第一篇:重庆工程职业技术学院关于系统信息安全等级保护工作专项总结的报告
重庆工程职业技术学院关于
系统信息安全等级保护工作专项总结的报告
市教委:
根据教育部办公厅《关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅„2010‟80号)和《重庆市教委委员会关于开展重庆市教育系统信息安全等级保护工作专项检查的通知》(渝教科函„2010‟19号),为了解、掌握我院系统信息安全等级保护工作开展情况并配合重庆市教委做好监督检查工作,现就我院系统开展信息安全登记保护工作的总结情况汇报如下:
学院各级领导非常重视系统信息安全,并落实具体措施与制度应抓紧抓好此项工作。在法律法规、规章及制度约束下,落实信息安全责任制,力争做到了全方位覆盖,确保每个环节都处于安全、可控状态,确保信息安全万无一失。
一、安全等级
通过开展信息系统安全等级保护工作,使全院相关的网络信息系统按照相关要求(信息系统划分为五个保护等级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级;其中第一、二级由运营单位进行自主保护,第三、四级由运营单位在区信息办的监督下进行保护,第五级则由国家指定的专门部门和机构进行保护)确定安全保护等级,并依照相关法
律法规和标准进行信息系统建设和管理。
现代教育技术中心在2007年12月重庆市公安局公共信息网络安全监察总队的信息系统风险评估的评测中,“学院网站”定为第二级:即指导保护级,其它信息系统定为第一级:即自主保护级。
二、任务分工
在重庆市教委、重庆市公安局公共信息网络安全监察总队的指导下,学院系统信息安全等级保护工作由数字化校园建设办公室、各处室院系共同完成。
每个单位根据信息系统的规模和安全保护等级指定一名信息安全管理、检查负责人或增加一名网络安全技术负责人,负责信息安全的各项工作并定期向本单位主管信息安全的领导、学院数字化校园建设办公室汇报信息系统的安全等
级评定情况。
三、工作步骤
按照重庆市教育系统信息安全等级保护工作专项检查的通知的安排,结合我院实际情况,特制定重庆工程职业技术学院信息安全工作的计划。信息安全等级保护工作分为三个阶段,其中包括:
(一)调查和自评阶段(2010年11月)
(二)建设和完善阶段(2010年11月至12月)
(三)评测、认证和备案阶段(2010年1月至12月)数字化校园建设办公室随附件下发《重庆工程职业技术学院信息安全等级保护调查及自我评测表》,12月5日上旬根据各单位自评自报的情况完成全区的安全等级的评定工作,并对不同的级别给出安全保护的建议。
各单位从2010年11月开始建立自己的信息安全防护体系,数字化校园建设办公室将对第一级(自主保护级)的单位进行检查。
四、调查评测
数字化校园建设办公室参考《教育系统信息安全等级保护工作自查情况表》制定了《重庆工程职业技术学院信息安全等级保护调查及自我评测表》,本表分为3个部分:
(一)单位信息部分:
要求各单位由主管领导指定信息安全的安全管理负责人和安全技术负责人。
(二)信息系统部分:
分别从A)信息系统所属类型、B)业务信息类型、C)服务范围、D)业务对信息系统的依赖程度、E)由于信息安全所引起的损失情况,从这5个方面对各单位的信息系统进行调查。请各个单位的信息安全管理负责人认真填写。
(三)自评测部分:
现代教育技术中心在2007年12月重庆市公安局公共信息网络安全监察总队的信息系统风险评估的评测中,“学院网站“定为第二级,,建议学院其它系统安全等级评定原则上定在一级。
附件:
1.教育系统信息安全等级保护工作自查情况表
第二篇:重庆工程职业技术学院办公自动化系统管理办法
重庆工程职业技术学院办公自动化系统管理办法(试 行)
第一章总则
第一条办公自动化系统(以下简称OA系统)是覆盖学校机关部(处)、学院
及直属单位的综合性办公信息管理系统,是数字化校园的重要组成部分,是学校推行无纸化办公、提升信息化管理水平的重要平台与重要载体。
第二条学校按照“安全实用、逐步完善”的原则建设OA系统。
第三条为保障学校OA系统能够顺利推广应用、安全稳定运行和科学规范管理,制定本办法。
第二章系统的结构功能
第四条学校OA系统参照教育部办公自动化系统的技术平台要求,采用浏览器/
服务器结构作为基本运行平台和信息交换基础。
