XX年政府信息系统安全检查的工作汇报
近年来,为了加强政府信息系统工作的安全性和保密性,我县对全县范围内的各类政府网站、电子政务内外网、各局委政务信息网、县直单位信息保密工作等进行了多次检查和抽查,针对存在问题和不足制定了相应的整改措施,确保了我县政府信息工作安全高效运作。现将具体工作情况汇报如下:
一、信息安全总体情况
(一)领导重视,机构健全。针对政府信息系统安全检查工作,县委、县政府高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由县委副书记担任,副组长由县政府副县长担任,成员由县直有关局委组成,领导小组下设办公室,办公室设在县工业和信息化局,办公室主任由县工信局局长兼任。同时,县直各单位和各乡镇领导也十分重视信息安全工作,持续建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了政府网站的良好运行,确保了网络和信息传输工作的安全运作。
(二)制定方案,加强检查。为确保我县政府信息系统的安全,加大对信息安全的检查督导力度,XX年,县信息安全工作领导小组制定了详细的检查方案,对所要检查的部门、范围和具体要求做了详细的安排部署。
一是检查范围具体包括:县政府电子政务内外网、各类政府门户网站、县政务信息报送系统、网上信访、各局委政务信息网站、档案管理系统等。
二是检查内容包括:信息安全组织领导、工作机构和网站安全责任人落实情况;信息安全制度落实情况;网站应急值班、网站信息内容发布审核、安全责任追究等制度;主要技术防范措施,包括网页防篡改、防病毒、防攻击等技术措施,账户和口令的管理措施,操作系统、应用软件、病毒防护软件等的补丁升级,网站域名安全管理措施等;特殊管理措施,如关闭或删除不必要的应用、服务、端口和链接,限制易被攻击、利用的网站栏目和功能,临时关停一些影响面积小、信息长期不更新、安全风险大的网站;安全应急预案落实与应急演练情况,包括应急技术支撑队伍、值班制度的落实情况等。
通过这次检查,我县信息安全工作整体运行状况良好,但也发现工作中存在一定的问题与隐患。一是个别单位和部分信息系统使用人员的安全意识淡薄,在管理上缺乏足够的主动性和自觉性;二是网络安全技术管理人员配备较少,信息系统安全方面可投入的力量有限;三是规章制度体系初步建立,还不够健全和完善,未能覆盖信息系统安全的所有方面;四是目前部分信息系统的数据无可靠备份,出现故障后会导致系统使用中断;五是在设备和操作系统安全环节,缺乏有效审计手段,无法建立可行的审计策略;六是防病毒系统更新、升级相对滞后,整体运行不够稳定,信息系统存在感染计算机病毒的风险隐患。
(三)明确责任,强化措施。XX年,县政府信息安全检查领导小组对我县80多个县直部门和21个乡镇进行了信息安全拉网式排查,共查出问题21起,存在隐患15处,对存在问题和隐患及时提出了整改意见和建议,并责令其制定整改措施,限时进行整改到位。
同时,我县确立四项工作重点,对全县信息涉密单位和网站进行了回头看,确保政府系统信息安全检查成效明显。一是把进一步建立完善信息安全制度列入工作重点,要求县直各单位和各乡镇的政府网站,必须按照规定进一步建立和完善管理制度。二是加强网站链接的定期检查,对服务器受攻击,网页被篡改的网站,进行全面的检查、测试、打补丁、安装。进行网页源代码漏洞查找,并对查找到的问题进行了修补,特别是对上传的控制。三是强化信息安全意识,对县直单位和乡镇专业人员进行安全意识培训,确保信息传输的安全性。四是关闭因无人管理常年闲置的网站。
由于我县领导高度重视信息安全检查工作,检查措施和力度到位、落实责任到位,增强了信息安全合作与交流、促进了相互学习,确保了我县内外网站正常、安全运行。
二、XX年工作开展情况
根据“安信化办[XX]5号”文件的要求,及XX年2月1日国家正式实施《信息安全技术基于互联网电子政务信息安全实施指南》标准,我县结合实际,对各项规章制度及技术设备进行多方位的整改,以满足国家标准的要求。
