信息安全评估报告
信息安全风险评估全套报告模板
信息安全风险评估全套报告模板1. 引言嘿,大家好!今天咱们来聊聊一个可能听起来有点枯燥,但却超级重要的话题——信息安全风险评估。
别皱眉,听我说完,你会发现这东西其实没那么复杂,甚至还有点有趣!在这个信息爆炸的时代,我们的个人信息和企业数据就像是小兔子,随时可能被狡猾的狐狸盯上。
所以,搞清楚风险评估,保护我们的“兔子”,就显得尤为重要啦!2. 什么是信息安全风险评估?2.1 基本概念简单来说,信息安全风险评估就是找出那些潜在威胁,看看它们对我们的信息会造成多大的伤害。
就像一个侦探,悄悄地调查那些潜伏在阴影里的坏家伙。
评估的过程包括识别风险、分析风险和应对风险。
听起来是不是有点像超级英雄拯救世界的剧情?没错,咱们的任务就是把坏蛋们一网打尽!2.2 风险评估的重要性那么,为什么风险评估这么重要呢?首先,信息安全风险评估能帮我们发现系统中的漏洞。
想象一下,家里有个窗户没关,结果引来了一只小偷,那可是麻烦大了!通过风险评估,我们可以及时发现这些漏洞,并采取措施来堵上。
其次,评估还可以帮助我们制定更好的安全策略,像给我们的信息安全穿上铠甲,保护它们不被侵犯。
3. 风险评估的步骤3.1 识别风险好啦,咱们开始实际操作吧!第一步是识别风险。
这就像是逛超市,看看货架上有什么可能过期的产品。
我们需要列出所有可能对信息安全造成威胁的因素,比如黑客攻击、病毒、自然灾害等等。
一定要全面,不要漏掉任何一个小细节,毕竟“千里之行,始于足下”嘛!3.2 分析风险接下来,咱们进入分析风险的阶段。
这一步就像是在给这些威胁排个队,看看哪个最严重。
我们要考虑每个风险的可能性和影响程度,把它们分成不同的等级。
像是学校里的考试,分数高的就是最需要注意的风险,这样才能集中火力,确保最重要的部分不会出事。
4. 制定应对措施4.1 风险应对策略现在我们来到了制定应对措施的环节。
根据前面识别和分析的结果,咱们需要制定一些具体的行动计划。
比如,对高风险的部分加强安全防护,定期备份数据,确保一旦发生问题也不会“万劫不复”。
信息安全评估报告
信息安全评估报告随着信息技术的不断发展,信息安全问题日益受到重视。
信息安全评估作为信息安全管理的重要环节,对于企业和个人来说具有重要意义。
本报告旨在对信息安全进行全面评估,为相关单位提供参考和建议。
一、信息安全评估的背景。
随着互联网的普及和信息化的发展,信息安全问题日益凸显。
各种网络攻击、数据泄露等事件层出不穷,给企业和个人带来了巨大的损失。
因此,信息安全评估成为了保障信息安全的重要手段。
二、信息安全评估的目的。
信息安全评估的主要目的是为了全面了解信息系统的安全状况,发现潜在的安全风险和问题,为信息安全管理提供科学依据和有效措施。
通过评估,可以及时发现和解决安全隐患,保障信息系统的安全运行。
三、信息安全评估的内容。
信息安全评估主要包括对信息系统的安全性能、安全策略、安全管理、安全技术和安全服务等方面的评估。
其中,安全性能评估主要针对系统的安全性能进行评估,包括系统的机密性、完整性和可用性等方面;安全策略评估主要评估系统的安全策略是否合理、有效;安全管理评估主要评估系统的安全管理是否到位、有效;安全技术评估主要评估系统的安全技术是否先进、可靠;安全服务评估主要评估系统的安全服务是否及时、有效。
四、信息安全评估的方法。
信息安全评估可以采用定性评估和定量评估相结合的方法。
定性评估主要是通过专家经验和专业知识进行评估,主要包括文件审查、访谈、观察等方法;定量评估主要是通过数据分析和统计方法进行评估,主要包括风险分析、脆弱性扫描、安全测试等方法。
五、信息安全评估的意义。
信息安全评估对于企业和个人来说具有重要意义。
首先,可以帮助企业和个人全面了解信息系统的安全状况,发现潜在的安全风险和问题;其次,可以为信息安全管理提供科学依据和有效措施,及时发现和解决安全隐患;最后,可以保障信息系统的安全运行,减少信息安全事件的发生,降低信息安全风险。
六、信息安全评估的建议。
针对信息安全评估发现的问题和风险,我们提出如下建议,加强信息安全意识教育培训,建立健全的信息安全管理制度,加强安全技术和服务的应用,定期进行信息安全评估和演练,及时发现和解决安全隐患。
信息安全风险评估报告
信息安全风险评估报告一、引言信息安全风险评估是企业信息安全管理的重要环节,通过对信息系统、数据和业务流程的风险进行全面评估,可以帮助企业识别和理解潜在的安全威胁,从而制定相应的安全措施和应对策略,保障信息资产的安全和可靠性。
本报告旨在对某企业的信息安全风险进行评估,全面了解其信息系统和数据的安全状况,为企业提供有效的安全建议和改进建议。
二、背景介绍某企业是一家以互联网为核心业务的企业,主要业务包括电子商务、在线支付、数据存储和处理等。
