劳动和社会保障局政府信息系统安全检查情况汇报[5篇材料]

时间:2019-05-13 20:19:11下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《劳动和社会保障局政府信息系统安全检查情况汇报》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《劳动和社会保障局政府信息系统安全检查情况汇报》。

第一篇:劳动和社会保障局政府信息系统安全检查情况汇报

劳动和社会保障局政府信息系统安

全检查情况汇报

劳动和社会保障局政府信息系统安全检查情况汇报

根据《区人民政府办公室关于开展区政府信息系统安全检查工作的通知》精神,我局坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效,通过现场检查的方式对我局信息系统安全检查中发现问题的整改情况和我局目前的政府信息系统安全进行了全面检查,现将检查情况汇报如下:

一、信息系统安全检查情况

信息安全组织机构成立情况

我局成立了信息系统安全工作领导小组,由局长任组长,副局长任副组

长,成员由各科室、经办机构负责人组成。领导小组下设办公室,由杨家龙兼任办公室主任,王晨、和习珍、李凌虹具体负责办公室日常事务工作。同时我局在局领导班子成员分工中明确了和继成副局长为分管领导。局机关为信息公开工作主管部门,局办公室为具体工作机构,配备了3名兼职人员,兼职人员中人主要负责信息更新工作和网络系统运行维护工作,1人主要负责接待群众查询工作。各科室、经办机构指定专人具体收集、梳理本部门的信息并及时上报。形成了“主要领导亲自抓,分管领导具体抓,职能部门抓落实”的工作机制。

日常信息安全管理情况

成立了信息安全小组。安全小组对全局的信息安全负首责,主管领导负总责,具体管理人负主责。局网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。规范了信息的采集、审核和发布流

程,严格信息发布审核,确保所发布信息内容的准确性和真实性。建立了《重要岗位信息系统安全和保密责任制》、《资产管理制度》,制定了《人员离岗离职时信息安全管理规定》、《年度信息安全事件责任查处制度》、《计算机及相关设备维修维护管理规定》和《存储设备报废销毁管理规定》等规章制度。经检查上半年我局未发生过信息安全事件。

等级保护与风险评估情况

我局现有信息系统3个,面向社会公众提供服务的信息系统有1个,委托社会第三方进行日常运行维护管理的信息系统 2个,3个信息系统均未定级。

技术防护手段建设情况

一是涉密计算机都经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性;二是涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间设有严格的身份认证

和访问控制;三是网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等;四是安装了针对移动存储设备的专业杀毒软件。

应急管理工作开展情况

一是制定了《信息安全应急预案》,按照要求建立了部门信息安全应急技术支援队伍;二是坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予应急技术以最大程度的支持;三是严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行存档、系统备份;四是及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。

信息技术产品和信息安全产品使用情况

我局现有服务器2台,终端计算机40台,路由器4台,终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品;2台服务器和40台计算机均使用

windows操作系统;有8 个数据库,40台计算机均使用国产字处理软件,都安装了国产防病毒产品。我局现在使用的工资系统、年报系统等皆为区政府、区委统一指定产品系统。

信息安全教育培训情况

我局派专人参加了我政府组织的网络系统安全知识培训2期,并专门负责我局的网络安全管理和信息安全工作。安全小组组织了一次对基本的信息安全常识的学习活动。

信息安全经费保障情况

我局检查信息安全防护设施建设、运行、维护、检查及管理等费用列入部门年度预算资金是3万元,上半年实际投入信息安全经费万元。

信息安全事件排查情况

经检查未发现在非涉密计算机上处理、存储、传递涉密信息,在国际互联网上利用电子邮件系统传递涉密信息,在各种论坛、聊天室、博客等发布、谈论国家秘密信息以及利用qq等聊天工

具传递、谈论国家秘密信息等危害网络信息安全现象。对所有接入政府网络的计算机设备发现有操作系统存在漏洞、防毒软件配置不到位的计算机进行了全面升级确保网络安全。在此次的信息安全检查中,我局没有发现门户网站被篡改、网络攻击的信息安全事件,但有7台计算机感染病毒,5台计算机存在木马,有2台计算机存在高风险漏洞,现已得到及时清理补救。不存在服务器感染病毒、存在木马和高风险漏洞,无使用涉密信息系统处理涉密信息的事件,无在涉密和非涉密信息系统系统之间滥用计算机的事件,无在涉密和非涉密信息系统之间混用移动存储设备的事件。

