信息安全自查报告集锦(通用34篇)
一、网络与信息安全自查工作组织开展状况
9月10日起,由市电政办牵头,对各市直各单位当前网络与信息安全进行了一次全面的调查,此次调查工作以各单位自查为主,市电政办抽查为辅的方式进行。自查的重点包括:电政办中心机房网络检修、党政门户网维护密码防护升级,市直各单位的信息系统的运行状况摸底调查、市直各单位客户机病毒检测,市直各单位网络数据流量监控和数据分析等。
二、信息安全工作状况
透过上半年电政办和各单位的努力,我市在网络与信息安全方面主要完成了以下工作:
1、所有接入市电子政务网的系统严格遵照规范实施,我办根据《常宁市党政门户网站信息发布审核制度》、《常宁市网络与信息安全应急预案》、《“中国常宁”党政门户网站值班读网制度》、《"中国常宁”党政门户网站应急管理预案》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
2、组织信息安全培训。面向市直政府部门及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
3、加强对党政门户网站巡检。定期对各部门子网站进行外部web安全检查,出具安全风险扫描报告,并协助、督促相关部门进行安全加固。
4、做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障承诺书,加强互联网出口访问的实时监86、控,确保十八大期间信息系统安全。
三、自查发现的主要问题和面临的威胁分析
透过这次自查,我们也发现了当前还存在的一些问题:
1、部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。
2、少数单位的工作人员安全意识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的状况。
3、存在计算机病毒感染的状况,个性是U盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
4、信息安全经费投入不足,风险评估、等级保护等有待加强。
5、信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量。
四、改善措施和整改结果
在认真分析、总结前期各单位自查工作的基础上,9月12日,我办抽调3名同志组成检查组,对部分市直机关的重要信息系统安全状况进行抽查。检查组共扫描了18个单位的门户网站,采用自动和人工相结合的方式对15台重要业务系统服务器、46台客户端、10台交换机和10台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求对抽查单位进行了细致周到的安全巡检,带给了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查状况核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改推荐,督促有关单位对照报告认真落实整改。透过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障潜力显著提高。
五、关于加强信息安全工作的`意见和推荐
针对上述发现的问题,我市用心进行整改,主要措施有:
1、对照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求,要求各单位进一步完善规章制度,将各项制度落实到位。
2、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
3、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件职责人,要严肃追究职责。
4、继续完善信息安全设施,密切监测、监控电子政务网络,从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位的安全防护体系。
5、加大应急管理工作推进力度,在全市信息安全员队伍的基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
据市信息化领导小组《关于开展全市重点领域网络与信息安全检查行动的通知》(【20xx】1号)文件要求,我院领导高度重视,批示由技术处牵头对我院网络运行情况、网络设备安全情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查。现将自查情况报告如下:
一、机构健全,责任明确
多年来,我院领导高度重视信息安全管理工作,成立了信息安全小组《关于调整和充实技术信息网络化工作领导小组成员的通知》(拉检发 【20xx】161号),建立了网络信息安全工作制度,明确了信息安全主管领导和管理人员,按照“谁主管、谁负责”的原则,全面落实工作职责。
二、制度健全,管理严格
我院制定补充修订了计算机信息系统安全保密相关制度的同时,建立健全了《拉萨市检察机关保密规定》、《拉萨市检察系统计算机信息系统安全保护条例》、《拉萨市检察系统机房管理办法》、《第三方来访人员进入计算机机房管理办法》等制度,严格信息保密管理,实行“涉密不上网,上网不涉密”,坚持“谁发布,谁负责”的原则。定期或不定期对工作人员进行安全和保密意识教育培训,制定了日常考核监督制度,确保管理监控到位。
三、做好网络信息安全防范工作,加强网络技术管理
1、定期检查,增强防护。我院技术人员定期对电脑、网络进行检查、维护,采取了防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施,安装了防病毒软件,能够及时更新和修复系统漏洞。对计算机、移动存储设备等实行严密的.安全防护措施,有效地保障了网络和系统安全,防范了病毒的攻击。
2、措施得力,防止泄密。本院涉密计算机采用加密、口令等技术措施,防止黑客盗用我院信息及非法侵入我院计算机系统进行破坏。存贮于计算机设备中的保密信息,无关人员不得私自调阅。
3、责任明确,消除隐患。对日常办公电脑和专用电脑实行专机专用,专人负责,责任落实到具体操作人员,力争把隐患消除在源头,有效保障了我院计算机信息系统安全。
4、合理使用硬件设备,软件设置规范,保障设备良好运行状态。每台终端机都安装了防病毒软件,系统相关设备一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全定,单位硬件的运行环境符合要求,防雷地线正常,防雷设备运行基本稳定,没有出现雷击事故;ups运转正常。网站系统安全有效,暂未出现任何安全隐患。
5、通讯设备运转正常。我院网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
6、建立台账,规范设备维护。我院对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面:我们一是坚持“制度管人”;二是强化信息安全教育、提高干警计算机技能,使全体干警意识到计算机安全保护的重要性。在设备维护方面:专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
7、按网站安全要求进行网管工作。一是使用专属权限密码登陆后台;二是上传文件提前进行病毒检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
8、多项制度确保计算机网络安全。实行网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我院结自身情况制定计算机系统安全自查工作制度,做到三个确保:一是系统管理员定期检查机房计算机、服务器系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是定期组织全院人员学习有关网络知识,提高计算机使用水平,确保预防。
四、存在的问题及整改措施
通过自查,目前,我院网络运行存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。
针对目前我院网络安全方面存在的不足,将从以下几方面进行整改:
1、进一步加强本院干警计算机操作技术、网络安全技术方面的培训,强化本院计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现、早报告、早处理。
2、进一步加强对各部门移动存储介质的管理,要求个人移动存储介质与部门移动存储介质分开,部门移动存储介质作为保存部门重要工作材料和内部办公使用,不得将个人移动存储介质与部门移动存储介质混用。
3、加强设备维护,及时更换和维护好故障设备,以免出现重大安全隐患,为我院网络的稳定运行提供硬件保障。
4、在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让干警充分认识到计算机涉密案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
根据x地税函[20xx]68号《xx市地方税务局关于开展20xx年信息安全检查的通知》文件中相关事项和要求,我局迅速成立信息安全检查工作组,对区局机关和基层各单位全面开展了信息安全自查工作,现将自查结果报告如下:
一、信息安全自查工作组织开展情况
长武县地方税务局现有内设机构8个,派出机构3个,共有税干35名。现有信息安全员4人,网络维护员1人。本年度共组织1次信息安全知识培训,培训人员35人。
信息安全是征管系统正常运行的基础保障,我局能严格学习贯彻落实总局及省市局下发的有关信息安全政策、法规、规章制度;建立健全了本单位的.信息安全政策、规章制度,做到网络与信息安全组织机构到位,由信息股统一管理,各股所负责的网络信息安全工作,责任到人。本次检查着重就薄弱环节,对市局要求的各个方面,进行全面检查,以防安全事故的发生。严格落实有关信息安全保密方面的各项规定,并采取事前防范,故障预警,多方维护等多项措施防范事故的发生,做到小故障多维护,大事故少发生的工作理念,较好完成了信息安全工作。
二、信息安全工作情况
(一)安全制度建设
建立了信息安全管理办法等相关制度,并和各所签订了信息安全责任书。
成立了网络与信息安全领导小组和应急突发事件工作领导小组,组长尚军民,副组长崔亦平。网络与信息安全领导小组成立办公室,办公室设在局信息股,成员有各股所负责人、信息员。
先后建立的各项规章制度主要包括:《长武县地方税务局网络维护管理办法》、《信息机房管理制度》、《网络安全应急预案》、《长武县地税局网络与信息安全事件调查处理办法》、《长武县地税局信息安全时间应急响应流程》、《长武县地税局计算机终端类设备使用管理办法》等,制度建设已经比较完善,以保障全系市地税统网络和信息安全。
(二)人员管理
计算机按照桌面防护系统信息责任到人,定期对工作人员进行安全、保密意识教育及安全技能培训,方式上采取了集中培训和现场培训相结合,并对申报厅和各所申报征收岗进行重点培训。与外包服务机构和人员签订保密协议,并制定针对外包等外来人员的安全访问控制管理规定和信息安全责任追究制度。
(三)安全防护措施
1、网络安全:办公内网与互联网做到绝对物理隔离,禁止混用。对网络故障按制度流程处理,并进行登记备查。
2、终端计算机安全:内网计算机无违规外联情况,做到口令、文件安全保障。
3、数据安全:敏感文档按照安全保密制度进行操作。
4、CA证书使用:按照市局要求,认真做到:申请、损坏、丢失等登记管理。
5、移动存储介质管理:有详细的移动介质管理登记台账,严防信息外泄。
6、POS机设备:有登记台账,和故障运行登记。
7、办税大厅及自助办税系统:有专人维护,无接入内网终端,外网终端限制访问省局主页。
8、分别对内网外计算机张贴了操作提示贴,严禁内网计算机外部人员操作、外网计算机接入内网使用。
(四)运维管理
落实每季度计算机安全巡查制度,并填写巡查表;网络设备做到日常监控检查,遇到紧急故障,按照应急响应办法处理,并进行演练。
(五)物理环境安全
机房做了防雷击、防火、防水、防静电等防护措施,更换了UPS,增加了电磁防护模块,及时监控温湿度,按照规范做好各项防护工作。
(六)责任追究情况
我局未发现违反信息安全及泄密事故。
(七)总局绩效考核中网络与信息安全指标落实情况
1、防病毒系统:按照要求,在网计算机终端,100%安装瑞星防病毒软件,快速查杀每天空闲一次,全盘杀毒每周手动操作一次、病毒库保持每天自动升级、对不能升级的卸载后重新安装、日志记录齐全以及经常性开展监控运行维护。
2、桌面安全管理系统:VRV桌面安全管理系统,安装率100%,用户端注册信息与实际使用人、使用单位、地点保持一致。
通过这次信息安全自查工作的开展,使我局全体工作人员对信息化工作的认识和安全责任有了新的了解,对我局信息网络安全形势有了一个更加明确的把握,对安全现状也有了更为清晰的认识,消除安全漏洞,信息安全工作依然任重而道远,我们将努力提升全局信息安全防范意识,使我局信息化工作逐步规范,促进信息安全“四防”工作落实,努力提高信息安全工作水平。
经济和信息化委员会:
按照《信息化工作领导小组办公室关于开展20xx年度政府信息系统安全检查工作的通知》要求,我X立即组织开展全X范围的信息系统安全检查工作,现将自查情况汇报如下。
一、信息安全状况总体评价
我X信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急
处置能力切实得到提高,保证了政府信息系统持续安全稳定运行。
二、20xx年信息安全工作情况
(一)信息安全组织管理
领导重视,机构健全。针对政府信息系统安全检查工作,政府高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由分管旗长担任,成员由旗直有关部门领导组成,领导小组下设办公室,办公室设在电子政务中心。同时,X直各部门和各镇领导也十分重视信息安全工作,建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了政府工作的良好运行,确保了信息系统的安全。
(二)日常信息安全管理
1、建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。
2、制定了计算机及网络的信息系统安全管理制度。网站的`信息管护人员负责信息系统安全管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(三)信息安全防护管理
1、涉密计算机经过了保密技术检查,并安装了防火墙,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
(四)信息安全应急管理
1、制定了初步应急预案,并随着信息化程度的深入,结合我X实际,不断进行完善。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并给予应急技术最大支持。
3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行存档。
4、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(五)信息安全教育培训
1、派专人参加了国家经信委组织的网络系统安全知识培训,专门负责我X的网络安全管理和信息安全工作。
2、全X专门组织了基本的信息安全常识培训活动。
