信息安全性评价分表.docx
《信息安全性评价分表.docx》由会员分享,可在线阅读,更多相关《信息安全性评价分表.docx(21页珍藏版)》请在冰豆网上搜索。
信息安全性评价分表
信息
2.11
信息网络安全
800
760
2.11.1
基础管理
120
120
2.11.1.1
组织与岗位职责
20
(1)
信息管理组织机构
10
查看信息管理组织机构文件
有专职信息主管部门,组织机构不完整扣20%~80%标准分
GB/T20269-2006<<信息安全技术信息系统安全管理要求>>
(2)
信息管理岗位职责
10
查看信息管理岗位职责文件
工作职责与工作范围不完整(有无信息安全岗位)酌情扣20%~80%标准分
2.11.1.2
网络管理制度
30
(1)
建立网络设备管理制度
10
查看相关(广域网、局域网,配套网络线缆设施,网络服务器、工作站等)制度
无相应制度不得分,制度内容不全扣1~5分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
建立网络安全设备管理制度
10
查看相关(IDS、漏洞扫描、防火墙、单向隔离装置、VPN等)制度
无相应制度不得分,制度内容不全扣20%~50%标准分
(3)
建立网络安全信息系统管理制度
10
查看相关(网管系统、上网行为管理系统、网络用户管理系统)制度
无相应制度不得分,制度内容不全扣20%~50%标准分
2.11.1.3
系统管理制度
35
(1)
建立服务器系统管理制度
5
查看相关(补丁管理、权限管理、运行管理)制度
无相应制度不得分,制度内容不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
建立存储、备份系统管理制度
5
查看相关(备份介质、备份策略、容灾策略、恢复策略)制度
无相应制度不得分,制度内容不全扣20%~50%标准分
(3)
建立数据库系统管理制度
5
查看相关(版本管理、权限管理、补丁管理、性能管理、可用性管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(4)
建立生产应用系统管理制度
5
查看相关(上线测试管理、权限管理、运行管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(5)
建立防病毒系统管理制度
5
查看相关(部署管理、策略管理、监控管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(6)
建立办公软件系统管理制度
5
查看相关(OA、MIS、MAIL、ERP、WEB)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(7)
建立各系统应急预案
5
查看系统应急预案制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
2.11.1.4
计算机使用管理制度
20
(1)
制定上网行为管理制度
10
查看相关(访问内容、流量控制、下载管理、信息发布)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
制定计算机使用制度及移动介质(如U盘、光盘等)使用管理制度
10
查看相关(密码、计算机名、补丁、防病毒、个人防火墙、共享等)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
2.11.1.5
信息机房制度
15
(1)
机房的管理制度u
10
查看相关(包括机房准入准出制度、机房内相关操作制度)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(4)
机房维护手册
5
查看相关(服务器系统、网络系统、环境监控系统)文件
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
2.11.2
技术管理
460
430
2.11.2.1
网络技术管理
165
(1)
网络拓扑结构的合理性和可扩展性
10
查阅网络拓扑图,向专责人查问
无网络拓扑图扣5分,结构不合理的酌情扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
在相关网络的隔离点,设立合理的访问控制
10
查阅设备配置,变更记录文档
无访问控制不得分,内容不合理的酌情扣20%~50%标准分
(3)
按照方便管理和控制的原则为各子网、网段分配地址段
5
查阅网络结构及IP地址分配方案
没有按需划分子网不得分,分配不合理的酌情扣20%~50%标准分
(4)
IP地址的规划方案、分配策略、分配记录进行统一管理
10
检查管理文档或记录
没有相关文档扣5分,记录不全的酌情扣20%~50%标准分
(5)
VLAN间访问控制的合理性
10
检查网络配置、记录文档
未配置访问控制策略不得分,配置不合理的酌情扣20%~50%标准分
(6)
重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗
5
检查设备配置、登记记录
无配置扣3分,无登记记录扣2分
(7)
安全区边界拓扑结构是否合理,不应有不经过防火墙的外联链路
10
查阅网络拓扑图,向专责人员查问
拓扑图不合理的酌情扣20%~50%标准分
国家电力监管委员会令(第5号)
(8)
在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。
生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离
5
到设备实地检查设备安装情况
需安装位置无物理单向隔离设备扣5分。
生产大区内部无访问控制设备隔离各安全区扣5分。
(9)
建立电力二次系统安全评估体系,采取以自评估为主、联合评估为辅的方式
10
检查评估文档
无评估文档不得分
(10)
对所有通过防火墙或其他访问控制设备的网络地址、端口等进行控制
10
检查网络拓扑图、在线检查防火墙配置
检查网络拓扑和防火墙配置,发现一个未覆盖出口扣5分,如未能做到控制则不得分
GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法
(11)
防火墙应具备防止已知攻击的能力
10
查看配置,是否对常用攻击端口进行限制
如无相关能力则不得分;功能不完善的酌情扣20%~50%标准分
(12)
防火墙的管理用户开放限制
10
在线查看防火墙策略(禁止从外部网络登陆,限制其他管理方式),是否采取“默认关闭、按需开启”的策略
如未限制则不得分;限制不完善的酌情扣20%~50%标准分
(13)
为了便于防火墙的控制,应对各个系统、软件所使用的端口进行登记
10
检查端口开放记录文档
无登记端口开放记录文档不得分
(14)
重要系统的数据传输应通过安全链路(专线、加密VPN)
10
询问专责人员,并实地考察链路状况
没有采取安全链路不得分,链路不够安全酌情扣分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(15)
定期进行漏洞扫描
10
检查漏洞扫描记录文档
无扫描记录文档不得分
(16)
有专业的网络管理系统对网络结构、网络流量、接入设备进行监控与管理
10
检查网络管理系统
无专业的网络管理系统不得分
(17)
实施上网行为管理系统
10
检查系统,系统应具备对WEB访问、网络聊天、P2P下载、网络娱乐、信息收发、宽带流量等应用进行监控,并具有互联网审计功能
无上网行为管理系统不得分,功能不全酌情扣分
(18)
应有网络用户接入控制的技术手段,严格控制网用户的接入
10
按全部用户数的5%进行随机接入设备测试
无网络用户接入控制手段不得分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
2.11.2.2
服务器技术管理
60
(1)
重要系统服务器与网络、存储的接口采用双链路连接方式
10
现场检查设备连接情况
主机与网络非双链路连接方式扣3分,主机与存储非双链路连接方式扣2分
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
(2)
重要系统服务器数据安全性
10
查看设备配置或实地考察
重要服务器采用双机集群方式,本机磁盘为RAID方式,磁盘、电源等设备支持热插拔不符合要求不得分
(3)
重要服务器系统可靠性
10
查看重要服务器等设备日志
重要服务器系统可靠性应不低于99.99%,平均故障间隔时间为10万小时以上,不符合要求的酌情扣20%~50%标准分
(4)
重要服务器系统应具有详实可行的应急预案(含事故处理流程)
10
查看重要服务器应急预案
无应急预案扣5分,内容不可行的酌情扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(5)
对服务器进行地址绑定,IP地址分配由信息主管部门负责,有详细的IP地址分配表
5
在线检查配置并查看IP地址分配表
未进行地址绑定扣5分,无IP地址分配表扣5分
(6)
服务器系统采用强口令,按需设置用户权限
5
按服务器总数的20%进行随机检查
服务器口令不够安全的,按安全性酌情扣分
(7)
启用屏幕保护的“在恢复时使用密码保护功能”,关闭系统默认共享如C$、D$、IPS$、ADMIN$等,关闭不必要的系统服务
5
按服务器总数的20%进行随机检查
未开密码保护功能扣2分,未关闭默认共享的扣3分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(8)
系统安装必要补丁
5
按服务器总数的20%进行随机检查
按系统补丁更新程度酌情扣分
GB/T20272-2006《信息安全技术操作系统安全技术要求》
2.11.2.3
存储系统技术管理
10
(1)
重要系统服务器应有系统备份,定期进行有效性验证
5
查看备份记录及有效性验证测试记录
无备份扣5分,未定期进行有效性验证扣5分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
具有灾备的手段及方法
5
查看存储系统的灾备方案
