【正文】 安全 風險評估手冊 21 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) （ 4） 與企業(yè)發(fā)展相關的外部信息 文件批準與頒布 20 程序完整，及時 有效，所有文件批準與頒發(fā)人程序完整，根據(jù)上級規(guī)定制定相關制度和細則，根據(jù)上級制度及時修訂 ，扣標準分的 10%； ，此項不得分 《中國大唐集團公司標準化管理辦法》 文件發(fā)放與培訓 20 ，并告知相關人員管理要求； 試，人 員培訓計劃表 、 人員培訓記錄表 、人員考 試統(tǒng)計 表 、 人員考核記錄表 齊全 人員，扣標準分的 10%； ，扣標準分的 20%； 記錄表 不齊全， 每缺一項扣標準分的 10% 《中國大唐集團公司標準化管理辦法》 文件執(zhí)行與反饋 10 文件執(zhí)行中建立反饋渠道，收集文件執(zhí)行中存在的問題，為下一步修訂工作做好準未建立反饋渠道，此項不得分 《中國大唐集團公司標準化管理辦法》 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 22 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 備 文件變更與廢止 20 按要求做好變更與廢止工作， 處理廢除文件，要以一種受控的方法 進行 未及時變更與廢止 廢除文件 ，一份文件扣標準分的 2%，扣完為止 《中國大唐集團公司標準化管理辦法》 文件保存 10 按要求做好保存工作 丟失一份文件扣標準分的 2%， 扣完為止 《中國大唐集團公司標準化管理辦法》 文件回顧 10 ； 2. 按要求對文件進行審查，主要審查內(nèi)容： （ 1）文件頒布與執(zhí)行時間； （ 2）文件的版本與編號； （ 3）批準和發(fā)放控制； （ 4）解釋權； （ 5）變更與廢止； （ 6）強制性文件、法律法規(guī)要求和外部文件的接收、處理與反饋要求； （ 7)文件保存要求 未及時回顧文件，此項不得分 《中國大唐集團公司標準化管理辦法》 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 23 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 數(shù)據(jù)記錄建立 10 ，針對各項安全生產(chǎn)活動建立相應的數(shù)據(jù)記錄； 2. 各項 安全生產(chǎn)活動均應保存記錄，安全生產(chǎn)管理數(shù)據(jù)與記錄、安全生產(chǎn)作業(yè)活動數(shù)據(jù)與記錄、生產(chǎn)運行數(shù)據(jù)與記錄、安全生產(chǎn)星級管理體系運行數(shù)據(jù)與記錄完整 各項安全生產(chǎn)活動建立相應的數(shù)據(jù)記錄，記錄不完整扣標準分的 10% 《中國大唐集團公司標準化管理辦法》 數(shù)據(jù)記錄標識 10 按文件要求做好記錄標識 未作記錄標識，此項不得分 《中國大唐集團公司標準化管理辦法》 數(shù)據(jù)記錄審查 10 ； 數(shù)據(jù)與記錄完整性、準確性和及時性 重點審查以下內(nèi)容： （ 1)數(shù)據(jù)與記錄的可追溯性 ； （ 2)數(shù)據(jù)與記錄的存儲的安全性與使用的方便性 ； （ 3)數(shù)據(jù)與記錄的維護方式 ； （ 4)獲取信息的記錄 未做好記錄審查，此項不得分 《中國大唐集團公司標準化管理辦法》 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 24 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 數(shù)據(jù)記錄的回顧與處置 10 定期對數(shù)據(jù)記錄進行回顧、分析，按文件要求做好記錄處置與保存 未進行回顧、分析，此項不得分；發(fā)現(xiàn)一份文件未做記錄處置與保存，扣標準分的 10%，扣完為止 《中國大唐集團公司標準化管理辦法》 安全生產(chǎn)會議 60 管理制度 10 依據(jù)國家和集體相關規(guī)章制度要求，建立安全生產(chǎn)會議 管理制度 未建立安全生產(chǎn)會議管理制度，此項不得分 《中國大唐集團公司安全生產(chǎn)工作規(guī)定》 周期及時間 10 明確會議周期及時間，對安全生產(chǎn)委員會會議、安全生產(chǎn)分析會、安全監(jiān)督網(wǎng)例會、生產(chǎn)調(diào)度會等會議的時間及周期進行規(guī)定 對安全生產(chǎn)委員會會議、安全生產(chǎn)分析會、安全監(jiān)督網(wǎng)例會、生產(chǎn)調(diào)度會等會議未明確會議周期及時間，扣標準分的 