××單位信息安全系統(tǒng)評估報告材料

1、<p><b>　　××單位</b></p><p><b>　　信息安全評估報告</b></p><p><b>　　(管理信息系統(tǒng))</b></p><p><b>　　××單位</b></p><p>

2、;<b>　　二零一一年九月</b></p><p><b>　　目標</b></p><p>　　××單位信息安全檢查工作的主要目標是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。</p><p>　　評估依據(jù)、范圍和方法</p>

3、<p><b>　　評估依據(jù)</b></p><p>　　根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》（信安通［2006］15號）、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》（辦信息[2006]48號）以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。</p

4、><p><b>　　評估范圍</b></p><p>　　本次信息安全評估工作重點是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，管理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復雜，在檢查工作中強調(diào)對基礎(chǔ)信息系統(tǒng)和重點業(yè)務(wù)系統(tǒng)進行安全性評估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。</p>

5、;<p><b>　　評估方法</b></p><p><b>　　采用自評估方法。</b></p><p><b>　　重要資產(chǎn)識別</b></p><p>　　對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)

6、點設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進行登記匯總，形成重要資產(chǎn)清單。資產(chǎn)清單見附表1。</p><p><b>　　安全事件</b></p><p>　　對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表2。</p><p><b>　　安全檢查項目評估</

7、b></p><p>　　規(guī)章制度與組織管理評估</p><p><b>　　組織機構(gòu)</b></p><p><b>　　評估標準</b></p><p>　　信息安全組織機構(gòu)包括領(lǐng)導機構(gòu)、工作機構(gòu)。</p><p><b>　　現(xiàn)狀描述</b>

8、</p><p>　　本局已成立了信息安全領(lǐng)導機構(gòu)，但尚未成立信息安全工作機構(gòu)。</p><p><b>　　評估結(jié)論</b></p><p>　　完善信息安全組織機構(gòu)，成立信息安全工作機構(gòu)。</p><p><b>　　崗位職責</b></p><p><b>　

9、　評估標準</b></p><p>　　崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責的工作職責與工作范圍應(yīng)有制度明確進行界定；崗位實行主、副崗備用制度。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責；

10、專責的工作職責與工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。</p><p><b>　　評估結(jié)論</b></p><p>　　本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責的工作職責與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。&l

11、t;/p><p><b>　　病毒管理</b></p><p><b>　　評估標準</b></p><p>　　病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略（1周內(nèi)至少進行一次掃描）。</p><p><b>　　現(xiàn)狀描述</b><

12、;/p><p>　　本局使用Symantec防病毒軟件進行病毒防護，定期從省公司病毒庫服務(wù)器下載、升級安全策略；病毒預警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進行二次自動病毒掃描；沒有制定計算機病毒防治管理制度。</p><p><b>　　評估結(jié)論</b></p><p>　　完善病毒預警和報

13、告機制，制定計算機病毒防治管理制度。</p><p><b>　　運行管理</b></p><p><b>　　評估標準</b></p><p>　　運行管理應(yīng)制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。</p>&

14、lt;p><b>　　現(xiàn)狀描述</b></p><p>　　沒有建立相應(yīng)信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。</p><p><b>　　評估結(jié)論</b></p><p>　　結(jié)合本局具體情況，制訂信息系統(tǒng)運行管理規(guī)程

15、、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。</p><p><b>　　賬號與口令管理</b></p><p><b>　　評估標準</b></p><p>　　制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大

16、于8字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進行變更或注銷。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)記錄、通知、

17、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。</p><p><b>　　評估結(jié)論</b></p><p>　　制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關(guān)記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。</p><p><b>　　網(wǎng)絡(luò)與系統(tǒng)安全評估

18、</b></p><p><b>　　網(wǎng)絡(luò)架構(gòu)</b></p><p><b>　　評估標準</b></p><p>　　局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準備備用設(shè)備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。</p><p><b>　　現(xiàn)

19、狀描述</b></p><p>　　局域網(wǎng)核心交換設(shè)備準備了備用設(shè)備，城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當前網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。</p><p><b>　　評估結(jié)論</b></p><p>　　局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準備備用設(shè)備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡(luò)拓撲結(jié)構(gòu)

20、圖。</p><p><b>　　網(wǎng)絡(luò)分區(qū) </b></p><p><b>　　評估標準</b></p><p>　　生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設(shè)置合理。</p><p><b>　　現(xiàn)狀描述</b></p><p>

21、　　生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū)，VLAN間的訪問控制設(shè)置合理。</p><p><b>　　評估結(jié)論</b></p><p>　　對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設(shè)置合理。</p><p><b>　　網(wǎng)絡(luò)設(shè)備</b></p><p><b>

