返回
本质安全型火力发电企业安全风险管控效果评估设备单元

本质安全型火力发电企业安全风险管控效果评估设备单元

ID:43208192

大小:598.50 KB

页数:89页

时间:2019-10-02

本质安全型火力发电企业安全风险管控效果评估设备单元_第1页
本质安全型火力发电企业安全风险管控效果评估设备单元_第2页
本质安全型火力发电企业安全风险管控效果评估设备单元_第3页
本质安全型火力发电企业安全风险管控效果评估设备单元_第4页
本质安全型火力发电企业安全风险管控效果评估设备单元_第5页
资源描述:

《本质安全型火力发电企业安全风险管控效果评估设备单元》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、本质安全型火力发电企业安全风险管控效果评估设备单元2015年1月26日3.5信息网络安全3.5信息网络安全要素目标:为数据处理系统、采取的技术和管理进行安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。要素指标:信息系统故障率0%信息系统不安全事件≤1次/年信息系统缺陷修复率100%网络安全设备正常投运率100%3.5信息网络安全(200分)信息网络安全从五个方面列出了17个控制节点3.5.1管理制度----1个控制节点3.5.2信息设备安全管理----5个控制节点3.5.3软件安全管理----7个控制节点3.5.4网络安全与

2、防病毒管理----1个控制节点3.5.5场地设施管理----1个控制节点评估依据主要有以下3个文件1.《信息安全技术信息系统安全管理要求》GB/T20269-20062.《信息安全技术信息系统通用安全技术要求》GB/T20271-20063.《信息技术信息安全管理实用规则》GB/T19716-20053.5.1管理制度(40分)风险控制重点1.建立网络、系统及机房管理制度;2.管理制度应包括信息系统、设备运行、备份、安全管理、机房管理等内容;3.信息安全管理制度应对机构与职责,软、硬件的安全措施,系统应用评估与考核进行规定查评暴露问题:1.有的企业信息安全管

3、理制度中缺少系统应用评估方面的内容。2.制度内容不健全,无专门的信息人员修编制度,制度未履行审批程序。3.有企业对信息工作重视程度不够,表现在岗位人员少、工作量大、管理不规范,员工工作质量达不到标准。3.5.2.2设备检测安装风险控制重点1.检查设备资料,应使用经国家信息安全测评机构认可的信息安全产品;2.不直接采用境外密码设备;3.信息系统中的所有设备必须是经过测评认证的合格产品;4.新选的设备应符合国家标准《数据处理设备的安全》、《电动办公机器的安全》中规定的要求,其电磁辐射强度、可靠性及兼容性应符合现代安全管理等级要求查评暴露问题:某厂检查设备资料,信

4、息系统中安装的隔离装置无法确认是经国家权威机构测试和安全认证过的产品,信息管理人员拿不出证明材料。3.5.2.5设备运行维护风险控制重点:建立设备巡检记录,规定设备巡检周期和检查标准,发现问题及时处理,并录入设备运行日志管控效果评估:1.无记录不得分;2.记录内容不全的扣20%标准分查评暴露问题:存在缺少巡检管理标准,没有建立设备运行日志,巡检记录的情况。有的企业巡检管理标准对巡检周期规定不合理,如规定对网络巡检周期为”每季度“,对信息机房规定为”定期“,可操作性不强。3.5.3软件安全管理3.5.3.1需求提出与分析风险控制重点:1.建立和完善需求分析报告

5、;2.使用部门提出需求申请;涉及多个业务部门的,要经过相关业务部门分析讨论,并经过分管领导审核管控效果评估:1.无记录不得分;2.记录不符合要求的扣20%标准分查评发现问题:有的企业软件功能增减未见使用部门提出需求申请,已有的需求分析报告,涉及到多个业务部门的项目,存在未经过相关业务部门分析讨论,未经分管领导审核的情况。3.5.3.3软件的试运行与验收风险控制重点:1.建立和完善软件系统上线试运行报告;2.检查软件系统验收报告,验收报告应包括功能测试、性能测试和安全测试管控效果评估:1.无报告不得分;2.报告内容不全的扣20%标准分查评问题:存在缺少软件系统

6、上线试运行报告和软件系统验收报告的情况,如某厂未见MIS系统、生产任务单系统、星级考评系统上线运行报告和验收报告。3.5.3.5软件的使用和维护风险控制重点:1.建立软件系统使用手册、维护记录;2.每个信息系统应指定一个系统管理员;3.系统管理人员应对软件系统的组织、人员、权限等进行维护;对数据库等后台支撑环境进行维护,保证系统正常运行;4.系统管理员应每天对系统及相关设备进行巡检,及时发现并处理问题管控效果评估:1.无记录扣20分;2.记录内容不全的扣20%标准分;3.系统未指定管理员扣20%标准分查评暴露问题:查过的多个企业信息中心都是2-3名系统管理员

7、,管理30多个系统,未能做到每天对系统及相关设备进行巡检。3.5.3.7系统备份管理风险控制重点:1.建立系统和数据备份相关管理制度;2.应建立定期备份机制,并按规定进行数据和系统备份管控效果评估:1.无相应制度扣20%标准分;2.备份不符合规定的扣20%标准分查评发现问题:数据和系统的备份没有做异地备份,不满足《大唐集团公司信息系统数据管理办法》(大唐集团制〔2013〕46号)中第十七条“原则上备份数据应保存在原数据运行环境之外的建筑物内,重要数据应做同城异地(两地距离应大于2公里)备份”的规定。3.5.4网络安全与防病毒管理风险控制重点:1.制定防病毒策

8、略、网络安全防护策略、应急预案;2.应建立统一的防病

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。