《网络安全常态化考核办法（试行）》

《网络安全常态化考核办法（试行）》第一章总则第一条为深入贯彻落实国家网络安全相关法律法规，切实加强网络安全保障体系建设，构建“主动防御、动态防护、科学防控”的网络安全常态化管理机制，确保信息系统及数据资产的全生命周期安全，特制定本办法。本办法旨在通过常态化、制度化的考核手段，压实各部门网络安全主体责任，提升全员网络安全意识与防护技能，有效防范和化解重大网络安全风险。第二条本办法适用于公司及所属各单位、各部门（以下统称“各单位”）的所有员工，包括正式员工、合同制员工、实习生及外包服务人员。各单位在开展网络建设、系统运维、数据管理及日常办公等活动中，均须遵守本办法规定。第三条网络安全常态化考核坚持“谁主管谁负责、谁使用谁负责、谁运行谁负责”的原则，实行统一领导、分级管理、全员覆盖。考核工作不以一次性检查为终点，而是强调过程管控、持续监测与动态改进，将网络安全融入业务流程的每一个环节。第四条考核目标主要包括：（一）建立健全网络安全责任制，确保责任落实到人；（二）及时发现并整改安全隐患，降低网络安全事件发生概率；（三）提升安全监测预警能力和应急处置响应速度；（四）促进网络安全技术与业务发展的深度融合，保障业务连续性。第五条考核依据包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等国家法律法规，以及行业监管要求、公司内部网络安全管理制度和技术标准。第二章组织架构与职责第六条公司网络安全与信息化领导小组（以下简称“领导小组”）是网络安全常态化考核的最高决策机构，负责审批考核办法、年度考核计划及重大考核结果。领导小组下设办公室，作为考核工作的日常执行机构。第七条领导小组办公室主要职责：（一）制定和完善网络安全常态化考核指标体系及评分标准；（二）组织实施定期与不定期考核，汇总分析考核数据；（三）监督各单位安全隐患整改情况，跟踪整改闭环；（四）发布考核通报，提出奖惩建议；（五）受理各单位对考核结果的申诉。第八条各单位负责人是本单位网络安全第一责任人，负责：（一）落实公司网络安全考核要求，制定本单位实施细则；（二）组织本单位全员网络安全培训与教育；（三）配合开展常态化检查与自查自纠工作；（四）落实安全隐患整改，保障必要的安全投入。第九条安全技术团队负责提供考核所需的技术支撑，包括漏洞扫描、日志审计、渗透测试、态势感知监测等技术手段的应用，确保考核数据的客观性、准确性和时效性。第三章考核对象与周期第十条考核对象分为部门考核与个人考核两个层面。（一）部门考核：涵盖公司所有业务部门、职能部门及下属分支机构。重点考核责任落实、制度建设、技术防护、应急响应等综合管理能力。（二）个人考核：涵盖全体员工。重点考核安全意识、操作规范、数据保密及违规行为等。第十一条考核周期分为月度考核、季度考核和年度考核。（一）月度考核：侧重于日常安全运维、漏洞整改及时率、日志审计等常态化指标的监测。由系统自动采集数据与人工抽检相结合，每月初完成上月度考核评分。（二）季度考核：侧重于专项治理、深度漏洞扫描、钓鱼邮件演练、应急演练等阶段性重点工作。每季度末开展综合评估。（三）年度考核：是对全年网络安全工作的综合评价，结合月度、季度考核成绩及年终大检查结果进行加权汇总，形成年度最终考核等级。第十二条发生重大网络安全突发事件或特殊保障任务（如重保时期）期间，将启动专项即时考核机制，考核结果直接计入当期综合评价。第四章考核内容体系第十三条考核内容围绕技术防护、管理流程人员意识、应急响应四个维度展开，实行量化指标与定性评价相结合。第十四条技术防护维度考核（权重40%）：（一）资产与漏洞管理：建立动态更新的网络资产台账，严禁存在“影子资产”。考核内容包括资产备案率、高危漏洞整改率（要求24小时内响应，7天内修复）、系统补丁更新及时性等。