序言：寫作是分享個人見解和探索未知領域的橋梁，我們?yōu)槟x了8篇的網(wǎng)絡安全整改報告樣本，期待這些樣本能夠為您提供豐富的參考和啟發(fā)，請盡情閱讀。

第1篇

根據(jù)《網(wǎng)絡安全法》中維護網(wǎng)絡數(shù)據(jù)的保密性的相關要求，我院結合實際情況，組織開展了自查。現(xiàn)將有關自查匯報如下：

我院領導對網(wǎng)絡安全工作一直十分重視，積極落實上級部門關于網(wǎng)絡安全的各項規(guī)定，各方配合采取多種措施防范危害網(wǎng)絡安全的事件發(fā)生，總體上看還是有成效的。

一、網(wǎng)絡安全管理措施

我院及14個村衛(wèi)生室的網(wǎng)絡分為互聯(lián)網(wǎng)（外網(wǎng)）與衛(wèi)生專網(wǎng)（內(nèi)網(wǎng)），外網(wǎng)與內(nèi)網(wǎng)兩網(wǎng)實行分離制度，固定IP地址、設置防火墻，不能私自添加新IP,未經(jīng)允許分配IP做到專網(wǎng)專用，確保兩網(wǎng)獨立、安全。

網(wǎng)絡主機專室存放，專人維護，定期檢查。內(nèi)網(wǎng)電腦主機禁止任何外接硬件，禁止任何不明程序并配備有正規(guī)的防護程序。

內(nèi)網(wǎng)主要運行的his系統(tǒng)和藍星系統(tǒng)操作人員都經(jīng)過操作培訓，能夠較好的避免操作失誤帶來的相關風險。

二、自查存在的不足及整改意見

我們在管理過程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié)，今后我們還要在以下幾個方面進行改進。

1、對于線路不整齊、暴露的、立即對線路進行整改。

2、加強設備維護，及時更換和維護好設備。

3、自查中發(fā)現(xiàn)個別人計算機安全意識不強。

在以后的工作中，我們將加強計算機安全意識和防范知識培訓，讓職工充分意識到網(wǎng)絡安全的重要性。人防與技防結合，確保單位信息安全和網(wǎng)絡安全。

第2篇

【 關鍵詞 】 中小商業(yè)銀行；等級保護；信息科技風險管理；信息安全體系框架

1 中小銀行等級保護咨詢服務的背景

隨著信息技術的不斷進步與發(fā)展，信息系統(tǒng)的安全建設顯得尤為重要。2012年6月29日人民銀行下發(fā)了“銀發(fā)【2012】163號”文件，為進一步落實《信息安全等級保護管理辦法》（公通字〔2007〕 43號文印發(fā)），加強對銀行業(yè)信息安全等級保護工作的指導，結合近年來銀行業(yè)信息安全等級保護工作開展情況，人民銀行給出了銀行業(yè)金融機構信息系統(tǒng)安全等級保護定級的指導意見，至此，正式的拉開了中小商業(yè)銀行等級保護建設和整改工作的序幕。

2 等級保護咨詢服務的項目目標

國內(nèi)中小銀行在信息安全的發(fā)展程度，大部分處于自我認知的階段，一邊忙于業(yè)務發(fā)展的保障需要，一邊又要應對上級監(jiān)管部門的監(jiān)督檢查，對于安全建設來說，大部分沒有納入到戰(zhàn)略的層面來考慮。因此，借助于等級保護咨詢服務來建立的這樣一套信息安全體系，必須同時滿足公安部等級保護基本要求、人民銀行等級保護的測評要求和銀監(jiān)會關于IT風險管理的要求。這些目標相輔相承，互為補充。只有將通用的要求、標準、規(guī)范落實到自己IT風險管理體系的各方面，建立適合自己業(yè)務特點與發(fā)展需求的信息安全體系，才能達到有效管理風險、進行IT治理的目的，并最終通過等級測評。

3 等級保護咨詢服務的總體思路

中小銀行在咨詢服務項目需要主動地全面的考量自身情況，綜合分析人民銀行、銀監(jiān)會和等級保護的要求，在現(xiàn)有的安全工作基礎之上，建立統(tǒng)一的信息安全體系，同時滿足這些主要的監(jiān)管要求。這樣面臨檢查時，只要客觀反映出當前狀態(tài)就可以，有效降低臨時的材料組織工作。

同時滿足三方面監(jiān)管要求的信息安全體系，這個信息安全體系將以公安部的等級保護《基本要求》、人民銀行的《等保測評指南》和銀監(jiān)會《管理指引》為主要依據(jù)來搭建起框架，以各專項監(jiān)管指引為各個領域的具體工作指導，以ISO27000為代表的國內(nèi)外信息安全標準為補充。

4 等級保護咨詢服務的內(nèi)容

等級保護的咨詢服務具體實施過程可參考公安部下發(fā)的《信息系統(tǒng)安全等級保護實施指南》，“指南”中將等級保護工作分為了定級備案、規(guī)劃設計、建設整改和等級測評四大過程。

4.1 系統(tǒng)定級

系統(tǒng)定級階段需要完成的工作。

1） 等級保護的導入培訓：在進行咨詢服務之前，需要對銀行相關科室信息人員進行等級保護的內(nèi)容培訓。只要講清楚等保是什么，需要各級人員配合的工作點是什么就可以了。

2） 系統(tǒng)業(yè)務安全域劃分：這個階段需要進行信息搜集和資產(chǎn)調(diào)研。明確業(yè)務系統(tǒng)的范圍、邊界、功能、以及重要性等。

3） 編寫系統(tǒng)定級報告和備案表：定級報告和備案表都是按照公安部等保辦公室的通用模版來編寫的，內(nèi)容包含了系統(tǒng)功能描述、網(wǎng)絡拓撲、定級的理由和依據(jù)等。

