企业网络安全成熟度评价指标及权重表、评价内容表、满足情况评分表、评分等级表

1错误!使用“开始”选项卡将标准文件_文件编号应用于要在此处显示的文字。(规范性)二级指标(20个)权重(示例)战略与组织组织机构战略和架构资源保障云安全终端安全管理平台安全运行人员网络安全意识安全措施国产化替代错误!使用“开始”选项卡将标准文件_文件编号应用于要在此处显示的文字。2(规范性)战略与组织组织机构应明确一名分管领导负责本单位网络安全工作(分管领导应为本单位正职或履行职责。网络安全工作应成为本单位文化的组成部分，并以多种形式进行宣应设置负责安全审计工作的专岗，有正式发文记录，并确保这些人员有效履行职应按要求设置安全管理员等安全工作的关键岗位，具备相应的任职能力，并正式发文记战略和架构应建立和维护网络安全规划(战略、架构)和计划，并按照计划开展网络安架构覆盖了资产、网络、数据、应用等，并周期性的进行持续改进。网络安全架构中应考虑新的网络安全技术或架构的应策略与制度固化安全策略，并定期对安全管理制度体系进行资源保障列出的网络安全经费应满足年度网络安全工作的需求。安全资源(产品、服务)应足够支撑年度网络安全工作的开展及安全事件的响安全资源的调度流程应顺畅，应在发生安全事件时可以及时调度响技术与服务全机房应避免安置于建筑的地下室或顶层，在地下室或顶层应做好防水、防潮等措在其可信验证被破坏时自动告警，并将验证结果形成审计记录传送至安全管应对关键网络节点处设置网络攻击行为的监测和响应措施。网络流量进行安全风险检测和控制；无线网络应通过受控的边界设备接入内部应用系统与其他系统进行数据交换过程中，应配置必要的安全保护措应对用户访问业务应用系统进行精细的数据访问权限控制。应具备独立的安全测试环境，对测试数据进行脱敏处理，避免真实数据泄露。应用系统上线前应进行全面的安全风险评估。应具备能结合业务平台、融入业务流程的安全能力。应具备聚合身份、终端、网络、内容、行为等方面的数据，进行异常行为分析能应对数据采集、传输、存储、处理、运维、交换、销毁环节进行数据资产管理的能力。应根据业务连续性要求制定数据备份计划，定期实施备份工据资产进行扫描的情况，及发现识别个人信息、重要数据的3错误!使用“开始”选项卡将标准文件_文件编号应用于要在此处显示的文字。数据访问权限申请、保护措施部署等方面；护。部署的SSL/IPSecVPN,应采用符合国密的安全产品，能够保证数据传输的安全性。完整性保护。应针对工业控制架构进行合理规划和设计，制定有效措施确保IT网络与OT网络的安全性。应针对工业控制系统风险、安全态势进行统一管理分析。应具备工控网络安全监测能力，对接入网络、设备、系统、终端进行安全监应对工控现场设备和过程控制系统接入进行安全控制。应对工控生产管理环境进行安全加固和控制。云安全云基础设施应位于中国境内。应在不同等级的网络区域部署访问机制，设置访问控制规则。应确保虚拟机迁移过程中重要数据的完整性，并在监测到完整性受到破坏施。应选择安全合规云服务提供商。的相关数据。告警。与合规性，确保云服务商在处理客户系统和数据时遵循相应的规定和标准。终端安全应具备防病毒软件，并能够及时更新病毒库。应具备补丁管理软件，并能够及时检测和更新系统补丁。应具备威胁的快速识别和处置能力。应具备移动办公终端安全管理软件，具备防病毒和安全管理等能应建立物联网设施、信息数据资产的管理措运行与管理管理平台击面分析、漏洞利用分析等),实时监测和分析安全策略的有效性，并进行持续优化。应具备快速分析安全威胁、处置安全事件、主动安全防御的能力。面向可预定义、可重复执行的分析和处置工作，应具备自动化编排安全资源的能应具备上下贯通、左右协同的指挥调度平台。安全运行应定期进行公司全网重大补丁升级。应定期进行网络安全合规检查。具备非技术手段或无法整改的漏洞、缺陷等例外情况的跟踪管理能的管理能力。应具备针对各区域边界进行安全策略管控和优化能力。错误!使用“开始”选项卡将标准文件_文件编号应用于要在此处显示的文字。4应具备重大或紧急安全事件、应急响应预案和资源评估响应能力。应具备日常的应急响应和关键时期应急响应能力。应定期进行安全演练，形成过程记录，汇总至统一的管理平台。应能够聚合多源威胁情报进行统一研判和管理。应能够将统一汇总、处理过的威胁情报数据下发至不同的网络安全设应能够以自动化的手段持续更新多源威胁情。合规与安全人员网络安每年应定期开展网络安全意识培训教育，网络安全岗位相关工作人员应具书。安全保密措施每年应定期开展保密意识培训教育，应制定相应的保密制度和规企业应建立供应链安全管理制度，管理制度完国产化替代实施国产化替代后，应达到可商用程度，对上层业务无影响。5错误!使用“开始”选项卡将标准文件_文件编号应用于要在此处显示的文字。(规范性)网络安全指标满足程度满足(90%-100%)大部分满足(60%-89%)部分满足(30%-59%)不满足(0%-29%)06错误!使用“开始”选项卡将标准文件_文件编号应用于要在此处显示的文字。(规范性)评分等级表成熟度等级网络安全成熟度AAAAA级企业网络安全成熟度AAAA级企业企业从生态视角实施网络安全战略，紧跟领先企业或进入网络安全技术不断升级，应用云计算、大数据、人工智能等新技术及产业互联网平台，实现企业内部、企业与生态系统集成，通过对生态系统内大量数据的即时共享与分析网络安全成熟度AAA级企业企业已经制定和初步落实了网络安全战略，网技术应用于企业各层面，具有较为完善的网络安全域应用云计算、大数据、人工智能等新技术，并初网平台，实现核心业务数据的有效衔接，能够对采集的大量数据进行分析网络安全成熟度AA级企业企业管理层开始重视