信息安全的自查报告范文(精选30篇)
一、卫生基础设施建设成效显著。
20xx年以来,我县共完成卫生基础设施投资3200多万元,建成卫生项目12个。
一是投资339.48万元实施了毕家、柳枝、下庙、辛庄、大明、高塘、金惠七个乡镇卫生院的灾后重建,新建门诊楼和住院综合楼总计面积4637.19平方米。
二是投资150万元建成了总面积1649平方米的县疾控中心大楼。
三是20xx年2月投资800万元实施了县人民医院门诊楼建设工程,于20xx年5月26日建成并正式开诊,县医院的医疗就诊条件得到极大改善。
四是投资80万元,完成了800平方米县医院传染病区改造项目。
五是投资30余万元启动中医院医药超市建设。
六是投入49万元建设瓜坡卫生院住院综合楼工程。
七是投资1800多万元购置现代化诊疗设备。诊疗手段日益丰富,诊疗水平大为提高。
20xx年卫生项目建设和增取资金主要做了以下工作:
一是按照国家20xx年下达我县乡镇卫生院建设投资规划,安排实施国债乡镇卫生院建设项目7个,总投资334万元,建筑面积6400㎡。目前,均已完成主体施工。
二是安排实施县中医医院门诊综合楼建设项目,建筑面积3900㎡,总投资390万元。目前已完成二层主体施工。
三是争取乡镇卫生院建设等各类资金共计1303万元。
二、切实解决群众看病难、看病贵的问题。
严格执行药品集中招标采购,推行单病种收费最高限价,扎实开展卫生系统治理商业贿赂整治活动。抓医德医风教育,20xx年人均门诊费用72元,较20xx年下降9.6%;人均住院费用1360元,较20xx年下降11.8%。20xx年,人均门诊费用较20xx年下降10.5%,人均住院费用较20xx年下降12.6%。
三、新型农村合作医疗工作稳步推进。
20xx年,华县开展新农合试点,全县参合人数245170人,参合率为90.79%。全年享受住院补助8181人次(其中,达到封顶补偿15000元的45人),补偿金额761.8万元,人均补助金额931.28元。
20xx年我县参合农民248112人,参合率91.84%。全县共补偿11600人(其中,达到封顶补偿12000元的37人),补偿金额929.09万元,人均补偿800.9元。(起付线:卫生院50元、县级医院200元、市级医院800元、省级医院1200元。报销比例:乡镇卫生院3000元以下50%、3001-8000元60%、8001-15000元65%、15000元以上70%,县级医院同等费用报销比例下降10%,省、市级医院在县级医院的基础上下降10%。报销封顶线:20xx年至20xx年9月底为15000元,20xx年10月1日起降为12000元。)
四、疾病预防控制工作成效显著。
疾病预防控制工作成效显著,县、乡、村三级预防保健网络健全,现代结核病控制策略覆盖率达到100%。出血热发病率有所下降。儿童计划免疫接种率达90%以上,保持无脊灰状态。实现了国家消除碘缺乏病目标,大骨节病达到了国家控制区标准,防氟改水工程取得实效,主要地方病危害已得到有效遏制。
五、卫生监督执法力度加大。
在全县范围内持续开展了严厉打击制售假冒伪劣食品、化妆品、非法行医和医疗市场整顿等专项整治活动,全县饮食安全、公共场所和职业卫生、医疗市场秩序有所好转。
六、狠抓了医疗质量管理。
20xx、20xx、20xx年是卫生部确定的实施“以病人为中心,以提高医疗服务质量”为主题的医院管理年。我们把加强医疗市场监管、开展医疗护理技术比武练兵、提高医疗服务质量作为一项重要内容,列入每年卫生工作要点之中。
一是连续举办了两届护理知识和操作技能竞赛。
二是组织对县级和厂矿职工医院的135份住院病历,进行了书写质量考核评比,促进了各医疗机构病历质量的提高。
三是严格医疗机构、从业人员、诊疗项目的准入审批。
四是加强医院管理,狠抓服务质量,不断提高医疗卫生工作的社会效益,为保障全县人民身体健康提供优质医疗卫生服务。
一、网络信息安全各项制度落实情况
我局严格执行《**省司法行政系统信息网络管理规定(暂行)》,并制定了《**市司法局信息采集与发布管理制度》、《**市司法局网络设备维护管理规定》和《数据备份与移动存储设备管理制度》。并与相关部门签订责任书,定期检查制度的执行情况,发现问题及时整改。
二、硬件及网络设备管理情况
我们重点清查了内网和外网的接入情况,排除了内网和外网共用设备、混接等安全隐患,内、外网严格实行了物理隔离。严禁计算机使用者擅自进行内外网切换,杀毒软件由网络管理人员定期升级维护。禁止使用无线网卡、蓝牙等无线互联功能的设备。机房有专人负责管理与维护,无关人员未经批准不得进入机房,更不得动用机房内的网络设备和资料。
网络及硬件设备确保24小时正常运行,工作温度保持在25℃以下。内网专用防火墙设置正确,相关安全策略正常启用。IP地址分配表网络线标注明晰,并记录在案。对所有硬盘、移动设备全部按照保密要求进行排检,所有U盘存放文件必须符合保密要求,用于内外网传输的U盘不得存放文件,内外网计算机严格区别使用,不得在外网计算机上存放、操作内部文件。
三、软件系统使用情况
严格执行“谁发布、谁负责”的网上信息发布原则,按照《**市司法局信息采集与发布管理制度》做到信息上网有审批、有记录,做到“涉密不上网,上网不涉密”,认真履行网络信息安全保障职责。网络管理人员定期对相关程序、数据、文件进行备份,每台计算机都安装了正版瑞星杀毒软件,定期进行更新、杀毒、木马扫描,发现操作系统漏洞及时修复,确保计算机不受病毒、木马的侵入。
对网站和应用系统的程序升级、账户、口令、软件补丁、查杀病毒、外部接口以及网站维护等方面存在的突出问题,我们逐一进行清理、排查,能及时更新升级的更新升级,进一步强化安全防范措施,及时堵塞漏洞、消除隐患、化解风险。
做好全部计算机上的炒股、游戏、聊天、下载、在线视频等与工作无关的软件程序的卸载清理工作,杜绝利用计算机从事与工作无关行为的发生。
四、存在的问题
一是机房没有避雷设备,近期我们会加紧解决。
二是部分工作人员的网络安全防范意识和防范技能不强,我们要进一步加强对全局人员的计算机安全意识教育和防范技能训练,提高防范意识,充分认识到计算机网络与信息安全案件的严重性,把计算机安全保护知识真正融于工作人员业务素质的提高当中。
通过自查,全局职工对网络和信息安全保密意识进一步提高,信息网络安全基本技能有了进一步提升,保障了全区网络运行效率,加强了网络安全,规范了办公秩序,为司法行政各项工作的顺利开展提供了重要的安全保障。
为进一步加强我院信息的安全管理,强化信息安全和保密意识,提高信息安全保障水平,按照省卫计委《关于××省卫生系统网络与信息安全督导检查工作的通知》文件要求,我院领导高度重视,成立专项管理组织机构,召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由主管院长负责安排、协调相关检查部门、监督检查项目,建立健全医院网络安全保密责任制和有关规章制度,严格落实有关网络信息安全保密方面的各项规定,并针对全院各科室的网络信息安全情况进行了专项检查,现将自查情况汇报如下:
一、医院网络建设基本情况
我院信息管理系统于××年××月由×科技有限公司对医院信息管理系统(HIS系统)进行升级。升级后的前台维护由本院技术人员负责,后台维护及以外事故处理由×科技有限责任公司技术人员负责。
二、自查工作情况
1、机房安全检查。机房安全主要包括:消防安全、用电安全、硬件安全、软件维护安全、门窗安全和防雷安全等方面安全。医院信息系统服务器机房严格按照机房标准建设,工作人员坚持每天定点巡查。系统服务器、多口交换机、路由器都有UPS电源保护,可以保证在断电3个小时情况下,设备可以正常,不至于因突然断电致设备损坏。
2、局域网络安全检查。主要包括网络结构、密码管理、IP管理、存储介质管理等;HIS系统的操作员,每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行“谁使用、谁管理、谁负责”的管理制度。院内局域网均施行固定IP地址,由医院统一分配、管理,无法私自添加新IP,未经分配的IP无法连接到院内局域网。我院局域网内所有计算机USB接口施行完全封闭,有效地避免了因外接介质(如U盘、移动硬盘)而引起中毒或泄密的发生。
3、数据库安全管理。我院对数据安全性采取以下措施:
(1)将数据库中需要保护的部分与其他部分相隔。
(2)采用授权规则,如账户、口令和权限控制等访问控制方法。
(3)数据库账户密码专人管理、专人维护。
(4)数据库用户每6个月必须修改一次密码。
(5)服务器采取虚拟化进行安全管理,当当前服务器出现问题时,及时切换到另一台服务器,确保客户端业务正常运行。
三、应急处置
我院HIS系统服务器运行安全、稳定,并配备了大型UPS电源,可以保证在大面积断电情况下,服务器可运行六小时左右。我院的HIS系统刚刚升级上线不久,服务器未发生过长宕机时间,但医院仍然制定了应急处臵预案,并对收费操作员和护士进行了培训,如果医院出现大面积、长时间停电情况,HIS系统无法正常运行,将临时开始手工收费、记账、发药,以确保诊疗活动能够正常、有序地进行,待到HIS系统恢复正常工作时,再补打发票、补记收费项目。
四、存在问题
我院的网络与信息安全工作做的比较认真、仔细,从未发生过重大的安全事故,各系统运转稳定,各项业务能够正常运行。但自查中也发现了不足之处,如目前医院信息技术人员少,信息安全力量有限,信息安全培训不全面,信息安全意识还够,个别科室缺乏维护信息安全的主动性和自觉性;应急演练开展不足;机房条件差;个别科室的计算机设备配臵偏低,服务期限偏长。
今后要加强信息技术人员的培养,提升信息安全技术水平,加强全院职工的信息安全教育,提高维护信息安全的主动性和自觉性,加大对医院信息化建设投入,提升计算机设备配臵,进一步提高工作效率和系统运行的安全性。
农业发展银行作为唯一家农业政策性金融机构是中国金融体系的重要组成部分,按照wto规划和中国金融对外开放步伐的.加快,其业务范围将随其金融职能和政策性金融作用将全面凸现。农发行业务具有“双重性”,即政策性和经营性,这就对农发行的保密工作提出了更高的要求。现阶段农发行保密工作存在诸多隐患,主要表现在以下几个方面:
1、对保密工作必要性和重要性认识不足。
保密工作是基层农发行业务工作的重要组成部分,作为政策性银行必须确保执行政策的严肃性和时效性,保密工作必须提到我们工作的议事日程上。否则,将会出现政策执行不到位现象,其危害性从小的方面讲损坏了农发行的社会形象,可能恶化党群干部关系;从大的方面讲就有可能损害农民的利益,有可能影响国家货币政策的传导和宏观调控目标的实现,甚至关系到员工生命和财产安全,因此,保密工作时刻伴随着我们,要像安保工作一样警钟常常敲。
2、对保密工作的'范围和职责不清。
大多数人认为保密工作就是保密部门和工作人员及领导们的事,与自己没有太大的关系;保密只不过对涉及国家机密的文件等按规定的范围和时间进行公布,对基层农发行及员工来说没有很大的必要;有的人认为只保密农发行有关信息,与自己有业务关联部门及企业的信息不在保密范围之内等等。这些观点都具有片面性,上述对保密工作的必要性和重要性已作了简单的介绍,实际上我们每个人的工作都涉及到保密问题,每个员工都有保密职责,凡是有可能对农发行业务开展和内部工作协调及其它部门、企业工作带来不利影响的.信息都属于保密的范围。
3、对保密工作重视不够。
从现实状况来看,基层农发行保密工作做的怎样,似乎对各方面工作开展影响不大,对保密工作存在麻痹思想、重视不够。
一是缺乏相应配套的保密设备等设施;
二是保密规章制度体系不够健全和完善;
三是基层行基本上没有配备专(兼)职保密人员,既使配备了专(兼)职工员也仅是应付检查等,没有切实有效地开展工作;
四是对保密工作说起来重要,实际检查指导少,岗位工作职责不到位。
针对上述存在的问题和不足,要确保基层农发行各项工作顺利开展,形成大保密工作的局面,对此谈一点肤浅的看法。
一、加强领导,统一思想,提高全员保密意识
为强化基层农发行的保密工作,应当在系统内自上而下成立“一把手”任组长,分管行长为副组长,有关部负责人为成员的保密工作领导小组,配备专(兼)职保密干部,使保密工作层层有人抓、事事有人管,形成网络管理状态。同时,要把保密工作纳入议事日程、纳入目标考核中,采取与责任人工资、政绩挂钩的办法,增强保密工作人员的责任感。
二、健全制度,细化职责,规范保密工作建设
首先要建立健全和完善各项保密工作制度。如:机要文件传阅制度、密押管理制度、出纳制度、保卫制度、档案管理保密制度、保密工作责任制等,并要将这些制度印成册子,分发到涉密人员手中,有些制度还可采取放大上墙的办法,使人人都能熟悉操作,为把这些制度落到实处,还应科学规定有关涉密部室的保密事项。如:办公室机要文件传阅、借阅;会计部门联行密押的使用和印章、重要空白凭证的管理、现金调运计划、运钞路线的`管理;信贷计划部门的资金构成、资产质量、数据及传输等,这些都要求各专业操作履行岗位责任,遵守保密制度,使银行的保密工作步入规范化、制度化轨道。