22、　　評估標準</b></p><p>　　網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點設(shè)備采用雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令強?。?gt;8字符，數(shù)字、字母混雜）。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　網(wǎng)絡(luò)設(shè)備配置沒有進行備份，網(wǎng)絡(luò)關(guān)鍵點設(shè)備是雙電源，網(wǎng)絡(luò)設(shè)備關(guān)閉了

23、HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令沒達到要求。</p><p><b>　　評估結(jié)論</b></p><p>　　對網(wǎng)絡(luò)設(shè)備配置進行備份，完善SNMP社區(qū)串、本地用戶口令強健（>8字符，數(shù)字、字母混雜）。</p><p><b>　　IP管理</b></p><p>

24、;<b>　　評估標準</b></p><p>　　有IP地址管理系統(tǒng)，IP地址管理有規(guī)劃方案和分配策略，IP地址分配有記錄。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有IP地址管理系統(tǒng)，正在進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。</p><p><b&g

25、t;　　評估結(jié)論</b></p><p>　　建立IP地址管理系統(tǒng)，加快進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。</p><p><b>　　補丁管理</b></p><p><b>　　評估標準</b></p><p>　　有補丁管理的手段或補丁管理制度，Windows系統(tǒng)主機

26、補丁安裝齊全，有補丁安裝的測試記錄。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　通過手工補丁管理手段，沒有制訂相應(yīng)管理制度；Windows系統(tǒng)主機補丁安裝基本齊全，沒有補丁安裝的測試記錄。</p><p><b>　　評估結(jié)論</b></p><p>　　完善補丁管理的手段，

27、制訂相應(yīng)管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試記錄。</p><p><b>　　系統(tǒng)安全配置</b></p><p><b>　　評估標準</b></p><p>　　對操作系統(tǒng)的安全配置進行嚴格的設(shè)置，刪除系統(tǒng)不必要的服務(wù)、協(xié)議。</p><p><b>　　

28、現(xiàn)狀描述</b></p><p>　　沒有對操作系統(tǒng)的安全配置進行嚴格的設(shè)置，部分系統(tǒng)刪除不必要的服務(wù)、協(xié)議。</p><p><b>　　評估結(jié)論</b></p><p>　　對操作系統(tǒng)的安全配置進行嚴格的設(shè)置，刪除系統(tǒng)不必要的服務(wù)、協(xié)議。</p><p><b>　　主機備份</b>

29、</p><p><b>　　評估標準</b></p><p>　　重要的系統(tǒng)主機采用雙機備份并進行熱切換或者故障恢復的測試。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　重要的系統(tǒng)主機采用了雙機備份，進行過熱切換或者故障恢復的測試。</p><p>&

30、lt;b>　　評估結(jié)論</b></p><p>　　重要的系統(tǒng)主機采用了雙機備份，進行熱切換或者故障恢復的測試。</p><p>　　網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)評估 </p><p><b>　　WWW服務(wù)器</b></p><p><b>　　評估標準</b></p>&l

31、t;p>　　WWW服務(wù)用戶賬戶、口令應(yīng)健壯（查看登錄），信息發(fā)布進行了分級審核，外部網(wǎng)站有備份或其他保護措施。</p><p><b>　　現(xiàn)狀描述</b></p><p><b>　　沒有WWW服務(wù)。</b></p><p><b>　　評估結(jié)論</b></p><p>

32、;　　考慮按上述標準建設(shè)WWW服務(wù)。</p><p><b>　　電子郵件服務(wù)器</b></p><p><b>　　評估標準</b></p><p>　　對近三個月的郵件數(shù)據(jù)進行備份，有專門針對郵件病毒、垃圾郵件的安全措施，郵件系統(tǒng)管理員賬戶/口令應(yīng)強健，郵件系統(tǒng)的維護、檢查應(yīng)有審計記錄。</p><

33、p><b>　　現(xiàn)狀描述</b></p><p>　　OA系統(tǒng)郵件數(shù)據(jù)進行一星期備份，有專門針對郵件病毒、垃圾郵件的趨勢防病毒軟件系統(tǒng)，但該軟件存在問題比較多，郵件系統(tǒng)管理員賬戶/口令設(shè)置合理，郵件系統(tǒng)的維護、檢查沒有審計記錄。</p><p><b>　　評估結(jié)論</b></p><p>　　對OA系統(tǒng)郵件數(shù)據(jù)進行

34、三個月備份，關(guān)注解決趨勢防病毒軟件系統(tǒng)問題；郵件系統(tǒng)管理員賬戶/口令設(shè)置合理，對郵件系統(tǒng)的維護、檢查審計進行記錄。</p><p><b>　　遠程撥號訪問</b></p><p><b>　　評估標準</b></p><p>　　有限制遠程撥號訪問的管理措施，用于業(yè)務(wù)系統(tǒng)維護的遠程撥號訪問采取身份驗證、訪問操作記錄等措施

