資源描述:
《××單位信息安全評估報告書》由會員上傳分享��,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�����、word資料下載可編輯××單位信息安全評估報告(管理信息系統(tǒng))××單位二零一一年九月專業(yè)技術(shù)資料word資料下載可編輯1目標(biāo)××單位信息安全檢查工作的主要目標(biāo)是通過自評估工作����,發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題��,邊檢查邊整改�����,確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全�����。2評估依據(jù)�����、范圍和方法2.1評估依據(jù)根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》(信安通[2006]15號)、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》(辦信息[2006]48號
2���、)以及集團(tuán)公司和省公司公司的文件�、檢查方案要求,開展××單位的信息安全評估�。2.2評估范圍本次信息安全評估工作重點(diǎn)是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等,管理信息系統(tǒng)中業(yè)務(wù)種類相對較多��、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜���,在檢查工作中強(qiáng)調(diào)對基礎(chǔ)信息系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)進(jìn)行安全性評估����,具體包括:基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器����、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護(hù)措施�����、信息安全管理的組織與策略���、信息系統(tǒng)安全運(yùn)行和維護(hù)情況評估��。2.3評估方法采用自評估方法�。3重要資產(chǎn)識別對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備�、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識別,
3����、將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備��、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總�,形成重要資產(chǎn)清單。資產(chǎn)清單見附表1�����。專業(yè)技術(shù)資料word資料下載可編輯1安全事件對本局半年內(nèi)發(fā)生的較大的����、或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行匯總記錄����,形成本單位的安全事件列表。安全事件列表見附表2�����。2安全檢查項(xiàng)目評估2.1規(guī)章制度與組織管理評估2.1.1組織機(jī)構(gòu)2.1.1.1評估標(biāo)準(zhǔn)信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)�。2.1.1.2現(xiàn)狀描述本局已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu),但尚未成立信息安全工作機(jī)構(gòu)����。2.1.1.
4、3評估結(jié)論完善信息安全組織機(jī)構(gòu)���,成立信息安全工作機(jī)構(gòu)����。2.1.2崗位職責(zé)2.1.2.1評估標(biāo)準(zhǔn)崗位要求應(yīng)包括:專職網(wǎng)絡(luò)管理人員���、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員��;專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定���;崗位實(shí)行主、副崗備用制度�����。專業(yè)技術(shù)資料word資料下載可編輯1.1.1.1現(xiàn)狀描述我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員����,都是兼責(zé);專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定���,崗位沒有實(shí)行主�、副崗備用制度��。1.1.1.2評估結(jié)論本局已有兼職網(wǎng)絡(luò)管理員����、應(yīng)用系統(tǒng)管理員和
5、系統(tǒng)管理員���,在條件許可下,配置專職管理人員����;專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定,根據(jù)實(shí)際情況制定管理制度����;崗位沒有實(shí)行主�、副崗備用制度����,在條件許可下,落實(shí)主����、副崗備用制度。1.1.2病毒管理1.1.2.1評估標(biāo)準(zhǔn)病毒管理包括計算機(jī)病毒防治管理制度��、定期升級的安全策略����、病毒預(yù)警和報告機(jī)制、病毒掃描策略(1周內(nèi)至少進(jìn)行一次掃描)�����。1.1.2.2現(xiàn)狀描述本局使用Symantec防病毒軟件進(jìn)行病毒防護(hù)���,定期從省公司病毒庫服務(wù)器下載�、升級安全策略�;病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源�,每月統(tǒng)計���、匯總病毒感染
6��、情況并提交局生技部和省公司生技部�;每周進(jìn)行二次自動病毒掃描���;沒有制定計算機(jī)病毒防治管理制度��。1.1.2.3評估結(jié)論完善病毒預(yù)警和報告機(jī)制���,制定計算機(jī)病毒防治管理制度。1.1.3運(yùn)行管理1.1.3.1評估標(biāo)準(zhǔn)運(yùn)行管理應(yīng)制定信息系統(tǒng)運(yùn)行管理規(guī)程專業(yè)技術(shù)資料word資料下載可編輯��、缺陷管理制度���、統(tǒng)計匯報制度�、運(yùn)維流程�����、值班制度并實(shí)行工作票制度�����;制定機(jī)房出入管理制度并上墻�����,對進(jìn)出機(jī)房情況記錄�。1.1.1.1現(xiàn)狀描述沒有建立相應(yīng)信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度�����、統(tǒng)計匯報制度���、運(yùn)維流程�����、值班制度�,沒有實(shí)行工作票制度�;機(jī)
7、房出入管理制度上墻����,但沒有機(jī)房進(jìn)出情況記錄���。1.1.1.2評估結(jié)論結(jié)合本局具體情況,制訂信息系統(tǒng)運(yùn)行管理規(guī)程�、缺陷管理制度、統(tǒng)計匯報制度���、運(yùn)維流程��、值班制度��,實(shí)行工作票制度����;機(jī)房出入管理制度上墻��,記錄機(jī)房進(jìn)出情況��。1.1.2賬號與口令管理1.1.2.1評估標(biāo)準(zhǔn)制訂了賬號與口令管理制度����;普通用戶賬戶密碼、口令長度要求符合大于6字符����,管理員賬戶密碼�����、口令長度大于8字符;半年內(nèi)賬戶密碼���、口令應(yīng)變更并保存變更相關(guān)記錄�����、通知���、文件,半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進(jìn)行變更或注銷�。1.1.2.2現(xiàn)狀描述沒有制訂
8、賬號與口令管理制度���,普通用戶賬戶密碼����、口令長度要求大部分都不符合大于6字符�����;管理員賬戶密碼、口令長度大于8字符���,半年內(nèi)賬戶密碼����、口令有過變更�,但沒有變更相關(guān)記錄、通知����、文件;半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進(jìn)行變更或注銷��。1.1.2.3評估結(jié)論制訂賬號與口令管理制度���,完善普通用戶賬戶與管理員賬戶密碼��、口令長度要求���;對賬戶密碼、口令變更作相關(guān)記錄��;及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進(jìn)行變更