第五条学校OA系统服务器用于存放所有办公数据和文件信息;浏览器用于展
现和处理这些数据信息的窗口,供学校领导、机关部(处)、学院及直属单位进行信息的查阅、输入、修改、传送与发布等。
第六条学校OA系统涉及的客户计算机,其最低要求配置需满足
Windows95/98/2K系统的正常运行并与校园网连通,且硬盘盈余空间在200MB以上。
第七条目前,学校OA系统主要包括公文管理、会议管理、公共信息、事务管
理、档案管理、邮件系统以及短信收发等功能模块,基本上能够满足网络办公的需要。
第三章系统的组织管理
第八条院长办公室是学校OA系统的主管部门,在主管校领导的领导与指导下,负责学校OA系统建设的协调与管理工作。结合数字化校园建设,制定系统建设计划并负责组织实施;制定系统的有关管理制度,实行严格管
理,保证系统规范、有序运行。院长办公室设OA系统管理员一名,具体负责系统日常运行的管理,制定系统建设方案,组织开展对各单位系统管理员、公文中转人的培训工作。
第九条学校机关部(处)、学院及直属单位是OA系统的使用部门,要确定一
名负责人分管本单位OA工作。同时,指定一名OA系统管理员和一名
OA系统公文中转人(两者可以兼任),负责本单位OA系统的管理和日常办公信息的处理。
第十条OA负责人工作职责
(一)负责本单位办公自动化系统的规划和建设;
(二)组织完成学校办公自动化建设和应用推广的各项任务;
(三)负责组织本单位使用系统人员的培训;
(四)负责本单位办公自动化系统的安全和保密工作;
(五)对本单位系统管理员和公文中转人的工作进行督促和检查;
(六)负责本单位办公自动化工作其他有关事宜。
第十一条系统管理员工作职责
(一)负责本单位在办公自动化系统中信息的维护,保证单位组织机构信
息和人员信息以及用户管理范围、公文中转人等系统信息设置的完
整与准确;
(二)负责培训和指导本单位人员对办公自动化系统的使用操作;
(三)妥善保管密码,防止失窃失密;
(四)确保本单位办公网络安全、畅通;
(五)接受学校办公自动化建设和应用管理单位的业务指导;
(六)处理本单位办公自动化工作其他有关事务。
第十二条公文中转人工作职责
(一)负责本单位OA系统电子文书信息(待办公文、正式公文、会议申请
等)的传递、分发、清理及内部归档等方面的办理与管理工作;
(二)负责本单位与其他单位在OA系统中的电子文书信息的互相传递(发
送、接收)工作,确保信息处理及时、准确、畅通。
第四章系统的信息管理
第十三条学校OA系统中的信息主要分为事务文书信息、公文信息和公共信息。第十四条事务文书信息由有权限的单位用户发布,供所有用户浏览。发布者对
发布的信息的准确性与合理性负责。
第十五条学校OA系统中各种公文的处理,应严格执行国家和学校有关规定。
各单位在OA系统中发布信息,须经本单位负责人审核同意。单位负
责人须对本单位在系统中发布的通知、简报等文书内容严格把关,并对其真实性和严肃性负责。
第十六条以电子文件形式在OA系统中流转、发布的各类校内公文,学校不再
使用和接收各单位就其制作的纸质公文。学校电子公文与原有纸质
公文具有同等效力。
第十七条各单位系统管理员应加强对本单位的系统信息的维护与管理,及时添
加、删除或修改本单位的有关系统信息,确保系统信息准确与完整。
第十八条各单位公文中转人应在每个工作日的上班时间登陆OA系统,及时、准确处理各类文书信息,确保学校政令畅通。
第十九条学校OA系统是全校网络办公系统,应保持其严肃性,不得在系统中
随意发布各类信息,特别是发布与办公无关的信息。校园网上私人
书信来往或文件交换,应通过学校邮件系统进行。
第五章系统的用户管理
第二十条学校OA系统用户根据不同的工作职能,拥有不同的权限。
第二十一条学校OA系统用户分为普通用户和管理员用户。每个用户拥有唯一的用户名。因初设用户口令相同,初始用户登录后应尽快修改,以
确保用户安全。
第二十二条学校OA系统普通用户享有使用自己权限范围内的系统功能模块,同时有责任及时阅知系统文件信息,阅办系统办理流程中的待办文
件。普通用户超过1个月不登陆OA系统时,其帐号将被自动冻结。
第二十三条学校OA系统管理员用户是以校属各单位命名、拥有网上处理单位
事务权限的用户。管理员用户应正确、合理地使用系统分配的权限,及时、准确地处理系统文件信息,积极协助学校开展OA系统的应用
