等保三级——网络安全检查技术检查评分表（标准版）.docxVIP

等保三级——网络安全检查技术检查评分表

部门得分

序号

检查

项目

分值

检查指标

检查方法

评分准则

现场记录

得分

1

网络安全责任制落实情况

4

应明确一名负责人,负责本部门网络安全管理工作,根据国家法律法规有关要求，结合实际组织制定网络安全管理制度,完善技术防护措施,协调处理重大网络安全事件。

1.查看部门分工等文件，检查网络安全负责人落实情况。

2.查看网络安全相关工作批示、会议记录等文件，检查负责人履职情况。

1.未明确网络安全负责人，本项0分。

2.明确网络安全负责人，但没有网络安全相关工作批示、会议记录等文件记录负责人履职情况，本项3分。

3.明确网络安全负责人，有网络安全相关工作批示、会议记录等文件记录负责人履职情况，本项4分。

应记录网络安全负责人情况，网络安全相关工作批示、会议记录等文件记录负责人履职情况。

2

4

应指定一个机构,具体承担网络安全管理工作,负责组织落实网络安全管理制度和网络安全技术防护措施。

1.查看本部门各内设机构职责分工等文件，检查指定网络安全管理机构情况。

2.査看工作计划、工作方案、规章制度、监督检査记录、教育培训记录等文档，检查管理机构履职情况。

1.未指定网络安全管理机构，本项0分。

2.指定网络安全管理机构，本项3分。

3.指定网络安全管理机构，并且有本部门各内设机构职责分工等文件与工作计划、工作方案、规章制度、教育培训记录等文档，本项4分。

应记录指定网络安全管理机构情况，本部门各内设机构职责分工等文件与工作计划、工作方案、规章制度、监督检査记录、教育培训记录等文档详细情况。

3

4

应定期对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。

1.检查对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训的记录文件。

1.无相关培训记录，本项0分。

2.仅有相关制度或仅有培训记录，本项2分。

3.有相关制度、培训记录等，本项4分。

应具体记录文件、制度名称；培训记录相关内容。

4

网络安全日常管理情况（人员管理）

4

应与重点岗位的计算机使用和管理人员的责任。

1.查看岗位网络安全责任制度文件

2.检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任明确情况。

1.无岗位网络安全责任制度文件，本项0分。

2.有岗位网络安全责任制度文件，系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任明确，本项4分。

应具体记录岗位网络安全责任制度文件情况。

5

4

应与重点岗位的计算机使用和管理人员签订网络安全与保密协议。

1.检查重点岗位人员网络安全与保密协议签订情况。2.访谈部分重点岗位人员，抽查对网络安全责任的了解程度。

1.未签署保密协议，本项0分。

2.有重要岗位人员任命文件，与全部重要岗位人员签署保密协议，本项4分。

应记录重要岗位人员签署保密协议情况以及重要内容，与全部重要岗位人员签署保密协议的具体情况。

6

4

应建立外部人员访问机房等重要区域审批制度，外部人员须经审批后方可进入，并安排本部门工作人员现场陪同，对访问活动进行记录并留存。

查看外部人员访问机房等重要区域的审批制度文件，检查有访问审批、人员陪同等要求。

查看访问审批记录、访问活动记录，检查记录清晰、完整的情况。

1.未外部人员访问机房等重要区域的审批制度文件，本项0分。

2.有外部人员访问机房等重要区域的审批制度文件，无人员陪同等要求，本项3分。

3.有外部人员访问机房等重要区域的审批制度文件，有人员陪同等要求，审批记录、访问活动记录，检查记录清晰、完整，本项4分。

应记录有外部人员访问机房等重要区域的审批制度文件具体情况，记录有人员陪同等要求，审批记录、访问活动记录的具体情况，检查记录清晰、完整情况。

7

4

组织进行过专业技术检测、测试、评估等工作。

1.查看进行专业技术检测、测试、评估等工作记录。

2.查看风险评估、渗透测试等评估报告。

1.未进行专业技术检测、测试、评估等工作，本项0分。

2.进行过风险评估、渗透测试等工作且出具报告，本项4分。

记录风险评估、渗透测试等评估报告名称、检测时间。

8

网络边界安全防护情况

4

应有与当前运行情况相符的网络拓扑结构图。

1.查看网络拓扑图。

2.抽查网络拓扑图中主要网络设备、安全设备及服务器，检查与网络拓扑图的一致性。

1.无拓扑图，本项0分。

2.抽查主要网络设备、安全设备及服务器，若与拓扑情况不同，本项3分

3.拓扑图与现状一致，本项4分。

应记录抽查主要网络设备的情况（包含但不限于设