三、加大投入,狠抓落实,促进各项工展开展
农发行作为政策性银行,担负着粮油收储企业收购资金安全高效运营的重任。在开展业务活动中,除接触到国家政策性收购资金的秘密外,自身还不断产生出大量的内部秘密,如稍有不慎都会给国家造成难以挽回的损失,怎样搞好保密工作,不但要采取一系列行之有效的措施,更重要的是抓好措施的落实。
一是机要文件的存放要实行“三铁”,即铁门、铁窗、铁柜;
二是在机要文件的收发上要实行“三簿一卡”,即收文登记簿、发文登记簿、借阅登记簿、文件传阅卡,阅文、传文按保密程序办理;
三是在机要文件的管理上要达到“三专”,即专人、专柜、专室管理;
四是在安全保密工作中要落实“三个检查”,即保密领导小组对其成员进行定期检查,看保密制度是否贯彻落实;对涉密部门进行定期检查,看有无违背保密制度的行为;对基层营业网点进行定期检查,看有无违背操作制度的行为和失泄密漏洞,只有这样才能搞好基层农发行的保密工作,遏制各类泄密事件的发生,更好的服务于农发行业务发展。
我局信息系统运行以来,严格按照上级要求,积极完善各项安全制度,全面加强信息安全人员教育培训,全面落实安全措施,充分保障信息安全工作经费,有效降低信息安全风险,有效提高应急能力,确保政府信息系统持续、安全、稳定运行。
一、信息安全组织管理
我局高度重视信息系统安全,成立了以主要领导为组长,分管领导为副组长,各部门负责人为组员的信息安全工作领导小组。明确办公室为主要职能部门,确定兼职信息安全官,召开分管领导、信息安全工作职能部门和重点部门负责人参加的会议,认真研究上级有关文件,认真部署自查工作,确定自查任务和人员分工,真正做到领导到位。为确保我局网络信息安全工作的有效顺利开展,我局要求各处室和下属单位认真组织学习网络信息安全相关法律法规和相关知识,使全体工作人员正确认识信息安全工作的重要性,掌握计算机安全使用要求,正确使用计算机网络和各种信息系统。
二、日常信息安全管理
我局在过去建立一系列信息安全制度的基础上,根据信息安全工作的特点和我局的实际情况,修订了一系列信息安全制度和程序,做到按制度办事,提高执行力。根据市政府和市经济和信息化委员会的要求,我局与计算机维护单位重新签订了服务协议,增加了信息安全保密协议。同时,我局还与全局全体工作人员签订了安全保密协议。我局高度重视涉密计算机和涉密移动存储介质,对所有涉密计算机和涉密移动存储介质进行统一编号管理,明确责任人和保管人,对涉密信息系统使用情况进行多次重点检查,加强涉密人员管理,严格执行涉密计算机和涉密移动存储介质相关管理制度,专门为涉密人员发放带硬件锁的u盘,禁止涉密和非涉密信息系统混用移动存储介质。对于非涉密电脑,安全系统、防火墙、杀毒软件都是国货,公文处理软件使用微软公司的正版办公系统,信息系统的第三方服务外包都是国货。
三、信息安全保护管理
我局网络系统组成和配置合理,符合相关安全规定;网络中使用的各种硬件设备、软件和网络接口,经安全检查鉴定合格后投入使用,自安装以来运行正常。我局经常进行信息安全检查,主要是监管操作系统补丁安装、应用补丁安装、杀毒软件安装升级、木马病毒检测、网页篡改等。并认真做好系统安全日记。今年,在市政府办公室的指导下,我局尝试运行协同办公系统,投入10多万元为所有局领导和办公室配置内网电脑,为机要办公室配备机要电脑,从硬件上加强了机要信息系统的管理。
四、信息安全应急管理
我局做好了应对各类可能发生的信息安全事件的准备工作,进一步完善了信息安全应急预案,明确了应急处理流程,落实了应急技术支持团队,工作扎实推进。
动词 (verb的缩写)信息安全教育和培训
我局根据信息管理人员的实际情况,每年进行信息教育培训,以掌握信息管理技能为目的进行实际操作能力培训。还组织相关工作人员参加相关信息安全培训,信息安全意识得到有效提高。
不及物动词信息安全专项检查工作
目前,我们局正在市行政中心大楼工作。网络和信息系统便于统一管理,内外网完全物理隔离,内网的计算机都处于有效管理之下。根据我局信息安全情况,信息安全领导小组定期组织由专业技术人员组成的检查组对各办公室的网络和信息安全进行检查,认真排查信息系统的漏洞和安全隐患,用专用工具杀死木马和病毒,及时加强防范措施,为所有计算机安装正版杀毒软件和防火墙,有效提高计算机和网络防范和抵御风险的能力。此外,检查组对在市行政中心大楼外工作的个人办公室进行了挨家挨户的检查,没有放过任何信息安全死角。视察期间,视察队还进行了信息安全知识的现场培训。经过多次检查,我局信息系统总体状况良好,运行正常,未发现重大隐患。
五、信息安全检查工作中发现的主要问题及整改情况
(一)主要问题
一是专业技术人员少,信息系统安全投入有限。
二是规章制度体系初步建立,但不完善,未能覆盖信息系统安全的方方面面。
三是计算机病毒攻击等突发事件处理不及时。
(二)下一步工作计划
根据自查过程中发现的不足和我局的实际情况,我们将重点从以下几个方面进行整改:
一是进一步扩大计算机安全知识培训,组织信息工作者和干部职工培训。
二是要加强信息安全体系的实施,并不时检查安全体系的实施情况,以提高人员的安全保护意识。
三是以制度为基础,在进一步完善信息安全体系的同时,安排专人,完善设施,严密监控,随时随地解决可能发生的信息安全事件。
一、本行相关征信工作人员在使用办理征信业务时,严格按照 中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维 护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修 改。
二、 在查询过程中,按照审慎和维护金融消费者权益的原则, 对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者 的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。
并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐 私。
三、 对每一笔查询者,在查询之前,做好查询登记制度,登记 被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细 登记, 对每笔查询记录逐笔登记, 并按季度对其登记簿进行装订保存。
四、 现我行被查询者为借款人,对其符合发放贷款的被查询者, 查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其 查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询 信息不泄漏,影响个人信誉。五、 对其查询的'个人与单位征信,本着全面、客观、合理的原则 对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征 信系统存在负面数据为由,正确使用征信系统, 合规开展征信业务。
六、对个人贷款户进行贷款后管理查询, 严格按照主管授权制度, 对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原 则办理查询业务。
自查人:
为加强互联网行业网络与信息安全工作,全面加强我公司网络与信息安全工作,公司运维部门对公司网络、信息系统和网站的安全问题组织了自查,现将自查情况汇报如下:
一、公司网络与信息安全状况
本次检查采用本单位自查、远程检查与现场抽查相结合的方式,检查内容主要包含网络与信息系统安全的组织管理、日常维护、技术防护、应急管理、技术培训等5各方面。
从检查情况看,我司网络与信息安全总体情况良好。公司一贯重视信息安全工作,始终把信息安全作为信息化工作的.重点内容。网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统(网站)系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实,工作经费有一定保障,基本保证了公司网信息系统(网站)持续安全稳定运行。但在网络安全管理、技术防护设施、网站建设与维护、信息系统等级保护工作等方面,还需要进一步加强和完善。
二、网络信息安全工作情况
1.网络信息安全组织管理
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,公司网络信息安全工作实行“三级”管理。公司设有信息化工作领导小组,领导小组全面负责公司网络信息安全工作,授权信息办对全公司网络信息安全工作进行安全管理和监督责任。运维部门承担信息系统安全技术防护与技术保障工作。各部门个单位单位信息系统和网站信息内容的直接安全责任。
2.信息系统(网站)日常安全管理
公司有“公司网管理条例”、“中心机房安全管理制度“、“数据安全管理办法”、“网站管理办法”、“服务器托管管理办法”、“网络故障处理规范”等系列规章制度。各系统(网站)使用单位基本能按要求,落实责任人,较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常维护操作较规范,多数单位做到了杜绝弱口令并定期更改,严密防护个人电脑,定期备份数据,定期查看安全日志等,随时掌握系统(网站)状态,保证正常运行。
3.信息系统(网站)技术防护
公司网数据中心建有一定规模的综合安全防护措施。
一是建有专业中心机房,配备视频监控、备用电力供应设备,有防水、防潮、防静、温湿度控制、电磁防护等措施,进出机房实行门禁和登记制度;
二是网络出口部署有安全系统,站群系统部署有应用防火墙,并定期更新检测规则库,重要信息系统建立专网以便与校园网物理隔离;
三是对服务器、网络设备、安全设备等定期进行安全漏洞检查,及时更新操作系统和补丁,配置口令策略保证更新频度;
四是全面实行实名认证制度,具备上网行为回溯追踪能力;
五是对重要系统和数据进行定期备份,并建有灾备中心。
4.信息安全应急管理
运维部制定有《网络与信息安全突发事件应急预案》。技术部应急技术支持单位,确保网络安全事件的快速有效处置。
5.信息安全教育培训
定期对公司全员进行信息安全保密培训。增强管理干部和技术人员的安全防范意识,提高技术防护能力。
三、检查发现的主要问题
通过具体检查项目,我司在信息安全工作上还存在一定的问题:
1.安全管理方面:。部分系统(网站)日常管理维护不够规范,仍存在管理员弱口令、数据备份重视不够、信息保密意识差等问题
2.技术防护方面:安全技术防护设施仍不足,如缺少数据中心安全防御系统和审计系统,欠缺安全检测设施,无法对服务器、信息系统(网站)进行安全漏洞扫描与隐患检查。
3.应用系统(网站)方面:个别应用系统(网站)存在设计缺陷和安全漏洞,有可能发生安全事故。
4.信息系统等级保护工作尚未全面开展。
四、整改措施
针对存在的问题,信息化领导小组专门进行了研究部署。
1.进一步完善网络信息安全管理制度,规范信息系统和网站日常管理维护工作程序。加强网管员技术培训,提高安全意识和技术能力。
2.继续完善网络信息安全技术防护设施,配备必要的安全防御和检测设备,实行信息系统(网站)安全检测准入制度,从根本上降低安全风险。定期对服务器、操作系统进行漏洞扫描和隐患排查,建立针对性的主动防护体系。
3.全面开展信息系统等级保护工作,完成所有在线系统的定级、备案工作。积极创造条件开展后续定级测评、整改等工作。
4.加强应急管理,修订应急预案,组建以技术人员为骨干、重要系统管理员参加的应急支援技术队伍,加强部门间协作,做好应急演练,将安全事件的影响降到最低
根据《关于开展学校卫生监督工作专项检查的通知》()精神,为了进一步加强春季学校卫生安全工作,防止学校发生突发公共卫生事件及传染病产生,保障师生员工身心健康和安全,维护正常教学、训练秩序,我校对卫生安全工作进行了全面的排查,对存在问题进行了整改。现将我校食品卫生安全自查情况汇报如下:
一、领导重视,认真部署。
通知下达后,我校立即召开了卫生安全工作会议,组织相关成员认真学习和讨论,成立卫生自查工作小组,在五一劳动节期间对我校卫生安全情况进行了全面严格的检查。
组长:副组长:成员:
二、全面自查,及时整改。
我校地处农村,学生大部分放学后回家吃饭,教职工自己煮饭食用,故未成立食堂。我校根据相关文件通知要求,对教职工及学生进行了食品卫生安全宣传工作,教育学生不在卫生条件不合格的食品店、副食店购买食品。学校购买饮水机设备,并指导学生正确使用;做好饮水宣传:不饮用生水、隔夜水、未经煮沸的自来水,以确保学生的饮水安全。我们还对拆除后的生活用房废墟进行了消毒处理,防止蚊虫滋生。
