【原创精品 】2014年山东省教育行业网络安全管理工作自评估表-3.doc

附件32021年山东省教育行业网络平安管理工作自评估表单位名称盖章：评估指标评价要素评价标准权重V指标属性量化方法P为量化值评估得分V×P网络平安组织管理网络平安主管领导明确一名主管领导负责本单位网络平安工作主管领导应为本单位正职或副职领导。3定性已明确，本年度就网络平安工作作出批示或主持召开专题会议，P = 1；已明确，本年度未就网络平安工作作出批示或主持召开专题会议，P = 0.5；尚未明确，P = 0。网络平安管理机构指定一个机构具体承当网络平安管理工作管理机构应为本单位二级机构。2定性已指定，并以正式文件等形式明确其职责，P = 1；未指定，P = 0。网络平安联络员各内设机构指定一名专职或兼职网络平安员。2定量P = 指定网络平安员的内设机构数量与内设机构总数的比率。网络平安日常管理规章制度制度完整性建立网络平安管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。3定性制度完整，P = 1；制度不完整，P = 0.5；无制度，P = 0。制度发布平安管理制度以正式文件等形式发布。2定性符合，P = 1；不符合，P = 0。人员管理重点岗位人员签订平安保密协议重点岗位人员系统管理员、网络管理员、网络平安员等签订网络平安与保密协议。2定量P = 重点岗位人员中签订网络平安与保密协议的比率。人员离岗离职管理措施人员离岗离职时，收回其相关权限，签署平安保密承诺书。2定性符合，P = 1；不符合，P = 0。网络平安日常管理人员管理外部人员访问管理措施外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等平安管理措施。2定性符合，P = 1；不符合，P = 0。资产管理责任落实指定专人负责资产管理，并明确责任人职责。2定性符合，P = 1；不符合，P = 0。建立台账建立完整资产台账，统一编号、统一标识、统一发放。2定性符合，P = 1；不符合，P = 0。账物符合度资产台账与实际设备相一致。2定性符合，P = 1；不符合，P = 0。设备维修维护和报废管理措施完整记录设备维修维护和报废信息时间、地点、内容、责任人等。2定性记录完整，P = 1；记录根本完整，P = 0.5；记录不完整或无记录，P = 0。外包管理假设无外包那么P均为1外包效劳协议与信息技术外包效劳提供商签订网络平安与保密协议，或在效劳合同中明确网络平安与保密责任。2定性符合，P = 1；不符合，P = 0。现场效劳管理现场效劳过程中安排专人管理，并记录效劳过程。2定性记录完整，P = 1；记录不完整，P = 0.5；无记录，P = 0。外包开发管理外包开发的系统、软件上线前通过信息平安测评。2定量P =外包开发的系统、软件上线前通过信息平安测评的比率。运维效劳方式原那么上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等平安防护措施。2定性符合，P = 1；不符合，P = 0。经费保障经费预算将网络平安设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。3定性符合，P = 1；不符合，P = 0。网络平安日常管理网站内容管理网站信息发布网站信息发布前采取内容核查、审批等平安管理措施。2定性符合，P = 1；不符合，P = 0。电子信息管理介质销毁和信息消除配备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储介质进行销毁。1定性符合，P = 1；不符合，P = 0。信息平安防护管理物理环境平安机房平安具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供给、温湿度控制、电磁防护等平安措施。2定性符合，P = 1；不符合，P = 0。物理访问控制机房配备门禁系统或有专人值守。1定性符合，P = 1；不符合，P = 0。网络边界平安访问控制网络边界部署访问控制设备，能够阻断非授权访问。3定性符合，P = 1；有设备，但未配置策略，P = 0.5；无设备，P = 0。入侵检测网络边界部署入侵检测设备，定期更新检测规那么库。2定性符合，P = 1；有设备，但未定期更新，P = 0.5；无设备，P = 0。平安审计网络边界部署平安审计设备，对网络访问情况进行定期分析审计并记录审计情况。