第一篇:关键信息基础设施安全保护条例
关键信息基础设施安全保护条例
(征求意见稿)
第一章 总则
第一条 为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。
第二条 在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。
第三条 关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。
第四条 国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。
国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。
县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。
第五条 关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第六条 关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
第七条 任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。
收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
第二章 支持与保障
第八条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。
第九条 国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。
第十条 国家建立和完善网络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。
第十一条 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。
第十二条 国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。
第十三条 国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。
第十四条 能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。
第十五条 公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。
第十六条 任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:
(一)攻击、侵入、干扰、破坏关键信息基础设施;
(二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;
(三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;
(四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助;
(五)其他危害关键信息基础设施的活动和行为。
第十七条 国家立足开放环境维护网络安全,积极开展关键信息基础设施安全领域的国际交流与合作。
第三章 关键信息基础设施范围
第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
第十九条 国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。
国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。
关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。
第二十条 新建、停运关键信息基础设施,或关键信息基础设施发生重大变化的,运营者应当及时将相关情况报告国家行业主管或监管部门。
国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整,并按程序报送调整情况。
第四章 运营者安全保护
第二十一条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第二十二条 运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。
第二十三条 运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;
(二)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;
(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密认证等措施。
第二十四条 除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:
(一)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;
(四)制定网络安全事件应急预案并定期进行演练;
(五)法律、行政法规规定的其他义务。
第二十五条 运营者网络安全管理负责人履行下列职责:
(一)组织制定网络安全规章制度、操作规程并监督执行;
(二)组织对关键岗位人员的技能考核;
(三)组织制定并实施本单位网络安全教育和培训计划;
(四)组织开展网络安全检查和应急演练,应对处置网络安全事件;
(五)按规定向国家有关部门报告网络安全重要事项、事件。
第二十六条 运营者网络安全关键岗位专业技术人员实行执证上岗制度。
执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
第二十七条 运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
第二十八条 运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。
运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估,对发现的问题及时进行整改,并将有关情况报国家行业主管或监管部门。
第二十九条 运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。
第五章 产品和服务安全
第三十条 运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求。
第三十一条 运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。
第三十二条 运营者应当对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测。
