××单位信息安全评估报告
信息安全风险评估报告
XXXXX公司信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表一.风险项目综述1. 企业名称:XXXXX 公司2. 企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持3. ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。
4. ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。
二.风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。
三.风险评估日期:2017-9-10 至2017-9-15四.评估小组成员XXXXXX X五.评估方法综述1、首先由信息安全管理小组牵头组建风险评估小组;2、通过咨询公司对风险评估小组进行相关培训;3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方法;4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产清单;5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级;6、根据风险接受准则得出不可接受风险,并根据标准£027001:2013的附录A制定相关的风险控制措施;7、对于可接受的剩余风险向公司领导汇报并得到批准。
欢迎下载根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。
主要工作过程如下:1. 2017-9-10 ~ 2017-9-10 ,风险评估培训;2. 2017-9-11 ~ 2017-9-11 ,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法;3. 2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类;4. 2017-9-13〜2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在风险,并在ISMS工作组内审核;5. 2017-9-14〜2017-9-14 ,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表;6. 2017-9-15〜2017-9-15 ,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作组组织审核,并最终汇总形成本报告。
信息安全自评估报告
信息安全自评估报告尊敬的领导:根据我所负责的信息安全工作,我对本单位的信息安全状况进行了自评估。
现将自评估报告如下:一、当前信息安全状况分析1. 组织架构本单位的信息安全保障工作由信息安全办公室负责,具备一定的人员、物资和技术支持。
2. 硬件设备本单位的电脑等终端设备更新换代较为及时,服务器设备运行稳定,没有明显的问题。
3. 网络架构本单位的局域网构建较为合理,各个部门的网络资源隔离良好,但外网接入安全防护还需加强。
4. 软件系统本单位的软件系统经过合法授权,无非法软件存在。
但由于工作需要,有部分员工使用的软件没有经过安全审查。
5. 安全管理本单位建立了一套信息安全管理制度,包括密码安全、访问控制、备份与灾难恢复等方面的规定。
但制度执行情况不够严格,暴露出的问题相对较多。
二、自评估结果根据自评估分析,本单位的信息安全状况较为严重,存在以下问题:1. 外部网络安全防护不足,易受到黑客攻击;2. 部分软件系统存在安全隐患;3. 信息安全管理制度执行情况不够严格。
三、整改建议针对上述问题,现提出以下整改建议:1. 针对外部网络安全,需要加强防火墙的配置和管理,定期进行安全漏洞扫描,对系统进行及时的更新和修补;2. 对软件系统进行全面的安全审查,建立健全的软件使用规范,禁止非法软件的使用;3. 建立有效的信息安全管理机制,加强员工的安全意识培训,按照制度要求进行操作和管理。
四、总结经过自评估发现,本单位的信息安全状况存在一些问题,但也有一些优势。
我们将会紧密结合自身特点,制定合理的整改方案,在上级领导的指导下,全力以赴推进信息安全工作。
同时,也欢迎您对自评估报告提出宝贵的意见和建议,以便我们更好地改进和提升信息安全保障能力。
感谢您对信息安全工作的关心和支持!信息安全办公室日期:XXXX年XX月XX日。
××单位信息安全评估报告
××单位信息安全评估报告(管理信息系统)××单位二零一一年九月1目标××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
2评估依据、范围和方法2.1 评估依据根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
2.2 评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
2.3 评估方法采用自评估方法。
3重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。
资产清单见附表1。
4安全事件对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。
安全事件列表见附表2。
5安全检查项目评估5.1 规章制度与组织管理评估5.1.1组织机构5.1.1.1 评估标准信息安全组织机构包括领导机构、工作机构。
