Q／GDW 1596-201标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

Q／GDW 1596-2015 国家电网公司信息安全风险评估实施细则

威胁评估实施应按照GB/T31509一2015的5.2.3条要求执行，通过威胁分类、威胁调查、威胁分机 和赋值等过程，最终形成威胁分析报告

公司管理信息系统面临的威胁分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、 恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类，具体分类见GB/T20984一2007 5.3.1条。

应按照GB/T31509一2015的5.2.3.3条要求LY/T 1970-2011 绿化用有机基质，从威胁源动机及其能力、威胁途径、威肽 影响等方面识别公司管理信息系统面临的威胁，并识别发生可能性较大、可能造成重大影响

在威胁调查基础上，应按照GB/T31509一2015的5.2.3.4条要求进行威胁分析，分析威胁发生 威胁影响，给威胁赋值。威胁赋值按照GB/T20984一2007中5.3.2条要求，采用五级划分法， 低分为“很大”、“大”、“中”、“小”、“很小”五级，分别用数字5、4、3、2、1表示。

按照GB/T20984一2007和GB/T31509一2015，脆弱性应从技术和管理两方面识别。附录A给出了 公司管理信息系统信息安全脆弱性评估的具体评估项目和要求，用于替代GB/T31509一2015的附录B 和附录C。

a）资产脆弱性识别应以资产为核心，首先识别每个资产的脆弱性，然后综合评价该资产及其

脆弱性赋值按照GB/T20984一2007中5.4.2条要求，采用五级划分法，自高而低分为“很高”、“高” 中”、“低”、“很低”五级，分别用数字5、4、3、2、1表示

8.4.1单项脆弱性评估与赋值

综合评估方法，具体方法为： a）对照附录A给出的每一个脆弱性评估项，评估信息系统是否满足相关要求，按照评分细则进行 打分； b） 按照公式（1）分别计算出各评估项的得分率：

Ritem 该评估项的得分率； Qla一一被评估系统在该评估项的实际得分； QIs一一该评估项全部符合要求的最高分值（即附录A各脆弱性评估表中的“分值”列数值） c）按照表1给出该评估项的脆弱性赋值：

表1单项脆弱性评估项赋值标准

d）按照GB/T31509一2015给出的风险计算方法，根据识别出的资产、威胁和各单项脆弱性赋值， 计算和分析各评估项的安全风险： 对评估项中包含多个评估要点的，可分别按评估要点进行评估与赋值，也可按评估项进行评估 与赋值。按评估项进行评估时，需要把各个评估要点的得分进行汇总后再计算，

8.4.2层面脆弱性评估与赋值

在单项脆弱性评估基础上，对信息系统在管理（包括安全管理制度、安全管理机构、人员安全管理、 信息系统安全管理、安全工作机制）和技术（包括总体防护体系、物理安全、边界安全、网络 安全、应用安全、数据安全、主机安全、终端安全）两方面共13个层面的脆弱性进行评估与 赋值，具体方法如下：

Q/GDW15962015

a）如果该层面有基本项且有任一基本项未得分，则该层面脆弱性赋值为“很高”，否则按以下b）～ e）进行评估与赋值； b 按照8.4.1a）条，给出各评估项实际得分后，分别统计其在安全管理制度、安全管理机构、人 员安全管理、信息系统安全管理、安全工作机制、总体防护体系、物理安全、边界安全、网络 安全、应用安全、数据安全、主机安全、终端安全各个层面的总得分：

QLa×100% Rlayer= QLs

表2各层面标准分值及权重

根据各层面得分率，分别按照表3给出“总体防护体系”层面的脆弱性赋值和等级，按 给出其它各层面的脆弱性赋值和等级：

表3总体防护体系层面脆弱性赋值标准

表4其它层面脆弱性赋值标准

e）按照GB/T31509一2015给出的风险计算方法，根据识别出的资产、威胁和各层面脆弱性 计算和分析各层面的安全风险。

8.4.3系统整体脆弱性评估与赋值

对信息系统的整体脆弱 赋值的其体方法如下： a）如果附录A中任一基本项未得分，则系统整体脆弱性赋值为“很高”，否则按以下b）～c）进 行评估与赋值： b 利用8.4.2c）计算出的系统各层面得分率，按照公式（3）计算系统的整体得分率：

