第一篇:2011政府信息系統(tǒng)安全檢查指南
關(guān)于印發(fā)2011年度安徽省政府信息 系統(tǒng)安全檢查指南的通知
(節(jié)選)
一、檢查范圍
為各地、各部門履行職能提供支撐的非涉密信息系統(tǒng),包括自行運行和維護管理以及委托其他機構(gòu)運行和維護管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等。各地、各部門的重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站是檢查重點。
政府信息系統(tǒng)安全檢查,是指依據(jù)國家、省有關(guān)政策規(guī)定,參照國家信息安全技術(shù)標準規(guī)范,對信息系統(tǒng)安全保障工作進行檢測評估、查找隱患、規(guī)范管理、完善措施、落實整改、通報情況的過程,包括進行信息安全風(fēng)險評估、安全檢測、等級測評等。
涉及國家秘密的信息系統(tǒng)保密檢查工作,按照國家保密管理規(guī)定和標準執(zhí)行.五、檢查內(nèi)容
主要檢查信息安全有關(guān)規(guī)章制度落實情況、技術(shù)防護措
施及其有效性、2010年度信息系統(tǒng)安全檢查中發(fā)現(xiàn)問題的整改情況。
(一)信息安全組織機構(gòu)
信息安全工作主管領(lǐng)導(dǎo)、信息安全管理機構(gòu)、信息安全專職工作機構(gòu)、專職信息安全員等設(shè)置情況。按照《安徽省人民政府辦公廳轉(zhuǎn)發(fā)國務(wù)院辦公廳關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》(皖政辦發(fā)〔2008〕21號)文件要求,各部門要明確一名領(lǐng)導(dǎo)主管信息安全工作,應(yīng)指定一個內(nèi)設(shè)機構(gòu)承擔信息安全管理工作,各內(nèi)設(shè)機構(gòu)指定一名專職或兼職信息安全員。
(二)日常信息安全管理
1、人員管理。查驗相關(guān)文檔、文件、記錄等,檢查信息安全和保密責任制建立及落實情況,重要崗位人員安全保密協(xié)議簽訂情況,人員離崗離職信息安全管理情況,外部人員訪問機房等重要區(qū)域管理情況,違反制度規(guī)定造成信息安全事件的責任查處情況等。
2、資產(chǎn)管理。檢查資產(chǎn)管理制度建立及落實情況,辦公軟件、應(yīng)用軟件等安裝與使用情況,計算機及相關(guān)設(shè)備維修維護管理、存儲設(shè)備報廢銷毀管理情況等。
3、運維管理。檢查信息系統(tǒng)運營和使用權(quán)限管理、重要變更審批備案、日常運維操作管理、安全日志定期備份和分析等情況。對于委托外單位運行管理的,應(yīng)查看服務(wù)合同
和安全保密協(xié)議等。
(三)等級保護與風(fēng)險評估
1、等級保護。檢查信息安全等級保護有關(guān)文件要求的落實情況。通過查看等級保護定級備案、等級測評報告等相關(guān)文檔,檢查信息系統(tǒng)定級、測評、整改等情況。
2、風(fēng)險評估。檢查信息安全風(fēng)險評估有關(guān)文件要求的落實情況。通過查看風(fēng)險評估報告等,檢查風(fēng)險評估工作的開展。
(四)技術(shù)防護手段建設(shè)
1、網(wǎng)絡(luò)邊界安全防護。檢查系統(tǒng)總體網(wǎng)絡(luò)架構(gòu)、區(qū)域劃分及邊界防護、網(wǎng)絡(luò)管理等情況;互聯(lián)網(wǎng)接入情況;終端接入互聯(lián)網(wǎng)時是否有安全信息提示措施等;邊界防護設(shè)備部署、使用及策略配置情況。
2、信息安全產(chǎn)品部署及使用。提供信息系統(tǒng)完整的網(wǎng)絡(luò)拓撲圖,包括總體網(wǎng)絡(luò)架構(gòu)、子系統(tǒng)、終端節(jié)點、區(qū)域劃分、邊界防護設(shè)備(防火墻、入侵檢測設(shè)備、防病毒網(wǎng)關(guān)和安全審計設(shè)備)及對外網(wǎng)絡(luò)接口等,提供邊界防護設(shè)備日志。
3、服務(wù)器安全防護。檢查服務(wù)器上應(yīng)用、服務(wù)、端口以及系統(tǒng)補丁等情況,賬號口令強度及更新情況,病毒木馬防護措施及漏洞掃描、病毒木馬檢測情況。
4、網(wǎng)絡(luò)設(shè)備安全防護。檢查安全策略配置有效性;賬
號口令強度和更新情況;漏洞掃描情況。
5、終端計算機和移動存儲設(shè)備安全防護。檢查終端計算機是否采取集中安全管理方式,計算機賬號口令強度和更新情況;終端計算機接入互聯(lián)網(wǎng)安全控制措施(如實名接入、對計算機IP和MAC地址進行綁定、指定固定上網(wǎng)IP地址等);是否安裝病毒防護軟件,定期進行漏洞掃描、病毒木馬檢測;是否在非涉密和涉密信息系統(tǒng)間混用了計算機和移動存儲設(shè)備,是否使用了非涉密計算機處理涉密信息等。
6、門戶網(wǎng)站安全防護。檢查網(wǎng)站信息發(fā)布審批制度建立及落實情況;邊界防護、抗拒絕服務(wù)攻擊、網(wǎng)頁防篡改等安全防護設(shè)備的部署情況,以及安全配置策略的有效性;是否定期進行漏洞掃描、木馬檢測等。
