安全性评估报告

下面是小编为大家整理的安全性评估报告,供大家参考。

　Xxxxxxxxx

　安全防护检测评估报告 (Xxxxxxxxx 系统) 2018 年 3 月 概要

　Xxxxxxxxx2018 年 3 月 10 日至 2018 年 3 月 15 日对 Xxxxxxxxx 限公司资产开展了安全防护检测工作。本次检测工 作包括技术测试，主要采用工具扫描与实际检测等手段，检测范 围涉及网络架构、安全配置、网络设备、安全防护设施、业务系 统、操作系统与其他相关系统等方面。

　通过对 Xxxxxxxxx 资产进行的检测发现：Xxxxxxxxx 公司 高度重视网络安全防护工作，为安全保障工作投入了大量时间、 人力与精力；制定有较为完善的安全策略、安全规范及操作细则 等相关管理制度；系统管理人员安全意识较高，具备专业的安全 防护技术与手段；网络区域划分明确，网络部署有防火墙、漏洞 扫描等安全设备，并由运维人员定期对相关网络设备、安全设备 进行巡检。但是，通过进一步检测发现，系统仍存在一些安全隐 患，需要进一步完善与加强。

　1 目标

　Xxxxxxxxx 信息安全检查工作的主要目标是通过自评估工 作，发现本公司电子设备与应用系统当前面临的主要安全问题， 边检查边整改，确保信息网络与重要信息系统的安全。

　第1页

　2 评估依据、范围与方法 2.1 评估依据 《通信网络安全防护管理办法》（工业与信息化部第 11 号 令） 《电信网与互联网安全防护管理指南》 《电信网与互联网安全服务实施要求》 《电信网与互联网安全等级保护实施指南》 《电信网与互联网安全风险评估实施指南》 《电信网与互联网灾难备份及恢复实施指南》 《电信网与互联网物理环境安全等级保护要求》 《电信网与互联网物理环境安全等级保护检测要求》 《电信网与互联网管理安全等级保护要求》 《电信网与互联网管理安全等级保护检测要求》 2.2 评估范围

　本次信息安全评估工作重点是重要的信息系统与网络系统 等，信息系统中业务种类相对较多、网络与业务结构较为复杂， 在检查工作中强调对基础信息系统与重点业务系统进行安全性 评估，具体包括：基础网络与服务器、关键系统、现有安全防护 措施、信息安全管理的组织与策略、信息系统安全运行与维护情 况评估。

　2.3 评估方法 采用自评估方法。

　第2页

　3 重要资产识别 对本公司范围内的重要系统、重要网络设备、重要服务器及

　其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大 的系统、关键网络节点设备与安全设备、承载敏感数据与业务的 服务器进行登记汇总，形成重要资产清单。其中包括:云服务器、 服务器、网络设备、计算机等。

　4 安全事件

　对公司半年内发生的较大的、或者发生次数较多的信息安全 事件进行汇总记录，形成本公司的安全事件列表。

　本公司至今没有发生较大安全事故。

　5 安全检查项目评估 5.1 规章制度与组织管理评估

　规章制度梳理制定文本. 5.1.1 组织机构 5.1.1.1 评估标准 信息安全组织机构包括领导机构、工作机构。

　5.1.1.2 现状描述 本公司已成立了信息安全领导机构。

　5.1.1.3 评估结论 完善信息安全组织机构，成立信息安全工作机构。

　5.1.2 岗位职责 5.1.2.1 评估标准

　第3页

　岗位要求应包括：专职网络管理人员、专职应用系统管理人 员与专职系统管理人员；专责的工作职责与工作范围应有制度明 确进行界定；岗位实行主、副岗备用制度。

　5.1.2.2 现状描述

　我公司没有配置专职网络管理人员、专职应用系统管理人员 与专职系统管理人员，都是兼责；专责的工作职责与工作范围没 有明确制度进行界定，岗位没有实行主、副岗备用制度。

　5.1.2.3 评估结论

　我公司已有兼职网络管理员、应用系统管理员与系统管理员， 在条件许可下，配置专职管理人员；专责的工作职责与工作范围 没有明确制度进行界定，根据实际情况制定管理制度；岗位没有 实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。

　5.1.3 病毒管理 5.1.3.1 评估标准

　病毒管理包括计算机病毒防治管理制度、定期升级的安全策 略、病毒预警与报告机制、病毒扫描策略（1 周内至少进行一次 扫描）。

　5.1.3.2 现状描述

　我公司防病毒软件进行病毒防护，定期从省官网病毒库服务 器下载、升级安全策略；病毒预警是通过第三方与网上提供信息 来源，每月统计、汇总病毒感染情况；每周进行二次自动病毒扫 描；没有制定计算机病毒防治管理制度。

　第4页

　5.1.3.3 评估结论 完善病毒预警与报告机制，制定计算机病毒防治管理制度。

　5.1.4 运行管理 5.1.4.1 评估标准

　运行管理应制定信息系统运行管理规程、缺陷管理制度、统 计汇报制度、值班制度并实行工作票制度；制定机房出入管理制 度并上墙，对进出机房情况记录。

　5.1.4.2 现状描述

　没有建立相应信息系统运行管理规程、缺陷管理制度、统计 汇报制度、运维流程、值班制度，没有实行工作票制度；机房出 入管理制度上墙，但没有机房进出情况记录。

　5.1.4.3 评估结论

　结合本公司具体情况，制订信息系统运行管理规程、缺陷管 理制度、统计汇报制度、运维流程、值班制度，实行工作票制度；

　机房出入管理制度上墙，记录机房进出情况。

　5.1.5 账号与口令管理 5.1.5.1 评估标准

　制订了账号与口令管理制度；普通用户账户密码、口令长度 要求符合大于 6 字符，管理员账户密码、口令长度大于 8 字符；

　半年内账户密码、口令应变更并保存变更相关记录、通知、文件， 半年内系统用户身份发生变化后应及时对其账户进行变更或注 销。

　第5页

　5.1.5.2 现状描述 没有制订账号与口令管理制度，普通用户账户密码、口令长

　度要求大部分都不符合大于 6 字符；管理员账户密码、口令长度 大于 8 字符，半年内账户密码、口令有过变更，但没有变更相关 记录、通知、文件；半年内系统用户身份发生变化后能及时对其 账户进行变更或注销。

　5.1.5.3 评估结论

　制订账号与口令管理制度，完善普通用户账户与管理员账 户密码、口令长度要求；对账户密码、口令变更作相关记录；及 时对系统用户身份发生变化后对其账户进行变更或注销。

　第6页