计算机信息系统安全保密工作的自查报告范文
按照国家保密相关法律法规和***、**和**等上级部门有关保密要求,****(以下简称***)开展了相关保密工作,现将情况汇报如下:
一、基本情况
目前,中心日常办公台式计算机共有29台,其中涉及保密计算机4台(均未上网),上网计算机18台,未上网7台。笔记本计算机14台。
按照管理要求,由站网室和综合室负责计算机、网络方面的安全管理工作,制定相关保密规定和上网管理规定等规章制度,定期或不定期进行保密工作检查,对于保密计算机实行物理隔离措施,台式计算机分部门管理使用;笔记本计算机按照使用的用途进行分类管理,由站网室统一管理和维护,采取使用、归还登记制度。
为了加强保密和信息安全,中心还于20xx年底购置了硬件防火墙和网络安全防护软件,基本解决了网络攻击问题和病毒、木马软件在局域网中的传播。
二、存在问题
中心尽管从制度上不断提高管理要求,并加强硬件设备投入,但离全面实现信息安全监控和保障还有很大的差距。
(一)计算机、网络设备不足
按照中心人员工作性质和人员数量,目前中心存在计算机严重不足的情况,遇到集中加班,需要部门间进行调剂使用,大量公用计算机造成了管理的困难,资料信息保密、安全和防毒、木马存在很大的问题,通过U
盘等移动介质传播木马、病毒的情况时有发生,尽管网络防护软件能及时发现并处理,但缺乏反扫描侦测方面的安全控制设备,潜在威胁很难发现,隐患依然存在。
(二)管理水平和人员素质有待提高
由于计算机使用人较多,计算机又不是专人使用,经常造成系统损坏或运行不畅,给管理人员带来很多问题,而中心没有专门的计算机专业人员,属于兼职工作,专业技术水平有限,管理水平和人员素质亟待提高。
(三)经费严重不足
按照管理要求,中心计算机大多数应当实现内外网分离,但由于经费不足,每年按照预算仅能基本满足计算机的更新需要,谈不上补充完善和满足工作需要。在网络方面,每年防火墙和网络防护软件都面临着投入经费进行版本、病毒库更新的需要。
(四)保密软件和设备缺乏
计算机硬盘出现毁损需要更换时,没有专用的消磁设备对硬盘进行处理。另外,按照管理要求,一些报告需要远程传输,但缺乏统一的专用加密软件,通过公网发送存在安全隐患。
三、下一步工作打算
根据以上问题,我***计划在今后工作中加大计算机、网络安全方面的预算,同时安排有关的人员培训,购置有关设备和软件,希望得到**局和***的大力支持。
根据上级有关文件精神,公司领导十分重视,按照文件要求进行部署,积极组织人员,及时召集相关人员,逐条落实,周密安排,针对会议强调的实施措施,对公司机关和所属各二级机构配备的各台计算机进行了认真细致的自查,现将自查情况报告如下:
一、保密工作开展情况
对照文件要求,逐功能对照自查,边自查边总结:我公司计算机信息系统自20xx年成立以来,十分重视计算机管理组织的建设,本着“控制源头、加强检查、明确责任、落实制度”的指导思想,成立了信息中心,建立了局域网站并设有系统网络管理员,负责管理上传信息数据的合法性、准确性和保密性。为了保证XXX县XXX公司管理信息系统安全正常运行,保证企业信息安全,保护企业技术成果,特制定了《XXX县XXX局管理信息系统安全保密制度》。
二、 取得的成果
断开信息系统与因特网的直接物理连接,办公内网与因特网完全分离。如确实需要上网,在公司信息中心办公室设臵有公共上网区,并采取安全措施,单独通过外网连接互联网,以解决员工上网查询信息问题。
(二)加强对内外网计算机和外设的管理:
严格禁止办公设备“一机两用”。信息内网不得通过任何形式连接外网,严格执行接入内网计算机实施登记备案、IP/MAC地址绑定等准入措施。加强内外网计算机安全管理,在密码设臵、防病毒等方面严格要求。对于带硬盘、内存的智能外设,应通过设臵取消存储功能或缩短存储保存时间等方式减少信息泄密或木马病毒植入的风险。加强对计算机、外设的维修和废弃管理。
(三)加强远程移动办公及远程维护管理:
禁止笔记本电脑、智能手机等移动办公设备远程通过外网以VPN方式接入我公司信息内网。断开信息系统所有服务器的远程维护功能、端口的开通,如需要对系统调试,必须要求远程维护方与接入内网的信息系统开发、调试人员,签保密协议,否则不能进行远程维护。
(四)强化网络监控与访问控制:
