Xxxxxxxxx 有限公司 安全防护检测评估报告 (Xxxxxxxxx 系统) 2018 年 3 月 概 要 Xxxxxxxxx 有限公司2018 年3 月10 日至2018 年3 月15日对Xxxxxxxxx 限公司资产开展了安全防护检测工作。本次检测工作包括技术测试,主要采用工具扫描和实际检测等手段,检测范围涉及网络架构、安全配置、网络设备、安全防护设施、业务系统、操作系统和其他相关系统等方面。 通 过 对Xxxxxxxxx 有限公司资产进 行 的 检测发 现 :Xxxxxxxxx 公司高度重视网络安全防护工作,为安全保障工作投入了大量时间、人力和精力;制定有较为完善的安全策略、安全规范及操作细则等相关管理制度;系统管理人员安全意识较高,具备专业的安全防护技术和手段;网络区域划分明确,网络部署有防火墙、漏洞扫描等安全设备,并由运维人员定期对相关网络设备、安全设备进行巡检。但是,通过进一步检测发现,系统仍存在一些安全隐患,需要进一步完善和加强。 1 目标 Xxxxxxxxx有限公司信息安全检查工作的主要目标是通过自评估工作,发现本公司电子设备和应用系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2 评估依据、范围和方法 2.1 评估依据 《通信网络安全防护管理办法》(工业和信息化部第 11 号令) 《电信网和互联网安全防护管理指南》 《电信网和互联网安全服务实施要求》 《电信网和互联网安全等级保护实施指南》 《电信网和互联网安全风险评估实施指南》 《电信网和互联网灾难备份及恢复实施指南》 《电信网和互联网物理环境安全等级保护要求》 《电信网和互联网物理环境安全等级保护检测要求》 《电信网和互联网管理安全等级保护要求》 《电信网和互联网管理安全等级保护检测要求》 2.2 评估范围 本次信息安全评估工作重点是重要的信息系统和网络系统等,信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法 采用自评估方法。 3 重要资产识别 对本公司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数 据和业务的服务器进行登 记 汇 总 ,形 成 重要资产清 单 。...
