安全性评估报告

1、Xxxxxxxxx有限公司安全防护检测评估报告（Xxxxxxxxx系统）2018年3月概要Xxxxxxxxx有限公司2018年3月10日至2018年3月15日对Xxxxxxxxx限公司资产开展了安全防护检测工作。本次检测工作包括技术测试，主要采用工具扫描和实际检测等手段，检测范围涉及网络架构、安全配置、网络设备、安全防护设施、业务系统、操作系统和其他相关系统等方面。通过对Xxxxxxxxx有限公司资产进行的检测发现：Xxxxxxxxx公司高度重视网络安全防护工作，为安全保障工作投入了大量时间、人力和精力；制定有较为完善的安全策略、安全规范及操作细则等相关管理制度；系统管理人员安全意识较高，具备

2、专业的安全防护技术和手段；网络区域划分明确，网络部署有防火墙、漏洞扫描等安全设备，并由运维人员定期对相关网络设备、安全设备进行巡检。但是，通过进一步检测发现，系统仍存在一些安全隐患，需要进一步完善和加强。1目标Xxxxxxxxx有限公司信息安全检查工作的主要目标是通过自评估工作，发现本公司电子设备和应用系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。2评估依据、范围和方法2.1 评估依据通信网络安全防护管理办法（工业和信息化部第11号令）电信网和互联网安全防护管理指南电信网和互联网安全服务实施要求电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电

3、信网和互联网灾难备份及恢复实施指南电信网和互联网物理环境安全等级保护要求电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护要求电信网和互联网管理安全等级保护检测要求2.2 评估范围本次信息安全评估工作重点是重要的信息系统和网络系统等，信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法采用自评估方法。3重要资产识别对本公司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的

4、影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。其中包括:云服务器、服务器、网络设备、计算机等。4安全事件对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本公司的安全事件列表。本公司至今没有发生较大安全事故。5安全检查项目评估5.1规章制度与组织管理评估规章制度梳理制定文本.5.1.1组织机构分管安全副总1信息安全管应急处理管理理小组1Jq小组网络管理员系统管理员5.1.1.1评估标准信息安全组织机构包括领导机构、工作机构。5.1.1.2现状描述本公司已成立了信息安全领导机构。5.1.1

5、.3评估结论完善信息安全组织机构，成立信息安全工作机构。5.1.2岗位职责5.1.2.1评估标准岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。5.1.2.2现状描述我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。5.1.2.3评估结论我公司已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度

6、；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。5.1.3病毒管理5.1.3.1评估标准病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。5.1.3.2现状描述我公司防病毒软件进行病毒防护，定期从省官网病毒库服务器下载、升级安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇总病毒感染情况；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。5.1.3.3评估结论完善病毒预警和报告机制，制定计算机病毒防治管理制度。5.1.4运行管理5.1.4.1评估标准运行管理应制定信息系统运行管理规程、缺陷

7、管理制度、统计汇报制度、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。5.1.4.2现状描述没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。5.1.4.3评估结论结合本公司具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。5.1.5账号与口令管理5.1.5.1评估标准制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。5.1.5.2现状描述没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于6字符；管理员账户密码、口令长度大于8字符，半年内账户密码、口令有过变更，但没有变更相关记录、通知、文件；