5.1.1.2 现状描述本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
5.1.1.3 评估结论完善信息安全组织机构,成立信息安全工作机构。
5.1.2岗位职责5.1.2.1 评估标准岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
信息安全风险评估报告范文
信息安全风险评估报告范文【信息安全风险评估报告范文】一、前言在信息互联网时代,信息安全风险评估成为一项十分关键的工作。
本次报告将会针对某公司信息安全风险评估情况进行调查和总结,旨在为该公司今后的信息安全提供可参考的建议。
二、调查方法本次信息安全风险评估调查主要采用问卷调查和访谈两种方式。
通过分析员工信息安全口径以及信息安全保障策略等方面的回答,获得对企业当前信息安全风险情况的较为清晰的认识。
三、调查结果通过本次信息安全风险评估调查,我们发现该公司在信息安全方面还存在以下问题:1. 员工信息安全意识不高,缺乏有效的安全教育及定期筛查;2. 未建立健全的信息安全保障机制,缺乏安全管理制度和技术保障手段;3. 数据备份策略不完善,风险承受容忍度较低;4. 网络攻击及信息泄露的应急处置预案缺乏。
四、建议意见基于以上调查结果,我们为该公司提出以下信息安全风险评估建议:1. 针对员工的信息安全教育应当加强,提高员工的信息安全意识和安全风险意识,同时定期筛查员工信息安全问题;2. 建立健全的信息安全保障机制,制定相关的安全管理制度和技术保障手段,实现从内部和外部两个不同层面的保障;3. 优化数据备份策略,提高风险承受容忍度,及时应对数据灾害相关问题;4. 制定网络攻击及信息泄露的应急处置预案,建立安全报告及紧急事件响应机制。
五、总结综上所述,本次信息安全风险评估调查针对企业信息安全现状,从多个角度进行了分析。
对于企业而言,保障信息安全势在必行,当企业采取切实有效的措施来提高信息安全保障水平时,才能更好地保护企业核心数据和利益,进而走得更加稳健和长远。
信息安全风险评估报告
信息安全风险评估报告1. 引言信息安全风险评估报告是对组织内部信息系统和网络的安全状况进行全面评估的重要工具。
本报告旨在通过对组织的信息系统进行风险评估,识别潜在的安全威胁和漏洞,并提供相应的建议和措施,以保障信息系统的安全性和可靠性。
2. 评估目的本次信息安全风险评估的目的是为了:- 评估组织信息系统的安全状况,发现潜在的风险和漏洞;- 识别可能导致信息泄露、数据丢失、系统中断等安全事件的因素;- 提供针对性的建议和措施,以加强信息系统的安全性和防护能力。
3. 评估范围本次评估主要针对组织的核心信息系统和网络设备,包括但不限于服务器、网络设备、数据库、应用程序等。
同时,也会对组织的信息安全管理制度和人员进行评估。
4. 评估方法本次评估采用了多种方法和工具,包括但不限于:- 信息收集:通过与组织相关人员的访谈和调查问卷的方式,收集相关的信息安全管理制度、安全策略和流程等方面的资料;- 漏洞扫描:利用专业的漏洞扫描工具对信息系统进行全面扫描,发现潜在的漏洞和安全风险;- 安全测试:通过模拟真实攻击的方式,对信息系统进行安全测试,评估系统的防护能力和弱点;- 安全审计:对信息系统的日志和事件进行审计,发现异常行为和潜在的安全威胁。
5. 评估结果通过对组织信息系统的评估,我们发现了以下安全风险和漏洞:- 弱密码:部分用户使用弱密码,容易被猜测或破解,存在密码泄露的风险;- 未及时更新补丁:部分系统和应用程序未及时安装最新的安全补丁,存在已知漏洞;- 缺乏访问控制:部分系统的访问控制策略不完善,存在权限过大或权限泄露的风险;- 无备份策略:部分重要数据未进行定期备份,存在数据丢失的风险;- 未加密传输:部分敏感数据在传输过程中未加密,容易被窃听或篡改。
6. 建议和措施针对上述发现的安全风险和漏洞,我们提出以下建议和措施:- 强化密码策略:建议组织制定密码复杂度要求,并定期要求用户更改密码,使用多因素身份验证等方式提高密码安全性;- 及时安装补丁:建议组织建立完善的漏洞管理制度,及时安装最新的安全补丁,修复已知漏洞;- 完善访问控制:建议组织加强对系统和应用程序的访问控制,限制权限,定期审查和撤销不必要的权限;- 建立备份策略:建议组织建立定期备份机制,确保重要数据的安全性和可恢复性;- 加密传输:建议组织对敏感数据的传输进行加密,使用SSL/TLS等安全协议保护数据的机密性和完整性。
信息系统风险评估总结汇报
信息系统风险评估总结汇报尊敬的领导和各位同事:
我很荣幸能够在这里向大家总结汇报我们团队进行的信息系统风险评估工作。
信息系统在现代企业中扮演着至关重要的角色,因此对其风险进行评估和管理显得尤为重要。
在本次风险评估中,我们团队首先对公司的信息系统进行了全面的调研和分析,包括系统的安全性、可靠性、完整性等方面。
通过对系统进行渗透测试、漏洞扫描、日志分析等手段,我们发现了一些潜在的风险和安全隐患。
这些风险可能会导致系统遭受黑客攻击、数据泄露、系统崩溃等严重后果,对公司的正常运营造成严重影响。
在识别和分析了这些风险之后,我们团队制定了相应的风险管理策略和措施。
这些措施包括加强系统的安全防护措施、定期更新和维护系统、加强员工的安全意识培训等。
通过这些措施的实施,我们可以有效地降低系统风险,保障公司信息系统的安全和稳定运行。
在未来的工作中,我们团队将继续对信息系统进行定期的风险评估和管理,及时发现和应对系统中的安全隐患,确保公司信息系统的安全和稳定运行。
同时,我们也将不断完善和提升风险评估的方法和手段,以应对日益复杂和多样化的网络安全威胁。
最后,我要感谢团队成员们在本次风险评估工作中的辛勤付出和努力,也感谢领导和各位同事对我们工作的支持和关注。
我们将继续努力,为公司的信息系统安全保驾护航。
