第一篇：信息網(wǎng)絡(luò)安全等級保護

信息網(wǎng)絡(luò)安全等級保護

自檢自查報告

臨河人民醫(yī)院的的信息網(wǎng)絡(luò)安全建設(shè)在上級部門的 關(guān)心指導(dǎo)下，近年取得了快速的進步和發(fā)展，根據(jù)市衛(wèi)生局《關(guān)于開展信息系統(tǒng)等級保護檢查工作的通知》文件精神和要求及接到公安局文件后，醫(yī)院高度重視，及時召開院信息系統(tǒng)安全等級保護工作領(lǐng)導(dǎo)小組會議，積極部署工作、明確責(zé)任、具體落實，按照“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，認真對照信息安全等級保護自查項目表，對我院信息安全等級保護工作進行了一次摸底調(diào)查，現(xiàn)將此項工作自查情況匯報如下：

一、等級保護工作組織開展、實施情況：

成立了臨河區(qū)人民醫(yī)院信息系統(tǒng)安全等級保護工作領(lǐng)導(dǎo)小組，落實了信息安全責(zé)任制；對等級保護責(zé)任部門和崗位人員進行了確定，確保專人落實；制定了等級保護工作的文件及相關(guān)工作方案；嚴格按照國家等級保護政策、標(biāo)準規(guī)范和行業(yè)主管部門的要求，組織開展各項工作；及時召開了信息系統(tǒng)安全等級保護工作領(lǐng)導(dǎo)小組工作會議；醫(yī)院主要領(lǐng)導(dǎo)對等級保護工作作出了重要批示，并在工作會議上提出了四點要求。

2信息安全管理制度的建立和落實情況 院信息中心制定了《臨河區(qū)人民醫(yī)院信息化建設(shè)總體規(guī)劃》、《臨河區(qū)人民醫(yī)院信息系統(tǒng)工作制度與人員崗位職責(zé)目錄》、《臨河區(qū)人民醫(yī)院計算機管理系統(tǒng)應(yīng)急預(yù)案》、《臨河區(qū)人民醫(yī)院HIS信息系統(tǒng)工作制度》等相關(guān)制度，并在實際工作中對照制度嚴格執(zhí)行各項操作流程。

3按照信息安全法律法規(guī)、標(biāo)準規(guī)范的要求制定具體實施方案和落實情況

遵照有關(guān)法律法規(guī)，對醫(yī)院信息服務(wù)網(wǎng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,對醫(yī)院信息服務(wù)網(wǎng)信息安全保護等級進行了自主定級。

二、信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況：

按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字，2007?861號），對本單位維護的醫(yī)院內(nèi)網(wǎng)站（醫(yī)院信息和服務(wù)網(wǎng)）安全保護等級級別定位第二級。

三、信息安全設(shè)施建設(shè)情況和信息安全整改情況：

1安全設(shè)施建設(shè)情況：我院計算機、公文處理軟件和信息系統(tǒng)安全產(chǎn)品均為國產(chǎn)產(chǎn)品，包括使用360、金山安全衛(wèi)士、金山毒霸、諾頓nod正版軟件等安全軟件。公文處理軟件使用了Microsoft Office系統(tǒng)。單位使用的工資系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)傳輸平臺系統(tǒng)、數(shù)據(jù)庫等應(yīng)用軟件均為市委、市政府政府相關(guān)部門、市財政局和市衛(wèi)生局統(tǒng)一指定的產(chǎn)品系統(tǒng)。重點信息系統(tǒng)使用的服務(wù)器、路由器、交換機等均為國產(chǎn)產(chǎn)品。2信息安全整改情況：

一信息系統(tǒng)安全工作還需要繼續(xù)完善和提高相應(yīng)的維護能力。隨著移動護理查房的展開，信息工作人員還需要繼續(xù)提高信息系統(tǒng)安全管理和管護工作的水平。二設(shè)備維護、更新有待加強?？剖业恼鎛od殺毒軟件維護能夠自動更新升級，并進行了定時掃描，確保不存在系統(tǒng)漏洞，偶爾更換新主機ip地址會有沖突，IP網(wǎng)絡(luò)地址也進行了統(tǒng)一管理。今后將對線路、系統(tǒng)等的及時維護和保養(yǎng)，及時更新升級軟件和管理網(wǎng)絡(luò)地址。

三信息系統(tǒng)安全工作機制還有待完善。部門信息系統(tǒng)安全相關(guān)工作機制制度、應(yīng)急預(yù)案等還不健全，還要完善信息系統(tǒng)安全工作機制，建立完善信息系統(tǒng)安全應(yīng)急響應(yīng)機制，以提高醫(yī)院網(wǎng)絡(luò)信息工作的運行效率，促進醫(yī)療、辦公秩序的進一步規(guī)范，防范風(fēng)險。

四、信息安全管理制度建設(shè)和落實情況：

1制定了醫(yī)院信息服務(wù)網(wǎng)信息安全管理制度，按照“誰主管誰負責(zé)”的原則開展工作，我單位負責(zé)人為第一責(zé)任人，對醫(yī)院信息服務(wù)網(wǎng)信息安全管理負直接責(zé)任，并接受上級單位的監(jiān)管。

2對醫(yī)院信息服務(wù)網(wǎng)機房實施了24小時值班，操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、防病毒系統(tǒng)、網(wǎng)站軟件系統(tǒng)實時升級，3發(fā)現(xiàn)安全隱患，第一時間由技術(shù)人員解決。

五、信息安全產(chǎn)品選擇和使用情況：

醫(yī)院內(nèi)部服務(wù)器使用了IBM和戴爾的服務(wù)器，交換機使用了H3C.六、聘請測評機構(gòu)按規(guī)范要求開展技術(shù)測評工作情況，根據(jù)測評結(jié)果開展整改情況：暫無聘請測評機構(gòu)開展技術(shù)測評工作。

七、自行定期開展自查情況：

1每半年對醫(yī)院信息服務(wù)網(wǎng)進行一次信息系統(tǒng)安全保護自查和應(yīng)急演練措施。2開展信息安全知識和技能培訓(xùn)情況：主動學(xué)習(xí)信息安全法律法規(guī)，積極參加公安機關(guān)、上級主管部門組織的信息安全知識和技能培訓(xùn)。

第二篇：網(wǎng)絡(luò)安全等級保護條例

第一章第二章第三章第四章第五章第六章第七章第八章 網(wǎng)絡(luò)安全等級保護條例

（征求意見稿）

目錄

總 則..........................................支持與保障......................................網(wǎng)絡(luò)的安全保護..................................涉密網(wǎng)絡(luò)的安全保護.............................密碼管理.......................................監(jiān)督管理.......................................法律責(zé)任.......................................附 則.........................................第一章 總 則

第一條【立法宗旨與依據(jù)】為加強網(wǎng)絡(luò)安全等級保護工作，提高網(wǎng)絡(luò)安全防范能力和水平，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國保守國家秘密法》等法律，制定本條例。

第二條【適用范圍】在中華人民共和國境內(nèi)建設(shè)、運營、維護、使用網(wǎng)絡(luò)，開展網(wǎng)絡(luò)安全等級保護工作以及監(jiān)督管理，適用本條例。個人及家庭自建自用的網(wǎng)絡(luò)除外。

第三條【確立制度】國家實行網(wǎng)絡(luò)安全等級保護制度，對網(wǎng)絡(luò)實施分等級保護、分等級監(jiān)管。

前款所稱“網(wǎng)絡(luò)”是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)。

第四條【工作原則】網(wǎng)絡(luò)安全等級保護工作應(yīng)當(dāng)按照突出重點、主動防御、綜合防控的原則，建立健全網(wǎng)絡(luò)安全防護體系，重點保護涉及國家安全、國計民生、社會公共利益的網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全、運行安全和數(shù)據(jù)安全。

網(wǎng)絡(luò)運營者在網(wǎng)絡(luò)建設(shè)過程中，應(yīng)當(dāng)同步規(guī)劃、同步建設(shè)、同步運行網(wǎng)絡(luò)安全保護、保密和密碼保護措施。

3絡(luò)安全防范意識。

國家鼓勵和支持企事業(yè)單位、高等院校、研究機構(gòu)等開展網(wǎng)絡(luò)安全等級保護制度的教育與培訓(xùn)，加強網(wǎng)絡(luò)安全等級保護管理和技術(shù)人才培養(yǎng)。

第十四條【鼓勵創(chuàng)新】國家鼓勵利用新技術(shù)、新應(yīng)用開展網(wǎng)絡(luò)安全等級保護管理和技術(shù)防護，采取主動防御、可信計算、人工智能等技術(shù)，創(chuàng)新網(wǎng)絡(luò)安全技術(shù)保護措施，提升網(wǎng)絡(luò)安全防范能力和水平。

國家對網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的推廣，組織開展網(wǎng)絡(luò)安全風(fēng)險評估，防范網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的安全風(fēng)險。

第三章 網(wǎng)絡(luò)的安全保護

第十五條【網(wǎng)絡(luò)等級】根據(jù)網(wǎng)絡(luò)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素，網(wǎng)絡(luò)分為五個安全保護等級。

（一）第一級，一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成損害，但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡(luò)。

（二）第二級，一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造

6用；

（八）落實違法信息發(fā)現(xiàn)、阻斷、消除等措施，落實防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施；

（九）落實聯(lián)網(wǎng)備案和用戶真實身份查驗等責(zé)任；

（十）對網(wǎng)絡(luò)中發(fā)生的案事件，應(yīng)當(dāng)在二十四小時內(nèi)向?qū)俚毓矙C關(guān)報告；泄露國家秘密的，應(yīng)當(dāng)同時向?qū)俚乇Ｃ苄姓芾聿块T報告。

（十一）法律、行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護義務(wù)。第二十一條【特殊安全保護義務(wù)】第三級以上網(wǎng)絡(luò)的運營者除履行本條例第二十條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)外，還應(yīng)當(dāng)履行下列安全保護義務(wù)：

（一）確定網(wǎng)絡(luò)安全管理機構(gòu)，明確網(wǎng)絡(luò)安全等級保護的工作職責(zé)，對網(wǎng)絡(luò)變更、網(wǎng)絡(luò)接入、運維和技術(shù)保障單位變更等事項建立逐級審批制度；