第三十三条 运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应当及时采取措施消除风险隐患,涉及重大风险的应当按规定向有关部门报告。
第三十四条 关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
第三十五条 面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求。
具体要求由国家网信部门会同国务院有关部门制定。
第六章 监测预警、应急处置和检测评估
第三十六条 国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息汇总、分析研判和通报工作,按照规定统一发布网络安全监测预警信息。
第三十七条 国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险,向有关运营者通报安全风险和相关工作信息。
国家行业主管或监管部门应当组织对安全监测信息进行研判,认为需要立即采取防范应对措施的,应当及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络安全事件应急预案的要求向有关部门报告。
第三十八条 国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制,促进网络安全信息共享。
第三十九条 国家网信部门按照国家网络安全事件应急预案的要求,统筹有关部门建立健全关键信息基础设施网络安全应急协作机制,加强网络安全应急力量建设,指导协调有关部门组织跨行业、跨地域网络安全应急演练。
国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案,并定期组织演练,提升网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后,应立即启动应急预案组织应对,并及时报告有关情况。
第四十条 国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测,提出改进措施,指导、督促运营者及时整改检测评估中发现的问题。
国家网信部门统筹协调有关部门开展的抽查检测工作,避免交叉重复检测评估。
第四十一条 有关部门组织开展关键信息基础设施安全检测评估,应坚持客观公正、高效透明的原则,采取科学的检测评估方法,规范检测评估流程,控制检测评估风险。
运营者应当对有关部门依法实施的检测评估予以配合,对检测评估发现的问题及时进行整改。
第四十二条 有关部门组织开展关键信息基础设施安全检测评估,可采取下列措施:
(一)要求运营者相关人员就检测评估事项作出说明;
(二)查阅、调取、复制与安全保护有关的文档、记录;
(三)查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况;
(四)利用检测工具或委托网络安全服务机构进行技术检测;
(五)经运营者同意的其他必要方式。
第四十三条 有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第四十四条 有关部门组织开展关键信息基础设施安全检测评估,不得向被检测评估单位收取费用,不得要求被检测评估单位购买指定品牌或者指定生产、销售单位的产品和服务。
第七章 法律责任
第四十五条 运营者不履行本条例第二十条第一款、第二十一条、第二十三条、第二十四条、第二十六条、第二十七条、第二十八条、第三十条、第三十二条、第三十三条、第三十四条规定的网络安全保护义务的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第四十六条 运营者违反本条例第二十九条规定,在境外存储网络数据,或者向境外提供网络数据的,由国家有关主管部门依据职责责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十七条 运营者违反本条例第三十一条规定,使用未经安全审查或安全审查未通过的网络产品或者服务的,由国家有关主管部门依据职责责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十八条 个人违反本条例第十六条规定,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款;构成犯罪的,依法追究刑事责任。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本条例第十六条规定,受到刑事处罚的人员,终身不得从事关键信息基础设施安全管理和网络运营关键岗位的工作。
第四十九条 国家机关关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接负责人员依法给予处分。
第五十条 有关部门及其工作人员有下列行为之一的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)在工作中利用职权索取、收受贿赂;
(二)玩忽职守、滥用职权;
(三)擅自泄露关键信息基础设施有关信息、资料及数据文件;
(四)其他违反法定职责的行为。
第五十一条 关键信息基础设施发生重大网络安全事件,经调查确定为责任事故的,除应当查明运营单位责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。
第五十二条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门、国家安全机关和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
第八章 附则
第五十三条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。
关键信息基础设施中的密码使用和管理,还应当遵守密码法律、行政法规的规定。
第五十四条 军事关键信息基础设施的安全保护,由中央军事委员会另行规定。
第五十五条 本条例自****年**月**日起施行。
第二篇:信息安全技术关键信息基础设施安全保障指标体系-全国信息安全
国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》
编制说明
1.工作简况 1.1.任务来源
根据国家标准化管理委员会2017年下达的国家标准制修订计划,国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。
关键信息基础设正常运转,关系国家安全、经济发展、社会稳定,随着关键信息基础设施逐渐向网络化、泛在化、智能化发展,网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及实施方案等,加大对关键信息基础设施的保护力度。近年来,随着我国网络强国战略的深化和实施,国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出,构建国家关键信息基础设施安全保障体系已迫在眉睫,是当前一项全局性、战略性任务。
