第一篇:2011年信息安全检查情况报告
文山市工商局2011年度
政府信息系统安全检查情况报告
市经商局:
根据文经商函[2011]8号文件的通知要求,我局高度重视,组织有关部门和人员根据文件规定的检查内容认真对照检查,现将检查情况报告如下。
一、信息安全状况
我局在大力推进信息化建设的同时,一直把信息安全工作作为首要工作来抓。软件硬件的购置、系统使用等,凡是不符合信息安全规定的,均不予考虑实施。通过加强组织领导、落实规章制度、加强队伍建设等措施形成了长期有效的运行机制,并取得了一些成效。
二、信息安全主要工作情况
(一)信息安全组织机构落实情况
为了更好地开展好信息安全工作,我局成立了以局长为组长,班子成员为副组长,各股室负责人为成员的信息系统安全领导小组,指定由局办公室具体负责信息系统安全工作的日常事务。
(二)日常信息安全管理
1、人员管理。我局负责信息安全工作的主要工作人员相对稳定,对于新上岗的工作人员,对其进行教育,提高信息安全意识;对于离岗的工作人员,办理相关移交手续,并对其所掌握的帐户密码进行修改或停用;对于普通的工作人员,制定出《文山市工商行政管理局网络管理制度》,并由局监察室督促严格执行。
2、资产管理。我局在《规定》中明确了局办公室是信息系统设备的管理部门,财管室是记帐部门。根据财务规定,属于固产资产的纳入固定资产管理,从申请购买、入库、领用、维修报废等均有记录。为确保系统的安全,信息设备的安装、调试、软件参数设置等统一由局办公室指定的工作人员处理,其他人员不得擅自安装与工作无关的软件。
3、信息技术外包服务安全管理。我局专门指定专职计算机管理人员,负责处理计算机运行中出现的问题。外包服务主要有硬件提供、耗材购置、现场施工等,对外包服务的选择我局遵循“有资质,有诚信,安全可靠适用”的原则。
4、信息安全经费保障。我局的信息产品的购置、运行、维护均纳入部门年度预算,今年上半年我局投资6.08万元新购置计算机10台、激光打印机5台、针式打印机1台,交换机1台,用于更新原使用的老化设备,预计下半年投资5万元用于购置信息安全设备,推动网上政务工作的开展。
(三)信息安全防护管理
1、网络边界防护管理。我局的网络由工商专网、互联网二部分构成,工商专网的建设和维护由州工商局统一实施,与互联网之间实施物理隔离。
2、信息系统安全管理。我局的信息系统主要有行政事业单位资产管理信息系统、DBCS部门预算管理系统、中国共产党基本信息管理系统;使用的信息系统有工商政务业务一体化信息系统、文山市网络办公平台、文山市司法共享平台、党委信息管理系统。运行这些系统的计算机均由专人负责管理和使用,定期进行检查维护,并按照州工商局的规定关闭不必要的应用、服务。
3、门户网站安全管理。我局未单独设立门户网站,对外信息的发布严格审核,主要通过文山市政府信息门户网
站、政府信息公开网站和96128政务信息查询网站进行发布,无涉密信息对外公布。
4、电子邮箱安全管理。我局内部使用的电子邮箱只在工商专网上应用,电子邮箱帐户和密码均由州工商局统一设置和分配。我局规定邮件系统所传输的数据信息不得包含涉密和敏感信息,只作为文件传递交换使用,邮箱软件安装和帐户设置均由局办公室网络管理员完成。
5、终端计算机安全管理。我局接入互联网的终端计算机统一一个出口,实名登记,并加强病毒防御、控制、定期升级。涉密计算机单独使用,不与任何网络连接。连接工商专网的计算机禁止以任何方式接入其他网络。
6、移动存储设备安全管理。我局无大容量的存储介质,对移动存储设备统一登记、配发,主要用于文件的传输。并规定移动存储设备不得存储敏感和涉密信息,在使用时必须确保未被病毒感染,最大限度地保证系统的安全。
(四)信息安全应急管理
我局的信息安全应急管理主要体现在专门配置足够机房所有设备运行2个小时的不间断电源,配合办公楼发电机,在城市断电的情况下,可以正常工作。软件上实现定期的关键数据本机备份、异机备份,在数据遭受破坏的情况下,可进行数据的恢复应用。
(五)信息安全教育培训
我局通过制定信息安全管理相关制度、会议传达、限制互联网用户、严格信息发布审核程序的形式增强干部职工的信息安全意识。
(六)信息安全检查工作情况
工商专网用户登录均设置有用户名和用户口令,其他信息系统的操作均由专人负责管理,实名登记连接互联网的计算机,对外信息的发布严格审批。同时加强对计算机的日常维护工作,定期和不定期升级病毒库,进行木马、病毒查杀。
三、检查发现的主要问题及整改情况
我局通过本次信息安全检查,发现存在的主要问题是使用工商专网的终端计算机操作系统的升级困难,以至于系统漏洞补丁不能得到及时修复,主要原因是我局的专网与互联网物理隔离,客观上给在线升级带来了不便。将及时向州局反馈,解决当前终端计算机操作系统升级的问题。另有部份计算机已老化,按报批程序向上级部门反馈进行更换。
四、对信息安全工作的意见和建议
1、信息安全管理人员持证上岗。我局信息安全管理员资质不明确,不知道如何才能获得信息安全管理相关证书,达到持证上岗。
2、系统定级情况。没有相关部门备案和认证,建议市经商局加强对我局系统定级的指导。
3、本次信息安全检查比较细,也比较具体,我局虽然做了大量的工作,但仍存在不足。建议市经商局在检查我局工作的同时,也加强对我局的业务指导和培训,以便于我局改进工作,使我局的信息安全工作更加规范化,达到一个新的水平。
文山州文山市工商行政管理局
二〇一一年八月八日
第二篇:2011信息安全检查情况报告
局2011年信息安全检查
情况报告
000局信息安全工作严格按照县信息化工作领导小组办公室的有关要求,对涉及到的信息安全方面进行全面自查,与上一相比信息安全工作取得新的进展。近年来我局无信息安全事故发生。
(二)2011年信息安全主要工作情况
1、信息安全组织机构落实情况
为规范信息公开工作,落实好信息安全的相关规定,我局成立了信息安全工作领导小组,落实了管理机构,由办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
