A 安全管理制度 2
A-1 未明确信息安全总体方针和策略 2
A-2 信息安全制度未说明安全工作的总体目标、范围、原则和安全框架 3
A-3 未制定信息系统运维人员和督查人员的日常操作规程 4
A-4 未定期对安全管理制度进行修编或评审 5
A-5 未针对系统变更、重要操作、物理访问和系统接入等重要事项建立审批程序 6
A-6 安全管理员兼任网络管理员、系统管理员、数据库管理员等 7
A-7 安全运维员职责未包括定期对系统日常运行、系统漏洞和数据备份等情况进行检查 8
A-8 未在制度中明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等 9
A-9 未制定制度对网络安全配置、日志保存时间、安全策略、补丁升级与漏洞修补、口令更新等内容作出规定 10
B 人员安全管理 12
B-1 未签署保密协议,重要安全岗位人员离职时未签署保密协议 12
B-2 未制订安全培训计划 13
B-3 未开展覆盖全员的安全意识教育和培训 14
B-4 未对关键岗位人员进行全面、严格的安全审查和技能考核 15
B-5 员工离职、调动后未注销其在信息系统中所有的账号和访问权限 16
B-6 未对外部人员允许访问的区域、系统、设备、信息等内容进行书面规定,并未按照规定执行 17
B-7 未明确安全岗位录用要求 18
B-8 安全管理制度中无第三方人员管理内容 19
B-9 操作时未严格执行“两票制度” 20
B-10 值班人员在工作时间擅自离岗 21
B-11 员工岗位变动造成人员信息变更时未及时通知信息系统运维人员 22
C 系统建设管理 24
C-1 无系统定级报告,未确定安全保护等级,导致不能按照相应等级要求进行安全防护 24
C-2 未向行业监管部门和公安部门申请进行信息系统等级定级审批,无系统备案报告和公安部门备案记录 25
C-3 未评审业务系统的信息安全等级保护定级情况 26
C-4 未与信息系统外部合作单位签订保密协议及承诺书 27
C-5 外部合作单位在非公司网络中存储、运行公司信息 28
C-6 已上线试运行系统未制定系统安全防护方案 29
C-7 在系统规划阶段未组织制定业务系统信息安全防护方案 30
C-8 安全防护方案未包括风险分析、防护目标、边界、网络、主机、应用、数据等防护措施及内容 31
C-9 安全防护方案未经专家委评审 32
C-10 信息化建设和推广项目开发环境与工作环境未纳入信息内网统一管理,未在信息内网划分独立的安全域 33
C-11 开发环境与实际运行环境未分离 34
C-12 未对项目开发人员进行信息安全及保密培训 35
C-13 应用系统未通过公司代码安全检测 36
C-14 未成立研发安全组织机构,未能统一组织开展研发安全工作 37
C-15 系统运维部门(单位)未在系统建设阶段前介入,未对信息安全防护措施及运行维护中的信息安全风险提出意见和建议 38
C-16 安装软件之前未检测软件中可能存在的恶意代码 39
C-17 信息系统安全建设过程中涉及的信息安全软硬件产品和密码产品未全部采用国产产品 40
C-18 未开展产品预先选型和安全测试 41
C-19 系统无上线、安全性测评报告 42
C-20 合作单位标注“国家电网”标识时未履行相应手续 43
C-21 对非公司认可的信息化成果标注公司标识 44
C-22 信息安全测评工作由无资质测评机构完成 45
C-23 信息系统上线和版本升级前未开展软件著作权备案工作 46
C-24 未建设漏洞库,无法发布漏洞预警;安全补丁未开展统一测试,测试后未录入统一补丁库 47
D 系统运行管理 49
D-1 未及时更新资产清单,设备清单无固定、规范的格式 49
D-2 机房内的服务器、机柜、网络设备等设施无标识 50
D-3 信息处理设备未经过审批就被带离机房或办公地点 51
D-4 无应急物资(设备)清单或台账 52
D-5 应急物资无可靠性或可用性验证记录 53
D-6 应急预案未经专家评审 54
D-7 未定期组织开展应急培训和应急演练 55
D-8 监测日志和审计记录被违规篡改 56
D-9 未保存运行日志和审核记录,不能为安全事件及系统故障后的处理工作提供有力的证据信息 57
D-10 无分析运行日志和审计日志 58
D-11 无日常监测和值班记录 59
D-12 日常监测工作未覆盖通信线路、主机、网络设备和应用系统的运行状态、网络流量、用户行为、安全告警等内容 60
D-13 未指定专人负责运行日志、网络监控记录的日常维护、报警信息分析和处理 61
D-14 未定期对网络信息系统进行漏洞扫描,未对发现的漏洞进行修补 62
D-15 未对设备状态、恶意代码、补丁升级、安全审计等内容进行集中分析 63
D-16 内网办公计算机通过3G上网卡等方式连接互联网 64
