信息安全评估报告

xxx 有限公司有限公司 信息安全评估报告信息安全评估报告 管理信息系统管理信息系统 x 年年 x 月月 1 目标目标 xxxxxxxxx 公司信息安全检查工作的主要目标是通过自评估工作 发现本公司电子设备 当前面临的主要安全问题 边检查边整改 确保信息网络和重要信息系统的安全 2 评估依据 范围和方法评估依据 范围和方法 2 1 评估依据 信息安全技术信息安全风险评估规范 GB T 20984 2007 信息技术信息技术安全管理指南 2 2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等 管理信息系统 中业务种类相对较多 网络和业务结构较为复杂 在检查工作中强调对基础信息系统和重 点业务系统进行安全性评估 具体包括 基础网络与服务器 关键业务系统 现有安全防 护措施 信息安全管理的组织与策略 信息系统安全运行和维护情况评估 2 3 评估方法 采用自评估方法 3 重要资产识别重要资产识别 对本局范围内的重要系统 重要网络设备 重要服务器及其安全属性受破坏后的影响 进行识别 将一旦停止运行影响面大的系统 关键网络节点设备和安全设备 承载敏感数 据和业务的服务器进行登记汇总 形成重要资产清单 资产清单见附表 1 4 安全事件安全事件 对公司半年内发生的较大的 或者发生次数较多的信息安全事件进行汇总记 录 形成本公司的安全事件列表 本公司至今没有发生较大安全事故 5 安全检查项目评估安全检查项目评估 5 1 规章制度与组织管理评估 规章制度详见 计算机信息系统及设备管理办法 5 1 1 组织机构 5 1 1 1 评估标准 信息安全组织机构包括领导机构 工作机构 5 1 1 2 现状描述 本公司已成立了信息安全领导机构 但尚未成立信息安全工作机构 5 1 1 3 评估结论 完善信息安全组织机构 成立信息安全工作机构 5 1 2 岗位职责 5 1 2 1 评估标准 岗位要求应包括 专职网络管理人员 专职应用系统管理人员和专职系统管理人员 专责的工作职责与工作范围应有制度明确进行界定 岗位实行主 副岗备用制度 5 1 2 2 现状描述 我公司没有配置专职网络管理人员 专职应用系统管理人员和专职系统管理人员 都 是兼责 专责的工作职责与工作范围没有明确制度进行界定 岗位没有实行主 副岗备用 制度 5 1 2 3 评估结论 我公司已有兼职网络管理员 应用系统管理员和系统管理员 在条件许可下 配置专 职管理人员 专责的工作职责与工作范围没有明确制度进行界定 根据实际情况制定管理 制度 岗位没有实行主 副岗备用制度 在条件许可下 落实主 副岗备用制度 5 1 3 病毒管理 5 1 3 1 评估标准 病毒管理包括计算机病毒防治管理制度 定期升级的安全策略 病毒预警和报告机制 病毒扫描策略 1 周内至少进行一次扫描 5 1 3 2 现状描述 我公司 xxx 防病毒软件进行病毒防护 定期从省官网病毒库服务器下载 升级安全策 略 病毒预警是通过第三方和网上提供信息来源 每月统计 汇总病毒感染情况 每周进 行二次自动病毒扫描 没有制定计算机病毒防治管理制度 5 1 3 3 评估结论 完善病毒预警和报告机制 制定计算机病毒防治管理制度 5 1 4 运行管理 5 1 4 1 评估标准 运行管理应制定信息系统运行管理规程 缺陷管理制度 统计汇报制度 运 5 维流程 值班制度并实行工作票制度 制定机房出入管理制度并上墙 对进出机房情况记录 5 1 4 2 现状描述 没有建立相应信息系统运行管理规程 缺陷管理制度 统计汇报制度 运维流程 值 班制度 没有实行工作票制度 机房出入管理制度上墙 但没有机房进出情况记录 5 1 4 3 评估结论 结合本公司具体情况 制订信息系统运行管理规程 缺陷管理制度 统计汇报制度 运维流程 值班制度 实行工作票制度 机房出入管理制度上墙 记录机房进出情况 5 1 5 账号与口令管理 5 1 5 1 评估标准 制订了账号与口令管理制度 普通用户账户密码 口令长度要求符合大于 6 字符 管 理员账户密码 口令长度大于 8 字符 半年内账户密码 口令应变更并保存变更相关记录 通知 文件 半年内系统用户身份发生变化后应及时对其账户进行变更或注销 5 1 5 2 现状描述 没有制订账号与口令管理制度 普通用户账户密码 口令长度要求大部分都不符合大 于 6 字符 管理员账户密码 口令长度大于 8 字符 半年内账户密码 口令有过变更 但 没有变更相关记录 通知 文件 半年内系统用户身份发生变化后能及时对其账户进行