第一章 总 则
第一条 为切实做好网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,加强公司网络安全能力,确保公司网络与信息安全,提高各部门对安全管理的重视,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神,结合公司实际情况,制定本细则。
第二条 本细则适用于公司所属各单位。
第三条 网络安全工作的领导机构为公司网络安全工作领导小组,由技术中心负责整体事务。
第四条 坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
第五条 网络安全考核坚持真实、客观、公正,做到数据真实准确,考核内容客观,结果公正,考核结果纳入公司绩效考核指标。
第二章 评价的内容和指标
第六条 建立网络安全与信息化考核评价制度,目的是进一 步提高全公司信息化整体水平,切实把信息化建设的责任和义务分解落实到各单位及其负责人,做到领导重视、组织健全、投资到位、高效统一。
第七条 考核的基本内容包括网络安全预警建设体系、网络安全防护工作、网络安全培训、网络与设备管理、信息安全管理、信息系统应用管理六大类,采用量化计分方式进行考核评价,详见附件。
第 考核的指标和分值依据公司年度网络安全建设重点进行适当的调整和优化。
第三章 评价方法
第九条 公司每年开展一次网络安全考核工作,通过调取各单位网络安全管理、网络安全培训、设备及资产管理等数据指标和现场核查进行。
第十条 网络安全考核采用量化计分方式,通过加分、扣分实现,其中网络安全预警建设、网络安全防护工作和网络安全培训为加分项,总分 100 分;设备资产管理、信息安全管理和信息系统管理为扣分项,总分 100 分,网络安全考核最终得分为-100 分到+100 分之间,详见附件。
第十一条 网络安全预警建设考核网络安全检测平台建设情况、运行情况、是否纳入升级安全检测平台,最高加分20分;网络安全防护情况考核网络安全管理制度实施情况以及网络安全防护体系建设情况,最高加分60分;网络安全培训考核当年网络安全知识培训情况,最高加分20分,详见附件。
第十二条 设备资产管理考核机房管理制度和管理人员、 网络运行情况、联网出口状况、网络设备管理等情况,最高扣分35 分;信息安全管理考核网络信息安全事件、主机安全、防火墙安全、入网管理、核心网络设备安全、数据备份等情况;最高扣分 35 分,信息系统管理考核 公司内部信息系统情况,最高扣分 30 分,详见附件。
第十三条 网络安全考核最终得分(SI)=网络安全预警建设情况、网络安全防护情况、网络安全培训情况、设备资产管理、信息安全管理、信息系统管理各项得分合计。
第十四条 考核结束后,形成年度企业网络安全考 核评价最终结果,形成年度网络安全考核报告,归档。
第四章 评价组织与程序
第十六条 公司依据相应法律法规、以及公司战略对本考核管理办法以及《网络安全考核分值设置和评分标准》进行调整。
第十七条 每年度 11月底前,公司完成考核工作,12月底前,公司组织完成评价工作,并公布评价结果。
第五章 附 则
第十 本细则由公司技术中心负责解释。
附件
网络安全考核分值设置和评分标准
| 序 号 | 考核指标 | 分 值 | 指标 说明 | 评分规则 | 备 注 | |
1 | 网络安全防护情况 | 网络安全领导小组 | 15 | 按照公司网络安全管理办法进行网络安全防护建设 | 按要求成立领导小组,加 2 分。有完整的领 导小组履职记录,加 3 分。 | |
网络安全应急小组 | 成立网络安全应急小组,加 2 分;每配备 1 名 应急小组成员,加 0.5 分。累计加分不超 过 3 分。 | |||||
网络安全应急预案 | 完善网络安全应急预案,加1分。累计加分不超过 3分。 | |||||
预算编制和审核 | 15 | 编制年度网络安全预算,加 2 分;完成提交审 核,加 3 分。 | ||||
