附件3
安徽省网络安全管理工作自评估表
评估指标 权重指标 评估得分 量化方法(P为量化值) (V) 属性 (V×P) 已明确,本年度就网络安全工作作出批示或主持召开专题会议,P = 1; 网络安全 明确一名主管领导负责本部门网络安全工作(主3 定性 已明确,本年度未就网络安全工作作出批 主管领导 管领导应为本部门正职或副职领导)。 示或主持召开专题会议,P = 0.5; 尚未明确,P = 0。 网络安全 指定一个机构具体承担网络安全管理工作(管理已指定,并以正式文件等形式明确其职责,2 定性 管理机构 机构应为本部门二级机构)。 P = 1;未指定,P = 0。 P = 指定网络安全员的内设机构数量与内网络安全员 各内设机构指定一名专职或兼职网络安全员。 2 定量 设机构总数的比率。 制度完整,P = 1; 建立网络安全管理制度体系,涵盖人员管理、资制度完整性 3 定性 制度不完整,P = 0.5; 产管理、采购管理、外包管理、教育培训等方面。 无制度,P = 0。 制度发布 安全管理制度以正式文件等形式发布。 2 定性 符合,P = 1;不符合,P = 0。 重点岗位人重点岗位人员(系统管理员、网络管理员、网络P = 重点岗位人员中签订网络安全与保密员签订安全2 定量 安全员等)签订网络安全与保密协议。 协议的比率。 保密协议 人员离岗离人员离岗离职时,收回其相关权限,签署安全保符合,P = 1; 2 定性 职管理措施 密承诺书。 不符合,P = 0。 外部人员访外部人员访问机房等重要区域时采取审批、人员符合,P = 1; 2 定性 问管理措施 陪同、进出记录等安全管理措施。 不符合,P = 0。 评价要素 评价标准 责任落实 指定专人负责资产管理,并明确责任人职责。 1
网络安全 组织管理 规章 制度 网络 安全 日常 管理 人员 管理
资产 2 定性 符合,P = 1;不符合,P = 0。 管理 建立台账 建立完整资产台账,统一编号、统一标识、统一2 定性 符合,P = 1;不符合,P = 0。 发放。 2 定性 符合,P = 1;不符合,P = 0。 账物符合度 资产台账与实际设备相一致。 设备维修维护和报废管理措施 外包服务协议 现场服务管理 外包 管理 外包开发管理 运维服务方式 经费 保障 经费预算 记录完整,P = 1; 完整记录设备维修维护和报废信息(时间、地点、2 定性 记录基本完整,P = 0.5; 内容、责任人等)。 记录不完整或无记录,P = 0。 与信息技术外包服务提供商签订网络安全与保密符合,P = 1; 2 定性 协议,或在服务合同中明确网络安全与保密责任。 不符合,P = 0。 记录完整,P = 1; 现场服务过程中安排专人管理,并记录服务过程。 2 定性 记录不完整,P = 0.5; 无记录,P = 0。 P =外包开发的系统、软件上线前通过网络外包开发的系统、软件上线前通过网络安全测评。 2 定量 安全测评的比率。 原则上不得采用远程在线方式,确需采用时采取符合,P = 1; 书面审批、访问控制、在线监测、日志审计等安2 定性 不符合,P = 0。 全防护措施。 将网络安全设施运维、日常管理、教育培训、检符合,P = 1; 3 定性 查评估等费用纳入年度预算。 不符合,P = 0。 网站 网站信息发网站信息发布前采取内容核查、审批等安全管理符合,P = 1; 内容 2 定性 布 措施。 不符合,P = 0。 管理 电子 配备必要的电子信息消除和销毁设备,对变更用介质销毁和符合,P = 1; 信息 途的存储介质进行信息消除,对废弃的存储介质1 定性 信息消除 不符合,P = 0。 管理 进行销毁。 信息
物理 机房安全 具备防盗窃、防破坏、防雷击、防火、防水、防2 定性 符合,P = 1; 2
安全 防护 管理 环境 安全 潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。 物理访问 机房配备门禁系统或有专人值守。 控制 不符合,P = 0。 1 定性 符合,P = 1;不符合,P = 0。 网络 边界 安全 设备 安全 符合,P = 1; 网络边界部署访问控制设备,能够阻断非授权访访问控制 3 定性 有设备,但未配臵策略,P = 0.5; 问。 无设备,P = 0。 符合,P = 1; 网络边界部署入侵检测设备,定期更新检测规则入侵检测 2 定性 有设备,但未定期更新,P = 0.5; 库。 无设备,P = 0。 符合,P = 1; 网络边界部署安全审计设备,对网络访问情况进安全审计 2 定性 有设备,但未定期分析,P = 0.5; 行定期分析审计并记录审计情况。 无设备,P = 0。 