××單位信息安全系統(tǒng)評估報告材料

1、<p><b>　　××單位</b></p><p><b>　　信息安全評估報告</b></p><p><b>　　(管理信息系統(tǒng))</b></p><p><b>　　××單位</b></p><p>

2、;<b>　　二零一一年九月</b></p><p><b>　　目標(biāo)</b></p><p>　　××單位信息安全檢查工作的主要目標(biāo)是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。</p><p>　　評估依據(jù)、范圍和方法</p>

3、<p><b>　　評估依據(jù)</b></p><p>　　根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》（信安通［2006］15號）、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》（辦信息[2006]48號）以及集團(tuán)公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。</p

4、><p><b>　　評估范圍</b></p><p>　　本次信息安全評估工作重點(diǎn)是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，管理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜，在檢查工作中強(qiáng)調(diào)對基礎(chǔ)信息系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)進(jìn)行安全性評估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護(hù)措施、信息安全管理的組織與策略、信息系統(tǒng)安全運(yùn)行和維護(hù)情況評估。</p>

5、;<p><b>　　評估方法</b></p><p><b>　　采用自評估方法。</b></p><p><b>　　重要資產(chǎn)識別</b></p><p>　　對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識別，將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)

6、點(diǎn)設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總，形成重要資產(chǎn)清單。資產(chǎn)清單見附表1。</p><p><b>　　安全事件</b></p><p>　　對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表2。</p><p><b>　　安全檢查項目評估</

7、b></p><p>　　規(guī)章制度與組織管理評估</p><p><b>　　組織機(jī)構(gòu)</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)。</p><p><b>　　現(xiàn)狀描述</b>

8、</p><p>　　本局已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，但尚未成立信息安全工作機(jī)構(gòu)。</p><p><b>　　評估結(jié)論</b></p><p>　　完善信息安全組織機(jī)構(gòu)，成立信息安全工作機(jī)構(gòu)。</p><p><b>　　崗位職責(zé)</b></p><p><b>　

9、　評估標(biāo)準(zhǔn)</b></p><p>　　崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定；崗位實行主、副崗備用制度。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責(zé)；

10、專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定，崗位沒有實行主、副崗備用制度。</p><p><b>　　評估結(jié)論</b></p><p>　　本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。&l

11、t;/p><p><b>　　病毒管理</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　病毒管理包括計算機(jī)病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機(jī)制、病毒掃描策略（1周內(nèi)至少進(jìn)行一次掃描）。</p><p><b>　　現(xiàn)狀描述</b><

12、;/p><p>　　本局使用Symantec防病毒軟件進(jìn)行病毒防護(hù)，定期從省公司病毒庫服務(wù)器下載、升級安全策略；病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進(jìn)行二次自動病毒掃描；沒有制定計算機(jī)病毒防治管理制度。</p><p><b>　　評估結(jié)論</b></p><p>　　完善病毒預(yù)警和報

13、告機(jī)制，制定計算機(jī)病毒防治管理制度。</p><p><b>　　運(yùn)行管理</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　運(yùn)行管理應(yīng)制定信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維流程、值班制度并實行工作票制度；制定機(jī)房出入管理制度并上墻，對進(jìn)出機(jī)房情況記錄。</p>&

14、lt;p><b>　　現(xiàn)狀描述</b></p><p>　　沒有建立相應(yīng)信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維流程、值班制度，沒有實行工作票制度；機(jī)房出入管理制度上墻，但沒有機(jī)房進(jìn)出情況記錄。</p><p><b>　　評估結(jié)論</b></p><p>　　結(jié)合本局具體情況，制訂信息系統(tǒng)運(yùn)行管理規(guī)程

15、、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維流程、值班制度，實行工作票制度；機(jī)房出入管理制度上墻，記錄機(jī)房進(jìn)出情況。</p><p><b>　　賬號與口令管理</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大

16、于8字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進(jìn)行變更或注銷。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)記錄、通知、

17、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進(jìn)行變更或注銷。</p><p><b>　　評估結(jié)論</b></p><p>　　制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關(guān)記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進(jìn)行變更或注銷。</p><p><b>　　網(wǎng)絡(luò)與系統(tǒng)安全評估

18、</b></p><p><b>　　網(wǎng)絡(luò)架構(gòu)</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備備用設(shè)備，不允許外聯(lián)鏈路繞過防火墻，具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。</p><p><b>　　現(xiàn)