35、。</p><p><b>　　現(xiàn)狀描述</b></p><p><b>　　沒有遠程撥號訪問。</b></p><p><b>　　評估結(jié)論</b></p><p>　　遠程撥號訪問設(shè)置按上述標準執(zhí)行。</p><p><b>　　應(yīng)用系統(tǒng)&

36、lt;/b></p><p><b>　　評估標準</b></p><p>　　應(yīng)用系統(tǒng)的角色、權(quán)限分配有記錄；用戶賬戶的變更、修改、注銷有記錄（半年記錄情況）；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進行審計并進行長期存儲；對關(guān)鍵應(yīng)用系統(tǒng)有應(yīng)急預案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更；新系統(tǒng)上線前進行安全性測試。</p><p><

37、;b>　　現(xiàn)狀描述</b></p><p>　　營銷系統(tǒng)的角色、權(quán)限分配有記錄，其余系統(tǒng)沒有；用戶賬戶的變更、修改、注銷沒有記錄；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作沒有進行審計；沒有針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令有定期進行變更；有些新系統(tǒng)上線前沒有進行過安全性測試。</p><p><b>　　評估結(jié)論</b></p&

38、gt;<p>　　完善系統(tǒng)的角色、權(quán)限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半年記錄情況）；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進行審計；制定針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更；新系統(tǒng)上線前應(yīng)嚴格按照相關(guān)標準進行安全性測試。</p><p>　　安全技術(shù)管理與設(shè)備運行狀況評估</p><p><b>　　防火墻</b>

39、;</p><p><b>　　評估標準</b></p><p>　　網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志進行存儲、備份。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　網(wǎng)絡(luò)中的防火墻位置部署合

40、理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒有建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志沒有進行存儲、備份。</p><p><b>　　評估結(jié)論</b></p><p>　　網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改要有規(guī)范申請、審核、審批流程，對防火墻日志應(yīng)進行存儲、備份。</p><p>

41、;<b>　　防病毒系統(tǒng)</b></p><p><b>　　評估標準</b></p><p>　　防病毒系統(tǒng)覆蓋所有服務(wù)器及客戶端（覆蓋率至少應(yīng)大于90％），對服務(wù)器的防病毒客戶端管理策略配置合理（自動升級病毒代碼、每周掃描），有專責人員負責維護防病毒系統(tǒng)并及時發(fā)布病毒通告。</p><p><b>　　現(xiàn)狀描

42、述</b></p><p>　　防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90％），服務(wù)器端除了OA服務(wù)器有防病毒系統(tǒng)外其余沒有；有兼責人員負責維護防病毒系統(tǒng)，但基本沒有發(fā)布病毒通告。</p><p><b>　　評估結(jié)論</b></p><p>　　防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90％），服務(wù)器端除了OA服務(wù)器有防病毒系統(tǒng)外其余沒

43、有，考慮以后實施；考慮配置專責人員負責維護防病毒系統(tǒng)，并及時發(fā)布病毒通告。</p><p><b>　　入侵檢測系統(tǒng) </b></p><p><b>　　評估標準</b></p><p>　　入侵檢測系統(tǒng)部署合理、覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器，定期對審計信息進行分析，定期更新入侵檢測的規(guī)則與升級。</p>

44、<p><b>　　現(xiàn)狀描述</b></p><p>　　沒有部署入侵檢測系統(tǒng)。</p><p><b>　　評估結(jié)論</b></p><p>　　按上述部署、配置入侵檢測系統(tǒng)。</p><p><b>　　安全技術(shù)管理</b></p><p>

45、;<b>　　評估標準</b></p><p>　　部署身份認證系統(tǒng)、安全管理平臺，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年內(nèi)進行信息安全風險評估，部署針對安全設(shè)備的日志服務(wù)器。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有部署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，重要系統(tǒng)沒有進行信息安全風險評估，

46、沒有部署針對安全設(shè)備的日志服務(wù)器。</p><p><b>　　評估結(jié)論</b></p><p>　　按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設(shè)備的日志服務(wù)器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年進行一次信息安全風險評估。</p><p><b>　　存儲備份系統(tǒng)評估 </b></p><p>&l

47、t;b>　　備份策略</b></p><p><b>　　評估標準</b></p><p>　　建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份（查看備份策略文件、查看備份記錄或查看備份工具配置）。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　建立

48、了明確、合理的備份策略并嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。</p><p><b>　　評估結(jié)論</b></p><p>　　建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。</p><p><b>　　恢復預案</b></p><p><b>　　評估標準</b&g

49、t;</p><p>　　建立明確的恢復預案（查看文件），定期進行恢復演練。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有建立明確的恢復預案，也沒有定期進行恢復演練。</p><p><b>　　評估結(jié)論</b></p><p>　　建立明確的恢復預

