第一篇:信息網(wǎng)絡(luò)安全等級(jí)保護(hù)
信息網(wǎng)絡(luò)安全等級(jí)保護(hù)
自檢自查報(bào)告
臨河人民醫(yī)院的的信息網(wǎng)絡(luò)安全建設(shè)在上級(jí)部門的 關(guān)心指導(dǎo)下,近年取得了快速的進(jìn)步和發(fā)展,根據(jù)市衛(wèi)生局《關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)檢查工作的通知》文件精神和要求及接到公安局文件后,醫(yī)院高度重視,及時(shí)召開院信息系統(tǒng)安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組會(huì)議,積極部署工作、明確責(zé)任、具體落實(shí),按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,認(rèn)真對(duì)照信息安全等級(jí)保護(hù)自查項(xiàng)目表,對(duì)我院信息安全等級(jí)保護(hù)工作進(jìn)行了一次摸底調(diào)查,現(xiàn)將此項(xiàng)工作自查情況匯報(bào)如下:
一、等級(jí)保護(hù)工作組織開展、實(shí)施情況:
成立了臨河區(qū)人民醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組,落實(shí)了信息安全責(zé)任制;對(duì)等級(jí)保護(hù)責(zé)任部門和崗位人員進(jìn)行了確定,確保專人落實(shí);制定了等級(jí)保護(hù)工作的文件及相關(guān)工作方案;嚴(yán)格按照國(guó)家等級(jí)保護(hù)政策、標(biāo)準(zhǔn)規(guī)范和行業(yè)主管部門的要求,組織開展各項(xiàng)工作;及時(shí)召開了信息系統(tǒng)安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組工作會(huì)議;醫(yī)院主要領(lǐng)導(dǎo)對(duì)等級(jí)保護(hù)工作作出了重要批示,并在工作會(huì)議上提出了四點(diǎn)要求。
2信息安全管理制度的建立和落實(shí)情況 院信息中心制定了《臨河區(qū)人民醫(yī)院信息化建設(shè)總體規(guī)劃》、《臨河區(qū)人民醫(yī)院信息系統(tǒng)工作制度與人員崗位職責(zé)目錄》、《臨河區(qū)人民醫(yī)院計(jì)算機(jī)管理系統(tǒng)應(yīng)急預(yù)案》、《臨河區(qū)人民醫(yī)院HIS信息系統(tǒng)工作制度》等相關(guān)制度,并在實(shí)際工作中對(duì)照制度嚴(yán)格執(zhí)行各項(xiàng)操作流程。
3按照信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求制定具體實(shí)施方案和落實(shí)情況
遵照有關(guān)法律法規(guī),對(duì)醫(yī)院信息服務(wù)網(wǎng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,對(duì)醫(yī)院信息服務(wù)網(wǎng)信息安全保護(hù)等級(jí)進(jìn)行了自主定級(jí)。
二、信息系統(tǒng)定級(jí)備案情況,信息系統(tǒng)變化及定級(jí)備案變動(dòng)情況:
按照《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公通字,2007?861號(hào)),對(duì)本單位維護(hù)的醫(yī)院內(nèi)網(wǎng)站(醫(yī)院信息和服務(wù)網(wǎng))安全保護(hù)等級(jí)級(jí)別定位第二級(jí)。
三、信息安全設(shè)施建設(shè)情況和信息安全整改情況:
1安全設(shè)施建設(shè)情況:我院計(jì)算機(jī)、公文處理軟件和信息系統(tǒng)安全產(chǎn)品均為國(guó)產(chǎn)產(chǎn)品,包括使用360、金山安全衛(wèi)士、金山毒霸、諾頓nod正版軟件等安全軟件。公文處理軟件使用了Microsoft Office系統(tǒng)。單位使用的工資系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)傳輸平臺(tái)系統(tǒng)、數(shù)據(jù)庫(kù)等應(yīng)用軟件均為市委、市政府政府相關(guān)部門、市財(cái)政局和市衛(wèi)生局統(tǒng)一指定的產(chǎn)品系統(tǒng)。重點(diǎn)信息系統(tǒng)使用的服務(wù)器、路由器、交換機(jī)等均為國(guó)產(chǎn)產(chǎn)品。2信息安全整改情況:
一信息系統(tǒng)安全工作還需要繼續(xù)完善和提高相應(yīng)的維護(hù)能力。隨著移動(dòng)護(hù)理查房的展開,信息工作人員還需要繼續(xù)提高信息系統(tǒng)安全管理和管護(hù)工作的水平。二設(shè)備維護(hù)、更新有待加強(qiáng)。科室的正版nod殺毒軟件維護(hù)能夠自動(dòng)更新升級(jí),并進(jìn)行了定時(shí)掃描,確保不存在系統(tǒng)漏洞,偶爾更換新主機(jī)ip地址會(huì)有沖突,IP網(wǎng)絡(luò)地址也進(jìn)行了統(tǒng)一管理。今后將對(duì)線路、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng),及時(shí)更新升級(jí)軟件和管理網(wǎng)絡(luò)地址。
三信息系統(tǒng)安全工作機(jī)制還有待完善。部門信息系統(tǒng)安全相關(guān)工作機(jī)制制度、應(yīng)急預(yù)案等還不健全,還要完善信息系統(tǒng)安全工作機(jī)制,建立完善信息系統(tǒng)安全應(yīng)急響應(yīng)機(jī)制,以提高醫(yī)院網(wǎng)絡(luò)信息工作的運(yùn)行效率,促進(jìn)醫(yī)療、辦公秩序的進(jìn)一步規(guī)范,防范風(fēng)險(xiǎn)。
四、信息安全管理制度建設(shè)和落實(shí)情況:
1制定了醫(yī)院信息服務(wù)網(wǎng)信息安全管理制度,按照“誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則開展工作,我單位負(fù)責(zé)人為第一責(zé)任人,對(duì)醫(yī)院信息服務(wù)網(wǎng)信息安全管理負(fù)直接責(zé)任,并接受上級(jí)單位的監(jiān)管。
2對(duì)醫(yī)院信息服務(wù)網(wǎng)機(jī)房實(shí)施了24小時(shí)值班,操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、防病毒系統(tǒng)、網(wǎng)站軟件系統(tǒng)實(shí)時(shí)升級(jí),3發(fā)現(xiàn)安全隱患,第一時(shí)間由技術(shù)人員解決。
五、信息安全產(chǎn)品選擇和使用情況:
醫(yī)院內(nèi)部服務(wù)器使用了IBM和戴爾的服務(wù)器,交換機(jī)使用了H3C.六、聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)按規(guī)范要求開展技術(shù)測(cè)評(píng)工作情況,根據(jù)測(cè)評(píng)結(jié)果開展整改情況:暫無(wú)聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)開展技術(shù)測(cè)評(píng)工作。
七、自行定期開展自查情況:
1每半年對(duì)醫(yī)院信息服務(wù)網(wǎng)進(jìn)行一次信息系統(tǒng)安全保護(hù)自查和應(yīng)急演練措施。2開展信息安全知識(shí)和技能培訓(xùn)情況:主動(dòng)學(xué)習(xí)信息安全法律法規(guī),積極參加公安機(jī)關(guān)、上級(jí)主管部門組織的信息安全知識(shí)和技能培訓(xùn)。
第二篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)條例
第一章第二章第三章第四章第五章第六章第七章第八章 網(wǎng)絡(luò)安全等級(jí)保護(hù)條例
(征求意見稿)
目錄
總 則..........................................支持與保障......................................網(wǎng)絡(luò)的安全保護(hù)..................................涉密網(wǎng)絡(luò)的安全保護(hù).............................密碼管理.......................................監(jiān)督管理.......................................法律責(zé)任.......................................附 則.........................................第一章 總 則
第一條【立法宗旨與依據(jù)】為加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作,提高網(wǎng)絡(luò)安全防范能力和水平,維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展,依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)保守國(guó)家秘密法》等法律,制定本條例。
第二條【適用范圍】在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)、使用網(wǎng)絡(luò),開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作以及監(jiān)督管理,適用本條例。個(gè)人及家庭自建自用的網(wǎng)絡(luò)除外。
第三條【確立制度】國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,對(duì)網(wǎng)絡(luò)實(shí)施分等級(jí)保護(hù)、分等級(jí)監(jiān)管。
前款所稱“網(wǎng)絡(luò)”是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。
第四條【工作原則】網(wǎng)絡(luò)安全等級(jí)保護(hù)工作應(yīng)當(dāng)按照突出重點(diǎn)、主動(dòng)防御、綜合防控的原則,建立健全網(wǎng)絡(luò)安全防護(hù)體系,重點(diǎn)保護(hù)涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全、運(yùn)行安全和數(shù)據(jù)安全。
網(wǎng)絡(luò)運(yùn)營(yíng)者在網(wǎng)絡(luò)建設(shè)過(guò)程中,應(yīng)當(dāng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行網(wǎng)絡(luò)安全保護(hù)、保密和密碼保護(hù)措施。
3絡(luò)安全防范意識(shí)。
國(guó)家鼓勵(lì)和支持企事業(yè)單位、高等院校、研究機(jī)構(gòu)等開展網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的教育與培訓(xùn),加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理和技術(shù)人才培養(yǎng)。
第十四條【鼓勵(lì)創(chuàng)新】國(guó)家鼓勵(lì)利用新技術(shù)、新應(yīng)用開展網(wǎng)絡(luò)安全等級(jí)保護(hù)管理和技術(shù)防護(hù),采取主動(dòng)防御、可信計(jì)算、人工智能等技術(shù),創(chuàng)新網(wǎng)絡(luò)安全技術(shù)保護(hù)措施,提升網(wǎng)絡(luò)安全防范能力和水平。
國(guó)家對(duì)網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的推廣,組織開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,防范網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的安全風(fēng)險(xiǎn)。
第三章 網(wǎng)絡(luò)的安全保護(hù)
第十五條【網(wǎng)絡(luò)等級(jí)】根據(jù)網(wǎng)絡(luò)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后,對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素,網(wǎng)絡(luò)分為五個(gè)安全保護(hù)等級(jí)。
(一)第一級(jí),一旦受到破壞會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成損害,但不危害國(guó)家安全、社會(huì)秩序和公共利益的一般網(wǎng)絡(luò)。
(二)第二級(jí),一旦受到破壞會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造
6用;
(八)落實(shí)違法信息發(fā)現(xiàn)、阻斷、消除等措施,落實(shí)防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施;
(九)落實(shí)聯(lián)網(wǎng)備案和用戶真實(shí)身份查驗(yàn)等責(zé)任;
(十)對(duì)網(wǎng)絡(luò)中發(fā)生的案事件,應(yīng)當(dāng)在二十四小時(shí)內(nèi)向?qū)俚毓矙C(jī)關(guān)報(bào)告;泄露國(guó)家秘密的,應(yīng)當(dāng)同時(shí)向?qū)俚乇C苄姓芾聿块T報(bào)告。
(十一)法律、行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護(hù)義務(wù)。第二十一條【特殊安全保護(hù)義務(wù)】第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者除履行本條例第二十條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)外,還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):
(一)確定網(wǎng)絡(luò)安全管理機(jī)構(gòu),明確網(wǎng)絡(luò)安全等級(jí)保護(hù)的工作職責(zé),對(duì)網(wǎng)絡(luò)變更、網(wǎng)絡(luò)接入、運(yùn)維和技術(shù)保障單位變更等事項(xiàng)建立逐級(jí)審批制度;
(二)制定并落實(shí)網(wǎng)絡(luò)安全總體規(guī)劃和整體安全防護(hù)策略,制定安全建設(shè)方案,并經(jīng)專業(yè)技術(shù)人員評(píng)審?fù)ㄟ^(guò);