二、主要问题及整改情况

安全检查发现问题的整改情况

针对我局在开展政府信息系统安全检查中存在五个问题,即:一是制度建设和落实力度不够;二是人员离岗离职时工作连续性不够;三是工作人员的保密意识不强;四是用于政府信息公开 的计算机还未能做到专机专用,信息公开工作规范性需进一步加强;五是政府信息系统的管理维护水平还有待进一步提升。对此,我局进一步强化措施,创新思路,在规范化、制度化、程序化等方面取得新进展。主要采取了六项措施:一是进一步健全了信息安全组织机构,加强对信息安全队伍建设,做到信息安全工作机构健全、信息安全工作队伍不散,信息安全工作人员及时调整和补充,保证工作的延续性。二是创新工作思路,加大对网站的维护投入。三是利用各种机会在全局干部、职工中开展政府信息安全的宣传和经常性教育。四是进一步健全机制,加强对政府信息系统重点部门、要害部门的检查督促和制度建设,对文印室、财务室等接触密源广、涉密深的重点部门和部位由信息安全检查工作领导小组进行不定期的检查督促,防止失密、泄密,对违反相关规定的科室、经办机构和个人追究责任。五是规范信息的采集、审核和发布流程,严格信息

发布审核,确保所发布信息内容的准确性和真实性。六是严格禁止办公内网与互联网相连。

当前存在的主要问题及整改措施

目前,我局的信息系统安全还存在一些薄弱环节,针对存在的问题,结合我局实际,制定了相应的整改措施限期进行整改。

1、存在的问题

一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时;四是安全意识不够;五是安全工作的水平还有待提高;六是工作机制有待完善;七是加强对业务系统和门户网站的检查督促和制度建设。

2、整改措施

一是要继续加强对干部的安全意识教育,提高做好安全工作的主动性和自觉性;二是要切实增强信息安全制度的

落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识;三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;四是要加大对线路、系统等的及时维护和保养,加大更新力度;五是要提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和保密工作;六是创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。

三、经验总结及意见建议

我局的政府信息系统安全检查工作在开展政府信息系统安全检查工作的基础上,通过此次的进一步深化和检查,在完善信息安全管理制度,加强安全防护措施,提高信息安全工作水平上取得了明显成效。同时对我区信息安全工作提出以下意见建议。

一是举办信息安全教育培训班。制定信息安全教育培训制度,对各单位的网络安全管理、信息安全人员、重要业务系统的机关工作人员定期进行职业技能培训,使他们更好地掌握信息安全常识和基本技能情况。

二是信息安全检查工作要常抓不懈。把信息安全工作与年度考核制度挂钩,对部门进行现场技术指导,加强部门的技术防护手段建设,防止信息安全事件的发生。

三是提高安全工作的现代化管理水平,进一步加强对计算机信息系统安全的防范、测评和保密工作。

第二篇:政府信息系统安全检查自查报告

紫荆路街道政府信息系统安全检查自查报告

根据巩义市信息化工作领导小组办公室《2011年政府信息系统安全检查实施方案》(巩信组办[2011]3号)文件精神。我街道对本镇信息系统安全情况进行了自查,现汇报如下:

一、自查情况(一)安全制度落实情况

1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。

2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。

3、制定了计算机及网络的保密管理制度。网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。

(二)安全防范措施落实情况

1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。

2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。

3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。

4、安装了针对移动存储设备的专业杀毒软件。

(三)应急响应机制建设情况

1、制定了初步应急预案,并随着信息化程度的深入,结合我街道实际,处于不断完善阶段。

2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。

3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。(四)信息技术产品和服务国产化情况

1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。

2、公文处理软件具体使用金山软件的WPS系统。

3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。

(五)安全教育培训情况

1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我街道的网络安全管理和信息安全工作。

2、安全小组组织了一次对基本的信息安全常识的学习活动。

二、自查中发现的不足和整改意见

根据《实施方案》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我街道实际,今后要在以下几个方面进行整改。