由于业务的特殊性,企业信息系统中包含大量的用户个人信息、交易数据和商业机密,一旦泄露或遭受攻击,将会对企业造成严重的损失。
因此,对企业的信息安全风险进行评估显得尤为重要。
三、信息安全风险评估方法本次评估采用了常见的信息安全风险评估方法,主要包括风险识别、风险分析、风险评估和风险控制四个步骤。
1. 风险识别通过对企业信息系统和数据进行全面的调查和分析,识别潜在的安全威胁和风险点,包括网络攻击、数据泄露、系统故障等。
2. 风险分析对识别出的安全威胁和风险点进行分析,确定其可能造成的影响和可能性,包括数据损失、服务中断、商誉损失等。
3. 风险评估综合考虑风险的影响和可能性,对各项风险进行评估,确定其优先级和紧急程度,为后续的风险控制提供依据。
4. 风险控制针对评估出的重要风险,制定相应的风险控制措施和应对策略,包括技术控制、管理控制和应急预案等。
四、信息安全风险评估结果经过以上的评估方法,得出了以下的信息安全风险评估结果:1. 网络攻击风险企业网络面临来自互联网的各种攻击风险,包括DDoS攻击、SQL注入、恶意软件等。
这些攻击可能导致企业网络服务中断、用户数据泄露等严重后果。
2. 数据泄露风险企业存储了大量的用户个人信息和交易数据,一旦遭受攻击或内部泄露,将会对用户和企业造成严重的损失。
3. 内部恶意操作风险企业员工对系统和数据的访问权限较高,存在内部恶意操作的风险,可能导致数据篡改、泄露等问题。
信息安全风险评估报告
信息安全风险评估报告随着信息技术的不断发展,信息安全问题日益受到重视。
信息安全风险评估作为信息安全管理的重要环节,对于企业和组织来说具有重要意义。
本报告旨在对信息安全风险进行评估,识别潜在的威胁和漏洞,为相关部门提供决策参考,保障信息资产的安全性和完整性。
一、信息安全风险评估的背景和意义。
信息安全风险评估是指对信息系统及其相关资源进行全面评估,识别潜在的威胁和漏洞,并评估其可能造成的损失。
通过对信息安全风险进行评估,可以帮助企业和组织了解其信息系统面临的安全威胁,及时采取有效的措施进行防范和管理,降低信息安全风险带来的损失。
二、信息安全风险评估的方法和步骤。
1. 确定评估范围,首先需要确定评估的范围,包括评估的对象、评估的目标和评估的时间范围。
2. 收集信息,收集与信息安全相关的资料和信息,包括现有安全政策、安全控制措施、安全事件记录等。
3. 识别威胁和漏洞,通过对系统进行全面的分析和检测,识别系统存在的安全威胁和漏洞,包括技术漏洞、人为失误、恶意攻击等。
4. 评估风险,对识别出的安全威胁和漏洞进行评估,确定其可能造成的损失和影响程度,计算风险的可能性和影响程度。
5. 制定应对措施,针对评估出的风险,制定相应的应对措施和安全策略,包括加强安全控制措施、加强安全意识培训等。
三、信息安全风险评估的关键问题和挑战。
信息安全风险评估过程中存在一些关键问题和挑战,包括评估范围的确定、信息收集的难度、风险评估的客观性和准确性等。
如何有效解决这些问题和挑战,是信息安全风险评估工作的关键。
四、信息安全风险评估的建议和展望。
针对信息安全风险评估存在的问题和挑战,我们建议加强对评估范围的把控,提高信息收集的效率和准确性,加强风险评估的客观性和准确性。
未来,随着信息技术的不断发展,信息安全风险评估工作将面临更多新的挑战,我们需要不断完善评估方法和工具,提高评估的科学性和准确性。
结语。
信息安全风险评估是信息安全管理的重要环节,对于保障信息资产的安全性和完整性具有重要意义。
信息系统安全风险评估报告(精选5篇)
信息系统安全风险评估报告信息系统安全风险评估报告(精选5篇)在经济发展迅速的今天,接触并使用报告的人越来越多,报告中提到的所有信息应该是准确无误的。
一听到写报告马上头昏脑涨?下面是小编帮大家整理的信息系统安全风险评估报告(精选5篇),希望对大家有所帮助。
信息系统安全风险评估报告1医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失,因此,医院计算机网络系统的安全工作非常重要。
在医院信息管理系统(HIS)、临床信息系统(CIS)、检验信息管理系统(LIS)、住院医嘱管理系统(CPOE)、体检信息管理系统等投入运行后,几大系统纵横交错,构成了庞大的计算机网络系统。
几乎覆盖全院的每个部门,涵盖病人来院就诊的各个环节,300多台计算机同时运行,支持各方面的管理,成为医院开展医疗服务的业务平台。
根据国家信息安全的有关规定、县医院建设基本功能规范、医院医疗质量管理办法、等级医院评审标准,并结合我院的实际情况制定了信息系统安全管理制度(计算机安全管理规定、网络设备使用及维护管理规定、打印机使用及维护管理规定、信息系统添置和更新制度、软件及信息安全、信息系统操作权限分级管理办法、计算机机房工作制度、计算机机房管理制度)、信息系统应急预案、信息报送审核制度、信息报送问责制度,以确保医院计算机网络系统持久、稳定、高效、安全地运行。
