1、精選優質文檔-傾情為你奉上Xxxxxxxxx 有限公司安全防護檢測評估報告(Xxxxxxxxx系統)2018年3月概 要Xxxxxxxxx有限公司2018年3月10日至2018年3月15日對Xxxxxxxxx限公司資產開展了安全防護檢測工作。本次檢測工作包括技術測試，主要采用工具掃描和實際檢測等手段，檢測范圍涉及網絡架構、安全配置、網絡設備、安全防護設施、業務系統、操作系統和其他相關系統等方面。通過對Xxxxxxxxx有限公司資產進行的檢測發現：Xxxxxxxxx公司高度重視網絡安全防護工作，為安全保障工作投入了大量時間、人力和精力；制定有較為完善的安全策略、安全規范及操作細則等相關管理制度；

2、系統管理人員安全意識較高，具備專業的安全防護技術和手段；網絡區域劃分明確，網絡部署有防火墻、漏洞掃描等安全設備，并由運維人員定期對相關網絡設備、安全設備進行巡檢。但是，通過進一步檢測發現，系統仍存在一些安全隱患，需要進一步完善和加強。1目標Xxxxxxxxx有限公司信息安全檢查工作的主要目標是通過自評估工作，發現本公司電子設備和應用系統當前面臨的主要安全問題，邊檢查邊整改，確保信息網絡和重要信息系統的安全。2評估依據、范圍和方法2.1 評估依據通信網絡安全防護管理辦法（工業和信息化部第11號令）電信網和互聯網安全防護管理指南電信網和互聯網安全服務實施要求電信網和互聯網安全等級保護實施

3、指南電信網和互聯網安全風險評估實施指南電信網和互聯網災難備份及恢復實施指南電信網和互聯網物理環境安全等級保護要求電信網和互聯網物理環境安全等級保護檢測要求電信網和互聯網管理安全等級保護要求電信網和互聯網管理安全等級保護檢測要求2.2 評估范圍本次信息安全評估工作重點是重要的信息系統和網絡系統等，信息系統中業務種類相對較多、網絡和業務結構較為復雜，在檢查工作中強調對基礎信息系統和重點業務系統進行安全性評估，具體包括：基礎網絡與服務器、關鍵系統、現有安全防護措施、信息安全管理的組織與策略、信息系統安全運行和維護情況評估。2.3 評估方法采用自評估方法。3重要資產識別對本公司范圍

4、內的重要系統、重要網絡設備、重要服務器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統、關鍵網絡節點設備和安全設備、承載敏感數據和業務的服務器進行登記匯總，形成重要資產清單。其中包括:云服務器、服務器、網絡設備、計算機等。4安全事件對公司半年內發生的較大的、或者發生次數較多的信息安全事件進行匯總記錄，形成本公司的安全事件列表。本公司至今沒有發生較大安全事故。5安全檢查項目評估5.1 規章制度與組織管理評估 規章制度梳理制定文本.5.1.1組織機構5.1.1.1 評估標準信息安全組織機構包括領導機構、工作機構。5.1.1.2 現狀描述本公司

5、已成立了信息安全領導機構。5.1.1.3 評估結論完善信息安全組織機構，成立信息安全工作機構。  5.1.2崗位職責 5.1.2.1 評估標準崗位要求應包括：專職網絡管理人員、專職應用系統管理人員和專職系統管理人員；專責的工作職責與工作范圍應有制度明確進行界定；崗位實行主、副崗備用制度。 5.1.2.2 現狀描述我公司沒有配置專職網絡管理人員、專職應用系統管理人員和專職系統管理人員，都是兼責；專責的工作職責與工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。5.1.2.3 評估結論我公司已有兼職網絡管理員

6、、應用系統管理員和系統管理員，在條件許可下，配置專職管理人員；專責的工作職責與工作范圍沒有明確制度進行界定，根據實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。 5.1.3病毒管理 5.1.3.1 評估標準病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略（1周內至少進行一次掃描）。 5.1.3.2 現狀描述我公司防病毒軟件進行病毒防護，定期從省官網病毒庫服務器下載、升級安全策略；病毒預警是通過第三方和網上提供信息來源，每月統計、匯總病毒感染情況；每周進行二次自動病毒

7、掃描；沒有制定計算機病毒防治管理制度。5.1.3.3 評估結論完善病毒預警和報告機制，制定計算機病毒防治管理制度。5.1.4運行管理5.1.4.1 評估標準運行管理應制定信息系統運行管理規程、缺陷管理制度、統計匯報制度、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。 5.1.4.2 現狀描述沒有建立相應信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。 5.1.4.3 評估結論結合本公司具體情況，制訂信息系統運行管理規程、

8、缺陷管理制度、統計匯報制度、運維流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。 5.1.5賬號與口令管理 5.1.5.1 評估標準制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內賬戶密碼、口令應變更并保存變更相關記錄、通知、文件，半年內系統用戶身份發生變化后應及時對其賬戶進行變更或注銷。 5.1.5.2 現狀描述 沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內賬戶密碼、口令有過變更，但沒有變更相關記錄、通知、文件；半年內系統用戶身份發生變化后能及