单位信息安全评估方案报告

××单位。

管理信息系统)

×单位。二零一一年九月。

×单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。

根据***信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求，开展××单位的信息安全评估。

本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。

采用自评估方法。

对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。

对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。

信息安全组织机构包括领导机构、工作机构。

本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。

完善信息安全组织机构，成立信息安全工作机构。

岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。

我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。

本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。

病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。

本局使用symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器**、升级安全策略；病毒预警是通过第三方和网上提供信息**，每月统计、汇总病毒感染情况并提交局生技部和省公司生技部；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。

完善病毒预警和报告机制，制定计算机病毒防治管理制度。

运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。

没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。

结合本局具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。

制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。

没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于6字符；管理员账户密码、口令长度大于8字符，半年内账户密码、口令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化后能及时对其账户进行变更或注销。

制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。

局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备，不允许外联链路绕过防火墙，具有当前准确的网络拓扑结构图。

局域网核心交换设备准备了备用设备，城域网核心路由设备采取了设备冗余；没有不经过防火墙的外联链路，有当前网络拓扑结构图。

局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备，外联链路没有绕过防火墙，完善网络拓扑结构图。

生产控制系统和管理信息系统之间进行分区，vlan间的访问控制设置合理。

生产控制系统和管理信息系统之间没有进行分区，vlan间的访问控制设置合理。

对生产控制系统和管理信息系统之间进行分区，vlan间的访问控制设置合理。

网络设备配置有备份，网络关键点设备采用双电源，关闭网络设备http、ftp、tftp等服务，snmp社区串、本地用户口令强健（>8字符，数字、字母混杂）。

网络设备配置没有进行备份，网络关键点设备是双电源，网络设备关闭了http、ftp、tftp等服务，snmp社区串、本地用户口令没达到要求。

对网络设备配置进行备份，完善snmp社区串、本地用户口令强健（>8字符，数字、字母混杂）。

有ip地址管理系统，ip地址管理有规划方案和分配策略，ip地址分配有记录。

没有ip地址管理系统，正在进行对ip地址的规划和分配，ip地址分配有记录。

建立ip地址管理系统，加快进行对ip地址的规划和分配，ip地址分配有记录。

有补丁管理的手段或补丁管理制度，windows系统主机补丁安装齐全，有补丁安装的测试记录。

通过手工补丁管理手段，没有制订相应管理制度；windows系统主机补丁安装基本齐全，没有补丁安装的测试记录。

完善补丁管理的手段，制订相应管理制度；补缺windows系统主机补丁安装，补丁安装前进行测试记录。

对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。

没有对操作系统的安全配置进行严格的设置，部分系统删除不必要的服务、协议。

对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。

重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。

重要的系统主机采用了双机备份，进行过热切换或者故障恢复的测试。

重要的系统主机采用了双机备份，进行热切换或者故障恢复的测试。

www服务用户账户、口令应健壮（查看登录），信息发布进行了分级审核，外部**有备份或其他保护措施。

没有www服务。

考虑按上述标准建设www服务。

对近三个月的邮件数据进行备份，有专门针对邮件病毒、垃圾邮件的安全措施，邮件系统管理员账户/口令应强健，邮件系统的维护、检查应有审计记录。

oa系统邮件数据进行一星期备份，有专门针对邮件病毒、垃圾邮件的趋势防病毒软件系统，但该软件存在问题比较多，邮件系统管理员账户/口令设置合理，邮件系统的维护、检查没有审计记录。

对oa系统邮件数据进行三个月备份，关注解决趋势防病毒软件系统问题；邮件系统管理员账户/口令设置合理，对邮件系统的维护、检查审计进行记录。

有限制远程拨号访问的管理措施，用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。

没有远程拨号访问。

远程拨号访问设置按上述标准执行。

应用系统的角色、权限分配有记录；用户账户的变更、修改、注销有记录（半年记录情况）；关键应用系统的数据功能操作进行审计并进行长期存储；对关键应用系统有应急预案；关键应用系统管理员账户、用户账户口令定期进行变更；新系统上线前进行安全性测试。

单位信息安全评估方案报告

信息安全风险评估方案报告

信息安全风险评估方案报告

单位考核评估报告

其他用户还读了