7、密碼技術(shù)防護。檢查采用密碼技術(shù)對信息系統(tǒng)、終端計算機、電子文檔等進行防護的情況,使用的密碼技術(shù)產(chǎn)品及含有密碼技術(shù)的信息技術(shù)產(chǎn)品是否符合國家密碼管理規(guī)定。
8、網(wǎng)絡(luò)信任措施。檢查采用數(shù)字證書實現(xiàn)身份認證和授權(quán)管理的情況,使用的數(shù)字證書是否符合國家電子認證服務(wù)管理規(guī)定。
(五)應(yīng)急管理工作開展
1、應(yīng)急預(yù)案。檢查《安徽省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》落實情況,重要信息系統(tǒng)是否制定了本部門信息安全
應(yīng)急預(yù)案文本及宣貫培訓(xùn)記錄、災(zāi)難備份工作開展情況等。
2、應(yīng)急演練。檢查是否按照要求開展了信息安全應(yīng)急演練。對于已開展演練的,應(yīng)檢查演練相關(guān)文檔(包括演練組織單位、參與部門、演練責任人、演練時間、演練內(nèi)容等)。
3、應(yīng)急技術(shù)支援隊伍。檢查是否按照要求明確應(yīng)急技術(shù)支援隊伍。對于已明確的,應(yīng)檢查簽訂的合同和安全保密協(xié)議,掌握應(yīng)急技術(shù)支援隊伍的基本情況以及開展的應(yīng)急技術(shù)支援活動等。
4、災(zāi)難備份。檢查重要業(yè)務(wù)系統(tǒng)和網(wǎng)站的數(shù)據(jù)是否進行備份,是否配備冗余的通信線路、網(wǎng)絡(luò)設(shè)備、服務(wù)器,已進行災(zāi)難備份的應(yīng)查看備份記錄、檢查相關(guān)冗余設(shè)備。對于采用社會第三方災(zāi)難備份服務(wù)的,應(yīng)檢查簽訂的合同和安全保密協(xié)議以及災(zāi)難備份服務(wù)的運維情況等。
5、信息安全事件應(yīng)急處置。檢查本年度發(fā)生的信息安全事件及處置情況。對于發(fā)生重大信息安全事件的,應(yīng)檢查是否進行了及時處置,是否按照要求上報和通報等。(信息安全事件分級依據(jù)《安徽省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》)。
(六)信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用
1、信息技術(shù)產(chǎn)品。檢查服務(wù)器、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、儲存設(shè)備、終端計算機、字處理軟件等國產(chǎn)化情況。在使用捐贈服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲陣列等產(chǎn)品,應(yīng)檢查產(chǎn)品應(yīng)用
范圍、簽訂的相關(guān)協(xié)議,以及使用前是否進行安全測評等。
2、信息安全產(chǎn)品。在進行網(wǎng)絡(luò)邊界安全防護檢查時,查看防火墻、入侵檢測設(shè)備、安全審計設(shè)備、VPN設(shè)備等信息安全產(chǎn)品等國產(chǎn)化情況。使用捐贈的信息安全產(chǎn)品,應(yīng)檢查產(chǎn)品應(yīng)用范圍、簽訂的相關(guān)協(xié)議,以及使用前是否進行安全測評等。
本指南中的國產(chǎn)終端計算機、國產(chǎn)字處理軟件、國產(chǎn)信息安全產(chǎn)品,暫按以下方法進行認定:(1)國產(chǎn)終端計算機應(yīng)具有國內(nèi)品牌,最終產(chǎn)品在中國境內(nèi)生產(chǎn),并符合法律法規(guī)和政策規(guī)定的其他條件;(2)國產(chǎn)字處理軟件應(yīng)具有國內(nèi)品牌,最終產(chǎn)品在中國境內(nèi)生產(chǎn),擁有核心模塊的自主知識產(chǎn)權(quán)和源代碼,并符合法律法規(guī)和政策規(guī)定的其他條件;(3)國產(chǎn)信息安全產(chǎn)品應(yīng)具有國內(nèi)品牌,最終產(chǎn)品在中國境內(nèi)生產(chǎn),擁有核心模塊的自主知識產(chǎn)權(quán)和源代碼,通過國家認定的信息安全產(chǎn)品檢測實驗室的檢測,并符合法律和政策規(guī)定的其他條件。
(七)信息安全服務(wù)
查看信息安全外包服務(wù)項目清單,包括外包服務(wù)內(nèi)容、服務(wù)商名稱、服務(wù)商性質(zhì)(外資、非外資)、合同和安全保密協(xié)議、服務(wù)方式(遠程在線服務(wù)、現(xiàn)場服務(wù)或其他等)。
(八)信息安全教育培訓(xùn)
機關(guān)工作人員參加信息安全教育培訓(xùn)、掌握信息安全常
識和基本技能情況,信息安全管理和技術(shù)人員參加信息安全專業(yè)培訓(xùn)情況、重點崗位持證上崗等情況。
(九)信息安全經(jīng)費保障
檢查信息安全防護設(shè)施建設(shè)、運行、維護、檢查及管理等費用是否納入單位年度預(yù)算,以及本年度信息安全經(jīng)費實際投入情況等。
(十)安全隱患排查及整改
重點檢查對安全制度、防范措施、設(shè)備設(shè)施等方面存在的漏洞和薄弱環(huán)節(jié)的排查情況,以及分析產(chǎn)生問題的隱患的原因,研究制定和落實整改措施等情況。
