第一篇:西城区信息中心网络和信息系统安全监测项目需求
西城区信息中心网络和信息系统安全监测项目需求
1.概述 1.1.项目背景
北京市西城区政府电子政务网络(以下简称:西城区电子政务网络,分为物理隔离的两个网络:西城区互联网接入网和西城区政务外网)通过多年的发展,网络规模不断扩大,应用逐步增加,面临的安全威胁和风险也不断增大。
如何保证西城区电子政务网络系统正常运行和网络安全已成为迫切需要关注的问题。目前急需提高西城区电子政务网络的信息安全保障水平,为了更好地了解西城区电子政务网络的安全性,切实提高信息安全防护水平,西城区信息中心将对其电子政务网络与系统进行渗透测试,以了解目前西城区电子政务网络与系统的健壮性与抗攻击性,从而进一步完善西城区电子政务网络与系统的安全性与可靠性,更好地为北京市西城区政府及所属各单位提供信息服务和安全保障。
1.2.项目总体目标
本次渗透测试的范围为西城区电子政务网络与应用系统。
本次渗透测试的主要目的在于检测当前电子政务网络与系统,在已使用一定的安全设备及防护措施情况下,西城区电子政务网络系统的真实防护能力,增强对系统入侵的防护及检测能力及攻击发生时的处理能力,全面保障西城区电子政务网络的正常运行、提升西城区电子政务网络的整体防御能力,更好地为公众提供有效的服务,其具体目标为:准确、全面掌握西城区电子政务网络的安全现状及存在的风险、威胁。准确、详细的指出当前安全设备的使用情况、配置情况。针对当前安全状况,提出加固安全设备、优化设备配置、培训等建设方案。
保障西城区电子政务网络的稳定运行;
保障西城区电子政务网站、部门自建网站和重要的信息系统的安全运行; 提升西城区电子政务网络的整体防御能力,更好地为公众提供服务。 在安全保障重点时期,保障西城区电子政务网络的安全。
1.3.项目总体原则 1.3.1.把握重点,分清主次
在项目实施过程中必须坚持把握重点、分清主次的原则。评估的重点内容是:西城区的区级办公应用系统安全渗透测试、西城区电子政务网站和部门自建网站渗透测试。在制定实施方案与实施过程中对于上述重点内容要进行重点的安全风险评估分析,对于其他部分内容进行基本的安全风险评估分析。
1.3.2.结合实际,注重实效
在项目实施过程中必须坚持结合实际,注重实效的原则。在方案的编制、评估的实施、安全整改与加固等各个环节,都应立足于西城区电子政务网络信息化工作现状,调查、研究、分析西城区电子政务网络系统的建设、管理、运行中面临的实际威胁,存在的实际问题,在此基础上提出有针对性的整改与加固方案,指导并协助西城区信息中心对整改与加固方案进行实施,切实提高西城区电子政务网络与信息系统的健壮性与安全性,切实提高西城区电子政务网络与信息系统的整体安全水平、管理水平与运维水平。
1.4.项目总体要求
实施方在实施方案的制定及项目的实施过程中,要把握项目的总体目标,遵循项目的总体原则。合理分配资源,科学安排进度,充分调动参与各方的积极性,使项目开展得有序高效。
1.5.项目组织保障
在西城区信息中心领导小组的领导下,成立西城区电子政务网络与系统渗透测试项目组,负责本次项目的具体实施工作。
2.服务对象、内容 2.1.服务对象
对本次西城区电子政务网络与系统渗透测试的工作范围界定如下。
2.1.1.互联网接入网
西城区政府机关大院互联网接入网的网络设备、安全设备与信息中心机房内
各应用服务器(如网站、OA外网服务器等)。
2.1.2.区政务外网
西城区政务外网网络设备、安全设备与信息中心机房内应用服务器等(如OA内网服务器等)。
2.1.3.部门自建网站和重要应用系统
对西城区部门自建网站和重要业务应用系统。
2.2.服务内容
服务的内容主要包括:网络和信息系统渗透测试安全性分析、网络架构合理性分析、设备配置合理性检查、安全整改与加固、应急响应、人员培训等。要求上述内容(除应急响应、人员培训外)每年应提供至少两次服务。
以上各部分内容评估完成后都要形成阶段性评估成果报告提交西城区信息中心,阶段性评估成果报告需获得西城区信息中心与评估方的共同认可。
2.2.1.渗透测试安全性分析
在保证网络与系统安全运行的前提下模拟渗透攻击者对系统进行渗透测试,对西城区互联网接入网系统的渗透测试安全性分析应从口令猜解、网站探测、已知漏洞攻击、参数操控、跨站脚本、指令注入、应用层DOS、HTTP方法利用、异常处理、审核及日志记录等10种以上方式进行安全分析,并对分析方法进行详细描述,并形成分项报告(包括对现状的分析、对策、建议或者方案等):
关键应用系统与服务器的渗透测试(如OA外网应用服务器、反垃圾邮件服务器等);
关键应用系统(如数据库系统等)的工作状态、资源利用情况、服务器的工作状态、资源利用情况以及稳定性和安全状况分析。 遭遇攻击时的可靠性分析;
系统边界的安全防护及访问控制措施强度分析; 网络监控和入侵检测的有效性分析; 网络应用现状分析以及线路冗余性分析;
2.2.2.网络架构合理性分析
对互联网接入网与政务外网的网络架构合理性分析将从以下几个方面进行:
网络体系架构设计的合理性与安全性分析; 安全域划分及VLAN划分的合理性;
系统边界的安全防护及访问控制措施强度分析; 系统入侵检测点的部署合理性分析; 系统网络监控的有效性分析;
系统与外界的通讯线路的冗余性分析; 系统关键设备设施的冗余性分析;
2.2.3.设备配置合理性检查
网络设备配置合理性检查,检查范围:
主要网络设备; 核心路由器; 交换机;
负载均衡设备等;
安全设备配置合理性检查,检查范围:
安全产品; 防火墙; IDS; 审计系统等;
服务器操作系统配置合理性检查,检查范围:对承载核心业务的服务器进行重点安全检查,对承载一般业务的服务器进行基本安全检查。 中间件配置合理性检查,检查范围:针对西城区电子政务网络使用的各种应用支撑平台,如siteview等进行配置核查。
数据库配置合理性检查,检查范围:针对西城区电子政务网络中的数据库系统进行配置核查。
2.2.4.安全整改与加固
安全整改与加固是针对渗透测试中发现问题的严重程度及对业务风险的高低进行综合分析,提出削减风险的技术与管理的安全建议与措施,制定《安全整改与加固实施方案》,指导并协助西城区信息中心实施信息系统的安全整改与加固。
整改与加固实施方案的制定需要注意以下几点:
1、实施风险削减建议的优先度,便于西城区信息中心根据揭示出的安全风险建立实施风险管理的计划;
2、注意风险削减与实施费用的平衡控制,做到适度安全;
3、提出的具体加固与整改措施、方案、建议等,应覆盖所有评估内容;
2.2.5.应急响应的要求
对突发的安全问题提供应急响应与完善的技术服务支持:
紧急安全问题服务提供商应提供7*24*4小时的到达现场支持的服务;
重大安全问题的原因分析与经验总结;
通过完善的应急响应与技术支持,最大程度的提高西城区电子政务网络的安全性与健壮性。
2.2.6.人员培训
