国家标准 GB/T36047一2018 电力信息系统安全检查规范 Eleetricpowerinformationsystemseeurityinspectionstandard 2018-03-15发布 2018-10-01实施中华人民共利国国家质量监督检验检疙总局发布国家标准化管理委员会国家标准
GB/36047一2018 前言本标准按照GB/T1.1一2009给出的规则起草本标准由国家电力监管委员会提出本标准由全国电力监管标准化技术委员会(SAC/TC296)归口本标准起草单位:国家能源局信息中心、国家能源局华北监管局、国家能源局浙江监管办公室本标准主要起草人;梁建勇、胡红升、周志明、陈雪鸿、黄瑞意、陈红建、王鹏、温红子、叶世超、李焕、谷双魁、刘韧,朱朝阳、李凌、朱世顺、张五一、刘雪梅、陈华军,郑晓昆、张绷、赵婷、毛啬
GB/T36047一2018 引言为规范电力信息系统安全的检查流程、内容和方法,防范网络与信息安全攻击对电力信息系统造成的侵害,保障电力信息系统的安全稳定运行,保护国家关键信息基础设施的安全,依据国家有关信息安全和电力行业信息系统安全的规定和要求,制定本标准 IN
GB/36047一2018 电力信息系统安全检查规范范围本标准规定了电力信息安全检查工作的流程、方法和内容等本标准适用于行业网络与信息安全主管部门开展电力信息系统安全的检查工作和电力企业在本集团系统)范围内开展相关信息系统安全的自查工作规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T5271.8信息技术词汇第8部分:安全 GB17859一1999计算机信息系统安全保护等级划分准则 GB/T222392008信息安全技术信息系统安全等级保护基本要求 GB/T250692010信息安全技术术语术语和定义 GB/T5271.8、GB178591999、GB/T222392008和GB/T250692010界定的以及下列术语和定义适用于本文件 3.1 电力信息系统eleectriepowerinformationsystem 与电力企业的生产,运营、管理、控制相关的信息系统注，根据信息系统的责任单位,业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息类系统和生产控制类系统 3.2 管理信息类系统managementinformationsystem" 支持电力企业的经营,管理和运营的信息系统注，如门户网站系统,电力营销管理系统、财务管理系统、人力资源管理系统、物流管理系统和质量管理系统等本类系统往往部署于管理信息大区,与互联网的隔离强度为逻辑隔离或强于逻辑隔离但弱于物理隔离 3.3 生产控制类系统prodetioneontrolsystem 用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备注，如电力调度数据网络、电力数据采集与监控系统,能量管理系统、变电站自动化系统,换流站计算机监控系统发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量系统,实时电力市场的辅助控制系统等本类系统原则上部署于生产控制大区,与互联网的隔离强度近似于物理隔离 3.4 控制区controlarea 具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安
GB/T36047一2018 全区域 3.5 非控制区no-eontrolarea 生产控制范围内,由在线运行但不直接参与控制、作为电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域检查工作流程 4.1检查准备 4.1.1明确检查工作依据检查工作依据包括国家信息安全规范性文件及标准、行业信息安全规范性文件及标准,主管机构要求等 4.1.2明确检查工作范围检查工作范围包括被检查方、被检查系统、涉及的人员等,并通过调研形成信息系统安全检查工作调研表信息系统安全检查工作调研表可按包含以下要素进行设计信息系统主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等 a b)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等; c 定级情况、数据集中情况,灾备情况等 4.1.3明确检查工作内容检查工作内容由检查方依据有关信息安全主管单位要求、信息安全发展态势和企业的信息安全管理工作开展情况等进行确定检查内容由两部分组成，一部分为基本检查内容,见第5章;另外一部分为补充检查内容,由检查方拟定根据检查对象的不同,检查内容进一步细分为;通用检查项(标记为G)、仅适用于管理信息类系统的检查项(标记为M)、仅适用于生产控制类系统的检查项(标记为P) 基本检查内容的选取方法分全覆盖法、随机抽取法和重点项抽取法:全覆盖法即区分被检查系统为管理信息类系统还是生产控制类系统,选取相关全部备选检查项作为检查内容;随机抽取法即从备选检查项中随机抽取检查内容;重点项抽取法即从备选检查项中确定重点内容进行检查制定信息系统安全检查方案和信息系统安全检查工作表信息系统安全检查方案一般包含概述检查依据、技术思路、被检查系统的范围,业务情况,安全防护情况、检查内容和检查组成员、工作计划和内容安排等;信息系统安全检查工作表需列出所有检查内容在现场检查开始前,检查方宜提前将信息系统安全检查方案下发至被检查方,向被检查方介绍安全检查的意义和目的、检查流程和工作方法,明确被检查方应提供的基本资料,向被检查方说明检查工作自身的风险和规避方法被检查方应积极配合,向检查方介绍本单位的信息化建设状况与发展情况,为检查人员的信息收集提供支持和协调,并备份数据和系统,制定应急预案由检查方统一组织实施检查工作,确定实施现场检查工作的人员和设备;如委托第三方信息安全服务机构实施现场检查工作,检查方应在现场检查前对第三方服务机构及其委派人员的资质进行确认,并安排专人陪同
