現(xiàn)有能力評(píng)分20220922

,,,,,,,,,,,,,,,,,10,很好

,,當(dāng)前得分,2022-2023,2023,2023-2025,2024,基準(zhǔn)分,滿分,,安全業(yè)務(wù)領(lǐng)域,,,,,,,,

,,,,,,,,,,管理體系,物理安全,操作系統(tǒng),網(wǎng)絡(luò)安全,應(yīng)用安全,數(shù)據(jù)庫安全,數(shù)據(jù)安全,終端安全,移動(dòng)APP安全

,,,,,,,,,,人員、制度,,,,,,,,

,人員、組織,0.4,4.0,3.6,5.0,1.0,5.00,10.0,人員足夠、資質(zhì)能力足夠，重要業(yè)務(wù)有對(duì)應(yīng)的人員負(fù)責(zé)，如數(shù)據(jù)安全、個(gè)人信息保護(hù)、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)安全、安全事件管理等,5,1,5,5,5,1,5,5,1

,合規(guī)認(rèn)證,1.4,1.5,0.1,2.5,1.0,5.00,10.0,有完整的合規(guī)規(guī)劃、已經(jīng)取得對(duì)應(yīng)領(lǐng)域的認(rèn)證、測評(píng)，包括但不限于如27001、ITSS/ITIL/data/app等,5,1,1,1,1,1,1,1,1

,物理安全,1.4,2.0,0.6,7.0,5.0,5.00,10.0,有足夠強(qiáng)健的基礎(chǔ)設(shè)施環(huán)境，如機(jī)房、網(wǎng)絡(luò)環(huán)境、冗余鏈路資源，相關(guān)門禁、權(quán)限管理到位，無高風(fēng)險(xiǎn)問題,5,1,1,1,1,1,1,1,1

,防病毒,4.4,9.0,4.6,9.0,0.0,5.00,10.0,針對(duì)網(wǎng)絡(luò)邊界、內(nèi)部IT系統(tǒng)、終端，均部署了防病毒類能力,5,0,5,5,5,5,5,5,5

,防攻擊,1.0,1.5,0.5,5.0,3.5,5.00,10.0,針對(duì)網(wǎng)絡(luò)邊界、內(nèi)部IT系統(tǒng)、終端，均部署了防攻擊類能力，同時(shí)具備檢測能力,1,1,1,1,1,1,1,1,1

,防入侵,1.0,1.5,0.5,4.0,2.5,5.00,10.0,針對(duì)網(wǎng)絡(luò)邊界、內(nèi)部IT系統(tǒng)、終端，均部署了防入侵類能力，同時(shí)具備檢測能力,1,1,1,1,1,1,1,1,1

,安全基線,0.0,5.0,5.0,7.0,2.0,5.00,10.0,針對(duì)網(wǎng)絡(luò)邊界、內(nèi)部IT系統(tǒng)、終端等，建立了安全基線，并納入常態(tài)化管理,0,0,0,0,0,0,0,0,0

,身份賬號(hào)策略,0.9,1.0,0.1,3.0,2.0,5.00,10.0,身份賬號(hào)策略管理，有統(tǒng)一的、安全的身份管理策略和對(duì)應(yīng)的系統(tǒng)（工具），如SSO/IAM/IDM，且全員納入管控范圍,1,0,1,1,1,1,1,1,1

,資產(chǎn)管理,1.4,5.0,3.6,7.0,2.0,5.00,10.0,有完整的資產(chǎn)清單，包括品牌、型號(hào)、生命期、維護(hù)維保狀態(tài)、供應(yīng)商等，并及時(shí)更新資產(chǎn)清單情況,5,1,1,1,1,1,1,1,1

,訪問控制,2.3,2.3,0.0,2.5,0.2,5.00,10.0,針對(duì)內(nèi)部、外部用戶、臨時(shí)用戶，定義和實(shí)施了相對(duì)完整的準(zhǔn)入控制和訪問控制策略，并納入常態(tài)化運(yùn)營、審計(jì)檢查工作,5,1,1,5,5,1,1,1,1

