第一篇:關鍵信息基礎設施安全保護條例
關鍵信息基礎設施安全保護條例
(征求意見稿)
第一章 總則
第一條 為了保障關鍵信息基礎設施安全,根據《中華人民共和國網絡安全法》,制定本條例。
第二條 在中華人民共和國境內規劃、建設、運營、維護、使用關鍵信息基礎設施,以及開展關鍵信息基礎設施的安全保護,適用本條例。
第三條 關鍵信息基礎設施安全保護堅持頂層設計、整體防護,統籌協調、分工負責的原則,充分發揮運營主體作用,社會各方積極參與,共同保護關鍵信息基礎設施安全。
第四條 國家行業主管或監管部門按照國務院規定的職責分工,負責指導和監督本行業、本領域的關鍵信息基礎設施安全保護工作。
國家網信部門負責統籌協調關鍵信息基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責范圍內負責相關網絡安全保護和監督管理工作。
縣級以上地方人民政府有關部門按照國家有關規定開展關鍵信息基礎設施安全保護工作。
第五條 關鍵信息基礎設施的運營者(以下稱運營者)對本單位關鍵信息基礎設施安全負主體責任,履行網絡安全保護義務,接受政府和社會監督,承擔社會責任。
國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。
第六條 關鍵信息基礎設施在網絡安全等級保護制度基礎上,實行重點保護。
第七條 任何個人和組織發現危害關鍵信息基礎設施安全的行為,有權向網信、電信、公安等部門以及行業主管或監管部門舉報。
收到舉報的部門應當及時依法作出處理;不屬于本部門職責的,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。
第二章 支持與保障
第八條 國家采取措施,監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網絡違法犯罪活動。
第九條 國家制定產業、財稅、金融、人才等政策,支持關鍵信息基礎設施安全相關的技術、產品、服務創新,推廣安全可信的網絡產品和服務,培養和選拔網絡安全人才,提高關鍵信息基礎設施的安全水平。
第十條 國家建立和完善網絡安全標準體系,利用標準指導、規范關鍵信息基礎設施安全保護工作。
第十一條 地市級以上人民政府應當將關鍵信息基礎設施安全保護工作納入地區經濟社會發展總體規劃,加大投入,開展工作績效考核評價。
第十二條 國家鼓勵政府部門、運營者、科研機構、網絡安全服務機構、行業組織、網絡產品和服務提供者開展關鍵信息基礎設施安全合作。
第十三條 國家行業主管或監管部門應當設立或明確專門負責本行業、本領域關鍵信息基礎設施安全保護工作的機構和人員,編制并組織實施本行業、本領域的網絡安全規劃,建立健全工作經費保障機制并督促落實。
第十四條 能源、電信、交通等行業應當為關鍵信息基礎設施網絡安全事件應急處置與網絡功能恢復提供電力供應、網絡通信、交通運輸等方面的重點保障和支持。
第十五條 公安機關等部門依法偵查打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。
第十六條 任何個人和組織不得從事下列危害關鍵信息基礎設施的活動和行為:
(一)攻擊、侵入、干擾、破壞關鍵信息基礎設施;
(二)非法獲取、出售或者未經授權向他人提供可能被專門用于危害關鍵信息基礎設施安全的技術資料等信息;
(三)未經授權對關鍵信息基礎設施開展滲透性、攻擊性掃描探測;
(四)明知他人從事危害關鍵信息基礎設施安全的活動,仍然為其提供互聯網接入、服務器托管、網絡存儲、通訊傳輸、廣告推廣、支付結算等幫助;
(五)其他危害關鍵信息基礎設施的活動和行為。
第十七條 國家立足開放環境維護網絡安全,積極開展關鍵信息基礎設施安全領域的國際交流與合作。
第三章 關鍵信息基礎設施范圍
第十八條 下列單位運行、管理的網絡設施和信息系統,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的,應當納入關鍵信息基礎設施保護范圍:
(一)政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;
(二)電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務的單位;
(三)國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;
(四)廣播電臺、電視臺、通訊社等新聞單位;
(五)其他重點單位。
第十九條 國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵信息基礎設施識別指南。
國家行業主管或監管部門按照關鍵信息基礎設施識別指南,組織識別本行業、本領域的關鍵信息基礎設施,并按程序報送識別結果。
關鍵信息基礎設施識別認定過程中,應當充分發揮有關專家作用,提高關鍵信息基礎設施識別認定的準確性、合理性和科學性。
第二十條 新建、停運關鍵信息基礎設施,或關鍵信息基礎設施發生重大變化的,運營者應當及時將相關情況報告國家行業主管或監管部門。
國家行業主管或監管部門應當根據運營者報告的情況及時進行識別調整,并按程序報送調整情況。
第四章 運營者安全保護
第二十一條 建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。
第二十二條 運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人,負責建立健全網絡安全責任制并組織落實,對本單位關鍵信息基礎設施安全保護工作全面負責。
第二十三條 運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障關鍵信息基礎設施免受干擾、破壞或者未經授權的訪問,防止網絡數據泄漏或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,嚴格身份認證和權限管理;
(二)采取技術措施,防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為;
(三)采取技術措施,監測、記錄網絡運行狀態、網絡安全事件,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密認證等措施。
第二十四條 除本條例第二十三條外,運營者還應當按照國家法律法規的規定和相關國家標準的強制性要求,履行下列安全保護義務:
(一)設置專門網絡安全管理機構和網絡安全管理負責人,并對該負責人和關鍵崗位人員進行安全背景審查;
(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;
(三)對重要系統和數據庫進行容災備份,及時對系統漏洞等安全風險采取補救措施;
(四)制定網絡安全事件應急預案并定期進行演練;
(五)法律、行政法規規定的其他義務。
第二十五條 運營者網絡安全管理負責人履行下列職責:
(一)組織制定網絡安全規章制度、操作規程并監督執行;
(二)組織對關鍵崗位人員的技能考核;
(三)組織制定并實施本單位網絡安全教育和培訓計劃;
(四)組織開展網絡安全檢查和應急演練,應對處置網絡安全事件;
(五)按規定向國家有關部門報告網絡安全重要事項、事件。
第二十六條 運營者網絡安全關鍵崗位專業技術人員實行執證上崗制度。
執證上崗具體規定由國務院人力資源社會保障部門會同國家網信部門等部門制定。
