二、檢直項(xiàng)目表

單位名稱鄂前旗供電有限責(zé)任公司

1.檢查基本信

上級(jí)單位名稱鄂爾多斯電業(yè)局

息

區(qū)單位信息安全

張海峰

受檢單位第一負(fù)責(zé)人

基本信息

信息安全責(zé)任部門鄂前旗供電公司安監(jiān)部

本單位自查口J

檢查方式上級(jí)單位督查口

電監(jiān)會(huì)抽查口

檢查時(shí)間4月26日至5月10日

檢查范疇規(guī)章制度、信息網(wǎng)絡(luò)安全、人員管理、工程管理等

檢查組織單位鄂前旗供電公司

檢杳組組長(zhǎng)劉俊毅

檢查組基本信息

檢查構(gòu)成員高耀平、劉立新、張耀軍、張瑞平

2.檢查內(nèi)容及記錄

2.1.

信息

安全

檢查項(xiàng)檢查成果備注

規(guī)章

制度

序號(hào)

信息安全管理規(guī)章

1是

制度與否健全

需闡明信息安

有關(guān)規(guī)章制度的制全規(guī)章制度日勺

由安監(jiān)部制定、上公司會(huì)議研究后并

2定、發(fā)布、修訂及執(zhí)制定、發(fā)布、修

發(fā)布

行狀況訂及執(zhí)行的主

體及有關(guān)程序。

國(guó)家有關(guān)信息安全

按國(guó)家及上級(jí)有關(guān)信息安全

3政策、法規(guī)的貫徹情

政策、法規(guī)的規(guī)定執(zhí)行

況

闡明信息安全

公司成立了信通所，所長(zhǎng)：張瑞平

信息安全責(zé)任的落負(fù)責(zé)人、責(zé)任機(jī)

4職責(zé)：負(fù)責(zé)正常運(yùn)營(yíng)維護(hù)及安全管理

實(shí)狀況構(gòu)、負(fù)責(zé)人及其

職責(zé)：負(fù)責(zé)正常運(yùn)營(yíng)維護(hù)及安全管理

信息安全職責(zé)。

電力二次系統(tǒng)安全

電力二次系統(tǒng)安全

5管理制度的制定情

管理制度健全

況

電力二次系統(tǒng)安全電力二次系統(tǒng)安全

6

責(zé)任制日勺貫徹狀況責(zé)任制已貫徹到責(zé)任部門及個(gè)人

需要

闡明

的情

況

成果受檢方簽字劉立新檢查方簽字劉俊毅

確認(rèn)日期-5_4日期-5-4

2.2.信

息安全

組織機(jī)檢查項(xiàng)檢查成果備注

構(gòu)

序號(hào)

本單位及所有

下屬單位與否

信息安全組織機(jī)構(gòu)

1是均有明確日勺信

與否健全

息安全責(zé)任機(jī)

構(gòu)。

信息安全機(jī)構(gòu)

職責(zé)與否涵蓋

信息安全職責(zé)與否

2是了目前信息安

明確

全工作日勺重要

方面。

信息安全管理機(jī)構(gòu)

信息中心主任1名，工作人員1名

3崗位設(shè)立、人員配備

狀況

電力二次系統(tǒng)安全

電力二次系統(tǒng)安全

4防護(hù)組織機(jī)構(gòu)的建

防護(hù)組織機(jī)構(gòu)未成立

立狀況

需要

闡明

日勺情

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.3.

信息

安全

檢查項(xiàng)檢查成果備注

資金

保障

序號(hào)

給出運(yùn)維經(jīng)費(fèi)

的數(shù)量及占信

信息安全運(yùn)營(yíng)維護(hù)

1未貫徹經(jīng)費(fèi)息系統(tǒng)總體運(yùn)

經(jīng)費(fèi)貫徹狀況

行維護(hù)資金的

比例。

信息化項(xiàng)目中信息

給出數(shù)量及所

2安全建設(shè)專項(xiàng)資金未貫徹經(jīng)費(fèi)

占比例。

貫徹狀況

需要

闡明

的情

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.4.人

員管理檢查項(xiàng)檢查成果備注

序號(hào)

人員的安全球密意授課，全員開展形式及覆

1

識(shí)教育狀況蓋范疇。

需闡明參與電

人員安全技能培訓(xùn)

2無(wú)監(jiān)會(huì)組織的培

狀況

訓(xùn)狀況。

如有，闡明具

重點(diǎn)、敏感崗位人員

3無(wú)體

有無(wú)內(nèi)控管浬措施

措施。

重要針對(duì)外來(lái)

開發(fā)、維護(hù)、訪

4外來(lái)人員管理狀況實(shí)行登記許可制度

問(wèn)人員的管理

措施。

需要

闡明

的情

況

成果受檢方簽宅劉立新檢查方簽字劉俊毅

確認(rèn)日期-5-8日期-5-8

2.5.