1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。

2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。

3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。

4、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。

紫荆路街道党政办公室 2011年8月26日

第三篇:政府信息系统安全检查情况报告

XXXX人民防空办公室2011政府

信息系统安全检查情况报告

根据XXXX市信息化工作领导小组办公室《关于开展2011政府信息系统安全检查的通知》(信化办【2011】8号)文件精神。我办对信息系统安全检查情况进行了自查,现汇报如下:

一、信息安全状况总体评价:

1、以宣传教育为主导,强化保密意识

为加强计算机、移动存储介质以及网络的保密管理,防止泄密事件发生,确保涉密信息安全,我办采取多种方式,一是对信息化相关操作人员进行强化培训,增强保密安全意识。二是将《办公自动化设备管理规定》、《办公网络管理规定》等相关制定人手一份,要求结合实际,认真学习,并落到实处。三是进行警示教育,进一步重视和加强网上信息的保密管理,确保计算机及其网络安全。

2、以制度建设为保障,严格规范管理

构筑科学严密的制度防范体系,是做好信息保密管理的重要保障。按照《国家人防办关于》的规定要求,我办不断完善各项规章制度,规范计算机、移动存储介质以及网络等相关设备的管理;规范涉密信息流转,弥补管理上存在的空挡;规范信息发布程序,制定涉密信息发布审查制度。要求严格审查、严格控制、严格把关,从制度上杜绝泄密隐患。

3、以督促检查为手段,堵塞管理漏洞

为了确保计算机、移动存储介质以及网络保密管理工作各项规章制度的落实,及时发现计算机保密工作中存在的泄密隐患,堵塞管理漏洞,我办十分重视对计算机、网络及移动存储介质保密工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密移动存储介质、涉密网络采取的管理和防范措施的落实情况进行检查。这次我办对计算机、网络及移动存储介质的情况进行了一次全面检查,通过检查,查找计算机保密工作中存在的管理漏洞,并立即整改到位。进一步做好计算机信息安全防护工作是一件刻不容缓的大事。所以我们必须做到人防与技防结合,真正设置起一道信息安全工作的一道看不见的屏障。

二、2011年信息安全主要工作情况:

(一)安全制度落实情况

1、成立了以我办XX副主任为组长的信息系统安全工作领导小组,并将信息系统安全工作领导小组办公室设在指挥通信科,由指通科科长兼办公室主任,安全小组成员从各科室抽调,具体负责日常工作。

2、建立了信息安全责任制。按责任规定,安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。

3、制定了计算机及网络的保密管理制度。办网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。

(二)安全防范措施落实情况

1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。

2、涉密计算机都设有开机密码,由各科室安全员保管负责。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。

3、网络终端没有违规上国际互联网及其他信息网的现象,没有安装无线网络等。同时,我办内部网络与因特网实行物理隔离手段,防止泄密情况发生。

4、安装了针对移动存储设备及泄密载体的专业杀毒软件。

(三)应急响应机制建设情况

1、制定了《XXXX市人防办网络与信息安全事件应急预案》,并随着信息化程度的深入,结合我办实际,处于不断完善阶段。

2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予我办应急技术以最大程度的支持。

3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。

(四)信息技术产品和服务国产化情况

1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。

2、公文处理软件具体使用金山软件的wps系统。

3、工资系统、年报系统等皆为市委、市政府统一指定产品系统。

(五)安全教育培训情况

安全小组在全办组织了一次对基本的信息安全常识的学习活动。

三、检查发现的主要问题及整改情况: 自查中发现的不足和整改意见

根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我办实际,今后要在以下几个方面进行整改。

1、安全意识不够。

要继续加强对全体干部员工的安全意识教育,提高做好安全工作的主动性和自觉性。切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。

2、设备维护、更新及时。

要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。

3、安全工作的水平还有待提高。

对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。

4、工作机制有待完善。

创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。

5、日常信息安全管理。

坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。

四、对信息安全工作的意见和建议

成立信息安全工作领导责任制与机构队伍建设

1、建立信息安全工作领导小组。领导重视是做好信息安全工作的前提。领导班子对信息安全工作十分重视,把它做为一项重要工作来抓,每年年初都会安排布置信息安全工作,并成立了由单位二把手任组长的信息安全工作领导小组,领导小组下设办公室,办公室设在综合科,由指通科科长担任办公室主任,亲自布置落实信息安全工作。