第二十七條 運營者應當組織從業人員網絡安全教育培訓,每人每年教育培訓時長不得少于1個工作日,關鍵崗位專業技術人員每人每年教育培訓時長不得少于3個工作日。
第二十八條 運營者應當建立健全關鍵信息基礎設施安全檢測評估制度,關鍵信息基礎設施上線運行前或者發生重大變化時應當進行安全檢測評估。
運營者應當自行或委托網絡安全服務機構對關鍵信息基礎設施的安全性和可能存在的風險隱患每年至少進行一次檢測評估,對發現的問題及時進行整改,并將有關情況報國家行業主管或監管部門。
第二十九條 運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照個人信息和重要數據出境安全評估辦法進行評估;法律、行政法規另有規定的,依照其規定。
第五章 產品和服務安全
第三十條 運營者采購、使用的網絡關鍵設備、網絡安全專用產品,應當符合法律、行政法規的規定和相關國家標準的強制性要求。
第三十一條 運營者采購網絡產品和服務,可能影響國家安全的,應當按照網絡產品和服務安全審查辦法的要求,通過網絡安全審查,并與提供者簽訂安全保密協議。
第三十二條 運營者應當對外包開發的系統、軟件,接受捐贈的網絡產品,在其上線應用前進行安全檢測。
第三十三條 運營者發現使用的網絡產品、服務存在安全缺陷、漏洞等風險的,應當及時采取措施消除風險隱患,涉及重大風險的應當按規定向有關部門報告。
第三十四條 關鍵信息基礎設施的運行維護應當在境內實施。因業務需要,確需進行境外遠程維護的,應事先報國家行業主管或監管部門和國務院公安部門。
第三十五條 面向關鍵信息基礎設施開展安全檢測評估,發布系統漏洞、計算機病毒、網絡攻擊等安全威脅信息,提供云計算、信息技術外包等服務的機構,應當符合有關要求。
具體要求由國家網信部門會同國務院有關部門制定。
第六章 監測預警、應急處置和檢測評估
第三十六條 國家網信部門統籌建立關鍵信息基礎設施網絡安全監測預警體系和信息通報制度,組織指導有關機構開展網絡安全信息匯總、分析研判和通報工作,按照規定統一發布網絡安全監測預警信息。
第三十七條 國家行業主管或監管部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警和信息通報制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況和安全風險,向有關運營者通報安全風險和相關工作信息。
國家行業主管或監管部門應當組織對安全監測信息進行研判,認為需要立即采取防范應對措施的,應當及時向有關運營者發布預警信息和應急防范措施建議,并按照國家網絡安全事件應急預案的要求向有關部門報告。
第三十八條 國家網信部門統籌協調有關部門、運營者以及有關研究機構、網絡安全服務機構建立關鍵信息基礎設施網絡安全信息共享機制,促進網絡安全信息共享。
第三十九條 國家網信部門按照國家網絡安全事件應急預案的要求,統籌有關部門建立健全關鍵信息基礎設施網絡安全應急協作機制,加強網絡安全應急力量建設,指導協調有關部門組織跨行業、跨地域網絡安全應急演練。
國家行業主管或監管部門應當組織制定本行業、本領域的網絡安全事件應急預案,并定期組織演練,提升網絡安全事件應對和災難恢復能力。發生重大網絡安全事件或接到網信部門的預警信息后,應立即啟動應急預案組織應對,并及時報告有關情況。
第四十條 國家行業主管或監管部門應當定期組織對本行業、本領域關鍵信息基礎設施的安全風險以及運營者履行安全保護義務的情況進行抽查檢測,提出改進措施,指導、督促運營者及時整改檢測評估中發現的問題。
國家網信部門統籌協調有關部門開展的抽查檢測工作,避免交叉重復檢測評估。
第四十一條 有關部門組織開展關鍵信息基礎設施安全檢測評估,應堅持客觀公正、高效透明的原則,采取科學的檢測評估方法,規范檢測評估流程,控制檢測評估風險。
運營者應當對有關部門依法實施的檢測評估予以配合,對檢測評估發現的問題及時進行整改。
第四十二條 有關部門組織開展關鍵信息基礎設施安全檢測評估,可采取下列措施:
(一)要求運營者相關人員就檢測評估事項作出說明;
(二)查閱、調取、復制與安全保護有關的文檔、記錄;
(三)查看網絡安全管理制度制訂、落實情況以及網絡安全技術措施規劃、建設、運行情況;
(四)利用檢測工具或委托網絡安全服務機構進行技術檢測;
(五)經運營者同意的其他必要方式。
第四十三條 有關部門以及網絡安全服務機構在關鍵信息基礎設施安全檢測評估中獲取的信息,只能用于維護網絡安全的需要,不得用于其他用途。
第四十四條 有關部門組織開展關鍵信息基礎設施安全檢測評估,不得向被檢測評估單位收取費用,不得要求被檢測評估單位購買指定品牌或者指定生產、銷售單位的產品和服務。
第七章 法律責任
第四十五條 運營者不履行本條例第二十條第一款、第二十一條、第二十三條、第二十四條、第二十六條、第二十七條、第二十八條、第三十條、第三十二條、第三十三條、第三十四條規定的網絡安全保護義務的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
第四十六條 運營者違反本條例第二十九條規定,在境外存儲網絡數據,或者向境外提供網絡數據的,由國家有關主管部門依據職責責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十七條 運營者違反本條例第三十一條規定,使用未經安全審查或安全審查未通過的網絡產品或者服務的,由國家有關主管部門依據職責責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十八條 個人違反本條例第十六條規定,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以并處十萬元以上一百萬元以下罰款;構成犯罪的,依法追究刑事責任。
單位有前款行為的,由公安機關沒收違法所得,處十萬元以上一百萬元以下罰款,并對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
違反本條例第十六條規定,受到刑事處罰的人員,終身不得從事關鍵信息基礎設施安全管理和網絡運營關鍵崗位的工作。
第四十九條 國家機關關鍵信息基礎設施的運營者不履行本條例規定的網絡安全保護義務的,由其上級機關或者有關機關責令改正;對直接負責的主管人員和其他直接負責人員依法給予處分。
第五十條 有關部門及其工作人員有下列行為之一的,對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任:
(一)在工作中利用職權索取、收受賄賂;
(二)玩忽職守、濫用職權;
(三)擅自泄露關鍵信息基礎設施有關信息、資料及數據文件;
(四)其他違反法定職責的行為。
第五十一條 關鍵信息基礎設施發生重大網絡安全事件,經調查確定為責任事故的,除應當查明運營單位責任并依法予以追究外,還應查明相關網絡安全服務機構及有關部門的責任,對有失職、瀆職及其他違法行為的,依法追究責任。
第五十二條 境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動,造成嚴重后果的,依法追究法律責任;國務院公安部門、國家安全機關和有關部門并可以決定對該機構、組織、個人采取凍結財產或者其他必要的制裁措施。
第八章 附則
第五十三條 存儲、處理涉及國家秘密信息的關鍵信息基礎設施的安全保護,還應當遵守保密法律、行政法規的規定。
關鍵信息基礎設施中的密碼使用和管理,還應當遵守密碼法律、行政法規的規定。
第五十四條 軍事關鍵信息基礎設施的安全保護,由中央軍事委員會另行規定。
