信息安全性评价分表
信息安全风险评估表汇总教学文稿
表1:基本信息调查网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
信息安全评估表
信息安全评估表1 技术要求1.1 物理安全序号控制点项目安全标准评估情况说明1.1.1物理位置的选择 1. 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;2. 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.2物理访问控制 1. 机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的人员;2. 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;3. 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;4. 重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。
1.1.3防盗窃和防破坏 1. 应将主要设备放置在机房内;2. 应将设备或主要部件进行固定,并设置明显的不易除去的标记;3. 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;4. 应对介质分类标识,存储在介质库或档案室中;5. 应利用光、电等技术设置机房防盗报警系统;6. 应对机房设置监控报警系统。
1.1.4防雷击 1. 机房建筑应设置避雷装置;2. 应设置防雷保安器,防止感应雷;3. 机房应设置交流电源地线。
1.1.5防火 1. 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;2. 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;安全标准评估情况说明序号控制点项目1.1.6防水和防潮 1.机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
2.水管安装,不得穿过机房屋顶和活动地板下;3.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;4.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;5.应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.7防静电1.设备应采用必要的接地防静电措施;2.机房应采用防静电地板;3.应采用静电消除器等装置,减少静电的产生。
1.1.8温湿度控制机房应设置温湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
安全等级评定表
安全等级评定表简介在计算机安全领域中,我们经常需要对不同的系统、应用、软件进行安全等级评定。
安全等级评定是指对于需满足特定安全要求的信息系统,通过对信息系统所运行的环境、技术、管理等方面的评价,将其安全性确定为某个等级的过程。
通过安全等级评定,我们可以了解到自己的系统的漏洞风险,并采取相应的措施来提高系统的安全性。
安全等级评定表安全等级评定表是安全等级评定的一个非常重要的工具,它对于信息系统的安全等级评定起到了至关重要的作用。
安全等级评定表的主要作用是为评定人员提供一个完整、严密的系统安全分析模型,以便于评定人员依据评定标准和要求进行评定。
安全等级评定表的评分标准是按照《信息系统安全等级保护标准》(GB/T 22239-2008)的要求进行制定的。
该标准包括了系统的5个等级(即D、C、B、A、A+),其中等级D对应的是最低的安全保护要求,等级A+对应的则是最高的安全保护要求。
安全等级评定表的内容安全等级评定表包括了许多要素,主要包括以下的内容:•安全需求:安全等级评定表中评定的系统对于安全性的要求和需求。
•对象描述:被安全等级评定表评定对象的描述,包括评定对象的功能、结构、特点和定位等。
•安全风险:评定对象中可能出现的安全风险,包括各种漏洞、威胁和攻击等。
•安全措施:为了保证评定对象的安全性,需要采取的相应安全措施和技术手段。
•安全等级评定:依据评定标准和要求对评定对象进行的安全等级评定。
安全等级评定表的导入在进行安全等级评定的过程中,需要根据评定对象的实际情况,选择或编制相应的安全等级评定表。
安全等级评定表的导入在评定对象中的使用非常重要,主要包括以下几个方面:•对象的描述要清晰明了,不能有歧义。
•需要针对安全等级评定表中给出的安全需求,评估评定对象的各种安全威胁,分析安全风险。
•对于评定对象的安全措施,应该按照安全等级评定表的要求,从技术手段、管理手段和物理防护方面进行综合考虑,尽可能保证安全措施的完备性。
安全性评估表格
安全性评估表格
安全性评估表格通常包含以下几个方面的内容:
1. 安全风险评估:对系统、应用程序或设备中可能存在的安全风险进行评估,包括物理风险、网络风险、数据安全风险等。
2. 安全威胁分析:对系统、应用程序或设备可能面临的各种安全威胁进行分析,包括黑客攻击、恶意软件、社会工程等。
3. 安全控制措施:列出已经实施或将要实施的各种安全控制措施,包括访问控制、加密、防火墙、入侵检测系统等。
4. 安全漏洞和风险评估:对系统、应用程序或设备中可能存在的安全漏洞和风险进行评估,包括弱密码、未更新的软件、不安全的配置等。
5. 安全事件响应计划:制定一份安全事件响应计划,明确安全事件发生时的应对措施和责任分工。
6. 安全培训与意识:列出为员工提供的安全培训计划,包括安全意识培训、网络安全培训等。
7. 安全政策与合规性:列出组织的安全政策和合规性要求,并评估其与实际情况的符合程度。
8. 安全审计与监测:制定一套安全审计和监测机制,确保对系统、应用程序或设备的安全管理和监控。
以上是一个安全性评估表格的基本内容,可以根据具体的需求和情况进行适当的调整和补充。
教育网络安全专项评估表
教育网络安全专项评估表一、背景信息- 机构名称:- 评估日期:- 评估人员:- 被评估对象:二、评估目标评估目标是为了检查和评估被评估对象的网络安全状况,以便提供改进建议和措施,保护教育机构的网络安全。
三、评估内容1. 网络基础设施- 网络拓扑结构是否合理,是否存在单点故障风险?- 是否存在未授权的网络接入点或漏洞?- 是否进行了网络设备的定期维护和安全更新?- 是否有合理的网络隔离措施,以防止内部攻击和恶意软件传播?2. 网络访问控制- 是否有有效的身份验证和访问控制机制?- 是否对教育机构内部员工和外部用户的访问权限进行了合理的管理和审计?- 是否有网络入侵检测和防御系统,及时发现和应对网络攻击?3. 数据安全保护- 是否有合理的数据备份和恢复机制?- 是否对敏感数据进行了加密和安全存储?- 是否有合规的数据访问和使用政策?4. 安全意识教育- 是否进行了网络安全培训和教育,提高员工和用户的安全意识?- 是否有演练和应急预案,以应对网络安全事件的发生?四、评估方法评估将采用以下方法:1. 现场走访和观察;2. 文件和记录的审查;3. 系统和设备的扫描和测试;4. 与相关人员的访谈。
五、评估结果根据评估的内容和方法,将提供评估结果和建议报告,包括但不限于以下方面:- 发现的风险和漏洞;- 针对风险和漏洞的改进建议;- 网络安全管理的整体评估结果。
六、评估报告提交评估报告将在评估完成后提交给被评估机构,供其参考和改进网络安全管理。
以上是教育网络安全专项评估表的内容,根据评估的具体情况和被评估对象的需求,可以进行适当的调整和补充。
信息安全等级保护自查评分表
信息安全等级保护自查评分表
一、单位基本情况
单位全称
信息安全工作责任部门
责任部门负责人
姓名
职务或职称
办公电话
移动电话
责任部门联系人
姓名
职务或职称
办公电话
移动电话
单位类型
党委机关政府机关事业单位企业其他
行业类别
财政税务银行证券工商行政管理科技教育文化卫生国防科技工业农业水利能源电力国土资源交通民航铁路邮政商业贸易公安宣传广电外交发展改革电信海关保险统计审计质量监督检验检疫人事劳动和社会保障经营性公众互联网司法其他
(四)自查和整改情况(6分)
1.25信息安全自查工作组织部署情况
3
组织开展年度信息安全全面自查的3分;组织开展年度自查但自查内容不全面的1分;未开展自查的0分。
1.26存在问题的整改工作情况
3
有关部门未通报相关整改意见或按照有关部门整改意见进行整改的3分;对有关部门通报的问题未进行整改的0分。
(五)第三级(含)以上信息系统测评和安全建设整改工作开展情况(30分,其中测评20分;安全建设整改10分)
1.10常规安全措施落实情况
6
采取计算机病毒防治、网络入侵和攻击破坏防范、重要数据库和主要设备冗灾备份、用户注册信息记录留存、维护和使用日志留存、统一互联网出口、安装安全管理系统、发布信息审核、电子公告栏目版主实名登记、微博实名登记等安全技术措施的6分;部分采取的2分;未采取的0分。
1.11网络隔离措施落实情况
3
办公网络与互联网络物理隔离或逻辑隔离的3分;未隔离的0分。
经费保障情况
1.13信息安全经费保障情况
4
已落实信息安全测评、建设、整改经费的4分;部分落实的2分;未落实经费的0分。
网络安全风险评定量表
网络安全风险评定量表1. 风险因素评估在进行网络安全风险评估时,以下是一些常见的风险因素,您可以根据实际情况进行评估:- 网络攻击:评估您的网络系统受到恶意攻击的潜在风险,包括黑客入侵、病毒、木马等。
- 数据泄露:评估您的网络系统中可能存在的数据泄露风险,如未经授权的访问、数据丢失、数据被窃取等。
- 硬件和软件漏洞:评估您的网络系统中存在的硬件和软件漏洞,如未修补的安全补丁、弱密码等。
- 内部威胁:评估内部员工对网络安全的潜在威胁,如滥用权限、泄露敏感信息等。
2. 风险评估等级通过对风险因素进行评估,您可以使用以下等级标准对每个因素进行风险评估:- 高风险:表示该因素的潜在风险较高,存在严重的安全威胁,并需要立即采取措施进行修复或预防。
