2019年度網絡安全和信息化工作自評報告

2019年度網絡安全和信息化工作自評報告

一年來，在公司信息中心正確指導支持下，圍繞公司年度網絡安全和信息化工作會議精神和工作要求，不忘初心使命，砥礪奮進，努力開創企業信息化高質量發展新局面，卓有成效地在主體責任落實、網絡安全、項目管理、創新能力、隊伍建設、數據中心與數據質量、數字化工廠建設等方面開展探索和實踐，均取得了較優成績。現將2019年來的主要工作自評總結匯報如下：

一、嚴格落實信息化工作主體責任

全年針對信息化工作點多面廣，服務性和專業性都很強的特點，緊扣行業和公司信息化發展戰略，“行業典範”、“窗口企業”的目標定位，在大局下思考和行動，切實擔當創新和高質量發展的新使命和新責任，在政治和業務領域活學活用實學精幹中推進各項工作。

一是召開廠黨委會議，4月28日，利用會議和辦公系統傳達學習和部署落實了行業及公司2019年網絡安全和信息化領導小組會議、網絡安全和信息化工作會精神，研究貫徹落實意見;6月4日，廠黨委會議上，研究部署和下發了本年度網絡安全工作，明確了年度網絡安全和信息化工作要點，納入2019年度工作目標考核方案，細化分解到月度重點工作任務清單，納入季度和月度工作考核。全年從安全生產管理周例會督辦項目完成情況和月(季)重點工作績效督查情況來看，年度網絡安全和信息化工作重點都得到了較好地貫徹和落實。

二是5月上旬制定並經多次討論後，批次下發了《江西中煙工業有限責任公司井岡山捲煙廠網絡安全與系統運維考核實施細則》，並於6月份開始實施考核。結合公司對企業年度信息化工作考核要求，全面梳理差距並迎頭整改彌補差額事項。突出IT綜合管理和治理方案，主要關注企業發展後勁、IT工作績效和基礎夯實工作。由於與績效掛勾，增強了全員IT工作績效意識，促進各項考核指標處於較好狀態。從全年的生產管理周工作簡報來看，全年MES系統、制絲管控系統、捲包數採系統、批次系統、能管系統、高架系統運行總體正常，實現了IT網絡信息系統生產保障。批次管理系統各項數據完整，捲包車間數據準確率為99.08%，制絲車間數據準確率為100%，成品數據準確率為100%。其它各系統數據完整率也均處優良。

三是全年嚴格執行行業和公司網絡安全檢查要求以及企業管理體系文件要求組織開展了節假日期間和日常網絡與信息系統安全檢查排查與運維，全面推進了企業IT基礎“1+2+2+N”運維模式文件體系架構和日常運用實踐，確保了系統穩定。全年開展網絡信息安全半年度、季度巡檢、月度集中檢查42次，營造了網絡安全和數據安全良好生態，保持了網絡安全系統及其設備設施、作業活動和作業環境處於正常有效狀態。全年累計處理各類問題或故障53次，整改完成率100%。另外，今年8月如期開展了企業信息安全及計算機信息系統保密工作自查。目前，制度對接和檢查執行的效果顯現。