10%，扣完為止 《中國大唐集團公司安全生產(chǎn)工作規(guī)定》 參與人員 10 明確參會人員及主持人 未明確參會人員及主持人，此項不得分 《中國大唐集團公司安全生產(chǎn)工作規(guī) 定》 會議議程 10 明確會議議程，會議議程要包括對安全生產(chǎn)問題的分析、安全措施的制定和落實情況的反饋 未明確會議議程，扣標準分的 50%；明確會議議程，無反饋，扣標準分的50% 《中國大唐集團公司安全生產(chǎn)工作規(guī)定》 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 25 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 召開與記錄 10 及時召開并做好記錄 未及時召開，此項不得分；召開但無記錄，扣標準分的 50% 《中國大唐集團公司安全生產(chǎn)工作規(guī)定》 信息發(fā)布 10 及時發(fā)布會議紀要或信息，并按會議要求指導安全生產(chǎn)工作 未及時發(fā)布會議紀要或信息，扣標準分的 10%；未按會議 要求指導安全生產(chǎn)工作，扣標準分的 10% 《中國大唐集團公司安全生產(chǎn)工作規(guī)定》 安全生產(chǎn)信息 90 管理制度 20 查閱國家和集團相關規(guī)章制度 ； ； ； ，不得分； ，不得分； ，不得分； ，不得分 《中國大唐集團公司重要政務信息管理辦法》 《中國大唐集團公司信息管理制度》 《中國大唐集團公司“創(chuàng)一流”管理信息系統(tǒng)工 作規(guī)定》 提出 10 保證及時、按時提出信息 信息未在規(guī)定時間內(nèi)提出的，不得分 審核 10 按級別審核信息，確保信息的正確無誤 ，不得分； ，不得分 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 26 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 傳遞 20 ； 行傳遞； ； ，不得分； ，不得分； 的，不得分，并扣標準分的 50%～100%； 4. 未按規(guī)定上報日常安全生產(chǎn)信息的，不得分 接收 10 查閱國家和集團相關規(guī)章制度 在規(guī)定時間內(nèi)接收信息 未在規(guī)定時間內(nèi)接收信息的，不得分 處理 10 查閱國家和集團相關規(guī)章制度 在規(guī)定時間內(nèi)處理信息 信息處理不及時或信息處理不當?shù)?，不得分，并扣標準分?50%～ 100% 反饋 10 在規(guī)定時間內(nèi)反饋信息 超出規(guī)定時間反饋信息或不反饋信息的，不得分 信息網(wǎng)絡安全 600 管理制度 100 查閱制度 1．查閱 網(wǎng)絡、系統(tǒng)及機房管理制度； 1．無相應制度不得分； 2．制度內(nèi)容不全扣 20%標準分 GB/T 202692020《信息安全技術信息系統(tǒng)安全管理要 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 27 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 2．管理制度應包括信息系統(tǒng)、設備運行、備份、安全管理、機房管理等內(nèi)容； 3．信息安全管理制度應對機構與職責，軟、硬件的安全措施，系統(tǒng)應用評估與考核進行規(guī)定 求》 信息設備安全管理 150 設備選型 10 查閱資料，現(xiàn)場檢查 1．查閱設備配置文件； 2．檢查設備配置情況 應 滿足設備使用需求 設備配置文件與使用需求不符扣 50%標準分 GB/T 202692020《信息安全技術信息系統(tǒng)安全管理要求》 設備檢測安裝 30 查閱資料，現(xiàn)場檢查 1．檢查設備資料，應使用經(jīng)國家信息安全測評機構認可的信息安全產(chǎn)品； 2．不直接采用境外密碼設備； 3．信息系統(tǒng)中的所有設備必須是經(jīng)過測評認證的合格產(chǎn)品； 設備不符合要求不得分 GB/T 202692020《信息安全技術信息系 統(tǒng)安全管理要求》 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 28 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 4．新選的設備應符合國家標準《數(shù)據(jù)處理設備的安全》、《電動辦公機器的安全》中規(guī)定的要求，其電磁輻射強度、可靠性及兼容性應符合現(xiàn)代安全管理等級要求 設備試運行與驗收 30 查閱資料 檢查設備驗收報告，新購設備必須經(jīng)過驗收 無記錄不得分 GB/T 202692020《信息安全技術信息系統(tǒng)安全管理要求》 設備登記 30 查閱資料 檢查設備臺賬記錄，新購設備應及時建立設備臺賬 1．