工業(yè)控制系統(tǒng)自查表

2016年度公安機(jī)關(guān) 網(wǎng)絡(luò)安全 執(zhí)法檢查 自查表 工業(yè)控制系統(tǒng)自查表 一 工業(yè)控制系統(tǒng)基本情況 系統(tǒng)名稱 系統(tǒng)安全保護(hù)等級(jí) 二級(jí) 三級(jí) 四級(jí) 未定級(jí) 未備案 系統(tǒng)運(yùn)營(yíng)使用單位 系統(tǒng)所屬行業(yè) 電力 通信 鐵路 航空 航天 交通 石油 石化 核工業(yè) 礦 山 冶金 水利 煙草 制造 郵電通訊 環(huán)保 醫(yī)療 市政 其它 系統(tǒng)功能描述 系統(tǒng)集成廠商名稱 國(guó)內(nèi) 國(guó)外 類型廠商型號(hào)數(shù)量 分布式控制系統(tǒng) DCS 可編程邏輯控制 器 PLC 遠(yuǎn)程終端單元 RTU 核心控制器情況 其他 類型硬件廠商型號(hào)操作系統(tǒng)數(shù)量 操作員站 工程師站 維護(hù)工作站 工作站情況 其他 類型硬件廠商型號(hào)操作系統(tǒng)數(shù)量 數(shù)據(jù)庫(kù)服務(wù)器 應(yīng)用服務(wù)器 通信服務(wù)器 系 統(tǒng) 基 本 情 況 服務(wù)器情況 其他 類型廠商型號(hào)數(shù)量 核心匯聚交換機(jī)網(wǎng)絡(luò)設(shè)備情況 接入交換機(jī) 類型廠商型號(hào)數(shù)量 防火墻 網(wǎng)閘 加密裝置 入侵檢測(cè) 漏洞掃描 防病毒 安全設(shè)備情況 其他 組態(tài)軟件情況組態(tài)軟件名稱 組態(tài)軟件廠商 數(shù)據(jù)庫(kù)情況 實(shí)時(shí)數(shù)據(jù)庫(kù) 品牌 型號(hào) 歷史數(shù)據(jù)庫(kù) 品牌 型號(hào) 其他數(shù)據(jù)庫(kù) 品牌 型號(hào) 云桌面情況是否部署 否 是 廠商 型號(hào) 服務(wù)范圍 全國(guó) 跨省 區(qū) 市 跨 個(gè) 全省 區(qū) 市 跨地 市 區(qū) 跨 個(gè) 地 市 區(qū) 內(nèi) 其它 系 統(tǒng) 服 務(wù) 情 況 服務(wù)對(duì)象 單位內(nèi)部人員 社會(huì)公眾人員 兩者均包括 其他 數(shù)據(jù)存儲(chǔ) 方式 本地存儲(chǔ) 異地存儲(chǔ) 云存儲(chǔ) 其它 系 統(tǒng) 數(shù) 據(jù) 年存儲(chǔ)數(shù)據(jù)量級(jí) GB 與互聯(lián)網(wǎng)連接 否 是 與辦公網(wǎng)連接 否 是系統(tǒng)網(wǎng)絡(luò)互聯(lián)情況 與其他系統(tǒng)連接 否 是 系統(tǒng)運(yùn)維或技術(shù)支持 單位 名稱 何時(shí)投入運(yùn)行使用 年 月 日 二 工業(yè)控制系統(tǒng)安全保護(hù)情況 是否建立工控信息安全管理的組織 是 否 是否設(shè)置專門的工控信息安全管理相關(guān)的崗位 明確定義 工控安全的職責(zé) 是 否1 工控安 全組織 建設(shè)情 況 是否定期開(kāi)展工控信息安全相關(guān)的培訓(xùn) 是 否 是否指定專人負(fù)責(zé)資產(chǎn)管理 并明確責(zé)任人職責(zé) 是 否 是否建立完整資產(chǎn)臺(tái)賬 統(tǒng)一編號(hào) 統(tǒng)一標(biāo)識(shí) 統(tǒng)一發(fā)放 是 否 是否定期對(duì)資產(chǎn)臺(tái)賬的一致性進(jìn)行評(píng)審 核查 是 否 是否定期對(duì)資產(chǎn)臺(tái)賬進(jìn)行更新 是 否 2 核心設(shè) 備和資 產(chǎn)管理 情況 是否完整記錄設(shè)備維修維護(hù)和報(bào)廢信息 時(shí)間 地點(diǎn) 內(nèi) 容 責(zé)任人等 是 否 是否將設(shè)備設(shè)施運(yùn)維 日常管理 教育培訓(xùn) 等級(jí)測(cè)評(píng)和 安全建設(shè)整改等費(fèi)用納入年度預(yù)算 是 否 是否能夠保障網(wǎng)絡(luò)安全所需的費(fèi)用 是 否 3 安全經(jīng) 費(fèi)年度 預(yù)算 年度網(wǎng)絡(luò)安全經(jīng)費(fèi)情況 萬(wàn)元 網(wǎng)絡(luò)安全是否遵循國(guó)家 行業(yè)相關(guān)安全標(biāo)準(zhǔn) 是 否 是否制定了網(wǎng)絡(luò)安全保護(hù)策略 是 否 4 網(wǎng)絡(luò)安 全保護(hù) 策略制 定情況 是否編制網(wǎng)絡(luò)拓?fù)鋱D并保持更新 是 否 信息系統(tǒng)是否每年聘請(qǐng)符合國(guó)家資質(zhì)要求的測(cè)評(píng)單位對(duì)信 息系統(tǒng)進(jìn)行測(cè)評(píng) 