GB/36047一2018 4.2检查实施 4.2.1检查实施过程工作内容要依据检查方案开展现场检查工作,通过人员访谈、文档查阅、配置核查、安全测试等检查方法,考查信息系统的保护措施与本标准要求的符合情况,取得分析与总结活动所需的资料在现场检查过程中,检查方需辨别检查项的不适用,即检查项所防范的威胁在被检查方中是否存在,如果不存在,刚该检查项应标为不适用项检查方原则上不接触被检查设备,由被检查方配合人员根据操作规程和检查需求对被检查对象进行核查操作在进行验证测试和工具测试前,检查方应与被检查方充分沟通,提前采取预防措施,避免影响系统正常运行被检查方应协助检查方完成业务相关内容的问询、验证和测试,如对某些需要验证的内容进行上机操作、协助检查人员实施工具测试并提供有效建议、对检查结果进行确认、检查完成之后确认被检查系统工作正常等检查方根据被检查系统实际情况如实填写信息系统安全检查工作表,检查完成后应由检查方和被检查方共同签字确认 4.2.2检查实施过程采用的方法 4.2.2.1人员访谈:检查人员通过与信息系统有关人员(个人或群体)进行交流、讨论等活动,获取证据以证明信息系统安全防护措施是否有效的一种方法文挡查阅-检查人员通过对被检查方支撑信息暴统安全建设与运维的安全管理制度.记录等文 4.2.2.2 档的核查,获取证据以证明信息系统安全的防护要求是否全面,防护规定是否得到执行 4.2.2.3配置核查;检查人员通过对被检查对象的配置进行查验,获取证据以证明信息系统安全防护措施是否有效的一种方法 4.2.2.4安全测试;检查人员使用预定的方法、工具使被检查对象产生特定的行为,通过查阅,分析这些行为的结果,获取证据以证明信息系统安全防护措施是否有效的一种方法在检查中也可不重新实施安全测试而利用已有的安全测试结果 4.3检查结果分析检查结果分析是总结被检查系统整体安全防护能力的综合评价活动,根据现场检查结果和本标准的相关要求,定位整个系统的安全防护现状与本标准安全要求之间的差距,并分析这些差距导致被检查系统面临的风险,从而给出检查结论,形成检查报告和整改通知书在检查结果分析阶段,检查方对检查结果进行整理,编制信息系统安全检查报告和整改通知书,也可参见附录A的定量或定性风险分析方法,翁出风险分析结果检查方应对检查过程中生成的过程文档进行归档保存,并严格管理检查内容和检查方法 S 5.1组织体系 5.1.1第一责任人确立(G 5.1.1.1检查项包括;电力企业主要负责人是否为本单位网络与信息安全的第一责任人 5.1.1.2检查方法:文档查阅,查阅电力企业信息安全文件中电力企业主要负责人是否为本单位网络与信息安全的第一责任人
GB/T36047一2018 5.1.2信息安全责任落实(G 5.1.2.1 检查项包括: a 是否设立信息安全管理工作的职能部门,是否设立安全主管、系统管理员、网络管理员、安全管理员等岗位; 是否以文件的形式明确责任部门、责任人员的职责 b 如有电力监控系统,是否将电力监控系统安全防护工作及其信息报送纳人日常安全生产管理 e 体系,落实分级负责的责任制 5.1.2.2检查方法;文档查阅,查阅信息安全责任部门,责任人员职责文件、日常安全生产管理体系职责文件 5.1.3专职机构及岗位设置(G) 5.1.3.1检查项包括:电力企业是否成立工作领导机构，并设立网络与信息安全岗位,定义岗位职责，明确人员分工和技能要求,明确责任部门 5.1.3.2检查方法 a 人员访谈,询问电力企业是否设置信息安全工作领导机构,并设立网络与信息安全岗位,定义岗位职责,明确人员分工和技能要求 b)文档查阅,查阅电力企业信息安全工作领导机构及岗位设置说明文件 5.1.4安全人员配置(G 5.1.4.1检查项包括;电力企业是否配备一定数量的专职信息安全工作人员 5.1.4.2检查方法:文档查阅,查阅电力企业岗位职责说明及人员岗位职责分配说明 5.2规章制度 5.2.1整体策略及总体方案制定(G 5.2.1.1检查项包括;电力企业是否制定符合国家及行业政策要求的信息安全工作整体策略和总体方案,是否说明了信息安全工作总体目标、范围,防护框架和防护措胞 5.2.1.2检查方法;文档查阅,查阅电力企业信息安全整体策略和总体方案文档 5.2.2制度制定及体系完整性(G 5.2.2.1检查项包括;电力企业是否针对信息安全工作制定基本安全管理制度,并以此为基础形成涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系 5.2.2.2检查方法:文档查阅,查阅电力企业的基本管理制度文件,查看其内容是否涵盖人员管理,资产管理,介质管理、建设安全管理、运行维护管理、外包服务管理,培训教育等方面 5.2.3操作规程制定(G 检查项包括;电力企业是否对信息安全运行维护人员执行的日常操作制定运维流程和操作 5.2.3.1 规程 5.2.3.2检查方法;文档查阅,查阅电力企业制定的运维流程和操作规程文档 5.2.4制度发布(G) 5.2.4.1检查项包括:电力企业是否通过正式,有效的方式发布信息安全管理制度
GB/36047一2018 5.2.4.2检查方法如下人员访谈,询问电力企业信息安全管理制度的发布方式 a 文档查阅,查阅电力企业信息安全管理制度发布方式和相关记录 b 5.3资金保障 5.3.1经费预算(G 5.3.1.1 检查项包括;电力企业是否将信息安全建设费用(安全软硬件购置,系统安全功能开发、安全验收测试、安全咨询与培训、安全专项研究等)和运行维护费用日常安全运维、监测分析、应急演练、应急保障、信息安全监督检查、测试评估等)纳人年度预算 5.3.1.2检查方法:文档查阅,查阅电力企业年度预算计划是否包括信息安全建设费用和运行维护费用 5.3.2安全建设经费投入(G 5.3.2.1检查项包括:电力企业用于信息安全建设的经费占年度信息化建设总投人的比率 5.3.2.2检查方法;文档查阅,查阅并计算信息安全建设经费以及占年度信息化建设总投人的比率 5.3.3安全运维经费投入(G 5.3.3.1检查项包括:电力企业用于信息安全运行维护的经费占整个信息系统运行维护总投人的比率 5.3.3.2检查方法;文档查阅,查阅并计算信息安全运维经费以及占整个信息系统运行维护总投人的比率 5.4人员安全管理 5.4.1安全培训与考核(G 