第五十五條 本條例自****年**月**日起施行。
第二篇:信息安全技術關鍵信息基礎設施安全保障指標體系-全國信息安全
國家標準《信息安全技術 關鍵信息基礎設施安全保障評價指標體系》
編制說明
1.工作簡況 1.1.任務來源
根據國家標準化管理委員會2017年下達的國家標準制修訂計劃,國家標準《信息安全技術 關鍵信息基礎設施安全保障評價指標體系》由大唐電信科技產業集團(電信科學技術研究院)主辦。
關鍵信息基礎設正常運轉,關系國家安全、經濟發展、社會穩定,隨著關鍵信息基礎設施逐漸向網絡化、泛在化、智能化發展,網絡安全成為關鍵信息基礎設施的重要目標。世界主要國家和地區高度重視,陸續出臺了相關戰略、規劃、立法以及實施方案等,加大對關鍵信息基礎設施的保護力度。近年來,隨著我國網絡強國戰略的深化和實施,國家關鍵信息基礎設施在國民經濟和社會發展中的基礎性、重要性、保障性、戰略性地位日益突出,構建國家關鍵信息基礎設施安全保障體系已迫在眉睫,是當前一項全局性、戰略性任務。
2016年4月19日,總書記在網絡安全和信息化工作座談會上指出,“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標。我們必須深入研究,采取有效措施,切實做好國家關鍵信息基礎設施安全防護。” 2016年8月12日,中央網絡安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總局、國家標準化管理委員會聯合印發《關于加強國家網絡安全標準化工作的若干意見》(中網辦發文〔2016〕5號),要求“按照深化標準化工作改革方案要求,整合精簡強制性標準,在國家關鍵信息基礎設施保護、涉密網絡等領域制定強制性國家標準。”2016年11月7日,全國人民代表大會常務委員會發布《中華人民共和國網絡安全法》,明確指出“保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網絡違法犯罪活動,維護網絡空間安全和秩序”。2016年12月15日,國務院印發《“十三五”國家信息化規劃》(國發〔2016〕73號),明確提出要構建關鍵信息基礎設施安全保障體系。2016年12月27日,國家互聯網信息辦公室發布《國家網絡空間安全戰略》,要求“建立實施關鍵信息基礎設施保護制度,從管理、技術、人才、資金等方面加大投入,依法綜合施策,切實加強關鍵信息基礎設施安全防護。”2017年7月10日,國家互聯網信息辦公室就《關鍵信息基礎設施安全保護條例(征求意見稿)》公開征集意見。
目前國外主要國家對關鍵信息基礎設施的保護起步較早,已出臺關鍵信息基礎設施的相關戰略、規劃、法律、標準、技術、監管等等一系列舉措,大力加強關鍵信息基礎設施安全建設,不斷提升網絡安全保障能力。對于我國而言,一方面,我國在引進外國先進技術、加快產業更新換代的同時,部分關鍵核心技術和設備受制于他國,存在系統受控、信息泄露發 1
現滯后等隱患,也給關鍵信息基礎設施各領域帶來許多安全隱患問題。另一方面,我國關鍵信息基礎設施保護工作起步較晚、發展較慢,缺乏針對性、指導性的標準體系,無法適應新形勢下的國際網絡安全環境。本標準的制定主要為關鍵信息基礎設施的政府管理部門提供態勢判斷和決策支持,為關鍵信息基礎設施的管理部門及運營單位的信息安全管理工作提供支持和方法參考。1.2.編制目的
本標準主要解決關鍵信息基礎設施網絡安全的評價問題。本標準主要用于:評價我國關鍵信息基礎設施安全保障的現狀,包括建設情況、運行情況以及所面臨的威脅等;為政府管理層的關鍵信息基礎設施態勢判斷和宏觀決策提供支持;為各關鍵信息基礎設施運營單位及管理部門的信息安全保障工作提供參考。1.3.主要工作過程 1、2014年,項目組完成網絡安全保障評價指標體系階段性研究報告。主要針對以下三個問題進行了深入研究:研究國外特別是美國、歐盟、聯合國等國家、地區和國際組織在網絡安全保障評價指標研究方面的資料,總結網絡安全保障評價的相關方法、指標、規定和標準;研究新形勢、新技術條件下我國網絡安全保障工作面臨的挑戰,分析我國網絡安全保障工作的新需求,對我國與網絡安全保障評價有關的法規、制度、標準進行梳理和總結;在理論研究和實踐調研的基礎上,研究提出我國網絡安全保障評價指標體系和評價方法。2、2014年12月-2015年6月,項目組趕赴電力、民航、電信、中國銀行等相關行業(企業)進行調研。3、2015年1月-2015年7月,項目組根據項目要求開展了研討會,針對調研結果中各行業在網絡安全評價中的成功經驗和出現的問題進行總結。4、2015年1月-2015年9月,項目組與關鍵信息設施保護等進行工作對接。5、2015年1月-2015年7月,項目組進行了廣泛研討,并咨詢了專家意見:2015年1月,對研究提出的網絡安全保障評價指標體系的初步框架,召開專家咨詢會,聽取了崔書昆、李守鵬等專家的意見;2015年6月,召開專家會,聽取了中國電信基于大數據的網絡安全態勢評價工作的介紹;2015年7月,召開專家會聽取了關于民航、電信、互聯網領域安全指標體系的研究現狀,與會專家對網絡安全保障評價指標體系課題提出意見建議。6、2015年8月-2015年9月,與2015年網絡安全檢查工作、關鍵信息基礎保護工作進行對接。7、2016年1月-2016年2月,與網絡安全檢查工作進行對接,采用指標體系對相關檢查結果進行了統計測算,并撰寫評價報告。8、2016年4月-2016年8月,針對指標體系在網絡安全檢查工作中的成功經驗和出現的問題進行總結,進一步更新了指標體系。9、2016年9月-2017年2月,與關鍵信息設施檢查辦進行對接,對指標體系的實際應
用進行了深入討論。10、2017年3月,項目組在草案初稿的基礎上,召開行業專家會,形成草案修正稿。11、2017年4月,在全國信息安全標準化技術委員會2017年第一次工作組會議周上,項目組申請國家標準制定項目立項。12、2017年6月,“信息安全技術 關鍵信息基礎設施安全保障指標體系”標準制定項目正式立項。13、2017年7月,項目組召開專家咨詢會,聽取了李守鵬、魏軍、閔京華、韓正平、張立武等專家的意見。14、2017年7月,在全國信息安全標準化技術委員會WG7第二次全體會議上,項目組廣泛聽取專家意見,形成征求意見稿。1.4.承擔單位
起草單位:大唐電信科技產業集團(電信科學技術研究院)
協作單位:國家信息中心、北京奇安信科技有限公司、北京國舜科技股份有限公司、北京匡恩網絡科技有限責任公司、北京天融信科技有限公司等。
本部分主要起草人:韓曉露 呂欣 李陽 畢鈺 郭曉蕭等。2.編制原則和主要內容 2.1.編制原則
為保證所建立的“關鍵信息基礎設施安全保障評價指標體系”有一個客觀、統一的基礎,在評價指標體系的設計及指標的選取過程中,主要遵循以下原則:
1、綜合性原則
關鍵信息基礎設施安全保障評價指標體系建設是通過從整體和全局上把握我國關鍵信息基礎設施安全保障體系的建設效果、運行狀況和整體態勢,形成多維的、動態的、綜合的關鍵信息基礎設施安全保障評價指標體系。因此,標準設計的首要原則是綜合性。
2、科學適用性原則
關鍵信息基礎設施安全保障評價指標體系必須是在符合我國國情、充分認識關鍵信息基礎設施安全保障評價指標體系的科學基礎之上建立的。按照國家信息安全保障體系總目標的設計原則,把關鍵信息基礎實施安全各構成要素作為一個有機整體來考慮。指標體系必須符合理論上的完備性、科學性和正確性,即指標概念必須具有明確完整的科學內涵。