对于未按规定进行漏洞扫描或逾期未整改的，按漏洞等级加倍扣分。（二）网络边界与访问控制：严格检查防火墙策略、访问控制列表（ACL）的有效性，杜绝高危端口开放。考核远程访问（VPN）的实名认证与审计情况，非法外联行为的阻断率。重点核查是否违规开通跨网段访问通道。（三）终端安全防护：检查全员终端是否安装合规的杀毒软件、终端管理软件（EDR），病毒库版本是否最新。考核违规外联、违规使用USB存储设备、私自搭建Wi-Fi热点等行为。终端入侵检测与防御功能必须开启。（四）应用与数据安全：核查应用系统是否存在弱口令、硬编码密钥、未授权访问等逻辑漏洞。考核数据加密传输、敏感数据脱敏展示、数据库审计等功能的落实情况。重点检查个人信息及重要数据的全生命周期保护措施。（五）安全监测与审计：考核安全设备（如WAF、IDS、IPS）的规则库更新情况及告警处置率。日志留存时间必须符合法律法规要求（不少于6个月），且日志内容完整不可篡改。第十五条管理流程维度考核（权重30%）：（一）制度建设与宣贯：考核本单位网络安全管理制度的制修订情况，以及制度传达至每一位员工的执行力度。未定期组织制度学习的，予以扣分。（二）供应链安全管理：考核对外包开发商、运维商、供应商的安全管理情况。包括是否签署保密协议（NDA）、是否进行背景调查、是否对外包操作进行全过程审计与监控。（三）变更与发布管理：严格执行变更审批流程，考核系统上线前的安全测试（代码审计、渗透测试）覆盖率。禁止未经审批的临时变更或紧急上线，违规操作视为重大管理失职。（四）权限管理：落实最小权限原则，定期（每半年）审核账号权限。考核是否存在僵尸账号、幽灵账号，是否存在离职人员账号未及时注销的情况。特权账号的使用必须经过审批并全过程记录。第十六条人员意识维度考核（权重20%）：（一）培训教育：考核全员网络安全培训覆盖率及考试通过率。新入职员工必须经过安全培训并考试合格后方可开通网络权限。（二）社会工程学防范：定期开展钓鱼邮件模拟测试，考核中钓率（点击链接或输入密码的比例）。对于反复中钓的部门或个人，加重扣分并强制复训。（三）日常行为规范：考核员工是否遵守办公环境安全规定（如人走锁屏、桌面不存放敏感资料）。禁止通过微信、私人邮箱等公共渠道传输涉密或敏感文件。第十七条应急响应维度考核（权重10%）：（一）预案与演练：考核应急预案的完备性及可操作性。各单位每年至少组织1次网络安全应急演练，演练需有记录、有评估、有总结。（二）事件处置：考核安全事件的报告及时性（规定时间内上报）和处置规范性。发生安全事件时，是否能够迅速定位、隔离、恢复，并保留完整证据链。（三）协同配合：考核在安全事件处置过程中，是否服从领导小组统一指挥，是否存在瞒报、迟报、谎报行为。第五章考核实施方式第十八条考核采取“平台自动化扫描+人工深度核查+实战攻防演练”相结合的立体化实施方式。第十九条平台自动化扫描：依托统一安全管理平台，每日对全网进行基线检查、漏洞扫描和配置核查。系统根据预设规则自动生成告警，并直接关联责任部门。对于明确的违规行为（如未打补丁、病毒感染），系统自动扣分并通知整改。第二十条人工深度核查：由安全技术团队联合审计人员，每季度开展现场深度检查。（一）访谈：访谈关键岗位人员，核实安全制度知晓度及操作流程。（二）渗透测试：模拟黑客攻击手段，对核心业务系统进行非破坏性渗透测试，发现深层次逻辑漏洞。（三）日志分析：深度分析服务器、防火墙、应用系统日志，挖掘潜在攻击线索或违规操作痕迹。第二十一条实战攻防演练：每年至少组织一次全公司范围的“红蓝对抗”演练。（一）红队：作为攻击方，在授权范围内对各单位系统进行真实攻击。（二）蓝队：作为防守方，负责监测、发现、拦截和溯源。（三）考核：以红队突破防线获取权限的数量蓝队发现攻击的时间、响应速度作为评分依据。