针对信息系统的安全运行采取了措施1、中心机房及网络设备的安全维护1.1环境要求中心机房作为医院信息处理中心,其工作环境要求严格,我们安装有专用空调将温度置于22℃左右,相对湿度置于45%~65%,且机房工作间内无人员流动、无尘、全封闭。
机房安装了可靠的避雷设施、防雷设备;配备了能支持4小时的30KVA的UPS电源;配备了20KVA的稳压器;机房工作间和操作间安装有实时监控的摄像头。
1.2网络设备信息系统中的数据是靠网络来传输的,网络的正常运行是医院信息系统的基本条件,所以网络设备的维护至关重要。
信息安全评估报告填写
信息安全评估报告填写
信息安全评估报告填写需要包括以下内容:
1. 评估概述:对整个评估项目进行简要介绍,包括评估的目的、范围和方法。
2. 评估对象:详细描述评估对象,如系统、网络、应用程序等,并提供相关的技术和运行环境信息。
3. 评估过程:描述评估的具体步骤和方法,包括收集信息、分析安全策略和控制措施、扫描漏洞、进行攻击模拟等。
4. 评估结果:对评估过程中发现的安全风险和漏洞进行详细描述,并进行综合评估和分类。
评估结果应包括技术隐患、物理隐患和人员隐患等方面的问题。
5. 风险分析:对评估结果进行分析,评估风险的可能性和影响程度,并提供相应的建议和措施来降低风险。
6. 建议和措施:根据风险分析的结果,提供相关的建议和措施,包括技术改进、安全培训和意识提升等方面的建议。
7. 评估总结:对整个评估过程进行总结,并提供对评估结果的综合评价和总体建议。
8. 附件:提供评估过程中的原始数据、相关文档和报告的详细信息。
填写信息安全评估报告时,要确保报告内容清晰、具体,并且准确反映评估结果和建议。
同时,应尽量避免使用技术术语和专业术语,以便非专业人士也能理解报告。
信息安全风险评估报告(模板)
信息安全风险评估报告(模板)一、引言
(一)评估目的
阐述本次评估的主要目标和意图。
(二)评估范围
明确评估所涵盖的系统、网络、应用程序等具体范围。
二、被评估对象概述
(一)组织背景
介绍组织的基本情况、业务性质等。
(二)信息系统架构
详细描述被评估系统的架构、组件和相互关系。
三、评估方法和流程
(一)评估方法选择
说明所采用的评估方法及其合理性。
(二)评估流程描述
包括数据收集、分析、风险识别等具体步骤。
四、风险识别与分析
(一)资产识别
列出重要的信息资产及其属性。
(二)威胁识别
分析可能面临的各种威胁来源和类型。
(三)脆弱性识别
找出系统存在的技术和管理方面的脆弱性。
(四)风险分析
通过风险计算方法确定风险级别。
五、风险评估结果
(一)高风险区域
详细阐述高风险的具体情况和影响。
(二)中风险区域
说明中风险事项及相关特点。
(三)低风险区域
概括低风险方面的内容。
六、风险应对建议
(一)高风险应对措施
提出针对高风险的具体解决办法。
(二)中风险应对措施
相应的改进建议。
(三)低风险应对措施
一般性的优化建议。
七、残余风险评估
(一)已采取措施后的风险状况。
(二)残余风险的可接受程度。
八、结论与建议
(一)评估总结
概括评估的主要发现和结论。
(二)未来工作建议
对后续信息安全工作的方向和重点提出建议。
信息安全风险评估报告
信息安全风险评估报告一、综述信息安全风险评估是指对组织的信息系统及其所涉及的信息资源进行全面评估,找出可能存在的风险,分析其潜在影响,并提出相应的应对措施。
本报告对公司的信息安全风险进行评估,旨在为公司提供具体的安全风险分析和应对措施,以保护公司的信息资产,维护业务的连续性和可靠性。
二、信息安全风险评估方法本次信息安全风险评估采用了定性与定量相结合的方法,通过对系统的潜在威胁进行分类与评估,评估出风险事件的可能性与影响程度,并综合考虑系统的资产价值、漏洞程度、威胁程度等因素,计算出风险等级。
三、信息安全风险评估结果1.威胁源:内部员工威胁描述:内部员工拥有系统的访问权限,并能够接触到敏感信息,如个人客户信息、薪资数据等。
存在潜在的信息泄露风险。
风险等级:中应对措施:加强员工培训,提高员工的信息安全意识,加强对敏感信息的访问控制,限制员工的权限。
2.威胁源:外部黑客攻击威胁描述:黑客可能利用系统的漏洞,进行远程攻击,获取未授权访问系统的权限,导致信息泄露或系统瘫痪。
风险等级:高应对措施:及时修补系统漏洞,加强网络防护措施,如安装防火墙、入侵检测系统等,及时更新安全补丁,定期进行渗透测试,以发现潜在安全问题。
3.威胁源:自然灾害威胁描述:地震、火灾、洪水等自然灾害可能导致机房设备损坏,造成业务中断,甚至丢失重要数据。
风险等级:中应对措施:确保机房设备的稳定性和可靠性,定期进行备份和灾备演练,将数据备份存储在离线设备或云存储中。
四、风险评估结论五、建议为了降低信息安全风险,公司应采取以下措施:1.建立完善的信息安全管理制度,明确责任和权利,明确安全风险的责任主体。
