金融信息系统网络安全风险评估评估参考、资产识别与赋值表、威胁赋值表、资产风险值计算表参考样例、信息系统相关文档准备.pdfVIP

GB/T XXXXX—XXXX 附 录 A （资料性） 评估参考样例 A.1 网络安全制度防护脆弱性评估(235分) A.1.1 安全管理制度脆弱性评估(15分) 序号 评估项目 评估要点 分值 评分细则 有独立的方针策略文件且包含 a）应有适用于网络安全防护的总体方针和 所有内容，得满分。没有文件规定 安全策略，说明机构安全工作的总体目标、范围、 相关方针策略不得分。其它情况酌 原则和安全框架等。 2 情得分。 b）应有适用于信息系统日常管理的操作规程， 包括门禁、人员管理、访问控制、设备、恶意代 码防范、审计、数据及系统的备份、账号、培训 发现 1 个明显缺项扣 0.5 分，扣 1 制度体系 等管理细则。 3 完为止。 a）应根据总部颁发的网络安全通用管理制度， 在保持主体内容不变的前提下，结合自身实际编 发现 1 个制度的差异条款没有总 制差异性条款并报清总部审批。 2 部审批记录扣 0.5 分，扣完为止。 发现 1 个格式不规范制度扣 0.2 b）网络安全管理制度应具有规范的格式，并 分，发现 1 个无版本控制记录制度 进行版本控制。 2 扣 0.5 分，扣完为止。 c）网络安全管理制度应通过正式、有效的方式 发现 1 个未经正式发布的制度扣 2 制定和发布 发布并组织实施。 2 0.5 分，扣完为止。 应根据外部环境与客观情况的变化，定期组织 对安全管理制度进行适用性和有效性的评审、修 发现 1 个存在超过 3 年未评审和 3 评审和修订 订，评审期限不应超过 3 年。 4 修订的制度扣 0.5 分，扣完为止。 合计（安全管理制度脆弱性单项最高分值） 15 实际得分为上述各项得分之和。 A.1.2 安全管理机构脆弱性评估(15分) 序号 评估项目 评估要点 分值 评分细则 a）应明确网络安全管理的责任领导及其安 符合要求得满分。没有明确相关 全职责。 1 要求酌情扣分。 b）应明确网络安全管理岗位及其职责，明确该 符合要求得满分。没有明确相关 岗位人员要求。 1 安全管理岗位及其职责酌情扣分。 c）应明确信息系统