5.4.1.1检查项包括;电力企业信息安全从业、信息系统设计、建设、运维等相关各类人员是否经培训合格后上岗,是否定期接受相应的政策规划和专业技能培训 5.4.1.2检查方法如下人员访谈,询问电力企业信息安全从业、信息系统设计,建设,运维等相关各类人员是否经培训 a 合格后上岗,是否定期接受相应的政策规划和专业技能培训 b 文档查阅,查阅参加安全培训的人员名单及成绩单 5.4.2保密协议签订(G G 5.4.2.1检查项包括;电力企业是否与安全管理员、系统管理员、网络管理员等关键岗位的人员,电力监控系统(如有)相关设备及系统的开发单位和供应商签署保密协议 5.4.2.2检查方法如下 a 人员访谈,询问电力企业是否与安全管理员,系统管理员网络管理员等关键岗位的人员,以及电力监控系统相关设备及系统的开发单位和供应商签署保密协议 b 文档查阅,查阅签署保密协议的人员名单及其岗位或单位 5.4.3人员审查(G) 5.4.3.1检查项包括;电力企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查
GB/T36047一2018 5.4.3.2检查方法如下 a 人员访谈,询问电力企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查; b 文档查阅,查阅电力企业对信息安全岗位人员和其他敏感岗位人员的身份、背景和资质进行审查的相关文档和记录 5.4.4岗位调整管控(G 5.4.4.1检查项包括:电力企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署 5.4.4.2检查方法如下人员访谈,询问电力企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收 a 和离岗承诺书签署; 文档查阅,查阅信息安全岗位人员及其他敏感岗位人员的权限回收记录和离岗承诺书签署 b 情况. 5.5服务外包管控 5.5.1外包服务协议(G 5.5.1.1检查项包括;电力企业与合约方签订的外包服务协议中是否具有信息安全管控和保密条款 5.5.1.2检查方法;文档查阅,查阅外包服务协议中的信息安全管控和保密条款 5.5.2外部人员访问管理(G 5.5.2.1检查项包括;电力企业是否对外部人员访问机房等受控区域采取书面审批、人员陪同,进出登记等管控措施 5.5.2.2检查方法如下: 人员访谈,询问电力企业是否对外部人员访问机房等受控区域采取书面审批、人员陪同、进出 a 登记等管控措施文档查阅,查阅外部人员访问管理制度和访问登记记录 b 5.5.3远程服务管控(G 5.5.3.1检查项包括:电力企业是否采取远程服务,如采取远程服务,是否针对远程服务访问采取书面审批、访问控制,在线监测、日志审计等管控措施 5.5.3.2检查方法如下: 人员访谈,询问对远程服务访问采取的管控措施 a 文档查阅,查阅远程服务管控制度及远程服务管控的相关审计日志 b) 5.5.4现场开发管控(G) 5.5.4.1检查项包括:电力企业是否采取技术措施实现开发测试环境与实际生产运行环境物理分离,并对开发人员的活动范围和行为实施管控 5.5.4.2检查方法如下人员访谈,询问是否将开发测试环境与实际生产运行环境物理分离; a b 文档查阅,查阅开发人员的活动范围和行为管控制度
GB/36047一2018 5.6关键信息资产管控 5.6.1资产管理(G) 5.6.1.1检查项包括:电力企业是否识别所有与信息系统相关的资产并编制了准确的资产清单,是否对每项资产明确管理责任人及其职责 5.6.1.2检查方法;文档查阅,查阅资产清单,检查是否识别所有与信息系统相关的资产,是否对每项资产明确管理责任人及其职责 5.6.2资产维修报废管理(G) 5.6.2.1检查项包括;电力企业是否在系统、设备维修或报废时,选取了可信服务机构并对数据采取了备份、清除等有效保护措施 5.6.2.2检查方法:文档查阅,查阅系统、设备维修或报废管理制度和维修或报废记录 5.7信息系统建设安全管理 5.7.1技术监督与审核(P) 检查项包括 5.7.1.1 电力调度机构是否直接负责调度范围内的下一级电力调度机构,变电站、发电厂涉网部分的电 a 力监控系统安全防护的技术监督,发电厂内其他监控系统的安全防护是否由其上级主管单位实施技术监督; 电力调度机构、发电厂、变电站等运行单位的电力监控系统安全防护实施方案是否经本企业 b 的上级专业管理部门和信息安全管理部门以及相应电力调度机构的审核,方案实施完成后是否由上述机构验收; 接人电力调度数据网络的设备和应用系统,其接人技术方案和安全防护措施是否经直接负责的电力调度机构同意 5.7.1.2检查方法如下人员访谈,访谈实施技术监督、审核、验收等相关工作的流程 a 文档查阅.查阅审核、验收意见及相关材料 b) 5.7.2上线安全测评(G G 5.7.2.1检查项包括;电力企业信息系统是否在上线前通过信息安全测评 5.7.2.2检查方法;文档查阅,查阅全部信息系统列表,查阅并统计已通过信息安全测评的系统测评报告 5.7.3等级保护建设(G) 5.7.3.1检查项包括;电力企业信息系统是否按要求开展信息安全等级保护建设 5.7.3.2检查方法:文档查阅,查阅全部信息系统列表,查阅已按要求开展信息安全等级保护建设的信息系统相关文档 5.7.4等级测评开展情况(G 5.7.4.1检查项包括: a 电力企业信息系统是否按要求开展等级测评; b)电力监控系统信息安全等级测评工作是否与电力监控系统安全防护评估工作同步进行
