《企业网络安全成熟度评价指标及权重表、评价内容表、满足情况评分表、评分等级表.docx》由会员分享,可在线阅读,更多相关《企业网络安全成熟度评价指标及权重表、评价内容表、满足情况评分表、评分等级表.docx(6页珍藏版)》请在三一办公上搜索。
1、(规范性)企业网络安全成熟度评价指标及权重表级指标二级指标(20个)权重(示例)战略与组织组织机构5%战略和架构5%策略与制度和流程5%资源保障5%技术与服务基础设施安全5%边界安全5%应用安全5%业务安全5%数据安全5%密码安全5%工控安全5%云安全5%终端安全5%物联网安全5%运行与管理管理平台5%安全运行5%合规与安全人员网络安全意识5%安全措施5%供应链安全5%国产化替代5%(规范性)企业网络安全成熟度评价指标及评价内容表一级指标二级指标评价内容战略与组织组织机构应明确一名分管领导负责本单位网络安全工作(分管领导应为本单位正职或副职领导),并有效履行职贲。网络安全工作应成为本单位文化的
2、组成部分,并以多种形式进行宣贯。应明确网络安全管理机构、网络安全联络员、职责以及相关人员名单,并确保这些人员有效履行职责。应通过正式的文件、统一的标准考核网络安全工作成效,并将网络安全工作成效纳入绩效考核。应设置负责安全审计工作的专岗,有正式发文记录,并确保这些人员有效履行职责。应按要求设置安全管理员等安全工作的关键岗位,具备相应的任职能力,并正式发文记录。战略和架构应建立和维护网络安全规划(战略、架构)和计划,并按照计划开展网络安全工作。且网络安全架构覆盖了资产、网络、数据、应用等,并周期性的进行持续改进。网络安全架构中应考虑新的网络安全技术或架构的应用。策略与制度和流程网络安全策略应符合国
3、家安全战略、法律法规的要求,应满足行业、集团的要求,应满足数字化转型需要,并能够持续性对安全策略进行优化。应建设体系化、分层级的管理制度体系,应从战略方针、制度规范、操作规程、记录衣单等方面固化安全策略,并定期对安全管理制度体系进行评审。资源保障应在信息化投入中充分考虑网络安全工作的经费保障,网络安全工作的实际投入占信息化建设投入的比例应合理。列出的网络安全经费应满足年度网络安全工作的需求。安全资源(产品、服务)放足够支撑年度网络安全工作的开展及安全事件的响应。安全资源的调度流程应顺畅,应在发生安全事件时可以及时调度响应。技术与服务基础设施安全机房出入口应有专人值守或者电子门禁系统,机房应具备
4、基础防雷击,防火,防水,防潮,防盗窃和破坏能力。机房应避免安置于建筑的地下室或顶层,在地下室或顶层应做好防水、防潮等措施。机房地面具备防静电措施,机房在短期断电情况下,应具备短期备用电供应,确保设备不掉线。机房强电系统布线应符合相应规范和要求,具备冗余供电能力:弱电系统布线应符合相应规范和要求,对关键设备实施电磁屏蔽。边界安全具备校验技术保证数据通信过程中的完整性,且对通信设备,系统程序等具备基础可信验证,井在其可信验证被破坏时自动告警,并将验证结果形成审计记录传送至安全管理中心。网络系统应按功能划分不同网络区域,避免将重要网络区域置于网络边界处,重要网络区域同其余网络区域采取必要的隔离措施网
5、络系统应保证通讯设备的业务处理能力及带宽满足业务高峰需要,对关键设备提供硬件冗余,保证系统可用性,采用密码技术保证通信过程中数据的保密性。需对跨过边界的访问及数据需通过边界设备的通信口进行通信,且未授权通信请求应默认被边界设备拒绝,同步设立简洁的访问控制规则。应对关键网络节点处设置网络攻击行为的监测和响应措施。应对网络进行安全区域划分,应在不同网络边界处设置符合业务逻辑的安全访问控制措施,应对网络流量进行安全风险检测和控制;无线网络应通过受控的边界设备接入内部网络。应用安全应用系统与其他系统进行数据交换过程中,应配置必要的安全保护措施。应对用户访问业务应用系统进行精细的数据访问权限控制。应具备