定期查看网络系统运行日志、统计分析报表,检查网络异常状态。公司所属各单位和公司的网络接入与访问策略应避免透明连接,采用综合策略进行接入。断开内网防病毒库的因特网下载路径,通过手动方式下载后复制到系统库,操作时应注意查杀存储介质。
(五)安全使用移动存储介质:
遵循“统一购臵、统一标识、统一备案、跟踪管理”。移动介质暂时应进行查杀病毒,不得办公与私用混合。
(六)对外提供服务的业务系统实施改造:
营销系统在营业收费大厅设臵通过局域网查询电费,涉及到通过因特网查询电费、网上缴费等暂停使用,并作好对外公告,信息发布。财务部门采用远光财务系统,是独立的一个财务网络,不与任何外界的网络包括局域网相联接。
(七)加强内外网邮件管理:
内外网邮件系统应完全隔离,与市公司及公司所属单位共用的.邮件系统,不再单独建设。行政事务部要认真细致的做好每一封外部邮件的安全保障工作,外部邮件应查杀病毒后方可使用。
(八)严格管控对外网站:
我公司没有设臵对外网站,服务器端就不存在运行任何脚本、插件的可能。从服务器端断开所有与外网相联接的外设端口,保障系统的安全稳定运行。
(九)加强机房值班和安全管理:
机房应设臵7*24有人值班,保证监控系统运行正常、通讯畅通。加强设备口令管理,设臵强口令方式,定期更换。及时进行防病毒软件、补丁升级,采用手动更新方式。制订应急予案,定期演练。
(十)加强计算机保密管理:
涉密信息不上网、上网信息不涉密。首先要求信息中心人员应严格遵守该保密制度,严禁与无关人员谈论管理信息系统技术开发内容的各类上网信息;信息中心工作人员严禁私自改动上网信息,严禁私自查询网上各类保密文件;上网用户工作“权限”,由信息中心工作人员按照局规定进行授权,不经批准不得将上网人员工作号或口令告诉他人,严禁擅自改动上网人员的工作“权限”。信息中心工作人员使用过的废纸必须经粉碎处理,以免泄密,未经领导批准,严禁携带有关资料、软盘外出或将资料、软盘外借、复印、拷贝约他人。如工作需要,必须软件办理相应手续。
各部门根据上级文件有关规定,严禁上国际互联网,确因工作需要须联互联网的微机必须要单机运行,不得同时联入局域网。需要进入信息中心的人员必须遵守各项规定,不得随便操作设备查询、索取信息中心有关资料。外单位到我公司了解有关计算机管理信息系统的接待工作,由信息中心统一办理,各部门与局域网联网工作站严禁进行系统演示,拷贝系统文件或提供技术文档;外单位人员进入信息中心机房,必须持有效证件或介绍信,进行登记,并经主管局长同意。其它无关人员不得私自进入信息中心机房。严禁各部门有关人员将公司MIS系统相关程序及技术文档拷贝、复印给外单位或个人,违反此规定者,按有关规定严肃处理。信息中心定期组织专、兼职信息员学习保密制度并检查制度执行情况;任何单位和个人违反规定,将按照公司有关信息系统保密规定进行严肃处理。将计算机信息系统保密工作切实做到防微杜渐,把不安全苗头消除在萌芽状态。
二、强化安全教育,定期检查督促
在我公司实施网站建设的每一步,都把强化信息安全教育放到首位。使全体工作人员都意识到了,计算机安全保护是公司中心工作的有机组成部分,而且在新形势下,计算机安全还将成为我县“平安XXX”、“平安电力”的重要内容。为进一步提高人员计算机安全意识,我们还经常组织人员对相关科室进行计算机安全保护的检查。不使用来历不明、未经杀毒的软件、软盘、光盘、U盘等介质,不得访问非法网站,自觉严格控制和阻断病毒来源。同时,电脑设备外送修理时,有指定人员跟随联系。电脑报废处理时,及时将硬盘等存储介质拆除或销毁。
三、信息安全制度日趋完善
在网站的管理当中,我们就树立了以制度管理人员的思想,制定了《XXX县XXX局信息中心机房值班制度、值班员工作职责、最终用户工作站管理制度》)文件,要求各部室提供的上传内容,由各部室、信息中心负责人审查后报送至网站后台,经网站责任编辑审核后,报上领导同意后发布;重大内容发布报公司主要领导签发后再发布,以此作为我公司计算机网络内控制度,确保网站信息的保密性。
对照上级文件通知的要求,我公司信息系安全保障工作经过自查,主要作了以上几方面的工作,但还有些方面要急待改进。
一是要今后还要进一步加强与县保密局及市公司的工作联系,以此来查找差距,弥补工作中的不足。
二是要进一步加强我公司全体人员的计算机信息系统安全保障意识教育和防范技能训练,制定《信息系统安全保障应急预案》,充分认识到计算机信息安全案件的严重性,把计算机安全保护知识真正融于工作人员业务素质的提高当中。