4） 召開專家評審會、獲得備案證明：召開專家評審會并獲得備案證明可視為一個里程碑式的階段性成果，因為定級和備案是等級保護工作開展的前提，如果級別定錯了，或者專家有不同的評審意見，則后續(xù)的設計方案、整改方案均無法執(zhí)行。同時，對于銀行信息科技部門的領導而言，服務工作做的怎么樣無法量化，但是備案證書是看的見，摸的著的，如果能在評審會現(xiàn)場當場頒發(fā)，則意義更加重大。

4.2 規(guī)劃與設計

規(guī)劃與設計階段的主要工作就是進行等級差距分析和風險評估。

1） 技術層面可直接參考人民銀行關于金融行業(yè)的“測評指南”來完成，可操作性較強。可分物理、網(wǎng)絡、主機、應用、數(shù)據(jù)五個層面進行差距評估，同時對網(wǎng)絡流量和網(wǎng)絡協(xié)議進行簡單的分析，通過漏洞掃描設備、配置核查設備、滲透工具等進行風險分析，輸出風險評估報告和技術層面的差距評估報告。

2） 管理層面上，等保的管理要求相對薄弱，集中體現(xiàn)在運維管理等方面，如果要達到人民銀行和銀監(jiān)會的標準，還有很多需要加強和補充的地方，可以對現(xiàn)有的制度文檔進行一個簡單的梳理，用最短的時間完成等保的管理制度調(diào)研。

4.3 實施與整改

實施與整改階段需要按照規(guī)劃階段的設計方案進行實施，以滿足等級保護安全體系的建設要求。

1） 組織體系整改：安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式。可參考已成立的《等保領導小組》設立模式，但應具體到管理員崗位。

2） 管理體系整改：按照等級保護的要求補充或重新制定管理制度，根據(jù)咨詢方提供的制度模版，銀行可根據(jù)自身的實際業(yè)務需求進行修改，并經(jīng)內(nèi)部討論修訂后，下文試運行。

3） 技術體系整改：技術體系整改應從三個層面進行考慮。

制定技術規(guī)范：包括windows、AIX、Informix、tuxedo、cisco等主流設備的安全配置規(guī)范；可考慮聘請專業(yè)安全公司進行咨詢服務，制定適合銀行長期發(fā)展的安全策略和技術安全規(guī)范。

安全配置加固：根據(jù)已制定的技術規(guī)范進行主機、服務器、網(wǎng)絡設備、安全設備的全面的安全加固。

安全設備采購：在安全技術體系的具體實現(xiàn)過程中，需要落實安全技術詳細設計方案中的具體技術要求，將先進的信息安全技術落實到具體安全產(chǎn)品中，形成合理、有效、可靠的安全防護體系。

4.4 等級測評

根據(jù)人民銀行的《金融行業(yè)信息安全等級保護測評服務安全指引》選擇具有資質(zhì)的第三方測評機構進行等級測評，一般當?shù)毓矙C關會指定2-3家評估中心進行等級測評，如果銀行自行聯(lián)系省外的測評機構，可能需要事先跟當?shù)厥」矎d取得聯(lián)系，確保該測評機構的測評報告在本省是受到認可的。

實際上做了咨詢服務之后，等級測評的工作就變的非常簡單，因為咨詢方會在規(guī)劃與設計階段就會與測評中心取得聯(lián)系，確保其設計方案和整改實施方案得到專家和測評中心的認可，保障其順利實施。所以在等級測評的時候，測評師從進場到出具評測報告大概只需一周左右的時間。

5 結束語

關于金融業(yè)等級保護的建設工作，是今后兩年的一個重點工作，尤其是中小銀行可借助合規(guī)要求，由信息科技部門立項，向行內(nèi)申請更多的資源來完善自身的安全體系建設工作。

參考文獻

[1] 武冬立.銀行業(yè)安全防范建設指南.長安出版社，2008-11-1.

[2]李宗怡. 中國銀行安全網(wǎng)構建基礎研究.經(jīng)濟管理出版社，2006-6-1.

[3] 劉志友.商業(yè)銀行安全問題研究.中國金融出版社， 2010-3-1.

[4] 曹子建，趙宇峰，容曉峰.網(wǎng)絡入侵檢測與防火墻聯(lián)動平臺設計[J].信息網(wǎng)絡安全，2012，（09）：12-14.

[5] 傅慧.動態(tài)包過濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡安全，2012，（12）：12-14.

第3篇

第一章

總

則

第一條

為明確網(wǎng)絡安全事故責任主體(以下簡稱“責任主體”)，追究網(wǎng)絡安全事故的責任，結合醫(yī)院實際情況，制定本制度。責任主體的范圍包括科室或個人等。

第二條

負責追究責任主體事故責任的單位或個人統(tǒng)稱為責任追究主體，主要為衛(wèi)計部門網(wǎng)絡安全領導小組和蒲窩鎮(zhèn)衛(wèi)生院網(wǎng)絡安全工作領導小組。

第三條

本制度適用于蒲窩鎮(zhèn)衛(wèi)生院所有科室，各科室根據(jù)本制度落實具體網(wǎng)絡安全工作。

第四條

網(wǎng)絡安全事故責任認定實行“誰主管誰負責、誰使用誰負責”的原則。

第五條

發(fā)生網(wǎng)絡安全事故后，應根據(jù)安全事件造成的影響及相關責任主體的態(tài)度，作出如下處理：

(一)

批評教育。包括責令責任主體檢查、誡勉談話等；

(二)

書面檢查。責令責任主體向主管領導作出書面檢查；

(三)

通報批評。在衛(wèi)健系統(tǒng)范圍內(nèi)對責任主體發(fā)文通報，責令整改；

(四)

一般處理。降低或扣除責任主體的月薪補貼，將事故寫入月度或年度考核中；

(五)

嚴肅處理。追究網(wǎng)絡安全事故發(fā)生負有領導責任的負責人的管理責任，發(fā)生嚴重網(wǎng)絡安全事故的，對相關責任人處以罰款、責令其賠償事故損失、通報批評、降職處理、直至開除。

