文山市工商局2011年度
政府信息系统安全检查情况报告
市经商局:
根据文经商函[2011]8号文件的通知要求,我局高度重视,组织有关部门和人员根据文件规定的检查内容认真对照检查,现将检查情况报告如下。
一、信息安全状况
我局在大力推进信息化建设的同时,一直把信息安全工作作为首要工作来抓。软件硬件的购置、系统使用等,凡是不符合信息安全规定的,均不予考虑实施。通过加强组织领导、落实规章制度、加强队伍建设等措施形成了长期有效的运行机制,并取得了一些成效。
二、信息安全主要工作情况
(一)信息安全组织机构落实情况
为了更好地开展好信息安全工作,我局成立了以局长为组长,班子成员为副组长,各股室负责人为成员的信息系统安全领导小组,指定由局办公室具体负责信息系统安全工作的日常事务。
(二)日常信息安全管理
1、人员管理。我局负责信息安全工作的主要工作人员相对稳定,对于新上岗的工作人员,对其进行教育,提高信息安全意识;对于离岗的工作人员,办理相关移交手续,并对其所掌握的帐户密码进行修改或停用;对于普通的工作人员,制定出《文山市工商行政管理局网络管理制度》,并由局监察室督促严格执行。
2、资产管理。我局在《规定》中明确了局办公室是信息系统设备的管理部门,财管室是记帐部门。根据财务规定,属于固产资产的纳入固定资产管理,从申请购买、入库、领用、维修报废等均有记录。为确保系统的安全,信息设备的安装、调试、软件参数设置等统一由局办公室指定的工作人员处理,其他人员不得擅自安装与工作无关的软件。
3、信息技术外包服务安全管理。我局专门指定专职计算机管理人员,负责处理计算机运行中出现的问题。外包服务主要有硬件提供、耗材购置、现场施工等,对外包服务的选择我局遵循“有资质,有诚信,安全可靠适用”的原则。
4、信息安全经费保障。我局的信息产品的购置、运行、维护均纳入部门年度预算,今年上半年我局投资6.08万元新购置计算机10台、激光打印机5台、针式打印机1台,交换机1台,用于更新原使用的老化设备,预计下半年投资5万元用于购置信息安全设备,推动网上政务工作的开展。
(三)信息安全防护管理
1、网络边界防护管理。我局的网络由工商专网、互联网二部分构成,工商专网的建设和维护由州工商局统一实施,与互联网之间实施物理隔离。
2、信息系统安全管理。我局的信息系统主要有行政事业单位资产管理信息系统、DBCS部门预算管理系统、中国共产党基本信息管理系统;使用的信息系统有工商政务业务一体化信息系统、文山市网络办公平台、文山市司法共享平台、党委信息管理系统。运行这些系统的计算机均由专人负责管理和使用,定期进行检查维护,并按照州工商局的规定关闭不必要的应用、服务。
3、门户网站安全管理。我局未单独设立门户网站,对外信息的发布严格审核,主要通过文山市政府信息门户网
站、政府信息公开网站和96128政务信息查询网站进行发布,无涉密信息对外公布。
4、电子邮箱安全管理。我局内部使用的电子邮箱只在工商专网上应用,电子邮箱帐户和密码均由州工商局统一设置和分配。我局规定邮件系统所传输的数据信息不得包含涉密和敏感信息,只作为文件传递交换使用,邮箱软件安装和帐户设置均由局办公室网络管理员完成。
5、终端计算机安全管理。我局接入互联网的终端计算机统一一个出口,实名登记,并加强病毒防御、控制、定期升级。涉密计算机单独使用,不与任何网络连接。连接工商专网的计算机禁止以任何方式接入其他网络。
6、移动存储设备安全管理。我局无大容量的存储介质,对移动存储设备统一登记、配发,主要用于文件的传输。并规定移动存储设备不得存储敏感和涉密信息,在使用时必须确保未被病毒感染,最大限度地保证系统的安全。
(四)信息安全应急管理
我局的信息安全应急管理主要体现在专门配置足够机房所有设备运行2个小时的不间断电源,配合办公楼发电机,在城市断电的情况下,可以正常工作。软件上实现定期的关键数据本机备份、异机备份,在数据遭受破坏的情况下,可进行数据的恢复应用。
(五)信息安全教育培训
我局通过制定信息安全管理相关制度、会议传达、限制互联网用户、严格信息发布审核程序的形式增强干部职工的信息安全意识。
(六)信息安全检查工作情况
工商专网用户登录均设置有用户名和用户口令,其他信息系统的操作均由专人负责管理,实名登记连接互联网的计算机,对外信息的发布严格审批。同时加强对计算机的日常维护工作,定期和不定期升级病毒库,进行木马、病毒查杀。
三、检查发现的主要问题及整改情况
我局通过本次信息安全检查,发现存在的主要问题是使用工商专网的终端计算机操作系统的升级困难,以至于系统漏洞补丁不能得到及时修复,主要原因是我局的专网与互联网物理隔离,客观上给在线升级带来了不便。将及时向州局反馈,解决当前终端计算机操作系统升级的问题。另有部份计算机已老化,按报批程序向上级部门反馈进行更换。
四、对信息安全工作的意见和建议
1、信息安全管理人员持证上岗。我局信息安全管理员资质不明确,不知道如何才能获得信息安全管理相关证书,达到持证上岗。
2、系统定级情况。没有相关部门备案和认证,建议市经商局加强对我局系统定级的指导。
3、本次信息安全检查比较细,也比较具体,我局虽然做了大量的工作,但仍存在不足。建议市经商局在检查我局工作的同时,也加强对我局的业务指导和培训,以便于我局改进工作,使我局的信息安全工作更加规范化,达到一个新的水平。
文山州文山市工商行政管理局
二〇一一年八月八日