(三)對(duì)網(wǎng)絡(luò)安全管理負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查,落實(shí)持證上崗制度;
(四)對(duì)為其提供網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、運(yùn)維和技術(shù)服務(wù)的機(jī)構(gòu)和人員進(jìn)行安全管理;
(五)落實(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警措施,建設(shè)網(wǎng)絡(luò)安全防護(hù)管理平臺(tái),對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量、用戶行為、網(wǎng)絡(luò)安全案事件等進(jìn)行動(dòng)態(tài)監(jiān)測(cè)分析,并與同級(jí)公安機(jī)關(guān)對(duì)接;
(六)落實(shí)重要網(wǎng)絡(luò)設(shè)備、通信鏈路、系統(tǒng)的冗余、備份和恢復(fù)措施;
(七)建立網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度,定期開展等級(jí)測(cè)評(píng),并將測(cè)評(píng)情況及安全整改措施、整改結(jié)果向公安機(jī)關(guān)和有關(guān)部門報(bào)告;
(八)法律和行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護(hù)義務(wù)。第二十二條【上線檢測(cè)】新建的第二級(jí)網(wǎng)絡(luò)上線運(yùn)行前應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)規(guī)范,對(duì)網(wǎng)絡(luò)的安全性進(jìn)行測(cè)試。
新建的第三級(jí)以上網(wǎng)絡(luò)上線運(yùn)行前應(yīng)當(dāng)委托網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)規(guī)范進(jìn)行等級(jí)測(cè)評(píng),通過(guò)等級(jí)測(cè)評(píng)后方可投入運(yùn)行。
第二十三條【等級(jí)測(cè)評(píng)】第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者應(yīng)當(dāng)每年開展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng),發(fā)現(xiàn)并整改安全風(fēng)險(xiǎn)隱患,并每年將開展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)的工作情況及測(cè)評(píng)結(jié)果向備案的公安機(jī)關(guān)報(bào)告。
第二十四條【安全整改】網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)等級(jí)測(cè)評(píng)中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)隱患,制定整改方案,落實(shí)整改措施,消除風(fēng)險(xiǎn)隱患。
第二十五條【自查工作】網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)每年對(duì)本單位落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度情況和網(wǎng)絡(luò)安全狀況至少開展一次自
第二十九條【技術(shù)維護(hù)要求】第三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)在境內(nèi)實(shí)施技術(shù)維護(hù),不得境外遠(yuǎn)程技術(shù)維護(hù)。因業(yè)務(wù)需要,確需進(jìn)行境外遠(yuǎn)程技術(shù)維護(hù)的,應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全評(píng)估,并采取風(fēng)險(xiǎn)管控措施。實(shí)施技術(shù)維護(hù),應(yīng)當(dāng)記錄并留存技術(shù)維護(hù)日志,并在公安機(jī)關(guān)檢查時(shí)如實(shí)提供。
第三十條【監(jiān)測(cè)預(yù)警和信息通報(bào)】地市級(jí)以上人民政府應(yīng)當(dāng)建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,開展安全監(jiān)測(cè)、態(tài)勢(shì)感知、通報(bào)預(yù)警等工作。
第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,按照規(guī)定向同級(jí)公安機(jī)關(guān)報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息,報(bào)告網(wǎng)絡(luò)安全事件。有行業(yè)主管部門的,同時(shí)向行業(yè)主管部門報(bào)送和報(bào)告。
行業(yè)主管部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,按照規(guī)定向同級(jí)網(wǎng)信部門、公安機(jī)關(guān)報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息,報(bào)告網(wǎng)絡(luò)安全事件。
第三十一條【數(shù)據(jù)和信息安全保護(hù)】網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立并落實(shí)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)制度;采取保護(hù)措施,保障數(shù)據(jù)和信息在收集、存儲(chǔ)、傳輸、使用、提供、銷毀過(guò)程中的安全;建立異地備份恢復(fù)等技術(shù)措施,保障重要數(shù)據(jù)的完整性、保密性和可用性。
未經(jīng)允許或授權(quán),網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的數(shù)據(jù)和個(gè)人信息;不得違反法律、行政法規(guī)規(guī)定和雙方約
112涉密網(wǎng)絡(luò)中使用的安全保密產(chǎn)品,應(yīng)當(dāng)通過(guò)國(guó)家保密行政管理部門設(shè)立的檢測(cè)機(jī)構(gòu)檢測(cè)。計(jì)算機(jī)病毒防護(hù)產(chǎn)品應(yīng)當(dāng)選用取得計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證的可靠產(chǎn)品,密碼產(chǎn)品應(yīng)當(dāng)選用國(guó)家密碼管理部門批準(zhǔn)的產(chǎn)品。
第四十條【測(cè)評(píng)審查和風(fēng)險(xiǎn)評(píng)估】涉密網(wǎng)絡(luò)應(yīng)當(dāng)由國(guó)家保密行政管理部門設(shè)立或者授權(quán)的保密測(cè)評(píng)機(jī)構(gòu)進(jìn)行檢測(cè)評(píng)估,并經(jīng)設(shè)區(qū)的市級(jí)以上保密行政管理部門審查合格,方可投入使用。
涉密網(wǎng)絡(luò)運(yùn)營(yíng)者在涉密網(wǎng)絡(luò)投入使用后,應(yīng)定期開展安全保密檢查和風(fēng)險(xiǎn)自評(píng)估,并接受保密行政管理部門組織的安全保密風(fēng)險(xiǎn)評(píng)估。絕密級(jí)網(wǎng)絡(luò)每年至少進(jìn)行一次,機(jī)密級(jí)和秘密級(jí)網(wǎng)絡(luò)每?jī)赡曛辽龠M(jìn)行一次。
公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)涉密網(wǎng)絡(luò)投入使用的管理,依照國(guó)家保密行政管理部門會(huì)同公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)制定的有關(guān)規(guī)定執(zhí)行。
第四十一條【涉密網(wǎng)絡(luò)使用管理總體要求】涉密網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定安全保密管理制度,組建相應(yīng)管理機(jī)構(gòu),設(shè)臵安全保密管理人員,落實(shí)安全保密責(zé)任。
第四十二條【涉密網(wǎng)絡(luò)預(yù)警通報(bào)要求】涉密網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)建立健全本單位涉密網(wǎng)絡(luò)安全保密監(jiān)測(cè)預(yù)警和信息通報(bào)制度,發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患的,應(yīng)及時(shí)采取應(yīng)急處臵措施,并向保密行政管理部門報(bào)告。
4密碼產(chǎn)品應(yīng)當(dāng)經(jīng)過(guò)密碼管理部門批準(zhǔn),采用密碼技術(shù)的軟件系統(tǒng)、硬件設(shè)備等產(chǎn)品,應(yīng)當(dāng)通過(guò)密碼檢測(cè)。
密碼的檢測(cè)、裝備、采購(gòu)和使用等,由密碼管理部門統(tǒng)一管理;系統(tǒng)設(shè)計(jì)、運(yùn)行維護(hù)、日常管理和密碼評(píng)估,應(yīng)當(dāng)按照國(guó)家密碼管理相關(guān)法規(guī)和標(biāo)準(zhǔn)執(zhí)行。
第四十七條【非涉密網(wǎng)絡(luò)密碼保護(hù)】非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國(guó)家密碼管理法律法規(guī)和標(biāo)準(zhǔn)的要求,使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護(hù),并使用國(guó)家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)。
第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段,按照密碼應(yīng)用安全性評(píng)估管理辦法和相關(guān)標(biāo)準(zhǔn),委托密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)開展密碼應(yīng)用安全性評(píng)估。網(wǎng)絡(luò)通過(guò)評(píng)估后,方可上線運(yùn)行,并在投入運(yùn)行后,每年至少組織一次評(píng)估。密碼應(yīng)用安全性評(píng)估結(jié)果應(yīng)當(dāng)報(bào)受理備案的公安機(jī)關(guān)和所在地設(shè)區(qū)市的密碼管理部門備案。
第四十八條【密碼安全管理責(zé)任】網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家密碼管理法規(guī)和相關(guān)管理要求,履行密碼安全管理職責(zé),加強(qiáng)密碼安全制度建設(shè),完善密碼安全管理措施,規(guī)范密碼使用行為。
任何單位和個(gè)人不得利用密碼從事危害國(guó)家安全、社會(huì)公共利益的活動(dòng),或者從事其他違法犯罪活動(dòng)。
第六章 監(jiān)督管理
第四十九條【安全監(jiān)督管理】縣級(jí)以上公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者依照國(guó)家法律法規(guī)規(guī)定和相關(guān)標(biāo)準(zhǔn)規(guī)范要求,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處臵、重大活動(dòng)網(wǎng)絡(luò)安全保護(hù)等工作,實(shí)行監(jiān)督管理;對(duì)第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度落實(shí)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運(yùn)行安全和數(shù)據(jù)安全保護(hù)責(zé)任義務(wù),實(shí)行重點(diǎn)監(jiān)督管理。
縣級(jí)以上公安機(jī)關(guān)對(duì)同級(jí)行業(yè)主管部門依照國(guó)家法律法規(guī)規(guī)定和相關(guān)標(biāo)準(zhǔn)規(guī)范要求,組織督促本行業(yè)、本領(lǐng)域落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處臵、重大活動(dòng)網(wǎng)絡(luò)安全保護(hù)等工作情況,進(jìn)行監(jiān)督、檢查、指導(dǎo)。
地市級(jí)以上公安機(jī)關(guān)每年將網(wǎng)絡(luò)安全等級(jí)保護(hù)工作情況通報(bào)同級(jí)網(wǎng)信部門。
第五十條【安全檢查】縣級(jí)以上公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者開展下列網(wǎng)絡(luò)安全工作情況進(jìn)行監(jiān)督檢查:
(一)日常網(wǎng)絡(luò)安全防范工作;
(二)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患整改情況;
(三)重大網(wǎng)絡(luò)安全事件應(yīng)急處臵和恢復(fù)工作;
(四)重大活動(dòng)網(wǎng)絡(luò)安全保護(hù)工作落實(shí)情況;
(五)其他網(wǎng)絡(luò)安全保護(hù)工作情況。
7自參加境外組織的網(wǎng)絡(luò)攻防活動(dòng)。
第五十五條【事件調(diào)查】公安機(jī)關(guān)應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定處置網(wǎng)絡(luò)安全事件,開展事件調(diào)查,認(rèn)定事件責(zé)任,依法查處危害網(wǎng)絡(luò)安全的違法犯罪活動(dòng)。必要時(shí),可以責(zé)令網(wǎng)絡(luò)運(yùn)營(yíng)者采取阻斷信息傳輸、暫停網(wǎng)絡(luò)運(yùn)行、備份相關(guān)數(shù)據(jù)等緊急措施。
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)配合、支持公安機(jī)關(guān)和有關(guān)部門開展事件調(diào)查和處置工作。
