信息安全性评价分表.docx

1、信息安全性评价分表信息2.11信息网络安全8007602.11.1基础管理1201202.11.1.1组织与岗位职责20(1)信息管理组织机构10查看信息管理组织机构文件有专职信息主管部门,组织机构不完整扣20%80%标准分GB/T 20269-2006(2)信息管理岗位职责10查看信息管理岗位职责文件工作职责与工作范围不完整(有无信息安全岗位)酌情扣20%80%标准分2.11.1.2网络管理制度30（1）建立网络设备管理制度10查看相关(广域网、局域网，配套网络线缆设施，网络服务器、工作站等)制度无相应制度不得分，制度内容不全扣15分GB/T 20269-2006信息安全技术 信息系统安全管

2、理要求（2）建立网络安全设备管理制度10查看相关（IDS、漏洞扫描、防火墙、单向隔离装置、VPN等）制度无相应制度不得分，制度内容不全扣20%50%标准分（3）建立网络安全信息系统管理制度10查看相关（网管系统、上网行为管理系统、网络用户管理系统）制度无相应制度不得分，制度内容不全扣20%50%标准分2.11.1.3系统管理制度35（1）建立服务器系统管理制度5查看相关（补丁管理、权限管理、运行管理）制度无相应制度不得分，制度内容不全扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（2）建立存储、备份系统管理制度5查看相关（备份介质、备份策略、容灾策略、恢复

3、策略）制度无相应制度不得分，制度内容不全扣20%50%标准分（3）建立数据库系统管理制度5查看相关（版本管理、权限管理、补丁管理、性能管理、可用性管理）制度无相应制度不得分，制度内容不全的酌情扣20%50%标准分（4）建立生产应用系统管理制度5查看相关（上线测试管理、权限管理、运行管理）制度无相应制度不得分，制度内容不全的酌情扣20%50%标准分（5）建立防病毒系统管理制度5查看相关（部署管理、策略管理、监控管理）制度无相应制度不得分，制度内容不全的酌情扣20%50%标准分（6）建立办公软件系统管理制度5查看相关（OA、MIS、MAIL、ERP、WEB）制度无相应制度不得分，制度内容不全的酌情

4、扣20%50%标准分（7）建立各系统应急预案5查看系统应急预案制度无相应制度不得分，制度内容不全的酌情扣20%50%标准分2.11.1.4计算机使用管理制度20(1)制定上网行为管理制度10查看相关（访问内容、流量控制、下载管理、信息发布）制度无相应制度不得分，制度内容不全的酌情扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求(2)制定计算机使用制度及移动介质（如U盘、光盘等）使用管理制度10查看相关（密码、计算机名、补丁、防病毒、个人防火墙、共享等）制度无相应制度不得分，制度内容不全的酌情扣20%50%标准分2.11.1.5信息机房制度15(1)机房的管理

5、制度u10查看相关（包括机房准入准出制度、机房内相关操作制度）制度无相应制度不得分，制度内容不全的酌情扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（4）机房维护手册5查看相关（服务器系统、网络系统、环境监控系统）文件无相应制度不得分，制度内容不全的酌情扣20%50%标准分2.11.2技术管理4604302.11.2.1网络技术管理165（1）网络拓扑结构的合理性和可扩展性10查阅网络拓扑图，向专责人查问无网络拓扑图扣5分，结构不合理的酌情扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求(2)在相关网络的隔离点，设立合理

6、的访问控制10查阅设备配置，变更记录文档无访问控制不得分，内容不合理的酌情扣20%50%标准分(3)按照方便管理和控制的原则为各子网、网段分配地址段5查阅网络结构及IP地址分配方案没有按需划分子网不得分，分配不合理的酌情扣20%50%标准分（4）IP地址的规划方案、分配策略、分配记录进行统一管理10检查管理文档或记录没有相关文档扣5分，记录不全的酌情扣20%50%标准分（5）VLAN间访问控制的合理性10检查网络配置、记录文档 未配置访问控制策略不得分，配置不合理的酌情扣20%50%标准分（6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗5检查设备配置、登记记录无配置扣3分，