Rsystem = E (Rli × Wi)

式中： Rsystem一一系统整体得分率； Rli一一系统在安全管理制度、安全管理机构、人员安全管理、信息系统安全管理、安全工作 机制、总体防护体系、物理安全、边界安全、网络安全、应用安全、数据安全、主机 安全、终端安全等13个层面的得分率； Wi一一为各层面的权重（见表2“权重”列）。 c）对照表5给出系统的整体脆弱性赋值和安全性评价

表5系统整体脆弱性赋值和评价标准

Q/GDW15962015

A.1管理脆弱性评估（200分）

A.1.1安全管理制度脆弱性评估（15分）

表A.1安全管理制度脆弱性评估

A.1.2安全管理机构脆弱性评估（15分）

表A.2安全管理机构脆弱性评估

Q/GDW1596—2015表A.2（续）序号评估项目评估要点分值评分细则符合要求得满分。没有明确第二2人员配备b）安全管理岗位应指定第一、第二责任人。责任人情扣分。a)应根据各个部门和岗位的职责明确授权审批符合要求得满分。没有明确相关事项、审批部门和批准人等。审批事项、部门酌情扣分。b）应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序；按照审批程序执无审批程序扣1分。发现1个无3授权和审批审批记录的操作扣0.2分，扣完为行审批过程，对重要活动建立逐级审批制度，记录审批过程并保存审批文档。止。发现1次无两票记录操作扣0.2c）应制定并严格执行操作票、工作票制度。2分，扣完为止。a）应加强各类管理人员之间、组织内部机构之符合要求得满分。无沟通合作机间以及信息职能部门内部的合作与沟通，定期或制扣1分。每年沟通次数少于3次不定期召开协调会议，共同协作处理信息系统安4沟通和合作扣0.5分，少于2次扣1分。全问题。b）应加强与兄弟单位、公安机关、专业机构、符合要求得满分。无沟通合作机上级主管部门的合作与沟通。制扣1分。应制定安全审核和安全检查制度规范安全审符合要求得满分。无规范扣0.55审核和检查核和安全检查工作，定期按照程序进行安全审核分。无活动记录扣0.5分。和安全检查活动。合计（安全管理机构脆弱性单项最高分值）15实际得分为上述各项得分之和。A.1.3人员安全管理脆弱性评估（30分）表A.3人员安全管理脆弱性评估序号评估项目评估要点分值评分细则a）应按照公司“三集五大”体系设计确定信没有任何文件明确相关要求不息系统建设、运行、使用等相关岗位的信息安全得分。文件规定不明确酌情扣分。岗位安全职责。1职责b）信息通信管理部门应设置专门的信息安全未设置专职岗位扣1分。未配置管理岗位，配备安全管理人员，明确安全工作职安全管理人员或未明确安全工作责。职责扣1分。发现1个无保密协议或未明确保a）应与关键岗位员工签订保密协议，明确信息安全保密的内容和职责。2密内容、职责的，扣0.5分，扣完日常安全为止。2管理b）应加强对员工使用的桌面办公终端、移动每年安全检查次数未达到2次，存储介质、文件资料等信息资产的日常安全管每少1次扣0.5分。理，定期组织安全检查，及时消除安全隐患。a）应在员工入职培训时组织开展信息安全培无信息安全内容扣1分，无培训训，宣贯公司信息安全管理要求。记录扣0.5分，扣完为止。3培训与考核b）应根据工作需要定期组织员工参加网络与信息系统安全培训和基础考试，定期对信息系统无培训记录扣0.5分，无考核记开发、运维等关键岗位的人员进行信息安全技能录扣0.5分。考核。10

