❶ 信息系統安全自查報告
1.信息系統安全自查報告
一、等級保護工作部署和組織實施情況
x單位在上級行的統一領導和部署下,帆納按照《信息安全等級保護管理辦法》和《人民銀行信息系統信息安全等級保護實施指引(試行)》的要求,組織開展轄內人民銀行系統信息安全等級保護工作。
一是成立了x單位信息安全等級保護工作領導小組,由主管科技的副行長任組長,各科室主要負責人為成員,全面負責全轄人民銀行系統信息安全等級保護工作,領導小組下設辦公室,安排專人負責計算機信息系統安全管理,明確了各自的職責。
二是建立健全了各項信息安全管理制度,做到了有章可循。
三是加強相關工作人員的培訓學習,增強信息系統安全工作的自覺性,提高信息系統安全工作管理水平。
二、信息系統安全保護等級備案情況
我行根據《人民銀行長沙中心支行20xx年信息安全等級保護工作方案》精神,將《郴州中支業務網網路系統》和《郴州中支財庫行橫向聯網系統》信息安全保護等級定為第二級,其他系統定為第一級,並將定為第二級的系統向市公安局網監支隊報備。
三、下一步工作計劃
目前,x單位信息安全等級保護工作正在不斷完善中,今後還需要在以下幾個方面不斷加強:
一是進一步加強信息安全管理力度,督促各支行、各科室加強信息安全等級保護工作;
二是加強網路信息安全隊伍建設,提高網路管理人員和維護人員的技術水平和安全管理意識;
三是進一步完善信息安全管理制度,開展信息系統安全評估和自測評;
四是規范和完善安全事件處理流程。
2.信息系統安全自查報告
(一)安全制度建設情況。
根據處信息系統建設計劃,我處在20xx年就制定了市場處計算機網路和信息工作的相關管理規定和辦法。明確了以處領導為主管領導,以處辦公室為聯系紐帶,建立以信息科為執行骨乾的系統建設和維護的金字塔型信息安全管理模式。早在20xx市場處就成立專職網路管理科室並設立了專職人員,負責交易大廳及附屬辦公樓的信息化建設和網路安全管理以及設備維護工作。具體負責人員均由專業技術人員擔任,目前設有2人分別負責內網和外網及設備保障工作,其中1人按市統一要求進行了專職的網路安全培訓,並按要求簽有保密協議,已在政府相關部門備案。已制定了基本的網路安全工作制度和工作機制來規范各項信息網路安全管理工作。信息管理人員能夠嚴格按照保密責任制度和信息報送管理辦法執行工作。針對當前和未來一段時間的信息安全保障工作,處領導高度重視,借鑒以往的安全保障工作經驗和未來一段時期內的發展趨勢,積極組織安排信息安全保障工作。在未來的工作中,市場處將繼續嚴格制度,嚴格要求,嚴謹管理,嚴肅工作,保障信息系統的安全、穩定運行,並堅決執行「誰管理誰負責、誰運行誰負責、誰使用誰負責」管理原則。
(二)安全防範措施落實情況。
1、為盡可能的減少信息安全事故發生,我處已經設立的相應的網路防護措施,以防火牆和防毒軟體為核心對內網網路伺服器及整個區域網安全提供保障。同時我們通過服務外包的形式,藉助專業公司的較高專業水平,進一步加強了外網建設的安全管理措施,整體上提高了我處內外網路安全性能。
2、凡我處工作用計算機全部按照網路安全隔離系統要求實施,同時對重點計算機進行了殺毒軟體升級和補丁修復,定期對伺服器的帳戶和口令進行更改,對伺服器上的應用和服務漏洞做了整理和修復。
3、保證專業人員24小時待命,對任何可能危及信息安全的事態能夠做到及時響應,有效處理。
(三)應急響應機制建設情況。
我處目前已經做到了內網數據雙機熱備,外網數據定期備份等基礎工作,工作人員能熟練進行數據災難恢復工作。對於可能發生的重大信息安全事故,我們完全有能力進行迅速和妥善的處理。針對此次通知精神,我處准備繼續強化信息安全的制度建設和教育工作,從上到下繼續加強信息安全工作的意識,端正信息安全工作的態度,嚴肅信息安全工作的紀律,並嚴格執行。
(四)安全教育培訓情況。
我處已多次對工作人員進行了信息安全方面的教育和培訓,有高級信息管理工程師(CIO)1名。對於普通工作人
員以掌握信息化管理技能為目的進行經常性的理論學習和實踐操作能力培訓,藉此不斷的提高所有工作人員的的安全防範意識和技能。
(五)此次我處信息系統安全自查後,信息安全薄弱環節和漏洞主要體現在以下幾個方面:
1、部分核心交換設備老化存在安全隱患,很多設備已經使用超過8年。
2、制度上仍有缺失存在,後台維護和前台業務存在一定的交叉,這不符合信息安全工作的最基本要求。
2、部分計算機殺毒軟體的病毒庫未能進行及時的更新。
3、部分網站系統由於各種原因仍存在網站安全漏洞隱患。
對於工作中尚存的以上缺陷,我們將盡快落實解決。
(六)為落實通知精神,處領導高度重視,親自組織信息安全檢查工作,對違反信息安全規定的行為和泄密事故的處理堅決執行「誰主管誰負責、誰運行誰負責、誰使用誰負責」的管理原則。經自查自糾目前我處尚無違反信息安全規定的行為和泄密事故發生。
