胜达集团信息安全风险评估报告
信息安全风险评估报告
信息安全风险评估报告信息安全风险评估报告一、评估目的在当前互联网高速发展的背景下,信息安全风险日益突出,对各个行业和企业造成了严重的损失。
因此,本次评估的目的是对我公司的信息安全风险进行全面评估,为公司制定有效的安全保护措施提供科学依据。
二、评估范围本次评估的对象是我公司整个信息系统,包括硬件设备、软件系统、网络架构以及人员行为等方面。
三、评估方法采用了综合评估法对我公司信息安全风险进行评估。
主要包括以下几个方面:1. 风险识别:对信息系统进行全面梳理,明确可能存在的问题点和安全隐患。
2. 风险分析:对识别出的风险进行全面分析,包括风险的概率、影响程度以及可能的损失情况。
3. 风险评估:根据分析结果,对各个风险进行综合评估,确定风险的等级和优先级。
4. 风险控制:根据评估结果,制定相应的风险控制策略和措施,确保信息安全。
四、评估结果经过综合评估,我公司存在以下几个主要的信息安全风险:1. 网络攻击风险:由于网络攻击技术的不断发展,我公司网络系统面临被黑客攻击的风险。
黑客可能通过网络渗透、病毒攻击、木马和僵尸网络等方式入侵我公司的网络,对数据进行窃取、篡改或破坏。
2. 数据泄露风险:我公司存在员工个人信息、客户数据、财务信息等重要数据。
如果这些数据泄露,将对公司的声誉和经济利益造成极大影响。
数据泄露可能由内部员工泄露、黑客攻击、电子邮件窃取等途径引起。
3. 人为操作失误风险:因为员工对安全意识的不足或培训不到位,可能会在操作过程中出现失误,导致重要数据的丢失、损坏或泄露。
四、风险控制建议根据评估结果,我公司应采取以下风险控制措施:1. 加强网络安全防护:建立完善的防火墙系统,及时更新系统补丁,并对网络进行定期检测和漏洞扫描,防止黑客入侵。
2. 加强数据安全保护:对重要数据进行加密存储,设置权限控制,限制员工对敏感数据的访问权限。
建立数据备份和恢复体系,保障数据的完整性和可用性。
3. 提高员工安全意识:加强员工的安全培训和教育,增强员工的安全意识和防范意识。
信息安全风险评估报告
信息安全风险评估报告随着信息技术的迅猛发展,信息安全问题已经成为企业和个人面临的严峻挑战。
信息安全风险评估是保障信息系统安全的重要手段,通过对信息系统可能面临的各种风险进行评估,及时发现潜在的安全隐患,有针对性地采取措施,以保障信息系统的安全性和稳定性。
首先,我们需要了解什么是信息安全风险评估。
信息安全风险评估是指对信息系统可能面临的各种潜在威胁和风险进行全面、系统的评估,以确定可能的安全威胁和漏洞,为后续的安全防护工作提供依据。
信息安全风险评估的目的是为了发现和识别信息系统中存在的各种潜在风险,包括技术风险、管理风险和人为风险等,以便及时采取相应的安全防护措施,保障信息系统的安全性。
其次,信息安全风险评估的重要性不言而喻。
随着信息系统的复杂性和普及程度不断提高,信息安全问题也日益凸显。
信息安全风险评估可以帮助企业全面了解信息系统中可能存在的安全隐患,有针对性地采取措施,规避各种潜在的安全风险,保障信息系统的正常运行和数据的安全性。
同时,信息安全风险评估还可以帮助企业合理分配安全资源,提高安全投入的效益,降低信息系统遭受安全攻击和损失的可能性,对企业的可持续发展具有重要意义。
接着,信息安全风险评估的方法和步骤至关重要。
信息安全风险评估的方法包括定性评估和定量评估两种,其中定性评估主要是根据专家经验和常识对风险进行评估,定量评估则是通过数据分析和模型计算对风险进行量化评估。
在进行信息安全风险评估时,需要依据一定的步骤进行,包括确定评估范围、收集信息、识别风险、评估风险、制定对策和监控风险等。
只有严格按照规定的步骤进行,才能够获得准确、全面的评估结果,为后续的安全防护工作提供有效的支持。
最后,信息安全风险评估需要持续进行。
信息系统的安全环境是不断变化的,新的安全威胁和漏洞也在不断涌现,因此信息安全风险评估不能是一劳永逸的,而是需要持续进行的过程。
只有不断跟进信息系统的安全状况,及时发现潜在的安全隐患,采取相应的安全防护措施,才能够有效地保障信息系统的安全性和稳定性。
信息安全风险评估报告
信息安全风险评估报告一、引言信息安全风险评估是企业信息安全管理的重要环节,通过对信息系统、数据和业务流程的风险进行全面评估,可以帮助企业识别和理解潜在的安全威胁,从而制定相应的安全措施和应对策略,保障信息资产的安全和可靠性。
本报告旨在对某企业的信息安全风险进行评估,全面了解其信息系统和数据的安全状况,为企业提供有效的安全建议和改进建议。
二、背景介绍某企业是一家以互联网为核心业务的企业,主要业务包括电子商务、在线支付、数据存储和处理等。
由于业务的特殊性,企业信息系统中包含大量的用户个人信息、交易数据和商业机密,一旦泄露或遭受攻击,将会对企业造成严重的损失。
因此,对企业的信息安全风险进行评估显得尤为重要。
三、信息安全风险评估方法本次评估采用了常见的信息安全风险评估方法,主要包括风险识别、风险分析、风险评估和风险控制四个步骤。
1. 风险识别通过对企业信息系统和数据进行全面的调查和分析,识别潜在的安全威胁和风险点,包括网络攻击、数据泄露、系统故障等。
