大型电网企业风险防控信息系统安全管理实践

江西电力以风险防控为中心的信息系统安全管理是在“集中部署，分布应用”的信息系统结构下做出的一系列风险管控机制。江西电力结合国内信息系统安全防控实践和国家电网总部相关制度，融合美国哈佛大学经济学家乔·贝恩的SCP动态模型分析理念，构建了具有江西电力特色的信息系统安全管理框架。该框架以信息系统安全风险分析为前提，创立信息系统安全管理组织机构为基础，执行安全风险防控运作具体管理行为为关键，以安全绩效为导向实施的全过程信息系统安全风险防控管理，是一个动态的信息系统安全风险防控过程。主要做法如下：

（一）明晰信息系统安全风险类型及构成

江西电力在充分调查研究的基础上，确定了企业信息系统安全风险主要包括信息系统软件安全风险、硬件设备安全风险、员工安全意识薄弱及操作技能风险、科技防控水平风险和管理机制风险。

1.软件安全风险。信息系统软件安全风险主要有操作系统和业务系统两个层面的软件代码漏洞、升级、业务需求变更等引起的故障或缺陷风险；

2.硬件设备安全风险。硬件设备运行安全风险主要表现为硬件故障，如网络传输线缆损坏、集群节点失败、设备过热、设备物理损坏等。

3.员工安全意识薄弱及操作技能风险。企业信息安全的最大威胁来自内部员工，江西电力内部终端数量多，人员层次不同，流动性大，安全意识薄弱可能产生巨大的安全风险。造成的安全风险主要有内部用户有意、无意的破坏和误操作等造成损失的风险，如：滥用资源、恶意破坏信息、非授权访问、病毒泛滥、信息泄密等。

4.科技防控水平风险。对于信息安全，技术手段是必不可少的，掌握必要的技术和工具是风险控制的有效保障。没有技术保障，信息系统安全将十分脆弱，运维人员将陷入“救火员”的尴尬境地。如对有权访问公司网络的终端进行接入控制和身份认证及授权认证等技术保障手段。

5.管理机制风险。俗话说“信息安全，三分技术，七分管理”，江西电力除了做好技术手段防控风险外，意识到还必须健全相应的管理措施避免由于管理中存在的漏洞引起整个信息系统与网络的不安全。如从制度上确保定期更新系统管理员和重要数据访问密码等。

针对上述风险必须从多个方面进行防控，如尽可能采用国产设备和具有自主产权的操作系统，及时安装系统补丁、内外网物理隔离、改造网络架构，使其增加带宽和高交换处理能力等、从管理制度、技术培训、法律法规教育、安全审计、应急及灾备措施等多方面进行防范与控制。

（二）构筑扁平高效的安全风险防控组织机构

江西电力目前已经建成“集中部署，分布应用”的信息系统部署结构，该结构决定了信息系统安全管理必须形成“大集中、全覆盖”的管理模式。为明确各管理部门职能定位，简化管理层级，建立科学、规范的信息安全管理体系，提高整个公司信息系统安全管理效率和效益，需要构建一个与国家电网公司信息系统调度运行体系相适应的集中、统一、精益、高效的信息安全组织机构，为信息系统安全风险防控提供组织保障。为此，江西电力制定了扁平化的两级组织管理机构。

省公司为大集中一级信息系统运维组织，承担安全的管理控制、技术创新和安全督查；地市、县公司为分布式二级信息系统运维组织，由各单位设一至两名信息安全员，进行信息系统应用安全、终端安全和网络安全维护。

信息通信分公司作为江西电力直属的专业运营与管理单位成立了信息安全工作组，统领全省信息安全工作，对信息系统安全的各个方面进行集约化管理。同时设立安全技术创新组进行技术研究开发，设立绩效考核组进行安全管理考核。江西省电力科学研究院作为江西电力的直属科研机构负责成立信息安全督查组对信息安全工作的落实情况进行“横向到边，纵向到底”的督查。

（三）建立三维结构信息系统安全管理制度及标准

1.从目标、制定、执行三个维度构建信息安全管理制度。江西电力以安全管理制度的时效性和实用性为出发点，分别从达成目标、制定流程和执行过程三个维度建立和完善管理制度。