Q/GDW1596—2015表A.3（续）序号评估项目评估要点分值评分细则a）信息通信管理部门应及时对离岗、离职人发现1个离岗离职人员账号扣员的账号及访问权限等进行调整或清理。0.5分，扣完为止。离岗离职4管理b）各相关部门应及时收回离岗离职员工使用的公司信息设备、软件、门禁卡、文件资料等物发现1例未及时回收资料、权限情况扣0.5分，扣完为止。品或资产，及时收回其使用权限。a）对承担公司核心信息系统规划、研发、运符合要求得满分。无安全培训和维管理等关键岗位人员开展安全培训和考核，对考核记录扣1分。对系统运维关键系统运维关键岗位建立持证上岗制度，明确持证岗位未建立持证上岗制度，未明确上岗要求。持证上岗要求扣1分。关键岗位人5员安全管理b）对关键岗位人员应在离职时严格办理离职手续、签署“离职保密承诺书”并承诺继续保守发现1例离职未签署保密协议公司企业秘密，所在部门应明确告知其在离职后扣0.5分，扣完为止。的信息安全保密责任。a）应加强对临时来访第三方人员和常驻外来符合要求得满分，不符合酌情扣工作人员的信息安全管理，分。b）应加强第三方人员的出入登记和接待管理，严格控制第三方人员活动区域。对临时来访第三方工作人员应核对其身份并进行登记，限制在会无登记手续不得分。发现1例不客区域活动。对常驻外来工作人员，可根据工作符合要求扣0.5分，扣完为止。需要授予其有时间和活动区域限制的临时出入证件。c）第三方人员进入机房等重要区域应办理审发现1例不符合要求扣0.5分，批登记手续并由相关管理人员全程陪同。扣完为止。d）应选择安全可靠的第三方服务提供商并与发现1例不符合要求扣0.5分，其签订保密协议。2扣完为止。外来人员安6全管理e）应对常驻外来工作人员的相关专业资质进发现1例不符合要求扣0.2分，行审核，告知其公司信息安全管理要求。扣完为止。f）对在工作中可能会接触到公司商业秘密信发现1例不符合要求扣0.5分，息的第三方人员应签订保密协议。扣完为止。g）应根据工作需要为常驻外来工作人员统发现1例不符合要求扣0.5分，配备计算机信息设备，为其分配IP地址，并由扣完为止。信息通信管理部门备案。h）应限制第三方的计算机等信息设备接入公司信息网络。确因工作要求需要，应由业务主管部门和信息通信管理部门审批，由信息运维机构发现1例不符合要求扣0.5分，对其设备进行安全检查后准予接入；在工作完成扣完为止。后应及时停止其接入权限并确认设备中没有存储公司生产和运营的商业秘密信息合计（人员安全管理脆弱性单项最高分值）30实际得分为上述各项得分之和。11