,上網(wǎng)行為管理,1.8,2.5,0.7,8.0,5.5,5.00,10.0,針對(duì)內(nèi)部、外部用戶、臨時(shí)用戶，定義和實(shí)施了相對(duì)完整的訪問控制策略，并納入常態(tài)化運(yùn)營、審計(jì)檢查工作，內(nèi)部已有流程支持相關(guān)的申請(qǐng)和關(guān)閉,5,0,1,1,1,1,1,5,1

,數(shù)據(jù)加密保護(hù),1.7,2.0,0.3,5.0,3.0,5.00,10.0,對(duì)核心數(shù)據(jù)、核心系統(tǒng)、核心信息，部署了信息加密能力，并有相對(duì)完整的審批機(jī)制,0,0,0,0,0,0,5,5,5

,應(yīng)用安全保護(hù),4.6,4.6,0.0,5.0,0.4,5.00,10.0,核心系統(tǒng)、對(duì)互聯(lián)網(wǎng)開放的系統(tǒng)，全部啟用了https傳輸保護(hù)，或外部用戶只能VPN訪問,5,1,5,5,5,5,5,5,5

,脆弱性掃描,1.3,5.0,3.7,7.0,2.0,5.00,10.0,建立了脆弱性掃描能力，并建立了常態(tài)化、定期脆弱性掃描和處置機(jī)制,5,0,1,1,1,1,1,1,1

,安全威脅分析,0.7,1.0,0.3,7.0,6.0,5.00,10.0,部署了外部、內(nèi)部安全威脅分析能力，能夠基于網(wǎng)絡(luò)流量、協(xié)議進(jìn)行安全威脅檢測和分析,0,0,1,1,1,0,1,1,1

,網(wǎng)絡(luò)行為分析,0.1,0.1,0.0,3.0,2.9,5.00,10.0,部署了網(wǎng)絡(luò)監(jiān)控系統(tǒng)，能夠基于流量、協(xié)議、應(yīng)用分析網(wǎng)絡(luò)行為，能夠捕捉異常并及時(shí)處置,0,0,0,1,0,0,0,0,0

,安全態(tài)勢,0.0,1.0,1.0,8.0,7.0,5.00,10.0,部署了安全態(tài)勢類工具，或HIDS類工具，對(duì)公司網(wǎng)絡(luò)的整體安全狀態(tài)可以評(píng)估和分析，能夠捕捉異常，定位并分析,0,0,0,0,0,0,0,0,0

,用戶行為分析,0.4,0.4,0.0,4.5,4.1,5.00,10.0,部署了監(jiān)控系統(tǒng)，能夠基于流量、協(xié)議、應(yīng)用分析用戶行為，能夠捕捉異常并及時(shí)處置,0,0,0,1,0,0,1,1,1

,數(shù)據(jù)行為分析,0.4,0.4,0.0,1.0,1.6,5.00,10.0,部署了監(jiān)控系統(tǒng)，能夠基于流量、協(xié)議、應(yīng)用分析數(shù)據(jù)行為，能夠捕捉異常并及時(shí)處置,0,0,0,1,0,0,1,1,1

,備份、容災(zāi),1.8,2.0,0.2,5.0,3.0,5.00,10.0,針對(duì)核心系統(tǒng)、核心數(shù)據(jù)，建立了可行的備份機(jī)制和能力，并納入常態(tài)化運(yùn)營,5,1,5,1,1,1,1,0,1

,業(yè)務(wù)連續(xù)性,1.3,2.0,0.7,4.5,2.5,5.00,10.0,針對(duì)核心系統(tǒng)、核心數(shù)據(jù)，建立了可行的業(yè)務(wù)連續(xù)性機(jī)制和能力，并納入常態(tài)化運(yùn)營,5,0,1,1,1,1,1,1,1

,安全審計(jì),0.9,3.0,2.1,6.5,3.5,5.00,10.0,各領(lǐng)域建立了比較符合自身需求的審計(jì)內(nèi)容、審計(jì)機(jī)制、并已納入（或近期計(jì)劃納入）工作范圍,