2016年4月19日,总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。” 2016年8月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号),要求“按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。2016年12月15日,国务院印发《“十三五”国家信息化规划》(国发〔2016〕73号),明确提出要构建关键信息基础设施安全保障体系。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,要求“建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。
目前国外主要国家对关键信息基础设施的保护起步较早,已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息基础设施安全建设,不断提升网络安全保障能力。对于我国而言,一方面,我国在引进外国先进技术、加快产业更新换代的同时,部分关键核心技术和设备受制于他国,存在系统受控、信息泄露发 1
现滞后等隐患,也给关键信息基础设施各领域带来许多安全隐患问题。另一方面,我国关键信息基础设施保护工作起步较晚、发展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的
本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年,项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究:研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料,总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络安全保障工作面临的挑战,分析我国网络安全保障工作的新需求,对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;在理论研究和实践调研的基础上,研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月,项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。3、2015年1月-2015年7月,项目组根据项目要求开展了研讨会,针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月,项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月,项目组进行了广泛研讨,并咨询了专家意见:2015年1月,对研究提出的网络安全保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;2015年6月,召开专家会,听取了中国电信基于大数据的网络安全态势评价工作的介绍;2015年7月,召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状,与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月,与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月,与网络安全检查工作进行对接,采用指标体系对相关检查结果进行了统计测算,并撰写评价报告。8、2016年4月-2016年8月,针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结,进一步更新了指标体系。9、2016年9月-2017年2月,与关键信息设施检查办进行对接,对指标体系的实际应
用进行了深入讨论。10、2017年3月,项目组在草案初稿的基础上,召开行业专家会,形成草案修正稿。11、2017年4月,在全国信息安全标准化技术委员会2017年第一次工作组会议周上,项目组申请国家标准制定项目立项。12、2017年6月,“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月,项目组召开专家咨询会,听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月,在全国信息安全标准化技术委员会WG7第二次全体会议上,项目组广泛听取专家意见,形成征求意见稿。1.4.承担单位
起草单位:大唐电信科技产业集团(电信科学技术研究院)
协作单位:国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。
本部分主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则
为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,主要遵循以下原则:
1、综合性原则
关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此,标准设计的首要原则是综合性。
2、科学适用性原则
关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则,把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。
适用性原则,就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于,最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。
3、导向性原则
评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确 的方向和目标发展,要引导我国关键信息基础设施安全的健康发展。
4、可操作性强原则
可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。
5、定性定量结合原则
在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。
6、可比性原则
可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准,是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容
本标准概述了本标准各部分通用的基础性概念,给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下:
前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义