三、检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我旗实际,今后要在以下几个方面进行整改。
存在不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
一是要继续加强对全旗机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
四是要提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和保密工作。
五是要创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
四、对信息安全工作的意见和建议
希望上级部门能够经常组织有关信息系统安全的培训,进一步提升信息系统管理工作人员的专业水平,进一步强化信息系统的安全防范工作。
按照锡卫计办发【20xx】132号文件通知精神,我院领导高度重视,召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由主管院长负责安排信息安全自查工作,并就自查中发现的问题认真做好相关记录,及时整改,完善。现将我院信息安全工作自查情况汇报如下:
一、网络安全管理:
我院的网络分为互联网和院内局域网,两网络实现物理隔离,以确保两网能够立、安全、高效运行。重点抓好“三安全”排查。
1.硬件安全,包括防雷、防火、防盗和UPS电源连接等。医院HIS服务器机房严格按照机房标准建设,工作人员坚持每天巡查,排除安全隐患。HIS服务器、多口交换机、路由器都有UPS电源保护,可以保证短时间断电情况下,设备运行正常,不至于因突然断电致设备损坏。此外,局域网内所有计算机USB接口施行完全封闭,这样就有效地避免了因外接介质(如U盘、移动硬盘)而引起中毒或泄密的发生。
2.网络安全:包括网络结构、密码管理、IP管理、互联网行为管理等;网络结构包括网络结构合理,网络连接的稳定性,网络设备(交换机、路由器、光纤收发器等)的稳定性。HIS系统的操作员,每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行“谁使用、谁管理、谁负责” 的管理制度。互联网和院内局域网均施行固定IP地址,由医院统一分配、管理,不允许私自添加新IP,未经分配的IP均无法实现上网。
二、数据库安全管理:
我院目前运行的数据库是医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础,为确保医院各项业务正常、高效运行,数据库安全管理是极为有必要的。我院对数据安全性采取以下措施:
(1)将数据库中需要保护的部分与其他部分相隔。
(2)采用授权规则,如账户、口令和权限控制等问控制方法。
(3)对数据进行加密后存储于数据库
三、软件管理:
目前我院在运行的软件主要分为三类:HIS系统、常用办公软件和杀毒软件。HIS系统是我院日常业务中最主要的软件,是保障医院诊疗活动正常进行的基础,自20xx年上线以来,运行比较稳定,未出现过重安全问题,并根据业务需要,不断更新充实。对于新入职的员工,上岗前会进行一次培训,向其讲解HIS系统操作流程、规范,也包括安全知识,确保其在使用过程中不会出现重安全问题。常用办公软件均由医院信息科统一安装,维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。所有电脑,均安装了正版杀毒软件(瑞星杀毒软件和360安全卫士),并定期更新病毒库,以保证杀毒软件的防御能力始终保持在很高的水平。
四、应急处:
我院HIS系统服务器运行安全、稳定,并配备了型UPS电源,可以保证面积断电情况下,服务器坚持运行八小时。虽然医院的HIS系统长期以来,运行良好,服务器未发生过长时间宕机时间,但医院仍然制定了应急处预案,并对收费操作员和护士进行过培训,如果医院出现面积、长时间停电情况,HIS系统无法正常运行,将临时开始手工收费、记账、发药,以确保诊疗活动能够正常、有序地进行,待到HIS系统恢复正常工作时,再补打发票、补记收费项目。
总体来说,我院的`网络与信息安全工作做得很成功的,从未发生过重的安全事故,各系统运转稳定,各项业务能够正常运行。但自查中也发现了不足之处,如目前医院信息技术人员少,信息安全力量有限;信息安全意识还不够,个别科室缺乏维护信息安全的主动性和自觉性。今后要加强信息技术人员的培养,更进一步提高信息安全技术水平;加强全院职工的信息安全教育,提高维护信息安全的主动性和自觉性;加对医院信息化建设投入,提升计算机设备配,进一步提高工作效率和系统运行的安全性。
根据上级文件《关于集中开展全县网络清理检查工作的通知》,我镇积极组织落实,对网络安全基础设施建设情景、网络安全防范技术情景及网络信息安全保密管理等情景进行了自查,对我镇的网络信息安全建设进行了深刻的剖析,现将自查情景报告如下:
一、成立领导小组
为进一步加强我镇网络清理工作,我镇成立了网络清理工作领导小组,由镇长任组长,分管副镇长任副组长,下设办公室,做到分工明确,职责具体到人,确保网络清理工作顺利实施。
二、我镇网络安全现状
我镇的政府信息化建设从开始到此刻,经过不断发展,逐渐由原先的没有太高安全标准的网络升级为此刻的具有必须安全性的办公系统。目前我镇电脑均采用杀毒软件对网络进行保护及病毒防治。
三、我镇网络安全管理
为了做好信息化建设,规范政府信息化管理,我镇专门制订了《涉密非涉密计算机保密管理制度》、《涉密非涉密移动存储介质保密管理制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站资料管理等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。
我镇定期对网站上的所有信息进行整理,确保计算机使用做到“谁使用、谁负责”,尚未发现涉及到安全保密资料的信息;对我镇产生的数据信息进行严格、规范管理,并及时存档备份;此外,我镇在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,积极参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我镇网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控本事有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理本事不够。
针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:
1、进一步加强我镇网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化我镇计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。
2、加强我镇干部职工在计算机技术、网络技术方面的学习,不断提高干部计算机技术水平。
3、加强设备维护,及时更换和维护好故障设备,以免出现重大安全隐患,为我镇网络的稳定运行供给硬件保障。
五、对网络清理检查工作的意见和提议
随着信息化水平不断提高,人们对网络信息依靠也越来越大,保障网络与信息安全,维护国家安全和社会稳定,已经成为信息化发展中迫切需要解决的问题,由于我镇网络信息方面专业人才不足,对信息安全技术了解还不够,期望上级部门能加强相关知识的培训与演练,以提高我们的防范本事。
根据县政府办公室《关于印发垫江县开展重点领域网络与信息安全检查行动工作方案的紧急通知》(垫江府办发〔20xx〕60号)文件精神。我镇对信息系统安全情景进行了自查,现汇报如下:
一、信息系统安全检查基本情景
为规范和落实信息系统安全检查,我镇制订了《xx镇20xx年政府信息系统安全检查工作方案》,并成立了信息安系统安全工作领导小组,并对此次检理工作做了统一安排,由我镇党政办公室负责信息系统安全的日常管理工作,明确了信息系统安全的主管领导、分管领导和具体管理人员:一是清理重点为涉密电子文档和存储、处理过涉密信息的计算机、移动硬盘、软盘、光盘、优盘、录像带等。二是清理网络管理安全,包括网络结构、密码管理、ip管理、互联网行为管理等。三是清理应用管理安全,公文传输系统、软件管理等,不断规范网络安全管理,构成了良好的安全保密环境。
二、信息安全工作情景
一是结合我镇实际制定了初步应急预案,并处于不断完善阶段。二是专人维护涉密电脑。信息管理人员负责保密管理、密码管理,对计算机享有独立使用权,且规定严禁外泄。三是严格文件的收发程序,完善收发文、编号、签收制度。四是建立健全重要数据及时备份和灾难性数据恢复机制,严格按照市、县的要求,认真做好日常数据备份工作,以防发生数据灾难时对数据进行恢复。五是采取多层次对有害信息、恶意攻击的防范与处理措施。
三、自查发现的主要问题
一是安全意识不够,干部职工的保密意识有待进一步加强。二是设备维护、更新不及时。三是安全工作的水平还有待提高,对信息安全的管护还处于初级水平。四是规章制度体系有待进一步完善。
四、改善措施
一是要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。二是要切实增强信息安全制度的落实工作,不定期的`对安全制度执行情景进行检查,对于导致不良后果的职责人,要严肃追究职责,从而提高人员安全防护意识。三是要以制度为根本,进一步完善信息安全制度,同时安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。四是不断加强计算机信息安全管理、维护、更新等方面的资金投入,及时维护设备、更新软件,以做好信息系统安全防范工作。
五、对信息系统安全检查工作的意见和提议
一是进一步加大对信息系统安全工作人员的业务培训。由于很多办公室的信息系统安全工作人员均为非专业人员且流动性大,没有专业的技能和知识,期望进一步加强对计算机信息系统安全管理工作的业务操作培训。
二是加强对干部职工的信息系统安全教育。经过开展专题警示教育培训,增强信息系统安全意识,提高做好信息系统安全工作的主动性和自觉性。
三是加强分类指导。由于各科的工作性质不一样,信息系统安全的防护级别也不一样。期望结合各科室工作实际,对重点信息系统安全部门和非重点信息系统安全部门进行分类指导。
根据《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔20xx〕102号)文件精神,我公司对信息安全情景进行了自检自查,现将情景汇报如下:
一、信息安全自查工作组织开展情景
1、8月7日成立了信息安全检查领导小组,由副总裁张轩宏任组长,办公室主任冯涛、信息化办公室主任高玉磊任副组长,信息化办公室李普阳、鲁宁、马茜、陈超为组员,负责对全公司的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情景进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析、整改,提高了对全站网络与信息安全状况的掌控。
二、信息安全工作情景
8月13日信息安全检查行动小组对金蝶k3系统的情景进行逐项排查。
1、系统安全基本情景自查
金蝶k3系统为实时性系统,对公司主要业务影响较高。目前拥有dell服务器5台、tp-link路由器1台、feixun路由器5台、fast交换机10台,系统均采用windows操作1
系统,灾备情景为系统级灾备,该系统不与互联网连接,防火墙采用amaranten管控防火墙。
2、安全管理自查情景
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
运行维护管理方面,建立了《客服系统维护标准》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3、网络与信息安全培训情景
制定了《河南丰太信息安全培训计划》,20xx年上半年组织信息安全教育培训2次,理解信息安全培训人数20人,占公司总人数的4.7%,组织信息安全管理和技术人员参加专业培训1人次。
4、信息安全应急管理
我公司制定了本年度信息安全应急预案,对可能发生的各类信息安全事件做到心中有数,对重点业务计算机经常备份数据,本年度没有发生信息安全事故。
三、自查发现的主要问题
1、安全意识不够,需要继续加强对公司员工的信息安全意识教育,提高做好安全工作的主动性和自觉性。
2、规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
3、设备维护、更新还不够及时。
四、改善措施与整改
根据自查过程中发现的不足,同时结合我公司实际,将着重对以下几个方面进行整改:
1、加强公司职工信息安全教育培训工作,增强信息安全防范和保密意识。
2、要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
3、不断加强计算机信息安全管理、维护、更新等方面的资金投入,及时维护设备、更新软件,以做好信息系统安全防范工作。
根据:(镇信安联办[20xx]5号)要求我局高度重视,立即组织开展全面信息系统安全检查。自检报告如下。
我局信息系统运行以来,严格按照上级要求,积极完善各项安全制度,全面加强信息安全人员教育培训,全面落实安全措施,充分保障信息安全工作经费,有效降低信息安全风险,有效提高应急能力,确保政府信息系统持续、安全、稳定运行。
一、信息安全组织管理
我局高度重视信息系统安全,成立了以主要领导为组长,分管领导为副组长,各部门负责人为组员的信息安全工作领导小组。明确办公室为主要职能部门,确定兼职信息安全官,召开分管领导、信息安全工作职能部门和重点部门负责人参加的会议,认真研究上级有关文件,认真部署自查工作,确定自查任务和人员分工,真正做到领导到位。为确保我局网络信息安全工作的有效顺利开展,我局要求各处室和下属单位认真组织学习网络信息安全相关法律法规和相关知识,使全体工作人员正确认识信息安全工作的重要性,掌握计算机安全使用要求,正确使用计算机网络和各种信息系统。
二、日常信息安全管理
我局在过去建立一系列信息安全制度的基础上,根据信息安全工作的特点和我局的实际情况,修订了一系列信息安全制度和程序,做到按制度办事,提高执行力。根据市政府和市经济和信息化委员会的要求,我局与计算机维护单位重新签订了服务协议,增加了信息安全保密协议。同时,我局还与全局全体工作人员签订了安全保密协议。我局高度重视涉密计算机和涉密移动存储介质,对所有涉密计算机和涉密移动存储介质进行统一编号管理,明确责任人和保管人,对涉密信息系统使用情况进行多次重点检查,加强涉密人员管理,严格执行涉密计算机和涉密移动存储介质相关管理制度,专门为涉密人员发放带硬件锁的u盘,禁止涉密和非涉密信息系统混用移动存储介质。对于非涉密电脑,安全系统、防火墙、杀毒软件都是国货,公文处理软件使用微软公司的正版办公系统,信息系统的第三方服务外包都是国货。
三、信息安全保护管理
我局网络系统组成和配置合理,符合相关安全规定;网络中使用的各种硬件设备、软件和网络接口,经安全检查鉴定合格后投入使用,自安装以来运行正常。我局经常进行信息安全检查,主要是监管操作系统补丁安装、应用补丁安装、杀毒软件安装升级、木马病毒检测、网页篡改等。并认真做好系统安全日记。今年,在市政府办公室的指导下,我局尝试运行协同办公系统,投入10多万元为所有局领导和办公室配置内网电脑,为机要办公室配备机要电脑,从硬件上加强了机要信息系统的管理。
四、信息安全应急管理
