公司信息安全风险评估安全状况调查.docxVIP

PAGE / NUMPAGES 公司信息安全风险评估安全状况调查 随着信息化程度的不断提高，企业信息资产的保护成为了现代企业的重要任务之一。信息安全是信息化时代的重要议题，企业信息安全的保护事关企业的核心利益，不仅涉及企业的经济生命，还会引发企业的形象、信誉受损，因此，对企业信息安全的风险评估和安全状况调查非常有必要。 一、基本情况 本次信息安全风险评估调查的企业是一家中小型的制造业公司，其主要产品为机械设备，总资产约1亿元，员工人数为100人左右，业务范围涵盖国内外市场。该公司主要涉及的信息系统包括：企业门户网站、财务管理系统、人力资源管理系统、生产管理系统、电子邮件系统等。 二、风险评估 针对该企业的信息系统，我们对其进行了风险评估，主要评估方式包括：信息资产的重要性、信息系统威胁及漏洞、信息系统的安全等级等。 1. 信息资产的重要性评估 根据信息系统中的数据、程序、硬件等信息资产的重要性，我们将其划分为以下4个等级： （1）级别一：系统核心资产，例如核心数据库、ERP等系统； （2）级别二：重要资产，如业务系统、存储资产等； （3）级别三：一般资产，如电子邮件系统、文件存储系统等； （4）级别四：较不重要资产，如企业门户网站等。 针对该企业的信息系统，我们认为其重要资产主要为财务管理系统和生产管理系统，将其归类为级别二资产，其他系统则归类为级别三或级别四资产。 2. 信息系统威胁及漏洞评估 为了评估该企业信息系统的威胁和漏洞情况，我们采用了以下方式： （1）渗透测试：以黑客攻击角度，利用公开的漏洞测试工具进行渗透测试，以评估系统的弱点； （2）漏洞扫描：使用漏洞扫描工具对系统进行扫描，以便发现系统中的安全漏洞。 通过以上方式，我们发现该企业信息系统中存在以下漏洞： （1）MQTT协议存在未加密传输数据风险，带宽被耗费，数据泄漏； （2）远程管理功能安全性较差，易受到黑客攻击； （3）电子邮件过多的SPAM邮件威胁网络安全； （4）网站管理存在漏洞，可以进行SQL注入等攻击； （5）内部人员对信息安全的重视度较低，存在被员工泄漏保密信息的风险。 3. 信息系统的安全等级评估 综合考虑以上两个方面的评估结果，我们给该企业信息系统进行了安全级别的评估。评估结果如下： （1）财务管理系统和生产管理系统的安全级别为三级，即需要一定的防护措施才能保障其安全性； （2）电子邮件系统和企业门户网站的安全级别为四级，即不需要过多的防护措施即可保证信息安全。 三、安全调查 为了更全面地评估该企业信息安全的状况，我们还通过调查该企业的员工、系统管理员、安全管理人员等，对企业从人员层面、技术层面、管理层面进行了调查，综合分析企业信息安全的现状。 1. 人员层面 通过对企业员工的调查，我们发现员工对信息安全的威胁学习严重不足，对ID、口令、邮件曝光等常见风险缺乏正确的防范意识。同时，在使用网络设备时有时也缺乏基本的安全意识，随意访问网络资源，容易受到黑客攻击。 2. 技术层面 在技术层面方面，我们发现该企业对IT设施的审计和监管居多，主要是基于IDS/IPS、WAF、防病毒等技术手段进行防护；在访问控制、加密、安全管理方面存在欠缺。 3. 管理层面 从管理层面来看，该企业安全管理缺乏整体规划，未建立信息安全管理体系，也未设置专门的信息安全管理岗位，导致安全管理难以落实。 综上所述，结合风险评估和安全调查的结果，我们认为该企业信息安全管理未完全落实现代企业的安全管理理念，需要针对不同级别信息资产的不同安全威胁，采取相关防护措施，加强信息安全管理，提高员工和管理人员的安全意识。对于拥有高安全级别信息资产的系统应注意及时升级，定期对系统进行安全评估和安全测试，保持敏锐的安全感知和应急响应能力，保障企业信息安全。