目标维，即目标导向化，主要指制定的信息系统安全管理制度，必须达到预期的目标。信息系统安全管理目标主要分两大类，一是降低普遍意义上的信息系统安全风险，例如《信息系统调度监控管理制度》最直接的目标是加强信息系统安全风险监控；其次是满足国家电网公司对电力企业信息系统的安全要求。例如国家电网公司要求内外网物理隔离。对此，江西电力制定了《信息系统安全违章考核实施细则》，将安全措施落到实处。

制定维，即制定流程化，主要是对形成安全管理制度的全寿命周期的各个环节，实施全过程的管理与控制，保证各项安全管理制度普适和实用，并能促进相关制度的不断优化发展。整个流程为安全风险分析、组织计划起草、试行征求意见、审核批准发布、制定备案制度、管理制度的修订和管理制度的废止。制度制定的指导原则基于标准化体系规定企业和员工安全行为，可以（应该）做什么，不可以（不应该）做什么。制度面向的对象为江西电力所有用户和江西电力有业务联系的所有客户。制度的范围根据制度类别不同而有所不同，运维类制度主要针对运维单位，应用类制度主要针对相关应用系统关键用户。

执行维，即执行过程化，主要基于整个信息系统安全管控，在制度编制完成的初期，将征求意见稿下发给相关部门及人员，根据反馈意见进行发布前的修编，发布的同时从上到下进行相关制度的宣贯，以加强制度的执行控制，并结合信息系统安全工作实际情况明确不同类型的管理制度的执行对象和具体要求，对制度执行效果加以监管考核，从而保证其最终制度执行效果。

例如，按三维系统结构，江西电力对日常信息应用系统运行安全制定了《江西电力公司信息系统运行管理规定》《江西省电力公司信息系统调度管理规定》；针对信息系统建设质量的安全把控制定了《江西省电力公司信息系统运维项目管理办法》；针对信息运维人员技术水平的提高制定了《江西省电力公司信息系统运维培训管理制度》；针对信息系统的数据安全制定了《江西省电力公司信息系统数据备份管理制度》；针对加强对信息外委人员的管理制定了《江西省电力公司信息系统外委运维厂商管理制度》；针对信息系统运行安全风险响应制定了《江西省电力公司信息系统应急预案》；针对信息系统安全考核指标制定了《江西省电力公司信息系统应用考核管理办法》《江西省电力公司信息系统安全违章考核实施细则》；等等。

2.编制符合信息系统运维模式的信息安全类标准体系。面对信息系统安全工作的长期性和适应性要求，江西电力结合国家电网企业标准化建设要求，以安全风险防控组织为基础，以标准化管理理念为指导，梳理健全符合公司信息系统运维模式的信息安全类标准体系。整个信息系统安全标准体系中包含技术标准、管理标准及工作标准。

技术标准方面：江西电力制定信息系统安全专业技术标准，排查安全隐患，信息安全设备及其相应人员的操作规范都要符合安全技术要求的规定。

管理标准方面：江西电力制定信息系统安全管理标准，比如对于信息系统应用层，规范信息系统的合理使用和系统使用授权。严格规定了“什么岗位，用哪些系统，拥有何种权限”，梳理和废除无效账号，加强信息系统的应用安全。对于信息系统平台层面，严格规定了操作标准和作业流程，从管理层面上杜绝了违规操作产生的信息系统运行安全风险。

工作标准方面：江西电力制定信息岗位工作标准，比如省信息通信分公司共完成104个岗位工作标准，涉及信息调度监控、业务应用运行检修、主机基础设施运行检修，网络与信息系统安全运行检修等各个方面。

（四）增强全员安全风险防控意识与能力

1.加强安全风险教育、提高安全风险防控意识。江西电力根据一切安全“以人为本”的理念，从安全意识上入手，从四个方面加大了安全教育培训力度。

首先，形成全员关注安全的良好氛围，以开展“安全周”、“安全月”和参加电力企业安全规程培训等活动形式，从领导层级进行安全知识和安全文化宣贯，同时增加员工参与安全工作的机会，增进员工对安全工作重要性的理解，渗透安全发展的理念。

其次，对信息系统运维人员，结合企业关键业务流程和管理方法，开展内部防控教育，健全信息系统安全反违章工作机制。

江西电力通过内部网站、电子显示屏、答卷等形式，广泛宣传开展反违章活动的重要性和活动进展情况。例如通过内部网站向各单位集思广益，征集了信息安全反违章措施70余条。公司根据征集结果，结合工作类别编制了《江西省电力公司反违章细则》，并进一步发文要求各单位分析以往违章造成的教训并总结经验、制定相应的奖惩制度，提高全员的安全风险防范意识。

