关于信息安全风险评估的自查报告及整改措施.docxVIP

关于信息安全风险评估的自查报告及整改措施

为全面落实信息安全主体责任，切实防范信息系统运行风险，保障关键数据资产安全，我单位于2023年9月至11月组织信息安全专项自查工作组（由信息技术部牵头，联合合规管理部、业务部门骨干共8人组成），依据《网络安全法》《数据安全法》《个人信息保护法》及行业相关标准，围绕“技术防护、管理机制、数据安全、物理环境”四大维度，采用“技术检测+制度核查+人员访谈+日志追溯”相结合的方式，对全单位32个信息系统（含核心业务系统5个、办公系统8个、外部接口系统19个）、12类关键数据资产（涉及客户个人信息、财务数据、研发成果等）及配套网络架构开展全流程风险评估。现将自查情况及整改措施报告如下：

一、自查发现的主要风险点

（一）技术防护层面

1.系统漏洞与配置缺陷突出。通过自动化漏洞扫描工具（采用XX公司V23.10版本）对全部信息系统进行检测，共发现漏洞117个，其中高危漏洞23个（占比19.66%），主要集中在老旧业务系统（如2018年上线的客户关系管理系统），涉及未修复的SQL注入漏洞（如某子模块用户输入字段未做参数化处理）、未授权访问漏洞（如后台管理端未限制IP访问范围）、弱加密算法（部分历史数据仍采用MD5存储密码）；同时，12个系统存在安全配置不规范问题，包括未关闭不必要的端口服务（如某生产系统开放了默认的Telnet端口）、日志审计功能未启用（3个办公系统仅记录登录成功事件，未记录失败尝试）。

2.网络边界防护存在薄弱环节。核心业务网与互联网边界仅部署1台传统防火墙（型号为XX-5000），未实现双机热备，且规则库更新滞后（最近一次更新为2023年3月，当前版本规则库未覆盖2023年7月新发现的CVE-2023-XXXX漏洞）；部分分支机构通过VPN接入总部时，采用的IPSec协议未启用PerfectForwardSecrecy（PFS），存在会话密钥被破解风险；DMZ区（隔离区）与内部办公网之间未部署专用入侵检测系统（IDS），2023年1-10月日志显示，DMZ区服务器曾被探测到27次异常端口扫描（来自3个境外IP），但未触发有效告警。

3.终端安全管理缺失。全单位1200台办公终端中，32%未安装统一的终端安全管理软件（如部分研发部门自行使用第三方工具），导致补丁更新、病毒查杀状态无法集中监控；56台终端存在“弱口令”问题（密码长度小于8位或仅包含数字），其中12台为财务、人事等敏感岗位终端；移动存储设备（U盘、移动硬盘）未实施注册管理，2023年10月通过突击检查发现，有4名员工使用未备案的U盘拷贝过内部文档，其中1例涉及客户联系方式清单（含500条记录）。

（二）管理机制层面

1.制度体系滞后于业务发展。现行《信息安全管理制度》发布于2020年，未涵盖近年新增的移动办公系统（如“XX通”APP）、云服务（租用XX云平台存储研发数据）等场景的安全要求；《数据分类分级指南》仅划分“绝密、机密、秘密”三级，未结合业务实际细化到具体数据类型（如客户身份证号应归为“高敏感”，而订单编号可归为“低敏感”），导致数据访问权限分配“一刀切”（例如某业务系统所有用户均可查看客户姓名、电话，实际仅需客服岗位访问）。

2.权限管理存在越权风险。通过核查账号权限分配记录，发现17个系统存在“权限冗余”问题：4名已离职员工的账号未及时注销（其中1人曾有权限访问财务系统）；3个业务系统存在“超级管理员”账号共用情况（如研发部3名主管共享同一管理员账号）；部分系统未实现“最小权限原则”（例如行政人员账号可访问研发文档库，实际仅需访问办公文件）。

3.人员安全意识不足。通过模拟钓鱼邮件测试（向300名员工发送伪装成“系统升级通知”的邮件，含恶意链接），结果显示23%的收件人点击了链接（其中5%输入了账号密码）；2023年1-10月安全培训仅开展2次（每次时长1小时），内容集中于“密码设置”“防病毒”等基础操作，未覆盖数据泄露应急处置、社会工程学防范等进阶内容；关键岗位（如系统管理员、数据管理员）未签订专门的《信息安全保密协议》（现有协议为通用版本，未明确数据安全责任条款）。

（三）数据安全层面

1.数据全生命周期管理存在缺口。数据采集环节，2个外部接口系统（与第三方物流、支付平台对接）未对输入数据进行完整性校验（如物流系统曾接收过“手机号15位”的异常数据，导致数据库报错）；数据存储环节，客户身份证号、银行卡号等敏感信息在本地数据库中以明文存储（涉及3个业务系统，存储量约120万条），且未按“两地三中心”要求实现异地备份（仅在本地机房和同城灾备中心备份，未启用异地灾备）；数据传输环节，2个移动应用（安卓端、iOS端）与服务器通信时仅使用HTTP协议