【正文】 某些安全措施。 該信息安全管理 體系根據(jù)國(guó)際和國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn) ISO 17799（ GB/T 19716） 、 ISO2700 ISO 15408（ GB/T 18336）、 ISO 7498 GB 1785ISO 13335(GB/T 、 GB/T ）等標(biāo)準(zhǔn)，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等信息安全的有關(guān)法律， 結(jié)合 ITIL、 COBIT、 MOF 等先進(jìn)模型，國(guó)家電力行業(yè)政策及 單位 相關(guān)管理辦法制定。 是否對(duì)防火墻日志進(jìn)行了存儲(chǔ)、備份？ 每個(gè)季度進(jìn)行巡檢并對(duì)日志進(jìn)行 分析 、存儲(chǔ) 2 防病毒系統(tǒng) 防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶端？（覆蓋率至少應(yīng)大于 90％） 防病毒系統(tǒng)覆蓋率 以超過(guò)95％ 。 是否對(duì)應(yīng)急預(yù)案進(jìn)行了定期演練？ 僅 對(duì) 具備 測(cè)試環(huán)境的系統(tǒng)進(jìn)行 演練。 新系統(tǒng)上線前是否進(jìn)行過(guò)安全性 測(cè)試？ 新系統(tǒng)在正式投運(yùn)前都有一至三個(gè)月的試運(yùn)行期；在試運(yùn)行期內(nèi)，都有進(jìn)行相關(guān)的數(shù)據(jù)庫(kù)連接，業(yè)務(wù)應(yīng)用等實(shí) 際操作的測(cè)試。 是否有專門針對(duì)郵件病毒、垃圾郵件的安全措施？ 沒(méi)有提供互聯(lián)網(wǎng) 電子郵件服務(wù) 。 . 應(yīng)用安全 單位 的應(yīng)用層面包括常見應(yīng)用軟件和業(yè)務(wù)應(yīng)用軟件兩大類。 供電信〔 2021〕 20 號(hào) 《關(guān)于印發(fā)《 省公司 公司 單位 辦公用便攜式計(jì)算機(jī)及存儲(chǔ)介質(zhì)安全管理規(guī)定（試行）》的通知》 U盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)是否有資產(chǎn)記錄和責(zé)任人 沒(méi)有詳細(xì)的領(lǐng)用記錄和責(zé)任人記錄； 磁盤、光盤等存儲(chǔ)介質(zhì)是否有專人保管？ 有配備專人保管 筆記本 使用是否有明確的管理制度？ 供電信〔 2021〕 20 號(hào) 《關(guān)于印發(fā)《 省公司 公司 單位 辦公用便攜式計(jì)算機(jī)及存儲(chǔ)介質(zhì)安全管理規(guī)定（試行）》的通知》 . 網(wǎng)絡(luò)安全 根據(jù) 集團(tuán) 和省公司的要求，在本次自評(píng)估工作中我們嚴(yán)格根據(jù) 《 省公司 公司信息安全檢查工作方案 》 要求的進(jìn)行網(wǎng)絡(luò)安全的自評(píng)估。 普通用戶賬戶密碼、口令長(zhǎng)度要求是否大于 6字符？管理員賬戶密碼、口令長(zhǎng)度是否大于 8 字符？ 在《 單位 帳號(hào)口令管理制度》中作了嚴(yán)格規(guī)定。 是否建立了缺陷管理制度 有 對(duì)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器進(jìn)行定期巡 檢 ， 發(fā)現(xiàn)缺陷并進(jìn)行整改，有 3 個(gè)月內(nèi)的記錄 。 而且 在病毒管理平臺(tái)上已經(jīng)配置了定期升級(jí)的安全策略。評(píng)估的內(nèi)容和結(jié)果詳見下表： 檢查項(xiàng)目 檢查內(nèi)容 檢查說(shuō)明及存在問(wèn)題 1 組織機(jī)構(gòu) 是否成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)？ 成立了 信息化工作領(lǐng)導(dǎo)小組 （ 供電信［ 2021］ 4 號(hào)《關(guān)于成立 **集團(tuán) 供電分公司信息化工作領(lǐng)導(dǎo)小組的通知》 ）， 而在《 單位 信息安全管理規(guī)范》中明確定義 了 信息安全組織的架構(gòu)和職能，但由于人員編制 問(wèn)題，目前還沒(méi)有完全按照該規(guī)范執(zhí)行 2 崗位職責(zé) 是否有 專職 網(wǎng)絡(luò)管理 人員 配備了 1 名 專職 網(wǎng)絡(luò)管理 員 。那些沒(méi)有安全威脅的弱點(diǎn)可以不需要實(shí)施安全保護(hù)措施，但它們必須記錄下來(lái)以確保當(dāng)環(huán)境、條件有所變化時(shí)能隨之加以改變。 營(yíng)銷系統(tǒng)客戶端連接不上服務(wù)器，不能進(jìn)行業(yè)務(wù)處理。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無(wú)論對(duì)于多么安全的信息系統(tǒng)而言，它總是一定存在。因此資產(chǎn)的評(píng)估是風(fēng)險(xiǎn)評(píng)估的一個(gè)重要的步驟，它被確定和估價(jià)的準(zhǔn)確性將影響著后面所有因素的評(píng)估。安全性問(wèn)題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身份認(rèn)證、訪問(wèn)控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問(wèn)題。對(duì)這些問(wèn)題做出詳細(xì)回答，并確定相應(yīng)的防護(hù)手段和實(shí)施辦法，就是針對(duì)整個(gè)網(wǎng)絡(luò)的一份完整的安全策略。 . 應(yīng)用層 自 評(píng)估 應(yīng)用層 自 評(píng)估主要是通過(guò)人工安全檢查 、安全技術(shù)審計(jì) 等方式 對(duì) OAK 系統(tǒng) 、營(yíng)銷系統(tǒng)以及 數(shù)據(jù)庫(kù) 系統(tǒng) 等 業(yè)務(wù)應(yīng)用系統(tǒng)的安全性進(jìn)行評(píng)估。