信息系统管理评估报告.doc

密 级： 内部 文档编号：2007002-008 项目编号：2007002 XX市地税局信息系统 信息安全管理评估报告 目 录 1 概述 3 2 评估内容与方法 4 2.1 评估范围和内容 4 2.2 评估方法 5 2.3 技术先进性 5 3 评估过程 5 3.1 分析过程 5 3.1.1 文档分析准备 5 3.1.2 文档搜集、接收、鉴别、整理 6 3.1.3 策略文档分析与答疑 6 3.1.4 文档体系的分析 7 3.2 主要参与者 7 3.3 工作持续时间 7 3.4 工作结束准则 8 4 管理弱点评估 8 4.1 物理安全管理 8 4.2 政策和制度 10 4.3 机构与人员 12 4.4 安全风险管理 14 4.5 工程建设与管理 16 4.6 运行与维护管理 18 4.7 业务连续性管理 21 4.8 法律符合性 23 5 管理评估综述 24 5.1 主要问题描述 24 5.2 改进建议 25 概述 根据《XX省人民政府信息化工作办公室关于印发信息安全风险评估试点工作实施方案的通知》文件精神，XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标，通过文档分析、现场访谈、问卷调查、技术评估等方法，对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。 信息系统安全管理评估是对XX市地税局目前已有的信息安全相关策略参照业界成熟安全管理标准和电子政务等级保护管理要求，全面评估物理安全、安全策略和安全制度、安全管理组织和人员安全、安全风险管理、工程建设信息安全管理、系统运行与维护、业务连续性规划GB-T 19715-2005 信息GB-T 19716-2005 信息安全管理实用规则 评估内容与方法 安全管理是由相应组织的各类安全策略来体现的。安全管理策略是指导XX地税局信息系统维护管理工作的基本依据。 安全管理评估是对现有安全策略以及即将使用的安全策略文档进行全面调研，总结并发现安全策略文档的弱点，分别从文档内容、策略文档体系、文档适用范围、文档发布和执行情况、文档格式与控制等几个方面进行评估。 评估范围和内容 本次安全管理体系评估侧重于管理架构的合理和安全策略的完善，评估范围包括以下8个方面： 物理安全 政策和制度 机构和人员 安全风险管理 工程建设与管理 运行维护与管理 业务连续性管理 其他管理要求 安全策略文档的分析对象包括所有正在使用或即将使用的安全策略文档，包括安全方针（纲要）、技术标准（规范）、管理制度、操作流程、用户协议、安全培训资料等涉及安全的策略文档。 评估方法 管理评估分为文档检查和访谈两种方式。安全策略文档的选择原则以全面为主，主要可以分为以下三个方面： 以XX地税局现有的执行的策略为主 内容涉及安全管理 现行和即将发行的所有策略文档 安全策略文档的分析方法是采用收集所有策略文档，并根据相关标准（ISO17799）对现有安全策略文档进行鉴别处理，然后通过访谈的形式确认现有安全策略的完整性和可用性，依据分析标准对安全策略文档进行分析，得到现有安全策略现状和存在的问题。 技术先进性 有专业的评估工具，标准的调查表格 有规范的评估方法和流程 有经验丰富，对安全管理有深入了解的专家队伍对各方面安全管理策略进行分析 有十分深厚的风险评估实施经验，科学的报告编制方法。 评估过程 分析过程 文档分析准备 在开始文档分析之前，需要做出一些相应的准备工作： 通过与地税局的沟通，获得相关策略文档数量的估计； 要求地税局开始搜集相关的策略文档； 根据文档的估计量，确定参加分析的文档数量。 文档搜集、接收、鉴别、整理 本部分工作将描绘整个策略文档的粗略框架。 搜集——地税局将负责策略文档的搜集。搜集的范围包括信息安全管理相关的规定、流程、指南、通知、条例、处理办法等任何正式成文的内容。这些文档可以是已经正式发布的，也可以是正在编制和修改的，包括XX地税局下发的和编写的。 接收——对于收集到的所有策略文档，地税局提交给分析小组。作为资料接收的原始记录，需要对每个接收文档进行登记，并形成文档原始接收记录。 鉴别——负责分析的顾问对于搜集到的每一个策略文档进行快速的浏览，迅速判断该文档的主要内容和文档类型，并决定该文档是否应当进行详细阅读和分析。 整理——对经过鉴别的文档进行编号和整理成策略文档分析清单。通过对所有接收的文档进行整理，会发现有某些方面的文档有缺失，此时可以与地税局进行沟通，提醒并帮助地税局挖掘和搜集其他可能存在的策略文档。 策略文档分析与答疑 负责分析的顾问对策略文档进行泛读，粗略浏览文档的内容和体系结构，把发现的问题记录下来。