我局做好了应对各类可能发生的信息安全事件的准备工作,进一步完善了信息安全应急预案,明确了应急处理流程,落实了应急技术支持团队,工作扎实推进。
动词 (verb的缩写)信息安全教育和培训
我局根据信息管理人员的实际情况,每年进行信息教育培训,以掌握信息管理技能为目的进行实际操作能力培训。还组织相关工作人员参加相关信息安全培训,信息安全意识得到有效提高。
不及物动词信息安全专项检查工作
目前,我们局正在市行政中心大楼工作。网络和信息系统便于统一管理,内外网完全物理隔离,内网的计算机都处于有效管理之下。根据我局信息安全情况,信息安全领导小组定期组织由专业技术人员组成的检查组对各办公室的网络和信息安全进行检查,认真排查信息系统的漏洞和安全隐患,用专用工具杀死木马和病毒,及时加强防范措施,为所有计算机安装正版杀毒软件和防火墙,有效提高计算机和网络防范和抵御风险的能力。此外,检查组对在市行政中心大楼外工作的个人办公室进行了挨家挨户的检查,没有放过任何信息安全死角。视察期间,视察队还进行了信息安全知识的现场培训。经过多次检查,我局信息系统总体状况良好,运行正常,未发现重大隐患。
五、信息安全检查工作中发现的主要问题及整改情况
(一)主要问题
一是专业技术人员少,信息系统安全投入有限。
二是规章制度体系初步建立,但不完善,未能覆盖信息系统安全的`方方面面。
三是计算机病毒攻击等突发事件处理不及时。
(二)下一步工作计划
根据自查过程中发现的不足和我局的实际情况,我们将重点从以下几个方面进行整改:
一是进一步扩大计算机安全知识培训,组织信息工作者和干部职工培训。
二是要加强信息安全体系的实施,并不时检查安全体系的实施情况,以提高人员的安全保护意识。
三是以制度为基础,在进一步完善信息安全体系的同时,安排专人,完善设施,严密监控,随时随地解决可能发生的信息安全事件。
根据浙卫办便函15号《省卫生计生委办公室关于开展全省卫生计生系统20xx年度网络与信息安全检查的通知》文件精神,XX县人口计生局积极组织落实,认真对照,对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查,现将自查情况汇报如下:
一、网络与信息安全自查工作组织开展情况
接到省卫计委有关文件后,局领导高度重视,由办公室和网管员负责对局机关XX县计生指导站当前网络与信息安全进行了一次系统全面的排查,自查的重点包括:机房网络检修、单位所有计算机病毒检测、保密计算机维护、相关网站维护密码防护升级、信息系统的运行情况自查等。
二、信息安全工作情况
我局对网络信息安全系统工作一直十分重视,建立健全了网络安全保密责任制和有关规章制度,严格落实有关网络信息安全保密方面的各项规定,相关工作做得比较扎实,效果也比较好,20xx年来我局在网络与信息安全方面主要完成了以下工作:
1、加强网络信息安全工作的领导。为确保政府信息及时、准确、公开发布,科学、高效地利用网络信息这一高新科技手段,我们成立了由局长陈金新同志担任组长的网络与信息安全工作领导小组,建立健全了网络安全保密责任制和有关规章制度,由局办公室统一管理,各科室负责各自的网络信息安全工作,严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生。
2、明确责任,落实网络信息安全责任制。按照有关信息系统安全等级保护工作的要求,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,积极组织检查督促各科室认真进行计算机网络与信息安全检查与专项治理工作,并建立制定了一系列网络与信息安全规章制度,把安全责任制落实到每一个岗位、责任到人,建立起了网络信息安全长效机制。
3、坚持以“真实可靠、及时准确、服务群众、公正公平便民”的原则 把好信息审查关,杜绝影响或者可能影响社会稳定、扰乱社会管理秩序的'虚假或不完整信息,确保信息的实效性,每月定期按时在县政府门户公开网发布13条以上信息,涉及机构信息、法律依据、决策信息和工作动态等方面。
4、严格执行有关技术防范措施,及时排查事故隐患 网络服务器及计算机设置防火墙,拒绝外来恶意攻击,保障网络正常运行,安装正牌的防病毒软件,对计算机病毒、有害电子邮件采取有效防范,一旦发生网络信息安全事故应立即报告相关方面并及时进行协调处理。所有接入电子政务网的系统严格遵照规范实施,我局根据《县人口计生局信息发布审核制度》、《县人口计生局网络与信息安全应急预案》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
三、自查发现的主要问题和面临的威胁分析
通过这次自查,我们也发现了当前还存在的一些问题:
1、机房杂物多、堆放乱,线路不整齐、暴露,没有防鼠措施。
2、少数人员计算机识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的情况。
3、存在计算机病毒感染的情况,特别是u盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
四、改进措施和整改结果
在认真分析、总结前期自查工作的基础上,我局针对发现的问题做了一下整改措施
1、清理了机房中的无关杂物,并联系电信部门对线路进行梳理并做好防鼠、防火措施。
2、加强计算机安全意识教育和防范技能训练,让全体机关干部不仅提升网络与信息安全防范水平,同时也充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
3、网管员系统地对所有计算机系统以及移动存储介质进行病毒查杀,确保工作信息不受病毒威胁。
通过自查发现虽然我局网络与信息安全工作一直做到很扎实,但难免仍存在不足,通过系统的排查检测,,全面了解单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地进行整改,通过信息安全检查,使全体机关干部进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施。
五、关于加强信息安全工作的意见和建议
1、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
2、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件责任人,要严肃追究责任。
3、加大应急管理工作推进力度,在原有基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
根据上级网络安全管理文件精神,供销社成立了网络信息安全工作领导小组,领导小组制定计划,明确责任,具体落实,对我系统网络与信息安全进行了一次全面的调查。发现问题,分析问题,解决问题,确保了网络能更好地保持良好运行,为我县供销事业提供了一个强有力的信息支持平台。
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强全系统网络信息系统安全管理工作,我社成立了网络与信息系统安全保密工作领导小组,做到分工明确,责任具体到人。安全工作领导小组,组长主任,副组长。分工与各自的职责如下:主任为我社计算机网络与信息系安全保密工作第一责任人,全面负责计算机网络与信息安全管理工作。办公室主任分管计算机网络与信息安全管理工作。负责计算机网络与信息安全管理工作的日常事务,上级主管部门发布的信息、文件的接收工作。负责计算机网络的日常事务,上级主管部门发布的信息、文件的接收工作。负责计算机网络与信息安全管理工作的日常协调、督促工作和网络维护和日常技术管理工作。
二、完善制度,确保了网络安全工作有章可循
为保证我系统计算机的正常运行与健康发展,加强对网站的管理,规范网络使用行为,制定了《供销社网站信息安全管理制度》等相关制度、措施,确保网络安全。
三、强化管理,加强了网络安全技术防范措施
我系统计算机网络加强了技术防范措施。一是安装了防火墙,防止病毒、反动不良信息入侵网络。二是安装杀毒软件,网络管理员每周对杀毒软件的病毒库进行升级,及时进行杀毒软件的升级与杀毒,发现问题立即解决。三是网络与机关大楼避雷网相联,做到设备防雷、防盗、防火,保证设备安全、完好。四是及时对服务器的系统和软件进行更新。五是对重要文件,信息做到及时备份。创建系统恢复文件。六是禁止使用来历不明或未经杀毒的移动存储介质。
县社网络安全领导小组每季度对全系统计算机的环境安全、设备安全、信息安全、管理制度落实情况进行一次全面检查,对存在问题及时进行纠正,消除安全隐患。
按照自治区信息化领导小组下发的《关于20xx年我区开展重点领域信息安全检查工作的通知》(内信领办字[20xx]号)文件精神,x自治区民政厅结合自身情况,认真组织自查,取得预期效果,现将检查结果报告如下:
一、重点网络与信息系统基本情况
正式运行中的业务应用系统包括:自治区最低生活保障信息系统、自治区婚姻登记信息系统、自治区优待抚恤信息系统、自治区社会团体信息系统、自治区五保供养信息系统及自治区城乡医疗救助信息系统等xx个主要业务信息系统,由信息中心负责日常保障和维护。
从应用系统的实时性、服务对象、连接互联网、数据集中、灾备情况来看,以上xx个业务信息系统全部采用实时交互、逻辑强隔离措施连接互联网、省级数据集中、数据级灾备模式运行。
从网络硬件构成情况来看,中心机房配置有台服务器、台小型机、xx部路由器、台隔离网闸、台负载均衡设备等。
二、整体安全状况的基本判断
从总体来看,各类业务信息系统上线运行以来,严格遵照有关规章制度的要求、完善各项安全防范措施、加强信息安全工作人员教育培训、信息安全风险得到有效降低,应急处置能力得到显著提高,切实保障了业务信息系统安全、稳定,高效运行。
三、发现的主要问题
(一)专业技术人员队伍薄弱,网络与信息系统安全保障工作可投入的人力物力有限。
(二)处于规章制度体系建立初期,尚未能覆盖网络与信息系统安全保障工作的'各个方面。
(三)当遇到计算机病毒大规模集中爆发、恶意侵袭信息系统等突发事件时,应急处理能力未得到实践检验。
四、 薄弱环节及整改情况
(一)安全保障预算资金和技术人员缺乏的问题已提请厅领导审批。
(二)在实际工作中不断发现问题、解决问题,修订各类规章制度。
(三)不定期开展数据恢复演练,密切监测,检验各项应急预案的可操作性和实际有效性,随时预防发生的信息系统安全隐患。
五、意见和建议
随着现代信息技术日新月异的发展,新的、不可预测的信息安全漏洞和安全隐患将层出不穷。建议每年组织一些系统的信息安全技术培训,有针对性地提高安全防范水平和安全可控能力,预防和减少重大信息安全事件的发生。
根据XX市网络与信息安全协调小组印发《XX市20xx年网络与信息安全检查方案》要求,结合实际,认真对我市信息系统安全进行了检查,现将检查情况报告如下:
一、网络与信息安全状况总体评价
今年来,市、局高度重视信息安全工作,把信息安全工作列入重要议事日程,为规范信息公开工作,落实好信息安全的相关规定,成立了信息安全工作领导小组,落实了管理机构,由专门的信息化公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
相继建立健全了日常信息管理、信息安全防护管理等相关工作制度,加强了信息安全教育工作,信息安全工作领导小组定期或不定期地对我市信息安全工作进行检查,对查找出的问题及时进行整改,进一步规范了信息安全工作,确保了信息安全工作的有效开展,全市信息安全工作取得了新进展。
二、20xx年网络与信息安全主要工作情况
(一)加强领导,明确职责,抓好网络与信息安全组织管理工作。为规范、加强信息安全工作,市领导高度重视,把该项工作列为重点工作任务,成立了由主管市长为组长,分管信息工作的局级领导为副组长,各相关市直单位为成员的信息安全工作领导小组。做到了分工明确,责任到人,形成了主管领导负总责,具体管理人负主责,分级管理,一级抓一级,层层抓落实的领导体制和工作机制,切实把信息安全工作落到实处。
(二)做好网络与信息安全日常管理工作。根据工作实际,我局建立健全了信息系统安全状况自查制度、信息系统安全责任制、计算机及网络保密管理等相关制度,使信息安全工作进一步规范化和制度化。
(三)落实好网络与信息安全防护管理。健全完善了非涉密计算机保密管理制度、非涉密移动储存介质保密等管理制度。在计算机上安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。网络终端没有违规上国际互联网及其他的信息网的现象,单位未安装无线网络等无线设备,并安装了针对移动存储设备的专业杀毒软件。
(四)制定信息安全应急管理机制。结合实际,我市初步建立应急预案,建立了电子公文和信息报送办理制度(试行)和电子公文和信息报送岗位责任制,严格文件的收发,完善了清点、修理、编号、签收制度;信息管理员及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(五)安全教育培训情况正在逐步开展。今年下半年,我市计划对全体计算机使用人员开展了网络与信息安全等方面的操作培训,并讲解网络安全的一些知识。
(六)认真开展信息安全检查工作。市信息安全工作领导小组会定期或不定期地对我市网络与信息安全工作进行检查,对查找出的问题及时进行整改,确保了信息安全工作的有效展。
三、网络与信息安全自查发现的主要问题及整改情况
根据《XX市20xx年网络与信息安全检查方案》中的具体要求,在工作自查过程中我们也发现了一些不足及待以整改的情况。
1、存在问题。在自查过程中主要存在以下情况:
一是投入不足。由于我市缺少专业技术人员,且市财政在信息系统安全方面可投入的资金有限,因此在网络与信息安全建设过程中投入的力量有限;
二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;
三是在遇到计算机病毒侵袭等突发事件上,处理不够及时。
2、整改情况。针对以上存在的问题,我们将做好四个“继续”。
一是继续完善并执行信息安全工作制度,应经常不定期的对信息安全工作制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高信息人员安全防护意识;
二是继续抓好制度落实,在进一步完善网络与信息安全制度的同时,安排专人密切监测,随时随地解决可能发生的信息系统安全事故;
三是继续加强对全市领导干部、网络信息人员的安全意识教育,提高做好信息安全工作的主动性和自觉性;
四是继续加强加大对全市信息线路、信息系统等方面的及时维护、保养、更新力度。
四、对网络与信息安全工作的意见和建议
建议省、市加大对县市区信息安全工作的指导,经常性开展信息安全教育培训,不断提高信息安全工作的现代化水平,便于工作人员进一步加强对网络与信息安全方面的防范和保密工作;建议省、市加大与对信息安全工作的资金和技术投入力度,确保工作顺利开展,保证信息安全。
接县公安局文件后,我单位对本单位信息安全等级保护工作进行了自查。
一、等级保护工作组织开展、实施情况:
严格按照文件精神组织开始了信息安全等级保护自查工作,主要检查对象为本单位维护的翼城政府网;安全责任落实情况:按照“谁主管谁负责,谁运营谁负责”的原则开展工作,我单位负责人为第一责任人,对翼城政府网信息安全负直接责任,并接受信息安全监管部门对开展等级保护工作的监管;信息系统安全岗位和安全管理人员设置情况:本单位负责人主管信息系统安全工作,有安全管理员两名。
二、按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况:
遵照有关法律法规,对翼城政府网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对翼城政府网信息安全保护等级进行了自主定级。
三、信息系统定级备案情况,信息系统变化及定级备案变动情况:
按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字20xx861号),对本单位维护网站(翼城政府网)安全保护等级级别定位第二级。
四、信息安全设施建设情况和信息安全整改情况:
鉴于网站的.性质,无信息安全设施。
五、信息安全管理制度建设和落实情况:
制定了翼城政府网信息安全管理制度,按照“谁主管谁负责”的原则开展工作,我单位负责人为第一责任人,对翼城政府网信息安全管理负直接责任,并接受上级单位的监管。
六、信息安全保护技术措施建设和落实情况:
对翼城政府网机房实施了24小时值班,操作系统、数据库系统、防病毒系统、网站软件系统实时升级,发现安全隐患,第一时间由技术人员解决。
七、选择使用信息安全产品情况:
翼城政府网使用了锐捷网络的产品。
八、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况:
暂无聘请测评机构开展技术测评工作。
九、自行定期开展自查情况:
每半年对翼城政府网进行一次信息系统安全保护自查。
十、开展信息安全知识和技能培训情况:
主动学习信息安全法律法规,积极参加公安机关、上级主管部门组织的信息安全知识和技能培训。
根据铁路局《关于在全球范围内开展网络和信息安全检查行动的通知》。
一、信息安全自查的组织实施
1.成立了信息安全检查行动小组。站长、书记为组长,相关部门(车间)负责人、信息技术部全体人员为组员,负责全站重要信息系统的综合调查,填写相关报告,归档保存。
2.信息安全检查组根据网络和信息系统的实际情况逐项检查确认,并对自检结果进行全面检查、梳理和分析。整改提高了全站网络控制和信息安全。
1)组织成立了网络与信息安全检查组,由站长、书记任组长,相关部门(车间)负责人和信息技术部全体人员为检查组成员。
2)研究制定自查实施方案,根据系统承担业务独立性的四个因素,对售票订票系统、客运服务系统、办公信息系统进行全面梳理分析,责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性。
3. 8月6日前逐项检查售票预订系统、客运服务系统、办公信息系统的基本场景。
1)基本系统安全场景自检售票订票系统为实时系统,对车站主营业务影响较大。目前,它拥有2台IBM服务器、2台Cisco路由器和13台Cisco交换机。系统采用windows操作系统。灾难恢复场景是系统级灾难恢复。系统未连接到Internet。防火墙采用永达公司的永达安全控制防火墙。
旅客服务系统为实时系统,对车站主营业务影响较大。目前,它拥有13台HP服务器、5条H3C路由和15台H3C交换机。系统采用linix操作系统,数据库采用sqlserver,容灾场景为数据容灾。系统未连接到Internet。安全保护策略根据使用需求采用开放端口,重要数据采用加密保护。
2)在安全管理自查场景的人员管理方面,指定专职信息安全员,建立信息安全管理机构和专职信息安全工作机构。所有重要岗位人员均签订了安全保密协议,制定了人员离岗安全规定和外来人员出入审批表。
在资产管理方面,指定专人负责资产管理,完善资产管理制度、设备维修报废管理制度,建立设备维修记录表。
在存储介质管理方面,完善了存储介质管理系统,建立了存储介质管理记录表。
在运维管理方面,建立了客服系统维护标准和运维记录表,完善了日常运维制度。
3)网络与信息安全培训场景
三、自查发现的主要问题和威胁分析
四、改进措施
根据《广电总局办公厅贯彻落实国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》文件精神,我台在青岛市文广新局的统一部署下,对本台网络与信息安全情况进行了自查,现汇报如下:
一、信息安全自查工作组织开展情况
1、成立了信息安全检查行动小组。由台长任组长,分管领导为副组长,相关科室负责人为组员的行动小组,负责对全台的重要信息系统的全面指挥、排查并填记有关报表、建档留存等。
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的.核对、分析,提高了对全台网络与信息安全状况的掌控。
二、信息安全工作情况
1、8月6日完成信息系统的自查工作部署,并研究制定自查实施方案,根据所承担的业务要求和网络边界安全性对硬盘播出系统、非线性编辑系统、有线电视传输系统进行全面的梳理并综合分析。
2、8月7日对硬盘播出系统、非线性编辑系统、有线电视传输系统进行了细致的自查工作。
(1)系统安全自查基本情况
硬盘播出系统为实时性系统,对主要业务影响较高。目前拥有dell服务器5台、惠普服务器2台、cisco交换机2台,操作系统均采用windows系统,数据库采用sqlserver,灾备情况为数据级灾备,该系统不与互联网连接。
非线性编辑系统为非实时性系统,对主要业务影响较高。目前拥有dell服务器6台、华为交换机1台,网关采用uni操作系统,数据库采用sqlserver,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用默认规则。
有线电视传输系统为实时性系统,对主要业务影响高,灾备情况为数据灾备,该系统不与互联网连接。
(2)、安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
(3)、网络与信息安全培训情况
制定了《市广播电视台信息安全培训计划》,上半年组织信息安全教育培训2次,接受信息安全培训人数40人,站单位中人数的20%。组织信息安全管理和技术人员参加专业培训4次。
市广播电视台
8月22日
一、网络信息安全各项制度落实情况
我局严格执行《**省司法行政系统信息网络管理规定(暂行)》,并制定了《**市司法局信息采集与发布管理制度》、《**市司法局网络设备维护管理规定》和《数据备份与移动存储设备管理制度》。并与相关部门签订责任书,定期检查制度的执行情况,发现问题及时整改。
二、硬件及网络设备管理情况
我们重点清查了内网和外网的接入情况,排除了内网和外网共用设备、混接等安全隐患,内、外网严格实行了物理隔离。严禁计算机使用者擅自进行内外网切换,杀毒软件由网络管理人员定期升级维护。禁止使用无线网卡、蓝牙等无线互联功能的设备。机房有专人负责管理与维护,无关人员未经批准不得进入机房,更不得动用机房内的网络设备和资料。
网络及硬件设备确保24小时正常运行,工作温度保持在25℃以下。内网专用防火墙设置正确,相关安全策略正常启用。IP地址分配表网络线标注明晰,并记录在案。对所有硬盘、移动设备全部按照保密要求进行排检,所有U盘存放文件必须符合保密要求,用于内外网传输的U盘不得存放文件,内外网计算机严格区别使用,不得在外网计算机上存放、操作内部文件。
三、软件系统使用情况
严格执行“谁发布、谁负责”的网上信息发布原则,按照《**市司法局信息采集与发布管理制度》做到信息上网有审批、有记录,做到“涉密不上网,上网不涉密”,认真履行网络信息安全保障职责。网络管理人员定期对相关程序、数据、文件进行备份,每台计算机都安装了正版瑞星杀毒软件,定期进行更新、杀毒、木马扫描,发现操作系统漏洞及时修复,确保计算机不受病毒、木马的侵入。
对网站和应用系统的程序升级、账户、口令、软件补丁、查杀病毒、外部接口以及网站维护等方面存在的突出问题,我们逐一进行清理、排查,能及时更新升级的更新升级,进一步强化安全防范措施,及时堵塞漏洞、消除隐患、化解风险。
做好全部计算机上的炒股、游戏、聊天、下载、在线视频等与工作无关的软件程序的卸载清理工作,杜绝利用计算机从事与工作无关行为的发生。
四、存在的问题
一是机房没有避雷设备,近期我们会加紧解决。
二是部分工作人员的网络安全防范意识和防范技能不强,我们要进一步加强对全局人员的计算机安全意识教育和防范技能训练,提高防范意识,充分认识到计算机网络与信息安全案件的严重性,把计算机安全保护知识真正融于工作人员业务素质的提高当中。
通过自查,全局职工对网络和信息安全保密意识进一步提高,信息网络安全基本技能有了进一步提升,保障了全区网络运行效率,加强了网络安全,规范了办公秩序,为司法行政各项工作的顺利开展提供了重要的安全保障。
根据省文件精神,我局开始了信息安全自查工作,结合工作实际,现汇报如下:
一、信息安全自查工作开展情况
1、健全组织机构。根据工作要求和部署,我局高度重视,立即成立信息安全工作机构,组织开展全局重点领域网络和信息安全大检查,局主要领导为第一责任人,局办公室统一协调,监督指导信息安全工作,各科室主要负责人负责落实本部门的信息安全工作,指定专人定期检查网络信息安全,认真填写排查记录,建立排查台帐,做到专人维护,专人管理,确保网络信息安全。
2、认真开展排查。组织专业人员加大计算机管理系统的排查,对管理系统软件和硬件进行了逐项安全排查,认真仔细检查了服务器、路由器、交换机等设备,通过检查,我局所有管理系统和计算机全部安装了杀毒软件、防火墙等,没有安全风险存在,同时每台计算机管理系统都指定了熟悉业务的工作人员操作,提高安全防护能力,有效预防和减少重大信息安全事件的发生。
二、信息安全工作情况
1、在安全管理上,建立信息网络安全责任制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,加强督促开展信息安全检查与专项整治,及时上报开展情况与检查结果,建立完善信息安全各项规章制度,与信息安全员签订保密协议,把安全责任制落实到每一个岗位,责任到人。
2、在防护技术上,加大了网络防护措施,检查了互联网的连接情况,对外联的出口进行了安全控制,分别设置了安全密码进行传输,确保计算机的正常运行。
3、应急处置与灾备情况,制定了信息安全事件应急预案,对重要系统重要数据全部进行备份,确保重要数据的信息不丢失。
按照《信息化工作领导小组办公室关于开展20xx年度政府信息系统安全检查工作的通知》要求,我x立即组织开展全x范围的信息系统安全检查工作,现将自查情况汇报如下。
一、信息安全状况总体评价
我x信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急
处置能力切实得到提高,保证了政府信息系统持续安全稳定运行。
二、20xx年信息安全工作情况
(一)信息安全组织管理
领导重视,机构健全。针对政府信息系统安全检查工作,政府高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由分管旗长担任,成员由旗直有关部门领导组成,领导小组下设办公室,办公室设在电子政务中心。同时,x直各部门和各镇领导也十分重视信息安全工作,建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了政府工作的良好运行,确保了信息系统的安全。
(二)日常信息安全管理
1、建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。
2、制定了计算机及网络的信息系统安全管理制度。网站的信息管护人员负责信息系统安全管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(三)信息安全防护管理
1、涉密计算机经过了保密技术检查,并安装了防火墙,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
(四)信息安全应急管理
1、制定了初步应急预案,并随着信息化程度的深入,结合我x实际,不断进行完善。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并给予应急技术最大支持。
3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行存档。
4、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(五)信息安全教育培训
1、派专人参加了国家经信委组织的网络系统安全知识培训,专门负责我x的网络安全管理和信息安全工作。
2、全x专门组织了基本的信息安全常识培训活动。
三、检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我旗实际,今后要在以下几个方面进行整改。
存在不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
一是要继续加强对全旗机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
四是要提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和保密工作。
五是要创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
四、对信息安全工作的意见和建议
希望上级部门能够经常组织有关信息系统安全的培训,进一步提升信息系统管理工作人员的专业水平,进一步强化信息系统的安全防范工作。
根据上级领导部门文件精神,我校信息安全领导小组对学校信息安全情况进行了自检自查,现将情况汇报如下:
一、信息安全自查工作组织开展情况
1、在上级部门的组织下,我校成立了信息安全检查领导小组,由学校党支部书记担任组长,学校副校长担任副组长,信息技术教师杨发福、马银花为组员,负责对全校的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析、整改,提高了对全校网络与信息安全状况的掌控。
二、信息安全工作情况
每学期开学学校信息安全领导小组对学校机房设备、学校网校及信息发布状况情况进行逐项排查。
1、系统安全基本情况自查
学校机房设备为硬件系统,对学校主要业务影响较直接。目前拥有TP-LINK交换器器3台、ip-com路由器1台、系统均采用windows操作系统,打印室系统承载学校主要文件打(复)印,该系统不与互联网连接。
2、安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
运行维护管理方面,建立了《日常运行维护手册》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3、网络与信息安全培训情况
制定了《阿尕尔森乡头道湾学校年度信息安全培训计划》,20xx年上半年组织信息安全教育培训1次,接受信息安全培训人数51人,占公司总人数的92%,组织信息安全管理和技术人员参加专业培训1人次。
4、信息安全应急管理
我校制定了本年度信息安全应急预案,对可能发生的各类信息安全事件做到心中有数,对重点业务计算机经常备份数据,本年度没有发生信息安全事故。
三、自查发现的.主要问题
1、安全意识不够,需要继续加强对学校教师的信息安全意识教育,提高做好安全工作的主动性和自觉性。
2、规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
3、设备维护、更新还不够及时。
4、没有建立灾系统
5、没有建立防火墙系统
四、改进措施与整改
根据自查过程中发现的不足,同时结合我校实际,将着重对以下几个方面进行整改:
1、加强学校教师信息安全教育培训工作,增强信息安全防范和保密意识。
2、要完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