2、日常信息安全管理落实情况
根据工作实际,我局信息安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、根据这些实际,我局已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。
(1)落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息安全工作。(2)结合工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,均按照上级部门的要求和规定,严格进行操作管理。
3、安全防范措施落实情况
(1)涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
(2)计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。
(3)网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
(4)安装了针对移动存储设备的专业杀毒软件。
4、应急响应机制建设情况
(1)坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定给予应急技术以最大程度的支持。
(2)严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(3)及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
5、信息技术产品和服务国产化情况
(1)终端计算机的保密系统和防火墙、杀毒软件等,皆 为国产产品。
(2)工资系统、年报系统等皆为市委、市政府统一指定产品系统。
6、安全教育培训情况
对全体计算机使用人员开展了操作培训,并讲解了网络安全的一些知识。
(三)信息安全检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
针对存在的问题:一是要继续加强对干部的安全意识教育,提高做好安全工作的主动性和自觉性;二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识;三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;四是要加大对线路、系统等的及时维护和保养,加大更新力度;五是要提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和保密工作。
(五)对信息安全检查工作的意见和建议
1、加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。
2、加大网络安全设备的投入。
***局
二〇一一年八月八日
第三篇:2011信息安全检查情况报告
2011东疏镇中心卫生院信息安全检查情况报告
一、检查报告名称
2011东疏镇中心卫生院信息系统安全检查情况报告。
二、主要内容
(一)信息安全状况总体评价
东疏镇中心卫生院信息安全工作严格按照有关要求,对涉及到的信息进行安全检查,严格执行信息安全工作相关条例,与上一相比信息安全工作取得新的进展。近年来我院无信息安全事故发生。
(二)2011年信息安全主要工作情况
1、信息安全组织机构落实情况
为规范信息公开工作,落实好信息安全的相关规定,我院成立了信息安全工作领导小组,落实了管理机构,由办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
2、日常信息安全管理落实情况
根据工作实际,我院信息安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、根据这些实际,我院已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对 1
信息安全的人员、资产、运行和维护管理进行了落实。
(1)落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息安全工作。
(2)结合工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,均按照上级部门的要求和规定,严格进行操作管理。
3、安全防范措施落实情况
(1)涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
(2)计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。
(3)网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
(4)安装了针对移动存储设备的专业杀毒软件。
4、应急响应机制建设情况
(1)坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定给予应急技术以最大程度的支持。
(2)严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(3)及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
5、信息技术产品和服务国产化情况
(1)终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
(2)工资系统、年报系统等皆为市委、市政府统一指定产品系统。
6、安全教育培训情况
对全体计算机使用人员开展了操作培训,并讲解了网络安全的一些知识。
(三)信息安全检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
