信息安全评估报告完整版

信息安全评估报告

HEN system office room【HEN 16H-HENS2AHENS8Q8-HENH1688 ]

XXX有限公司

信息安全评估报告

(管理信息系统)

X年X月

1目标

XXXXXXXXX公司信息安全检查工作的主要H标是通过自评估工作，发现本公司电子设备当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。

2评估依据、范围和方法

评估依据

《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)

《信息技术信息技术安全管理指南》

评估范围

本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。

评估方法

采用自评估方法。

3重要资产识别

对本局范圉内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敬感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。

4安全事件

对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本公司的安全事件列表。

本公司至今没有发生较大安全事故。

5安全检査项目评估

规章制度与组织管理评估

规章制度详见《计算机信息系统及设备管理办法》

组织机构

评估标准

信息安全组织机构包括领导机构、工作机构。

本公司已成立了信息安全领导机构，但尚未成立信息安全工作机构。

评估结论

完善信息安全组织机构，成立信息安全工作机构。

岗位职责

评估标准

岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范圉应有制度明确进行界定；岗位实行主、副岗备用制度。

现状描述

我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人

员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。

评估结论

我公司已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。

病毒管理

评估标准

病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。

现状描述

我公司XXX防病毒软件进行病毒防护，定期从省官网病毒库服务器下载、升级安全策略：病毒预警是通过笫三方和网上提供信息来源，每月统讣、汇总病毒感染情况；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。

评估结论

完善病毒预警和报告机制，制定讣算机病毒防治管理制度。

运行管理

评估标准

运行管理应制定信息系统运行管理规程、缺陷管理制度、统讣汇报制度、运5? 维流程、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。

没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流

程、值班制度，没有实行工作票制度；机房岀入管理制度上墙，但没有机房进出情况记录。

评估结论

结合本公司具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。

账号与口令管理

评估标准

制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。

现状描述

没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于6字符；管理员账户密码、口令长度大于8字符，半年内账户密码、口令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化后能及时对其账户进行变更或注销。

评估结论

制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要

求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。