本次自查中,也发现了若干问题:学校教职工自用水井井口暴露,容易掉入杂物,可能造成卫生安全隐患;学校少数学生中午不定期在校外副食店吃中午饭,不易监管。我校采取了相关措施:对井口采取用板材临时封闭,后期将用混凝土砌墙保护井口。对学生进行食品卫生教育,并告诫学生不能在无证副食品点购买食品。
三、定期检查,杜绝后患。
今后,学校会对校内食品卫生采取定期检查(每周一小查,每月一大查)与不定期检查相结合的方式进行检查,进一步加强对校内卫生安全的监督管理,杜绝重大事故发生,确保全校师生的食品卫生安全。
根据上级领导部门文件精神,我校信息安全领导小组对学校信息安全情景进行了自检自查,现将情景汇报如下:
一、信息安全自查工作组织开展情景
1、在上级部门的组织下,我校成立了信息安全检查领导小组,由学校党支部书记担任组长,学校副校长担任副组长,信息技术教师杨发福、马银花为组员,负责对全校的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情景进行了逐项排查、确认,并对自查结果进行了全面的'核对、梳理、分析、整改,提高了对全校网络与信息安全状况的掌控。
二、信息安全工作情景
每学期开学学校信息安全领导小组对学校机房设备、学校网校及信息发布状况情景进行逐项排查。
1、系统安全基本情景自查
学校机房设备为硬件系统,对学校主要业务影响较直接。目前拥有tp-link交换器器3台、ip-路由器1台、系统均采用windows操作系统,打印室系统承载学校主要文件打(复)印,该系统不与互联网连接。
2、安全管理自查情景
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
运行维护管理方面,建立了《日常运行维护手册》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3、网络与信息安全培训情景
制定了《阿尕尔森乡头道湾学校年度信息安全培训计划》,20xx年上半年组织信息安全教育培训1次,理解信息安全培训人数51人,占公司总人数的92%,组织信息安全管理和技术人员参加专业培训1人次。
4、信息安全应急管理
我校制定了本年度信息安全应急预案,对可能发生的各类信息安全事件做到心中有数,对重点业务计算机经常备份数据,本年度没有发生信息安全事故。
三、自查发现的主要问题
1、安全意识不够,需要继续加强对学校教师的信息安全意识教育,提高做好安全工作的主动性和自觉性。
2、规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
3、设备维护、更新还不够及时。
4、没有建立灾系统
5、没有建立防火墙系统
四、改善措施与整改
根据自查过程中发现的不足,同时结合我校实际,将着重对以下几个方面进行整改:
1、加强学校教师信息安全教育培训工作,增强信息安全防范和保密意识。
2、要完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
3、不断加强计算机信息安全管理、维护、更新等方面的设备投入,及时维护设备、更新软件,以做好信息系统安全防范工作。
一、计算机涉密信息管理情况
今年以来,我局加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照局计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我局配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好
我局每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我局对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在局开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全及
我局对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我局结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全局人员学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我局网络安全有效地运行,减少病毒侵入,我局就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。 网络信息安全自查报告(二)
根据路局《关于在全局范围内开展网络与信息安全检查行动的通知》()文件精神。我站对本站网络与信息安全情况进行了自查,现汇报如下:
一、信息安全自查工作组织开展情况
1、成立了信息安全检查行动小组。由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员负责对全站的.重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析。整改,提高了对全站网络与信息安全状况的掌控。
二、网络与信息安全工作情况
1)组织成立了网络与信息安全检查工作小组,由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员。
2)研究制定自查实施方案,根据系统所承担的业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对客票发售与预订系统、旅客服务系统、办公信息系统进行全面的梳理并综合分析。
2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情况进行逐项排查。
1)系统安全基本情况自查
客票发售与预订系统为实时性系统,对车站主要业务影响较高。目前拥有IBM服务器2台、cisco路由器2台、cisco交换机13台,系统均采用windows操作系统,灾备情况为系统级灾备,该系统不与互联网连接,防火墙采用永达公司永达安全管控防火墙。
旅客服务系统为实时性系统,对车站主要业务影响较高。目前拥有HP服务器13台、H3C路由5台、H3C交换机15台,系统采用linix操作系统,数据库采用SQLServer,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用按照使用需求开放端口,重要数据均采用加密防护。
2)安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。 运行维护管理方面,建立了《客服系统维护标准》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3)网络与信息安全培训情况
三、自查发现的主要问题和面临的威胁分析
四、改进措施
为了加强我校教育信息网络安全管理,保护信息系统的安全,促进我校信息技术的应用和发展,保障教育教学和管理工作的顺利进行,净化校园网络环境,不断提高学校计算机信息系统安全防范潜力,从而为学生带给健康,安全的上网环境。
一、领导重视,职责分明,加强领导为了认真做好迎检准备工作
进一步提高教育网络信息安全工作水平,促进教育信息化健康发展,我校建立了专门的网络信息安全管理组织,成立了由分管领导、网络管理员组成的计算机网络信息安全管理领导小组。负责制定学校计算机信息系统安全管理的办法和规定,协调处理全校有关计算机信息系统安全的重大问题;负责学校计算机信息系统的建设、管理、应用等工作;负责信息系统安全的监督、事故的调查和处罚。学校网络管理人员要在学校计算机安全管理领导小组的领导下,负责校园网的安全保护工作和设备的维护工作,务必模范遵守安全管理制度,用心采取必要的防范技术措施,预防网络安全事故的发生。
二、完善制度,加强管理为了更好的安全管理网络,我校建立了健全的安全管理制度:
(一)计算机机房安全管理制度
1、重视安全工作的思想教育,防患于未然。
2、遵守“教学仪器设备和实验室管理办法”,做好安全保卫工作。
3、凡进入机房的人员除须遵守校规校纪外,还务必遵守机房的各项管理规定,爱护机房内的所有财产,爱护仪器设备,未经管理人员许可不得随意使用,更不得损坏,如发现人为损坏将视情节按有关规定严肃处理。
4、机房内禁止吸烟,严禁明火。
5、工作人员务必熟悉实验室用电线路、仪器设备性能及安全工作的有关规定。
6、实验室使用的用电线路务必贴合安全要求,定期检查、检修。
7、杜绝黄色、迷信、反动软件,严禁登录黄色、迷信、反动网站,做好计算机病毒的防范工作。
8、工作人员须随时监测机器和网络状况,确保计算机和网络安全运转。
9、机房开放结束时,工作人员务必要关妥门窗,认真检查并切断每一台微机的电源和所有电器的电源,然后切断电源总开关。
(二)操作人员权限等级分配制度
1、校领导统一确定操作人员职能权限。
2、电教组成员负责管理、维修学校所有计算机,出现重大事故应及时报上级领导。
3、教师用户帐号、密码由网络管理员发放,并统一管理。
4、学校计算机管理人员需定期维护计算机软件和数据,重要信息定期进行检查和备份。
5、网络管理员负责校园用户计算机系统能够正常上网,为用户带给日常网络维护服务和日常数据备份。
(三)账号安全保密制度
1、网络用户的账号、密码不得外传、外借。
2、非法用户使用合法用户的账号进入校园网的,追究该帐号拥有者的安全职责。
(四)计算机病毒防治制度
1、学校购买使用公安部颁布批准的电脑杀毒产品。
2、未经许可证,任何人不得携入软件使用,防止病毒传染。
3、凡需引入使用的软件,均须首先防止病毒传染。
4、电脑出现病毒,操作人员不能杀除的,须及时报电脑主管处理。
5、在各种杀毒办法无效后,须重新对电脑格式化,装入正规渠道获得的无毒系统软件。
6、建立双备份制度,对重要资料除在电脑贮存外,还应拷贝到移动存储设备上,以防遭病毒破坏而遗失。
7、及时关注电脑界病毒防治状况和提示,根据要求调节电脑参数,避免电脑病毒侵袭。
(五)安全教育培训制度
1、学校组织教师认真学习《计算机信息网络国际互联网安全保护管理办法》,提高教师的维护网络安全的警惕性和自觉性。
2、学校负责对本校教师进行安全教育和培训,使教师自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3、校管理中心对信息源接入的骨干人员进行安全教育和培训,使之自觉遵守和维护《计算机信息网络国际互联安全保护管理办法》,杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息资料。
(六)、事故和案件及时报告制度
1、任何单位和个人不得利用互联网制作、复制、查阅和传播下列信息:煽动抗拒、破坏宪法和法律、行政法规实施。煽动颠覆国家政权,推翻社会主义制度。煽动分裂国家、破坏国家统一。煽动民族仇恨、民族歧视、破坏民族团结。捏造或者歪曲事实、散布谣言,扰乱社会秩序。宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪。公然侮辱他人或者捏造事实诽谤他人。损害国家机关信誉。其他违反宪法和法律、行政法规。如发现有上述行为,保留有关原始记录,并填写好《安全日志》,在12小时内向上级报告。
2、理解并配合区电教中心和公安机关的安全监督、检查和指导,如实向公安机关带给有关安全保护的信息、资料及数据文件,协助公安机关查处透过国际联网的计算机信息网络的违法犯罪行为。
3、发现有关计算机病毒、危害国家安全、违反国家有关法律、法规等计算机安全案情的,应在12小时以内向上级报告。
4、计算机机房设管理员一名,其职责是每一天不定期浏览主页或自己页面,负责领导还应经常巡视操作者,如发现有违反上述规定者应立即制止并报告校园网安全领导小组。
(七)、应对大面积病毒应急处理方案
1、制定计算机病毒防治管理制度和技术规程,并检查执行状况;
2、培训计算机病毒防治管理人员;
3、采取计算机病毒安全技术防治措施;
4、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;
5、及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
6、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
7、向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源;