针对存在的问题:一是要继续加强对干部的安全意识教育,提高做好安全工作的主动性和自觉性;二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识;三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;四是要加大对线路、系统等的及时维护和保养,加大更新力度;五是要提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和保密工作。
(五)对信息安全检查工作的意见和建议
1、加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。
2、加大网络安全设备的投入。
宁阳县东疏镇中心卫生院
2011年9月25日
第四篇:信息安全检查报告 - 改
信息安全检查报告
一、信息安全制度
正在完善艺交所现有的信息安全制度及电子设备使用规章制度,以保证网络信息传递的安全、可靠
二、数据安全
1、存储数据。所有存储设备、服务器均安放在专属机房(或机柜),确保数据及设备物理安全,并对访问进行权限控制。
2、数据传输。所有设备均设置安全访问口令,并尽量采取强口令方式,确保设备访问安全。电子邮件目前为外包,通过外包服务提供的过滤功能进行防护。
3、数据使用。涉密文件严格管理,签订保密协议或条款,并针对文件进行授权访问的机制。并采取专人管理的办法。
三、物理安全
1、目前租赁使用的IDC机房条件达到四星级标准,满足防水、防火、防雷击、防破坏,专人24小时值守,双电路供应保护。
2、在建的自有机房严格按照《电子信息系统机房设计规范》(GB50174-2008)及等保标准进行设计、施工。符合防水、防火、防雷击、防破坏及电路供应防护的要求。
四、网络安全
1、在自有数据中心设计规划中以在不同的子区域边界部署防火墙或安全网关,例如在边界网部署安全网关,核心数据库边界部署核心防火墙,并启用访问控制,对网络进行保护。
2、在网络中部署审计系统及运维管理系统,对网络设备、服务器、数据库等进行审计;部署上网行为管理系统,对网络访问进行审计及控制 ;部署流控及链路负载均衡设备,对网络流量进行控制。
五、服务器与应用安全
1、操作系统、数据库、应用系统层面的用户登陆均实行身份识别和鉴定。
2、严格实行账号管理制度,定期检查账号数据库情况,根据账户管理规定的情况禁用或删除账户信息。
3、对于操作系统、数据库及应用程序的重要补丁及时安装,减少各层面存在的漏洞。
4、针对恶意代码部署相关的防护系统,并及时更新系统版本和代码库。
5、制定备份策略,定期备份服务器及应用系统,避免因服务器宕机,网络攻击等造成的数据损失。
6、制定应急恢复预案,针对服务器、数据库、应用系统等层面进行预案部署,减少系统中断风险。
7、安装部署正版系统、软件,避免盗版软件带来的风险。
8、对于敏感信息及信息通道进行加密处理。
六、终端安全
1、涉及商业秘密的终端通过口令认证,部分应用如银行业务采用CA证书等进行控制,规划中对此类终端采用网卡MAC地址绑定等相关措施
2、所有终端安装杀毒软件(现有终端使用免费杀毒软件,正式运行环境中部署企业版杀毒软件进行防护),实时在线并更新病毒库。
3、管理制度中明确规定不允许私自安装公司制度规定禁止的应用软件及程序,特殊需求需经过审批。
七、移动存储介质安全
1、规定移动存储介质的使用规范,使用前进行病毒查杀,并严格保管介质。
2、暂无涉及商业秘密的移动存储介质。
第五篇:××单位信息安全检查报告
××单位 信息安全检查报告
(管理信息系统)
××单位 二零一一年九月 概述
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求,进行××单位的信息安全检查工作。目标
通过进行本局信息安全大检查,及时发现和查找基础网络和重要信息系统存在的安全隐患,边检查边整改,确保基础网络和重要信息系统安全、可靠运行,掌握当前信息系统面临的主要安全问题,并在对检查结果进行分析判断的基础上提出整改措施。检查内容
3.1 重要资产识别检查
本局资产的统计资产清单(见附表1),通过对重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行汇总,构成重要资产清单(见附表2)。
3.2 安全事件检查
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录安全事件清单列表(见附表3)。
3.3 安全缺陷检查
根据下发的安全缺陷检查列表进行安全检查,检查结果见附表4。综合分析
根据对重要资产、安全事件、安全缺陷检查情况,对信息安全状况进行统计分析和判断,明确各种安全事件产生的原因,提出针对性的整改措施。
4.1 重要资产识别分析
根据重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,构成重要资产有:二台城域网核心交换机(华为S8512交换机),二台局域网核心交换机(Cisco 6505交换机),Cisco 2600路由器,Cisco PIX525防火墙,八台数据库服务器(OA系统2台、营销系统2台、大客户系统2台、客户服务系统1台、财务系统1台)。
4.2 安全事件分析
2006年近半年没有大的信息安全事件发生,主要是感染病毒,使个人电脑运行速度变慢,影响客户端正常使用。
从检查情况来看,计算机病毒是本局目前信息网络安全面临的首要威胁。应着重加强以下几方面工作:
1、加强信息网络安全教育和培训,增强用户安全防范意识。组织信息安全管理员不同层次的安全培训,开展广泛的、经常性的信息网络安全知识和相关法律法规知识的宣传教育。
2、开展面信息安全预警通报工作。建立信息网络安全预警和通报平台,及时向用户信息安全预警信息。
3、加快推进信息安全等级保护工作,建立健全信息安全防范体系。
4.3 安全缺陷检查分析
4.3.1 规章制度与组织管理分析