根据渗透测试中发现的安全问题,对西城区电子政务系统相关人员进行安全培训,提高西城区信息中心人员的安全意识与技术水平。
2.2.7.其他需要评估的重要内容
对本需求未包含的评估内容,评估方根据自己的经验与理解进行适当补充。
3.成果交付
成果交付文档由渗透测试服务方根据实际情况提供。
3.1.语言:
交付的技术文件使用中文。
3.2.文档要求:
电子文档以Microsoft Office 2003以上格式提供; 每次交付的资料附资料清单;
在实施过程中发生修改的部分,应及时提交技术文件及电子文档; 清单标明的信息与电子文件的目录和名称保持一致。
3.3.文件数量:
提供技术文件纸质1套及光盘介质1套共二份。
第二篇:医院网络信息系统安全制度
医院网络信息系统安全制度
一、信息系统安全管理措施
(一)硬件方面
为保证系统数据安全,医院网络信息系统核心设备均采用双机、并行架构,在保证系统稳定性的同时提高主机利用效率。网络设备采用双核心,并行方式;网络链路双冗余,安装有IDS入侵检测系统、防火墙检测和过滤网络信息。同时建有灾备机房,在主机房发生火灾及其他灾害时快速接管医院主要业务系统。
(二)软件方面
数据方面,定期对HIS、PACS等系统数据进行全备份。客户端配备桌面管理软件,管理外接存储设备和监控。客户端配备网络防病毒软件,定期升级病毒库、查杀全网病毒。
(三)管理方面
计算机中心设24小时专人值班,监控网络运行,每天检查主机硬件及附属设备运行情况,及时排除各种安全隐患。一旦发现问题,及时处理并迅速向科室领导报告。故障排除后,完成相关记录。信息系统、数据库、服务器、网络设备密码由专人进行管理,不得外泄。新人院职工必须经过系统培训、考试合格后方可上机操作。
二、信息系统安全管理制度
(一)敏感数据(指涉及医院药品、财务运营、消耗材料的数据)统计
1.申请人或部门(包括院外单位)提出书面申请,科室负责人签字并盖章确认,提交医务部。2.医务部审核无误,签字并盖章,提交纪检部门。3.纪检部门审核无误,签字并盖章,提交计算机中心。4.计算机中心审核无误,签字确认,安排相关人员进行数据统计,统计人员要做到对统计结果不扩散、不泄密、不修改。
5.计算机中心将申请归档保存。
(二)普通数据统计
1.申请人或科室(包括院外单位)提出书面申请,科室负责人盖章并签字后,提交医务部。
2.医务部审核无误,签字盖章,提交计算机中心。
3.计算机中心负责人审核无误,签字确认,安排相关人员进行数据统计,统计人员要做到对统计结果不扩散、不泄密、不修改。
4.计算机中心将申请归档保存。
(三)系统用户账户管理
1.用户注册流程。开通信息系统账户,由个人或部门提出书面申请(需提供人员信息:姓名、工资号、性别、出生年月、职称、人员类型等),经科室负责人签字,医务部、护理部、财务科、人力资源部等主管部门审核盖章后,交由计算机中心完成信息注册。
2.用户转科流程。转科流程参照注册流程,送交的信息中需注明原科室和更换科室的名称。科室内部调整,经科室负责人签字并盖章后,报送医务部。
3.退休流程。干部科、人劳办以书面形式通知医务部,注销或变更退休人员在信息系统中的权限。
(四)信息系统权限管理 1.用户账号管理。登录系统须有用户账号,相当于身份标识。进修人员由医务部统一编号。
2.用户密码管理。第一次登录信息系统时,由管理员分配用户初始密码。登录信息系统后,由使用人员自行设定,系统每三个月强制用户修改一次密码。用户密码遗失,须持工作证、胸牌或科室证明文件由本人到计算机中心重置密码。
3.用户权限管理。按照操作功能与访问数据的限制,授予不同用户、不同角色一定级别的应用功能,保证信息系统安全运行。
4.部门所属权限。财务科拥有财务部分系统权限;护理部拥有病区护士管理系统权限;医务部拥有医生工作站管理系统权限;药学部拥有药师工作站管理系统权限;系统管理员拥有系统用户新增、变更、注销等系统维护权限。
5.责任承担。账号所有者应对该账号在系统中所做的操作及结果负全部责任。
(五)终端安全管理
1.安装到位的网络工作站作为医院统一专用内网终端设备,使用者不得擅自安装软件或外接硬件,如需安装必须由计算机中心监督安装或授权使用科室安装使用硬件。
2.新入网的工作站必须由计算机中心统一安装医院正版HIS系统和网络安全管理软件、杀毒软件后按人医院内网。
3.网络工作站外接硬件,须由计算机中心统一管理驱动程序。4.连接医用仪器设备的网络工作站必须由计算机中心监督安装,统一管理。5.严禁在医院内网网络终端使用U盘和外接存储设备,或使用其他用途私人外接设备。
6.严禁人为破坏网络终端设备。
7.网络终端设备报修,应及时联系仪器维修室。
8.使用网络终端前,由计算机中心统一组织培训,合格后方能上岗。
9.操作人员要熟练掌握用户入网口令,并注意严格保密。10.每次使用时需记录用机时间、工作内容和机器运转情况,机器运行期间操作人员不得擅自离开。
11.使用时如发现运行故障,应及时向计算机中心值班人员报告并做好记录。
12.工作站配置的电脑、打印机等设备须指定专人使用、保管和维护,转交他人保管时需严格交接,并报请计算机中心批准备案。
13.操作人员要保证工作站电脑正常运行、数据及时录入和提取。14.操作人员须严格遵守操作规程,工作完毕时,必须切断电源,盖好机罩,锁盘。
三、信息安全问题处置措施
一旦网络出现安全问题,计算机中心值班人员或发现人应立即向计算机中心信息安全负责人报告,检查信息系统的日志等资料,确定问题来源,并迅速采取适当措施,保证信息系统尽可能不影响终端和数措安全。若事态严重,应立即向主管领导报告,组织院内相关部门处理。
四、设备安全处理措施
(一)交换机等关键设备损坏后,应立即查明原因.并向有关部门 或单位报修。
(二)如果能够白行恢复,应立即用备件替换受损部件。
(三)如果不能自行恢复,应立即与设备提供商联系,请求派遣维护人员前来维修。
(四)如果设备不能立即修复,应向科室负责人报告,如有需要,向院领导报告。
五、设备密码安全紧急处置措施
交换机等设备密码保存在计算机中心,紧急情况下值班人员经计算机中心主任授权方可使用,不得随意更改密码。
第三篇:网络和信息系统安全运行管理实施细则汇总
网络和信息系统安全运行管理实施细则
目录