谢谢大家!。
信息安全评估报告
信息安全评估报告本局需要加强岗位职责的规范化管理,配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,明确工作职责和工作范围,并实行主、副岗备用制度。
5.2安全技术与防护措施评估5.2.1网络安全设施评估5.2.1.1评估标准网络安全设施包括防火墙、入侵检测系统、入侵防御系统、反病毒系统、VPN等。
5.2.1.2现状描述本局网络安全设施不完备,没有入侵检测系统、入侵防御系统和反病毒系统,VPN使用不规范。
5.2.1.3评估结论本局需要加强网络安全设施的建设,配备入侵检测系统、入侵防御系统和反病毒系统,并规范VPN的使用。
5.2.2系统安全评估5.2.2.1评估标准系统安全评估包括系统登录认证、系统权限管理、系统日志管理、系统备份与恢复、系统补丁管理等。
5.2.2.2现状描述本局系统安全措施不够完善,存在登录认证不严格、权限管理不规范、日志管理不完善、备份与恢复不及时、补丁管理不到位等问题。
5.2.2.3评估结论本局需要加强系统安全措施的完善,加强登录认证、规范权限管理、完善日志管理、加强备份与恢复、做好补丁管理。
6安全评估结果本次安全评估共发现安全隐患问题××个,其中重要问题×个,一般问题×个,建议改进问题×个。
针对发现的问题,本局将采取相应的整改措施,加强信息安全管理,确保信息网络和重要信息系统的安全。
制订账号与口令管理制度,规定普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件;半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
同时,对现有密码和口令进行检查和修改。
缺乏补丁管理的手段或补丁管理制度,Windows系统主机补丁安装不齐全,缺乏补丁安装的测试记录。
5.2.5.3评估结论建立补丁管理制度,确保Windows系统主机补丁安装齐全,记录补丁安装的测试过程。
信息系统安全风险评估报告(精选5篇)
信息系统安全风险评估报告信息系统安全风险评估报告(精选5篇)在经济发展迅速的今天,接触并使用报告的人越来越多,报告中提到的所有信息应该是准确无误的。
一听到写报告马上头昏脑涨?下面是小编帮大家整理的信息系统安全风险评估报告(精选5篇),希望对大家有所帮助。
信息系统安全风险评估报告1医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失,因此,医院计算机网络系统的安全工作非常重要。
在医院信息管理系统(HIS)、临床信息系统(CIS)、检验信息管理系统(LIS)、住院医嘱管理系统(CPOE)、体检信息管理系统等投入运行后,几大系统纵横交错,构成了庞大的计算机网络系统。
几乎覆盖全院的每个部门,涵盖病人来院就诊的各个环节,300多台计算机同时运行,支持各方面的管理,成为医院开展医疗服务的业务平台。
根据国家信息安全的有关规定、县医院建设基本功能规范、医院医疗质量管理办法、等级医院评审标准,并结合我院的实际情况制定了信息系统安全管理制度(计算机安全管理规定、网络设备使用及维护管理规定、打印机使用及维护管理规定、信息系统添置和更新制度、软件及信息安全、信息系统操作权限分级管理办法、计算机机房工作制度、计算机机房管理制度)、信息系统应急预案、信息报送审核制度、信息报送问责制度,以确保医院计算机网络系统持久、稳定、高效、安全地运行。
针对信息系统的安全运行采取了措施1、中心机房及网络设备的安全维护1.1环境要求中心机房作为医院信息处理中心,其工作环境要求严格,我们安装有专用空调将温度置于22℃左右,相对湿度置于45%~65%,且机房工作间内无人员流动、无尘、全封闭。
机房安装了可靠的避雷设施、防雷设备;配备了能支持4小时的30KVA的UPS电源;配备了20KVA的稳压器;机房工作间和操作间安装有实时监控的摄像头。
1.2网络设备信息系统中的数据是靠网络来传输的,网络的正常运行是医院信息系统的基本条件,所以网络设备的维护至关重要。
企业信息安全评估报告
企业信息安全评估报告1. 简介企业信息安全评估报告是对公司信息系统和数据安全性进行全面评估的一份报告。
本报告旨在分析和评估企业在信息安全方面的现状,识别可能存在的威胁和风险,并提供相应的建议和措施以确保信息资产的保护和安全。
2. 评估范围与方法2.1 评估范围本次评估主要针对公司内部网络、外部网络连接、数据存储和传输、网络设备和系统应用等方面进行评估。
2.2 评估方法本次评估采用了多种方法,包括漏洞扫描、安全策略分析、数据流分析、物理安全检查等。
同时,结合对公司内部业务流程和信息系统配置的理解,进行了定制化的评估方案。
3. 评估结果3.1 网络安全评估通过对公司网络设备和系统的全面扫描和分析,发现了若干潜在的安全漏洞和风险。
其中包括未及时升级的系统漏洞、弱密码设置、未经授权的服务开放等。
建议公司加强网络设备的安全管理,定期对系统和设备进行安全更新和修补,同时强化密码策略并限制未授权服务的开放。
3.2 数据安全评估经过对公司数据存储和传输过程的分析,发现了一些潜在的数据泄露和篡改风险。
例如,公司未加密的数据库存储敏感客户信息、缺乏数据备份机制以及未经授权的数据访问权限等。
为了保护数据安全,建议公司采用加密技术保护敏感数据,制定完善的数据备份策略,并对数据访问权限进行严格控制和监测。
3.3 应用安全评估在对公司内部应用程序的评估中,发现了一些可能存在的漏洞和安全隐患,例如,未经授权的应用程序访问、未验证的输入和输出、缺乏错误处理机制等。
为了加强应用程序的安全性,建议公司建立完善的身份认证和授权机制,对输入进行严格验证和过滤,并加强对异常情况的处理。