互联网 各单位同一办公区域内互联网接入口不超过2符合,P = 1; 2 定性 接入口数量 个。 不符合,P = 0。 符合,P = 1; 恶意代码 部署防病毒网关或统一安装防病毒软件,并定期2 定性 有设备,但未定期分析,P = 0.5; 防护 更新恶意代码库。 无设备,P = 0。 设备漏洞 定期对服务器、网络设备、安全设备等进行安全符合,P = 1; 2 定性 扫描 漏洞扫描 不符合,P = 0。 服务器 配臵口令策略保证服务器口令强度和更新频率。 1 定量 P = 配臵了口令策略的服务器比率。 口令策略 服务器 P = 对安全审计日志进行定期分析的服务启用安全审计功能并进行定期分析。 1 定量 安全审计 器比率。 服务器 及时对服务器操作系统补丁和数据库管理系统补2 定量 P = 补丁得到及时更新的服务器比率。 补丁更新 丁进行更新。 网络设备和配臵口令策略保证网络设备和安全设备口令强度1 定量 P = 网络设备和安全设备(指重要设备)3
应用 系统 安全 数据 安全 安全设备 和更新频率。 口令策略 终端计算机 采取集中统一管理方式对终端进行防护,统一软统一防护 件下发、安装系统补丁。 采取技术措施(如部署集中管理系统、将IP地址终端计算机 与MAC地址绑定等)对接入本单位网络的终端计接入控制 算机进行控制。 应用系统 定期对业务系统、办公系统、网站系统、邮件系安全漏洞 统等应用系统进行安全漏洞扫描。 扫描 门户网站 门户网站采取网页防篡改措施。 防篡改措施 门户网站 抗拒绝服务门户网站采取抗拒绝服务攻击措施。 攻击措施 电子邮件账建立邮件账号开通审批程序,防止邮件账号任意号注册审批 注册使用。 电子邮箱账配臵口令策略保证电子邮箱口令强度和更新频户口令策略 率。 邮件清理 定期清理工作邮件。 数据存储 采取技术措施(如加密、分区存储等)对存储的保护 重要数据进行保护。 数据传输 采取技术措施对传输的重要数据进行加密和校保护 验。 数据和系统采取技术措施对重要数据和系统进行定期备份。 备份 数据中心、灾数据中心、灾备中心应设立在境内。 4
中配臵了口令策略的比率。 符合,P = 1; 2 定性 不符合,P = 0。 符合,P = 1; 1 定性 不符合,P = 0。 扫描周期小于1个月,P =1; 2 定性 扫描周期为2至3个月,P =0.5; 扫描周期为4至6个月,P =0.2;其他,P=0。 符合,P = 1; 2 定性 不符合,P = 0。 符合,P = 1; 1 定性 不符合,P = 0。 符合,P = 1; 1 定性 不符合,P = 0。 符合,P = 1; 1 定性 不符合,P = 0。 1 定性 符合,P = 1;不符合,P = 0。 符合,P = 1; 2 定性 不符合,P = 0。 符合,P = 1; 2 定性 不符合,P = 0。 2 定性 符合,P = 1;不符合,P = 0。 1 定性 符合,P = 1;
网络安全 应急管理 备中心设立 制定网络安全事件应急预案(为部门级预案,非应急预案 单个信息系统的安全应急预案),并使相关人员熟悉应急预案。 开展应急演练,并留存演练计划、方案、记录、应急演练 总结等文档。 指定应急技术支援队伍,配备必要的备机、备件应急资源 等应急物资。 发生网络安全事件后,及时向主管领导报告,按事件处臵 照预案开展处臵工作;重大事件及时通报网络安全主管部门。 意识教育 面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。 不符合,P = 0。 符合,P = 1; 2 定性 不符合,P = 0。 符合,P = 1; 2 定性 不符合,P = 0。 符合,P = 1; 1 定性 不符合,P = 0。 发生过事件并按要求处臵,或者未发生过2 定性 安全事件,P = 1; 发生过事件但未按要求处臵,P = 0。 本年度开展活动的次数≥3,P = 1; 次数=2,P = 0.7; 3 定量 次数=1,P = 0.3; 次数=0,P = 0。 P = 本年度网络安全管理和技术人员中参3 定量 加专业培训的比率。 符合,P = 1; 2 定性 不符合,P = 0。 符合,P = 1; 2 定性 不符合,P = 0。 符合,P = 1; 2 定性 不符合,P = 0。 2 定性 符合,P = 1;不符合,P = 0。 网络安全 教育培训 定期开展网络安全管理人员和技术人员专业培训。 下发检查工作相关文件或者组织召开专题会议,工作部署 对年度检查工作进行部署。 专业培训 网络安全检查 工作机制 明确检查工作负责人,落实检查机构和检查人员。 技术检测 使用技术手段进行安全检测 检查经费 安排并落实检查工作经费。
5
安徽省网络安全管理工作自评估表