附录A(规范性附录)指标测量过程 参考文献
本标准主要贡献如下:
1、明确了标准的目标读者及其可能感兴趣的内容
指出标准主要由三个相互关联的部分组成:第1部分包括1-3节,描述了本标准的范围和所使用的术语与定义,对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释;第2部分为第4节,详细描述了关键信息基础设施安全保障指标体系的体系框架和指标;第3部分包括第5节和附录A,给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法,为体系的可操作性提供了保证。
2、给出了关键信息基础设施的概念
关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。
《中华人民共和国网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
《国家网络空间安全战略》规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。
3、指出关键信息基础设施安全保障评价围绕三个维度进行
关键信息基础设施安全保障评价围绕三个维度进行,即建设情况、运行能力和安全态势,并依据关键信息基础设施安全保障对象和内容进行分析和分解,一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。
4、给出了指标测量的一般过程
关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度,应用相应的测量方法得出测量值,并通过分析模型将测量值折算成指标值,最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明
a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面,试图使所提出的指标体系与测量过程具有一定的通用性,以便于指标体系的推广和扩展;
b.考虑到指标设计方面应用的可扩展性,在体系建设和测量过程之中,指标体系可以根据实际评价对象的特性做出相应的指标调整,以完善指标体系并得出合理公正的评价。
《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组
2017年8月
第三篇:关键信息基础设施网络安全检查自查报告
关键信息基础设施网络安全检查自查报告(精选3篇)
时间一溜烟儿的走了,工作已经告一段落了,回想这段时间以来的工作详情,有收获也有不足,是时候抽出时间写写自查报告了。大家知道自查报告的格式吗?下面是小编整理的关键信息基础设施网络安全检查自查报告,仅供参考,大家一起来看看吧。
关键信息基础设施网络安全检查自查报告1根据《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》精神,9月10日,由市电政办牵头,组织对全市政府信息系统进行自查工作,现将自查情况总结如下:
一、网络与信息安全自查工作组织开展情况
9月10日起,由市电政办牵头,对各市直各单位当前网络与信息安全进行了一次全面的调查,此次调查工作以各单位自查为主,市电政办抽查为辅的方式进行。自查的重点包括:电政办中心机房网络检修、党政维护密码防护升级,市直各单位的信息系统的运行情况摸底调查、市直各单位客户机病毒检测,市直各单位网络数据流量监控和数据分析等。
二、信息安全工作情况
通过上半年电政办和各单位的努力,我市在网络与信息安全方面主要完成了以下工作:
1、所有接入市电子政务网的系统严格遵照规范实施,我办根据《常宁市党政站信息发布审核制度》、《常宁市网络与信息安全应急预案》、《“中国——常宁”党政站值班读网制度》、《中国——常宁”党政站应急管理预案》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
2、组织信息安全培训。面向市直政府部门及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
3、加强对党政站巡检。定期对各部门子网站进行外部web安全检查,出具安全风险扫描报告,并协助、督促相关部门进行安全加固。
4、做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障承诺书,加强互联网出口访问的实时监控,确保十八大期间信息系统安全。
三、自查发现的主要问题和面临的威胁分析
通过这次自查,我们也发现了当前还存在的一些问题:
1、部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。
2、少数单位的工作人员安全意识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的情况。
3、存在计算机病毒感染的情况,特别是U盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
4、信息安全经费投入不足,风险评估、等级保护等有待加强。
5、信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量。
四、改进措施和整改结果
在认真分析、总结前期各单位自查工作的基础上,9月12日,我办抽调3名同志组成检查组,对部分市直机关的重要信息系统安全情况进行抽查。检查组共扫描了18个单位的站,采用自动和人工相结合的方式对15台重要业务系统服务器、46台客户端、10台交换机和10台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求对抽查单位进行了细致周到的安全巡检,提供了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查情况核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改建议,督促有关单位对照报告认真落实整改。通过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障能力显著提高。
五、关于加强信息安全工作的意见和建议
针对上述发现的问题,我市积极进行整改,主要措施有:
1、对照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求,要求各单位进一步完善规章制度,将各项制度落实到位。
2、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
3、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件责任人,要严肃追究责任。
4、继续完善信息安全设施,密切监测、监控电子政务网络,从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位的安全防护体系。
5、加大应急管理工作推进力度,在全市信息安全员队伍的基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
关键信息基础设施网络安全检查自查报告2为保证税务系统网络与信息安全,进一步加强网络新闻宣传管理工作,有效地防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,将工作落实到人。州局机关成立信息安全检查工作组,负责州局机关各处室安全检查工作,主要采取各处室自查和对部分处室抽查相结合的方式,开展网络安全清理检查工作。
一、现状与风险
随着伊犁州地税系统信息化建设的发展,以计算机网络为依托的征管格局已初步形成。总局—区局—地(州、市)局—县(市)局的四级广域网络已经建立,并逐步向基层征收单位延伸,地税系统网络建设进程也逐渐加快。目前伊犁州地税系统广域网节点数已达700多个,联网计算机设备700多台。在完成繁重税收任务的同时,为提高税收征管效率,更好地宣传税收工作、服务纳税人,各县(市)税务机关均根据工作需要建立了因特网访问网站。同时,与其它政府部门部分地实现了联网和信息交换。总之,网络与信息系统已成为整个税务系统工作的重要组成部分,成为关系到国计民生的重要基础设施。
在税务信息化建设不断蓬勃发展的同时,网络与信息安全的风险也逐渐显露。一是随着税收事业的发展,业务系统的要求,各级税务机关逐步与外部相关部门实现了联网与信息交换。此外为方便纳税人纳税,新疆地税系统开通了因特网申报、网上查询等业务,地税系统网络由过去完全封闭的内部网,转变成与外部网、因特网逻辑隔离的网络。二是网络与信息系统中的关键设备如主机、路由器、交换机以及操作系统等大部分采用国外产品,存在着较大的技术和安全隐患。三是系统内计算机应用操作人员水平参差不齐,加上由于经费不足,安全防护设备与技术手段不尽如人意。四是敌对势力以及受利益驱使的犯罪分子一直蠢蠢欲动,对国家重要的财政、金融部门构成巨大威胁。上述几个方面构成税务系统网络与信息安全的主要风险。
二、建立健全了网络与信息安全组织机构
为了确保网络与信息安全工作得到重视和措施能及时落实,伊犁州地税局成立了网络与信息安全领导小组:
组长:程爱民总经济师
成员:车艳霞、王守峰、王红星、刘忠辉、王忠、欧阳灿、王华、褚天玉
领导小组下设办公室,具体负责日常工作,主任由信息处长车艳霞担任,副主任由办公室副主任王守峰担任。成员有:王红星、刘忠辉、王忠、王华。
三、建立健全了网络与信息安全岗责体系和规章制度
网络与信息安全办公室负责对以机关名义在内、外网站上发布信息的审查和监控;信息处负责网站的维护和技术支持以及其它各类应用信息系统的监控和维护;计财处负责相关资金支持;机关服务中心负责电力、空调、防火、防雷等基础设施的监控和维护。
网络与信息安全办公室负责在发生紧急事件时协调开展工作,并根据事件的严重程度起草向领导小组、公安部门或上级有关部门的报告或向全系统的通报;并负责各类网站、各应用系统、数据库系统的监控防范、应急处置和数据、系统恢复工作,以及网络系统的安全防范、应急处置和网络恢复工作及安全事件的事后追查。为做好州直地税系统网络安全自查工作,信息处在8月10日,通过视频培训,对全系统网管员进行网络安全知识培训。并对网络安全自查工作进行部署。
建立健全了各种安全制度,包括:
(1)日志管理制度;
(2)安全审计制度;
(3)数据保护、安全备份、灾难恢复计划;
(4)计算机机房及其他重要区域的出入制度;
(5)硬件、软件、网络、媒体的使用及维护制度;
(6)帐户、密码、通信保密的管理制度;
(7)有害数据及计算机病毒预防、发现、报告及清除管理制度。
(8)个人计算机使用及管理规定。
四、伊犁州地税局计算机网络管理情况
(一)局域网安装了防火墙。同时对每台计算机配置安装了区局统一配置的瑞星杀毒软件,针对注册号户数不够的情况,向区局又申请了300户注册号,现网络版瑞星杀毒软件可以同时上线550台计算机,基本满足了伊犁州地税系统内网办公需要。全州内网计算机安装桌面审计系统达到95%,部分单位达到100%。定期安装系统补丁,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
(二)涉密计算机和局域网内所有计算机都强化口令设置,要求开机密码、公文处理口令、征管软件口令必须字母与数字混合不少于8位。同时,计算机相互共享之间设有身份认证和访问控制。
(三)内网计算机没有违规上国际互联网及其他的信息网的现象;在各单位办税服务厅自助申报区安装的网报专用计算机每天由网管员进行管理检查,以防利用网报机进行违法活动。
(四)安装了针对移动存储设备的专业杀毒软件,对移动存储设备接入计算机前必须须进行病毒扫描,对于经常接收外来数据的办税服务厅、管理科等单位计算机都配备使用U盘病毒隔离器。
(五)对服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。
(六)对公文处理及档案管理软件数据库进行按日备份,确保数据安全。严格文件的收发,并要求信息管理员定期进行系统全备份,刻录光碟并异地存储。
(七)没有通过电子政务外网、互联网邮箱、限时通信工具等处理、传递、转发涉密或敏感信息的现象。
(八)制定了详细应急预案,并随着信息化程度的深入,结合各局实际,并在以后不断完善。
(九)州局的网络信息发布由办公室设置了专人管理,对所有要在网络上发布的信息按规定进行了审查。
五、存在的问题
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合实际,今后要在以下几个方面进行整改。
(一)安全意识还需加强。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
(二)设备维护、更新应及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,需加大更新力度。
(三)安全工作的水平还有待提高。对信息安全的管护还处于初级水平,要提高安全工作的`现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。
(四)加强计算机安全意识教育和防范技能训练,充分认识到计算机泄密案件的严重性。把计算机安全保护知识真正融于实际工作中,而不是记在纸上;人防与技防结合,把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。
(五)工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
关键信息基础设施网络安全检查自查报告3为了贯彻落实《关于开展网络与信息安全检查工作的通知》的精神,切实加强我局政务信息系统运行管理和对外网站安全防范工作,严防攻击、网络中断、病毒传播、信息失窃密,为国庆xx周年庆祝活动的顺利举行创造良好的网络信息环境,现就我局网络信息安全自查自纠情况汇报如下:
一、高度重视,切实加强国庆xx周年庆祝活动期间网络信息安全工作。
我局接到区信息办下发的《关于开展网络与信息安全检查工作的通知》后,局领导班子高度重视,立即进行安排部署,落实责任,强化防护措施,加强对本单位网络和信息系统的安全保护,做好我局内部网络和信息系统的安全防范和安全检查工作。
