某市某专卖局度信息系统安全检查情况报告.docx
《某市某专卖局度信息系统安全检查情况报告.docx》由会员分享,可在线阅读,更多相关《某市某专卖局度信息系统安全检查情况报告.docx(13页珍藏版)》请在冰豆网上搜索。
某市某专卖局度信息系统安全检查情况报告
某市某专卖局
2011年度信息系统安全检查情况报告
根据《某省某专卖局办公室关于对2011年度全省系统信息安全工作进行检查的通知》(某办综〔2011〕146号)文件精神,我单位认真组织落实,成立自查专项工作领导小组,仔细对照检查标准,严格自查检查项目。
现将本单位自查工作情况汇报如下:
一、信息安全工作基本情况
我公司自上年度信息系统安全检查工作以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了公司各信息系统持续安全稳定运行。
针对2010年度信息安全检查中发现主要问题。
我们今年在规章制度体系初步建立情况下,进一步完善了包括机房安全管理、设备安全管理等一系列制度;高效率应对处理计算机病毒侵袭等突发现象;加强了对各系统操作人员的安全意识教育,做好安全工作的主动与自觉性;及时跟进了对系统的维护,加强了计算机安全意识教育和防范技能训练,让公司员工充分认识到计算机泄密案件的严重性。
创新安全工作机制,提高网络信息工作的运行效率。
我公司本年度信息安全状况总体情况良好,各信息系统运转正常,未出现重大信息安全责任事故。
二、信息安全工作具体开展情况
(一)信息安全组织管理
本年度,我公司进一步提高了信息安全工作水平,促进某信息化健康发展,建立了专门的网络信息安全管理组织,成立了由局领导、分管领导、市局机关各部门主要负责人及各县级局局长组成的计算机信息安全管理领导小组;制订了年度信息安全工作计划,并按计划开展了相关工作;组织开展了信息安全教育培训;制订了信息安全员工作职责并按照工作职责开展工作。
(二)日常信息安全管理
1、人员管理。
已与系统管理员、信息安全管理员签订信息安全保密协议,本年度无人员离岗离职,各类管理员变动后对信息系统及其设备的账号、密码进行及时更新,对人员进出机房区域实行详细的登记管理。
本年度无违反信息安全制度事件。
2、资产管理。
已由办公室、财务、信息中心等科室共同建立了资产管理系统和制度,资产台账清晰、账物相符。
计算机维修、处置有记录。
3、信息技术外包服务安全管理。
已在日常工作中与外包人员签订了服务合同并包含安全保安协议,对现场服务人员进入机房等重要场地进行了安全管理,并建立了相关制度,对远程在线服务,采用了本地安全管理员客户端前实时监控等安全防护措施。
4、信息技术产品使用管理。
终端计算机操作系统、公文处理软件已大部份使用正版软件,并积极购买不足部份正版软件。
信息安全设备使用符合信息安全等级保护要求。
应用系统有严格的用户权限管理规则,用户账户和口令有明确的口令强度和更新要求。
5、信息安全经费保障。
信息安全防护设施的建设、运行、维护、检查及管理等费用已纳入本单位年度预算并执行。
(三)信息安全防护管理
1、网络边界防护管理。
已按要求严格执行了内外网分离,对网络架构、区域划分、边界防护等进行了防护管理措施。
安全防护设备策略配置符合信息安全等级保护要求。
建立了访问互联网的安全控制措施。
有互联网访问日志存根,并定期分析。
2、信息系统安全管理。
关闭了服务器上不必要的应用、服务、端口、链接,定期升级操作系统、中间件、数据库的补丁。
服务器和网络设备的账户口令强度和更新符合信息系统等级保护要求。
进行了病毒查杀、漏洞扫描、木马检测。
已在服务端安装有SAMANTEC杀毒软件和安全二期等安全产品。
信息安全产品处于正常工作状态,信息安全产品的安全策略是与管理要求相一致。
客户端计算机已安装国产杀毒软件。
3、外部网站安全管理。
某市公司暂无对外外部网站。
4、电子邮箱安全管理。
电子邮箱采取了防垃圾邮件和防毒措施。
5、终端计算机安全管理。
对终端计算机实行实行了联网准入管理措施,统一安装SAMANTEC杀毒软件和安全二期等安全产品并定期升级病毒库。
账户口令强度和更新符合安全要求。
定期进行漏洞扫描、病毒木马检测。
未使用非涉密计算机处理涉密信息。
6、移动存储设备安全管理。
