关于电力企业信息安全和电力监管统计情况的自查报告.docVIP

某火电电厂 关于电力企业信息安全和电力监管统计情况的自查报告 1、某火电电厂信息安全自查报告 1.1、规章制度 电厂建立了物理安全、网络安全、数据库安全、二次系统、系统运行维护、系统开发相关的工作标准和规章制度，并根据实际情况，实时更新。同时，电厂还执行赛班斯法案要求的内部控制文档，并有电厂审计部门每月按内控文档要求进行审计控制，集团每年随时审计。 序号 名称 文件号 范围 1 信息化工作管理标准 Q/HNDL-209.01-2009 信息化工作管理职责、年度计划、培训及管理内容 2 信息安全管理标准 Q/HNDL-209.02-2009 信息安全方面的管理：职责、管理内容和方法 3 应用系统开发管理标准 Q/HNDL-209.03-2009 应用系统开发全过程管理：职责、总体管理、项目立项、外包商选择、方案设计及开发过程管理等内容。 4 信息系统运行维护管理标准 Q/HNDL-209.04-2009 信息系统运行维护管理：职责、管理内容和方法。 5 信息网络管理标准 Q/HNDL-209.05-2009 信息网络的建设、运行维护，以及联接外部网络等方面 6 信息中心机房管理标准 Q/HNDL-209.06-2009 信息中心机房管理 7 数据备份与恢复管理标准 Q/HNDL-209.07-2009 数据备份与恢复 8 数据分类及安全保护管理标准 Q/HNDL-209.08-2009 规定了数据分类分级的方法和准则，并规定了与电厂业务及管理相关的信息系统处理的数据的安全保护要求措施 9 信息系统运行用户管理标准 Q/HNDL-209.09-2009 信息系统用户的相关标准 10 国际互联网联网管理标准 Q/HNDL-209.10-2007 国际互联网络的建设、运行维护 11 二次系统安全防护管理标准 Q/HNDL-209.10-2009 二次系统安全管理的职责、管理内容和方法 12 必威体育官网网址工作管理标准 Q/HNDL-213.04-2009 必威体育官网网址管理的范围、职责、管理内容与要求及考核等内容 1.2、组织机构 我厂建立了由厂长直接领导的信息化领导小组，主管信息化工作的副厂长任领导小组副组长，组员由各部门领导组成，负责信息化建设和信息安全管理。信息化工作小组由信息中心员工组成，负责信息化建设和信息安全工作的具体实施。对于信息安全管理设有专人负责。组织机构根据实际情况，实时调整。 详见《火电电厂信息化领导小组成员》。 1.3、信息安全和电力二次系统安全资金保障 公司每年给电厂批复专门用于信息安全运行维护方面的经费，该经费每年都是专款专用，落实情况良好。 为了提升信息化管理水平，改造信息化管理的硬件服务器平台，建立一套稳定可靠、技术先进的硬件环境，去年底对机房和网络进行了改造，并在2010年3月份顺利竣工。该项目为提升我厂信息安全提供了强有力的保障。 1.4、人员管理 由人资部编写的信息中心岗位职责，每年更新，其规定了各岗位的责任与权限，具体描述了岗位基本技能、工作内容与要求。按照《信息化管理程序》和内控的要求，全厂所有员工（含信息中心全体员工）每年进行一次信息安全原则以及信息安全意识的培训和教育。信息中心每年开展专业技能的培训，包括新开发/变更的系统、新公布的信息行业标准等。 对于外来人员有相应的内控管理措施，其出入机房及查看系统，都需要填写相应的申请单，经由信息中心主任同意后方可访问。 1.5、安全总体防护策略制定情况 我厂有相应的《二次系统安全防护管理标准》，电厂系统分为三个大区，各大区之间的安全防护完全按照电监会的《电力二次系统安全防护总体方案》布置。实现了“安全分区。网络专用，横向隔离，纵向认证”的方针。 各大区之间采用了科东的StoneWall-2000正向隔离装置进行隔离，与电力调度网之间采用了PS-TUNNEL2000纵向加密认证网关，电厂MIS网与公司广域网之间采用防火墙隔离；互联网采用单独的一套网络，与厂内其它网络实现物理隔离。 1.6、运维管理 根据内控要求，设备、系统的运维都有相应的日志记录和程序变更记录。 系统的开发依照《应用系统开发管理标准》执行，开发环境与运行环境分离。 电厂应用系统采用域认证方式，管理制度中对密码管理有统一的要求。 应用系统有安全审计功能，但是内网中没有安全漏洞检测和自动补丁升级功能，补丁升级靠手动实施。 1.7、数据安全 数据安全按照《数据备份与恢复管理标准》和《数据分类及安全保护管理标准》管理，对于数据备份与恢复操作以及备份介质都有明确规定，并且严格遵照执行。数据库均设有严密密码保护，按照内控要求，定期进行数据库直接访问检查。对于磁盘、光盘、U盘盒移动硬盘等移动存储介质的管理都有相应的管理制度，并严格遵照执行。 1.8、信息网络安全设备国产化情况。 电厂网络设备