2. 风险分析对识别出的安全威胁和风险点进行分析,确定其可能造成的影响和可能性,包括数据损失、服务中断、商誉损失等。
3. 风险评估综合考虑风险的影响和可能性,对各项风险进行评估,确定其优先级和紧急程度,为后续的风险控制提供依据。
4. 风险控制针对评估出的重要风险,制定相应的风险控制措施和应对策略,包括技术控制、管理控制和应急预案等。
四、信息安全风险评估结果经过以上的评估方法,得出了以下的信息安全风险评估结果:1. 网络攻击风险企业网络面临来自互联网的各种攻击风险,包括DDoS攻击、SQL注入、恶意软件等。
这些攻击可能导致企业网络服务中断、用户数据泄露等严重后果。
2. 数据泄露风险企业存储了大量的用户个人信息和交易数据,一旦遭受攻击或内部泄露,将会对用户和企业造成严重的损失。
3. 内部恶意操作风险企业员工对系统和数据的访问权限较高,存在内部恶意操作的风险,可能导致数据篡改、泄露等问题。
信息安全风险评估报告
信息安全风险评估报告根据对企业信息系统进行的风险评估,以下是我们的信息安全风险评估报告:1. 威胁来源:- 外部威胁:来自黑客、网络犯罪分子、竞争对手等未授权的第三方。
- 内部威胁:来自员工、合作伙伴或供应商的内部操作失误、犯规行为或恶意行为。
2. 威胁类型:- 数据泄露:未经授权的数据访问、传输或丢失,可能导致客户隐私泄露、知识产权盗用等。
- 网络攻击:通过网络入侵、恶意软件、拒绝服务攻击等方式对系统进行攻击。
- 物理安全:劫持或破坏物理设备,如服务器、网络设备等。
3. 潜在影响:- 财务损失:因数据泄露、网络攻击或停机造成的直接或间接经济损失,包括法律诉讼费用、信誉损害等。
- 业务中断:网络攻击、系统故障或自然灾害等原因引发的系统停机,导致业务中断和客户流失。
- 法规合规:由于安全漏洞、数据泄露等违反国家或行业相关法规法律,可能导致罚款、诉讼等法律责任。
4. 现有安全措施:- 防火墙与入侵检测系统:用于检测和阻挡网络攻击,保护系统免受未授权访问。
- 数据加密:对重要数据进行加密,确保数据在传输和存储中的安全性。
- 身份认证与访问控制:采用密码、多因素认证等方式,限制员工和用户的访问权限。
- 安全培训与意识:为员工提供信息安全培训,增强其对安全风险的认识和防范意识。
5. 建议的改进措施:- 定期系统检测与漏洞修补:及时更新系统和应用程序,修补已知漏洞,减少安全风险。
- 加强物理安全:加强服务器和设备的物理保护,防止意外破坏或盗窃。
- 增强监控与日志记录:建立安全事件监控和日志记录机制,及时发现和响应安全事件。
- 强化员工的安全意识培训:定期培训和测试员工对信息安全的了解和防范措施。
请注意,以上评估报告只是基于目前的情况和所收集的信息进行的初步评估,具体改进措施应根据公司的具体情况和需求进行定制化制定。
信息安全风险评估总结汇报
信息安全风险评估总结汇报随着信息技术的不断发展,信息安全问题也日益凸显。
为了更好地保护企业的信息资产和客户隐私,信息安全风险评估成为了企业必不可少的一项工作。
在过去的一段时间里,我们对公司的信息安全风险进行了全面评估,并就评估结果进行了总结汇报,现将相关情况进行总结如下:首先,我们对公司的信息系统进行了全面的安全漏洞扫描和风险评估。
通过对系统的漏洞和弱点进行分析,我们发现了一些潜在的安全风险,包括未及时更新的软件补丁、弱密码设置、未经授权的访问等问题。
针对这些问题,我们已经采取了相应的措施,包括加强系统的安全配置、强化密码策略、加强对系统访问权限的管控等。
其次,我们对公司内部员工的信息安全意识进行了调查和评估。
调查结果显示,虽然大部分员工对信息安全有一定的认识,但仍存在着一些安全意识不强的情况,比如随意连接未知的Wi-Fi网络、使用弱密码、未及时更新安全软件等。
为了提高员工的信息安全意识,我们已经开展了相关的培训和宣传活动,提醒员工注意信息安全问题,并制定了相应的安全管理制度和规范,以加强对员工的安全教育和管理。
最后,我们还对公司的信息安全应急预案进行了评估和测试。
通过模拟各种安全事件,我们对公司的应急响应能力进行了测试,并发现了一些不足之处,比如缺乏完备的安全事件响应流程、缺乏及时有效的安全事件监控和报警机制等。
为了提高公司的安全应急响应能力,我们已经完善了公司的安全事件响应流程,并加强了安全事件的监控和报警机制,以确保在发生安全事件时能够及时有效地应对。
综上所述,通过对公司的信息安全风险进行全面评估,我们发现了一些安全隐患,并已经采取了相应的措施加以解决。
未来,我们将继续加强对信息安全风险的评估和监控,不断提升公司的信息安全水平,确保公司的信息资产和客户隐私得到有效保护。
信息安全风险评估报告
信息安全风险评估报告一、综述信息安全风险评估是指对组织的信息系统及其所涉及的信息资源进行全面评估,找出可能存在的风险,分析其潜在影响,并提出相应的应对措施。
本报告对公司的信息安全风险进行评估,旨在为公司提供具体的安全风险分析和应对措施,以保护公司的信息资产,维护业务的连续性和可靠性。
二、信息安全风险评估方法本次信息安全风险评估采用了定性与定量相结合的方法,通过对系统的潜在威胁进行分类与评估,评估出风险事件的可能性与影响程度,并综合考虑系统的资产价值、漏洞程度、威胁程度等因素,计算出风险等级。