第五十六條【緊急情況斷網(wǎng)措施】網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)隱患嚴(yán)重威脅國(guó)家安全、社會(huì)秩序和公共利益的,緊急情況下公安機(jī)關(guān)可以責(zé)令其停止聯(lián)網(wǎng)、停機(jī)整頓。
第五十七條【保密監(jiān)督管理】保密行政管理部門負(fù)責(zé)對(duì)涉密網(wǎng)絡(luò)的安全保護(hù)工作進(jìn)行監(jiān)督管理,負(fù)責(zé)對(duì)非涉密網(wǎng)絡(luò)的失泄密行為的監(jiān)管。發(fā)現(xiàn)存在安全隱患,違反保密法律法規(guī),或者不符合保密標(biāo)準(zhǔn)保密的,按照《中華人民共和國(guó)保守國(guó)家秘密法》和國(guó)家保密相關(guān)規(guī)定處理。
第五十八條【密碼監(jiān)督管理】密碼管理部門負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的密碼管理進(jìn)行監(jiān)督管理,監(jiān)督檢查網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)網(wǎng)絡(luò)的密碼配備、使用、管理和密碼評(píng)估情況。其中重要涉密信息系統(tǒng)每?jī)赡曛辽匍_展一次監(jiān)督檢查。監(jiān)督檢查中發(fā)現(xiàn)存在安全隱患,或者違反密碼管理相關(guān)規(guī)定,或者不符合密碼相關(guān)標(biāo)準(zhǔn)規(guī)范要求的,按照國(guó)家密碼管理相關(guān)規(guī)定予以處理。
第五十九條【行業(yè)監(jiān)督管理】行業(yè)主管部門應(yīng)當(dāng)組織制定本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)安全等級(jí)保護(hù)工作規(guī)劃和標(biāo)準(zhǔn)規(guī)范,掌握網(wǎng)絡(luò)基本情況、定級(jí)備案情況和安全保護(hù)狀況;監(jiān)督管理本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)運(yùn)營(yíng)者開展網(wǎng)絡(luò)定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改、安全自查等工作。
行業(yè)主管部門應(yīng)當(dāng)監(jiān)督管理本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)運(yùn)營(yíng)者依照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和相關(guān)標(biāo)準(zhǔn)規(guī)范要求,落實(shí)網(wǎng)絡(luò)安全管理和技術(shù)保護(hù)措施,組織開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處臵、重大活動(dòng)網(wǎng)絡(luò)安全保護(hù)等工作。
第六十條【監(jiān)督管理責(zé)任】網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督管理部門及其工作人員應(yīng)當(dāng)對(duì)在履行職責(zé)中知悉的國(guó)家秘密、個(gè)人信息和重要數(shù)據(jù)嚴(yán)格保密,不得泄露、出售或者非法向他人提供。
第六十一條【執(zhí)法協(xié)助】網(wǎng)絡(luò)運(yùn)營(yíng)者和技術(shù)支持單位應(yīng)當(dāng)為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供支持和協(xié)助。
第六十二條【網(wǎng)絡(luò)安全約談制度】省級(jí)以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督管理職責(zé)中,發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn)隱患或者發(fā)生安全事件的,可以約談網(wǎng)絡(luò)運(yùn)營(yíng)者的法定代表人、主要負(fù)責(zé)人及其行業(yè)主管部門。
第七章 法律責(zé)任
第六十三條【違反安全保護(hù)義務(wù)】網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本條例第十六條,第十七條第一款,第十八條第一款、第二款,第二十條、第二十二條第一款,第二十四條,第二十五條,第二十八條第一款,第三十一條第一款,第三十二條第二款規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由公安機(jī)關(guān)責(zé)令改正,依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定處罰。
第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者違反本條例第二十一條、第二十二條第二款、第二十三條規(guī)定、第二十八條第二款,第三十條第二款,第三十二條第一款規(guī)定的,按照前款規(guī)定從重處罰。
第六十四條【違反技術(shù)維護(hù)要求】網(wǎng)絡(luò)運(yùn)營(yíng)者違反本條例第二十九條規(guī)定,對(duì)第三級(jí)以上網(wǎng)絡(luò)實(shí)施境外遠(yuǎn)程技術(shù)維護(hù),未進(jìn)行網(wǎng)絡(luò)安全評(píng)估、未采取風(fēng)險(xiǎn)管控措施、未記錄并留存技術(shù)維護(hù)日志的,由公安機(jī)關(guān)和相關(guān)行業(yè)主管部門依據(jù)各自職責(zé)責(zé)令改正,依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定處罰。
第六十五條【違反數(shù)據(jù)安全和個(gè)人信息保護(hù)要求】網(wǎng)絡(luò)運(yùn)營(yíng)者違反本條例第三十一條第二款規(guī)定,擅自收集、使用、提供數(shù)據(jù)和個(gè)人信息的,由網(wǎng)信部門、公安機(jī)關(guān)依據(jù)各自職責(zé)責(zé)令改正,依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六十四條第一款的規(guī)定處罰。
第六十六條【網(wǎng)絡(luò)安全服務(wù)責(zé)任】違反本條例第二十六條
1保密管理和密碼管理規(guī)定的,由保密行政管理部門或者密碼管理部門按照各自職責(zé)分工責(zé)令改正,拒不改正的,給予警告,并通報(bào)向其上級(jí)主管部門,建議對(duì)其主管人員和其他直接責(zé)任人員依法給予處分。
第六十九條【監(jiān)管部門瀆職責(zé)任】網(wǎng)信部門、公安機(jī)關(guān)、國(guó)家保密行政管理部門、密碼管理部門以及有關(guān)行業(yè)主管部門及其工作人員有下列行為之一,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,或者有關(guān)工作人員依法給予處分:
(一)玩忽職守、濫用職權(quán)、徇私舞弊的;
(二)泄露、出售、非法提供在履行網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)管職責(zé)中獲悉的國(guó)家秘密、個(gè)人信息和重要數(shù)據(jù);或者將獲取其他信息,用于其他用途的。
第七十條【法律競(jìng)合處理】違反本條例規(guī)定,構(gòu)成違反治安管理行為的,由公安機(jī)關(guān)依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第八章 附 則
第七十一條【術(shù)語(yǔ)解釋】本條例所稱的“內(nèi)”、“以上”包含本數(shù);所稱的“行業(yè)主管部門”包含行業(yè)監(jiān)管部門。
第七十二條【軍隊(duì)】軍隊(duì)的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作,按照軍隊(duì)的有關(guān)法規(guī)執(zhí)行。
第七十三條【生效時(shí)間】本條例由自
年 月 日起施行。
第三篇:信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注:其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求,藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。
一、物理安全
1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔(機(jī)房場(chǎng)地的選址說(shuō)明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施)
2、應(yīng)具有有來(lái)訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄;來(lái)訪人員進(jìn)入機(jī)房的登記記錄
3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求);電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì),電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄
4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記
5、介質(zhì)有分類標(biāo)識(shí);介質(zhì)分類存放在介質(zhì)庫(kù)或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類存放
6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng);機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告;機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄;
7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告;機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄
8、應(yīng)具有機(jī)房建筑的避雷裝置;通過(guò)驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè);
9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器;具有防雷檢測(cè)資質(zhì)的檢測(cè)部門對(duì)防雷裝置的檢測(cè)報(bào)告
10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng);自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄;消防產(chǎn)品有效期合格;自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門檢測(cè)合格的產(chǎn)品
11、應(yīng)具有除濕裝置;空調(diào)機(jī)和加濕器;溫濕度定期檢查和維護(hù)記錄
12、應(yīng)具有水敏感的檢測(cè)儀表或元件;對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警;防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄
13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施;溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄
14、應(yīng)具有短期備用電力供應(yīng)設(shè)備(如UPS);短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄
15、應(yīng)具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應(yīng)具有備用供電系統(tǒng)(如備用發(fā)電機(jī));備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄
二、安全管理制度
1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程,如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程
2、應(yīng)具有安全管理制度的制定程序:
3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進(jìn)行版本控制)
4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定,論證和審定方式如何(如召開評(píng)審會(huì)、函審、內(nèi)部審核等),應(yīng)具有管理制度評(píng)審記錄
5、應(yīng)具有安全管理制度的收發(fā)登記記錄,收發(fā)應(yīng)通過(guò)正式、有效的方式(如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等)----安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。
6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定,審定周期多長(zhǎng)。(安全管理制度體系的評(píng)審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查,對(duì)需要改進(jìn)的制度進(jìn)行修訂。(應(yīng)具有安全管理制度修訂記錄)
三、安全管理機(jī)構(gòu)
1、應(yīng)設(shè)立信息安全管理工作的職能部門
2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人
3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表)
4、安全管理員應(yīng)是專職人員
5、關(guān)鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組(最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任)
7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批(如系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問(wèn)等),審批部門是何部門,審批人是何人。審批程序:
8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通(信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議)
