xx机关单位关键信息基础设施网络安全检查自查报告.docx

XX 机关单位关键信息基础设施网络安全 检查自查报告 XX 机关单位关键信息基础设施网络安全检查自查报告 一、 网络与信息安全自查工作组织开展情况 9 月 10 日起，由市电政办牵头，对各市直各单位当前 网络与信息安全进行了一次全面的调查，此次调查工作以 各单位自查为主，市电政办抽查为辅的方式进行。自查的 重点包括：电政办中心机房网络检修、党政门户网维护密 码防护升级，市直各单位的信息系统的运行情况摸底调查、 市直各单位客户机病毒检测，市直各单位网络数据流量监 控和数据分析等。 二、 信息安全工作情况 通过上半年电政办和各单位的努力，我市在网络与信 息安全方面主要完成了以下工作： 1、 所有接入市电子政务网的系统严格遵照规范实施， 我办根据常宁市党政门户网站信息发布审核制度 、 常 宁市网络与信息安全应急预案 、 “中国?常宁”党政门户 网站值班读网制度 、 “中国?常宁”党政门户网站应急管 理预案等制度要求，定期组织开展安全检查，确保各项 安全保障措施落实到位。 2、 组织信息安全培训。面向市直政府部门及信息安 全技术人员进行了网站渗透攻击与防护、病毒原理与防护 等专题培训，提高了信息安全保障技能。 3、 加强对党政门户网站巡检。定期对各部门子网站 进行外部 web 安全检查，出具安全风险扫描报告，并协助、 督促相关部门进行安全加固。 4、 做好重要时期信息安全保障。采取一系列有效措 施，实行 24 小时值班制及安全日报制，与重点部门签订信 息安全保障承诺书，加强互联网出口访问的实时监控，确 保十八大期间信息系统安全。 三、 自查发现的主要问题和面临的威胁分析 通过这次自查，我们也发现了当前还存在的一些问题： 1、部分单位规章制度不够完善，未能覆盖信息系统 安全的所有方面。 2、少数单位的工作人员安全意识不够强，日常运维 管理缺乏主动性和自觉性，在规章制度执行不严、操作不 规范的情况。 3、存在计算机病毒感染的情况，特别是 U 盘、移动 硬盘等移动存储设备带来的安全问题不容忽视。 4、信息安全经费投入不足，风险评估、等级保护等 有待加强。 5、信息安全管理人员信息安全知识和技能不足，主 要依靠外部安全服务公司的力量。 四、 改进措施和整改结果 在认真分析、总结前期各单位自查工作的基础上，9 月 12 日，我办抽调 3 名同志组成检查组，对部分市直机关 的重要信息系统安全情况进行抽查。检查组共扫描了 18 个 单位的门户网站，采用自动和人工相结合的方式对 15 台重 要业务系统服务器、46 台客户端、10 台交换机和 10 台防 火墙进行了安全检查。 检查组认真贯彻“检查就是服务”的理念，按照衡 阳市人民政府办公室关于开展全市重点领域网络与信息安 全检查的通知要求对抽查单位进行了细致周到的安全巡 检，提供了一次全面的安全风险评估服务，受到了服务单 位的欢迎和肯定。检查从自查情况核实到管理制度落实， 从网站外部安全扫描到重要业务系统安全检测，从整体网 络安全评测到机房物理环境实地勘查，全面了解了各单位 信息安全现状，发现了一些安全问题，及时消除了一些安 全隐患，有针对性地提出了整改建议，督促有关单位对照 报告认真落实整改。通过信息安全检查，使各单位进一步 提高了思想认识，完善了安全管理制度，强化了安全防范 措施，落实了安全问题的整改，全市安全保障能力显著提 高。 五、 关于加强信息安全工作的意见和建议 针对上述发现的问题，我市积极进行整改，主要措施 有： 1、对照衡阳市人民政府办公室关于开展全市重点 领域网络与信息安全检查的通知要求，要求各单位进一 步完善规章制度，将各项制度落实到位。 