19、狀描述</b></p><p>　　局域網(wǎng)核心交換設(shè)備準(zhǔn)備了備用設(shè)備，城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。</p><p><b>　　評估結(jié)論</b></p><p>　　局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準(zhǔn)備備用設(shè)備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

20、圖。</p><p><b>　　網(wǎng)絡(luò)分區(qū) </b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。</p><p><b>　　現(xiàn)狀描述</b></p><p>

21、　　生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。</p><p><b>　　評估結(jié)論</b></p><p>　　對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。</p><p><b>　　網(wǎng)絡(luò)設(shè)備</b></p><p><b>

22、　　評估標(biāo)準(zhǔn)</b></p><p>　　網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備采用雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令強(qiáng)?。?gt;8字符，數(shù)字、字母混雜）。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　網(wǎng)絡(luò)設(shè)備配置沒有進(jìn)行備份，網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是雙電源，網(wǎng)絡(luò)設(shè)備關(guān)閉了

23、HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令沒達(dá)到要求。</p><p><b>　　評估結(jié)論</b></p><p>　　對網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份，完善SNMP社區(qū)串、本地用戶口令強(qiáng)健（>8字符，數(shù)字、字母混雜）。</p><p><b>　　IP管理</b></p><p>

24、;<b>　　評估標(biāo)準(zhǔn)</b></p><p>　　有IP地址管理系統(tǒng)，IP地址管理有規(guī)劃方案和分配策略，IP地址分配有記錄。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有IP地址管理系統(tǒng)，正在進(jìn)行對IP地址的規(guī)劃和分配，IP地址分配有記錄。</p><p><b&g

25、t;　　評估結(jié)論</b></p><p>　　建立IP地址管理系統(tǒng)，加快進(jìn)行對IP地址的規(guī)劃和分配，IP地址分配有記錄。</p><p><b>　　補(bǔ)丁管理</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　有補(bǔ)丁管理的手段或補(bǔ)丁管理制度，Windows系統(tǒng)主機(jī)

26、補(bǔ)丁安裝齊全，有補(bǔ)丁安裝的測試記錄。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　通過手工補(bǔ)丁管理手段，沒有制訂相應(yīng)管理制度；Windows系統(tǒng)主機(jī)補(bǔ)丁安裝基本齊全，沒有補(bǔ)丁安裝的測試記錄。</p><p><b>　　評估結(jié)論</b></p><p>　　完善補(bǔ)丁管理的手段，

27、制訂相應(yīng)管理制度；補(bǔ)缺Windows系統(tǒng)主機(jī)補(bǔ)丁安裝，補(bǔ)丁安裝前進(jìn)行測試記錄。</p><p><b>　　系統(tǒng)安全配置</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　對操作系統(tǒng)的安全配置進(jìn)行嚴(yán)格的設(shè)置，刪除系統(tǒng)不必要的服務(wù)、協(xié)議。</p><p><b>　　

28、現(xiàn)狀描述</b></p><p>　　沒有對操作系統(tǒng)的安全配置進(jìn)行嚴(yán)格的設(shè)置，部分系統(tǒng)刪除不必要的服務(wù)、協(xié)議。</p><p><b>　　評估結(jié)論</b></p><p>　　對操作系統(tǒng)的安全配置進(jìn)行嚴(yán)格的設(shè)置，刪除系統(tǒng)不必要的服務(wù)、協(xié)議。</p><p><b>　　主機(jī)備份</b>

29、</p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　重要的系統(tǒng)主機(jī)采用雙機(jī)備份并進(jìn)行熱切換或者故障恢復(fù)的測試。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　重要的系統(tǒng)主機(jī)采用了雙機(jī)備份，進(jìn)行過熱切換或者故障恢復(fù)的測試。</p><p>&

30、lt;b>　　評估結(jié)論</b></p><p>　　重要的系統(tǒng)主機(jī)采用了雙機(jī)備份，進(jìn)行熱切換或者故障恢復(fù)的測試。</p><p>　　網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)評估 </p><p><b>　　WWW服務(wù)器</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p>&l

31、t;p>　　WWW服務(wù)用戶賬戶、口令應(yīng)健壯（查看登錄），信息發(fā)布進(jìn)行了分級審核，外部網(wǎng)站有備份或其他保護(hù)措施。</p><p><b>　　現(xiàn)狀描述</b></p><p><b>　　沒有WWW服務(wù)。</b></p><p><b>　　評估結(jié)論</b></p><p>

