信息安全风险评估实施细则
网络与信息安全风险评估管理实施细则V1.0
网络与信息安全风险评估管理实施细则第一章编制说明第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业标准和集团公司相关规定,特制定本实施细则。
第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政事务中心及各市分公司等等。
1第二章职责与分工第五条总体原则(一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。
(二)“自评估为主、第三方评估为辅”原则。
省公司应着力推动自有评估队伍的建设,逐步实现自主评估。
第三方评估应侧重弥补尤其是在队伍建设初期,由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等方面的不足。
(三)原则上,安全评估服务与系统建设不能采用同一厂家。
第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及各市分公司等等。
第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作:(一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。
信息安全风险评估规范
信息安全风险评估规范信息安全风险评估规范一、概述信息安全风险评估是指对组织的信息系统、网络和数据进行全面的安全风险分析和评估,以确定系统中存在的潜在威胁和漏洞,并提供相应的改进和强化措施。
本规范旨在建立一个全面、科学、规范的信息安全风险评估流程,以保护组织的信息资产和系统安全。
二、风险评估的目标1. 分析识别组织信息系统、网络和数据上的潜在威胁和风险。
2. 构建一个可靠的风险度量方法,便于比较不同风险等级的风险。
3. 提供相应的安全建议和措施,减轻风险对组织的影响。
三、风险评估的流程1. 系统审查:对目标系统的结构和运行方式进行全面分析,包括系统架构、网络拓扑、系统功能等方面。
2. 风险识别:通过对系统进行漏洞扫描、弱口令检测、网络流量分析等手段,识别系统中存在的潜在威胁和风险。
3. 风险度量:对识别出的风险进行评估和分类,确定风险的可能性和影响程度。
4. 风险评估报告:编制风险评估报告,对识别和评估的风险进行详细描述和分析,提出相应的建议和措施。
5. 风险控制:根据评估报告中的建议,制定相应的风险控制计划,对系统进行加固和改进。
四、风险度量方法1. 概率分析:通过历史数据和经验分析,计算风险事件的发生概率。
2. 影响分析:对风险事件的可能损失进行评估,包括财务损失、声誉损失、法律风险等方面。
3. 风险评级:根据概率和影响的评估结果,对风险进行相应的评级,如低风险、中风险、高风险等。
五、风险评估报告内容1. 风险概述:对系统风险的整体情况进行概括描述。
2. 风险识别和评估:详细描述识别到的风险和对其进行的评估,包括潜在威胁、可能性、影响等方面。
3. 安全建议和措施:针对每个风险提出相应的建议和措施,包括漏洞修补、访问控制加强、安全培训等方面。
4. 风险控制计划:制定风险控制计划,明确改进措施和责任人,确保风险的有效管理和控制。
六、风险评估的周期性1. 定期评估:根据组织的实际情况,制定定期的风险评估计划,进行信息系统和网络的安全风险评估。
信息安全风险评估的实施步骤与要点
信息安全风险评估的实施步骤与要点随着信息技术的高速发展,信息安全问题日益突出。
为了保护信息系统的安全,评估信息安全风险显得尤为重要。
本文将介绍信息安全风险评估的实施步骤与要点。
一、风险评估的定义和目的信息安全风险评估是指对信息系统中的各种风险进行识别、分析和评估的过程,以便采取相应的安全措施降低风险发生的可能性和影响程度。
其目的是确保信息系统的可靠性、可用性和保密性,以及遵守法规和规章制度的要求。
二、实施步骤1. 制定评估目标和范围在进行信息安全风险评估之前,要明确评估的目标和范围。
评估目标可以是为了确保核心业务的安全性,或是满足法律法规的要求。
评估范围可以是整个信息系统,也可以是指定的重要部分。
2. 识别和分类可能存在的风险识别和分类风险是评估的关键步骤。
可以通过对信息系统进行全面的检查,包括对网络架构、系统配置、访问控制等多个方面进行调查和分析,从而确定可能存在的风险。
3. 分析风险的概率和影响在确定风险后,需要对风险的概率和影响进行分析。
概率可以通过历史数据、统计分析和专家判断等方法进行评估,而影响则包括信息系统性能受到损害、数据泄露、服务中断等方面。
4. 评估风险的等级和优先级评估风险的等级和优先级是为了确定哪些风险需要优先处理。
可以根据风险的概率和影响程度,制定相应的评估模型,将风险划分为高、中、低等级,并确定优先级。
5. 提出有效的防控措施在评估风险等级和优先级后,需要提出相应的防控措施。
可以参考相关的安全标准和最佳实践,针对不同的风险制定相应的安全策略,包括技术安全措施、管理安全措施和物理安全措施等。
6. 实施和监控防控措施防控措施的实施和监控是信息安全风险评估的关键环节。
要确保防控措施能够有效地降低风险,并及时发现和处理新的风险。
三、评估要点1. 风险评估应定期进行,及时发现和处理新的风险。
2. 需要进行全面的评估,包括对技术系统、人员行为和物理环境等多个方面的分析。