2、继续加大对机关全体工作人员的安全教育培训， 提高信息安全技能，主动、自觉地做好安全工作。 3、加强信息安全检查，督促各单位把安全制度、安 全措施切实落实到位，对于导致不良后果的安全事件责任 人，要严肃追究责任。 4、继续完善信息安全设施，密切监测、监控电子政 务网络，从边界防护、访问控制、入侵检测、行为审计、 防毒防护、网站保护等方面建立起全方位的安全防护体系。 5、加大应急管理工作推进力度，在全市信息安全员 队伍的基础上组建一支应急支援技术队伍，加强部门间协 作，完善应急预案，做好应急演练，将安全事件的影响降 到最低。 XX 机关单位关键信息基础设施网络安全检查自查报告 一、自查情况 (一)安全制度落实情况 1、成立了安全小组。明确了信息安全的主管领导和 具体负责管护人员,安全小组为管理机构。 2、建立了信息安全责任制。按责任规定:保密小组对 信息安全负首责，主管领导负总责，具体管理人负主责。 3、制定了计算机及网络的保密管理制度。镇网站的 信息管护人员负责保密管理，密码管理，对计算机享有独 立使用权，计算机的用户名和开机密码为其专有，且规定 严禁外泄。 (二)安全防范措施落实情况 1、涉密计算机经过了保密技术检查，并安装了防火 墙。同时配置安装了专业杀毒软件，加强了在防篡改、防 病毒、防攻击、防瘫痪、防泄密等方面有效性。 2、涉密计算机都设有开机密码，由专人保管负责。 同时，涉密计算机相互共享之间没有严格的身份认证和访 问控制。 3、网络终端没有违规上国际互联网及其他的信息网 的现象，没有安装无线网络等。 4、安装了针对移动存储设备的专业杀毒软件。 (三)应急响应机制建设情况 1、制定了初步应急预案，并随着信息化程度的深入， 结合我镇实际，处于不断完善阶段。 2、坚持和涉密计算机系统定点维修单位联系机关计 算机维修事宜，并商定其给予镇应急技术以最大程度的支 持。 3、严格文件的收发，完善了清点、修理、编号、签 收制度，并要求信息管理员每天下班前进行系统备份。 (四)信息技术产品和服务国产化情况 1、终端计算机的保密系统和防火墙、杀毒软件等， 皆为国产产品。 2、公文处理软件具体使用金山软件的 wps 系统。 3、工资系统、年报系统等皆为市政府、市委统一指 定产品系统。 (五)安全教育培训情况 1、派专人参加了市政府组织的网络系统安全知识培 训，并专门负责我镇的网络安全管理和信息安全工作。 2、安全小组组织了一次对基本的信息安全常识的学 习活动。 二、自查中发现的不足和整改意见 根据通知中的具体要求，在自查过程中我们也发 现了一些不足，同时结合我镇实际，今后要在以下几个方 面进行整改。 1、安全意识不够。要继续加强对机关干部的安全意 识教育，提高做好安全工作的主动性和自觉性。 2、设备维护、更新及时。要加大对线路、系统等的 及时维护和保养，同时，针对信息技术的飞快发展的特点， 要加大更新力度。 3、安全工作的水平还有待提高。对信息安全的管护 还处于初级水平，提高安全工作的现代化水平，有利于我 们进一步加强对计算机信息系统安全的防范和保密工作。 4、工作机制有待完善。创新安全工作机制，是信息 工作新形势的必然要求，这有利于提高机关网络信息工作 的运行效率，有利于办公秩序的进一步规范。 XX 机关单位关键信息基础设施网络安全检查自查报告 根据县政府办公室XX 县人民政府办公室转发县经信委关 于开展信息网络安全专项检查的工作方案和安徽省政府网 站安全事件信息报告制度的通知(X 政办 140 号)的文件精 神，我局高度重视，认真组织相关人员对我局的办公网络 系统进行了全面检查，现将检查的情况报告如下： 一、自查情况 (一)信息网络安全组织落实情况。 