第一章 总则..................................................................................2 第二章 职责与分工........................................................................2 第三章 运行值班管理....................................................................5 第四章 事件管理...........................................................................5 第五章 变更管理...........................................................................6 第六章 网络管理...........................................................................7 第七章 应用管理.........................................................................10 第八章 机房管理.........................................................................13 第九章 信息设备管理..................................................................14 第十章 账号管理.........................................................................18 第十一章 信息资料管理...............................................................19 第十二章 备份管理......................................................................21 第十三章 耗材管理:..................................................................21 第十四章 移动存储介质管理........................................................22 第十五章 补丁管理......................................................................25 第十六章 漏洞管理......................................................................26 第十七章 日志审计......................................................................27 第十八章 外包管理......................................................................28 第十九章 人员管理......................................................................30 第二十章 附则.............................................................................31
第一章 总则
第一条 为了保证XX有限公司(以下简称“XX公司”)网络和信息系统的安全运行,依据《天津市电力公司信息系统安全管理规定》等相关制度,结合XX公司实际,制定本实施细则。
第二条 门”)。本实施细则适用于公司所属各部门(以下简称“各部
第二章 职责与分工
第三条 XX公司党政领导一把手是信息系统的第一安全责任人;各部门的一把手是本部门信息系统安全的第一责任人。信息安全考核纳入安全生产考核和经济责任制考核。
第四条 XX公司信息系统为三级管理,XX公司建立信息化工作领导小组,运维检修部负责信息化工作的职能管理,是公司的归口管理部门,各部门是信息化工作的具体落实部门。
第五条 XX公司信息化工作领导小组是公司信息安全的领导组织。负责审定公司的信息安全管理有关规定,负责落实上级主管部门的安全管理防范的技术策略和信息安全管理有关规定。第六条 XX公司安全监察质量部负责监督和考核公司信息系统的运行状况。信息系统发生事故,按照《天津市电力公司信息系统事故调查及考核办法》,由安全监察质量部牵头组织事故分析,提出处理意见,运维检修部配合进行专业分析。
第七条 运维检修部是公司信息化管理的职能部门,设置信息化管理专责。主要工作:
1、组织实施公司各项信息管理制度,做好监督、检查、指导信息安全管理及信息运行维护工作,组织实施安全防范措施。当发生影响信息安全的重大事件时,发布告警并组织制定应对措施。
2、负责信息化相关指标、数据的汇总上报工作。
3、负责XX公司信息系统硬件的调配工作。
4、负责信息系统耗材计划编制、调整工作。
5、负责组织编制信息专业的大修、技改计划。
6、配合专业部门进行市电力公司统一管理和开发的项目和软件在XX公司的组织推广工作。参与有关信息工程项目的评定、审核和验收。
7、配合人力资源部做好XX公司信息专业知识的培训工作。第八条 信息通信运维班,是XX公司信息网络系统整体运行、维护部门。主要工作:
1、负责XX公司相关网络运行数据、运行硬件指标数据的统计,负责公司信息网络软、硬件系统的运行总结上报,负责配合信息系统验收、检查工作。
2、负责XX公司信息系统的正常运行,软件、硬件维护和故障处理工作。
3、负责XX公司信息系统中实物资产的统计管理。
4、负责XX公司信息系统硬件设备及耗材的计划起草工作。
5、负责提出XX公司信息系统大修、技改项目的申请。
6、负责XX公司信息网络的建设方案的实施工作。
7、负责为各部门提供信息专业的技术支持。
8、配合专业部门做好市电力公司统一管理和开发的项目和软件在公司的系统管理工作。
9、负责XX公司信息故障受理工作,并做好报修记录。第九条 各部门是信息化工作的具体落实部门,信息设备由设备具体使用人负责,如无具体使用人,则由计算机帐号所有人负责。专业信息系统由各部门指定的专业系统管理人员负责。主要工作:
1、负责本部门信息设备、信息系统的安全保密管理。
2、负责本部门计算机的趋势防病毒软件的病毒码的升级,趋势防病毒软件监控系统必须保证开启状态。负责计算机操作系统补丁的及时升级以及相关软件的补丁升级工作。
3、负责保证信息设备、信息系统的相关安全配置,并按照公司规定正确使用信息设备、信息系统。
4、负责本部门信息设备、信息系统的日常维护管理,负责维护更新本部门设备台帐。
第十条 为了保障网络和信息系统的安全、可靠、不间断运行,信息通信运维班的关键岗位实行主副岗备用制度,主岗不在或工作负担过重时,副岗要担当其职责,工作由主岗委托。
第三章 运行值班管理
第十一条 法定工作日的工作时间应安排具备相应专业技术水平的人员进行5 x 8小时现场值班。其余时间应安排非现场值班,以确保关键应用系统的正常运行。