8、对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。
除以上健全的安全管理制度外,我校也认真落实相关安全技术措施,安全基础措施良好拥有完善的安全保护措施,设有学校重要部位值班制度,做到昼夜值班,任何人不得擅自进入微机房。
根据上级领导部门文件精神,我校信息安全领导小组对学校信息安全情况进行了自检自查,现将情况汇报如下:
一、信息安全自查工作组织开展情况
1、在上级部门的组织下,我校成立了信息安全检查领导小组,由学校党支部书记担任组长,学校副校长担任副组长,信息技术教师杨发福、马银花为组员,负责对全校的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析、整改,提高了对全校网络与信息安全状况的掌控。
二、信息安全工作情况
每学期开学学校信息安全领导小组对学校机房设备、学校网校及信息发布状况情况进行逐项排查。
1、系统安全基本情况自查
学校机房设备为硬件系统,对学校主要业务影响较直接。目前拥有TP-LINK交换器器3台、ip-com路由器1台、系统均采用windows操作系统,打印室系统承载学校主要文件打(复)印,该系统不与互联网连接。
2、安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
运行维护管理方面,建立了《日常运行维护手册》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3、网络与信息安全培训情况
制定了《阿尕尔森乡头道湾学校年度信息安全培训计划》,20xx年上半年组织信息安全教育培训1次,接受信息安全培训人数51人,占公司总人数的92%,组织信息安全管理和技术人员参加专业培训1人次。
4、信息安全应急管理
我校制定了本年度信息安全应急预案,对可能发生的各类信息安全事件做到心中有数,对重点业务计算机经常备份数据,本年度没有发生信息安全事故。
三、自查发现的.主要问题
1、安全意识不够,需要继续加强对学校教师的信息安全意识教育,提高做好安全工作的主动性和自觉性。
2、规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
3、设备维护、更新还不够及时。
4、没有建立灾系统
5、没有建立防火墙系统
四、改进措施与整改
根据自查过程中发现的不足,同时结合我校实际,将着重对以下几个方面进行整改:
1、加强学校教师信息安全教育培训工作,增强信息安全防范和保密意识。
2、要完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
3、不断加强计算机信息安全管理、维护、更新等方面的设备投入,及时维护设备、更新软件,以做好信息系统安全防范工作。
我中心对网络信息安全系统工作一直十分重视,成立了专门的领导组,建立健全了网络安全保密责任制和有关规章制度,由中心信息中心统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我中心网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
一、计算机涉密信息管理情况
今年以来,我中心加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照中心计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我中心配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我中心每台终端机都安装了防病毒软件,系统相关设备
的'应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我中心网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我中心对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在中心开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全及
我中心对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我中心结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全中心人员学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我中心网络安全有效地运行,减少病毒侵入,我中心就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
九、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
根据市委《关于组织开展信息安全专项检查的通知》,我局对信息安全检查工作进行了统一布置,对我局涉密载体、重要岗位和敏感人员进行了一次全面的梳理和认真检查,现将检查情况汇报如下:
一、领导高度重视,切实加强信息安全工作
局领导高度重视这次检查工作,召开了专项工作会议,组织认真学习文件精神,切实增强干部职工的保密意识,确保我局信息安全。会上成立了由纪委书记孟宪贞同志任组织、办公室主任郭敏同志为副组长,各相关科室负责人为成员的领导小组。会上还与各科室、各直属单位主要领导签订了《信息安全工作领导责任书》,与保密要害部门和岗位的涉密人员签订了《涉密人员岗位保密承诺书》,预防和杜绝失泄密事件发生。
二、认真开展自查自纠,加强重点部门和岗位的保密防范
我局成立了信息安全检查工作领导小组,并对此次检理工作做了统一安排。一是此次检查对象包括机关和单位在岗和近3年内离岗人员持有的涉密载体的人员进行清理,清理重点为涉密电子文档和存储、处理过涉密信息的计算机、移动硬盘、软盘、光盘、优盘、录像带等。局机要档案室是保密要害部门。局档案机要室严格执行保密精神,负责文函的接收和管理。目前,局机要档案室有两名专职人员负责保密文件资料的管理。存放保密文件资料的场所符合保密和防火、防盗等安全要求。密件,密级文件平时存放库房档案柜中,密码电报、密钥放在保险柜中,并定期清理、检查,防止遗失,对收到和发出的保密文件资料有书面登记和签收、借阅手续,借阅带密级的文、电档案须经办公室主任批准。保密文件资料办理完毕后收集齐全并立卷归档。复制、抄存涉密文件,必须经办公室主任批准,履行登记手续,任何密件复印件视同原件管理,用完及时收回。连接互联网的计算机没有处理过保密文件资料(包括登记文件目录),保密文件资料销毁有登记,并经主管领导审定,在保密工作部门指定的销毁单位进行,没有向废品收购部门出售密级文件资料的现象。二是此次清理要求对涉密载体进行清点、核对,并逐一登记备案。对涉密计算机及移动存储介质存在泄密隐患的,按照有关规定采取了相应措施。三是在此次清查中对必须收回的涉密载体一律收回;对不应由个人留用的电子文档,统一组织了删除。
三、存在问题和整改措施
通过此次检查,发现全局系统涉密载体保密管理工作基本是好的,没有发现涉密文件资料流失。存在的主要问题是:干部职工人员的保密意识有待进一步加强。如,因我局近年来,离职、离岗、调动、退休的领导干部和涉密人员均未保管过涉密文件,所以没有专门为他们办理涉密文件资料的清退手续,涉密文件发放后缺少定期核查的记录。局领导要求各工作人员要进一步加强保密意识,建立管理制度,细化管理措施,完善各类手续,彻底杜绝涉密文件资料流失,确保涉密文件的安全。
按照《信息化工作领导小组办公室关于开展20xx年度政府信息系统安全检查工作的通知》要求,我X立即组织开展全X范围的信息系统安全检查工作,现将自查情况汇报如下。
一、信息安全状况总体评价
我X信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力切实得到提高,保证了政府信息系统持续安全稳定运行。
二、20xx年信息安全工作情况
(一)信息安全组织管理
领导重视,机构健全。针对政府信息系统安全检查工作,政府高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由分管旗长担任,成员由旗直有关部门领导组成,领导小组下设办公室,办公室设在电子政务中心。同时,X直各部门和各镇领导也十分重视信息安全工作,建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了政府工作的良好运行,确保了信息系统的安全。
(二)日常信息安全管理
1、建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。
2、制定了计算机及网络的信息系统安全管理制度。网站的信息管护人员负责信息系统安全管理,密码管理,对计算机享有立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(三)信息安全防护管理
1、涉密计算机经过了保密技术检查,并安装了防火墙,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
(四)信息安全应急管理
1、制定了初步应急预案,并随着信息化程度的深入,结合我X实际,不断进行完善。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并给予应急技术最支持。
3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行存档。
4、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(五)信息安全教育培训
1、派专人参加了国家经信组织的网络系统安全知识培训,专门负责我X的网络安全管理和信息安全工作。
2、全X专门组织了基本的信息安全常识培训活动。
三、检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我旗实际,今后要在以下几个方面进行整改。
存在不足:
一是专业技术人员较少,信息系统安全方面可投入的力量有限;
二是章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的`所有方面;
三是遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
一是要继续加强对全旗机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
四是要提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和保密工作。
五是要创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
四、对信息安全工作的意见和建议
希望上级部门能够经常组织有关信息系统安全的培训,进一步提升信息系统管理工作人员的专业水平,进一步强化信息系统的安全防范工作。
20xx年7月15日我行组织全体员工认真学习了“关于银行业金融机构做好个人金融信息保护工作”的通知。我行员工积极讨论,严格按要求对本行涉及的金融信息保护工作进行自查自纠,现就对具体自查自纠情况汇报如下:
一、检查本行是否强化个人金融信息保护和银行业金融机构法制意识,是否依法收集、使用和对外提供个人金融信息。其中所指的金融信息是指个人身份信息、财产信息、账户信息、信用信息、金融交易信息和其中衍生的一些信息等。
二、检查本行在收集、使用、保存、对外提供个人金融信息时,是否严格遵守法律规定,采取有效措施加强对个人金融信息保护,是否有信息泄露和信息滥用的现象。
三、检查我行是否建立健全的内部控制制度,对查易发生个人金融信息泄露的环节是否充分排查。
四、检查我行是否篡改、违法使用个人金融信息等。
依照人行相关规定我行对相关业务逐一对照自查。通过自查,发现我行涉及个人金融信息的业务基本落实到位,不存在违规行为。但是,在以后的工作中我行仍旧要加强对个人金融信息的保护,明确各岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露和滥用事件的发生。
为了贯彻落实《关于开展全区信息安全检查工作的通知》精神,切实加强国庆和十一届全运会期间信息安全防范工作,创造良好的网络信息环境,现就我院网络信息安全自查自纠情况汇报如下:
一、高度重视全运会期间网络信息安全工作