適用性原則,就是指標體系應該能夠在時空上覆蓋我國關鍵信息基礎設施安全保障評價的各個層面,滿足系統在完整性和全面性方面的客觀要求。尤其是必須考慮由于經濟、地區等原因造成的各機構間發展狀況的差異,盡量做到不對基礎數據的收集工作造成困擾。這一原則的關鍵在于,最精簡的指標體系全面反映關鍵信息基礎設施安全保障的整體水平。
3、導向性原則
評價的目的不是單純評出名次及優劣的程度,更重要的是引導和鼓勵被評價對象向正確 的方向和目標發展,要引導我國關鍵信息基礎設施安全的健康發展。
4、可操作性強原則
可操作性強直接關系到指標體系的落實與實施,包括數據的易獲取性(具有一定的現實統計基礎,所選的指標變量必須在現實生活中是可以測量得到的或可通過科學方法聚合生成的)、可靠性(通過規范數據的來源、標準等保證數據的可靠與可信)、易處理性(數據便于統計分析處理)以及結果的可用性(便于實際操作,能夠服務于我國涉密信息系統安全評價的)等方面。
5、定性定量結合原則
在眾多指標中,有些因素是反映最終效果的定性指標,有些是能夠通過項目運行過程得到實際數據的定量指標。對于評價最終效果而言,指標體系中這兩方面的因素都不可或缺。但為了使指標體系具有高度的操作性,必須在選取定性指標時,舍棄部分與實施效果關系不大的非關鍵因素,并且盡量將關鍵的定性指標融合到對權重分配的影響中去。該指標設計的定性定量結合原則就是將定性分析反映在權重上,定量分析反映在指標數據上。
6、可比性原則
可比性是衡量關鍵信息基礎設施安全保障評價指標體系的實際效果的客觀標準,是方案權威性的重要標志。關鍵信息基礎設施安全保障評價指標應該既可以橫向對比不同機構信息安全保障水平的差異、又能夠縱向反映國家及各地區關鍵信息基礎設施安全保障的歷史進程和發展趨勢。這一原則主要體現在對各級指標的定義、量化和加權等方面。2.2.主要內容
本標準概述了本標準各部分通用的基礎性概念,給出了關鍵信息基礎設施安全保障指標體系設計的指標框架和評價方法。本標準主要用于:評價我國關鍵信息基礎設施安全保障的現狀,包括建設情況、運行情況以及所面臨的威脅等;為政府管理層的關鍵信息基礎設施態勢判斷和宏觀決策提供支持;為各關鍵信息基礎設施運營單位及管理部門的信息安全保障工作提供參考。本標準主要框架如下:
前言 引言 1 范圍 規范性引用文件 3 術語和定義 4 指標體系 5 指標釋義
附錄A(規范性附錄)指標測量過程 參考文獻
本標準主要貢獻如下:
1、明確了標準的目標讀者及其可能感興趣的內容
指出標準主要由三個相互關聯的部分組成:第1部分包括1-3節,描述了本標準的范圍和所使用的術語與定義,對關鍵信息基礎設施、關鍵信息基礎設施安全保障、關鍵信息基礎設施安全保障評價等概念進行了闡釋;第2部分為第4節,詳細描述了關鍵信息基礎設施安全保障指標體系的體系框架和指標;第3部分包括第5節和附錄A,給出了關鍵信息基礎設施安全保障指標體系各具體指標的衡量標準和量化方法,為體系的可操作性提供了保證。
2、給出了關鍵信息基礎設施的概念
關鍵信息基礎設施是指關系國家安全、國計民生,一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施。
《中華人民共和國網絡安全法》規定:國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
《國家網絡空間安全戰略》規定:國家關鍵信息基礎設施是指關系國家安全、國計民生,一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施,包括但不限于提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統,重要互聯網應用系統等。
3、指出關鍵信息基礎設施安全保障評價圍繞三個維度進行
關鍵信息基礎設施安全保障評價圍繞三個維度進行,即建設情況、運行能力和安全態勢,并依據關鍵信息基礎設施安全保障對象和內容進行分析和分解,一級指標包括戰略保障指標、管理保障指標、安全防護指標、安全監測指標、應急處置指標、信息對抗指標、威脅指標、隱患指標、事件指標。
4、給出了指標測量的一般過程
關鍵信息基礎設施安全保障指標測量的一般過程描述了指標如何依據測量對象的相關屬性設立基本測度,應用相應的測量方法得出測量值,并通過分析模型將測量值折算成指標值,最終應用于保障指標體系。關鍵信息基礎設施安全保障指標評價測量過程通過定性或定量的方式將測量對象進行量化以實現評價測量對象的目的。3.其他事項說明
a.在關鍵信息基礎設施安全保障指標指標的體系建設和測量過程方面,試圖使所提出的指標體系與測量過程具有一定的通用性,以便于指標體系的推廣和擴展;
b.考慮到指標設計方面應用的可擴展性,在體系建設和測量過程之中,指標體系可以根據實際評價對象的特性做出相應的指標調整,以完善指標體系并得出合理公正的評價。
《信息安全技術 關鍵信息基礎設施安全保障指標體系》標準編寫組
2017年8月
第三篇:關鍵信息基礎設施網絡安全檢查自查報告
關鍵信息基礎設施網絡安全檢查自查報告(精選3篇)
時間一溜煙兒的走了,工作已經告一段落了,回想這段時間以來的工作詳情,有收獲也有不足,是時候抽出時間寫寫自查報告了。大家知道自查報告的格式嗎?下面是小編整理的關鍵信息基礎設施網絡安全檢查自查報告,僅供參考,大家一起來看看吧。
關鍵信息基礎設施網絡安全檢查自查報告1根據《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》精神,9月10日,由市電政辦牽頭,組織對全市政府信息系統進行自查工作,現將自查情況總結如下:
一、網絡與信息安全自查工作組織開展情況
9月10日起,由市電政辦牽頭,對各市直各單位當前網絡與信息安全進行了一次全面的調查,此次調查工作以各單位自查為主,市電政辦抽查為輔的方式進行。自查的重點包括:電政辦中心機房網絡檢修、黨政維護密碼防護升級,市直各單位的信息系統的運行情況摸底調查、市直各單位客戶機病毒檢測,市直各單位網絡數據流量監控和數據分析等。
二、信息安全工作情況
通過上半年電政辦和各單位的努力,我市在網絡與信息安全方面主要完成了以下工作:
1、所有接入市電子政務網的系統嚴格遵照規范實施,我辦根據《常寧市黨政站信息發布審核制度》、《常寧市網絡與信息安全應急預案》、《“中國——常寧”黨政站值班讀網制度》、《中國——常寧”黨政站應急管理預案》等制度要求,定期組織開展安全檢查,確保各項安全保障措施落實到位。
2、組織信息安全培訓。面向市直政府部門及信息安全技術人員進行了網站滲透攻擊與防護、病毒原理與防護等專題培訓,提高了信息安全保障技能。
3、加強對黨政站巡檢。定期對各部門子網站進行外部web安全檢查,出具安全風險掃描報告,并協助、督促相關部門進行安全加固。
4、做好重要時期信息安全保障。采取一系列有效措施,實行24小時值班制及安全日報制,與重點部門簽訂信息安全保障承諾書,加強互聯網出口訪問的實時監控,確保十八大期間信息系統安全。
三、自查發現的主要問題和面臨的威脅分析
通過這次自查,我們也發現了當前還存在的一些問題:
1、部分單位規章制度不夠完善,未能覆蓋信息系統安全的所有方面。
2、少數單位的工作人員安全意識不夠強,日常運維管理缺乏主動性和自覺性,在規章制度執行不嚴、操作不規范的情況。
3、存在計算機病毒感染的情況,特別是U盤、移動硬盤等移動存儲設備帶來的安全問題不容忽視。
4、信息安全經費投入不足,風險評估、等級保護等有待加強。
5、信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量。
四、改進措施和整改結果
