1、附件2网络安全管理工作自评估表评估指标评价要素评价原则权重(V)指标属性量化措施(P为量化值)评估得分(VP)网络安全组织管理网络安全主管领导明确一名主管领导负责本单位网络安全工作(主管领导应为本单位正职或副职领导)。3定性已明确,本年度就网络安全工作作出批示或主持召开专项会议,P = 1;已明确,本年度未就网络安全工作作出批示或主持召开专项会议,P = 0.5;尚未明确,P = 0。网络安全管理机构指定一种机构具体承当网络安全管理工作(管理机构应为本单位二级机构)。2定性已指定,并以正式文献等形式明确其职责,P = 1;未指定,P = 0。网络安全联系员各内设机构指定一名专职或兼职网络安全员
2、2定量P = 指定网络安全员的内设机构数量与内设机构总数的比率。网络安全平常管理规章制度制度完整性建立网络安全管理制度体系,涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。3定性制度完整,P = 1;制度不完整,P = 0.5;无制度,P = 0。制度发布安全管理制度以正式文献等形式发布。2定性符合,P = 1;不符合,P = 0。人员管理重点岗位人员签订安全保密合同重点岗位人员(系统管理员、网络管理员、网络安全员等)签订网络安全与保密合同。2定量P = 重点岗位人员中签订网络安全与保密合同的比率。人员离岗离职管理措施人员离岗离职时,收回其有关权限,签订安全保密承诺书。2定性符合
3、P = 1;不符合,P = 0。网络安全平常管理人员管理外部人员访问管理措施外部人员访问机房等重要区域时采用审批、人员陪伴、进出记录等安全管理措施。2定性符合,P = 1;不符合,P = 0。资产管理责任贯彻指定专人负责资产管理,并明确负责人职责。2定性符合,P = 1;不符合,P = 0。建立台账建立完整资产台账,统一编号、统一标记、统一发放。2定性符合,P = 1;不符合,P = 0。账物符合度资产台账与实际设备相一致。2定性符合,P = 1;不符合,P = 0。设备维修维护和报废管理措施完整记录设备维修维护和报废信息(时间、地点、内容、负责人等)。2定性记录完整,P = 1;记录基本完
4、整,P = 0.5;记录不完整或无记录,P = 0。外包管理若无外包则P均为1外包服务合同与信息技术外包服务提供商签订网络安全与保密合同,或在服务合同中明确网络安全与保密责任。2定性符合,P = 1;不符合,P = 0。现场服务管理现场服务过程中安排专人管理,并记录服务过程。2定性记录完整,P = 1;记录不完整,P = 0.5;无记录,P = 0。外包开发管理外包开发的系统、软件上线前通过信息安全测评。2定量P =外包开发的系统、软件上线前通过信息安全测评的比率。运维服务方式原则上不得采用远程在线方式,确需采用时采用书面审批、访问控制、在线监测、日记审计等安全防护措施。2定性符合,P = 1
5、不符合,P = 0。经费保障经费预算将网络安全设施运维、平常管理、教育培训、检查评估等费用纳入年度预算。3定性符合,P = 1;不符合,P = 0。网络安全平常管理网站内容管理网站信息发布网站信息发布前采用内容核查、审批等安全管理措施。2定性符合,P = 1;不符合,P = 0。电子信息管理介质销毁和信息消除配备必要的电子信息消除和销毁设备,对变更用途的存储介质进行信息消除,对废弃的存储介质进行销毁。1定性符合,P = 1;不符合,P = 0。信息安全防护管理物理环境安全机房安全具有防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。2定性符合,P
6、 = 1;不符合,P = 0。物理访问控制机房配备门禁系统或有专人值守。1定性符合,P = 1;不符合,P = 0。网络边界安全访问控制网络边界部署访问控制设备,可以阻断非授权访问。3定性符合,P = 1;有设备,但未配备方略,P = 0.5;无设备,P = 0。入侵检测网络边界部署入侵检测设备,定期更新检测规则库。2定性符合,P = 1;有设备,但未定期更新,P = 0.5;无设备,P = 0。安全审计网络边界部署安全审计设备,对网络访问状况进行定期分析审计并记录审计状况。2定性符合,P = 1;有设备,但未定期分析,P = 0.5;无设备,P = 0。互联网接入口数量各单位同一办公区域内互
