信息安全工作總結(jié)
一、信息安全總體情況
(一)本年度信息安全工作主要情況
今年以來,全市從落實(shí)各項(xiàng)安全管理制度和規(guī)范入手,積極有效地開展了政府信息安全工作,主要完成了以下五項(xiàng)工作:
1.落實(shí)信息安全規(guī)范。全市范圍內(nèi)逐步推行《蘇州市電子政務(wù)網(wǎng)信息安全規(guī)范(試行)》,所有接入蘇州電子政務(wù)網(wǎng)的系統(tǒng)嚴(yán)格遵照規(guī)范實(shí)施,按照七個區(qū)、五個下屬市、市級機(jī)關(guān)的順序,我委定期組織開展安全檢查,確保各項(xiàng)安全保障措施落實(shí)到位。
2.組織信息安全培訓(xùn)。面向全市政府部門CIO及信息安全技術(shù)人員進(jìn)行了網(wǎng)站滲透攻擊與防護(hù)、病毒原理與防護(hù)等專題培訓(xùn),提高了信息安全保障技能。
3.加強(qiáng)政府門戶網(wǎng)站巡檢 。定期對政府部門網(wǎng)站進(jìn)行外部web安全檢查,出具安全風(fēng)險掃描報告,并協(xié)助、督促相關(guān)部門進(jìn)行安全加固 。
4.狠抓信息安全事件整改。今年,省通信管理局通報了幾起我市政府部門主機(jī)感染“飛客”蠕蟲病毒、木馬受控的安全事件,我市高度重視,立即部署相關(guān)工作,向涉及政府部門發(fā)出安全通報,責(zé)令采取有力措施迅速處置,并向全市政府部門發(fā)文,要求進(jìn)一步加強(qiáng)政府門戶網(wǎng)站安全管理。
5.做好重要時期信息安全保障 。采取一系列有效措施,實(shí)行24小時值班制及安全日報制,與重點(diǎn)部門簽訂信息安全保障承諾書,加強(qiáng)互聯(lián)網(wǎng)出口訪問的實(shí)時監(jiān)控,確保世博會期間信息系統(tǒng)安全 。
(二)信息系統(tǒng)安全檢查工作開展情況及檢查效果
按照省網(wǎng)安辦的統(tǒng)一部署,我市及時制定了《20xx年度蘇州市政府信息系統(tǒng)安全檢查工作方案》,五市七區(qū)及市級機(jī)關(guān)各部門迅速展開了自查工作,**家單位上報了書面檢查報告,較好地完成了自查工作。在認(rèn)真分析、總結(jié)前期各單位自查工作的基礎(chǔ)上,9月中旬,市發(fā)改委會同市國密局、市公安局和信息安全服務(wù)公司抽調(diào)21名同志組成聯(lián)合檢查組,分成三個檢查小組,對部分市(區(qū))和市級機(jī)關(guān)的重要信息系統(tǒng)安全情況進(jìn)行抽查。檢查組共掃描了**個單位的門戶網(wǎng)站,采用自動和人工相結(jié)合的方式對**臺重要業(yè)務(wù)系統(tǒng)服務(wù)器、**臺客戶端、**臺交換機(jī)和**臺防火墻進(jìn)行了安全檢查。
檢查組認(rèn)真貫徹“檢查就是服務(wù)”的理念,按照《工作方案》對抽查單位進(jìn)行了細(xì)致周到的安全巡檢,提供了一次全面的安全風(fēng)險評估服務(wù),受到了服務(wù)單位的歡迎和肯定。檢查從自查情況核實(shí)到管理制度落實(shí),從網(wǎng)站外部安全掃描到重要業(yè)務(wù)系統(tǒng)安全檢測,從整體網(wǎng)絡(luò)安全評測到機(jī)房物理環(huán)境實(shí)地勘查,全面了解了各單位信息安全現(xiàn)狀,發(fā)現(xiàn)了一些安全問題,及時消除了一些安全隱患,有針對性地提出了整改建議,并出具了18份書面檢查報告,督促有關(guān)單位對照報告認(rèn)真落實(shí)整改。通過信息安全檢查,使各單位進(jìn)一步提高了思想認(rèn)識,完善了安全管理制度,強(qiáng)化了安全防范措施,落實(shí)了安全問題的整改,全市安全保障能力顯著提高。
(三)全市信息狀況總體評價
綜合信息系統(tǒng)安全自查和抽查情況看,我市信息系統(tǒng)安全工作整體情況良好,尤其在組織機(jī)構(gòu)、制度建設(shè)和日常管理方面,比較完善規(guī)范,個別單位還通過了ISO 9001質(zhì)量管理認(rèn)證,采取了有效的安全防護(hù)措施,信息安全工作得到了各單位領(lǐng)導(dǎo)的普遍重視。但在風(fēng)險評估、等級保護(hù)、應(yīng)急演練以及經(jīng)費(fèi)保障上面都有待于加強(qiáng)。
二、主要問題及整改情況
(一)主要存在的問題
經(jīng)過本次信息安全自查,對照檢查標(biāo)準(zhǔn),主要存在以下一些問題:
1.部分單位規(guī)章制度不夠完善,未能覆蓋信息系統(tǒng)安全的所有方面。
2.少數(shù)單位的工作人員安全意識不夠強(qiáng),日常運(yùn)維管理缺乏主動性和自覺性,存在規(guī)章制度執(zhí)行不嚴(yán)、操作不規(guī)范的情況 。