在認真分析、總結前期各單位自查工作的基礎上,9月12日,我辦抽調3名同志組成檢查組,對部分市直機關的重要信息系統安全情況進行抽查。檢查組共掃描了18個單位的站,采用自動和人工相結合的方式對15臺重要業務系統服務器、46臺客戶端、10臺交換機和10臺防火墻進行了安全檢查。
檢查組認真貫徹“檢查就是服務”的理念,按照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求對抽查單位進行了細致周到的安全巡檢,提供了一次全面的安全風險評估服務,受到了服務單位的歡迎和肯定。檢查從自查情況核實到管理制度落實,從網站外部安全掃描到重要業務系統安全檢測,從整體網絡安全評測到機房物理環境實地勘查,全面了解了各單位信息安全現狀,發現了一些安全問題,及時消除了一些安全隱患,有針對性地提出了整改建議,督促有關單位對照報告認真落實整改。通過信息安全檢查,使各單位進一步提高了思想認識,完善了安全管理制度,強化了安全防范措施,落實了安全問題的整改,全市安全保障能力顯著提高。
五、關于加強信息安全工作的意見和建議
針對上述發現的問題,我市積極進行整改,主要措施有:
1、對照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求,要求各單位進一步完善規章制度,將各項制度落實到位。
2、繼續加大對機關全體工作人員的安全教育培訓,提高信息安全技能,主動、自覺地做好安全工作。
3、加強信息安全檢查,督促各單位把安全制度、安全措施切實落實到位,對于導致不良后果的安全事件責任人,要嚴肅追究責任。
4、繼續完善信息安全設施,密切監測、監控電子政務網絡,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、網站保護等方面建立起全方位的安全防護體系。
5、加大應急管理工作推進力度,在全市信息安全員隊伍的基礎上組建一支應急支援技術隊伍,加強部門間協作,完善應急預案,做好應急演練,將安全事件的影響降到最低。
關鍵信息基礎設施網絡安全檢查自查報告2為保證稅務系統網絡與信息安全,進一步加強網絡新聞宣傳管理工作,有效地防范蓄意攻擊、破壞網絡信息系統及傳播、粘貼非法信息等突發緊急事件的發生。按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,將工作落實到人。州局機關成立信息安全檢查工作組,負責州局機關各處室安全檢查工作,主要采取各處室自查和對部分處室抽查相結合的方式,開展網絡安全清理檢查工作。
一、現狀與風險
隨著伊犁州地稅系統信息化建設的發展,以計算機網絡為依托的征管格局已初步形成。總局—區局—地(州、市)局—縣(市)局的四級廣域網絡已經建立,并逐步向基層征收單位延伸,地稅系統網絡建設進程也逐漸加快。目前伊犁州地稅系統廣域網節點數已達700多個,聯網計算機設備700多臺。在完成繁重稅收任務的同時,為提高稅收征管效率,更好地宣傳稅收工作、服務納稅人,各縣(市)稅務機關均根據工作需要建立了因特網訪問網站。同時,與其它政府部門部分地實現了聯網和信息交換。總之,網絡與信息系統已成為整個稅務系統工作的重要組成部分,成為關系到國計民生的重要基礎設施。
在稅務信息化建設不斷蓬勃發展的同時,網絡與信息安全的風險也逐漸顯露。一是隨著稅收事業的發展,業務系統的要求,各級稅務機關逐步與外部相關部門實現了聯網與信息交換。此外為方便納稅人納稅,新疆地稅系統開通了因特網申報、網上查詢等業務,地稅系統網絡由過去完全封閉的內部網,轉變成與外部網、因特網邏輯隔離的網絡。二是網絡與信息系統中的關鍵設備如主機、路由器、交換機以及操作系統等大部分采用國外產品,存在著較大的技術和安全隱患。三是系統內計算機應用操作人員水平參差不齊,加上由于經費不足,安全防護設備與技術手段不盡如人意。四是敵對勢力以及受利益驅使的犯罪分子一直蠢蠢欲動,對國家重要的財政、金融部門構成巨大威脅。上述幾個方面構成稅務系統網絡與信息安全的主要風險。
二、建立健全了網絡與信息安全組織機構
為了確保網絡與信息安全工作得到重視和措施能及時落實,伊犁州地稅局成立了網絡與信息安全領導小組:
組長:程愛民總經濟師
成員:車艷霞、王守峰、王紅星、劉忠輝、王忠、歐陽燦、王華、褚天玉
領導小組下設辦公室,具體負責日常工作,主任由信息處長車艷霞擔任,副主任由辦公室副主任王守峰擔任。成員有:王紅星、劉忠輝、王忠、王華。
三、建立健全了網絡與信息安全崗責體系和規章制度
網絡與信息安全辦公室負責對以機關名義在內、外網站上發布信息的審查和監控;信息處負責網站的維護和技術支持以及其它各類應用信息系統的監控和維護;計財處負責相關資金支持;機關服務中心負責電力、空調、防火、防雷等基礎設施的監控和維護。
網絡與信息安全辦公室負責在發生緊急事件時協調開展工作,并根據事件的嚴重程度起草向領導小組、公安部門或上級有關部門的報告或向全系統的通報;并負責各類網站、各應用系統、數據庫系統的監控防范、應急處置和數據、系統恢復工作,以及網絡系統的安全防范、應急處置和網絡恢復工作及安全事件的事后追查。為做好州直地稅系統網絡安全自查工作,信息處在8月10日,通過視頻培訓,對全系統網管員進行網絡安全知識培訓。并對網絡安全自查工作進行部署。
建立健全了各種安全制度,包括:
(1)日志管理制度;
(2)安全審計制度;
(3)數據保護、安全備份、災難恢復計劃;
(4)計算機機房及其他重要區域的出入制度;
(5)硬件、軟件、網絡、媒體的使用及維護制度;
(6)帳戶、密碼、通信保密的管理制度;
(7)有害數據及計算機病毒預防、發現、報告及清除管理制度。
(8)個人計算機使用及管理規定。
四、伊犁州地稅局計算機網絡管理情況
(一)局域網安裝了防火墻。同時對每臺計算機配置安裝了區局統一配置的瑞星殺毒軟件,針對注冊號戶數不夠的情況,向區局又申請了300戶注冊號,現網絡版瑞星殺毒軟件可以同時上線550臺計算機,基本滿足了伊犁州地稅系統內網辦公需要。全州內網計算機安裝桌面審計系統達到95%,部分單位達到100%。定期安裝系統補丁,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。
(二)涉密計算機和局域網內所有計算機都強化口令設置,要求開機密碼、公文處理口令、征管軟件口令必須字母與數字混合不少于8位。同時,計算機相互共享之間設有身份認證和訪問控制。
(三)內網計算機沒有違規上國際互聯網及其他的信息網的現象;在各單位辦稅服務廳自助申報區安裝的網報專用計算機每天由網管員進行管理檢查,以防利用網報機進行違法活動。
(四)安裝了針對移動存儲設備的專業殺毒軟件,對移動存儲設備接入計算機前必須須進行病毒掃描,對于經常接收外來數據的辦稅服務廳、管理科等單位計算機都配備使用U盤病毒隔離器。
(五)對服務器上的應用、服務、端口和鏈接都進行了安全檢查并加固處理。
(六)對公文處理及檔案管理軟件數據庫進行按日備份,確保數據安全。嚴格文件的收發,并要求信息管理員定期進行系統全備份,刻錄光碟并異地存儲。
(七)沒有通過電子政務外網、互聯網郵箱、限時通信工具等處理、傳遞、轉發涉密或敏感信息的現象。
(八)制定了詳細應急預案,并隨著信息化程度的深入,結合各局實際,并在以后不斷完善。
(九)州局的網絡信息發布由辦公室設置了專人管理,對所有要在網絡上發布的信息按規定進行了審查。
五、存在的問題
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合實際,今后要在以下幾個方面進行整改。
(一)安全意識還需加強。要繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