第十二条 重要时期应实行7x24小时值班,根据实际情况采取电话值班或现场值班,以确保关键应用系统的正常运行。
第十三条 值班人员要按照要求做好重大事项汇报工作,并做好记录。
第四章 事件管理
第十四条 信息通信运维班信息专业人员在接到故障申告时,应对故障信息进行登记。
第十五条 信息通信运维班信息专业人员根据故障信息,对故障进行处理,并将处理情况填入记录中,并交由故障申告人签字确认。
第五章 变更管理
第十六条 信息设备的变更指对服务器、路由器、交换机(不含客户端设备)等设备上运行的操作系统、权限、各种服务、各种软件、数据库、IP地址、安全配置、投入或退出运行、重新启动、重新安装等所作的变更。
第十七条 运维检修部是以上各种信息设备变更的职能管理部门,负责审批变更并备案。
第十八条 所有信息设备的各种变更都要履行变更审批和备案手续,由各部门专业系统管理人员或信息运维人员提出变更申请填写变更操作单(见附件1),填写好相关信息后由部门负责人签字交运维检修部确认审批,通过后实施变更。变更涉及信息系统、网络系统影响的,申请人应于变更前1至2个工作日以电子邮件、门户公告、电话通知方式告知相关影响用户,变更结束后对于以上用户进行测试。
第十九条 设备、系统变更前对于原有的数据,应该采取备份、异地转移存储等安全措施。
第二十条 对于涉密设备的变更,如果需要外来人员协助,外来人员需填写保密承诺书,保证所存储的涉密信息不被泄露,进行变更工作过程中变更申请人必须在现场,对维修人员、维修对象、维修内容、维修前后状况进行监督。
第二十一条 设备、系统变更结束后应按照天津市电力公司信息安全加固的要求加固系统,恢复设备以及系统中的原有应用及运行环境,并尽快投入运行。
第二十二条 任何信息设备的各类变更未履行相关审批手续或者无记录追溯的,以及因信息设备的变更对系统及用户造成中断应用等影响的,追究变更实施人员相关责任。
第六章 网络管理
第二十三条 管理信息网络分为信息内网(以下简称内网)和信息外网(以下简称外网),实现“双机双网”。
第二十四条 XX公司内网与外网均不得私自接入无线设备,网络终端均实行IP地址与MAC地址绑定,禁止非授权接入。
第二十五条 XX公司外网设备与内网设备按照上级部门要求进行信息安全加固,设置访问控制,设置足够强度的用户和密码。
第二十六条 XX公司外网通过市公司统一出口接入INTERNET,XX公司所有部门和人员禁止以其他任何方式(ADSL、3G无线、CDMA、GPRS、96168拨号等)私自连接INTERNET网。第二十七条 XX公司内外网计算机终端、打印机、网络设备的IP地址和配置信息由运维检修部统一分配和管理,任何人不得擅自使用他人的地址和未分配的地址,不得擅自安装任何网络设备,不得擅自更改网络设备的配置信息。
第二十八条 未经计算机网络管理人员同意,任何人不得擅自操作、移动网络设备。
第二十九条 职能管理部门和公司领导可以依据实际工作需要申请接入外网。
第三十条 接入外网必须填写外网接入申请表(见附件2),经XX公司主管领导批准后报科技信通部审批,审批通过后按照批准的地址进行IP/MAC绑定并接入外网,信息部门负责做好相应的登记备案工作,更新信息外网设备台帐。
第三十一条 公司提供公共上网计算机,公共上网计算机的维护及使用管理由信息通信运维班负责。员工因工作需要在公共上网区访问INTERNET,需进行上网登记。
第三十二条 不得在信息外网设备中保留任何信息内网资料。外网访问结束后,应立即清除与内网有关的文件。
第三十三条 接入内网必须填写内网接入申请表(见附件3),经XX公司主管领导批准后报科技信通部审批,审批通过后按照批准的地址进行IP/MAC绑定并接入内网,信息部门负责做好相应的登记备案工作,更新信息内网设备台帐。
第三十四条 信息内外网计算机IP地址变更按照内外网接入申请流程执行。
第三十五条 开发商如确因工作需要接入信息内网,应提前申请信息内网设备。
第三十六条 计算机接入信息内外网应由信息运维人员对计算机进行统一配置,设置规范的计算机名称(格式为公司名称-部门名称-流水编号),内网计算机应加入TEPCO域,并安装趋势防病毒软件、注册桌面终端标准化管理软件(安全移动存储介质软件),外网计算机应安装金山防病毒软件。
第三十七条 市公司科技信通部会定期对计算机进行安全检查,对存在安全隐患的计算机进行封网处理。被封网的计算机需经责任人进行认真整改后,填写情况说明及重新开通上网功能申请表(见附件4、5、6),经部门领导审批签字后报公司运维检修部。运维检修部确认已整改后报公司领导签字审批后上报市公司科技信通部申请开通网络。
第三十八条 信息通信运维班负责网络设备的运行管理,确保网络备品备件及应急设备处在良好状态,尽量在故障发生之前采取保护措施。
第三十九条 运维检修部负责建立详细的安全事件应急处理制度,制定并及时修订信息网络安全应急预案,定期演练,确保应急体系的完备性和可用性,做好应对突发信息安全事件的准备。
第四十条 发现网络与信息安全问题及时向运维检修部进行通报,遇重大问题由运维检修部及时向公司科技信通部报告。应在1小时内,将事件发生时间、原因过程、采取措施、影响范围、损失情况等,通过邮件和电话方式上报。
第七章 应用管理
第四十一条 严格执行市公司应用系统开发与管理的有关规定,原则上不允许自行开发或引进管理软件,有特殊需要的,必须事先到信息管理部门申请、备案,并由信息管理部门向科技信通部申请,经批准后方可开发,经验收后方可接入。
第四十二条 对接入信息网络运行的应用系统,在系统投入运行前,应对系统运行的稳定性、安全性进行严格测试,并使用漏洞扫描工具进行安全检查,确认没有系统漏洞后,经运维检修部批准后方可正式上线运行。
第四十三条 应用系统上线前由运维检修部根据等级保护制度对系统定级,同时报市公司科技信通部审核备案。
第四十四条 在系统投入运行前,应用系统开发单位和运行管理部门应相互配合,确定与该应用系统相关的网络环境参数、故障处理流程、数据备份管理流程、系统故障应急预案等。应用系统开发单位应提供能满足日常运行管理需求的系统开发及运行维护文档和系统软件介质(系统软件应包括可供系统进行完全安装和紧急恢复的完整系统软件介质光盘或磁盘,软件功能说明书,软件使用说明书,程序清单,数据结构清单等)。
第四十五条 对投入运行的应用系统,各专业主管部门应建立运行台帐,明确系统管理人员,做好运行日志。
第四十六条 接入信息内网的各应用系统原则上不得以专线、拨号或任何其它方式与系统外网络及国际互联网相连,如确有必要,则应采取有效防范手段并经运维检修部上报科技信通部审核备案。
第四十七条 投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改,严禁安装与本应用系统无关的应用程序和软件。应用系统的管理、维护、应用人员应严格按照各自的权限和业务流程使用系统。