六、時間安排
各地、各單位可根據(jù)實際情況,統(tǒng)籌規(guī)劃和組織部署信息系統(tǒng)安全檢查工作,并對安全檢查工作進行認真總結(jié)、分析和評估,于2011年12月31日前將安全檢查報告報送安徽省網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室。
協(xié)調(diào)小組辦公室將及時跟蹤、掌握、匯總安全檢查情況,并將安全檢查結(jié)果報送工業(yè)和信息化部。
七、工作要求
(一)各單位要把信息系統(tǒng)安全檢查列入重要議事日程,切實加強組織領(lǐng)導(dǎo),完善檢查工作機制,落實檢查工作經(jīng)費,開展宣傳教育培訓(xùn)活動,確保檢查工作順利開展。按照《安徽省政府信息系統(tǒng)安全檢查實施辦法》的要求,參照
本指南制定具體的安全檢查實施方案和工作計劃,并認真組織實施。建立信息安全檢查責任制,明確檢查責任,落實檢查組織機構(gòu)、參與單位及檢查人員。
(二)可組織所屬信息中心等單位開展安全檢查工作,也可根據(jù)需要委托外部專業(yè)機構(gòu)協(xié)助開展技術(shù)檢測工作。
全面參與技術(shù)檢測的外部專業(yè)機構(gòu)應(yīng)至少滿足以下條件:
1、事業(yè)單位;
2、從事信息安全檢測或相關(guān)工作兩年以上;
3、專業(yè)技術(shù)檢測人員10人以上,均簽訂兩年以上勞動合同;
4、參與技術(shù)檢測的人員均為中國公民,無違法犯罪記錄,并簽訂安全保密協(xié)議。
(三)委托外部專業(yè)機構(gòu)協(xié)助開展技術(shù)檢測,應(yīng)與檢測機構(gòu)及參與檢測的人員簽訂安全保密協(xié)議,明確安全保密責任和義務(wù)。
安全保密協(xié)議應(yīng)包括以下內(nèi)容:
1、檢測機構(gòu)應(yīng)遵守國家有關(guān)法律法規(guī),客觀、公正地提供檢測服務(wù);
2、檢測機構(gòu)應(yīng)保證所提供相關(guān)材料的真實性;
3、檢測機構(gòu)不得向其他單位和個人泄露數(shù)據(jù)和檢測結(jié)果,不得利用檢測數(shù)據(jù)謀取利益;
4、檢測機構(gòu)應(yīng)采取有效安全措施,防止因技術(shù)檢測引發(fā)信息安全事件;
5、檢測機構(gòu)不得將檢測任務(wù)分包或轉(zhuǎn)包。
(四)強化安全檢查過程的安全保密和風(fēng)險控制,切實加強對檢查活動、檢查人員以及相關(guān)文檔和數(shù)據(jù)的安全保密
管理,周密制定檢查工作應(yīng)急預(yù)案,確保被檢查信息系統(tǒng)的安全正常運行。
八、檢查報告
(一)檢查報告內(nèi)容
檢查報告主要包括三方面內(nèi)容:一是信息安全總體情況。包括本年度信息安全工作主要情況,安全檢查工作開展情況及檢查效果,對本單位信息安全狀況的總體評價;二是主要問題及整改情況。三是經(jīng)驗總結(jié)及意見建議。包括本部門安全檢查工作的經(jīng)驗總結(jié),對安徽省網(wǎng)絡(luò)與信息安全檢查工作的意見建議。
根據(jù)檢查結(jié)果編制檢查報告,范圍限于各部門本級機關(guān)及派出機構(gòu)。
根據(jù)檢查結(jié)果的敏感程度確定檢查報告密級,并在檢查報告上明確標識。
(二)報送方式
檢查報告以各單位辦公室名義報送安徽省網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室。
九、安全抽查
按照《安徽省政府信息系統(tǒng)安全檢查實施辦法》要求,省網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室會同有關(guān)單位組織開展政府信息系統(tǒng)安全抽查工作。抽查方式分為現(xiàn)場安全抽查和外部安全抽查。
(一)現(xiàn)場抽查。主要抽查2010年度安全檢查中發(fā)現(xiàn)問題的整改情況,2011年度安全檢查工作開展情況。相關(guān)單位應(yīng)積極配合抽查工作,指定抽查工作負責人和聯(lián)絡(luò)員,落實所需辦公場所、辦公設(shè)備、網(wǎng)絡(luò)資源等必要條件,提供抽查工作涉及的信息系統(tǒng)資產(chǎn)信息、信息系統(tǒng)建設(shè)運維情況、信息安全規(guī)章制度等相關(guān)文件、文檔和記錄。
(二)外部安全檢查。定期對全省各部門、各單位門戶網(wǎng)站進行外部檢查,重點檢測網(wǎng)站漏洞、網(wǎng)頁掛馬等情況。
附件:信息安全檢查報告編制要求
附件:
信息安全檢查報告編制要求
信息安全檢查報告包括工作報告和技術(shù)報告,編制要求分別如下:
一、工作報告主要內(nèi)容
1、概述
2、檢查工作組織和實施情況。
3、檢查發(fā)現(xiàn)的主要問題及概要統(tǒng)計分析。
4、被檢查單位信息安全狀況的總體評價。
5、主要的整改建議措施,以及對信息安全檢查工作的建議。
二、技術(shù)報告主要內(nèi)容
1、任務(wù)來源和檢查依據(jù)。
2、檢查工作開展情況。概要說明檢查準備階段、實施階段和總結(jié)階段所做的工作。