- 中风险:表示该因素的潜在风险适中,需要采取适当的措施进行管理和监控,以减少可能的安全威胁。
- 低风险:表示该因素的潜在风险较低,可能性较小,并且对网络安全的影响较小。
3. 风险管理措施根据风险评估结果,您可以制定相应的风险管理措施来减轻或消除网络安全风险。
以下是一些常见的风险管理措施示例:- 加强防火墙和入侵检测系统的安装和配置,以提高网络安全防护能力。
- 定期进行安全补丁更新和漏洞扫描,及时修补系统中的安全漏洞。
- 设立严格的访问控制和权限管理机制,避免未经授权的访问和操作。
- 对员工进行安全意识培训,提高他们对网络安全的认知和警觉性。
- 定期备份重要的数据和系统,以防止数据丢失和无法恢复的情况。
4. 风险评估周期网络安全风险评估应定期进行,以确保及时发现和管理潜在的网络安全威胁。
具体评估周期可以根据您的实际需求和网络系统的复杂性来确定,一般建议每年进行至少一次全面的评估。
5. 总结网络安全风险评定量表是一种有助于评估和量化网络安全风险的工具。
通过合理使用该量表,并采取相应的风险管理措施,您可以最大程度地提高网络安全防护能力,保护重要的数据和系统免受潜在的网络安全威胁。
等保信息安全评估表
等保信息安全评估表一、评估背景和目的本评估表的目的是对等保信息安全进行全面评估,以确保系统和数据的安全性和可靠性。
评估的背景是为了满足相关法规和标准的要求,保护关键信息基础设施的安全。
二、评估范围评估范围包括但不限于以下方面:1. 信息系统的架构和设计2. 安全策略和政策3. 数据保护和备份4. 身份验证和访问控制5. 网络安全和通信保护6. 恶意代码防护和安全监测7. 安全事件响应和漏洞管理8. 安全培训和意识教育三、评估指标根据等保要求,本评估表将针对以下指标进行评估:1. 安全性管理:包括安全策略、风险评估和安全目标等2. 访问控制:包括身份验证、权限分配和审计跟踪等3. 信息保护:包括数据保密性、完整性和可用性等4. 系统日志和监测:包括安全事件日志和实时监测等5. 安全事件响应:包括安全事件的报告和应急响应等6. 恶意代码防护:包括病毒检测、恶意软件防护和漏洞修复等7. 物理保护:包括设备安全和机房安全等8. 人员安全管理:包括员工背景调查和权限管理等四、评估流程1. 收集相关文档和信息:收集系统架构、安全策略、日志记录等相关文档和信息。
2. 面谈相关人员:与系统管理员、安全负责人和相关人员进行面谈,了解安全实践和措施。
3. 检查系统和环境:对系统基础设施、网络拓扑和物理环境进行检查。
4. 进行安全扫描和测试:使用安全工具和技术进行系统漏洞扫描和渗透测试。
5. 分析评估结果:对收集的数据和评估结果进行分析,得出评估报告。
五、评估报告和建议评估报告将包括以下内容:1. 评估结果总结:将对每个评估指标的得分进行总结,并对整体等保信息安全进行评价。
2. 安全风险分析:对可能存在的安全风险进行分析和评估,并提供相应的建议和措施。
3. 建议和改进建议:根据评估结果提供具体的建议和改进建议,帮助提升等保信息安全水平。
六、评估周期和更新本评估表将定期进行评估,评估周期为一年。
根据评估报告和建议,不断更新和完善等保信息安全措施,以应对不断变化的安全威胁和风险。
安全评估分级表
安全评估分级表
尽管我无法提供具体的安全评估分级表,但下面是一般在安全评估中常见的一些安全分级:
1. 高风险:指存在严重安全漏洞或风险的系统或设备,即使是随机的攻击也可能导致重大破坏或数据泄露。
2. 中等风险:指存在一些安全漏洞或风险的系统或设备,而这些漏洞或风险在被攻击时可能导致某些损害或数据泄露。
3. 低风险:指可能存在一些安全漏洞或风险,但这些漏洞或风险对系统的整体安全性影响较小,攻击者难以利用这些漏洞或风险入侵系统。
这只是一种常见的分级方式,具体的评估分级可能会根据不同情况、行业和需求而有所不同。
在实际评估中,通常会定义更加详细的分级标准,从而更准确地评估和分类安全风险。
信息安全风险评估表汇总
表1:基本信息调查1.单位基本情况2.硬件资产情况网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3.软件资产情况填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4.服务资产情况服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
5.人员资产情况岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.文档资产情况填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。
安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。
信息安全评估表