我院接到《关于开展全区信息安全检查工作的通知》后,从维护社会稳定、经济命脉、人民利益的政治高度,充分认识做好国庆、全运会期间网络信息安全工作的极端重要性和紧迫性,紧急行动起来,立即进行安排部署,落实责任,强化防护措施,加强对本单位网络和信息系统的安全保护。
二、我院网络安全现状
全院共有计算机22台,连接互联网12台,兼职网络管理人员一名,定期对计算机进行病毒查杀。目前,网络运行良好,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。为及时预防和处理各种信息安全事故,确保网络系统绝对畅通、绝对安全,提高信息安全管理水平,我们加强了信息保密和网络安全管理工作,成立了以“一把手”为组长,副院长为副组长,其他主要科室负责人为成员的网络信息系统安全工作领导小组,制定了信息安全规章制度,并统一安装了正版杀毒软件、防火墙,有效的消除了网络信息不安全隐患。
三、按要求严格落实网络信息安全各项制度
1.责任制度。对网络信息安全各项制度进行了全面梳理,重点抓好安全责任制、应急预案、值班值守、信息发布审核等制度的落实。
严格落实领导责任制,一把手亲自过问,分管负责人直接抓,一级抓一级,层层抓落实。
2.原则要求。坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责、谁发布谁负责”和的原则,认真履行网络信息安全保障职责。
3.“五到位”。坚决做到领导、机构、人员、责任、措施“五到位”。健全安全工作机制,对发生重大安全责任事故的,要严肃追究相关人员的责任。
四、网络安全存在的不足及整改措施
针对目前我院网络安全方面存在的不足,提出以下几点整改办法:
1、加强我院计算机操作技术、网络安全技术方面的培训,强化我院计算机操作人员对网络病毒、信息安全的防范意识;
2、加强我院计算机操作人员在计算机技术、网络技术方面的学习,不断提高我院计算机使用和管理人员的技术水平。
北京市x办公室接到《北京市信息化工作办公室关于开展x年全网络与信息系统安全检查工作的通知》后,我领导十分重视,及时召集相关人员按照文件要求,逐条落实,周密安排自查,对全配备的所有计算机网络与信息安全工作进行了自查,现将自查情况报告如下:
一、 领导高度重视,组织、部门健全
领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,成立了信息系统安全领导小组,区局一把手担任领导小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分部设立计算机管理员岗位,分别有责任心、取得全国计算机等级二级以上(含二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报信息中心。结合本部门的信息系统安全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合系统安全自查方案,认真开展自查工作
(一)安全管理方面:制定了《公文处理应急预案》、《内部应急预案》、《网络故障应急预案》、《计算机机房运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。
确定信息中心二名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。
中心机房于20xx年建成,面积约90平方米,安装了接地保护装置,配备了手持式灭火器,配有两台柜式空调,并确保空调24小时正常运转。加强中心机房的供电管理,配备一台专用的10KV UPS电源专供中心机房设备使用,配备一台专用的6KV UPS电源专供征收大厅设备使用,并定期对UPS电池性能进行相应测试。
x办公网络已于20xx年元月实行内、外网物理隔离,内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区,通过一台硬件防火墙进行对外与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计算机只允许上内网。
(二)安全技术方面:网络通过租用联通的专线,实现市局、区局及分局三级网络互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分VLAN。 中心机房内网设备目前有3台华为2631路由器、2台华为
3680路由器和3台华为3552交换机为核心层,2台华为3026交换机作为接入层。除华为3552交换机有热备份,其他网络设备没有冷、热备份,通过2台东软硬件防火墙进一步加强网络安全管理。
中心机房外网设备目前有6台华为3928交换机,2台防病毒网关,2台上网行为管理,2台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
共有服务器8台,7台服务器的操作系统为Windows 20xx Server SP4,1台服务器的操作系统为Windows 20xx Server,所有服务器根据账号策略设置用户密码,强化安全管理。 所有内外网中的路由器和交换机均按照网络运行管理规范进行命名管理,并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略,提高系统的`网络安全系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固:
及时更新台式机和笔计本电脑的操作系统和应用程序补丁,禁用GUEST用户组,统一安装网络版瑞星防病毒软件,并通过设置自动升级和定时对计算机进行扫描,对外接的USB设备,必须进行病毒扫描。
三、存在的主要问题
通过本次自查发现,我信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,
存在移动存储介质内外网混用,个别笔记本电脑存在内外网混用。
(三)重技术建设、轻安全保护。进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合实际情况,现就加强信息系统安全工作,提出以下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严
格网络访问控制策略,保护网络安全。
一、领导高度重视,切实加强信息安全工作
局领导高度重视这次检查工作,召开了专项工作会议,组织认真学习文件精神,切实增强干部职工的保密意识,确保我局信息安全。会上成立了由纪委书记孟宪贞同志任组织、办公室主任郭敏同志为副组长,各相关科室负责人为成员的领导小组。会上还与各科室、各直属单位主要领导签订了《信息安全工作领导职责书》,与保密要害部门和岗位的涉密人员签订了《涉密人员岗位保密承诺书》,预防和杜绝失泄密事件发生。
二、认真开展自查自纠,加强重点部门和岗位的保密防范
我局成立了信息安全检查工作领导小组,并对此次检理工作做了统一安排。一是此次检查对象包括机关和单位在岗和近3年内离岗人员持有的涉密载体的人员进行清理,清理重点为涉密电子文档和存储、处理过涉密信息的计算机、移动硬盘、软盘、光盘、优盘、录像带等。局机要档案室是保密要害部门。局档案机要室严格执行保密精神,负责文函的接收和管理。目前,局机要档案室有两名专职人员负责保密文件资料的管理。存放保密文件资料的场所贴合保密和防火、防盗等安全要求。密件,密级文件平时存放库房档案柜中,密码电报、密钥放在保险柜中,并定期清理、检查,防止遗失,对收到和发出的保密文件资料有书面登记和签收、借阅手续,借阅带密级的文、电档案须经办公室主任批准。保密文件资料办理完毕后收集齐全并立卷归档。复制、抄存涉密文件,务必经办公室主任批准,履行登记手续,任何密件复印件视同原件管理,用完及时收回。连接互联网的计算机没有处理过保密文件资料(包括登记文件目录),保密文件资料销毁有登记,并经主管领导审定,在保密工作部门指定的销毁单位进行,没有向废品收购部门出售密级文件资料的现象。二是此次清理要求对涉密载体进行清点、核对,并逐一登记备案。对涉密计算机及移动存储介质存
在泄密隐患的`,按照有关规定采取了相应措施。三是在此次清查中对务必收回的涉密载体一律收回;对不应由个人留用的电子文档,统一组织了删除。
三、存在问题和整改措施
透过此次检查,发现全局系统涉密载体保密管理工作基本是好的,没有发现涉密文件资料流失。存在的主要问题是:干部职工人员的保密意识有待进一步加强。如,因我局近年来,离职、离岗、调动、退休的领导干部和涉密人员均未保管过涉密文件,所以没有专门为他们办理涉密文件资料的清退手续,涉密文件发放后缺少定期核查的记录。局领导要求各工作人员要进一步加强保密意识,建立管理制度,细化管理措施,完善各类手续,彻底杜绝涉密文件资料流失,确保涉密文件的安全。
根据上级文件《关于集中开展全县网络清理检查工作的通知》,我镇用心组织落实,对网络安全基础设施建设状况、网络安全防范技术状况及网络信息安全保密管理等状况进行了自查,对我镇的网络信息安全建设进行了深刻的剖析,现将自查状况报告如下:
一、成立领导小组
为进一步加强我镇网络清理工作,我镇成立了网络清理工作领导小组,由镇长任组长,分管副镇长任副组长,下设办公室,做到分工明确,职责具体到人,确保网络清理工作顺利实施。
二、我镇网络安全现状
我镇的政府信息化建设从开始到此刻,经过不断发展,逐渐由原先的没有太高安全标准的网络升级为此刻的具有必须安全性的办公系统。目前我镇电脑均采用杀毒软件对网络进行保护及病毒防治。
三、我镇网络安全管理
为了做好信息化建设,规范政府信息化管理,我镇专门制订了《涉密非涉密计算机保密管理制度》、《涉密非涉密移动存储介质保密管理制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站资料管理等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。
我镇定期对网站上的所有信息进行整理,确保计算机使用做到“谁使用、谁负责”,尚未发现涉及到安全保密资料的信息;对我镇产生的数据信息进行严格、规范管理,并及时存档备份;此外,我镇在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,用心参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我镇网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控潜力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理潜力不够。
针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:
1、进一步加强我镇网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化我镇计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。
2、加强我镇干部职工在计算机技术、网络技术方面的学习,不断提*部计算机技术水平。
3、加强设备维护,及时更换和维护好故障设备,以免出现重大安全隐患,为我镇网络的稳定运行带给硬件保障。
五、对网络清理检查工作的意见和推荐
随着信息化水平不断提高,人们对网络信息依靠也越来越大,保障网络与信息安全,维护国家安全和社会稳定,已经成为信息化发展中迫切需要解决的问题,由于我镇网络信息方面专业人才不足,对信息安全技术了解还不够,期望上级部门能加强相关知识的培训与演练,以提高我们的防范潜力。
按照《信息化工作领导小组办公室关于开展20xx年度政府信息系统安全检查工作的通知》要求,我X立即组织开展全X范围的信息系统安全检查工作,现将自查情况汇报如下。
一、信息安全状况总体评价
我X信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力切实得到提高,保证了政府信息系统持续安全稳定运行。
二、20xx年信息安全工作情况
(一)信息安全组织管理
领导重视,机构健全。针对政府信息系统安全检查工作,政府高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由分管旗长担任,成员由旗直有关部门领导组成,领导小组下设办公室,办公室设在电子政务中心。同时,X直各部门和各镇领导也十分重视信息安全工作,建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了政府工作的良好运行,确保了信息系统的安全。
(二)日常信息安全管理