9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄,定期:
10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄(如會(huì)議記錄/紀(jì)要,信息安全工作決策文檔等)
11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。
13、聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)(具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄)
14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應(yīng)定期進(jìn)行全面安全檢查(安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報(bào)告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作(錄用過(guò)程)
2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查,對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核,技能考核文檔或記錄
3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容)
4、應(yīng)設(shè)定關(guān)鍵崗位,對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應(yīng)及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限(離崗人員所有訪問(wèn)權(quán)限終止的記錄)
6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等(交還身份證件和設(shè)備等的登記記錄)
7、人員離崗應(yīng)辦理調(diào)離手續(xù),是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識(shí)、安全技能等。
9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。
10、應(yīng)對(duì)各類人員(普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等)進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。
11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)(安全教育和培訓(xùn)的結(jié)果記錄,記錄應(yīng)與培訓(xùn)計(jì)劃一致)
12、外部人員進(jìn)入條件(對(duì)哪些重要區(qū)域的訪問(wèn)須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入),外部人員進(jìn)入的訪問(wèn)控制(由專人全程陪同或監(jiān)督等)
13、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的書面申請(qǐng)
14、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的登記記錄(記錄描述了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息及陪同人等)
五、系統(tǒng)建設(shè)管理
1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)(具有定級(jí)文檔,明確信息系統(tǒng)安全保護(hù)等級(jí))
2、應(yīng)具有系統(tǒng)建設(shè)/整改方案
3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,由何部門/何人負(fù)責(zé)
4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃(系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃)
5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定(配套文件的論證評(píng)審記錄或文檔)
6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂
7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本
8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關(guān)憑證,如銷售許可等,應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品
10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)
11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測(cè)試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊(cè)
14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)
17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼(該軟件包的惡意代碼檢測(cè)報(bào)告),檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)等開發(fā)文檔
20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試(第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告)
23、應(yīng)具有工程測(cè)試驗(yàn)收方案(測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告
25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作(具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見)
26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。
29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書
11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測(cè)試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊(cè)
14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)
17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼(該軟件包的惡意代碼檢測(cè)報(bào)告),檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)等開發(fā)文檔
20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試(第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告)
23、應(yīng)具有工程測(cè)試驗(yàn)收方案(測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告
25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作(具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見)
26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。
29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書
六、系統(tǒng)運(yùn)維管理
1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施(如空調(diào)、供配電設(shè)備等)進(jìn)行定期維護(hù),由何部門/何人負(fù)責(zé)。
2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄,空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄
3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作
4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理(工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件)
5、應(yīng)具有資產(chǎn)清單(覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面)
6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員
7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)
8、介質(zhì)存放于何種環(huán)境中,應(yīng)對(duì)存放環(huán)境實(shí)施專人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專用存儲(chǔ)空間))
9、應(yīng)具有介質(zhì)使用管理記錄,應(yīng)記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制
11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理,并定期盤點(diǎn)(介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄)
12、對(duì)送出維修或銷毀的介質(zhì)如何管理,銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。(對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn))(送修記錄、帶出記錄、銷毀記錄)
13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ),異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專用存儲(chǔ)空間)
14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽
15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)iT部門進(jìn)行定期維護(hù)。
16、應(yīng)具有設(shè)備操作手冊(cè)
17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程,由何人審批(審批記錄)
18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等
19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警
20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄
21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審
22、應(yīng)具有異常現(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告
23、應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理
24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作
25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí),更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份(網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄)
26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描,并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。
27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則,應(yīng)對(duì)配置文件進(jìn)行備份(具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份)
28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等)應(yīng)都得到授權(quán)與批準(zhǔn),由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理
30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書,應(yīng)具有網(wǎng)絡(luò)違規(guī)行為(如撥號(hào)上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試,并對(duì)重要文件進(jìn)行備份。
32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄
33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類(比如:劃分不同的管理角色,系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等)
34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析(有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告)
35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育,如告知應(yīng)及時(shí)升級(jí)軟件版本(對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔)
36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè),并保存記錄。