(六)

報警處理。嚴重損壞社會或國家利益的，上報當?shù)毓膊块T處理。

第六條

責任追究應當堅持公平公正、有責必究、過罰相當、教育與懲戒相結合的原則。

第二章

責任追究范圍和適用

第七條

責任主體有下列行為之一者，應對其進行批評教育或責令作出書面檢查：

(一)

發(fā)生一般或較大安全事件，未按要求上報的；

(二)

未按規(guī)定落實相關網(wǎng)絡安全管理制度及技術規(guī)范，且未導致安全事件發(fā)生的；

(三)

發(fā)生重大安全事件后，對調(diào)查工作配合不力的。

第八條

責任主體有下列行為之一者，應當責令其作出書面檢查或通報批評：

(一)

發(fā)生重大安全事件，未按要求上報的；

(二)

未按規(guī)定落實相關網(wǎng)絡安全管理制度技術規(guī)范，導致一般或較大安全事件發(fā)生的；

(三)

發(fā)生重大或特別重大安全事件，且發(fā)生安全事件后處理及時，未對醫(yī)院財產(chǎn)或聲譽造成影響的；

(四)

經(jīng)過批評教育或責令作出書面檢查后，仍不按規(guī)定落實相關網(wǎng)絡安全管理制度及技術規(guī)范的；

(五)

發(fā)生特別重大安全事件后，對調(diào)查工作配合不力的。

第九條

責任主體有下列行為之一者，應當予以通報批評或一般處理：

(一)

發(fā)生特別重大安全事件，未按要求上報的；

(二)

發(fā)生重大或特別重大安全事件，且發(fā)生安全事件后處理不及時，給醫(yī)院財產(chǎn)或聲譽帶來一定影響的；

(三)

發(fā)生特別重大安全事件后，對調(diào)查工作不配合的。

第十條

責任主體有下列行為之一者，應當予嚴肅處理，情況十分嚴重者應報警處理：

(一)

發(fā)生重大或特別重大安全事件造成后果嚴重并刻意隱瞞或謊報，造成惡劣影響的；

(二)

未按規(guī)定落實相關網(wǎng)絡安全管理制度及技術規(guī)范導致發(fā)生重大或特別重大安全事件，且發(fā)生安全事件后處理不及時，給醫(yī)院財產(chǎn)或聲譽帶來惡劣影響的；

(三)

發(fā)生安全事件后銷毀證據(jù)、弄虛作假的。

第十一條

對應追究責任主體責任而敷衍結案、弄虛作假的，應當對責任追究主體通報批評。

第十二條

有下列情形之一者，不追究責任主體的責任：

(一)

因不可抗力導致發(fā)生的網(wǎng)絡安全事故；

(二)

有充分證據(jù)證明完全落實了相關安全要求，由未知原因?qū)е戮W(wǎng)絡安全事故發(fā)生的。

第十三條

責任主體主動承認過錯并及時修補管理或技術漏洞，減少損失、挽回影響，態(tài)度非常好的，應當予以從輕或減輕責任追究。

第三章

責任追究程序和實施

第十四條

責任追究過程采用層層負責制，下級責任追究主體對上級責任追究主體負責。

第十五條

責任追究程序包括調(diào)查、對調(diào)查報告審核、作出責任追究決定等。

第十六條

對網(wǎng)絡安全事故的調(diào)查和對事故責任的初步定性由醫(yī)院網(wǎng)絡安全工作領導小組及醫(yī)院網(wǎng)絡安全工作領導小組辦公室負責，并對調(diào)查報告進行審核。

第十七條

調(diào)查報告的審核重點：

(一)

事故的事實是否清楚；

(二)

證據(jù)是否確實、充分；

(三)

性質(zhì)認定是否準確；

(四)

責任劃分是否明確。

第十八條

責任追究決定：

(一)

對責任主體作出批評教育、責令作出書面檢查、通報批評時，由醫(yī)院網(wǎng)絡安全工作領導小組直接決定。

(二)

對責任主體作出一般處理、嚴肅處理時，由責任主體所在科室或上級部門網(wǎng)絡安全工作領導小組安全辦公室、人事、主管部門共同作出決定，并報網(wǎng)絡安全工作領導小組審批通過后執(zhí)行。

第十九條

對責任主體的追究決定由人事、財務、相對應的主管部門、網(wǎng)絡安全工作領導小組辦公室等職能部門分別負責實施。

第四章

附

則

第二十條

本制度解釋權歸屬蒲窩鎮(zhèn)衛(wèi)生院醫(yī)院網(wǎng)絡安全工作領導小組辦公室。

第二十一條

本制度自之日起執(zhí)行。

第4篇

當前，隨著生產(chǎn)智能化程度的不斷提高，工業(yè)設備的深度互聯(lián)和信息基礎設施的廣泛應用，對信息安全提出了更高層的要求，云計算、移動互聯(lián)、大數(shù)據(jù)、工業(yè)控制和物聯(lián)網(wǎng)等新技術也為工業(yè)領域帶來了新的安全風險。從2010年到2015年期間，一系列的安全事件陸續(xù)發(fā)生，2010年震驚世界的Stuxnet病毒爆發(fā)、2011年的“Duqu”病毒、2012年的Flame火焰病毒、2014年蜻蜓組織利用havex惡意程序?qū)W美地區(qū)千余家能源企業(yè)所進行的攻擊，以及2015年末的烏克蘭變電站被攻擊事件，都是典型的影響深遠、波及廣泛、造成經(jīng)濟損失慘重和社會危害性極高的工控安全事件。

據(jù)美國國家網(wǎng)絡安全和通信綜合中心（NCCIC）統(tǒng)計，近5年來，公開安全漏洞數(shù)達1300多個，其中2015年安全漏洞就有486個，呈明顯增長趨勢。《2016工業(yè)控制系統(tǒng)漏洞趨勢報告》顯示，工業(yè)控制系統(tǒng)漏洞正在逐步增多，在2014到2015年之間存在著49%的高速增長。