三、信息安全风险评估结果1.威胁源:内部员工威胁描述:内部员工拥有系统的访问权限,并能够接触到敏感信息,如个人客户信息、薪资数据等。
存在潜在的信息泄露风险。
风险等级:中应对措施:加强员工培训,提高员工的信息安全意识,加强对敏感信息的访问控制,限制员工的权限。
2.威胁源:外部黑客攻击威胁描述:黑客可能利用系统的漏洞,进行远程攻击,获取未授权访问系统的权限,导致信息泄露或系统瘫痪。
风险等级:高应对措施:及时修补系统漏洞,加强网络防护措施,如安装防火墙、入侵检测系统等,及时更新安全补丁,定期进行渗透测试,以发现潜在安全问题。
3.威胁源:自然灾害威胁描述:地震、火灾、洪水等自然灾害可能导致机房设备损坏,造成业务中断,甚至丢失重要数据。
风险等级:中应对措施:确保机房设备的稳定性和可靠性,定期进行备份和灾备演练,将数据备份存储在离线设备或云存储中。
四、风险评估结论五、建议为了降低信息安全风险,公司应采取以下措施:1.建立完善的信息安全管理制度,明确责任和权利,明确安全风险的责任主体。
2.强化员工的信息安全意识培训,提升员工的安全防范意识以及对恶意软件等威胁的识别与防范能力。
3.加强系统与网络的安全防护措施,定期更新补丁,并安装防火墙、入侵检测系统等安全设备。
4.开展定期审计和渗透测试,发现系统的潜在漏洞与风险,并及时修补和改进。
信息安全风险评估报告
信息安全风险评估报告信息安全风险评估报告一、引言信息安全风险评估是对现有信息系统的安全状况进行全面评估,阐明系统存在的安全问题和隐患,提供相应的安全建议和对策。
本报告旨在对xxx公司的信息安全风险进行评估,并针对评估结果提出应对措施,以保障公司信息系统的安全。
二、风险评估结果经过对xxx公司现有信息系统的审查和测试,我们发现以下几个主要的安全风险:1. 未及时更新软件和系统补丁:部分服务器和终端设备存在软件和系统补丁更新滞后的情况,容易被黑客利用已知漏洞进行攻击。
2. 强密码策略不完善:部分账号密码过于简单,缺乏复杂性和长度要求,容易被猜解或暴力破解。
3. 缺乏访问控制机制:部分敏感数据和系统功能没有进行适当的访问控制,员工权限管理不完善,存在未授权访问的风险。
4. 缺乏安全意识教育:公司员工对信息安全意识较低,缺乏正确的安全操作意识,容易成为社会工程和钓鱼攻击的目标。
三、风险缓解措施为了降低上述风险带来的安全威胁,我们建议xxx公司采取以下措施:1. 及时更新软件和系统补丁:建立漏洞管理团队,负责定期检查系统和软件的漏洞情况,并及时进行补丁更新。
2. 强化密码策略:制定密码安全管理规定,要求员工使用复杂、长的密码,定期更换密码,禁止使用弱密码。
3. 实施访问控制机制:建立完善的员工权限管理制度,对不同职位的员工进行分类管理,分配相应的访问权限,实行最小权限原则。
4. 加强安全意识教育:定期组织信息安全培训,提高员工的安全意识和对安全风险的认识,教育员工正确使用信息系统,远离各类网络诈骗。
四、总结通过本次安全风险评估,我们发现xxx公司存在多个安全风险,并提供了相应的缓解措施。
信息系统的安全是企业发展和稳定运营的基础,我们建议xxx公司高度重视信息安全,落实相应的安全措施,以确保信息资产的安全性和保密性。
同时,还建议定期进行安全风险评估,及时发现和解决新出现的安全问题,保持信息系统的安全稳定。
信息安全风险评估报告
信息安全风险评估报告一、引言信息安全在当今社会中变得愈发重要,随着信息技术的不断发展和普及,网络安全问题也逐渐凸显出来。
为了保护个人、企业和国家的信息资产安全,信息安全风险评估成为必不可少的工作。
本报告将对某公司信息安全风险进行评估,并提出相应的风险防范措施。
二、风险评估范围本次信息安全风险评估主要涵盖了该公司的网络安全、数据安全、设备安全等方面,旨在全面了解公司信息系统存在的安全隐患以及相关风险。
三、风险评估方法1. 收集资料:通过公司资料、网络拓扑结构图、安全策略等找到潜在的风险点。
2. 风险识别:根据资料收集的结果,识别各种可能存在的安全威胁和风险。
3. 风险分析:对识别出的各种风险进行分析,确定其可能造成的影响程度和可能性。
4. 风险评估:将不同风险的影响程度和可能性进行综合评估,确定风险等级。
5. 风险应对:根据风险等级的高低,制定相应的风险防范和治理措施。
四、风险评估结果1. 网络安全风险经评估发现,公司网络安全存在较高的风险,主要表现在网络拓扑结构不够完善、访客网络进入公司内网权限控制不严格等方面,可能受到黑客攻击、数据泄露等威胁。
2. 数据安全风险公司数据安全风险主要体现在数据备份不及时、数据加密措施不完善等问题,一旦数据泄露或丢失将对公司的运营产生严重影响。
3. 设备安全风险设备安全风险主要包括设备管理不规范、设备防护不足等问题,可能导致设备被盗或损坏,影响公司正常运转。
五、风险防范措施1. 制定网络安全策略:完善公司网络拓扑结构,限制访客网络进入内网权限,并建立严格的内部网络访问控制机制。
2. 数据备份和加密:建立完善的数据备份机制,定期进行数据备份,并加强数据加密技术的应用,保障数据的安全。