第二十二条专项检查：针对国家重大活动、行业通报的高危漏洞、新型勒索病毒等情况，立即启动专项检查。各单位需在规定时间内完成自查并提交报告，领导小组办公室进行复核。第六章评分标准与定级第二十三条考核评分实行基准分制，总分为100分。在此基础上设置加分项和扣分项，最终得分上不封顶，下扣至零分。第二十四条扣分标准（部分关键指标示例）：指标分类考核细项扣分标准备注漏洞管理高危漏洞逾期未整改每个扣10分/天累计扣分不设上限中危漏洞逾期未整改每个扣2分/天终端安全终端未安装杀毒软件每台扣5分发现即扣存在僵尸账号/离职未销号每个扣10分特权账号加倍扣分违规外联私自搭建热点每次扣20分造成后果的加重处理违规使用外部存储介质每次扣10分涉密信息泄露一票否决事件管理瞒报、迟报安全事件每次扣30分视情节严重性追责应急响应超时每次扣15分意识培训钓鱼邮件演练中钓每人次扣5分部门累计扣分第二十五条加分标准：（一）主动发现并上报重大安全隐患，经核实属实的，每起加10-20分。（二）在国家级、行业级网络安全技能竞赛中获奖的，对相关团队及个人加15-30分。（三）在攻防演练中成功防守并溯源到攻击者的，加20分。（四）提出安全建设创新方案并被采纳实施的，每项加10分。第二十六条考核结果分为四个等级：（一）优秀（S级）：得分≥90分，且无重大安全责任事故。（二）良好（A级）：80分≤得分＜90分，且无重大安全责任事故。（三）合格（B级）：60分≤得分＜80分。（四）不合格（C级）：得分＜60分，或发生重大网络安全责任事故。第二十七条发生以下情况之一，当期考核直接判定为“不合格”，并实施“一票否决”：（一）因管理不善导致发生特重大网络安全事件，造成严重经济损失或恶劣社会影响的；（二）违反国家法律法规，导致公司受到监管通报、行政处罚或刑事立案的；（三）存在重大安全隐患拒不整改，或弄虚作假掩盖问题的。第七章结果应用与奖惩第二十八条考核结果纳入各单位年度绩效考核体系，权重设定为5%-10%（根据单位性质调整）。网络安全考核不合格的，不得评为年度优秀部门。第二十九条奖励措施：（一）对于年度考核等级为“优秀”的单位，给予通报表扬，并在次年信息化预算、安全投入上给予倾斜支持。（二）对在网络安全工作中做出突出贡献的个人（如发现重大漏洞、成功防御攻击），给予专项奖金奖励，并在职级晋升、评优评先中优先考虑。（三）设立“网络安全卫士”专项奖项，每季度评选一次，以资鼓励。第三十条惩罚措施：（一）对于季度考核排名末位的单位，由领导小组负责人对该单位负责人进行约谈，责令限期整改。（二）对于年度考核“不合格”的单位，在全公司范围内通报批评，扣减单位负责人年度绩效奖金。（三）对于违反操作规程导致安全事件的个人，视情节轻重给予警告、记过、降职等处分；造成严重损失的，解除劳动合同，并保留追究其法律责任的权利。（四）外包人员违反本办法规定的，除依据合同追究违约责任外，视情况列入公司合作黑名单，严禁再次录用。第三十一条整改闭环管理：考核过程中发现的问题，由领导小组办公室下达《网络安全整改通知书》。责任单位需在规定时限内完成整改并提交《整改报告》。未按期完成整改的，计入下一期考核扣分项，并启动督办程序。第八章监督与改进第三十二条建立考核申诉机制。各单位对考核结果或扣分项有异议的，可在收到通报后3个工作日内向领导小组办公室提交书面申诉，并提供相关证据材料。领导小组办公室在5个工作日内完成复核并反馈结果。第三十三条建立考核指标动态调整机制。每年年底，领导小组办公室应根据国家政策变化、技术发展趋势及公司业务调整情况，对考核指标体系、评分标准进行评估和修订，确保考核的科学性和适用性。第三十四条考核过程与结果接受公司纪检监察部门及全体员工的监督。严禁考核人员徇私舞弊、弄虚作假，违者从严处理。第三十五条领导小组办公室每季度召开网络安全形势分析