GB/T36047一2018 5.7.4.2检查方法如下 a 人员访谈,询问电力企业信息系统开展等级测评的情况,其中电力监控系统信息安全等级测评工作是否与电力监控系统安全防护评估工作同步进行; b)文档查阅,查阅全部信息系统列表,查阅并统计已开展信息系统安全等级测评的系统数量,并查阅等级测评报告及电力监控系统安全防护评估报告 5.7.5风险评估(G 5.7.5.1检查项包括;电力企业信息系统是否按要求开展信息安全风险评估并完成信息安全隐患整改 5.7.5.2检查方法如下 a)人员访谈,询问电力企业信息系统是否按要求开展信息安全风险评估并完成信息安全隐患整改,电力监控系统(如有)安全防护评估是否按照行业要求开展 b文档查阅,查阅电力企业信息系统安全风险评估报告、电力监控系统(如有)安全防护评估报告、整改建设方案 5.7.6产品采购和使用(G 5.7.6.1 检查项包括电力企业安全产品和密码产品的采购及使用是否符合国家有关规定; a 电力监控系统在设备选型及配置时,是否禁止选用经国家相关管理部门检测认定存在漏洞和 b 风险的系统及设备; c 对于已经投人运行的系统及设备,是否按照相关要求及时进行整改,同时加强相关系统及设备的运行管理和安全防护; d 生产控制大区中除安全接人区外,是否禁止选用具有无线通信功能的设备 5.7.6.2检查方法如下人员访谈,访谈相关人员是否了解相关制度,是否存在不执行相关制度的特殊情况 a 文档查阅,查阅电力企业相关管理制度和资产清单等,检查其采购及使用是否符合国家有关 b 规定配置核查,核查在运系统及设备是否符合国家及行业相关要求,是否已按照相关要求进行整改,并加强相关系统及设备的运行管理和安全防护 5.7.7核心产品采购测试(G 5.7.7.1检查项包括;电力企业应用的信息安全产品、系统基础软硬件,系统应用软件,工业控制装置等在采购前是否通过了安全性测试 5.7.7.2检查方法;文档查阅,查阅电力企业应用的信息安全产品、系统基础软硬件、系统应用软件、工业控制装置等的安全性测试报告 5.7.8安全产品安全可靠(G 检查项包括;电力企业安全保护级别为3级及以上的信息系统所采用信息安全产品安全可靠 5.7.8.1 程度是否符合国家及行业相关文件要求 5.7.8.2检查方法;文档查阅,查阅电力企业信息安全产品清单 5.8信息系统运行安全管理 5.8.1 日常维护(G) 5.8.1.1检查项包括:电力企业是否按照制定的规章制度、运维流程、操作规程等执行信息系统日常维
GB/36047一2018 护并有详尽记录 5.8.1.2检查方法:文档查阅,查阅电力企业是否按照制定的规章制度,运维流程、操作规程等执行信息系统日常维护并有详尽记录 5.8.2安全审计(G) 5.8.2.1检查项包括:电力企业是否对网络运行日志,操作系统日志、数据库访问日志、业务应用系统运行日志、安全设备和系统运行日志等进行集中收集,定期分析 5.8.2.2检查方法如下 a 文档查阅,查阅是否具备集中日志收集及定期分析报告 b 配置核查,检查电力企业对网络运行日志、操作系统日志、数据库访间日志,业务应用系统运行日志,安全设备和系统运行日志等进行集中收集的系统配置 5.8.3补丁管理(G) 5.8.3.1检查项包括:电力企业是否按照补丁管理制度制定补丁升级策略,是否针对关键业务系统建立补丁升级测试环境或建立获取已测试补丁的有效渠道 5.8.3.2检查方法如下文档查阅,查阅是否具备补丁管理制度,是否明确补丁升级策略,查阅是否具备补丁升级记录; a b)配置核查,检查是否对关键业务系统建立补丁升级测试环境或建立获取已测试补丁的有效渠道; 安全测试,在确保应用系统安全的前提下,使用扫描工具进行检查,查看电力企业是否针对关键业务系统进行补丁升级及更新操作 5.8.4安全监测(M 5.8.4.1检查项包括;电力企业是否建立安全监测系统对互联网出口、面向互联网服务系统,重要信息系统及终端的安全运行情况等进行实时监测 5.8.4.2检查方法如下文档查阅,查阅是否描述了安全监测系统的监测对象范围和监测内容,查阅是否具备安全监测 a 报告; b)配置核查,检查安全监测系统的监测对象范围和监测内容 5.9应急管理 5.9.1信息通报(G) 5.9.1.1检查项包括;电力企业是否建立网络与信息安全信息通报机制,按要求向电力监管机构通报网络和信息系统安全状况 5.9.1.2检查方法:文档查阅,查阅是否通过制度建立网络与信息安全信息通报机制,是否明确需要通报的内容和范围,是否落实负责人员 5.9.2联合应急防护机制(P) 5.9.2.1检查项包括:电力企业是否建立健全网络与信息安全联合防护和应急机制,是否由电力调度机构负责统一指挥调度范围内的电力监控系统安全应急处理 5.9.2.2检查方法:文档查阅,查阅电力企业网络与信息安全联合防护和应急机制
GB/T36047一2018 5.9.3应急预案制定(G) 5.9.3.1检查项包括:电力企业是否按照电力行业网络与信息安全应急预案,制定本单位网络与信息安全及专项应急预案 5.9.3.2检查方法如下: 人员访谈,询问是否制定了本单位网络与信息安全及专项应急预案及了解相关条款 a b) 文档查阅,查阅是否按照电力行业网络与信息安全应急预案,制定本单位网络与信息安全应急预案,是否明确启动应急预案的条件、应急处理流程、系统恢复流程,事后教育培训和定期审核更新等方面的内容 5.9.4应急演练(G 5.9.4.1检查项包括;电力企业是否实施年度应急演练,是否有演练脚本和演练实施记录文档 5.9.4.2检查方法;文档查阅,查阅是否制定应急演练制度,是否实施年度应急演练,是否有演练脚本和演练实施的记录文档 5.9.5应急资源配备G 5.9.5.1检查项包括:电力企业是否根据信息安全工作需求,配置应急支援技术队伍并配置备机备件 5.9.5.2检查方法如下 aa 人员访谈,询问是否具备应急支援技术队伍,是否具备应急备机备件并能正常工作 b 文档查阅,查阅应急支援技术队伍人员名单,查阅应急备机备件清单 5.9.6事件调查(G) 5.9.6.1检查项包括:电力企业是否按照行业及本单位应急预案要求,配合或组织开展事件调查 5.9.6.2检查方法如下人员访谈,询问电力企业是否曾配合或组织开展事件调查; a b)文档查阅,查阅信息安全事件调查制度,查阅信息安全事件调查记录或报告是否记录引发安全事件的原因及事件调查过程 5.10安全分区防御体系 5.10.1大区间隔离(Py 5.10.1.1检查项包括电力企业是否按要求划分生产控制大区和管理信息大区， a b) 电力企业是否在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置 5.10.1.2检查方法如下 a 文档查阅,查阅电力企业网络拓扑结构图是否划分生产控制大区和管理信息大区,查阅单向隔离装置的检测报告或认证证书; b 配置核查,核查电力企业生产控制大区和管理信息大区的划分是否符合有关文件要求,并查验单向隔离装置是否配置有效 5.10.2生产控制大区内部逻辑隔离(P) 5.10.2.1 检查项包括: 10