Q/GDW15962015

表A.4信息系统安全管理弱性评估

Q/GDW1596—2015表A.4（续）序号评估项目评估要点分值评分细则a)系统研发单位应建立内部安全测试机制，完善内部安全测试手段，在单一模块无内部安全测试记录扣0.5分，完成、多模块集成及发布前等关键节点进重要系统无代码审核记录扣0.5行内部安全测试；定期组织代码审核，全系统分。面开展代码安全检测。开发4）内部测试管理无代码安全检测证明扣1分。代b）总部统推系统应进行代码安全检测，未经过测试的系统不允许进行上线前功能码安全检测与系统版本不一致或检测代码不完整酌情扣分，扣完为和安全测评。止。系统上线前，系统研发单位应组织进行无第三方安全测试证明不得分。1）第三方安第三方安全测试，包括安全功能测试、代遗留1个高风险缺陷扣0.5分，1全测试码安全检测等内容，发现并修复深层次代个中风险缺陷扣0.2分，1个低风码安全漏洞、预置安全后门等风险。险缺陷扣0.1分，扣完为止。a)系统研发单位应严格按照公司软件著作权管理要求及时进行软件著作权资料的无资料移交证明不得分。提交代移交，并确保提交资料的真实性、完整性码与测试代码版本不一致酌情扣系统和可用性，确保提交代码与安全测试通过分。6测试管理代码版本一致。2）软件著作b)未完成软件著作权资料移交不应上线权管理试运行，分步进行移交应确保与上线版本无资料移交证明不得分。移交资料与上线版本不一致酌情扣分。一致。c)项目实施单位应采用公司软件著作权未采用统一发布程序进行安装管理系统统一发布的程序进行系统上线安装部署和升级完善。和部署不得分。a）系统上线前，系统实施单位应会同系统研发单位、信息运维机构共同制定安全无安全防护实施方案不得分。实防护实施方案，并按照方案开展安全防护施方案不完善酌情扣分。1）安全建设建设。b）系统实施单位应对系统进行安全加固，并配合运维单位对运行环境进行风险无安全配置加固记录不得分。记录不完善酌情扣分。评估及安全加固。系统a）系统安装调试完成后，信息运维机构1上线应组织系统实施单位和第三方安全测试机无安全评估记录不得分。未根据构对系统及其运行环境进行安全评估，并评估记录完成整改酌情扣分。管理2）上线试运形成相关记录和报告。行测试b）信息系统在完成上线试运行测试前，符合要求得满分，不符合酌情扣不应对外提供服务。分。系统试运行期间应按照在运系统对待，按照公司信息系统运行维护的有关安全管3）试运行安发现1例不符合公司信息系统运理规定，配置安全策略、账号及访问权限、维有关安全管理规定情况扣0.2全管理定期备份重要数据，保证系统及用户数据分，扣完为止。的安全，并对系统运行状态进行监测。14

Q/GDW1596—2015表A.4（续）序号评估项目评估要点分值评分细则系统试运行期间确认运行稳定并经信息通信管理部门审批后，系统实施单位应无审批记录扣1分，无移交记录4）运行管理向信息运维机构移交系统管理账号和权权限移交扣1分。移交记录不全情扣分，限，清理开发、测试过程中使用的临时账系统最多扣1分。号及权限，对系统安全架构、安全运维内7上线容进行培训和交底。管理系统试运行结束后，应由相关业务部门5）审查及备会同信息运维机构共同组织对系统进行审查，审查通过并报信息通信管理部门备无审查记录和备案记录扣1分。案案后方可正式上线运行。a）应严格执行机房管理有关规范，确发现1例不符合要求扣0.2分，保机房运行环境符合要求，严格机房出入扣完为止。管理。b）非机房管理人员进入机房应办理申请和批准手续，经机房值班人员核准后在发现1例不符合要求扣0.2分，工作负责人陪同下方可进入，并在离开机扣完为止。房时向机房值班人员报告，办理相关手续。1)机房出入c）进入机房人员需操作机柜内设备，管理应在相关手续中明确所需操作的设备和具体操作。机房值班人员应通过监视摄像发现1例不符合要求扣0.2分，系统对进入机房人员的活动进行监视，对扣完为止。超出许可活动范围和违反机房管理的行为及时制止，录像保存时间不小于3个月。d）外来工作人员进入计算机机房应由业务部门或机房运维单位接待人员负责发现1例不符合要求扣0.5分，系统为其办理进出机房审批，登记并由接待人扣完为止。8运行员全程陪同。管理a）应严格执行系统变更、系统重要操发现1例不符合要求扣0.5分，作、物理访间和系统接入申报和审批程序，严格执行工作票和操作票制度。扣完为止。b）应按照最小权限原则为信息系统运维人员分配管理账号，确保操作系统的超发现1例不符合要求扣0.2分，级管理员与数据库系统特权用户的权限分离，确保应用系统的系统管理角色、业扣完为止。务操作角色的权限分离。2）安全配置管理c）应加强远程运维管理，严格限制通过互联网或信息外网远程运维方式进行发现1例不符合要求扣0.2分，设备和系统的维护工作。内网远程运维应扣完为止。履行审批程序，并对各项操作进行监控、记录和审计。d）应指定专人负责信息系统核心部分（骨干网络设备、重要数据库系统和重要未指定专人负责扣1分。业务应用系统）的配置管理和操作。15