3、不断加强计算机信息安全管理、维护、更新等方面的设备投入,及时维护设备、更新软件,以做好信息系统安全防范工作。
北京市x办公室接到《北京市信息化工作办公室关于开展x年全网络与信息系统安全检查工作的通知》后,我领导十分重视,及时召集相关人员按照文件要求,逐条落实,周密安排自查,对全配备的所有计算机网络与信息安全工作进行了自查,现将自查情况报告如下:
一、 领导高度重视,组织、部门健全
领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,成立了信息系统安全领导小组,区局一把手担任领导小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分部设立计算机管理员岗位,分别有责任心、取得全国计算机等级二级以上(含二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报信息中心。结合本部门的信息系统安全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合系统安全自查方案,认真开展自查工作
(一)安全管理方面:制定了《公文处理应急预案》、《内部应急预案》、《网络故障应急预案》、《计算机机房运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。
确定信息中心二名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。
中心机房于20xx年建成,面积约90平方米,安装了接地保护装置,配备了手持式灭火器,配有两台柜式空调,并确保空调24小时正常运转。加强中心机房的供电管理,配备一台专用的10KV UPS电源专供中心机房设备使用,配备一台专用的6KV UPS电源专供征收大厅设备使用,并定期对UPS电池性能进行相应测试。
x办公网络已于20xx年元月实行内、外网物理隔离,内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区,通过一台硬件防火墙进行对外与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计算机只允许上内网。
(二)安全技术方面:网络通过租用联通的专线,实现市局、区局及分局三级网络互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分VLAN。 中心机房内网设备目前有3台华为2631路由器、2台华为
3680路由器和3台华为3552交换机为核心层,2台华为3026交换机作为接入层。除华为3552交换机有热备份,其他网络设备没有冷、热备份,通过2台东软硬件防火墙进一步加强网络安全管理。
中心机房外网设备目前有6台华为3928交换机,2台防病毒网关,2台上网行为管理,2台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
共有服务器8台,7台服务器的操作系统为Windows 20xx Server SP4,1台服务器的操作系统为Windows 20xx Server,所有服务器根据账号策略设置用户密码,强化安全管理。 所有内外网中的路由器和交换机均按照网络运行管理规范进行命名管理,并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略,提高系统的`网络安全系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固:
及时更新台式机和笔计本电脑的操作系统和应用程序补丁,禁用GUEST用户组,统一安装网络版瑞星防病毒软件,并通过设置自动升级和定时对计算机进行扫描,对外接的USB设备,必须进行病毒扫描。
三、存在的主要问题
通过本次自查发现,我信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,
存在移动存储介质内外网混用,个别笔记本电脑存在内外网混用。
(三)重技术建设、轻安全保护。进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合实际情况,现就加强信息系统安全工作,提出以下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严
格网络访问控制策略,保护网络安全。
一、领导高度重视,切实加强信息安全工作
局领导高度重视这次检查工作,召开了专项工作会议,组织认真学习文件精神,切实增强干部职工的保密意识,确保我局信息安全。会上成立了由纪委书记孟宪贞同志任组织、办公室主任郭敏同志为副组长,各相关科室负责人为成员的领导小组。会上还与各科室、各直属单位主要领导签订了《信息安全工作领导职责书》,与保密要害部门和岗位的涉密人员签订了《涉密人员岗位保密承诺书》,预防和杜绝失泄密事件发生。
二、认真开展自查自纠,加强重点部门和岗位的保密防范
我局成立了信息安全检查工作领导小组,并对此次检理工作做了统一安排。一是此次检查对象包括机关和单位在岗和近3年内离岗人员持有的涉密载体的人员进行清理,清理重点为涉密电子文档和存储、处理过涉密信息的计算机、移动硬盘、软盘、光盘、优盘、录像带等。局机要档案室是保密要害部门。局档案机要室严格执行保密精神,负责文函的接收和管理。目前,局机要档案室有两名专职人员负责保密文件资料的管理。存放保密文件资料的场所贴合保密和防火、防盗等安全要求。密件,密级文件平时存放库房档案柜中,密码电报、密钥放在保险柜中,并定期清理、检查,防止遗失,对收到和发出的保密文件资料有书面登记和签收、借阅手续,借阅带密级的文、电档案须经办公室主任批准。保密文件资料办理完毕后收集齐全并立卷归档。复制、抄存涉密文件,务必经办公室主任批准,履行登记手续,任何密件复印件视同原件管理,用完及时收回。连接互联网的计算机没有处理过保密文件资料(包括登记文件目录),保密文件资料销毁有登记,并经主管领导审定,在保密工作部门指定的销毁单位进行,没有向废品收购部门出售密级文件资料的现象。二是此次清理要求对涉密载体进行清点、核对,并逐一登记备案。对涉密计算机及移动存储介质存
在泄密隐患的`,按照有关规定采取了相应措施。三是在此次清查中对务必收回的涉密载体一律收回;对不应由个人留用的电子文档,统一组织了删除。
三、存在问题和整改措施
透过此次检查,发现全局系统涉密载体保密管理工作基本是好的,没有发现涉密文件资料流失。存在的主要问题是:干部职工人员的保密意识有待进一步加强。如,因我局近年来,离职、离岗、调动、退休的领导干部和涉密人员均未保管过涉密文件,所以没有专门为他们办理涉密文件资料的清退手续,涉密文件发放后缺少定期核查的记录。局领导要求各工作人员要进一步加强保密意识,建立管理制度,细化管理措施,完善各类手续,彻底杜绝涉密文件资料流失,确保涉密文件的安全。
根据《XX市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》精神,9月10日,由市电政办牵头,组织对全市政府信息系统进行自查工作,现将自查情景总结如下:
一、网络与信息安全自查工作组织开展情景
9月10日起,由市电政办牵头,对各市直各单位当前网络与信息安全进行了一次全面的调查,此次调查工作以各单位自查为主,市电政办抽查为辅的方式进行。自查的重点包括:电政办中心机房网络检修、党政维护密码防护升级,市直各单位的信息系统的运行情景摸底调查、市直各单位客户机病毒检测,市直各单位网络数据流量监控和数据分析等。
二、信息安全工作情景
经过上半年电政办和各单位的努力,我市在网络与信息安全方面主要完成了以下工作:
1、所有接入市电子政务网的系统严格遵照规范实施,我办根据《常宁市党政站信息发布审核制度》、《常宁市网络与信息安全应急预案》、《“中国·常宁”党政站值班读网制度》、《中国?常宁”党政站应急管理预案》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
2、组织信息安全培训。面向市直政府部门及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
3、加强对党政站巡检。定期对各部门子网站进行外部web安全检查,出具安全风险扫描报告,并协助、督促相关部门进行安全加固。
4、做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障承诺书,加强互联网出口访问的实时监控,确保十八大期间信息系统安全。
三、自查发现的主要问题和面临的威胁分析
经过这次自查,我们也发现了当前还存在的一些问题:
1、部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。
2、少数单位的工作人员安全意识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的情景。
3、存在计算机病毒感染的情景,异常是U盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
4、信息安全经费投入不足,风险评估、等级保护等有待加强。
5、信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量。
四、改善措施和整改结果
在认真分析、总结前期各单位自查工作的基础上,9月12日,我办抽调3名同志组成检查组,对部分市直机关的重要信息系统安全情景进行抽查。检查组共扫描了18个单位的站,采用自动和人工相结合的方式对15台重要业务系统服务器、46台客户端、10台交换机和10台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《XX市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求对抽查单位进行了细致周到的安全巡检,供给了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查情景核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改提议,督促有关单位对照报告认真落实整改。经过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障本事显著提高。
五、关于加强信息安全工作的意见和提议
针对上述发现的问题,我市进取进行整改,主要措施有:
1、对照《XX市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求,要求各单位进一步完善规章制度,将各项制度落实到位。
2、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
3、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件职责人,要严肃追究职责。
4、继续完善信息安全设施,密切监测、监控电子政务网络,从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位的安全防护体系。
5、加大应急管理工作推进力度,在全市信息安全员队伍的基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
按照(镇信安联办[20xx]5号)要求,我局高度重视,立即组织开展全局范围的信息系统安全检查工作。现将自查情况汇报如下。
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行。
一、信息安全组织管理工作情况
我局高度重视信息系统安全工作,成立有由主要领导任组长、分管领导任副组长、各处室负责人为组员组成的局信息安全工作领导小组,明确了局办公室为主要职能部门,确定了一名兼职信息安全员,召开了由分管领导、信息安全工作职能部门和重点部门负责人参加的会议,对上级有关文件进行了认真学习,对自查工作进行了周密的部署,确定了自查任务和人员分工,真正做到领导到位、机构到位、人员到位、责任到位、措施到位。为确保我局网络信息安全工作有效顺利开展,我局要求以各处室、下属单位为单位认真组织学习相关法律、法规和网络信息安全的相关知识,使全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
二、日常信息安全管理工作情况
我局在以前建立一系列信息安全制度的基础上,针对信息安全工作的特点,结合我局实际,重新修订了一系列信息安全制度和程序,做到按制度办事,提高执行力。按照市政府和市经信委要求,我局与计算机维保单位重新签订了服务协议,增加了信息安全与保密协议内容。同时我局还与全局所有工作人员签订了安全保密协议。我局对涉密计算机和涉密移动存储介质高度关注,对所有涉密计算机和涉密移动存储介质全部进行编号在册统一管理,明确责任人和保管人,对涉密信息系统的使用进行多次重点检查,强化涉密人员管理,严格执行涉密计算机和涉密移动存储介质的相关管理制度,专门为涉密人员配发了带有硬件锁的u盘,严禁在涉密和非涉密信息系统间混用移动存储介质等等。对非涉密计算机的保密系统和防火墙、杀毒软件等皆为国产产品,公文处理软件使用微软公司的正版office系统,信息系统的第三方服务外包均为国内公司。
三、信息安全防护管理工作情况
我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。我局经常开展信息安全检查工作,主要对操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、网页篡改情况等进行监管,认真做好系统安全日记。今年,我局在市政府办的指导下试运行协同办公系统,投入10多万元为所有局领导、各处室配置了内网计算机,为涉密处室另配备了涉密计算机,从硬件上加强了涉密信息系统管理。
四、信息安全应急管理工作情况
我局认真做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,落实了应急技术支撑队伍,把工作做深做细做在前面。
五、信息安全教育培训工作情况
我局针对信息管理人员实际情况,每年开展信息化教育培训,以掌握信息化管理技能为目的进行实践操作能力培训。还组织有关工作人员参加了相关信息安全培训,职工信息安全意识得到有效提高。
六、信息安全专项检查工作情况
目前我局在市行政中心大楼内办公,网络和信息系统便于统一管理,内外网完全物理隔离,内网计算机均在有效管理范围内。局信息安全工作领导小组针对我局的信息安全形势,定期组织由专业技术人员组成的检查小组到各个办公室专项检查网络和信息安全情况,仔细排查信息系统的漏洞和安全隐患,用专用工具查杀木马、病毒,及时加强防范措施,为所有计算机安装了正版杀毒软件和防火墙,有效提高了计算机和网络防范、抵御风险的能力。此外,检查小组针对个别在市行政中心大楼外办公的处室进行了上门检查,不放过任何信息安全死角。在检查的同时,检查小组还就信息安全知识进行了上门培训。经多次检查,我局信息系统总体情况良好,运行正常,未发现重大隐患。
七、信息安全检查工作发现的主要问题及整改情况
(一)存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。
二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