推广工作。
第二十四条学校OA系统用户群组可根据单位或个人需要,由用户自行添加设
置形成,向群组发送信息,但不得在系统中擅自向其他用户发送信
息,特别是发送无效信息。
第二十五条学校OA系统管理员用户由院长办公室统一注册、修改、删除,普
通用户由各部门系统管理员负责注册、修改、删除;跨部门人员调
动,由院长办公室OA系统管理员统一负责修改。
第六章系统的安全管理
第二十六条学校OA系统所有用户应认真贯彻执行《中华人民共和国计算机信
息系统安全保护条例》和公安部《计算机信息网络国际联网安全保
护管理办法》,严格遵守《中国教育和科研计算机网暂行管理办法》
及校园网络管理的有关规定。
第二十七条学校对OA系统的安全实行单位领导责任制。各单位主要负责人对
本单位OA系统信息的安全保密工作负责。
第二十八条学校OA系统所有用户不得利用系统从事危害国家、集体和他人合法利益的活动,不得在系统上制作、传播有碍社会治安和不健康的信息,不得制造和输入计算机病毒以及其他危害系统安全的数据。
第二十九条学校OA系统所有用户应按规定权限阅读和使用系统提供的信息,不得盗用他人用户账号,不得干扰其他用户和破坏系统服务。OA系
统用户口令应经常更改并保守秘密,避免请他人代为使用或输入口
令等,以防他人有意或无意打开系统数据库获取信息,滥发电子邮
件、恶意增删资料或干扰公文运转。因口令丢失或被盗用而引起的后果,由用户本人承担。
第三十条学校OA系统所有用户均负有对系统信息保密责任,不得随意发布涉
及国家和学校机密及其它不宜发布的信息。
第七章系统的技术保障
第三十一条现代教育技术中心是学校OA系统技术保障部门。具体负责系统的开发与建设、系统运行所需软件与设备的购置、系统运行的技术支
持,具体实施对公文管理员的培训工作。
第三十二条校内各单位与学校OA系统服务器连接的校园网络的正常运行,由
信息中心负责提供技术支持。
第三十三条学校OA系统中所需办公软件的使用,必须遵守知识产权的有关法第三十四条
第三十五条
第三十六条
第三十七条
第三十八条
第三十九条
律法规。第八章责任与处罚 为保障学校OA系统的硬件、软件和信息的安全和系统的正常运行,所有用户应严格遵守本办法的规定。违者,学校将视其情节采取相应的处罚措施。不执行或怠于执行本办法的规定,影响OA系统文件信息正常接收、处理,导致系统不能正常运行的,学校对单位予以通报批评,对有关责任人由单位纳入学年考核中处置。违反本办法的规定,给国家、集体或他人合法权益造成损失的,应当依法承担责任。第九章附则 学校将OA系统的推广使用情况纳入各单位考核指标。本办法由院长办公室负责解释。本办法自发布之日起试行。
第三篇:重庆工程职业技术学院关于加强网络安全保护工作的意见
重庆工程职业技术学院关于加强网络安全保护工作的意见
为贯彻中办、国办《关于进一步加强互联网管理工作的意见》(中办发[2004]32号)和市委、市政府《关于进一步加强我市互联网管理工作的意见》(渝委办[2005]95号)等文件精神,贯彻落实《互联网安全保护技术措施规定》(公安部第82号令),结合《重庆市公安局关于加强我市互联网安全保护工作的意见》(渝公网监[2006]74号),进一步加强我校网络安全保护工作,维护国家安全和社会稳定大局,促进我校网络持续健康发展,现提出以下意见。
一、充分认识加强学校网络安全保护工作的重大意义
自我院数字校园建设和应用发展迅猛,极大地推动了学院的信息化与现代化的层次,为办公自动化、数字校园的实施提供了有力的保障,为全院师生获取知识、丰富生活提供了方便。学院网络安全保护工作需要进一步加强,网上有害信息、网络攻击破坏等也曾有发生。如果不采取切实有效的安全保护技术措施,势必影响学院网络的健康持续发展,也将最终影响学院正常的教学、科研、管理与服务一体休的秩序。因此,进一步加强网络安全保护工作,是各部门的责任和义务。各部门一定要从维护国家安全、社会稳定,促进和保障学院信息化建设健康发展的高度,充分认识和加强网络安全保护工作的重大意义,积极采取切实有效的工作措施,共同建设好、维护好一个健康、文明、和谐的网络。
二、切实抓好网络用户备案管理工作