3、檢查的信息系統(tǒng)基本情況,抽取的服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端計算機等相關(guān)設(shè)備情況。
4、檢查結(jié)果。對照本規(guī)范中關(guān)于檢查內(nèi)容的要求,逐項、客觀陳述檢查和技術(shù)測試結(jié)果。
5、主要問題及分析。對檢查中發(fā)現(xiàn)的問題、存在的安全漏洞和隱患進行分類匯總,對可能造成的危害與影響進行分析,對檢查數(shù)據(jù)類項目進行統(tǒng)計(輔以圖表形式),對被檢查單位信息安全狀況進行總體評價。
6、整改建議。針對檢查中發(fā)現(xiàn)得問題,有針對性地提出整改措施建議。
第二篇:政府信息系統(tǒng)安全檢查自查報告
紫荊路街道政府信息系統(tǒng)安全檢查自查報告
根據(jù)鞏義市信息化工作領(lǐng)導(dǎo)小組辦公室《2011年政府信息系統(tǒng)安全檢查實施方案》(鞏信組辦[2011]3號)文件精神。我街道對本鎮(zhèn)信息系統(tǒng)安全情況進行了自查,現(xiàn)匯報如下:
一、自查情況(一)安全制度落實情況
1、成立了安全小組。明確了信息安全的主管領(lǐng)導(dǎo)和具體負責管護人員,安全小組為管理機構(gòu)。
2、建立了信息安全責任制。按責任規(guī)定:保密小組對信息安全負首責,主管領(lǐng)導(dǎo)負總責,具體管理人負主責。
3、制定了計算機及網(wǎng)絡(luò)的保密管理制度。網(wǎng)站的信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權(quán),計算機的用戶名和開機密碼為其專有,且規(guī)定嚴禁外泄。
(二)安全防范措施落實情況
1、涉密計算機經(jīng)過了保密技術(shù)檢查,并安裝了防火墻。同時配置安裝了專業(yè)殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、涉密計算機都設(shè)有開機密碼,由專人保管負責。同時,涉密計算機相互共享之間沒有嚴格的身份認證和訪問控制。
3、網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象,沒有安裝無線網(wǎng)絡(luò)等。
4、安裝了針對移動存儲設(shè)備的專業(yè)殺毒軟件。
(三)應(yīng)急響應(yīng)機制建設(shè)情況
1、制定了初步應(yīng)急預(yù)案,并隨著信息化程度的深入,結(jié)合我街道實際,處于不斷完善階段。
2、堅持和涉密計算機系統(tǒng)定點維修單位聯(lián)系機關(guān)計算機維修事宜,并商定其給予鎮(zhèn)應(yīng)急技術(shù)以最大程度的支持。
3、嚴格文件的收發(fā),完善了清點、修理、編號、簽收制度,并要求信息管理員每天下班前進行系統(tǒng)備份。(四)信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況
1、終端計算機的保密系統(tǒng)和防火墻、殺毒軟件等,皆為國產(chǎn)產(chǎn)品。
2、公文處理軟件具體使用金山軟件的WPS系統(tǒng)。
3、工資系統(tǒng)、年報系統(tǒng)等皆為市政府、市委統(tǒng)一指定產(chǎn)品系統(tǒng)。
(五)安全教育培訓(xùn)情況
1、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識培訓(xùn),并專門負責我街道的網(wǎng)絡(luò)安全管理和信息安全工作。
2、安全小組組織了一次對基本的信息安全常識的學(xué)習(xí)活動。
二、自查中發(fā)現(xiàn)的不足和整改意見
根據(jù)《實施方案》中的具體要求,在自查過程中我們也發(fā)現(xiàn)了一些不足,同時結(jié)合我街道實際,今后要在以下幾個方面進行整改。
1、安全意識不夠。要繼續(xù)加強對機關(guān)干部的安全意識教育,提高做好安全工作的主動性和自覺性。
2、設(shè)備維護、更新及時。要加大對線路、系統(tǒng)等的及時維護和保養(yǎng),同時,針對信息技術(shù)的飛快發(fā)展的特點,要加大更新力度。
3、安全工作的水平還有待提高。對信息安全的管護還處于初級水平,提高安全工作的現(xiàn)代化水平,有利于我們進一步加強對計算機信息系統(tǒng)安全的防范和保密工作。
4、工作機制有待完善。創(chuàng)新安全工作機制,是信息工作新形勢的必然要求,這有利于提高機關(guān)網(wǎng)絡(luò)信息工作的運行效率,有利于辦公秩序的進一步規(guī)范。
紫荊路街道黨政辦公室 2011年8月26日
第三篇:政府信息系統(tǒng)安全檢查情況報告
XXXX人民防空辦公室2011政府
信息系統(tǒng)安全檢查情況報告
根據(jù)XXXX市信息化工作領(lǐng)導(dǎo)小組辦公室《關(guān)于開展2011政府信息系統(tǒng)安全檢查的通知》(信化辦【2011】8號)文件精神。我辦對信息系統(tǒng)安全檢查情況進行了自查,現(xiàn)匯報如下:
一、信息安全狀況總體評價:
1、以宣傳教育為主導(dǎo),強化保密意識
