安全性評估報告

1、精選優(yōu)質(zhì)文檔-傾情為你奉上Xxxxxxxxx 有限公司安全防護檢測評估報告(Xxxxxxxxx系統(tǒng))2018年3月概 要Xxxxxxxxx有限公司2018年3月10日至2018年3月15日對Xxxxxxxxx限公司資產(chǎn)開展了安全防護檢測工作。本次檢測工作包括技術(shù)測試，主要采用工具掃描和實際檢測等手段，檢測范圍涉及網(wǎng)絡(luò)架構(gòu)、安全配置、網(wǎng)絡(luò)設(shè)備、安全防護設(shè)施、業(yè)務(wù)系統(tǒng)、操作系統(tǒng)和其他相關(guān)系統(tǒng)等方面。通過對Xxxxxxxxx有限公司資產(chǎn)進行的檢測發(fā)現(xiàn)：Xxxxxxxxx公司高度重視網(wǎng)絡(luò)安全防護工作，為安全保障工作投入了大量時間、人力和精力；制定有較為完善的安全策略、安全規(guī)范及操作細(xì)則等相關(guān)管理制度；

2、系統(tǒng)管理人員安全意識較高，具備專業(yè)的安全防護技術(shù)和手段；網(wǎng)絡(luò)區(qū)域劃分明確，網(wǎng)絡(luò)部署有防火墻、漏洞掃描等安全設(shè)備，并由運維人員定期對相關(guān)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行巡檢。但是，通過進一步檢測發(fā)現(xiàn)，系統(tǒng)仍存在一些安全隱患，需要進一步完善和加強。1目標(biāo)Xxxxxxxxx有限公司信息安全檢查工作的主要目標(biāo)是通過自評估工作，發(fā)現(xiàn)本公司電子設(shè)備和應(yīng)用系統(tǒng)當(dāng)前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。2評估依據(jù)、范圍和方法2.1 評估依據(jù)通信網(wǎng)絡(luò)安全防護管理辦法（工業(yè)和信息化部第11號令）電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南電信網(wǎng)和互聯(lián)網(wǎng)安全服務(wù)實施要求電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施

3、指南電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實施指南電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實施指南電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護檢測要求電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護檢測要求2.2 評估范圍本次信息安全評估工作重點是重要的信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜，在檢查工作中強調(diào)對基礎(chǔ)信息系統(tǒng)和重點業(yè)務(wù)系統(tǒng)進行安全性評估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。2.3 評估方法采用自評估方法。3重要資產(chǎn)識別對本公司范圍

4、內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進行登記匯總，形成重要資產(chǎn)清單。其中包括:云服務(wù)器、服務(wù)器、網(wǎng)絡(luò)設(shè)備、計算機等。4安全事件對公司半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄，形成本公司的安全事件列表。本公司至今沒有發(fā)生較大安全事故。5安全檢查項目評估5.1 規(guī)章制度與組織管理評估 規(guī)章制度梳理制定文本.5.1.1組織機構(gòu)5.1.1.1 評估標(biāo)準(zhǔn)信息安全組織機構(gòu)包括領(lǐng)導(dǎo)機構(gòu)、工作機構(gòu)。5.1.1.2 現(xiàn)狀描述本公司

5、已成立了信息安全領(lǐng)導(dǎo)機構(gòu)。5.1.1.3 評估結(jié)論完善信息安全組織機構(gòu)，成立信息安全工作機構(gòu)。  5.1.2崗位職責(zé) 5.1.2.1 評估標(biāo)準(zhǔn)崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進行界定；崗位實行主、副崗備用制度。 5.1.2.2 現(xiàn)狀描述我公司沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責(zé)；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。5.1.2.3 評估結(jié)論我公司已有兼職網(wǎng)絡(luò)管理員

6、、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。 5.1.3病毒管理 5.1.3.1 評估標(biāo)準(zhǔn)病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機制、病毒掃描策略（1周內(nèi)至少進行一次掃描）。 5.1.3.2 現(xiàn)狀描述我公司防病毒軟件進行病毒防護，定期從省官網(wǎng)病毒庫服務(wù)器下載、升級安全策略；病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況；每周進行二次自動病毒

7、掃描；沒有制定計算機病毒防治管理制度。5.1.3.3 評估結(jié)論完善病毒預(yù)警和報告機制，制定計算機病毒防治管理制度。5.1.4運行管理5.1.4.1 評估標(biāo)準(zhǔn)運行管理應(yīng)制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。 5.1.4.2 現(xiàn)狀描述沒有建立相應(yīng)信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。 5.1.4.3 評估結(jié)論結(jié)合本公司具體情況，制訂信息系統(tǒng)運行管理規(guī)程、

8、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。 5.1.5賬號與口令管理 5.1.5.1 評估標(biāo)準(zhǔn)制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進行變更或注銷。 5.1.5.2 現(xiàn)狀描述 沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及