网络安全管理工作自评估表

《网络安全管理工作自评估表》由会员分享，可在线阅读，更多相关《网络安全管理工作自评估表（6页珍藏版）》请在装配图网上搜索。

1、附件2网络安全管理工作自评估表评估指标评价要素评价标准权重（V）指标属性量化方法（P为量化值）评估得分（VxP）网络安全组织管理网络安全主管领导明确一名主管领导负责本单位网络安全工 作（主管领导应为本单位正职或副职领 导）。3定性已明确,本年度就网络安全工作作出 批示或主持召开专题会议，P = 1； 已明确,本年度未就网络安全工作作 出批示或主持召开专题会议，P = 0.5； 尚未明确,P = 0。网络安全管理机构指定个机构具体承担网络安全管理工作 （管理机构应为本单位二级机构）。2定性已指定，并以正式文件等形式明确其职责，P = 1；未指定，P = 0。网络安全联 络员各内设机构指定一名专职

2、或兼职网络安全员.2定量P =指定网络安全员的内设机构数量 与内设机构总数的比率.网络 安全 日常 管理规章制度制度完整性建立网络安全管理制度体系，涵盖人员管 理、资产管理、采购管理、外包管理、教 育培训等方面。3定性制度完整，P = 1； 制度不完整,P = 0。5； 无制度，P = 0。制度发布安全管理制度以正式文件等形式发布。2定性符合，P = 1；不符合，P = 0.人员管理重点岗位人员签订安全 保密协议重点岗位人员（系统管理员、网络管理员、 网络安全员等）签订网络安全与保密协议。2定量P =重点岗位人员中签订网络安全与 保密协议的比率。人员离岗离职管理措施人员离岗离职时，收回其相关权

3、限，签署 安全保密承诺书。2定性符合，P = 1;不符合，P = 0。评估指标评价要素评价标准权重（V）指标属性量化方法（P为量化值）评估得分（VxP）网络 安全 日常 管理人员管理外部人员访问管理措施外部人员访问机房等重要区域时采取审 批、人员陪同、进出记录等安全管理措施。2定性符合，P = 1;不符合，P = 0.资产管理责任落实指定专人负责资产管理，并明确责任人职 责。2定性符合,P = 1;不符合，P = 0。建立台账建立完整资产台账，统一编号、统一标识、 统一发放.2定性符合,P = 1;不符合,P = 0。账物符合度资产台账与实际设备相一致。2定性符合,P = 1;不符合，P =

4、0.设备维修维护和报废管理措施完整记录设备维修维护和报废信息（时间、 地点、内容、责任人等）。2定性记录完整,P = 1；记录基本完整，P = 0.5；记录不完整或无记录，P = 0。外包管理 若无外包则尸 均为1外包服务协 议与信息技术外包服务提供商签订网络安全 与保密协议，或在服务合同中明确网络安 全与保密责任。2定性符合，P = 1;不符合，P = 0。现场服务管 理现场服务过程中安排专人管理，并记录服 务过程。2定性记录完整，P = 1； 记录不完整，P = 0.5； 无记录，P = 0。外包开发管 理外包开发的系统、软件上线前通过信息安 全测评。2定量P =外包开发的系统、软件上线前

5、通过 信息安全测评的比率.运维服务方 式原则上不得米用远程在线方式，确需米用 时采取书面审批、访问控制、在线监测、 日志审计等安全防护措施.2定性符合，P = 1;不符合，P = 0。经费保障经费预算将网络安全设施运维、日常管理、教育培 训、检查评估等费用纳入年度预算。3定性符合，P = 1;不符合，P = 0。评估指标评价要素评价标准权重（V）指标属性量化方法（P为量化值）评估得分（VxP）网络 安全 日常 管理网站内容 管理网站信息发 布网站信息发布前米取内容核查、审批等安 全管理措施。2定性符合，P = 1;不符合,P = 0。电子信息 管理介质销毁和 信息消除配备必要的电子信息消除和销

6、毁设备，对 变更用途的存储介质进行信息消除，对废 弃的存储介质进行销毁。1定性符合，P = 1;不符合，P = 0。信息 安全 防护 管理物理环境 安全机房安全具备防盗窃、防破坏、防雷击、防火、防 水、防潮、防静电及备用电力供应、温湿 度控制、电磁防护等安全措施。2定性符合，P = 1;不符合，P = 0。物理访问控 制机房配备门禁系统或有专人值守。1定性符合，P = 1；不符合,P = 0。网络边界 安全访问控制网络边界部署访问控制设备，能够阻断非 授权访问。3定性符合，P = 1；有设备，但未配置策略，P = 0.5； 无设备,P = 0。入侵检测网络边界部署入侵检测设备，定期更新检 测规