Q/GDW15962015

Q/GDW1596—2015

Q/GDW15962015

A.1.5安全工作机制脆弱性评估（50分）

表A.5安全工作机制脆弱性评估

Q/GDW1596—2015

Q/GDW15962015

Q/GDW15962015

Q/GDW15962015

A.2技术脆弱性评估（250分

A.2.1总体防护体系脆弱性（30分）

表A.6总体防护体系脆弱性评估

Q/GDW1596—2015表A.6（续）序号评估项目评估要点分值评分细则f）对政府、银行等第三方机构网络接入国家电未部署硬件防火墙等网络访问网公司信息网络的边界，应采用硬件防火墙等设备控制设备不得分，未采取入侵检测/防御设备扣1分。安全策略配置不进行网络隔离，并采取入侵检测和防御等措施：合适酌情扣分。3边界g）对专控类、作业类、采集类等专用终端接入信息内网的边界，应采用国家电网公司专用安全接未采用公司专用安全接入装置不得分。入装置进行接入。a）应按照“同级系统统一成域”的原则将信息发现1个二级系统部署在三级系系统部署到相应级别的安全域中，并按照其安全等统域内扣0.5分，发现1个三级系级进行防护：统在二级域内扣1分，扣完为止。应用和数据b）对二级系统和三级系统共用的数据，应按照二级、三级系统共用数据保护未三级系统要求进行防护。达到三级要求不得分。对二级系统域和三级系统域共用的主机（如数据二级、三级系统共用数据保护未5主机存储设备）应按照三级系统要求进行防护。达到三级要求酌情扣分。合计（总体防护体系脆弱性单项最高分值）30实际得分为上述各项得分之和。A.2.2物理安全脆弱性评估（20分）表A.75物理安全脆弱性评估序号评估项目评估要点分值评分细则a）机房和办公场地应选择在具有防震、防风和机房建筑不具备防震、防风、防0.5防雨等能力的建筑内。雨能力不得分。物理位置选择b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁，如不可避免，应采取A、B级机房不符合要求不得分；0.5其它机房不符合要求酌情扣分。有效防水等措施a）机房各出入口应安排专人值守或配置电子门机房出入口无访问控制措施不禁系统，重要区域应配置电子门禁系统，控制、鉴得分；重要区域无访问控制措施扣别和记录进出的人员、进出时间、操作活动等、0.5分。无申请审批流程、记录不得分：b)进入机房的来访人员应经过申请和审批流程，审批记录不完善酌情扣分；无监控物理访问并限制和监控其活动范围。措施扣0.5分。2控制c）应对机房划分区域进行管理，区域和区域之未划分区域不得分：区域之间无间应用物理方式隔断，在重要区域前设置交付或安物理隔断扣0.5分；重要区域无过装等过渡区域。渡区域扣0.5分。符合要求得满分。不符合酌情扣d）开发测试环境应与办公环境分离。分。符合要求得满分。不符合酌情扣a）应将主要设备放置在机房内。0.5分。防盗窃和防b）室外设备应放置于室外机柜/机箱内，机柜/发现1例不符合扣0.2分，扣完3破坏机箱的外壳门应安装防盗锁。0.5为止。c）应将设备或主要部件进行固定，并在设备、发现1例标识不清楚、详细的扣线缆、机柜等上设置详细的标识。0.50.1分，扣完为止。23