(二)設備維護、更新應及時。要加大對線路、系統等的及時維護和保養,同時,針對信息技術的飛快發展的特點,需加大更新力度。
(三)安全工作的水平還有待提高。對信息安全的管護還處于初級水平,要提高安全工作的`現代化水平,有利于我們進一步加強對計算機信息系統安全的防范和保密工作。
(四)加強計算機安全意識教育和防范技能訓練,充分認識到計算機泄密案件的嚴重性。把計算機安全保護知識真正融于實際工作中,而不是記在紙上;人防與技防結合,把計算機安全保護的技術措施看作是保護信息安全的一道看不見的屏障。
(五)工作機制有待完善。創新安全工作機制,是信息工作新形勢的必然要求,這有利于提高機關網絡信息工作的運行效率,有利于辦公秩序的進一步規范。
關鍵信息基礎設施網絡安全檢查自查報告3為了貫徹落實《關于開展網絡與信息安全檢查工作的通知》的精神,切實加強我局政務信息系統運行管理和對外網站安全防范工作,嚴防攻擊、網絡中斷、病毒傳播、信息失竊密,為國慶xx周年慶祝活動的順利舉行創造良好的網絡信息環境,現就我局網絡信息安全自查自糾情況匯報如下:
一、高度重視,切實加強國慶xx周年慶祝活動期間網絡信息安全工作。
我局接到區信息辦下發的《關于開展網絡與信息安全檢查工作的通知》后,局領導班子高度重視,立即進行安排部署,落實責任,強化防護措施,加強對本單位網絡和信息系統的安全保護,做好我局內部網絡和信息系統的安全防范和安全檢查工作。
二、按要求嚴格落實網絡信息安全各項制度
1責任制度。對網絡信息安全各項制度進行了全面梳理,重點抓好安全責任制、應急預案、值班值守、信息發布審核等制度的落實。嚴格落實領導責任制,一把手親自過問,分管負責人直接抓,一級抓一級,層層抓落實。
2原則要求。堅決執行“誰主管誰負責、誰運行誰負責、誰使用誰負責、誰發布誰負責”的原則,認真履行網絡信息安全保障職責。
3“五到位”。堅決做到領導、機構、人員、責任、措施“五到位”。健全安全工作機制,對發生重大安全責任事故的,要嚴肅追究相關人員的責任。
三、進一步強化安全防范措施
1清查網站隱患。針對和應用系統的程序升級、賬戶、密碼、殺病毒、網站維護、政務網接入和運行等方面存在的突出問題,我們逐一進行清理、排查,能及時更新升級的更新升級,進一步強化安全防范措施,及時堵塞漏洞、消除隱患、化解風險。
2嚴格執行網絡信息安全“五禁止”規定。能夠按要求禁止將涉密信息系統接入國際互聯網及其他公共信息網絡,能夠禁止在沒有防護措施的情況下將國際互聯網等公共信息網絡上的數據拷貝到涉密信息系統,能夠禁止將涉密與非涉密網絡混用,能夠禁止將涉密與非涉密計算機、移動存儲設備混用,能夠禁止使用具有無線互聯功能的設備處理涉密信息。
四、認真抓好網絡信息安全自查和整改
通過自查,我們發現我局網絡與信息系統安全隱患還是存在一些問題,我們將切實對涉及到的有關問題逐步解決,進一步加強網絡信息安全管理。
第四篇:關鍵信息基礎設施網絡安全檢查自查報告
關鍵信息基礎設施網絡安全檢查自查報告范文(精選3篇)
時間一溜煙兒的走了,工作已經告一段落了,回顧這段時間的工作,既存在亮點,也存在不足,將成績與不足匯集成一份自查報告吧。在寫之前,可以先參考范文,下面是小編整理的關鍵信息基礎設施網絡安全檢查自查報告范文(精選3篇),希望能夠幫助到大家。
關鍵信息基礎設施網絡安全檢查自查報告1根據《關于轉發<關于開展20xx年六安市網絡安全檢查工作的通知>的通知》(區宣字〔20xx〕23號)的要求,椿樹鎮黨委、政府高度重視并迅速開展檢查工作,現將檢查情況總結報告如下:
一、成立領導小組
為進一步加強網絡信息系統安全管理工作,我鎮成立了網絡信息工作領導小組,由鎮長任組長,分管副書記任副組長,下設辦公室,做到分工明確,責任具體到人,確保網絡信息安全工作順利實施。
二、網絡安全現狀
目前我鎮共有電腦32臺,均采用防火墻對網絡進行保護,并安裝了殺毒軟件對全鎮計算機進行病毒防治。
三、網絡安全管理措施
為了做好信息化建設,規范政府信息化管理,我鎮專門制訂了《椿樹鎮網絡安全管理制度》、《椿樹鎮網絡信息安全保障工作方案》、《椿樹鎮病毒檢測和網絡安全漏洞檢測制度》等多項制度,對信息化工作管理、內部電腦安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定,進一步規范了我鎮信息安全管理工作。
針對計算機保密工作,我鎮制定了《椿樹鎮鎮信息發布審核、登記制度》、《椿樹鎮突發信息網絡事件應急預案》等相關制度,并定期對網站上的所有信息進行整理,未發現涉及到安全保密內容的信息;與網絡安全小組成員簽訂了《椿樹鎮網絡信息安全管理責任書》,確保計算機使用做到“誰使用、誰負責”;對我鎮內網產生的數據信息進行嚴格、規范管理,并及時存檔備份;此外,在全鎮范圍內組織相關計算機安全技術培訓,并開展有針對性的“網絡信息安全”教育及演練,積極參加其他計算機安全技術培訓,提高了網絡維護以及安全防護技能和意識,有力地保障我鎮政府信息網絡正常運行。
四、網絡安全存在的不足及整改措施
目前,我鎮網絡安全仍然存在以下幾點不足:
一是安全防范意識較為薄弱;二是病毒監控能力有待提高;三是對移動存儲介質的使用管理還不夠規范;四是遇到惡意攻擊、計算機病毒侵襲等突發事件處理能力不夠。
針對目前我鎮網絡安全方面存在的不足,提出以下幾點整改意見:
1、進一步加強網絡安全小組成員計算機操作技術、網絡安全技術方面的培訓,強化計算機操作人員對網絡病毒、信息安全威脅的防范意識,做到早發現,早報告、早處理。
2、加強干部職工在計算機技術、網絡技術方面的學習,不斷提高機關干部的計算機技術水平。
關鍵信息基礎設施網絡安全檢查自查報告2根據《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》精神,9月10日,由市電政辦牽頭,組織對全市政府信息系統進行自查工作,現將自查情況自查如下:
一、網絡與信息安全自查工作組織開展情況
9月10日起,由市電政辦牽頭,對各市直各單位當前網絡與信息安全進行了一次全面的調查,此次調查工作以各單位自查為主,市電政辦抽查為輔的方式進行。自查的重點包括:電政辦中心機房網絡檢修、黨政門戶網維護密碼防護升級,市直各單位的信息系統的運行情況摸底調查、市直各單位客戶機病毒檢測,市直各單位網絡數據流量監控和數據分析等。
二、信息安全工作情況
通過上半年電政辦和各單位的努力,我市在網絡與信息安全方面主要完成了以下工作:
1、所有接入市電子政務網的系統嚴格遵照規范實施,我辦根據《常寧市黨政門戶網站信息發布審核制度》、《常寧市網絡與信息安全應急預案》、《“中國?常寧”黨政門戶網站值班讀網制度》、《"中國?常寧”黨政門戶網站應急管理預案》等制度要求,定期組織開展安全檢查,確保各項安全保障措施落實到位。
2、組織信息安全培訓。面向市直政府部門及信息安全技術人員進行了網站滲透攻擊與防護、病毒原理與防護等專題培訓,提高了信息安全保障技能。
3、加強對黨政門戶網站巡檢。定期對各部門子網站進行外部web安全檢查,出具安全風險掃描報告,并協助、督促相關部門進行安全加固。
4、做好重要時期信息安全保障。采取一系列有效措施,實行24小時值班制及安全日報制,與重點部門簽訂信息安全保障承諾書,加強互聯網出口訪問的實時監控,確保十八大期間信息系統安全。
三、自查發現的主要問題和面臨的威脅分析
通過這次自查,我們也發現了當前還存在的一些問題:
1、部分單位規章制度不夠完善,未能覆蓋信息系統安全的所有方面。
2、少數單位的工作人員安全意識不夠強,日常運維管理缺乏主動性和自覺性,在規章制度執行不嚴、操作不規范的情況。