2定性符合，P = 1；有设备，但未定期分析，P = 0.5；无设备，P = 0。互联网接入口数量各单位同一办公区域内互联网接入口不超过2个。2定性符合，P = 1；不符合，P = 0。设备平安恶意代码防护部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。2定性符合，P = 1；有设备，但未定期更新，P = 0.5；无设备，P = 0。信息平安防护管理设备平安设备漏洞扫描定期对效劳器、网络设备、平安设备等进行平安漏洞扫描。2定性符合，P = 1；不符合，P = 0。效劳器口令策略配置口令策略保证效劳器口令强度和更新频率。1定量P = 配置了口令策略的效劳器比率。效劳器平安审计启用平安审计功能并进行定期分析。1定量P = 对平安审计日志进行定期分析的效劳器比率。效劳器补丁更新及时对效劳器操作系统补丁和数据库管理系统补丁进行更新。2定量P = 补丁得到及时更新的效劳器比率。网络设备和平安设备口令策略配置口令策略保证网络设备和平安设备口令强度和更新频率。1定量P = 网络设备和平安设备指重要设备中配置了口令策略的比率。终端计算机统一防护采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。2定性符合，P = 1；不符合，P = 0。终端计算机接入控制采取技术措施如部署集中管理系统、将IP地址与MAC地址绑定等对接入本单位网络的终端计算机进行控制。1定性符合，P = 1；不符合，P = 0。应用系统平安应用系统平安漏洞扫描定期对效劳器、网络设备、平安设备等进行平安漏洞扫描。2定性扫描周期小于1个月，P = 1；扫描周期为2到3个月，P = 0.5；扫描周期为4到6个月，P = 0.2；其他，P = 0。门户网站防篡改措施门户网站采取网页防篡改措施。2定性符合，P = 1；不符合，P = 0。信息平安防护管理应用系统平安门户网站抗拒绝效劳攻击措施门户网站采取抗拒绝效劳攻击措施。1定性符合，P = 1；不符合，P = 0。电子邮件账号注册审批建立邮件账号开通审批程序，防止邮件账号任意注册使用。1定性符合，P = 1；不符合，P = 0。电子邮箱账户口令策略配置口令策略保证电子邮箱口令强度和更新频率。1定性符合，P = 1；不符合，P = 0。邮件清理定期清理工作邮件。1定性符合，P = 1；不符合，P = 0。数据平安数据存储保护采取技术措施如加密、分区存储等对存储的重要数据进行保护。2定性符合，P = 1；不符合，P = 0。数据传输保护采取技术措施对传输的重要数据进行加密和校验。2定性符合，P = 1；不符合，P = 0。数据和系统备份采取技术措施对重要数据和系统进行定期备份。2定性符合，P = 1；不符合，P = 0。数据中心、灾备中心设立数据中心、灾备中心应设立在境内。1定性符合，P = 1；不符合，P = 0。网络平安应急管理应急预案制定网络平安事件应急预案为部门级预案，非单个信息系统的平安应急预案，并使相关人员熟悉应急预案。2定性符合，P = 1；不符合，P = 0。应急演练开展应急演练，并留存演练方案、方案、记录、总结等文档。2定性符合，P = 1；不符合，P = 0。应急资源指定应急技术支援队伍，配备必要的备机、备件等应急物资。1定性符合，P = 1；不符合，P = 0。网络平安应急管理事件处置发生网络平安事件后，及时向主管领导报告，按照预案开展处置工作；重大事件及时通报网络平安主管部门。2定性发生过事件并按要求处置，或者未发生过平安事件，P = 1；发生过事件但未按要求处置，P = 0。网络平安教育培训意识教育面向全体人员开展网络平安形势与警示教育、根本技能培训等活动。3定量本年度开展活动的次数3，P = 1；次数=2，P = 0.7；次数=1，P = 0.3；次数=0，P = 0。专业培训定期开展网络平安管理人员和技术人员专业培训。3定量P = 本年度网络平安管理和技术人员中参加专业培训的比率。网络平安检查工作部署下发检查工作相关文件或者组织召开专题会议，对年度检查工作进行部署。2定性符合，P = 1；不符合，P = 0。工作机制明确检查工作负责人、检查机构和检查人员。2定性符合，P = 1；不符合，P = 0。技术检测使用技术手段进行平安检测。2定性符合，P = 1；不符合，P = 0。检查经费安排并落实检查工作经费。2定性符合，P = 1；不符合，P = 0。合计-