信息化实际投入 | 实际投入超过预算的 80%,加 10 分,否则不加分 | |||||
| 专款专用 | 做到专款专用,加 5 分;否则不加分。 | |||||
网络安全管理等办法 | 10 | 《网络安全管理办法》、《培训管理》、《网络安全考核管理》等, 每制定 1 项并按需修订,加 1 分。累计加分不超过 2 分。 | ||||
执行方案 | 制定公司总体执行方案,加 2 分;制定公司 业务架构、数据架构、技术架构,各加 1 分。 | |||||
标准、规范 | 每制定发布 1 项标准、规范,加 1 分,累计 加分不超过 3 分。 | |||||
| 网络安全演练 | 20 | 年度内每完成一次安全演练加10分,累计不超过20分 | ||||
| 序 号 | 考核指标 | 分 值 | 指标 说明 | 评分规则 | 备 注 | |
2 | 网络安全预警建设工作 | 20 | 网络安全监测预警手段 | 完善公司网络安全监测预警手段,完成进度进行加分,接入省级安全监测平台累计20分。 | ||
3 | 网络安全培训 | 20 | 是否按照要求每年进行网络安全相关培训,以及培训次数 | 当年每召开一次公司级网络安全培训,加10分。累计加分不超过 25分。 | ||
4 | 设备资产管理 | 机房管理制度和人员 | 35 | 网络设 备、运行 平稳状 况、网速 等管理 | 每缺 1 项,扣 5 分,累计扣分不超过 5 分。 | |
网络运行情况 | (每发生 1 次)中断 1 小时,扣 2 分;中断 2 小时,扣 3 分;中断 3 小时,扣 4 分;中断 4 小时及以上,扣 5 分,累计扣分不超过 5 分。 | |||||
联网出口状况 | 网络上/下行低于合同约定带宽的 1/2,扣 2 分;1/3,扣 5 分。累计扣分不超过 5 分。 | |||||
网络设备管理 | 没有机房出入登记记录,扣 2 分;没有设备 检修、新增、配置变更记录,扣 10 分;没 有设备配置表,扣 2 分;没有新增视频会议 点审批记录,扣 2 分;没有网络拓扑图,扣 2 分;没有服务器地址列表,扣 2 分。累计 扣分不超过 20 分。 | |||||
5 | 信息 安全 管理 | 网络信息安全事件 | 35 | 网络信息 安全事件 | 每发生一起被公司及以上单位通报的安全事故的信息安全事件,扣 35 分;每发生一起被公司通报,扣 20 分,累计扣分不超过 35 分。 | |
| 序 号 | 考核指标 | 分 值 | 指标 说明 | 评分规则 | 备 注 | |
主机安全 | 和设备软 硬件安全 | 网内计算机系统未安装安全类软件,未及时 升级、未及时修复重大安全漏洞,每发现 1 台,扣 3 分,累计扣分不超过 15。 | 累 计 扣 分 不 超 过 35 分 。 | |||
防火墙安全 | 按要求合理配置防火墙,打开必要的应用端 口,关闭未使用的端口。未合理配置,扣 10 分 | |||||
入网管理 | 每发现 1 台未进行入网登记,扣 1 分,累计 不超过 5 分。 | |||||
核心网络设备安全 | 核心网络设备未设置高强度密码(密码 8 位 及以上,同时包含大小写字母、数字及符 号)。每 1 台未达要求扣 5 分,累计扣分不 超过 5 分。 | |||||
数据备份 | 信息系统数据未进行有效备份,扣 5 分 | |||||
6 | 信息 系统 应用 管理 | OA 平台 | 30 | OA 平台和 视频会议 系统的正 常应用 | OA 平台未进行权限设置(变更)申请记录登 记,扣 5 分;OA 平台与公司互信不畅通,扣 5 分。 | |
视频会议系统 | 未按公司规定进行联调联试,每发生 1 次, 扣 5 分,视频系统每发生会议中断 5 分钟以 上,扣 20 分,累计扣分不超过 20 分 | |||||
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
