1、安全組織不健全:管理及維護人員不足,信息化組織機構不夠完善,安全培訓不足。
2、網絡安全防護設備陳舊短缺:部分網絡安全設備沒有持續的更新授權,無法執行有效的網絡安全技術工作,較大網絡安全風險。
3、網絡安全防護策略尚未統一:發電集團多采用內外網物理隔離的信息安全策略,所屬單位采用邏輯隔離的信息安全策略。
4、安全督查檢查尚未規范:暫未通過有效技術手段定期進行漏洞掃描、滲透測試,漏洞檢查修補工作尚未常態化。
1、提供信息安全咨詢服務:提供信息安全管理體系ISMS建設咨詢,IT服務管理體系ITSM建設咨詢,IT內審咨詢,公司信息化建設提供等級保護建設相關咨詢服務。
2、等級測評服務:以降低測評難度、加快測評速度、提高測評準確性。
3、風險評估服務:依據國家規范進行分析,從技術和管理兩個層面綜合判斷信息系統面臨的風險。
4、安全審計服務:從技術、管理和人員等多個方面,幫助公司加強內部控制,建立合規性機制。
5、運維管理服務:安全運維管理服務包括安全狀態監測、安全配置核查、安全事件分析等安全風險管控。
6、安全培訓服務:各種角色人員長期有效的信息安全培訓。
1、基礎環境保證:確保硬件基礎設備齊全,保證具備良好的硬件基礎環境。
2、網絡核心管理:劃分業務網,根據不同業務劃分不同網絡,保證邏輯或物理隔離。
3、網絡接入管理:按部門劃分網絡,終端必須實名制認證,實現終端的安全接入。
4、臺賬版本管理:實現特定崗位管理并??刺囟I務信息,保證信息錄入、更新的及時性和可追蹤性。
5、應急預案管理:制定網絡工作手冊、應急搶修手冊,定期舉行網絡安全及故障演練。
1、操作系統安全:全力保證操作系統安全及穩定。定期更新操作系統補丁。制定系統管理員制度。
2、應用系統安全:保證應用系統實行版本化管理,制定系統部署標準化模板,嚴格執行兩票制度。
3、數據庫安全:禁止對應用系統數據庫賬號分配管理員權限,禁止暴露在業務訪問網中。
4、臺賬版本管理:必須對應用系統數據、數據庫、其他附件文件實行定期全備份及增量備份,定期驗證備份片的有效性。
5、監控管理:建立系統監控一體化平臺,通過直觀的方式對信息化業務進行全盤監控。
1、建立專業化安全運維團隊,全面做好安全運維監管;
2、實現網絡安全常態化管理,推動全公司網絡安全工作全面提;
3、建立一套全面有效的信息安全防護機制,通過信息安全督察、檢查機制,從管理和技術兩個方面全面提升公司信息安全防護能力;
4、確保信息系統安全穩定運行,確保業務數據安全。