4. 安全建议与措施4.1 加强安全意识培训建议公司开展定期的信息安全培训和教育活动,提高员工对信息安全的意识和认识,加强对安全政策和规定的执行。
4.2 定期漏洞扫描与修复建议公司定期进行漏洞扫描和安全更新,及时修复系统和应用程序的漏洞,以防止黑客攻击和数据泄露。
企业信息安全风险评估报告
企业信息安全风险评估报告一、引言信息安全是企业发展中不可忽视的重要组成部分。
为了保护企业的核心数据和敏感信息,评估企业的信息安全风险成为必要且紧迫的任务。
本报告旨在对企业的信息安全风险进行全面评估,并提供相应的建议措施。
二、背景介绍信息安全是企业在数字化时代面临的一大挑战。
随着网络技术的迅猛发展,企业面临的信息安全威胁日益复杂多变。
黑客攻击、数据泄露、恶意软件等风险给企业的财产安全和声誉造成了严重威胁。
因此,企业需要通过评估来掌握信息安全风险的现状,有针对性地制定应对策略。
三、风险评估方法为了全面评估企业的信息安全风险,我们采用了以下方法:1.资产评估:对企业的信息资产进行识别和分类,评估其价值和重要性。
2.漏洞评估:通过扫描系统、网络和应用程序的漏洞,发现潜在的安全隐患。
3.威胁建模:分析企业面临的各种威胁情景,评估其可能带来的风险。
4.安全控制评估:检查企业已有的安全控制措施的有效性和完整性。
四、评估结果根据对企业的信息资产、漏洞、威胁和安全控制的评估,我们得出以下评估结果:1.资产评估:- 核心数据库和客户信息被评估为最高价值和重要性的资产。
- 敏感财务数据和研发信息居于次高价值和重要性的资产。
2.漏洞评估:- 发现部分服务器未及时安装关键补丁,存在远程攻击的风险。
- 部分网络设备存在默认密码或弱密码的安全隐患。
3.威胁建模:- 分析了恶意软件感染、社交工程攻击和内部员工泄露等威胁情景的风险程度,并给出相应建议。
4.安全控制评估:- 企业已建立了防火墙、入侵检测系统和访问控制等基本安全控制措施。
- 建议增强对员工的安全意识培训和加强访问权限管理。
五、建议措施为了降低企业信息安全风险,我们提出以下建议措施:1.加强设备和系统的安全管理:- 及时安装关键补丁,定期更新软件和设备固件。
- 加强密码策略,禁用默认密码,设置复杂度要求。
- 定期进行漏洞扫描和安全审计,及时修复发现的安全漏洞。
2.提升员工的安全意识:- 开展定期的信息安全培训,教育员工有关安全风险和防范措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
××单位信息安全评估报告(管理信息系统)××单位二零一一年九月1目标××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
2评估依据、范围和方法2.1 评估依据根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
2.2 评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
2.3 评估方法采用自评估方法。
3重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。
资产清单见附表1。
4安全事件对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。
安全事件列表见附表2。
5安全检查项目评估5.1 规章制度与组织管理评估5.1.1组织机构5.1.1.1 评估标准信息安全组织机构包括领导机构、工作机构。
5.1.1.2 现状描述本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
5.1.1.3 评估结论完善信息安全组织机构,成立信息安全工作机构。
5.1.2岗位职责5.1.2.1 评估标准岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
5.1.2.2 现状描述我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
5.1.2.3 评估结论本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
5.1.3病毒管理5.1.3.1 评估标准病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
5.1.3.2 现状描述本局使用Symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
5.1.3.3 评估结论完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.1.4运行管理5.1.4.1 评估标准运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
5.1.4.2 现状描述没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
5.1.4.3 评估结论结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
5.1.5账号与口令管理5.1.5.1 评估标准制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
5.1.5.2 现状描述没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
5.1.5.3 评估结论制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