二、按要求严格落实网络信息安全各项制度
1责任制度。对网络信息安全各项制度进行了全面梳理,重点抓好安全责任制、应急预案、值班值守、信息发布审核等制度的落实。严格落实领导责任制,一把手亲自过问,分管负责人直接抓,一级抓一级,层层抓落实。
2原则要求。坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责、谁发布谁负责”的原则,认真履行网络信息安全保障职责。
3“五到位”。坚决做到领导、机构、人员、责任、措施“五到位”。健全安全工作机制,对发生重大安全责任事故的,要严肃追究相关人员的责任。
三、进一步强化安全防范措施
1清查网站隐患。针对和应用系统的程序升级、账户、密码、杀病毒、网站维护、政务网接入和运行等方面存在的突出问题,我们逐一进行清理、排查,能及时更新升级的更新升级,进一步强化安全防范措施,及时堵塞漏洞、消除隐患、化解风险。
2严格执行网络信息安全“五禁止”规定。能够按要求禁止将涉密信息系统接入国际互联网及其他公共信息网络,能够禁止在没有防护措施的情况下将国际互联网等公共信息网络上的数据拷贝到涉密信息系统,能够禁止将涉密与非涉密网络混用,能够禁止将涉密与非涉密计算机、移动存储设备混用,能够禁止使用具有无线互联功能的设备处理涉密信息。
四、认真抓好网络信息安全自查和整改
通过自查,我们发现我局网络与信息系统安全隐患还是存在一些问题,我们将切实对涉及到的有关问题逐步解决,进一步加强网络信息安全管理。
第四篇:关键信息基础设施网络安全检查自查报告
关键信息基础设施网络安全检查自查报告范文(精选3篇)
时间一溜烟儿的走了,工作已经告一段落了,回顾这段时间的工作,既存在亮点,也存在不足,将成绩与不足汇集成一份自查报告吧。在写之前,可以先参考范文,下面是小编整理的关键信息基础设施网络安全检查自查报告范文(精选3篇),希望能够帮助到大家。
关键信息基础设施网络安全检查自查报告1根据《关于转发<关于开展20xx年六安市网络安全检查工作的通知>的通知》(区宣字〔20xx〕23号)的要求,椿树镇党委、政府高度重视并迅速开展检查工作,现将检查情况总结报告如下:
一、成立领导小组
为进一步加强网络信息系统安全管理工作,我镇成立了网络信息工作领导小组,由镇长任组长,分管副书记任副组长,下设办公室,做到分工明确,责任具体到人,确保网络信息安全工作顺利实施。
二、网络安全现状
目前我镇共有电脑32台,均采用防火墙对网络进行保护,并安装了杀毒软件对全镇计算机进行病毒防治。
三、网络安全管理措施
为了做好信息化建设,规范政府信息化管理,我镇专门制订了《椿树镇网络安全管理制度》、《椿树镇网络信息安全保障工作方案》、《椿树镇病毒检测和网络安全漏洞检测制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。
针对计算机保密工作,我镇制定了《椿树镇镇信息发布审核、登记制度》、《椿树镇突发信息网络事件应急预案》等相关制度,并定期对网站上的所有信息进行整理,未发现涉及到安全保密内容的信息;与网络安全小组成员签订了《椿树镇网络信息安全管理责任书》,确保计算机使用做到“谁使用、谁负责”;对我镇内网产生的数据信息进行严格、规范管理,并及时存档备份;此外,在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,积极参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我镇网络安全仍然存在以下几点不足:
一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。
针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:
1、进一步加强网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。
2、加强干部职工在计算机技术、网络技术方面的学习,不断提高机关干部的计算机技术水平。
关键信息基础设施网络安全检查自查报告2根据《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》精神,9月10日,由市电政办牵头,组织对全市政府信息系统进行自查工作,现将自查情况自查如下:
一、网络与信息安全自查工作组织开展情况
9月10日起,由市电政办牵头,对各市直各单位当前网络与信息安全进行了一次全面的调查,此次调查工作以各单位自查为主,市电政办抽查为辅的方式进行。自查的重点包括:电政办中心机房网络检修、党政门户网维护密码防护升级,市直各单位的信息系统的运行情况摸底调查、市直各单位客户机病毒检测,市直各单位网络数据流量监控和数据分析等。
二、信息安全工作情况
通过上半年电政办和各单位的努力,我市在网络与信息安全方面主要完成了以下工作:
1、所有接入市电子政务网的系统严格遵照规范实施,我办根据《常宁市党政门户网站信息发布审核制度》、《常宁市网络与信息安全应急预案》、《“中国?常宁”党政门户网站值班读网制度》、《"中国?常宁”党政门户网站应急管理预案》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
2、组织信息安全培训。面向市直政府部门及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
3、加强对党政门户网站巡检。定期对各部门子网站进行外部web安全检查,出具安全风险扫描报告,并协助、督促相关部门进行安全加固。
4、做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障承诺书,加强互联网出口访问的实时监控,确保十八大期间信息系统安全。
三、自查发现的主要问题和面临的威胁分析
通过这次自查,我们也发现了当前还存在的一些问题:
1、部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。
2、少数单位的工作人员安全意识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的情况。
3、存在计算机病毒感染的情况,特别是U盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
4、信息安全经费投入不足,风险评估、等级保护等有待加强。
5、信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量。
四、改进措施和整改结果
