某单位信息安全评价实施报告_第1页
某单位信息安全评价实施报告_第2页
某单位信息安全评价实施报告_第3页
某单位信息安全评价实施报告_第4页
某单位信息安全评价实施报告_第5页
已阅读5页,还剩23页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、.word.XX单位信息平安评估报告(管理信息系统)XX单位二零一一年九月1目标XX单位信息平安检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要平安问题,边检查边整改,确保信息网络和重要信息系统的平安。2评估依据、围和法评估依据根据国务院信息化工作办公室?关于对根底信息网络和重要信息系统开展平安检查的通知?信安通200615号、电力监管委员会?关于对电力行业有关单位重要信息系统开展平安检查的通知?办信息200648号以及集团公司和省公司公司的文件、检查案要求,开展XX单位的信息平安评估。评估围本次信息平安评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类

2、相对较多、网络和业务构造较为复杂,在检查工作中强调对根底信息系统和重点业务系统进展平安性评估,具体包括:根底网络与效劳器、关键业务系统、现有平安防护措施、信息平安管理的组织与策略、信息系统平安运行和维护情况评估。评估法采用自评估法。3重要资产识别对本局围的重要系统、重要网络设备、重要效劳器及其平安属性受破坏后的影响进展识别,将一旦停顿运行影响面大的系统、关键网络节点设备和平安设备、承载敏感数据和业务的效劳器进展登记汇总,形成重要资产清单。资产清单见附表1。4平安事件对本局半年发生的较大的、或者发生次数较多的信息平安事件进展汇总记录,形本钱单位的平安事件列表。平安事件列表见附表2。5平安检查工程

3、评估规章制度与组织管理评估组织机构评估标准信息平安组织机构包括领导机构、工作机构。现状描述本局已成立了信息平安领导机构,但尚未成立信息平安工作机构。评估结论完善信息平安组织机构,成立信息平安工作机构。岗位职责评估标准岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作围应有制度明确进展界定;岗位实行主、副岗备用制度。5. .2.2现状描述.word.我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作围没有明确制度进展界定,岗位没有实行主、副岗备用制度。评估结论本局已有兼职网络管理员、应用系统管理员和系统

4、管理员,在条件可下,配置专职管理人员;专责的工作职责与工作围没有明确制度进展界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件可下,落实主、副岗备用制度。病毒管理评估标准病毒管理包括计算机病毒防治管理制度、定期升级的平安策略、病毒预警和报告机制、病毒扫描策略1至少进展一次扫描。现状描述本局使用Symante防病毒软件进展病毒防护,定期从省公司病毒库效劳器下载、升级平安策略;病毒预警是通过第三和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每进展二次自动病毒扫描;没有制定计算机病毒防治管理制度。评估结论.word.完善病毒预警和报告机制,制定计算机病

5、毒防治管理制度。运行管理评估标准运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。现状描述没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。评估结论结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。5.1.5账号与口令管理.word.评估标准制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于

6、6字符,管理员账户密码、口令长度大于8字符;半年账户密码、口令应变更并保存变更相关记录、通知、文件,半年系统用户身份发生变化后应及时对其账户进展变更或注销。现状描述没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大局部都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年系统用户身份发生变化后能及时对其账户进展变更或注销。评估结论制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进展变更或注销。5.2 网络与系统平安评估.word

7、.网络架构评估标准局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允外联链路绕过防火墙,具有当前准确的网络拓扑构造图。现状描述局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑构造图。评估结论局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑构造图。网络分区评估标准生产控制系统和管理信息系统之间进展分区,VLAN间的访问控制设置合理。 .2.2.2现状描述.word.生产控制系统和管理信息系统之间没有进展分区,VLAN间的访问控制设置合理。评估结论对生产控

8、制系统和管理信息系统之间进展分区,VLAN间的访问控制设置合理。网络设备评估标准网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等效劳,SNMP社区用、本地用户口令强健8字符,数字、字母混杂。现状描述网络设备配置没有进展备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等效劳,SNMP社区用、本地用户口令没到达要求。评估结论对网络设备配置进展备份,完善SNMPtt区用、本地用户口令强健8字符,数字、字母混杂5.2. .3评估结论.word.5.2. IP 管理.word.评估标准有IP地址管理系统,IP地址管理有规划案和分配策略,IP地址

9、分配有记录。现状描述没有IP地址管理系统,正在进展对IP地址的规划和分配,IP地址分配有记录。评估结论建立IP地址管理系统,加快进展对IP地址的规划和分配,IP地址分配有记录。补丁管理评估标准有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。现状描述通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装根本齐全,没有补丁安装的测试记录。完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进展测试记录。系统平安配置评估标准对操作系统的平安配置进展格的设置,删除系统不必要的效劳、协议。现状描述没有对操作系统

10、的平安配置进展格的设置,局部系统删除不必要的效劳、协议。评估结论对操作系统的平安配置进展格的设置,删除系统不必要的效劳、协议。主机备份评估标准重要的系统主机采用双机备份并进展热切换或者故障恢复的测试。现状描述.word.重要的系统主机采用了双机备份,进展过热切换或者故障恢复的测试。评估结论重要的系统主机采用了双机备份,进展热切换或者故障恢复的测试。网络效劳与应用系统评估效劳器评估标准效劳用户账户、口令应强健查看登录,信息发布进展了分级审核,外部有备份或其他保护措施。现状描述没有效劳。评估结论考虑按上述标准建立效劳。.word.电子效劳器评估标准对近三个月的数据进展备份,有专门针对病毒、垃圾的平

