信息安全等級保護自查報告

篇一：信息安全等級保護自查報告
　　XX縣煙草專賣局(分公司)的信息網絡安全建設在上級部門的關心指導下，近年取得了快速的進步和發展，實效性強，網絡安全防控能力大大增強。為進一步貫徹落實行業網絡與信息安全各項管理規定，嚴格規範信息安全等級保護，提高企業對信息網絡安全的防控能力，保障企業信息網絡安全，保證公司各項辦公自動化工作的正常進行，促進企業效益的穩步提升，按照《XX縣人民政府辦公室關於開展信息網絡信息安全等級保護安全檢查工作的通知》要求，我司組織相關人員對系統內信息網絡安全等級保護工作認真細緻的自檢自查，現將自查情況報告如下。
　　一、 等級保護工作部署和組織實施情況
　　XX縣煙草公司企業信息化建設在市局(公司)的統一領導下，按照“統一網絡、統一平台、統一數據庫”的要求，以打造“數字煙草”為戰略目標，以“系統集成、資源整合、信息共享”為工作方針，取得了快速的發展，在積極推進企業信息化建設的過程中，更加重視網絡信息的安全建設工作。從省公司到市公司、縣公司，領導高度重視，統一規劃，統一標準，同步實施。首先是逐級成立了領導小組和職能部門，XX分公司按照上級部門要求，2000年11月成立了信息化領導小組，下設信息辦在公司辦公室，並設置了計算機系統管理員崗位，明確了各自的職責。由於網絡推廣應用迅速，2005年重新更設了計算機網絡信息中心，旨在強化對企業的網絡建設和網絡安全管理。在歷次的機構設置中，都明確了分公司主要領導分管信息工作，把網絡信息安全的建設與管理擺到了企業各項工作的重要位置中來，表明了企業對信息化建設、網絡安全管理的高度重視和決心。其次是對行業的網絡安全建設高瞻遠矚、統一標準、規範運作、務求實效。先後省公司下發了《雲南省煙草專賣局關於建設雲南省行業計算機網絡與信息安全系統的通知》，對全行業的網絡信息安全建設作了明確、細緻的規定，制定了高效規範的《雲南省煙草行業計算機網絡與信息安全系統建設方案》，統一在全系統範圍內實施。隨後市局公司又下發了《曲靖市煙草專賣局(公司)關於建設網絡安全系統的通知》，對各分公司的網絡安全建設作了具體的安排部署。XX縣煙草公司嚴格按照上級部門要求，主動推進網絡安全建設，嚴律遵循行業標準規範，組織實施信息項目，積極配合上級部門在全行業開展網絡安全建設工作。
　　二、信息系統安全保護等級備案情況
　　XX縣煙草專賣局(分公司)隸屬曲靖市煙草專賣局(公司)子公司，無法人資格。網絡信息安全建設也是依照市公司統一要求進行，信息安全保護等級為二級。按照本次檢查要求，備案材料主要包括三類。一是各級各部門的文件，包括有：羅煙司字[2000]48號《關於成立雲南省煙草XX縣公司信息化領導小組的通知》，省公司雲煙科[2000]209號《關於決舉辦雲南省煙草行業計算機系統管理員培訓班的通知》，省公司雲煙信[2003]552號《雲南省煙草專賣局關於建設雲南省煙草行業計算機網絡與信息安全系統的通知》，市公司雲
　　曲煙專司字[2004]35號《曲靖市煙草專賣局(公司)關於建設網絡安全系統的通知》、《曲靖煙草專賣局(公司)黨政工作部關於舉辦網絡信息安全培訓的通知》，市公司雲曲煙辦字[2004]98號《曲靖市煙草專賣局(公司)關於建設地面專網的通知》等。第二類是各項網絡信息安全建設規範、技術標準及方案等，主要包括有：《雲南省煙草行業信息網絡信息系統技術規範》兩部分，《雲南省煙草行業信息網絡系統計算機網絡系統建設技術規範》、《雲南省煙草行業計算機網絡與信息安全系統建設方案》。第三類是各類管理制度或規定，主要包括有：《雲南省煙草行業信息網絡管理規範》、《雲南省煙草行業計算機網絡與信息安全管理制度》、《信息化工作管理規定》的網絡與信息安全管理，《網絡建設及信息維護按理規定》、《計算機設備管理規定》、《計算機機房管理規定》及《突發信息網絡事件應急預案》等。