1、建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。
2、制定了计算机及网络的信息系统安全管理制度。网站的信息管护人员负责信息系统安全管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(三)信息安全防护管理
1、涉密计算机经过了保密技术检查,并安装了防火墙,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
(四)信息安全应急管理
1、制定了初步应急预案,并随着信息化程度的深入,结合我X实际,不断进行完善。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并给予应急技术最大支持。
3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行存档。
4、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(五)信息安全教育培训
1、派专人参加了国家经信委组织的网络系统安全知识培训,专门负责我X的网络安全管理和信息安全工作。
2、全X专门组织了基本的信息安全常识培训活动。
三、检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我旗实际,今后要在以下几个方面进行整改。
存在不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
一是要继续加强对全旗机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
四是要提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和保密工作。
五是要创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
四、对信息安全工作的意见和建议
希望上级部门能够经常组织有关信息系统安全的'培训,进一步提升信息系统管理工作人员的专业水平,进一步强化信息系统的安全防范工作。
一、建立反腐领导体制和工作体制的情况
(一)健全完善制度
我分行根据上级要求制定了系统党风廉政建设责任制量化管理实施办法,与考核细则,同时建立了党风廉政建设领导小组。目前,该实施办法已落实到位,为我分行党风廉政建设工作以及分行事业发展起到了一定的监督及推动作用。
(二)健全责任机制方面
结合分行实际,我系统积极制订了党风廉政建设责任制量化管理办法,保证了党风廉政建设及反腐败各项工作的全面落实。一是将各项责任进行了分解,实现了将目标任务细化到岗,一级抓一级,层层抓落实,从而确保了“责任分解,责任考核,责任追究”落实到位,全面推动了分行的党风廉政建设工作的深入开展。
(三)工作部署总结方面
今年上半年我分行将党风廉政建设工作纳入了年度工作中。做到了工作有总结、有计划。
二、抓好领导班子党风廉政建设工作
(1)认真传达贯彻总、分行的反腐防案工作部署和活动安排,共6分:我分行及时开会传达贯彻各项工作部署和活动安排,无扣分。
(2)制定和落实反腐防案的岗位职责,积极支持和配合纪检监察部门开展工作,共4分。我分行积极制定岗位职责,大力支持配合纪检监察工作,无扣分。
(3)主要领导按要求与分行签订党风廉政建设责任书和案件防控责任书并认真履行责职,共2分,我分行关职能部门及时签订责任书,并做到认真履职,无扣分。
(4)员工按要求与本单位签订反腐防案承诺书,共1分,我分行全体员工按时签订承诺书,无扣分。
(5)每季定期召开一次案件防范和量化管理工作分析会,共4分,我分行按时每季度召开相关会议,认真进行总结分析,无扣分。
(6)民主决策,员工职级晋升、奖金分配等重大事项经集体讨论,共3分,我分行已经于x月按要求向员工公布业务管理费、奖励费,无扣分。
(7)单位业务管理费、奖励费发放公开透明,每半年一次向员工公布一次,共3分,我分行已按要求向员工公布业务管理费、奖励费,无扣分。
(8)领导干部按规定报告个人重大事项,共2分,我分行全体领导干部按要求报告个人重大事项,无扣分。
(9)领导班子团结进取、廉洁干事,共3分,我分行全体领导干部团结协作、廉洁干事,半年来无投诉、无举报,无扣分。
(10)关心员工工作和生活,领导干部按要求落实员工谈话制度,共3分,我行领导干部按要求落实谈话制度,不但有谈话而且还设有员工谈话专用记录簿,无扣分。
(11)主要领导每年按要求进行述职述廉,共2分,我行全体领导干部都认真进行了述职述廉,无扣分。
(12)严格遵章守纪,考核期内无发生违反党纪政纪案件,共3分,我分行未发生一次党纪政纪案件,无扣分。
三、抓好案件防范和自查工作
(1)案件防范工作分工明确,内控措施落实到位,岗位之间形成相互制约,共2分,我分行分工明确,内部监督到位,无扣分。
(2)各项业务操作规范,考核期内无发生各类经济案件,共10分,半年来,我分行全体职员认真、负责,无违规操作,没有造成资金损失、重大风险,没有任何案件发生,无扣分。
(3)内控检查到位,发现问题整改及时,共5分,我分行各相关责任人按要求进行了内控检查,发现问题后及时进行了认真、彻底的整改,并按规定管理密、押、印及重空凭证,无扣分。
(4)按要求落实重要岗位轮岗或强制休假制度,共3分,我分行全体职员按要求对重要岗位进行轮岗并且无一人强制休假,无扣分。
四、不断加强行风建设
(1)制定和落实本单位员工考勤考核奖励机制,共2分,我分行已制定并开始实施内部员工考核奖励机制,无扣分。
(2)严守工作纪律和请销假制度,共4分,我分行经检查发现无一人迟到,无一人违反工作(会议)纪律或请销假制度,无扣分。
(3)员工内部团结和谐,敬业爱岗,共2分,我行全体员工团结协作,坚决服从岗位调整和分工,在岗位上兢兢业业,完成了各项工作任务,无扣分。
(4)热情待客,诚信经营,严格职业操守,共2分,上半年来我分行组织的规范化服务考评已达标,无扣分。
(5)考核期内无发生“黄、赌、毒”或其他有损银行和企业利益行为,共4分,我分行全体员工洁身自好,无一人参与“黄、赌、毒”,无一人违反职业操守,无扣分。
五、加强廉政教育和队伍建设
(1)按总、分行要求开展各项反腐防案、法律规章以及广发理念职业道德教育活动,共10分,我分行按要求组织员工开展教育学习,参加学习的员工人数达到90%,活动结束后我行按时上报各类材料,无扣分。
(2)加强员工素质培训,积极组织员工参加各类政治学习和业务培训,共4分,分行全体员工没有一人无故不参加分行组织的各类学习和培训,无扣分。
(3)联系本单位实际定期组织员工岗位练兵,共2分,我分行按要求定期组织员工岗位练兵,无扣分。
通过对照分行党风廉政建设责任制量化管理考核评分表的各项内容进行自查,自查评分为100分。
一、信息安全自查工作组织开展情况
按照“谁主管谁负责、谁运行谁负责”的原则,成立了信息安全领导小组,镇长任组长,各分管领导为副组长,下属各科室主任为成员,对各科室信息安全进行检查, 重点检查了财政网络及相关内部网络,包括党政内网、信访内网、人事内网等。各信息系统基本运行良好,但仍存在部分信息安全隐患,还需进一步加大整改力度, 切实保证信息安全。
二、信息安全工作情况
(一)成立了信息安全领导小组,镇长任组长,各分管领导为副组长,下属各科室主任为成员,明确了副镇长曹兴树同志为信息安全主管领导,安监办干部陆璐为专职网络安全信息员。
(二) 建立了信息安全责任制。按照“谁主管谁负责、谁运行谁负责”的原则,信息安全领导小组对信息安全负首责,各分管领导负总责,具体管理人员负主责;各办公系 统的信息管理人员负责保密管理、密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄,否则,一切后果自负;对重大节假 日期间的信息安全保障进行了专门部署,明确了值班人员。
(三)严格了资产管理制度,镇财政办负责信息系统资产管理。确定了专职网络安全信息员,对机关信息系统进行定期检查,按照“谁主管谁负责、谁运行谁负责”,各分管领导、相关管理人员对信息系统进行不定期自查。
(四)坚持计算机定点维修,并要求其给予应急信息安全的技术支持。严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行清理汇总。备份恢复目前未实现大面积推广,目前仅为个别涉密电脑实施。
(五) 加强了重点部门和岗位的`信息安全检查。规范信息文件资料的管理,对收到的信息文件资料只在主管领导中传阅,严禁其他人员借阅和复制涉密文件,信息文件资料 办理完毕后立即交党政办存档,并在规定的时间内上交至区相关部门。连接互联网的计算机全部安装防火墙和杀毒软件,严禁移动介质内外网混用,电脑内外网混 用。
三、自查发现的主要问题和面临的威胁分析
(一)发现的主要问题和薄弱环节
1、安全保护意识有待加强,各种安全保护措施有待加强,部分管理人员安全保护意识薄弱。
2、数据的存储及备份机制还不够完善,还存在移动介质内外网混用的情况,个别电脑存在内外网混用情况。
3、信息安全教育培训开展力度不够,信息系统尚未实现定期维护。
(二)面临的安全威胁与风险
1、部分管理人员安全保护意识薄弱,存在信息安全隐患。
2、数据的存储及备份机制还不够完善,还存在移动介质内外网混用,个别电脑内外网混用情况,存在信息丢失的隐患。
3、信息系统尚未实现定期维护,存在重使用而轻维护的现象,存在信息系统不能可靠运行的隐患。
(三)整体安全状况的基本判断
目 前,xx镇各信息系统基本运行良好,信息安全有较好保障。对于信息安全,我们做了大量的工作,但对信息安全等规定执行的还不够全面,不够彻底。我们决心以 这次自查为契机,坚持不懈地抓好对全体干部特别是涉密人员的教育管理,加强业务培训和岗位训练,不断完善规章制度,强化信息安全意识,坚决杜绝失泄密问题 发生,为三圣镇经济社会发展创造良好的条件。
四、改进措施
1、加强信息安全教育培训,提升全体干部特别是涉密人员的信息安全保护意识。
2、完善数据的存储及备份机制,严禁移动介质内外网混用,电脑内外网混用。
3、实现信息系统定期维护,保证信息系统可靠运行。
五、关于加强信息安全工作的意见和建议
1、加强领导,提高对计算机信息系统安全保护工作重要性和紧迫性的认识。
2、加强监督,加大计算机信息系统安全管理力度。
3、加强对基层信息安全的业务指导,基层信息安全业务水平有待提升,建议开展信息安全技术培训,充实信息安全队伍。
4、加大对计算机信息系统安全建设力度。把建立或改进信息系统安全措施工作列入重要工作计划。同时,在进行信息系统建设规划时,应一并考虑安全保障体系的建设,以及安全保障体系的日常维护。
5、认真落实安全防范措施。完善信息安全防范制度,落实专职部门或人员定期对日常使用的信息系统进行自查,及时发现和消除信息安全隐患。
6、建立健全重大突发事件应急处置工作机制,提高应急处置能力。
XX县烟草专卖局(分公司)的信息网络安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,实效性强,网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定,严格规范信息安全等级保护,提高企业对信息网络安全的防控能力,保障企业信息网络安全,保证公司各项办公自动化工作的正常进行,促进企业效益的稳步提升,按照《XX县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求,我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查,现将自查情况报告如下。
一、等级保护工作部署和组织实施情况
XX县烟草公司企业信息化建设在市局(公司)的统一领导下,按照“统一网络、统一平台、统一数据库”的要求,以打造“数字烟草”为战略目标,以“系统集成、资源整合、信息共享”为工作方针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视网络信息的安全建设工作。从省公司到市公司、县公司,领导高度重视,统一规划,统一标准,同步实施。首先是逐级成立了领导小组和职能部门,分公司按照上级部门要求,20xx年11月成立了信息化领导小组,下设信息办在公司办公室,并设置了计算机系统管理员岗位,明确了各自的职责。由于网络推广应用迅速,20xx年重新更设了计算机网络信息中心,旨在强化对企业的网络建设和网络安全管理。在历次的机构设置中,都明确了分公司主要领导分管信息工作,把网络信息安全的建设与管理摆到了企业各项工作的重要位置中来,表明了企业对信息化建设、网络安全管理的高度重视和决心。其次是对行业的网络安全建设高瞻远瞩、统一标准、规范运作、务求实效。先后省公司下发了《云南省烟草专卖局关于建设云南省行业计算机网络与信息安全系统的通知》,对全行业的网络信息安全建设作了明确、细致的规定,制定了高效规范的《云南省烟草行业计算机网络与信息安全系统建设方案》,统一在全系统范围内实施。随后市局公司又下发了《曲靖市烟草专卖局(公司)关于建设网络安全系统的通知》,对各分公司的'网络安全建设作了具体的安排部署。XX县烟草公司严格按照上级部门要求,主动推进网络安全建设,严律遵循行业标准规范,组织实施信息项目,积极配合上级部门在全行业开展网络安全建设工作。