2、信息安全工作队伍的建设。近年来,我办坚持做到信息安全工作机构健全、信息安全工作队伍不散,信息安全工作人员及时调整和补充,并不断加强信息安全业务知识的学习,做好工作交接,都能熟练掌握保密法规和信息安全技术基础知识,熟悉本办的业务工作和信息安全工作基本情况。

XXXX市人防办信息系统安全工作领导小组名单

第四篇:政府信息系统安全检查自查报告[模版]

2013年×××网络与信息安全自查工作总结报

根据《×××××关于开展怒江州重点领域网络与信息安全检查工作方案的通知》(××ׄ2013‟20号)和《×××2013年重点领域信息安全检查工作方案》要求,结合我委实际认真开展了信息系统的安全自查工作。现将相关情况报告如下:

一、信息系统安全检查基本情况

(一)安全检查方案和信息系统安全组织机构实施情况。为规范和落实好此次信息系统安全检查工作,我委制订了《×××2013年政府信息系统安全检查工作方案》,并依据工作方案成立了信息系统安全工作检查领导小组,落实了管理机构,由委办公室负责信息系统安全的日常管理工作,明确了信息系统安全的主管领导、分管领导和具体管理人员。

(二)日常信息系统安全管理落实情况。

根据本委的工作实际,本委日常信息系统安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、办公业务系统信息管理。根据这些实际,我委从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息系统安全的人员、资产、运行和维护管理进行了落实。