四是按照《煙草行業應對網絡安全攻擊基本防護措施》通知要求對敏感信息、資產狀況、安全加固、實時監測和應急處置共五點開展自查工作，並向信息中心提交自查報告。在對敏感信息方面，及時響應國家或行業通報的網絡安全情況，在完善平台技術架構與安全防範網絡策略上，針對所負責的網絡和系統進行日常系統“查缺補漏”工作。在充分利用IT資源方面，瞄準IT資源清晰、流程順暢和數據管理目標，合理做好IT資源規劃與利用，積極開展IT資產、網絡安全、各管控系統潛能作用等專項管理診斷活動，進一步盤活現有資源、滿足崗位需求、奠定IT資產管理規範基礎，集成整合企業資源並形成合力，提升整體抗風險能力。年初、6月6日和9月，先後召開了各運維單位駐廠人員日常工作銜接專題會，日常銜接年度各外來運維單位工作。8月開展了IT基礎專項管理診斷活動。1月和6月的管理體系外部審核和內部審核活動，3月、9月和12月三度組織IT資產(包括軟件、文件)盤點清查整治和廢舊利用和設備報廢工作。在安全加固方面，按照網絡安全等級保護制度，舉一反三落實各項基礎設施和管理工作，着重針對已定二級備案的《行業生產經營決策管理系統江西中煙井岡山捲煙廠分支系統》專項申報公司進行等保測評工作。針對辦公網與生產網安全，實施了邏輯隔離工作。日常管理上採取技術手段將工控主機上的不必要USB、光驅等接口已禁掉，並對工控主機實施嚴格的訪問控制。另外，加強了區域網絡管理。在6月和12月先後檢查拆除不合規的網絡信息系統。對於生產區域無線網絡，只允許PDA終端連接，手機筆記本等移動終端不得連接車間無線網絡。各部門兼職網絡安全信息員組織本部門檢查排查是否存在私接無線路由器的情況。在實時監測方面，嚴格執行企業網絡安全相關制度規範。實時監測防火牆等安全設備運行情況。每日對防火牆等網絡安全設備進行實時監測，對發現的疑似攻擊地址立即在防火牆上進行封禁處理。發現異常須及時報告。按照“先封堵再研判”原則先阻斷網絡連接，再對攻擊行為進行溯源，並及時向公司信息中心報告有關情況。

五是根據人事變動和企業狀況，重新成立了網絡安全與信息化管理工作領導小組，下發了紅頭文件。進一步明確了分管網絡安全工作領導班子成員及其組織工作主體責任。實現了內部資源整合。年初信息部門恢復單列部門，又鑑於今年員工1人借調支援商業公司系統開發、2人生育輪休的實際，內部採取輪崗交流與職責整合輪換作業方式組織開展企業信息化工作，促進年輕員工得到很好的鍛鍊。

二、突出抓好網絡安全杜絕發生網絡信息安全事件

全年抓好做好梳理網絡安全隱患、檢查治理與落實整改三個環節的工作，做到兩個全覆蓋，即覆蓋所有部門、覆蓋所有系統，確保不留死角不留隱患。由於採取“集中管控、分佈防護”兩手抓的方略，在信息系統整體防護的管理上取得了一定的成效，全年未發生一起網絡信息安全事故。網絡安全工作成效主要體現在：

一是進一步夯實網絡安全基礎工作。1月，開展了IT資產及信息網絡安全專項管理診斷，瞄準“兩化融合”和現有質量、環境及職業健康安全三標管理體系目標要求，嚴格落實網絡安全責任制度，明確每個信息系統業務主管部門和運行維護部門具體職責。進一步優化完善了企業信息化系統運維保障工作機制，深入構建企業網絡信息安全運維管理體系。全面梳理建立和實施各管控系統底層操作應用標準文件，使之滿足企業IT運行的各項管理要求。9月通過了市公安部門等保工作檢查與備案。6月6日和12月15日兩度開展了系統賬户和密碼合規性、網絡與信息系統漏洞自查整改活動。在開展排查“弱口令”和“掃漏洞”的網絡安全問題整改活動中，全面針對弱口令、漏洞未修復等突出安全隱患進行整改。對未按要求設置密碼的網絡和IT服務器與終端機以及我廠自建信息系統的賬號進行全面清查，對不符合要求的賬户密碼立即進行整改，將密碼修改為字母、數字、特殊符號等3種以上組合且不少於8位，對存在漏洞的IT系統及時進行了修復。另外，在今年6月行業和吉安市11月開展的兩度網絡安全應急演練中，均保持了網絡安全和系統穩定，達到了預期效果。

二是編制實施了網絡安全及各信息系統應急預案，按要求開展了季度演練與評價。全年按季開展了計算機網絡與信息系統應急演練6次，涵蓋中心機房、OA、MES、批次管理和物流系統等運行突發事件的處置和應急狀態處置，均達到預期效果。其中，先後完成了《MES系統制絲工單下發不到制絲管控系統應急演練》、《計算機房精密空調初期起火現場應急演練》、《批次管理系統輔料凍結應急演練方案》、《設備故障導致片煙高架庫無法出庫應急演練》，且各活動記錄齊全。