在认真分析、自查前期各单位自查工作的基础上,9月12日,我办抽调3名同志组成检查组,对部分市直机关的重要信息系统安全情况进行抽查。检查组共扫描了18个单位的门户网站,采用自动和人工相结合的方式对15台重要业务系统服务器、46台客户端、10台交换机和10台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求对抽查单位进行了细致周到的安全巡检,提供了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查情况核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改建议,督促有关单位对照报告认真落实整改。通过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障能力显著提高。
五、关于加强信息安全工作的意见和建议
针对上述发现的问题,我市积极进行整改,主要措施有:
1、对照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求,要求各单位进一步完善规章制度,将各项制度落实到位。
2、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
3、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件责任人,要严肃追究责任。
4、继续完善信息安全设施,密切监测、监控电子政务网络,从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位的安全防护体系。
5、加大应急管理工作推进力度,在全市信息安全员队伍的基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
关键信息基础设施网络安全检查自查报告3根据市委网络安全和信息化领导小组办公室办关于《开展关键信息基础设施网络安全检查的通知》文件精神,我镇积极组织落实,对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查,现报告如下:
一、成立领导小组为进一步加强网络信息系统安全管理工作,我镇成立了网络信息工作领导小组,由镇长任组长,分管领导任副组长,下设办公室,做到分工明确,责任具体到人,确保网络信息安全工作顺利实施。
二、我镇网络安全现状我镇除专用办公电脑外,共有15台计算机接入互联网络。采用防火墙对网络进行保护,均安装了杀毒软件对计算机进行病毒防治。
三、我镇网络安全管理为了做好信息化建设,规范政府信息化管理,我镇立即《xx镇网络安全管理制度》、《xx镇网络信息安全保障工作方案》、《xx镇病毒检测和网络安全漏洞检测制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理等各方面都作了详细规定,进一步规范了外联计算机信息安全管理工作。
关键信息基础设施网络安全检查自查报告4为保证税务系统网络与信息安全,进一步加强网络新闻宣传管理工作,有效地防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,将工作落实到人。州局机关成立信息安全检查工作组,负责州局机关各处室安全检查工作,主要采取各处室自查和对部分处室抽查相结合的方式,开展网络安全清理检查工作。
一、现状与风险
随着伊犁州地税系统信息化建设的发展,以计算机网络为依托的征管格局已初步形成。总局—区局—地(州、市)局—县(市)局的四级广域网络已经建立,并逐步向基层征收单位延伸,地税系统网络建设进程也逐渐加快。目前伊犁州地税系统广域网节点数已达700多个,联网计算机设备700多台。在完成繁重税收任务的同时,为提高税收征管效率,更好地宣传税收工作、服务纳税人,各县(市)税务机关均根据工作需要建立了因特网访问网站。同时,与其它政府部门部分地实现了联网和信息交换。总之,网络与信息系统已成为整个税务系统工作的重要组成部分,成为关系到国计民生的重要基础设施。
在税务信息化建设不断蓬勃发展的同时,网络与信息安全的风险也逐渐显露。一是随着税收事业的发展,业务系统的要求,各级税务机关逐步与外部相关部门实现了联网与信息交换。此外为方便纳税人纳税,新疆地税系统开通了因特网申报、网上查询等业务,地税系统网络由过去完全封闭的内部网,转变成与外部网、因特网逻辑隔离的网络。二是网络与信息系统中的关键设备如主机、路由器、交换机以及操作系统等大部分采用国外产品,存在着较大的技术和安全隐患。三是系统内计算机应用操作人员水平参差不齐,加上由于经费不足,安全防护设备与技术手段不尽如人意。四是敌对势力以及受利益驱使的犯罪分子一直蠢蠢欲动,对国家重要的财政、金融部门构成巨大威胁。上述几个方面构成税务系统网络与信息安全的主要风险。
二、建立健全了网络与信息安全组织机构
为了确保网络与信息安全工作得到重视和措施能及时落实,伊犁州地税局成立了网络与信息安全领导小组:
组长:程爱民总经济师
成员:车艳霞、王守峰、王红星、刘忠辉、王忠、欧阳灿、王华、褚天玉
领导小组下设办公室,具体负责日常工作,主任由信息处长车艳霞担任,副主任由办公室副主任王守峰担任。成员有:王红星、刘忠辉、王忠、王华。
三、建立健全了网络与信息安全岗责体系和规章制度
网络与信息安全办公室负责对以机关名义在内、外网站上发布信息的审查和监控;信息处负责网站的维护和技术支持以及其它各类应用信息系统的监控和维护;计财处负责相关资金支持;机关服务中心负责电力、空调、防火、防雷等基础设施的监控和维护。
网络与信息安全办公室负责在发生紧急事件时协调开展工作,并根据事件的严重程度起草向领导小组、公安部门或上级有关部门的报告或向全系统的通报;并负责各类网站、各应用系统、数据库系统的监控防范、应急处置和数据、系统恢复工作,以及网络系统的'安全防范、应急处置和网络恢复工作及安全事件的事后追查。为做好州直地税系统网络安全自查工作,信息处在8月10日,通过视频培训,对全系统网管员进行网络安全知识培训。并对网络安全自查工作进行部署。
建立健全了各种安全制度,包括(1)日志管理制度;(2)安全审计制度;(3)数据保护、安全备份、灾难恢复计划;(4)计算机机房及其他重要区域的出入制度;(5)硬件、软件、网络、媒体的使用及维护制度;(6)帐户、密码、通信保密的管理制度;(7)有害数据及计算机病毒预防、发现、报告及清除管理制度。(8)个人计算机使用及管理规定。
四、伊犁州地税局计算机网络管理情况
(一)局域网安装了防火墙。
同时对每台计算机配置安装了区局统一配置的瑞星杀毒软件,针对注册号户数不够的情况,向区局又申请了300户注册号,现网络版瑞星杀毒软件可以同时上线550台计算机,基本满足了伊犁州地税系统内网办公需要。全州内网计算机安装桌面审计系统达到95%,部分单位达到100%。定期安装系统补丁,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。(二)涉密计算机和局域网内所有计算机都强化口令设置,要求开机密码、公文处理口令、征管软件口令必须字母与数字混合不少于8位。
同时,计算机相互共享之间设有身份认证和访问控制。(三)内网计算机没有违规上国际互联网及其他的信息网的现象;
在各单位办税服务厅自助申报区安装的网报专用计算机每天由网管员进行管理检查,以防利用网报机进行违法活动。(四)安装了针对移动存储设备的专业杀毒软件,对移动存储设备接入计算机前必须须进行病毒扫描,对于经常接收外来数据的办税服务厅、管理科等单位计算机都配备使用U盘病毒隔离器。