D-17 未定期开展网络与系统漏洞扫描,未及时修补漏洞 65
D-18 在安装系统补丁前,未在测试环境中进行测试及系统备份 66
D-19 外来计算机在接入公司网络前未进行计算机安全检查 67
D-20 未针对系统变更制定应急方案及恢复流程 68
D-21 在信息系统运行维护、数据交互和调试期间,未执行“两票制度”,擅自进行在线调试和修改 69
D-22 变更、检修等文档和记录未保存(包括系统中未保存) 70
D-23 通过互联网或信息外网远程运维方式进行设备和系统的维护和技术支持工作 71
D-24 未对在机房内开展的线路、设备的检修、施工等工作进行全程监督 72
D-25 随意开展检修操作,检修工作无计划 73
D-26 核心信息系统未实现主业化运维 74
D-27 内网远程运维未履行审批程序 75
D-28 未制定信息系统安全事件处理预案和事件处置流程 76
D-29 未规定备份的周期、存储介质方式及恢复演练的周期 77
D-30 未按照管理要求,确定需要定期备份的重要业务数据及软件 78
D-31 备份操作中无详细的操作记录 79
D-32 移动存储介质未更改初始口令、内部人员口令通用导致信息泄露 80
D-33 业务系统存在公共账户及口令 81
D-34 未对安全事件分类,且安全事件分类与国家、公司分类标准不符 82
D-35 无安全事件处置记录或安全事件处置记录不完整、不详细、未分析安全事件产生的原因 83
D-36 通过互联网接入信息内网进行远程维护 84
D-37 未开启网络运行监控,不能对网络设备性能、流量进行实时监测 85
D-38 未对下属单位互联网出口进行严格管控、合并、统一设置和集中监控 86
D-39 未开展互联网出口攻击、病毒木马敏感信息的安全监测与内容审计 87
D-40 未全面监测主机,不了解其性能和运行状态,导致主机故障后无法查询原因和恢复 88
D-41 权限调整、链路变更、DNS调整、策略调整、系统升级等影响级联贯通访问的变更操作未报公司审批 89
D-42 未将业务系统及安全与运维级联贯通情况纳入日常监控 90
D-43 未开启数据库运行监控及审计功能,不能及时了解数据库的运行状况和性能 91
D-44 未定期对监测和报警记录进行分析、评审,未形成分析报告 92
D-45 重要信息系统未部署应用服务器和数据库集群 93
D-46 重要信息系统未采取措施验证集群切换有效性 94
D-47 重要信息系统负载均衡设备参数配置不当,致使承载压力不均,业务接管无效 95
D-48 重要信息系统数据库集群参数配置不当致使压力不均,切换无效 96
D-49 重要信息系统集群配置不当,致使无法自动隔离故障节点 97
D-50 集群部署重要信息系统未按要求健全系统运行应急预案和现场处置方案 98
D-51 集群部署重要信息系统未按要求定期开展应急演练 99
D-52 集群部署重要信息系统所用操作系统存在补丁更新未测试、不及时现象,或存在已知但未解决的重要bug 100
D-53 集群部署重要信息系统共享存储设备或共享文件系统运行不稳定 101
D-54 集群部署系统参数配置不当致使无法完整收集系统运行异常时的状态信息等资料 102
D-55 未开启桌面终端监控,桌面终端注册率、防病毒软件安装率、保密检测系统安装率未达到100% 103
D-56 与银行等外部单位的互联专线未部署安全防护措施 104
D-57 网站未使用公司统一域名 105
D-58 对外发布的网站未采取网页防篡改措施 106
D-59 在运信息系统未向总部备案 107
D-60 信息外网无线网络未启用网络接入控制和身份认证措施 108
D-61 网络核心交换机、路由器等网络设备配置未定期离线备份 109
D-62 将承担安全责任的对外网站托管于外部单位 110
D-63 在信息内网设立与工作无关的娱乐、论坛、视频等网站 111
D-64 家属区网络违规接入信息内、外网 112
D-65 邮箱开启自动转发功能 113
D-66 私设外网邮件系统,未使用公司统一外网邮件系统 114
D-67 邮件系统未开启收发日志审计和敏感内容拦截策略等功能 115
D-68 防火墙策略变更、审批记录不完备 116
D-69 对临时开通的防火墙访问控制策略与端口,在操作结束后未及时履行注销手续 117
D-70 对设备进行重启时未经过核对程序,无人监督 118
D-71 未指定专人负责对网络和主机进行恶意代码检测并保存检测记录 119
D-72 未对防恶意代码软件的授权使用、恶意代码库升级、定级汇报等作出明确规定 120
D-73 未定期检查及记录信息系统内各种产品恶意代码库的升级情况,未对主机防病毒产品、防病毒网关和邮件防病毒网关拦截的恶意代码进行及时分析处理,未形成书面总结汇报 121