從國家相關政策頒布來看，自從工業(yè)和信息化部451號文之后，國內(nèi)各行各業(yè)對工控系統(tǒng)安全的認識都達到了一個新的高度。電力、石化、制造和煙草等多個行業(yè)陸續(xù)制定了相應的指導性文件，來同步指導相應行業(yè)的安全檢查與整改活動。由此看來，保障工控系統(tǒng)網(wǎng)絡的安全性，實現(xiàn)工控安全的國產(chǎn)化應用是重中之重。

北京中科網(wǎng)威信息技術有限公司（以下簡稱中科網(wǎng)威）是國內(nèi)最早從事工控安全研究的企業(yè)之一，在自主可控工控安全方面有著專業(yè)、深入的研究。中科網(wǎng)威認為，工控網(wǎng)絡安全是傳統(tǒng)網(wǎng)絡安全在工控網(wǎng)絡的延伸，指導工控安全建設的理念和方法論是相同的，即所謂的“老套路”。但工控系統(tǒng)又有別于傳統(tǒng)的信息系統(tǒng)，具備一定的特殊性，如資產(chǎn)變化小、資產(chǎn)訪問關系清晰、可靠性要求高、通信協(xié)議安全性差等。隨之也產(chǎn)生了一些新問題，傳統(tǒng)的安全防護手段是無法在工控現(xiàn)場環(huán)境中直接使用的，例如漏洞掃描、攻擊測試等。這些新的問題只要采用新的方法和手段去解決即可，其整體的理念和方法論與傳統(tǒng)的是相同的。

結合我國傳統(tǒng)網(wǎng)絡安全產(chǎn)品的發(fā)展狀況，中科網(wǎng)威提出了自主可控的工控安全理念。網(wǎng)絡安全產(chǎn)品自主化進程經(jīng)歷了三個階段：無自主可控階段、半自主可控階段和全自主可控階段。如今我國自主品牌的工控安全產(chǎn)品已經(jīng)完全具備了直接進入第三階段的技術水平，即不但軟件要自主，處理器更要自主。

在愈發(fā)嚴峻的網(wǎng)絡安全形勢背景下， 2013年初，中科網(wǎng)威在與申威處理器深度合作的基礎上，打造了基于申威的自主可控品牌――中科神威，以中科神威的自主可控防火墻為例，它已經(jīng)成功替換了部分以國外x86芯片為技術核心的傳統(tǒng)防火墻，并率先在黨政軍等行業(yè)的核心、敏感、要害部門有了批量應用。

網(wǎng)絡安全產(chǎn)品采用自主可控的處理器，也就意味著在信息化時代掌握了事關國家經(jīng)濟安全的重大技術話語權。專注網(wǎng)絡安全領域多年的中科網(wǎng)威，不僅堅信申威處理器的技術實力和發(fā)展?jié)摿Γ颐翡J地洞察到自主可控市場潛在的巨大發(fā)展空間，并迅速開展了市場推廣工作。

隨著自主可控網(wǎng)絡安全行業(yè)的不斷細分，用戶需要的不僅僅是單一的安全產(chǎn)品，更是整體的解決方案與安全技術服務。在這個行業(yè)，如果還是一味的銷售產(chǎn)品，不著眼于理念的革新，那么企業(yè)將越做越難，尤其是在國產(chǎn)化安全產(chǎn)品競爭如此激烈的時代。為了推動自主可控網(wǎng)絡安全市場的發(fā)展，中科網(wǎng)威正與合作伙伴配合，共同推出自主可控的網(wǎng)絡安全解決方案，與合作伙伴合作共贏，共同推動中國網(wǎng)絡安全產(chǎn)業(yè)的發(fā)展。

中科網(wǎng)威作為網(wǎng)絡安全民營企業(yè)，擁有多項工業(yè)控制系統(tǒng)安全產(chǎn)品發(fā)明專利和核心技術。對于網(wǎng)絡安全行業(yè)的自主可控應用，有著自己的見解和應對之道，并在業(yè)內(nèi)率先提出了“芯改變，更安全”的安全理念。正是憑借一系列的突破，中科網(wǎng)威在國內(nèi)自主可控網(wǎng)絡安全領域中占據(jù)了領跑者的地位。

第5篇

 

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監(jiān)督檢查力度的不斷加大，信息系統(tǒng)開展等級測評的數(shù)量穩(wěn)步增長，測評覆蓋率顯著提升。通過統(tǒng)計分析本單位近些年測評的數(shù)百個信息系統(tǒng)的數(shù)據(jù)，可以得出以下結論：一是較早開展等級測評的行業(yè)，經(jīng)過測評和整改建設，測評符合率逐年提高;二是隨著等級測評工作的持續(xù)推進，近期才開展首次測評的行業(yè)特別是基層單位的信息安全工作基礎較薄弱，測評得分明顯偏低。通過對物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等10個層面的測評結果進行統(tǒng)計，其中網(wǎng)絡安全、主機安全、應用安全、系統(tǒng)運維管理等方面的不符合率相對較高，信息系統(tǒng)的建設、使用、運維階段存在一些較普遍的問題。

 

信息系統(tǒng)安全保護措施落實情況分析

 

整體而言，隨著等級測評工作的持續(xù)推進，黨政機關、企事業(yè)單位對信息系統(tǒng)安全等級保護的認識和重視程度得到普遍提升，在管理和技術兩方面主要采取了以下安全措施：

 

信息安全管理措施落實情況

 

在信息安全管理方面呈現(xiàn)出兩級分化的特點。一些重點行業(yè)的業(yè)務信息化程度高、自身信息技術隊伍力量足、信息安全投入經(jīng)費有保障，其安全管理措施一般也能得到有效落實，在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門對信息安全監(jiān)管嚴格的幾大行業(yè)。相反，部分對信息系統(tǒng)管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業(yè)人員的配備達不到標準規(guī)范的要求，安全責任部門地位偏低權限不足，很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。

