1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 办公文档
  5. 办公软件应用

企业网络安全成熟度评价指标及权重表、评价内容表、满足情况评分表、评分等级表.docxVIP

企业网络安全成熟度评价指标及权重表、评价内容表、满足情况评分表、评分等级表.docx

    1. 1、本文档共6页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    STYLEREF标准文件_文件编号T/GZHLW001—2024

    STYLEREF标准文件_文件编号错误!使用“开始”选项卡将标准文件_文件编号应用于要在此处显示的文字。

    PAGE7

    PAGE1

    (规范性)

    企业网络安全成熟度评价指标及权重表

    一级指标

    二级指标(20个)

    权重(示例)

    战略与组织

    组织机构

    5%

    战略和架构

    5%

    策略与制度和流程

    5%

    资源保障

    5%

    技术与服务

    基础设施安全

    5%

    边界安全

    5%

    应用安全

    5%

    业务安全

    5%

    数据安全

    5%

    密码安全

    5%

    工控安全

    5%

    云安全

    5%

    终端安全

    5%

    物联网安全

    5%

    运行与管理

    管理平台

    5%

    安全运行

    5%

    合规与安全

    人员网络安全意识

    5%

    安全措施

    5%

    供应链安全

    5%

    国产化替代

    5%

    STYLEREF标准文件_文件编号T/GZHLW001—2024

    STYLEREF标准文件_文件编号错误!使用“开始”选项卡将标准文件_文件编号应用于要在此处显示的文字。

    PAGE9

    PAGE1

    (规范性)

    企业网络安全成熟度评价指标及评价内容表

    一级指标

    二级指标

    评价内容

    组织机构

    应明确一名分管领导负责本单位网络安全工作(分管领导应为本单位正职或副职领导),并有效履行职责。

    网络安全工作应成为本单位文化的组成部分,并以多种形式进行宣贯。

    应明确网络安全管理机构、网络安全联络员、职责以及相关人员名单,并确保这些人员有效履行职责。

    应通过正式的文件、统一的标准考核网络安全工作成效,并将网络安全工作成效纳入绩效考核。

    应设置负责安全审计工作的专岗,有正式发文记录,并确保这些人员有效履行职责。

    应按要求设置安全管理员等安全工作的关键岗位,具备相应的任职能力,并正式发文记录。

    战略和架构

    应建立和维护网络安全规划(战略、架构)和计划,并按照计划开展网络安全工作。且网络安全架构覆盖了资产、网络、数据、应用等,并周期性的进行持续改进。

    网络安全架构中应考虑新的网络安全技术或架构的应用。

    策略与制度和流程

    网络安全策略应符合国家安全战略、法律法规的要求,应满足行业、集团的要求,应满足数字化转型需要,并能够持续性对安全策略进行优化。

    应建设体系化、分层级的管理制度体系,应从战略方针、制度规范、操作规程、记录表单等方面固化安全策略,并定期对安全管理制度体系进行评审。

    资源保障

    应在信息化投入中充分考虑网络安全工作的经费保障,网络安全工作的实际投入占信息化建设投入的比例应合理。

    列出的网络安全经费应满足年度网络安全工作的需求。

    安全资源(产品、服务)应足够支撑年度网络安全工作的开展及安全事件的响应。

    安全资源的调度流程应顺畅,应在发生安全事件时可以及时调度响应。

    基础设施安全

    机房出入口应有专人值守或者电子门禁系统,机房应具备基础防雷击,防火,防水,防潮,防盗窃和破坏能力。

    机房应避免安置于建筑的地下室或顶层,在地下室或顶层应做好防水、防潮等措施。

    机房地面具备防静电措施,机房在短期断电情况下,应具备短期备用电供应,确保设备不掉线。

    机房强电系统布线应符合相应规范和要求,具备冗余供电能力;弱电系统布线应符合相应规范和要求,对关键设备实施电磁屏蔽。

    边界安全

    具备校验技术保证数据通信过程中的完整性,且对通信设备,系统程序等具备基础可信验证,并在其可信验证被破坏时自动告警,并将验证结果形成审计记录传送至安全管理中心。

    网络系统应按功能划分不同网络区域,避免将重要网络区域置于网络边界处,重要网络区域同其余网络区域采取必要的隔离措施

    网络系统应保证通讯设备的业务处理能力及带宽满足业务高峰需要,对关键设备提供硬件冗余,保证系统可用性,采用密码技术保证通信过程中数据的保密性。

    需对跨过边界的访问及数据需通过边界设备的通信口进行通信,且未授权通信请求应默认被边界设备拒绝,同步设立简洁的访问控制规则。

    应对关键网络节点处设置网络攻击行为的监测和响应措施。

    应对网络进行安全区域划分,应在不同网络边界处设置符合业务逻辑的安全访问控制措施,应对网络流量进行安全风险检测和控制;无线网络应通过受控的边界设备接入内部网络。

    应用安全

    应用系统与其他系统进行数据交换过程中,应配置必要的安全保护措施。

    应对用户访问业务应用系统进行精细的数据访问权限控制。

    应具备独立的安全测试环境,对测试数据进行脱敏处理,避免真实数据泄露。

    应用系统上线前应进行全面的安全风险评估。

    业务安全

    应具备能结合业务平台、融入业务流程的安全能力。

    应具备聚合身份、终端、网络、内容、行为等方面的数据,进行异常行为分析能力。

    应对数据采集、传输、存储、处理、运维、交换、销毁环节进行数据资产管理的能力。

    您可能关注的文档

    最近下载

    文档评论(0)

    雄霸天下 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >