网络安全管理工作专项自查报告

网络安全管理工作专项自查报告为深入落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及上级党委网信办、区委办公室关于开展全区网络安全专项检查的工作部署，切实排查堵塞本单位网络安全管理漏洞，防范化解各类网络安全风险，我单位于X月X日至X月X日组织开展了全领域网络安全管理专项自查工作，自查范围覆盖单位内部办公网络、门户网站、政务服务业务系统、全量办公终端、第三方合作服务及内部关键数据资产，本次自查邀请了具备资质的等保测评机构技术人员现场指导，采取“逐设备核查、逐系统扫描、全数据梳理”的拉网式排查方式，共排查各类信息资产192项，现将自查具体情况报告如下。本次自查围绕组织管理、制度建设、技术防护、数据安全、应急管理、人员管理六个核心维度开展，具体排查情况如下：一、网络安全组织与制度体系自查情况我单位目前明确信息科作为网络安全归口管理部门，配备2名专职网络安全管理人员，每年将网络安全工作经费纳入单位年度财政预算，2024年已安排网络安全专项经费12万元，用于等保测评、安全设备升级、人员培训及漏洞整改，建立了主要负责人负总责、分管领导直接抓、信息科牵头落实的责任体系。制度层面已出台《终端计算机安全管理制度》《网络接入安全管理办法》《信息系统运行维护规范》等基础管理制度，2021年完成了首次数据分级分类梳理，制定了初步的数据保护规则。本次排查发现的核心问题包括：一是制度更新不及时，现有8项基础制度中6项制定于2019年之前，未结合近年出台的《网络数据安全管理条例》《个人信息保护法》及等保2.0的最新要求修订完善，针对敏感个人信息处理、第三方数据合作、数据出境安全评估等新领域的制度条款完全缺失，无法指导当前的安全管理工作；二是跨部门责任落实机制不顺畅，网络安全管理责任过度集中于信息科，11个业务科室均未配备专职或兼职网络安全安全员，业务科室开展系统升级、数据共享、对外合作时，安全管理部门无法提前介入开展风险评估，往往是问题出现后才补流程，存在明显的管理滞后性；三是安全责任台账不健全，未对每一个信息系统、每一台办公终端、每一类敏感数据明确具体的安全责任人，出现安全问题无法第一时间溯源到人，责任追究机制难以落地。二、技术防护体系建设自查情况本次自查对单位所有在用信息系统开展了漏洞扫描和安全测评，具体排查结果如下：系统名称系统类型等保定级级别已采取核心安全防护措施本次排查漏洞情况合规性判定单位官方门户网站对外公开服务类二级部署Web应用防火墙、定期漏洞扫描1个中危漏洞（建站系统版本老旧，存在代码注入风险）不达标内部OA办公系统内部业务处理类二级开启多因素身份认证、VPN接入管控3个弱口令风险、1个低危权限漏洞不达标XX领域政务服务办理系统对外业务办理类三级部署核心防火墙、日志审计系统、入侵检测日志存储周期仅为4个月，不符合6个月要求，部分业务模块权限交叉基本不达标内部共享文件存储服务器内部数据存储类二级基础访问权限控制、定期病毒查杀未启用磁盘全盘加密，未对敏感数据单独做访问隔离不达标单位内部邮件系统内部办公通信类二级基础垃圾邮件过滤未部署反钓鱼防护模块，无恶意附件检测能力不达标除上述系统层面问题外，终端和网络层面也排查出多处风险：一是全单位126台办公终端中，有14台为业务科室2023年底新采购的笔记本电脑，未统一部署单位终端安全管理系统和杀毒软件，其中3台设备曾连接过外部公共场所WiFi，未做入网前安全检测，存在带入病毒木马的风险；二是单位访客WiFi和内部办公WiFi未实现完全逻辑隔离，访客接入后可通过IP扫描访问部分未做权限限制的内部共享文件夹，存在数据泄露风险；三是未部署网络安全态势感知系统，目前仅靠安全管理员每周人工查看一次日志，无法对异常流量、攻击行为实现724小时实时监测，很多隐性攻击无法及时发现。除上述系统层面问题外，终端和网络层面也排查出多处风险：一是全单位126台办公终端中，有14台为业务科室2023年底新采购的笔记本电脑，未统一部署单位终端安全管理系统和杀毒软件，其中3台设备曾连接过外部公共场所WiFi，未做入网前安全检测，存在带入病毒木马的风险；二是单位访客WiFi和内部办公WiFi未实现完全逻辑隔离，访客接入后可通过IP扫描访问部分未做权限限制的内部共享文件夹，存在数据泄露风险；三是未部署网络安全态势感知系统，目前仅靠安全管理员每周人工查看一次日志，无法对异常流量、攻击行为实现724小时实时监测，很多隐性攻击无法及时发现。三、数据安全与个人信息保护自查情况我单位作为承担政务服务职能的区属事业单位，核心数据资产主要分为三类：一是公众办理政务服务提交的个人信息，包括身份证号、联系方式、家庭住址、银行账户等，截至本次自查，存量数据共12.7万条，其中敏感个人信息3.2万条；二是单位内部人事、财务、未公开业务研讨数据，共1500余条核心敏感数据；三是对外发布的公开政务信息，共2.1万条。此前我单位已初步完成数据分级分类，将数据划分为公开、内部、敏感、机密四个级别，对敏感数据要求仅在内部网络存储。本次排查发现的核心风险包括：一是数据脱敏操作不规范，2023年我单位为本地高校科研项目提供了1000条政务服务样本数据，仅对身份证号做了中间六位遮挡处理，未对联系方式、具体家庭住址做完整脱敏，若数据流出极容易关联定位到具体个人，违反个人信息保护的相关要求；二是第三方合作数据管控缺位，目前我单位有2家第三方服务商长期接触敏感数据，分别是政务服务APP开发服务商和系统运维服务商，仅在初始合作合同中加入了通用保密条款，未明确数据安全责任，也未建立常态化的安全审计机制，服务商接触敏感数据的人员变动、内部安全防护情况我单位完全不掌握，若服务商出现人员离职或内部漏洞，极容易造成数据泄露；三是违规存储问题突出，本次自查发现有3名业务人员为方便在家加班，将共计1200余条敏感个人信息存储到个人百度云盘、私人移动硬盘中，未做加密处理，完全脱离单位的安全管控；四是淘汰设备数据销毁不规范，2021年单位淘汰了3台旧服务器和6台旧办公电脑，设备一直存放在单位杂物间，未对存储硬盘做消磁或物理销毁处理，硬盘中仍存储有2018年之前的业务敏感数据，存在被随意拷贝泄露的风险。四、应急管理与安全事件处置自查情况我单位2020年编制了通用版网络安全应急预案，每年安排人员参加上级网信部门组织的应急演练，建立了初步的事件上报流程。本次排查发现的问题包括：一是应急预案针对性不足，现有预案为通用框架，未针对勒索病毒攻击、数据泄露、门户网站被篡改、系统宕机等高频风险场景制定专项处置流程，不同场景下的部门职责、处置步骤、上报要求不明确，发生安全事件后工作人员无法快速响应；二是实战化应急演练缺位，我单位上一次自行组织的全单位应急演练是2022年上半年，已经两年多未开展内部演练，且上次演练仅为纸面推演，未模拟真实攻击场景，大部分员工对应急处置流程完全不熟悉；三是日志留存不满足合规要求，除政务服务系统外，门户网站和OA系统的日志仅存储3个月，达不到等保要求的至少6个月的留存要求，若发生安全事件无法完整溯源攻击路径；四是联动机制不健全，未和区委网信办、区公安分局网安大队建立常态化的沟通联动机制，对安全事件上报的时限、要求、流程不明确，若发生重大事件容易出现迟报、瞒报的问题。