7、无登记记录扣2分（7）安全区边界拓扑结构是否合理，不应有不经过防火墙的外联链路10查阅网络拓扑图，向专责人员查问拓扑图不合理的酌情扣20%50%标准分国家电力监管委员会令（第5号）(8)在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离5到设备实地检查设备安装情况需安装位置无物理单向隔离设备扣5分。生产大区内部无访问控制设备隔离各安全区扣5分。(9)建立电力二次系统安全评估体系，采取以自评估为主、联合评估为辅的方式10检查评估文档无评估文档不得分(10)

8、对所有通过防火墙或其他访问控制设备的网络地址、端口等进行控制10检查网络拓扑图、在线检查防火墙配置检查网络拓扑和防火墙配置，发现一个未覆盖出口扣5分，如未能做到控制则不得分GB/T 20281-2006信息安全技术 防火墙技术要求和测试评价方法(11)防火墙应具备防止已知攻击的能力10查看配置，是否对常用攻击端口进行限制如无相关能力则不得分；功能不完善的酌情扣20%50%标准分(12)防火墙的管理用户开放限制10在线查看防火墙策略（禁止从外部网络登陆，限制其他管理方式），是否采取“默认关闭、按需开启”的策略如未限制则不得分；限制不完善的酌情扣20%50%标准分（13）为了便于防火墙的控制，应对

9、各个系统、软件所使用的端口进行登记10检查端口开放记录文档无登记端口开放记录文档不得分（14）重要系统的数据传输应通过安全链路（专线、加密VPN）10询问专责人员，并实地考察链路状况没有采取安全链路不得分，链路不够安全酌情扣分GB/T 20269-2006信息安全技术 信息系统安全管理要求(15)定期进行漏洞扫描10检查漏洞扫描记录文档无扫描记录文档不得分(16)有专业的网络管理系统对网络结构、网络流量、接入设备进行监控与管理10检查网络管理系统无专业的网络管理系统不得分（17）实施上网行为管理系统10检查系统，系统应具备对WEB访问、网络聊天、P2P下载、网络娱乐、信息收发、宽带流量等应用进

10、行监控，并具有互联网审计功能无上网行为管理系统不得分，功能不全酌情扣分（18）应有网络用户接入控制的技术手段，严格控制网用户的接入10按全部用户数的5%进行随机接入设备测试无网络用户接入控制手段不得分GB/T 20269-2006信息安全技术 信息系统安全管理要求2.11.2.2服务器技术管理60(1)重要系统服务器与网络、存储的接口采用双链路连接方式10现场检查设备连接情况主机与网络非双链路连接方式扣3分，主机与存储非双链路连接方式扣2分GB/T 20271-2006信息安全技术 信息系统通用安全技术要求(2)重要系统服务器数据安全性10查看设备配置或实地考察重要服务器采用双机集群方式，本机

11、磁盘为RAID方式，磁盘、电源等设备支持热插拔不符合要求不得分（3）重要服务器系统可靠性10查看重要服务器等设备日志重要服务器系统可靠性应不低于99.99%，平均故障间隔时间为10万小时以上，不符合要求的酌情扣20%50%标准分(4)重要服务器系统应具有详实可行的应急预案（含事故处理流程）10查看重要服务器应急预案无应急预案扣5分，内容不可行的酌情扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求(5)对服务器进行地址绑定，IP地址分配由信息主管部门负责，有详细的IP地址分配表5在线检查配置并查看IP地址分配表未进行地址绑定扣5分，无IP地址分配表扣5分(6)

12、服务器系统采用强口令，按需设置用户权限5按服务器总数的20%进行随机检查服务器口令不够安全的，按安全性酌情扣分(7)启用屏幕保护的“在恢复时使用密码保护功能”，关闭系统默认共享如C$、D$、IPS$、ADMIN$等，关闭不必要的系统服务5按服务器总数的20%进行随机检查未开密码保护功能扣2分，未关闭默认共享的扣3分GB/T 20269-2006信息安全技术 信息系统安全管理要求(8)系统安装必要补丁5按服务器总数的20%进行随机检查按系统补丁更新程度酌情扣分GB/T 20272-2006信息安全技术 操作系统安全技术要求2.11.2.3存储系统技术管理10(1)重要系统服务器应有系统备份，定期