（二）制定并落實網(wǎng)絡(luò)安全總體規(guī)劃和整體安全防護策略，制定安全建設(shè)方案，并經(jīng)專業(yè)技術(shù)人員評審?fù)ㄟ^；

（三）對網(wǎng)絡(luò)安全管理負責(zé)人和關(guān)鍵崗位的人員進行安全背景審查，落實持證上崗制度；

（四）對為其提供網(wǎng)絡(luò)設(shè)計、建設(shè)、運維和技術(shù)服務(wù)的機構(gòu)和人員進行安全管理；

（五）落實網(wǎng)絡(luò)安全態(tài)勢感知監(jiān)測預(yù)警措施，建設(shè)網(wǎng)絡(luò)安全防護管理平臺，對網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)流量、用戶行為、網(wǎng)絡(luò)安全案事件等進行動態(tài)監(jiān)測分析，并與同級公安機關(guān)對接；

（六）落實重要網(wǎng)絡(luò)設(shè)備、通信鏈路、系統(tǒng)的冗余、備份和恢復(fù)措施；

（七）建立網(wǎng)絡(luò)安全等級測評制度，定期開展等級測評，并將測評情況及安全整改措施、整改結(jié)果向公安機關(guān)和有關(guān)部門報告；

（八）法律和行政法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全保護義務(wù)。第二十二條【上線檢測】新建的第二級網(wǎng)絡(luò)上線運行前應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護有關(guān)標(biāo)準規(guī)范，對網(wǎng)絡(luò)的安全性進行測試。

新建的第三級以上網(wǎng)絡(luò)上線運行前應(yīng)當(dāng)委托網(wǎng)絡(luò)安全等級測評機構(gòu)按照網(wǎng)絡(luò)安全等級保護有關(guān)標(biāo)準規(guī)范進行等級測評，通過等級測評后方可投入運行。

第二十三條【等級測評】第三級以上網(wǎng)絡(luò)的運營者應(yīng)當(dāng)每年開展一次網(wǎng)絡(luò)安全等級測評，發(fā)現(xiàn)并整改安全風(fēng)險隱患，并每年將開展網(wǎng)絡(luò)安全等級測評的工作情況及測評結(jié)果向備案的公安機關(guān)報告。

第二十四條【安全整改】網(wǎng)絡(luò)運營者應(yīng)當(dāng)對等級測評中發(fā)現(xiàn)的安全風(fēng)險隱患，制定整改方案，落實整改措施，消除風(fēng)險隱患。

第二十五條【自查工作】網(wǎng)絡(luò)運營者應(yīng)當(dāng)每年對本單位落實網(wǎng)絡(luò)安全等級保護制度情況和網(wǎng)絡(luò)安全狀況至少開展一次自

第二十九條【技術(shù)維護要求】第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)在境內(nèi)實施技術(shù)維護，不得境外遠程技術(shù)維護。因業(yè)務(wù)需要，確需進行境外遠程技術(shù)維護的，應(yīng)當(dāng)進行網(wǎng)絡(luò)安全評估，并采取風(fēng)險管控措施。實施技術(shù)維護，應(yīng)當(dāng)記錄并留存技術(shù)維護日志，并在公安機關(guān)檢查時如實提供。

第三十條【監(jiān)測預(yù)警和信息通報】地市級以上人民政府應(yīng)當(dāng)建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，開展安全監(jiān)測、態(tài)勢感知、通報預(yù)警等工作。

第三級以上網(wǎng)絡(luò)運營者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，按照規(guī)定向同級公安機關(guān)報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息，報告網(wǎng)絡(luò)安全事件。有行業(yè)主管部門的，同時向行業(yè)主管部門報送和報告。

行業(yè)主管部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，按照規(guī)定向同級網(wǎng)信部門、公安機關(guān)報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息，報告網(wǎng)絡(luò)安全事件。

第三十一條【數(shù)據(jù)和信息安全保護】網(wǎng)絡(luò)運營者應(yīng)當(dāng)建立并落實重要數(shù)據(jù)和個人信息安全保護制度；采取保護措施，保障數(shù)據(jù)和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全；建立異地備份恢復(fù)等技術(shù)措施，保障重要數(shù)據(jù)的完整性、保密性和可用性。

未經(jīng)允許或授權(quán)，網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的數(shù)據(jù)和個人信息；不得違反法律、行政法規(guī)規(guī)定和雙方約

112涉密網(wǎng)絡(luò)中使用的安全保密產(chǎn)品，應(yīng)當(dāng)通過國家保密行政管理部門設(shè)立的檢測機構(gòu)檢測。計算機病毒防護產(chǎn)品應(yīng)當(dāng)選用取得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的可靠產(chǎn)品，密碼產(chǎn)品應(yīng)當(dāng)選用國家密碼管理部門批準的產(chǎn)品。

第四十條【測評審查和風(fēng)險評估】涉密網(wǎng)絡(luò)應(yīng)當(dāng)由國家保密行政管理部門設(shè)立或者授權(quán)的保密測評機構(gòu)進行檢測評估，并經(jīng)設(shè)區(qū)的市級以上保密行政管理部門審查合格，方可投入使用。

涉密網(wǎng)絡(luò)運營者在涉密網(wǎng)絡(luò)投入使用后，應(yīng)定期開展安全保密檢查和風(fēng)險自評估，并接受保密行政管理部門組織的安全保密風(fēng)險評估。絕密級網(wǎng)絡(luò)每年至少進行一次，機密級和秘密級網(wǎng)絡(luò)每兩年至少進行一次。

公安機關(guān)、國家安全機關(guān)涉密網(wǎng)絡(luò)投入使用的管理，依照國家保密行政管理部門會同公安機關(guān)、國家安全機關(guān)制定的有關(guān)規(guī)定執(zhí)行。

第四十一條【涉密網(wǎng)絡(luò)使用管理總體要求】涉密網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定安全保密管理制度，組建相應(yīng)管理機構(gòu)，設(shè)臵安全保密管理人員，落實安全保密責(zé)任。

第四十二條【涉密網(wǎng)絡(luò)預(yù)警通報要求】涉密網(wǎng)絡(luò)運營者應(yīng)建立健全本單位涉密網(wǎng)絡(luò)安全保密監(jiān)測預(yù)警和信息通報制度，發(fā)現(xiàn)安全風(fēng)險隱患的，應(yīng)及時采取應(yīng)急處臵措施，并向保密行政管理部門報告。

4密碼產(chǎn)品應(yīng)當(dāng)經(jīng)過密碼管理部門批準，采用密碼技術(shù)的軟件系統(tǒng)、硬件設(shè)備等產(chǎn)品，應(yīng)當(dāng)通過密碼檢測。

密碼的檢測、裝備、采購和使用等，由密碼管理部門統(tǒng)一管理；系統(tǒng)設(shè)計、運行維護、日常管理和密碼評估，應(yīng)當(dāng)按照國家密碼管理相關(guān)法規(guī)和標(biāo)準執(zhí)行。

第四十七條【非涉密網(wǎng)絡(luò)密碼保護】非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標(biāo)準的要求，使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護，并使用國家密碼管理部門認可的密碼技術(shù)、產(chǎn)品和服務(wù)。

第三級以上網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運行階段，按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準，委托密碼應(yīng)用安全性測評機構(gòu)開展密碼應(yīng)用安全性評估。網(wǎng)絡(luò)通過評估后，方可上線運行，并在投入運行后，每年至少組織一次評估。密碼應(yīng)用安全性評估結(jié)果應(yīng)當(dāng)報受理備案的公安機關(guān)和所在地設(shè)區(qū)市的密碼管理部門備案。

第四十八條【密碼安全管理責(zé)任】網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照國家密碼管理法規(guī)和相關(guān)管理要求，履行密碼安全管理職責(zé)，加強密碼安全制度建設(shè)，完善密碼安全管理措施，規(guī)范密碼使用行為。

任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動，或者從事其他違法犯罪活動。

第六章 監(jiān)督管理

第四十九條【安全監(jiān)督管理】縣級以上公安機關(guān)對網(wǎng)絡(luò)運營者依照國家法律法規(guī)規(guī)定和相關(guān)標(biāo)準規(guī)范要求，落實網(wǎng)絡(luò)安全等級保護制度，開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處臵、重大活動網(wǎng)絡(luò)安全保護等工作，實行監(jiān)督管理；對第三級以上網(wǎng)絡(luò)運營者按照網(wǎng)絡(luò)安全等級保護制度落實網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運行安全和數(shù)據(jù)安全保護責(zé)任義務(wù)，實行重點監(jiān)督管理。

縣級以上公安機關(guān)對同級行業(yè)主管部門依照國家法律法規(guī)規(guī)定和相關(guān)標(biāo)準規(guī)范要求，組織督促本行業(yè)、本領(lǐng)域落實網(wǎng)絡(luò)安全等級保護制度，開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處臵、重大活動網(wǎng)絡(luò)安全保護等工作情況，進行監(jiān)督、檢查、指導(dǎo)。

地市級以上公安機關(guān)每年將網(wǎng)絡(luò)安全等級保護工作情況通報同級網(wǎng)信部門。

第五十條【安全檢查】縣級以上公安機關(guān)對網(wǎng)絡(luò)運營者開展下列網(wǎng)絡(luò)安全工作情況進行監(jiān)督檢查：

（一）日常網(wǎng)絡(luò)安全防范工作；

（二）重大網(wǎng)絡(luò)安全風(fēng)險隱患整改情況；

（三）重大網(wǎng)絡(luò)安全事件應(yīng)急處臵和恢復(fù)工作；

（四）重大活動網(wǎng)絡(luò)安全保護工作落實情況；

（五）其他網(wǎng)絡(luò)安全保護工作情況。

7自參加境外組織的網(wǎng)絡(luò)攻防活動。

第五十五條【事件調(diào)查】公安機關(guān)應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定處置網(wǎng)絡(luò)安全事件，開展事件調(diào)查，認定事件責(zé)任，依法查處危害網(wǎng)絡(luò)安全的違法犯罪活動。必要時，可以責(zé)令網(wǎng)絡(luò)運營者采取阻斷信息傳輸、暫停網(wǎng)絡(luò)運行、備份相關(guān)數(shù)據(jù)等緊急措施。