GB/36047一2018 电力企业是否按要求在生产控制大区内部控制区与非控制区之间采用国产硬件防火墙、具有 a 访问控制功能的设备或等效功能的设施进行逻辑隔离 b 生产控制大区内部各系统间是否采用VLAN和访问控制等安全措施限制系统间的直接互联 5.10.2.2检查方法如下: a 人员访谈,询问生产控制大区内部所采取的访问控制措施; b 文档查阅,查阅网络拓扑结构图是否在生产控制大区内部控制区与非控制区之间采用逻辑隔离产品,查阅逻辑隔离产品的检测报告或认证证书配置核查,核查逻辑隔离产品配置及策略是否有效 c 5.10.3纵向认证(P) 5.10.3.1检查项包括;电力企业是否按要求在生产控制大区与广域网的纵向连接处设置经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关 5.10.3.2 检查方法如下文档查阅,查阅阿络拓扑结构图是香在生产控制大区与广域网的纵向交接处设置电力专用纵向加密认证装置或加密认证网关,查阅电力专用纵向加密认证产品或加密认证网关产品的检测报告或认证证书配置核查,核查电力企业的纵向加密认证产品或加密认证网关产品配置及策略是否有效 b 安全测试,在确保应用系统的安全前提下,通过抓包工具捕获传输数据包,查看是否加密 5.10.4电力调度数字证书使用P 检查项包括 5.10.4.1 电力企业是否依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书及安全标 a 签,生产控制大区中的重要业务系统是否采用认证加密机制 b)电力调度机构是否指定专人负责管理本级调度数字证书系统 5.10.4.2检查方法如下人员访谈,访谈是否建立基于公钥技术的分布式电力调度数字证书及安全标签,是否指定专人 aa 负责管理本级调度数字证书系统 b)文档查阅.查阅生产控制大区中的重要业务系统网络拓扑结构图中是否采取认证加密措施; 配置核查,核查分布式电力调度数字证书及安全标签的配置是否合理,认证加密机制是否 c 有效 5.10.5跨区连接管控(P) 5.10.5.1检查项包括;电力企业是否禁止未通过电力专用横向单向隔离装置将生产控制大区和管理信息大区网络直接连接的情况 5.10.5.2检查方法如下文档查阅,查阅网络拓扑结构图是否与实际网络相符,是否不存在未通过电力专用横向单向隔 aa 离装置将生产控制大区和管理信息大区网络直接连接的情况配置核查,核查横向单向隔离装置的配置是否合理且有效 b c 安全测试,利用相关命令语句等测试是否存在未通过电力专用横向单向隔离装置的大区间连通情况 5.10.6安全接入区(P 5.10.6.1检查项包括: 11
GB/T36047一2018 生产控制大区的业务系统在与其终端的纵向联接中是否使用无线通信网、电力企业其他数据 a 网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信,采取如上所述方式进行通信的是否设立了安全接人区; b 安全接人区与生产控制大区中其他部分的联接处是否设置经国家指定部门检测认证的电力专用横向单向安全隔离装置且进行有效配置 5.10.6.2检查方法如下: 人员访谈,访谈生产控制大区的业务系统是否存在需要通过非电力调度数据网与其终端通信 a 的情况;如果有,是否已设立了安全接人区,并在安全接人区与生产控制大区中其他部分的联接处设置经国家指定部门检测认证的电力专用横向单向安全隔离装置; 文档查阅,查阅网络拓扑结构图是否通过设置安全接人区实现与其终端的非电力调度数据网 b 的通信连接配置核查,核查电力企业是否在安全接人区与生产控制大区中其他部分的联接处设置经国家指定部门检测认证的电力专用横向单向安全隔离装置并进行有效配置 5.10.7敏感信息隔离(M 检查项包括;电力企业是否通过独立的网络和终端处理敏感信息,且与互联网之间有信息交 5.10.7.1 换时边界防护强度强于逻辑隔离 5.10.7.2检查方法如下 a 文档查阅,查看网络拓扑结构图是否通过独立的网络和终端处理敏感信息,以及隔离装置的技术说明文档; b 配置核查,核查内部网络和外部网络信息通信交换的防护强度是否强于逻辑隔离 5.11网络安全防护 5.11.1网络专用(P 5.11.1.1检查项包括:电力调度数据网是否在专用通道上使用独立的网络设备组网,是否在物理层面上实现与电力企业其他数据网及外部公用数据网的安全隔离 5.11.1.2检查方法如下: 文档查阅,查阅电力调度数据网网络拓扑结构图是否使用独立的网络设备组网， a 配置核查,核查电力调度数据网是否在物理层面上实现与电力企业其他数据网及外部公用数 b) 据网的安全隔离 5.11.2生产控制大区防护(P 5.11.2.1检查项包括;电力企业是否在生产控制大区内部采取安全审计、恶意代码防范、人侵检测、非授权网络接人管控等技术措施实施安全防护 5.11.2.2 检查方法如下 a 文档查阅,查阅网络拓扑结构图是否在生产控制大区内部采取安全防护措施; b) 配置核查.检查生产控制大区网络边界的安全审计.人侵检渊,非授权网络接人管控等防护设备配置情况 5.11.3管理信息大区防护(M 5.11.3.1检查项包括:电力企业是否在管理信息大区内部采取技术措施实施安全防护 5.11.3.2检查方法如下 12