现代教育技术中心应履行互联网用户备案手续,如实登记用户名称、责任人、通信地址、IP地址、网络域名和应用范围等备案信息。对用户的备案信息应如实记录、留存并定期将上述信息及其变更情况妥善保存,以备公安机关检查。信息中心要加强对用户备案工作的监督管理职责,对拒各单位乱改备案信息或提供信息不实的单位及其用户,一经发现,学院保卫处和现代教育技术中心将依法处理。
三、认真落实网络安全保护技术措施
现代教育技术中心及其它各部门应当高度重视网络安全保护工作,对已有网络和新、改、扩建的网络,要根据网络、系统和应用的特点,统一规划信息安全和实体安全保护方案,按照《互联网安全保护技术措施规定》,严格落实对计算机病毒、网络入侵和攻击破坏等行为的防范措施,对反动、淫秽色情、垃圾邮件和垃圾短信等有害信息的过滤、封堵措施,对重要数据库和系统主要设备的冗余备份措施,建立系统操作人员和上网人员身份认证机制,加强对学生上网的宣传与管理,强化对网络运行和网上信息的审计和审查措施,保留系统安全日志30天以上并在公安机关网监部门、学校保卫处和信息中心依法查询时能予提供,切实保障网络的运行安全、信息安全以及数据中心机房、网络设备的实体安全。
四、积极推动网络安全防控体系建设
各部门要指定一名负责人专门负责网络安全工作,积极参与和配合学院网络安全工作,依法落实有关网络安全保护技术措施,共同做好对学生的网络安全意识与行为教育,不断提高对网上有害信息和网络违法犯罪活动的发现、处置、打击能力,维护国家安全和社会政治稳定,保障学院网络健康发展。
五、建立健全网络安全应急处置机制和信息通报制度
各部门要根据自身网络、系统和应用的特点,制定相应的网络安全应急处置预案,确定应急联络人员,在发生网络安全突发事件(案件)时,要立即启动应急处置预案,并及时向学院报告。学院牵头建立网络信息通报制度。发现网上涉及国家安全、经济建设、社会稳定和公众利益的重大安全问题和事件,要及时向学院报告。学院分析、汇总相关情况后,向市公安局报告。
六、进一步加强网络安全监督管理
学院网络安全领导小组和办公室要切实履行安全监督管理职责,加大网上监察力度;要督促各部门落实网络安全保护工作责任制,与各部门签订《重庆城市管理职业学院互联网安全保护责任书》;要开展多种形式的安全检测、检查,对发现的信息网络安全隐患,要及时督促有关部门整改;要认真组织网络安全管理人员的教育培训,加强网络安全法律和安全意识的宣传教育工作。
第四篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第五篇:信息安全等级保护专项检查自查报告
河南省环境保护厅环境自动监控系统信息安全等级保护专项检查自查报告
为了认真贯彻落实省公安厅《关于组织开展全省2011信息安全等级保护专项检查工作的通知》文件精神,为进一步做好我省环境自动监控系统信息安全工作,提高环境自动监控系统安全保证能力和水平,切实加强省环境监控系统网络信息安全,为中原经济区建设创造良好的社会和网络环境。
环保部和省委、省政府领导高度重视环境自动监控系统建设和应用工作。陈新贵副厅长和易旭生副巡视员对省环境信息自动监控系统信息安全等级保护专项检查工作做出重要批示,要求认真准备,做好检查工作。
按照省环境监控中心(以下简称“监控中心”)各位领导严格要求,安排专门科室和人员,制定了一系列信息安全管理制度,加强日常信息安全监测和预警,促进了中心信息安全建设和管理,营造出健康、和谐的网络环境。近期,我中心进行了信息安全自查,现将中心信息安全自查工作情况报告如下:
一、信息安全工作的基本情况
(一)积极组织部署等级保护工作
1、专门成立等级保护协调领导机构
成立了由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组,确保环境自动监控系统高效运行、理顺信息安全管理、规范信息化安全等级建设。
2、明确等级保护责任部门和工作岗位
监控中心非常注重环境自动监控系统建设,多次开会明确等级保护责任部门,做到分工明确,责任具体到人。
3、贯彻落实等级保护各项工作文件或方案
等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案,根据环境自动监控工作的特点,制定出《河南省环境保护厅网络与信息安全事件应急预案》、《河南省环境自动监控系统机房管理制度》等一系列规章制度,落实等级保护工作。
4、召开工作动员会议,组织人员培训,专门部署等级保护工作