為加強計算機、移動存儲介質(zhì)以及網(wǎng)絡(luò)的保密管理,防止泄密事件發(fā)生,確保涉密信息安全,我辦采取多種方式,一是對信息化相關(guān)操作人員進行強化培訓(xùn),增強保密安全意識。二是將《辦公自動化設(shè)備管理規(guī)定》、《辦公網(wǎng)絡(luò)管理規(guī)定》等相關(guān)制定人手一份,要求結(jié)合實際,認真學(xué)習(xí),并落到實處。三是進行警示教育,進一步重視和加強網(wǎng)上信息的保密管理,確保計算機及其網(wǎng)絡(luò)安全。
2、以制度建設(shè)為保障,嚴格規(guī)范管理
構(gòu)筑科學(xué)嚴密的制度防范體系,是做好信息保密管理的重要保障。按照《國家人防辦關(guān)于》的規(guī)定要求,我辦不斷完善各項規(guī)章制度,規(guī)范計算機、移動存儲介質(zhì)以及網(wǎng)絡(luò)等相關(guān)設(shè)備的管理;規(guī)范涉密信息流轉(zhuǎn),彌補管理上存在的空擋;規(guī)范信息發(fā)布程序,制定涉密信息發(fā)布審查制度。要求嚴格審查、嚴格控制、嚴格把關(guān),從制度上杜絕泄密隱患。
3、以督促檢查為手段,堵塞管理漏洞
為了確保計算機、移動存儲介質(zhì)以及網(wǎng)絡(luò)保密管理工作各項規(guī)章制度的落實,及時發(fā)現(xiàn)計算機保密工作中存在的泄密隱患,堵塞管理漏洞,我辦十分重視對計算機、網(wǎng)絡(luò)及移動存儲介質(zhì)保密工作的督促檢查,采取自查與抽查相結(jié)合,常規(guī)檢查與重點檢查相結(jié)合,定期檢查與突擊檢查相結(jié)合等方式,對計算機及其網(wǎng)絡(luò)管理制度的落實情況、涉密網(wǎng)絡(luò)的建設(shè)和使用情況以及涉密計算機、涉密移動存儲介質(zhì)、涉密網(wǎng)絡(luò)采取的管理和防范措施的落實情況進行檢查。這次我辦對計算機、網(wǎng)絡(luò)及移動存儲介質(zhì)的情況進行了一次全面檢查,通過檢查,查找計算機保密工作中存在的管理漏洞,并立即整改到位。進一步做好計算機信息安全防護工作是一件刻不容緩的大事。所以我們必須做到人防與技防結(jié)合,真正設(shè)置起一道信息安全工作的一道看不見的屏障。
二、2011年信息安全主要工作情況:
(一)安全制度落實情況
1、成立了以我辦XX副主任為組長的信息系統(tǒng)安全工作領(lǐng)導(dǎo)小組,并將信息系統(tǒng)安全工作領(lǐng)導(dǎo)小組辦公室設(shè)在指揮通信科,由指通科科長兼辦公室主任,安全小組成員從各科室抽調(diào),具體負責日常工作。
2、建立了信息安全責任制。按責任規(guī)定,安全小組對信息安全負首責,主管領(lǐng)導(dǎo)負總責,具體管理人負主責。
3、制定了計算機及網(wǎng)絡(luò)的保密管理制度。辦網(wǎng)站的信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權(quán),計算機的用戶名和開機密碼為其專有,且規(guī)定嚴禁外泄。
(二)安全防范措施落實情況
1、涉密計算機經(jīng)過了保密技術(shù)檢查,并安裝了防火墻。同時配置安裝了專業(yè)殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、涉密計算機都設(shè)有開機密碼,由各科室安全員保管負責。同時,涉密計算機相互共享之間設(shè)有嚴格的身份認證和訪問控制。
3、網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他信息網(wǎng)的現(xiàn)象,沒有安裝無線網(wǎng)絡(luò)等。同時,我辦內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)實行物理隔離手段,防止泄密情況發(fā)生。
4、安裝了針對移動存儲設(shè)備及泄密載體的專業(yè)殺毒軟件。
(三)應(yīng)急響應(yīng)機制建設(shè)情況
1、制定了《XXXX市人防辦網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》,并隨著信息化程度的深入,結(jié)合我辦實際,處于不斷完善階段。
2、堅持和涉密計算機系統(tǒng)定點維修單位聯(lián)系機關(guān)計算機維修事宜,并商定其給予我辦應(yīng)急技術(shù)以最大程度的支持。
3、嚴格文件的收發(fā),完善了清點、整理、編號、簽收制度,并要求信息管理員每天下班前進行系統(tǒng)備份。
(四)信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況
1、終端計算機的保密系統(tǒng)和防火墻、殺毒軟件等,皆為國產(chǎn)產(chǎn)品。
2、公文處理軟件具體使用金山軟件的wps系統(tǒng)。
3、工資系統(tǒng)、年報系統(tǒng)等皆為市委、市政府統(tǒng)一指定產(chǎn)品系統(tǒng)。
(五)安全教育培訓(xùn)情況
安全小組在全辦組織了一次對基本的信息安全常識的學(xué)習(xí)活動。
三、檢查發(fā)現(xiàn)的主要問題及整改情況: 自查中發(fā)現(xiàn)的不足和整改意見
根據(jù)《通知》中的具體要求,在自查過程中我們也發(fā)現(xiàn)了一些不足,同時結(jié)合我辦實際,今后要在以下幾個方面進行整改。
1、安全意識不夠。
