第一篇:煙草專賣局信息網絡安全等級保護工作自檢自查報告
煙草專賣局信息網絡安全等級保護工作自檢自查報告
根據市局通知要求,我局立即開展了一系列的自查自評活動,認真對照2010年綜治、安全目標管理考評辦法,精心部署并周密安排了對全年綜治、安全工作的自查自糾活動,自查自糾結束后,我局還對照2010年綜治、安全考評表對自查結果進行自我評價。現將自查自評情況匯報如下:
一、制定科學的安全管理制度,確保各項規定落實到位
二、為使綜治工作進一步規范化、制度化,確保綜治安全工作做到有章可循、嚴格依章管好每一個崗位的人員,我局在原有制度的基礎上,完善了安全工作十三條制度、七項職責,完善健全了車輛和駕駛員管理臺帳,車輛派車單、車隊工作、車輛使用、維修、派車、停放制度和駕駛員管理制度。同時成立了各類機構,設立了專門安全員,并與各部門及相關崗位簽訂了安全責任獎。為了確保制度的行之有效,我局把安全工作列入各科室的績效考評。
二、對重點部位進行細致的檢查。
對局卷煙倉庫、財務室、微機房、網點中隊等重點部位滅火器、應急照明、疏散指示標志等進行自查,有10個滅火器需在11月中旬換藥,目前已全部更換好,均達安全要求,其他各類防盜設施、監控系統完整好用,網絡系統安全穩定,制定了安全保衛管理制度,并定期對員工進行安全教育和突發事件應對措施教育,加強員工的安全防患意
識,全面落實人防、物防、技防措施,確保安全。
三、節假日值班及日常檢查情況。
我縣局(公司)聯系實際,在重大節日和非常時期都落實了24小時值班制度,并由領導親自帶班,交接班按嚴格進行登記,值班人員堅守崗位,沒有無故缺崗,值班巡查作好了詳細記錄。堅持開展常規性檢查、突擊性檢查和專項檢查相結合的方式,發現隱患及時認真整改,防止了事故的發生,并對自查、整改情況記入《安全檢查檔案》。
四、綜治安全教育培訓情況。
我局定期對駕駛員、綜治安全員、財務人員進行培訓教育,并做好學習記錄,我局還定期組織駕駛員學習交通法律法規,經常交流駕駛經驗和心得,使其自覺遵守交通規則和單位制度,同時,抓好派車、用車、管車等制度的落實,嚴防交通事故的發生。
五、職業健康安全體系開展情況
在安全體系運行的過程中,全員認真學習體系文件,全面掌握體系標準的基本內容,深刻領會其精神實質,領導帶頭遵守體系文件的各項規定,確保了貫標工作落到實處,同時不斷完善和修改體系文件,針對辨識的危險源,在認真調查研究的基礎上,多次召開專題會議,先后修訂完善了防盜、搶應急預案、防觸電事故應急預案、食物中毒應急預案、防震救災、防交通事。安全管理水平逐步邁上規范化、制度化的軌道。
六、發現的問題及自評情況。
通過本次對全局一年來綜治安全工作的自查自糾活動,我局也發現了一些問題和不足,如:綜治安全工作一些方面做得還不夠細,安全檢查人員的素質不夠高;矛盾糾紛排查工作開展力度還不夠;綜治安全方面法律法規和相關制度的學習應加強。
總的來說,我局本年度的綜治安全工作基本可以達到市局考評方案要求,我局將立即整改自查自糾中發現的問題,揚長補短,迎接好即將到來的省、市局綜治安全年終考評工作。
南豐縣煙草專賣局
二0一0年十一月二十九日
第二篇:信息網絡安全等級保護工作自檢自查報告
信息網絡安全等級保護工作
自檢自查報告
XX縣煙草專賣局(分公司)的信息網絡安全建設在上級部門的關心指導下,近年取得了快速的進步和發展,實效性強,網絡安全防控能力大大增強。為進一步貫徹落實行業網絡與信息安全各項管理規定,嚴格規范信息安全等級保護,提高企業對信息網絡安全的防控能力,保障企業信息網絡安全,保證公司各項辦公自動化工作的正常進行,促進企業效益的穩步提升,按照《XX縣人民政府辦公室關于開展信息網絡信息安全等級保護安全檢查工作的通知》要求,我司組織相關人員對系統內信息網絡安全等級保護工作認真細致的自檢自查,現將自查情況報告如下。
一、等級保護工作部署和組織實施情況
XX縣煙草公司企業信息化建設在市局(公司)的統一領導下,按照“統一網絡、統一平臺、統一數據庫”的要求,以打造“數字煙草”為戰略目標,以“系統集成、資源整合、信息共享”為工作方針,取得了快速的發展,在積極推進企業信息化建設的過程中,更加重視網絡信息的安全建設工作。從省公司到市公司、縣公司,領導高度重視,統一規劃,統一標準,同步實施。首先是逐級成立了領導小組和職能部門,XX分公司按照上級部門要求,2000年11月成立了信息化領導小組,下設信息辦在公司辦公室,并設置了計算機系統管理員崗位,明確了各自的職責。由于網絡推廣應用迅速,2005年重新更設了計算機網絡信息中心,旨在強化對企業的網絡建設和網絡安全管理。在歷次的機構設置中,都明確了分公司主要領導分管信息工作,把網絡信息安全的建設與管理擺到了企業各項工作的重要位置中來,表明了企業對信息化建設、網絡安全管理的高度重視和決心。其次是對行業的網絡安全建設高瞻遠矚、統一標準、規范運作、務求實效。先后省公司下發了《云南省煙草專賣局關于建設云南省行業計算機網絡與信息安全系統的通知》,對全行業的網絡信息安全建設作了明確、細致的規定,制定了高效規范的《云南省煙草行業計算機網絡與信息安全系統建設方案》,統一在全系統范圍內實施。隨后市局公司又下發了《曲靖市煙草專賣局(公司)關于建設網絡安全系統的通知》,對各分公司的網絡安全建設作了具體的安排部署。XX縣煙草公司嚴格按照上級部門要求,主動推進網絡安全建設,嚴律遵循行業標準規范,組織實施信息項目,積極配合上級部門在全行業開展網絡安全建設工作。
二、信息系統安全保護等級備案情況
XX縣煙草專賣局(分公司)隸屬曲靖市煙草專賣局(公司)子公司,無法人資格。網絡信息安全建設也是依照市公司統一要求進行,信息安全保護等級為二級。按照本次檢查要求,備案材料主要包括三類。一是各級各部門的文件,包括有:羅煙司字[2000]48號《關于成立云南省煙草XX縣公司信息化領導小組的通知》,省公司云煙科[2000]209號《關于決舉辦云南省煙草行業計算機系統管理員培訓班的通知》,省公司云煙信[2003]552號《云南省煙草專賣局關于建設云南省煙草行業計算機網絡與信息安全系統的通知》,市公司云曲煙專司字[2004]35號《曲靖市煙草專賣局(公司)關于建設網絡安全系統的通知》、《曲靖煙草專賣局(公司)黨政工作部關于舉辦網絡信息安全培訓的通知》,市公司云曲煙辦字[2004]98號《曲靖市煙草專賣局(公司)關于建設地面專網的通知》等。第二類是各項網絡信息安全建設規范、技術標準及方案等,主要包括有:《云南省煙草行業信息網絡信息系統技術規范》兩部分,《云南省煙草行業信息網絡系統計算機網絡系統建設技術規范》、《云南省煙草行業計算機網絡與信息安全系統建設方案》。第三類是各類管理制度或規定,主要包括有:《云南省煙草行業信息網絡管理規范》、《云南省煙草行業計算機網絡與信息安全管理制度》、《信息化工作管理規定》的網絡與信息安全管理,《網絡建設及信息維護按理規定》、《計算機設備管理規定》、《計算機機房管理規定》及《突發信息網絡事件應急預案》等。
三、信息安全設施建設情況。