網(wǎng)絡(luò)運營者應(yīng)當(dāng)配合、支持公安機關(guān)和有關(guān)部門開展事件調(diào)查和處置工作。

第五十六條【緊急情況斷網(wǎng)措施】網(wǎng)絡(luò)存在的安全風(fēng)險隱患嚴重威脅國家安全、社會秩序和公共利益的，緊急情況下公安機關(guān)可以責(zé)令其停止聯(lián)網(wǎng)、停機整頓。

第五十七條【保密監(jiān)督管理】保密行政管理部門負責(zé)對涉密網(wǎng)絡(luò)的安全保護工作進行監(jiān)督管理，負責(zé)對非涉密網(wǎng)絡(luò)的失泄密行為的監(jiān)管。發(fā)現(xiàn)存在安全隱患，違反保密法律法規(guī)，或者不符合保密標(biāo)準保密的，按照《中華人民共和國保守國家秘密法》和國家保密相關(guān)規(guī)定處理。

第五十八條【密碼監(jiān)督管理】密碼管理部門負責(zé)對網(wǎng)絡(luò)安全等級保護工作中的密碼管理進行監(jiān)督管理，監(jiān)督檢查網(wǎng)絡(luò)運營者對網(wǎng)絡(luò)的密碼配備、使用、管理和密碼評估情況。其中重要涉密信息系統(tǒng)每兩年至少開展一次監(jiān)督檢查。監(jiān)督檢查中發(fā)現(xiàn)存在安全隱患，或者違反密碼管理相關(guān)規(guī)定，或者不符合密碼相關(guān)標(biāo)準規(guī)范要求的，按照國家密碼管理相關(guān)規(guī)定予以處理。

第五十九條【行業(yè)監(jiān)督管理】行業(yè)主管部門應(yīng)當(dāng)組織制定本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)安全等級保護工作規(guī)劃和標(biāo)準規(guī)范，掌握網(wǎng)絡(luò)基本情況、定級備案情況和安全保護狀況；監(jiān)督管理本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)定級備案、等級測評、安全建設(shè)整改、安全自查等工作。

行業(yè)主管部門應(yīng)當(dāng)監(jiān)督管理本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)運營者依照網(wǎng)絡(luò)安全等級保護制度和相關(guān)標(biāo)準規(guī)范要求，落實網(wǎng)絡(luò)安全管理和技術(shù)保護措施，組織開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處臵、重大活動網(wǎng)絡(luò)安全保護等工作。

第六十條【監(jiān)督管理責(zé)任】網(wǎng)絡(luò)安全等級保護監(jiān)督管理部門及其工作人員應(yīng)當(dāng)對在履行職責(zé)中知悉的國家秘密、個人信息和重要數(shù)據(jù)嚴格保密，不得泄露、出售或者非法向他人提供。

第六十一條【執(zhí)法協(xié)助】網(wǎng)絡(luò)運營者和技術(shù)支持單位應(yīng)當(dāng)為公安機關(guān)、國家安全機關(guān)依法維護國家安全和偵查犯罪的活動提供支持和協(xié)助。

第六十二條【網(wǎng)絡(luò)安全約談制度】省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網(wǎng)絡(luò)安全等級保護監(jiān)督管理職責(zé)中，發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險隱患或者發(fā)生安全事件的，可以約談網(wǎng)絡(luò)運營者的法定代表人、主要負責(zé)人及其行業(yè)主管部門。

第七章 法律責(zé)任

第六十三條【違反安全保護義務(wù)】網(wǎng)絡(luò)運營者不履行本條例第十六條，第十七條第一款，第十八條第一款、第二款，第二十條、第二十二條第一款，第二十四條，第二十五條，第二十八條第一款，第三十一條第一款，第三十二條第二款規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由公安機關(guān)責(zé)令改正，依照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定處罰。

第三級以上網(wǎng)絡(luò)運營者違反本條例第二十一條、第二十二條第二款、第二十三條規(guī)定、第二十八條第二款，第三十條第二款，第三十二條第一款規(guī)定的，按照前款規(guī)定從重處罰。

第六十四條【違反技術(shù)維護要求】網(wǎng)絡(luò)運營者違反本條例第二十九條規(guī)定，對第三級以上網(wǎng)絡(luò)實施境外遠程技術(shù)維護，未進行網(wǎng)絡(luò)安全評估、未采取風(fēng)險管控措施、未記錄并留存技術(shù)維護日志的，由公安機關(guān)和相關(guān)行業(yè)主管部門依據(jù)各自職責(zé)責(zé)令改正，依照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定處罰。

第六十五條【違反數(shù)據(jù)安全和個人信息保護要求】網(wǎng)絡(luò)運營者違反本條例第三十一條第二款規(guī)定，擅自收集、使用、提供數(shù)據(jù)和個人信息的，由網(wǎng)信部門、公安機關(guān)依據(jù)各自職責(zé)責(zé)令改正，依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十四條第一款的規(guī)定處罰。

第六十六條【網(wǎng)絡(luò)安全服務(wù)責(zé)任】違反本條例第二十六條

1保密管理和密碼管理規(guī)定的，由保密行政管理部門或者密碼管理部門按照各自職責(zé)分工責(zé)令改正，拒不改正的，給予警告，并通報向其上級主管部門，建議對其主管人員和其他直接責(zé)任人員依法給予處分。

第六十九條【監(jiān)管部門瀆職責(zé)任】網(wǎng)信部門、公安機關(guān)、國家保密行政管理部門、密碼管理部門以及有關(guān)行業(yè)主管部門及其工作人員有下列行為之一，對直接負責(zé)的主管人員和其他直接責(zé)任人員，或者有關(guān)工作人員依法給予處分：

（一）玩忽職守、濫用職權(quán)、徇私舞弊的；

（二）泄露、出售、非法提供在履行網(wǎng)絡(luò)安全等級保護監(jiān)管職責(zé)中獲悉的國家秘密、個人信息和重要數(shù)據(jù)；或者將獲取其他信息，用于其他用途的。

第七十條【法律競合處理】違反本條例規(guī)定，構(gòu)成違反治安管理行為的，由公安機關(guān)依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第八章 附 則

第七十一條【術(shù)語解釋】本條例所稱的“內(nèi)”、“以上”包含本數(shù)；所稱的“行業(yè)主管部門”包含行業(yè)監(jiān)管部門。

第七十二條【軍隊】軍隊的網(wǎng)絡(luò)安全等級保護工作，按照軍隊的有關(guān)法規(guī)執(zhí)行。

第七十三條【生效時間】本條例由自

年 月 日起施行。

第三篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機房和辦公場地的設(shè)計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應(yīng)具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應(yīng)具有機房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測；

9、應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應(yīng)具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應(yīng)具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施；溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應(yīng)具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應(yīng)對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應(yīng)具有管理制度評審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進行檢查，對需要改進的制度進行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人

3、應(yīng)設(shè)立機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會應(yīng)定期召開會議）

9、應(yīng)組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應(yīng)與公安機關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應(yīng)組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應(yīng)定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關(guān)系等。

10、應(yīng)對各類人員（普通用戶、運維人員、單位領(lǐng)導(dǎo)等）進行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對不同崗位制定不同的培訓(xùn)計劃，并按照計劃對各個崗位人員進行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，由何部門/何人負責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃（系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠期的安全建設(shè)計劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本

8、應(yīng)按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負責(zé)產(chǎn)品的采購

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。

29、應(yīng)指定部門負責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。

29、應(yīng)指定部門負責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運維管理

1、應(yīng)指定專人或部門對機房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進行定期維護，由何部門/何人負責(zé)。

2、應(yīng)具有機房基礎(chǔ)設(shè)施的維護記錄，空調(diào)、溫濕度控制等機房設(shè)施定期維護保養(yǎng)的記錄

3、應(yīng)指定部門和人員負責(zé)機房安全管理工作

4、應(yīng)對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標(biāo)識

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應(yīng)對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導(dǎo)批準。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識或標(biāo)簽

15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進行定期維護。

16、應(yīng)具有設(shè)備操作手冊

17、應(yīng)對帶離機房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警

20、應(yīng)具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應(yīng)定期對監(jiān)控記錄進行分析、評審

22、應(yīng)具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告

23、應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理

24、應(yīng)指定專人負責(zé)維護網(wǎng)絡(luò)安全管理工作

25、應(yīng)對網(wǎng)絡(luò)設(shè)備進行過升級，更新前應(yīng)對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡(luò)設(shè)備運維維護工作記錄）

26、應(yīng)對網(wǎng)絡(luò)進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對配置文件進行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準，由何人/何部門批準。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試，并對重要文件進行備份。

32、應(yīng)有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應(yīng)對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等）

34、審計員應(yīng)定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應(yīng)對員工進行基本惡意代碼防范意識的教育，如告知應(yīng)及時升級軟件版本（對員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對惡意代碼進行檢測，并保存記錄。

37、應(yīng)具有對網(wǎng)絡(luò)和主機進行惡意代碼檢測的記錄

38、應(yīng)對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應(yīng)具有主管領(lǐng)導(dǎo)的批準

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應(yīng)的報告或相關(guān)文檔

45、應(yīng)對安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實。

48、應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對應(yīng)急預(yù)案進行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對應(yīng)急預(yù)案定期進行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。

第四篇：信息網(wǎng)絡(luò)安全等級保護工作自檢自查報告

信息網(wǎng)絡(luò)安全等級保護工作

自檢自查報告

XX縣煙草專賣局（分公司）的信息網(wǎng)絡(luò)安全建設(shè)在上級部門的關(guān)心指導(dǎo)下，近年取得了快速的進步和發(fā)展，實效性強，網(wǎng)絡(luò)安全防控能力大大增強。為進一步貫徹落實行業(yè)網(wǎng)絡(luò)與信息安全各項管理規(guī)定，嚴格規(guī)范信息安全等級保護，提高企業(yè)對信息網(wǎng)絡(luò)安全的防控能力，保障企業(yè)信息網(wǎng)絡(luò)安全，保證公司各項辦公自動化工作的正常進行，促進企業(yè)效益的穩(wěn)步提升，按照《XX縣人民政府辦公室關(guān)于開展信息網(wǎng)絡(luò)信息安全等級保護安全檢查工作的通知》要求，我司組織相關(guān)人員對系統(tǒng)內(nèi)信息網(wǎng)絡(luò)安全等級保護工作認真細致的自檢自查，現(xiàn)將自查情況報告如下。