信息安全评估表一、评估基本信息1. 被评估组织名称2. 评估日期3. 评估目的二、信息资产识别与分类1. 硬件资产(如服务器、计算机、网络设备等)资产描述重要性级别所在位置2. 软件资产(操作系统、应用程序等)资产描述重要性级别当前版本3. 数据资产(客户数据、业务数据等)重要性级别存储方式三、威胁评估1. 外部威胁(黑客攻击、网络钓鱼等)发生可能性潜在影响2. 内部威胁(员工误操作、恶意行为等)发生可能性潜在影响3. 自然灾害威胁(火灾、水灾等)发生可能性潜在影响四、脆弱性评估1. 网络架构脆弱性(拓扑结构、访问控制等)风险级别2. 系统漏洞(操作系统、应用软件漏洞)漏洞详情修复状态3. 人员安全意识薄弱点具体表现改进建议五、安全策略与措施评估1. 访问控制策略(用户认证、权限管理等)策略有效性执行情况2. 数据备份与恢复策略备份频率恢复测试情况3. 安全培训与教育培训内容培训效果六、合规性评估1. 法律法规符合性(如数据保护法等)符合情况差距分析2. 行业标准遵循情况相关标准达标情况七、事件响应计划评估1. 计划的完整性涵盖的事件类型具体步骤2. 演练情况演练频率演练效果八、评估结果总结1. 主要风险点与问题2. 改进建议与优先级九、后续行动计划1. 针对评估结果的具体改进措施2. 责任分配与时间。
信息系统安全等级保护测评表单-三级技术类
信息系统安全等级保护测评表单-三级技术类应用系统和数据
控制敏感标记是否以默认方式生成或由安全员建立、维护和管理;
信息保护d) 应测试主要应用系统,用某用户登录系统并进行操作后,在该用户退出后用另一用户登录,试图操作(读取、修改或删除等)其他用户产生的文件、目录和数据库记录等资源,查看操作是否成功,验证系统提供的剩余
7.1.4应用安全所需的最小权限,特权用户的权限是否分离,权限之间是否相互制约;
施有哪些;
b) 应检查主要应用系统,查看是否限制单个帐户的多重并发会话;系统是.4
c) 应检查设计/验收文档,查看其是否有关于释放或重新分配系统内文件
保密性业务数据是否采用加密或其他有效措施实现传输保密性,是否采用加密或其他有效措施实现存储保密性;
e) 应检查主要主机操作系统、主要网络设备操作系统、主要数据库管理系统和主要应用系统,查看其管理数据、鉴别信息和重要业务数据是否采用加密或其他有效措施实现传输和存储保密性;
息和重要业务数据是否采用加密或其他有效措施实现传输保密性,是否采.2。
安全评估计分表
安 全 评 估 记 分 表
日期: 扣分项目 存在问ቤተ መጻሕፍቲ ባይዱ 年 月 日 实际分值
被评估单位领导签字:
信息安全风险评估表汇总
表1:基本信息调查1- 2 -网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
- 3 -填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
- 4 -服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
- 5 -填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
- 6 -- 7 -1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
- 8 -注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》- 9 -- 10 -表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(3)
建立数据库系统管理制度
5
查看相关(版本管理、权限管理、补丁管理、性能管理、可用性管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(4)
建立生产应用系统管理制度
5
查看相关(上线测试管理、权限管理、运行管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
5
查看系统应急预案制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
2.11.1.4
计算机使用管理制度
20
(1)
制定上网行为管理制度
10
查看相关(访问内容、流量控制、下载管理、信息发布)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
(5)
建立防病毒系统管理制度
5
查看相关(部署管理、策略管理、监控管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(6)
建立办公软件系统管理制度
5
查看相关(OA、MIS、MAIL、ERP、WEB)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(7)
建立各系统应急预案
10
检查网络配置、记录文档
未配置访问控制策略不得分,配置不合理的酌情扣20%~50%标准分
ቤተ መጻሕፍቲ ባይዱ(6)