加强了采用技术与制度手段对联网计算机使用移动存储介质实行集中安全管理。
对涉密信息系统和计算机禁用移动存储设备。
(四)信息安全应急管理
制订了信息安全应急预案,明确了应急技术支援队伍;通过应急演练验证了应急预案的可实行性和可操作性。
对五月份机房一体化交换机故障进行及时处理并按照要求及时上报。
(五)信息安全检查工作
针对2010年度信息安全检查中发现的问题,我们在规章制度体系初步建立情况下,进一步完善了包括机房安全管理、设备安全管理、介质安全管理、网络安全管理、系统安全管理、数据安全管理、病毒防护管理、终端计算机管理、运行维护管理、用户管理等制度。
遇到计算机病毒侵袭等突发事件时提高了上下沟通的效率,能较为及时处理突发事件。
继续加强对机关干部、岗位操作员的安全意识教育,提高做好安全工作的主动性和自觉性。
加大了对线路、系统等的及时维护和保养,同时,针对信息技术、信息安全防范日新月异的特点,加大了知识普及更新力度,让公司员工充分认识到计算机泄密现象的严重性,以保障网络信息工作的安全运行。
本年度积极并主动开展信息安全自查工作,制订了自查工作方案,对财务、人事、销售等业务部门进行了信息安全检查。
(六)信息安全教育培训
安全小组组织了两次对基本的信息安全常识的学习活动。
进一步提高了我局广大干部职工的信息安全意识、信息安全技术检查能力和防范能力.并定期或不定期对各科室进行计算机安全检查,认真查找隐患,及时掌握信息安全状况和面临的威胁,及时采取应对措施,堵塞安全漏洞,减少安全风险。
三、自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,今后要围绕问题进行整改。
(一)专业技术人员较少,信息系统安全方面可投入的力量有限,计划通过后阶段本单位人力资源的进一步配置、调整而增强。
(二)各系统中硬件设备陆续达到安全运行的时间周期,因硬件故障导致的安全风险逐渐增大,须通过加大维护、监控力度以及逐步更新设备避免。
(三)机房中部分线路存在不整齐、不规范和弱电感应雷击隐患的,将立即对线路进行期限整改,并做好防弱电感应雷击与防鼠工作。
(四)安全意识未全面同步达到应有的高度,存在因岗位不同信息安全意识程度不同的现象。
要继续加强对机关员工的安全意识教育,提高安全工作的主动性和自觉性。
四、信息安全工作的建议
(一)提高信息安全管理的整体性,全面统一推广使用信息安全技术与手段。
(二)进一步应用信息技术手段进行信息安全与信息安全工作开展情况的监督与管理。
总之,我们将以这次开展信息安全自查为切入点,进一步提高安全意识,健全信息安全保障体系,不断探索信息安全管理的有效方法,促进我局信息化建设全面、协调、可持续发展,共同营造一个健康、和谐的信息安全环境。
二○一一年十月十七日
附件:
2011年度信息系统安全检查自查情况报告表
填表人:
某XX单位:
某市xx公司电话:
13xxxxxxxx
一、信息安全组织机构情况
单位名称
某省xx公司某市公司
分管信息安全
工作的领导
xx
职务
副经理
信息安全管理机构
机构名称:
某市某专卖局(公司)信息安全组织机构
负责人:
xxxx职务:
局长(经理)联系电话:
13xxxxxx
信息安全管理员:
xxx联系电话:
13xxxxxxxx
是否以正式文件明确工作职责:
√是,文件名称和文号某市某专卖局关于调整全市系统信息安全工作领导小组成员及设置信息安全员的通知XX人〔2010〕152号□否
信息安全员
√其他内设机构有信息安全员,人数13人。
是否以正式文件明确工作职责:
√是,文件名称和文号某市某专卖局关于调整全市系统信息安全工作领导小组成员及设置信息安全员的通知xx人〔2010〕152号;□否。
□其他内设机构没有信息安全员。
二、信息系统基本情况
信息系统
基本情况
1.信息系统总数:
23个,其中本年度新增系统3个。
2.面向社会公众提供服务的信息系统数:
1个,
其中本年度新增系统0个。
3.委托社会第三方进行日常运维管理的信息系统数:
23个,其中本年度新增系统3个,共有14个第三方服务机构。
4.是否使用手机移动办公,□是,√否,□正在建设;
手机使用的操作系统是:
。
是否使用手机处理业务系统,□是,√否,□正在建设;
手机使用的操作系统是:
。
手机处理的业务系统是:
;;;。