32、;　　考慮按上述標(biāo)準(zhǔn)建設(shè)WWW服務(wù)。</p><p><b>　　電子郵件服務(wù)器</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　對近三個月的郵件數(shù)據(jù)進(jìn)行備份，有專門針對郵件病毒、垃圾郵件的安全措施，郵件系統(tǒng)管理員賬戶/口令應(yīng)強(qiáng)健，郵件系統(tǒng)的維護(hù)、檢查應(yīng)有審計記錄。</p><

33、p><b>　　現(xiàn)狀描述</b></p><p>　　OA系統(tǒng)郵件數(shù)據(jù)進(jìn)行一星期備份，有專門針對郵件病毒、垃圾郵件的趨勢防病毒軟件系統(tǒng)，但該軟件存在問題比較多，郵件系統(tǒng)管理員賬戶/口令設(shè)置合理，郵件系統(tǒng)的維護(hù)、檢查沒有審計記錄。</p><p><b>　　評估結(jié)論</b></p><p>　　對OA系統(tǒng)郵件數(shù)據(jù)進(jìn)行

34、三個月備份，關(guān)注解決趨勢防病毒軟件系統(tǒng)問題；郵件系統(tǒng)管理員賬戶/口令設(shè)置合理，對郵件系統(tǒng)的維護(hù)、檢查審計進(jìn)行記錄。</p><p><b>　　遠(yuǎn)程撥號訪問</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　有限制遠(yuǎn)程撥號訪問的管理措施，用于業(yè)務(wù)系統(tǒng)維護(hù)的遠(yuǎn)程撥號訪問采取身份驗證、訪問操作記錄等措施

35、。</p><p><b>　　現(xiàn)狀描述</b></p><p><b>　　沒有遠(yuǎn)程撥號訪問。</b></p><p><b>　　評估結(jié)論</b></p><p>　　遠(yuǎn)程撥號訪問設(shè)置按上述標(biāo)準(zhǔn)執(zhí)行。</p><p><b>　　應(yīng)用系統(tǒng)&

36、lt;/b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　應(yīng)用系統(tǒng)的角色、權(quán)限分配有記錄；用戶賬戶的變更、修改、注銷有記錄（半年記錄情況）；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進(jìn)行審計并進(jìn)行長期存儲；對關(guān)鍵應(yīng)用系統(tǒng)有應(yīng)急預(yù)案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令定期進(jìn)行變更；新系統(tǒng)上線前進(jìn)行安全性測試。</p><p><

37、;b>　　現(xiàn)狀描述</b></p><p>　　營銷系統(tǒng)的角色、權(quán)限分配有記錄，其余系統(tǒng)沒有；用戶賬戶的變更、修改、注銷沒有記錄；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作沒有進(jìn)行審計；沒有針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令有定期進(jìn)行變更；有些新系統(tǒng)上線前沒有進(jìn)行過安全性測試。</p><p><b>　　評估結(jié)論</b></p&

38、gt;<p>　　完善系統(tǒng)的角色、權(quán)限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半年記錄情況）；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進(jìn)行審計；制定針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令定期進(jìn)行變更；新系統(tǒng)上線前應(yīng)嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)進(jìn)行安全性測試。</p><p>　　安全技術(shù)管理與設(shè)備運(yùn)行狀況評估</p><p><b>　　防火墻</b>

39、;</p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志進(jìn)行存儲、備份。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　網(wǎng)絡(luò)中的防火墻位置部署合

40、理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒有建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志沒有進(jìn)行存儲、備份。</p><p><b>　　評估結(jié)論</b></p><p>　　網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改要有規(guī)范申請、審核、審批流程，對防火墻日志應(yīng)進(jìn)行存儲、備份。</p><p>

41、;<b>　　防病毒系統(tǒng)</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　防病毒系統(tǒng)覆蓋所有服務(wù)器及客戶端（覆蓋率至少應(yīng)大于90％），對服務(wù)器的防病毒客戶端管理策略配置合理（自動升級病毒代碼、每周掃描），有專責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)并及時發(fā)布病毒通告。</p><p><b>　　現(xiàn)狀描

42、述</b></p><p>　　防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90％），服務(wù)器端除了OA服務(wù)器有防病毒系統(tǒng)外其余沒有；有兼責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，但基本沒有發(fā)布病毒通告。</p><p><b>　　評估結(jié)論</b></p><p>　　防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90％），服務(wù)器端除了OA服務(wù)器有防病毒系統(tǒng)外其余沒

