劳动和社会保障局政府信息系统安全检查情况汇报
根据《区人民政府办公室关于开展区政府信息系统安全检查工作的通知》(古政办〔〕47号)精神,我局坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效,通过现场检查的方式对我局信息系统安全检查中发现问题的整改情况和我局目前的政府信息系统安全进行了全面检查,现将检查情况汇报如下:
一、信息系统安全检查情况
(一)信息安全组织机构成立情况
我局成立了信息系统安全工作领导小组,由局长任组长,副局长任副组长,成员由各科室、经办机构负责人组成。领导小组下设办公室,由杨家龙兼任办公室主任,王晨、和习珍、李凌虹具体负责办公室日常事务工作。同时我局在局领导班子成员分工中明确了和继成副局长为分管领导。局机关为信息公开工作主管部门,局办公室为具体工作机构,配备了3名兼职人员,兼职人员中人主要负责信息更新工作和网络系统运行维护工作,1人主要负责接待群众查询工作。各科室、经办机构指定专人具体收集、梳理本部门的信息并及时上报。形成了“主要领导亲自抓,分管领导具体抓,职能部门抓落实”的工作机制。
(二)日常信息安全管理情况
成立了信息安全小组。安全小组对全局的信息安全负首责,主管领导负总责,具体管理人负主责。局网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。规范了信息的采集、审核和发布流程,严格信息发布审核,确保所发布信息内容的准确性和真实性。建立了《重要岗位信息系统安全和保密责任制》、《资产管理制度》,制定了《人员离岗离职时信息安全管理规定》、《年度信息安全事件责任查处制度》、《计算机及相关设备维修维护管理规定》和《存储设备报废销毁管理规定》等规章制度。经检查上半年我局未发生过信息安全事件。
(三)等级保护与风险评估情况
我局现有信息系统3个,面向社会公众提供服务的信息系统有1个,委托社会第三方进行日常运行维护管理的信息系统 2个,3个信息系统均未定级。
(四)技术防护手段建设情况
一是涉密计算机都经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性;二是涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制;三是网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等;四是安装了针对移动存储设备的专业杀毒软件。
(五)应急管理工作开展情况
一是制定了《信息安全应急预案》,按照要求建立了部门信息安全应急技术支援队伍;二是坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予应急技术以最大程度的支持;三是严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行存档、系统备份;四是及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(六)信息技术产品和信息安全产品使用情况
我局现有服务器2台,终端计算机40台,路由器4台,终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品; 2台服务器和40台计算机均使用windows操作系统;有8 个数据库,40台计算机均使用国产字处理软件,都安装了国产防病毒产品。我局现在使用的工资系统、年报系统等皆为区政府、区委统一指定产品系统。
(七)信息安全教育培训情况
我局派专人参加了我政府组织的网络系统安全知识培训2期,并专门负责我局的网络安全管理和信息安全工作。安全小组组织了一次对基本的信息安全常识的学习活动。
(八)信息安全经费保障情况
我局检查信息安全防护设施建设、运行、维护、检查及管理等费用列入部门年度预算资金是3万元,上半年实际投入信息安全经费0.2万元。
(九)信息安全事件排查情况
经检查未发现在非涉密计算机上处理、存储、传递涉密信息,在国际互联网上利用电子邮件系统传递涉密信息,在各种论坛、聊天室、博客等发布、谈论国家秘密信息以及利用qq等聊天工具传递、谈论国家秘密信息等危害网络信息安全现象。对所有接入政府网络的计算机设备发现有操作系统存在漏洞、防毒软件配置不到位的计算机进行了全面升级确保网络安全。在此次的信息安全检查中,我局没有发现门户网站被篡改、网络攻击的信息安全事件,但有7台计算机感染病毒,5台计算机存在木马,有2台计算机存在高风险漏洞,现已得到及时清理补救。不存在服务器感染病毒、存在木马和高风险漏洞,无使用涉密信息系统处理涉密信息的事件,无在涉密和非涉密信息系统系统之间滥用计算机的事件,无在涉密和非涉密信息系统之间混用移动存储设备的事件。
二、主要问题及整改情况
(一)安全检查发现问题的整改情况
针对我局在开展政府信息系统安全检查中存在五个问题,即:一是制度建设和落实力度不够;二是人员离岗离职时工作连续性不够;三是工作人员的保密意识不强;四是用于政府信息公开的计算机还未能做到专机专用,信息公开工作规范性需进一步加强;五是政府信息系统的管理维护水平还有待进一步提升。对此,我局进一步强化措施,创新思路,在规范化、制度化、程序化等方面取得新进展。主要采取了六项措施:一是进一步健全了信息安全组织机构,加强对信息安全队伍建设,做到信息安全工作机构健全、信息安全工作队伍不散,信息安全工作人员及时调整和补充,保证工作的延续性。二是创新工作思路,加大对网站的维护投入。三是利用各种机会在全局干部、职工中开展政府信息安全的宣传和经常性教育。四是进一步健全机制,加强对政府信息系统重点部门、要害部门的检查督促和制度建设,对文印室、财务室等接触密源广、涉密深的重点部门和部位由信息安全检查工作领导小组进行不定期的检查督促,防止失密、泄密,对违反相关规定的科室、经办机构和个人追究责任。五是规范信息的采集、审核和发布流程,严格信息发布审核,确保所发布信息内容的准确性和真实性。六是严格禁止办公内网与互联网相连。
(二)当前存在的主要问题及整改措施
目前,我局的信息系统安全还存在一些薄弱环节,针对存在的问题,结合我局实际,制定了相应的整改措施限期进行整改。
1、存在的问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时;四是安全意识不够;五是安全工作的水平还有待提高;六是工作机制有待完善;七是加强对业务系统和门户网站的检查督促和制度建设。
2、整改措施
一是要继续加强对干部的安全意识教育,提高做好安全工作的主动性和自觉性;二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识;三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;四是要加大对线路、系统等的及时维护和保养,加大更新力度;五是要提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和保密工作;六是创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
三、经验总结及意见建议
我局的政府信息系统安全检查工作在开展政府信息系统安全检查工作的基础上,通过此次的进一步深化和检查,在完善信息安全管理制度,加强安全防护措施,提高信息安全工作水平上取得了明显成效。同时对我区信息安全工作提出以下意见建议。
一是举办信息安全教育培训班。制定信息安全教育培训制度,对各单位的网络安全管理、信息安全人员、重要业务系统的机关工作人员定期进行职业技能培训,使他们更好地掌握信息安全常识和基本技能情况。
二是信息安全检查工作要常抓不懈。把信息安全工作与年度考核制度挂钩,对部门进行现场技术指导,加强部门的技术防护手段建设,防止信息安全事件的发生。
三是提高安全工作的现代化管理水平,进一步加强对计算机信息系统安全的防范、测评和保密工作。