施。

11

GBXXXXX—XXXX

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)運維管理”中“介質(zhì)管理”。

檢查要素：

a)可信服務(wù)機(jī)構(gòu)選擇、數(shù)據(jù)保護(hù)措施和記錄。

檢查方法：

b)文檔審查，查閱系統(tǒng)、設(shè)備維修或報廢管理制度和記錄。

7.7信息系統(tǒng)建設(shè)安全管理

7.7.1技術(shù)監(jiān)督與審核（P）

本檢查項包括：

a)電力調(diào)度機(jī)構(gòu)是否開展了其直接調(diào)度范圍內(nèi)的下一級電力調(diào)度機(jī)構(gòu)、變電站、發(fā)電廠涉網(wǎng)部分

的電力監(jiān)控系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督，發(fā)電廠內(nèi)其它監(jiān)控系統(tǒng)的安全防護(hù)是否由其上級主管單

位實施了技術(shù)監(jiān)督。

b)電力調(diào)度機(jī)構(gòu)、發(fā)電廠、變電站等運行單位的電力監(jiān)控系統(tǒng)安全防護(hù)實施方案是否經(jīng)本企業(yè)的

上級專業(yè)管理部門和信息安全管理部門以及相應(yīng)電力調(diào)度機(jī)構(gòu)的審核，方案實施完成后是否由

上述機(jī)構(gòu)驗收。

c)接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的設(shè)備和應(yīng)用系統(tǒng)，其接入技術(shù)方案和安全防護(hù)措施是否經(jīng)直接負(fù)責(zé)的

電力調(diào)度機(jī)構(gòu)同意。

檢查依據(jù)：

a)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十四條、十五條。

檢查要素：

a)技術(shù)監(jiān)督，安全防護(hù)方案審核與驗收，接入技術(shù)方案和安全防護(hù)措施審核同意。

檢查方法：

a)文檔審查，查閱審核、驗收意見及相關(guān)材料。

b)人員訪談，訪談實施技術(shù)監(jiān)督、審核、驗收等相關(guān)工作的流程。

7.7.2上線安全測評（G）

本檢查項包括：

a)檢查電力企業(yè)信息系統(tǒng)在上線前是否通過信息安全測評。

檢查依據(jù)：

a)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)建設(shè)管理”中“測試驗收”。

b)《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“4.3工程實施的安全管理”。

檢查要素：

a)上線前通過安全測評的系統(tǒng)清單、信息系統(tǒng)清單。

檢查方法：

a)文檔審查，查閱全部信息系統(tǒng)列表，查閱并統(tǒng)計已通過信息安全測評的系統(tǒng)測評報告。

7.7.3等級保護(hù)建設(shè)（G）

本檢查項包括：

a)檢查電力企業(yè)信息系統(tǒng)是否按要求開展信息安全等級保護(hù)建設(shè)。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條、第九條、第十條、第十一條。

12

GBXXXXX—XXXX

b)《電力行業(yè)信息安全等級保護(hù)管理辦法》第九條。

檢查要素：

a)按要求開展信息安全等級保護(hù)建設(shè)的系統(tǒng)清單。

檢查方法：

a)文檔審查，查閱全部信息系統(tǒng)列表，查閱已按要求開展信息安全等級保護(hù)建設(shè)的信息系統(tǒng)相關(guān)

文檔。

7.7.4等級測評開展情況（G）

本檢查項包括：

a)檢查電力企業(yè)信息系統(tǒng)是否按要求開展等級測評。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第八條。

b)《電力行業(yè)信息安全等級保護(hù)管理辦法》第十二條。

檢查要素：

a)按要求開展等級保護(hù)測評的系統(tǒng)清單。

檢查方法：

a)文檔審查，查閱全部信息系統(tǒng)列表，查閱并統(tǒng)計已開展信息系統(tǒng)安全等級保護(hù)測評的方案數(shù)量

和等級測評報告。

7.7.5風(fēng)險評估（G）

本檢查項包括：

a)檢查電力企業(yè)信息系統(tǒng)是否按要求開展信息安全風(fēng)險評估并完成信息安全隱患整改。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第十二條。

b)《電力行業(yè)信息安全等級保護(hù)管理辦法》第十二條。

c)《電力監(jiān)控系統(tǒng)安全防護(hù)方案總體方案》“5安全防護(hù)評估”

