• 您好,欢迎来到鄂托克旗人民政府门户网站!
政务公开

您的位置:首页 > 信息公开目录 > 部门(单位)信息公开目录 > 西保局

西鄂尔多斯国家级自然保护区管理局关于呈送信息安全情况自查报告

索 引 号: 000014349/2013-02155 分  类: 其他 ; 其它
发布机构:人事秘书科 发文日期:2013年08月07日
名  称: 西鄂尔多斯国家级自然保护区管理局关于呈送信息安全情况自查报告
文  号: 鄂西管字〔2013〕100号 主 题 词:

旗人民政府办公室:

    按照《鄂托克旗人民政府办公室关于转发鄂尔多斯市2013年重点领域信息安全检查工作实施方案的通知》(鄂政办发201349)文件精神,我局组织相关人员,对2013年重点领域信息安全情况进行了自查,现将自查结果呈上,

附件:1.西鄂尔多斯国家级自然保护区管理局信息安全情况自查报告

       2. 部门信息安全检查结果统计表

       3. 部门信息安全管理工作自评估表

   

   

   

                     西鄂尔多斯国家级自然保护区管理局

                                2013年8月7

   

   

   

   

   

   

   

   

   

   

   

   

                                                       

  西鄂尔多斯自然保护局人秘科           2013年8月7印发

  附件1

  西鄂尔多斯国家级自然保护区管理局

  信息安全情况自查报告

   

  一、信息安全状况总体评价

  2013年,西鄂尔多斯国家级自然保护区管理局继续将信息安全工作纳入整体工作的重要组成部分,夯实信息化基础建设,初步落实信息系统安全机制,力争从源头做起,从基础抓起,从而来不断提升全局信息安全理念,强化信息技术的安全管理和保障,加强对包括设备安全、网络安全、数据安全等信息化建设全方位的安全管理,以信息化促进保护区管理的科学化和精细化。

  二、2013年信息安全主要工作情况

  (一)信息安全组织管理

  1.信息安全管理机构及其工作开展情况:结合我旗信息化安全管理现状,在充分开展调查研究的基础上,本着加强我局计算机信息系统安全保护工作,保障国家财产的安全和各项税收工作的顺利进行,根据《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等有关法律、法规和规章,制定了《信息安全管理规章制度》,包括组织管理、安全防范设施、用户权限管理、数据安全管理、主机安全管理、网络安全管理、病毒防范、安全审计管理、外来人员访问管理、安全事件的处理、连接互联网的安全保密、责任追究等内容。全面规范了我局信息安全管理制度。并以公文的形式下发执行,把安全教育发送到每一个岗位和人员。2013年,我局未发生任何信息安全事件。

  2.信息安全员及其工作开展情况:2013年,我局调整了以局长杨永华为组长、分管副局长郭占雄为副组长的信息安全领导小组,成员包括全局五个科室主要负责人,其实人事秘书科为信息安全管理机构,并核定专门的工作人员。做到了及时制定信息安全工作计划和及时总结。并积极参与了全旗组织的有关信息安全教育的培训,局信息安全领导小组定期对信息安全机构进行督促检查。

  (二)日常信息安全管理

  1.人员管理。结合我局实际,制定了《岗位信息安全责任制度》、《重要岗位人员信息安全和保密协议》、《人员离岗离职信息安全管理规定》以及《外部人员访问机房等重要区域审批制度》等相关制度。要求全局工作人员都应该了解信息安全形势,遵守安全规定,掌握操作技能,努力提高全局信息保障能力,并在各相关制度里提出人人养成良好信息安全习惯的相关规范:包括禁止用非涉密机处理涉密文件、禁止在外网上处理和存放内部文件资料等。

  2.资产管理。制定了《资产管理制度》以及《设备维修维护和报废管理制度》。我局现有计算机18台,全部为国产计算机,1台计算机安装有电子政务网,与外网不相连接,实行专机专用,保证了电子信息及公文的安全接收和使用。每个工作人员使用的计算机也按涉密用、内网用、外网用三种情况分类登记和清理,清理工作分为自我清理和检查两个步骤。清理工作即每个干部职工都要对自己使用的计算机(含笔记本电脑)和移动存储介质,按涉密用、内网用、外网用进行分类,并进行相应的信息清理归类,分别存储。信息安全领导小组对各类计算机和移动存储介质进行抽查,确保所有计算机及存储设备都符合保密的要求。每台计算机都安装有杀毒软件,并定期升级,每位职工都会自行安装和使用杀毒软件。同时对于计算机及相关设备进行定期维修维护,对于一些需要报废销毁的设备,都有相应的登记记录,记录包括设备名称、购买时间、使用部门、主要负责人、使用期限、报废销毁原因及时间等。

  3.信息技术包外服务安全管理。我局与旗政府电子政务中心、移动公司、联通公司智科电脑公司长期合作,旗电子政务中心会定期对我局电子政务系统、软件进行检查,及时整改,确保单位电子文档的及时签收、处理和下载和办理。同时我单位和移动公司、联通公司对外网和公文网签订合同,保证网络的畅通。另外,我们与智科电脑公司也签订了相包括计算机安全、网络、系统维护、灾难备份等相关内容的合同。智科电脑公司是我单位长期合作的电子设备购买单位,信誉、服务及产品质量都信得过,并设有相关的灾难备份。

  4.信息技术产品使用管理。我局外部网络及电子政务是由旗联通公司和旗电子政务中心统一安装的软件及系统,安全策略、安全组织、安全运作和安全技术等全部在相关安全可控要求之内。