第四十八条 进行应用系统的配置参数调整、系统软件重装、网络环境调整等系统变更都应严格遵照相应的变更管理流程。第四十九条 用户账号建立、用户账号权限更改、用户节点增加等日常维护业务,应由专业系统管理人员及时记录并定期整理归档。
第五十条 应用系统变更前后都应按相应的备份管理规定进行备份。
第五十一条 运行人员应及时发现系统故障。接到故障申告后,由专业系统管理人员或信息运维人员负责对问题进行详细的记录,对简单故障可先处理后汇报,对较大故障要立即通知本部门负责人和信息管理部门。
第五十二条 对于故障的分析、处理过程应有记录。重大故障处理要有两人以上,一人操作,一人监督。
第五十三条 各应用信息系统必须有完善的系统维护制度和操作规程。重大事件处理时,应有安全管理人员在场,故障原因、操作内容和操作前后的情况必须详细记录并存档。专业系统管理人员应定期检查和记录本信息系统的安全运行状况。
第五十四条 用户帐号和口令管理按照《天津市电力公司信息系统帐号、口令管理规定》执行。
第五十五条 专业系统管理人员负责系统的日常运行维护,数据的保存、备份,系统口令的维护、设置和管理,系统程序的安装,向其他子系统及上级有关单位部门提供数据及报表。
第八章 机房管理
第五十六条 XX公司信息机房按照国网公司C类机房管理标准进行管理,部署不间断电源系统(UPS)及防水、防雷、防火和恒温恒湿设施。
第五十七条 运维检修部是XX公司信息系统运行机房的职能管理部门,信息通信运维班明确机房管理责任人员,具体负责机房的日常管理和维护。
第五十八条 信息通信运维班负责做好机房日常巡视,每天检查机房环境、网络设备、服务器的运行状况,并认真填写机房巡检记录。对于巡视中发现的问题,要详细记录并汇报相关领导及时解决问题。
第五十九条 信息通信运维班负责做好机房内设备的运维,每半年对UPS进行1次充放电,并做好记录。
第六十条 机房是网络和信息系统的重点保密场所,严禁无关人员随意出入;外来人员进出机房必须填写机房出入登记表,经批准同意后方可进入。外来人员进入机房应由相关负责人陪同和监督。
第六十一条 机房内严禁烟火,不准使用电炉、电水壶等电器。机房内必须配备专用气体灭火器,运行维护人员必须学会使用灭火器,一旦发现火情,立即投入灭火,并迅速报警。第六十二条 机房内应保持清洁,严禁堆放杂物,设备、线路标签应清晰、齐全,机柜布线应整齐。进入机房前,须对鞋子进行清洁或戴上鞋套。
第六十三条 出入机房应注意关好门,最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。
第六十四条 工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。
第六十五条 未经主管领导批准,禁止将机房相关的钥匙、密码等物品和信息外借或透露给其它人员。对于遗失钥匙、泄露密码的情况要即时上报,并积极主动采取措施保证机房安全。
第九章 信息设备管理
第六十六条 信息设备根据设备的类型、用途、介质(特指软件)等因素,归为以下几类:
1、网络设备(路由器、交换机、防火墙、入侵检测、综合布线系统等)
2、服务器(含小型机、工作站、PC 服务器)
3、个人计算机(含便携式计算机)
4、外部设备(打印机、绘图仪等)
5、辅助设备(网络及服务器机柜、UPS 等)
6、工具(含网络工具、普通工具等)
7、软件
8、其他
第六十七条 运维检修部负责XX公司所属各单位信息设备管理、分配工作。运维检修部应根据应用系统对设备的要求,兼顾各部门岗位职能的需要,制定信息设备配置标准;在年末制定下一设备大修、设备升级改造、重要设备备品备件、设备维护等资金计划,上报主管领导及相关部门批准,列入下一信息系统专项资金计划。各部门应在计划编制前,及时上报信息设备需求。
第六十八条 新的设备到达后,由运维检修部负责组织相关人员验收,验收依据为签订的合同内容。验收人员应认真进行各种参数的测试,检查设备的性能指标是否能够达到技术要求。
第六十九条 新的信息设备投入使用前,需经信息通信运维班按照市电力公司相关规定进行安全加固;信息设备的使用部门应办理财务固定资产登记,并上报运维检修部备案。没有在运维检修部登记、违反规定自筹资金购买、不在财务固定资产台帐上的信息设备,运维检修部不负责维护及禁止接入信息网络。
第七十条 运维检修部归口负责XX公司信息设备台帐,台帐中应该包括设备的所属部门、型号、序列号、IP地址等。信息设备的使用部门负责信息设备的日常管理,包括清洁、杀毒软件及系统升级、一般性配置操作、一般性故障排除等,并对信息设备的非使用性损坏以及丢失负责,并按情节严重程度,依据有关规定追究当事人赔偿责任。各部应指定专人协助运维检修部做好所属范围内信息设备台帐管理,若有设备变动要及时上报运维检修部。运维检修部根据实际情况组织设备清查工作,进行设备台帐、实物核对,做到帐物相符。
第七十一条 每台信息设备都要明确设备负责人(负责人须是正式职工)。信息设备由设备具体使用人负责,如无具体使用人,则由计算机帐号所有人负责。信息设备随机资料、软件等应由设备负责人保存。信息设备正常工作环境由设备所属部门负责。各部门之间及部门成员之间不得随意互换计算机、或其他相关设备。对因人员、岗位变动闲置的信息设备应及时上报运维检修部,由运维检修部统一处理。
第七十二条 信息设备运维管理
1、严禁任何人私自拆卸信息设备硬件,私自更改计算机配置、网络IP地址,安装未经批准的三方软件。设备使用人不得直接向供货商提出信息设备相关设备维修、软件维护的要求,否则,发生的费用和其它问题自行承担。
2、设备负责人负责所属信息设备的日常维护。其中包括常用软件的安装升级,一般性配置操作、一般性故障排除。如果涉及到更换零件、安装系统等非一般性故障,无法自行处理的,应及时向运维部门进行故障申告,信息运维人员应记录故障设备信息及故障处理情况,并在处理完毕后交由故障申告人签字确认。
3、属于更换部分零部件也不能解决的故障,需更换整机或大型配件的,在经过信息运维人员确认后,由设备负责部门填写信息设备及配件申请(附件 7),经运维检修部请示主管领导批准后方可更换。
4、信息设备出现非一般性故障未经信息运维人员同意自行处理(含拆装)造成故障扩大,由自行处理(含拆装)的操作人承担修复责任。
5、为保证信息设备的正常维护,及时排除故障,XX公司每年列支一定的信息设运行备维护资金,保证本设备的安全稳定。运维检修部应视具体情况提出必要的仪器、仪表、工具和备品备件采购申请。
6、各部门应保证信息设备的相关安全配置,并按照公司规定正确使用信息设备,同时根据实际情况定期对所属信息设备组织自查,发现问题及时整改。运维检修部通过网上和不定期到现场方式进行检查,核查信息设备软硬件使用、维护情况。并依据有关规定对违反信息设备使用规定的部门进行考核。
