年信息安全报告
为认真贯彻落实信息安全防护工作,依照《印发Xx 重点领域网络与信息安全检查工作方案和信息安全自查操纵指南的通知》,我局立即组织展开信息系统安全检查工作,现将自查情况汇报以下。
一、信息安全组织管理
领导重视, 机构健全。针对信息系统安全检查工作, 理事会高度重视, 做到了主要领导亲身抓,并成立了专门的信息安全工作领导小组,组长由Xx 担负, 副组长由Xx,成员由各科(室)、直属单位负责人组成,领导小组下设办公室,办公室设在Xx。建立健全信息安全工作制度,积极主动展开信息安全自查工作,保证了残疾人工作的良好运行, 确保了信息系统的安全。
二、健全制度,严格管理
建立全面的信息安全管理体系, 包括集团信息安全工作方针和策略、信息安全组织结构及职责、信息安全事件处置与报告制度、网络与信息系统应急预案管理办法、变更管理办法、网络管理制度、系统管理制度、资产管理办法、人员安全管理办法等内容。并严格网络信息保密管理制度,实行“涉密不上网,上网不涉密”坚持“谁发布,谁负责”的原则,信息系统安全方面实行领导审查签字制度,凡互联网上传的信息, 必须经本单位主要领导审查批准, 并按照台里新闻领导三审制度, 做好信息审批才能上传。特别是针对重点岗位人员鉴证了保密安全责任书,制定了日常考核监督制度,确保管理监查到位。
三、技术落实
日常管理方面切实抓好网内、外网和硬件、应用软件“三层管理” ,落实具体
负责信息安全工作人员,对涉密信息文件、材料实行专人管理,对重点部门、岗位等进行严格管理,确保信息安全工作。同时,重点抓好“三大安全”排查:一是硬件安全。包括传输、防雷、防火、监控和电源等硬件设备都具有灾难备份,确保所有设备正常运转。
二是网络安全。包括网络结构、安全日志管理、密码管理、互联网行为管理等;数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。三是应用安全。包括网站、软件管理等;上传文件提前进行病素检测;分模块分权限进行维护。各机房和网站的服务器使用专属权限密码锁登陆后台,主要管理人员负责保密管理,服务器的用户名和开机密码为其专有,且规定严禁外泄。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。
2、技术防护按照等级保护、密码防护等标准规范要求,各信息系统安装了硬件防火墙,同时配置安装了瑞星专业杀毒软件,涉密计算机经过保密技术检查,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并要求安全信息管理员积极与网络安全保障经验丰富的人员取得联系,定期对网站安全保障工作进行检查指导,在突发信息安全事件时给予技术支持。
3、应急处置与灾备
我局信息系统系统,在突发事件时候,安全信息人员马上切换应急备份系统,并上报主管领导,启动安全应急预案及时处置,保证信息系统万无一失。同时,为了技术安全与服务提供商签订硬件、软件维护事宜,商定给予应急技术最大程度的支持。
四、存在的主要问题和面临的威胁分析
1、发现的主要问题和薄弱环节
1)专业技术人员较少,信息系统安全方面可投入的力量有限; (2)规章
制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面。2、面临的安全威胁与风险
(1)拒绝服务攻击:供给者通过某种方法使系统响应减慢甚至瘫痪,组织合法用户获得服务。
(2)非授权访问:没有预先经过同意,就使用网络或计算机资源。
(3)传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
3 、整体安全状况的基本判断
我局对信息安全工作严格按照有关要求,对涉及到的信息进行安全检查,严格落实
有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我局网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
五、改进措施与整改效果
我局针对存在的问题采取一些改进措施:一是继续加强对工作人员的安全意识教育和技术培训;二是切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任;三是以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故; 四是提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和保密工作。同时密切联系网络安全技术专业人员,加强机房和网站安全措施建设力度;五是加强对信息系统的监督管理,严格信息发布制度,加大
对信息内容,信息权威性、一致性和时效性及网上信息办理情况的监管力度。
六、对信息安全工作开展的意见和建议
1、希望上级有关部门加强信息网络安全技术人员培训和演练,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。
2、加大信息安全网络安全防护设备的投入。
年月日