3. 评估结果应具有客观性和可靠性,需要依据准确的数据和专业的判断。
信息安全风险评估实施细则
信息安全风险评估实施细则1.确定评估范围:首先要明确评估的范围,包括评估的系统和数据,评估的时间周期等等。
一般情况下,评估的范围应该覆盖整个企业的信息系统和数据。
2.收集信息:收集与评估相关的信息,包括企业的业务流程、系统架构、技术文档、安全策略和政策等。
同时也要收集与评估相关的外部信息,如技术漏洞、攻击方式等。
3.制定评估计划:根据评估的范围和要求,制定评估计划,明确评估的目标、依据、方法和流程等。
评估计划应该包括风险评估的各个阶段和评估人员的分工和责任。
4.分析风险:通过分析收集到的信息,确定系统和数据的安全风险,包括潜在的威胁、漏洞和可能的损失等。
同时也要考虑风险的概率和严重性,以确定风险的优先级。
5.评估控制措施:评估现有的安全控制措施的有效性和完整性,包括技术控制和管理控制。
根据评估的结果,提出改进和加强控制措施的建议和措施。
6.制定风险管理计划:根据评估的结果,制定风险管理计划,明确具体的管理目标、控制措施和实施时间等。
风险管理计划应该包括整改措施、责任人和监控措施等。
7.实施评估:根据评估计划,进行评估工作,包括对系统和数据进行安全扫描、漏洞扫描、渗透测试等,以发现可能存在的安全风险。
评估期间还要收集评估的相关证据和资料。
8.评估报告:根据评估的结果,撰写评估报告,包括评估的方法、过程和结果等。
评估报告应该包括对风险的描述、评估的依据和方法、评估结果的总结和建议等。
9.跟踪和监控:持续跟踪和监控系统的安全状态,及时发现和处理安全事件和风险。
根据需要,定期进行安全评估,确保评估报告中的建议得到有效执行。
10.改进和完善:根据评估的结果和建议,及时改进和完善系统和控制措施,提高企业的安全防护能力。
同时也要进行安全培训,提高员工的安全意识和技能。
以上是信息安全风险评估实施的一些细则,对于企业来说,评估工作不仅是一次性的,更应该是一个持续的过程。
只有不断地评估和改进,才能保证企业信息系统和数据的安全。
企业信息安全风险评估实施细则-2017
企业信息安全风险评估实施细则二〇〇八年五月目录1.前言 ..................................................................... . (1)2.资产评估................................................................ (2)2.1. 资产识别 ................................................................. .. (2)2.2. 资产赋值 ................................................................. .. (3)3.威胁评估................................................................ (6)4.脆弱性评估 .................................................................... (10)4.1.信息安全管理评估 ................................................................ (11)4.1.1.安全方针 ............................................................. (11)4.1.2.信息安全机构 ............................................................ (13)4.1.3.人员安全管理 ............................................................ (17)4.1.4.信息安全制度文件管理 ........................................................... (19)4.1.5.信息化建设中的安全管理 ........................................................... (23)4.1.6.信息安全等级保护 ............................................................ (29)4.1.7.信息安全评估管理 ............................................................ (32)4.1.8.信息安全的宣传与培训 ........................................................... (32)4.1.9.信息安全监督与考核 ........................................................... (34)4.1.10.符合性管理 ............................................................ (36)4.2.