电力企业信息安全检查项目表.docx

电力企业信息安全检查项目表电力企业信息安全检查项目表1 1 检查工作基本信息检查工作基本信息受检单位基本信息单位名称上级单位名称下级单位总数单位类型电网企业发电企业电力科研企业电力设计施工企业其他类型企业检查方式本单位自查上级单位督查电监会抽查检查时间检查范围检查组基本信息检查组织单位检查组组长检查组成员2 2 检查项及检查记录检查项及检查记录2.12.1 组织体系（组织体系（ORGORG）标识检查项检查要素得分判定方法检查记录得分备注ORG.1组织机构建立组织建立了由决策层、管理层、执行层组成的完整信息安全组织机构。符合/不符合判断法：1)不符合，此项得 0 分；2)符合，此项得 0.4 分。决策层符合/不符合判断法：3)不符合，此项得 0 分；4)符合，此项得 0.3 分。管理层符合/不符合判断法：5)不符合，此项得 0 分；6)符合，此项得 0.3 分。执行层ORG.2第一责任人确立组织主要负责人是本单位网络与信息安全的第一责任人，对本单位的网络与信息安全负全面责任。符合/不符合判断法：1)不符合，此项得 0 分；2)符合，此项得 1 分。第一责任人ORG.3责任落实组织机构职责涵盖信息安全工作的主要方面，职责明确到责任部门、责任人员，并以正式文件形式发布。符合/不符合判断法：1)不符合，此项得 0 分；2)符合，此项得 1 分。ORG.4专职机构及岗位设置组织信息安全机构及岗位设置符合如下要求：1）电力企业集团公司总部设置信息安全专职机构；2）电力企业集团公司二级单位设置信息安全管理和技术岗位；3）电力企业基层单位设置信息安全岗位。符合/不符合判断法：1)不符合，此项得 0 分；2)符合，此项得 1 分。机构依据企业层级选择其中之一填写。管理和技术岗位信息安全岗位ORG.5安全人员配置组织专职信息安全工作人员数量与组织总信息安全岗位数量的比值。比率值法：1） 得分=2） 取小数点后 2 位。信息安全岗位总数专职人员数量2.22.2 规章制度（规章制度（REGREG）标识检查项检查要素得分判定方法检查记录得分备注REG.1整体策略及总体规划（方案）制定组织制定了信息安全工作的整体策略和总体规划（方案），说明信息安全工作的总体目标、范围、防护框架和防护措施。符合/不符合判断法：1)不符合，此项得 0 分；2)符合，此项得 0.5 分。整体策略符合/不符合判断法：3)不符合，此项得 0 分；4)符合，此项得 0.5 分。总体规划（方案）REG.2规章制度及体组织对信息安全工作制定了选项法：1） 无制度，此项得基本制度制度体系REG.3操作规程制定组织对要求信息安全运行维护人员执行的日常管理操作制定了运维流程和操作规程。符合/不符合判断法：1)不符合，此项得 0 分；2)符合，此项得 0.5 分。运维流程符合/不符合判断法：3)不符合，此项得 0 分；4)符合，此项得 0.5 分。操作规程REG.4制度发布组织信息安全管理制度通过正式、有效的方式发布。符合/不符合判断法：1)不符合，此项得 0 分；2)符合，此项得 0.5 分。发布制度符合/不符合判断法：3)不符合，此项得 0 分；4)符合，此项得 0.5 分。主要文件符合发布制度要求2.32.3 资金保障（资金保障（FUNFUN）标识检查项检查要素得分判定方法检查记录得分备注FUN.1经费预算组织信息安全建设及运行维护经费被列入预算。符合/不符合判断法：1)不符合，此项得 0 分；2)符合，此项得 1 分。FUN.2安全建设经费投入组织用于信息安全建设（安全软硬件购置、系统安全功能开发、安全测试、安全咨询、安全培训、安全专项研究等）的经费占年度信息化建设总投入的比率。（取当年值或近两年平均值）选项法：1） 比率=2） 比率，此项得 0分；3） 比率，此项得0.3 分；4） 比率，此项得0.7 分；5） 比率，此项得 1分。信息化建设总经费信息安全建设经费FUN.3安全运维经费投组织用于信息安全运行维护（监督检查、日常安全运维、监测选项法：1） 比率=2） 比率，此项得 0分；信息系统运行维护总经费信息安全运行维护经费2.42.4 人员安全管理（人员安全管理（PERPER）标识检查项检查要素得分判定方法检查记录得分备注PER.1全员安全培训及保密协议签订组织全体员工中参加年度信息安全培训并签署保密协议的比率。比率值法：1)得分=；2)取小数点后 2 位。员工总数参加年度培训人员数签署保密协议人员数PER.2专业技能培训组织信息安全工作人员中获得国家、行业信息安全专业培训证书的比率。比率值法：1)得分=；2)取小数点后 2 位。信息安全工作人员总数获得信息安全培训证书的人员数PER.3人员审查组织对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。符合/不符合判断法：