GB/36047一2018 文档查阅,查阅电力企业网络拓扑结构图是否在管理信息大区内部采取安全防护措施 a b 配置核查,检查管理信息大区网络边界的人侵检测、ARP防范、非授权网络接人管控、集中运维操作审计等安全防护配置情况 5.11.4互联网出口统一管理(M) 5.11.4.1检查项包括;电力企业管理信息大区的互联网出口是否统一管理 5.11.4.2检查方法;文档查阅,查阅网络拓扑结构图中基层单位管理信息大区的互联网出口是否统一管理互联网出口安全管控(Mn 5.11.5 5.11.5.1检查项包括;电力企业互联网出口是否采取访问控制、人侵防御、上网行为管理等必要的安全防护措施且针对第2级以上系统访问控制粒度达到端口级 5.11.5.2检查方法如下: 文档在阅.查阅网络拓扑结构图中互联网出口的访同控制产品配置情况 a b)配置核查,检查互联网出口是否采取访问控制、人侵防御、上网行为管理等必要安全防护措施且针对第2级以上系统访问控制粒度达到端口级 5.11.6 无线网络安全应用(G) 5.11.6.1检查项包括;电力企业应用无线网络承载业务的信息系统类型(管理类信息系统或生产控制类系统),是否采取设置安全接人区、身份认证、完整性保护,机密性保护等必要的安全防护措施 5.11.6.2检查方法如下: 人员访谈,询问应用无线网络承载业务的信息系统中采取了哪些安全防护措施; a 文档查阅,查阅网络拓扑结构图中,应用无线网络承载业务的信息系统采用的安全防护情况; b c 配置核查,检查应用无线网络承载业务的信息系统中采取的安全防护措施 5.11.7移动式设备安全接入(G 5.11.7.1检查项包括;电力企业是否针对移动式设备接人采取了安全性检测、书面审批、统一接人管控、访问控制、在线监测、日志审计等必要的管控措施 5.11.7.2检查方法如下: 人员访谈,询问对移动式设备接人采取哪些控制措施; aa 文档查阅,查阅管理制度是否要求移动终端接人前采取安全性检测、书面审批、统一接人管 b 控、访问控制、在线监测、日志审计等管控措施配置核查,检查移动终端接人相关访问控制,日志审计记录 5.12主机和设备安全防护 5.12.1补丁更新(G 5.12.1.1 检查项包括;电力企业是否按照补丁管理制度要求进行可更新补丁的更新 5.12.1.2检查方法如下文档查阅,查阅补丁更新管理制度和补丁更新频率; a b 配置核查,检查主机操作系统和网络设备的补丁更新情况安全测试,在确保应用系统的安全前提下,通过漏洞扫描工具验证主机操作系统和网络设备的补丁更新情况 13
GB/T36047一2018 5.12.2恶意代码防护(G) 5.12.2.1检查项包括:电力企业是否按照恶意代码管理制度要求进行恶意代码检测和可更新恶意代码库的更新 5.12.2.2检查方法如下: 文档查阅,查阅恶意代码防范管理制度和更新频率; a 配置核查.检查恶意代码检测程序和可更新恶意代码库的更新情况 b) 5.12.3系统安全整改加固(G 5.12.3.1检查项包括:电力企业主机和设备中是否对等级保护测评、风险评估、信息安全检查等工作中发现的问题进行安全整改加固 5.12.3.2检查方法如下: 文档查阅,查阅等级保护测评、,风险评估、信息安全检查等工作的安全问题报告,查阅安全整改 a 加固实施工作报告; b 配置核查检查与验证电力企业对等级保护测评,风险评估、信息安全检查等工作中发现的向题进行安全整改加固的实施情况 5.12.4移动存储介质管理(G) 5.12.4.1检查项包括;电力企业是否设置限制和管理移动存储介质使用的管理和技术措施,是否对移动存储介质的分发、注册,使用、存放、销毁实施管理,是否禁止移动存储介质在生产控制大区和管理信息大区的混用 5.12.4.2检查方法如下: 文档查阅,查阅移动存储介质安全管理制度; a 安全测试,验证系统中是否具备移动存储介质管理技术措施 b) 5.12.5办公终端管控(M) 5.12.5.1检查项包括;电力企业办公终端是否实施了安全管控(安全管理、接人管理等)并统一安装防病毒软件 5.12.5.2检查方法如下: 人员访谈,询问电力企业采取了何种终端安全管理措施 a 文档查阅,查阅电力企业的终端安全管理制度; b 配置核查,核查并统计终端安全管理措施部署情况 c 5.12.6主机和设备账号口令管理(G 检查项包括电力企业主机和设备中口令设置是香符合口令管理制度要求 5.12.6.1 5.12.6.2检查方法如下文档查阅,查阅主机和设备安全检测报告; a b 配置核查,检查并统计符合口令管理制度要求的主机和设备数量 5.13应用系统和数据安全防护 5.13.1应用系统安全功能及配置(G) 5.13.1.1检查项包括电力企业应用系统是否在等级保护测评,风险评估、信息安全检查等工作中未发 14
GB/36047一2018 现安全功能及配置方面存在严重问题 5.13.1.2检查方法如下:文档查阅,查阅应用系统安全检测报告,统计未发现安全功能及配置方面存在严重问题的系统数量 5.13.2面向互联网服务系统安全监控和攻击防御(M 5.13.2.1检查项包括;电力企业面向互联网服务的信息系统是否按要求采取安全监控和攻击防御等措施 5.13.2.2检查方法如下文档查阅,查阅面向互联网服务的信息系统数量; a b)配置核查,检查并统计面向互联网服务的信息系统中采取安全监控和攻击防御等措施的系统清单面向互联网服务系统周期测试(M) 5.13.3 检查项包括;电力企业面向互联网服务的系统是否按要求进行周期性信息安全测试 5.13.3.1 5.13.3.2检查方法;文档查阅,查阅面向互联网服务的信息系统清单;查阅面向互联网服务的信息系统检测报告,统计未发现安全功能及配置方面存在严重问题的系统数量 5.13.4应用系统账号口令管理(G 5.13.4.1检查项包括;电力企业应用系统中账号口令是否符合口令管理制度的要求 5.13.4.2检查方法如下文档查阅,查阅应用系统安全检测报告; a 配置核查,检查符合口令管理制度要求的应用系统清单 b 安全测试,在确保应用系统的安全前提下,使用暴力破解方式验证应用系统中账号是否有弱口令 5.13.5重要数据安全保护(G) 5.13.5.1检查项包括:电力企业是否采用加密或其他有效措施实现对系统管理数据、鉴别信息和重要业务数据的完整性和机密性保护 5.13.5.2检查方法如下: 文档查阅,查阅应用系统设计文档对于系统管理数据、鉴别信息和重要业务数据的完整性和机 aa 密性保护措施; b)配置核查,检查应用系统是否采用加密或其他有效措施实现对系统管理数据、鉴别信息和重要业务数据的完整性和机密性保护 5.14物理环境安全防护检查项 5.14.1 检查项包括电力企业的机房中是否按照等级保护要求落实物理安全防护 5.14.2 检查方法检查方法如下文档查阅,查阅等级测评报告等并统计按照等级保护要求落实物理安全防护的机房 a b 配置核查,实地查看电力企业机房的物理安全防护是否按照等级保护要求落实 15
