信息安全管理制度评估报告_第1页
信息安全管理制度评估报告_第2页
信息安全管理制度评估报告_第3页
信息安全管理制度评估报告_第4页
信息安全管理制度评估报告_第5页
已阅读5页,还剩11页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全管理制度评估报告篇一:信息系统安全风险评估报告项 目 名 称: XXX 风险评估报告 被评估公司单位: 参与评估部门:XXXX 委员会一、风险评估项目概述 工程项目概况 建设项目基本信息 风险评估实施单位基本情况二、风险评估活动概述 风险评估工作组织管理 描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。 风险评估工作过程 本次评估供耗时 2 天,采取抽样的的方式结合现场的评估,涉及了公司所有 部门及所有的产品,已经包括了位于公司地址位置的相关产品。依据的技术标准及相关法规文件 本次评估依据的法律法规条款有: 篇二:新技术新业务信息安全评估报告模板互联网新技术新业务 信息安全评估报告 产品名称:XXXXX 评估单位:XXXX XXXX 年 X 月 目录 1.评估启动原因概述 .3 2.产品基本情况 .3 产品简介 . 3 产品功能 . 3 技术原理 . 3 实现方式 . 4 (潜在)用户规模 .4 市场情况 . 4 3.安全评估情况 .4 评估人员组成 . 4 评估实施过程概述 .5 产品信息安全风险 .5 不良信息传播 .5 用户信息安全 .6 网络技术风险 .6 第三方应用(服务)相关风险 . 6 其他潜在信息安全风险 . 7 4.解决方案或整改情况 .7 配套安全管理措施 .7 信息控制能力 . 7 信息溯源能力 . 8 网络与信息安全管控建设 .8 同类产品管理建议 .8 5.安全评估结论 .8 6.评估人员签字表 .9 1.评估启动原因概述 (产品预上线、用户或功能发生重大变化、日常工作或检查发现问题、电信主管机构或上级主管部门要求、其他原因等) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 2.产品基本情况 产品简介 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 产品功能 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 技术原理 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX实现方式 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX (潜在)用户规模 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 市场情况 (已上线产品为市场现状,未上线产品为市场预估) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 3.安全评估情况 评估人员组成 评估实施过程概述 (启动时间、结束时间、过程中遇到的问题或困难、评估结果、整改复核情况等) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 产品信息安全风险 (评估过程中梳理的产品信息安全风险) 风险概述: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 不良信息传播 (产品在制作、复制、发布、传播不良信息方面的功能或特性,信息 篇三: 胜达集团信息安全风险评估报告胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月 1 目标 胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2 评估依据、范围和方法 评估依据 根据国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开展安全检查的通知 (信安通XX15 号) 、国家电力监管委员会关于对电力行业有关单位重要信息系统开展安全检查的通知 (办信息XX48 号)以及集团公司和省公司公司的文件、检查方案要求, 开展单位的信息安全评估。 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等, 管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 评估方法 采用自评估方法。 3 重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。 资产清单见附表 1。 4 安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表 2。 5 安全检查项目评估 规章制度与组织管理评估 组织机构 评估标准 信息安全组织机构包括领导机构、工作机构。 现状描述 本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。 评估结论 完善信息安全组织机构,成立信息安全工作机构。岗位职责 估标准 岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。 现状描述 我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。 评估结论 本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。 病毒管理 评估标准 病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1 周内至少进行一次扫描) 。 现状描述 本局使用 Symantec 防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。 评估结论 完善病毒预警和报告机制,制定计算机病毒防治管理制度。 运行管理 评估标准 运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。现状描述 没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。 评估结论 结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维 流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。账号与口令管理 评估标准 制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于 6 字符,管理员账户密码、口令长度大于 8 字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。 现状描述 没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于 6 字符;管理员账户密码、口令长度大于 8 字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。 评估结论 制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。 网络与系统安全评估 网络架构 评估标准 局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。 现状描述 局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当(转 载于: 小 龙 文档网:信息安全管理制度评估报告)前网络拓扑结构图。 评估结论 局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。 网络分区 评估标准 生产控制系统和管理信息系统之间进行分区,VLAN 间的访问控制设置合理。 现状描述 生产控制系统和管理信息系统之间没有进行分区,VLAN 间的访问控制设置合理。 评估结论 对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。网络设备 评估标准 网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备 HTTP、FTP、TFTP 等服务,SNMP 社区串、本地用户口令强健(8 字符,数字、字母混杂) 。 现状描述 网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了 HTTP、FTP、TFTP 等服务,SNMP 社区串、本地用户口令没达到要求。 评估结论 对网络设备配置进行备份,完善 SNMP 社区串、本地用户口令强健(8 字符,数字、字母混杂) 。 IP 管理 评估标准 有 IP 地址管理系统,IP 地址管理有规划方案和分配策略,IP 地址分配有记录。 现状描述 没有 IP 地址管理系统,正在进行对 IP 地址的规划和分配,IP 地址分配有记录。 评估结论

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论