三是遇到计算机病毒侵袭等突发事件处理不够及时。
(二)下一步工作打算
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是进一步扩大对计算机安全知识的培训面,组织信息员和干部职工进行培训。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息安全事故。
为进一步加强我院信息系统的安全管理,强化信息安全和保密意识,提高信息安全保障水平,按照省卫计《关于xx省卫生系统网络与信息安全督导检查工作的通知》文件要求,我院领导高度重视,成立专项管理组织机构,召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由主管院长负责安排、协调相关检查部门、监督检查项目,建立健全医院网络安全保密责任制和有关规章制度,严格落实有关网络信息安全保密方面的各项规定,并针对全院各科室的网络信息安全情况进行了专项检查,现将自查情况汇报如下:
一、医院网络建设基本情况
我院信息管理系统于xx年xx月由x科技有限公司对医院信息管理系统(HIS系统)进行升级。升级后的前台维护由本院技术人员负责,后台维护及以外事故处理由x科技有限责任公司技术人员负责。
二、自查工作情况
1、机房安全检查。机房安全主要包括:消防安全、用电安全、硬件安全、软件维护安全、门窗安全和防雷安全等方面安全。医院信息系统服务器机房严格按照机房标准建设,工作人员坚持每天定点巡查。系统服务器、多口交换机、路由器都有UPS电源保护,可以保证在断电3个小时情况下,设备可以运行正常,不至于因突然断电致设备损坏。
2、局域网络安全检查。主要包括网络结构、密码管理、IP管理、存储介质管理等;HIS系统的操作员,每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行“谁使用、谁管理、谁负责”的管理制度。行固定IP地址,由医院统一分配、管理,无法私自添加新IP,未经分配的IP无法连接到院内局域网。我院局域网内所有计算机USB接口施行完全封闭,有效地避免了因外接介质(如U盘、移动硬盘)而引起中毒或泄密的发生。
3、数据库安全管理。我院对数据安全性采取以下措施:
(1)将数据库中需要保护的部分与其他部分相隔。
(2)采用授权规则,如账户、口令和权限控制等问控制方法。
(3)数据库账户密码专人管理、专人维护。
(4)数据库用户每6个月必须修改一次密码。
(5)服务器采取虚拟化进行安全管理,当当前服务器出现问题时,及时切换到另一台服务器,确保客户端业务正常运行。
三、应急处置
我院HIS系统服务器运行安全、稳定,并配备了型UPS电源,可以保证在面积断电情况下,服务器可运行六小时左右。我院的HIS系统刚刚升级上线不久,服务器未发生过长宕机时间,但医院仍然制定了应急处预案,并对收费操作员和护士进行了培训,如果医院出现面积、长时间停电情况,HIS系统无法正常运行,将临时开始手工收费、记账、发药,以确保诊疗活动能够正常、有序地进行,待到HIS系统恢复正常工作时,再补打发票、补记收费项目。
四、存在问题
我院的网络与信息安全工作做的比较认真、仔细,从未发生过重的安全事故,各系统运转稳定,各项业务能够正常运行。但自查中也发现了不足之处,如目前医院信息技术人员少,信息安全力量有限,信息安全培训不全面,信息安全意识还够,个别科室缺乏维护信息安全的`主动性和自觉性;应急演练开展不足;机房条件差;个别科室的计算机设备配偏低,服务期限偏长。
今后要加强信息技术人员的培养,提升信息安全技术水平,加强全院职工的信息安全教育,提高维护信息安全的主动性和自觉性,加对医院信息化建设投入,提升计算机设备配,进一步提高工作效率和系统运行的安全性。
市政信息办公室:
为进一步加强我局信息安全工作水平,根据《鹤壁市人民政府关于印发20xx年责任目标的通知》(合政发〔20xx〕17号)和《鹤壁市信息化领导小组办公室关于印发20xx年信息化责任目标考核办法的通知》(合信华办〔20xx〕6号)文件精神,结合我局实际,我局对信息系统安全形势进行了自查。
一、自检
1、安全制度的实施:
目前,局(馆)已制定并严格执行《鹤壁市档案局网络安全管理制度(试行)》、《鹤壁市档案局(馆)计算机信息系统安全保密管理制度》等制度。局(库)信息管理和保护人员负责信息系统安全管理、密码管理,严禁泄密。网站建设服务水平进一步提高,网站布局和技术标准合格,内容及时更新,局领导率先在线学习,对网站建设提出新要求;完成了网站域名注册和规范化管理;及时处理市长信箱的相关事宜;及时转载市委、市政府的重大活动和决策部署信息,及时反馈上级决策和局部署的执行情况。网站信息公开水平进一步提高,政务公开专栏设立。根据政务公开的要求,办公室分管副主任负责审核内容和保密工作,积极及时公开本单位的重大活动、发展规划、政策执行等信息,专人经常更新,员工和群众反应良好。
2、安全预防措施的实施:
(1)涉密计算机通过了信息系统安全技术检验,配备了防火墙和专业杀毒软件,增强了防篡改、防病毒、防攻击、防瘫痪、防泄密等效能。
(2)已建立涉密计算机信息系统,物理隔离,不联网。除特殊人员使用和管理外,任何人不得接触或查看涉密计算机信息系统。禁止将任何机密文件和内部敏感信息保存或转移到非机密计算机和信息系统中,所有机密文件和内部敏感信息应保存在机密计算机信息系统中。涉密计算机信息系统配备单独的移动存储介质,不使用本局(库)其他处室的移动存储介质,禁止使用所有来历不明或未经杀毒的移动存储介质。
(3)除政府信息公开场所使用的无线局域网(WLAN)外,局(馆)其他所有硬件设施均为有线,有效避免了WLAN中的信息泄露。
(4)安装杀毒软件时,各机房采用国家主管部门认可的杀毒软件及时查杀病毒,不使用来历不明的软件、软盘、光盘、u盘等没有杀毒的载体,不访问非法网站,自觉严格控制和阻断病毒来源。单位外的u盘不得携带到单位使用。电脑一般用多功能机在局域网内打印扫描,公开保密。
3、应急机制建设:
(1)初步应急预案已制定,处于持续改进阶段。
(2)定期备份信息系统数据,减少或消除各种灾害对正常工作的影响。
4、信息技术产品的应用:
防火墙、安全门和入侵检测系统的使用可以有效地保护信息系统的安全。
5、信息安全教育和培训:
(1)我局不断加强对计算机用户的`安全培训,增强每个用户安全使用网络的能力,提高安全防范意识,并对每台联网计算机的用户和IP地址进行登记。
(2)组织人员参加网络安全员培训。增强内部员工信息安全意识,有效提升局(馆)信息安全防护能力。
二、信息安全检查中发现的主要问题及整改情况
1、存在的问题:
(1)规章制度体系初步建立,但还不够完善,不能覆盖信息系统安全的各个方面。
(2)许多信息系统用户没有安全意识,缺乏管理的主动性和自觉性。
(3)网络安全技术管理人员配备较少,信息系统安全投入有限。
2、整改措施:
(1)重新审查规章制度各方面的安全政策和制度,对不完善的部分进行修订和修改,加强信息安全制度的实施,并不定期检查安全制度的执行情况。
(2)继续加强人员安全意识教育,提高人员安全工作的主动性和自觉性。
(3)增加线路和系统的及时维护,加大更新力度。提高安全工作的现代化水平,有利于进一步加强计算机信息系统安全防范和信息系统安全工作。
三、对信息安全检查工作的意见和建议
1、加强信息网络安全技术人员的培训,使安全技术人员能够及时更新信息网络安全管理知识。
2、强化人员信息安全意识,不断强化信息系统安全管理和技术防范水平。
市工信委:
根据《关于开展20xx年全市重点领域网络与信息安全检查的通知》(洪工信字【20xx】177号)文件的精神,我局领导高度重视,立即组织开展全局范围的信息系统安全检查工作。按照《中华人民共和国计算机信息系统安全保护条例》、《**市政府信息系统安全检查指南》的要求,我局对政务网站信息安全管理工作认真组织自查,现将情况汇报如下:
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行
一、信息安全制度落实情况
1、建立管理机构。我局于20__年成立了信息安全和保密管理工作领导小组,并于20xx年调整后,由局长任组长,副调研员负责分管信息安全工作。各科室负责人为成员,办公室设在局办公室,设专人负责处理日常工作。
2、建立建全信息安全制度。我局专门制订了信息化工作有关规章制度,对信息化工作管理、内部电脑安全管理、计算机及网络设
备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作。并在今年对信息安全制度进行了修订,完善制度,确保政府信息系统安全防护措施。
二、日常信息安全管理情况
1、在信息收集上传过程中,由办公室统一协调,各处室、下属单位把信息统一上报至局办公室,由局办公室审核后再把信息上传发布,从而保证了信息上传的准确性、安全性,决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。
2、我局严格文件的收发工作,完善了清点、整理、编号、签收制度,并要求信息管理员定期进行系统全备份。
3、我局每台涉密计算机采用独立内网管理,不与外网接触,防火墙、杀毒软件等皆为国产产品,公文处理软件具体使用微软公司的office系统、金山公司的WPS系统,信息系统的第三方服务外包均为国内公司。
4、为确保我局网络信息安全工作有效顺利开展,我局要求以各科室、下属单位为单位认真组织学习相关法律、法规和网络信息安全的相关知识,使全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。全体工作人员签订《网络信息安全承诺书》。
三、安全防范措施落实情况
1. 我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
2.我局实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
3.我局切实抓好内网、外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、资源库管理、软件管理等。涉密计算机都设有专人管理。公文、财务、人事等系统都设有专人管理负责。
四、应急响应机制建设情况
1、制定了应急预案,并随着信息化程度的深入,结合我局实际,处于不断完善阶段。
2、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
五、信息安全检查工作发现的`主要问题及整改情况
1.存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。
二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面;
三是设备维护、更新还不够及时。
2.下一步的整改计划
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是要加强专业信息技术人员的培养,进一步提高信息安全工作技术水平,便于我们进一步加强对计算机信息系统安全防范和保密工作。
二是要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
三是要要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
最后,希望市政府能够经常组织有关信息系统安全的培训,从而进一步提高信息系统管理工作人员的专业水平,从而进一步强化信息系统的安全防范工作。
一、自查状况
1、安全制度落实状况:
目前局(馆)已制定了《鹤壁市档案局(馆)网络安全管理制度(试行)》、《鹤壁市档案局(馆)计算机信息系统安全保密管理制度》、《鹤壁市档案局(馆)涉密人员管理制度》等制度并严格执行。局(馆)的信息管护人员负责信息系统安全管理,密码管理,且规定严禁外泄。进一步提升网站建设的服务水平,网站版式和技术标准合格,资料更新及时,局领导带头上网学习和提出网站建设新要求;完成了网站域名注册和规范管理;及时办理市长信箱有关我局事项;及时转载市委、市政府重大活动和决策部署信息,及时反馈本局贯彻落实上级决策、部署状况。网站信息公开水平进一步提高开设了政务公开栏,按照政务公开的要求,分管办公室的副局长负责进行资料、保密等审查,主动、及时公开本单位的重大活动、发展规划、政策落实等信息,并做到了专人时常更新,职工和群众反应良好。
2、安全防范措施落实状况:
(1)涉密计算机经过了信息系统安全技术检查,并安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
(2)涉密计算机信息系统已建立,处于物理隔离未接入互联网,除专人使用和管理之外任何人不得接触或查看涉密计算机信息系统。禁止在非涉密计算机及信息系统内保存或流转任何涉密文件和内部敏感信息,所有涉密文件和内部敏感信息一律保存在涉密计算机信息系统中。涉密计算机信息系统配备单独的移动存储介质,不使用本局(馆)内其他处室的移动存储介质,禁止使用来历不明或未经杀毒的一切移动存储介质。
(3)除政务信息公开场所使用无线局域网外,局(馆)其他一切硬件设施均采用有线连接,有效地避免了信息在无线局域网中泄漏。
(4)各室在安装杀毒软件时采用国家主管部门批准的查毒杀毒软件适时查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、光盘、U盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。在单位外的U盘,不得携带到单位内使用,计算机在局域网中正常使用多功能一体机进行打印、扫描等,都是公开的、未涉密的。
3、应急响应机制建设状况:
(1)制定了初步应急预案,并处于不断完善阶段。
(2)对信息系统数据进行定期备份,以降低或消除各种灾难对正常工作的影响。
4、信息技术产品应用状况:
使用防火墙、安全网闸与入侵检测系统,有效保护信息系统安全。
5、信息安全教育培训状况:
(1)我局不断加强对计算机使用者的安全培训工作,强化每一个使用者安全使用网络的潜力,提高安全防范意识,对每台入网计算机的使用者、IP地址进行登记造册。
(2)组织人员参加网络安全员培训。增强内部人员的信息安全防护意识,有效提高局(馆)的信息安全防护潜力。
二、信息安全检查发现的主要问题及整改状况1、目前存在的问题
(1)规章制度体系初步建立,但还不够完善,未能覆盖信息系统安全的所有方面。
(2)不少信息系统使用人员安全意识不强,在管理上缺乏主动性和自觉性。
(3)网络安全技术管理人员配备较少,信息系统安全方面投入的力量有限。
2、整改措施:
(1)再次检查规章制度各个环节的安全策略与安全制度,并对其中不完善部分进行重新修订与修改,切实增强信息安全制度的落实工作,不定期对安全制度执行状况进行检查。
根据《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》精神,9月10日,由市电政办牵头,组织对全市政府信息系统进行自查工作,现将自查情况自查如下:
一、网络与信息安全自查工作组织开展情况
9月10日起,由市电政办牵头,对各市直各单位当前网络与信息安全进行了一次全面的调查,此次调查工作以各单位自查为主,市电政办抽查为辅的方式进行。自查的重点包括:电政办中心机房网络检修、党政门户网维护密码防护升级,市直各单位的信息系统的运行情况摸底调查、市直各单位客户机病毒检测,市直各单位网络数据流量监控和数据分析等。
二、信息安全工作情况