3.信息系統安全自查報告
一、計算機信息管理情況
今年以來,我局加強組織領導,強化宣傳教育,落實工作責任,加強日常監督檢查,將涉密計算機管理抓在手上。對於計算機磁介質(軟盤、U盤、移動硬碟等)的管理,採取專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件,形成了良好的安全保密環境。對涉密計算機(含筆記本電腦)實行了與國際互聯網及其他公共信息網物理隔離,並按照有關規定落實了保密措施,到目前為止,未發生一起計算機失密、泄密事故;其他非涉密計算機(含筆記本電腦)及網路使用,也嚴格按照局計算機保密信息系統管理辦法落實了有關措施,確保了機關信息安全。
二、計算機信息網路安全情況
1、是網路安全方面。我局配備了防病毒軟體、網路隔離卡,採用了強口令密碼、資料庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網路安全責任,強化了網路安全工作。
2、是信息系統安全方面實行領導審查簽批制度。凡上傳網站的信息,須經辦公室審核簽字後方可上傳;二是開展經常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟體安裝與升級、木馬病毒檢測、埠開放情況、系統管理許可權開放情況、訪問許可權開放情況、網頁篡改情況等進行監管,認真做好系統安全日記。
3、是日常管理方面切實抓好外網、網站和應用軟體「五層管理」,確保「涉密計算機及業務專網不上網,上網計算機不涉密」,嚴格按照保密要求處理光碟、硬碟、U盤、移動硬碟等管理、維修和銷毀工作。重點抓好「三大安全」排查:一是硬體安全,包括防雷、防火、防盜和電源連接等;二是網路安全,包括網路結構、安全日誌管理、密碼管理、IP管理、互聯網行為管理等;三是應用安全,包括網站、郵件系統、資源庫管理、軟體管理等。
三、硬體設備運行維護情況
我局每台終端機都安裝了防病毒軟體,系統相關設備的應用一直採取規范化管理,硬體設備的使用符合國家相關產品質量安全規定,單位硬體的運行環境符合要求,列印機配件、色帶架等基本使用設備原裝產品;今年以來,我局積極落實網路安全專項資金,配備網路安全硬體設備、升級應用伺服器,強化網路安全措施,目前,網站系統安全有效,暫未出現任何安全隱患。
我局對電腦及其設備實行「誰使用、誰管理、誰負責」的管理制度。在管理方面我們一是堅持「制度管人」。二是強化信息安全教育、提高 幹部職工計算機技能。同時在局開展網路安全知識宣傳,使全體幹部職工及終端用戶深刻認識到信息網路安全的重要性,提高自覺維護網路安全應用的自覺性和安全防範意識。的在設備維護方面,我局專門設置了網路設備故障登記簿、計算機維護及維修表對於設備故障和維護情況屬實登記,並及時處理。對外來維護人員,要求有相關人員陪同,並對其身份和處理情況進行登記,規范設備的維護和管理。
四、安全制度制定落實情況
我局對網站安全方面有相關要求,一是使用專屬許可權密碼鎖登陸後台;二是上傳文件提前進行病素檢測;三是網站分模塊分許可權進行維護,定期進後台清理垃圾文件;四是網站更新專人負責。為確保計算機網路安全、實行了網路專管員制度、計算機安全保密制度、網站安全管理制度、網路信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我局結合自身情況制定計算機系統安全自查工作制度、信息系統內控制度、信息系統應急預案等管理制度,做到四個確保:一是系統管理員於每周五定期檢查中心計算機系統,確保無隱患問題;二是製作安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由系統管理員匯報計算機使用情況,確保情況隨時掌握;四是定期組織全局人員學習有關網路知識,提高計算機使用水平,確保預防。
五、自查存在的問題及整改意見
我們在管理過程中發現了一些管理方面存在的薄弱環節,今後我們還要在以下幾個方面進行改進。
(一)對於線路不整齊、暴露的,立即對線路進行限期整改,並做好防鼠、防火安全工作。
(二)加強設備維護,及時更換和維護好故障設備。
(三)自查中發現個別人員計算機安全意識不強。在以後的工作中,我們將繼續加強計算機安全意識教育和防範技能訓練,讓員工充分認識到計算機案件的嚴重性。人防與技防結合,確實做好單位的網路安全工作。
4.信息系統安全自查報告
一、基本情況
目前,中心日常辦公台式計算機共有29台,其中涉及保密計算機4台(均未上網),上網計算機18台,未上網7台。筆記本計算機14台。