GB/T36047一2018 5.15业务连续性保护 5.15.1硬件冗余(G) 5.15.1.1检查项包括;电力企业是否提供重要信息系统网络设备、通信线路和数据处理系统的硬件冗余 5.15.1.2检查方法如下文档查阅,查阅网络拓扑结构图是否标明了重要信息系统网络设备,通信线路和数据处理系统 a 硬件冗余; b 配置核查,检查重要信息系统网络设备,通信线路和数据处理系统的硬件冗余情况 5.15.2系统和数据备份(G 5.15.2.1检查项包括:电力企业重要信息系统是否实施数据级和系统级备份,备份介质是否场外存放 5.15.2.2检查方法如下人员访谈,询问重要信息系统数据备份的级别和备份的场所; a b配置核查,检查重要信息系统数据备份是否达到数据级和系统级,备份介质存储的位置是否在本电力企业场所之外 5.15.3异地灾备G 检查项包括;电力企业是否提供异地数据备份功能，三级信息系统是否实现关键数据定时批 5.15.3.1 量传送至备用场地,四级信息系统是否实现业务应用实时无缝切换 5.,15.3.2检查方法如下人员访谈,询问是否提供异地数据备份功能,是否具有正在运行的等级保护三级和四级信息 a 系统; 配置核查,检查异地数据备份功能的情况,检查三级信息系统是否实现关键数据定时批量传 b 送至备用场地,四级信息系统是否实现业务应用实时无缝切换 5.15.4恢复测试(Mn 5.15.4.1检查项包括:电力企业是否按照恢复测试要求,定期实施恢复测试演练,并检查和测试备份介质的有效性 5.15.4.2检查方法;文档查阅,查阅是否制定恢复测试管理制度,是否定期对备份数据进行恢复测试演练,查阅备份恢复测试记录 16
GB/36047一2018 附录 A 资料性附录风险分析方法 A.1定性分析定性分析方法如下判断安全问题发生的可能性,可能性的取值范围为高、中和低,见表A.1 表A.1安全问题发生的可能性取值标识安全问题出现的频率较高(或>1次/月;或在大多数情况下很有可能会发生;或可以证实多次发高生过;或其实现条件较容易被攻击者获得安全问题出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过;或中其实现条件难以被攻击者获得安全问题出现的频率较小;或一般不太可能发生;或没有被证实发生过;或其实现条件很难被攻击低者获得 5 判断安全问题被威胁利用后,对信息系统安全造成的影响程度,影响程度取值范围为高、中和低,见表A.2 表A.2安全问题对信息系统安全造成的影响程度取值标识定高如果安全问题出现,将对信息系统造成重大损害中如果安全问题出现,将对信息系统造成一般损害低如果安全问题出现,将对信息系统造成较小或轻微损害综合a)和b)的结果对信息系统面临的安全风险进行赋值,风险值的取值范围为高、中和低,见表A.3 表A.3信息系统面临的安全风险取值标识描述高旦发生将产生较为严重的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害中 -旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大 -旦发生造成的影响程度较低甚至几乎不存在，一般仅限于组织内部,通过较为简单的手段很快低能解决 d 雷达图展示系统安全问题的风险分布及各类检查项的安全问题分布,如图A.1,图A.2所示 17
GB/T36047一2018 高风险 25 20 系统1 系统2 系统3 低风险中风险图A.1安全问题风险分布图组织体系业务连续性保护规章制度物理环境安全防护资金保障应用系统和数据安全防护人员安全管理系统1 系统2 主机和设备安全防护服务外包管控系统3 网络安全防护关键信息资产管控安全分区防卸体系信息系统建设安全管理应急管理信息系统运行安全管理图A.2检查项问题分布图 A.2定量分析根据电力企业信息安全工作实际情况是否符合检查项描述,为检查项赋予权重值(V),根据检查结果判定赋予量化值(P),见表A.4,安全检查结果量化(IsL)由式(A.1)计算求得 18
GB/36047一2018 SL= A.1 Y妈" 式中 -检查项个数第i检查项中检查条款的个数 7 表A.4信息系统面临的安全风险取值检查类检查项权重值V 量化判定值Pm 符合;P=1 第一责任人确立部分符合;P;=0.5 不符合; 符合:P 信息安全责任落实部分符合;P;=0.5 不符合;P;=0 组织体系符合P;=1 专职机构及岗位设置部分符合;P;=0.5 不符合:P=0 专职信息安全人员数量比值一信息安全岗位总数安全人员配置 P;=比值的小数点后两位符合;P=1 整体策略及总体方案制定部分符合:P=0.5 不符合:P;=0 形成体系:;0.50.15,尸投人比率<0.5,P;=0 投人比率 0.05 0,l,P=0,3 安全运维经费投人 0.1<投人比率<0.15,P;=0.7 投人比率>0.15,P,=1 19
GB/T36047一2018 表A.4(续) 检查类检查项权重值V 量化判定值P 年度培训人数比值员工总数安全培训与考核 =比值的小数点后两位签署保密协议员工数量比值员工总数保密协议签订 =比值的小数点后两位人员安符合:P,=1 全管理部分符合:P;=0.5 人员审查不符合;P=0 符合;P 岗位调整管挖部分符合;P尸j=0.5 不符合;P 符合;P 外包服务协议部分符合;P =0.5 不符合:P 符合;:P 外部人员访问管理部分符合;P=0.5 不符合:P 服务外包管控符合;P 远程服务管控部分符合P=0,5 不符合:P;=0 符合;P,=1 现场开发管控部分符合;P;=0.5 不符合;Pj=0 符合;P 资产管理部分符合:P=0.5 不符合;P=0 关键信息资产管控符合;P 资产维修报废管理部分符合;P,=0.5 不符合:P 符合;P=1 =0.5 技术监督与审核部分符合 P 不符合:P=0 通过上线测评系统数信息系统建比值己投运系统总数上线安全测评设安全管理 P;=比值的小数点后两位已开展等保建设的系统数比值系统总数等级保护建设比值的小数点后两位 20
GB/36047一2018 表A.4(续权重值V 量化判定值P 检查类检查项已开展等级测评系统数比值系统总数等级测评开展情况 =比值的小数点后两位未按要求开展风险评估,P=0 按要求开展风险评估但未整改,P=0.3 P 按要求开展风险评估,完成部分隐患整改,0.3< 风险评估 0.6 按要求开展风险评估,基本完成隐患整改,0.6