檢查要素：

a)信息安全風(fēng)險評估報告、整改建設(shè)方案。

檢查方法：

a)文檔審查，查閱電力企業(yè)信息系統(tǒng)安全風(fēng)險評估報告、整改建設(shè)方案。

7.7.6產(chǎn)品采購和使用（G）

本檢查項包括：

a)檢查電力企業(yè)安全產(chǎn)品和密碼產(chǎn)品的采購及使用是否符合國家有關(guān)規(guī)定。

b)電力監(jiān)控系統(tǒng)在設(shè)備選型及配置時，是否禁止選用經(jīng)國家相關(guān)管理部門檢測認(rèn)定并經(jīng)國家能源

局通報存在漏洞和風(fēng)險的系統(tǒng)及設(shè)備；對于已經(jīng)投入運行的系統(tǒng)及設(shè)備，是否按照國家能源局

及其派出機(jī)構(gòu)的要求及時進(jìn)行整改，同時應(yīng)當(dāng)加強(qiáng)相關(guān)系統(tǒng)及設(shè)備的運行管理和安全防護(hù)。生

產(chǎn)控制大區(qū)中除安全接入?yún)^(qū)外，是否禁止選用具有無線通信功能的設(shè)備。

檢查依據(jù)：

a)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》第九條。

b)《電力行業(yè)信息安全等級保護(hù)管理辦法》第九條、第十八條、第二十三條、第二十五條。

c)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第十三條。

檢查要素：

13

GBXXXXX—XXXX

a)安全產(chǎn)品和密碼產(chǎn)品，電力監(jiān)控系統(tǒng)設(shè)備選型、采購、配置、使用、整改等管理制度。

檢查方法：

a)人員訪談，訪談相關(guān)人員是否了解相關(guān)制度，是否存在不執(zhí)行相關(guān)制度的特殊情況；

b)文檔審查，查閱電力企業(yè)相關(guān)管理制度和資產(chǎn)清單等，檢查其采購及使用是否符合國家有關(guān)規(guī)

定。

c)配置核查，核查已被通報存在隱患的在線運行的系統(tǒng)和設(shè)備是否已經(jīng)整改及相關(guān)運行管理和安

全防護(hù)措施。

7.7.7核心產(chǎn)品采購測試（G）

本檢查項包括：

a)電力企業(yè)應(yīng)用的信息安全產(chǎn)品、系統(tǒng)基礎(chǔ)軟硬件、系統(tǒng)應(yīng)用軟件、工業(yè)控制裝置等在采購前是

否通過了安全性測試。

檢查依據(jù)：

a)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第九條、第十條。

b)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》“系統(tǒng)建設(shè)管理”中“產(chǎn)品采購和使用”。

檢查要素：

a)安全性測試報告。

檢查方法：

a)文檔審查，查閱電力企業(yè)應(yīng)用的信息安全產(chǎn)品、系統(tǒng)基礎(chǔ)軟硬件、系統(tǒng)應(yīng)用軟件、工業(yè)控制裝

置等的安全性測試報告。

7.7.8安全產(chǎn)品國產(chǎn)化情況（G）

本檢查項包括：

a)檢查電力企業(yè)3級及以上系統(tǒng)所采用信息安全產(chǎn)品是否為國產(chǎn)產(chǎn)品。

檢查依據(jù)：

a)《信息安全等級保護(hù)管理辦法》第二十一條。

檢查要素：

a)信息安全產(chǎn)品清單。

檢查方法：

a)文檔審查，查閱電力企業(yè)信息安全產(chǎn)品清單。

7.8安全分區(qū)防御體系

7.8.1大區(qū)間隔離（P）

本檢查項包括：

a)檢查電力企業(yè)是否按要求劃分生產(chǎn)控制大區(qū)和管理信息大區(qū)；

b)檢查電力企業(yè)是否在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力

專用橫向單向安全隔離裝置。

檢查依據(jù)：

a)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》第六條、第九條。

檢查要素：

a)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、單向隔離裝置產(chǎn)品資質(zhì)材料。

檢查方法：

14

GBXXXXX—XXXX

a)文檔審查，查看電力企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否劃分生產(chǎn)控制大區(qū)和管理信息大區(qū)，查看單向隔

離裝置的檢測報告或認(rèn)證證書。

b)配置核查，核查單向隔離裝置是否配置有效。

7.8.2生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離（P）

本檢查項包括：

a)檢查電力企業(yè)是否按要求在生