一、等級保護工作部署和組織實施情況

XX縣煙草公司企業(yè)信息化建設(shè)在市局（公司）的統(tǒng)一領(lǐng)導(dǎo)下，按照“統(tǒng)一網(wǎng)絡(luò)、統(tǒng)一平臺、統(tǒng)一數(shù)據(jù)庫”的要求，以打造“數(shù)字煙草”為戰(zhàn)略目標(biāo)，以“系統(tǒng)集成、資源整合、信息共享”為工作方針，取得了快速的發(fā)展，在積極推進企業(yè)信息化建設(shè)的過程中，更加重視網(wǎng)絡(luò)信息的安全建設(shè)工作。從省公司到市公司、縣公司，領(lǐng)導(dǎo)高度重視，統(tǒng)一規(guī)劃，統(tǒng)一標(biāo)準，同步實施。首先是逐級成立了領(lǐng)導(dǎo)小組和職能部門，XX分公司按照上級部門要求，2000年11月成立了信息化領(lǐng)導(dǎo)小組，下設(shè)信息辦在公司辦公室，并設(shè)置了計算機系統(tǒng)管理員崗位，明確了各自的職責(zé)。由于網(wǎng)絡(luò)推廣應(yīng)用迅速，2005年重新更設(shè)了計算機網(wǎng)絡(luò)信息中心，旨在強化對企業(yè)的網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)安全管理。在歷次的機構(gòu)設(shè)置中，都明確了分公司主要領(lǐng)導(dǎo)分管信息工作，把網(wǎng)絡(luò)信息安全的建設(shè)與管理擺到了企業(yè)各項工作的重要位置中來，表明了企業(yè)對信息化建設(shè)、網(wǎng)絡(luò)安全管理的高度重視和決心。其次是對行業(yè)的網(wǎng)絡(luò)安全建設(shè)高瞻遠矚、統(tǒng)一標(biāo)準、規(guī)范運作、務(wù)求實效。先后省公司下發(fā)了《云南省煙草專賣局關(guān)于建設(shè)云南省行業(yè)計算機網(wǎng)絡(luò)與信息安全系統(tǒng)的通知》，對全行業(yè)的網(wǎng)絡(luò)信息安全建設(shè)作了明確、細致的規(guī)定，制定了高效規(guī)范的《云南省煙草行業(yè)計算機網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)方案》，統(tǒng)一在全系統(tǒng)范圍內(nèi)實施。隨后市局公司又下發(fā)了《曲靖市煙草專賣局（公司）關(guān)于建設(shè)網(wǎng)絡(luò)安全系統(tǒng)的通知》，對各分公司的網(wǎng)絡(luò)安全建設(shè)作了具體的安排部署。XX縣煙草公司嚴格按照上級部門要求，主動推進網(wǎng)絡(luò)安全建設(shè)，嚴律遵循行業(yè)標(biāo)準規(guī)范，組織實施信息項目，積極配合上級部門在全行業(yè)開展網(wǎng)絡(luò)安全建設(shè)工作。

二、信息系統(tǒng)安全保護等級備案情況

XX縣煙草專賣局（分公司）隸屬曲靖市煙草專賣局（公司）子公司，無法人資格。網(wǎng)絡(luò)信息安全建設(shè)也是依照市公司統(tǒng)一要求進行，信息安全保護等級為二級。按照本次檢查要求，備案材料主要包括三類。一是各級各部門的文件，包括有：羅煙司字［2000］48號《關(guān)于成立云南省煙草XX縣公司信息化領(lǐng)導(dǎo)小組的通知》，省公司云煙科［2000］209號《關(guān)于決舉辦云南省煙草行業(yè)計算機系統(tǒng)管理員培訓(xùn)班的通知》，省公司云煙信［2003］552號《云南省煙草專賣局關(guān)于建設(shè)云南省煙草行業(yè)計算機網(wǎng)絡(luò)與信息安全系統(tǒng)的通知》，市公司云曲煙專司字［2004］35號《曲靖市煙草專賣局（公司）關(guān)于建設(shè)網(wǎng)絡(luò)安全系統(tǒng)的通知》、《曲靖煙草專賣局（公司）黨政工作部關(guān)于舉辦網(wǎng)絡(luò)信息安全培訓(xùn)的通知》，市公司云曲煙辦字［2004］98號《曲靖市煙草專賣局（公司）關(guān)于建設(shè)地面專網(wǎng)的通知》等。第二類是各項網(wǎng)絡(luò)信息安全建設(shè)規(guī)范、技術(shù)標(biāo)準及方案等，主要包括有：《云南省煙草行業(yè)信息網(wǎng)絡(luò)信息系統(tǒng)技術(shù)規(guī)范》兩部分，《云南省煙草行業(yè)信息網(wǎng)絡(luò)系統(tǒng)計算機網(wǎng)絡(luò)系統(tǒng)建設(shè)技術(shù)規(guī)范》、《云南省煙草行業(yè)計算機網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)方案》。第三類是各類管理制度或規(guī)定，主要包括有：《云南省煙草行業(yè)信息網(wǎng)絡(luò)管理規(guī)范》、《云南省煙草行業(yè)計算機網(wǎng)絡(luò)與信息安全管理制度》、《信息化工作管理規(guī)定》的網(wǎng)絡(luò)與信息安全管理，《網(wǎng)絡(luò)建設(shè)及信息維護按理規(guī)定》、《計算機設(shè)備管理規(guī)定》、《計算機機房管理規(guī)定》及《突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》等。

三、信息安全設(shè)施建設(shè)情況。

根據(jù)上級部門的統(tǒng)一規(guī)劃、建設(shè)要求，XX縣煙草公司積極推進各項網(wǎng)絡(luò)安全建設(shè)工作。首先，為考慮網(wǎng)絡(luò)安全，結(jié)合業(yè)務(wù)實際，在網(wǎng)絡(luò)規(guī)劃時以建設(shè)專線為重點，在全省煙草系統(tǒng)內(nèi)全部采用專線連接，實現(xiàn)互聯(lián)互通。在系統(tǒng)主干網(wǎng)絡(luò)建設(shè)上，先是采用衛(wèi)星專用通道聯(lián)網(wǎng)，后改用DDN專線，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，從2006年開始，全省煙草系統(tǒng)，從省公司至市公司，從市公司至分公司，從分公司至煙葉站、煙葉收購點，采用帶寬不同的SDH專線連接。公司絕大部分業(yè)務(wù)均在內(nèi)網(wǎng)里運行，各類數(shù)據(jù)信息通過內(nèi)網(wǎng)服務(wù)器和網(wǎng)絡(luò)流轉(zhuǎn)、共享，無外網(wǎng)托管現(xiàn)象，只有極少部分業(yè)務(wù)需掛外網(wǎng)。其次是不斷采用新技術(shù)、新手段做好網(wǎng)絡(luò)信息安全防范工作，嚴格劃分企業(yè)內(nèi)網(wǎng)與外網(wǎng)，通過硬件防火墻設(shè)置，保證內(nèi)外信息交互有效進行，實現(xiàn)對垃圾信息、非法訪問的有效過濾。同時，通過網(wǎng)絡(luò)版殺毒軟件的安裝使用，對計算機病毒進行整體防治，另一方面，對操作終端還配置防木馬程序的軟件，以及軟件防火墻等軟件的使用，配合殺毒軟件對計算機病毒、黑客攻擊、木馬程序等進行了有效的防范?？傊ㄟ^軟硬件技術(shù)手段的有效結(jié)合，使系統(tǒng)內(nèi)網(wǎng)及每個終端計算機、系統(tǒng)內(nèi)的信息、數(shù)據(jù)安全得到了有效保障，有效保證了企業(yè)各業(yè)務(wù)工作的順利開展。

四、管理制度建設(shè)情況。

煙草企業(yè)自2004年工商分制以來，作為一分公司，在曲靖市煙草公司的直接領(lǐng)導(dǎo)下，各項工作穩(wěn)步推進，伴隨著社會效益、企業(yè)效益的逐年攀升，曲靖煙草企業(yè)更加注重管理模式的總結(jié)與創(chuàng)新，強調(diào)管理的精細化和規(guī)范化，通過長時間的積累、總結(jié)和創(chuàng)新，對各行各業(yè)各個環(huán)節(jié)都制定了規(guī)范、有效的管理制度。形成了具有行業(yè)標(biāo)準的相關(guān)制度－《曲靖煙草商業(yè)管理（QTCM）－管理制度》，在網(wǎng)絡(luò)信息安全方面涉及很多內(nèi)容。制定了《計算機設(shè)備管理規(guī)定》，旨在規(guī)范煙草系統(tǒng)計算機及相關(guān)設(shè)備的管理工作，促進設(shè)備的有效管理，提高設(shè)備的綜合效率，滿足工作需求；制定了《計算機機房管理理規(guī)定》，旨在加強計算機機房的運行、使用和管理，保證各信息系統(tǒng)的穩(wěn)定可靠運行，促進公司網(wǎng)絡(luò)的健康發(fā)展；制定了《信息化工作管理規(guī)定》、以及《網(wǎng)站建設(shè)及信息維護管理規(guī)定》，包括網(wǎng)絡(luò)和信息安全管理規(guī)定，旨在保證企業(yè)網(wǎng)絡(luò)信息系統(tǒng)運行安全、可靠，做到實體安全、運行安全、數(shù)據(jù)安全和管理安全。2008年4月份，根據(jù)企業(yè)《職業(yè)健康安全管理體系》運行的整改要求，制定了《突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》，包括機房滲漏水應(yīng)急預(yù)案、機房盜竊應(yīng)急預(yù)案、機房火災(zāi)應(yīng)急預(yù)案、機房長時間停電應(yīng)急預(yù)案、通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案、網(wǎng)絡(luò)病毒爆發(fā)應(yīng)急預(yù)案、服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案、核心設(shè)備硬件故障應(yīng)急預(yù)案、業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案等九部分內(nèi)容，旨在加強對系統(tǒng)內(nèi)突發(fā)信息網(wǎng)絡(luò)事件的控制，迅速有效開展應(yīng)急救援行動，降低危害程度?？傊?，企業(yè)對網(wǎng)絡(luò)安全高度重視，制定了眾多管理制度，并積極層層落實，責(zé)任分明，有效地保證了了企業(yè)長期以來的網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定運行。