　　三、信息安全設施建設情況。
　　根據上級部門的統一規劃、建設要求，XX縣煙草公司積極推進各項網絡安全建設工作。首先，為考慮網絡安全，結合業務實際，在網絡規劃時以建設專線為重點，在全省煙草系統內全部採用專線連接，實現互聯互通。在系統主幹網絡建設上，先是採用衞星專用通道聯網，後改用DDN專線，隨着網絡技術的發展和普及，從2006年開始，全省煙草系統，從省公司至市公司，從市公司至分公司，從分公司至煙葉站、煙葉收購點，採用帶寬不同的SDH專線連接。公司絕大部分業務均在內網裏運行，各類數據信息通過內網服務器和網絡流轉、共享，無外網託管現象，只有極少部分業務需掛外網。其次是不
　　斷採用新技術、新手段做好網絡信息安全防範工作，嚴格劃分企業內網與外網，通過硬件防火牆設置，保證內外信息交互有效進行，實現對垃圾信息、非法訪問的有效過濾。同時，通過網絡版殺毒軟件的安裝使用，對計算機病毒進行整體防治，另一方面，對操作終端還配置防木馬程序的軟件，以及軟件防火牆等軟件的使用，配合殺毒軟件對計算機病毒、黑客攻擊、木馬程序等進行了有效的防範。總之，通過軟硬件技術手段的有效結合，使系統內網及每個終端計算機、系統內的信息、數據安全得到了有效保障，有效保證了企業各業務工作的順利開展。
　　四、管理制度建設情況。
　　煙草企業自2004年工商分制以來，作為一分公司，在曲靖市煙草公司的直接領導下，各項工作穩步推進，伴隨着社會效益、企業效益的逐年攀升，曲靖煙草企業更加註重管理模式的總結與創新，強調管理的精細化和規範化，通過長時間的積累、總結和創新，對各行各業各個環節都制定了規範、有效的管理制度。形成了具有行業標準的相關制度-《曲靖煙草商業管理(QTCM)-管理制度》，在網絡信息安全方面涉及很多內容。制定了《計算機設備管理規定》，旨在規範煙草系統計算機及相關設備的管理工作，促進設備的有效管理，提高設備的綜合效率，滿足工作需求;制定了《計算機機房管理理規定》，旨在加強計算機機房的運行、使用和管理，保證各信息系統的穩定可靠運行，促進公司網絡的健康發展;制定了《信息化工作管理規定》、以及《網站建設及信
　　息維護管理規定》，包括網絡和信息安全管理規定，旨在保證企業網絡信息系統運行安全、可靠，做到實體安全、運行安全、數據安全和管理安全。2008年4月份，根據企業《職業健康安全管理體系》運行的整改要求，制定了《突發信息網絡事件應急預案》，包括機房滲漏水應急預案、機房盜竊應急預案、機房火災應急預案、機房長時間停電應急預案、通信網絡故障應急預案、網絡病毒爆發應急預案、服務器軟件系統故障應急預案、核心設備硬件故障應急預案、業務數據損壞應急預案等九部分內容，旨在加強對系統內突發信息網絡事件的控制，迅速有效開展應急救援行動，降低危害程度。總之，企業對網絡安全高度重視，制定了眾多管理制度，並積極層層落實，責任分明，有效地保證了了企業長期以來的網絡信息系統的穩定運行。
　　五、信息安全產品選擇和使用情況。
　　我司的網絡信息安全產品，2004年開始根據市公司的要求，進行統一配置。其中，硬件防火牆採用中端型產品，品牌型號為天融信NGFWARES-VPN(S)，版本TOPSEC集中管理器V2.2.17，基本滿足管理要求。防病毒軟件曾採用趨勢Trend網絡版，2007年以後統一改用瑞星企業專用版，與全國大多企業一致選用國產軟件。網絡管理平台軟件曾使用復旦光華T_Manager網絡綜合管理系統，預計未來將採用其它新系統實現網絡綜合管理。此外，針對各終端設備的安全防範，我司還使用了正版的瑞星個人防火牆軟件和免費版的奇虎360安全衞土等安全軟件，實現防病毒、木馬程序、黑客、非法程序等的輔助管理，進一步提高了整個系統的安全防範能力和管理水平。
　　六、聘請測評機構開展技術測評情況