Q/GDW1596—2015表A.7（续）序号评估项目评估要点分值评分细则d）应将通信线缆铺设在隐蔽处，可铺设在地下0.5或管道中。发现1例不符扣0.1分，扣完为止，e）应对介质分类标识，存储在介质库或档案室中。0.5发现1例不符扣0.2分，扣完为止。f）A、B级机房应采取红外防盗报警等声光电报无措施不得分，措施易被破坏酌防盗窃和警技术设置机房防盗报警系统。0.53情扣分。防破坏无措施不得分；存在盲点酌情扣g）机房应安装视频监控系统，监控范围没有言点。0.5分。无措施不得分：措施不妥酌情扣h）应在机房门口安装挡板，防止小动物进入。0.5分。a）机房、办公场所等建筑应安装、使用避雷针0.5无措施或措施不完善酌情扣分。等避雷装置。b）机房应设置防雷保安器，防止感应雷。0.5无措施或措施不完善酌情扣分。4防雷击c）机房交流电源应设置接地保护，各机柜等电位接地。0.5发现1例不符扣0.2分，扣完为止。d）室外设备存放机柜应安装防雷设备。0.5发现1例不符扣0.2分，扣完为止。无措施或不具备自动检测、报警a）A、B级机房应设置火灾自动消防系统，能够功能不得分。不具备自动灭火功能自动检测火情、自动报警，并具有自动灭火功能扣0.5分。5防火b）机房及相关的工作房间和辅助房应采用具有无措施不得分：措施不完善酌情0.5耐火等级的建筑材料。扣分。c）机房应采取区域隔离防火措施，将重要设备无措施不得分；措施不完善酌情与其他设备隔离开。0.5扣分。a）与主机房无关的给排水管道不得穿过主机房与主机房相关的给排水管道应有可靠的防渗漏措施。0.5根据发现渗漏隐患酌情扣分。b）应采取措施防止雨水通过窗户、屋顶和墙壁0.5根据发现渗漏隐患酌情扣分，渗透。防水和防潮c）机房应采取措施防止水蒸气结露和地下积水无措施不得分。根据发现渗漏隐0.5的转移与渗透患酌情扣分。d）A、B级机房内应安装对水敏感的检测仪表无检测和报警措施不得分；措施或元件进行防水检测和报警。0.5不完善情扣分。发现1例不符扣0.2分，扣完为a）主要设备应采用必要的接地防静电措施，0.5止。防静电符合要求得满分。不符合酌情扣b）机房应采用防静电地板。0.5分。A、B类机房应采用精密空调对温湿度进行自动无温湿度自动控制措施不得分。8温湿度控制控制。各类机房温湿度应符合Q/GDW1343—2140.5温度湿度与标准存在偏差的情扣要求。分。a）应在供电线路上配置稳压器和过电压防护设无稳压措施不得分，措施不完善0.5备。酌情扣分。b）应配备UPS等提供短期的备用电力供应，至少A、B级机房无备用电力供应措施满足主要设备在断电后2小时内的正常运行要求。0.5不得分。备用能力不足酌情扣分。9电力供应c）A、B级机房应设置余或并行的电力电缆线路为计算机系统供电，输入电源应采用双路自动0.5不满足要求酌情扣分。切换供电方式。d）A、B级机房应建立备用电源、发电车等备用供电系统。0.5无措施或措施不完善酌情扣分。24

表A.8边界安全脆弱性评估

Q/GDW15962015

A.2.4网络安全脆弱性评估（25分）

A.2.4网络安全脆弱性评估（25分》

表A.9网络安全脆弱性评估

Q/GDW15962015

A.2.5应用安全脆弱性评估（50分）

A.2.5应用安全脆弱性评估（50分）

表A.10应用安全脆弱性评估

Q/GDW1596—2015

Q/GDW15962015

Q/GDW15962015

GB/T 32368-2015 胶粘带耐高温高湿老化的试验方法A.2.6数据安全脆弱性评估（20分）

表A.11数据安全脆弱性评估

A1.2.7主机安全脆弱性评估（60分）

A.2.7.1操作系统安全（32分）

表A.12操作系统安全脆弱性评估

GB/T 38185-2019 商用车辆电子稳定性控制系统性能要求及试验方法Q/GDW15962015

A.2.8终端安全脆弱性评估（20分）

表A.14终端安全脆弱性评估