1、落实具体负责信息系统安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,-1-

确保信息保密工作。

2、结合本单位工作实际,对涉密文件材料管理和计算机、移

动存储设备等的维修、报废、销毁管理进行了规定。对日常信息

办公软件、应用软件等的安装使用,均按照上级部门的要求和规

定,严格进行操作管理。

3、结合政府信息公开工作,按照信息公开的相关保密规定和

程序,对信息公开、阳光政府四项制度等公开发布信息保密审查

机制、程序进行了规范,完善相关信息审批备案和日常记录。

(三)等级保护与风险评估。

我委的相关信息系统主要是业务办公系统,不属于重点涉密

部门,所以,暂时没有对信息系统定级、测评和评估。

(四)技术安全防范措施和手段落实情况。

1、计算机及网络经过检查,我委按州保密局的要求,在主要的计算机上统一粘贴了“非涉密计算机严禁处理涉密信息”的标

识,杜绝涉密和非涉密计算机之间的混用。

2、在日常工作中,用360免费杀毒软件及时对计算机进行漏

洞扫描、木马检测等,加强安全监管。目前,网络运行良好,安

全防范措施和设备运行良好,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。

3、密码技术防范方面。我单位的相关信息还达不到重点涉密

信息系统等级,目前还没有使用密码技术防护措施。

(五)应急工作机制建设情况。

我委的信息系统安全管理工作还没有明确应急技术支援队

伍,主要根据工作中的问题向省计生委和相关部门报告咨询解决。目前,没有发生信息系统安全事件。

(六)信息技术产品和信息系统安全产品使用情况。

我单位计算机、公文处理软件和信息系统安全产品均为国产

产品。公文处理软件使用了思普系统。单位使用的财务系统、业

务系统、数据传输平台系统、数据库等应用软件均为省计生委和

州直相关部门。重点信息系统使用的服务器、路由器等均为国产

产品。

(七)安全教育培训情况。

1、积极参加全州保密工作会议和州委政府相关部门组织的信

息系统安全知识培训,并专门负责机关的网络安全管理和信息系

统安全工作。

2、结合集中学习,对全州保密工作会议精神进行了传达学习。

同时,在日常工作中相关保密、信息系统安全工作人员也结合《保密工作》杂志及相关文件精神,开展自学,提高信息系统安全意

识、保密意识。

(八)信息系统安全经费保障。

我委信息系统安全工作得到委领导的高度重视,信息系统安

全相关学习培训材料和相关防护设施建设、运行、维护和管理经

费均纳入预算,实报实销,为信息系统安全提供了经费保障。

二、信息系统安全检查存在的主要问题及整改情况

经过安全检查,我单位信息系统安全总体情况良好,但也存

在了一些不足,同时结合单位工作实际,进行了整改同时提出了

进一步整改的措施。

(一)部分干部职工对信息系统安全工作的认识不到位。由

于本部门工作涉密少,机关干部对信息系统安全防范的意识还有

待加强,对信息系统安全工作重要性的认识还不足。针对这些情

况,领导小组已结合传达全州保密工作会议精神,进一步作了强

调和要求。结合工作开展,今后将继续加强对机关干部的信息系

统安全意识教育,提高干部职工对信息系统安全工作重要性的认

识。

(二)部分科室计算机的杀毒软件、防护软件没有及时进行

更新升级,存在系统漏洞。针对这些问题,办公室已及时对各终

端计算机的杀毒软件进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软

件。

(三)信息系统安全工作的水平还有待加强。我委的信息系

统工作人员均为兼职人员,非专业人员,对信息系统安全的管护

水平低,还需要加强专业学习培训,提高信息系统安全管理和管

护工作的水平。

(四)信息系统安全工作机制还有待完善。部门信息系统安

全相关工作机制制度、应急预案等还不健全,还要完善信息系统

安全工作机制,建立完善信息系统安全应急响应机制,以提高机

关网络信息工作的运行效率,促进办公秩序的进一步规范,防范

风险。

三、对信息系统安全检查工作的意见和建议

(一),进一步加大对信息系统安全工作人员的业务培训。由

于很多部门的信息系统安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望进一步加强对计算机

信息系统安全管理工作的业务操作培训,发放一些信息网络安全

管理方面的业务知识材料。

(二),加强对各级各部门干部职工的信息系统安全教育。通

过开展专题警示教育培训,增强信息系统安全意识,提高做好信

息系统安全工作的主动性和自觉性。

(三),加强分类指导。由于各科的工作性质不同,信息系统

安全的防护级别也不同。希望结合各科室工作实际,对重点信息

系统安全部门和非重点信息系统安全部门进行分类指导。

××××××××

2013年9月9日

第五篇:2011政府信息系统安全检查指南

关于印发2011安徽省政府信息 系统安全检查指南的通知

(节选)

一、检查范围

为各地、各部门履行职能提供支撑的非涉密信息系统,包括自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。各地、各部门的重要业务系统、门户网站是检查重点。

政府信息系统安全检查,是指依据国家、省有关政策规定,参照国家信息安全技术标准规范,对信息系统安全保障工作进行检测评估、查找隐患、规范管理、完善措施、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检测、等级测评等。

涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定和标准执行.五、检查内容

主要检查信息安全有关规章制度落实情况、技术防护措

施及其有效性、2010信息系统安全检查中发现问题的整改情况。

(一)信息安全组织机构

信息安全工作主管领导、信息安全管理机构、信息安全专职工作机构、专职信息安全员等设置情况。按照《安徽省人民政府办公厅转发国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(皖政办发〔2008〕21号)文件要求,各部门要明确一名领导主管信息安全工作,应指定一个内设机构承担信息安全管理工作,各内设机构指定一名专职或兼职信息安全员。

(二)日常信息安全管理

1、人员管理。查验相关文档、文件、记录等,检查信息安全和保密责任制建立及落实情况,重要岗位人员安全保密协议签订情况,人员离岗离职信息安全管理情况,外部人员访问机房等重要区域管理情况,违反制度规定造成信息安全事件的责任查处情况等。

2、资产管理。检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。

3、运维管理。检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的,应查看服务合同

和安全保密协议等。

(三)等级保护与风险评估

1、等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档,检查信息系统定级、测评、整改等情况。

2、风险评估。检查信息安全风险评估有关文件要求的落实情况。通过查看风险评估报告等,检查风险评估工作的开展。

(四)技术防护手段建设

1、网络边界安全防护。检查系统总体网络架构、区域划分及边界防护、网络管理等情况;互联网接入情况;终端接入互联网时是否有安全信息提示措施等;边界防护设备部署、使用及策略配置情况。