第七十三条 信息设备报废工作由生产技术可根据市电力公司的相关规定定期进行。信息设备一般正常使用满5年以上,并且已不能满足应用系统正常使用要求的,或设备严重损坏(非人为造成)无修复可能的,可以申请报废,报废设备上交运维检修部,由运维检修部统一处理,其他任何单位不得擅自处理。对报废或淘汰设备的可用部分或零配件,运维检修部可根据需要再利用。对报废设备的存储硬件,须送交市公司科信部进行消磁处理,严禁随意外带。
第七十四条 防火墙、漏洞扫描等信息安全设备的采购和使用必须经市公司科技信通部批准后方可实施。
第十章 账号管理
第七十五条 运维检修部设域账号管理员,对XX公司范围内的域账号及相应权限进行统一管理,并负责将域账号及权限的变更信息及时准确上报市公司科技信通部。
第七十六条 各部门应设专人对本部门的域账号及相应权限进行统一管理,主要负责域账号申请表的填写,根据实际需要认真核实其申请权限,负责将本部门的域账号及权限的变更信息及时准确上报公司域账号管理员,并认真做好记录。
第七十七条 TEPCO域账号的开放范围:有工作需求的企业内部员工可以申请TEPCO域账号,对于非正式员工,原则上不开放TEPCO域账号。如确有需要,必须由所在部门指明一名公司正式员工为其责任人,代其申请,责任人对该非正式员工使用域账号的所有行为负有安全监督责任。
第七十八条 域账号的申请
1、各部门账号管理人员根据工作需要向公司域账号管理员提出申请,填写域账号使用申请表(见附件8),同时监督申请人签定安全使用责任书(见附件9)。
2、各部门账号管理人员根据申请人资料填写申请表后报部门领导审批签字,并上报运维检修部域账号管理员。运维检修部域账号管理员对申请表进行审核,并定期按审批流程向市公司科技信通部提出账号申请。
第七十九条 员工域账号权限的分配必须严格按照权限最小化的原则进行,即分配仅能满足工作要求的最小权限。
第八十条 帐号和密码是员工在网络信息系统中的唯一身份标识,仅供员工自己使用,不得借用或泄露,禁止越权操作。
第八十一条 员工域账号口令要求每3个月更换一次,口令长度不得低于8位,最近6个口令不可重复,口令中必须包含字母和数字。
第八十二条 当员工岗位变动时,运维检修部以人事部门人员变动通知单为准,结合岗位变动的实际情况,调整或关闭域账号。
第十一章 信息资料管理
第八十三条 信息资料是指在信息网络建设和运行过程中所遵循的标准、制度、规划与总结(含计划)、日志、项目管理文档、设备台帐(卡片)、技术类文档和信息系统建设或系统运行过程中收集的文档(含硬件和软件)等,是与系统建设和系统运行紧密关联,记录系统运行参数、技术指标、安全模式、设备配置、方案设计、项目建设合同等重要信息的文档。
第八十四条 运维检修部是信息资料的职能管理部门,信息通信运维班及各专业系统管理部门应明确资料管理人员,具体负责各种资料的日常管理工作。
第八十五条 资料管理要求包括:
1、做好资料的收集、整理、登记、造册、保管、鉴定、利用等工作。设备技术资料应齐全、正确、统一、清晰。对于重要及核心设备,应将资料复制并多种方式、不同地点保存。
2、设备技术资料应由专人负责管理,并负责资料安全,强化信息内容的安全管理,严防机密资料外泄。
3、资料管理人员应具备档案管理人员基本素质,并掌握一定的专业技术知识和较强的计算机应用水平,对所管理的文档能够做到分类清楚、归档准确。
4、在进行项目建设时,由该项目负责人或指定专人负责收集和整理整个工程过程中产生的文档,进行分类,标注必要的说明,在工程验收后将全部项目文档资料提交资料管理人员保存。
第八十六条 使用资料时,任何人不得抽取、涂改、勾抹或污损。
第十二章 备份管理
第八十七条 应用系统的备份工作是系统出现故障、甚至崩溃时的重要恢复手段,是信息安全工作的重中之重,必须高度重视。
第八十八条 各应用系统的备份由各部门专业系统管理人员制定策略、组织落实,信息运维人员配合实施。备份文件由专业系统管理人员负责保管。
第八十九条 客户端计算机及网上的办公文件由文件所有人自行备份。重要文件须至少在不同的设备上保存两分。
第九十条 数据备份介质可选择硬盘、光盘、磁带等存储介质,由各部门专业系统管理人员保存。要确保备份数据的可恢复性。存储介质应存放在远离磁性、辐射性的安全环境。
第九十一条 当系统或者数据确实无法抢救时,需估算可能的损失,将恢复计划和方案报请本部门领导同意后才能对系统进行恢复操作,恢复操作不应影响对故障原因的追查和故障的处理。
第十三章 耗材管理:
第九十二条 运维检修部为计算机耗材的管理部门,信息通信运维班设置专人负责耗材分发工作。计算机耗材包括:打印机硒鼓、色带、墨盒、软盘、光盘、网线等配件。
第九十三条 各部门设备责任人负责设备耗材的需用申请以及领用。耗材领用须保留记录并由领用人签字确认。可回收性耗材(如硒鼓、墨盒等)实行轮换制,以旧换新。
第九十四条 耗材发放人员定期统计各部门耗材使用情况,提报运维检修部。运维检修部耗材管理人员根据信息设备台帐和具体使用情况分析各部门耗材用量,发现超出预期的用量将组织调查。在耗材库存不足时,及时提报采购计划。
第十四章 移动存储介质管理
第九十五条 移动存储介质的范围包括:U盘、移动硬盘、各种存储卡(照相机、摄像机)、MP3、MP4、智能手机等带有存储功能的产品。
第九十六条 所有连入信息内网的计算机必须安装市电力公司统一部署的移动存储介质管理系统客户端程序。
第九十七条 XX供电有限公司范围内可以使用的移动存储设备只包括市电力公司统一配发的国家电网公司专用U盘(简称专用U盘)。其他非专用U盘禁止在XX公司内网计算机中使用。
第九十八条 运维检修部负责XX供电有限公司范围内移动存储设备的管理,向市公司申请专用U盘等移动存储设备,履行领用审批、登记备案、监督检查、维护维修等职责。
第九十九条 专用U盘的申请
1、原则上每部门最多只能申请一个专用U盘。
2、任何部门不得擅自购买、发放移动存储设备,如确有工作需要,可向运维检修部提出申请,填写专用U盘使用申请表(见附件10)。
3、申请人填写申请表后报部门领导审批签字,注明申请原因,指定责任人,明确其责任,待责任人签字认可后,上报运维检修部。
4、运维检修部对申请表进行审核,并交公司主管领导审批签字后,定期向天津市电力公司科技信通部提出申请。
5、专用U盘由各部门专用U盘负责人负责领取,领取时要在专用U盘领取、变更记录表(见附件11)中签字。
第一百条 专用U盘的使用
1、专用U盘第一次使用需对其默认密码进行修改。
2、用户在使用国网公司专用U盘前,需要经过趋势防病毒墙的扫描杀毒,扫描正常后方可使用。
3、使用专用U盘时要遵守津电科信[2008]13号“关于印发《天津市电力公司电子商密信息保密管理规定(试行)》的通知”中对于商密信息的要求。
4、严禁双击进入移动存储设备,应先在盘符上单击右键,选择菜单项中的打开命令进入。
5、文件复制完成应将移动存储设备与计算机分离;
6、专用U盘分为保密区和交换区,涉及到公司电子商密的信息在离开信息内网或商密计算机进行信息交换时,必须将电子商密信息存放在保密区。
