信息技術(shù)應(yīng)用創(chuàng)新項(xiàng)目網(wǎng)絡(luò)安全綜合績效評估規(guī)范

1信息技術(shù)應(yīng)用創(chuàng)新項(xiàng)目網(wǎng)絡(luò)安全績效評估規(guī)范本標(biāo)準(zhǔn)適用于組織或第三方評價機(jī)構(gòu)對信息技術(shù)應(yīng)用創(chuàng)新項(xiàng)目網(wǎng)絡(luò)安全的績效評估工GB/T25069-2010信息安全通信安全communication穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性4評價原則4.1面向需求原則確定評估重點(diǎn)和相關(guān)細(xì)則時應(yīng)充分考慮信息技術(shù)應(yīng)用創(chuàng)新項(xiàng)目的特點(diǎn)和對應(yīng)的具體需求。4.2科學(xué)性原則4.3客觀性原則4.4公正性原則4.5系統(tǒng)性原則3通信安全運(yùn)維安全經(jīng)濟(jì)效益資源利用率成果推廣情況網(wǎng)絡(luò)安全傳輸網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)入侵防范網(wǎng)絡(luò)惡意代碼防范網(wǎng)絡(luò)安全審計(jì)自主可控?cái)?shù)據(jù)采集安全數(shù)據(jù)傳輸安全資金使用效率數(shù)據(jù)存儲安全數(shù)據(jù)共享安全數(shù)據(jù)銷毀安全數(shù)據(jù)備份與恢復(fù)安全運(yùn)維工具與平臺安全事件管理與應(yīng)急響應(yīng)安全管理計(jì)算安全安全管理制度人員管理安全等級保護(hù)測評應(yīng)急預(yù)案和演練安全意識教育和培訓(xùn)用戶身份鑒別自主訪問控制系統(tǒng)入侵防范系統(tǒng)惡意代碼防范系統(tǒng)安全審計(jì)自主可控技術(shù)創(chuàng)新自主可控程度其他預(yù)期目標(biāo)完成度通信安全運(yùn)維安全經(jīng)濟(jì)效益資源利用率成果推廣情況網(wǎng)絡(luò)安全傳輸網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)入侵防范網(wǎng)絡(luò)惡意代碼防范網(wǎng)絡(luò)安全審計(jì)自主可控?cái)?shù)據(jù)采集安全數(shù)據(jù)傳輸安全資金使用效率數(shù)據(jù)存儲安全數(shù)據(jù)共享安全數(shù)據(jù)銷毀安全數(shù)據(jù)備份與恢復(fù)安全運(yùn)維工具與平臺安全事件管理與應(yīng)急響應(yīng)安全管理計(jì)算安全安全管理制度人員管理安全等級保護(hù)測評應(yīng)急預(yù)案和演練安全意識教育和培訓(xùn)用戶身份鑒別自主訪問控制系統(tǒng)入侵防范系統(tǒng)惡意代碼防范系統(tǒng)安全審計(jì)自主可控技術(shù)創(chuàng)新自主可控程度其他預(yù)期目標(biāo)完成度信息化項(xiàng)目綜合績效評估要素框架數(shù)據(jù)安全數(shù)據(jù)應(yīng)用安全社會效益知識產(chǎn)權(quán)安全傳輸、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)惡意代碼防范、網(wǎng)絡(luò)安全審計(jì)、自1網(wǎng)絡(luò)安全傳輸通信鏈路是否采用符合國家密碼管理局要求的密碼技術(shù)2網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)邊界和安全區(qū)域之間是否采取了訪問控制措施3網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)終端是否采取了違規(guī)內(nèi)外聯(lián)控制措施4網(wǎng)絡(luò)入侵防范網