重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗
5
检查设备配置、登记记录
无配置扣3分,无登记记录扣2分
(7)
安全区边界拓扑结构是否合理,不应有不经过防火墙的外联链路
10
查阅网络拓扑图,向专责人员查问
10
查看信息管理岗位职责文件
工作职责与工作范围不完整(有无信息安全岗位)酌情扣20%~80%标准分
2.11.1.2
网络管理制度
30
(1)
建立网络设备管理制度
10
查看相关(广域网、局域网,配套网络线缆设施,网络服务器、工作站等)制度
无相应制度不得分,制度内容不全扣1~5分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
2.11.1.3
系统管理制度
35
(1)
建立服务器系统管理制度
5
查看相关(补丁管理、权限管理、运行管理)制度
无相应制度不得分,制度内容不全扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
(2)
建立存储、备份系统管理制度
5
查看相关(备份介质、备份策略、容灾策略、恢复策略)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
(4)
机房维护手册
5
查看相关(服务器系统、网络系统、环境监控系统)文件
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
2.11.2
技术管理
460
430
2.11.2.1
(2)
建立网络安全设备管理制度
10
查看相关(IDS、漏洞扫描、防火墙、单向隔离装置、VPN等)制度
无相应制度不得分,制度内容不全扣20%~50%标准分
(3)
建立网络安全信息系统管理制度
10
查看相关(网管系统、上网行为管理系统、网络用户管理系统)制度
无相应制度不得分,制度内容不全扣20%~50%标准分
(3)
按照方便管理和控制的原则为各子网、网段分配地址段
5
查阅网络结构及IP地址分配方案
没有按需划分子网不得分,分配不合理的酌情扣20%~50%标准分
(4)
IP地址的规划方案、分配策略、分配记录进行统一管理
10
检查管理文档或记录
没有相关文档扣5分,记录不全的酌情扣20%~50%标准分
(5)
VLAN间访问控制的合理性
(2)
制定计算机使用制度及移动介质(如U盘、光盘等)使用管理制度
10
查看相关(密码、计算机名、补丁、防病毒、个人防火墙、共享等)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
2.11.1.5
信息机房制度
15
(1)
机房的管理制度u
10
查看相关(包括机房准入准出制度、机房内相关操作制度)制度
信息
2.11
信息网络安全
800
760
2.11.1
基础管理
120
120
2.11.1.1
组织与岗位职责
20
(1)
信息管理组织机构
10
查看信息管理组织机构文件
有专职信息主管部门,组织机构不完整扣20%~80%标准分
GB/T 20269-2006<<信息安全技术 信息系统安全管理要求>>
(2)
信息管理岗位职责
(13)
为了便于防火墙的控制,应对各个系统、软件所使用的端口进行登记
10
检查端口开放记录文档
无登记端口开放记录文档不得分
(14)
重要系统的数据传输应通过安全链路(专线、加密VPN)
(11)
防火墙应具备防止已知攻击的能力
10
查看配置,是否对常用攻击端口进行限制
如无相关能力则不得分;功能不完善的酌情扣20%~50%标准分
(12)
防火墙的管理用户开放限制
10
在线查看防火墙策略(禁止从外部网络登陆,限制其他管理方式),是否采取“默认关闭、按需开启”的策略
如未限制则不得分;限制不完善的酌情扣20%~50%标准分
网络技术管理
165
(1)
网络拓扑结构的合理性和可扩展性
10
查阅网络拓扑图,向专责人查问
无网络拓扑图扣5分,结构不合理的酌情扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
(2)
在相关网络的隔离点,设立合理的访问控制
10
查阅设备配置,变更记录文档
无访问控制不得分,内容不合理的酌情扣20%~50%标准分
(9)
建立电力二次系统安全评估体系,采取以自评估为主、联合评估为辅的方式
10
检查评估文档
无评估文档不得分
(10)
对所有通过防火墙或其他访问控制设备的网络地址、端口等进行控制
10
检查网络拓扑图、在线检查防火墙配置
检查网络拓扑和防火墙配置,发现一个未覆盖出口扣5分,如未能做到控制则不得分
GB/T 20281-2006《信息安全技术 防火墙技术要求和测试评价方法
拓扑图不合理的酌情扣20%~50%标准分
国家电力监管委员会令(第5号)
(8)
在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离
5
到设备实地检查设备安装情况
需安装位置无物理单向隔离设备扣5分。生产大区内部无访问控制设备隔离各安全区扣5分。