通过上半年电政办和各单位的努力,我市在网络与信息安全方面主要完成了以下工作:
1、所有接入市电子政务网的系统严格遵照规范实施,我办根据《常宁市党政门户网站信息发布审核制度》、《常宁市网络与信息安全应急预案》、《常宁党政门户网站值班读网制度》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
2、组织信息安全培训。面向市直政府部门及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
3、加强对党政门户网站巡检。定期对各部门子网站进行外部web安全检查,出具安全风险扫描报告,并协助、督促相关部门进行安全加固。
4、做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障书,加强互联网出口访问的实时监控,确保十八大期间信息系统安全。
三、自查发现的主要问题和面临的威胁分析
通过这次自查,我们也发现了当前还存在的一些问题:
1、部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。
2、少数单位的工作人员安全意识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的情况。
3、存在计算机病毒感染的情况,特别是U盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
4、信息安全经费投入不足,风险评估、等级保护等有待加强。
5、信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量。
四、改进措施和整改结果
在认真分析、自查前期各单位自查工作的基础上,9月12日,我办抽调3名同志组成检查组,对部分市直机关的重要信息系统安全情况进行抽查。检查组共扫描了18个单位的门户网站,采用自动和人工相结合的方式对15台重要业务系统服务器、46台客户端、10台交换机和10台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求对抽查单位进行了细致周到的安全巡检,提供了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查情况核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改建议,督促有关单位对照报告认真落实整改。通过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障能力显著提高。
五、关于加强信息安全工作的意见和建议
针对上述发现的问题,我市积极进行整改,主要措施有:
1、对照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求,要求各单位进一步完善规章制度,将各项制度落实到位。
2、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
3、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件责任人,要严肃追究责任。
4、继续完善信息安全设施,密切监测、监控电子政务网络,从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位的安全防护体系。
5、加大应急管理工作推进力度,在全市信息安全员队伍的基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
5、信息基础设施网络安全自查报告
根据县政府办公室《xx县人民政府办公室转发县经信委关于开展信息网络安全专项检查的工作方案和安徽省政府的网站安全事件信息报告制度的通知》(x政办[20xx]140号)的文件精神,我局高度重视,认真组织相关人员对我局的办公网络系统进行了全面检查,现将检查的情况报告如下:
一、自查情况
(一)信息网络安全组织落实情况。
成立了县卫生局信息网络安全工作领导小组,局长任组长,分管副局长任副组长,各医疗卫生单位主要负责人为成员,并设Z了专职信息安全员,做到了分工明确、责任到人。
(二)信息网络安全管理规章制度的建立和落实情况。为确保信息网络安全,我局实行了网络专管员制度、计算机安全保密制度、网络安全管理制度、网络信息安全突发事件应急预案等以有效提高管理人员的工作效率。同时我局结合自身情况制定网络信息安全自查工作制度,做到四个确保:一是信息安全员于每周五定期检查单位计算机系统,确保无隐患问题;二是制定安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由信息安全员汇报计算机使用情况,确保情况随时掌握;四是定期组织全局人员学习网络知识,提高计算机使用水平,加强安全防范。
(三)技术防范措施落实情况。
一是制定了网络信息安全突发事件应急预案,并随着信息化程度的深入,结合我局实际,不断加以完善;二是严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员严格管理;三是及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复;四是计算机由专业公司定点维修,并商定其给予应急技术支持,重要系统皆为政府指定的.。产品系统;五是涉密计算机经过了保密技术检查,并安装了防火墙。同时配Z安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。安装了针对移动存储设备的专业杀毒软件;六是涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机不和其它计算机之间相互共享。对重要服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。
(四)执行计算机信息系统安全案件、事件报告制度情况。严格按照《安徽省政府的网站安全事件信息报告制度》要求,由专职人员及时向有关部门报告。
(五)有害信息的制止和防范情况。
截至目前,暂未发现我局门户网站及政府信息公开平台存在散播不当政治言论等有害信息的现象,并安排信息安全人员定期浏览排查,及时发现问题。加强对卫生系统工作人员的信息安全宣传教育,提高信息安全防范意识和应急处理能力。
(六)党政机关保密工作。
制定了县卫生局计算机及网络的保密管理制度。办公系统的信息管理人员负责保密管理、密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(七)重要信息系统等级保护工作开展情况。
按照国家信息安全等级保护有关要求,全面开展卫生系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改。各单位对本单位信息系统进行定级,对二级以上的信息系统办理备案手续,对三级以上信息系统开展信息安全等级测评,根据测评结果,不符合要求的,制定了整改方案进行整改,并加强日常信息系统安全等级保护监督检查工作。
二、存在问题
根据《通知》的具体要求,在自查过程中也发现了一些不足,一是信息管理技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖信息系统安全的所有方面;三是个别职工保密意识还不够高,要加强防范意识;四是遇到计算机病毒侵袭等突发事件处理不够及时。
三、整改措施
针对以上自查中发现的隐患与不足,为进一步加强信息网络系统安全,应围绕信息系统安全综合治理的工作目标,重点在完善规章制度、丰富技术手段上下功夫,认真开展整改工作。
(一)强化应急响应机制建设。制定周密的应急预案,加强应急技术支援队伍建设,认真做好应急演练、重大信息安全事故处Z、重要数据和业务系统备份等各项工作,确保信息系统安全正常运行。
(二)强化制度保障。一是以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;二是不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
(三)加强信息安全教育培训。建议举办信息安全技术培训班,对信息安全管理人员进行集中培训,以增强安全防范意识和应对能力,进一步提高政府信息系统安全管理水平。
(四)加强对单位干部的安全意识教育。加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性,增强对计算机信息系统安全的防范和保密意识。
根据《xx省20xx年度政府信息系统安全检查方案》的精神,按照区政府工作会议的要求,我局认真开展了政府信息系统安全检查工作,现将有关情况汇报如下:
一、信息安全工作总体评价
20xx年,xx区xx局在市信息化工作办公室的领导下,认真贯彻落实市委、市政府对电子政务建设、信息安全工作的安排部署,健全管理制度,加强硬件建设,强化管理服务,针对存在问题和不足制定了相应的整改措施,确保了我局信息工作安全高效运作。
1、加强组织领导,明确工作职责。局领导高度重视电子政务与信息安全工作,统一思想,提高认识,把电子政务建设与信息安全工作当作一件大事来抓。根据本局实际,我局已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。为切实推进我局信息化建设工作,我局成立了专项工作小组,使我局电子政务建设与信息安全工作扎实稳健的向前推进。
2、建立健全规章制度,确保信息安全。为推动我局电子政务建设,促进网络安全,我局建立岗位信息安全责任制度,全部签订重要岗位人员信息安全和保密协议,制定人员离岗
离职安全管理规定。在实际工作中严格按照规定程序和要求上报发布信息,认真落实国家有关法律法规,严格执行安全保密制度,对所有计算机安装了防火墙和查杀病毒工具,防止信息资料遭到破坏和其他意外损失,结合本单位实际情况严谨单位系统内网和外接互联网连接。
3、加强硬件建设,增加经费投入。根据事管局实际情况,我们统一规划,分步骤、有计划地完成软硬件建设。购置了电脑、打印机、复印机、扫描仪等办公自动化设备。
4、落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息安全工作。
结合工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,均按照上级部门的要求和规定,严格进行操作管理。
二、20xx年信息安全工作总体规划
我局今年确立四项工作重点,对全局信息涉密单位和网站进行了回头看,确保政府系统信息安全检查成效明显。一是把进一步建立完善信息安全制度列入工作重点,要求我局工作人员对所有计算机进行杀毒检查,按照规定进一步建立和完善管理制度。二是加强对外部网站链接的定期检查,对服务器受攻击,网页被篡改的网站,进行全面的检查、测试、
打补丁、安装,对查找到的问题进行了修补,特别是对上传的控制,以免我局计算机受到危害。三是强化信息安全意识,对全局人员进行专业的安全意识培训,确保信息传输的安全性。四是,加强工作人员的操作技能。
三、存在的问题及采取的措施
按照《方案》中具体要求,在自查过程中我们也发现了一些不足,同时结合我局的实际,今后要在以下几个方面进行整改。一是安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。二是要加大设备维护、更新及时。要加大对线路、系统等及时维护和保养。同时,针对信息技术的飞快发展特点,要加大更新力度。三是安全工作的水平还有待提高。对信息安全的管护还处于中级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。四是工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
尽管我局的电子政务建设和信息安全工作取得了一定成绩,但是仍有一些不足之处,主要表现在:一是工作人员掌握电子政务与信息安全知识还不够系统,操作水平和技能需要进一步提高;二是电子政务建设的深度和广度需进一步加强,信息安全防范手段和水平需进一步提高。在今后的工作中,我们将进一步加强人员教育和培训,不断加大经费投入,把我局的电子政务和信息安全工作提高到一个新水平。
一、健全工作机制,完善制度建设
我局成立了以局党组书记、局长单晨光为组长的四川省地方税务局政府信息公开(政务公开)工作领导小组。设立了政府信息公开(政务公开)工作领导小组办公室。政府信息公开(政务公开)工作领导小组负责全省地税系统政府信息公开工作总体规划、重大事项、重要文件的审核与决策,全面推进、指导、协调、监督全省地税系统政府信息公开工作。政府信息公开(政务公开)工作领导小组办公室具体承办领导小组的日常工作。同时,局内各单位均安排了专*人员担任政府信息公开联络员,负责信息采集、信息发布、综合协调等工作。各市、州地税局也相应成立了由局长任组长的政府信息公开领导小组,对各地政府信息公开工作进行整体部署和统一指导,在系统内形成了责任明确、层层落实的工作格局。
我局从涉及群众切身利益、切实维护纳税人利益及容易产生不正之风和滋生*的环节入手,建立健全政府信息公开制度。制定了《四川省地方税务局政府信息公开指南》、《四川省地方税务局政府信息公开目录》、《四川省地方税务局依申请公开政府信息工作规程》、《四川省地方税务局政府信息公开保密审查办法》等一系列规章制度。对政府信息公开相关资料进行整理,编制《政府信息公开和机关行政效能建设制度汇编》印发局内各单位。在各市、州局及扩权试点县、市局办公室业务培训中将政府信息公开作为重点培训内容。
二、拓宽发布渠道,提升信息质量
大力加强内外网信息建设。内外网站是地税系统进行政府信息公开的重要载体。全系统统一使用内网信息编报平台并由专人负责编审,实现了省局处室、市、州局及扩权试点县、市局及时采编报送和信息登载,确保了信息工作的时效性,提高了信息工作的质量和效率。完成了外网改版,开设了政府信息公开栏目,及时、全面地公开与纳税人及社会公众密切相关的政府信息。截至年7月31日,外网共公开各类信息870条。积极主动报送专报信息。围绕省委、省政府和国家税务总局关注的重点工作,积极向上级部门反映地税系统工作动态。根据新形势对信息工作的新要求,结合工作实践积极探索信息工作的新思路、新方法、新途径,增强工作的主动性和创造性。改进信息服务方式,加大信息约稿力度,从会议、文件、新闻、领导讲话和批示中主动寻找、挖掘信息线索。高度重视信息编辑细节问题,做到信息编辑精细化,除严格把好信息编辑质量关,还对格式、标点、印刷精益求精,努力提升信息工作整体质量。截至年7月31日,共上报省委、省政府和国家税务总局专报130余篇。其中,国办采用信息1条,省政府采用专报累计达到33条。
着力完善外部公开平台。认真做好省政府电子政务外网、政府信息公开专栏、总局地税频道等信息公开平台的内容保障和网络维护,及时更新发布信息。从优化公文处理流程入手,在公文处理环节增加政府信息公开选项栏,各处室在拟制公文时根据公文内容确定是否公开、公开时限及公开范围。公文正式发出后,由专人根据最终填报选项及时发布。同时,按照《四川省地方税务局政府信息公开目录》主动公开政务动态、人事任免、总结计划、法规制度等信息。截至7月31日,我局共向四川省人民政府网站报送信息176条,向省政府报送信息公开目录33条,向国家税务总局地税频道报送信息126条。
此外,我局还精心策划了省局领导在线访谈节目,由局领导在省政府网站上就房地产税收有关问题与网民进行实时交流。