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否采取了入侵防范措施5入侵防范特征庫是否及時更新6網(wǎng)絡(luò)惡意代碼防范網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否采取了惡意代碼防范措施7惡意代碼特征庫是否及時更新8網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否采取了安全審計(jì)措施9安全審計(jì)日志是否集中存儲管理和分析安全審計(jì)日志留存時間是否符合相關(guān)法律法規(guī)要求采用的網(wǎng)絡(luò)產(chǎn)品和網(wǎng)絡(luò)安全產(chǎn)品是否符合國家公安部的要求序號指標(biāo)名稱評估要素1用戶身份鑒別應(yīng)用系統(tǒng)（包含操作系統(tǒng)、業(yè)務(wù)系統(tǒng)等）是否采取了身份鑒別措施2遠(yuǎn)程訪問和管理是否采取了基于密碼技術(shù)的身份鑒別措施對用戶進(jìn)行身份鑒別3自主訪問控制訪問控制主體是否采取了細(xì)粒度的安全策略控制措施4訪問控制客體是否采取了細(xì)粒度的安全策略控制措施5系統(tǒng)入侵防范應(yīng)用系統(tǒng)（包含操作系統(tǒng)、業(yè)務(wù)系統(tǒng)等）是否采取了入侵防范措施6入侵防范特征庫是否及時更新7系統(tǒng)惡意代碼防范計(jì)算機(jī)終端、服務(wù)器主機(jī)、云主機(jī)等是否采取了惡意代碼防范措施8惡意代碼特征庫是否及時更新9系統(tǒng)安全審計(jì)應(yīng)用系統(tǒng)（包含操作系統(tǒng)、業(yè)務(wù)系統(tǒng)等）是否采取了安全審計(jì)措施采用的網(wǎng)絡(luò)產(chǎn)品和網(wǎng)絡(luò)安全產(chǎn)品是否符合國家公安部的要求。5序號指標(biāo)名稱評估要素1數(shù)據(jù)采集安全數(shù)據(jù)采集的權(quán)限是否具備精細(xì)化的安全控制策略和管理制度2數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸是否采用了符合國家密碼管理局要求的密碼技術(shù)3數(shù)據(jù)應(yīng)用安全針對訪問查詢、運(yùn)維操作等數(shù)據(jù)使用場景是否設(shè)置了訪問授權(quán)策略4數(shù)據(jù)存儲安全是否制定了數(shù)據(jù)存儲安全管理制度5重要數(shù)據(jù)在存儲過程中是否采用密碼技術(shù)保證數(shù)據(jù)的完整性和保密性6數(shù)據(jù)共享安全針對軟件開發(fā)、系統(tǒng)測試、數(shù)據(jù)共享等涉及敏感數(shù)據(jù)環(huán)節(jié)，是否能夠自動準(zhǔn)確的識別敏感數(shù)據(jù)并脫敏7脫敏后的數(shù)據(jù)是否與原數(shù)據(jù)保持一致的關(guān)聯(lián)關(guān)系，是否保證不能被還原8數(shù)據(jù)銷毀安全是否制定了數(shù)據(jù)銷毀的流程和方法9數(shù)據(jù)備份與恢復(fù)是否制定了數(shù)據(jù)備份與恢復(fù)的管理制度系統(tǒng)數(shù)據(jù)和應(yīng)用系統(tǒng)數(shù)據(jù)是否采取了數(shù)據(jù)備份與恢復(fù)措施是否定期開展數(shù)據(jù)備份恢復(fù)演練工作序號指標(biāo)名稱評估要素1安全管理制度網(wǎng)絡(luò)安全工作的技術(shù)和標(biāo)準(zhǔn)是否遵循有關(guān)法律制度、政府間協(xié)定或國際條約2信息安全工作的總體方針和安全策略是否制定3安全管理制度是否完善序號指標(biāo)名稱評估要素4安全管理制度是否履行正式的審批發(fā)布手續(xù)并保持持續(xù)有效5人員管理是否設(shè)立信息安全管理工作的職能部門6是否配備三員：系統(tǒng)