GB/T36047一2018 表A.4(续) 量化判定值P 检查类检查项权重值V 符合;P 应急预案制定部分符合;P;=0.5 不符合;P 符合;P 应急演练部分符合;P，=0,5 不符合;P 应急管理符合;P 应急资源配备部分符合;P，=0,5 不符合;P' 符合 p 事件调查部分符合;P,=0.5 不符合; P 符合;P 大区间隔离部分符合;P,=0.5 不符合;P 符合;P 生产控制大区内部逻辑隔离部分符合;P，=0,5 不符合;P尸符合;P 纵向认证部分符合;P，=0,5 不符合;P 符合:P 安全分区防电力调度数字证书使用部分符合;P;=0.5 御体系不符合;P 符合:P 跨区连接管控部分符合;P,=0.5 不符合;P 符合;P 安全接人区部分符合;P，=0,5 不符合;尸符合;P 敏感信息隔离部分符合;P，=0,5 不符合P 符合;P，=1 网络专用部分符合;P,=0.5 不符合:P 网络安全防护符合;P，=1 生产控制大区防护部分符合;P,=0.5 不符合;P=0 22
GB/36047一2018 表A.4(续权重值V 量化判定值P 检查类检查项符合;Pj=1 管理信息大区防护部分符合;P;=0.5 不符合:P,=0 符合;P 互联网出口统一管理部分符合:P=0,5 不符合;P 符仓要求出口数网络安比值总口数互联网出口安全管控全防护 P=比值的小数点后两位符合防护要求系统数比值应用无线网络系统总数无线网络安全应用 =比值的小数点后两位符合:P =1 移动式设备安全接人部分符合;尸;=0.5 不符合;P=0 符合:P 补丁更新部分符合:Pi=0,5 不符合;P 符合;P 部分符合:P=0.5 恶意代码防护不符合 ;P=0 已完成加固的主机和设备数比值应加主机和设备数系统安全整改加固 P=比值的小数点后两位主机和设备安全防护符合:P =1 移动存储介质管理部分符合;P;=0.5 不符合:P,=0 已管控终端数比值- 总终端数办公终端管控 P;=比值的小数点后两位未发现间题的主机和设备台数比值总检测数主机和设备账号口令管理 P;=比值的小数点后两位未发现问题的系统数应用系统安全比值一总检查评估系统数功能及配置 P=比值的小数点后两位应用系统和散据安全防护符合要求的系统数面向互联网服务系统比值互联网服务系统数安全监控和攻击防御 =比值的小数点后两位 23
GB/T36047一2018 表A.4(续) 检查类检查项权重值V 量化判定值P 符合;P 面向互联网服务系统周期测试部分符合;P,=0.5 不符合;P，未发现问题的系统数应用系统和比值总检查评估系统数应用系统账号口令管理数据安全防护 P，=比值的小数点后两位符合;P=1 重要数据安全保护部分符合;P,=0.5 不符合;P=0 符合要求的机房数物理环境比值组织机房总数机房安全建设安全防护 P=比值的小数点后两位符合 P 硬件冗余部分符合;P;=0.5 不符合;P 符合 P，系统和数据备份部分符合:P;=0.5 不符合:P 业务连续性保护符合:P，=1 异地灾备部分符合;Pj=0,5 不符合;P,-" 符合;P=1 恢复测试部分符合;P,=0.5 不符合;P，=0 24
GB/36047一2018 参考文献 [1]信息安全等级保护管理办法(公通字[2007]43号 [[2]关于加强工业控制系统信息安全管理的通知(工信部协[2011]451号 [3]电力行业信息系统安全等级保护基本要求(电监信息[2012]62号 [4]电力监控系统安全防护规定(国家发改委令2014年第14号 [5]电力行业网络与信息安全管理办法(国能安全[2014]317号) [[6]电力行业信息安全等级保护管理办法(国能安全[2014]318号

电力信息系统安全检查规范GB/T36047-2018分析

在当今数字化时代，电力信息系统已成为电力企业管理和运营的关键组成部分。然而，随着电力信息系统的日益普及和发展，其面临的风险也越来越多，如黑客攻击、病毒感染、系统漏洞等。因此，加强对电力信息系统的安全检查显得尤为重要。

为此，《电力信息系统安全检查规范》（GB/T36047-2018）应运而生。该规范是由国家能源局组织制定，旨在加强电力信息系统的安全管理和保护工作，规范电力信息系统的安全检查工作，提高电力信息系统的安全性和可靠性。

规范内容

《电力信息系统安全检查规范》主要包括以下内容：

一般原则：明确了安全检查的目的和依据，规定了安全检查的基本要求。
安全检查的程序：包括准备阶段、实施阶段、总结阶段等。
安全检查的内容：明确了电力信息系统安全检查的主要内容，如网络安全、物理安全、应用系统安全等。
安全检查的方法：包括现场检查、网络扫描、漏洞测试等多种检查方法。
安全检查的评价标准：制定了一系列安全检查的评价标准，对不同风险等级的问题给出了不同的处理措施。

实施措施

以下是电力企业可采取的一些具体实施措施：

建立完善的安全管理体系：在组织架构、人员配置、管理流程等方面加强规范化建设，确保安全责任到位。
定期开展安全检查：根据《电力信息系统安全检查规范》的要求，每年至少进行一次安全检查，并及时整改发现的问题。
提高员工安全意识：加强员工的安全培训和教育，提高员工安全意识和防范能力。
加强系统维护：及时修补系统漏洞，更新系统补丁，确保系统的稳定性和安全性。
建立应急预案：制定完善的应急预案，并进行演练，以应对突发事件。

总结

《电力信息系统安全检查规范》（GB/T36047-2018）的出台，标志着我国电力信息化管理水平迈上了一个新台阶。电力企业应按照该规范的要求，加强对电力信息系统的安全管理和保护，完善安全管理体系，建立规范的安全检查机制，提高员工的安全意识和防范能力，加强系统维护和应急预案建设等措施，确保电力信息系统的安全性和可靠性。

总之，《电力信息系统安全检查规范》（GB/T36047-2018）是一项非常重要的规范标准，它对于保障电力信息系统的安全、稳定运行具有重要意义。电力企业应该高度重视该规范的实施，切实加强电力信息系统的安全管理和保护，为电力企业的可持续发展提供有力保障。