資源描述:
《××單位信息安全評估報告》由會員上傳分享�����,免費在線閱讀�,更多相關內容在學術論文-天天文庫。
1���、××單位信息安全評估報告(管理信息系統(tǒng))××單位二零一一年九月201目標××單位信息安全檢查工作的主要目標是通過自評估工作�����,發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題�,邊檢查邊整改,確保信息網絡和重要信息系統(tǒng)的安全�����。2評估依據�����、范圍和方法2.1評估依據根據國務院信息化工作辦公室《關于對國家基礎信息網絡和重要信息系統(tǒng)開展安全檢查的通知》(信安通[2006]15號)�、國家電力監(jiān)管委員會《關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知》(辦信息[2006]48號)以及集團公司和省公司公司的文件、檢查方案要求,開展××單位
2�����、的信息安全評估����。2.2評估范圍本次信息安全評估工作重點是重要的業(yè)務管理信息系統(tǒng)和網絡系統(tǒng)等,管理信息系統(tǒng)中業(yè)務種類相對較多�����、網絡和業(yè)務結構較為復雜�����,在檢查工作中強調對基礎信息系統(tǒng)和重點業(yè)務系統(tǒng)進行安全性評估�,具體包括:基礎網絡與服務器、關鍵業(yè)務系統(tǒng)��、現(xiàn)有安全防護措施�����、信息安全管理的組織與策略���、信息系統(tǒng)安全運行和維護情況評估�����。2.3評估方法采用自評估方法���。3重要資產識別對本局范圍內的重要系統(tǒng)、重要網絡設備�、重要服務器及其安全屬性受破壞后的影響進行識別,將一旦停止運行影響面大的系統(tǒng)��、關鍵網絡節(jié)點設備和安全設備�、承載敏感數(shù)
3��、據和業(yè)務的服務器進行登記匯總�,形成重要資產清單��。資產清單見附表1��。201安全事件對本局半年內發(fā)生的較大的�、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄,形成本單位的安全事件列表���。安全事件列表見附表2��。2安全檢查項目評估2.1規(guī)章制度與組織管理評估2.1.1組織機構2.1.1.1評估標準信息安全組織機構包括領導機構�����、工作機構。2.1.1.2現(xiàn)狀描述本局已成立了信息安全領導機構����,但尚未成立信息安全工作機構。2.1.1.3評估結論完善信息安全組織機構�����,成立信息安全工作機構����。2.1.2崗位職責2.1.2.1評估標準崗位要求應包
4、括:專職網絡管理人員����、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員;專責的工作職責與工作范圍應有制度明確進行界定����;崗位實行主�、副崗備用制度��。201.1.1.1現(xiàn)狀描述我局沒有配置專職網絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員��,都是兼責���;專責的工作職責與工作范圍沒有明確制度進行界定,崗位沒有實行主�、副崗備用制度�����。1.1.1.2評估結論本局已有兼職網絡管理員�、應用系統(tǒng)管理員和系統(tǒng)管理員��,在條件許可下���,配置專職管理人員;專責的工作職責與工作范圍沒有明確制度進行界定�,根據實際情況制定管理制度;崗位沒有實行主�����、副崗備用制度
5�、,在條件許可下�,落實主、副崗備用制度����。1.1.2病毒管理1.1.2.1評估標準病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制�、病毒掃描策略(1周內至少進行一次掃描)。1.1.2.2現(xiàn)狀描述本局使用Symantec防病毒軟件進行病毒防護���,定期從省公司病毒庫服務器下載、升級安全策略���;病毒預警是通過第三方和網上提供信息來源�����,每月統(tǒng)計�����、匯總病毒感染情況并提交局生技部和省公司生技部��;每周進行二次自動病毒掃描��;沒有制定計算機病毒防治管理制度���。1.1.2.3評估結論完善病毒預警和報告機制,制定計算機病毒
6�、防治管理制度。1.1.3運行管理1.1.3.1評估標準運行管理應制定信息系統(tǒng)運行管理規(guī)程20、缺陷管理制度�、統(tǒng)計匯報制度、運維流程���、值班制度并實行工作票制度���;制定機房出入管理制度并上墻,對進出機房情況記錄��。1.1.1.1現(xiàn)狀描述沒有建立相應信息系統(tǒng)運行管理規(guī)程�、缺陷管理制度、統(tǒng)計匯報制度�、運維流程、值班制度��,沒有實行工作票制度�;機房出入管理制度上墻,但沒有機房進出情況記錄����。1.1.1.2評估結論結合本局具體情況,制訂信息系統(tǒng)運行管理規(guī)程��、缺陷管理制度��、統(tǒng)計匯報制度、運維流程�����、值班制度�,實行工作票制度;機房出入管理制度
7�����、上墻��,記錄機房進出情況���。1.1.2賬號與口令管理1.1.2.1評估標準制訂了賬號與口令管理制度;普通用戶賬戶密碼�����、口令長度要求符合大于6字符�����,管理員賬戶密碼���、口令長度大于8字符�;半年內賬戶密碼、口令應變更并保存變更相關記錄��、通知�����、文件�����,半年內系統(tǒng)用戶身份發(fā)生變化后應及時對其賬戶進行變更或注銷����。1.1.2.2現(xiàn)狀描述沒有制訂賬號與口令管理制度,普通用戶賬戶密碼��、口令長度要求大部分都不符合大于6字符����;管理員賬戶密碼、口令長度大于8字符��,半年內賬戶密碼�、口令有過變更,但沒有變更相關記錄���、通知���、文件;半年內系統(tǒng)用戶身份發(fā)生變
8����、化后能及時對其賬戶進行變更或注銷。1.1.2.3評估結論制訂賬號與口令管理制度���,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求����;對賬戶密碼、口令變更作相關記錄����;及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。201.1網絡與系統(tǒng)安全評估1.1.1網絡架構1.1.1.1評估標準局域網核心交換設備�、城域網核心路由設備應采取設備冗余或準備備用設備