37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄
38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄(代碼庫(kù)的升級(jí)記錄),對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件,如何處理
39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。
41、重要系統(tǒng)的變更申請(qǐng)書,應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)
42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測(cè)試備份介質(zhì)的有效性
44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔
45、應(yīng)對(duì)安全事件記錄分析文檔
46、應(yīng)具有不同事件的應(yīng)急預(yù)案
47、應(yīng)具有應(yīng)急響應(yīng)小組,應(yīng)具備應(yīng)急設(shè)備并能正常工作,應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。
48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)(應(yīng)急預(yù)案培訓(xùn)記錄)
49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練(應(yīng)急預(yù)案演練記錄)50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新
51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。
第四篇:信息網(wǎng)絡(luò)安全等級(jí)保護(hù)工作自檢自查報(bào)告
信息網(wǎng)絡(luò)安全等級(jí)保護(hù)工作
自檢自查報(bào)告
XX縣煙草專賣局(分公司)的信息網(wǎng)絡(luò)安全建設(shè)在上級(jí)部門的關(guān)心指導(dǎo)下,近年取得了快速的進(jìn)步和發(fā)展,實(shí)效性強(qiáng),網(wǎng)絡(luò)安全防控能力大大增強(qiáng)。為進(jìn)一步貫徹落實(shí)行業(yè)網(wǎng)絡(luò)與信息安全各項(xiàng)管理規(guī)定,嚴(yán)格規(guī)范信息安全等級(jí)保護(hù),提高企業(yè)對(duì)信息網(wǎng)絡(luò)安全的防控能力,保障企業(yè)信息網(wǎng)絡(luò)安全,保證公司各項(xiàng)辦公自動(dòng)化工作的正常進(jìn)行,促進(jìn)企業(yè)效益的穩(wěn)步提升,按照《XX縣人民政府辦公室關(guān)于開展信息網(wǎng)絡(luò)信息安全等級(jí)保護(hù)安全檢查工作的通知》要求,我司組織相關(guān)人員對(duì)系統(tǒng)內(nèi)信息網(wǎng)絡(luò)安全等級(jí)保護(hù)工作認(rèn)真細(xì)致的自檢自查,現(xiàn)將自查情況報(bào)告如下。
一、等級(jí)保護(hù)工作部署和組織實(shí)施情況
XX縣煙草公司企業(yè)信息化建設(shè)在市局(公司)的統(tǒng)一領(lǐng)導(dǎo)下,按照“統(tǒng)一網(wǎng)絡(luò)、統(tǒng)一平臺(tái)、統(tǒng)一數(shù)據(jù)庫(kù)”的要求,以打造“數(shù)字煙草”為戰(zhàn)略目標(biāo),以“系統(tǒng)集成、資源整合、信息共享”為工作方針,取得了快速的發(fā)展,在積極推進(jìn)企業(yè)信息化建設(shè)的過(guò)程中,更加重視網(wǎng)絡(luò)信息的安全建設(shè)工作。從省公司到市公司、縣公司,領(lǐng)導(dǎo)高度重視,統(tǒng)一規(guī)劃,統(tǒng)一標(biāo)準(zhǔn),同步實(shí)施。首先是逐級(jí)成立了領(lǐng)導(dǎo)小組和職能部門,XX分公司按照上級(jí)部門要求,2000年11月成立了信息化領(lǐng)導(dǎo)小組,下設(shè)信息辦在公司辦公室,并設(shè)置了計(jì)算機(jī)系統(tǒng)管理員崗位,明確了各自的職責(zé)。由于網(wǎng)絡(luò)推廣應(yīng)用迅速,2005年重新更設(shè)了計(jì)算機(jī)網(wǎng)絡(luò)信息中心,旨在強(qiáng)化對(duì)企業(yè)的網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)安全管理。在歷次的機(jī)構(gòu)設(shè)置中,都明確了分公司主要領(lǐng)導(dǎo)分管信息工作,把網(wǎng)絡(luò)信息安全的建設(shè)與管理擺到了企業(yè)各項(xiàng)工作的重要位置中來(lái),表明了企業(yè)對(duì)信息化建設(shè)、網(wǎng)絡(luò)安全管理的高度重視和決心。其次是對(duì)行業(yè)的網(wǎng)絡(luò)安全建設(shè)高瞻遠(yuǎn)矚、統(tǒng)一標(biāo)準(zhǔn)、規(guī)范運(yùn)作、務(wù)求實(shí)效。先后省公司下發(fā)了《云南省煙草專賣局關(guān)于建設(shè)云南省行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)的通知》,對(duì)全行業(yè)的網(wǎng)絡(luò)信息安全建設(shè)作了明確、細(xì)致的規(guī)定,制定了高效規(guī)范的《云南省煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)方案》,統(tǒng)一在全系統(tǒng)范圍內(nèi)實(shí)施。隨后市局公司又下發(fā)了《曲靖市煙草專賣局(公司)關(guān)于建設(shè)網(wǎng)絡(luò)安全系統(tǒng)的通知》,對(duì)各分公司的網(wǎng)絡(luò)安全建設(shè)作了具體的安排部署。XX縣煙草公司嚴(yán)格按照上級(jí)部門要求,主動(dòng)推進(jìn)網(wǎng)絡(luò)安全建設(shè),嚴(yán)律遵循行業(yè)標(biāo)準(zhǔn)規(guī)范,組織實(shí)施信息項(xiàng)目,積極配合上級(jí)部門在全行業(yè)開展網(wǎng)絡(luò)安全建設(shè)工作。
二、信息系統(tǒng)安全保護(hù)等級(jí)備案情況
XX縣煙草專賣局(分公司)隸屬曲靖市煙草專賣局(公司)子公司,無(wú)法人資格。網(wǎng)絡(luò)信息安全建設(shè)也是依照市公司統(tǒng)一要求進(jìn)行,信息安全保護(hù)等級(jí)為二級(jí)。按照本次檢查要求,備案材料主要包括三類。一是各級(jí)各部門的文件,包括有:羅煙司字[2000]48號(hào)《關(guān)于成立云南省煙草XX縣公司信息化領(lǐng)導(dǎo)小組的通知》,省公司云煙科[2000]209號(hào)《關(guān)于決舉辦云南省煙草行業(yè)計(jì)算機(jī)系統(tǒng)管理員培訓(xùn)班的通知》,省公司云煙信[2003]552號(hào)《云南省煙草專賣局關(guān)于建設(shè)云南省煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)的通知》,市公司云曲煙專司字[2004]35號(hào)《曲靖市煙草專賣局(公司)關(guān)于建設(shè)網(wǎng)絡(luò)安全系統(tǒng)的通知》、《曲靖煙草專賣局(公司)黨政工作部關(guān)于舉辦網(wǎng)絡(luò)信息安全培訓(xùn)的通知》,市公司云曲煙辦字[2004]98號(hào)《曲靖市煙草專賣局(公司)關(guān)于建設(shè)地面專網(wǎng)的通知》等。第二類是各項(xiàng)網(wǎng)絡(luò)信息安全建設(shè)規(guī)范、技術(shù)標(biāo)準(zhǔn)及方案等,主要包括有:《云南省煙草行業(yè)信息網(wǎng)絡(luò)信息系統(tǒng)技術(shù)規(guī)范》兩部分,《云南省煙草行業(yè)信息網(wǎng)絡(luò)系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)技術(shù)規(guī)范》、《云南省煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)方案》。第三類是各類管理制度或規(guī)定,主要包括有:《云南省煙草行業(yè)信息網(wǎng)絡(luò)管理規(guī)范》、《云南省煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理制度》、《信息化工作管理規(guī)定》的網(wǎng)絡(luò)與信息安全管理,《網(wǎng)絡(luò)建設(shè)及信息維護(hù)按理規(guī)定》、《計(jì)算機(jī)設(shè)備管理規(guī)定》、《計(jì)算機(jī)機(jī)房管理規(guī)定》及《突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》等。
三、信息安全設(shè)施建設(shè)情況。
根據(jù)上級(jí)部門的統(tǒng)一規(guī)劃、建設(shè)要求,XX縣煙草公司積極推進(jìn)各項(xiàng)網(wǎng)絡(luò)安全建設(shè)工作。首先,為考慮網(wǎng)絡(luò)安全,結(jié)合業(yè)務(wù)實(shí)際,在網(wǎng)絡(luò)規(guī)劃時(shí)以建設(shè)專線為重點(diǎn),在全省煙草系統(tǒng)內(nèi)全部采用專線連接,實(shí)現(xiàn)互聯(lián)互通。在系統(tǒng)主干網(wǎng)絡(luò)建設(shè)上,先是采用衛(wèi)星專用通道聯(lián)網(wǎng),后改用DDN專線,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和普及,從2006年開始,全省煙草系統(tǒng),從省公司至市公司,從市公司至分公司,從分公司至煙葉站、煙葉收購(gòu)點(diǎn),采用帶寬不同的SDH專線連接。公司絕大部分業(yè)務(wù)均在內(nèi)網(wǎng)里運(yùn)行,各類數(shù)據(jù)信息通過(guò)內(nèi)網(wǎng)服務(wù)器和網(wǎng)絡(luò)流轉(zhuǎn)、共享,無(wú)外網(wǎng)托管現(xiàn)象,只有極少部分業(yè)務(wù)需掛外網(wǎng)。其次是不斷采用新技術(shù)、新手段做好網(wǎng)絡(luò)信息安全防范工作,嚴(yán)格劃分企業(yè)內(nèi)網(wǎng)與外網(wǎng),通過(guò)硬件防火墻設(shè)置,保證內(nèi)外信息交互有效進(jìn)行,實(shí)現(xiàn)對(duì)垃圾信息、非法訪問(wèn)的有效過(guò)濾。同時(shí),通過(guò)網(wǎng)絡(luò)版殺毒軟件的安裝使用,對(duì)計(jì)算機(jī)病毒進(jìn)行整體防治,另一方面,對(duì)操作終端還配置防木馬程序的軟件,以及軟件防火墻等軟件的使用,配合殺毒軟件對(duì)計(jì)算機(jī)病毒、黑客攻擊、木馬程序等進(jìn)行了有效的防范。總之,通過(guò)軟硬件技術(shù)手段的有效結(jié)合,使系統(tǒng)內(nèi)網(wǎng)及每個(gè)終端計(jì)算機(jī)、系統(tǒng)內(nèi)的信息、數(shù)據(jù)安全得到了有效保障,有效保證了企業(yè)各業(yè)務(wù)工作的順利開展。
四、管理制度建設(shè)情況。
煙草企業(yè)自2004年工商分制以來(lái),作為一分公司,在曲靖市煙草公司的直接領(lǐng)導(dǎo)下,各項(xiàng)工作穩(wěn)步推進(jìn),伴隨著社會(huì)效益、企業(yè)效益的逐年攀升,曲靖煙草企業(yè)更加注重管理模式的總結(jié)與創(chuàng)新,強(qiáng)調(diào)管理的精細(xì)化和規(guī)范化,通過(guò)長(zhǎng)時(shí)間的積累、總結(jié)和創(chuàng)新,對(duì)各行各業(yè)各個(gè)環(huán)節(jié)都制定了規(guī)范、有效的管理制度。形成了具有行業(yè)標(biāo)準(zhǔn)的相關(guān)制度-《曲靖煙草商業(yè)管理(QTCM)-管理制度》,在網(wǎng)絡(luò)信息安全方面涉及很多內(nèi)容。制定了《計(jì)算機(jī)設(shè)備管理規(guī)定》,旨在規(guī)范煙草系統(tǒng)計(jì)算機(jī)及相關(guān)設(shè)備的管理工作,促進(jìn)設(shè)備的有效管理,提高設(shè)備的綜合效率,滿足工作需求;制定了《計(jì)算機(jī)機(jī)房管理理規(guī)定》,旨在加強(qiáng)計(jì)算機(jī)機(jī)房的運(yùn)行、使用和管理,保證各信息系統(tǒng)的穩(wěn)定可靠運(yùn)行,促進(jìn)公司網(wǎng)絡(luò)的健康發(fā)展;制定了《信息化工作管理規(guī)定》、以及《網(wǎng)站建設(shè)及信息維護(hù)管理規(guī)定》,包括網(wǎng)絡(luò)和信息安全管理規(guī)定,旨在保證企業(yè)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行安全、可靠,做到實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和管理安全。2008年4月份,根據(jù)企業(yè)《職業(yè)健康安全管理體系》運(yùn)行的整改要求,制定了《突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》,包括機(jī)房滲漏水應(yīng)急預(yù)案、機(jī)房盜竊應(yīng)急預(yù)案、機(jī)房火災(zāi)應(yīng)急預(yù)案、機(jī)房長(zhǎng)時(shí)間停電應(yīng)急預(yù)案、通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案、網(wǎng)絡(luò)病毒爆發(fā)應(yīng)急預(yù)案、服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案、核心設(shè)備硬件故障應(yīng)急預(yù)案、業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案等九部分內(nèi)容,旨在加強(qiáng)對(duì)系統(tǒng)內(nèi)突發(fā)信息網(wǎng)絡(luò)事件的控制,迅速有效開展應(yīng)急救援行動(dòng),降低危害程度。總之,企業(yè)對(duì)網(wǎng)絡(luò)安全高度重視,制定了眾多管理制度,并積極層層落實(shí),責(zé)任分明,有效地保證了了企業(yè)長(zhǎng)期以來(lái)的網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定運(yùn)行。
五、信息安全產(chǎn)品選擇和使用情況。