要繼續(xù)加強對全體干部員工的安全意識教育,提高做好安全工作的主動性和自覺性。切實增強信息安全制度的落實工作,不定期的對安全制度執(zhí)行情況進行檢查,對于導(dǎo)致不良后果的責任人,要嚴肅追究責任,從而提高人員安全防護意識。
2、設(shè)備維護、更新及時。
要加大對線路、系統(tǒng)等的及時維護和保養(yǎng),同時,針對信息技術(shù)的飛快發(fā)展的特點,要加大更新力度。
3、安全工作的水平還有待提高。
對信息安全的管護還處于初級水平,提高安全工作的現(xiàn)代化水平,有利于我們進一步加強對計算機信息系統(tǒng)安全的防范和保密工作。要以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設(shè)施,密切監(jiān)測,隨時隨地解決可能發(fā)生的信息系統(tǒng)安全事故。
4、工作機制有待完善。
創(chuàng)新安全工作機制,是信息工作新形勢的必然要求,這有利于提高機關(guān)網(wǎng)絡(luò)信息工作的運行效率,有利于辦公秩序的進一步規(guī)范。
5、日常信息安全管理。
堅持“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,統(tǒng)籌安排、突出重點、明確責任、注重實效。
四、對信息安全工作的意見和建議
成立信息安全工作領(lǐng)導(dǎo)責任制與機構(gòu)隊伍建設(shè)
1、建立信息安全工作領(lǐng)導(dǎo)小組。領(lǐng)導(dǎo)重視是做好信息安全工作的前提。領(lǐng)導(dǎo)班子對信息安全工作十分重視,把它做為一項重要工作來抓,每年年初都會安排布置信息安全工作,并成立了由單位二把手任組長的信息安全工作領(lǐng)導(dǎo)小組,領(lǐng)導(dǎo)小組下設(shè)辦公室,辦公室設(shè)在綜合科,由指通科科長擔任辦公室主任,親自布置落實信息安全工作。
2、信息安全工作隊伍的建設(shè)。近年來,我辦堅持做到信息安全工作機構(gòu)健全、信息安全工作隊伍不散,信息安全工作人員及時調(diào)整和補充,并不斷加強信息安全業(yè)務(wù)知識的學(xué)習(xí),做好工作交接,都能熟練掌握保密法規(guī)和信息安全技術(shù)基礎(chǔ)知識,熟悉本辦的業(yè)務(wù)工作和信息安全工作基本情況。
XXXX市人防辦信息系統(tǒng)安全工作領(lǐng)導(dǎo)小組名單
第四篇:政府信息系統(tǒng)安全檢查自查報告[模版]
2013年×××網(wǎng)絡(luò)與信息安全自查工作總結(jié)報
告
根據(jù)《×××××關(guān)于開展怒江州重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查工作方案的通知》(×××?2013?20號)和《×××2013年重點領(lǐng)域信息安全檢查工作方案》要求,結(jié)合我委實際認真開展了信息系統(tǒng)的安全自查工作。現(xiàn)將相關(guān)情況報告如下:
一、信息系統(tǒng)安全檢查基本情況
(一)安全檢查方案和信息系統(tǒng)安全組織機構(gòu)實施情況。為規(guī)范和落實好此次信息系統(tǒng)安全檢查工作,我委制訂了《×××2013年政府信息系統(tǒng)安全檢查工作方案》,并依據(jù)工作方案成立了信息系統(tǒng)安全工作檢查領(lǐng)導(dǎo)小組,落實了管理機構(gòu),由委辦公室負責信息系統(tǒng)安全的日常管理工作,明確了信息系統(tǒng)安全的主管領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)和具體管理人員。
(二)日常信息系統(tǒng)安全管理落實情況。
根據(jù)本委的工作實際,本委日常信息系統(tǒng)安全工作主要涉及上級下發(fā)的涉密文件管理、政府信息公開工作信息管理、業(yè)務(wù)工作相關(guān)數(shù)據(jù)信息管理、辦公業(yè)務(wù)系統(tǒng)信息管理。根據(jù)這些實際,我委從落實管理機構(gòu)和人員、加強教育培訓(xùn)、更新設(shè)備、健全完善相關(guān)制度等方面對信息系統(tǒng)安全的人員、資產(chǎn)、運行和維護管理進行了落實。
1、落實具體負責信息系統(tǒng)安全工作的人員,對涉密信息文件、材料實行專人管理;對重要辦公區(qū)、辦公計算機等進行嚴格管理,-1-
確保信息保密工作。
2、結(jié)合本單位工作實際,對涉密文件材料管理和計算機、移
動存儲設(shè)備等的維修、報廢、銷毀管理進行了規(guī)定。對日常信息
辦公軟件、應(yīng)用軟件等的安裝使用,均按照上級部門的要求和規(guī)
定,嚴格進行操作管理。
3、結(jié)合政府信息公開工作,按照信息公開的相關(guān)保密規(guī)定和
程序,對信息公開、陽光政府四項制度等公開發(fā)布信息保密審查
機制、程序進行了規(guī)范,完善相關(guān)信息審批備案和日常記錄。
(三)等級保護與風(fēng)險評估。
我委的相關(guān)信息系統(tǒng)主要是業(yè)務(wù)辦公系統(tǒng),不屬于重點涉密
部門,所以,暫時沒有對信息系統(tǒng)定級、測評和評估。
(四)技術(shù)安全防范措施和手段落實情況。