根據上級部門的統一規劃、建設要求,XX縣煙草公司積極推進各項網絡安全建設工作。首先,為考慮網絡安全,結合業務實際,在網絡規劃時以建設專線為重點,在全省煙草系統內全部采用專線連接,實現互聯互通。在系統主干網絡建設上,先是采用衛星專用通道聯網,后改用DDN專線,隨著網絡技術的發展和普及,從2006年開始,全省煙草系統,從省公司至市公司,從市公司至分公司,從分公司至煙葉站、煙葉收購點,采用帶寬不同的SDH專線連接。公司絕大部分業務均在內網里運行,各類數據信息通過內網服務器和網絡流轉、共享,無外網托管現象,只有極少部分業務需掛外網。其次是不斷采用新技術、新手段做好網絡信息安全防范工作,嚴格劃分企業內網與外網,通過硬件防火墻設置,保證內外信息交互有效進行,實現對垃圾信息、非法訪問的有效過濾。同時,通過網絡版殺毒軟件的安裝使用,對計算機病毒進行整體防治,另一方面,對操作終端還配置防木馬程序的軟件,以及軟件防火墻等軟件的使用,配合殺毒軟件對計算機病毒、黑客攻擊、木馬程序等進行了有效的防范。總之,通過軟硬件技術手段的有效結合,使系統內網及每個終端計算機、系統內的信息、數據安全得到了有效保障,有效保證了企業各業務工作的順利開展。
四、管理制度建設情況。
煙草企業自2004年工商分制以來,作為一分公司,在曲靖市煙草公司的直接領導下,各項工作穩步推進,伴隨著社會效益、企業效益的逐年攀升,曲靖煙草企業更加注重管理模式的總結與創新,強調管理的精細化和規范化,通過長時間的積累、總結和創新,對各行各業各個環節都制定了規范、有效的管理制度。形成了具有行業標準的相關制度-《曲靖煙草商業管理(QTCM)-管理制度》,在網絡信息安全方面涉及很多內容。制定了《計算機設備管理規定》,旨在規范煙草系統計算機及相關設備的管理工作,促進設備的有效管理,提高設備的綜合效率,滿足工作需求;制定了《計算機機房管理理規定》,旨在加強計算機機房的運行、使用和管理,保證各信息系統的穩定可靠運行,促進公司網絡的健康發展;制定了《信息化工作管理規定》、以及《網站建設及信息維護管理規定》,包括網絡和信息安全管理規定,旨在保證企業網絡信息系統運行安全、可靠,做到實體安全、運行安全、數據安全和管理安全。2008年4月份,根據企業《職業健康安全管理體系》運行的整改要求,制定了《突發信息網絡事件應急預案》,包括機房滲漏水應急預案、機房盜竊應急預案、機房火災應急預案、機房長時間停電應急預案、通信網絡故障應急預案、網絡病毒爆發應急預案、服務器軟件系統故障應急預案、核心設備硬件故障應急預案、業務數據損壞應急預案等九部分內容,旨在加強對系統內突發信息網絡事件的控制,迅速有效開展應急救援行動,降低危害程度。總之,企業對網絡安全高度重視,制定了眾多管理制度,并積極層層落實,責任分明,有效地保證了了企業長期以來的網絡信息系統的穩定運行。
五、信息安全產品選擇和使用情況。
我司的網絡信息安全產品,2004年開始根據市公司的要求,進行統一配置。其中,硬件防火墻采用中端型產品,品牌型號為天融信NGFWARES-VPN(S),版本TOPSEC集中管理器V2.2.17,基本滿足管理要求。防病毒軟件曾采用趨勢Trend網絡版,2007年以后統一改用瑞星企業專用版,與全國大多企業一致選用國產軟件。網絡管理平臺軟件曾使用復旦光華T_Manager網絡綜合管理系統,預計未來將采用其它新系統實現網絡綜合管理。此外,針對各終端設備的安全防范,我司還使用了正版的瑞星個人防火墻軟件和免費版的奇虎360安全衛土等安全軟件,實現防病毒、木馬程序、黑客、非法程序等的輔助管理,進一步提高了整個系統的安全防范能力和管理水平。
六、聘請測評機構開展技術測評情況
我司的網絡安全檢測及風險評估工作也是依照市局(公司)的統一要求組織實施,按照市公司的統一安排,聘請測評機構為曲靖市麒麟區聯創信息網絡有限公司,檢測時間一般為每年6至7月份,檢測內容為:機房物理環境、服務器、網絡設備(交換機、路由器、防火墻),桌面終端等,其中,桌面終端采用抽查方式進行檢測,抽查率不少于總數的30%,檢測工作中,工程師需簽訂《云南省網絡與信息系統安全檢測單位保密承諾》和安全檢測保密協議,檢測結果及報告由市公司保存。
七、定期自查情況
XX縣煙草公司高度重視網絡安全建設工作,強調日常維護、安全防范和定期自查工作。對管理制度不斷完善更新,新技術新手段積極采用,借助于企業職業健康安全管理體系的貫標、運行和提升工作,不斷開展網絡信息安全的檢查工作,對一經查出的問題及時整改,自己不能解決的及時上報上級部門,給予幫助解決,有效地促進了整個安全防控體系的完善和管理水平的提高。
曲靖市煙草公司XX分公司
二OO八年十月三十日 關于上報宣州區地稅局信息系統安全自查的報告
宣州區地方稅務局文件
宣區地稅〔2010〕77號
簽發人: 殷本輝
關于上報宣州區地稅局信息系統安全自查的報告
宣城市地方稅務局
根據宣城市地稅局對我局網絡與終端物理隔離和安全使用檢查情況反饋意見,參照安徽地稅信息系統安全自查方案,我局對全區網絡與信息安全現狀進行了自查,查找薄弱環節和安全隱患,進一步強化信息安全意識、規范信息安全管理,以提高網絡與信息系統的安全保障能力,現將自查情況上報給你們。
(本文只發電子文件)
二〇一〇年六月二十四日
宣州區地稅局信息系統安全自查報告
根據宣城市地稅局對我局網絡與終端物理隔離和安全使用檢查情況反饋意見,參照《安徽省地稅局2010年稅務信息系統安全檢查方案》,從“安全管理檢查”、“安全技術檢查”、“終端和移動存儲介質檢查和加固”等三大方面對宣州區地稅局信息安全系統進行了認真地自查與整改,現將自查情況報告如下:
一、領導高度重視,組織、部門健全
宣州區地稅局領導班子高度重視信息系統安全工作,本著“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,成立了宣州區地稅局信息系統安全領導小組,區局一把手擔任領導小組組長,分管領導為副組長,下屬各單位負責人為成員。
各基層分局設立計算機管理員崗位,分別 有責任心、取得全國計算機等級二級以上(含二級)證書、熟悉業務操作的人員擔任,負責本單位計算機軟、硬件及網絡安全管理。對本單位計算機出現的軟、硬件問題及時上報區局信息中心。區局結合本部門的信息系統安全管理需求,不定期地對計算機管理員開展相關業務培訓。
二、結合安徽地稅系統安全自查方案,認真開展自查工作
(一)安全管理方面:區局制定了《宣州區地稅局公文處理應急預案》、《宣州區地稅局內部網站應急預案》、《宣州區地稅局網絡故障應急預案》、《宣州區地稅局計算機機房運行維護管理辦法》,并著重落實上級部門下發的信息安全政策、法規和規章制度。確定信息中心一名工作人員擔任信息系統安全管理員,具體處理信息系統安全的相關工作。區局中心機房于2008年建成,面積約90平方米,安裝了接地保護裝置,配備了手持式滅火器,配有兩臺柜式空調,并確保空調24小時正常運轉。加強中心機房的供電管理,配備一臺專用的10KV UPS電源專供中心機房設備使用,配備一臺專用的6KV UPS電源專供征收大廳設備使用,并定期對UPS電池性能進行相應測試。
宣州區地稅局辦公網絡已于2009年元月實行內、外網物理隔離,內外網均通過2套線路和隔離卡實現內外網切換。內網分為應用服務區與辦公區,通過一臺硬件防火墻進行對外與對外的訪問控制,所有內網服務器與終端均安裝網絡版病毒防火墻。外網通過硬件防火墻、上網行為管理工和防病毒網關實行訪問控制。局機關所有計算機安裝隔離卡進行內外網物理隔離,基層分局只在分局負責人計算機上安裝隔離卡實行內外網物理隔離,其他計算機只允許上內網。