D-74 发生信息安全事件时,未及时上报上级有关部门 122
D-75 备案设备未粘贴信息安全备案标签 123
D-76 系统及设备备案信息不完整,不准确,信息更新不及时 124
D-77 已下线设备及系统在IMS中显示为在运 125
D-78 在运设备未纳入IMS资产管理 126
D-79 防火墙未按照公司防火墙基线标准进行防火墙账号、服务等安全配置及防火墙策略规范性、有效性和冗余性等策略配置 127
D-80 未对在公司信息外网出口使用社会邮箱发送邮件行为进行审计及阻断 128
D-81 未对用户URL访问行为进行记录,无法按照国家及公司要求进行行为溯源 129
D-82 内网办公计算机中的商秘文件无保护措施 130
D-83 对外发送敏感内容文件未采取保护措施 131
D-84 未对下线或变更用途的电子存储介质中存储的电子数据进行擦除或销毁 132
D-85 通过未获得国家相关权威机构授权的外部单位或机构进行数据擦除、销毁和恢复 133
D-86 采用未通过国家相关权威机构安全性测试的设备进行数据擦除、销毁 134
D-87 通过光驱刻录、安全移动存储介质拷贝办公计算机数据的行为未进行审计 135
D-88 系统接入开通时,防火墙等重要设备策略由厂家配置,造成安全策略泄露 136
D-89 个人手机或智能可穿戴设备连接办公计算机 137
D-90 对采用APN等内网第三方专线接入的终端,未严格遵循“五限制”策略(“内网安全终端、无线加密专网、终端入网绑定、交互操作固定、数据传输加密”) 138
D-91 新增的公司公共微博、微信账号未备案 139
D-92 在公司公共微博、微信上发布未经审核的内容 140
D-93 在公司外网随意用wi-fi组网 141
D-94 红、蓝队未建立队伍联合处置机制,未进行对抗演练 142
D-95 蓝队未按要求开展信息安全综合审计工作 143
D-96 对国内外的信息安全形势和公司信息安全态势未定期形成分析材料 144
D-97 为便于调试与运维,设备、系统、应用等采用默认配置 145
D-98 由于业务需求紧迫,未对上线系统进行安全性测评 146
D-99 应用系统代码编写规范要求不严,源代码安全考虑欠缺 147
E 物理安全 149
E-1 服务器或重要网络设备未部署在机房内 149
E-2 机房未安装24小时实时视频监控系统,无法对机房内环境情况进行实时观测 150
E-3 机房内未设置防雷保安器,在雷雨天气容易受到感应雷,导致计算机设备故障 151
E-4 机房未安装火情检测报警系统及气体消防系统 152
E-5 机房消防设备未进行定期检查、维护、更新 153
E-6 机房未采用防静电地板 154
E-7 机房未设置温、湿度自动调节措施 155
E-8 机房UPS设备供电时间不足 156
E-9 机房未配备冗余或并行的电力电缆线路为机房供电 157
E-10 重要设备未配置双电源 158
E-11 机房电源线缆和通信线缆未进行隔离铺设,可能互相干扰 159
E-12 机房位置处于建筑物地下、一层或者顶层 160
E-13 机房未配备电子门禁系统 161
E-14 机房未划分区域管理,未设置过渡区域 162
E-15 出入机房无记录 163
E-16 机房设备未上架或机柜未上锁 164
E-17 UPS电源未按要求定期进行充放电试验 165
E-18 机房无除尘装置,或除尘装置损坏 166
E-19 将机房门禁卡随意借给他人 167
E-20 门禁密码设置过于简单,更换周期长 168
F 网络及边界安全 170
F-1 信息内网与外网之间未物理隔离或部署逻辑强隔离装置 170
F-2 未按照公司分区分域要求划分不同子网 171
F-3 网络边界处未对恶意代码进行检测和清除 172
F-4 采集控制类终端、移动作业等智能终端通过无线方式接入信息内网边界时未经过安全接入平台 173
F-5 网络防恶意代码系统未及时更新恶意代码库 174
F-6 网络边界处未对H1TP、STP、SMTP、POP3等应用层协议信息内容进行过滤 175
F-7 未在网络边界处对端口扫描、强力攻击、网络蠕虫、病毒木马攻击等进行监控 176
F-8 未限制网络最大流量数及网络连接数 177
F-9 网络核心为单台设备 178
F-10 未在网络边界处部署访问控制设备 179
F-11 未采用IP与MAC地址绑定等措施对服务器、桌面终端进行接入控制 180
F-12 在信息内网使用无线网络组网 181
F-13 无线网络未启用网络接入控制和身份认证 182
F-14 无线网络未应用高强度加密算法、未隐藏无线网络名标识 183
F-15 未建立违规外联监测措施 184
F-16 未通过技术手段管控员工使用3G上网卡等非公司网络接入互联网 185