1、計算機及網(wǎng)絡(luò)經(jīng)過檢查,我委按州保密局的要求,在主要的計算機上統(tǒng)一粘貼了“非涉密計算機嚴禁處理涉密信息”的標
識,杜絕涉密和非涉密計算機之間的混用。
2、在日常工作中,用360免費殺毒軟件及時對計算機進行漏
洞掃描、木馬檢測等,加強安全監(jiān)管。目前,網(wǎng)絡(luò)運行良好,安
全防范措施和設(shè)備運行良好,未在網(wǎng)上存儲、傳輸國家秘密信息,未發(fā)生過失密、泄密現(xiàn)象。
3、密碼技術(shù)防范方面。我單位的相關(guān)信息還達不到重點涉密
信息系統(tǒng)等級,目前還沒有使用密碼技術(shù)防護措施。
(五)應(yīng)急工作機制建設(shè)情況。
我委的信息系統(tǒng)安全管理工作還沒有明確應(yīng)急技術(shù)支援隊
伍,主要根據(jù)工作中的問題向省計生委和相關(guān)部門報告咨詢解決。目前,沒有發(fā)生信息系統(tǒng)安全事件。
(六)信息技術(shù)產(chǎn)品和信息系統(tǒng)安全產(chǎn)品使用情況。
我單位計算機、公文處理軟件和信息系統(tǒng)安全產(chǎn)品均為國產(chǎn)
產(chǎn)品。公文處理軟件使用了思普系統(tǒng)。單位使用的財務(wù)系統(tǒng)、業(yè)
務(wù)系統(tǒng)、數(shù)據(jù)傳輸平臺系統(tǒng)、數(shù)據(jù)庫等應(yīng)用軟件均為省計生委和
州直相關(guān)部門。重點信息系統(tǒng)使用的服務(wù)器、路由器等均為國產(chǎn)
產(chǎn)品。
(七)安全教育培訓(xùn)情況。
1、積極參加全州保密工作會議和州委政府相關(guān)部門組織的信
息系統(tǒng)安全知識培訓(xùn),并專門負責機關(guān)的網(wǎng)絡(luò)安全管理和信息系
統(tǒng)安全工作。
2、結(jié)合集中學(xué)習(xí),對全州保密工作會議精神進行了傳達學(xué)習(xí)。
同時,在日常工作中相關(guān)保密、信息系統(tǒng)安全工作人員也結(jié)合《保密工作》雜志及相關(guān)文件精神,開展自學(xué),提高信息系統(tǒng)安全意
識、保密意識。
(八)信息系統(tǒng)安全經(jīng)費保障。
我委信息系統(tǒng)安全工作得到委領(lǐng)導(dǎo)的高度重視,信息系統(tǒng)安
全相關(guān)學(xué)習(xí)培訓(xùn)材料和相關(guān)防護設(shè)施建設(shè)、運行、維護和管理經(jīng)
費均納入預(yù)算,實報實銷,為信息系統(tǒng)安全提供了經(jīng)費保障。
二、信息系統(tǒng)安全檢查存在的主要問題及整改情況
經(jīng)過安全檢查,我單位信息系統(tǒng)安全總體情況良好,但也存
在了一些不足,同時結(jié)合單位工作實際,進行了整改同時提出了
進一步整改的措施。
(一)部分干部職工對信息系統(tǒng)安全工作的認識不到位。由
于本部門工作涉密少,機關(guān)干部對信息系統(tǒng)安全防范的意識還有
待加強,對信息系統(tǒng)安全工作重要性的認識還不足。針對這些情
況,領(lǐng)導(dǎo)小組已結(jié)合傳達全州保密工作會議精神,進一步作了強
調(diào)和要求。結(jié)合工作開展,今后將繼續(xù)加強對機關(guān)干部的信息系
統(tǒng)安全意識教育,提高干部職工對信息系統(tǒng)安全工作重要性的認
識。
(二)部分科室計算機的殺毒軟件、防護軟件沒有及時進行
更新升級,存在系統(tǒng)漏洞。針對這些問題,辦公室已及時對各終
端計算機的殺毒軟件進行了更新升級,對存在的漏洞進行了修復(fù)。今后將對線路、系統(tǒng)等的及時維護和保養(yǎng),及時更新升級防護軟
件。
(三)信息系統(tǒng)安全工作的水平還有待加強。我委的信息系
統(tǒng)工作人員均為兼職人員,非專業(yè)人員,對信息系統(tǒng)安全的管護
水平低,還需要加強專業(yè)學(xué)習(xí)培訓(xùn),提高信息系統(tǒng)安全管理和管
護工作的水平。
(四)信息系統(tǒng)安全工作機制還有待完善。部門信息系統(tǒng)安
全相關(guān)工作機制制度、應(yīng)急預(yù)案等還不健全,還要完善信息系統(tǒng)
安全工作機制,建立完善信息系統(tǒng)安全應(yīng)急響應(yīng)機制,以提高機
關(guān)網(wǎng)絡(luò)信息工作的運行效率,促進辦公秩序的進一步規(guī)范,防范
風(fēng)險。
三、對信息系統(tǒng)安全檢查工作的意見和建議
(一),進一步加大對信息系統(tǒng)安全工作人員的業(yè)務(wù)培訓(xùn)。由
于很多部門的信息系統(tǒng)安全工作人員均為兼職,均是“半路出家”,非專業(yè)人員,沒有專業(yè)的技能和知識,希望進一步加強對計算機
信息系統(tǒng)安全管理工作的業(yè)務(wù)操作培訓(xùn),發(fā)放一些信息網(wǎng)絡(luò)安全
管理方面的業(yè)務(wù)知識材料。
(二),加強對各級各部門干部職工的信息系統(tǒng)安全教育。通
過開展專題警示教育培訓(xùn),增強信息系統(tǒng)安全意識,提高做好信
息系統(tǒng)安全工作的主動性和自覺性。
(三),加強分類指導(dǎo)。由于各科的工作性質(zhì)不同,信息系統(tǒng)