無臺帳不得分； 2．臺帳內(nèi)容不全的扣 20%標準分 GB/T 202692020《信息安全技術信息系統(tǒng)安全管理要求》 GB/T 202712020《信息安全技術信息系統(tǒng)通用安全技術要求》 設備運行維護 50 查閱資料 檢查設備巡檢記錄，設備應每天進行巡檢，發(fā)現(xiàn)問題及時處理，并記錄設備運行日志 1．無記錄不得分； 2．記錄內(nèi)容不全的扣 20%標準分 GB/T 202692020《信息安全技術信息系統(tǒng)安全管理要求》 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 29 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) GB/T 197162020《信息技術信息安全管理實用規(guī)則》 軟件安全管理 200 需求提出與分析 10 查閱資料 1．查閱需求分析報告； 2．所有需求申請應由使用部門提出；涉及多個業(yè)務部門的，要經(jīng)過相關業(yè)務部門分析討論，并經(jīng)過分管領導審核 1．無記錄 不得分； 2．記錄不符合要求的扣 20%標準分 GB/T 202692020《信息安全技術信息系統(tǒng)安全管理要求》 軟件的采購、安裝與測試 20 查閱資料 1．查閱軟件系統(tǒng)安裝手冊、測試報告； 2． 軟件安裝應按照安裝手冊正確進行； 3．軟件系統(tǒng)必須經(jīng)過測試才能上線試運行 1．無記錄不得分； 2．記錄內(nèi)容不全的扣 20%標準分 同上 軟件的試運行與驗收 20 查閱資料 1．查閱軟件系統(tǒng)上線試運行報告； 2．檢查軟件系統(tǒng)驗收報告，驗收報告應包括功能測試、性能測試和安全測試 1．無報告不得分； 2．報告內(nèi)容不全的扣 20%標準分 同上 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 30 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 軟件的登記和保管 20 查閱資料 1． 檢查軟件臺帳記錄情況，軟件系統(tǒng)上線運行后應及時登記臺賬； 2．相關介質(zhì)和資料應安排專人負責保管 1．無臺帳不得分； 2．臺帳內(nèi)容不全的扣 20%標準分； 3．資料無專人保管的扣 20%標準分 同上 軟件的使用和維護 100 查閱資料 1．查閱軟件系統(tǒng)使用手冊、維護記錄； 2．每個信息系統(tǒng)應指定一個系統(tǒng)管理員； 3．系統(tǒng)管理人員應對軟件系統(tǒng)的組織、人員、權限等進行維護；對 數(shù)據(jù)庫等后臺支撐環(huán)境進行維護，保證系統(tǒng)正常運行； 4．系統(tǒng)管理員應每天對系統(tǒng)及相關設備進行巡檢，及時發(fā)現(xiàn)并處理問題 1．無記錄扣 20分； 2．記錄內(nèi)容不全的扣 20%標準分； 3．系統(tǒng)未指定管理員扣 20%標準分 同上 需求變更與升級 20 查閱資料 1．查閱需求變更單、更新記錄； 2．需求變更應經(jīng)過主管領導審批； 3．軟件系統(tǒng)升級后要及時更新記錄 1．無記錄不得分； 2．需求變更單不符合要求的扣 20%標準分； 3．記錄內(nèi)容不全的扣 20%標準分 同上 中國大唐集團公司 風 力發(fā)電企業(yè) 安全 風險評估手冊 31 序號 評估 項目 標準分 評估內(nèi)容及評估 方法 評估 標準 評估 依據(jù) 系統(tǒng)備份管理 10 查閱資料，現(xiàn)場檢查 1．查閱備份相關管理制度； 2．應建立定期備份機制，并按規(guī)定進行數(shù)據(jù)和系統(tǒng)備份 1．無相應制度扣 20%標準分； 2．備份不符合規(guī)定的扣 20%標準分 同上 網(wǎng)絡安全與防病毒管理 100 查閱制度，現(xiàn)場檢查 1．查閱防病毒策略、網(wǎng)絡安全防護策略、應急預案； 2．應建立統(tǒng)一的防病毒策略和應急預案； 3．每臺計算機都應實施防病毒措施并保證病毒庫實時更新； 4．實時控制系統(tǒng)應與 MIS網(wǎng)絡采取單向隔離措施，確保不受病毒和黑客侵入； 5．應建立統(tǒng)一的網(wǎng)絡安全防護策略和應急預案； 6．應 實行統(tǒng)一的固定 IP 地址管理； 7．網(wǎng)絡應通過防火墻接入互聯(lián)網(wǎng)，并建立實施網(wǎng)絡訪問策略 1．無相應策略和預案扣 20%標準分； 2．每一項不符合要求扣 20%標