13、进行有效性验证5查看备份记录及有效性验证测试记录无备份扣5分，未定期进行有效性验证扣5分GB/T 20269-2006信息安全技术 信息系统安全管理要求（2）具有灾备的手段及方法5查看存储系统的灾备方案无灾备手段及方式不得分，灾备内容不全扣5分GB/T 20271-2006信息安全技术 信息系统通用安全技术要求2.11.2.4数据库系统技术管理20(1)数据库口令复杂性检查（包含密码复杂度要求）10在线检查密码设置或利用漏洞扫描设备检查不符合要求酌情扣20%50%标准分GB/T 20273-2006信息安全技术 数据库管理系统安全技术要求(2)修改数据库高级用户默认密码5查看数据库高级用户的密

14、码数据库高级用户密码未更改不得分(3)按照最小权限原则设置数据库用户5登录系统在线检查各用户的权限分配未按照权限进行分配的不得分，未采取最小权限分配原则的酌情扣分GB/T 20271-2006信息安全技术 信息系统通用安全技术要求2.11.2.5生产应用系统技术管理70(1)生产应用系统实施前应进行上线测试、压力测试并出具测试报告10查看生产应用系统上线测试报告无测试报告不得分，测试报告内容不全的酌情扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求(2)生产应用系统的版本及软件更新记录10登录系统查看系统版本，检查软件更新记录无记录不得分，记录内容不全的酌情

15、扣20%50%标准分(3)生产应用系统的用户管理及帐户更新记录10查看生产系统的用户管理及维护记录无记录不得分，记录内容不全的酌情扣20%50%标准分(4)建立生产应用系统权限管理制度，实现权限分离10查看生产应用系统权限管理制度无制度不得分，未将管理与审计的权限分离或记录缺失扣5分GB/T 20271-2006信息安全技术 信息系统通用安全技术要求(5)生产应用系统应具有详实可行的应急预案10查看生产系统的应急预案无应急预案不得分，内容不含事故处理流程的酌情扣20%50%标准分(6)定期对生产应用系统进行分析评估，提出系统维护计划10查看生产系统运行评估报告无评估文件及计划不得分，内容不详实

16、的酌情扣20%50%标准分(7)对新用户进行培训10查看培训记录和培训操作计划无培训计划及操作手册不得分，内容不详实的酌情扣20%50%标准分2.11.2.6防病毒系统技术管理25(1)防病毒系统应覆盖所有PC服务器及客户端10按PC服务器总数的10%进行抽查按抽查服务器中未安装防病毒系统所占比例扣分GB/T 20269-2006信息安全技术 信息系统安全管理要求(2)病毒扫描策略应规定1周内至少进行一次扫描，出具病毒统计分析报告10检查防病毒系统中扫描策略无策略不得分，策略不符合要求扣3分（3）对防病毒客户端管理策略配置是否合理5检查相关（自动升级病毒代码、定期扫描、病毒爆发应急预案）配置无

17、策略不得分，策略不符合要求扣3分2.11.2.7办公系统技术管理30(1)办公系统全线管理、数据管理10检查相关（用户权限分配记录、数据备份存储记录）文件权限分配记录不完整的酌情扣20%50%标准分，数据管理记录不完整的酌情扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求(2)网站发布审核管理10检查网站发布审核功能无审批流程不得分(3)个人计算机无涉密文件5随机对个人计算机总数的20%进行抽查不符合要求不得分GB/T 20269-2006信息安全技术 信息系统安全管理要求(4)邮件系统应具备垃圾邮件过滤功能5检查邮件系统配置文档不符合要求不得分2.11.2

18、.8个人计算及技术管理30(1)个人计算及软件正版化5按个人电脑总数的15%进行现场抽查按抽查数中不合格数所占抽查总数比例进行扣分(2)计算机使用规范检查5现场抽查（强口令、机器名、补丁）按抽查数中不合格数所占抽查总数比例进行扣分(3)个人计算机有无防病毒软件、个人防火墙5按个人电脑总数的15%进行现场抽查按抽查数中不合格数所占抽查总数比例进行扣分(4)个人计算机有无与办公无关的应用软件5按个人电脑总数的15%进行现场抽查按抽查数中不合格数所占抽查总数比例进行扣分GB/T 20269-2006信息安全技术 信息系统安全管理要求(5)涉密个人计算机与网络隔离5按个人电脑总数的15%进行现场抽查按

