XXDD有限公司
关于开展计算机网络保密管理专项检查报告
XX市保密局:
XXDD公司为切实做好涉密信息系统及非涉密信息系统的保密管理,防止失泄密事件发生,根据XX市保密局《关于组织开展计算机网络保密管理专项检查的通知》文件精神,XXDD公司于4月
日到
日组织开展了网络信息安全保密专项检查,现将检查结果汇报如下:
一、公司领导高度重视,积极部署检查工作
公司接到通知后,公司领导高度重视,立即组织相关人员召开会议,成立以保密委员会主任为组长,保密委员会副主任为副组长,相关部门负责人为成员的保密专项工作检查领导小组,由公司保密办负责保密管理和网络安全的相关人员组成检查小组,执行具体工作。
此次检查以部门为单位,全公司范围进行安全自查,检查小组利用专业检查工具同步进行检查,发现问题当场提出整改意见。并要求各部门将自查结果以纸质形式报检查小组备案,检查小组对照各部门自查结果补充并反馈整改意见。
二、严格执行保密制度,细化检查内容
XXDD公司认真对照计算机保密管理和技术防范相关要求,开展全公司范围内的安全检查。检查小组利用安全管理软件和审计软件逐台清查内网计算机是否有违规操作和泄密风险,另此次检查在严格要求涉密计算机的防护、使用同时,也强调了对非涉密计算机的使用管理要求。具体检查内容如下:
1、从检查过程中发现问题,反思《计算机和信息系统保密管理制度》是否存在管理漏洞;
2、网络管理“三员”的配备是否符合标准;
3、涉密计算机(笔记本)是否违规联接国际互联网或其他公共信息网络;
4、涉密计算机(笔记本)是否按规定正确安装、配置和使用安全防护软件(内网计算机必须安装的安全防护软件有:江民杀毒软件、文档管理系统、主机监控与审计系统、主机接入认证系统、打印客户端、中孚在线检查工具;涉密单机必须安装的安全防护软件有:防病毒软件、主机监控与审计系统);
5、涉密计算机(笔记本)是否按照安全保密管理策略进行配置(口令复杂度、长度和变更周期是否符合保密制度规定;是否设置屏保及锁屏);
6、应用系统用户及数据库是否存在空口令、弱口令;
7、涉密计算机中是否存储、处理高于计算机密级的信息;
8、是否在涉密场所中安装、使用配有麦克风、摄像头等音视频输入装置的智能设备以及具有无线收发功能的智能设备;
9、非涉密计算机是否违规接入涉密信息系统,互联网接入终端是否在明显位置粘贴禁止处理涉密信息的标识;
10、非涉密计算机及存储介质是否存储、处理、传输国家秘密、标有密级标识的数据信息或内部敏感信息;
11、是否在互联网网站、论坛、博客、社交媒体等发布国家秘密;
三、发现问题及时整改,不留后患
通过为期
天的全面检查,令部分员工意识到自己日常使用计算机的个别行为存在泄密风险,公司员工均积极配合检查工作,悉心听取整改意见。检查结果如下:
1、XXDD公司的《计算机和信息系统保密管理制度》涵盖对涉密计算机信息系统布置环境、涉密及非涉密台式计算机、涉密及非涉密便携式计算机、移动存储介质、互联网、网络系统设备、信息输出及维修报废的管理要求。制度较完善,但公司内网与外围之间的信息传输方式发生了改变,部分制度规定的流程尚未修订。检查工作结束后,保密委员主任要求保密办立即重新梳理信息传输流程,做到行有所依,同时应梳理其他涉密资料管理流程是否有变动或疏漏,应一并整改。
2、XXDD针对网络系统管理专门配备有“三员”——安全审计员、安全保密员、系统管理员,负责信息系统日常安全保密管理和协助开展安全保密教育宣传。
3、为确保涉密网络的安全XXDD采取了身份鉴别措施,有效防范非授权用户登录服务器、终端、应用系统以及安全保密设备;采取访问控制措施,有效防范用户对信息的越权防问;采取安全审计措施,准确记录用户和管理人员的操作行为,有效监控违规操作;采取边界安全防护措施,有效防范违规接入、违规外联和移动存储介质交叉使用等行为;采取信息流转控制措施,防止高密级信息流入低密级网络或者安全域。
4、为了在确保信息公开的同时,要防止涉密信息流入非涉密网络信息系统中,公司要求非涉密计算机(连接互联网计算机)不得存储涉密信息及公司重要技术信息及经营信息,并设置一定强度的登陆密码、屏保及屏锁。此次检查小组逐台检查了公司非涉密计算机,发现:
1)部分互联网计算机上存储有敏感信息,虽不涉及国家秘密,但为避免不必要的误会,已要求相应管理人员刻盘保存或删除敏感信息;
2)存在个别互联网计算机未设置登陆密码、屏保及屏锁的现象,检查人员发现后要求其立即重新设置,直至符合保密要求; 3)发现个别员工在互联网网站上发布了未经审批的公司招聘信息,虽不涉及国家秘密,但已对发布人员进行了批评教育,并对其部门负责人提出了整改意见
5、公司内网与外网间的信息现仅能通过光盘一次性刻录传递,且使用固定中间机作为统一输入输出口,中间机有专人管理。
四、检查结论
成DD的网络符合安全规定,公司员工在涉密计算机信息系统及非涉密计算机的使用中无重大违规现象,员工保密意识良好,但对非涉密网络系统的使用上防范意识较松懈,公司保密委员会要求:
1、根据公司实际工作情况,修改完善《计算机和信息系统保密管理制度》及其他相关制度;
2、组织公司员工学习新的《计算机和信息系统保密管理制度》及《保密技术防范常识》,还应加强日常的保密培训,让员工们不断加强认识,提高警惕性。
发现问题立即整改,不断推动保密管理工作水平再上新台阶。
XXDD有限公司
2015年5月 日