50、案并定期進行恢復演練。</p><p><b>　　備份介質(zhì)管理</b></p><p><b>　　評估標準</b></p><p>　　建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，有嚴格的介質(zhì)存取控制，有專人對存儲介質(zhì)進行定期檢查。</p><p><b>　　現(xiàn)狀描述

51、</b></p><p>　　沒有建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度，儲存介質(zhì)存放在安全環(huán)境，沒有嚴格的介質(zhì)存取控制，沒有對存儲介質(zhì)進行定期檢查。</p><p><b>　　評估結(jié)論</b></p><p>　　建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，嚴格介質(zhì)存取控制，對存儲介質(zhì)進行定期檢查。</p&

52、gt;<p>　　介質(zhì)及物理環(huán)境安全評估</p><p><b>　　機房內(nèi)部安全防護</b></p><p><b>　　評估標準</b></p><p>　　主機房安裝門禁、監(jiān)控與報警系統(tǒng)。</p><p><b>　　現(xiàn)狀描述</b></p>

53、<p>　　主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。</p><p><b>　　評估結(jié)論</b></p><p>　　主機房安裝門禁、監(jiān)控與報警系統(tǒng)。</p><p><b>　　機房供、配電</b></p><p><b>　　評估標準</b></p&

54、gt;<p>　　有詳細的機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路分開，機房配備應(yīng)急照明裝置，定期對UPS的運行狀況進行檢測（查看半年內(nèi)檢測記錄）。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有詳細的機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路是分開的，機房沒有配備應(yīng)急照明裝置，有定期對UPS

55、的運行狀況進行檢測但沒有檢測記錄。</p><p><b>　　評估結(jié)論</b></p><p>　　補全機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路分開，機房配備應(yīng)急照明裝置，定期對UPS的運行狀況進行檢測和記錄。</p><p><b>　　機房環(huán)境防護</b></p><p>

56、<b>　　評估標準</b></p><p>　　采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　有手提干粉滅火器，沒有采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。</p><p>&

57、lt;b>　　評估結(jié)論</b></p><p>　　采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。</p><p><b>　　介質(zhì)管理</b></p><p><b>　　評估標準</b></p><p>　　有介質(zhì)管理規(guī)定，U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)

58、記錄和責任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用有明確的管理制度。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　有相應(yīng)的介質(zhì)管理規(guī)定，U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用沒有明確的管理制度。</p><p><b>　　評估結(jié)論</b><

59、/p><p>　　有相應(yīng)的介質(zhì)管理規(guī)定，U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質(zhì)有專人保管，制訂筆記本使用管理制度。</p><p><b>　　應(yīng)急處置評估</b></p><p><b>　　應(yīng)急預案</b></p><p><b>　　評估標準</b>

60、</p><p>　　重要系統(tǒng)有完善的、可操作的應(yīng)急預案，對應(yīng)急預案進行定期演練。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　重要系統(tǒng)沒有完善的、可操作的應(yīng)急預案。</p><p><b>　　評估結(jié)論</b></p><p>　　制訂重要系統(tǒng)完善的、

61、可操作的應(yīng)急預案并對應(yīng)急預案進行定期演練。</p><p><b>　　通報機制</b></p><p><b>　　評估標準</b></p><p>　　按照集團公司的要求建立及時的信息安全信息通報機制。</p><p><b>　　現(xiàn)狀描述</b></p>&

62、lt;p>　　沒有按照集團公司的要求建立及時的信息安全信息通報機制。</p><p><b>　　評估結(jié)論</b></p><p>　　按照集團公司的要求建立及時的信息安全信息通報機制。</p><p><b>　　故障聯(lián)動機制</b></p><p><b>　　評估標準</

63、b></p><p>　　建立良好的故障通訊聯(lián)動機制，進行聯(lián)合防護。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有建立故障通訊聯(lián)動機制。</p><p><b>　　評估結(jié)論</b></p><p>　　建立良好的故障通訊聯(lián)動機制，進行聯(lián)合防護

64、。</p><p><b>　　故障搶修機制</b></p><p><b>　　評估標準</b></p><p>　　建立完善的信息網(wǎng)故障搶修機制，應(yīng)急資源到位。</p><p><b>　　現(xiàn)狀描述</b></p><p>　　沒有建立完善的信息網(wǎng)故

65、障搶修機制。</p><p><b>　　評估結(jié)論</b></p><p>　　建立完善的信息網(wǎng)故障搶修機制，應(yīng)急資源到位。</p><p><b>　　自評總結(jié)</b></p><p>　　通過對上述的現(xiàn)狀分析進行了自評估，總的來看，有了初步的安全基礎(chǔ)設(shè)施，在管理方面具備了部分制度和策略，安全防護