　　我司的網絡安全檢測及風險評估工作也是依照市局(公司)的統一要求組織實施，按照市公司的統一安排，聘請測評機構為曲靖市麒麟區聯創信息網絡有限公司，檢測時間一般為每年6至7月份，檢測內容為：機房物理環境、服務器、網絡設備(交換機、路由器、防火牆)，桌面終端等，其中，桌面終端採用抽查方式進行檢測，抽查率不少於總數的30%，檢測工作中，工程師需簽訂《雲南省網絡與信息系統安全檢測單位保密承諾》和安全檢測保密協議，檢測結果及報告由市公司保存。
　　七、定期自查情況
　　XX縣煙草公司高度重視網絡安全建設工作，強調日常維護、安全防範和定期自查工作。對管理制度不斷完善更新，新技術新手段積極採用，藉助於企業職業健康安全管理體系的貫標、運行和提升工作，不斷開展網絡信息安全的檢查工作，對一經查出的問題及時整改，自己不能解決的及時上報上級部門，給予幫助解決，有效地促進了整個安全防控體系的完善和管理水平的提高。
　　篇二：信息安全等級保護自查報告
　　根據《永勝縣人民政府辦公室關於開展政府信息系統安全檢查的通知》(永政辦發〔2010〕56號)文件精神，結合我社實際，認真組織開展了信息系統的安全自查工作。現將相關情況報告如下：
　　一、信息系統安全檢查基本情況
　　(一)信息安全組織機構落實情況
　　為規範信息公開工作，落實好信息安全的相關規定，我社成立了信息安全工作領導小組，落實了管理機構，由聯社辦公室負責信息安全的日常管理工作，明確了信息安全的主管領導、分管領導和具體管理人員。
　　(二)日常信息安全管理落實情況
　　根據供銷合作社的工作實際，供銷社日常信息安全工作主要涉及上級下發的涉密文件管理、政府信息公開工作信息管理、業務工作相關數據信息管理、組織人事信息管理。根據這些實際，縣聯社已從落實管理機構和人員、加強教育培訓、更新設備、健全完善相關制度等方面對信息安全的人員、資產、運行和維護管理進行了落實。
　　一是，落實具體負責信息安全工作的人員，對涉密信息文件、材料實行專人管理;對重要辦公區、辦公計算機等進行嚴格管理，確保信息保密工作。 二是，結合供銷社工作實際，對涉密文件材料管理和計算機、移動存儲設備等的維修、報廢、銷燬管理進行了規定。對日常信息辦公軟件、應用軟件等的安裝使用，主要是由上級組織人事部門、業務主管部門下發的業務工作應用軟件，均按照上級部門的要求和規定，嚴格進行操作管理。
　　三是，結合供銷社政府信息公開工作，按照信息公開的相關保密規定和程序，初步建立了《永勝縣供銷合作社政府信息公開保密審查制度(試行)》，對信息公開、陽光政府四項制度等公開發布信息保密審查機制、程序進行了規範，完善相關信息審批備案和日常記錄。
　　(三)等級保護與風險評估
　　永勝縣供銷合作社的相關信息系統主要是業務工作，不是重要涉密部門，還達不到涉密信息系統等級，所以，沒有對信息系統定級、測評和評估。 ㈣技術安全防範措施和手段落實情況
　　1、計算機及網絡經過檢查，已安裝了防火牆，同時配置安裝了專業殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。並按縣委保密局的要求，在主要的計算機上統一粘貼了“非涉密計算機嚴禁處理涉密信息”的標識，杜絕涉密和非涉密計算機之間的混用。
　　2、網絡終端沒有違規上國際互聯網及其他的信息網的現象，沒有安裝無線網絡等。對信息公開發布門户網站及相關應用系統帳户、口令等進行檢查，對服務器上的應用、服務、端口和鏈接進行了檢查，沒有網站信息被非法篡改，也沒有非法鏈接。同時，日常工作中，及時對計算機進行漏洞掃描、木馬檢測等，
　　加強安全監管。我單位使用的計算機都為非涉密計算機，主要是用於業務工作，沒有用於處理涉密信息的情況。目前，網絡運行良好，安全防範措施和設備運行良好，沒有涉及國家祕密的相關信息，未在網上存儲、傳輸國家祕密信息，未發生過失密、泄密現象。