 

信息安全技術措施落實情況

 

多數(shù)單位通過部署邊界安全設備，強化入侵防范措施來提高網(wǎng)絡的安全性;通過加固操作系統(tǒng)和數(shù)據(jù)庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平;通過開發(fā)應用系統(tǒng)的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業(yè)務應用的安全性;通過部署數(shù)據(jù)備份設備、加密措施，加強對數(shù)據(jù)安全的保護。

 

信息系統(tǒng)常見安全問題分析

 

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發(fā)現(xiàn)一些典型問題。

 

信息安全意識有待提高

 

很多單位對當前日趨嚴峻的網(wǎng)絡安全形勢認識不足，將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規(guī)的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執(zhí)行、有預案不演練等問題，根源還是安全意識薄弱。

 

信息安全管理有待加強

 

信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設管理、系統(tǒng)運維管理等方面。

 

信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權審批流于形式、執(zhí)行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結合本單位實際進行修訂，導致缺乏可操作性。

 

系統(tǒng)建設管理不到位。系統(tǒng)建設過程中落實信息安全“同步建設”原則不到位。在軟件開發(fā)階段較普遍未遵循安全編碼規(guī)范，導致安全功能缺失、應用層漏洞頻現(xiàn)。在系統(tǒng)驗收階段，很多單位僅注重業(yè)務功能驗收，缺乏專門的安全性測試;電子政務類項目較普遍未按規(guī)定在項目驗收環(huán)節(jié)完成“一證兩報告”(即等級測評報告、風險評估報告和系統(tǒng)備案證明)。

 

系統(tǒng)運維管理不到位。在系統(tǒng)運維管理方面，部分單位運維和開發(fā)崗位不分，職責不清，存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關記錄，數(shù)據(jù)備份策略不明，應急預案不完善并缺乏演練。

 

關鍵技術措施有待落實

 

分析近年來的測評結果，安全技術措施不足問題主要體現(xiàn)在以下幾個方面：

 

在物理安全方面，隨著電子政務集約化建設的推進，大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機房，但仍有部分單位自有機房條件簡陋，位置選擇不規(guī)范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環(huán)境監(jiān)控措施不足。

 

在網(wǎng)絡安全方面，常見網(wǎng)絡和安全設備的配置不到位，如未合理劃分區(qū)域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業(yè)審計系統(tǒng)。部分單位設備老舊，安全產(chǎn)品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡層面未采取必要安全措施的同時，還違規(guī)接通互聯(lián)網(wǎng)，存在極大的安全隱患。

 

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外，由于主流操作系統(tǒng)和數(shù)據(jù)庫很少支持強制訪問控制機制，相關要求普遍未落實。

 

在應用安全方面，很多應用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當一部分系統(tǒng)存在高危風險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網(wǎng)頁木馬等問題。

 

在數(shù)據(jù)安全方面，較常見的是數(shù)據(jù)保密性和完整性措施薄弱。此外，部分信息系統(tǒng)的備份和恢復措施欠完善，缺乏有效的災難恢復手段。

 

針對新技術的等級保護測評標準有待出臺

 

隨著浙江政務服務網(wǎng)的大力推進，省內(nèi)各級政務云平臺的建設使用已全面開展，有相當數(shù)量的電子政務系統(tǒng)已遷移上云。同時涉及城市公共設施、水電氣等工控系統(tǒng)密集的行業(yè)對等級保護工作越來越重視，對云計算、工控系統(tǒng)、移動APP等的測評需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》未涉及云計算、工業(yè)控制、移動互聯(lián)等領域，在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。

 

重要信息系統(tǒng)安全保護對策建議

 

針對上述存在的問題，本文提出以下對策建議，以供參考。

 

提高信息安全意識

 

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫，強化對全員的安全意識教育和考查。建議結合一些合適的安全職業(yè)技能培訓，落實信息安全相關崗位“持證上崗”的要求。

 

加強信息安全管理

 

“三分技術，七分管理”，各單位應轉(zhuǎn)變觀念，將“信息安全”與“系統(tǒng)穩(wěn)定、功能正?！蓖戎匾暺饋恚瑢踩芾硪笈c自身業(yè)務緊密結合，制訂完善的體系化的安全管理制度。

 

在系統(tǒng)建設管理過程中，應要求開發(fā)人員遵循安全編碼規(guī)范進行開發(fā);在系統(tǒng)驗收環(huán)節(jié)，應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求，驗收階段完成等級測評，未通過測評的應不予驗收。

 

在系統(tǒng)運維管理方面，應加強制定信息系統(tǒng)日常管理操作的詳細規(guī)范，明確定義工作流程和操作步驟，使日常運行管理制度化、規(guī)范化。對信息資產(chǎn)按重要性進行分類梳理，建立完善應急災備措施，定期開展演練，確保備份的有效性。

 

落實關鍵技術措施

 

針對測評發(fā)現(xiàn)的問題，各單位應根據(jù)系統(tǒng)所定級別，結合自身條件，綜合考慮問題的影響范圍、嚴重程度、整改難度等因素，制定整改計劃，有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題，應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題，建議國家加強相關產(chǎn)業(yè)政策的引導，促進安全廠商研發(fā)技術、推出產(chǎn)品，解決市場供應問題。各級主管部門應通過測評、整改、監(jiān)督檢查、再測評的閉環(huán)管理，督促關鍵技術措施的落實。

 

加快新技術的等級保護測評標準編制工作

 

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準，尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚，隨著智慧城市、云計算、大數(shù)據(jù)、移動互聯(lián)、工業(yè)控制等新技術的快速應用，安全標準相對滯后的問題更加突出，應進一步加快相關新標準的制定。

第6篇

第一條為加強對計算機信息系統(tǒng)的安全保護,維護公共秩序和社會穩(wěn)定,促進信息化的健康發(fā)展,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》等規(guī)定,結合本市實際,制定本辦法。