五、人员安全意识与教育培训自查情况我单位目前每年组织2次全员网络安全培训，对新入职员工会做基础的安全要求交底。本次排查发现的问题包括：一是培训针对性不强，现有培训多为传达上级文件、讲解通用法规，缺乏针对本单位实际场景的实操培训，比如钓鱼邮件识别、弱口令设置危害、移动存储介质使用规范等内容讲解较少，本次自查过程中我们组织了一次钓鱼邮件测试，随机抽取20名员工，有11人点击了测试钓鱼链接，识别正确率仅为45%，可见员工安全意识普遍薄弱；二是关键岗位专业能力不足，两名专职网络安全管理员中，仅1人持有网络安全等级保护测评师资质，另一名为2023年刚从其他科室转岗过来，未接受过系统的专业技术培训，对新型勒索病毒、APT攻击等新型攻击手段的防护知识不足，无法满足日常安全管理的要求；三是人员离岗安全管控不严格，近一年来共有4名工作人员离岗，其中2人未交回单位VPN账号和门禁权限，1人带走了存有业务数据的单位配发移动硬盘，未做数据回收和消磁处理，存在数据泄露隐患。本次专项自查共排查出各类风险隐患17项，其中高风险3项，中风险9项，低风险5项，梳理问题产生的根源，主要体现在三个方面：一是思想认识不到位，部分业务科室负责人存在“重业务、轻安全”的思想，认为网络安全是信息科的事，和自身业务无关，对安全整改工作配合度不高，安全责任没有落到实处；二是技术能力存在缺口，单位自身编制有限，无法引进高端网络安全技术人才，对复杂的隐性漏洞难以自主排查，依赖第三方测评机构每年一次的测评，中间存在较长的风险空档期；三是经费保障存在不足，今年计划开展的老旧系统升级、态势感知设备采购，目前经费缺口约8万元，无法一次性完成所有隐患整改。针对本次排查发现的所有问题，我单位已建立完整的整改台账，明确了整改责任、整改时限和整改要求，具体整改安排如下：序号隐患问题描述责任部门协同部门整改完成时限整改核心要求1现有网络安全制度未结合新规更新，部分领域制度缺失信息科各业务科室2024年X月30日修订完善8项现有制度，新增《第三方服务商安全管理办法》《个人信息保护操作规范》《数据分级分类管理细则》3项专项制度2门户网站存在中危代码注入漏洞信息科无2024年X月15日升级建站系统到最新安全版本，安装全部安全补丁，完成二次漏洞扫描验证3OA系统存在3个弱口令、权限划分不清晰信息科各业务科室2024年X月10日强制所有用户更换符合复杂度要求的密码，梳理调整所有账号权限，落实最小权限原则4政务服务系统日志存储周期不满足要求信息科运维服务商2024年X月20日扩容日志存储服务器，调整日志存储策略，确保全量日志存储不少于6个月5存储服务器未启用全盘加密信息科无2024年X月25日完成存储服务器磁盘加密配置，对敏感数据单独配置访问白名单6邮件系统无反钓鱼防护信息科无2024年X月20日部署邮件反钓鱼、恶意附件检测模块，每周更新规则库7部分敏感数据违规存储在个人云盘、私人U盘各业务科室信息科2024年X月10日全面清理违规存储数据，回收敏感数据到单位集中存储服务器，所有移动存储介质统一登记备案8第三方服务商未开展安全审计信息科业务科2024年X月30日对所有接触敏感数据的服务商完成安全审计，补充签订保密补充协议，建立半年一次的常态化审计机制9应急预案针对性不足，未开展实战化演练信息科所有部门2024年X月30日修订完善应急预案，新增4类典型场景专项处置流程，下半年组织一次全单位实战化应急演练10员工安全意识不足，钓鱼邮件识别率低信息科所有部门长期坚持，2024年第一季度完成首轮培训每季度组织一次全员实操培训，培训后开展测试，测试不合格纳入绩效考核下一步，我单