第三，对于外委厂商和流动性较大的运维技术人员，江西电力利用安全制度上墙，签订保密协议，定期宣贯等具体措施，强化这些人员的信息安全意识。

2.加强专业培训、提高岗位技能水平。以信息专业培训、技术比武、岗位大练兵等形式，全面提升信息专业员工规范化、标准化、精细化工作水平。

信息系统专业培训方面，江西电力结合国家电网公司信息运维人员调考资料，组织人员收集材料，编写各类信息专业资料，并引进外部高级培训师进行全省统一集中的培训和依靠单位的信息化专家人才进行日常的培训，全面提升运维人员的信息技术水平。

技术比武方面，成立了专门的技术比武组织机构，并于每年年初制定比武时间、地点和技术比武实施计划。比武结果在江西电力内部进行通报，对表现优秀的个人给予一定的物质奖励，对个别技术不合格人员，通知其单位分管领导分析原因，如果岗位技术能力通过努力还达不到要求，进行人员调岗，不留信息系统安全技术漏洞。通过“以比促学、以比促用”培育出了一支高素质、高技能的员工队伍。

岗位大练兵方面，作为对信息专业培训的一项深化措施，不仅是积累员工的信息安全理论知识，而且要求立足岗位结合实战进行演练。有条件情况下，对信息系统的安全事件进行真实应急预案验证演练，在不具备条件的情况下，对信息系统的故障处理，通过假想进行模拟的沙盘应急演练。

（五）加强日常防控管理措施

1.规范信息系统日常安全审计。国家颁布的《计算机信息系统安全保护等级划分准则-GB17859-1999》、《企业内部基本控制规范》等法规文件中明确要求需要对信息系统进行审计与控制。实施前，江西电力在实际的信息系统运维中，往往只有当安全事故发生后才去看看日志对操作错误进行一下追踪记录，不能做到以审计为手段去审核运维操作的规范性和避免安全风险的再次发生。

建立信息系统安全风险防控机制后，江西电力从审计制度化、审计全面化、审计策略化“三化”上下功夫，既及时地监督运行人员的操作，审核操作的规范性，又防患于未然，从源头上避免安全风险的存在。

（1）进行全方位审计覆盖

安全管控组通过选择合适的审计软件产品，对信息网络层、主机层、应用层全方位实行安全审计，审计对象涉及信息网络设备运行状况、网络流量、主机操作系统、业务系统数据库和用户行为等。

以主机层操作系统安全审计为例：审计范围覆盖到服务器和重要客户端上的每个操作系统用户，审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件；审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等。审计软件能根据记录数据进行分析，生成审计报告。

经过梳理，江西电力审计系统已增加15个关键系统审计信息，包括ERP、人资管控、财务管控、基建管控、生产管理、应急管理、营销应用、数据中心、企业门户、IMS、内网邮件等。共添加52个系统用户，448个目标设备，25个设备组。

（2）采取动、静态审计相结合策略

江西电力信息安全审计包含主动扫描的动态审计和被动检查的静态审计。动态审计由系统按策略进行主动扫描，一旦发现出现信息安全漏洞，主动进行报警提示。静态审计要求运行人员按管理要求定时查阅日志文件，逐条核查操作过程，审计操作记录，还原操作步骤，一旦发现信息网络、信息设备、信息业务系统内部出现违规事件后，及时生成报警信息并触发报警，报警方式支持邮件、短信等方式。

2.实行24小时实时调度监控及预警分析。针对信息系统安全风险的防控，安全管控组成立信息调度运行监控中心，既担负运行监控，更担负对信息系统运行进行统一的调度管理。调度运行监控中心实行7x24小时调度监控值班和每日四次信息设备巡检制度，同时基于可视化平台，实现全面、实时、全景式的可视化监控，通过设计网络监控、应用监控、运行监控三类展示模式，展示100多个关键业务核心数据和网络拓扑数据，全面直观地反映了公司信息系统运行安全情况。