征管數據市局集中后,區局目前的重要數據庫有區局內網數據庫、公文處理數據庫、車輛稅及觸摸查詢系統數據庫,定期對上述數據庫進行備份,并將備份數據復制到文件服務器上。
(二)安全技術方面:區局的網絡通過租用聯通的專線,實現市局、區局及分局三級網絡互聯,各基層分局通過路由交換和以太網兩種方式按入區局,區局機關按股室按分VLAN。區局中心機房內網設備目前有1臺華為2631路由器、1臺華為3680路由器和2臺華為3552交換機為核心層,3臺華為3026交換機作為接入層。除華為3552交換機有熱備份,其他網絡設備沒有冷、熱備份,通過1臺東軟硬件防火墻進一步加強網絡安全管理。
區局中心機房外網設備目前有5臺華為3928交換機,1臺防病毒網關,1臺上網行為管理,1臺防火墻,另外租用網通地址,各基層分局以以太網方式接入互聯網。
宣州區地稅局共有服務器6臺,5臺服務器的操作系統為Windows 2000 Server SP4,1臺服務器的操作系統為Windows 2003 Server,所有服務器根據賬號策略設置用戶密碼,強化安全管理。
宣州區地稅局所有內外網中的路由器和交換機均按照省局網絡運行管理規范進行命名管理,并對其用戶口令進行加密。內外網中的防火墻均設置訪問控制策略,提高系統的網絡安全系數。
(三)工作用臺式機、筆計本電腦和移動存儲介質檢查和加固: 及時更新臺式機和筆計本電腦的操作系統和應用程序補丁,禁用GUEST用戶組,統一安裝網絡版瑞星防病毒軟件,并通過設置自動升級和定時對計算機進行掃描,對外接的USB設備,必須進行病毒掃描。
三、存在的主要問題
通過本次自查發現,我局信息系統存在不少安全隱患問題,主要有以下幾方面:
(一)安全保護意識有待增強,各種安全保護措施有待加強,部分管理人員的安全保護意識薄弱。
(二)數據的存儲及備份機制還不夠完善,存在信息丟失的隱患,存在移動存儲介質內外網混用,個別筆記本電腦存在內外網混用。
(三)因區局搬遷新辦公樓后,對區局的內網進行了重新規劃,路由策略進行了了修改,核心網絡設備失效的路由策略未即時清理。
(四)重技術建設、輕安全保護。進行計算機信息系統建設規劃時,主要考慮了業務需求和系統技術性能要求,沒有很好地將系統的安全保護措施一并考慮,造成安全保護工作相對滯后。
四、加強安全保護工作的意見和建議
根據信息安全自查的情況,結合區局實際情況,現就加強區局信息系統安全工作,提出以下意見和建議:
(一)加強領導,提高對信息系統安全重要性和緊迫性的認識。組織相關人員認真學習與信息系統安全有關的管理規定,不斷增強信息系統安全保護意識,做到認識到位、措施到位、管理到位。
(二)認真落實技術防范措施,著重落實以下等安全保護技術措施:
1、系統重要數據的冗余或備份措施;
2、計算機病毒防治措施;
3、網絡攻擊防范、追蹤措施;
4、研究有關內網補丁升級的措施。
(三)嚴格防范內外網移動存儲混用,加強對移動存儲的分類管理,嚴禁在外網機器處理或保存涉稅文件,嚴格執行內、外網物理隔離制度。
(四)停用內外到外網出口,瑞星防病毒托管服務器升級下掛到市局。
(五)加強網絡和安全設備管理,調整網絡和安全設備配置,嚴格網絡訪問控制策略,保護網絡安全。
(六)加強中心機房的管理工作,提高機房運行環境,保障設備安全。
黃河科技學院網絡信息安全防范系統
情況自查報告
隨著網絡在我校教學與管理環節中的普及,我校領導已充分認識到開展高校校園和網絡信息安全防范工作,是加強維護高校穩定工作,為高校創造良好的教學科研環境,推進高校校園安全防范系統和網絡信息安全系統建設的重要措施。自一九九九年我校初建校園網,一直到現在,上至領導下到我們中心的工作人員一直比較注重網絡的安全性。嚴格按照“誰主管、誰負責”、“誰主辦、誰負責”的原則,各單位、部門層層落實責任制,明確責任人和職責,細化工作措施和流程,建立完善了一系列的管理制度和實施辦法,確保使用的網絡和提供服務信息的安全。現根據省教育廳的《關于在開展高校校園和網絡信息安全防范系統情況調查工作的通知》的文件精神,對我校的網絡與信息安全與網絡與信息服務等內容做了詳細的自查,自查情況如下:
(一)我校于一九九九年十月,成立了以常務副校長為組長,以網絡中心主任董峰及保衛處處長宋同先為副組長的黃河科技學院網絡中心安全組織。
(二)根據我校的網絡發展情況以及國家、省、市等有關的文件精神,我們相繼建立了一系列的安全管理制度,并落實到各部門。如:信息的發布審核由新聞辦指辦專人負責;信息的監視、保存、備份、清除由網絡中心負責;校內所有上網的帳號、郵件帳號、網站帳號等我們都做有實名備案;對于較為知名的公眾網絡媒體,如我校相關的百度貼吧,我校新聞辦公室也安排專人負責信息的監管工作,以實現正面的引導,并及時發現和刪除各類有害信息,維護學校和社會的穩定。
(三)我們加強了安全保護技術措施,切實抓緊、抓實、抓好,保障了學校網絡和信息安全,網絡運行正常、使用規范,網站沒有發現有害信息和不良連接,網絡節點安全設施基本符合要求。我們使用了天融信防火墻與天闐入侵監測系統相結合,使日志留存具有保存60日以上系統運行日志和用戶使用日志記錄功能,內容包括IP地址及使用情況,交互式欄目發布者和上、下網時間及信息、主頁維護者、郵箱使用者和對應的IP地址情況等;對于郵件服務器,我們使用的是億郵,并配套使用了億郵網關,并與公安部門實行了數據對接,有效的隔離了垃圾郵件,防止有害信息的干擾和破壞。對于我們的網站信息服務系統建立了備份,一旦受到破壞能及時恢復正常。
(四)針對網上突發事件,我們制定了應急處置方案,細化流程,責任到人。做到及時預警、快速反應、果斷處置網上突發事件。
(五)我校網絡中心經過仔細排查,已經關閉所有校園網內開通的交互式欄目(BBS,留言板);對于必須使用留言服務的招生咨詢網站,我們采取了用戶發布信息必須審核和記錄用戶IP地址的機制。同時由新聞辦公室安排專人負責信息審核工作,并在技術上采用了關鍵字過濾來防止有害信息。由于我們的高度重視,認真組織,確保了網絡正常運行和信息安全,至今為止沒有發生任何事故,受到了我校有關領導的肯定和好評。當然,隨著科技的發展,社會信息的不斷擴大,新時代,新情況對網絡安全技術的要求也越來越高,新的問題也會不斷出現,我們真正希望通過省廳的此次網絡信息安全防范系統情況的調查使我校的網絡運行得更安全,有利于社會的安定及國家的繁榮昌盛。
永勝縣供銷合作社聯合社
2010年上半年政府信息系統安全檢查自查報告
根據《永勝縣人民政府辦公室關于開展政府信息系統安全檢查的通知》(永政辦發〔2010〕56號)文件精神,結合我社實際,認真組織開展了信息系統的安全自查工作。現將相關情況報告如下:
一、信息系統安全檢查基本情況
㈠信息安全組織機構落實情況
為規范信息公開工作,落實好信息安全的相關規定,我社成立了信息安全工作領導小組,落實了管理機構,由聯社辦公室負責信息安全的日常管理工作,明確了信息安全的主管領導、分管領導和具體管理人員。
㈡日常信息安全管理落實情況
根據供銷合作社的工作實際,供銷社日常信息安全工作主要涉及上級下發的涉密文件管理、政府信息公開工作信息管理、業務工作相關數據信息管理、組織人事信息管理。根據這些實際,縣聯社已從落實管理機構和人員、加強教育培訓、更新設備、健全完善相關制度等方面對信息安全的人員、資產、運行和維護管理進行了落實。
