信息安全管理制度1

1目標

勝達集團信息安全檢查工作的主要目標是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡和重要信息系統(tǒng)的安全。

2評估依據(jù)、范圍和方法

2.1 評估依據(jù)

根據(jù)國務院信息化工作辦公室《關于對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查的通知》（信安通［20xx］15號）、國家電力監(jiān)管委員會《關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知》（辦信息[20xx]48號）以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。

2.2 評估范圍

本次信息安全評估工作重點是重要的業(yè)務管理信息系統(tǒng)和網(wǎng)絡系統(tǒng)等，

管理信息系統(tǒng)中業(yè)務種類相對較多、網(wǎng)絡和業(yè)務結構較為復雜，在檢查工作中強調(diào)對基礎信息系統(tǒng)和重點業(yè)務系統(tǒng)進行安全性評估，具體包括：基礎網(wǎng)絡與服務器、關鍵業(yè)務系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。

2.3 評估方法

采用自評估方法。

3重要資產(chǎn)識別

對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡設備、重要服務器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統(tǒng)、關鍵網(wǎng)絡節(jié)點設備和安全設備、承載敏感數(shù)據(jù)和業(yè)務的服務器進行登記匯總，形成重要資產(chǎn)清單。

資產(chǎn)清單見附表1。

4安全事件

對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表2。

5安全檢查項目評估

5.1 規(guī)章制度與組織管理評估

5.1.1組織機構

5.1.1.1評估標準

信息安全組織機構包括領導機構、工作機構。

5.1.1.2現(xiàn)狀描述

本局已成立了信息安全領導機構，但尚未成立信息安全工作機構。

5.1.1.3 評估結論

完善信息安全組織機構，成立信息安全工作機構。

5.1.2崗位職責

5.1.2.1估標準

崗位要求應包括：專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責的工作職責與工作范圍應有制度明確進行界定；崗位實行主、副崗備用制度。

5.1.2.2現(xiàn)狀描述

我局沒有配置專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責；專責的工作職責與工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。

5.1.2.3 評估結論

本局已有兼職網(wǎng)絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責的工作職責與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。

5.1.3病毒管理

5.1.3.1 評估標準

病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略（1周內(nèi)至少進行一次掃描）。

5.1.3.2 現(xiàn)狀描述

本局使用Symantec防病毒軟件進行病毒防護，定期從省公司病毒庫服務器下載、升級安全策略；病毒預警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進行二次自動病毒掃描；沒有制定計算機病毒防治管理制度。

5.1.3.3 評估結論

完善病毒預警和報告機制，制定計算機病毒防治管理制度。

5.1.4運行管理

5.1.4.1 評估標準

運行管理應制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。

5.1.4.2 現(xiàn)狀描述

沒有建立相應信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。

5.1.4.3評估結論

結合本局具體情況，制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維

流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。

5.1.5賬號與口令管理

5.1.5.1 評估標準

制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應變更并保存變更相關記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應及時對其賬戶進行變更或注銷。

5.1.5.2 現(xiàn)狀描述

沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。

5.1.5.3 評估結論

制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。

5.2 網(wǎng)絡與系統(tǒng)安全評估

5.2.1網(wǎng)絡架構

5.2.1.1 評估標準

局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備應采取設備冗余或準備備用設備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡拓撲結構圖。

5.2.1.2 現(xiàn)狀描述

局域網(wǎng)核心交換設備準備了備用設備，城域網(wǎng)核心路由設備采取了設備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當前網(wǎng)絡拓撲結構圖。

5.2.1.3 評估結論

局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備按要求采取設備冗余或準備備用設備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡拓撲結構圖。

5.2.2網(wǎng)絡分區(qū)

5.2.2.1 評估標準

生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設置合理。

5.2.2.2 現(xiàn)狀描述

生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū)，VLAN間的訪問控制設置合理。

5.2.2.3評估結論

對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設置合理。

5.2.3 網(wǎng)絡設備

5.2.3.1 評估標準

網(wǎng)絡設備配置有備份，網(wǎng)絡關鍵點設備采用雙電源，關閉網(wǎng)絡設備HTTP、FTP、TFTP等服務，SNMP社區(qū)串、本地用戶口令強健（>8字符，數(shù)字、字母混雜）。

5.2.3.2 現(xiàn)狀描述

網(wǎng)絡設備配置沒有進行備份，網(wǎng)絡關鍵點設備是雙電源，網(wǎng)絡設備關閉了HTTP、FTP、TFTP等服務，SNMP社區(qū)串、本地用戶口令沒達到要求。

5.2.3.3 評估結論

對網(wǎng)絡設備配置進行備份，完善SNMP社區(qū)串、本地用戶口令強�。�>8字符，數(shù)字、字母混雜）。

5.2.4 IP管理

5.2.4.1 評估標準

有IP地址管理系統(tǒng)，IP地址管理有規(guī)劃方案和分配策略，IP地址分配有記錄。

5.2.4.2 現(xiàn)狀描述

沒有IP地址管理系統(tǒng)，正在進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。

5.2.4.3 評估結論

建立IP地址管理系統(tǒng)，加快進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。

5.2.5補丁管理

5.2.5.1 評估標準

有補丁管理的手段或補丁管理制度，Windows系統(tǒng)主機補丁安裝齊全，有補丁安裝的測試記錄。

5.2.5.2現(xiàn)狀描述

通過手工補丁管理手段，沒有制訂相應管理制度；Windows系統(tǒng)主機補丁安裝基本齊全，沒有補丁安裝的測試記錄。

5.2.5.3 評估結論

完善補丁管理的手段，制訂相應管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試記錄。

5.2.6系統(tǒng)安全配置

5.2.6.1 評估標準

(一).學司法信息安全專業(yè)畢業(yè)后可以從事什么工作,有前途嗎

(二).司法信息安全專業(yè)就業(yè)前景分析 就業(yè)方向有哪些

(三).司法信息安全專業(yè)比較好的大學有哪些(專業(yè)大學排名)

(四).司法信息安全專業(yè)學什么(附學習科目和課程)

(五).信息安全技術應用專業(yè)比較好的大學有哪些(專業(yè)大學排名)

(六).學信息安全技術應用專業(yè)畢業(yè)后可以從事什么工作,有前途嗎

(七).信息安全技術應用專業(yè)就業(yè)前景分析 就業(yè)方向有哪些

(八).信息安全技術應用專業(yè)學什么(附學習科目和課程)

(九).學信息安全專業(yè)畢業(yè)后可以從事什么工作,有前途嗎

(十).信息安全專業(yè)就業(yè)前景分析 就業(yè)方向有哪些