尤其对监控过程中发生的问题，信息调度员依托调控中心的统一信息调控平台，完善调度中心和运行检修人员的快速指挥通道，确保信息调令畅通和及时有效地事务处置。如信息调度管理流程：运行监控过程中一旦发现缺陷，调度人员通过《调度工作联系单》通知相应的检修消缺人员、检修消缺人员填写《信息系统检修计划申请单》、《检修工作票》和《检修操作票》，关键技术人员或者检修评审小组对“一单两票”审核确认后提交申请，调度员对检修计划综合权衡，确定合理的时间安排相关的检修。根据消缺检修的紧急程度不同，可以分为月度检修，周检修，临时检修甚至紧急抢修。

针对信息系统运行监控过程中的问题，除了及时通知相关检修人员进行消缺，信息调控中心还加强了调度运行值班日志、报表的规范化管理：完善了现有信息调度值班日报，扩展了安全运行指标。不仅定期进行日报、周报的编写，而且定期分析信息系统的运行情况，做到对预警的进一步分析判断，确保做到对信息系统运行工作的可控、在控、能控，保证了信息系统的安全稳定运行。

信息调度监控中心既提高了调运检人员预警消缺的规范性，也提高了联合处置能力，在安全风险防控方面发挥着重要的作用。

3.着力提升技术手段防控安全风险。江西电力鼓励技术人员从工作各个层面开展信息系统安全防范技术研究，从政策、资金、人力方面进行倾斜，尤其是充分重视高新技术人才的应用，把一批博士用到信息安全第一线，专门成立了信息安全技术创新组，对关键性的安全技术进行了针对性的自主研发并且形成了专利群成果。(www.xing528.com)

（1）传统人工巡检方式改变为智能化电子巡检

日常的信息设备巡检，多采用传统人工巡检方式，存在不安全的弊端，如随意性、不规范性、无法监督等。安全技术创新组利用物联网技术改变了这种传统方式。采用智能签封为信息设备统一进行标识，对信息设备的所有信息（安装、技术资料、动态运行信息、设备健康状况、设备变动、报废等）进行记录，同时，基于智能签封的自动识别技术产生标准化作业检测单，自动统计信息设备巡检的到位率，保证设备巡检的全面性，并且可实现对运行人员巡视情况的量化分析和管理，并对异常及时记录、消缺形成闭合管理，避免了人工巡检的不确定性和遗漏。

（2）创新安全登录和静态网页保护方法

技术创新组针对业务系统的技术要求研发了一系列成果。例如：研发的“点对点模式下安全登录方法”采用数字证书的方式识别和认证身份，与采用口令和用户名组合认证的方式相比具有更高的安全性，点到点系统结构与现有服务器/客户端方式相比运行效率更高；“基于应用层身份信息同步单点登录方法”在国网公司现有门户目录身份认证技术体系的基础上降低目录服务与业务系统的耦合度，使用时可以成批更新身份信息，降低服务器的负荷，辨别代理服务器真伪；“基于分布式哈希表的静态网页保护方法”提升了静态网页保护的安全性，采用哈希表网页存储备份结构实现快速查找备份网页，具有安全性高和运行效率高的特点。

（3）采取云计算技术快速恢复信息系统运行

安全技术创新组组织技术力量研究分析了云计算技术对现有信息系统可靠运行的关键提升点和关键技术，开发了基于云计算的业务应用支持系统，取代部分信息应用的HA双机热备机制。在提高应用的高可用性的同时，节省了使用率很低的备用服务器资源，提高了服务器资源的整体利用效率；实现了当数据库双机系统和应用服务器负载均衡节点失败后，采用云计算支持系统可以快速恢复，大幅提升了业务系统运行的可靠性和安全性。

4.多种方式并重强化信息系统安全督察机制。江西电力建立了信息系统安全督察机制，由安全督察组组织开展信息系统安全督查工作并负责督查整改的落实。督查考核指标包括：督查月报质量（上报及时性，月报内容的完整性）、督查整改单完成情况（上报及时性，月报内容的完整性）、安全通报次数（包括国网、省公司信息系统安全事件的通报）、专项督查完成情况（月度常态督查过程中开展的专项督查情况）、弱口令督查情况、远程渗透测试情况、远程配置核查、非法外联、外网邮箱弱口令情况、消缺率（各单位的消缺率）。

