胜达集团信息安全风险评估报告.pdfVIP

胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月 1 目标 胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临 的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2 评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查 的通知》（信安通［2006 ］15 号）、国家电力监管委员会《关于对电力行业有关单位重要信 息系统开展安全检查的通知》（办信息[2006]48 号）以及集团公司和省公司公司的文件、检 查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等， 管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信 息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现 有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法 采用自评估方法。 3 重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进 行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和 业务的服务器进行登记汇总，形成重要资产清单。 资产清单见附表 1。 4 安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本 单位的安全事件列表。安全事件列表见附表 2 。 5 安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1 组织机构 评估标准 信息安全组织机构包括领导机构、工作机构。 现状描述 本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 评估结论 完善信息安全组织机构，成立信息安全工作机构。 5.1.2 岗位职责 估标准 岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专 责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。 现状描述 我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼 责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。 评估结论 本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管 理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度； 岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。 5.1.3 病毒管理 评估标准 病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、 病毒扫描策略（1 周内至少进行一次扫描）。 现状描述 本局使用 Symantec 防病毒软件进行病毒防护，定期从省公司病毒库服务器下载、升级 安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇总病毒感染情况并提 交局生技部和省公司生技部；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制 度。 评估结论 完善病毒预警和报告机制，制定计算机病毒防治管理制度。 5.1.4 运行管理 评估标准 运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值 班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。 现状描述 没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班 制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。 评估结论 结合本局具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维 流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。 5.1.5 账号与口令管理 评估标准 制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于 6 字符，管理 员账户密码、口令长度大于 8 字符；半年内账户密码、口令应变更并保存变更相关记录、通 知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。