五、信息安全產(chǎn)品選擇和使用情況。

我司的網(wǎng)絡(luò)信息安全產(chǎn)品，2004年開始根據(jù)市公司的要求，進行統(tǒng)一配置。其中，硬件防火墻采用中端型產(chǎn)品，品牌型號為天融信NGFWARES－VPN（S），版本TOPSEC集中管理器V2.2.17，基本滿足管理要求。防病毒軟件曾采用趨勢Trend網(wǎng)絡(luò)版，2007年以后統(tǒng)一改用瑞星企業(yè)專用版，與全國大多企業(yè)一致選用國產(chǎn)軟件。網(wǎng)絡(luò)管理平臺軟件曾使用復(fù)旦光華T_Manager網(wǎng)絡(luò)綜合管理系統(tǒng)，預(yù)計未來將采用其它新系統(tǒng)實現(xiàn)網(wǎng)絡(luò)綜合管理。此外，針對各終端設(shè)備的安全防范，我司還使用了正版的瑞星個人防火墻軟件和免費版的奇虎360安全衛(wèi)土等安全軟件，實現(xiàn)防病毒、木馬程序、黑客、非法程序等的輔助管理，進一步提高了整個系統(tǒng)的安全防范能力和管理水平。

六、聘請測評機構(gòu)開展技術(shù)測評情況

我司的網(wǎng)絡(luò)安全檢測及風(fēng)險評估工作也是依照市局（公司）的統(tǒng)一要求組織實施，按照市公司的統(tǒng)一安排，聘請測評機構(gòu)為曲靖市麒麟?yún)^(qū)聯(lián)創(chuàng)信息網(wǎng)絡(luò)有限公司，檢測時間一般為每年6至7月份，檢測內(nèi)容為：機房物理環(huán)境、服務(wù)器、網(wǎng)絡(luò)設(shè)備（交換機、路由器、防火墻），桌面終端等，其中，桌面終端采用抽查方式進行檢測，抽查率不少于總數(shù)的30%，檢測工作中，工程師需簽訂《云南省網(wǎng)絡(luò)與信息系統(tǒng)安全檢測單位保密承諾》和安全檢測保密協(xié)議，檢測結(jié)果及報告由市公司保存。

七、定期自查情況

XX縣煙草公司高度重視網(wǎng)絡(luò)安全建設(shè)工作，強調(diào)日常維護、安全防范和定期自查工作。對管理制度不斷完善更新，新技術(shù)新手段積極采用，借助于企業(yè)職業(yè)健康安全管理體系的貫標(biāo)、運行和提升工作，不斷開展網(wǎng)絡(luò)信息安全的檢查工作，對一經(jīng)查出的問題及時整改，自己不能解決的及時上報上級部門，給予幫助解決，有效地促進了整個安全防控體系的完善和管理水平的提高。

曲靖市煙草公司XX分公司

二OO八年十月三十日 關(guān)于上報宣州區(qū)地稅局信息系統(tǒng)安全自查的報告

宣州區(qū)地方稅務(wù)局文件

宣區(qū)地稅〔2010〕77號

簽發(fā)人: 殷本輝

關(guān)于上報宣州區(qū)地稅局信息系統(tǒng)安全自查的報告

宣城市地方稅務(wù)局

根據(jù)宣城市地稅局對我局網(wǎng)絡(luò)與終端物理隔離和安全使用檢查情況反饋意見，參照安徽地稅信息系統(tǒng)安全自查方案，我局對全區(qū)網(wǎng)絡(luò)與信息安全現(xiàn)狀進行了自查，查找薄弱環(huán)節(jié)和安全隱患，進一步強化信息安全意識、規(guī)范信息安全管理，以提高網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力，現(xiàn)將自查情況上報給你們。

（本文只發(fā)電子文件）

二〇一〇年六月二十四日

宣州區(qū)地稅局信息系統(tǒng)安全自查報告

根據(jù)宣城市地稅局對我局網(wǎng)絡(luò)與終端物理隔離和安全使用檢查情況反饋意見，參照《安徽省地稅局2010年稅務(wù)信息系統(tǒng)安全檢查方案》，從“安全管理檢查”、“安全技術(shù)檢查”、“終端和移動存儲介質(zhì)檢查和加固”等三大方面對宣州區(qū)地稅局信息安全系統(tǒng)進行了認真地自查與整改，現(xiàn)將自查情況報告如下：

一、領(lǐng)導(dǎo)高度重視，組織、部門健全

宣州區(qū)地稅局領(lǐng)導(dǎo)班子高度重視信息系統(tǒng)安全工作，本著“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，成立了宣州區(qū)地稅局信息系統(tǒng)安全領(lǐng)導(dǎo)小組，區(qū)局一把手擔(dān)任領(lǐng)導(dǎo)小組組長，分管領(lǐng)導(dǎo)為副組長，下屬各單位負責(zé)人為成員。

各基層分局設(shè)立計算機管理員崗位，分別 有責(zé)任心、取得全國計算機等級二級以上（含二級）證書、熟悉業(yè)務(wù)操作的人員擔(dān)任，負責(zé)本單位計算機軟、硬件及網(wǎng)絡(luò)安全管理。對本單位計算機出現(xiàn)的軟、硬件問題及時上報區(qū)局信息中心。區(qū)局結(jié)合本部門的信息系統(tǒng)安全管理需求，不定期地對計算機管理員開展相關(guān)業(yè)務(wù)培訓(xùn)。

二、結(jié)合安徽地稅系統(tǒng)安全自查方案，認真開展自查工作

（一）安全管理方面：區(qū)局制定了《宣州區(qū)地稅局公文處理應(yīng)急預(yù)案》、《宣州區(qū)地稅局內(nèi)部網(wǎng)站應(yīng)急預(yù)案》、《宣州區(qū)地稅局網(wǎng)絡(luò)故障應(yīng)急預(yù)案》、《宣州區(qū)地稅局計算機機房運行維護管理辦法》，并著重落實上級部門下發(fā)的信息安全政策、法規(guī)和規(guī)章制度。確定信息中心一名工作人員擔(dān)任信息系統(tǒng)安全管理員，具體處理信息系統(tǒng)安全的相關(guān)工作。區(qū)局中心機房于2008年建成，面積約90平方米，安裝了接地保護裝置，配備了手持式滅火器，配有兩臺柜式空調(diào)，并確?？照{(diào)24小時正常運轉(zhuǎn)。加強中心機房的供電管理，配備一臺專用的10KV UPS電源專供中心機房設(shè)備使用，配備一臺專用的6KV UPS電源專供征收大廳設(shè)備使用，并定期對UPS電池性能進行相應(yīng)測試。

宣州區(qū)地稅局辦公網(wǎng)絡(luò)已于2009年元月實行內(nèi)、外網(wǎng)物理隔離，內(nèi)外網(wǎng)均通過2套線路和隔離卡實現(xiàn)內(nèi)外網(wǎng)切換。內(nèi)網(wǎng)分為應(yīng)用服務(wù)區(qū)與辦公區(qū)，通過一臺硬件防火墻進行對外與對外的訪問控制，所有內(nèi)網(wǎng)服務(wù)器與終端均安裝網(wǎng)絡(luò)版病毒防火墻。外網(wǎng)通過硬件防火墻、上網(wǎng)行為管理工和防病毒網(wǎng)關(guān)實行訪問控制。局機關(guān)所有計算機安裝隔離卡進行內(nèi)外網(wǎng)物理隔離，基層分局只在分局負責(zé)人計算機上安裝隔離卡實行內(nèi)外網(wǎng)物理隔離，其他計算機只允許上內(nèi)網(wǎng)。

征管數(shù)據(jù)市局集中后，區(qū)局目前的重要數(shù)據(jù)庫有區(qū)局內(nèi)網(wǎng)數(shù)據(jù)庫、公文處理數(shù)據(jù)庫、車輛稅及觸摸查詢系統(tǒng)數(shù)據(jù)庫，定期對上述數(shù)據(jù)庫進行備份，并將備份數(shù)據(jù)復(fù)制到文件服務(wù)器上。

（二）安全技術(shù)方面：區(qū)局的網(wǎng)絡(luò)通過租用聯(lián)通的專線，實現(xiàn)市局、區(qū)局及分局三級網(wǎng)絡(luò)互聯(lián)，各基層分局通過路由交換和以太網(wǎng)兩種方式按入?yún)^(qū)局，區(qū)局機關(guān)按股室按分VLAN。區(qū)局中心機房內(nèi)網(wǎng)設(shè)備目前有1臺華為2631路由器、1臺華為3680路由器和2臺華為3552交換機為核心層，3臺華為3026交換機作為接入層。除華為3552交換機有熱備份，其他網(wǎng)絡(luò)設(shè)備沒有冷、熱備份，通過1臺東軟硬件防火墻進一步加強網(wǎng)絡(luò)安全管理。

區(qū)局中心機房外網(wǎng)設(shè)備目前有5臺華為3928交換機，1臺防病毒網(wǎng)關(guān)，1臺上網(wǎng)行為管理，1臺防火墻，另外租用網(wǎng)通地址，各基層分局以以太網(wǎng)方式接入互聯(lián)網(wǎng)。

宣州區(qū)地稅局共有服務(wù)器6臺，5臺服務(wù)器的操作系統(tǒng)為Windows 2000 Server SP4,1臺服務(wù)器的操作系統(tǒng)為Windows 2003 Server，所有服務(wù)器根據(jù)賬號策略設(shè)置用戶密碼，強化安全管理。

宣州區(qū)地稅局所有內(nèi)外網(wǎng)中的路由器和交換機均按照省局網(wǎng)絡(luò)運行管理規(guī)范進行命名管理，并對其用戶口令進行加密。內(nèi)外網(wǎng)中的防火墻均設(shè)置訪問控制策略，提高系統(tǒng)的網(wǎng)絡(luò)安全系數(shù)。

（三）工作用臺式機、筆計本電腦和移動存儲介質(zhì)檢查和加固： 及時更新臺式機和筆計本電腦的操作系統(tǒng)和應(yīng)用程序補丁，禁用GUEST用戶組，統(tǒng)一安裝網(wǎng)絡(luò)版瑞星防病毒軟件，并通過設(shè)置自動升級和定時對計算機進行掃描，對外接的USB設(shè)備，必須進行病毒掃描。