互联网
接入情况
5.互联网接入口总数:
3个。
其中:
□联通接入口数量:
个接入带宽:
兆;
√电信接入口数量:
3个接入带宽:
100兆;
□移动接入口数量:
个接入带宽:
兆;
□其他接入口数量:
个接入带宽:
兆。
(互联网接入口是指单位局域网与互联网的接口)
三、日常信息安全管理情况
人员管理
6.重要岗位人员签订信息安全和保密协议情况:
(1)√本单位有关于重要岗位签订信息安全和保密协议的制度要求;
□没有制度要求。
(2)签订情况:
√全部签订,共有2个重要岗位,共2人签订了协议信息安全保密协议.。
□部分签订,共有个重要岗位,有个岗位,共人签订了协议。
□未签订。
7.与外包服务机构签订信息安全保密协议情况:
√全部签订(签订数量:
12份),□未签订。
8.信息系统及其设备的账号密码更新情况:
(1)各类管理员变动后,是否及时更新信息系统及设备账号密码:
√是,2011年更新次数:
0;□否。
(2)是否定期对信息系统及其设备的管理员账号密码进行更新:
√是,更新的周期是1个月;□否。
9.人员进出机房的管理情况:
(1)是否有人员进出机房记录:
√有,采用手工记录;□有,实行电子化记录。
□没有登记。
(2)外来人员进入机房是否有内部人员陪同,√是,□否。
(3)是否制订了限制携带笔记本电脑进入机房处理相关工作的制度;
√是,□否。
10.重要岗位信息安全保密责任制度制订情况:
√已制订,制订时间是:
√本年度制订;□2010年以前制订,制订的年份是:
。
□未制订。
11.人员离岗离职信息安全管理制度制订情况:
(1)√已制订,制订时间是:
□本年度制订;√2010年以前制订,制订的年份是:
2010。
□未制订。
(2)2011年度是否签订人员离岗离职保密协议,□是,共签订了份;√否。
12.本年度信息安全事件的责任查处情况:
通报批评___0___人,警告___0___人,记过及以上处理_0_人。
制度建设
13.已正式印发的信息安全管理制度1份,其中本年度新增管理制度
9份(请在自查报告中详述)。
14.本单位已正式印发的信息安全管理制度涵盖以下内容:
□资产安全管理√机房安全管理□设备安全管理
√介质安全管理√网络安全管理√系统安全管理
√数据安全管理√病毒防护管理√终端计算机管理
√便携计算机管理√移动存储介质管理□项目安全审核
□系统开发安全管理√机构和人员管理√运行维护管理
√用户管理√密码管理√应急管理√变更管理
√网络安全检查□其他:
。
资产管理
和运行维护管理
15.是否建立资产台账:
√已建立,□未建立。
是否建设资产信息管理系统:
√是,□否。
16.资产台账与资产实物是否相符:
√是,□否。
17.制订运维管理制度情况:
□已正式印发,文件名称和文号;
√未正式印发。
18.采取技术手段对机房、网络、系统等运行情况进行实时监控情况:
√已实现(监控范围:
√机房,√网络,√应用系统);
是否能监控到所属单位情况,√是,□否。
□未实现。
19.设备维修维护和报废管理:
√已正式印发管理制度,且维修维护和报废记录完整,本年度共维修设备41台套,主要包括:
显示器维修、主板维修、内存更换、网卡更换、笔计机维修、打印机维修。
报废设备35台套,主要包括:
气体灭火控制器、显示器、计算机主机、服务器、UPS、打印机、笔计机。
□已正式印发管理制度,但维修维护和报废记录不完整。
□未建立管理制度。
四、信息安全防护管理情况
网络边界
防护管理
20.网络访问控制:
√有访问控制措施(请在自查报告中详述);□无访问控制措施。
21.互联网访问日志:
□留存,留存方式是,留存周期是。
√未留存。
22.安全防护设备策略:
□使用默认配置,√根据应用自主配置。
本年度是否定期开展配置有效性检查:
√是,√有检查记录,□无检查记录;
□本年度没有开展配置有效性检查。
23.网络边界是否部署安全防护措施并设置安全策略:
√是,□否。
本年度是否定期开展防护措施和安全策略的有效性检查:
√是,√有检查记录,□无检查记录;□本年度没有开展有效性检查。
24.局域网内是否划分不同的安全域并设置安全策略:
□是(请在自查报告中详述);√否。
网络设备和服务器安全防护
25.是否及时升级操作系统、中间件、数据库的补丁:
√是,本年度升级次数7;□否。
26.本年度是否进行了病毒查杀、木马检测:
√是,□否;
本年度是否进行了漏洞扫描:
√是,周期是1月;□否。
终端计算机应用和移动存储设备安全管理
27.是否采取技术措施对终端计算机实行联网准入管理:
√是(√全省统一部署,□仅在省级单位部署),具体的技术措施是:
√使用信息管理系统对终端计算机进行集中管理,系统厂家是绿盟;□采用其他技术措施。
□没有采取技术措施对终端计算机实行联网准入管理。
28.接入互联网安全控制措施:
√有控制措施(如实名接入、绑定计算机IP和MAC地址等),
□没有控制措施。
29.防病毒软件部署情况:
防病毒软件厂家是:
symantec。
√全地区统一部署,□仅在市局统一部署。
□未部署。
30.本年度是否定期升级病毒库:
√是;□否。
31.移动存储介质管理方式:
□集中管理,统一登记,配发、收回、维修、报废、销毁。
√未采取集中管理方式。
32.移动存储介质管理系统部署情况:
移动存储介质管理系统的厂家名称是:
□全省(区、市)统一部署,□仅在省级单位部署,√未部署。
33.是否为涉密(国家秘密或行业敏感信息)工作配备了专用计算机及其配套的移动存储设备和打印机并按涉密设备进行管理:
√是,□否。
34.是否有当地人民政府要求建设的涉密信息系统:
√有(系统数量1个,系统名称是:
某市政务系统),□无。
外部网站
安全管理
35.网页防篡改措施:
□已部署,产品厂家和名称是;
√未部署。
36.网站信息发布管理:
□已建立审核制度,且审核记录完整;
□已建立审核制度,但审核记录不完整;
√尚未建立审核制度。
电子邮箱安全管理
37.邮箱使用:
√仅限本单位工作人员使用,□除本单位人员外还有其他人员使用。
应急预案
应急演练
38.是否制订信息安全应急预案:
√是,本年度修订情况:
√修订,□未修订;
□否。
39.本年度是否开展信息安全应急演练:
√已开展(演练次数1),□未开展。
40.应急保障队伍情况:
√本单位承担,共有8人。
□委托外部专业技术机构,涉及个机构,共有人。
□无。
五、信息技术产品应用情况
服务器(含小型机)
41.总台数:
17,其中本年度新增台数:
2。
国产台数:
0,其中本年度新增国产台数:
0。
终端计算机
(含笔记本)
42.总台数:
391,其中本年度新增台数:
12。
国产台数:
97,其中本年度新增国产台数:
0。
路由器(含交换机)
43.总台数:
23,其中本年度新增台数:
10。
国产台数:
9,其中本年度新增国产台数:
9。
操作系统
44.服务器操作系统情况:
使用Windows操作系统的服务器台数:
12,
使用Linux操作系统的服务器台数:
1,
使用其他操作系统的服务器台数:
4。
45.终端计算机操作系统情况:
使用Windows操作系统的计算机台数:
391,
使用Linux操作系统的计算机台数:
0,
使用其他操作系统的计算机台数:
0。
数据库
46.总套数:
20,其中本年度新增数量:
0;
国产数量:
0,其中本年度新增国产数量:
0。
字处理软件
(终端计算机上)
47.使用国产字处理软件的终端计算机台数:
0,
使用国外字处理软件的终端计算机台数:
292。
主要信息安全产品
48.终端计算机安装防病毒产品情况:
安装国产防病毒产品的终端计算机台数:
63,
安装国外防病毒产品的终端计算机台数:
312,
未安装防病毒产品的终端计算机台数:
16。
49.防火墙(不含终端软件防火墙)台数:
1,其中本年度新增台数:
0;国产防火墙台数:
0,其中本年度新增国产防火墙台数:
0。
六、信息安全教育培训情况
培训人数
50.本年度接受信息安全教育培训的人数:
125人
占本单位总人数的比例:
25%。
培训次数
51.本年度开展信息安全教育培训的次数:
3次。
专业培训
52.本年度信息安全管理和技术人员参加专业培训:
6人次。
七、信息安全经费预算投入情况
经费预算
53.本年度信息安全经费预算额为33.4万元。
经费投入
54.本年度信息安全经费实际投入22.4万元,上一年度信息安全经费实际投入20万元。
填表说明:
本表中所指信息系统除特别指明,均指市局自建的信息系统,不包括省局统一建设、运维、管理的系统。
升级会员 