6、独立的安全测试环境,对测试数据进行脱敏处理,避免真实数据泄露。应用系统上线前应进行全面的安全风险评估。业务安全应具备能结合业务平台、融入业务流程的安全能力。应具备聚合身份、终端、网络、内容、行为等方面的数据,进行异常行为分析能力。应对数据采集、传输、存储、处理、运维、交换、销毁环节进行数据资产管理的能力。应根据业务连续性要求制定数据备份计划,定期实施备份工作。数据安全应制定数据资产管理措施,数据资产梳理全面,能够覆盖数据库、大数据存储组件、云上对象存储或网盘等存储工具及办公计算机、U盘、光盘等存储介质中的数据;应采用技术手段定期时数据资产进行扫描的情况,及发现识别个人信息、重要数据的能力。一级
7、指标二级指标评价内容应制定数据分类分级制度,数据分类分级保护制度建设应符合国家、行业和地方的数据分类分级规范要求:应在相关制度中明确数据分类管理、分级保护策略,数据分类分级保护措施应落实在数据访问权限申请、保护措施部署等方面:密码安全部署的电子门禁系统、安全视频系统,应调用服务器密码机或签名验签服务器实现数据完整性保护。部署的SS1./IPSecVPN,应采用符合国密的安全产品,能够保证数据传输的安全性。企业应建立密码安全管理体系并落地执行。应调用密码产品实现身份鉴别,应对传输及存储数据的机密性、完整性实施保护,对重要信息的完整性保护。应对日志审计、堡垒机实施定制化改造以调用密码产品来实现日志
8、记录完整性保护,访问完整性保护等。身份鉴别,工控安全应针对工业控制架构进行合理规划和设计,制定有效措施确保IT网络叮OT网络的安全性。应针对工业控制系统风险、安全态势进行统一管理分析。应具备工控网络安全监测能力,对接入网络、设备、系统、终端进行安全监测。应对工控现场设备和过程控制系统接入进行安全控制。应对工控生产管理环境进行安全加固和控制。应具备面向工控系统合作伙伴/机构、第三方设备厂商、工控软件开发商及上下游软件、硬件供应商及合作伙伴的安全管控措施。云安全云基础设施应位于中国境内。云计算平台不应承载高于其安全保护等级的业务应用系统,不同云服务客户虚拟网络需要隔离。云计算平台应具有根据云服务客
9、户业务需求提供通信传输、边界防护、入侵防范等安全机制能力。应在不同等级的网络区域部署访问机制,设置访问控制规则。应确保虚拟机迁移过程中重要数据的完整性,并在监测到完整性受到破坏时采取必要的恢复措施。应选择安全合规云服务提供商。在云服务提供商提供的服务合约到期时,企业应有措施督促云服务商在云计算平台上清除本企业的相关数据。应能监测到云服务客户发起的网络攻击行为,记录相关攻击类型和攻击时间及流量,应能监测到虚拟机与虚拟机与宿主机之间的异常流量。应在检测到网络攻击行为时进行告警,应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警。云服务客户应能够对其所使用的云服务商提供的云服务进行审计,以确保其
10、系统和数据的安全性与合规性,确保云服务商在处理客户系统和数据时遵循相应的规定和标准。终端安全应具备防病毒软件,并能够及时更新病毒库。应具备补丁管理软件,并能够及时检测和更新系统补丁。应具备威胁的快速识别和处置能力。应具备移动办公终端安全管理软件,具备防病毒和安全管理等能力。应建立物联网设施、信息数据资产的管理措施。应具备物联网软硬件设备的网络安全准入控制,对物联网设备风险漏洞进行检测、评估和管理。运行与管理管理平台应有统一的平台进行安全数据的采集、处理、分析、展示等能力,采集的范围应能够全面覆盖云、网络、终端、应用、设备等对象。应能够基于资产、配置、脆弱性的相关数据,进行基础架构的安全分析(如