一是,落實具體負責信息安全工作的人員,對涉密信息文件、材料實行專人管理;對重要辦公區、辦公計算機等進行嚴格管理,確保信息保密工作。
二是,結合供銷社工作實際,對涉密文件材料管理和計算機、移動存儲設備等的維修、報廢、銷毀管理進行了規定。對日常信息辦公軟件、應用軟件等的安裝使用,主要是由上級組織人事部門、業務主管部門下發的業務工作應用軟件,均按照上級部門的要求和規定,嚴格進行操作管理。
三是,結合供銷社政府信息公開工作,按照信息公開的相關保密規定和程序,初步建立了《永勝縣供銷合作社政府信息公開保密審查制度(試行)》,對信息公開、陽光政府四項制度等公開發布信息保密審查機制、程序進行了規范,完善相關信息審批備案和日常記錄。
㈢等級保護與風險評估
永勝縣供銷合作社的相關信息系統主要是業務工作,不是重要涉密部門,還達不到涉密信息系統等級,所以,沒有對信息系統定級、測評和評估。
㈣技術安全防范措施和手段落實情況
1、計算機及網絡經過檢查,已安裝了防火墻,同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并按縣委保密局的要求,在主要的計算機上統一粘貼了“非涉密計算機嚴禁處理涉密信息”的標識,杜絕涉密和非涉密計算機之間的混用。
2、網絡終端沒有違規上國際互聯網及其他的信息網的現象,沒有安裝無線網絡等。對信息公開發布門戶網站及相關應用系統帳戶、口令等進行檢查,對服務器上的應用、服務、端口和鏈接進行了檢查,沒有網站信息被非法篡改,也沒有非法鏈接。同時,日常工作中,及時對計算機進行漏洞掃描、木馬檢測等,加強安全監管。我單位使用的計算機都為非涉密計算機,主要是用于業務工作,沒有用于處理涉密信息的情況。目前,網絡運行良好,安全防范措施和設備運行良好,沒有涉及國家秘密的相關信息,未在網上存儲、傳輸國家秘密信息,未發生過失密、泄密現象。
3、密碼技術防范方面。我單位的相關信息還達不到涉密信息系統等級,目前還沒有使用密碼技術防護措施。
㈤應急工作機制建設情況
1、應急響應機制建設上,根據相關要求,建立了信息安全的相關規章制度,要求縣社信息安全管理辦公室根據信息安全工作情況及時向工作領導小組報告相關情況,并及時上報縣信息化辦公室,及時采取有效措施,處理相關問題。目前,還沒有應急響應方案。
2、對非涉密的相關重要工作信息實行光盤備份,以防范計算機系統故障帶來的損失和影響。
3、目前,我社的信息安全管理工作還沒有明確應急技術支援隊伍,主要由縣社辦公室根據工作中的問題向縣信息辦及時報告咨詢解決。目前,沒有發生信息安全事件。
㈥信息技術產品和信息安全產品使用情況
我單位終端計算機安裝的防火墻、入侵檢測設備、殺毒軟件等信息安全產品,使用360安全衛士等軟件,皆為國產產品。公文處理軟件具體使用金山軟件的WPS office系統和Microsoft Office系統。單位使用的工資系統、業務統計報表系統、組織人事統計系統等應用軟件均為縣委、縣政府相關部門和市供銷社統一指定的產品系統。
㈦安全教育培訓情況
1、縣供銷社積極參加全縣保密工作會議和縣委政府相關部門組織的信息系統安全知識培訓,并專門負責機關的網絡安全管理和信息安全工作。
2、結合集中學習,縣供銷社對全縣保密工作會議精神進行了傳達學習。同時,在日常工作中相關保密、信息安全工作人員也結合《保密工作》雜志及相關文件精神,開展自學,提高信息安全意識、保密意識。
㈧信息安全經費保障。
縣供銷合作社信息安全工作得到縣社領導高度重視,信息安全相關學習培訓材料的征訂購買和相關防護設施建設、運行、維護和管理經費均納入預算,實報實銷,為信息安全提供了經費保障。
二、信息安全檢查存在的主要問題及整改情況
經過安全檢查,我單位信息安全總體情況良好,但也存在了一些不足,同時結合單位工作實際,進行了整改同時提出了進一步整改的措施。
1、部分干部職工對信息安全工作的認識不到位。由于本部門工作涉密很少,機關干部對信息安全防范的意識還不高,對信息系統安全工作重要性的認識還不足。針對這些情況,縣社領導已結合傳達全縣保密工作會議精神,進一步作了強調和要求。結合工作開展,今后將繼續加強對機關干部的信息系統安全意識教育,提高干部職工對信息安全工作重要性的認識。
2、設備維護、更新不及時。部分股室計算機的殺毒軟件、防護軟件沒有及時進行更新升級,存在部分漏洞。針對這些問題,辦公室已及時對各終端計算機的殺毒軟件、防火墻等進行了更新升級,對存在的漏洞進行了修復。今后將對線路、系統等的及時維護和保養,及時更新升級防護軟件。
3、信息系統安全工作的水平還有待加強。供銷社的信息系統工作人員均為兼職人員,非專業人員,對信息安全的管護水平低,還需要加強專業學習培訓,提高信息安全管理和管護工作的水平。
4、信息安全工作機制還有待完善。部門信息安全相關工作機制制度、應急預案等還不健全,還要完善信息安全工作機制,建立完善信息安全應急響應機制,以提高機關網絡信息工作的運行效率,促進辦公秩序的進一步規范,防范風險。
三、對信息安全檢查工作的意見和建議
一是,進一步加大對信息安全工作人員的業務培訓。由于很多部門的信息安全工作人員均為兼職,均是“半路出家”,非專業人員,沒有專業的技能和知識,希望進一步加強對計算機信息系統安全管理工作的業務操作培訓,發放一些信息網絡安全管理方面的業務知識材料。
二是,加強對各級各部門干部職工的信息系統安全教育。通過開展專題警示教育培訓,增強信息系統安全意識,提高做好信息安全工作的主動性和自覺性。
三是,加強分類指導。由于各部門工作性質不同,信息安全的級別也不同。希望結合各部門工作實際,對重點信息安全部門和非重點信息安全部門進行分類指導。
二○一○年六月二十二日
瀘州市人民政府信息化管理辦公室:
根據你辦《關于印發<2009瀘州市政府信息系統安全檢查指南>的通知》(市府信管辦〔2009〕33號)文件要求和市府辦召開的網絡與信息安全事件應急預案暨信息系統安全檢查工作會的要求,現就我區政府信息系統安全檢查自查情況匯報如下:
一、信息安全總體情況
10月15日、16日參加完市上會議之后,我區及時開展了信息系統安全情況的調查摸底工作,制定了工作方案,并獲得領導的大力支持。于10月23日印發了《2009瀘州市納溪區政府信息系統安全檢查指南》的通知。在10月27日,我區召開了全區網絡與信息安全事件應急預案暨政府信息系統安全檢查工作會,安排布置了全區的工作。
1、安全制度落實情況
經自查發現,我區各級各單位的網絡與信息系統管理機構比較完善,有主管領導和具體檢查人員,信息安全責任制和各項安全保密制度較完善,重要部門人員管理制度落實,每個部門都落實了一名人員,負責信息日常安全。嚴格實行了“誰上網,誰使用,誰負責”的原則。重要信息上網必須經過單位分管領導批準,一般信息上網必須經過部門負責人審核。我區針對新中國成立60周年國慶制定了完善的應急工作方案,堅持了網絡值班。同時將信息安全經費列入財政預算,今年全區已落實近15萬元用于網絡與信息安全建設。
近年來,通過中心機房建設和對網絡配套改造,建成了覆蓋全區的高速信息網絡系統。我區部署了網絡硬件路由、防火墻,黨政網上應用了金山毒霸網絡版殺毒軟件,政務外網上應用了卡巴斯基網絡版殺毒軟件。機房實施了UPS供電,建立了中心機房網絡雷電防護
體系。我區建立健全了網絡值班制度,加強了網絡值班工作,區信息化辦工作人員每天對設備運行情況、網站信息發布情況進行監控,并填寫值班日志。