信息

安全

方略

檢查項(xiàng)檢查成果咯注

及總

體防

護(hù)體

系

序號(hào)

單位信息安全總體

1未制定

防護(hù)方略制定狀況

“安全分區(qū)、網(wǎng)絡(luò)專

用、橫向隔離、縱向只有調(diào)度自動(dòng)化系統(tǒng)和管理信息大區(qū)

認(rèn)證”方針的貫徹落實(shí)現(xiàn)了隔離

實(shí)狀況

,3電力二次系統(tǒng)安全

未建立

防護(hù)體系的建設(shè)狀況

需要

闡明

的情

況

成果受檢方簽宅張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.6.分

區(qū)防御檢查項(xiàng)檢查成果備注

序號(hào)

生產(chǎn)控制大區(qū)和管

1理信息大區(qū)內(nèi)部相內(nèi)部沒(méi)有分區(qū)

應(yīng)分區(qū)狀況

分兩個(gè)大區(qū)：調(diào)度自動(dòng)化（生產(chǎn)控

各類系統(tǒng)和設(shè)備分制），管理信息系統(tǒng)。從網(wǎng)絡(luò)和信息系

2

區(qū)部署狀況統(tǒng)兩個(gè)方面闡明。

重點(diǎn)檢查正向隔

離裝置和反向隔

生產(chǎn)控制大區(qū)與管

離裝置日勺部署情

理信息大區(qū)網(wǎng)絡(luò)邊僅調(diào)度自動(dòng)化系統(tǒng)與管理信息大區(qū)

3況，列舉未升級(jí)為

界橫向隔離防護(hù)情有正向物理隔離裝置和防火墻

Ibit版本的橫向隔

況

離裝置的部署位

置和臺(tái)數(shù)。

如未部署縱向加

密認(rèn)證裝置，闡明

縱向加密認(rèn)證裝置

4無(wú)安全防護(hù)措施既有生產(chǎn)控制大

部署狀況

區(qū)縱向網(wǎng)絡(luò)邊界

安全防護(hù)措施。

鄂爾多斯電業(yè)局，公司辦公大樓，

生產(chǎn)控制大區(qū)跨單各基層供電所和變電站，與鄂爾多列舉所有跨單位

5位（部門）數(shù)據(jù)采集斯市局信息互換重要是：辦公自動(dòng)鏈路及其管理措

和信息互換狀況化系統(tǒng)，其他的所有數(shù)據(jù)信息施。

嚴(yán)禁跨越生產(chǎn)控制

大區(qū)和管理信息大調(diào)度自動(dòng)化系統(tǒng)到管理信息系統(tǒng)有如有，列舉所有通

6

區(qū)進(jìn)行網(wǎng)絡(luò)直聯(lián)的正向物理隔離裝置和防火墻道及其管理措施。

貫徹狀況

需要

闡明

日勺情

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.7、網(wǎng)絡(luò)安全

序號(hào)檢查項(xiàng)檢查成果備注

一、調(diào)度自動(dòng)化系統(tǒng)，

二、一體化信息系統(tǒng)，辦公0A自

動(dòng)化系統(tǒng)，原則化作業(yè)輔助闡明管理信息大區(qū)

系統(tǒng)，公司門戶網(wǎng)站系統(tǒng)，安全域劃分原則，

1安全域劃分狀況財(cái)務(wù)軟件系統(tǒng)列

三、一體化信息系統(tǒng)，辦公0A自舉所有安全域及其

動(dòng)化系統(tǒng)，原則化作業(yè)輔助內(nèi)的信息系統(tǒng)。

系統(tǒng)，公司匚戶網(wǎng)站系統(tǒng)，

財(cái)務(wù)軟件系統(tǒng)

無(wú)設(shè)備，滅有邊界防護(hù)方略邊界防護(hù)萬(wàn)略、安全

2網(wǎng)絡(luò)邊界防護(hù)狀況

設(shè)備部署狀況等。

內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備訪問(wèn)

沒(méi)有網(wǎng)管，無(wú)法控制控制、ARP防備、非

3內(nèi)網(wǎng)保護(hù)狀況

授權(quán)網(wǎng)絡(luò)接入管控

等。

分別闡明內(nèi)、外網(wǎng)對(duì)

外部設(shè)備接入控制

4控制措施不嚴(yán)外來(lái)人員設(shè)備日勺授

狀況

權(quán)接入控制措施。

個(gè)別計(jì)算機(jī)運(yùn)用雙網(wǎng)卡，同步接

這里指管理信息大

5內(nèi)外網(wǎng)隔離狀況入內(nèi)外網(wǎng)