5.2 网络与系统安全评估5.2.1网络架构5.2.1.1 评估标准局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
5.2.1.2 现状描述局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。
5.2.1.3 评估结论局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
5.2.2网络分区5.2.2.1 评估标准生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.2.2 现状描述生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
5.2.2.3 评估结论对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.3网络设备5.2.3.1 评估标准网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.3.2 现状描述网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。
5.2.3.3 评估结论对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.4IP管理5.2.4.1 评估标准有IP地址管理系统,IP地址管理有规划方案和分配策略,IP地址分配有记录。
5.2.4.2 现状描述没有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。
5.2.4.3 评估结论建立IP地址管理系统,加快进行对IP地址的规划和分配,IP地址分配有记录。
5.2.5补丁管理5.2.5.1 评估标准有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
5.2.5.2 现状描述通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录。
5.2.5.3 评估结论完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
5.2.6系统安全配置5.2.6.1 评估标准对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
5.2.6.2 现状描述没有对操作系统的安全配置进行严格的设置,部分系统删除不必要的服务、协议。
5.2.6.3 评估结论对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
5.2.7主机备份5.2.7.1 评估标准重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。
5.2.7.2 现状描述重要的系统主机采用了双机备份,进行过热切换或者故障恢复的测试。
5.2.7.3 评估结论重要的系统主机采用了双机备份,进行热切换或者故障恢复的测试。
5.3 网络服务与应用系统评估5.3.1WWW服务器5.3.1.1 评估标准WWW服务用户账户、口令应健壮(查看登录),信息发布进行了分级审核,外部网站有备份或其他保护措施。
5.3.1.2 现状描述没有WWW服务。
5.3.1.3 评估结论考虑按上述标准建设WWW服务。
5.3.2电子邮件服务器5.3.2.1 评估标准对近三个月的邮件数据进行备份,有专门针对邮件病毒、垃圾邮件的安全措施,邮件系统管理员账户/口令应强健,邮件系统的维护、检查应有审计记录。
5.3.2.2 现状描述OA系统邮件数据进行一星期备份,有专门针对邮件病毒、垃圾邮件的趋势防病毒软件系统,但该软件存在问题比较多,邮件系统管理员账户/口令设置合理,邮件系统的维护、检查没有审计记录。
5.3.2.3 评估结论对OA系统邮件数据进行三个月备份,关注解决趋势防病毒软件系统问题;邮件系统管理员账户/口令设置合理,对邮件系统的维护、检查审计进行记录。
5.3.3远程拨号访问5.3.3.1 评估标准有限制远程拨号访问的管理措施,用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。
5.3.3.2 现状描述没有远程拨号访问。
5.3.3.3 评估结论远程拨号访问设置按上述标准执行。
5.3.4应用系统5.3.4.1 评估标准应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作进行审计并进行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前进行安全性测试。
5.3.4.2 现状描述营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。
5.3.4.3 评估结论完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
5.4 安全技术管理与设备运行状况评估5.4.1防火墙5.4.1.1 评估标准网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。
5.4.1.2 现状描述网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,对防火墙日志没有进行存储、备份。
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。