规章制度与组织管理总分100分,自评分为34分,得分率34%。得分主要是组织机构、岗位职责、病毒管理,账号与口令管理等方面,但都还需完善;运行管理方面没有制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度、没有实行工作票制度,共分50分,检查得分4分,只占8%。
需要整改有如下几方面:
1、完善信息安全组织机构,成立信息安全工作机构。
2、明确专兼职管理人员配置,根据实际情况制定专责的工作职责与工作范围,岗位设置主、副岗备用制度。
3、完善病毒预警和报告机制,制定计算机病毒防治管理制度。
4、制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、运行值班制度,实行工作票制度,记录机房进出情况。
5、制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
4.3.2 关键设备和服务采购情况分析
4.3.3 网络与系统安全分析
网络与系统安全总分100分,自评分为73分,得分率73%。网络架构、网络设备、IP管理、主机备份得分较高;网络分区、补丁管理、系统安全配置得分低。需要整改有如下几方面:
1、生产控制系统和管理信息系统之间进行分区。
2、建立IP地址管理系统,加快进行对IP地址的规划和分配。
3、完善补丁管理手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
4、对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
4.3.4 网络服务与应用系统分析
网络服务与应用系统总分100分,自评分为20分,得分率20%。没有WWW服务,远程拨号访问没有相应管理措施,OA系统邮件数据进行一星期备份,邮件系统的维护、检查没有审计记录;营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。需要整改有如下几方面:
1、按标准建设WWW服务。
2、解决OA系统趋势防病毒软件系统问题,对邮件系统的维护、检查审计进行记录。
3、远程拨号访问设置按上述标准执行。
4、记录完善系统的角色、权限分配并记录;记录半年内用户账户的变更、修改、注销;关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
4.3.5 安全技术管理与设备运行状况分析
安全技术管理与设备运行状况总分90分,自评分为26分,得分率29%。网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,没有对防火墙日志没有进行存储、备份。防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有;有兼责人员负责维护防病毒系统,但基本没有发布病毒通告。没有部署身份认证系统、安全管理平台,没有漏洞扫描系统。
需要整改有如下几方面:
1、防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
2、实施服务器端防病毒系统,配置专责人员负责维护防病毒系统并及时发布病毒通告。
3、按标准部署、配置入侵检测系统。
4、按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统将一年进行一次信息安全风险评估。
4.3.6 存储备份系统分析
存储备份系统总分50分,自评分为16分,得分率32%。有备份策略并严格按照备份策略对系统数据进行备份,没有建立明确的恢复预案,也没有定期进行恢复演练,没有建立介质的管理制度和废弃介质的处理制度,储存介质存放在安全环境,没有严格的介质存取控制,没有对存储介质进行定期检查。
需要整改有如下几方面:
1、完善备份策略,严格按照备份策略对系统数据进行备份。
2、建立介质管理制度和废弃介质处理制度,专人对存储介质进行定期检查。
4.3.7 介质及物理环境安全分析
介质及物理环境安全总分70分,自评分为37分,得分率53%。主机房没有安装门禁、监控系统,有消防报警系统。没有机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进行检测但没有检测记录,有手提干粉灭火器,没有采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下,有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用没有明确的管理制度。
需要整改有如下几方面:
1、主机房安装门禁、监控与报警系统。
2、补全机房配线图,定期对UPS的运行状况进行检测和记录。
3、采用气体防火措施。
4、制订笔记本使用管理制度。
4.3.8 应急处置分析
应急处置分30分,自评分为5分,得分率17%。重要系统没有完善的、可操作的应急预案,按照集团公司的要求建立及时的信息安全信息通报机制,没有建立故障通讯联动机制,没有建立信息网故障抢修机制。
需要整改有如下几方面:
1、制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。
2、按照集团公司的要求建立及时的信息安全信息通报机制。
3、建立良好的故障通讯联动机制,进行联合防护。检查结论
根据检查结果来看,安全缺陷检查列表检查总分540分,自评分为221分,得分率39%。安全管理方面基础低,需要加强各种信息制度建立,安全组织结构和责任分工要进一步明确,安全策略进一步细化。在安全技术方面来看,加强必要的安全技术建设如补丁管理、入侵检测等的实施,在安全体系建设过程中,需要综合考虑安全要素,既要建立起指导安全工作的安全管理模型,又要建立起完善的技术体系架构,同时为了确保安全运营,还需要建立起信息安全运行维护体系。
点击咨询 