信息安全运行维护评估 ............................................................... (37)4.2.1.信息系统运行管理 ............................................................ (37)4.2.2.资产分类管理 (41).....................................4.2.3. 配置与变更管理 ............................................................ (42)4.2.4. 业务连续性管理 ............................................................ (43)4.2.5. 设备与介质安全 ............................................................ (46)4.3. 信息安全技术评估 ................................................................ (50)4.3.1. 物理安全 ............................................................. .. (50)4.3.2. 网络安全 ............................................................. .. (53)4.3.3. 操作系统安全 ............................................................ . (60)4.3.4. 数据库安全 ............................................................. . (72)4.3.5. 通用服务安全 ............................................................ . (81)4.3.6. 应用系统安全 ............................................................ . (85)4.3.7. 安全措施 ............................................................. .. (90)4.3.8. 数据安全及备份恢复 ........................................................... .. (94)1.前言1.1. 为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《 XXX公司信息化“ SG186”工程安全防护总体方案》、《 XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。
信息安全风险评估内容与实施流程
信息安全风险评估内容与实施流程一、信息安全风险评估的内容1.收集信息:首先,需要收集组织内部和外部的相关信息,包括组织的业务流程、信息系统的结构和功能、数据的类型和价值、已实施的安全措施等。
2.风险识别:通过对收集到的信息进行分析和评估,确定可能存在的安全威胁、漏洞和潜在风险。
这包括对系统和数据的物理安全、网络安全、人员安全和操作安全等方面的评估。
3.风险分析:对识别到的潜在风险进行分析,评估其对组织的影响和可能导致的损失。
这可以通过定量和定性的方法来评估风险的概率和影响程度,比如使用风险矩阵或统计数据等。
4.风险评估:将分析的结果综合考虑,对每个潜在风险进行评估,确定其优先级和重要性。
这可以根据组织的业务需求和资源可用性来确定,以帮助决策者进行风险管理决策。
5.建议措施:基于评估的结果,提出相应的安全改进建议和措施,包括技术和管理层面的。
这些措施应该能够减轻潜在风险的影响,并提高组织的信息安全水平。
6.风险管理计划:根据评估结果和建议措施,制定风险管理计划,明确具体的实施步骤、责任人和时间表。
这可以帮助组织有效地管理和控制风险,确保信息系统的安全性和可用性。
二、信息安全风险评估的实施流程1.确定评估目标和范围:首先,明确评估的目标和范围,确定需要评估的信息系统和数据,以及评估的时间和资源限制等。
2.收集信息:收集组织内部和外部的相关信息,包括业务流程、系统和数据的结构和功能、已实施的安全措施等。
这可以通过文件和访谈等方式进行。
3.风险识别:对收集到的信息进行分析和评估,识别可能存在的安全威胁、漏洞和风险。
这可以使用安全评估工具和技术,如漏洞扫描和威胁建模等。
4.风险分析:对识别到的潜在风险进行分析,评估其对组织的影响和可能导致的损失。
可以使用定量和定性的方法,如风险矩阵和统计数据等。
5.风险评估:综合分析的结果,对每个潜在风险进行评估,确定其优先级和重要性。
这可以根据组织的需求和资源可用性来确定。
信息安全风险评估规
信息安全风险评估规
则是对系统、网络或者应用程序等信息系统在安全基础上,进行综合评估、预测和分析,识别和评估其中的潜在风险和威胁,并采取相应措施进行应对的过程。
根据规范《信息安全风险评估规范》(GB/T22080-2008),信息安全风险评估规劃的主
要任务包括风险的范围与要求的确定、评估方法的选择与设计、评估计划的制定与实施、评估结果的分析与报告等。
