报告使用说明 1
一、 管理层摘要 2
- 评估范围 2
- 评估方法 4
- 评估发现 5
3.1 本次发现评估分析 5
3.2 本次评估发现一览表 7
二、 具体评估结果 9 - 安全管理总体要求 9
1.1 监管要求 9
1.2 现状说明 13
1.2.1 信息系统安全规划 13
1.2.2 信息安全管理组织架构 14
1.2.3 信息系统安全管理制度 15
1.2.4 信息安全培训 18
1.2.5 信息安全等级保护 18
1.2.6 信息安全事件管理 19
1.2.7 信息安全风险管理 20
1.3 发现与建议 20 - 基础设施与网络设备环境 23
2.1 监管要求 23
2.2 现状说明 26
2.2.1 机房、数据中心安全管理 26
2.2.2 信息化资产安全管理 29
2.2.3 网络安全管理 30
2.2.4 安全配置管理 32
2.2.5 终端管理 34
2.2.6 介质管理 35
2.3 发现与建议 36 - 应用系统与数据安全 37
3.1 监管要求 37
3.2 现状说明 42
3.2.1 信息系统开发安全管理 42
3.2.2 信息系统变更管理 48
3.2.3 信息系统主机安全 52
3.2.4 数据安全管理 54
3.2.5 信息系统逻辑访问安全管理 55
3.2.6 信息系统灾难恢复管理 62
3.2.7 防病毒与恶意代码防范 64
3.2.8 信息发布与敏感信息管理 64
3.3 发现与建议 65 - 信息化工作外包与采购服务 67
4.1 监管要求 67
4.2 现状说明 69
4.2.1 信息系统外包管理 69
4.2.2 外包供应商管理 69
4.2.3 外包商考核评价 71
4.3 发现与建议 71
附件一、访谈人员清单 72
附件二、审阅资料清单 73