2、安全防范措施落實情況
我區要求各級各單位嚴格按保密管理、密碼管理、等級保護要求,對上黨政網的計算機進行了加密保護。涉密計算機實行專人管理,責任到人。對涉密介質,如光盤、磁盤、優盤等由專人管理。做到了涉密計算機定點維修,保證了涉密計算機的安全和保密;同時加強對涉密文件資料的管理,所有印發的涉及單位秘密的文件資料者是在單位文印部門(打印中心)制作,并編排序號;上級發來的涉密文件資料都是作好嚴格登記,并根據工作需要,嚴格控制范圍,認真履行了傳借閱國家秘密文件登記、簽收手續,未有丟失現象;對秘密文件都是實行專門文件夾傳閱,并將領導閱后的秘密文件收回并專門保管,防止秘
密文件的流失。
自查發現,我區計算機使用國產化率較高,主要的品牌有聯想、清華同方等,使用較多的非國產品牌有HP、DELL等。字處理軟件95%以上都使用微軟Office,只有少數使用國產WPS。互聯網終端計算機上85%使用的瑞星和金山毒霸等殺毒軟件,少數使用360安全衛士和卡巴斯基等。黨政網的計算機90%以上都使用了網絡版金山毒霸,電子政務外網
85%以上都使用了網絡版的卡巴斯基。
我區各級各單位都高度重視政府信息系統安全檢查工作,為了搞好這次檢查,都成立了領導小組,主要領導親自抓,分管領導具體抓。對這次檢查進行了統籌安排,嚴密組織,明確了職責,強化了責任,以確保檢查不走過場,注重實效,確保檢查質量,以切實提高政府信息系統安全保障能力,確保我區政府信息系統安全運行。
二、信息安全檢查發現的主要問題及整改情況
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合我區實際,今后要在以下幾個方面進行整改。
1、部分單位安全意識不夠。部分單位工作人員信息安全意識不夠,未引起高度重視。檢查要求其要高度保持信息安全工作的警惕性,從政治和大局出發,繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
2、部分單位缺乏相關專業人員。由于部分單位缺乏相關專業技術人員,信息系統安全方面可投入的力量非常有限,下一步要加強相關技術人員的培訓工作。
3、部分單位安全制度落實不力。要求各單位要加強制度建設,加大安全制度的執行力度,責任追究力度。要強化問責制度,對于行動緩慢、執行不力、導致不良后果的單位和個人,要嚴肅追究相關責任人責任,從而提高人員安全防護意識。
4、部分單位工作機制有待完善。部分單位網絡與信息安全管理混亂,要進一步創新安全工作機制,提高機關網絡信息工作的運行效率,進一步規范辦公秩序。
5、計算機病毒問題較為嚴重。由于單位經費緊張,部分單位使用的是盜版殺毒軟件,有的是網上下載的,有的是已過期不能升級的,更有不裝殺毒軟件的。要求各單位加大投
入,確保用上正版殺毒軟件。
6、計算機密碼管理重視不夠。相當部分計算機未設置密碼,有的密碼設置也過于簡單。要求各臺計算機至少要設置8-10個字符的開機密碼。
三、對信息安全檢查工作的建議和意見
信息和信息網絡安全的防范和監管是信息主管部門的一個重要職責。明確信息安全檢查工作是為了加強安全防范,在此,對于做好安全防范工作建議如下:
1、明確各層組織機構和人員的網絡和信息安全責任,實現組織和人力上的安全保證;
2、組織建立和健全各項信息和信息網絡安全制度,實現制度和管理上的安全保證;規范日常信息化管理和檢查制度。包括:軟件管理、硬件管理、機房管理、系統運行和維護管理、網絡管理等,提出并實施各系統配置和標準化設置,便于安全的維護和加固,實
現基礎管理上的安全保證;
3、組織好單位內的項目協調、實施、推廣應用與培訓等工作,確保信息化項目的實施成效,實現規劃和應用上的安全保證;
4、我區對網絡與信息安全檢查工作進行了部署,建議市上指導我區開展網絡和信息
系統安全應急演練。
瀘州市納溪區人民政府信息化管理辦公室
二OO九年十一月五日
第三篇:信息網絡安全等級保護
信息網絡安全等級保護
自檢自查報告
臨河人民醫院的的信息網絡安全建設在上級部門的 關心指導下,近年取得了快速的進步和發展,根據市衛生局《關于開展信息系統等級保護檢查工作的通知》文件精神和要求及接到公安局文件后,醫院高度重視,及時召開院信息系統安全等級保護工作領導小組會議,積極部署工作、明確責任、具體落實,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,認真對照信息安全等級保護自查項目表,對我院信息安全等級保護工作進行了一次摸底調查,現將此項工作自查情況匯報如下:
一、等級保護工作組織開展、實施情況:
成立了臨河區人民醫院信息系統安全等級保護工作領導小組,落實了信息安全責任制;對等級保護責任部門和崗位人員進行了確定,確保專人落實;制定了等級保護工作的文件及相關工作方案;嚴格按照國家等級保護政策、標準規范和行業主管部門的要求,組織開展各項工作;及時召開了信息系統安全等級保護工作領導小組工作會議;醫院主要領導對等級保護工作作出了重要批示,并在工作會議上提出了四點要求。
2信息安全管理制度的建立和落實情況 院信息中心制定了《臨河區人民醫院信息化建設總體規劃》、《臨河區人民醫院信息系統工作制度與人員崗位職責目錄》、《臨河區人民醫院計算機管理系統應急預案》、《臨河區人民醫院HIS信息系統工作制度》等相關制度,并在實際工作中對照制度嚴格執行各項操作流程。
3按照信息安全法律法規、標準規范的要求制定具體實施方案和落實情況
遵照有關法律法規,對醫院信息服務網遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,對醫院信息服務網信息安全保護等級進行了自主定級。
二、信息系統定級備案情況,信息系統變化及定級備案變動情況:
按照《關于開展全國重要信息系統安全等級保護定級工作的通知》(公通字,2007?861號),對本單位維護的醫院內網站(醫院信息和服務網)安全保護等級級別定位第二級。
三、信息安全設施建設情況和信息安全整改情況:
1安全設施建設情況:我院計算機、公文處理軟件和信息系統安全產品均為國產產品,包括使用360、金山安全衛士、金山毒霸、諾頓nod正版軟件等安全軟件。公文處理軟件使用了Microsoft Office系統。單位使用的工資系統、業務系統、數據傳輸平臺系統、數據庫等應用軟件均為市委、市政府政府相關部門、市財政局和市衛生局統一指定的產品系統。重點信息系統使用的服務器、路由器、交換機等均為國產產品。2信息安全整改情況:
一信息系統安全工作還需要繼續完善和提高相應的維護能力。隨著移動護理查房的展開,信息工作人員還需要繼續提高信息系統安全管理和管護工作的水平。二設備維護、更新有待加強。科室的正版nod殺毒軟件維護能夠自動更新升級,并進行了定時掃描,確保不存在系統漏洞,偶爾更換新主機ip地址會有沖突,IP網絡地址也進行了統一管理。今后將對線路、系統等的及時維護和保養,及時更新升級軟件和管理網絡地址。
三信息系統安全工作機制還有待完善。部門信息系統安全相關工作機制制度、應急預案等還不健全,還要完善信息系統安全工作機制,建立完善信息系統安全應急響應機制,以提高醫院網絡信息工作的運行效率,促進醫療、辦公秩序的進一步規范,防范風險。
四、信息安全管理制度建設和落實情況:
1制定了醫院信息服務網信息安全管理制度,按照“誰主管誰負責”的原則開展工作,我單位負責人為第一責任人,對醫院信息服務網信息安全管理負直接責任,并接受上級單位的監管。
2對醫院信息服務網機房實施了24小時值班,操作系統、數據庫系統、防病毒系統、網站軟件系統實時升級,3發現安全隱患,第一時間由技術人員解決。
五、信息安全產品選擇和使用情況:
醫院內部服務器使用了IBM和戴爾的服務器,交換機使用了H3C.六、聘請測評機構按規范要求開展技術測評工作情況,根據測評結果開展整改情況:暫無聘請測評機構開展技術測評工作。
七、自行定期開展自查情況:
1每半年對醫院信息服務網進行一次信息系統安全保護自查和應急演練措施。2開展信息安全知識和技能培訓情況:主動學習信息安全法律法規,積極參加公安機關、上級主管部門組織的信息安全知識和技能培訓。
第四篇:網絡安全等級保護條例
第一章第二章第三章第四章第五章第六章第七章第八章 網絡安全等級保護條例
(征求意見稿)
目錄
總 則..........................................支持與保障......................................網絡的安全保護..................................涉密網絡的安全保護.............................密碼管理.......................................監督管理.......................................法律責任.......................................附 則.........................................第一章 總 則
第一條【立法宗旨與依據】為加強網絡安全等級保護工作,提高網絡安全防范能力和水平,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,依據《中華人民共和國網絡安全法》、《中華人民共和國保守國家秘密法》等法律,制定本條例。
第二條【適用范圍】在中華人民共和國境內建設、運營、維護、使用網絡,開展網絡安全等級保護工作以及監督管理,適用本條例。個人及家庭自建自用的網絡除外。
第三條【確立制度】國家實行網絡安全等級保護制度,對網絡實施分等級保護、分等級監管。
前款所稱“網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
第四條【工作原則】網絡安全等級保護工作應當按照突出重點、主動防御、綜合防控的原則,建立健全網絡安全防護體系,重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全。
網絡運營者在網絡建設過程中,應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。
3絡安全防范意識。
國家鼓勵和支持企事業單位、高等院校、研究機構等開展網絡安全等級保護制度的教育與培訓,加強網絡安全等級保護管理和技術人才培養。
第十四條【鼓勵創新】國家鼓勵利用新技術、新應用開展網絡安全等級保護管理和技術防護,采取主動防御、可信計算、人工智能等技術,創新網絡安全技術保護措施,提升網絡安全防范能力和水平。
國家對網絡新技術、新應用的推廣,組織開展網絡安全風險評估,防范網絡新技術、新應用的安全風險。
第三章 網絡的安全保護
第十五條【網絡等級】根據網絡在國家安全、經濟建設、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素,網絡分為五個安全保護等級。
(一)第一級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會秩序和公共利益的一般網絡。
(二)第二級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造
6用;
(八)落實違法信息發現、阻斷、消除等措施,落實防范違法信息大量傳播、違法犯罪證據滅失等措施;
(九)落實聯網備案和用戶真實身份查驗等責任;
(十)對網絡中發生的案事件,應當在二十四小時內向屬地公安機關報告;泄露國家秘密的,應當同時向屬地保密行政管理部門報告。
(十一)法律、行政法規規定的其他網絡安全保護義務。第二十一條【特殊安全保護義務】第三級以上網絡的運營者除履行本條例第二十條規定的網絡安全保護義務外,還應當履行下列安全保護義務:
(一)確定網絡安全管理機構,明確網絡安全等級保護的工作職責,對網絡變更、網絡接入、運維和技術保障單位變更等事項建立逐級審批制度;
(二)制定并落實網絡安全總體規劃和整體安全防護策略,制定安全建設方案,并經專業技術人員評審通過;
(三)對網絡安全管理負責人和關鍵崗位的人員進行安全背景審查,落實持證上崗制度;
(四)對為其提供網絡設計、建設、運維和技術服務的機構和人員進行安全管理;
(五)落實網絡安全態勢感知監測預警措施,建設網絡安全防護管理平臺,對網絡運行狀態、網絡流量、用戶行為、網絡安全案事件等進行動態監測分析,并與同級公安機關對接;
(六)落實重要網絡設備、通信鏈路、系統的冗余、備份和恢復措施;
(七)建立網絡安全等級測評制度,定期開展等級測評,并將測評情況及安全整改措施、整改結果向公安機關和有關部門報告;
(八)法律和行政法規規定的其他網絡安全保護義務。第二十二條【上線檢測】新建的第二級網絡上線運行前應當按照網絡安全等級保護有關標準規范,對網絡的安全性進行測試。
新建的第三級以上網絡上線運行前應當委托網絡安全等級測評機構按照網絡安全等級保護有關標準規范進行等級測評,通過等級測評后方可投入運行。
第二十三條【等級測評】第三級以上網絡的運營者應當每年開展一次網絡安全等級測評,發現并整改安全風險隱患,并每年將開展網絡安全等級測評的工作情況及測評結果向備案的公安機關報告。
第二十四條【安全整改】網絡運營者應當對等級測評中發現的安全風險隱患,制定整改方案,落實整改措施,消除風險隱患。
第二十五條【自查工作】網絡運營者應當每年對本單位落實網絡安全等級保護制度情況和網絡安全狀況至少開展一次自
第二十九條【技術維護要求】第三級以上網絡應當在境內實施技術維護,不得境外遠程技術維護。因業務需要,確需進行境外遠程技術維護的,應當進行網絡安全評估,并采取風險管控措施。實施技術維護,應當記錄并留存技術維護日志,并在公安機關檢查時如實提供。
第三十條【監測預警和信息通報】地市級以上人民政府應當建立網絡安全監測預警和信息通報制度,開展安全監測、態勢感知、通報預警等工作。
第三級以上網絡運營者應當建立健全網絡安全監測預警和信息通報制度,按照規定向同級公安機關報送網絡安全監測預警信息,報告網絡安全事件。有行業主管部門的,同時向行業主管部門報送和報告。
行業主管部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,按照規定向同級網信部門、公安機關報送網絡安全監測預警信息,報告網絡安全事件。