具体工作步骤包括:
1. 确定评估范围与要求:明确评估的目标系统或网络的范围,并明确评估的目的和要求。
2. 评估方法的选择与设计:根据评估目标和要求,选择合适的评估方法并设计评估方案,包括数据采集、数据分析和评估流程等。
3. 评估计划的制定与实施:根据评估方案制定评估计划,明确评估的时间、地点、人员和资源等,并按照计划进行评估工作的实施。
4. 评估结果的分析与报告:分析评估采集的数据,评估系统或网络存在的安全风险和威胁,并生成评估报告,包括风险等级评定、风险描述和建议等。
根据评估结果,组织相应的安全措施来降低或消除风险,以确保系统、网络或应用程序的安全性和可靠性。
同时,定期进行
风险评估,及时发现和解决新的风险,以保证信息系统的持续安全运行。
信息安全风险评估规范
信息安全风险评估规范信息安全风险评估是在网络威胁不断增加的背景下,确保信息系统和数据安全的重要环节。
本文将介绍信息安全风险评估的规范和步骤。
一、背景和目的信息安全风险评估旨在识别和评估组织信息系统中存在的潜在威胁和安全漏洞,为组织提供合理的安全措施建议,以确保信息系统和数据的机密性、完整性和可用性。
二、信息安全风险评估的步骤1. 确定评估范围:确定评估的目标和应用范围,包括需要评估的系统、网络和关键信息资产。
2. 建立评估团队:组建专业的评估团队,包括信息安全专家、系统管理员、网络工程师等,确保团队成员具备相关的技术和知识。
3. 收集信息:收集与评估范围相关的信息,包括系统配置、网络拓扑、安全策略等,以便全面了解目标系统和网络的情况。
4. 识别威胁和漏洞:通过使用专业的工具和技术,对目标系统和网络进行渗透测试和漏洞扫描,以识别可能的威胁和安全漏洞。
5. 评估风险程度:根据识别出的威胁和漏洞,评估其对信息系统和数据安全的影响程度和可能造成的损失。
6. 制定风险应对策略:根据评估结果,制定相应的风险应对策略和措施,包括修复漏洞、加强安全策略、改进系统配置等。
7. 编写评估报告:将评估过程、识别的威胁和漏洞、风险评估和应对策略等内容整理成评估报告,向相关人员进行汇报和交流。
三、评估结果和影响信息安全风险评估的结果将直接影响组织的安全决策和措施的实施。
通过评估报告中的风险程度评估结果,组织可以做出科学合理的风险应对策略,以提高信息系统和数据的安全性。
同时,评估结果还可以作为组织与外部合作伙伴进行交流的依据,以证明组织对信息安全的重视程度和采取的安全措施。
四、信息安全风险评估的周期性和持续性信息安全风险评估并非一次性的活动,而是一个持续的过程。
随着信息系统和网络环境的不断变化,新的威胁和漏洞也会不断出现。
因此,组织应该定期进行信息安全风险评估,以及时识别和评估新出现的威胁和漏洞,并采取相应的措施加以应对。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXX公司信息安全风险评估
…
实施细则
}
二〇〇八年五月
编制说明
根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。
另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。
本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。
主要包括:
1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。
为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。
目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。
2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估(第节)中的“物理环境安全”部分调整至信息安全技术评估(第4.3.1小节),在信息安全技术评估中新增了“数据安全及备份恢复”(第小节);具体内容方面,在每项具体要求新增了等级保护对应列。
目录
1.前言 (1)
2.资产评估 (2)
.资产识别 (2)
.资产赋值 (3)
3.威胁评估 (6)
4.脆弱性评估 (10)
.信息安全管理评估 (11)
安全方针 (11)
信息安全机构 (13)
人员安全管理 (17)
信息安全制度文件管理 (19)
信息化建设中的安全管理 (23)
信息安全等级保护 (29)
信息安全评估管理 (32)
信息安全的宣传与培训 (32)
信息安全监督与考核 (34)
符合性管理 (36)
.信息安全运行维护评估 (37)
信息系统运行管理 (37)
资产分类管理 (41)
配置与变更管理 (42)
业务连续性管理 (43)
设备与介质安全 (46)
.信息安全技术评估 (50)
物理安全 (50)
网络安全 (53)
操作系统安全 (60)
数据库安全 (72)
通用服务安全 (81)
应用系统安全 (85)
安全措施 (90)
数据安全及备份恢复 (94)
1.前言
1.1.为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。
1.2.本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。