2、信息安全产品部署及使用。提供信息系统完整的网络拓扑图,包括总体网络架构、子系统、终端节点、区域划分、边界防护设备(防火墙、入侵检测设备、防病毒网关和安全审计设备)及对外网络接口等,提供边界防护设备日志。

3、服务器安全防护。检查服务器上应用、服务、端口以及系统补丁等情况,账号口令强度及更新情况,病毒木马防护措施及漏洞扫描、病毒木马检测情况。

4、网络设备安全防护。检查安全策略配置有效性;账

号口令强度和更新情况;漏洞扫描情况。

5、终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理方式,计算机账号口令强度和更新情况;终端计算机接入互联网安全控制措施(如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等);是否安装病毒防护软件,定期进行漏洞扫描、病毒木马检测;是否在非涉密和涉密信息系统间混用了计算机和移动存储设备,是否使用了非涉密计算机处理涉密信息等。

6、门户网站安全防护。检查网站信息发布审批制度建立及落实情况;边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况,以及安全配置策略的有效性;是否定期进行漏洞扫描、木马检测等。

7、密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行防护的情况,使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。

8、网络信任措施。检查采用数字证书实现身份认证和授权管理的情况,使用的数字证书是否符合国家电子认证服务管理规定。

(五)应急管理工作开展

1、应急预案。检查《安徽省网络与信息安全事件应急预案》落实情况,重要信息系统是否制定了本部门信息安全

应急预案文本及宣贯培训记录、灾难备份工作开展情况等。

2、应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的,应检查演练相关文档(包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等)。

3、应急技术支援队伍。检查是否按照要求明确应急技术支援队伍。对于已明确的,应检查签订的合同和安全保密协议,掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。

4、灾难备份。检查重要业务系统和网站的数据是否进行备份,是否配备冗余的通信线路、网络设备、服务器,已进行灾难备份的应查看备份记录、检查相关冗余设备。对于采用社会第三方灾难备份服务的,应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。

5、信息安全事件应急处置。检查本发生的信息安全事件及处置情况。对于发生重大信息安全事件的,应检查是否进行了及时处置,是否按照要求上报和通报等。(信息安全事件分级依据《安徽省网络与信息安全事件应急预案》)。

(六)信息技术产品和信息安全产品使用

1、信息技术产品。检查服务器、网络设备、操作系统、储存设备、终端计算机、字处理软件等国产化情况。在使用捐赠服务器、网络设备、存储阵列等产品,应检查产品应用

范围、签订的相关协议,以及使用前是否进行安全测评等。

2、信息安全产品。在进行网络边界安全防护检查时,查看防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品等国产化情况。使用捐赠的信息安全产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。

本指南中的国产终端计算机、国产字处理软件、国产信息安全产品,暂按以下方法进行认定:(1)国产终端计算机应具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件;(2)国产字处理软件应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,并符合法律法规和政策规定的其他条件;(3)国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,通过国家认定的信息安全产品检测实验室的检测,并符合法律和政策规定的其他条件。

(七)信息安全服务

查看信息安全外包服务项目清单,包括外包服务内容、服务商名称、服务商性质(外资、非外资)、合同和安全保密协议、服务方式(远程在线服务、现场服务或其他等)。

(八)信息安全教育培训

机关工作人员参加信息安全教育培训、掌握信息安全常

识和基本技能情况,信息安全管理和技术人员参加信息安全专业培训情况、重点岗位持证上岗等情况。

(九)信息安全经费保障

检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入单位预算,以及本信息安全经费实际投入情况等。

(十)安全隐患排查及整改

重点检查对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情况,以及分析产生问题的隐患的原因,研究制定和落实整改措施等情况。

六、时间安排

各地、各单位可根据实际情况,统筹规划和组织部署信息系统安全检查工作,并对安全检查工作进行认真总结、分析和评估,于2011年12月31日前将安全检查报告报送安徽省网络与信息安全协调小组办公室。

协调小组办公室将及时跟踪、掌握、汇总安全检查情况,并将安全检查结果报送工业和信息化部。

七、工作要求

(一)各单位要把信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,开展宣传教育培训活动,确保检查工作顺利开展。按照《安徽省政府信息系统安全检查实施办法》的要求,参照