三、存在的主要問題

通過本次自查發(fā)現(xiàn)，我局信息系統(tǒng)存在不少安全隱患問題，主要有以下幾方面：

（一）安全保護意識有待增強，各種安全保護措施有待加強，部分管理人員的安全保護意識薄弱。

（二）數(shù)據(jù)的存儲及備份機制還不夠完善，存在信息丟失的隱患，存在移動存儲介質(zhì)內(nèi)外網(wǎng)混用，個別筆記本電腦存在內(nèi)外網(wǎng)混用。

（三）因區(qū)局搬遷新辦公樓后，對區(qū)局的內(nèi)網(wǎng)進行了重新規(guī)劃，路由策略進行了了修改，核心網(wǎng)絡(luò)設(shè)備失效的路由策略未即時清理。

（四）重技術(shù)建設(shè)、輕安全保護。進行計算機信息系統(tǒng)建設(shè)規(guī)劃時，主要考慮了業(yè)務(wù)需求和系統(tǒng)技術(shù)性能要求，沒有很好地將系統(tǒng)的安全保護措施一并考慮，造成安全保護工作相對滯后。

四、加強安全保護工作的意見和建議

根據(jù)信息安全自查的情況，結(jié)合區(qū)局實際情況，現(xiàn)就加強區(qū)局信息系統(tǒng)安全工作，提出以下意見和建議：

（一）加強領(lǐng)導(dǎo)，提高對信息系統(tǒng)安全重要性和緊迫性的認識。組織相關(guān)人員認真學(xué)習(xí)與信息系統(tǒng)安全有關(guān)的管理規(guī)定，不斷增強信息系統(tǒng)安全保護意識，做到認識到位、措施到位、管理到位。

（二）認真落實技術(shù)防范措施，著重落實以下等安全保護技術(shù)措施：

1、系統(tǒng)重要數(shù)據(jù)的冗余或備份措施；

2、計算機病毒防治措施；

3、網(wǎng)絡(luò)攻擊防范、追蹤措施；

4、研究有關(guān)內(nèi)網(wǎng)補丁升級的措施。

（三）嚴格防范內(nèi)外網(wǎng)移動存儲混用，加強對移動存儲的分類管理，嚴禁在外網(wǎng)機器處理或保存涉稅文件，嚴格執(zhí)行內(nèi)、外網(wǎng)物理隔離制度。

（四）停用內(nèi)外到外網(wǎng)出口，瑞星防病毒托管服務(wù)器升級下掛到市局。

（五）加強網(wǎng)絡(luò)和安全設(shè)備管理，調(diào)整網(wǎng)絡(luò)和安全設(shè)備配置，嚴格網(wǎng)絡(luò)訪問控制策略，保護網(wǎng)絡(luò)安全。

（六）加強中心機房的管理工作，提高機房運行環(huán)境，保障設(shè)備安全。

黃河科技學(xué)院網(wǎng)絡(luò)信息安全防范系統(tǒng)

情況自查報告

隨著網(wǎng)絡(luò)在我校教學(xué)與管理環(huán)節(jié)中的普及，我校領(lǐng)導(dǎo)已充分認識到開展高校校園和網(wǎng)絡(luò)信息安全防范工作，是加強維護高校穩(wěn)定工作，為高校創(chuàng)造良好的教學(xué)科研環(huán)境，推進高校校園安全防范系統(tǒng)和網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)的重要措施。自一九九九年我校初建校園網(wǎng)，一直到現(xiàn)在，上至領(lǐng)導(dǎo)下到我們中心的工作人員一直比較注重網(wǎng)絡(luò)的安全性。嚴格按照“誰主管、誰負責(zé)”、“誰主辦、誰負責(zé)”的原則，各單位、部門層層落實責(zé)任制，明確責(zé)任人和職責(zé)，細化工作措施和流程，建立完善了一系列的管理制度和實施辦法，確保使用的網(wǎng)絡(luò)和提供服務(wù)信息的安全。現(xiàn)根據(jù)省教育廳的《關(guān)于在開展高校校園和網(wǎng)絡(luò)信息安全防范系統(tǒng)情況調(diào)查工作的通知》的文件精神，對我校的網(wǎng)絡(luò)與信息安全與網(wǎng)絡(luò)與信息服務(wù)等內(nèi)容做了詳細的自查，自查情況如下：

（一）我校于一九九九年十月，成立了以常務(wù)副校長為組長，以網(wǎng)絡(luò)中心主任董峰及保衛(wèi)處處長宋同先為副組長的黃河科技學(xué)院網(wǎng)絡(luò)中心安全組織。

（二）根據(jù)我校的網(wǎng)絡(luò)發(fā)展情況以及國家、省、市等有關(guān)的文件精神，我們相繼建立了一系列的安全管理制度,并落實到各部門。如：信息的發(fā)布審核由新聞辦指辦專人負責(zé)；信息的監(jiān)視、保存、備份、清除由網(wǎng)絡(luò)中心負責(zé)；校內(nèi)所有上網(wǎng)的帳號、郵件帳號、網(wǎng)站帳號等我們都做有實名備案；對于較為知名的公眾網(wǎng)絡(luò)媒體，如我校相關(guān)的百度貼吧，我校新聞辦公室也安排專人負責(zé)信息的監(jiān)管工作，以實現(xiàn)正面的引導(dǎo)，并及時發(fā)現(xiàn)和刪除各類有害信息，維護學(xué)校和社會的穩(wěn)定。

（三）我們加強了安全保護技術(shù)措施，切實抓緊、抓實、抓好，保障了學(xué)校網(wǎng)絡(luò)和信息安全，網(wǎng)絡(luò)運行正常、使用規(guī)范，網(wǎng)站沒有發(fā)現(xiàn)有害信息和不良連接，網(wǎng)絡(luò)節(jié)點安全設(shè)施基本符合要求。我們使用了天融信防火墻與天闐入侵監(jiān)測系統(tǒng)相結(jié)合，使日志留存具有保存60日以上系統(tǒng)運行日志和用戶使用日志記錄功能，內(nèi)容包括IP地址及使用情況，交互式欄目發(fā)布者和上、下網(wǎng)時間及信息、主頁維護者、郵箱使用者和對應(yīng)的IP地址情況等；對于郵件服務(wù)器，我們使用的是億郵，并配套使用了億郵網(wǎng)關(guān)，并與公安部門實行了數(shù)據(jù)對接，有效的隔離了垃圾郵件，防止有害信息的干擾和破壞。對于我們的網(wǎng)站信息服務(wù)系統(tǒng)建立了備份，一旦受到破壞能及時恢復(fù)正常。

（四）針對網(wǎng)上突發(fā)事件，我們制定了應(yīng)急處置方案，細化流程，責(zé)任到人。做到及時預(yù)警、快速反應(yīng)、果斷處置網(wǎng)上突發(fā)事件。

（五）我校網(wǎng)絡(luò)中心經(jīng)過仔細排查，已經(jīng)關(guān)閉所有校園網(wǎng)內(nèi)開通的交互式欄目（BBS，留言板）；對于必須使用留言服務(wù)的招生咨詢網(wǎng)站，我們采取了用戶發(fā)布信息必須審核和記錄用戶IP地址的機制。同時由新聞辦公室安排專人負責(zé)信息審核工作，并在技術(shù)上采用了關(guān)鍵字過濾來防止有害信息。由于我們的高度重視，認真組織，確保了網(wǎng)絡(luò)正常運行和信息安全，至今為止沒有發(fā)生任何事故，受到了我校有關(guān)領(lǐng)導(dǎo)的肯定和好評。當(dāng)然，隨著科技的發(fā)展，社會信息的不斷擴大，新時代，新情況對網(wǎng)絡(luò)安全技術(shù)的要求也越來越高，新的問題也會不斷出現(xiàn)，我們真正希望通過省廳的此次網(wǎng)絡(luò)信息安全防范系統(tǒng)情況的調(diào)查使我校的網(wǎng)絡(luò)運行得更安全，有利于社會的安定及國家的繁榮昌盛。

永勝縣供銷合作社聯(lián)合社

2010年上半年政府信息系統(tǒng)安全檢查自查報告

根據(jù)《永勝縣人民政府辦公室關(guān)于開展政府信息系統(tǒng)安全檢查的通知》（永政辦發(fā)〔2010〕56號）文件精神，結(jié)合我社實際，認真組織開展了信息系統(tǒng)的安全自查工作?，F(xiàn)將相關(guān)情況報告如下：

一、信息系統(tǒng)安全檢查基本情況

㈠信息安全組織機構(gòu)落實情況

為規(guī)范信息公開工作，落實好信息安全的相關(guān)規(guī)定，我社成立了信息安全工作領(lǐng)導(dǎo)小組，落實了管理機構(gòu)，由聯(lián)社辦公室負責(zé)信息安全的日常管理工作，明確了信息安全的主管領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)和具體管理人員。

㈡日常信息安全管理落實情況

根據(jù)供銷合作社的工作實際，供銷社日常信息安全工作主要涉及上級下發(fā)的涉密文件管理、政府信息公開工作信息管理、業(yè)務(wù)工作相關(guān)數(shù)據(jù)信息管理、組織人事信息管理。根據(jù)這些實際，縣聯(lián)社已從落實管理機構(gòu)和人員、加強教育培訓(xùn)、更新設(shè)備、健全完善相關(guān)制度等方面對信息安全的人員、資產(chǎn)、運行和維護管理進行了落實。

一是，落實具體負責(zé)信息安全工作的人員，對涉密信息文件、材料實行專人管理；對重要辦公區(qū)、辦公計算機等進行嚴格管理，確保信息保密工作。

二是，結(jié)合供銷社工作實際，對涉密文件材料管理和計算機、移動存儲設(shè)備等的維修、報廢、銷毀管理進行了規(guī)定。對日常信息辦公軟件、應(yīng)用軟件等的安裝使用，主要是由上級組織人事部門、業(yè)務(wù)主管部門下發(fā)的業(yè)務(wù)工作應(yīng)用軟件，均按照上級部門的要求和規(guī)定，嚴格進行操作管理。

