无相应制度不得分，制度内容不全扣20%~50%标准分
（3）
建立数据库系统管理制度
5
查看相关（版本管理、权限管理、补丁管理、性能管理、可用性管理）制度
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
（4）
建立生产应用系统管理制度
5
查看相关（上线测试管理、权限管理、运行管理）制度
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
5
查看系统应急预案制度
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
2.11.1.4
计算机使用管理制度
20
(1)
制定上网行为管理制度
10
查看相关（访问内容、流量控制、下载管理、信息发布）制度
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
（5）
建立防病毒系统管理制度
5
查看相关（部署管理、策略管理、监控管理）制度
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
（6）
建立办公软件系统管理制度
5
查看相关（OA、MIS、MAIL、ERP、WEB）制度
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
（7）
建立各系统应急预案
10
检查网络配置、记录文档
未配置访问控制策略不得分，配置不合理的酌情扣20%~50%标准分
ቤተ መጻሕፍቲ ባይዱ（6）
重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗
5
检查设备配置、登记记录
无配置扣3分，无登记记录扣2分
（7）
安全区边界拓扑结构是否合理，不应有不经过防火墙的外联链路
10
查阅网络拓扑图，向专责人员查问
10
查看信息管理岗位职责文件
工作职责与工作范围不完整(有无信息安全岗位)酌情扣20%~80%标准分
2.11.1.2
网络管理制度
30
（1）
建立网络设备管理制度
10
查看相关(广域网、局域网，配套网络线缆设施，网络服务器、工作站等)制度
无相应制度不得分，制度内容不全扣1~5分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
2.11.1.3
系统管理制度
35
（1）
建立服务器系统管理制度
5
查看相关（补丁管理、权限管理、运行管理）制度
无相应制度不得分，制度内容不全扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
（2）
建立存储、备份系统管理制度
5
查看相关（备份介质、备份策略、容灾策略、恢复策略）制度
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
（4）
机房维护手册
5
查看相关（服务器系统、网络系统、环境监控系统）文件
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
2.11.2
技术管理
460
430
2.11.2.1
（2）
建立网络安全设备管理制度
10
查看相关（IDS、漏洞扫描、防火墙、单向隔离装置、VPN等）制度
无相应制度不得分，制度内容不全扣20%~50%标准分
（3）
建立网络安全信息系统管理制度
10
查看相关（网管系统、上网行为管理系统、网络用户管理系统）制度
无相应制度不得分，制度内容不全扣20%~50%标准分
(3)
按照方便管理和控制的原则为各子网、网段分配地址段
5
查阅网络结构及IP地址分配方案
没有按需划分子网不得分，分配不合理的酌情扣20%~50%标准分
（4）
IP地址的规划方案、分配策略、分配记录进行统一管理
10
检查管理文档或记录
没有相关文档扣5分，记录不全的酌情扣20%~50%标准分
（5）
VLAN间访问控制的合理性
(2)
制定计算机使用制度及移动介质（如U盘、光盘等）使用管理制度
10
查看相关（密码、计算机名、补丁、防病毒、个人防火墙、共享等）制度
无相应制度不得分，制度内容不全的酌情扣20%~50%标准分
2.11.1.5
信息机房制度
15
(1)
机房的管理制度u
10
查看相关（包括机房准入准出制度、机房内相关操作制度）制度
信息
2.11
信息网络安全
800
760
2.11.1
基础管理
120
120
2.11.1.1
组织与岗位职责
20
(1)
信息管理组织机构
10
查看信息管理组织机构文件
有专职信息主管部门,组织机构不完整扣20%~80%标准分
GB/T 20269-2006<<信息安全技术 信息系统安全管理要求>>
(2)
信息管理岗位职责
（13）
为了便于防火墙的控制，应对各个系统、软件所使用的端口进行登记
10
检查端口开放记录文档
无登记端口开放记录文档不得分
（14）
重要系统的数据传输应通过安全链路（专线、加密VPN）
(11)
防火墙应具备防止已知攻击的能力
10
查看配置，是否对常用攻击端口进行限制
如无相关能力则不得分；功能不完善的酌情扣20%~50%标准分
(12)
防火墙的管理用户开放限制
10
在线查看防火墙策略（禁止从外部网络登陆，限制其他管理方式），是否采取“默认关闭、按需开启”的策略
如未限制则不得分；限制不完善的酌情扣20%~50%标准分
网络技术管理
165
（1）
网络拓扑结构的合理性和可扩展性
10
查阅网络拓扑图，向专责人查问
无网络拓扑图扣5分，结构不合理的酌情扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
(2)
在相关网络的隔离点，设立合理的访问控制
10
查阅设备配置，变更记录文档
无访问控制不得分，内容不合理的酌情扣20%~50%标准分
(9)
建立电力二次系统安全评估体系，采取以自评估为主、联合评估为辅的方式
10
检查评估文档
无评估文档不得分
(10)
对所有通过防火墙或其他访问控制设备的网络地址、端口等进行控制
10
检查网络拓扑图、在线检查防火墙配置
检查网络拓扑和防火墙配置，发现一个未覆盖出口扣5分，如未能做到控制则不得分
GB/T 20281-2006《信息安全技术 防火墙技术要求和测试评价方法
拓扑图不合理的酌情扣20%~50%标准分
国家电力监管委员会令（第5号）
(8)
在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离
5
到设备实地检查设备安装情况
需安装位置无物理单向隔离设备扣5分。生产大区内部无访问控制设备隔离各安全区扣5分。