19、抽查数中不合格数所占抽查总数比例进行扣分(6)个人计算机关闭系统默认共享及共享文件夹5按个人电脑总数的15%进行现场抽查按抽查数中不合格数所占抽查总数比例进行扣分2.11.2.9机房技术管理50(1)机房设置位置合理性10进入机房现场检查噪声、粉尘、电磁干扰是否远离噪声、粉尘、电磁干扰，不符合要求不得分GB/T 50174-2008电子计算机机房设计规范(2)机房设备供电5进入机房现场检查供电系统是否布置合理，电源是否采用不间断电源供电系统位置不合理扣2分，未采用不间断电源扣3分(3)机房静电防护5进入机房现场检查是否安装防静电地板，全部设备均应接地，接地电阻小于标准值未接地不得分，接地电阻大

20、于标准值扣2分(4)机房环境监控10进入机房现场检查门禁、消防、安防、视频监控、环境监控系统和空调系统机房中每缺一项扣2分(5)机房各重要线路标识10进入机房现场检查电力线和信号线应独立铺设，走线要求整齐、美观、安全。各系统布线线缆分类铺设，线缆及设备标号清晰明确，设备应有详细标识包括应用系统名称、IP地址、负责人、开发维护人员联系方式电力线和信号线未单独走线扣5分，标识不清扣15分(6)定期清理核心设备空气滤网10进行机房进行现场检查核心设备空气滤网空气滤网已阻塞或未定期清洗不得分2.11.3运行维护2202102.11.3.1网络运行维护100（1）网络设备巡检情况10检查网络设备巡检记录

21、无记录扣5分，记录不全扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（2）网络设备接入审批情况10检查网络设备接入审批记录无记录扣5分，记录不全扣20%50%标准分GB/T 20271-2006信息安全技术 信息系统通用安全技术要求（3）网络设备流量情况10检查网络设备流量记录无记录扣5分，记录不全扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（4）网络设备故障情况10检查网络设备故障记录无记录扣5分，记录不全扣20%50%标准分GB/T 19716-2005信息技术信息安全管理实用要求（5）网络设备变更情况10检查网

22、络设备变更记录无记录扣5分，记录不全扣20%50%标准分（6）网络设备台帐情况检查网络设备台帐记录无记录扣5分，记录不全扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（7）IP地址分配情况10检查IP地址分配记录无记录扣5分，记录不全扣20%50%标准分（8）上网行为情况10检查上网行为记录无记录扣5分，记录不全扣20%50%标准分GB/T 19716-2005信息技术信息安全管理实用要求（9）网络设备配置备份情况10检查网络设备配置备份存档无记录扣5分，记录不全扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（10）网

23、络设备运行报表10检查网络设备运行报表（月报、季报、年报）无记录扣5分，记录不全扣20%50%标准分2.11.3.2应用系统运行维护45（1）各系统故障情况15检查系统故障记录无记录扣5分，记录不全扣20%50%标准分GB/T 19716-2005信息技术信息安全管理实用要求（2）应急演练情况10检查应急演练记录无记录扣5分，记录不全扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（3）编制生产应用系统运维手册情况10检查编制生产应用系统运维手册无手册扣5分，手册不全扣20%50%标准分（4）应用系统备份情况10检查应用系统备份无记录扣5分，记录不全扣20%

24、50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求2.11.3.3主机数据库系统运行维护55（1）主机数据库系统巡检情况15检查主机数据库系统巡检记录无记录扣5分，记录不全扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（2）系统故障情况10检查系统故障记录无记录扣5分，记录不全扣20%50%标准分GB/T 19716-2005信息技术信息安全管理实用要求（3）系统操作情况10检查系统操作记录无记录扣5分，记录不全扣20%50%标准分GB/T 20269-2006信息安全技术 信息系统安全管理要求（4）应急演练情况10检查应急演练记录无记录扣5分，记录不全扣20%50%标准分（5）主机数据库系统备份情况10检查主机数据库系统备份记录无记录扣5分，记录不全扣20%80%标准分GB/T 20273-2006信息安全技术 数据库管理系统安全技术要求2.11.3.4机房运行维护20（1）机房环境监控情况10检查机房环境监控记录无记录扣5分，记录不全扣20%80%标准分GB/T 20271-2006信息安全技术 信息系统通用安全技术要求（2）机房巡检记录5检查相关记录无记录扣5分，记录不全扣13分GB/T 20269-2006信息安全技术 信息系统安全管理要求