二、信息系统安全保护等级备案情况
XX县烟草专卖局(分公司)隶属曲靖市烟草专卖局(公司)子公司,无法人资格。网络信息安全建设也是依照市公司统一要求进行,信息安全保护等级为二级。按照本次检查要求,备案材料主要包括三类。一是各级各部门的文件,包括有:罗烟司字[20xx]48号《关于成立云南省烟草XX县公司信息化领导小组的通知》,省公司云烟科[20xx]209号《关于决举办云南省烟草行业计算机系统管理员培训班的通知》,省公司云烟信[20xx]552号《云南省烟草专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知》,市公司云
曲烟专司字[20xx]35号《曲靖市烟草专卖局(公司)关于建设网络安全系统的通知》、《曲靖烟草专卖局(公司)党政工作部关于举办网络信息安全培训的通知》,市公司云曲烟办字[20xx]98号《曲靖市烟草专卖局(公司)关于建设地面专网的通知》等。第二类是各项网络信息安全建设规范、技术标准及方案等,主要包括有:《云南省烟草行业信息网络信息系统技术规范》两部分,《云南省烟草行业信息网络系统计算机网络系统建设技术规范》、《云南省烟草行业计算机网络与信息安全系统建设方案》。第三类是各类管理制度或规定,主要包括有:《云南省烟草行业信息网络管理规范》、《云南省烟草行业计算机网络与信息安全管理制度》、《信息化工作管理规定》的网络与信息安全管理,《网络建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息网络事件应急预案》等。
三、信息安全设施建设情况。
根据上级部门的统一规划、建设要求,XX县烟草公司积极推进各项网络安全建设工作。首先,为考虑网络安全,结合业务实际,在网络规划时以建设专线为重点,在全省烟草系统内全部采用专线连接,实现互联互通。在系统主干网络建设上,先是采用卫星专用通道联网,后改用DDN专线,随着网络技术的发展和普及,从20xx年开始,全省烟草系统,从省公司至市公司,从市公司至分公司,从分公司至烟叶站、烟叶收购点,采用带宽不同的SDH专线连接。公司绝大部分业务均在内网里运行,各类数据信息通过内网服务器和网络流转、共享,无外网托管现象,只有极少部分业务需挂外网。其次是不
断采用新技术、新手段做好网络信息安全防范工作,严格划分企业内网与外网,通过硬件防火墙设置,保证内外信息交互有效进行,实现对垃圾信息、非法访问的有效过滤。同时,通过网络版杀毒软件的安装使用,对计算机病毒进行整体防治,另一方面,对操作终端还配置防木马程序的软件,以及软件防火墙等软件的使用,配合杀毒软件对计算机病毒、黑客攻击、木马程序等进行了有效的防范。总之,通过软硬件技术手段的有效结合,使系统内网及每个终端计算机、系统内的信息、数据安全得到了有效保障,有效保证了企业各业务工作的顺利开展。
四、管理制度建设情况。
烟草企业自20xx年工商分制以来,作为一分公司,在曲靖市烟草公司的直接领导下,各项工作稳步推进,伴随着社会效益、企业效益的逐年攀升,曲靖烟草企业更加注重管理模式的总结与创新,强调管理的精细化和规范化,通过长时间的积累、总结和创新,对各行各业各个环节都制定了规范、有效的管理制度。形成了具有行业标准的相关制度-《曲靖烟草商业管理(QTCM)-管理制度》,在网络信息安全方面涉及很多内容。制定了《计算机设备管理规定》,旨在规范烟草系统计算机及相关设备的管理工作,促进设备的有效管理,提高设备的综合效率,满足工作需求;制定了《计算机机房管理理规定》,旨在加强计算机机房的运行、使用和管理,保证各信息系统的稳定可靠运行,促进公司网络的健康发展;制定了《信息化工作管理规定》、以及《网站建设及信
息维护管理规定》,包括网络和信息安全管理规定,旨在保证企业网络信息系统运行安全、可靠,做到实体安全、运行安全、数据安全和管理安全。20xx年4月份,根据企业《职业健康安全管理体系》运行的整改要求,制定了《突发信息网络事件应急预案》,包括机房渗漏水应急预案、机房盗窃应急预案、机房火灾应急预案、机房长时间停电应急预案、通信网络故障应急预案、网络病毒爆发应急预案、服务器软件系统故障应急预案、核心设备硬件故障应急预案、业务数据损坏应急预案等九部分内容,旨在加强对系统内突发信息网络事件的控制,迅速有效开展应急救援行动,降低危害程度。总之,企业对网络安全高度重视,制定了众多管理制度,并积极层层落实,责任分明,有效地保证了了企业长期以来的网络信息系统的稳定运行。
五、信息安全产品选择和使用情况。
我司的网络信息安全产品,20xx年开始根据市公司的要求,进行统一配置。其中,硬件防火墙采用中端型产品,基本满足管理要求。防病毒软件曾采用趋势Trend网络版,20xx年以后统一改用瑞星企业专用版,与全国大多企业一致选用国产软件。网络管理平台软件曾使用复旦光华T_Manager网络综合管理系统,预计未来将采用其它新系统实现网络综合管理。此外,针对各终端设备的安全防范,我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎360安全卫土等安全软件,实现防病毒、木马程序、黑客、非法程序等的辅助管理,进一步提高了整个系统的安全防范能力和管理水平。
六、聘请测评机构开展技术测评情况
我司的网络安全检测及风险评估工作也是依照市局(公司)的统一要求组织实施,按照市公司的统一安排,聘请测评机构为曲靖市麒麟区联创信息网络有限公司,检测时间一般为每年6至7月份,检测内容为:机房物理环境、服务器、网络设备(交换机、路由器、防火墙),桌面终端等,其中,桌面终端采用抽查方式进行检测,抽查率不少于总数的30%,检测工作中,工程师需签订《云南省网络与信息系统安全检测单位保密承诺》和安全检测保密协议,检测结果及报告由市公司保存。
七、定期自查情况
XX县烟草公司高度重视网络安全建设工作,强调日常维护、安全防范和定期自查工作。对管理制度不断完善更新,新技术新手段积极采用,借助于企业职业健康安全管理体系的贯标、运行和提升工作,不断开展网络信息安全的检查工作,对一经查出的问题及时整改,自己不能解决的及时上报上级部门,给予帮助解决,有效地促进了整个安全防控体系的完善和管理水平的提高。
为进一步加强我院信息系统的安全管理,增强信息安全保密意识,提高信息安全水平,根据《关于&次;& times我院领导高度重视,成立了专门的管理机构,召开了相关部门负责人会议,深入学习并认真贯彻文件精神,充分认识到开展网络和信息安全自查的重要性和必要性,并对自查工作做了详细部署。主管院长负责安排和协调相关检查部门,并对检查项目进行监督。建立健全医院网络安全保密责任制和相关规章制度,严格执行网络信息安全保密规定,对医院各部门网络信息安全进行专项检查。现将自查情况报告如下:
一、医院网络建设的基本情况
我院信息管理系统实施于& times& times年&次;& times月乘& times& times& times& times科技股份有限公司升级医院信息管理系统(HIS系统)。升级后的前台维护由我们的技术人员负责,后台维护和外部事故处理由& times& times& times& times科技有限公司技术人员负责。
二、自检工作
1、机房安全检查。机房安全主要包括消防安全、用电安全、硬件安全、软件维护安全、门窗安全和防雷安全。医院信息系统服务器机房严格按照机房标准建设,工作人员坚持每天定点检查。系统服务器、多端口交换机、路由器都有UPS电源保护,可以保证设备在停电3小时的情况下正常运行,不会因为突然停电而损坏。
2.局域网安全检查。主要包括网络结构、密码管理、IP管理、存储介质管理等。HIS系统的操作人员,每个人都有自己的登录名和密码,并被赋予相应的操作权限,不得使用他人的操作账户,账户实行“谁使用,谁管理,谁负责”管理系统。医院内局域网有固定的IP地址,由医院统一分配管理。未经允许不能添加新IP,未分配的IP不能接入医院局域网。我们局域网内所有电脑的USB接口都是完全封闭的,有效避免了外部介质(如u盘、移动硬盘)造成的中毒或泄露。
3.数据库安全管理。我院采取以下数据安全措施:
(1)将要保护的部分与数据库中的其他部分分开。
(2)采用授权规则,如账号、密码、访问控制方式等。
(3)数据库账户密码由专人管理和维护。
(4)数据库用户必须每6个月更换一次密码。
(5)服务器采用虚拟化管理,当当前服务器出现问题时,及时切换到另一台服务器,保证客户端业务的正常运行。
第三,应急响应
我院HIS系统服务器运行安全稳定,配有大型UPS电源,在大规模停电的情况下,可以保证服务器运行6小时左右。我院的HIS系统刚刚升级上线,服务器没有出现过度停机。但医院已经制定了应急预案,对收费操作人员和护士进行了培训。如果医院出现大规模长期停电,HIS系统无法正常运行,将临时启动人工收费、记账、配药,确保诊疗活动能够正常有序进行。当HIS系统恢复正常工作时,发票和费用将被补充。
第四,存在问题
我院网络和信息安全工作做得认真细致,从未发生过重大安全事故。所有系统运行稳定,所有业务都能正常运行。但自查也发现不足,如医院信息技术人员不足,信息安全力量有限,信息安全培训不全面,信息安全意识不够,个别科室维护信息安全缺乏主动性和自觉性;应急演习发展不足;机房条件差;个别部门电脑设备配置低,服务周期长。
疯后应加强信息技术人员的培训,提高信息安全的技术水平,加强全院员工的信息安全教育,提高维护信息安全的主动性和自觉性,加大医院信息化建设的投入,加强计算机设备的配置,进一步提高工作效率和系统运行的安全性。
根据路局《关于在全局范围内开展网络与信息安全检查行动的通知》()文件精神。我站对本站网络与信息安全情况进行了自查,现汇报如下:
一、信息安全自查工作组织开展情况
1、成立了信息安全检查行动小组。由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员负责对全站的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析。整改,提高了对全站网络与信息安全状况的掌控。
二、网络与信息安全工作情况
1、8月2日前开展网络语信息系统的自查工作部署。
1)组织成立了网络与信息安全检查工作小组,由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员。
2)研究制定自查实施方案,根据系统所承担的业务的独立性、责任主体的.独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对客票发售与预订系统、旅客服务
系统、办公信息系统进行全面的梳理并综合分析。
2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情况进行逐项排查。
1)系统安全基本情况自查
客票发售与预订系统为实时性系统,对车站主要业务影响较高。目前拥有IBM服务器2台、cisco路由器2台、cisco交换机13台,系统均采用windows操作系统,灾备情况为系统级灾备,该系统不与互联网连接,防火墙采用永达公司永达安全管控防火墙。
旅客服务系统为实时性系统,对车站主要业务影响较高。目前拥有HP服务器13台、H3C路由5台、H3C交换机15台,系统采用linix操作系统,数据库采用SQLServer,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用按照使用需求开放端口,重要数据均采用加密防护。
办公信息系统为实时性系统,对车站主要业务影响一般。目前拥有IBM服务器1台、cisco路由器1台、cisco交换机2台,系统采用windows操作系统,数据库采用SQLServer,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用按照使用需求开放端口,重要数据均采用加密防护。
2)安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理