1.3.本细则结合公司当前信息化工作重点,针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。
其中,资产评估内容主要针对公司一体化企业级信息系统展开;威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。
1.4.公司的评估工作应在本细则的基础上,结合《实施指南》提出更详细的实施方案,并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析,并进行风险计算,确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。
1.5.本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。
1.6.本标准由XXX公司信息化工作部组织制定、发布并负责解释。
2.资产评估
资产评估是确定资产的信息安全属性(机密性、完整性、可用性等)受到破坏而对信息系统造成的影响的过程。
在风险评估中,资产评估包含信息资产识别、资产赋值等内容。
2.1.资产识别
资产识别主要针对提供特定业务服务能力的应用系统展开,例如:网络系统提供基础网络服务、OA系统提供办公自动化服务。
通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。
应用系统的功能模块(或子系统),可参照下表进行分解:
对于不具有多层结构的系统,可根据实际情况进行简化分解,例如:仅分解为服务器端与客户端。
典型的应用系统分解结构图如下:
:代表数据传输
本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别,并在资产赋值部分按照这一分解进行赋值。
2.2.资产赋值
根据《实施指南》的定义,资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。
每项资产都要进行机密性要求、完整性要求、可用性要求的赋值,赋值定义为:安全性要求很高=5、安全性要求高=4、安全性要求中等=3、安全性要求低=2、安全性要求很低=1。
结合资产识别的情况,对公司“SG186”工程应用系统的各部分进行赋值,结果见下表。
说明:(1)C代表机密性赋值、I代表完整性赋值、A代表可用性赋值。
(2)系统安全等级作为业务系统资产权值与每项赋值相乘后参与风险计算过程。
(3)对各单位不包括在“SG186”工程中的应用系统,系统安全等级按照《XXX公司信息系统安全保护等级定级指南》定义方法计算出来,资产赋值按照《实施指南》定义的方法进行识别和赋值,同时可参考上的表赋值结果。
3.威胁评估
在信息安全风险评估中,威胁评估也分为威胁识别和威胁赋值两部分内容。
威胁识别通常依据威胁列表对历史事件进行分析和判断获得的。
由于信息系统运行环境千差万别,威胁可能性赋值无法给出统一定义,例如:海边城市受到台风威胁的可能性要大。
本细则中仅给出威胁对信息资产机密性、完整性和可用性破坏的严重程度赋值。
赋值定义为:破坏严重程度很大=5、破坏严重程度大=4、破坏严重程度中等=3、破坏严重程度小=2、破坏严重程度很小=1。
在评估实施时需要依据《实施指南》定义的方法,结合实际情况对威胁可能性进行判断。
下表是常见的威胁列表。
4.脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容。
脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和运维缺陷、技术漏洞分析与发现,并确定脆弱性被利用威胁的难易程度(赋值)的过程。
在本实施细则中,列出了信息安全管理、运维和技术三方面的检查点,这些检查点都是对信息安全防护工作的具体要求,如果信息系统的管理、运维和技术条件不满足这些点的检查要求,则视为一个缺陷或漏洞。
脆弱性检查表中标记了每个检查点对机密性(C)、完整性(I)、可用性(A)的是否有影响存(√表示有影响)。
检查表结果参与《实施指南》中定义的风险计算和分析时,以每一检查点的实际得分情况和该检查点的标准分值的比率来确定赋值,并由公司内专业技术支撑队伍进行计算,方法如下:
首先,按(1-实际得分/标准分值)%,算出该检查点的不满足程度;
然后按下表对应赋值:
举例说明:某检查点标准分值10分,实际得分8分,则脆弱性赋值:首先取(1-8/10)%=20%,然后按照上表对应,赋值结果为2=“低”。
4.1.信息安全管理评估(总计:1800分)4.1.1.安全方针(小计:130分)
4.1.2.信息安全机构(小计:250分)
4.1.3.人员安全管理(小计:100分)
4.1.4.信息安全制度文件管理(小计:230)
4.1.
5.信息化建设中的安全管理(小计:520分)
4.1.6.信息安全等级保护(小计:220分)
4.1.7.信息安全评估管理(小计:80分)
4.1.8.信息安全的宣传与培训(小计:80分)
4.1.9.信息安全监督与考核(小计:90分)
4.1.10.符合性管理(小计:100分)
4.2.信息安全运行维护评估(总计:1400分)4.2.1.信息系统运行管理(小计:455分)
4.2.2.资产分类管理(小计:70分)
4.2.3.配置与变更管理(小计105分)
4.2.4.业务连续性管理(小计:460分)
4.2.
5.设备与介质安全(小计310分)。