三是，結(jié)合供銷社政府信息公開工作，按照信息公開的相關(guān)保密規(guī)定和程序，初步建立了《永勝縣供銷合作社政府信息公開保密審查制度（試行）》，對信息公開、陽光政府四項制度等公開發(fā)布信息保密審查機制、程序進行了規(guī)范，完善相關(guān)信息審批備案和日常記錄。

㈢等級保護與風(fēng)險評估

永勝縣供銷合作社的相關(guān)信息系統(tǒng)主要是業(yè)務(wù)工作，不是重要涉密部門，還達不到涉密信息系統(tǒng)等級，所以，沒有對信息系統(tǒng)定級、測評和評估。

㈣技術(shù)安全防范措施和手段落實情況

1、計算機及網(wǎng)絡(luò)經(jīng)過檢查，已安裝了防火墻，同時配置安裝了專業(yè)殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并按縣委保密局的要求，在主要的計算機上統(tǒng)一粘貼了“非涉密計算機嚴禁處理涉密信息”的標(biāo)識，杜絕涉密和非涉密計算機之間的混用。

2、網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象，沒有安裝無線網(wǎng)絡(luò)等。對信息公開發(fā)布門戶網(wǎng)站及相關(guān)應(yīng)用系統(tǒng)帳戶、口令等進行檢查，對服務(wù)器上的應(yīng)用、服務(wù)、端口和鏈接進行了檢查，沒有網(wǎng)站信息被非法篡改，也沒有非法鏈接。同時，日常工作中，及時對計算機進行漏洞掃描、木馬檢測等，加強安全監(jiān)管。我單位使用的計算機都為非涉密計算機，主要是用于業(yè)務(wù)工作，沒有用于處理涉密信息的情況。目前，網(wǎng)絡(luò)運行良好，安全防范措施和設(shè)備運行良好，沒有涉及國家秘密的相關(guān)信息，未在網(wǎng)上存儲、傳輸國家秘密信息，未發(fā)生過失密、泄密現(xiàn)象。

3、密碼技術(shù)防范方面。我單位的相關(guān)信息還達不到涉密信息系統(tǒng)等級，目前還沒有使用密碼技術(shù)防護措施。

㈤應(yīng)急工作機制建設(shè)情況

1、應(yīng)急響應(yīng)機制建設(shè)上，根據(jù)相關(guān)要求，建立了信息安全的相關(guān)規(guī)章制度，要求縣社信息安全管理辦公室根據(jù)信息安全工作情況及時向工作領(lǐng)導(dǎo)小組報告相關(guān)情況，并及時上報縣信息化辦公室，及時采取有效措施，處理相關(guān)問題。目前，還沒有應(yīng)急響應(yīng)方案。

2、對非涉密的相關(guān)重要工作信息實行光盤備份，以防范計算機系統(tǒng)故障帶來的損失和影響。

3、目前，我社的信息安全管理工作還沒有明確應(yīng)急技術(shù)支援隊伍，主要由縣社辦公室根據(jù)工作中的問題向縣信息辦及時報告咨詢解決。目前，沒有發(fā)生信息安全事件。

㈥信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用情況

我單位終端計算機安裝的防火墻、入侵檢測設(shè)備、殺毒軟件等信息安全產(chǎn)品，使用360安全衛(wèi)士等軟件，皆為國產(chǎn)產(chǎn)品。公文處理軟件具體使用金山軟件的WPS office系統(tǒng)和Microsoft Office系統(tǒng)。單位使用的工資系統(tǒng)、業(yè)務(wù)統(tǒng)計報表系統(tǒng)、組織人事統(tǒng)計系統(tǒng)等應(yīng)用軟件均為縣委、縣政府相關(guān)部門和市供銷社統(tǒng)一指定的產(chǎn)品系統(tǒng)。

㈦安全教育培訓(xùn)情況

1、縣供銷社積極參加全縣保密工作會議和縣委政府相關(guān)部門組織的信息系統(tǒng)安全知識培訓(xùn)，并專門負責(zé)機關(guān)的網(wǎng)絡(luò)安全管理和信息安全工作。

2、結(jié)合集中學(xué)習(xí)，縣供銷社對全縣保密工作會議精神進行了傳達學(xué)習(xí)。同時，在日常工作中相關(guān)保密、信息安全工作人員也結(jié)合《保密工作》雜志及相關(guān)文件精神，開展自學(xué)，提高信息安全意識、保密意識。

㈧信息安全經(jīng)費保障。

縣供銷合作社信息安全工作得到縣社領(lǐng)導(dǎo)高度重視，信息安全相關(guān)學(xué)習(xí)培訓(xùn)材料的征訂購買和相關(guān)防護設(shè)施建設(shè)、運行、維護和管理經(jīng)費均納入預(yù)算，實報實銷，為信息安全提供了經(jīng)費保障。

二、信息安全檢查存在的主要問題及整改情況

經(jīng)過安全檢查，我單位信息安全總體情況良好，但也存在了一些不足，同時結(jié)合單位工作實際，進行了整改同時提出了進一步整改的措施。

1、部分干部職工對信息安全工作的認識不到位。由于本部門工作涉密很少，機關(guān)干部對信息安全防范的意識還不高，對信息系統(tǒng)安全工作重要性的認識還不足。針對這些情況，縣社領(lǐng)導(dǎo)已結(jié)合傳達全縣保密工作會議精神，進一步作了強調(diào)和要求。結(jié)合工作開展，今后將繼續(xù)加強對機關(guān)干部的信息系統(tǒng)安全意識教育，提高干部職工對信息安全工作重要性的認識。

2、設(shè)備維護、更新不及時。部分股室計算機的殺毒軟件、防護軟件沒有及時進行更新升級，存在部分漏洞。針對這些問題，辦公室已及時對各終端計算機的殺毒軟件、防火墻等進行了更新升級，對存在的漏洞進行了修復(fù)。今后將對線路、系統(tǒng)等的及時維護和保養(yǎng)，及時更新升級防護軟件。

3、信息系統(tǒng)安全工作的水平還有待加強。供銷社的信息系統(tǒng)工作人員均為兼職人員，非專業(yè)人員，對信息安全的管護水平低，還需要加強專業(yè)學(xué)習(xí)培訓(xùn)，提高信息安全管理和管護工作的水平。

4、信息安全工作機制還有待完善。部門信息安全相關(guān)工作機制制度、應(yīng)急預(yù)案等還不健全，還要完善信息安全工作機制，建立完善信息安全應(yīng)急響應(yīng)機制，以提高機關(guān)網(wǎng)絡(luò)信息工作的運行效率，促進辦公秩序的進一步規(guī)范，防范風(fēng)險。

三、對信息安全檢查工作的意見和建議

一是，進一步加大對信息安全工作人員的業(yè)務(wù)培訓(xùn)。由于很多部門的信息安全工作人員均為兼職，均是“半路出家”，非專業(yè)人員，沒有專業(yè)的技能和知識，希望進一步加強對計算機信息系統(tǒng)安全管理工作的業(yè)務(wù)操作培訓(xùn)，發(fā)放一些信息網(wǎng)絡(luò)安全管理方面的業(yè)務(wù)知識材料。

二是，加強對各級各部門干部職工的信息系統(tǒng)安全教育。通過開展專題警示教育培訓(xùn)，增強信息系統(tǒng)安全意識，提高做好信息安全工作的主動性和自覺性。

三是，加強分類指導(dǎo)。由于各部門工作性質(zhì)不同，信息安全的級別也不同。希望結(jié)合各部門工作實際，對重點信息安全部門和非重點信息安全部門進行分類指導(dǎo)。

二○一○年六月二十二日

瀘州市人民政府信息化管理辦公室：

根據(jù)你辦《關(guān)于印發(fā)<2009瀘州市政府信息系統(tǒng)安全檢查指南>的通知》(市府信管辦〔2009〕33號)文件要求和市府辦召開的網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案暨信息系統(tǒng)安全檢查工作會的要求，現(xiàn)就我區(qū)政府信息系統(tǒng)安全檢查自查情況匯報如下：

一、信息安全總體情況

10月15日、16日參加完市上會議之后，我區(qū)及時開展了信息系統(tǒng)安全情況的調(diào)查摸底工作，制定了工作方案，并獲得領(lǐng)導(dǎo)的大力支持。于10月23日印發(fā)了《2009瀘州市納溪區(qū)政府信息系統(tǒng)安全檢查指南》的通知。在10月27日，我區(qū)召開了全區(qū)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案暨政府信息系統(tǒng)安全檢查工作會，安排布置了全區(qū)的工作。

1、安全制度落實情況

經(jīng)自查發(fā)現(xiàn)，我區(qū)各級各單位的網(wǎng)絡(luò)與信息系統(tǒng)管理機構(gòu)比較完善，有主管領(lǐng)導(dǎo)和具體檢查人員，信息安全責(zé)任制和各項安全保密制度較完善，重要部門人員管理制度落實，每個部門都落實了一名人員，負責(zé)信息日常安全。嚴格實行了“誰上網(wǎng)，誰使用，誰負責(zé)”的原則。重要信息上網(wǎng)必須經(jīng)過單位分管領(lǐng)導(dǎo)批準，一般信息上網(wǎng)必須經(jīng)過部門負責(zé)人審核。我區(qū)針對新中國成立60周年國慶制定了完善的應(yīng)急工作方案，堅持了網(wǎng)絡(luò)值班。同時將信息安全經(jīng)費列入財政預(yù)算，今年全區(qū)已落實近15萬元用于網(wǎng)絡(luò)與信息安全建設(shè)。

近年來，通過中心機房建設(shè)和對網(wǎng)絡(luò)配套改造，建成了覆蓋全區(qū)的高速信息網(wǎng)絡(luò)系統(tǒng)。我區(qū)部署了網(wǎng)絡(luò)硬件路由、防火墻，黨政網(wǎng)上應(yīng)用了金山毒霸網(wǎng)絡(luò)版殺毒軟件，政務(wù)外網(wǎng)上應(yīng)用了卡巴斯基網(wǎng)絡(luò)版殺毒軟件。機房實施了UPS供電，建立了中心機房網(wǎng)絡(luò)雷電防護

體系。我區(qū)建立健全了網(wǎng)絡(luò)值班制度，加強了網(wǎng)絡(luò)值班工作，區(qū)信息化辦工作人員每天對設(shè)備運行情況、網(wǎng)站信息發(fā)布情況進行監(jiān)控，并填寫值班日志。

