应用系统安全考核细则.docxVIP

应用系统安全考核细则

一、总则

1.1编制目的

为规范应用系统全生命周期安全管理，建立可量化、可追溯、可闭环的安全考核体系，确保业务连续性与数据保密性、完整性、可用性，特制定本细则。

1.2适用范围

本细则适用于公司范围内所有面向生产环境运行的应用系统，包括但不限于自研系统、外购商用套件、云原生服务及移动应用。控股公司、参股公司、供应商托管系统参照执行。

1.3考核原则

客观量化：以工具监测数据为主，人工复核为辅，减少主观评价

风险导向：聚焦高危漏洞、高频事件、高敏数据，实行差异化权重

过程与结果并重：既考最终安全结果，也考安全活动过程合规性

闭环改进：考核结果必须关联整改工单，实现跟踪、验证、销号

1.4考核周期

自然季度为考核单元，每季度首月15日前完成上季度评分与发布。重大活动（如护网行动、监管现场检查）期间可启动专项考核，不受季度限制。

二、考核组织与职责

2.1网络安全与信息化领导小组

审议年度考核方案及权重调整

对考核异议进行终裁

将考核结果纳入部门绩效与干部述职

2.2安全监察部

细则解释、题库维护、工具平台运营

组织第三方红队或交叉渗透

出具最终考核报告并推送HR系统

2.3信息化部门（含各应用运维团队）

负责整改、复测、证据提交

提供系统资产清单、变更记录、运行日志

对考核数据有异议时3个工作日内提起申诉

2.4业务主管部门

确认业务影响等级、数据