11、安措施,系统管理员账户/口令应强健,系统的维护、检查应有审计记录。现状描述OA系统数据进展一星期备份,有专门针对病毒、垃圾的趋势防病毒软件系统,但该软件存在问题比较多,系统管理员账户/口令设置合理,系统的维护、检查没有审计记录。评估结论对OA系统数据进展三个月备份,关注解决趋势防病毒软件系统问题;系统管理员账户/口令设置合理,对系统的维护、检查审计进展记录。远程拨号访问评估标准有限制远程拨号访问的管理措施,用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。5. .3.2现状描述.word.没有远程拨号访问。评估结论远程拨号访问设置按上述标准执行。应用系统评估标准应用系统的角色、权

12、限分配有记录;用户账户的变更、修改、注销有记录半年记录情况;关键应用系统的数据功能操作进展审计并进展长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期进展变更;新系统上线前进展平安性测试。现状描述营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进展审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进展变更;有些新系统上线前没有进展过平安性测试。评估结论完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销半.word.年记录情况;关键应用系统的数据功能操作进展审计;制

13、定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进展变更;新系统上线前应格按照相关标准进展平安性测试。平安技术管理与设备运行状况评估防火墙评估标准网络中的防火墙位置部署合理,防火墙规那么配置符合平安要求,防火墙规那么配置的建立、更改有规申请、审核、审批流程,对防火墙日志进展存储、备份。现状描述网络中的防火墙位置部署合理,防火墙规那么配置符合平安要求,防火墙规那么配置没有建立、更改有规申请、审核、审批流程,对防火墙日志没有进展存储、备份。评估结论网络中的防火墙位置部署合理,防火墙规那么配置符合平安要求,防火墙规那么配置的建立、更改要有规申请、审核、审批流程,对防火墙日志应进

14、展存储、备份。5.4. .2现状描述.word.5.4. 防病毒系统.word.评估标准防病毒系统覆盖所有效劳器及客户端覆盖率至少应大于90,对效劳器的防病毒客户端管理策略配置合理自动升级病毒代码、每扫描,有专责人员负责维护防病毒系统并及时发布病毒通告。现状描述防病毒系统覆盖所有客户端覆盖率大于90,效劳器端除了OA效劳器有防病毒系统外其余没有;有兼责人员负责维护防病毒系统,但根本没有发布病毒通告。评估结论防病毒系统覆盖所有客户端覆盖率大于90,效劳器端除了OA效劳器有防病毒系统外其余没有,考虑以后实施;考虑配置专责人员负责维护防病毒系统,并及时发布病毒通告。入侵检测系统评估标准入侵检测系统部

15、署合理、覆盖主要网络边界与主要效劳器,定期对审计信息进展分析,定期更新入侵检测的规那么与升级。没有部署入侵检测系统。评估结论按上述部署、配置入侵检测系统。平安技术管理评估标准部署身份认证系统、平安管理平台,采用漏洞扫描系统,重要系统一年进展信息平安风险评估,部署针对平安设备的日志效劳器。现状描述没有部署身份认证系统、平安管理平台,没有漏洞扫描系统,重要系统没有进展信息平安风险评估,没有部署针对平安设备的日志效劳器。评估结论按标准部署身份认证系统、平安管理平台、针对平安设备的日志效劳器,采用漏洞扫描系统,重要系统一年进展一次信息平安风险评估。5.5 存储藏份系统评估.word.备份策略评估标准建

16、立明确、合理的备份策略,格按照备份策略对系统数据进展备份查看备份策略文件、查看备份记录或查看备份工具配置。现状描述建立了明确、合理的备份策略并格按照备份策略对系统数据进展备份。评估结论建立明确、合理的备份策略,格按照备份策略对系统数据进展备份。恢复预案评估标准建立明确的恢复预案查看文件,定期进展恢复演练。现状描述没有建立明确的恢复预案,也没有定期进展恢复演练。5. .1.2现状描述.word.5. .2.3评估结论.word.建立明确的恢复预案并定期进展恢复演练。备份介质管理评估标准建立介质管理制度和废弃介质处理制度,储存介质存放在平安环境,有格的介质存取控制,有专人对存储介质进展定期检查。现

17、状描述没有建立介质的管理制度和废弃介质的处理制度,储存介质存放在平安环境,没有格的介质存取控制,没有对存储介质进展定期检查。评估结论建立介质管理制度和废弃介质处理制度,储存介质存放在平安环境,格介质存取控制,对存储介质进展定期检查。5.6介质及物理环境平安评估机房部平安防护评估标准主机房安装门禁、监控与报警系统。主机房没有安装门禁、监控系统,有消防报警系统。评估结论主机房安装门禁、监控与报警系统。机房供、配电评估标准有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进展检测查看半年检测记录。现状描述没有详细的机房配线图,机房供

18、电系统将动力、照明用电与计算机系统供电线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进展检测但没有检测记录。评估结论补全机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进展检测和记录。5. .4.3评估结论.word. .6.3机房环境防护.word.评估标准采用气体防火措施,空调系统定期进展检查,机房温度控制在摄氏26度以下。现状描述有手提干粉灭火器,没有采用气体防火措施,空调系统定期进展检查,机房温度控制在摄氏26度以下。评估结论采用气体防火措施,空调系统定期进展检查,机房温度控制在摄氏26度以下。5.6.4介质管理评估标准有介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用有明确的管理制度。现状描述有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用没有明确的管

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论