2.强化员工的信息安全意识培训,提升员工的安全防范意识以及对恶意软件等威胁的识别与防范能力。
3.加强系统与网络的安全防护措施,定期更新补丁,并安装防火墙、入侵检测系统等安全设备。
4.开展定期审计和渗透测试,发现系统的潜在漏洞与风险,并及时修补和改进。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全评估报告(管理信息系统)二零一六年一月1目标××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
2评估依据、范围和方法2.1评估依据根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
2.2评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
2.3评估方法采用自评估方法。
3重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。
资产清单见附表1。
4安全事件对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。
安全事件列表见附表2。
5安全检查项目评估5.1规章制度与组织管理评估5.1.1组织机构5.1.1.1评估标准信息安全组织机构包括领导机构、工作机构。
5.1.1.2现状描述本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
5.1.1.3评估结论完善信息安全组织机构,成立信息安全工作机构。
5.1.2岗位职责5.1.2.1评估标准岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
5.1.2.2现状描述我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
5.1.2.3评估结论本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
5.1.3病毒管理5.1.3.1评估标准病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
5.1.3.2现状描述本局使用Symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
5.1.3.3评估结论完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.1.4运行管理5.1.4.1评估标准运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
5.1.4.2现状描述没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
5.1.4.3评估结论结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
5.1.5账号与口令管理5.1.5.1评估标准制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
5.1.5.2现状描述没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
5.1.5.3评估结论制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
5.2网络与系统安全评估5.2.1网络架构5.2.1.1评估标准局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
5.2.1.2现状描述局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。
5.2.1.3评估结论局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
5.2.2网络分区5.2.2.1评估标准生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.2.2现状描述生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
5.2.2.3评估结论对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.3网络设备5.2.3.1评估标准网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.3.2现状描述网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。