7、使用者对专用U盘的密码要严格保密,不得告知他人;专用U盘不得进行私用。
第一百零一条 专用U盘的维修
专用U盘的维修需由各部门专用U盘负责人将U盘交送到运维检修部。如专用U盘无维修价值,由运维检修部信息管理人员将损坏专用U盘送市公司科信部申请更换,并将相关信息填入U盘领取、变更记录表中,由该U盘负责人签字。
第一百零二条 专用U盘的销毁需由信息管理人员将相关信息填入专用U盘领取、变更记录表中,并注明销毁原因。
第一百零三条 非国家电网公司专用U盘(简称非专用U盘)的使用
1、非专用U盘原则上不得连入XX公司信息内网的计算机中使用。
2、如确因工作需要使用非专用U盘,需填写《非国家电网公司专用U盘使用记录》(见附件12),注明使用原因、使用人,并经部门负责人确认签字。部门负责人应审核所拷贝内容,如涉及公司商密文件,应不予批准。使用记录应报运维检修部备案。
3、应在脱网机器中对U盘进行杀毒,确认无病毒后,将文件拷入专用U盘,进行相应工作。
第一百零四条 任何用户不得卸载移动存储介质客户端软件,一经发现收回统一配置的移动存储设备,并禁止申请使用专用U盘;
第一百零五条 因使用移动存储设备未进行病毒木马查杀造成内网、外网计算机感染病毒,造成系统损坏或数据丢失的,一经查实收回统一配置的移动存储设备,并禁止申请使用专用U盘;
第一百零六条 在使用过程中造成公司涉密信息泄漏的按照《天津市电力公司电子商密信息保密管理规定(试行)》相关条款执行。
第一百零七条 任何部门或个人未经审批擅自购买、发放移动存储设备,一经查实收回自行购置的移动存储设备。
第一百零八条 不得复制、传播任何与工作无关的软件、游戏、文件至内网机器。
第十五章 补丁管理
第一百零九条 所有信息内网和信息外网的终端及服务器都要及时进行补丁升级。
第一百一十条 终端补丁升级
1、信息内网终端必须加入TEPCO域,在每次开机时必须以管理员身份登陆TEPCO域,执行TEPCO域安全策略,以便及时下载系统补丁。终端使用者在发现有新的系统补丁时,应及时点击安装。
2、信息外网终端必须安装公司统一的金山防病毒软件,定期执行漏洞检测,并在发现漏洞时及时打补丁。
第一百一十一条 服务器补丁升级
1、对服务器中数据库、WEB软件以及其它系统应用软件应及时进行补丁升级。
2、对服务器所有项目进行补丁升级时,要仔细阅读升级文档,分析确定升级补丁对现有的操作系统及应用的影响,确保在补丁升级后服务器软硬件能够正常运行。
3、应用软件补丁升级,对天津市电力公司统一运维的应用系统,由天津市电力公司统一执行,对自行开发的应用软件系统,由专业系统管理人员主动与开发商联系对有危害系统安全的补丁及时升级。
4、升级补丁之前,做好系统、数据备份,以免升级失败后及时恢复。
第十六章 漏洞管理
第一百一十二条 对接入信息网络运行的应用系统,在系统投入运行前,检查应用系统自身是否存在安全漏洞和隐患,确认没有漏洞后方可正式上线运行。
第一百一十三条 系统上线前要严格按天津市电力公司《信息系统安全配置基本规范》要求做好配置和系统加固。
第一百一十四条 应使用天津市电力公司统一指定的的相关工具进行安全检查,定期或不定期对网络与服务器主机进行安全扫描和检测,对扫描结果及时进行分析,采取相应补救措施。
第一百一十五条 应及时对所采集到的有关系统、网络、数据及用户活动的状态和行为等特征信息进行分析。如遇异常网络行为活动,应及时阻断事件点,查明原因及时消除,确认无安全隐患后再接入系统。
第十七章 日志审计
第一百一十六条 日志是对用户行为和系统行为进行记录的形式,日志审计是保障应用系统信息安全的重要手段。
第一百一十七条 在信息设备、业务应用系统上线运行前,应按市电力公司《信息系统安全配置基本规范》中的各项规定开启相应的日志审计功能。
第一百一十八条 应制定恰当的日志策略,确定记录日志的设备或系统范围、记录日志的事件类别、记录日志的最大时间范围、日志备份策略、审计日志的处理方式等。
第一百一十九条 日志记录应包括事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容。
第一百二十条 信息通信运维班应对主机系统、网络设备、应用系统、数据库和中间件等的日志定期进行安全审计。分析运行日志时,若发现正在、可能或已经危害到系统安全运行的行为时,应及时处理。
第十八章 外包管理
第一百二十一条 XX公司坚决贯彻信息运维主业化原则,原则上涉及信息系统核心业务的运维,包括桌面终端的运维不允许服务外包。
第一百二十二条 对于自行维护、实施有困难,确需进行信息服务业务外包的非核心信息服务业务,填写XX公司非核心信息服务业务外包申请审批表(见附件13),报XX公司运维检修部,由运维检修部汇总后报主管领导审批,并报上级主管部门审批备案后方可实施。
第一百二十三条 对于通过审批后实施外包的业务,承包商由XX公司按照国家、行业有关法律法规要求进行资质审查,综合考虑其安全管理、专业技术水平等因素,按规定的程序择优确定。第一百二十四条 必须与外包服务承包商签定相关外包服务协议,协议必须严格限定外包服务承包商的工作范围,明确承包商可以接触的设备、系统及可以进行的操作,明确指定专门的管理部门、专门的人员对承包商进行的服务行为进行有效监管。
第一百二十五条 提供外包服务的承包商及其工作人员,必需签署《安全保密责任书》(见附件14)和《保密补充条款》(见附件15)。必须按照XX公司相关保密规定和要求,在XX公司有关人员的监督下进行信息业务服务,不得擅自复制、转让或者转借XX公司相关基础数据。
第一百二十六条 应对承包商工作及调试人员进行安全教育,并指定专门的人员,记录承包商服务行为的开始时间、具体的工作人员、操作的设备、涉及的系统、操作结束时间、操作的结果,并负责在操作之后审核确认操作结果,对承包商的服务行为进行全程监管和记录(见附件16)。
第一百二十七条 XX公司禁止使用远程方式操作、调试系统,所有操作必须在有效监管下本地进行,原则上禁止承包商自带的终端设备接入XX公司内网,承包商如果需要接入XX公司内网进行测试、调试,终端设备由XX公司提供。
第一百二十八条 信息服务承包商服务期满后,由XX公司信息管理部门及该项信息服务管理部门对承包商整体服务行为进行信息安全评定和审核(见附件17)。
第十九章 人员管理
第一百二十九条 新员工在上岗前应进行信息安全教育,由公司保密办组织签订《天津市电力公司员工保密承诺书》(见附件18),考试合格后方可上岗进行工作。
第一百三十条 重点敏感岗位人员管理
1、重点敏感岗位包括:网络管理、应用管理、主机管理、安全管理。
2、重点敏感岗位的工作直接影响着网络及信息系统的安全,必须加强管理。
3、信息管理和运维部门要对以上岗位人员加强内控、教育,提高敏感岗位人员信息安全保密意识。