我司的網(wǎng)絡(luò)信息安全產(chǎn)品,2004年開始根據(jù)市公司的要求,進(jìn)行統(tǒng)一配置。其中,硬件防火墻采用中端型產(chǎn)品,品牌型號(hào)為天融信NGFWARES-VPN(S),版本TOPSEC集中管理器V2.2.17,基本滿足管理要求。防病毒軟件曾采用趨勢(shì)Trend網(wǎng)絡(luò)版,2007年以后統(tǒng)一改用瑞星企業(yè)專用版,與全國(guó)大多企業(yè)一致選用國(guó)產(chǎn)軟件。網(wǎng)絡(luò)管理平臺(tái)軟件曾使用復(fù)旦光華T_Manager網(wǎng)絡(luò)綜合管理系統(tǒng),預(yù)計(jì)未來(lái)將采用其它新系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)綜合管理。此外,針對(duì)各終端設(shè)備的安全防范,我司還使用了正版的瑞星個(gè)人防火墻軟件和免費(fèi)版的奇虎360安全衛(wèi)土等安全軟件,實(shí)現(xiàn)防病毒、木馬程序、黑客、非法程序等的輔助管理,進(jìn)一步提高了整個(gè)系統(tǒng)的安全防范能力和管理水平。
六、聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)開展技術(shù)測(cè)評(píng)情況
我司的網(wǎng)絡(luò)安全檢測(cè)及風(fēng)險(xiǎn)評(píng)估工作也是依照市局(公司)的統(tǒng)一要求組織實(shí)施,按照市公司的統(tǒng)一安排,聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)為曲靖市麒麟?yún)^(qū)聯(lián)創(chuàng)信息網(wǎng)絡(luò)有限公司,檢測(cè)時(shí)間一般為每年6至7月份,檢測(cè)內(nèi)容為:機(jī)房物理環(huán)境、服務(wù)器、網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、防火墻),桌面終端等,其中,桌面終端采用抽查方式進(jìn)行檢測(cè),抽查率不少于總數(shù)的30%,檢測(cè)工作中,工程師需簽訂《云南省網(wǎng)絡(luò)與信息系統(tǒng)安全檢測(cè)單位保密承諾》和安全檢測(cè)保密協(xié)議,檢測(cè)結(jié)果及報(bào)告由市公司保存。
七、定期自查情況
XX縣煙草公司高度重視網(wǎng)絡(luò)安全建設(shè)工作,強(qiáng)調(diào)日常維護(hù)、安全防范和定期自查工作。對(duì)管理制度不斷完善更新,新技術(shù)新手段積極采用,借助于企業(yè)職業(yè)健康安全管理體系的貫標(biāo)、運(yùn)行和提升工作,不斷開展網(wǎng)絡(luò)信息安全的檢查工作,對(duì)一經(jīng)查出的問(wèn)題及時(shí)整改,自己不能解決的及時(shí)上報(bào)上級(jí)部門,給予幫助解決,有效地促進(jìn)了整個(gè)安全防控體系的完善和管理水平的提高。
曲靖市煙草公司XX分公司
二OO八年十月三十日 關(guān)于上報(bào)宣州區(qū)地稅局信息系統(tǒng)安全自查的報(bào)告
宣州區(qū)地方稅務(wù)局文件
宣區(qū)地稅〔2010〕77號(hào)
簽發(fā)人: 殷本輝
關(guān)于上報(bào)宣州區(qū)地稅局信息系統(tǒng)安全自查的報(bào)告
宣城市地方稅務(wù)局
根據(jù)宣城市地稅局對(duì)我局網(wǎng)絡(luò)與終端物理隔離和安全使用檢查情況反饋意見,參照安徽地稅信息系統(tǒng)安全自查方案,我局對(duì)全區(qū)網(wǎng)絡(luò)與信息安全現(xiàn)狀進(jìn)行了自查,查找薄弱環(huán)節(jié)和安全隱患,進(jìn)一步強(qiáng)化信息安全意識(shí)、規(guī)范信息安全管理,以提高網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力,現(xiàn)將自查情況上報(bào)給你們。
(本文只發(fā)電子文件)
二〇一〇年六月二十四日
宣州區(qū)地稅局信息系統(tǒng)安全自查報(bào)告
根據(jù)宣城市地稅局對(duì)我局網(wǎng)絡(luò)與終端物理隔離和安全使用檢查情況反饋意見,參照《安徽省地稅局2010年稅務(wù)信息系統(tǒng)安全檢查方案》,從“安全管理檢查”、“安全技術(shù)檢查”、“終端和移動(dòng)存儲(chǔ)介質(zhì)檢查和加固”等三大方面對(duì)宣州區(qū)地稅局信息安全系統(tǒng)進(jìn)行了認(rèn)真地自查與整改,現(xiàn)將自查情況報(bào)告如下:
一、領(lǐng)導(dǎo)高度重視,組織、部門健全
宣州區(qū)地稅局領(lǐng)導(dǎo)班子高度重視信息系統(tǒng)安全工作,本著“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,成立了宣州區(qū)地稅局信息系統(tǒng)安全領(lǐng)導(dǎo)小組,區(qū)局一把手擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng),分管領(lǐng)導(dǎo)為副組長(zhǎng),下屬各單位負(fù)責(zé)人為成員。
各基層分局設(shè)立計(jì)算機(jī)管理員崗位,分別 有責(zé)任心、取得全國(guó)計(jì)算機(jī)等級(jí)二級(jí)以上(含二級(jí))證書、熟悉業(yè)務(wù)操作的人員擔(dān)任,負(fù)責(zé)本單位計(jì)算機(jī)軟、硬件及網(wǎng)絡(luò)安全管理。對(duì)本單位計(jì)算機(jī)出現(xiàn)的軟、硬件問(wèn)題及時(shí)上報(bào)區(qū)局信息中心。區(qū)局結(jié)合本部門的信息系統(tǒng)安全管理需求,不定期地對(duì)計(jì)算機(jī)管理員開展相關(guān)業(yè)務(wù)培訓(xùn)。
二、結(jié)合安徽地稅系統(tǒng)安全自查方案,認(rèn)真開展自查工作
(一)安全管理方面:區(qū)局制定了《宣州區(qū)地稅局公文處理應(yīng)急預(yù)案》、《宣州區(qū)地稅局內(nèi)部網(wǎng)站應(yīng)急預(yù)案》、《宣州區(qū)地稅局網(wǎng)絡(luò)故障應(yīng)急預(yù)案》、《宣州區(qū)地稅局計(jì)算機(jī)機(jī)房運(yùn)行維護(hù)管理辦法》,并著重落實(shí)上級(jí)部門下發(fā)的信息安全政策、法規(guī)和規(guī)章制度。確定信息中心一名工作人員擔(dān)任信息系統(tǒng)安全管理員,具體處理信息系統(tǒng)安全的相關(guān)工作。區(qū)局中心機(jī)房于2008年建成,面積約90平方米,安裝了接地保護(hù)裝置,配備了手持式滅火器,配有兩臺(tái)柜式空調(diào),并確保空調(diào)24小時(shí)正常運(yùn)轉(zhuǎn)。加強(qiáng)中心機(jī)房的供電管理,配備一臺(tái)專用的10KV UPS電源專供中心機(jī)房設(shè)備使用,配備一臺(tái)專用的6KV UPS電源專供征收大廳設(shè)備使用,并定期對(duì)UPS電池性能進(jìn)行相應(yīng)測(cè)試。
宣州區(qū)地稅局辦公網(wǎng)絡(luò)已于2009年元月實(shí)行內(nèi)、外網(wǎng)物理隔離,內(nèi)外網(wǎng)均通過(guò)2套線路和隔離卡實(shí)現(xiàn)內(nèi)外網(wǎng)切換。內(nèi)網(wǎng)分為應(yīng)用服務(wù)區(qū)與辦公區(qū),通過(guò)一臺(tái)硬件防火墻進(jìn)行對(duì)外與對(duì)外的訪問(wèn)控制,所有內(nèi)網(wǎng)服務(wù)器與終端均安裝網(wǎng)絡(luò)版病毒防火墻。外網(wǎng)通過(guò)硬件防火墻、上網(wǎng)行為管理工和防病毒網(wǎng)關(guān)實(shí)行訪問(wèn)控制。局機(jī)關(guān)所有計(jì)算機(jī)安裝隔離卡進(jìn)行內(nèi)外網(wǎng)物理隔離,基層分局只在分局負(fù)責(zé)人計(jì)算機(jī)上安裝隔離卡實(shí)行內(nèi)外網(wǎng)物理隔離,其他計(jì)算機(jī)只允許上內(nèi)網(wǎng)。
征管數(shù)據(jù)市局集中后,區(qū)局目前的重要數(shù)據(jù)庫(kù)有區(qū)局內(nèi)網(wǎng)數(shù)據(jù)庫(kù)、公文處理數(shù)據(jù)庫(kù)、車輛稅及觸摸查詢系統(tǒng)數(shù)據(jù)庫(kù),定期對(duì)上述數(shù)據(jù)庫(kù)進(jìn)行備份,并將備份數(shù)據(jù)復(fù)制到文件服務(wù)器上。
(二)安全技術(shù)方面:區(qū)局的網(wǎng)絡(luò)通過(guò)租用聯(lián)通的專線,實(shí)現(xiàn)市局、區(qū)局及分局三級(jí)網(wǎng)絡(luò)互聯(lián),各基層分局通過(guò)路由交換和以太網(wǎng)兩種方式按入?yún)^(qū)局,區(qū)局機(jī)關(guān)按股室按分VLAN。區(qū)局中心機(jī)房?jī)?nèi)網(wǎng)設(shè)備目前有1臺(tái)華為2631路由器、1臺(tái)華為3680路由器和2臺(tái)華為3552交換機(jī)為核心層,3臺(tái)華為3026交換機(jī)作為接入層。除華為3552交換機(jī)有熱備份,其他網(wǎng)絡(luò)設(shè)備沒有冷、熱備份,通過(guò)1臺(tái)東軟硬件防火墻進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全管理。
區(qū)局中心機(jī)房外網(wǎng)設(shè)備目前有5臺(tái)華為3928交換機(jī),1臺(tái)防病毒網(wǎng)關(guān),1臺(tái)上網(wǎng)行為管理,1臺(tái)防火墻,另外租用網(wǎng)通地址,各基層分局以以太網(wǎng)方式接入互聯(lián)網(wǎng)。
宣州區(qū)地稅局共有服務(wù)器6臺(tái),5臺(tái)服務(wù)器的操作系統(tǒng)為Windows 2000 Server SP4,1臺(tái)服務(wù)器的操作系統(tǒng)為Windows 2003 Server,所有服務(wù)器根據(jù)賬號(hào)策略設(shè)置用戶密碼,強(qiáng)化安全管理。
宣州區(qū)地稅局所有內(nèi)外網(wǎng)中的路由器和交換機(jī)均按照省局網(wǎng)絡(luò)運(yùn)行管理規(guī)范進(jìn)行命名管理,并對(duì)其用戶口令進(jìn)行加密。內(nèi)外網(wǎng)中的防火墻均設(shè)置訪問(wèn)控制策略,提高系統(tǒng)的網(wǎng)絡(luò)安全系數(shù)。
(三)工作用臺(tái)式機(jī)、筆計(jì)本電腦和移動(dòng)存儲(chǔ)介質(zhì)檢查和加固: 及時(shí)更新臺(tái)式機(jī)和筆計(jì)本電腦的操作系統(tǒng)和應(yīng)用程序補(bǔ)丁,禁用GUEST用戶組,統(tǒng)一安裝網(wǎng)絡(luò)版瑞星防病毒軟件,并通過(guò)設(shè)置自動(dòng)升級(jí)和定時(shí)對(duì)計(jì)算機(jī)進(jìn)行掃描,對(duì)外接的USB設(shè)備,必須進(jìn)行病毒掃描。
三、存在的主要問(wèn)題
通過(guò)本次自查發(fā)現(xiàn),我局信息系統(tǒng)存在不少安全隱患問(wèn)題,主要有以下幾方面:
(一)安全保護(hù)意識(shí)有待增強(qiáng),各種安全保護(hù)措施有待加強(qiáng),部分管理人員的安全保護(hù)意識(shí)薄弱。
(二)數(shù)據(jù)的存儲(chǔ)及備份機(jī)制還不夠完善,存在信息丟失的隱患,存在移動(dòng)存儲(chǔ)介質(zhì)內(nèi)外網(wǎng)混用,個(gè)別筆記本電腦存在內(nèi)外網(wǎng)混用。
(三)因區(qū)局搬遷新辦公樓后,對(duì)區(qū)局的內(nèi)網(wǎng)進(jìn)行了重新規(guī)劃,路由策略進(jìn)行了了修改,核心網(wǎng)絡(luò)設(shè)備失效的路由策略未即時(shí)清理。
(四)重技術(shù)建設(shè)、輕安全保護(hù)。進(jìn)行計(jì)算機(jī)信息系統(tǒng)建設(shè)規(guī)劃時(shí),主要考慮了業(yè)務(wù)需求和系統(tǒng)技術(shù)性能要求,沒有很好地將系統(tǒng)的安全保護(hù)措施一并考慮,造成安全保護(hù)工作相對(duì)滯后。
四、加強(qiáng)安全保護(hù)工作的意見和建議
根據(jù)信息安全自查的情況,結(jié)合區(qū)局實(shí)際情況,現(xiàn)就加強(qiáng)區(qū)局信息系統(tǒng)安全工作,提出以下意見和建議:
(一)加強(qiáng)領(lǐng)導(dǎo),提高對(duì)信息系統(tǒng)安全重要性和緊迫性的認(rèn)識(shí)。組織相關(guān)人員認(rèn)真學(xué)習(xí)與信息系統(tǒng)安全有關(guān)的管理規(guī)定,不斷增強(qiáng)信息系統(tǒng)安全保護(hù)意識(shí),做到認(rèn)識(shí)到位、措施到位、管理到位。
(二)認(rèn)真落實(shí)技術(shù)防范措施,著重落實(shí)以下等安全保護(hù)技術(shù)措施:
1、系統(tǒng)重要數(shù)據(jù)的冗余或備份措施;
2、計(jì)算機(jī)病毒防治措施;
3、網(wǎng)絡(luò)攻擊防范、追蹤措施;
4、研究有關(guān)內(nèi)網(wǎng)補(bǔ)丁升級(jí)的措施。
(三)嚴(yán)格防范內(nèi)外網(wǎng)移動(dòng)存儲(chǔ)混用,加強(qiáng)對(duì)移動(dòng)存儲(chǔ)的分類管理,嚴(yán)禁在外網(wǎng)機(jī)器處理或保存涉稅文件,嚴(yán)格執(zhí)行內(nèi)、外網(wǎng)物理隔離制度。
(四)停用內(nèi)外到外網(wǎng)出口,瑞星防病毒托管服務(wù)器升級(jí)下掛到市局。
(五)加強(qiáng)網(wǎng)絡(luò)和安全設(shè)備管理,調(diào)整網(wǎng)絡(luò)和安全設(shè)備配置,嚴(yán)格網(wǎng)絡(luò)訪問(wèn)控制策略,保護(hù)網(wǎng)絡(luò)安全。
(六)加強(qiáng)中心機(jī)房的管理工作,提高機(jī)房運(yùn)行環(huán)境,保障設(shè)備安全。
黃河科技學(xué)院網(wǎng)絡(luò)信息安全防范系統(tǒng)
情況自查報(bào)告