成立了县卫生局信息网络安全工作领导小组，局长任 组长，分管副局长任副组长，各医疗卫生单位主要负责人 为成员，并设了专职信息安全员，做到了分工明确、责任 到人。 (二)信息网络安全管理规章制度的建立和落实情况。 为确保信息网络安全，我局实行了网络专管员制度、计算 机安全保密制度、网络安全管理制度、网络信息安全突发 事件应急预案等以有效提高管理人员的工作效率。同时我 局结合自身情况制定网络信息安全自查工作制度，做到四 个确保：一是信息安全员于每周五定期检查单位计算机系 统，确保无隐患问题;二是制定安全检查工作记录，确保工 作落实;三是实行领导定期询问制度，由信息安全员汇报计 算机使用情况，确保情况随时掌握;四是定期组织全局人员 学习网络知识，提高计算机使用水平，加强安全防范。 (三)技术防范措施落实情况。 一是制定了网络信息安全突发事件应急预案，并随着 信息化 程度的深入，结合我局实际，不断加以完善;二是严 格文件的收发，完善了清点、整理、编号、签收制度，并 要求信息管理员严格管理;三是及时对系统和软件进行更新， 对重要文件、信息资源做到及时备份，数据恢复;四是计算 机由专业公司定点维修，并商定其给予应急技术支持，重 要系统皆为政府指定的产品系统;五是涉密计算机经过了保 密技术检查，并安装了防火墙。同时配安装了专业杀毒软 件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密 等方面的有效性。安装了针对移动存储设备的专业杀毒软 件;六是涉密计算机都设有开机密码，由专人保管负责。同 时，涉密计算机不和其它计算机之间相互共享。对重要服 务器上的应用、服务、端口和链接都进行了安全检查并加 固处理。 (四)执行计算机信息系统安全案件、事件报告制度情 况。 严格按照安徽省政府网站安全事件信息报告制度 要求，由专职人员及时向有关部门报告。 (五)有害信息的制止和防范情况。 截至目前，暂未发现我局门户网站及政府信息公开平 台存在散播不当政治言论等有害信息的现象，并安排信息 安全人员定期浏览排查，及时发现问题。加强对卫生系统 工作人员的信息安全宣传教育，提高信息安全防范意识和 应急处理能力。 (六)党政机关保密工作。 制定了县卫生局计算机及网络的保密管理制度。办公 系统的信息管理人员负责保密管理、密码管理，对计算机 享有独立使用权，计算机的用户名和开机密码为其专有， 且规定严禁外泄。 (七)重要信息系统等级保护工作开展情况。 按照国家信息安全等级保护有关要求,全面开展卫生 系统信息系统的定级、备案和测评工作，对发现的问题及 时进行整改。各单位对本单位信息系统进行定级，对二级 以上的信息系统办理备案手续，对三级以上信息系统开展 信息安全等级测评，根据测评结果，不符合要求的，制定 了整改方案进行整改，并加强日常信息系统安全等级保护 监督检查工作。 二、存在问题 根据通知的具体要求，在自查过程中也发现了一 些不足，一是信息管理技术人员较少，信息系统安全方面 可投入的力量有限;二是规章制度体系初步建立，但还不完 善，未能覆盖信息系统安全的所有方面;三是个别职工保密 意识还不够高，要加强防范意识;四是遇到计算机病毒侵袭 等突发事件处理不够及时。 三、整改措施 针对以上自查中发现的隐患与不足，为进一步加强信 息网络系统安全，应围绕信息系统安全综合治理的工作目 标，重点在完善规章制度、丰富技术手段上下功夫，认真 开展整改工作。 (一)强化应急响应机制建设。制定周密的应急预案， 加强应急技术支援队伍建设，认真做好应急演练、重大信 息安全事故处、重要数据和业务系统备份等各项工作，确 保信息系统安全正常运行。 (二)强化制度保障。一是以制度为根本，在进一步完 善信息安全制度的同时，安排专人