3.《教育行业网络安全管理工作自评估表》.docVIP

附件3 教育行业网络安全管理工作自评估表 单位名称： 评估指标 评价要素 评价标准 权重（V） 指标 属性 量化方法（P为量化值） 评估得分（V×P） 网络安全组织管理 网络安全 主管领导 明确一名主管领导负责本网络安全工作（主管领导应为本正职或副职领导）。 3 定性 已明确，本年度就网络安全工作作出批示或主持召开专题会议，P = 1； 已明确，本年度未就网络安全工作作出批示或主持召开专题会议，P = 0.5； 尚未明确，P = 0。 网络安全 管理机构 指定一个机构具体承担网络安全管理工作（管理机构应为本二级机构）。 2 定性 已指定，并以正式文件等形式明确其职责，P = 1； 未指定，P = 0。 网络安全员 各内设机构指定一名专职或兼职网络安全员。 2 定量 P = 指定网络安全员的内设机构数量与内设机构总数的比率。 网络 安全 日常 管理 规章制度 制度完整性 建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。 3 定性 制度完整，P = 1； 制度不完整，P = 0.5； 无制度，P = 0。 制度发布 安全管理制度以正式文件等形式发布。 2 定性 符合，P = 1；不符合，P = 0。 人员管理 重点岗位人员签订安全保密协议 重点岗位人员（系统管理员、网络管理员、网络安全员等）签订网络安全与保密协议。 2 定量 P = 重点岗位人员中签订网络安全与保密协议的比率。 人员离岗离职管理措施 人员离岗离职时，收回其相关权限，签署安全保密承诺书。 定性 符合，P = 1； 不符合，P = 0。 网络 安全 日常 管理 人员管理 外部人员访问管理措施 外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。 2 定性 符合，P = 1； 不符合，P = 0。 资产管理 责任落实 指定专人负责资产管理，并明确责任人职责。 2 定性 符合，P = 1；不符合，P = 0。 建立台账 建立完整资产台账，统一编号、统一标识、统一发放。 2 定性 符合，P = 1；不符合，P = 0。 账物符合度 资产台账与实际设备相一致。 2 定性 符合，P = 1；不符合，P = 0。 设备维修维护和报废管理措施 完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）。 2 定性 记录完整，P = 1； 记录基本完整，P = 0.5； 记录不完整或无记录，P = 0。 外包管理 外包服务协议 与信息技术外包服务提供商签订网络安全与保密协议，或在服务合同中明确网络安全与保密责任。 2 定性 符合，P = 1； 不符合，P = 0。 现场服务管理 现场服务过程中安排专人管理，并记录服务过程。 2 定性 记录完整，P = 1； 记录不完整，P = 0.5； 无记录，P = 0。 外包开发管理 外包开发的系统、软件上线前通过信息安全测评。 2 定量 P =外包开发的系统、软件上线前通过信息安全测评的比率。 运维服务方式 原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。 2 定性 符合，P = 1； 不符合，P = 0。 经费保障 经费预算 将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。 3 定性 符合，P = 1； 不符合，P = 0。 网络 安全 日常 管理 网站内容 管理 网站信息发布 网站信息发布前采取内容核查、审批等安全管理措施。 2 定性 符合，P = 1； 不符合，P = 0。 电子信息 管理 介质销毁和信息消除 配备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储介质进行销毁。 1 定性 符合，P = 1； 不符合，P = 0。 信息 安全 防护 管理 物理环境 安全 机房安全 具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。 定性 符合，P = 1； 不符合，P = 0。 物理访问控制 机房配备门禁系统或有专人值守。 1 定性 符合，P = 1；不符合，P = 0。 网络边界 安全 访问控制 网络边界部署访问控制设备，能够阻断非授权访问。 3 定性 符合，P = 1； 有设备，但未配置策略，P = 0.5； 无设备，P = 0。 入侵检测 网络边界部署入侵检测设备，定期更新检测规则库。 定性 符合，P = 1； 有设备，但未定期更新，P = 0.5； 无设备，P = 0。 安全审计 网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。 定性 符合，P =