信息安全评价报告.pdfVIP

(表格)CJJ 28-2014 城镇供热管网工程施工及验收 信息安全评估报告 (管理信息系统) 二零一六年一月 b1 (表格)CJJ 28-2014 城镇供热管网工程施工及验收 1 目标 ××单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系 统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安 全。 2 评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开 展安全检查的通知》（信安通［2006 ］15 号）、国家电力监管委员会《关于对电 力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48 号）以及 集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理 信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对 基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、 关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全 运行和维护情况评估。 2.3 评估方法 采用自评估方法。 b2 (表格)CJJ 28-2014 城镇供热管网工程施工及验收 3 重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏 后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全 设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清 单见附表1。 4 安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记 录，形成本单位的安全事件列表。安全事件列表见附表2 。 5 安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1 组织机构 评估标准 信息安全组织机构包括领导机构、工作机构。 现状描述 本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 b3 (表格)CJJ 28-2014 城镇供热管网工程施工及验收 评估结论 完善信息安全组织机构，成立信息安全工作机构。 5.1.2 岗位职责 评估标准 岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管 理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗 备用制度。 现状描述 我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人 员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实 行主、副岗备用制度。 评估结论 本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下， 配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实 际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、 副岗备用制度。 b4 (表格)CJJ 28-2014 城镇供热管网工程施工及验收 5.1.3 病毒管理 评估标准 病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和 报告机制、病毒扫描策略（1周内至少进行一次扫描）。 现状描述 本局使用Symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器下 载、升级安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇 总病毒感染情况并提交局生技部和省公司生技部；每周进行二次自动病毒扫描； 没有制定计算机病毒防治管理制度。 评估结论 完善病毒预警和报告机制，制定计算机病毒防治管理制度。 5.1.4 运行管理 评估标准 运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运 维流程、值班制度并实