區(qū)網(wǎng)絡(luò)隔離狀況。

網(wǎng)絡(luò)接口重要指局

各類網(wǎng)絡(luò)接口、互聯(lián)

域網(wǎng)/局域網(wǎng)、局域

6網(wǎng)出口的安全監(jiān)測(cè)無(wú)

網(wǎng)/廣域網(wǎng)、局域網(wǎng)/

措施

互聯(lián)網(wǎng)之間的接口。

分別闡明內(nèi)、外網(wǎng)的

無(wú)外網(wǎng)，內(nèi)網(wǎng)防病毒重要以市局網(wǎng)絡(luò)防病毒形式，

網(wǎng)絡(luò)病毒、木馬防

7網(wǎng)絡(luò)版日勺趨勢(shì)防病毒軟件內(nèi)

護(hù)措施

網(wǎng)病毒庫(kù)升級(jí)控制

措施。

沒(méi)有完善的桌面管理系統(tǒng)，內(nèi)外網(wǎng)管理比較困難，部分終端計(jì)算機(jī)運(yùn)用雙網(wǎng)

卡同步上內(nèi)外網(wǎng)，存在嚴(yán)重的安全隱患。

需要

闡明

的情

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.8、設(shè)備和操作系統(tǒng)安全

序號(hào)檢查項(xiàng)檢查成果備注

網(wǎng)絡(luò)設(shè)備的網(wǎng)

網(wǎng)絡(luò)設(shè)備的安全防

1無(wú)絡(luò)和物理訪問(wèn)

護(hù)措施

控制措施。

安全設(shè)備的網(wǎng)

安全設(shè)備的安全防

2無(wú)安全設(shè)備絡(luò)和物理訪問(wèn)

護(hù)措施

控制措施。

沒(méi)有物理隔離措施，網(wǎng)絡(luò)訪問(wèn)比較容服務(wù)器的網(wǎng)絡(luò)

服務(wù)器的安全防護(hù)

3易和物理訪問(wèn)控

措施

制措施。

網(wǎng)絡(luò)版日勺趨勢(shì)殺毒，常常不能升級(jí)或需闡明與否已

桌面終端的安全防

4和主服務(wù)器失去聯(lián)系對(duì)桌面終端實(shí)

護(hù)措施

施統(tǒng)一管理。

重要闡明服務(wù)

桌面終端：windowsxp3

器、桌面終端、

服務(wù)器：windows

網(wǎng)絡(luò)設(shè)備操作

Linux

5操作系統(tǒng)的安全配備系統(tǒng)的版本、補(bǔ)

補(bǔ)丁半年升級(jí)一次，

丁、顧客、審計(jì)、

防病毒軟件重要以鄂爾多斯電業(yè)局的

歹意代碼防備

網(wǎng)絡(luò)版趨勢(shì)殺毒軟件為主

狀況。

需要

闡明

日勺情

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.9、應(yīng)用系統(tǒng)安全

序號(hào)檢查項(xiàng)檢查成果備注

數(shù)據(jù)庫(kù)日勺安全配備

1一般

和管理狀況

平常辦公和業(yè)務(wù)應(yīng)用

安全設(shè)計(jì)低于原則，配備不夠

2系統(tǒng)的安全設(shè)計(jì)、配

備和管理狀況

對(duì)外網(wǎng)站日勺防襲擊、

3無(wú)

防篡改技術(shù)防護(hù)措施

核心應(yīng)用系統(tǒng)開發(fā)過(guò)

4無(wú)

程中日勺質(zhì)量控制狀況

需闡明安全測(cè)試

規(guī)定、安全測(cè)試

核心應(yīng)用系統(tǒng)安全測(cè)

5無(wú)流程、安全測(cè)

試狀況

試機(jī)構(gòu)以及安全

整治狀況。

核心應(yīng)用系統(tǒng)上線

安全配備不夠，管理人員水平不高

6運(yùn)營(yíng)后日勺安全配備

管理狀況

需要

闡明

的情

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.10.運(yùn)維管理

序號(hào)檢查項(xiàng)檢查成果備注

設(shè)備、系統(tǒng)日勺維護(hù)記

1有記錄

錄狀況

設(shè)備、系統(tǒng)日勺變更管PC終端管理不嚴(yán),隨意變更

2

理狀況

運(yùn)營(yíng)環(huán)境與開發(fā)環(huán)

3較好

境日勺分離狀況

需闡明漏洞認(rèn)

安全漏洞檢測(cè)管理定程序，漏洞

4無(wú)

狀況解決流程。

需闡明與否有

5補(bǔ)丁升級(jí)管理狀況無(wú)