第二條本辦法所稱的計算機信息系統(tǒng),是指由計算機及其相關的和配套的設備、設施(含有線、無線等網(wǎng)絡,下同)構成的,按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng),包括互聯(lián)網(wǎng)、局域網(wǎng)、移動網(wǎng)等。

第三條*市行政區(qū)域范圍內(nèi)計算機信息系統(tǒng)的安全保護管理,適用本辦法。

第四條*市公安局主管全市計算機信息系統(tǒng)安全保護管理工作。

*市公安局公共信息網(wǎng)絡安全監(jiān)察分局具體負責市區(qū)范圍內(nèi)(蕭山區(qū)、余杭區(qū)除外)計算機信息系統(tǒng)安全保護管理工作。

各縣(市)公安局和蕭山區(qū)、余杭區(qū)公安分局負責本行政區(qū)域范圍內(nèi)計算機信息系統(tǒng)安全保護管理工作。

國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,在各自職責范圍內(nèi)負責計算機信息系統(tǒng)安全保護管理的有關工作。

第五條公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,應當建立協(xié)調(diào)合作管理機制,共同做好計算機信息系統(tǒng)安全保護管理工作。

第六條公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門在履行管理職責過程中,應當保護計算機信息系統(tǒng)使用單位和個人的合法權益,保守其秘密。

計算機信息系統(tǒng)使用單位和個人應當協(xié)助公安機關等有關職能部門做好計算機信息系統(tǒng)的安全保護管理工作。在公安機關等有關職能部門依法履行管理職責時,使用單位和個人應當如實提供本單位計算機信息系統(tǒng)的技術資料。

第七條計算機信息系統(tǒng)的安全保護工作,重點維護下列涉及國家事務、公共利益、經(jīng)濟建設、尖端科學技術等重要領域和單位(以下簡稱重點安全保護單位)的計算機信息系統(tǒng)的安全:

(一)各級國家機關;

(二)金融、證券、保險、期貨、能源、交通、社會保障、郵電通信及其他公用事業(yè)單位;

(三)重點科研、教育單位;

(四)有關國計民生的企業(yè);

(五)從事國際聯(lián)網(wǎng)的互聯(lián)單位、接入單位及重點政務、商務、新聞網(wǎng)站;

(六)向公眾提供上網(wǎng)服務的單位;

(七)互聯(lián)網(wǎng)絡游戲、手機短信轉(zhuǎn)發(fā)、各類聊天室等互動欄目的開發(fā)、運營和維護單位;

(八)其他對社會公共利益有重大影響的計算機信息系統(tǒng)使用單位。

第二章計算機信息系統(tǒng)使用單位的安全管理

第八條計算機信息系統(tǒng)使用單位應當建立人員管理、機房管理、設備設施管理、數(shù)據(jù)管理、磁介質(zhì)管理、輸入輸出控制管理和安全監(jiān)督等制度,健全計算機信息系統(tǒng)安全保障體系,保障本單位計算機信息系統(tǒng)安全。

第九條計算機信息系統(tǒng)使用單位應當確定本單位的計算機信息系統(tǒng)安全管理責任人。安全管理責任人應履行下列職責:

(一)組織宣傳計算機信息系統(tǒng)安全保護管理方面的法律、法規(guī)、規(guī)章和有關政策;

(二)組織實施本單位計算機信息系統(tǒng)安全保護管理制度和安全保護技術措施;

(三)組織本單位計算機從業(yè)人員的安全教育和培訓;

(四)定期組織檢查計算機信息系統(tǒng)的安全運行情況,及時排除安全隱患。

第十條計算機信息系統(tǒng)使用單位應當配備本單位的計算機信息系統(tǒng)安全技術人員。安全技術人員應履行下列職責:

(一)嚴格執(zhí)行本單位計算機信息系統(tǒng)安全保護技術措施;

(二)對計算機信息系統(tǒng)安全運行情況進行檢查測試,及時排除安全隱患;

(三)計算機信息系統(tǒng)發(fā)生安全事故或違法犯罪案件時,應立即向本單位報告,并采取妥善措施保護現(xiàn)場,避免危害的擴大;

(四)負責收集本單位的網(wǎng)絡拓撲結構圖及信息系統(tǒng)的其他相關技術資料。

第十一條重點安全保護單位應當建立并執(zhí)行以下安全保護管理制度:

(一)計算機機房安全管理制度;

(二)安全管理責任人、安全技術人員的安全責任制度;

(三)網(wǎng)絡安全漏洞檢測和系統(tǒng)升級管理制度;

(四)操作權限管理制度;

(五)用戶登記制度;

(六)信息審查、登記、保存、清除和備份制度;

(七)信息保密制度;

(八)信息系統(tǒng)安全應急處置制度;

(九)其他相關安全保護管理制度。

第十二條重點安全保護單位應當落實以下安全保護技術措施:

(一)系統(tǒng)重要部分的冗余措施;

(二)重要信息的異地備份措施和保密措施;

(三)計算機病毒和有害數(shù)據(jù)防治措施;

(四)網(wǎng)絡攻擊防范和追蹤措施;

(五)安全審計和預警措施;

(六)信息群發(fā)限制措施;

(七)其他相關安全保護技術措施。

第十三條重點安全保護單位的安全管理責任人和安全技術人員,應當經(jīng)過計算機信息系統(tǒng)安全知識培訓。

第十四條重點安全保護單位應當對其主服務器輸入輸出數(shù)據(jù)進行24小時監(jiān)控,發(fā)現(xiàn)異常數(shù)據(jù)應注意保護現(xiàn)場,并同時報告公安機關等有關職能部門。

第十五條使用和銷售計算機信息系統(tǒng)安全專用產(chǎn)品,必須是依法取得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的產(chǎn)品。