隨著網(wǎng)絡(luò)在我校教學(xué)與管理環(huán)節(jié)中的普及,我校領(lǐng)導(dǎo)已充分認(rèn)識(shí)到開展高校校園和網(wǎng)絡(luò)信息安全防范工作,是加強(qiáng)維護(hù)高校穩(wěn)定工作,為高校創(chuàng)造良好的教學(xué)科研環(huán)境,推進(jìn)高校校園安全防范系統(tǒng)和網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)的重要措施。自一九九九年我校初建校園網(wǎng),一直到現(xiàn)在,上至領(lǐng)導(dǎo)下到我們中心的工作人員一直比較注重網(wǎng)絡(luò)的安全性。嚴(yán)格按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”、“誰(shuí)主辦、誰(shuí)負(fù)責(zé)”的原則,各單位、部門層層落實(shí)責(zé)任制,明確責(zé)任人和職責(zé),細(xì)化工作措施和流程,建立完善了一系列的管理制度和實(shí)施辦法,確保使用的網(wǎng)絡(luò)和提供服務(wù)信息的安全。現(xiàn)根據(jù)省教育廳的《關(guān)于在開展高校校園和網(wǎng)絡(luò)信息安全防范系統(tǒng)情況調(diào)查工作的通知》的文件精神,對(duì)我校的網(wǎng)絡(luò)與信息安全與網(wǎng)絡(luò)與信息服務(wù)等內(nèi)容做了詳細(xì)的自查,自查情況如下:
(一)我校于一九九九年十月,成立了以常務(wù)副校長(zhǎng)為組長(zhǎng),以網(wǎng)絡(luò)中心主任董峰及保衛(wèi)處處長(zhǎng)宋同先為副組長(zhǎng)的黃河科技學(xué)院網(wǎng)絡(luò)中心安全組織。
(二)根據(jù)我校的網(wǎng)絡(luò)發(fā)展情況以及國(guó)家、省、市等有關(guān)的文件精神,我們相繼建立了一系列的安全管理制度,并落實(shí)到各部門。如:信息的發(fā)布審核由新聞辦指辦專人負(fù)責(zé);信息的監(jiān)視、保存、備份、清除由網(wǎng)絡(luò)中心負(fù)責(zé);校內(nèi)所有上網(wǎng)的帳號(hào)、郵件帳號(hào)、網(wǎng)站帳號(hào)等我們都做有實(shí)名備案;對(duì)于較為知名的公眾網(wǎng)絡(luò)媒體,如我校相關(guān)的百度貼吧,我校新聞辦公室也安排專人負(fù)責(zé)信息的監(jiān)管工作,以實(shí)現(xiàn)正面的引導(dǎo),并及時(shí)發(fā)現(xiàn)和刪除各類有害信息,維護(hù)學(xué)校和社會(huì)的穩(wěn)定。
(三)我們加強(qiáng)了安全保護(hù)技術(shù)措施,切實(shí)抓緊、抓實(shí)、抓好,保障了學(xué)校網(wǎng)絡(luò)和信息安全,網(wǎng)絡(luò)運(yùn)行正常、使用規(guī)范,網(wǎng)站沒有發(fā)現(xiàn)有害信息和不良連接,網(wǎng)絡(luò)節(jié)點(diǎn)安全設(shè)施基本符合要求。我們使用了天融信防火墻與天闐入侵監(jiān)測(cè)系統(tǒng)相結(jié)合,使日志留存具有保存60日以上系統(tǒng)運(yùn)行日志和用戶使用日志記錄功能,內(nèi)容包括IP地址及使用情況,交互式欄目發(fā)布者和上、下網(wǎng)時(shí)間及信息、主頁(yè)維護(hù)者、郵箱使用者和對(duì)應(yīng)的IP地址情況等;對(duì)于郵件服務(wù)器,我們使用的是億郵,并配套使用了億郵網(wǎng)關(guān),并與公安部門實(shí)行了數(shù)據(jù)對(duì)接,有效的隔離了垃圾郵件,防止有害信息的干擾和破壞。對(duì)于我們的網(wǎng)站信息服務(wù)系統(tǒng)建立了備份,一旦受到破壞能及時(shí)恢復(fù)正常。
(四)針對(duì)網(wǎng)上突發(fā)事件,我們制定了應(yīng)急處置方案,細(xì)化流程,責(zé)任到人。做到及時(shí)預(yù)警、快速反應(yīng)、果斷處置網(wǎng)上突發(fā)事件。
(五)我校網(wǎng)絡(luò)中心經(jīng)過(guò)仔細(xì)排查,已經(jīng)關(guān)閉所有校園網(wǎng)內(nèi)開通的交互式欄目(BBS,留言板);對(duì)于必須使用留言服務(wù)的招生咨詢網(wǎng)站,我們采取了用戶發(fā)布信息必須審核和記錄用戶IP地址的機(jī)制。同時(shí)由新聞辦公室安排專人負(fù)責(zé)信息審核工作,并在技術(shù)上采用了關(guān)鍵字過(guò)濾來(lái)防止有害信息。由于我們的高度重視,認(rèn)真組織,確保了網(wǎng)絡(luò)正常運(yùn)行和信息安全,至今為止沒有發(fā)生任何事故,受到了我校有關(guān)領(lǐng)導(dǎo)的肯定和好評(píng)。當(dāng)然,隨著科技的發(fā)展,社會(huì)信息的不斷擴(kuò)大,新時(shí)代,新情況對(duì)網(wǎng)絡(luò)安全技術(shù)的要求也越來(lái)越高,新的問(wèn)題也會(huì)不斷出現(xiàn),我們真正希望通過(guò)省廳的此次網(wǎng)絡(luò)信息安全防范系統(tǒng)情況的調(diào)查使我校的網(wǎng)絡(luò)運(yùn)行得更安全,有利于社會(huì)的安定及國(guó)家的繁榮昌盛。
永勝縣供銷合作社聯(lián)合社
2010年上半年政府信息系統(tǒng)安全檢查自查報(bào)告
根據(jù)《永勝縣人民政府辦公室關(guān)于開展政府信息系統(tǒng)安全檢查的通知》(永政辦發(fā)〔2010〕56號(hào))文件精神,結(jié)合我社實(shí)際,認(rèn)真組織開展了信息系統(tǒng)的安全自查工作。現(xiàn)將相關(guān)情況報(bào)告如下:
一、信息系統(tǒng)安全檢查基本情況
㈠信息安全組織機(jī)構(gòu)落實(shí)情況
為規(guī)范信息公開工作,落實(shí)好信息安全的相關(guān)規(guī)定,我社成立了信息安全工作領(lǐng)導(dǎo)小組,落實(shí)了管理機(jī)構(gòu),由聯(lián)社辦公室負(fù)責(zé)信息安全的日常管理工作,明確了信息安全的主管領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)和具體管理人員。
㈡日常信息安全管理落實(shí)情況
根據(jù)供銷合作社的工作實(shí)際,供銷社日常信息安全工作主要涉及上級(jí)下發(fā)的涉密文件管理、政府信息公開工作信息管理、業(yè)務(wù)工作相關(guān)數(shù)據(jù)信息管理、組織人事信息管理。根據(jù)這些實(shí)際,縣聯(lián)社已從落實(shí)管理機(jī)構(gòu)和人員、加強(qiáng)教育培訓(xùn)、更新設(shè)備、健全完善相關(guān)制度等方面對(duì)信息安全的人員、資產(chǎn)、運(yùn)行和維護(hù)管理進(jìn)行了落實(shí)。
一是,落實(shí)具體負(fù)責(zé)信息安全工作的人員,對(duì)涉密信息文件、材料實(shí)行專人管理;對(duì)重要辦公區(qū)、辦公計(jì)算機(jī)等進(jìn)行嚴(yán)格管理,確保信息保密工作。
二是,結(jié)合供銷社工作實(shí)際,對(duì)涉密文件材料管理和計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備等的維修、報(bào)廢、銷毀管理進(jìn)行了規(guī)定。對(duì)日常信息辦公軟件、應(yīng)用軟件等的安裝使用,主要是由上級(jí)組織人事部門、業(yè)務(wù)主管部門下發(fā)的業(yè)務(wù)工作應(yīng)用軟件,均按照上級(jí)部門的要求和規(guī)定,嚴(yán)格進(jìn)行操作管理。
三是,結(jié)合供銷社政府信息公開工作,按照信息公開的相關(guān)保密規(guī)定和程序,初步建立了《永勝縣供銷合作社政府信息公開保密審查制度(試行)》,對(duì)信息公開、陽(yáng)光政府四項(xiàng)制度等公開發(fā)布信息保密審查機(jī)制、程序進(jìn)行了規(guī)范,完善相關(guān)信息審批備案和日常記錄。
㈢等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估
永勝縣供銷合作社的相關(guān)信息系統(tǒng)主要是業(yè)務(wù)工作,不是重要涉密部門,還達(dá)不到涉密信息系統(tǒng)等級(jí),所以,沒有對(duì)信息系統(tǒng)定級(jí)、測(cè)評(píng)和評(píng)估。
㈣技術(shù)安全防范措施和手段落實(shí)情況
1、計(jì)算機(jī)及網(wǎng)絡(luò)經(jīng)過(guò)檢查,已安裝了防火墻,同時(shí)配置安裝了專業(yè)殺毒軟件,加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并按縣委保密局的要求,在主要的計(jì)算機(jī)上統(tǒng)一粘貼了“非涉密計(jì)算機(jī)嚴(yán)禁處理涉密信息”的標(biāo)識(shí),杜絕涉密和非涉密計(jì)算機(jī)之間的混用。
2、網(wǎng)絡(luò)終端沒有違規(guī)上國(guó)際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象,沒有安裝無(wú)線網(wǎng)絡(luò)等。對(duì)信息公開發(fā)布門戶網(wǎng)站及相關(guān)應(yīng)用系統(tǒng)帳戶、口令等進(jìn)行檢查,對(duì)服務(wù)器上的應(yīng)用、服務(wù)、端口和鏈接進(jìn)行了檢查,沒有網(wǎng)站信息被非法篡改,也沒有非法鏈接。同時(shí),日常工作中,及時(shí)對(duì)計(jì)算機(jī)進(jìn)行漏洞掃描、木馬檢測(cè)等,加強(qiáng)安全監(jiān)管。我單位使用的計(jì)算機(jī)都為非涉密計(jì)算機(jī),主要是用于業(yè)務(wù)工作,沒有用于處理涉密信息的情況。目前,網(wǎng)絡(luò)運(yùn)行良好,安全防范措施和設(shè)備運(yùn)行良好,沒有涉及國(guó)家秘密的相關(guān)信息,未在網(wǎng)上存儲(chǔ)、傳輸國(guó)家秘密信息,未發(fā)生過(guò)失密、泄密現(xiàn)象。
3、密碼技術(shù)防范方面。我單位的相關(guān)信息還達(dá)不到涉密信息系統(tǒng)等級(jí),目前還沒有使用密碼技術(shù)防護(hù)措施。
㈤應(yīng)急工作機(jī)制建設(shè)情況
1、應(yīng)急響應(yīng)機(jī)制建設(shè)上,根據(jù)相關(guān)要求,建立了信息安全的相關(guān)規(guī)章制度,要求縣社信息安全管理辦公室根據(jù)信息安全工作情況及時(shí)向工作領(lǐng)導(dǎo)小組報(bào)告相關(guān)情況,并及時(shí)上報(bào)縣信息化辦公室,及時(shí)采取有效措施,處理相關(guān)問(wèn)題。目前,還沒有應(yīng)急響應(yīng)方案。
2、對(duì)非涉密的相關(guān)重要工作信息實(shí)行光盤備份,以防范計(jì)算機(jī)系統(tǒng)故障帶來(lái)的損失和影響。
3、目前,我社的信息安全管理工作還沒有明確應(yīng)急技術(shù)支援隊(duì)伍,主要由縣社辦公室根據(jù)工作中的問(wèn)題向縣信息辦及時(shí)報(bào)告咨詢解決。目前,沒有發(fā)生信息安全事件。
㈥信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用情況
我單位終端計(jì)算機(jī)安裝的防火墻、入侵檢測(cè)設(shè)備、殺毒軟件等信息安全產(chǎn)品,使用360安全衛(wèi)士等軟件,皆為國(guó)產(chǎn)產(chǎn)品。公文處理軟件具體使用金山軟件的WPS office系統(tǒng)和Microsoft Office系統(tǒng)。單位使用的工資系統(tǒng)、業(yè)務(wù)統(tǒng)計(jì)報(bào)表系統(tǒng)、組織人事統(tǒng)計(jì)系統(tǒng)等應(yīng)用軟件均為縣委、縣政府相關(guān)部門和市供銷社統(tǒng)一指定的產(chǎn)品系統(tǒng)。
㈦安全教育培訓(xùn)情況
1、縣供銷社積極參加全縣保密工作會(huì)議和縣委政府相關(guān)部門組織的信息系統(tǒng)安全知識(shí)培訓(xùn),并專門負(fù)責(zé)機(jī)關(guān)的網(wǎng)絡(luò)安全管理和信息安全工作。
2、結(jié)合集中學(xué)習(xí),縣供銷社對(duì)全縣保密工作會(huì)議精神進(jìn)行了傳達(dá)學(xué)習(xí)。同時(shí),在日常工作中相關(guān)保密、信息安全工作人員也結(jié)合《保密工作》雜志及相關(guān)文件精神,開展自學(xué),提高信息安全意識(shí)、保密意識(shí)。
㈧信息安全經(jīng)費(fèi)保障。
縣供銷合作社信息安全工作得到縣社領(lǐng)導(dǎo)高度重視,信息安全相關(guān)學(xué)習(xí)培訓(xùn)材料的征訂購(gòu)買和相關(guān)防護(hù)設(shè)施建設(shè)、運(yùn)行、維護(hù)和管理經(jīng)費(fèi)均納入預(yù)算,實(shí)報(bào)實(shí)銷,為信息安全提供了經(jīng)費(fèi)保障。
二、信息安全檢查存在的主要問(wèn)題及整改情況
經(jīng)過(guò)安全檢查,我單位信息安全總體情況良好,但也存在了一些不足,同時(shí)結(jié)合單位工作實(shí)際,進(jìn)行了整改同時(shí)提出了進(jìn)一步整改的措施。
1、部分干部職工對(duì)信息安全工作的認(rèn)識(shí)不到位。由于本部門工作涉密很少,機(jī)關(guān)干部對(duì)信息安全防范的意識(shí)還不高,對(duì)信息系統(tǒng)安全工作重要性的認(rèn)識(shí)還不足。針對(duì)這些情況,縣社領(lǐng)導(dǎo)已結(jié)合傳達(dá)全縣保密工作會(huì)議精神,進(jìn)一步作了強(qiáng)調(diào)和要求。結(jié)合工作開展,今后將繼續(xù)加強(qiáng)對(duì)機(jī)關(guān)干部的信息系統(tǒng)安全意識(shí)教育,提高干部職工對(duì)信息安全工作重要性的認(rèn)識(shí)。
2、設(shè)備維護(hù)、更新不及時(shí)。部分股室計(jì)算機(jī)的殺毒軟件、防護(hù)軟件沒有及時(shí)進(jìn)行更新升級(jí),存在部分漏洞。針對(duì)這些問(wèn)題,辦公室已及時(shí)對(duì)各終端計(jì)算機(jī)的殺毒軟件、防火墻等進(jìn)行了更新升級(jí),對(duì)存在的漏洞進(jìn)行了修復(fù)。今后將對(duì)線路、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng),及時(shí)更新升級(jí)防護(hù)軟件。
3、信息系統(tǒng)安全工作的水平還有待加強(qiáng)。供銷社的信息系統(tǒng)工作人員均為兼職人員,非專業(yè)人員,對(duì)信息安全的管護(hù)水平低,還需要加強(qiáng)專業(yè)學(xué)習(xí)培訓(xùn),提高信息安全管理和管護(hù)工作的水平。
4、信息安全工作機(jī)制還有待完善。部門信息安全相關(guān)工作機(jī)制制度、應(yīng)急預(yù)案等還不健全,還要完善信息安全工作機(jī)制,建立完善信息安全應(yīng)急響應(yīng)機(jī)制,以提高機(jī)關(guān)網(wǎng)絡(luò)信息工作的運(yùn)行效率,促進(jìn)辦公秩序的進(jìn)一步規(guī)范,防范風(fēng)險(xiǎn)。
三、對(duì)信息安全檢查工作的意見和建議
