現有能力評分20220922

,,,,,,,,,,,,,,,,,10,很好

,,當前得分,2022-2023,2023,2023-2025,2024,基準分,滿分,,安全業(yè)務領域,,,,,,,,

,,,,,,,,,,管理體系,物理安全,操作系統(tǒng),網絡安全,應用安全,數據庫安全,數據安全,終端安全,移動APP安全

,,,,,,,,,,人員、制度,,,,,,,,

,人員、組織,0.4,4.0,3.6,5.0,1.0,5.00,10.0,人員足夠、資質能力足夠，重要業(yè)務有對應的人員負責，如數據安全、個人信息保護、數據保護、網絡安全、安全事件管理等,5,1,5,5,5,1,5,5,1

,合規(guī)認證,1.4,1.5,0.1,2.5,1.0,5.00,10.0,有完整的合規(guī)規(guī)劃、已經取得對應領域的認證、測評，包括但不限于如27001、ITSS/ITIL/data/app等,5,1,1,1,1,1,1,1,1

,物理安全,1.4,2.0,0.6,7.0,5.0,5.00,10.0,有足夠強健的基礎設施環(huán)境，如機房、網絡環(huán)境、冗余鏈路資源，相關門禁、權限管理到位，無高風險問題,5,1,1,1,1,1,1,1,1

,防病毒,4.4,9.0,4.6,9.0,0.0,5.00,10.0,針對網絡邊界、內部IT系統(tǒng)、終端，均部署了防病毒類能力,5,0,5,5,5,5,5,5,5

,防攻擊,1.0,1.5,0.5,5.0,3.5,5.00,10.0,針對網絡邊界、內部IT系統(tǒng)、終端，均部署了防攻擊類能力，同時具備檢測能力,1,1,1,1,1,1,1,1,1

,防入侵,1.0,1.5,0.5,4.0,2.5,5.00,10.0,針對網絡邊界、內部IT系統(tǒng)、終端，均部署了防入侵類能力，同時具備檢測能力,1,1,1,1,1,1,1,1,1

,安全基線,0.0,5.0,5.0,7.0,2.0,5.00,10.0,針對網絡邊界、內部IT系統(tǒng)、終端等，建立了安全基線，并納入常態(tài)化管理,0,0,0,0,0,0,0,0,0

,身份賬號策略,0.9,1.0,0.1,3.0,2.0,5.00,10.0,身份賬號策略管理，有統(tǒng)一的、安全的身份管理策略和對應的系統(tǒng)（工具），如SSO/IAM/IDM，且全員納入管控范圍,1,0,1,1,1,1,1,1,1

,資產管理,1.4,5.0,3.6,7.0,2.0,5.00,10.0,有完整的資產清單，包括品牌、型號、生命期、維護維保狀態(tài)、供應商等，并及時更新資產清單情況,5,1,1,1,1,1,1,1,1

,訪問控制,2.3,2.3,0.0,2.5,0.2,5.00,10.0,針對內部、外部用戶、臨時用戶，定義和實施了相對完整的準入控制和訪問控制策略，并納入常態(tài)化運營、審計檢查工作,5,1,1,5,5,1,1,1,1

,上網行為管理,1.8,2.5,0.7,8.0,5.5,5.00,10.0,針對內部、外部用戶、臨時用戶，定義和實施了相對完整的訪問控制策略，并納入常態(tài)化運營、審計檢查工作，內部已有流程支持相關的申請和關閉,5,0,1,1,1,1,1,5,1

,數據加密保護,1.7,2.0,0.3,5.0,3.0,5.00,10.0,對核心數據、核心系統(tǒng)、核心信息，部署了信息加密能力，并有相對完整的審批機制,0,0,0,0,0,0,5,5,5

,應用安全保護,4.6,4.6,0.0,5.0,0.4,5.00,10.0,核心系統(tǒng)、對互聯網開放的系統(tǒng)，全部啟用了https傳輸保護，或外部用戶只能VPN訪問,5,1,5,5,5,5,5,5,5

,脆弱性掃描,1.3,5.0,3.7,7.0,2.0,5.00,10.0,建立了脆弱性掃描能力，并建立了常態(tài)化、定期脆弱性掃描和處置機制,5,0,1,1,1,1,1,1,1

,安全威脅分析,0.7,1.0,0.3,7.0,6.0,5.00,10.0,部署了外部、內部安全威脅分析能力，能夠基于網絡流量、協(xié)議進行安全威脅檢測和分析,0,0,1,1,1,0,1,1,1

,網絡行為分析,0.1,0.1,0.0,3.0,2.9,5.00,10.0,部署了網絡監(jiān)控系統(tǒng)，能夠基于流量、協(xié)議、應用分析網絡行為，能夠捕捉異常并及時處置,0,0,0,1,0,0,0,0,0

,安全態(tài)勢,0.0,1.0,1.0,8.0,7.0,5.00,10.0,部署了安全態(tài)勢類工具，或HIDS類工具，對公司網絡的整體安全狀態(tài)可以評估和分析，能夠捕捉異常，定位并分析,0,0,0,0,0,0,0,0,0

,用戶行為分析,0.4,0.4,0.0,4.5,4.1,5.00,10.0,部署了監(jiān)控系統(tǒng)，能夠基于流量、協(xié)議、應用分析用戶行為，能夠捕捉異常并及時處置,0,0,0,1,0,0,1,1,1

,數據行為分析,0.4,0.4,0.0,1.0,1.6,5.00,10.0,部署了監(jiān)控系統(tǒng)，能夠基于流量、協(xié)議、應用分析數據行為，能夠捕捉異常并及時處置,0,0,0,1,0,0,1,1,1

,備份、容災,1.8,2.0,0.2,5.0,3.0,5.00,10.0,針對核心系統(tǒng)、核心數據，建立了可行的備份機制和能力，并納入常態(tài)化運營,5,1,5,1,1,1,1,0,1

,業(yè)務連續(xù)性,1.3,2.0,0.7,4.5,2.5,5.00,10.0,針對核心系統(tǒng)、核心數據，建立了可行的業(yè)務連續(xù)性機制和能力，并納入常態(tài)化運營,5,0,1,1,1,1,1,1,1

,安全審計,0.9,3.0,2.1,6.5,3.5,5.00,10.0,各領域建立了比較符合自身需求的審計內容、審計機制、并已納入（或近期計劃納入）工作范圍,