有效依托各类新闻媒体。广泛依托广播、电视、报刊等媒体渠道对外公开最新、最快的税收政策和征管改革各项举措,让广大纳税人及时、准确了解最新的税收政策,理解并支持税务部门工作,为税收征管提供坚强的舆论保障。今年,我局已多次与四川电视台、四川人民广播电台等合作播出形式多样、内容丰富的税收政策电视片和广播节目。在《四川日报》、《中国税务报》、《四川经济日报》等报刊上刊载文章38篇。
充分利用其他公开途径。在机关大厅设立政府信息公开栏,详细公开各处室职责、联系人、联系方式等。实事求是编制了我局年度政府信息公开工作报告,并在省政府网站上发布。每年及时向省档案局送交已公开的文件资料。
三、明确工作重点,突出监督检查
按照《四川省人民政府办公厅关于切实做好年政务公开工作的通知》(川办函〔×〕76号)要求,我局着力做好服务有效落实政府信息公开工作,必须切实做好监督考核。我局制定了《四川省政府信息公开过错责任追究办法》,建立了政府信息公开工作考核制度和责任追究制度,定期对政府信息公开工作进行监督检查。聘请了28位各行业代表为政府信息公开社会监督员,为地税部门信息公开工作提出意见和建议,监督并反馈政府信息公开的实施情况。在省委、省政府和国家税务总局的领导下,我局政府信息公开工作取得了一定的成绩。但离上级的要求还有一定的差距。我局将进一步贯彻落实《中华人民共和国政府信息公开条例》,结合地税工作实际,纵深推进政府信息公开工作。
按照《信息化工作领导小组办公室关于开展20xx年度政府信息系统安全检查工作的通知》要求,我X立即组织开展全X范围的信息系统安全检查工作,现将自查情况汇报如下。
一、信息安全状况总体评价
我X信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力切实得到提高,保证了政府信息系统持续安全稳定运行。
二、20xx年信息安全工作情况
(一)信息安全组织管理
领导重视,机构健全。针对政府信息系统安全检查工作,政府高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由分管旗长担任,成员由旗直有关部门领导组成,领导小组下设办公室,办公室设在电子政务中心。同时,X直各部门和各镇领导也十分重视信息安全工作,建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了政府工作的良好运行,确保了信息系统的安全。
(二)日常信息安全管理
1、建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。
2、制定了计算机及网络的信息系统安全管理制度。网站的信息管护人员负责信息系统安全管理,密码管理,对计算机享有立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(三)信息安全防护管理
1、涉密计算机经过了保密技术检查,并安装了防火墙,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
(四)信息安全应急管理
1、制定了初步应急预案,并随着信息化程度的深入,结合我X实际,不断进行完善。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并给予应急技术最支持。
3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行存档。
4、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(五)信息安全教育培训
1、派专人参加了国家经信组织的网络系统安全知识培训,专门负责我X的网络安全管理和信息安全工作。
2、全X专门组织了基本的信息安全常识培训活动。
三、检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我旗实际,今后要在以下几个方面进行整改。
存在不足:
一是专业技术人员较少,信息系统安全方面可投入的力量有限;
二是章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的`所有方面;
三是遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
一是要继续加强对全旗机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
四是要提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和保密工作。
五是要创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
四、对信息安全工作的意见和建议
希望上级部门能够经常组织有关信息系统安全的培训,进一步提升信息系统管理工作人员的专业水平,进一步强化信息系统的安全防范工作。
根据青川县公安局《关于开展全具信息安全等级保护专项监督检查工作的通知》要求,我局非常重视,及时召开局信息安全小组会议,认真贯彻执行。我局按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,对单位的信息系统进行了安全自查。
一、自查情况
(一)安全制度落实情况
1、成立了安全小组。明确了信息安全的主管领导和具体负责管理人员,安全小组为管理机构,组长由分管副局长担任。
2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人员负主责,并签订安全保密责任书。
3、制定了计算机及网络的保密管理制度。办公系统的信息管理人员负责保密管理、密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
4、对重大节假日期间的信息安全保障进行了专门部署,明确了相关责任人现场值班。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机不和其它计算机之间相互共享。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
4、安装了针对移动存储设备的专业杀毒软件。
5、对重要服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。
(三)应急响应机制建设情况
1、制定了详细应急预案,并随着信息化程度的深入,结合我局实际,并不断完善。
2、坚持计算机定点维修,并其给予应急技术的积极支持。
3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行系统全备份。
4、对所有业务系统都进行了逻辑备份和物理备份,对于重要数据和业务系统同时进行了异地灾难备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等皆为国产产品。
2、公文处理软件具体使用微软公司的office系统。
3、信息系统第三方服务外包均为国内公司。
二、信息安全检查发现的主要问题和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我局实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,要提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。
4、加强计算机安全意识教育和防范技能训练,充分认识到计算机泄密案件的严重性。把计算机安全保护知识真正融于实际工作中,而不是记在纸上;人防与技防结合,把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。
5、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
三、对信息安全检查工作的意见和建议
根据安全检查的情况,结合实际,现就加强计算机信息系统安全保护工作,提出以下意见和建议:
1、加强领导,提高对计算机信息系统安全保护工作重要性和紧迫性的认识。
2、加强监督,加大计算机信息系统安全管理力度。
3、加大对计算机信息系统安全建设力度。
加大信息系统安全建设力度,把建立或改进信息系统安全措施工作列入工作计划。同时,在进行信息系统建设规划时,应一并考虑安全保障体系的建设,以及安全保障体系的日常维护。
同时,落实专职部门或人员定期对日常使用的信息系统进行自查,及时发现和消除计算机信息系统安全隐患。
为了贯彻落实《关于开展全区信息安全检查工作的通知》精神,切实加强国庆和十一届全运会期间信息安全防范工作,创造良好的网络信息环境,现就我院网络信息安全自查自纠情况汇报如下:
一、高度重视全运会期间网络信息安全工作
我院接到《关于开展全区信息安全检查工作的通知》后,从维护社会稳定、经济命脉、人民利益的政治高度,充分认识做好国庆、全运会期间网络信息安全工作的极端重要性和紧迫性,紧急行动起来,立即进行安排部署,落实责任,强化防护措施,加强对本单位网络和信息系统的安全保护。
二、我院网络安全现状
全院共有计算机22台,连接互联网12台,兼职网络管理人员一名,定期对计算机进行病毒查杀。目前,网络运行良好,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。为及时预防和处理各种信息安全事故,确保网络系统绝对畅通、绝对安全,提高信息安全管理水平,我们加强了信息保密和网络安全管理工作,成立了以“一把手”为组长,副院长为副组长,其他主要科室负责人为成员的网络信息系统安全工作领导小组,制定了信息安全规章制度,并统一安装了正版杀毒软件、防火墙,有效的消除了网络信息不安全隐患。
三、按要求严格落实网络信息安全各项制度
1.责任制度。对网络信息安全各项制度进行了全面梳理,重点抓好安全责任制、应急预案、值班值守、信息发布审核等制度的落实。
严格落实领导责任制,一把手亲自过问,分管负责人直接抓,一级抓一级,层层抓落实。
2.原则要求。坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责、谁发布谁负责”和的原则,认真履行网络信息安全保障职责。
3.“五到位”。坚决做到领导、机构、人员、责任、措施“五到位”。健全安全工作机制,对发生重大安全责任事故的,要严肃追究相关人员的责任。
四、网络安全存在的不足及整改措施
针对目前我院网络安全方面存在的不足,提出以下几点整改办法:
1、加强我院计算机操作技术、网络安全技术方面的培训,强化我院计算机操作人员对网络病毒、信息安全的防范意识;
2、加强我院计算机操作人员在计算机技术、网络技术方面的学习,不断提高我院计算机使用和管理人员的技术水平。
根据上级领导部门文件精神,我校信息安全领导小组对学校信息安全情景进行了自检自查,现将情景汇报如下:
一、信息安全自查工作组织开展情景
1、在上级部门的组织下,我校成立了信息安全检查领导小组,由学校党支部书记担任组长,学校副校长担任副组长,信息技术教师杨发福、马银花为组员,负责对全校的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情景进行了逐项排查、确认,并对自查结果进行了全面的'核对、梳理、分析、整改,提高了对全校网络与信息安全状况的掌控。
二、信息安全工作情景
每学期开学学校信息安全领导小组对学校机房设备、学校网校及信息发布状况情景进行逐项排查。
1、系统安全基本情景自查
学校机房设备为硬件系统,对学校主要业务影响较直接。目前拥有tp-link交换器器3台、ip-路由器1台、系统均采用windows操作系统,打印室系统承载学校主要文件打(复)印,该系统不与互联网连接。
2、安全管理自查情景
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
运行维护管理方面,建立了《日常运行维护手册》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3、网络与信息安全培训情景
制定了《阿尕尔森乡头道湾学校年度信息安全培训计划》,20xx年上半年组织信息安全教育培训1次,理解信息安全培训人数51人,占公司总人数的92%,组织信息安全管理和技术人员参加专业培训1人次。
4、信息安全应急管理
我校制定了本年度信息安全应急预案,对可能发生的各类信息安全事件做到心中有数,对重点业务计算机经常备份数据,本年度没有发生信息安全事故。
三、自查发现的主要问题
1、安全意识不够,需要继续加强对学校教师的信息安全意识教育,提高做好安全工作的主动性和自觉性。
2、规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
3、设备维护、更新还不够及时。
4、没有建立灾系统
5、没有建立防火墙系统
四、改善措施与整改
根据自查过程中发现的不足,同时结合我校实际,将着重对以下几个方面进行整改:
1、加强学校教师信息安全教育培训工作,增强信息安全防范和保密意识。
2、要完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
3、不断加强计算机信息安全管理、维护、更新等方面的设备投入,及时维护设备、更新软件,以做好信息系统安全防范工作。
一、信息安全自查工作组织开展情景
1、成立了信息安全检查行动小组。由站长、书记任组长,相关科室(车间、负责人、信息技术科全体人员为组员负责对全站的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情景进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析。整改,提高了对全站网络与信息安全状况的掌控。
二、网络与信息安全工作情景
1、组织成立了网络与信息安全检查工作小组,由站长、书记任组长,相关科室(车间、负责人、信息技术科全体人员为组员。
2、研究制定自查实施方案,根据系统所承担的业务的独立性、职责主体的独立性、网络边界的.独立性、安全防护设备设施的独立性四个因素,对客票发售与预订系统、旅客服务系统、办公信息系统进行全面的'梳理并综合分析。
2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情景进行逐项排查。
1、系统安全基本情景自查
客票发售与预订系统为实时性系统,对车站主要业务影响较高。目前拥有IBM服务器2台、cisco路由器2台、cisco交换机13台,系统均采用windows操作系统,灾备情景为系统级灾备,该系统不与互联网连接,防火墙采用永达公司永达安全管控防火墙。
旅客服务系统为实时性系统,对车站主要业务影响较高。目前拥有HP服务器13台、H3C路由5台、H3C交换机15台,系统采用linix操作系统,数据库采用SQLServer,灾备情景为数据灾备,该系统不与互联网连接,安全防护策略采用按照使用需求开放端口,重要数据均采用加密防护。
2、安全管理自查情景
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
运行维护管理方面,建立了《客服系统维护标准》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3、网络与信息安全培训情景
三、自查发现的主要问题和面临的威胁分析
四、改善措施
五、整改效果