第三十一條【數據和信息安全保護】網絡運營者應當建立并落實重要數據和個人信息安全保護制度;采取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全;建立異地備份恢復等技術措施,保障重要數據的完整性、保密性和可用性。
未經允許或授權,網絡運營者不得收集與其提供的服務無關的數據和個人信息;不得違反法律、行政法規規定和雙方約
112涉密網絡中使用的安全保密產品,應當通過國家保密行政管理部門設立的檢測機構檢測。計算機病毒防護產品應當選用取得計算機信息系統安全專用產品銷售許可證的可靠產品,密碼產品應當選用國家密碼管理部門批準的產品。
第四十條【測評審查和風險評估】涉密網絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估,并經設區的市級以上保密行政管理部門審查合格,方可投入使用。
涉密網絡運營者在涉密網絡投入使用后,應定期開展安全保密檢查和風險自評估,并接受保密行政管理部門組織的安全保密風險評估。絕密級網絡每年至少進行一次,機密級和秘密級網絡每兩年至少進行一次。
公安機關、國家安全機關涉密網絡投入使用的管理,依照國家保密行政管理部門會同公安機關、國家安全機關制定的有關規定執行。
第四十一條【涉密網絡使用管理總體要求】涉密網絡運營者應當制定安全保密管理制度,組建相應管理機構,設臵安全保密管理人員,落實安全保密責任。
第四十二條【涉密網絡預警通報要求】涉密網絡運營者應建立健全本單位涉密網絡安全保密監測預警和信息通報制度,發現安全風險隱患的,應及時采取應急處臵措施,并向保密行政管理部門報告。
4密碼產品應當經過密碼管理部門批準,采用密碼技術的軟件系統、硬件設備等產品,應當通過密碼檢測。
密碼的檢測、裝備、采購和使用等,由密碼管理部門統一管理;系統設計、運行維護、日常管理和密碼評估,應當按照國家密碼管理相關法規和標準執行。
第四十七條【非涉密網絡密碼保護】非涉密網絡應當按照國家密碼管理法律法規和標準的要求,使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護,并使用國家密碼管理部門認可的密碼技術、產品和服務。
第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區市的密碼管理部門備案。
第四十八條【密碼安全管理責任】網絡運營者應當按照國家密碼管理法規和相關管理要求,履行密碼安全管理職責,加強密碼安全制度建設,完善密碼安全管理措施,規范密碼使用行為。
任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動,或者從事其他違法犯罪活動。
第六章 監督管理
第四十九條【安全監督管理】縣級以上公安機關對網絡運營者依照國家法律法規規定和相關標準規范要求,落實網絡安全等級保護制度,開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作,實行監督管理;對第三級以上網絡運營者按照網絡安全等級保護制度落實網絡基礎設施安全、網絡運行安全和數據安全保護責任義務,實行重點監督管理。
縣級以上公安機關對同級行業主管部門依照國家法律法規規定和相關標準規范要求,組織督促本行業、本領域落實網絡安全等級保護制度,開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作情況,進行監督、檢查、指導。
地市級以上公安機關每年將網絡安全等級保護工作情況通報同級網信部門。
第五十條【安全檢查】縣級以上公安機關對網絡運營者開展下列網絡安全工作情況進行監督檢查:
(一)日常網絡安全防范工作;
(二)重大網絡安全風險隱患整改情況;
(三)重大網絡安全事件應急處臵和恢復工作;
(四)重大活動網絡安全保護工作落實情況;
(五)其他網絡安全保護工作情況。
7自參加境外組織的網絡攻防活動。
第五十五條【事件調查】公安機關應當根據有關規定處置網絡安全事件,開展事件調查,認定事件責任,依法查處危害網絡安全的違法犯罪活動。必要時,可以責令網絡運營者采取阻斷信息傳輸、暫停網絡運行、備份相關數據等緊急措施。
網絡運營者應當配合、支持公安機關和有關部門開展事件調查和處置工作。
第五十六條【緊急情況斷網措施】網絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的,緊急情況下公安機關可以責令其停止聯網、停機整頓。
第五十七條【保密監督管理】保密行政管理部門負責對涉密網絡的安全保護工作進行監督管理,負責對非涉密網絡的失泄密行為的監管。發現存在安全隱患,違反保密法律法規,或者不符合保密標準保密的,按照《中華人民共和國保守國家秘密法》和國家保密相關規定處理。
第五十八條【密碼監督管理】密碼管理部門負責對網絡安全等級保護工作中的密碼管理進行監督管理,監督檢查網絡運營者對網絡的密碼配備、使用、管理和密碼評估情況。其中重要涉密信息系統每兩年至少開展一次監督檢查。監督檢查中發現存在安全隱患,或者違反密碼管理相關規定,或者不符合密碼相關標準規范要求的,按照國家密碼管理相關規定予以處理。
第五十九條【行業監督管理】行業主管部門應當組織制定本行業、本領域網絡安全等級保護工作規劃和標準規范,掌握網絡基本情況、定級備案情況和安全保護狀況;監督管理本行業、本領域網絡運營者開展網絡定級備案、等級測評、安全建設整改、安全自查等工作。
行業主管部門應當監督管理本行業、本領域網絡運營者依照網絡安全等級保護制度和相關標準規范要求,落實網絡安全管理和技術保護措施,組織開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作。
第六十條【監督管理責任】網絡安全等級保護監督管理部門及其工作人員應當對在履行職責中知悉的國家秘密、個人信息和重要數據嚴格保密,不得泄露、出售或者非法向他人提供。
第六十一條【執法協助】網絡運營者和技術支持單位應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供支持和協助。
第六十二條【網絡安全約談制度】省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網絡安全等級保護監督管理職責中,發現網絡存在較大安全風險隱患或者發生安全事件的,可以約談網絡運營者的法定代表人、主要負責人及其行業主管部門。
第七章 法律責任
第六十三條【違反安全保護義務】網絡運營者不履行本條例第十六條,第十七條第一款,第十八條第一款、第二款,第二十條、第二十二條第一款,第二十四條,第二十五條,第二十八條第一款,第三十一條第一款,第三十二條第二款規定的網絡安全保護義務的,由公安機關責令改正,依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。
第三級以上網絡運營者違反本條例第二十一條、第二十二條第二款、第二十三條規定、第二十八條第二款,第三十條第二款,第三十二條第一款規定的,按照前款規定從重處罰。
第六十四條【違反技術維護要求】網絡運營者違反本條例第二十九條規定,對第三級以上網絡實施境外遠程技術維護,未進行網絡安全評估、未采取風險管控措施、未記錄并留存技術維護日志的,由公安機關和相關行業主管部門依據各自職責責令改正,依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。