三是我廠辦公網與生產網設計實行了邏輯隔離，明確了工控機的安全管理措施。同時，以執行和監督執行各項制度規範進一步得到鞏固，全年未發生網絡信息安全事件。全年從月(季)績效考核的結果來看，沒有出現由於軟硬件故障，計算機病毒，工作失誤，遭受人為破壞等原因影響本單位信息系統正常運行，也從未造成由於系統數據丟失、泄露、被篡改，以及業務中斷超過4小時，產生不良影響或一定經濟損失，嚴重影響生產和工作的其他情況。

四是根據公司《網絡安全責任書》，我廠編制並與各部門簽訂了《網絡安全責任書》，並在管理制度文件體系中明確了信息系統業務主管部門和運行維護部門網絡安全責任。同時，加強了與建設合作單位的協同管理，任何項目開工前，首先做到了開展安全告知培訓，簽訂相關安全(施工)協議，並按保密要求與本單位信息系統派駐運維人員簽訂《數據保密承諾函》，嚴守保密規定，較好地履行保密責任。

五是嚴格執行《井岡山捲煙廠計算機機房管理規定》等機房系列標準規範體系文件。每日對計算機機房進行日常巡檢，每週對機房主要設備進行周檢，並填寫記錄。對出現的故障進行分析並處理，將分析研判情況進行記錄，並形成月度工作總結。在機房管理標準文件中，根據要求，明確網絡與機房基礎設施維保的通信聯動應急保障制度。

六是數字化視頻監控系統具有基本安全措施。按要求，監控網與生產網及辦公網實施了邏輯隔離。日常根據各部門實際需求分配攝像頭查看範圍及權限，並且對分配賬户均按要求設置了合規密碼，合理發揮了數字化視頻監控系統的作用。

三、嚴格推進項目管理各項工作

密切關注公司四大體系建設、數據中心繫統建設和OA系統升級項目應用。以公司信息化規劃為指導開展企業項目年度需求調研、項目申報、方案論證，關鍵技術諮詢等工作。在年度預算項目批覆文件下達之後，分解落實實施計劃。一方面，瞄準目標，做好公司各在建重點項目和系統的技術對接，按要求開展實施與優化工作。另一方面，進一步強化企業內部信息技術消化，全面拓展工控安全分析預警、二維碼識別物料、QCD、SPC等信息化技術在安全、質量、成本、考核，在過程控制與數據分析預警等方面的應用深度和廣度，進一步夯實企業信息化技術基礎，為生產製造過程大數據挖掘運用，精益生產和智能物聯擴展應用奠定了良好基礎。進一步促進企業在“兩化融合”、“數字化智能工廠”建設架構與開發上繼續發揮作用。通過上半年和下半年兩度召開年度採購項目推進會，梳理了各項目採購流程規劃和節點時間工作控制，有序推進了項目實施工作。截止11月，年度5個項目均按進度計劃如期完成了實施任務。

2019年我廠立項申報的5個項目均符合公司申報項目要求，保留了申報項目論證記錄。按要求每季度的下個月10日前，將項目實施進度上報了信息中心。各項報送資料完整。貫徹落實規劃“回頭看”要求，制定實施了具體工作計劃和方案，對近幾年來重要信息化項目進行梳理、評估，有部署、有落實，有記錄，並形成規劃“回頭看”報告。所有信息化項目均按公司檔案管理要求保存完整的過程檔案資料(包括但不限於採購、啟動、需求調研、上線運行、驗收等關鍵環節)及電子檔案資料，並設置兼職管理人員。各個信息化項目均符合公司規定的“一項一卷”要求，保存了信息化項目過程檔案資料及電子檔。信息化項目公開招標項目比例在80%以上。未出現按季度上報信息化工作進展情況漏報遲報現象。

四、積極營造氛圍，促進創新能力提升

全年圍繞積極利用信息系統資源，創新系統應用途徑，有效支撐本單位生產組織、質量管控、庫存管理、降本增效等重點工作，以課題、小改小革等實踐活動和各種業務及學術交流形式帶動創新活力，推進企業精益和創新管理。在各項創新能力提升主題活動實踐中，全年累計產生各項成果20餘項。其中，5個課題成果正在等待公司和江西省各管理協會組織年終評比結果。