管理員、安全保密管理員和安全審計(jì)員7安全意識教育和培訓(xùn)是否制定年度安全意識教育和培訓(xùn)計(jì)劃8是否根據(jù)培訓(xùn)計(jì)劃實(shí)施培訓(xùn)9安全等級保護(hù)測評項(xiàng)目建設(shè)完成后是否完成網(wǎng)絡(luò)安全等級保護(hù)測評序號指標(biāo)名稱評估要素1安全運(yùn)維工具與平臺是否配備適宜的運(yùn)維工具、運(yùn)維平臺，方便用戶進(jìn)行自主化運(yùn)維2是否提供統(tǒng)一的運(yùn)維接入、身份認(rèn)證及操作權(quán)限管理，規(guī)范運(yùn)維管理3安全事件管理與應(yīng)急響應(yīng)是否建立完善的安全事件響應(yīng)體系，包括不限于應(yīng)急預(yù)案、事件恢復(fù)策略、事件報(bào)告規(guī)范等4是否按照要求處理安全事件并詳細(xì)記錄，確保系統(tǒng)業(yè)務(wù)正常運(yùn)轉(zhuǎn)，并在事后及時總結(jié)分析序號指標(biāo)名稱評估要素預(yù)期目標(biāo)完成度信息和信息系統(tǒng)的屬性是否達(dá)到預(yù)期保障效果2.項(xiàng)目質(zhì)量指標(biāo)是否達(dá)標(biāo)項(xiàng)目管理指標(biāo)是否達(dá)標(biāo)7序號指標(biāo)名稱評估要素4.是否達(dá)到建設(shè)方案中的其他預(yù)期績效知識產(chǎn)權(quán)項(xiàng)目成果轉(zhuǎn)化為發(fā)明專利情況6.項(xiàng)目成果形成論文并發(fā)表情況項(xiàng)目成果轉(zhuǎn)化標(biāo)準(zhǔn)情況8.項(xiàng)目成果轉(zhuǎn)化為其他知識產(chǎn)權(quán)情況9.技術(shù)創(chuàng)新技術(shù)首創(chuàng)性：項(xiàng)目成果被列入國家及省市的信息技術(shù)應(yīng)用創(chuàng)新相關(guān)產(chǎn)品名錄技術(shù)先進(jìn)性：項(xiàng)目成果獲得國家及省市等相關(guān)獎項(xiàng)技術(shù)影響力：項(xiàng)目對網(wǎng)絡(luò)安全秩序、安全管理與體制是否有積極影響；對網(wǎng)絡(luò)安全管理工作發(fā)展態(tài)勢影響是否具有長遠(yuǎn)性影響技術(shù)能力：網(wǎng)絡(luò)安全相關(guān)代碼受控情況供應(yīng)鏈：軟硬件產(chǎn)品自主生產(chǎn)情況其他對管理能力的提升是否具有促進(jìn)影響是否存在技術(shù)壁壘影響區(qū)域交流與合作序號指標(biāo)名稱評估要素資金使用效率資金管理是否達(dá)標(biāo)2.資金使用效率=實(shí)際使用資金/計(jì)劃使用資金×100%資金使用效率指標(biāo)評價時使用區(qū)間偏離情況，以100%為中值的為最佳區(qū)間資源利用率設(shè)備利用率=實(shí)際在用設(shè)備/所有設(shè)備×100%4.基礎(chǔ)設(shè)施利用率設(shè)備或系統(tǒng)運(yùn)行效率6.成果推廣情況項(xiàng)目成果在同類項(xiàng)目中應(yīng)用推廣情況其他標(biāo)準(zhǔn)化程度序號指標(biāo)名稱評估要素8.對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的預(yù)防是否有效確定被評估對象，進(jìn)行初步調(diào)研，確定績效評估范圍，并下發(fā)績效評估）：）：9部分二級指標(biāo)進(jìn)行評估時，未被選取的指標(biāo)），E=KnCn……（1）Kn-第n個評估指標(biāo)所占的權(quán)重值，所有權(quán)重值之和為1；Cn-第n個評估指標(biāo)得分值，取值范圍為0～100。序號指標(biāo)名稱權(quán)重占比1通信安全15%至20%2計(jì)算安全3數(shù)據(jù)安全4安全管理5運(yùn)維安全6社