网络自查表.docVIP

网络安全自查表 评估指标 评价要素 权重(V) 评价标准（P为量化值） 计分 （P*V） 分管领导 3 明确一名主管领导负责本部门网络安全工作。已明确，本年度就网络安全工作作出批示或主持召开专题会议，P=1;已明确，本年度未就网络安全工作作出批示或主持召开专题会议，P=0.5; 未明确，P=0。 责任部门 2 明确一个部门具体承担网络安全管理工作。（应为本单位二级机构 ）。已以正式文件等形式明确其职责，P=1;未明确，P=0。 信息安全员 2 各本单位及下属部门指定一名专职或兼职信息安全员。P=指定网络安全员的机构数量与机构总数的比率。 网络安全日常管理 规章制度 制度完整性 3 建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理 、教育培训等方面。制度完整，P=1；制度不完整，P=0.5；无制度,P=0。 制度发布 2 安全管理制度以正式文件等形式发布。符合，P=1;不符合，P=0。 人员管理 保密协议 2 重点岗位人员（系统管理员、网络管理员、网络安全员等）签订网络安全与保密协议。P=重点岗位人员中签订网络安全与保密协议的比率。 离岗管理 2 人员离岗离职时，收回其相关权限，签署安全保密 承诺书。符合，P=1；不符合，P=0。 到访管理 2 外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。符合，P=1；不符合，P=0。 资产管理 责任落实 2 指定专人负责资产管理 ，并明确责任人职责。符合，P=1；不符合，P=0。 建立台账 2 建立完整资产台账，统一编号、统一标识、统一发放。符合，P=1；不符合，P=0。 账物相符 2 资产台账和设备相一致。符合，P=1；不符合，P=0。 维修报废 2 完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）。记录完整，P=1；记录不完整，P=0.5；无记录，P=0。 经费保障 3 将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算 。符合，P=1；不符合，P=0。 外包管理 服务协议 2 与信息技术外包服务提供商签订网络安全与保密协议 ，或在服务合同中明确网络安全与保密责任。符合，P=1；不符合，P=0。 现场管理 2 现场服务过程中安排专人管理，并记录服务过程。记录完整，P=1；记录不完整，P=0.5；无记录 ，P=0。  开发管理 2 外包开发的系统、软件上线前通过信息安全测评。P=外包开发的系统、软件上线前通过信息安全测评的比率。 运维方式 2 原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。符合，P=1；不符合，P=0。 网络安全防护管理 物理环境 机房安全 2 具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。符合，P=1；不符合，P=0。 访问控制 1 机房配备门禁系统或有专人值守。符合，P=1；不符合，P=0。 边界安全 访问控制 3 网络边界部署访问控制设备，能够阻断非授权访问。符合，P=1；有设备。但未配置侧咧，P=0.5；无设备,P=0。 入侵检测 2 网络边界部署入侵检测设备 ，定期更新检测规则库。符合，P=1；有设备，但未定期更新，P=0.5；无设备，P=0。 安全审计 2 网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。符合，P=1；有设备，但未定期分析，P=0.5；无设备，P=0。 入口数量 2 同一办公区域内互联网接入口不超过2个。符合，P=1；不符合，P=0。 设备安全 恶意代码 2 部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。符合，P=1；有设备，但未定期更新，P=0.5；无设备，P=0。 漏洞扫描 2 定期对服务器、网络设备、安全设备等进行安全漏洞扫描。符合，P=1；不符合，P=0。 服务器 口令策略 1 配置口令策略保证服务器口令强度和更新频率。P=配置了口令策略的服务器比率。 服务器 安全审计 1 启用安全审计功能并进行定期分析。P=安全审计日志进行定期分析的服务器比率。 服务器 补丁更新 2 及时对服务器操作系统补丁和数据库管理系统补丁进行更新。P=补丁得到及时更新的服务器比率。 网络设备和安全设备 口令策略 1 配置口令策略保证网络设备和安全设备（指重要设备）口令强度和更新频率。P=网络设备和安全设备中配置了口令策略的比率。 终端计算机统一防护 2 采取集中统一管理方式对终端