第六十五條【違反數據安全和個人信息保護要求】網絡運營者違反本條例第三十一條第二款規定,擅自收集、使用、提供數據和個人信息的,由網信部門、公安機關依據各自職責責令改正,依照《中華人民共和國網絡安全法》第六十四條第一款的規定處罰。
第六十六條【網絡安全服務責任】違反本條例第二十六條
1保密管理和密碼管理規定的,由保密行政管理部門或者密碼管理部門按照各自職責分工責令改正,拒不改正的,給予警告,并通報向其上級主管部門,建議對其主管人員和其他直接責任人員依法給予處分。
第六十九條【監管部門瀆職責任】網信部門、公安機關、國家保密行政管理部門、密碼管理部門以及有關行業主管部門及其工作人員有下列行為之一,對直接負責的主管人員和其他直接責任人員,或者有關工作人員依法給予處分:
(一)玩忽職守、濫用職權、徇私舞弊的;
(二)泄露、出售、非法提供在履行網絡安全等級保護監管職責中獲悉的國家秘密、個人信息和重要數據;或者將獲取其他信息,用于其他用途的。
第七十條【法律競合處理】違反本條例規定,構成違反治安管理行為的,由公安機關依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第八章 附 則
第七十一條【術語解釋】本條例所稱的“內”、“以上”包含本數;所稱的“行業主管部門”包含行業監管部門。
第七十二條【軍隊】軍隊的網絡安全等級保護工作,按照軍隊的有關法規執行。
第七十三條【生效時間】本條例由自
年 月 日起施行。
第五篇:xx信息等級安全保護自查報告
xx區地稅局信息系統安全自查報告
根據xx市地稅局對我局網絡與終端物理隔離和安全使用檢查情況反饋意見,參照《xx省地稅局2010年稅務信息系統安全檢查方案》,從“安全管理檢查”、“安全技術檢查”、“終端和移動存儲介質檢查和加固”等三大方面對xx區地稅局信息安全系統進行了認真地自查與整改,現將自查情況報告如下:
一、領導高度重視,組織、部門健全
xx區地稅局領導班子高度重視信息系統安全工作,本著“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,成立了xx區地稅局信息系統安全領導小組,區局一把手擔任領導小組組長,分管領導為副組長,下屬各單位負責人為成員。
各基層分局設立計算機管理員崗位,分別 有責任心、取得全國計算機等級二級以上(含二級)證書、熟悉業務操作的人員擔任,負責本單位計算機軟、硬件及網絡安全管理。對本單位計算機出現的軟、硬件問題及時上報區局信息中心。區局結合本部門的信息系統安全管理需求,不定期地對計算機管理員開展相關業務培訓。
二、結合安徽地稅系統安全自查方案,認真開展自查工作
(一)安全管理方面:區局制定了《xx區地稅局公文處理應急預案》、《xx區地稅局內部網站應急預案》、《xx區地稅局網絡故障應急預案》、《xx區地稅局計算機機房運行維護管理辦法》,并著重落實上級部門下發的信息安全政策、法規和規章制度。
確定信息中心一名工作人員擔任信息系統安全管理員,具體處理信息系統安全的相關工作。區局中心機房于2008年建成,面積約90平方米,安裝了接地保護裝置,配備了手持式滅火器,配有兩臺柜式空調,并確保空調24小時正常運轉。加強中心機房的供電管理,配備一臺專用的10KV UPS電源專供中心機房設備使用,配備一臺專用的6KV UPS電源專供征收大廳設備使用,并定期對UPS電池性能進行相應測試。
xx區地稅局辦公網絡已于2009年元月實行內、外網物理隔離,內外網均通過2套線路和隔離卡實現內外網切換。內網分為應用服務區與辦公區,通過一臺硬件防火墻進行對外與對外的訪問控制,所有內網服務器與終端均安裝網絡版病毒防火墻。外網通過硬件防火墻、上網行為管理工和防病毒網關實行訪問控制。局機關所有計算機安裝隔離卡進行內外網物理隔離,基層分局只在分局負責人計算機上安裝隔離卡實行內外網物理隔離,其他計算機只允許上內網。
征管數據市局集中后,區局目前的重要數據庫有區局內網數據庫、公文處理數據庫、車輛稅及觸摸查詢系統數據庫,定期對上述數據庫進行備份,并將備份數據復制到文件服務器上。
(二)安全技術方面:區局的網絡通過租用聯通的專線,實現市局、區局及分局三級網絡互聯,各基層分局通過路由交換和以太網兩種方式按入區局,區局機關按股室按分VLAN。
區局中心機房內網設備目前有1臺華為2631路由器、1臺華為3680路由器和2臺華為3552交換機為核心層,3臺華為3026交換機作為接入層。除華為3552交換機有熱備份,其他網絡設備沒有冷、熱備份,通過1臺東軟硬件防火墻進一步加強網絡安全管理。
區局中心機房外網設備目前有5臺華為3928交換機,1臺防病毒網關,1臺上網行為管理,1臺防火墻,另外租用網通地址,各基層分局以以太網方式接入互聯網。
xx區地稅局共有服務器6臺,5臺服務器的操作系統為Windows 2000 Server SP4,1臺服務器的操作系統為Windows 2003 Server,所有服務器根據賬號策略設置用戶密碼,強化安全管理。xx區地稅局所有內外網中的路由器和交換機均按照省局網絡運行管理規范進行命名管理,并對其用戶口令進行加密。內外網中的防火墻均設置訪問控制策略,提高系統的網絡安全系數。
(三)工作用臺式機、筆計本電腦和移動存儲介質檢查和加固: 及時更新臺式機和筆計本電腦的操作系統和應用程序補丁,禁用GUEST用戶組,統一安裝網絡版瑞星防病毒軟件,并通過設置自動升級和定時對計算機進行掃描,對外接的USB設備,必須進行病毒掃描。
三、存在的主要問題
通過本次自查發現,我局信息系統存在不少安全隱患問題,主要有以下幾方面:
(一)安全保護意識有待增強,各種安全保護措施有待加強,部分管理人員的安全保護意識薄弱。
(二)數據的存儲及備份機制還不夠完善,存在信息丟失的隱患,存在移動存儲介質內外網混用,個別筆記本電腦存在內外網混用。
(三)因區局搬遷新辦公樓后,對區局的內網進行了重新規劃,路由策略進行了了修改,核心網絡設備失效的路由策略未即時清理。
(四)重技術建設、輕安全保護。進行計算機信息系統建設規劃時,主要考慮了業務需求和系統技術性能要求,沒有很好地將系統的安全保護措施一并考慮,造成安全保護工作相對滯后。
四、加強安全保護工作的意見和建議
根據信息安全自查的情況,結合區局實際情況,現就加強區局信息系統安全工作,提出以下意見和建議:
(一)加強領導,提高對信息系統安全重要性和緊迫性的認識。組織相關人員認真學習與信息系統安全有關的管理規定,不斷增強信息系統安全保護意識,做到認識到位、措施到位、管理到位。
(二)認真落實技術防范措施,著重落實以下等安全保護技術措施:
1、系統重要數據的冗余或備份措施;
2、計算機病毒防治措施;
3、網絡攻擊防范、追蹤措施;
4、研究有關內網補丁升級的措施。
(三)嚴格防范內外網移動存儲混用,加強對移動存儲的分類管理,嚴禁在外網機器處理或保存涉稅文件,嚴格執行內、外網物理隔離制度。
(四)停用內外到外網出口,瑞星防病毒托管服務器升級下掛到市局。
(五)加強網絡和安全設備管理,調整網絡和安全設備配置,嚴格網絡訪問控制策略,保護網絡安全。
(六)加強中心機房的管理工作,提高機房運行環境,保障設備安全。
點擊咨詢 