安全的防護級別也不同。希望結(jié)合各科室工作實際,對重點信息
系統(tǒng)安全部門和非重點信息系統(tǒng)安全部門進行分類指導(dǎo)。
××××××××
2013年9月9日
第五篇:政府信息系統(tǒng)安全檢查自查報告
2013年×××網(wǎng)絡(luò)與信息安全自查工作總結(jié)報
告
根據(jù)《×××××關(guān)于開展怒江州重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查工作方案的通知》(×××?2013?20號)和《×××2013年重點領(lǐng)域信息安全檢查工作方案》要求,結(jié)合我委實際認真開展了信息系統(tǒng)的安全自查工作。現(xiàn)將相關(guān)情況報告如下:
一、信息系統(tǒng)安全檢查基本情況
(一)安全檢查方案和信息系統(tǒng)安全組織機構(gòu)實施情況。為規(guī)范和落實好此次信息系統(tǒng)安全檢查工作,我委制訂了《×××2013年政府信息系統(tǒng)安全檢查工作方案》,并依據(jù)工作方案成立了信息系統(tǒng)安全工作檢查領(lǐng)導(dǎo)小組,落實了管理機構(gòu),由委辦公室負責信息系統(tǒng)安全的日常管理工作,明確了信息系統(tǒng)安全的主管領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)和具體管理人員。
(二)日常信息系統(tǒng)安全管理落實情況。
根據(jù)本委的工作實際,本委日常信息系統(tǒng)安全工作主要涉及上級下發(fā)的涉密文件管理、政府信息公開工作信息管理、業(yè)務(wù)工作相關(guān)數(shù)據(jù)信息管理、辦公業(yè)務(wù)系統(tǒng)信息管理。根據(jù)這些實際,我委從落實管理機構(gòu)和人員、加強教育培訓(xùn)、更新設(shè)備、健全完善相關(guān)制度等方面對信息系統(tǒng)安全的人員、資產(chǎn)、運行和維護管理進行了落實。
1、落實具體負責信息系統(tǒng)安全工作的人員,對涉密信息文件、材料實行專人管理;對重要辦公區(qū)、辦公計算機等進行嚴格管理,我委的信息系統(tǒng)安全管理工作還沒有明確應(yīng)急技術(shù)支援隊伍,主要根據(jù)工作中的問題向省計生委和相關(guān)部門報告咨詢解決。目前,沒有發(fā)生信息系統(tǒng)安全事件。
(六)信息技術(shù)產(chǎn)品和信息系統(tǒng)安全產(chǎn)品使用情況。我單位計算機、公文處理軟件和信息系統(tǒng)安全產(chǎn)品均為國產(chǎn)產(chǎn)品。公文處理軟件使用了思普系統(tǒng)。單位使用的財務(wù)系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)傳輸平臺系統(tǒng)、數(shù)據(jù)庫等應(yīng)用軟件均為省計生委和州直相關(guān)部門。重點信息系統(tǒng)使用的服務(wù)器、路由器等均為國產(chǎn)產(chǎn)品。
(七)安全教育培訓(xùn)情況。
1、積極參加全州保密工作會議和州委政府相關(guān)部門組織的信息系統(tǒng)安全知識培訓(xùn),并專門負責機關(guān)的網(wǎng)絡(luò)安全管理和信息系統(tǒng)安全工作。
2、結(jié)合集中學(xué)習(xí),對全州保密工作會議精神進行了傳達學(xué)習(xí)。同時,在日常工作中相關(guān)保密、信息系統(tǒng)安全工作人員也結(jié)合《保密工作》雜志及相關(guān)文件精神,開展自學(xué),提高信息系統(tǒng)安全意識、保密意識。
(八)信息系統(tǒng)安全經(jīng)費保障。
我委信息系統(tǒng)安全工作得到委領(lǐng)導(dǎo)的高度重視,信息系統(tǒng)安全相關(guān)學(xué)習(xí)培訓(xùn)材料和相關(guān)防護設(shè)施建設(shè)、運行、維護和管理經(jīng)費均納入預(yù)算,實報實銷,為信息系統(tǒng)安全提供了經(jīng)費保障。
二、信息系統(tǒng)安全檢查存在的主要問題及整改情況
關(guān)網(wǎng)絡(luò)信息工作的運行效率,促進辦公秩序的進一步規(guī)范,防范風(fēng)險。
三、對信息系統(tǒng)安全檢查工作的意見和建議
(一),進一步加大對信息系統(tǒng)安全工作人員的業(yè)務(wù)培訓(xùn)。由于很多部門的信息系統(tǒng)安全工作人員均為兼職,均是“半路出家”,非專業(yè)人員,沒有專業(yè)的技能和知識,希望進一步加強對計算機信息系統(tǒng)安全管理工作的業(yè)務(wù)操作培訓(xùn),發(fā)放一些信息網(wǎng)絡(luò)安全管理方面的業(yè)務(wù)知識材料。
(二),加強對各級各部門干部職工的信息系統(tǒng)安全教育。通過開展專題警示教育培訓(xùn),增強信息系統(tǒng)安全意識,提高做好信息系統(tǒng)安全工作的主動性和自覺性。
(三),加強分類指導(dǎo)。由于各科的工作性質(zhì)不同,信息系統(tǒng)安全的防護級別也不同。希望結(jié)合各科室工作實際,對重點信息系統(tǒng)安全部門和非重點信息系統(tǒng)安全部門進行分類指導(dǎo)。
××××××××
2013年9月9日
點擊咨詢 