网络安全管理工作自评估表

来源：小侦探旅游网

附件2

网络安全管理工作自评估表

评估指标评价要素评价标准权重指标（V）属性量化方法（P为量化值）评估得分（V×P）明确一名主管领导负责本单位网络安全工网络安全作（主管领导应为本单位正职或副职领主管领导导）。网络安全组织管理网络安全指定一个机构具体承担网络安全管理工作。管理机构（管理机构应为本单位二级机构）网络安全联各内设机构指定一名专职或兼职网络安全络员员。建立网络安全管理制度体系，涵盖人员管制度完整性理、资产管理、采购管理、外包管理、教规章制度育培训等方面。制度发布安全管理制度以正式文件等形式发布。 3 已明确，本年度就网络安全工作作出批示或主持召开专题会议，P = 1；定性已明确，本年度未就网络安全工作作出批示或主持召开专题会议，P = 0.5；尚未明确，P = 0。已指定，并以正式文件等形式明确其定性职责，P = 1；未指定，P = 0。定量 P = 指定网络安全员的内设机构数量与内设机构总数的比率。 2 2 3 2 网络安全日常管理制度完整，P = 1；定性制度不完整，P = 0.5；无制度，P = 0。定性符合，P = 1；不符合，P = 0。定量 P = 重点岗位人员中签订网络安全与保密协议的比率。符合，P = 1；不符合，P = 0。重点岗位人重点岗位人员（系统管理员、网络管理员、2 员签订安全网络安全员等）签订网络安全与保密协议。人员管理保密协议人员离岗离人员离岗离职时，收回其相关权限，签署2 职管理措施安全保密承诺书。定性评估指标人员管理评价要素评价标准权重指标（V）属性定性量化方法（P为量化值）符合，P = 1；不符合，P = 0。评估得分（V×P）外部人员访外部人员访问机房等重要区域时采取审2 问管理措施批、人员陪同、进出记录等安全管理措施。责任落实建立台账指定专人负责资产管理，并明确责任人职责。 2 定性符合，P = 1；不符合，P = 0。定性符合，P = 1；不符合，P = 0。定性符合，P = 1；不符合，P = 0。记录完整，P = 1；定性记录基本完整，P = 0.5；记录不完整或无记录，P = 0。定性符合，P = 1；不符合，P = 0。资产管理建立完整资产台账，统一编号、统一标识、2 统一发放。 2 账物符合度资产台账与实际设备相一致。网络安全日常管理设备维修维完整记录设备维修维护和报废信息（时间、2 护和报废管地点、内容、责任人等）。理措施与信息技术外包服务提供商签订网络安全外包服务协与保密协议，或在服务合同中明确网络安议全与保密责任。现场服务管现场服务过程中安排专人管理，并记录服外包管理理务过程。 2 2 若无外包则P均为1 外包开发管外包开发的系统、软件上线前通过信息安记录完整，P = 1；定性记录不完整，P = 0.5；无记录，P = 0。定量定性 P =外包开发的系统、软件上线前通过信息安全测评的比率。符合，P = 1；不符合，P = 0。符合，P = 1；不符合，P = 0。理全测评。 2 2 原则上不得采用远程在线方式，确需采用运维服务方时采取书面审批、访问控制、在线监测、式日志审计等安全防护措施。经费保障经费预算将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。 3 定性评估指标网络安全日常管理评价要素评价标准权重指标（V）属性 2 定性量化方法（P为量化值）符合，P = 1；不符合，P = 0。评估得分（V×P）网站内容网站信息发网站信息发布前采取内容核查、审批等安布全管理措施。管理配备必要的电子信息消除和销毁设备，对电子信息介质销毁和变更用途的存储介质进行信息消除，对废信息消除管理弃的存储介质进行销毁。具备防盗窃、防破坏、防雷击、防火、防机房安全水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。物理访问控机房配备门禁系统或有专人值守。制网络边界部署访问控制设备，能够阻断非访问控制授权访问。网络边界部署入侵检测设备，定期更新检入侵检测测规则库。网络边界部署安全审计设备，对网络访问安全审计情况进行定期分析审计并记录审计情况。互联网接入各单位同一办公区域内互联网接入口不超口数量过2个。 1 符合，P = 1；定性不符合，P = 0。符合，P = 1；定性不符合，P = 0。定性符合，P = 1；不符合，P = 0。符合，P = 1；定性有设备，但未配置策略，P = 0.5；无设备，P = 0。符合，P = 1；定性有设备，但未定期更新，P = 0.5；无设备，P = 0。符合，P = 1；定性有设备，但未定期分析，P = 0.5；无设备，P = 0。定性符合，P = 1；不符合，P = 0。