2、安全防范措施落實情況

我區(qū)要求各級各單位嚴格按保密管理、密碼管理、等級保護要求，對上黨政網(wǎng)的計算機進行了加密保護。涉密計算機實行專人管理，責(zé)任到人。對涉密介質(zhì)，如光盤、磁盤、優(yōu)盤等由專人管理。做到了涉密計算機定點維修，保證了涉密計算機的安全和保密；同時加強對涉密文件資料的管理，所有印發(fā)的涉及單位秘密的文件資料者是在單位文印部門（打印中心）制作，并編排序號；上級發(fā)來的涉密文件資料都是作好嚴格登記，并根據(jù)工作需要，嚴格控制范圍，認真履行了傳借閱國家秘密文件登記、簽收手續(xù)，未有丟失現(xiàn)象；對秘密文件都是實行專門文件夾傳閱，并將領(lǐng)導(dǎo)閱后的秘密文件收回并專門保管，防止秘

密文件的流失。

自查發(fā)現(xiàn)，我區(qū)計算機使用國產(chǎn)化率較高，主要的品牌有聯(lián)想、清華同方等，使用較多的非國產(chǎn)品牌有HP、DELL等。字處理軟件95%以上都使用微軟Office,只有少數(shù)使用國產(chǎn)WPS?；ヂ?lián)網(wǎng)終端計算機上85%使用的瑞星和金山毒霸等殺毒軟件，少數(shù)使用360安全衛(wèi)士和卡巴斯基等。黨政網(wǎng)的計算機90%以上都使用了網(wǎng)絡(luò)版金山毒霸，電子政務(wù)外網(wǎng)

85%以上都使用了網(wǎng)絡(luò)版的卡巴斯基。

我區(qū)各級各單位都高度重視政府信息系統(tǒng)安全檢查工作，為了搞好這次檢查，都成立了領(lǐng)導(dǎo)小組，主要領(lǐng)導(dǎo)親自抓，分管領(lǐng)導(dǎo)具體抓。對這次檢查進行了統(tǒng)籌安排，嚴密組織，明確了職責(zé)，強化了責(zé)任，以確保檢查不走過場，注重實效，確保檢查質(zhì)量，以切實提高政府信息系統(tǒng)安全保障能力，確保我區(qū)政府信息系統(tǒng)安全運行。

二、信息安全檢查發(fā)現(xiàn)的主要問題及整改情況

根據(jù)《通知》中的具體要求，在自查過程中我們也發(fā)現(xiàn)了一些不足，同時結(jié)合我區(qū)實際，今后要在以下幾個方面進行整改。

1、部分單位安全意識不夠。部分單位工作人員信息安全意識不夠，未引起高度重視。檢查要求其要高度保持信息安全工作的警惕性，從政治和大局出發(fā)，繼續(xù)加強對機關(guān)干部的安全意識教育，提高做好安全工作的主動性和自覺性。

2、部分單位缺乏相關(guān)專業(yè)人員。由于部分單位缺乏相關(guān)專業(yè)技術(shù)人員，信息系統(tǒng)安全方面可投入的力量非常有限，下一步要加強相關(guān)技術(shù)人員的培訓(xùn)工作。

3、部分單位安全制度落實不力。要求各單位要加強制度建設(shè)，加大安全制度的執(zhí)行力度，責(zé)任追究力度。要強化問責(zé)制度，對于行動緩慢、執(zhí)行不力、導(dǎo)致不良后果的單位和個人，要嚴肅追究相關(guān)責(zé)任人責(zé)任，從而提高人員安全防護意識。

4、部分單位工作機制有待完善。部分單位網(wǎng)絡(luò)與信息安全管理混亂，要進一步創(chuàng)新安全工作機制，提高機關(guān)網(wǎng)絡(luò)信息工作的運行效率，進一步規(guī)范辦公秩序。

5、計算機病毒問題較為嚴重。由于單位經(jīng)費緊張，部分單位使用的是盜版殺毒軟件，有的是網(wǎng)上下載的，有的是已過期不能升級的，更有不裝殺毒軟件的。要求各單位加大投

入，確保用上正版殺毒軟件。

6、計算機密碼管理重視不夠。相當(dāng)部分計算機未設(shè)置密碼，有的密碼設(shè)置也過于簡單。要求各臺計算機至少要設(shè)置8-10個字符的開機密碼。

三、對信息安全檢查工作的建議和意見

信息和信息網(wǎng)絡(luò)安全的防范和監(jiān)管是信息主管部門的一個重要職責(zé)。明確信息安全檢查工作是為了加強安全防范，在此，對于做好安全防范工作建議如下：

1、明確各層組織機構(gòu)和人員的網(wǎng)絡(luò)和信息安全責(zé)任，實現(xiàn)組織和人力上的安全保證；

2、組織建立和健全各項信息和信息網(wǎng)絡(luò)安全制度，實現(xiàn)制度和管理上的安全保證；規(guī)范日常信息化管理和檢查制度。包括：軟件管理、硬件管理、機房管理、系統(tǒng)運行和維護管理、網(wǎng)絡(luò)管理等，提出并實施各系統(tǒng)配置和標(biāo)準化設(shè)置，便于安全的維護和加固，實

現(xiàn)基礎(chǔ)管理上的安全保證；

3、組織好單位內(nèi)的項目協(xié)調(diào)、實施、推廣應(yīng)用與培訓(xùn)等工作，確保信息化項目的實施成效，實現(xiàn)規(guī)劃和應(yīng)用上的安全保證；

4、我區(qū)對網(wǎng)絡(luò)與信息安全檢查工作進行了部署，建議市上指導(dǎo)我區(qū)開展網(wǎng)絡(luò)和信息

系統(tǒng)安全應(yīng)急演練。

瀘州市納溪區(qū)人民政府信息化管理辦公室

二OO九年十一月五日

第五篇：煙草專賣局信息網(wǎng)絡(luò)安全等級保護工作自檢自查報告

煙草專賣局信息網(wǎng)絡(luò)安全等級保護工作自檢自查報告

根據(jù)市局通知要求，我局立即開展了一系列的自查自評活動，認真對照2010年綜治、安全目標(biāo)管理考評辦法，精心部署并周密安排了對全年綜治、安全工作的自查自糾活動，自查自糾結(jié)束后，我局還對照2010年綜治、安全考評表對自查結(jié)果進行自我評價?，F(xiàn)將自查自評情況匯報如下：

一、制定科學(xué)的安全管理制度，確保各項規(guī)定落實到位

二、為使綜治工作進一步規(guī)范化、制度化，確保綜治安全工作做到有章可循、嚴格依章管好每一個崗位的人員，我局在原有制度的基礎(chǔ)上，完善了安全工作十三條制度、七項職責(zé)，完善健全了車輛和駕駛員管理臺帳，車輛派車單、車隊工作、車輛使用、維修、派車、停放制度和駕駛員管理制度。同時成立了各類機構(gòu)，設(shè)立了專門安全員，并與各部門及相關(guān)崗位簽訂了安全責(zé)任獎。為了確保制度的行之有效，我局把安全工作列入各科室的績效考評。

二、對重點部位進行細致的檢查。

對局卷煙倉庫、財務(wù)室、微機房、網(wǎng)點中隊等重點部位滅火器、應(yīng)急照明、疏散指示標(biāo)志等進行自查，有10個滅火器需在11月中旬換藥，目前已全部更換好，均達安全要求，其他各類防盜設(shè)施、監(jiān)控系統(tǒng)完整好用，網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定，制定了安全保衛(wèi)管理制度，并定期對員工進行安全教育和突發(fā)事件應(yīng)對措施教育，加強員工的安全防患意

識，全面落實人防、物防、技防措施，確保安全。

三、節(jié)假日值班及日常檢查情況。

我縣局（公司）聯(lián)系實際，在重大節(jié)日和非常時期都落實了24小時值班制度，并由領(lǐng)導(dǎo)親自帶班，交接班按嚴格進行登記，值班人員堅守崗位，沒有無故缺崗，值班巡查作好了詳細記錄。堅持開展常規(guī)性檢查、突擊性檢查和專項檢查相結(jié)合的方式，發(fā)現(xiàn)隱患及時認真整改，防止了事故的發(fā)生，并對自查、整改情況記入《安全檢查檔案》。

四、綜治安全教育培訓(xùn)情況。

我局定期對駕駛員、綜治安全員、財務(wù)人員進行培訓(xùn)教育，并做好學(xué)習(xí)記錄，我局還定期組織駕駛員學(xué)習(xí)交通法律法規(guī)，經(jīng)常交流駕駛經(jīng)驗和心得，使其自覺遵守交通規(guī)則和單位制度，同時，抓好派車、用車、管車等制度的落實，嚴防交通事故的發(fā)生。

五、職業(yè)健康安全體系開展情況

在安全體系運行的過程中，全員認真學(xué)習(xí)體系文件，全面掌握體系標(biāo)準的基本內(nèi)容，深刻領(lǐng)會其精神實質(zhì)，領(lǐng)導(dǎo)帶頭遵守體系文件的各項規(guī)定，確保了貫標(biāo)工作落到實處，同時不斷完善和修改體系文件，針對辨識的危險源，在認真調(diào)查研究的基礎(chǔ)上，多次召開專題會議，先后修訂完善了防盜、搶應(yīng)急預(yù)案、防觸電事故應(yīng)急預(yù)案、食物中毒應(yīng)急預(yù)案、防震救災(zāi)、防交通事。安全管理水平逐步邁上規(guī)范化、制度化的軌道。

六、發(fā)現(xiàn)的問題及自評情況。

通過本次對全局一年來綜治安全工作的自查自糾活動，我局也發(fā)現(xiàn)了一些問題和不足，如：綜治安全工作一些方面做得還不夠細,安全檢查人員的素質(zhì)不夠高；矛盾糾紛排查工作開展力度還不夠；綜治安全方面法律法規(guī)和相關(guān)制度的學(xué)習(xí)應(yīng)加強。

總的來說，我局本的綜治安全工作基本可以達到市局考評方案要求，我局將立即整改自查自糾中發(fā)現(xiàn)的問題，揚長補短，迎接好即將到來的省、市局綜治安全年終考評工作。

南豐縣煙草專賣局

二0一0年十一月二十九日