3. 设备管理和防护:建立设备管理规范,对公司所有设备进行统一管理和监控,加强设备防护,提高设备安全性。
六、结论通过本次信息安全风险评估,发现了公司存在的网络安全、数据安全和设备安全等多方面的风险,同时提出了相应的风险防范措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
胜达集团信息安全评估报告(管理信息系统)胜达集团二零一六年一月1 目标胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
2 评估依据、范围和方法评估依据根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[ 2006] 15 号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48 号)以及集团公司和省公司公司的文件、检查方案要求,开展XX单位的信息安全评估。
评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
评估方法采用自评估方法。
3 重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。
资产清单见附表1。
4 安全事件对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。
安全事件列表见附表2。
5 安全检查项目评估规章制度与组织管理评估组织机构评估标准信息安全组织机构包括领导机构、工作机构。
现状描述本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
完善信息安全组织机构,成立信息安全工作机构。
评估结论岗位职责估标准岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
现状描述我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
评估结论本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
病毒管理评估标准病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1 周内至少进行一次扫描)。
现状描述本局使用Symantec 防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
评估结论完善病毒预警和报告机制,制定计算机病毒防治管理制度。
运行管理评估标准运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
现状描述没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
评估结论结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
账号与口令管理评估标准制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6 字符,管理员账户密码、口令长度大于8 字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
现状描述没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于 6 字符;管理员账户密码、口令长度大于8 字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
评估结论制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
网络与系统安全评估网络架构评估标准局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
现状描述局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。
评估结论局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
网络分区评估标准生产控制系统和管理信息系统之间进行分区,VLA N间的访问控制设置合理。
现状描述生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
评估结论网络设备评估标准网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP 、 FTP 、TFTP等服务,SNMpt 区串、本地用户口令强健(>8字符,数字、字母混杂)。
现状描述网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP 、FTP 、TFTP 等服务,SNMF 社区串、本地用户口令没达到要求。