5.2.3.3评估结论对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.4IP管理5.2.4.1评估标准有IP地址管理系统,IP地址管理有规划方案和分配策略,IP地址分配有记录。
5.2.4.2现状描述没有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。
5.2.4.3评估结论建立IP地址管理系统,加快进行对IP地址的规划和分配,IP地址分配有记录。
5.2.5补丁管理5.2.5.1评估标准有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
5.2.5.2现状描述通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录。
5.2.5.3评估结论完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
5.2.6系统安全配置5.2.6.1评估标准对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
5.2.6.2现状描述没有对操作系统的安全配置进行严格的设置,部分系统删除不必要的服务、协议。
5.2.6.3评估结论对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
5.2.7主机备份5.2.7.1评估标准重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。
5.2.7.2现状描述重要的系统主机采用了双机备份,进行过热切换或者故障恢复的测试。
5.2.7.3评估结论重要的系统主机采用了双机备份,进行热切换或者故障恢复的测试。
5.3网络服务与应用系统评估5.3.1WWW服务器5.3.1.1评估标准WWW服务用户账户、口令应健壮(查看登录),信息发布进行了分级审核,外部网站有备份或其他保护措施。
5.3.1.2现状描述没有WWW服务。
5.3.1.3评估结论考虑按上述标准建设WWW服务。
5.3.2电子邮件服务器5.3.2.1评估标准对近三个月的邮件数据进行备份,有专门针对邮件病毒、垃圾邮件的安全措施,邮件系统管理员账户/口令应强健,邮件系统的维护、检查应有审计记录。
5.3.2.2现状描述OA系统邮件数据进行一星期备份,有专门针对邮件病毒、垃圾邮件的趋势防病毒软件系统,但该软件存在问题比较多,邮件系统管理员账户/口令设置合理,邮件系统的维护、检查没有审计记录。
5.3.2.3评估结论对OA系统邮件数据进行三个月备份,关注解决趋势防病毒软件系统问题;邮件系统管理员账户/口令设置合理,对邮件系统的维护、检查审计进行记录。
5.3.3远程拨号访问5.3.3.1评估标准有限制远程拨号访问的管理措施,用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。
5.3.3.2现状描述没有远程拨号访问。
5.3.3.3评估结论远程拨号访问设置按上述标准执行。
5.3.4应用系统5.3.4.1评估标准应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作进行审计并进行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前进行安全性测试。
5.3.4.2现状描述营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。
5.3.4.3评估结论完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
5.4安全技术管理与设备运行状况评估5.4.1防火墙5.4.1.1评估标准网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。
5.4.1.2现状描述网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,对防火墙日志没有进行存储、备份。
5.4.1.3评估结论网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
5.4.2防病毒系统5.4.2.1评估标准防病毒系统覆盖所有服务器及客户端(覆盖率至少应大于90%),对服务器的防病毒客户端管理策略配置合理(自动升级病毒代码、每周扫描),有专责人员负责维护防病毒系统并及时发布病毒通告。