（1）常态督察与专项督察相结合

安全督察组组织开展信息系统安全常态督查工作，地市公司/县公司信息归口部门接受信息系统安全常态督查。地市公司需要开展的工作包括：开展对所属县公司月度常态督查；根据本月督查工作开展情况编制督查月报并上报安全督察组；积极配合安全督察组开展的弱口令、远程渗透测试、远程配置核查抽检。

安全督察组根据每月常态督查情况、每月信息系统安全动态等编制公司系统信息系统安全督查简报（月报），督查简报中对各被督查单位当月督查工作完成指标及综合情况进行评价。

江西电力的专项督查工作包含国家电网公司专项督查和江西公司专项督查（含年度督查）两部分。国家电网公司专项督查根据国网公司下发的信息系统安全年度专项督查有序开展；江西电力自行开展的专项督查根据江西电力信息系统安全实际情况决定，内容涉及办公区域、路由器与交换机、服务器、终端和制度规程等涉及信息系统安全的各方面。

（2）现场督察与远程督察相结合

安全督察组每月进行一次现场督察，另外根据月报汇总反映的问题进一步采用远程督查方式。远程督查手段包括弱口令、远程渗透测试和远程配置核查三种技术手段。每月各抽检2家。被督查的地市供电公司或直属单位接受并配合抽查。根据核查结果，安全督查组下发督查整改单，督促各单位积极开展常态督查整改，并落实最终整改情况。

（3）常见问题专项治理

除了常态督查和专项督查工作，江西电力还将专项治理工作作为信息系统安全工作的重要补充。例如：针对整改单整改不及时和整改不到位的现象，进行了整改单专项治理工作，提高了整改及时性和准确性；针对公司消缺率偏低的情况，开展了消缺率专项治理，使得江西电力连续6个月消缺率达到100%。

（六）建立应急和灾难后恢复机制

1.培养安全风险应急处置能力。为提高公司信息系统安全事件的应急处理能力，科学应对信息安突发事件，有效预防、及时控制和最大限度消除信息系统安全各类突发事件的危害和影响，保障网络、主机、信息系统等的实体安全、运行安全和数据安全，江西电力着重培养员工安全事件应急响应能力的锻炼。

（1）制定信息安全应急预案

江西电力制定了《江西省电力公司信息安全事件管理条例》、《江西省电力公司应急响应计划和业务连续性计划》、《江西省电力公司关键信息系统应急预案》。

（2）加强应急指挥管理

江西电力设立了应急指挥小组，信息安全突发事件应急工作由公司应急指挥小组统一领导和协调，遵照“统一指挥、各司其职、密切协同、科学处置”的原则协同配合、具体实施，完善应急工作体系和机制。

江西电力同时投入强大的科研力量完成了“江西电网省地县一体化应急指挥系统”的建设，利用该系统，江西电力有了科学、规范化的应急指导和指挥平台来加强应急工作的管理和演练。

（3）搭建反事故演练培训仿真系统

江西电力组织搭建了“具有反事故演练功能的信息调度员培训仿真系统”。该系统以生动的图文并茂形式展现信息调度的工作流程，将江西电力的调运要求和信息系统运行过程中的问题相结合进行演示，演练事故应急流程及处理要点，让信息运维人员切身体会到不规范的操作对整个信息安全将造成的影响和损失。

（4）定期组织应急演练

为提高信息安全突发事件应急响应水平，保持运行人员应急处置能力不下降，思想不放松，江西电力对信息安全应急演练常抓不懈。通过应急指挥系统和应急仿真培训的创立，江西电力实行省地县三级一体化应急演练，提升了演练效率，检验了应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。

借助应急响应常态化演习，江西电力进一步明确了应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善，同时锻炼了信息系统应急响应队伍。

2.数据备份和灾难恢复机制。江西电力认识到业务信息系统连续运行的重要性，数据备份作为数据保护的最后一道屏障，必不可少。为此，要求运维人员养成系统备份意识,掌握系统备份的各种方法。同时要求对关键业务系统数据制定备份策略，采用自动备份系统或制定备份脚本进行定时自动备份。备份类型有操作系统、数据库系统、关键业务数据；备份策略有：全备份、增量备份、差分备份。