是 否 信息系統(tǒng)是否依據(jù)測(cè)評(píng)結(jié)果制定整改方案 是 否 5 系統(tǒng)等 級(jí)測(cè)評(píng) 建設(shè)整 改情況 是否對(duì)信息系統(tǒng)的整改結(jié)果進(jìn)行跟蹤驗(yàn)證 是 否 是否制定了完善的網(wǎng)絡(luò)安全管理制度 是 否 是否有網(wǎng)絡(luò)安全管理操作規(guī)程 是 否 是否制定了網(wǎng)絡(luò)設(shè)備相關(guān)的配置基線 是 否 6 網(wǎng)絡(luò)安 全管理 制度制 定情況 是否監(jiān)督管理制度的貫徹落實(shí) 是 否 信息系統(tǒng)是否有明確的安全域劃分 是 否 是否對(duì)系統(tǒng)邊界有嚴(yán)格的安全策略控制 是 否 是否允許無(wú)線在網(wǎng)絡(luò)系統(tǒng)中部署無(wú)線網(wǎng)絡(luò)設(shè)備 是 否 是否運(yùn)用供應(yīng)商通過(guò)遠(yuǎn)程連接方式開(kāi)展運(yùn)維支持 是 否 7 網(wǎng)絡(luò)邊 界管理 網(wǎng)絡(luò)邊界是否部署有安全產(chǎn)品 是 否 是否對(duì)信息系統(tǒng)操作行為 設(shè)備運(yùn)行狀態(tài)進(jìn)行日志記錄 是 否 是否對(duì)信息系統(tǒng)操作行為 設(shè)備運(yùn)行狀態(tài)有安全審計(jì)措施 是 否 8 日志及 安全審 計(jì)管理 是否對(duì)網(wǎng)絡(luò)日志或?qū)徲?jì)執(zhí)行情況進(jìn)行定期檢查 是 否 組態(tài)軟件的用戶權(quán)限分發(fā)和變更是否執(zhí)行審批 是 否 9 組態(tài)軟 件用戶 權(quán)限管 理 是否定期對(duì)用戶權(quán)限情況進(jìn)行評(píng)審 核查 是 否 上位機(jī)或服務(wù)器是否部署了防病毒軟件并定期查殺 是 否 10 惡意代 碼防范 管理 是否定期進(jìn)行信息系統(tǒng)防病毒軟件更新 是 否 是否對(duì)系統(tǒng)安全漏洞定期檢查 分析 是 否 11 安全漏 洞管理 是否對(duì)系統(tǒng)發(fā)現(xiàn)的安全漏洞進(jìn)行加固整改 是 否 12 終端管 理 是否對(duì)系統(tǒng)終端安全進(jìn)行統(tǒng)一管理 是 否 是否具有本地?cái)?shù)據(jù)備份與恢復(fù)策略 是 否 是否定期對(duì)備份數(shù)據(jù)執(zhí)行恢復(fù)性測(cè)試 是 否 核心網(wǎng)絡(luò)設(shè)備 關(guān)鍵主機(jī)設(shè)備是否具有冗余備份 是 否 13 數(shù)據(jù)的 備份與 恢復(fù) 重要應(yīng)用是否有備份恢復(fù)措施 是 否 是否對(duì)系統(tǒng)重要數(shù)據(jù)采取加密措施 是 否 是否對(duì)系統(tǒng)重要數(shù)據(jù)的完整性進(jìn)行校驗(yàn) 是 否14 數(shù)據(jù)安 全保護(hù) 是否對(duì)系統(tǒng)重要數(shù)據(jù)的應(yīng)用 流轉(zhuǎn)等情況進(jìn)行管理 是 否 是否制定信息系統(tǒng)網(wǎng)絡(luò)安全事件處置操作手冊(cè) 是 否 是否對(duì)安全事件進(jìn)行分級(jí)分類管理 是 否 是否第一時(shí)間向公安機(jī)關(guān)報(bào)告網(wǎng)絡(luò)安全事件 是 否 是否制定安全事件責(zé)任制度 是 否 15 安全事 件處置 報(bào)告 追責(zé)情 況 本年發(fā)生過(guò)幾次工控安全事件 次 是否建立了應(yīng)急聯(lián)絡(luò)方式 是 否 是否建立了應(yīng)急技術(shù)支援隊(duì)伍 是 否 16 應(yīng)急隊(duì) 伍建設(shè) 檢查 是否與相關(guān)單位建立了應(yīng)急協(xié)調(diào)機(jī)制 是 否 是否已制定了網(wǎng)絡(luò)安全應(yīng)急預(yù)案 是 否 是否每年制定應(yīng)急演練計(jì)劃 是 否 是否開(kāi)展應(yīng)急演練業(yè)務(wù)影響分析 是 否 本年度是否已開(kāi)展了應(yīng)急演練 是 否 17 應(yīng)急預(yù) 案和演 練 系統(tǒng)本年度是否出現(xiàn)過(guò)異常中斷 是 否 18 國(guó)產(chǎn)化 情況 是否制定核心設(shè)備的國(guó)產(chǎn)化替代工程計(jì)劃 是 否 是否委托社會(huì)第三方提供日常運(yùn)維管理服務(wù) 是 否 是否與受托單位簽訂了保密協(xié)議 是 否 是否與受托單位運(yùn)維人員簽署保密承諾書 是 否 受托單位是否是國(guó)外安全服務(wù)機(jī)構(gòu) 是 否 外包人員現(xiàn)