无灾备手段及方式不得分,灾备内容不全扣5分
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
2.11.2.4
数据库系统技术管理
20
(1)
数据库口令复杂性检查(包含密码复杂度要求)
10
在线检查密码设置或利用漏洞扫描设备检查
不符合要求酌情扣20%~50%标准分
GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》
(2)
修改数据库高级用户默认密码
5
查看数据库高级用户的密码
数据库高级用户密码未更改不得分
(3)
按照最小权限原则设置数据库用户
5
登录系统在线检查各用户的权限分配
未按照权限进行分配的不得分,未采取最小权限分配原则的酌情扣分
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
2.11.2.5
生产应用系统技术管理
70
(1)
生产应用系统实施前应进行上线测试、压力测试并出具测试报告
10
查看生产应用系统上线测试报告
无测试报告不得分,测试报告内容不全的酌情扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
生产应用系统的版本及软件更新记录
10
登录系统查看系统版本,检查软件更新记录
无记录不得分,记录内容不全的酌情扣20%~50%标准分
(3)
生产应用系统的用户管理及帐户更新记录
10
查看生产系统的用户管理及维护记录
无记录不得分,记录内容不全的酌情扣20%~50%标准分
(4)
建立生产应用系统权限管理制度,实现权限分离
10
查看生产应用系统权限管理制度
无制度不得分,未将管理与审计的权限分离或记录缺失扣5分
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
(5)
生产应用系统应具有详实可行的应急预案
10
查看生产系统的应急预案
无应急预案不得分,内容不含事故处理流程的酌情扣20%~50%标准分
(6)
定期对生产应用系统进行分析评估,提出系统维护计划
10
查看生产系统运行评估报告
无评估文件及计划不得分,内容不详实的酌情扣20%~50%标准分
(7)
对新用户进行培训
10
查看培训记录和培训操作计划
无培训计划及操作手册不得分,内容不详实的酌情扣20%~50%标准分
2.11.2.6
防病毒系统技术管理
25
(1)
防病毒系统应覆盖所有PC服务器及客户端
10
按PC服务器总数的10%进行抽查
按抽查服务器中未安装防病毒系统所占比例扣分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
病毒扫描策略应规定1周内至少进行一次扫描,出具病毒统计分析报告
10
检查防病毒系统中扫描策略
无策略不得分,策略不符合要求扣3分
(3)
对防病毒客户端管理策略配置是否合理
5
检查相关(自动升级病毒代码、定期扫描、病毒爆发应急预案)配置
无策略不得分,策略不符合要求扣3分
2.11.2.7
办公系统技术管理
30
(1)
办公系统全线管理、数据管理
10
检查相关(用户权限分配记录、数据备份存储记录)文件
权限分配记录不完整的酌情扣20%~50%标准分,数据管理记录不完整的酌情扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
网站发布审核管理
10
检查网站发布审核功能
无审批流程不得分
(3)
个人计算机无涉密文件
5
随机对个人计算机总数的20%进行抽查
不符合要求不得分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(4)
邮件系统应具备垃圾邮件过滤功能
5
检查邮件系统配置文档
不符合要求不得分
2.11.2.8
个人计算及技术管理
30
(1)
个人计算及软件正版化
5
按个人电脑总数的15%进行现场抽查
按抽查数中不合格数所占抽查总数比例进行扣分
(2)
计算机使用规范检查
5
现场抽查(强口令、机器名、补丁)
按抽查数中不合格数所占抽查总数比例进行扣分
(3)
个人计算机有无防病毒软件、个人防火墙
5
按个人电脑总数的15%进行现场抽查
按抽查数中不合格数所占抽查总数比例进行扣分
(4)
个人计算机有无与办公无关的应用软件
5
按个人电脑总数的15%进行现场抽查
按抽查数中不合格数所占抽查总数比例进行扣分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(5)
涉密个人计算机与网络隔离
5
按个人电脑总数的15%进行现场抽查
按抽查数中不合格数所占抽查总数比例进行扣分
(6)
个人计算机关闭系统默认共享及共享文件夹
5
按个人电脑总数的15%进行现场抽查
按抽查数中不合格数所占抽查总数比例进行扣分
2.11.2.9
机房技术管理
50
(1)
机房设置位置合理性
10
进入机房现场检查噪声、粉尘、电磁干扰
是否远离噪声、粉尘、电磁干扰,不符合要求不得分
GB/T50174-2008《电子计算机机房设计规范》
(2)
机房设备供电
5