一是,進(jìn)一步加大對(duì)信息安全工作人員的業(yè)務(wù)培訓(xùn)。由于很多部門的信息安全工作人員均為兼職,均是“半路出家”,非專業(yè)人員,沒有專業(yè)的技能和知識(shí),希望進(jìn)一步加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)安全管理工作的業(yè)務(wù)操作培訓(xùn),發(fā)放一些信息網(wǎng)絡(luò)安全管理方面的業(yè)務(wù)知識(shí)材料。
二是,加強(qiáng)對(duì)各級(jí)各部門干部職工的信息系統(tǒng)安全教育。通過(guò)開展專題警示教育培訓(xùn),增強(qiáng)信息系統(tǒng)安全意識(shí),提高做好信息安全工作的主動(dòng)性和自覺性。
三是,加強(qiáng)分類指導(dǎo)。由于各部門工作性質(zhì)不同,信息安全的級(jí)別也不同。希望結(jié)合各部門工作實(shí)際,對(duì)重點(diǎn)信息安全部門和非重點(diǎn)信息安全部門進(jìn)行分類指導(dǎo)。
二○一○年六月二十二日
瀘州市人民政府信息化管理辦公室:
根據(jù)你辦《關(guān)于印發(fā)<2009瀘州市政府信息系統(tǒng)安全檢查指南>的通知》(市府信管辦〔2009〕33號(hào))文件要求和市府辦召開的網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案暨信息系統(tǒng)安全檢查工作會(huì)的要求,現(xiàn)就我區(qū)政府信息系統(tǒng)安全檢查自查情況匯報(bào)如下:
一、信息安全總體情況
10月15日、16日參加完市上會(huì)議之后,我區(qū)及時(shí)開展了信息系統(tǒng)安全情況的調(diào)查摸底工作,制定了工作方案,并獲得領(lǐng)導(dǎo)的大力支持。于10月23日印發(fā)了《2009瀘州市納溪區(qū)政府信息系統(tǒng)安全檢查指南》的通知。在10月27日,我區(qū)召開了全區(qū)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案暨政府信息系統(tǒng)安全檢查工作會(huì),安排布置了全區(qū)的工作。
1、安全制度落實(shí)情況
經(jīng)自查發(fā)現(xiàn),我區(qū)各級(jí)各單位的網(wǎng)絡(luò)與信息系統(tǒng)管理機(jī)構(gòu)比較完善,有主管領(lǐng)導(dǎo)和具體檢查人員,信息安全責(zé)任制和各項(xiàng)安全保密制度較完善,重要部門人員管理制度落實(shí),每個(gè)部門都落實(shí)了一名人員,負(fù)責(zé)信息日常安全。嚴(yán)格實(shí)行了“誰(shuí)上網(wǎng),誰(shuí)使用,誰(shuí)負(fù)責(zé)”的原則。重要信息上網(wǎng)必須經(jīng)過(guò)單位分管領(lǐng)導(dǎo)批準(zhǔn),一般信息上網(wǎng)必須經(jīng)過(guò)部門負(fù)責(zé)人審核。我區(qū)針對(duì)新中國(guó)成立60周年國(guó)慶制定了完善的應(yīng)急工作方案,堅(jiān)持了網(wǎng)絡(luò)值班。同時(shí)將信息安全經(jīng)費(fèi)列入財(cái)政預(yù)算,今年全區(qū)已落實(shí)近15萬(wàn)元用于網(wǎng)絡(luò)與信息安全建設(shè)。
近年來(lái),通過(guò)中心機(jī)房建設(shè)和對(duì)網(wǎng)絡(luò)配套改造,建成了覆蓋全區(qū)的高速信息網(wǎng)絡(luò)系統(tǒng)。我區(qū)部署了網(wǎng)絡(luò)硬件路由、防火墻,黨政網(wǎng)上應(yīng)用了金山毒霸網(wǎng)絡(luò)版殺毒軟件,政務(wù)外網(wǎng)上應(yīng)用了卡巴斯基網(wǎng)絡(luò)版殺毒軟件。機(jī)房實(shí)施了UPS供電,建立了中心機(jī)房網(wǎng)絡(luò)雷電防護(hù)
體系。我區(qū)建立健全了網(wǎng)絡(luò)值班制度,加強(qiáng)了網(wǎng)絡(luò)值班工作,區(qū)信息化辦工作人員每天對(duì)設(shè)備運(yùn)行情況、網(wǎng)站信息發(fā)布情況進(jìn)行監(jiān)控,并填寫值班日志。
2、安全防范措施落實(shí)情況
我區(qū)要求各級(jí)各單位嚴(yán)格按保密管理、密碼管理、等級(jí)保護(hù)要求,對(duì)上黨政網(wǎng)的計(jì)算機(jī)進(jìn)行了加密保護(hù)。涉密計(jì)算機(jī)實(shí)行專人管理,責(zé)任到人。對(duì)涉密介質(zhì),如光盤、磁盤、優(yōu)盤等由專人管理。做到了涉密計(jì)算機(jī)定點(diǎn)維修,保證了涉密計(jì)算機(jī)的安全和保密;同時(shí)加強(qiáng)對(duì)涉密文件資料的管理,所有印發(fā)的涉及單位秘密的文件資料者是在單位文印部門(打印中心)制作,并編排序號(hào);上級(jí)發(fā)來(lái)的涉密文件資料都是作好嚴(yán)格登記,并根據(jù)工作需要,嚴(yán)格控制范圍,認(rèn)真履行了傳借閱國(guó)家秘密文件登記、簽收手續(xù),未有丟失現(xiàn)象;對(duì)秘密文件都是實(shí)行專門文件夾傳閱,并將領(lǐng)導(dǎo)閱后的秘密文件收回并專門保管,防止秘
密文件的流失。
自查發(fā)現(xiàn),我區(qū)計(jì)算機(jī)使用國(guó)產(chǎn)化率較高,主要的品牌有聯(lián)想、清華同方等,使用較多的非國(guó)產(chǎn)品牌有HP、DELL等。字處理軟件95%以上都使用微軟Office,只有少數(shù)使用國(guó)產(chǎn)WPS。互聯(lián)網(wǎng)終端計(jì)算機(jī)上85%使用的瑞星和金山毒霸等殺毒軟件,少數(shù)使用360安全衛(wèi)士和卡巴斯基等。黨政網(wǎng)的計(jì)算機(jī)90%以上都使用了網(wǎng)絡(luò)版金山毒霸,電子政務(wù)外網(wǎng)
85%以上都使用了網(wǎng)絡(luò)版的卡巴斯基。
我區(qū)各級(jí)各單位都高度重視政府信息系統(tǒng)安全檢查工作,為了搞好這次檢查,都成立了領(lǐng)導(dǎo)小組,主要領(lǐng)導(dǎo)親自抓,分管領(lǐng)導(dǎo)具體抓。對(duì)這次檢查進(jìn)行了統(tǒng)籌安排,嚴(yán)密組織,明確了職責(zé),強(qiáng)化了責(zé)任,以確保檢查不走過(guò)場(chǎng),注重實(shí)效,確保檢查質(zhì)量,以切實(shí)提高政府信息系統(tǒng)安全保障能力,確保我區(qū)政府信息系統(tǒng)安全運(yùn)行。
二、信息安全檢查發(fā)現(xiàn)的主要問(wèn)題及整改情況
根據(jù)《通知》中的具體要求,在自查過(guò)程中我們也發(fā)現(xiàn)了一些不足,同時(shí)結(jié)合我區(qū)實(shí)際,今后要在以下幾個(gè)方面進(jìn)行整改。
1、部分單位安全意識(shí)不夠。部分單位工作人員信息安全意識(shí)不夠,未引起高度重視。檢查要求其要高度保持信息安全工作的警惕性,從政治和大局出發(fā),繼續(xù)加強(qiáng)對(duì)機(jī)關(guān)干部的安全意識(shí)教育,提高做好安全工作的主動(dòng)性和自覺性。
2、部分單位缺乏相關(guān)專業(yè)人員。由于部分單位缺乏相關(guān)專業(yè)技術(shù)人員,信息系統(tǒng)安全方面可投入的力量非常有限,下一步要加強(qiáng)相關(guān)技術(shù)人員的培訓(xùn)工作。
3、部分單位安全制度落實(shí)不力。要求各單位要加強(qiáng)制度建設(shè),加大安全制度的執(zhí)行力度,責(zé)任追究力度。要強(qiáng)化問(wèn)責(zé)制度,對(duì)于行動(dòng)緩慢、執(zhí)行不力、導(dǎo)致不良后果的單位和個(gè)人,要嚴(yán)肅追究相關(guān)責(zé)任人責(zé)任,從而提高人員安全防護(hù)意識(shí)。
4、部分單位工作機(jī)制有待完善。部分單位網(wǎng)絡(luò)與信息安全管理混亂,要進(jìn)一步創(chuàng)新安全工作機(jī)制,提高機(jī)關(guān)網(wǎng)絡(luò)信息工作的運(yùn)行效率,進(jìn)一步規(guī)范辦公秩序。
5、計(jì)算機(jī)病毒問(wèn)題較為嚴(yán)重。由于單位經(jīng)費(fèi)緊張,部分單位使用的是盜版殺毒軟件,有的是網(wǎng)上下載的,有的是已過(guò)期不能升級(jí)的,更有不裝殺毒軟件的。要求各單位加大投
入,確保用上正版殺毒軟件。
6、計(jì)算機(jī)密碼管理重視不夠。相當(dāng)部分計(jì)算機(jī)未設(shè)置密碼,有的密碼設(shè)置也過(guò)于簡(jiǎn)單。要求各臺(tái)計(jì)算機(jī)至少要設(shè)置8-10個(gè)字符的開機(jī)密碼。
三、對(duì)信息安全檢查工作的建議和意見
信息和信息網(wǎng)絡(luò)安全的防范和監(jiān)管是信息主管部門的一個(gè)重要職責(zé)。明確信息安全檢查工作是為了加強(qiáng)安全防范,在此,對(duì)于做好安全防范工作建議如下:
1、明確各層組織機(jī)構(gòu)和人員的網(wǎng)絡(luò)和信息安全責(zé)任,實(shí)現(xiàn)組織和人力上的安全保證;
2、組織建立和健全各項(xiàng)信息和信息網(wǎng)絡(luò)安全制度,實(shí)現(xiàn)制度和管理上的安全保證;規(guī)范日常信息化管理和檢查制度。包括:軟件管理、硬件管理、機(jī)房管理、系統(tǒng)運(yùn)行和維護(hù)管理、網(wǎng)絡(luò)管理等,提出并實(shí)施各系統(tǒng)配置和標(biāo)準(zhǔn)化設(shè)置,便于安全的維護(hù)和加固,實(shí)
現(xiàn)基礎(chǔ)管理上的安全保證;
3、組織好單位內(nèi)的項(xiàng)目協(xié)調(diào)、實(shí)施、推廣應(yīng)用與培訓(xùn)等工作,確保信息化項(xiàng)目的實(shí)施成效,實(shí)現(xiàn)規(guī)劃和應(yīng)用上的安全保證;
4、我區(qū)對(duì)網(wǎng)絡(luò)與信息安全檢查工作進(jìn)行了部署,建議市上指導(dǎo)我區(qū)開展網(wǎng)絡(luò)和信息
系統(tǒng)安全應(yīng)急演練。
瀘州市納溪區(qū)人民政府信息化管理辦公室
二OO九年十一月五日
第五篇:煙草專賣局信息網(wǎng)絡(luò)安全等級(jí)保護(hù)工作自檢自查報(bào)告
煙草專賣局信息網(wǎng)絡(luò)安全等級(jí)保護(hù)工作自檢自查報(bào)告
根據(jù)市局通知要求,我局立即開展了一系列的自查自評(píng)活動(dòng),認(rèn)真對(duì)照2010年綜治、安全目標(biāo)管理考評(píng)辦法,精心部署并周密安排了對(duì)全年綜治、安全工作的自查自糾活動(dòng),自查自糾結(jié)束后,我局還對(duì)照2010年綜治、安全考評(píng)表對(duì)自查結(jié)果進(jìn)行自我評(píng)價(jià)。現(xiàn)將自查自評(píng)情況匯報(bào)如下:
一、制定科學(xué)的安全管理制度,確保各項(xiàng)規(guī)定落實(shí)到位
二、為使綜治工作進(jìn)一步規(guī)范化、制度化,確保綜治安全工作做到有章可循、嚴(yán)格依章管好每一個(gè)崗位的人員,我局在原有制度的基礎(chǔ)上,完善了安全工作十三條制度、七項(xiàng)職責(zé),完善健全了車輛和駕駛員管理臺(tái)帳,車輛派車單、車隊(duì)工作、車輛使用、維修、派車、停放制度和駕駛員管理制度。同時(shí)成立了各類機(jī)構(gòu),設(shè)立了專門安全員,并與各部門及相關(guān)崗位簽訂了安全責(zé)任獎(jiǎng)。為了確保制度的行之有效,我局把安全工作列入各科室的績(jī)效考評(píng)。
二、對(duì)重點(diǎn)部位進(jìn)行細(xì)致的檢查。
對(duì)局卷煙倉(cāng)庫(kù)、財(cái)務(wù)室、微機(jī)房、網(wǎng)點(diǎn)中隊(duì)等重點(diǎn)部位滅火器、應(yīng)急照明、疏散指示標(biāo)志等進(jìn)行自查,有10個(gè)滅火器需在11月中旬換藥,目前已全部更換好,均達(dá)安全要求,其他各類防盜設(shè)施、監(jiān)控系統(tǒng)完整好用,網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定,制定了安全保衛(wèi)管理制度,并定期對(duì)員工進(jìn)行安全教育和突發(fā)事件應(yīng)對(duì)措施教育,加強(qiáng)員工的安全防患意
識(shí),全面落實(shí)人防、物防、技防措施,確保安全。
三、節(jié)假日值班及日常檢查情況。
我縣局(公司)聯(lián)系實(shí)際,在重大節(jié)日和非常時(shí)期都落實(shí)了24小時(shí)值班制度,并由領(lǐng)導(dǎo)親自帶班,交接班按嚴(yán)格進(jìn)行登記,值班人員堅(jiān)守崗位,沒有無(wú)故缺崗,值班巡查作好了詳細(xì)記錄。堅(jiān)持開展常規(guī)性檢查、突擊性檢查和專項(xiàng)檢查相結(jié)合的方式,發(fā)現(xiàn)隱患及時(shí)認(rèn)真整改,防止了事故的發(fā)生,并對(duì)自查、整改情況記入《安全檢查檔案》。
四、綜治安全教育培訓(xùn)情況。
我局定期對(duì)駕駛員、綜治安全員、財(cái)務(wù)人員進(jìn)行培訓(xùn)教育,并做好學(xué)習(xí)記錄,我局還定期組織駕駛員學(xué)習(xí)交通法律法規(guī),經(jīng)常交流駕駛經(jīng)驗(yàn)和心得,使其自覺遵守交通規(guī)則和單位制度,同時(shí),抓好派車、用車、管車等制度的落實(shí),嚴(yán)防交通事故的發(fā)生。
五、職業(yè)健康安全體系開展情況
在安全體系運(yùn)行的過(guò)程中,全員認(rèn)真學(xué)習(xí)體系文件,全面掌握體系標(biāo)準(zhǔn)的基本內(nèi)容,深刻領(lǐng)會(huì)其精神實(shí)質(zhì),領(lǐng)導(dǎo)帶頭遵守體系文件的各項(xiàng)規(guī)定,確保了貫標(biāo)工作落到實(shí)處,同時(shí)不斷完善和修改體系文件,針對(duì)辨識(shí)的危險(xiǎn)源,在認(rèn)真調(diào)查研究的基礎(chǔ)上,多次召開專題會(huì)議,先后修訂完善了防盜、搶應(yīng)急預(yù)案、防觸電事故應(yīng)急預(yù)案、食物中毒應(yīng)急預(yù)案、防震救災(zāi)、防交通事。安全管理水平逐步邁上規(guī)范化、制度化的軌道。
六、發(fā)現(xiàn)的問(wèn)題及自評(píng)情況。
通過(guò)本次對(duì)全局一年來(lái)綜治安全工作的自查自糾活動(dòng),我局也發(fā)現(xiàn)了一些問(wèn)題和不足,如:綜治安全工作一些方面做得還不夠細(xì),安全檢查人員的素質(zhì)不夠高;矛盾糾紛排查工作開展力度還不夠;綜治安全方面法律法規(guī)和相關(guān)制度的學(xué)習(xí)應(yīng)加強(qiáng)。
總的來(lái)說(shuō),我局本的綜治安全工作基本可以達(dá)到市局考評(píng)方案要求,我局將立即整改自查自糾中發(fā)現(xiàn)的問(wèn)題,揚(yáng)長(zhǎng)補(bǔ)短,迎接好即將到來(lái)的省、市局綜治安全年終考評(píng)工作。
南豐縣煙草專賣局
二0一0年十一月二十九日
點(diǎn)擊咨詢 