3、存在計算機病毒感染的情況,特別是U盤、移動硬盤等移動存儲設備帶來的安全問題不容忽視。
4、信息安全經費投入不足,風險評估、等級保護等有待加強。
5、信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量。
四、改進措施和整改結果
在認真分析、自查前期各單位自查工作的基礎上,9月12日,我辦抽調3名同志組成檢查組,對部分市直機關的重要信息系統安全情況進行抽查。檢查組共掃描了18個單位的門戶網站,采用自動和人工相結合的方式對15臺重要業務系統服務器、46臺客戶端、10臺交換機和10臺防火墻進行了安全檢查。
檢查組認真貫徹“檢查就是服務”的理念,按照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求對抽查單位進行了細致周到的安全巡檢,提供了一次全面的安全風險評估服務,受到了服務單位的歡迎和肯定。檢查從自查情況核實到管理制度落實,從網站外部安全掃描到重要業務系統安全檢測,從整體網絡安全評測到機房物理環境實地勘查,全面了解了各單位信息安全現狀,發現了一些安全問題,及時消除了一些安全隱患,有針對性地提出了整改建議,督促有關單位對照報告認真落實整改。通過信息安全檢查,使各單位進一步提高了思想認識,完善了安全管理制度,強化了安全防范措施,落實了安全問題的整改,全市安全保障能力顯著提高。
五、關于加強信息安全工作的意見和建議
針對上述發現的問題,我市積極進行整改,主要措施有:
1、對照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求,要求各單位進一步完善規章制度,將各項制度落實到位。
2、繼續加大對機關全體工作人員的安全教育培訓,提高信息安全技能,主動、自覺地做好安全工作。
3、加強信息安全檢查,督促各單位把安全制度、安全措施切實落實到位,對于導致不良后果的安全事件責任人,要嚴肅追究責任。
4、繼續完善信息安全設施,密切監測、監控電子政務網絡,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、網站保護等方面建立起全方位的安全防護體系。
5、加大應急管理工作推進力度,在全市信息安全員隊伍的基礎上組建一支應急支援技術隊伍,加強部門間協作,完善應急預案,做好應急演練,將安全事件的影響降到最低。
關鍵信息基礎設施網絡安全檢查自查報告3根據市委網絡安全和信息化領導小組辦公室辦關于《開展關鍵信息基礎設施網絡安全檢查的通知》文件精神,我鎮積極組織落實,對網絡安全基礎設施建設情況、網絡安全防范技術情況及網絡信息安全保密管理情況進行了自查,現報告如下:
一、成立領導小組為進一步加強網絡信息系統安全管理工作,我鎮成立了網絡信息工作領導小組,由鎮長任組長,分管領導任副組長,下設辦公室,做到分工明確,責任具體到人,確保網絡信息安全工作順利實施。
二、我鎮網絡安全現狀我鎮除專用辦公電腦外,共有15臺計算機接入互聯網絡。采用防火墻對網絡進行保護,均安裝了殺毒軟件對計算機進行病毒防治。
三、我鎮網絡安全管理為了做好信息化建設,規范政府信息化管理,我鎮立即《xx鎮網絡安全管理制度》、《xx鎮網絡信息安全保障工作方案》、《xx鎮病毒檢測和網絡安全漏洞檢測制度》等多項制度,對信息化工作管理、內部電腦安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理等各方面都作了詳細規定,進一步規范了外聯計算機信息安全管理工作。
關鍵信息基礎設施網絡安全檢查自查報告4為保證稅務系統網絡與信息安全,進一步加強網絡新聞宣傳管理工作,有效地防范蓄意攻擊、破壞網絡信息系統及傳播、粘貼非法信息等突發緊急事件的發生。按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,將工作落實到人。州局機關成立信息安全檢查工作組,負責州局機關各處室安全檢查工作,主要采取各處室自查和對部分處室抽查相結合的方式,開展網絡安全清理檢查工作。
一、現狀與風險
隨著伊犁州地稅系統信息化建設的發展,以計算機網絡為依托的征管格局已初步形成。總局—區局—地(州、市)局—縣(市)局的四級廣域網絡已經建立,并逐步向基層征收單位延伸,地稅系統網絡建設進程也逐漸加快。目前伊犁州地稅系統廣域網節點數已達700多個,聯網計算機設備700多臺。在完成繁重稅收任務的同時,為提高稅收征管效率,更好地宣傳稅收工作、服務納稅人,各縣(市)稅務機關均根據工作需要建立了因特網訪問網站。同時,與其它政府部門部分地實現了聯網和信息交換。總之,網絡與信息系統已成為整個稅務系統工作的重要組成部分,成為關系到國計民生的重要基礎設施。
在稅務信息化建設不斷蓬勃發展的同時,網絡與信息安全的風險也逐漸顯露。一是隨著稅收事業的發展,業務系統的要求,各級稅務機關逐步與外部相關部門實現了聯網與信息交換。此外為方便納稅人納稅,新疆地稅系統開通了因特網申報、網上查詢等業務,地稅系統網絡由過去完全封閉的內部網,轉變成與外部網、因特網邏輯隔離的網絡。二是網絡與信息系統中的關鍵設備如主機、路由器、交換機以及操作系統等大部分采用國外產品,存在著較大的技術和安全隱患。三是系統內計算機應用操作人員水平參差不齊,加上由于經費不足,安全防護設備與技術手段不盡如人意。四是敵對勢力以及受利益驅使的犯罪分子一直蠢蠢欲動,對國家重要的財政、金融部門構成巨大威脅。上述幾個方面構成稅務系統網絡與信息安全的主要風險。
二、建立健全了網絡與信息安全組織機構
為了確保網絡與信息安全工作得到重視和措施能及時落實,伊犁州地稅局成立了網絡與信息安全領導小組:
組長:程愛民總經濟師
成員:車艷霞、王守峰、王紅星、劉忠輝、王忠、歐陽燦、王華、褚天玉
領導小組下設辦公室,具體負責日常工作,主任由信息處長車艷霞擔任,副主任由辦公室副主任王守峰擔任。成員有:王紅星、劉忠輝、王忠、王華。
三、建立健全了網絡與信息安全崗責體系和規章制度
網絡與信息安全辦公室負責對以機關名義在內、外網站上發布信息的審查和監控;信息處負責網站的維護和技術支持以及其它各類應用信息系統的監控和維護;計財處負責相關資金支持;機關服務中心負責電力、空調、防火、防雷等基礎設施的監控和維護。
網絡與信息安全辦公室負責在發生緊急事件時協調開展工作,并根據事件的嚴重程度起草向領導小組、公安部門或上級有關部門的報告或向全系統的通報;并負責各類網站、各應用系統、數據庫系統的監控防范、應急處置和數據、系統恢復工作,以及網絡系統的'安全防范、應急處置和網絡恢復工作及安全事件的事后追查。為做好州直地稅系統網絡安全自查工作,信息處在8月10日,通過視頻培訓,對全系統網管員進行網絡安全知識培訓。并對網絡安全自查工作進行部署。
建立健全了各種安全制度,包括(1)日志管理制度;(2)安全審計制度;(3)數據保護、安全備份、災難恢復計劃;(4)計算機機房及其他重要區域的出入制度;(5)硬件、軟件、網絡、媒體的使用及維護制度;(6)帳戶、密碼、通信保密的管理制度;(7)有害數據及計算機病毒預防、發現、報告及清除管理制度。(8)個人計算機使用及管理規定。
四、伊犁州地稅局計算機網絡管理情況
(一)局域網安裝了防火墻。
同時對每臺計算機配置安裝了區局統一配置的瑞星殺毒軟件,針對注冊號戶數不夠的情況,向區局又申請了300戶注冊號,現網絡版瑞星殺毒軟件可以同時上線550臺計算機,基本滿足了伊犁州地稅系統內網辦公需要。全州內網計算機安裝桌面審計系統達到95%,部分單位達到100%。定期安裝系統補丁,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。(二)涉密計算機和局域網內所有計算機都強化口令設置,要求開機密碼、公文處理口令、征管軟件口令必須字母與數字混合不少于8位。