一是完善和修订相关管理制度。针对我县目前网站及其设备,先后制定完善了《政府网站建设管理规范制度》、《政府信息公开保密制度》、《涉密人员教育管理制度》、《保密工作目标考核制度》、《安阳县政府网站政民互动栏目内容处理办法》等。重新规范了“政府信息公开管理制度”、“视频会议设备管理制度”、“政府网站信息安全保密审核责任制度”、“机房安全管理制度”等主要工作制度。
二是加强信息安全的管理。根据我县的实际情况和网络通讯设备的用途,我县对信息安全工作加强了管理,按照“谁使用、谁管理、谁负责”的原则,严格落实领导责任制,并制定了相应的管理策略。一是严格“四本一签”制度,即收发文登记本、传阅文件登记本、借阅文件登记本、清退销毁文件登记本和机要文件处理签;二是涉密载体保管,必须在具备“三铁两器”独立专用场所存放;三是对全县计算机建立台帐,实行单位统一编号,责任到人;四是对计算机实行定位、定机、定人管理,逐级签订责任书;五是要求全县网站内的计算机要有防火墙安全策略,同时,制定了电子政务网络规划策略、视频会议应用策略、党政综合楼网络管理策略等。
三是加强安全技能培训工作。为了提高信息安全意识,4月份,我县组织了县直各单位和乡镇计算机保密和信息安全培训会,培养专业信息安全技术人员,以提高专业人员应对各种软硬件安全技能。对硬件产品的使用,要求各单位掌握其配置策略及方法,在厂商配置完后,各单位要重新配置关键部位,并保存备份配置策略,遇见问题时要认真学习配置手册及产品手册或电话咨询相关技术人员,以保证更有效的管理安全设备后续服务。对软件产品的应用,要求开发商提交黑盒子测试产品时同时提供软件开发源代码,以供以后遇见问题时进行扩展或添加补丁。
四是定期进行安全检查并及时纠错。县信息安全领导小组办公室定期对县党政综合楼网络、视频会议网络、政府门户网站、电子政务外网等进行检测和检查,对存在的安全隐患问题及时做好更换检修。定期对软件进行测试,对检测和用户反应的问题进行研究,制定相应的措施,编写相应的补丁,并做好版本的备案。对服务器,杀毒软件,安全策略,系统安全日志,进行定期安全检测保证其在安全的前提下,确保数据传输和信息的安全度。今年5月8日至21日,我县对部分县直单位信息保密工作进行了抽查,对县检察院、县法院、县工商局、县统计局等单位政府信息公开保密和涉密载体清理检查工作进行了肯定,对意识淡薄、管理不规范、制度不健全的单位进行了通报批评。6月份,由县保密局牵头,对全县40个各类政府门户网站和电子政务外网、20余家政府信息公开单位、20余家废品收购进行了检查,清理涉密文件800余份,内部资料余吨,销毁文件资料余吨,清理计算机、移动介质100余台。通过检查,有效地促了进保密工作的开展,全县信息安全工作得到了进一步保障。
总之,我县对涉及信息系统方面的规章制度、安全组织及职责、人员管理、体系结构、网络安全、设备和操作系统安全、应用系统安全、数据安全、物理环境安全、应急响应和灾难恢复等环节都进行了检查、分析和归纳,对已有的安全管理体系和安全措施进行核实和评价。从自查情况看,我县信息系统安全状况总体情况良好,各类政府门户网站、电子政务外网、政府信息公开单位网站制度健全,安全措施到位,多年来未发生过信息系统安全事件。
三、下一步措施和打算
为进一步加强我县政府信息系统安全,针对检查中发现的隐患与不足,我们下一步要围绕信息系统安全工作目标,重点在完善规章制度、丰富技术手段上下功夫,认真开展整改工作。
1、依据《国家信息安全技术标准规范》,结合信息系统安全检查工作目标,再次检查规章制度各个环节的安全策略与安全制度,并对其中不完善部分进行了重新修订与修改。
2、加强信息网络安全技术人员培训。组织系统管理员、网络管理员、信息系统使用人员等核心技术人员开展多种形式的信息系统安全知识学习、培训,进一步强化相关工作人员安全意识的教育工作,进一步加强设备安全巡检,防患于未然;
3、进一步强化信息系统客户端安全监控及授权管理,确保系统安全。