5個案例。梳理總結完成了《井岡山捲煙廠網絡信息安全運維管理體系建設實踐》、《二維碼技術應用推廣》、《基於檢維修體系的信息化應用》、《基於制絲管控系統的防錯預警機制應用》等案例。其中，有2個於今年4月和10月在公司年度信息化工作會和“創新引領高質量發展”信息化專題交流會上展開了交流研討。

2018年底，上報省企協參評創新課題3個，其中，年初從發佈與推廣第二十屆江西省企業管理現代化創新成果通報中獲悉，《基於信息化項目管理的工具運用與實踐》和《精益合作生產批次管理系統的風險分析與應對》均榮獲一等獎，《構建網絡安全信息系統““1+2+2+N”運維模式》獲二等獎。本廠取得《精益合作生產批次管理系統的風險分析與應對》創新成果，在廣豐捲煙廠實現部分推廣。

2018年公司精益課題2個。其中，梳理總結完成了2018年公司立項的《二維碼技術應用推廣》精益管理課題成果，並以A3報告進行了驗收申報。全面完成了2018年公司立項的《構建信息系統“1+2+2+N”運維模式》精益管理課題實踐，該成果已經在2月18日公司《關於表彰2018年度精益管理優秀課題、管理診斷優秀案例和企業管理先進個人的決定》中榮獲了公司當年評比二等獎。今年擴展產生了《IT網絡安全信息系統“1+2+2+N”運維模式》新成果。

今年註冊QC課題2個。12月9日，召開部門QC活動小組專題會，全面總結了今年兩個課題工作。另外，2018年註冊QC課題4個，完成企業QC課題成果3個，其中，《提高批次管理系統捲包投料掃碼率》QC活動成果榮獲2018年度江西省第三十九次質量管理小組代表大會三等獎，另外兩個QC課題成果榮獲廠優秀獎。

2篇論文發表。於2月27日和5月8日，我廠相繼在《東方煙草報》管理前沿發表了論文《數字化工廠背景下質量管理體系的信息化應用》和《淺談企業信息化工作績效的自主評估》。《數字化工廠背景下質量管理體系的信息化應用》榮獲江西煙草優秀論文。發表在《江西煙草》總第148期論文增刊P49-P51。《抓住機遇有的放矢推進數字化工廠“兩化融合”實踐》榮獲公司產業系統特等獎。最近報送了論文《試論信息化支撐推行企業績效管理的思維方法》參評。

五、培養信息化專業團隊，提升隊伍整體素質

在企業內部，我廠積極營造了學習型團隊良好氛圍。突出實際需求，參與中國CIO高峯論壇，有選擇性的把握學習內容和參與IT企業組織的信息化網絡在線研討，日常內部各類IT專業微信羣的線上討論。全年參與外派和開展了公司和企業13項調研活動，組織安排了南煙、廣煙等兄弟單位9人來廠的IT交流或跟班學習。接待了安徽阜陽煙廠和江蘇中煙來廠2次針對IT網絡、批次管理系統建設和使用情況的經驗交流。全年通過“學習強國”和“中國煙草網絡學院”《網絡安全培訓》(專題版)兩個網絡平台487人達成和超額完成了規定的學習培訓指標任務。全年6名年輕員工參加了國家軟考，通過率100%。全年組織國家網絡安全法集中培訓(85人)、公司數據中心(75人)、公司新版OA(85人)、企業網絡信息系統用户安全運維、操作應用、新增IT類標準體系文件培訓與系統演練413人，全員IT培訓率達80%以上，全面拓展信息技術在質量、安全、成本、考核等方面的深度應用和技能水平。

目前部門工作人員有高、中級職稱及取得國家軟考證書的人員比例為100%。在管控系統的維保工作，採取自主維保、外包人員駐場維保及遠程維保相結合的方式。2019年我廠能源管控、物流高架系統基本為本廠人員自主維保，捲包數採(8月24日)、MES(11月23日)等系統在自主維保後繼續採取駐廠運維方式進行系統維保。