监控中心每季度召开一次工作动员会议,定期、不定期对技术人员进行培训,并开展考核。技术人员认真学习贯彻有关文件精神,把信息安全等级保护工作提升到重要位置,常抓不懈。
5、有关主要领导认真听取等级保护工作汇报并做出重要指示
省环保厅陈新贵副厅长、易旭生副巡视员分别对等级保护工作给与批示,要求认真做好有关工作。监控中心陶冶主任、丁卫东副主任、郭新望总工程师分别听取等级保护工作汇报,指示责任部门做好自检、自查,精心准备,迎接公安厅专项检查。
(二)认真落实信息安全责任制
1、高规格建设信息安全协调领导机构
在监控中心等级保护协调领导小组中,陶冶主任亲自担任协调领导小组组长,主管领导郭新望总工程师担任协调领导小组常务副组长,信息管理室汪太鹏主任兼任领导小组办公室主任。
2、成立信息安全职能部门
监控中心成立了信息管理室作为信息安全职能部门,负责环境网络建设,信息安全,日常运行管理。
3、制定信息安全责任追究制度
监控中心制定出相应信息安全责任追究制度,定岗到人,明确责任分工,把信息安全责任事故降低到最低。
(三)积极推进信息安全制度建设
1、加强人员安全管理制度建设
监控中心建立了人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度,对新进人员进行培训,加强人员安全管理,不定期开展考核。
2、严格执行机房安全管理制度 监控中心制定出《机房管理制度》,加强机房进出人员管理和日常监控制度,严格实施机房安全管理条例,做好防火防盗,保证机房安全。
3、建立系统建设管理制度
监控中心制订了产品采购、工程实施、验收交付、服务外包等系统建设管理制度,通过公开招标,择优选用,大大提高了系统建设的质量。
(四)大力加强信息系统运维
1、开展日常信息安全监测和预警
监控中心建立日常信息安全监测和预警机制,提高处置网络与信息安全突发公共能力事件,加强网络信息安全保障工作,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发公共事件的危害。
2、建立安全事件报告和响应处理程序
监控中心建立健全分级负责的应急管理体制,完善日常安全管理责任制。相关部门各司其职,做好日常管理和应急处置工作。设立安全事件报告和相应处理程序,根据安全事件分类和分级,进行不同的上报程序,开展不同的响应处理。
3、制定应急处置预案,定期演练并不断完善 监控中心制定了安全应急预案,根据预警信息,启动相应应急程序,加强值班值守工作,做好应急处理各项准备工作。定期演练预警方案,不断完善预警方案可行性、可操作性。
二、扎实开展信息系统定级备案
(一)信息系统定级工作概况
监控中心积极有效开展信息系统定级工作,认真编制安全等级保护定级报告。省环境自动监控系统是通过前端自动监控设施自动采样、分析、获取各污染源、环境质量点位的监测数据,通过VPN网络上传至省、市监控中心,监控中心管理人员对数据进行审核后应用于环境管理工作。
该系统主要服务于省、市环保部门环境管理,同时对审核后数据通过网站向公众发布。
系统服务受到破坏时侵害的客体是公众利益,即社会公众的环境知情权。
系统服务受到破坏后,对侵害客体的侵害是一般损害。
(二)信息系统备案工作情况
监控中心按期规范开展信息系统备案工作。根据《信息安全等级保护管理办法》,填写信息系统安全等级保护备案表。
对单位基本情况、信息系统情况、信息系统定级情况等信息做出明确备案。
三、有效推进信息系统等级测评和安全建设整改工作部署和经费保障
(一)制定等级测评工作计划
认真制定等级测评工作计划表,按照工作计划表,有条不紊的开展等级测评。
(二)制定安全建设整改工作计划
制定安全建设整改工作计划,根据自查结果,对发现问题进行安全建设整改。编制整改方案,限期完成整改计划。
(三)保证等级测评工作经费
中心优先保证等级测评工作经费的划拨、使用。
(四)落实安全建设整改工作经费保障
中心积极落实安全建设整改工作经费,协调财政部门保障整改经费保障。
(五)选择等级测评机构
四、不断完善等级保护自查和整改
(一)组织部署等级保护自查工作
领导协调小组开专题会议,部署等级保护自查工作。按照信息安全等级保护工作检查表的要求,细化各项检查指标,落实各项指标。
(二)按期整改存在的问题
五、认真做好三级信息系统等级测评和安全建设整改工作
(一)等级评测工作开展情况
(二)安全建设整改工作开展情况