物理环境安全 2 1 信息安全防护管理 3 网络边界安全 2 2 2 评估指标评价要素评价标准权重指标（V）属性 2 量化方法（P为量化值）评估得分（V×P）设备安全恶意代码防部署防病毒网关或统一安装防病毒软件，护并定期更新恶意代码库。设备漏洞扫定期对服务器、网络设备、安全设备等进描行安全漏洞扫描。服务器配置口令策略保证服务器口令强度和更新口令策略频率。服务器启用安全审计功能并进行定期分析。安全审计符合，P = 1；定性有设备，但未定期更新，P = 0.5；无设备，P = 0。定性符合，P = 1；不符合，P = 0。 2 1 1 2 定量 P = 配置了口令策略的服务器比率。定量定量 P = 对安全审计日志进行定期分析的服务器比率。 P = 补丁得到及时更新的服务器比率。 P = 网络设备和安全设备（指重要设备）中配置了口令策略的比率。符合，P = 1；不符合，P = 0。符合，P = 1；不符合，P = 0。信息安全防护管理设备安全服务器及时对服务器操作系统补丁和数据库管理补丁更新系统补丁进行更新。网络设备和配置口令策略保证网络设备和安全设备口安全设备口令强度和更新频率。令策略终端计算机采取集中统一管理方式对终端进行防护，统一防护统一软件下发、安装系统补丁。采取技术措施（如部署集中管理系统、将终端计算机 IP地址与MAC地址绑定等）对接入本单接入控制位网络的终端计算机进行控制。 1 定量 2 定性 1 定性应用系统应用系统安定期对服务器、网络设备、安全设备等进全漏洞扫描行安全漏洞扫描。安全 2 扫描周期小于1个月，P = 1；扫描周期为2到3个月，P = 0.5；定性扫描周期为4到6个月，P = 0.2；其他，P = 0。评估指标评价要素评价标准权重指标（V）属性 2 定性量化方法（P为量化值）符合，P = 1；不符合，P = 0。评估得分（V×P）门户网站防门户网站采取网页防篡改措施。篡改措施门户网站抗拒绝服务攻门户网站采取抗拒绝服务攻击措施。击措施应用系统电子邮件账建立邮件账号开通审批程序，防止邮件账号注册审批号任意注册使用。安全电子邮箱账配置口令策略保证电子邮箱口令强度和更户口令策略新频率。邮件清理定期清理工作邮件。数据存储保采取技术措施（如加密、分区存储等）对护存储的重要数据进行保护。数据传输保采取技术措施对传输的重要数据进行加密护和校验。数据和系统采取技术措施对重要数据和系统进行定期备份备份。数据中心、灾数据中心、灾备中心应设立在境内。备中心设立制定网络安全事件应急预案（为部门级预应急预案案，非单个信息系统的安全应急预案），并使相关人员熟悉应急预案。应急演练开展应急演练，并留存演练计划、方案、记录、总结等文档。 1 符合，P = 1；定性不符合，P = 0。定性定性符合，P = 1；不符合，P = 0。符合，P = 1；不符合，P = 0。符合，P = 1；不符合，P = 0。符合，P = 1；不符合，P = 0。 1 1 1 2 2 2 1 信息安全防护管理定性符合，P = 1；不符合，P = 0。定性定性数据安全定性符合，P = 1；不符合，P = 0。符合，P = 1；定性不符合，P = 0。定性符合，P = 1；不符合，P = 0。符合，P = 1；不符合，P = 0。 2 网络安全应急管理 2 定性评估指标评价要素应急资源评价标准权重指标（V）属性定性量化方法（P为量化值）符合，P = 1；不符合，P = 0。评估得分（V×P）指定应急技术支援队伍，配备必要的备机、1 备件等应急物资。 2 网络安全应急管理发生网络安全事件后，及时向主管领导报事件处置告，按照预案开展处置工作；重大事件及时通报网络安全主管部门。面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。定期开展网络安全管理人员和技术人员专业培训。下发检查工作相关文件或者组织召开专题会议，对年度检查工作进行部署。发生过事件并按要求处置，或者未发定性生过安全事件，P = 1；发生过事件但未按要求处置，P = 0。本年度开展活动的次数≥3，P = 1；次数=2，P = 0.7；定量次数=1，P = 0.3；次数=0，P = 0。定量定性 P = 本年度网络安全管理和技术人员中参加专业培训的比率。符合，P = 1；不符合，P = 0。意识教育网络安全教育培训专业培训工作部署 3 3 2 2 2 2 - 网络安全检查明确检查工作负责人、检查机构和检查人工作机制员。技术检测使用技术手段进行安全检测。检查经费安排并落实检查工作经费。符合，P = 1；定性不符合，P = 0。定性符合，P = 1；不符合，P = 0。定性符合，P = 1；不符合，P = 0。 - - 合计

- -

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

全部栏目

网络安全管理工作自评估表