本指南制定具体的安全检查实施方案和工作计划,并认真组织实施。建立信息安全检查责任制,明确检查责任,落实检查组织机构、参与单位及检查人员。

(二)可组织所属信息中心等单位开展安全检查工作,也可根据需要委托外部专业机构协助开展技术检测工作。

全面参与技术检测的外部专业机构应至少满足以下条件:

1、事业单位;

2、从事信息安全检测或相关工作两年以上;

3、专业技术检测人员10人以上,均签订两年以上劳动合同;

4、参与技术检测的人员均为中国公民,无违法犯罪记录,并签订安全保密协议。

(三)委托外部专业机构协助开展技术检测,应与检测机构及参与检测的人员签订安全保密协议,明确安全保密责任和义务。

安全保密协议应包括以下内容:

1、检测机构应遵守国家有关法律法规,客观、公正地提供检测服务;

2、检测机构应保证所提供相关材料的真实性;

3、检测机构不得向其他单位和个人泄露数据和检测结果,不得利用检测数据谋取利益;

4、检测机构应采取有效安全措施,防止因技术检测引发信息安全事件;

5、检测机构不得将检测任务分包或转包。

(四)强化安全检查过程的安全保密和风险控制,切实加强对检查活动、检查人员以及相关文档和数据的安全保密

管理,周密制定检查工作应急预案,确保被检查信息系统的安全正常运行。

八、检查报告

(一)检查报告内容

检查报告主要包括三方面内容:一是信息安全总体情况。包括本信息安全工作主要情况,安全检查工作开展情况及检查效果,对本单位信息安全状况的总体评价;二是主要问题及整改情况。三是经验总结及意见建议。包括本部门安全检查工作的经验总结,对安徽省网络与信息安全检查工作的意见建议。

根据检查结果编制检查报告,范围限于各部门本级机关及派出机构。

根据检查结果的敏感程度确定检查报告密级,并在检查报告上明确标识。

(二)报送方式

检查报告以各单位办公室名义报送安徽省网络与信息安全协调小组办公室。

九、安全抽查

按照《安徽省政府信息系统安全检查实施办法》要求,省网络与信息安全协调小组办公室会同有关单位组织开展政府信息系统安全抽查工作。抽查方式分为现场安全抽查和外部安全抽查。

(一)现场抽查。主要抽查2010安全检查中发现问题的整改情况,2011安全检查工作开展情况。相关单位应积极配合抽查工作,指定抽查工作负责人和联络员,落实所需办公场所、办公设备、网络资源等必要条件,提供抽查工作涉及的信息系统资产信息、信息系统建设运维情况、信息安全规章制度等相关文件、文档和记录。

(二)外部安全检查。定期对全省各部门、各单位门户网站进行外部检查,重点检测网站漏洞、网页挂马等情况。

附件:信息安全检查报告编制要求

附件:

信息安全检查报告编制要求

信息安全检查报告包括工作报告和技术报告,编制要求分别如下:

一、工作报告主要内容

1、概述

2、检查工作组织和实施情况。

3、检查发现的主要问题及概要统计分析。

4、被检查单位信息安全状况的总体评价。

5、主要的整改建议措施,以及对信息安全检查工作的建议。

二、技术报告主要内容

1、任务来源和检查依据。

2、检查工作开展情况。概要说明检查准备阶段、实施阶段和总结阶段所做的工作。

3、检查的信息系统基本情况,抽取的服务器、网络设备、终端计算机等相关设备情况。

4、检查结果。对照本规范中关于检查内容的要求,逐项、客观陈述检查和技术测试结果。

5、主要问题及分析。对检查中发现的问题、存在的安全漏洞和隐患进行分类汇总,对可能造成的危害与影响进行分析,对检查数据类项目进行统计(辅以图表形式),对被检查单位信息安全状况进行总体评价。

6、整改建议。针对检查中发现得问题,有针对性地提出整改措施建议。

下载劳动和社会保障局政府信息系统安全检查情况汇报[5篇材料]word格式文档
下载劳动和社会保障局政府信息系统安全检查情况汇报[5篇材料].doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