F-17 信息外网与互联网的边界处未部署入侵检测措施,无法检测端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击和网络蠕虫攻击等恶意攻击 186
F-18 网络设备管理账号使用8位以下只有数字构成的口令,容易导致口令暴力破解攻击 187
F-19 网络设备的Community控制字段使用Public、Private等默认字段 188
F-20 未在互联网出口开启内容监测、流量分析与记录等审计功能 189
G 主机安全 191
G-1 操作系统、数据库系统账号使用8位以下只有数字构成的口令,从未定期修改 191
G-2 在连接互联网的计算机上处理、存储涉及国家秘密和企业秘密的信息 192
G-3 信息内网和信息外网计算机交叉使用 193
G-4 信息内网计算机配置无线设备 194
G-5 未限制操作系统、数据库失败登录次数 195
G-6 操作系统未关闭默认共享 196
G-7 SNMP服务未禁用、未加固 197
G-8 未关闭Windows自动播放功能 198
G-9 服务器操作系统、数据库未及时更新补丁 199
G-10 操作系统、数据库存在多余账户 200
G-11 采用telnet等不安全的方式进行远程管理 201
G-12 未通过设定终端接入方式、网络地址范围等条件限制终端登录 202
G-13 未设置登录终端的操作超时锁定的安全策略 203
G-14 操作系统开启无用的服务和端口 204
G-15 未根据角色划分管理用户权限,未分离操作系统和数据库用户权限 205
G-16 未配置防范syn洪水攻击,未设置堆栈缓冲溢出攻击防护 206
G-17 未开启操作系统及数据库审计功能,或未配置日志审计系统 207
G-18 未分析操作系统和数据库审计记录,未生成审计报表 208
G-19 服务器操作系统、数据库未开启针对重要用户行为、系统资源的异常使用和重要系统命令的使用等审计功能 209
G-20 审计记录未覆盖服务器和重要客户端的每个操作系统用户和数据库用户 210
G-21 未对数据库访问地址做IP限制 211
G-22 无法检测对重要服务器的入侵行为,无法记录入侵源IP、攻击类型、攻击时间 212
G-23 智能表计、PDA、笔记本等智能终端通过安全接入平台接入信息内、外网 213
G-24 主机未安装防恶意代码软件 214
G-25 主机未安装公司统一推广保密自动检测系统,安装系统未设策略及保密敏感字 215
G-26 安全产品软件版本和特征库未及时更新,导致漏洞发掘与攻击拦截不及时 216
H 应用安全 218
H-1 未使用两种或两种以上组合的鉴别技术实现用户身份鉴别 218
H-2 未提供访问控制功能,未依据安全策略控制用户对文件、数据库表等客体的访问 219
H-3 管理员角色具备业务操作权限 220
H-4 无法对用户重要操作进行审计 221
H-5 未对应用系统审计记录进行统计、查询、分析及生成审计报表的功能 222
H-6 未在服务器端对SQL语句特殊字符进行严格过滤 223
H-7 未在服务器端对页面输入区中脚本语句的关键字严格过滤 224
H-8 未限制一个用户或一个进程占用的资源分配最大限额和最小限额 225
H-9 未提供自动保护功能,不能保障系统自动恢复 226
H-10 未限制一个时间段内的并发会话连接 227
H-11 中间件版本低、未及时升级 228
H-12 未对应用系统维护管理IP地址进行限制 229
H-13 未按规定、修改应用系统默认登录端口 230
H-14 用户访问结束后未释放用户鉴别信息、文件、目录和数据库记录等资源 231
H-15 业务系统未开启审计功能 232
H-16 研发账户、系统管理员账户、审计员账户、普通账户未分离,研发账户未及时删除 233
I 数据安全及备份恢复 235
I-1 未将用户账号等鉴别信息和敏感业务数据进行加密传输和加密存储 235
I-2 普通移动存储介质和扫描仪、打印机等计算机外部设备在信息内网和信息外网上交叉使用 236
I-3 将涉及国家秘密的计算机、存储设备与信息内、外网和其他公共信息网络连接 237
I-4 外部技术支持单位与互联网相联的服务器和终端上存储企业秘密文件 238
I-5 信息内、外网计算机违规存储、处理国家秘密信息 239
I-6 使用企业邮箱或外部邮箱发送含公司敏感信息内容邮件 240
I-7 重要业务系统数据未按规定纳入公司三地灾备中心 241
I-8 主要网络设备、通信链路未冗余 242
I-9 未针对备份恢复程序、事件应急预案定期执行演练,恢复程序的有效性得不到保证 243
附录A 运行安全相关表单 244
附录B 信息系统操作票 251
附录C 信息系统工作票 252