××单位
信息安全评估报告
(管理信息系统)
××单位
二零##年九月
××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
采用自评估方法。
对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。
信息安全组织机构包括领导机构、工作机构。
本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
完善信息安全组织机构,成立信息安全工作机构。
岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
本局使用Symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
完善病毒预警和报告机制,制定计算机病毒防治管理制度。
运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。
局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。
对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
有IP地址管理系统,IP地址管理有规划方案和分配策略,IP地址分配有记录。
没有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。
建立IP地址管理系统,加快进行对IP地址的规划和分配,IP地址分配有记录。
有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录。
完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
没有对操作系统的安全配置进行严格的设置,部分系统删除不必要的服务、协议。
对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。
重要的系统主机采用了双机备份,进行过热切换或者故障恢复的测试。
重要的系统主机采用了双机备份,进行热切换或者故障恢复的测试。
WWW服务用户账户、口令应健壮(查看登录),信息发布进行了分级审核,外部网站有备份或其他保护措施。
没有WWW服务。
考虑按上述标准建设WWW服务。
对近三个月的邮件数据进行备份,有专门针对邮件病毒、垃圾邮件的安全措施,邮件系统管理员账户/口令应强健,邮件系统的维护、检查应有审计记录。
OA系统邮件数据进行一星期备份,有专门针对邮件病毒、垃圾邮件的趋势防病毒软件系统,但该软件存在问题比较多,邮件系统管理员账户/口令设置合理,邮件系统的维护、检查没有审计记录。
对OA系统邮件数据进行三个月备份,关注解决趋势防病毒软件系统问题;邮件系统管理员账户/口令设置合理,对邮件系统的维护、检查审计进行记录。
有限制远程拨号访问的管理措施,用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。
没有远程拨号访问。
远程拨号访问设置按上述标准执行。
应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作进行审计并进行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前进行安全性测试。
营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。
完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,对防火墙日志没有进行存储、备份。
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
防病毒系统覆盖所有服务器及客户端(覆盖率至少应大于90%),对服务器的防病毒客户端管理策略配置合理(自动升级病毒代码、每周扫描),有专责人员负责维护防病毒系统并及时发布病毒通告。
防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有;有兼责人员负责维护防病毒系统,但基本没有发布病毒通告。
防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有,考虑以后实施;考虑配置专责人员负责维护防病毒系统,并及时发布病毒通告。
入侵检测系统部署合理、覆盖主要网络边界与主要服务器,定期对审计信息进行分析,定期更新入侵检测的规则与升级。
没有部署入侵检测系统。
按上述部署、配置入侵检测系统。
部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内进行信息安全风险评估,部署针对安全设备的日志服务器。
没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有进行信息安全风险评估,没有部署针对安全设备的日志服务器。
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年进行一次信息安全风险评估。
建立明确、合理的备份策略,严格按照备份策略对系统数据进行备份(查看备份策略文件、查看备份记录或查看备份工具配置)。
建立了明确、合理的备份策略并严格按照备份策略对系统数据进行备份。
建立明确、合理的备份策略,严格按照备份策略对系统数据进行备份。
建立明确的恢复预案(查看文件),定期进行恢复演练。
没有建立明确的恢复预案,也没有定期进行恢复演练。
建立明确的恢复预案并定期进行恢复演练。
建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,有严格的介质存取控制,有专人对存储介质进行定期检查。
没有建立介质的管理制度和废弃介质的处理制度,储存介质存放在安全环境,没有严格的介质存取控制,没有对存储介质进行定期检查。
建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,严格介质存取控制,对存储介质进行定期检查。
主机房安装门禁、监控与报警系统。
主机房没有安装门禁、监控系统,有消防报警系统。
主机房安装门禁、监控与报警系统。
有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进行检测(查看半年内检测记录)。
没有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进行检测但没有检测记录。
补全机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进行检测和记录。
采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
有手提干粉灭火器,没有采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
有介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用有明确的管理制度。
有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用没有明确的管理制度。
有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,制订笔记本使用管理制度。
重要系统有完善的、可操作的应急预案,对应急预案进行定期演练。
重要系统没有完善的、可操作的应急预案。
制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。
按照集团公司的要求建立及时的信息安全信息通报机制。
没有按照集团公司的要求建立及时的信息安全信息通报机制。
按照集团公司的要求建立及时的信息安全信息通报机制。
建立良好的故障通讯联动机制,进行联合防护。
没有建立故障通讯联动机制。
建立良好的故障通讯联动机制,进行联合防护。
建立完善的信息网故障抢修机制,应急资源到位。
没有建立完善的信息网故障抢修机制。
建立完善的信息网故障抢修机制,应急资源到位。
通过对上述的现状分析进行了自评估,总的来看,有了初步的安全基础设施,在管理方面具备了部分制度和策略,安全防护单一,技术上通过多种手段实现了基本的访问控制,但相应的安全策略、安全管理与技术方面的安全防护需要更新以适应要求。
需要对安全措施和管理制度方面进行改善,通过技术和管理两个方面来确保策略的遵守和实现,最终能够将安全风险控制在适当范围之内,保证和促进业务开展。
单位信息安全评估报告管理信息系统单位二零一一年九月11目标单位信息安全检查工作的主要目标是通过自评估工作发现本局信息系统当前面临的…
信息系统信息安全风险评估报告格式目录一风险评估项目概述11工程项目概况111建设项目基本信息112建设单位基本信息113承建单位基…
信息安全风险评估检查报告1本表所称高风险漏洞是指计算机硬件软件或信息系统中存在的严重安全缺陷利用这些缺陷可完全控制或部分控制计算机…
XX县信用联社关于对信息科技风险自评估工作的汇报X联社XX办事处按照办事处转发银监会办公厅关于落实银行业金融机构信息科技风险评价审…
信息安全风险评估需求方案一项目背景多年来天津市财政局地方税务局在加快信息化建设和信息系统开发应用的同时高度重视信息安全工作采取了很…
工程安全评估报告一工程概况本工程项目由鸿基房地产开发有限公司兴建贵州新基石建筑设计有限责任公司设计贵州化兴建设监理有限公司监理重庆…
附件3金属非金属矿山建设项目安全验收评价报告编写提纲解读前言简述项目基本情况评价项目委托方及评价要求评价工作过程等说明项目基本情况…
金属非金属矿山建设项目安全预评价报告编写提纲前言简述项目基本情况评价项目委托方及评价要求评价工作过程等说明项目基本情况主要是指项目…
附件1非煤矿矿山建设项目安全预评价报告备案工作程序一受理申办单位将申请材料向省安科中心提出申请省安科中心根据有关规定对申请材料进行…
中铁十四局集团有限公司大广高速公路粤境段S01标项目部爆破设计施工方案安全评估报告中铁十七局集团有限公司二O一三年七月十日评估单位…
本企业安全风险评估报告一评估目的为保障全处生产经营任务的正常进行根据国家有关法律法规和企业的有关规定我处组织了对全处危险作业环境和…