评估结论对网络设备配置进行备份,完善SNMpt 区串、本地用户口令强健(>8字符,数字、字母混杂)。
IP 管理评估标准有 IP 地址管理系统, IP 地址管理有规划方案和分配策略, 现状描述补丁管理评估标准有补丁管理的手段或补丁管理制度, 试记录。
现状描述通过手工补丁管理手段, 没有制订相应管理制度; Win dows 系统主机补丁安装基本齐全, 没有补丁安装的测试记录。
评估结论完善补丁管理的手段, 制订相应管理制度; 补缺Windows 系统主机补丁安装, 补丁安装 前进行测试记录。
对生产控制系统和管理信息系统之间进行分区, VLA N 间的访问控制设置合理。
IP 地址分配有记录。
没有 IP 地址管理系统,正在进行对 评估结论建立 IP 地址管理系统,加快进行对IP 地址的规划和分配, IP 地址的规划和分配, IP 地址分配有记录。
IP 地址分配有记录。
Win dows 系统主机补丁安装齐全,有补丁安装的测系统安全配置评估标准对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
现状描述没有对操作系统的安全配置进行严格的设置,部分系统删除不必要的服务、协议。
评估结论对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
主机备份评估标准重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。
现状描述重要的系统主机采用了双机备份,进行过热切换或者故障恢复的测试。
评估结论重要的系统主机采用了双机备份,进行热切换或者故障恢复的测试。
网络服务与应用系统评估服务器评估标准WWV服务用户账户、口令应健壮(查看登录),信息发布进行了分级审核,外部网站有备份或其他保护措施。
现状描述没有WW服务。
评估结论考虑按上述标准建设WW服务。
电子邮件服务器评估标准对近三个月的邮件数据进行备份,有专门针对邮件病毒、垃圾邮件的安全措施,邮件系统管理员账户/ 口令应强健,邮件系统的维护、检查应有审计记录。
现状描述OA 系统邮件数据进行一星期备份,有专门针对邮件病毒、垃圾邮件的趋势防病毒软件系统,但该软件评估结论存在问题比较多,邮件系统管理员账户/口令设置合理,邮件系统的维护、检查没有审计记录。
对0A系统邮件数据进行三个月备份,关注解决趋势防病毒软件系统问题;邮件系统管理员账户/口令设置合理,对邮件系统的维护、检查审计进行记录。
远程拨号访问评估标准有限制远程拨号访问的管理措施,用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。
现状描述没有远程拨号访问。
评估结论远程拨号访问设置按上述标准执行。
应用系统评估标准应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作进行审计并进行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前进行安全性测试。
现状描述营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。
评估结论完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
安全技术管理与设备运行状况评估防火墙评估标准网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。
现状描述网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,对防火墙日志没有进行存储、备份。
评估结论网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
防病毒系统评估标准防病毒系统覆盖所有服务器及客户端(覆盖率至少应大于90%),对服务器的防病毒客户端管理策略配置合理(自动升级病毒代码、每周扫描),有专责人员负责维护防病毒系统并及时发布病毒通告。
现状描述防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有;有兼责人员负责维护防病毒系统,但基本没有发布病毒通告。
评估结论防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有,考虑以后实施;考虑配置专责人员负责维护防病毒系统,并及时发布病毒通告。
入侵检测系统评估标准入侵检测系统部署合理、覆盖主要网络边界与主要服务器,定期对审计信息进行分析,定期更新入侵检测的规则与升级。
现状描述没有部署入侵检测系统。
评估结论按上述部署、配置入侵检测系统。
安全技术管理评估标准部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内进行信息安全风险评估,部署针对安全设备的日志服务器。
现状描述没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有进行信息安全风险评估,没有部署针对安全设备的日志服务器。