該標(biāo) 準(zhǔn)針對(duì)在安全性評(píng)估過(guò)程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求，使各種相對(duì)獨(dú)立的安全性評(píng)估結(jié)果具有可比性。這個(gè)標(biāo)準(zhǔn)中安全管 理體系框架構(gòu)建的過(guò)程也就是宏觀上指導(dǎo)整個(gè)項(xiàng)目實(shí)施的過(guò)程。 單位 信息安全檢查 安全 評(píng)估 報(bào)告 1. 概述 .................................................................................................... 4 . 背景 ........................................................................................ 4 . 目的 ........................................................................................ 4 . 評(píng)估依據(jù) .................................................................................. 5 2. 安全評(píng)估方案 ....................................................................................... 6 . 安全評(píng)估內(nèi)容 ........................................................................... 6 . 物理層自評(píng)估 ............................................................... 7 . 網(wǎng)絡(luò)層自評(píng)估 ............................................................... 7 . 系統(tǒng)層自評(píng)估 ............................................................... 7 . 應(yīng)用層自評(píng)估 ............................................................... 7 . 管理層自評(píng)估 ............................................................... 7 . 安全評(píng)估流程 ........................................................................... 7 . 安全評(píng)估方式 ........................................................................... 9 . 管理體系審計(jì) ............................................................... 9 . 安全策略評(píng)估 ............................................................. 10 . 網(wǎng)絡(luò)架構(gòu)分析 ............................................................. 10 . 手動(dòng)檢查 .................................................................... 11 . 安全技術(shù)審計(jì) ............................................................. 11 3. 信息資產(chǎn)識(shí)別 ..................................................................................... 12 . 概述 ...................................................................................... 12 . 網(wǎng)絡(luò)結(jié)構(gòu) ................................................................................ 12 . 應(yīng)用系統(tǒng) ................................................................................ 12 . 資產(chǎn)清單 ................................................................................ 13 4. 安全威脅現(xiàn)狀與分析 ........................................................................... 13 . 概述 ...................................................................................... 13 . 安全威脅分析 ......................................................................... 13 . 安全事件列表 ......................................................................... 14 5. 系統(tǒng)脆弱性現(xiàn)狀與分析 .........