補(bǔ)丁測(cè)試環(huán)節(jié)。

分主機(jī)、網(wǎng)絡(luò)、

6安全審計(jì)管理狀況無(wú)公司級(jí)三個(gè)層

次闡明。

口令管理不嚴(yán)，比較隨意

7賬戶口令管理狀況

數(shù)字證書及密碼管

8管理二匕較亂

理狀況

1、口令管理不嚴(yán)：

2、在系統(tǒng)設(shè)計(jì)時(shí)，如營(yíng)銷MIS系統(tǒng)，收費(fèi)員的口令是很核心日勺，但沒(méi)有設(shè)計(jì)

需要為USB-key,

闡明3、大部分核心的崗位人員設(shè)立的密碼過(guò)于簡(jiǎn)樸，并且不變換。

的情4、大部分核心的崗位人員設(shè)立的密碼過(guò)于簡(jiǎn)樸，并且不變換。

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.11.

數(shù)據(jù)

檢查項(xiàng)檢查成果備注

安全

序號(hào)

闡明整體數(shù)據(jù)

訪問(wèn)控制方略

數(shù)據(jù)訪問(wèn)控制措施數(shù)據(jù)庫(kù)原則口令設(shè)立

1和重要訪問(wèn)控

制措施。

服務(wù)器、顧客終端、

數(shù)據(jù)庫(kù)中核心數(shù)據(jù)

無(wú)

2與否有加密保護(hù)措

施

重要涉及與移

磁盤、光盤、U盤和動(dòng)存儲(chǔ)介質(zhì)注

3移動(dòng)硬盤等移動(dòng)存沒(méi)有移動(dòng)存儲(chǔ)介質(zhì)冊(cè)、使用、銷毀

儲(chǔ)介質(zhì)管理狀況有關(guān)口勺管理及

技術(shù)控制措施。

數(shù)據(jù)備份比較單一，單純靠電腦自動(dòng)

數(shù)據(jù)備份與恢復(fù)管

備份，存在隱患

4理狀況

5備份介質(zhì)管理狀況無(wú)

需要

闡明

喇青

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.12.

物理

檢查項(xiàng)檢查成果備注

環(huán)境

安全

序號(hào)

生產(chǎn)調(diào)度區(qū)、計(jì)算機(jī)

機(jī)房等重點(diǎn)區(qū)域的

搬到新調(diào)度大樓

1門禁、防盜門窗、監(jiān)設(shè)備配備不夠

實(shí)行完善

視器等安全管控設(shè)

施的配備狀況

生產(chǎn)調(diào)度區(qū)、計(jì)算機(jī)

不規(guī)范，管理不嚴(yán)

2機(jī)房等重點(diǎn)區(qū)域人

員出入管控狀況

防災(zāi)、供電和通信系

3不是很健全

統(tǒng)日勺安全保障措施

需要

闡明

的情

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)日期-5-6日期-5-6

2.13.

核心

信息

檢查項(xiàng)檢查成果備注

資產(chǎn)

管控

序號(hào)

信息系統(tǒng)建設(shè)及基

資料有，但不是很全面

1礎(chǔ)資料歸檔管理情

況

需闡明安全測(cè)

評(píng)規(guī)定、安全測(cè)

核心信息設(shè)備、軟件

無(wú)，僅依托廠家提供的安全技術(shù)規(guī)范評(píng)流程、安全測(cè)

2系統(tǒng)采購(gòu)時(shí)的安全

評(píng)機(jī)構(gòu)以及國(guó)

性測(cè)評(píng)狀況

產(chǎn)化設(shè)備日勺采

購(gòu)比例。

電力系統(tǒng)核心數(shù)據(jù)

3

的使用范疇

電力系統(tǒng)核心數(shù)據(jù)

4日勺授權(quán)訪問(wèn)方略和數(shù)據(jù)庫(kù)常規(guī)密碼保護(hù)

安全防護(hù)狀況

需要

闡明

的情

況

成果受檢方簽字張瑞平檢查方簽字劉俊毅

確認(rèn)0期-5-6日期-5-6

2.14.

服務(wù)

檢查項(xiàng)檢查成果備注

外包

管控

序號(hào)

服務(wù)外包合同中信

1息安全管控條款內(nèi)無(wú)含保密條款。

容

服務(wù)期內(nèi)日勺外包服

2務(wù)合同信息安全管

控條款的執(zhí)行狀況

服務(wù)期滿后的外包

服務(wù)合同信息安全

3

管控條款的執(zhí)行情

況

重點(diǎn)闡明有關(guān)制

對(duì)服務(wù)機(jī)構(gòu)和人員度建設(shè)、機(jī)構(gòu)資質(zhì)

4

的管理狀況審查、服務(wù)人員管

控狀況。

對(duì)服務(wù)機(jī)構(gòu)所攜帶需闡明管理制度

5

設(shè)備的管控措施