信息安全性价分表.doc

信息 2.11 信息网络安全 800 760 2.11.1 基础管理 120 120 2.11.1.1 组织与岗位职责 20 (1) 信息管理组织机构 10 查看信息管理组织机构文件 有专职信息主管部门,组织机构不完整扣20%~80%标准分 GB/T 20269-2006信息安全技术 信息系统安全管理要求 (2) 信息管理岗位职责 10 查看信息管理岗位职责文件 工作职责与工作范围不完整(有无信息安全岗位)酌情扣20%~80%标准分 2.11.1.2 网络管理制度 30 （1） 建立网络设备管理制度 10 查看相关(广域网、局域网，配套网络线缆设施，网络服务器、工作站等)制度 无相应制度不得分，制度内容不全扣1~5分 GB/T 20269-2006《信息安全技术 信息系统安全管理要求》 （2） 建立网络安全设备管理制度 10 查看相关（IDS、漏洞扫描、防火墙、单向隔离装置、VPN等）制度 无相应制度不得分，制度内容不全扣20%~50%标准分 （3） 建立网络安全信息系统管理制度 10 查看相关（网管系统、上网行为管理系统、网络用户管理系统）制度 无相应制度不得分，制度内容不全扣20%~50%标准分 2.11.1.3 系统管理制度 35 （1） 建立服务器系统管理制度 5 查看相关（补丁管理、权限管理、运行管理）制度 无相应制度不得分，制度内容不全扣20%~50%标准分 GB/T 20269-2006《信息安全技术 信息系统安全管理要求》 （2） 建立存储、备份系统管理制度 5 查看相关（备份介质、备份策略、容灾策略、恢复策略）制度 无相应制度不得分，制度内容不全扣20%~50%标准分 （3） 建立数据库系统管理制度 5 查看相关（版本管理、权限管理、补丁管理、性能管理、可用性管理）制度 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 （4） 建立生产应用系统管理制度 5 查看相关（上线测试管理、权限管理、运行管理）制度 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 （5） 建立防病毒系统管理制度 5 查看相关（部署管理、策略管理、监控管理）制度 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 （6） 建立办公软件系统管理制度 5 查看相关（OA、MIS、MAIL、ERP、WEB）制度 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 （7） 建立各系统应急预案 5 查看系统应急预案制度 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 2.11.1.4 计算机使用管理制度 20 (1) 制定上网行为管理制度 10 查看相关（访问内容、流量控制、下载管理、信息发布）制度 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 GB/T 20269-2006《信息安全技术 信息系统安全管理要求》 (2) 制定计算机使用制度及移动介质（如U盘、光盘等）使用管理制度 10 查看相关（密码、计算机名、补丁、防病毒、个人防火墙、共享等）制度 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 2.11.1.5 信息机房制度 15 (1) 机房的管理制度u 10 查看相关（包括机房准入准出制度、机房内相关操作制度）制度 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 GB/T 20269-2006《信息安全技术 信息系统安全管理要求》 （4） 机房维护手册 5 查看相关（服务器系统、网络系统、环境监控系统）文件 无相应制度不得分，制度内容不全的酌情扣20%~50%标准分 2.11.2 技术管理 460 430 2.11.2.1 网络技术管理 165 （1） 网络拓扑结构的合理性和可扩展性 10 查阅网络拓扑图，向专责人查问 无网络拓扑图扣5分，结构不合理的酌情扣20%~50%标准分 GB/T 20269-2006《信息安全技术 信息系统安全管理要求》 (2) 在相关网络的隔离点，设立合理的访问控制 10 查阅设备配置，变更记录文档 无访问控制不得分，内容不合理的酌情扣20%~50%标准分 (3) 按照方便管理和控制的原则为各子网、网段分配地址段 5 查阅网络结构及IP地址分配方案 没有按需划分子网不得分，分配不合理的酌情扣20%~50%标准分 （4） IP地址的规划方案、分配策略、分配记录进行统一管理 10 检查管理文档或记录 没有相关文档扣5分，记录不全的酌情扣20%~50%标准分 （5） VLAN间访问控制的合理性 10 检查网络配置、记录文档 未配置访问控制策略不得分，配置不合理的酌情扣2