11、资产关联性分析、攻击面分析、漏洞利用分析等),实时监测和分析安全策略的有效性,并进行持续优化。应具备快速分析安全威胁、处置安全事件、主动安全防御的能力。面向可预定义、可重复执行的分析和处置工作,应具备自动化编排安全资源的能力。应具备上下贯通、左右协同的指挥调度平台。安全运行应定期进行公司全网重大补丁升级。应定期进行网络安全合规检查。应定期进行用户身份、主体数字化身份账号及权限进行梳理,应及时调整因工作变动导致的用户权限变更。具备非技术手段或无法整改的漏洞、缺陷等例外情况的跟踪管理能力。应针对不同类型终端,具备开展安全策略制定、安全策略实施、安全策略变更和安全评估等方面的管理能力。应具备针对各区
12、域边界进行安全策略管控和优化能力。一级指标二级指标评价内容应具备威胁分析的多维度管理措施,包括但不限于日志分析、流量分析、事件分析、用户行为分析、业务行为分析、身份异常分析、权限异常分析、策略异常分析、内部威胁分析、漏洞及情报分析、安全态势分析等。应制定威胁分析管控流程,通过制度和标准定义的主要运行能力阶段的流程,包括基础架构阶段安全运行流程、纵深防御阶段安全运行流程、积极防御阶段安全运行流程、威胁情报阶段运行的相关流程。面向威胁分析的覆盖面情况,应包括终端、网络、边界、数据中心、云平台、数据、应用、业务、行为、人员、供应链等。应具备重大或紧急安全事件、应急响应预案和资源评估响应能力。应具备日
13、常的应急响应和关键时期应急响应能力。应定期进行安全演练,形成过程记录,汇总至统一的管理平台。应能够聚合多源威胁情报进行统一研判和管理。应能够将统一汇总、处理过的威胁情报数据下发至不同的网络安全设备。应能够以自动化的手段持续更新多源威胁情。合规与安全人员网络安全意识每年应定期开展网络安全意识培训教育,网络安全岗位相关工作人员应具备相应的资格认证证书。安全保密措施每年应定期开展保密意识培训教育,应制定相应的保密制度和规范。供应链安全企业应建立供应链安全管理制度,管理制度完善。对供应链提供的产品应形成“供应链产品清单”且完善;对第三方提供的服务应形成“供应链企业清单”且完善。国产化替代已完成ICT基
14、础设施替换,主要为办公类PC、服务错、服务器操作系统、数据库系统、网络设备、网络安全类设备的替换。实施国产化替代后,境达到可商用程度,对上层业务无影响。(规范性)评价指标满足情况评分表网络安全指标满足程度得分满足(90%-100%)100大部分满足(60%89%)80部分满足(30%-59%)50不满足(0%-29%)O(规范性)评分等级表成熟度等级等级特征得分值网络安全成熟度AAAAA级企业企业处于行业领先地位,通过构建产业互联网平台打造网络安全生态系统,引领系统内其他企业开展网络安全创新,广泛运用云计算、大数据、人工智能等新技术,实现数据的自动采集、分析与决策制定,推动系统内企业的技术、管
15、理及商业模式的协同创新,以及生态系统的迭代升级。90-100)网络安全成熟度AAAA级企业企业从生态视角实施网络安全战略,紧跟领先企业或进入行业先进行列,网络安全技术不断升级,应用云计算、大数据、人工智能等新技术及产业互联网平台,实现企业内部、企业与生态系统内其他主体之间数据的全面集成,通过对生态系统内大量数据的即时共享与分析,为系统内各主体业务开展提供支撑,实现业务效能提升与精细化管理。80-90)网络安全成熟度AAA级企业企业已经制定和初步落实了网络安全战略,网络安全素养较高,网络安全技术应用于企业各层面,具有较为完善的网络安全基础设施,己在较多领域应用云计算、大数据、人工智能等新技术,井初步建立或融入产业互联网平台,实现核心业务数据的有效衔接,能够对采集的大量数据进行分析以支撵相关业务开展。65-80)网络安全成熟度AA级企业企业管理层开始重视网络安全或进行初步规划,培养企业范围内的网络安全素养和创造力,有一定的信息化基础,局部应用新一代信息技术,能够支持部分业务运转和内部管理,实现领域或部门的数据管理。50-65)网络安全成熟度A级企业企业以传统方式经营运作,对网络安全具有初步认识,但没有网络安全规划,信息化基础较弱,作业过程基本依靠手工操作,对过程数据的管理水平和效率较低。0-50)
