网络安全管理工作自评估表
评估指标 评价要素 评价标准 权重指标 (V) 属性 量化方法(P为量化值) 评估得分 (V×P) 已明确,本年度就网络安全工作作出批示或主持召开专题会议,P = 1; 已明确,本年度未就网络安全工作作定性 出批示或主持召开专题会议,P = 0.5; 尚未明确,P = 0。 已指定,并以正式文件等形式明确其定性 职责,P = 1; 未指定,P = 0。 定量 P = 指定网络安全员的内设机构数量与内设机构总数的比率。 明确一名主管领导负责本单位网络安全工网络安全 作(主管领导应为本单位正职或副职领主管领导 导)。 网络安全组织管理 网络安全 指定一个机构具体承担网络安全管理工作。 管理机构 (管理机构应为本单位二级机构)网络安全联各内设机构指定一名专职或兼职网络安全络员 员。 建立网络安全管理制度体系,涵盖人员管制度完整性 理、资产管理、采购管理、外包管理、教育规章制度 培训等方面。 制度发布 安全管理制度以正式文件等形式发布。 3 2 2 3 2 网络 安全 日常 管理 制度完整,P = 1; 定性 制度不完整,P = 0.5; 无制度,P = 0。 定性 符合,P = 1;不符合,P = 0。 定量 P = 重点岗位人员中签订网络安全与保密协议的比率。 符合,P = 1; 不符合,P = 0。 重点岗位人重点岗位人员(系统管理员、网络管理员、员签订安全2 网络安全员等)签订网络安全与保密协议。 人员管理 保密协议 人员离岗离人员离岗离职时,收回其相关权限,签署安2 职管理措施 全保密承诺书。 定性 2
评估指标 人员管理 评价要素 评价标准 权重指标 (V) 属性 定性 量化方法(P为量化值) 符合,P = 1; 不符合,P = 0。 评估得分 (V×P) 外部人员访外部人员访问机房等重要区域时采取审2 问管理措施 批、人员陪同、进出记录等安全管理措施。 责任落实 建立台账 指定专人负责资产管理,并明确责任人职责。 2 定性 符合,P = 1;不符合,P = 0。 定性 符合,P = 1;不符合,P = 0。 定性 符合,P = 1;不符合,P = 0。 记录完整,P = 1; 定性 记录基本完整,P = 0.5; 记录不完整或无记录,P = 0。 定性 符合,P = 1; 不符合,P = 0。 资产管理 建立完整资产台账,统一编号、统一标识、2 统一发放。 2 账物符合度 资产台账与实际设备相一致。 网络 安全 日常 管理 设备维修维完整记录设备维修维护和报废信息(时间、护和报废管2 地点、内容、责任人等)。 理措施 与信息技术外包服务提供商签订网络安全外包服务协与保密协议,或在服务合同中明确网络安议 全与保密责任。 现场服务管现场服务过程中安排专人管理,并记录服外包管理 理 务过程。 2 2 若无外包则P均为1 外包开发管外包开发的系统、软件上线前通过信息安记录完整,P = 1; 定性 记录不完整,P = 0.5; 无记录,P = 0。 定量 P =外包开发的系统、软件上线前通过信息安全测评的比率。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 理 全测评。 2 原则上不得采用远程在线方式,确需采用运维服务方时采取书面审批、访问控制、在线监测、日式 志审计等安全防护措施。 经费保障
2 定性 经费预算 将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。 3 定性 2
评估指标 网络 安全 日常 管理 评价要素 评价标准 权重指标 (V) 属性 2 定性 量化方法(P为量化值) 符合,P = 1; 不符合,P = 0。 评估得分 (V×P) 网站内容 网站信息发网站信息发布前采取内容核查、审批等安布 全管理措施。 管理 配备必要的电子信息消除和销毁设备,对电子信息 介质销毁和变更用途的存储介质进行信息消除,对废信息消除 管理 弃的存储介质进行销毁。 1 符合,P = 1; 定性 不符合,P = 0。 符合,P = 1; 定性 不符合,P = 0。 定性 符合,P = 1;不符合,P = 0。 符合,P = 1; 定性 有设备,但未配置策略,P = 0.5; 无设备,P = 0。 符合,P = 1; 定性 有设备,但未定期更新,P = 0.5; 无设备,P = 0。 符合,P = 1; 定性 有设备,但未定期分析,P = 0.5; 无设备,P = 0。 定性 符合,P = 1; 不符合,P = 0。 物理环境 安全 具备防盗窃、防破坏、防雷击、防火、防水、机房安全 防潮、防静电及备用电力供应、温湿度控2 制、电磁防护等安全措施。 物理访问控机房配备门禁系统或有专人值守。 制 网络边界部署访问控制设备,能够阻断非访问控制 授权访问。 网络边界部署入侵检测设备,定期更新检入侵检测 测规则库。 网络边界部署安全审计设备,对网络访问安全审计 情况进行定期分析审计并记录审计情况。 互联网接入各单位同一办公区域内互联网接入口不超口数量 过2个。 1 信息 安全 防护 管理 3 网络边界 安全 2 2 2 2
网络安全管理工作自评估表