通過組織各類內部培訓、系統演練，公司和外部交流，從中親身體驗信息化發展日新月異的變化，為融合技術創新、應用創新、模式創新與優化改善不斷充電。不僅促進了企業信息技術消化、信息技術和應用人才培養工作，而且增強了自身素養和企業形象，逐步實現提供隊伍高質量、高水平的信息化服務。

六、持續保持數據中心與數據質量，上報數據及時準確真實規範

根據行業和公司關於加強行業數據安全防範化解風險隱患有關工作，圍繞落實《2019年網絡安全和信息化工作要點》要求，嚴防發生數據安全和公民個人信息泄露事件，六月，我廠根據《網絡安全法》《電子商務法》等相關法律法規，組織開展了全面排查法律風險和信息系統數據風險工作，通過翻閲我廠信息化項目合同和現場應用，未發現存在違反《網絡安全法》《電子商務法》等相關法律法規關於數據安全和公民個人信息保護規定的問題隱患;未使用移動APP等互聯網應用系統;不存在對外託管信息系統和承載數據。同時，對駐廠運維人員的安全管理措施進行了檢查和風險評估，經過排查，未發現存在擅自讀取、存儲、緩存、和使用數據(包括數據泄露)的問題隱患。對於存在IT與數據安全等3項主要風險隱患採取了管控措施和問題整改，加大了高風險漏洞和弱密碼專項治理情況監管力度，增強大數據環境下防攻擊、防泄露、防竊取的監測預警和應急處置能力，確保網絡安全設備設施均處於正常工作狀態並能實現部署該設備設施的設計要求，確保各項管理措施有效落實，促進數據中心日常運維數據高質量保障。全年上報生產經營決策管理系統的數據差錯率為0，上報公司數據中心的數據做到了及時、準確、真實、規範，未出現上報數據不符合要求的情況。

七、推進項目管理與數字化工廠建設

為促進一體協同重點工作成效，今年3至4月，根據《井岡山捲煙廠信息化規劃“回頭看”工作計劃及方案》，採取各系統自查和現場調研相結合的方式，從系統發揮的成效入手，着眼系統性、全局性、整體性等方面對異地技改新廠實施的項目，包括後來實施的批次管理項目，對數字化工廠建設建管用方面所做工作進行回顧和自查及全面梳理、評估。4月10日向公司提交了《井岡山捲煙廠數字化工廠建設和運行情況彙報》。在4月的年度公司信息化工作會、8月的管理診斷、9月的信息化專題調研和11月的公司信息化現場交流會上，均針對SPC管理平台建設、商業營銷移動應用、質檢離線數據採集完善、設備管理信息系統功能完善、MES智能生產製造、PBMS批次管理兩個系統的二期建設和生產經營決策管理系統等保測評等及其相關的技術與方案優化提出了進一步的需求和設想。

全年尤其突出抓好IT基礎制度規範工作，夯實IT基礎管理工作。通過年初的部門調研、8月公司和企業管理診斷、11月的年度主題教育巡視、9月公司對企業信息化工作專題調研、1月和12月質量管理體系認證審核、6月企業質量、環境、安全三標管理體系內部審核，年度各項內部、外部開展的檢查和自查自評等活動，針對差距或不足，全年梳理並經制修訂涉及物流、工藝質量、生產、成本、能源、設備等IT基礎標準文件55個，其中新增文件23個。進一步明確了崗位作業標準規範。包括相關方人員管理，規範了IT業務範圍內各項管理的職責和人員合理分工與協作。各管理、技術和作業規範均得到安全有效執行。公司《數字化工廠專項管理診斷情況通報》我廠數字化工廠建設和運行管理亮點體現在：一是數字化工廠運行的制度體系較為完善。建立了管理制度、運維辦法、崗位操作規範等三級制度體系，管理要求層層分解，呈現出規劃性強、職責明確、操作易懂等特點。二是信息化部門與業務部門聯動，建立了完善的生產數據質量保障機制。針對不同生產環節數據，明確了核對的責任崗位、職責要求，做到了生產數據的班清班結，為數據的及時、準確提供了保障。三是將二維碼新技術應用於信息化資產管理，做到了“一掃便知”資產生命週期和使用狀態。