進入本市銷售計算機信息系統(tǒng)安全專用產(chǎn)品的銷售單位,其銷售產(chǎn)品目錄應報市公安局備案。

市公安局應定期通告,公布合格的計算機信息系統(tǒng)安全專用產(chǎn)品目錄。

保密技術專用產(chǎn)品的管理,按照國家和省、市的有關規(guī)定執(zhí)行。

第十六條計算機信息系統(tǒng)使用單位發(fā)現(xiàn)計算機信息系統(tǒng)中發(fā)生安全事故和違法犯罪案件時,應在24小時內(nèi)向當?shù)毓矙C關報告,并做好運行日志等原始記錄的現(xiàn)場保留工作。涉及重大安全事故和違法犯罪案件的,未經(jīng)公安機關查勘或同意,使用單位不得擅自恢復、刪除現(xiàn)場。涉及其他管理部門法定職權的,公安機關應當在接到報告后及時通知有關部門。

第十七條計算機信息系統(tǒng)發(fā)生突發(fā)性事件或存在安全隱患,可能危及公共安全或損害公共利益時,公安機關等有關職能部門應當及時通知計算機信息系統(tǒng)使用單位采取安全保護措施,并有權對使用單位采取暫停聯(lián)網(wǎng)、停機檢查、備份數(shù)據(jù)等應急措施,計算機信息系統(tǒng)使用單位應當予以配合。

突發(fā)性事件或安全隱患消除之后,公安機關等有關職能部門應立即解除暫停聯(lián)網(wǎng)或停機檢查措施,恢復計算機信息系統(tǒng)的正常工作。

第三章計算機信息系統(tǒng)安全檢測

第十八條重點安全保護單位的計算機信息系統(tǒng)進行新建、改建、擴建的,其安全保護設計方案應報公安機關備案。

系統(tǒng)建成后,重點安全保護單位應進行1至6個月的試運行,并委托符合條件的檢測機構對其系統(tǒng)進行安全保障體系檢測,檢測合格的,系統(tǒng)方能投入正式運行。重點安全保護單位應將檢測合格報告書報公安機關備案。

計算機信息系統(tǒng)的建設、檢測等按照國家和省、市的有關規(guī)定執(zhí)行。

第十九條計算機信息系統(tǒng)安全保障體系檢測包括以下內(nèi)容:

(一)安全保護管理制度和安全保護技術措施的制定和執(zhí)行情況;

(二)計算機硬件性能和機房環(huán)境;

(三)計算機系統(tǒng)軟件和應用軟件的可靠性;

(四)技術測試情況和其他相關情況。

市公安局應當根據(jù)計算機信息系統(tǒng)安全保護的行業(yè)特點,會同有關部門制定并公布重點行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范。

第二十條重點安全保護單位對計算機信息系統(tǒng)進行設備更新或改造時,對安全保障體系產(chǎn)生直接影響的,應當委托符合條件的檢測機構對受影響的部分進行檢測,確保其符合該行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范。

第二十一條重點安全保護單位應加強對計算機信息系統(tǒng)的安全保護,定期委托符合條件的檢測機構對計算機信息系統(tǒng)進行安全保障體系檢測,并將檢測合格報告書報公安機關備案。對檢測不合格的,重點安全保護單位應當按照該行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范進行整改,整改后達到要求的,系統(tǒng)方能繼續(xù)運行。

第二十二條公安機關應當會同有關部門,按照國家有關規(guī)定和相關行業(yè)安全要求規(guī)范,對重點安全保護單位的計算機信息系統(tǒng)安全保障體系進行檢查。檢查內(nèi)容包括:

(一)安全保護管理制度和安全保護技術措施的落實情況;

(二)計算機信息系統(tǒng)實體的安全;

(三)計算機網(wǎng)絡通訊和數(shù)據(jù)傳輸?shù)陌踩?

(四)計算機軟件和數(shù)據(jù)庫的安全;

(五)計算機信息系統(tǒng)安全審計狀況和安全事故應急措施的執(zhí)行情況;

(六)其他計算機信息系統(tǒng)的安全情況。

第二十三條公安機關等有關職能部門發(fā)現(xiàn)重點安全保護單位的計算機信息系統(tǒng)存在安全隱患、可能危及公共安全或損害公共利益的,可委托符合條件的檢測機構對其安全保障體系進行檢測。經(jīng)檢測發(fā)現(xiàn)存在安全問題的,重點安全保護單位應當立即予以整改。

第二十四條檢測機構進行計算機信息系統(tǒng)安全檢測時,應保障被檢測單位各種活動的正常進行,并不得泄露其秘密。

檢測機構應當嚴格按照國家有關規(guī)定和相關規(guī)范進行檢測,并對其出具的檢測報告承擔法律責任。

第四章計算機信息網(wǎng)絡公共秩序管理

第二十五條互聯(lián)網(wǎng)絡接入單位以及申請從事互聯(lián)網(wǎng)信息服務的單位和個人,除應當按照國家有關規(guī)定辦理相關手續(xù)外,還應當自網(wǎng)絡正式聯(lián)通之日起30日內(nèi)到公安機關辦理安全備案手續(xù)。

第二十六條用戶在接入單位辦理入網(wǎng)手續(xù)時,應當填寫用戶備案表。接入單位應當定期將接入本網(wǎng)絡的用戶情況報當?shù)毓矙C關備案。

第二十七條設立互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所,應當按照《互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所管理條例》的規(guī)定向公安機關申請信息網(wǎng)絡安全審核。經(jīng)公安機關審核合格,發(fā)給互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所信息網(wǎng)絡安全許可證明后,再向文化、工商部門辦理有關審批手續(xù)。

互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所經(jīng)營單位變更營業(yè)場所地址或者對營業(yè)場所進行改建、擴建,變更計算機數(shù)量或者其他重要事項的,應當經(jīng)原審核機關同意。

互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所經(jīng)營單位變更名稱、住所、法定代表人或者主要負責人、注冊資本、網(wǎng)絡地址或者終止經(jīng)營活動的,應當依法到工商行政管理部門辦理變更登記或者注銷登記,并到文化行政部門、公安機關辦理相關手續(xù)。