7、联网接入口不超过2个。2定性符合,P = 1;不符合,P = 0。设备安全歹意代码防护部署防病毒网关或统一安装防病毒软件,并定期更新歹意代码库。2定性符合,P = 1;有设备,但未定期更新,P = 0.5;无设备,P = 0。信息安全防护管理设备安全设备漏洞扫描定期对服务器、网络设备、安全设备等进行安全漏洞扫描。2定性符合,P = 1;不符合,P = 0。服务器口令方略配备口令方略保证服务器口令强度和更新频率。1定量P = 配备了口令方略的服务器比率。服务器安全审计启用安全审计功能并进行定期分析。1定量P = 对安全审计日记进行定期分析的服务器比率。服务器补丁更新及时对服务器操作系统补丁和数据
8、库管理系统补丁进行更新。2定量P = 补丁得到及时更新的服务器比率。网络设备和安全设备口令方略配备口令方略保证网络设备和安全设备口令强度和更新频率。1定量P = 网络设备和安全设备(指重要设备)中配备了口令方略的比率。终端计算机统一防护采用集中统一管理方式对终端进行防护,统一软件下发、安装系统补丁。2定性符合,P = 1;不符合,P = 0。终端计算机接入控制采用技术措施(如部署集中管理系统、将IP地址与MAC地址绑定等)对接入本单位网络的终端计算机进行控制。1定性符合,P = 1;不符合,P = 0。应用系统安全应用系统安全漏洞扫描定期对服务器、网络设备、安全设备等进行安全漏洞扫描。2定性扫
9、描周期不不小于1个月,P = 1;扫描周期为2到3个月,P = 0.5;扫描周期为4到6个月,P = 0.2;其她,P = 0。门户网站防篡改措施门户网站采用网页防篡改措施。2定性符合,P = 1;不符合,P = 0。信息安全防护管理应用系统安全门户网站抗回绝服务袭击措施门户网站采用抗回绝服务袭击措施。1定性符合,P = 1;不符合,P = 0。电子邮件账号注册审批建立邮件账号开通审批程序,避免邮件账号任意注册使用。1定性符合,P = 1;不符合,P = 0。电子邮箱账户口令方略配备口令方略保证电子邮箱口令强度和更新频率。1定性符合,P = 1;不符合,P = 0。邮件清理定期清理工作邮件。1
10、定性符合,P = 1;不符合,P = 0。数据安全数据存储保护采用技术措施(如加密、分区存储等)对存储的重要数据进行保护。2定性符合,P = 1;不符合,P = 0。数据传播保护采用技术措施对传播的重要数据进行加密和校验。2定性符合,P = 1;不符合,P = 0。数据和系统备份采用技术措施对重要数据和系统进行定期备份。2定性符合,P = 1;不符合,P = 0。数据中心、灾备中心设立数据中心、灾备中心应设立在境内。1定性符合,P = 1;不符合,P = 0。网络安全应急管理应急预案制定网络安全事件应急预案(为部门级预案,非单个信息系统的安全应急预案),并使有关人员熟悉应急预案。2定性符合,P
11、 = 1;不符合,P = 0。应急演习开展应急演习,并留存演习筹划、方案、记录、总结等文档。2定性符合,P = 1;不符合,P = 0。应急资源指定应急技术增援队伍,配备必要的备机、备件等应急物资。1定性符合,P = 1;不符合,P = 0。网络安全应急管理事件处置发生网络安全事件后,及时向主管领导报告,按照预案开展处置工作;重大事件及时通报网络安全主管部门。2定性发生过事件并按规定处置,或者未发生过安全事件,P = 1;发生过事件但未按规定处置,P = 0。网络安全教育培训意识教育面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。3定量本年度开展活动的次数3,P = 1;次数=2,P = 0.7;次数=1,P = 0.3;次数=0,P = 0。专业培训定期开展网络安全管理人员和技术人员专业培训。3定量P = 本年度网络安全管理和技术人员中参与专业培训的比率。网络安全检查工作部署下发检查工作有关文献或者组织召开专项会议,对年度检查工作进行部署。2定性符合,P = 1;不符合,P = 0。工作机制明确检查工作负责人、检查机构和检查人员。2定性符合,P = 1;不符合,P = 0。技术检测使用技术手段进行安全检测。2定性符合,P = 1;不符合,P = 0。检查经费安排并贯彻检查工作经费。2定性符合,P = 1;不符合,P = 0。合计-
免费区 