按照管理要求,由站網室和綜合室負責計算機、網路方面的安全管理工作,制定相關保密規定和上網管理規定等規章制度,定期或不定期進行保密工作檢查,對於保密計算機實行物理隔離措施,台式計算機分部門管理使用;筆記本計算機按照使用的用途進行分類管理,由站網室統一管理和維護,採取使用、歸還登記制度。
為了加強保密和信息安全,中心還於20xx年底購置了硬體防火牆和網路安全防護軟體,基本解決了網路攻擊問題和病毒、木馬駭客軟體在區域網中的傳播。
二、存在問題
中心盡管從制度上不斷提高管理要求,並加強硬體設備投入,但離全面實現信息安全監控和保障還有很大的差距。
(一)計算機、網路設備不足
按照中心人員工作性質和人員數量,目前中心存在計算機嚴重不足的情況,遇到集中加班,需要部門間進行調劑使用,大量公用計算機造成了管理的困難,資料信息保密、安全和防毒、木馬存在很大的問題,通過U盤等移動介質傳播木馬、病毒的情況時有發生,盡管網路防護軟體能及時發現並處理,但缺乏反掃描偵測方面的安全控制設備,潛在威脅很難發現,隱患依然存在。
(二)管理水平和人員素質有待提高
由於計算機使用人較多,計算機又不是專人使用,經常造成系統損壞或運行不暢,給管理人員帶來很多問題,而中心沒有專門的.計算機專業人員,屬於兼 職工作,專業技術水平有限,管理水平和人員素質亟待提高。
(三)經費嚴重不足
按照管理要求,中心計算機大多數應當實現內外網分離,但由於經費不足,每年按照預算僅能基本滿足計算機的更新需要,談不上補充完善和滿足工作需要。在網路方面,每年防火牆和網路防護軟體都面臨著投入經費進行版本、病毒庫更新的需要。
(四)保密軟體和設備缺乏
計算機硬碟出現毀損需要更換時,沒有專用的消磁設備對硬碟進行處理。另外,按照管理要求,一些報告需要遠程傳輸,但缺乏統一的專用加密軟體,通過公網發送存在安全隱患。
三、下一步工作打算
根據以上問題,我***計劃在今後工作中加大計算機、網路安全方面的預算,同時安排有關的人員培訓,購置有關設備和軟體,希望得到**局和***的大力支持。
5.信息系統安全自查報告
我局信息系統運轉以來,能嚴格按照上級部門要求,積極完善各項安全制度、充分加強信息化安全工作人員教育培訓、全面落實安全防範措施、全力保障信息安全工作經費,信息安全風險得到有效降低,應急處置能力得到切實提高,保證了政府信息系統持續安全穩定運行。
一、基本情況
近年來,為保證信息化工作順利開展,我局先後投入資金xx余萬元,為各下屬科室分別購置信息化工作辦公電腦、辦公軟體系統和信息安全防護系統。同時,在每個科室確定一名信息管理人員,具體負責向局信息中心上傳信息和對電腦的日常維護,截至目前,全局擁有信息化工作辦公電腦xx台,信息員xx名,其中,專職信息員xx名。
二、信息安全系統運行情況
一是強化領導、明晰責任分工。成立了由局長任組長,局黨組成員及各科室負責人為成員的領導小組,領導小組下設了辦公室,安排兩名計算機知識豐富、責任心強的同志擔任辦公室成員,具體負責安全維護工作。健全的機構、明晰的人員分工為政府信息系統安全運行奠定了堅實的基礎。
二是積極建立健全信息發布體系。在信息收集上傳過程中,由信息化工作領導小組辦公室統一協調,各科室把信息統一上報至局秘書科,由局秘書科掌握上傳密碼的同志統一把信息上傳發布,從而保證了信息上傳的准確性、安全性。
三是不斷加大信息安全工作。與xx有限公司簽訂了技術服務協議,定期對我局計算機進行維護和信息安全檢查。
四是專門制訂了信息化工作有關規章制度,對信息化工作管理、內部電腦安全管理、計算機及網路設備管理、數據、資料和信息的安全管理、網路安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定,進一步規范了我局信息安全管理工作。
五是積極安排計算機管理人員參加市委、市政府組織的計算機安全技術培訓,有效地提高了信息技術人員的安全意識以及維護系統安全的能力,促進了我局信息網路系統正常運行。
六是及時對系統和軟體進行更新,對重要文件、信息資源做到及時備份,數據恢復。
三、存在不足
一是專業技術人員較少,信息系統安全方面可投入的力量有限;二是規章制度體系初步建立,但還不完善,未能覆蓋到信息系統安全的所有方面;三是遇到計算機病毒侵襲等突發事件處理不夠及時。
四、整改方向
一是要進一步擴大對計算機安全知識的培訓面,組織信息員和幹部職工進行培訓。
二是要切實增強信息安全制度的落實工作,不定期的對安全制度執行情況進行檢查,從而提高人員安全防護意識。
三是要以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設施,密切監測,隨時隨地解決可能發生的信息系統安全事故。