43、有，考慮以后實施；考慮配置專責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并及時發(fā)布病毒通告。</p><p><b>　　入侵檢測系統(tǒng) </b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　入侵檢測系統(tǒng)部署合理、覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器，定期對審計信息進(jìn)行分析，定期更新入侵檢測的規(guī)則與升級。</p>

44、<p><b>　　現(xiàn)狀描述</b></p><p>　　沒有部署入侵檢測系統(tǒng)。</p><p><b>　　評估結(jié)論</b></p><p>　　按上述部署、配置入侵檢測系統(tǒng)。</p><p><b>　　安全技術(shù)管理</b></p><p>

45、;<b>　　評估標(biāo)準(zhǔn)</b></p><p>　　部署身份認(rèn)證系統(tǒng)、安全管理平臺，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年內(nèi)進(jìn)行信息安全風(fēng)險評估，部署針對安全設(shè)備的日志服務(wù)器。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有部署身份認(rèn)證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，重要系統(tǒng)沒有進(jìn)行信息安全風(fēng)險評估，

46、沒有部署針對安全設(shè)備的日志服務(wù)器。</p><p><b>　　評估結(jié)論</b></p><p>　　按標(biāo)準(zhǔn)部署身份認(rèn)證系統(tǒng)、安全管理平臺、針對安全設(shè)備的日志服務(wù)器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年進(jìn)行一次信息安全風(fēng)險評估。</p><p><b>　　存儲備份系統(tǒng)評估 </b></p><p>&l

47、t;b>　　備份策略</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　建立明確、合理的備份策略，嚴(yán)格按照備份策略對系統(tǒng)數(shù)據(jù)進(jìn)行備份（查看備份策略文件、查看備份記錄或查看備份工具配置）。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　建立

48、了明確、合理的備份策略并嚴(yán)格按照備份策略對系統(tǒng)數(shù)據(jù)進(jìn)行備份。</p><p><b>　　評估結(jié)論</b></p><p>　　建立明確、合理的備份策略，嚴(yán)格按照備份策略對系統(tǒng)數(shù)據(jù)進(jìn)行備份。</p><p><b>　　恢復(fù)預(yù)案</b></p><p><b>　　評估標(biāo)準(zhǔn)</b&g

49、t;</p><p>　　建立明確的恢復(fù)預(yù)案（查看文件），定期進(jìn)行恢復(fù)演練。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有建立明確的恢復(fù)預(yù)案，也沒有定期進(jìn)行恢復(fù)演練。</p><p><b>　　評估結(jié)論</b></p><p>　　建立明確的恢復(fù)預(yù)

50、案并定期進(jìn)行恢復(fù)演練。</p><p><b>　　備份介質(zhì)管理</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，有嚴(yán)格的介質(zhì)存取控制，有專人對存儲介質(zhì)進(jìn)行定期檢查。</p><p><b>　　現(xiàn)狀描述

51、</b></p><p>　　沒有建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度，儲存介質(zhì)存放在安全環(huán)境，沒有嚴(yán)格的介質(zhì)存取控制，沒有對存儲介質(zhì)進(jìn)行定期檢查。</p><p><b>　　評估結(jié)論</b></p><p>　　建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，嚴(yán)格介質(zhì)存取控制，對存儲介質(zhì)進(jìn)行定期檢查。</p&

52、gt;<p>　　介質(zhì)及物理環(huán)境安全評估</p><p><b>　　機(jī)房內(nèi)部安全防護(hù)</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　主機(jī)房安裝門禁、監(jiān)控與報警系統(tǒng)。</p><p><b>　　現(xiàn)狀描述</b></p>

53、<p>　　主機(jī)房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。</p><p><b>　　評估結(jié)論</b></p><p>　　主機(jī)房安裝門禁、監(jiān)控與報警系統(tǒng)。</p><p><b>　　機(jī)房供、配電</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p&

54、gt;<p>　　有詳細(xì)的機(jī)房配線圖，機(jī)房供電系統(tǒng)將動力、照明用電與計算機(jī)系統(tǒng)供電線路分開，機(jī)房配備應(yīng)急照明裝置，定期對UPS的運(yùn)行狀況進(jìn)行檢測（查看半年內(nèi)檢測記錄）。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有詳細(xì)的機(jī)房配線圖，機(jī)房供電系統(tǒng)將動力、照明用電與計算機(jī)系統(tǒng)供電線路是分開的，機(jī)房沒有配備應(yīng)急照明裝置，有定期對UPS