7、则库.2定性符合，P = 1；有设备，但未定期更新，P = 0.5； 无设备，P = 0。安全审计网络边界部署安全审计设备，对网络访问 情况进行定期分析审计并记录审计情况。2定性符合，P = 1；有设备，但未定期分析，P = 0.5； 无设备，P = 0。互联网接入 口数量各单位同一办公区域内互联网接入口不超 过2个.2定性符合，P = 1； 不符合，P = 0.评估指标评价要素评价标准权重（V）指标属性量化方法（P为量化值）评估得分（VxP）设备安全恶意代码防 护部署防病毒网关或统一安装防病毒软件， 并定期更新恶意代码库.2定性符合，P = 1；有设备，但未定期更新，P = 0.5； 无设备

8、，P = 0。信息 安全 防护 管理设备安全设备漏洞扫 描定期对服务器、网络设备、安全设备等进 行安全漏洞扫描。2定性符合,P = 1； 不符合，P = 0。服务器口令策略配置口令策略保证服务器口令强度和更新 频率。1定量P=配置了口令策略的服务器比率。服务器安全审计启用安全审计功能并进行定期分析。1定量P =对安全审计日志进行定期分析的 服务器比率.服务器 补丁更新及时对服务器操作系统补丁和数据库管理 系统补丁进行更新。2定量P =补丁得到及时更新的服务器比 率。网络设备和安全设备口令策略配置口令策略保证网络设备和安全设备口 令强度和更新频率。1定量P =网络设备和安全设备（指重要设 备）中

9、配置了口令策略的比率。终端计算机统一防护米取集中统一管理方式对终端进行防护， 统一软件下发、安装系统补丁。2定性符合,P = 1； 不符合，P = 0。终端计算机接入控制米取技术措施（如部署集中管理系统、将IP 地址与MAC地址绑定等）对接入本单位 网络的终端计算机进行控制。1定性符合，P = 1；不符合，P = 0。应用系统 安全应用系统安全漏洞扫描定期对服务器、网络设备、安全设备等进 行安全漏洞扫描。2定性扫描周期小于1个月，P = 1； 扫描周期为2到3个月,P = 0。5； 扫描周期为4到6个月，P = 0。2； 其他，P = 0。评估指标评价要素评价标准权重（V）指标属性量化方法（P

10、为量化值）评估得分（VxP）门户网站防 篡改措施门户网站采取网页防篡改措施。2定性符合,P = 1； 不符合，P = 0.信息 安全 防护 管理应用系统 安全门户网站抗拒绝服务攻击措施门户网站采取抗拒绝服务攻击措施。1定性符合，P = 1；不符合，P = 0。电子邮件账号注册审批建立邮件账号开通审批程序，防止邮件账 号任意注册使用.1定性符合，P = 1；不符合，P = 0。电子邮箱账户口令策略配置口令策略保证电子邮箱口令强度和更 新频率。1定性符合,P = 1； 不符合，P = 0。邮件清理定期清理工作邮件.1定性符合，P = 1；不符合，P = 0。数据安全数据存储保 护采取技术措施（如加

11、密、分区存储等）对存 储的重要数据进行保护.2定性符合,P = 1； 不符合，P = 0。数据传输保 护采取技术措施对传输的重要数据进行加密 和校验。2定性符合，P = 1； 不符合,P = 0。数据和系统 备份采取技术措施对重要数据和系统进行定期 备份。2定性符合，P = 1；不符合,P = 0。数据中心、灾 备中心设立数据中心、灾备中心应设立在境内。1定性符合，P = 1；不符合，P = 0。网络安全应急管理应急预案制定网络安全事件应急预案（为部门级预 案，非单个信息系统的安全应急预案），并 使相关人员熟悉应急预案。2定性符合，P = 1； 不符合，P = 0。应急演练开展应急演练，并留存

12、演练计划、方案、 记录、总结等文档。2定性符合，P = 1； 不符合，P = 0.评估指标评价要素评价标准权重（V）指标属性量化方法（P为量化值）评估得分（VxP）应急资源指定应急技术支援队伍，配备必要的备机、 备件等应急物资。1定性符合，P=1；不符合，P = 0。网络安全应急管理事件处置发生网络安全事件后，及时向主管领导报 告，按照预案开展处置工作;重大事件及时 通报网络安全主管部门。2定性发生过事件并按要求处置，或者未发生过安全事件，P = 1；发生过事件但未按要求处置，P = 0。网络安全教育培训意识教育面向全体人员开展网络安全形势与警示教 育、基本技能培训等活动。3定量本年度开展活动

13、的次数N 3,P = 1；次数=2, P = 0。7；次数=1，P = 0.3；次数=0，P = 0。专业培训定期开展网络安全管理人员和技术人员专 业培训。3定量P =本年度网络安全管理和技术人员 中参加专业培训的比率.网络安全检查工作部署下发检查工作相关文件或者组织召开专题 会议，对年度检查工作进行部署。2定性符合，P = 1;不符合，P = 0。工作机制明确检查工作负责人、检查机构和检查人员.2定性符合，P = 1； 不符合,P = 0.技术检测使用技术手段进行安全检测。2定性符合，P=1;不符合，P = 0。检查经费安排并落实检查工作经费。2定性符合，P = 1；不符合，P = 0。合计