机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
运行维护管理方面,建立了《客服系统维护标准》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3)网络与信息安全培训情况
制定了《太原站网络与信息安全培训计划》,20xx年上半年组织信息安全教育培训2次,接受信息安全培训人数20人,站单位中人数的5%。组织信息安全管理和技术人员参加专业培训10人次。
三、自查发现的主要问题和面临的威胁分析
四、改进措施
五、整改效果
根据铁路局《关于在全球范围内开展网络和信息安全检查行动的通知》。
一、信息安全自查的组织实施
1.成立了信息安全检查行动小组。站长、书记为组长,相关部门(车间)负责人、信息技术部全体人员为组员,负责全站重要信息系统的综合调查,填写相关报告,归档保存。
2.信息安全检查组根据网络和信息系统的实际情况逐项检查确认,并对自检结果进行全面检查、梳理和分析。整改提高了全站网络控制和信息安全。
1)组织成立了网络与信息安全检查组,由站长、书记任组长,相关部门(车间)负责人和信息技术部全体人员为检查组成员。
2)研究制定自查实施方案,根据系统承担业务独立性的四个因素,对售票订票系统、客运服务系统、办公信息系统进行全面梳理分析,责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性。
3. 8月6日前逐项检查售票预订系统、客运服务系统、办公信息系统的基本场景。
1)基本系统安全场景自检售票订票系统为实时系统,对车站主营业务影响较大。目前,它拥有2台IBM服务器、2台Cisco路由器和13台Cisco交换机。系统采用windows操作系统。灾难恢复场景是系统级灾难恢复。系统未连接到Internet。防火墙采用永达公司的永达安全控制防火墙。
旅客服务系统为实时系统,对车站主营业务影响较大。目前,它拥有13台HP服务器、5条H3C路由和15台H3C交换机。系统采用linix操作系统,数据库采用sqlserver,容灾场景为数据容灾。系统未连接到Internet。安全保护策略根据使用需求采用开放端口,重要数据采用加密保护。
2)在安全管理自查场景的人员管理方面,指定专职信息安全员,建立信息安全管理机构和专职信息安全工作机构。所有重要岗位人员均签订了安全保密协议,制定了人员离岗安全规定和外来人员出入审批表。
在资产管理方面,指定专人负责资产管理,完善资产管理制度、设备维修报废管理制度,建立设备维修记录表。
在存储介质管理方面,完善了存储介质管理系统,建立了存储介质管理记录表。
在运维管理方面,建立了客服系统维护标准和运维记录表,完善了日常运维制度。
3)网络与信息安全培训场景
三、自查发现的主要问题和威胁分析
四、改进措施
一、加强领导,成立了络与信息安全工作领导小组
为进一步加强全系统络信息系统安全管理工作,我局成立了络与信息系统安全保密工作领导小组,做到分工明确,责任具体到人。安全工作领导小组,组长曾自强,副组长吴万夫,成员有刘林声、王志纯、苏宇。分工与各自的职责如下:曾自强副局长为我局计算机络与信息系统安全保密工作第一责任人,全面负责计算机络与信息安全管理工作。办公室主任吴万夫分管计算机络与信息安全管理工作。刘林声负责计算机络与信息安全管理工作的日常事务,上级教育主管部门发布的信息、文件的接收工作。王志纯负责计算机络与信息安全管理工作的日常协调、督促工作。苏宇负责络维护和日常技术管理工作。
二、完善制度,确保了络安全工作有章可循
为保证我系统计算机络的正常运行与健康发展,加强对校园的管理,规范络使用行为,根据《教育和科研计算机络管理办法(试行)》、《关于进一步加强桃江县教育系统络安全管理工作的通知》的有关规定,制定了《桃江县教育系统络安全管理办法》、《上信息发布审核登记表》、《上信息监控巡视制度》、《桃江县教育系统络安全管理责任状》等相关制度、措施,确保络安全。
三、强化管理,加强了络安全技术防范措施
我系统计算机络加强了技术防范措施。一是安装了卡巴斯基防火墙,防止病毒、反动不良信息入侵络。二是安装瑞星和两种杀毒软件,络管理员每周对杀毒软件的病毒库进行升级,及时进行杀毒软件的升级与杀毒,发现问题立即解决。三是络与机关大楼避雷相联,计算机所在部门加固门窗,购买灭火器,摆放在显著位置,做到设备防雷、防盗、防火,保证设备安全、完好。四是及时对服务器的系统和软件进行更新。五是密切注意CERT消息。六是对重要文件,信息做到及时备份。创建系统恢复文件。
我局络安全领导小组每季度对全系统机房、学校办公用机、多媒体教室及学校电教室的环境安全、设备安全、信息安全、管理制度落实情况等内容进行一次全面的检查,对存在的问题及时进行纠正,消除安全隐患。
县信息办:
按照《略阳县信息化工作办公室略阳县经济贸易局关于转发市信息办工信委20xx年度重点领域网络与信息安全检查行动检查指南并开展相关工作的通知》要求,我局高度重视,积极行动,召开专题会议,学习通知精神,指定相关科室对国土系统网络与信息安全进行全面检查,现就自查情况汇报如下:
一、基本情况
县国土资源局系统网络平台有:国土资源部土地矿产卫片执法检查信息系统、国土资源部土地市场动态监测与监管系统、国土资源部农村土地整治监测监管系统、国土资源部征地批后实施信息系统、国土资源部采矿权信息系统、国土资源部探矿权信息系统、国土资源部矿产资源补偿费征收统计网络直报系统、国土资源部矿山开发利用统计数据库管理系统、国土资源部煤、铁矿产资源开发利用统计系统、陕西地税网络在线发票系统及略阳县政务信息平台系统等11个信息系统。
二、安全自查情况
(一)领导重视,网络与信息安全工作常抓不懈。网络与信息安全,我局历来比较重视,国土资源局网络与信息安全领导小组是局机关常设的一个内部领导机构,由副局长,综合科、地籍科、矿管科、耕保科、资金科、交易中心、复垦中心负责人为成员,每季度进行一次网络与信息安全检查,检查后召开专题安全会议,对存在的问题及时解决,好的经验进行交流,做到信息安全常抓不懈,警钟长鸣,确保上报信息真实、准确、及时、安全。
(二)落实制度,专人管理,确保网络信息安全。按照网络与信息管理有关规定,制定了《略阳县国土资源局网络与信息安全管理规定》,做到电脑固定、专人管理,定期不定时由局网络与信息安全领导小组进行检查,及时与上报信息系统管理部门进行沟通了解情况,保证网络信息安全。
存在的问题:检查发现有时专用电脑浏览互联网。
通过自查,我局11项网络与信息系统安全,各项管理都能按照有关制度监管,没有发生不安全事故,各项网络与信息系统正常、安全、畅通。
三、今后的`打算
我们将严格按照县信息化办公室的有关要求,进一步强化网络与信息安全管理,防患于未然,落实好国家各项信息安全管理规定,确保网络与信息安全。
为落实“教育部办公厅关于开展网络安全检查的通知”(教技厅函[20xx]51号)、“教育部关于加强教育行业网络与信息安全工作的指导意见”(教技[20xx]4号)、陕西省教育厅“关于开展全省教育系统网络与信息安全专项检查工作的通知”(陕教保【20xx】8号),全面加强我校网络与信息安全工作,校信息化建设领导小组办公室于9月16日-25日对全校网络、信息系统和网站的安全问题组织了自查,现将自查状况汇报如下:
一、学校网络与信息安全状况
本次检查采用本单位自查、远程检查与现场抽查相结合的方式,检查资料主要包含网络与信息系统安全的组织管理、日常维护、技术防护、应急管理、技术培训等5各方面,共涉及信息系统28个、各类网站89个。
从检查状况看,我校网络与信息安全总体状况良好。学校一贯重视信息安全工作,始终把信息安全作为信息化工作的重点资料。网络信息安全工作机构健全、职责明确,日常管理维护工作比较规范;管理制度完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统(网站)系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实,工作经费有必须保障,基本保证了校园网信息系统(网站)持续安全稳定运行。但在网络安全管理、技术防护设施、网站建设与维护、信息系统等级保护工作等方面,还需要进一步加强和完善。
二、20xx年网络信息安全工作状况
1.网络信息安全组织管理
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,学校网络信息安全工作实行“三级”管理。学校设有信息化工作领导小组,校主要领导担任组长,信息化工作办公室设在网教中心,中心主任兼办公室主任。领导小组全面负责学校网络信息安全工作,授权信息办对全校网络信息安全工作进行安全管理和监督职责。网教中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作。各处室、学院承担本单位信息系统和网站信息资料的直接安全职责。
2.信息系统(网站)日常安全管理
学校建有“校园网管理条例”、“中心机房安全管理制度“、“数据安全管理办法”、“网站管理办法”、“服务器托管管理办法”、“网络故障处理规范”等系列规章制度。各系统(网站)使用单位基本能按要求,落实职责人,较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常维护操作较规范,多数单位做到了杜绝弱口令并定期更改,严密防护个人电脑,定期备份数据,定期查看安全日志等,随时掌握系统(网站)状态,保证正常运行。
3.信息系统(网站)技术防护
校园网数据中心建有必须规模的综合安全防护措施。
一是建有专业中心机房,配备视频监控、备用电力供应设备,有防水、防潮、防静、温湿度控制、电磁防护等措施,进出机房实行门禁和登记制度;
二是网络出口部署有安全系统,站群系统部署有应用防火墙,并定期更新检测规则库,重要信息系统建立专网以便与校园网物理隔离;
三是对服务器、网络设备、安全设备等定期进行安全漏洞检查,及时更新操作系统和补丁,配置口令策略保证更新频度;
四是全面实行实名认证制度,具备上网行为回溯追踪潜力;
五是对重要系统和数据进行定期备份,并建有灾备中心。
4.信息安全应急管理
20xx年制定了《西北农林科技大学网络与信息安全突发事件应急预案》。网教中心为应急技术支持单位,确保网络安全事件的快速有效处置。
5.信息安全教育培训
20xx年派员参加了陕西省信息安全保密培训。暑期处级干部培训安排有信息安全与保密专题,每年组织全校网管员技术培训,增强管理干部和技术人员的安全防范意识,提高技术防护潜力。
三、检查发现的主要问题
对照《通知》中的具体检查项目,我校在信息安全工作上还存在必须的问题:
1.安全管理方面:网管员为兼职,投入精力难以保证,部分网管员长时间未登录过自己管理的系统(网站),无法及时知晓已发生的安全事件。部分系统(网站)日常管理维护不够规范,仍存在管理员弱口令、数据备份重视不够、信息保密意识差等问题(20xx年发生2起个人保密信息上传网站的事件)。
2.技术防护方面:校园网安全技术防护设施仍不足,如缺少数据中心安全防御系统和审计系统,欠缺安全检测设施,无法对服务器、信息系统(网站)进行安全漏洞扫描与隐患检查。
3.应用系统(网站)方面:个别应用系统(网站)存在设计缺陷和安全漏洞,容易发生安全事故。(经统计20xx年以来14个网站发生安全事故17起,其中11起是因为网站存在技术问题,如安全漏洞或设计缺陷)。
4.信息系统等级保护工作尚未全面开展。
5.部分院(系)管辖的机房或学习室尚未实行认证和审计。
四、整改措施
针对存在的问题,学校信息化领导小组专门进行了研究部署。
1.进一步完善网络信息安全管理制度,规范信息系统和网站日常管理维护工作程序。加强网管员技术培训,提高安全意识和技术潜力。
2.继续完善网络信息安全技术防护设施,配备必要的安全防御和检测设备,实行信息系统(网站)安全检测准入制度,从根本上降低安全风险。定期对服务器、操作系统进行漏洞扫描和隐患排查,建立针对性的主动防护体系。
3.针对各级网站建设水平参差不齐问题,学校20xx年引入了站群系统管理平台,目前已将多个部门共计12个网站迁移到站群系统管理平台。今后将加大推进力度,逐步将全部各级网站迁入站群系统管理平台,提高网站技术安全性能。
4.全面开展信息系统等级保护工作,按照新颁布的《教育行政部门及高等院校信息系统安全等级保护定级指南》,完成所有在线系统的定级、备案工作。用心创造条件开展后续定级测评、整改等工作。
5.加强应急管理,修订应急预案,组建以网教中心技术人员为骨干、重要系统管理员参加的应急支援技术队伍,加强部门间协作,做好应急演练,将安全事件的影响降到最低。
6.对院(系)管机房或学习室强制认证和审计。