55、的運(yùn)行狀況進(jìn)行檢測但沒有檢測記錄。</p><p><b>　　評估結(jié)論</b></p><p>　　補(bǔ)全機(jī)房配線圖，機(jī)房供電系統(tǒng)將動力、照明用電與計算機(jī)系統(tǒng)供電線路分開，機(jī)房配備應(yīng)急照明裝置，定期對UPS的運(yùn)行狀況進(jìn)行檢測和記錄。</p><p><b>　　機(jī)房環(huán)境防護(hù)</b></p><p>

56、<b>　　評估標(biāo)準(zhǔn)</b></p><p>　　采用氣體防火措施，空調(diào)系統(tǒng)定期進(jìn)行檢查，機(jī)房溫度控制在攝氏26度以下。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　有手提干粉滅火器，沒有采用氣體防火措施，空調(diào)系統(tǒng)定期進(jìn)行檢查，機(jī)房溫度控制在攝氏26度以下。</p><p>&

57、lt;b>　　評估結(jié)論</b></p><p>　　采用氣體防火措施，空調(diào)系統(tǒng)定期進(jìn)行檢查，機(jī)房溫度控制在攝氏26度以下。</p><p><b>　　介質(zhì)管理</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　有介質(zhì)管理規(guī)定，U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)

58、記錄和責(zé)任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用有明確的管理制度。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　有相應(yīng)的介質(zhì)管理規(guī)定，U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責(zé)任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用沒有明確的管理制度。</p><p><b>　　評估結(jié)論</b><

59、/p><p>　　有相應(yīng)的介質(zhì)管理規(guī)定，U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責(zé)任人，磁盤、光盤等存儲介質(zhì)有專人保管，制訂筆記本使用管理制度。</p><p><b>　　應(yīng)急處置評估</b></p><p><b>　　應(yīng)急預(yù)案</b></p><p><b>　　評估標(biāo)準(zhǔn)</b>

60、</p><p>　　重要系統(tǒng)有完善的、可操作的應(yīng)急預(yù)案，對應(yīng)急預(yù)案進(jìn)行定期演練。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　重要系統(tǒng)沒有完善的、可操作的應(yīng)急預(yù)案。</p><p><b>　　評估結(jié)論</b></p><p>　　制訂重要系統(tǒng)完善的、

61、可操作的應(yīng)急預(yù)案并對應(yīng)急預(yù)案進(jìn)行定期演練。</p><p><b>　　通報機(jī)制</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　按照集團(tuán)公司的要求建立及時的信息安全信息通報機(jī)制。</p><p><b>　　現(xiàn)狀描述</b></p>&

62、lt;p>　　沒有按照集團(tuán)公司的要求建立及時的信息安全信息通報機(jī)制。</p><p><b>　　評估結(jié)論</b></p><p>　　按照集團(tuán)公司的要求建立及時的信息安全信息通報機(jī)制。</p><p><b>　　故障聯(lián)動機(jī)制</b></p><p><b>　　評估標(biāo)準(zhǔn)</

63、b></p><p>　　建立良好的故障通訊聯(lián)動機(jī)制，進(jìn)行聯(lián)合防護(hù)。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有建立故障通訊聯(lián)動機(jī)制。</p><p><b>　　評估結(jié)論</b></p><p>　　建立良好的故障通訊聯(lián)動機(jī)制，進(jìn)行聯(lián)合防護(hù)

64、。</p><p><b>　　故障搶修機(jī)制</b></p><p><b>　　評估標(biāo)準(zhǔn)</b></p><p>　　建立完善的信息網(wǎng)故障搶修機(jī)制，應(yīng)急資源到位。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有建立完善的信息網(wǎng)故

65、障搶修機(jī)制。</p><p><b>　　評估結(jié)論</b></p><p>　　建立完善的信息網(wǎng)故障搶修機(jī)制，應(yīng)急資源到位。</p><p><b>　　自評總結(jié)</b></p><p>　　通過對上述的現(xiàn)狀分析進(jìn)行了自評估，總的來看，有了初步的安全基礎(chǔ)設(shè)施，在管理方面具備了部分制度和策略，安全防護(hù)