(五)对服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。
(六)对公文处理及档案管理软件数据库进行按日备份,确保数据安全。
严格文件的收发,并要求信息管理员定期进行系统全备份,刻录光碟并异地存储。(七)没有通过电子政务外网、互联网邮箱、限时通信工具等处理、传递、转发涉密或敏感信息的现象。
(八)制定了详细应急预案,并随着信息化程度的深入,结合各局实际,并在以后不断完善。
(九)州局的网络信息发布由办公室设置了专人管理,对所有要在网络上发布的信息按规定进行了审查。
五、存在的问题
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合实际,今后要在以下几个方面进行整改。
(一)安全意识还需加强。
要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。(二)设备维护、更新应及时。
要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,需加大更新力度。(三)安全工作的水平还有待提高。
对信息安全的管护还处于初级水平,要提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。(四)加强计算机安全意识教育和防范技能训练,充分认识到计算机泄密案件的严重性。
把计算机安全保护知识真正融于实际工作中,而不是记在纸上;人防与技防结合,把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。(五)工作机制有待完善。
创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。第五篇:公司关键信息基础设施网络安全检查自查报告
公司关键信息基础设施网络安全检查自查报告
为保证我公司系统网络与信息安全,进一步加强网络管理工作,有效地防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,将工作落实到人。公司成立信息安全检查工作组,负责公司网络安全检查工作,主要采取各处室自查和对部分处室抽查相结合的方式,开展网络安全清理检查工作。现将具体情况汇报如下:
一、现状与风险
随着公司系统信息化建设的发展,以计算机网络为依托的办公格局已初步形成。集团—公司—部门的三级局域网络已经建立。目前使用交换机30台,生产厂商为华为和H3C,服务器为IBM,联网计算机设备563台。网络与信息系统已成为整个工业生产系统的重要组成部分,成为企业重要基础设施。在工业信息化建设不断蓬勃发展的同时,网络与信息安全的风险也逐渐显露。
一是随着工业生产事业的发展,业务系统的要求,各级部门实现了联网与信息交换。
二是网络与信息系统中的关键设备如主机、路由器、以及操作系统等部分采用盗版或国外产品,存在着较大的安全隐患。
三是系统内计算机应用操作人员水平参差不齐,加上由于经费不足,安全防护设备与技术手段不尽如人意。
二、建立健全网络与信息安全组织机构
为了确保网络与信息安全工作得到重视和措施能及时落实,我公司成立了网络与信息安全领导小组:
组长:党委书记
董事长
副组长:班子其他成员
常务副组长:信息化总经理
成员:公司各部门负责人
网络安全责任人:信息化大数据办公室主任
领导小组下设办公室,具体负责日常工作,主任由信息化大数据办公室主任担任。
三、建立健全网络与信息安全岗责体系和规章制度
网络与信息安全办公室负责对以机关名义在内、外网站上发布信息的审查和监控;信息处负责网站的维护和技术支持以及其它各类应用信息系统的监控和维护;财务处负责相关资金支持;机关服务中心负责电力、空调、防火、防雷等基础设施的监控和维护。
网络与信息安全办公室负责在发生紧急事件时协调开展工作,并根据事件的严重程度起草向领导小组、公安部门或上级有关部门的报告或向全系统的通报;并负责各类网站、各应用系统、数据库系统的监控防范、应急处置和数据、系统恢复工作,以及网络系统的安全防范、应急处置和网络恢复工作及安全事件的事后追查。为做好内部系统网络安全自查工作,大数据中心在X月X日,通过视频培训,对全系统网管员进行网络安全知识培训,并对网络安全自查工作进行部署。建立健全了各种安全制度,包括(1)日志管理制度;(2)安全审计制度;(3)数据保护、安全备份、灾难恢复计划;(4)计算机机房及其他重要区域的出入制度;(5)硬件、软件、网络、媒体的使用及维护制度;(6)帐户、密码、通信保密的管理制度;(7)有害数据及计算机病毒预防、发现、报告及清除管理制度。(8)个人计算机使用及管理规定。
四、存在的问题
在自查过程中我们也发现了一些不足,同时结合实际,今后要在以下几个方面进行整改。
(一)安全意识还需加强。
要继续加强对广大职工使用网络的安全意识教育,提高做好安全工作的主动性和自觉性。(二)设备维护、更新应及时。
要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,需加大更新力度。(三)安全工作的水平还有待提高。
对信息安全的管护还处于初级水平,要提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。(四)加强计算机安全意识教育和防范技能训练,充分认识到计算机泄密案件的严重性。
把计算机安全保护知识真正融于实际工作中,而不是记在纸上;人防与技防结合,把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。(五)工作机制有待完善。
创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。五、整改措施
(一)局域网安装了防火墙。
同时对每台计算机配置安装了公司统一配置的金山毒霸杀毒软件,针对注册号户数不够的情况,向集团又申请了一些注册号,现网络版金山毒霸软件可以同时上线600台计算机,基本满足了公司办公需要。全公司X台电脑定期安装系统补丁,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。(二)涉密计算机和局域网内所有计算机都强化口令设置,要求开机密码、公文处理口令必须字母与数字混合不少于8位。
同时,计算机相互共享之间设有身份认证和访问控制。(三)内网计算机没有违规上国际互联网及其他的信息网的现象。
(四)安装了针对移动存储设备的专业杀毒软件,对移动存储设备接入计算机前必须须进行病毒扫描,对于经常接收外来数据的部门单位计算机都配备使用U盘病毒隔离器。
(五)对服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。
(六)没有通过电子政务外网、互联网邮箱、限时通信工具等处理、传递、转发涉密或敏感信息的现象。
(七)制定了详细应急预案,并随着信息化程度的深入,结合各部门实际,并在以后不断完善。
(八)公司网络信息发布由办公室设置了专人管理,对所有要在网络上发布的信息按规定进行了审查。
点击咨询 