信息安全风险评估检查报告

信息安全风险评估检查报告一、部门基本情况部门名称：分管信息安全工作的领导（本部门副职领导）：信息安全管理机构（如办公室）：信息安全专职工作处室（如信息安全处）：二、信息系统基本情况1.信息系统总数：个2.面向社会公众提供服务的信息系统数：个3.委托社会第三方进行日常运维管理的信息系统数：个，其中签订运维外包服务合同的信息系统数：个4.本年度经过安全测评（含风险评估、等级评测）系统数：个信息系统定级备案数：个，其中系统定级情况：第一级：个；第二级：个；第三级：个；第四级：个；第五级：个；未定级：个定级变动信息系统数：个（上次检查至今）1.姓名：2.职务：1.名称：2.负责人：3.职务：1.名称：2.负责人：3.电话：互联网接入口总数：个互联网接入情况：其中：□联通接入口数量：个，接入带宽：兆□电信接入口数量：个，接入带宽：兆□其他接入口数量：个，接入带宽：兆系统安全测评情况：最近2年开展安全测评（包括风险评估、登记测评）系统数个三、日常信息安全管理情况1.安全自查信息系统安全状况自查制度：□已建立□未建立2.入职人员信息安全管理制度：□已建立□未建立3.在职人员信息安全和保密协议：□全部签订□部分签订□均未签订4.人员离岗离职安全管理规定：□已制定□未制定5.信息安全管理人员持证上岗：□是□否6.信息安全技术人员持证上岗：□是□否7.外部人员访问机房等重要区域管理制度：□已建立□未建立1.资产管理制度：□已建立□未建立2.信息安全设备运维管理：□已明确专人负责□未明确资产管理：□定期进行配置检查、日志审计等□未进行3.设备维修维护和报废销毁管理：□已建立管理制度，且维修维护和报废销毁记录完整□已建立管理制度，但维修维护和报废销毁记录不完整□尚未建立管理制度四、信息安全防护管理情况1.网络区域划分是否合理：□合理□不合理网络边界防护管理：2.网络访问控制：□有访问控制措施□无访问控制措施3.网络访问日志：□留存日志□未留存日志4.安全防护设备策略：□使用默认配置□根据应用自主配置1.服务器安全防护：□已关闭不必要的应用、服务、端口□未关闭□账户口令满足8位，包含数字、字母或符号□不满足□定期更新账户口令□未定期更新□定期进行漏洞扫描、病毒木马检测□未进行2.网络设备防护：安全策略配置情况有效。账户口令要求8位，包含数字、字母或符号，但有些不满足要求，且未定期更新账户口令。定期进行漏洞扫描和病毒木马检测尚未实施。信息安全设备部署和使用方面，尚未部署有防病毒、防火墙、入侵检测、安全审计等功能的设备，安全策略配置无效。在门户网站方面，未清理无关账户。有空口令、弱口令和默认口令，未部署网页防篡改措施，审核制度尚未建立。邮箱使用方面，除权限工作人员外，其他人员也在使用，账户口令管理方面，无口令强度限制措施。终端计算机安全管理方面，用户分散管理，存在空口令、弱口令和默认口令，未定期进行漏洞扫描和病毒木马检测。接入互联网安全控制措施方面，无控制措施。在非涉密信息系统和涉密信息系统间混用情况方面，存在这种情况。在使用非涉密计算机处理涉密信息方面，存在这种情况。存储介质安全管理方面，外联但采取了技术防范措施控制风险。移动存储介质管理方面，未采取集中管理方式。电子信息消除或销毁设备方面，已配备。信息安全应急管理方面，已制定应急预案，但未进行修订和演练。重要数据和重要信息系统备份情况不明确。容灾备份服务位于境内或境外，但无应急技术支援队伍。在信息技术产品应用方面，服务器、终端计算机和网络交换设备总台数不明确。使用国产CPU的服务器台数和终端计算机台数也不明确。在服务器操作系统方面，情况不明确。操作系统安装情况：-Windows操作系统的服务器台数：-Linux操作系统的服务器台数：-其他操作系统的服务器台数：终端计算机操作系统情况：-Windows操作系统的终端计算机台数：-Linux操作系统的终端计算机台数：-其他操作系统的终端计算机台数：数据库和公文处理软件情况：-数据库软件总套数：-其中国产套数：-安装国产公文处理软件的终端计算机台数：-安装国外公文处理软件的终端计算机台数：信息安全产品情况：-安装国产防病毒产品的终端计算机台数：-防火墙（不含终端软件防火墙）台数：-其中，国产防火墙台数：-使用国产商用密码产品台（套）数：-使用国外产商用密码产品台（套）数：信息安全教育培训情况：-本年度接受信息安全教育培训的人数：-占部门总人数的比例：-本年度开展信息安全教育培训的次数：-培训部门名称：-本年度信息安全管理和技术人员参加专业培训人次：信息系统安全建设整改情况：-是否明确主管领导、责任部门和具体负责人员：-文件依据：-是否对信息系统安全建设整改工作进行总体部署：-文件依据：-是否对信息系统进行安全保护现状分析：-是否制定信息系统安全建设整改方案：-是否组织开展信息系统安全建设整改工作：-通过何种方式开展：-是否组织开展信息系统安全自查工作：-是否对本单位安全建设整改工作进行总结上报：信息系统情况：-第二级系统已开展安全建设整改的信息系统数量：-第四级系统已开展等级测评的信息系统数量：-第二级系统已达到等级保护要求的信息系统数量：-第四级系统已达到等级保护要求的信息系统数量：本年度信息安全事件情况：-进行过病毒木马等恶意代码检测的服务器台数：-其中，感染恶意代码的服务器台数：-进行过病毒木马等恶意代码检测的终端计算机台数：-其中，感染恶意代码的终端计算机台数：本文提供了一些关于信息安全方面的统计数据和外包服务机构的情况。在进行漏洞扫描时，发现存在高风险漏洞的服务器和终端计算机的数量。此外，门户网站也受到了攻击和篡改。在设备使用方面，存在一些违规行为，如使用非涉密终端计算机处理涉密信息和在涉密系统和非涉密系统间混用终端计算机和移动存储介质。最后，提供了一些