震惊世界的美国“9.11”恐怖事件发生后，世贸大厦中各公司业务系统的快速恢复就依赖于他们已有的异地数据备份中心。作为重大灾难应急防护手段，江西电力按国家电网公司的典型设计要求建立了异地灾难备份通道，实现数据级容灾备份到上海容灾端。江西电力容灾备份分为数据库备份和存储备份，数据库备份包括ECC数据库、XI数据库、数据中心ODS、营销数据库、PMS数据库等，存储备份包括协同办公应用服务器、协同办公数据库、档案管理、综合管理数据库、数据仓库、数据交换、电力市场交易、Solution manager、员工报销、基建管控等。

（七）实施信息系统安全风险防控行为动态绩效考评

江西电力依据国家电网公司新的安全工作规程要求，专门成立绩效考核小组，制定考核标准，适时调整信息系统应用性以及可用性的考核指标，并实施考核。

1.以“严、细、准、实”为考评准则。严：即考核监督严格，绩效考核坚持公开、公正、公平的原则，严格按照公司的信息应用监管综合平台统计数据考核，考核的标准及奖惩细则都公布在信息应用监管综合平台，一旦出现安全问题，系统会及时反映，得到所有单位的有效监督，确保考核结果严格执行。

细：即考核方式细化，江西电力的做法是：将所有信息系统和网络运行指标全部细化为具体指标，业务系统不同细化的指标也不同，例如“门户系统”是所有系统的共同入口，考核的指标就是登录率，即单位的日登录人数与该单位授权人数的比率，而对于“协同办公系统”考核的则是业务数据如：发文流程实例平均数、流程实例平均办理时长、会议审批平均数、档案数字化率等等。通过指标的细化将所有监督检查的内容、时间、次数、范围全部量化，所有目标任务分解到单位、到人。

准：即“准”确考核运行数据，保证数据真实有效。江西电力在公司的信息应用监管综合平台展示各单位实时的业务信息应用情况，并将24小时调度监控数据以日报形式公布在该平台上，确保考核是公开、公正的、真实的，能全面地反映各地市、县及直属单位信息应用的真实情况。

实：即考核取得实效，通过绩效考核的激励作用，各单位你追我赶，不甘落后，纷纷采取措施提高业务应用水平，绷紧信息安全的弦，业务应用得到明显的深化和提高，促进了江西电力整体业务应用和运行安全达到一个新的水平。

2.实行“日查周报月评”制度。江西电力对全公司运维人员统一实行“日查周报月评”制度，具体内容为：

日查：每日进行安全工作自查。江西电力信息运维中心实现24小时的运维监控，每日反馈安全运行结果。日查的内容有违规外联情况、非计划停运次数及时间、信息调度检修和工作联系单情况等。

周报：每周进行安全工作上报，江西电力信息运维中心实行7*24小时的运维监控和业务系统应用运维周报，每周进行信息系统调度、监控、运维及应用统计。周报内容有周故障处理记录、计划检修情况、客户端安全防护检查情况（如是否安装防病毒软件）、违规外联、系统弱口令情况统计等。

月评：每月进行评分考核，对信息系统运维的整体情况进行奖惩，安全指标作为重点考核内容。

首先运维人员对当月信息系统运维情况编制详细的月报，包括信息系统运行总体情况、信息系统故障和缺陷情况及处理分析、信息系统在全省各单位应用情况、信息安全及保障情况（含网络边界安全防护事件、防病毒统计等）、信息系统的重要变更及工作情况等。然后根据统计情况进行月度考核。

以2011年11月报为例，图4为信息系统运维工单统计及月度同比，图5为电力生产管理系统应用情况，图6为安全运行情况统计（截图），图7为月度综合考核排名。

3.滚动修订信息系统运行和应用考核指标。绩效考核小组每个月分析影响信息系统安全的因素，动态新增和调节具体信息系统运行指标和信息系统应用指标的考核标准。

（1）评价指标的滚动修订出发点

为了更好地提升各信息系统应用水平，建立系统更实用化评价机制，持续推动和促进系统深化应用，加大考核的力度和精准度。

（2）评价指标的滚动修订的具体做法

以生产安全管理信息系统实用化评价指标为例，在全面总结前期生产管理信息系统实用化评价工作的基础上，结合新增应用功能进行了完善：评价指标从前期的5大定量指标到涵盖设备台账、缺陷、运行记录、设备检修、状态检修辅助决策、两票、状态监测、技改大修管理、报表管理和系统性能等10个方面共计67项指标，其中44项指标为评价指标。