  5. 信息安全经费保障。我局每年用于信息安全保障的经费约1万元。每年都会以正规行文方式下发全局,引起全体职工对信息安全的重视。

  (三)信息安全防护管理

  1.网络边界防护管理。我局现有的计算机除电子政务专用电脑外,其余全部能够上互联网,有一个接口,并留有每日访问互联网日志,确保网络安全。

  2.信息系统安全管理。每个办公室都配备后备电源系统、安全门禁系统、气体消防系统,并采取措施防止电磁辐射和电磁泄露。同时部分重要部门安装监控设备,落实值班监控制度。对不能停止服务的计算机信息系统,配置必要的备份机,以便故障时切换使用。同时计算机信息系统安全管理部门针对各类安全事故制订了应急响应预案。

  3.门户网站、电子邮箱、终端计算机及移动存储设备安全管理。我局门户网站、电子邮箱、终端计算机及移动存储设备管理由专人负责。依照我局计算机信息系统的具体情况,信息安全管理机构设置安全管理、安全审计、系统管理、网络管理、系统操作、数据库管理等岗位,上述岗位采用的是一人多岗。同时,所有使用我局计算机信息系统的工作人员必须签订《西鄂尔多斯国家级自然保护区管理局信息安全保密责任书》或《西鄂尔多斯国家级自然保护区管理局信息安全保密协议》。并负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报;负责对信息安全保障管理活动进行监督,提供内部审计和评估工作报告,为领导决策提供信息系统安全保障执行状况的客观评价。系统管理员拥有主机系统的超级权限,并为主机系统的安全运行负责,所有计算机密码都按照一定规则进行设置,具有较高强度并谨防泄露。所有工作人员使用自己的用户进行计算机信息系统操作,并对该用户的所有操作负责。工作人员调离或调整工作岗位时,系统管理员必须及时对其用户进行调整。

  (四)信息安全应急管理

   建立同城异址的灾备系统,实现数据和操作系统热备份。制定完备的应急预案,包括了应急演练、应急技术支援、灾难备份及信息安全事件应急处置等内容。预案里根据事件后果的严重程度,网络与信息安全事件划分为5个级别,其中1级危害程度最高,5级危害程度最低。

  1)灾难性安全事件(1级):对保护区业务活动、单位利益或社会公共利益有灾难性的影响或危害;

  2)特别重大安全事件(2级):对保护区业务活动、单位利益或社会公共利益有极其严重的影响或危害;

  3)重大安全事件(3级):对保护区业务活动、单位利益或社会公共利益有较为严重的影响或危害;

  4)较大安全事件(4级):对保护区业务活动、单位利益或社会公共利益有一定的影响或危害;

  5)一般安全事件(5级):对保护区业务活动、单位利益或社会公共利益基本不影响或危害极小。

  3级和3级以上的网络与信息安全事件称为重大网络与信息安全事件。

   同时也确立了安全事件处理流程:

  1)发现网络与信息安全事件,应立即报告安全管理员;

  2)安全管理员应采取相应措施保护现场,填写《安全事件登记表》,并在半小时内向应急响应小组报告,同时向本部门安全主管领导报告;

  3)应急响应小组应在1小时内对安全事件进行诊断、定位,查找问题根源,确定安全事件等级,并收集现场数据,采取措施避免严重安全后果的发生,对于重大网络与信息安全事件,要上报信息安全领导小组;

  5)事件定性后,应急响应小组对被破坏的系统和数据,采取可行措施紧急恢复;

  5)安全管理员填写《网络与信息安全事件报告表》、《网络与信息安全事件处理结果报告》,并对安全事件进行总结,用于指导今后的应急处理工作

  (五)信息安全教育培训

  2013年,我局积极参加了全旗举办的信息安全教育培训,有分管领导及信息安全机构负责人及安全员参加,同时也组织全体职工以信息安全进行了学习,计划下一年度,以此工作投入更多保障,邀请相关专业人员进行培训教育。

  三、检查发现的问题及整改

  在保密工作和计算机安全管理检查过程中也发现了一些不足,结合我局实际,今后将在以下几个方面进行整改。

  1.安全意识不够。工作人员信息安全意识不够,未引起高度重视。检查要求其要高度保持信息安全工作的警惕性,从政治和大局出发,继续加强对机关干部的安全意识入驻,提高做好安全工作的主动性和自觉性。

  2.缺乏相关专业人员。由于单位缺乏相关专业技术人员,信息系统安全方面可投入的力量非常有限,下一步要加强相关技术人员的培训工作。

  3.安全制度落实不力。要求加强制度建设,加大安全制度的执行力度,责任追究力度。要强化问责制度,对于行动缓慢、执行不力、导致不良后果的个人,要严肃追究相关责任人责任,从而提高人员安全防护意识。

  4.工作机制有待完善。网络与信息安全管理混乱,要进一步创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。

  5.计算机密码管理重视不够。计算机密码设置也过于简单,要少中台计算机至少要8-10个字符的开机密码。

  四、对信息安全检查工作的建议和意见

  1.组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;规范日常信息化管理和检查制度。包括:软件管理、硬件管理、维护管理、网络管理等。提出各系统配置和标准化设置,便于安全的维护和加固,实现基础管理上的安全保证。

  2.组织好各单位推广应用与分管领导和工作人员的培训等工作,确保信息化的实施成效,实现规划和应用上的安全保证。