进入机房现场检查供电系统是否布置合理,电源是否采用不间断电源
供电系统位置不合理扣2分,未采用不间断电源扣3分
(3)
机房静电防护
5
进入机房现场检查是否安装防静电地板,全部设备均应接地,接地电阻小于标准值
未接地不得分,接地电阻大于标准值扣2分
(4)
机房环境监控
10
进入机房现场检查门禁、消防、安防、视频监控、环境监控系统和空调系统
机房中每缺一项扣2分
(5)
机房各重要线路标识
10
进入机房现场检查电力线和信号线应独立铺设,走线要求整齐、美观、安全。
各系统布线线缆分类铺设,线缆及设备标号清晰明确,设备应有详细标识包括应用系统名称、IP地址、负责人、开发维护人员联系方式
电力线和信号线未单独走线扣5分,标识不清扣1~5分
(6)
定期清理核心设备空气滤网
10
进行机房进行现场检查核心设备空气滤网
空气滤网已阻塞或未定期清洗不得分
2.11.3
运行维护
220
210
2.11.3.1
网络运行维护
100
(1)
网络设备巡检情况
10
检查网络设备巡检记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
网络设备接入审批情况
10
检查网络设备接入审批记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
(3)
网络设备流量情况
10
检查网络设备流量记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(4)
网络设备故障情况
10
检查网络设备故障记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T19716-2005《信息技术信息安全管理实用要求》
(5)
网络设备变更情况
10
检查网络设备变更记录
无记录扣5分,记录不全扣20%~50%标准分
(6)
网络设备台帐情况
检查网络设备台帐记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(7)
IP地址分配情况
10
检查IP地址分配记录
无记录扣5分,记录不全扣20%~50%标准分
(8)
上网行为情况
10
检查上网行为记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T19716-2005《信息技术信息安全管理实用要求》
(9)
网络设备配置备份情况
10
检查网络设备配置备份存档
无记录扣5分,记录不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(10)
网络设备运行报表
10
检查网络设备运行报表(月报、季报、年报)
无记录扣5分,记录不全扣20%~50%标准分
2.11.3.2
应用系统运行维护
45
(1)
各系统故障情况
15
检查系统故障记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T19716-2005《信息技术信息安全管理实用要求》
(2)
应急演练情况
10
检查应急演练记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(3)
编制生产应用系统运维手册情况
10
检查编制生产应用系统运维手册
无手册扣5分,手册不全扣20%~50%标准分
(4)
应用系统备份情况
10
检查应用系统备份
无记录扣5分,记录不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
2.11.3.3
主机数据库系统运行维护
55
(1)
主机数据库系统巡检情况
15
检查主机数据库系统巡检记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(2)
系统故障情况
10
检查系统故障记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T19716-2005《信息技术信息安全管理实用要求》
(3)
系统操作情况
10
检查系统操作记录
无记录扣5分,记录不全扣20%~50%标准分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
(4)
应急演练情况
10
检查应急演练记录
无记录扣5分,记录不全扣20%~50%标准分
(5)
主机数据库系统备份情况
10
检查主机数据库系统备份记录
无记录扣5分,记录不全扣20%~80%标准分
GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》
2.11.3.4
机房运行维护
20
(1)
机房环境监控情况
10
检查机房环境监控记录
无记录扣5分,记录不全扣20%~80%标准分
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
(2)
机房巡检记录
5
检查相关记录
无记录扣5分,记录不全扣1~3分
GB/T20269-2006《信息安全技术信息系统安全管理要求》
升级会员 