网络安全与信息化考核实施细则、网络安全管理办法.docxVIP

网络安全与信息化考核实施细则、网络安全管理办法

一、考核范围与对象

本细则适用于单位内部所有涉及网络安全与信息化工作的部门（以下简称“被考核部门”）及相关岗位人员。具体包括：承担信息化系统建设、运维、管理的技术部门；使用信息系统开展业务的业务部门；负责网络安全统筹协调的综合管理部门；以及涉及数据处理、存储、传输的关键岗位人员。

二、考核原则

1.全面覆盖：兼顾网络安全防护能力、信息化建设成效、数据安全管理水平等多维度，覆盖制度建设、技术措施、人员责任落实等全流程。

2.量化为主：80%考核指标采用量化评分，20%为定性评价，确保结果客观可对比。

3.动态调整：根据国家网络安全政策更新、技术发展趋势及单位业务需求变化，每年修订考核指标，调整权重。

4.责任到人：将考核结果与部门负责人、直接责任人的绩效挂钩，强化“谁主管谁负责、谁使用谁负责”的责任链条。

三、考核指标体系（总分100分）

（一）网络安全基础保障（30分）

1.制度建设（8分）：要求被考核部门制定并落实本部门网络安全管理制度（含访问控制、日志管理、设备运维等细则），每缺1项制度扣2分；制度未根据实际情况更新（更新周期不超过2年），扣1-3分。

2.人员管理（7分）：网络安全岗位人员需持证上岗（如CISP、等保测评师等），未持证人员占比超过10%扣2分；全年至少开展2次网络安全培训（含案例分析、应急演练），少1次扣2分；未建立人员离岗安全审计机制（包括账号注销、数据交接），扣3分。

3.经费投入（5分）：年度网络安全专项经费不低于信息化总预算的15%，每低1个百分点扣1分；经费使用未单独列支或存在挪用情况，扣3分。

4.资产台账（10分）：需建立完整的网络资产台账（含设备名称、IP地址、责任人、安全等级等信息），台账缺失率超过5%扣3分；未动态更新（每月至少核查1次），扣2分；关键资产（如核心服务器、数据库）未标注安全等级（分高、中、低三级），每项扣1分。

（二）技术防护能力（35分）

1.边界防护（8分）：网络边界需部署防火墙、入侵检测/防御系统（IDS/IPS），未部署扣5分；防火墙策略未定期更新（每季度至少1次）或存在冗余规则（占比超过20%），扣2分；外部攻击拦截率低于95%（以日志统计为准），扣3分。

2.监测预警（7分）：需建立集中日志管理平台，日志留存时间不低于6个月，未达标扣3分；未实现对异常访问（如高频登录、大文件外传）的自动告警，扣2分；全年未通过威胁情报平台（如国家信息安全漏洞共享平台CNVD）获取最新威胁信息并部署防护措施，扣2分。

3.漏洞管理（10分）：需定期开展漏洞扫描（每月至少1次），未执行扣5分；高危漏洞修复率低于100%（48小时内修复），每个未修复漏洞扣2分；中危漏洞（72小时内修复）修复率低于90%，每低5%扣1分；未建立漏洞修复验证机制（修复后48小时内复测），扣3分。

4.密码应用（10分）：关键系统（如财务、人事系统）需采用国密算法（SM2/SM3/SM4），未使用扣5分；身份认证未采用双因素认证（如账号+短信验证码/数字证书），扣3分；密码策略未强制要求复杂度（长度≥8位，包含字母、数字、符号）或定期更换（≤90天），扣2分。

（三）数据安全管理（20分）

1.分类分级（5分）：需对数据进行分类（如业务数据、用户数据、管理数据）和分级（核心数据、重要数据、一般数据），未完成分类扣3分，未分级扣2分；未在系统中对数据进行标签化标识（如元数据标注），扣2分。

2.全生命周期防护（8分）：数据采集需明确目的和范围（“最小必要”原则），超范围采集扣2分；存储环节，核心数据需加密（密钥与数据分离存储），未加密扣3分；传输环节，跨网络传输需使用VPN或HTTPS等安全协议，未使用扣2分；数据销毁需采用符合国家标准的技术（如多次覆盖、物理粉碎），未留存销毁记录扣1分。

3.共享与外包（7分）：数据共享需签订安全协议（明确使用范围、责任），未签订扣3分；外包数据处理需对服务商进行安全评估（含资质、防护能力），未评估扣2分；外包过程中未对数据进行脱敏处理（如去标识化、匿名化），扣2分。

（四）事件处置与应急（15分）

1.预案管理（4分）：需制定本部门网络安全应急预案（含病毒攻击、数据泄露、系统宕机等场景），未制定扣3分；预案未定期演练（每年至少2次）或演练记录不完整，扣1-2分。

2.事件报告（5分）：发生网络安全事件后，需在30分钟内电话报告、1小时内提交书面报告（含事件类型、影响范围、初步处置措施），延迟报告每30分钟扣1分；瞒报、漏报扣5分。

3.应急响应（6分）：事件处置需遵循“隔离-溯源-