同時,計算機相互共享之間設有身份認證和訪問控制。(三)內網計算機沒有違規上國際互聯網及其他的信息網的現象;
在各單位辦稅服務廳自助申報區安裝的網報專用計算機每天由網管員進行管理檢查,以防利用網報機進行違法活動。(四)安裝了針對移動存儲設備的專業殺毒軟件,對移動存儲設備接入計算機前必須須進行病毒掃描,對于經常接收外來數據的辦稅服務廳、管理科等單位計算機都配備使用U盤病毒隔離器。
(五)對服務器上的應用、服務、端口和鏈接都進行了安全檢查并加固處理。
(六)對公文處理及檔案管理軟件數據庫進行按日備份,確保數據安全。
嚴格文件的收發,并要求信息管理員定期進行系統全備份,刻錄光碟并異地存儲。(七)沒有通過電子政務外網、互聯網郵箱、限時通信工具等處理、傳遞、轉發涉密或敏感信息的現象。
(八)制定了詳細應急預案,并隨著信息化程度的深入,結合各局實際,并在以后不斷完善。
(九)州局的網絡信息發布由辦公室設置了專人管理,對所有要在網絡上發布的信息按規定進行了審查。
五、存在的問題
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合實際,今后要在以下幾個方面進行整改。
(一)安全意識還需加強。
要繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。(二)設備維護、更新應及時。
要加大對線路、系統等的及時維護和保養,同時,針對信息技術的飛快發展的特點,需加大更新力度。(三)安全工作的水平還有待提高。
對信息安全的管護還處于初級水平,要提高安全工作的現代化水平,有利于我們進一步加強對計算機信息系統安全的防范和保密工作。(四)加強計算機安全意識教育和防范技能訓練,充分認識到計算機泄密案件的嚴重性。
把計算機安全保護知識真正融于實際工作中,而不是記在紙上;人防與技防結合,把計算機安全保護的技術措施看作是保護信息安全的一道看不見的屏障。(五)工作機制有待完善。
創新安全工作機制,是信息工作新形勢的必然要求,這有利于提高機關網絡信息工作的運行效率,有利于辦公秩序的進一步規范。第五篇:公司關鍵信息基礎設施網絡安全檢查自查報告
公司關鍵信息基礎設施網絡安全檢查自查報告
為保證我公司系統網絡與信息安全,進一步加強網絡管理工作,有效地防范蓄意攻擊、破壞網絡信息系統及傳播、粘貼非法信息等突發緊急事件的發生。按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,將工作落實到人。公司成立信息安全檢查工作組,負責公司網絡安全檢查工作,主要采取各處室自查和對部分處室抽查相結合的方式,開展網絡安全清理檢查工作。現將具體情況匯報如下:
一、現狀與風險
隨著公司系統信息化建設的發展,以計算機網絡為依托的辦公格局已初步形成。集團?—公司—部門的三級局域網絡已經建立。目前使用交換機30臺,生產廠商為華為和H3C,服務器為IBM,聯網計算機設備563臺。網絡與信息系統已成為整個工業生產系統的重要組成部分,成為企業重要基礎設施。在工業信息化建設不斷蓬勃發展的同時,網絡與信息安全的風險也逐漸顯露。
一是隨著工業生產事業的發展,業務系統的要求,各級部門實現了聯網與信息交換。
二是網絡與信息系統中的關鍵設備如主機、路由器、以及操作系統等部分采用盜版或國外產品,存在著較大的安全隱患。
三是系統內計算機應用操作人員水平參差不齊,加上由于經費不足,安全防護設備與技術手段不盡如人意。
二、建立健全網絡與信息安全組織機構
為了確保網絡與信息安全工作得到重視和措施能及時落實,我公司成立了網絡與信息安全領導小組:
組長:黨委書記
董事長
副組長:班子其他成員
常務副組長:信息化總經理
成員:公司各部門負責人
網絡安全責任人:信息化大數據辦公室主任
領導小組下設辦公室,具體負責日常工作,主任由信息化大數據辦公室主任擔任。
三、建立健全網絡與信息安全崗責體系和規章制度
網絡與信息安全辦公室負責對以機關名義在內、外網站上發布信息的審查和監控;信息處負責網站的維護和技術支持以及其它各類應用信息系統的監控和維護;財務處負責相關資金支持;機關服務中心負責電力、空調、防火、防雷等基礎設施的監控和維護。
網絡與信息安全辦公室負責在發生緊急事件時協調開展工作,并根據事件的嚴重程度起草向領導小組、公安部門或上級有關部門的報告或向全系統的通報;并負責各類網站、各應用系統、數據庫系統的監控防范、應急處置和數據、系統恢復工作,以及網絡系統的安全防范、應急處置和網絡恢復工作及安全事件的事后追查。為做好內部系統網絡安全自查工作,大數據中心在X月X日,通過視頻培訓,對全系統網管員進行網絡安全知識培訓,并對網絡安全自查工作進行部署。建立健全了各種安全制度,包括(1)日志管理制度;(2)安全審計制度;(3)數據保護、安全備份、災難恢復計劃;(4)計算機機房及其他重要區域的出入制度;(5)硬件、軟件、網絡、媒體的使用及維護制度;(6)帳戶、密碼、通信保密的管理制度;(7)有害數據及計算機病毒預防、發現、報告及清除管理制度。(8)個人計算機使用及管理規定。
四、存在的問題
在自查過程中我們也發現了一些不足,同時結合實際,今后要在以下幾個方面進行整改。
(一)安全意識還需加強。
要繼續加強對廣大職工使用網絡的安全意識教育,提高做好安全工作的主動性和自覺性。(二)設備維護、更新應及時。
要加大對線路、系統等的及時維護和保養,同時,針對信息技術的飛快發展的特點,需加大更新力度。(三)安全工作的水平還有待提高。
對信息安全的管護還處于初級水平,要提高安全工作的現代化水平,有利于我們進一步加強對計算機信息系統安全的防范和保密工作。(四)加強計算機安全意識教育和防范技能訓練,充分認識到計算機泄密案件的嚴重性。
把計算機安全保護知識真正融于實際工作中,而不是記在紙上;人防與技防結合,把計算機安全保護的技術措施看作是保護信息安全的一道看不見的屏障。(五)工作機制有待完善。
創新安全工作機制,是信息工作新形勢的必然要求,這有利于提高機關網絡信息工作的運行效率,有利于辦公秩序的進一步規范。五、整改措施
(一)局域網安裝了防火墻。
同時對每臺計算機配置安裝了公司統一配置的金山毒霸殺毒軟件,針對注冊號戶數不夠的情況,向集團又申請了一些注冊號,現網絡版金山毒霸軟件可以同時上線600臺計算機,基本滿足了公司辦公需要。全公司X臺電腦定期安裝系統補丁,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。(二)涉密計算機和局域網內所有計算機都強化口令設置,要求開機密碼、公文處理口令必須字母與數字混合不少于8位。
同時,計算機相互共享之間設有身份認證和訪問控制。(三)內網計算機沒有違規上國際互聯網及其他的信息網的現象。
(四)安裝了針對移動存儲設備的專業殺毒軟件,對移動存儲設備接入計算機前必須須進行病毒掃描,對于經常接收外來數據的部門單位計算機都配備使用U盤病毒隔離器。
(五)對服務器上的應用、服務、端口和鏈接都進行了安全檢查并加固處理。
(六)沒有通過電子政務外網、互聯網郵箱、限時通信工具等處理、傳遞、轉發涉密或敏感信息的現象。
(七)制定了詳細應急預案,并隨著信息化程度的深入,結合各部門實際,并在以后不斷完善。
(八)公司網絡信息發布由辦公室設置了專人管理,對所有要在網絡上發布的信息按規定進行了審查。
點擊咨詢 