　　3、密碼技術防範方面。我單位的相關信息還達不到涉密信息系統等級，目前還沒有使用密碼技術防護措施。
　　(四)應急工作機制建設情況
　　1、應急響應機制建設上，根據相關要求，建立了信息安全的相關規章制度，要求縣社信息安全管理辦公室根據信息安全工作情況及時向工作領導小組報告相關情況，並及時上報縣信息化辦公室，及時採取有效措施，處理相關問題。目前，還沒有應急響應方案。
　　2、對非涉密的相關重要工作信息實行光盤備份，以防範計算機系統故障帶來的損失和影響。
　　3、目前，我社的信息安全管理工作還沒有明確應急技術支援隊伍，主要由縣社辦公室根據工作中的問題向縣信息辦及時報告諮詢解決。目前，沒有發生信息安全事件。
　　(五)信息技術產品和信息安全產品使用情況
　　我單位終端計算機安裝的防火牆、入侵檢測設備、殺毒軟件等信息安全產品，使用360安全衞士等軟件，皆為國產產品。公文處理軟件具體使用金山軟件的WPS office系統和Microsoft Office系統。單位使用的工資系統、業務統計報表系統、組織人事統計系統等應用軟件均為縣委、縣政府相關部門和市供銷社統一指定的產品系統。
　　(六)安全教育培訓情況
　　1、縣供銷社積極參加全縣保密工作會議和縣委政府相關部門組織的信息系統安全知識培訓，並專門負責機關的網絡安全管理和信息安全工作。
　　2、結合集中學習，縣供銷社對全縣保密工作會議精神進行了傳達學習。同時，在日常工作中相關保密、信息安全工作人員也結合《保密工作》雜誌及相關文件精神，開展自學，提高信息安全意識、保密意識。
　　(七)信息安全經費保障。
　　縣供銷合作社信息安全工作得到縣社領導高度重視，信息安全相關學習培訓材料的徵訂購買和相關防護設施建設、運行、維護和管理經費均納入預算，實報實銷，為信息安全提供了經費保障。
　　二、信息安全檢查存在的主要問題及整改情況
　　經過安全檢查，我單位信息安全總體情況良好，但也存在了一些不足，同時結合單位工作實際，進行了整改同時提出了進一步整改的措施。
　　1、部分幹部職工對信息安全工作的認識不到位。由於本部門工作涉密很少，機關幹部對信息安全防範的意識還不高，對信息系統安全工作重要性的認識還不足。針對這些情況，縣社領導已結合傳達全縣保密工作會議精神，進一步作了強調和要求。結合工作開展，今後將繼續加強對機關幹部的信息系統安全意識教育，提高幹部職工對信息安全工作重要性的認識。
　　2、設備維護、更新不及時。部分股室計算機的殺毒軟件、防護軟件沒有及時進行更新升級，存在部分漏洞。針對這些問題，辦公室已及時對各終端計算機的殺毒軟件、防火牆等進行了更新升級，對存在的漏洞進行了修復。今後將對線路、系統等的及時維護和保養，及時更新升級防護軟件。
　　3、信息系統安全工作的水平還有待加強。供銷社的信息系統工作人員均為兼職人員，非專業人員，對信息安全的管護水平低，還需要加強專業學習培訓，提高信息安全管理和管護工作的水平。
　　4、信息安全工作機制還有待完善。部門信息安全相關工作機制制度、應急預案等還不健全，還要完善信息安全工作機制，建立完善信息安全應急響應機制，以提高機關網絡信息工作的運行效率，促進辦公秩序的進一步規範，防範風險。
　　三、對信息安全檢查工作的意見和建議
　　一是，進一步加大對信息安全工作人員的業務培訓。 由於很多部門的信息安全工作人員均為兼職，均是“半路出家”，非專業人員，沒有專業的技能和知識，希望進一步加強對計算機信息系統安全管理工作的業務操作培訓，發放一些信息網絡安全管理方面的業務知識材料。
　　二是，加強對各級各部門幹部職工的信息系統安全教育。通過開展專題警示教育培訓，增強信息系統安全意識，提高做好信息安全工作的主動性和自覺性。
　　三是，加強分類指導。由於各部門工作性質不同，信息安全的級別也不同。希望結合各部門工作實際，對重點信息安全部門和非重點信息安全部門進行分類指導。