4、重点敏感岗位人员离岗时,填写《信息重点敏感岗位人员离岗移交纪录》(见附件19),经信息管理部门审核确认后,完成移交工作。运维部门及时核对并修改相关人员权限和设备安全配置相关内容。
第一百三十一条 外来人员为XX公司提供信息业务服务时,必须遵守相关保密规定和要求,签署《安全保密责任书》(见附件14)和《保密补充条款》(见附件15)。XX公司指定专门的人员,对外来人员的行为进行全程监管和记录(见附件16)。
第一百三十二条 制度作废。
第一百三十三条
第二十章 附则
本规定自发布之日起试行。以前颁布的相关本规定由XX有限公司运维检修部负责解释。
第四篇:供排水公司网络信息系统安全自查报告
供排水公司网络信息系统安全自查报告
我公司对网络信息安全系统工作一直十分重视,成立了专门的领导组,建立健全了网络安全保密责任制和有关规章制度,统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我公司网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
一、计算机涉密信息管理情况
今年以来,我公司加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照公司计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我公司采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要是系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全防护。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全;二是网络安全,包括网络结构、安全管理、密码管理等;三是应用安全,包括网站、邮件系统、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我公司电脑与系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常 我公司网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我公司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在公司开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,由定点电脑公司维修人员及时处理。维护时要求有相关人员陪同,规范设备的维护和管理。
六、网站安全
我公司对网站安全方面有相关要求,一是使用专属权限密码锁登陆;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作,于每周五定期检查计算机系统,确保无隐患问题,定期组织人员学习有关网络知识,提高计算机使用水平,确保预防。
八、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
巩留县供排水公司 2013年9月5日
第五篇:网络与信息系统安全工作自查报告
xxx 网络与信息系统安全工作自查报告
按照《xx县信息化工作领导小组办公室关于开展2012年全县网络与信息系统安全检查工作的通知》文件要求,我单位高度重视,立即组织开展全镇范围内的网络与信息系统安全工作。现将自查情况汇报如下:
一、网络与信息系统安全组织管理工作
1、我单位高度重视网络与信息系统安全工作,在党委扩大会议上专门研究部署了此项工作,并成立了信息化与网络安全工作领导小组,明确了镇办公室为信息化与网络安全工作办公室,确定了一名网络与信息系统安全工作管理员,负责日常管理工作。
2、制定下发了《xxx人民政府关于加强信息网络安全保障工作的意见》和《xxx人民政府网站管理维护工作制度》,要求各科室、各部门认真组织学习,充分认识网络和信息安全工作的重要性,能够按照各项规定正确使用网络和各类信息系统,确保我镇网络与信息系统的安全。
二、网络与信息系统安全日常管理工作
结合我镇实际,在日常管理工作中,与各科室、部门签订网络和信息安全工作责任书,并要求各科室、各部门严格按照以下规定执行,确保网络和信息系统的安全。
1、计算机必须设置系统启动密码,密码严禁外泄,避免外部人员登录对本单位计算机网络进行攻击。
2、办公计算机在使用过程中,要定期进行系统备份,以 1 提高突发事件发生时的应对能力。
3、不得随意接入网络设备,避免因擅自接入影响网络和信息系统的正常运行,确因工作需要接入网络设备,必须经信息化与网络安全工作办公室允许方可接入。对于移动存储设备,不得与涉密计算机及政务专网以外计算机共用。
4、所有计算机必须安装防火墙,定期查杀网络病毒,移动存储设备在接入计算机使用前,必须进行杀毒。
5、严格信息系统文件的收发,完善清点、修理、编号、签收制度。
三、网络与信息系统安全专项防护管理工作
1、安排专人负责我镇的网络安全工作,并积极参加县有关部门组织的网络安全知识培训,提高工作水平。
2、安排专人负责信息系统的管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
3、利用机关干部集中学习,专门组织开展了一次网络与信息安全知识的学习活动。
四、“十八大”期间网络与信息系统安全工作
为切实做好网络与信息系统安全管理工作,确保“十八大”期间全镇网络与信息系统安全稳定运行,在8月21日我镇召开的十八大安保工作专项部署会上,镇党委政府对此项工作进行了专门部署,要求各科室、各部门严格按照各项工作部署,扎实做好网络与信息系统安全管理工作,确保此项工作落实到位。
五、网络与信息系统安全专项检查工作情况
目前,针对我镇的网络与信息安全工作现状,信息化与 2 网络安全工作领导小组定期组织由专业技术人员组成的检查小组到各办公室专项检查网络和信息安全情况,仔细排查信息系统的漏洞和安全隐患,用专用工具查杀木马、病毒,及时加强防范措施,并为计算机安装了正版的杀毒软件和系统软件,有效提高了计算机和网络防范、抵御风险的能力。
六、存在的主要问题及整改情况
1、存在的主要问题
一是由于本单位计算机网络方面的专业技术人员较少,网络安全方面可投入的力量有限。
二是规章制度体系初步建立,可能还不够完善,未能覆盖到网络与信息系统安全的所有方面。
三是遇到计算机病毒侵袭等突发事件时,由于技术力量薄弱,处理不够及时。
2、整改措施
一是要继续加强对本单位工作人员的安全意识教育,提高做好安全工作的主动性和自觉性。
二是安排专人,密切监测,随时随地解决可能发生的信息系统安全事故。
三是要加大对网络线路、计算机系统的及时维护和保养,加大更新力度,确保网络和信息系统正常运行。
xxx人民政府
2012年8月22日
点击咨询 