3.存在計算機(jī)病毒感染的情況,特別是U盤、移動硬盤等移動存儲設(shè)備帶來的安全問題不容忽視。
4.信息安全經(jīng)費(fèi)投入不足,風(fēng)險評估、等級保護(hù)等有待加強(qiáng)。
5.信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務(wù)公司的力量。
(二)整改措施
針對上述發(fā)現(xiàn)的問題,我市積極進(jìn)行整改,主要措施有:
1.對照要求,要求各單位進(jìn)一步完善規(guī)章制度,將各項(xiàng)制度落實(shí)到位。
2.繼續(xù)加大對機(jī)關(guān)全體工作人員的安全教育培訓(xùn),提高信息安全技能,主動、自覺地做好安全工作。
3.加強(qiáng)信息安全檢查,督促各單位把安全制度、安全措施切實(shí)落實(shí)到位,對于導(dǎo)致不良后果的安全事件責(zé)任人,要嚴(yán)肅追究責(zé)任。
4.繼續(xù)完善信息安全設(shè)施,密切監(jiān)測、監(jiān)控電子政務(wù)網(wǎng)絡(luò),從邊界防護(hù)、訪問控制、入侵檢測、行為審計、防毒防護(hù)、網(wǎng)站保護(hù)等方面建立起全方位的安全防護(hù)體系。
5.加大應(yīng)急管理工作推進(jìn)力度,在全市信息安全員隊(duì)伍的基礎(chǔ)上組建一支應(yīng)急支援技術(shù)隊(duì)伍,加強(qiáng)部門間協(xié)作,完善應(yīng)急預(yù)案,做好應(yīng)急演練,將安全事件的影響降到最低 。
三、幾點(diǎn)體會及打算
信息系統(tǒng)安全檢查是一項(xiàng)非常有效、非常重要的工作方式,能夠督促我們及時發(fā)現(xiàn)問題,解決問題。但是,信息安全保障是一項(xiàng)長期的工作,過去安全不等于現(xiàn)在安全,現(xiàn)在安全不等于將來安全,需要建立長效機(jī)制,加強(qiáng)日常管理。
要做好信息安全工作,思想是保障,制度是根本,堅(jiān)持是關(guān)鍵 。強(qiáng)化信息安全意識的提高,高度重視信息安全,規(guī)范日常操作,是做好信息安全工作的重要保障;不斷完善各項(xiàng)信息安全制度,做到有章可循,有章必循,嚴(yán)格按照制度來執(zhí)行,用制度管好人,用人管好技術(shù),信息安全工作才能取得預(yù)期效果;信息系統(tǒng)安全維護(hù)管理工作必須持之以恒,常抓不懈,以高度負(fù)責(zé)的態(tài)度把各項(xiàng)安全工作認(rèn)真落到實(shí)處。
信息安全工作必須堅(jiān)持統(tǒng)一規(guī)劃、統(tǒng)籌管理、分步建設(shè)的原則。全市信息安全工作整體一盤棋,在科學(xué)、統(tǒng)一的信息安全規(guī)劃指導(dǎo)下,按照《蘇州市電子政務(wù)網(wǎng)信息安全規(guī)范(試行)》(以下簡稱安全規(guī)范)要求,進(jìn)行統(tǒng)籌管理,根據(jù)“重點(diǎn)保護(hù)、分等級保護(hù)、同步建設(shè)”原則分步建設(shè),做到成本和安全間動態(tài)平衡,反對把信息安全問題絕對化、靜止化、夸大化 。蘇州電子政務(wù)外網(wǎng)分成根區(qū)域、節(jié)點(diǎn)區(qū)域、葉子區(qū)域三種區(qū)域,每個區(qū)域有著不同的安全要求,采取不同的安全策略,重點(diǎn)關(guān)注區(qū)域間互聯(lián),對區(qū)域邊界進(jìn)行安全控制,來隔離區(qū)域間的安全風(fēng)險,阻斷區(qū)域間的風(fēng)險傳遞。
必須強(qiáng)化電子政務(wù)項(xiàng)目的安全管理職能。按照同步建設(shè)的原則,各部門在信息化項(xiàng)目立項(xiàng)時要確定安全等級,項(xiàng)目驗(yàn)收時將安全審計作為重要內(nèi)容之一,安全防護(hù)措施未達(dá)到相應(yīng)安全等級,不予通過驗(yàn)收。
針對檢查中發(fā)現(xiàn)的一些主要問題,我們將加大信息安全投入力度,將信息安全經(jīng)費(fèi)列入單位年度預(yù)算,對重要單位、重要信息系統(tǒng)強(qiáng)制配備必要的信息安全設(shè)備;加大信息安全檢查力度,將信息安全檢查工作納入單位工作考評體系,定期、不定期對各單位信息安全實(shí)行檢查,提高信息安全檢查工作力度和效率;加大信息安全培訓(xùn)力度,對各單位信息安全主管和人員定期進(jìn)行培訓(xùn),使得負(fù)責(zé)信息安全的人員能夠具有一定的安全知識,掌握必須的安全技能,勝任信息安全工作。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 yyfangchan@163.com (舉報時請帶上具體的網(wǎng)址) 舉報,一經(jīng)查實(shí),本站將立刻刪除