第二十八條互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所經(jīng)營單位必須使用固定的IP地址聯(lián)網(wǎng),并按規(guī)定落實安全保護技術措施。

互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所經(jīng)營單位應按規(guī)定對上網(wǎng)人員進行電子實名登記,登記內(nèi)容包括姓名、身份證號碼、上網(wǎng)起止時間,并應記錄上網(wǎng)信息。登記內(nèi)容和記錄備份保存時間不得少于60日,在保存期內(nèi)不得修改或者刪除。

第二十九條任何單位和個人不得從事下列危害計算機信息網(wǎng)絡安全的活動:

(一)未經(jīng)授權查閱他人電子郵箱,或者以贏利和非正常使用為目的,未經(jīng)允許向第三方公開他人電子郵箱地址;

(二)故意向他人發(fā)送垃圾郵件,或者冒用他人名義發(fā)送電子郵件;(三)利用計算機信息網(wǎng)絡傳播有害手機短信;

(四)侵犯他人隱私、竊取他人帳號、進行網(wǎng)上詐騙活動;

(五)未經(jīng)計算機信息網(wǎng)絡所有者同意,掃描他人信息網(wǎng)絡漏洞;

(六)利用計算機信息網(wǎng)絡鼓動公眾惡意評論他人或公開他人隱私,或者暗示、影射對他人進行人身攻擊;

(七)其他危害計算機信息網(wǎng)絡安全的行為。

第三十條從事信息網(wǎng)絡經(jīng)營、服務的單位和個人應當遵守下列規(guī)定:

(一)制訂安全保護管理制度,對本網(wǎng)絡用戶進行安全教育;

(二)落實安全保護技術措施,保障本網(wǎng)絡的運行安全和其的信息安全;

(三)建立電子公告系統(tǒng)的信息審核制度,設立信息審核員,發(fā)現(xiàn)有害信息的,應在做好數(shù)據(jù)保存工作后及時刪除;

(四)發(fā)現(xiàn)本辦法第二十九條中各類情況時應保留有關稽核記錄,并立即向公安機關報告;

(五)落實信息群發(fā)限制、匿名轉(zhuǎn)發(fā)限制和有害數(shù)據(jù)防治措施;

(六)落實系統(tǒng)運行和上網(wǎng)用戶使用日志記錄措施;

(七)按公安機關要求報送各類接入狀況及基礎數(shù)據(jù)。

第三十一條發(fā)現(xiàn)計算機信息網(wǎng)絡傳播病毒、轉(zhuǎn)發(fā)垃圾郵件、轉(zhuǎn)發(fā)有害手機短信或傳播有害信息的,信息網(wǎng)絡的經(jīng)營、服務單位和個人應當采取技術措施予以防護和制止,并在24小時內(nèi)向公安機關報告。

對不采取技術措施予以防護和制止的信息網(wǎng)絡經(jīng)營、服務單位和個人,公安機關有權責令其采取技術措施,或主動采取有關技術措施予以防護和制止。

第三十二條公安機關應對計算機信息網(wǎng)絡的安全狀況、公共秩序狀況進行經(jīng)常性監(jiān)測,發(fā)現(xiàn)危害信息安全和危害公共秩序的事件應及時進行處理,并及時通知有關單位和個人予以整改。

第五章法律責任

第三十三條違反本辦法規(guī)定,有下列行為之一的,給予警告,責令限期改正,并可處以1000元以上10000元以下罰款;情節(jié)嚴重的,可以給予6個月以內(nèi)停機整頓的處罰:

(一)計算機信息系統(tǒng)使用單位未建立安全保護管理制度或未落實安全保護技術措施,危害計算機信息系統(tǒng)安全的;

(二)計算機信息系統(tǒng)使用單位不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的安全事故和違法犯罪案件,造成危害的;

(三)重點安全保護單位的計算機信息系統(tǒng)未經(jīng)檢測或檢測不合格即投入正式運行的。

第三十四條違反本辦法規(guī)定,銷售計算機信息系統(tǒng)安全專用產(chǎn)品未向公安機關備案的,給予警告,責令限期改正,并可處以200元以上2000元以下罰款。

第三十五條違反本辦法規(guī)定,接入單位或從事互聯(lián)網(wǎng)信息服務的單位和個人不辦理安全備案手續(xù)的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節(jié)嚴重的,可以給予6個月以內(nèi)停機整頓的處罰。

第三十六條違反本辦法規(guī)定,未取得互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所信息網(wǎng)絡安全許可證明從事互聯(lián)網(wǎng)上網(wǎng)服務經(jīng)營活動的,責令限期補辦手續(xù),并可處以1000元以上10000元以下的罰款。

第三十七條有本辦法第二十九條規(guī)定行為之一的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節(jié)嚴重的,可以給予6個月以內(nèi)停機整頓的處罰。

第三十八條違反本辦法第三十條和第三十一條第一款規(guī)定的,給予警告,責令限期改正,并可處以1000元以上10000元以下的罰款;情節(jié)嚴重的,可以給予6個月以內(nèi)停機整頓的處罰。

第三十九條計算機信息系統(tǒng)使用單位的安全管理責任人和安全技術人員不履行本辦法規(guī)定的職責,造成安全事故或重大損害的,給予警告,并可建議其所在單位按照相關規(guī)定給予其行政處分。

第四十條對本辦法規(guī)定的行政處罰,市區(qū)范圍內(nèi)(蕭山區(qū)、余杭區(qū)除外)由市公安局公共信息網(wǎng)絡安全監(jiān)察分局負責;各縣(市)和蕭山區(qū)、余杭區(qū)范圍內(nèi)由各縣(市)公安局和蕭山區(qū)、余杭區(qū)公安分局負責。

第四十一條對違反本辦法規(guī)定的行為,涉及其他有關法律法規(guī)的,由有關部門依法予以處罰。對違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的規(guī)定給予處罰;構成犯罪的,依法追究刑事責任。

第四十二條行政機關工作人員違反本辦法規(guī)定,、、的,由其所在單位或有關部門按照有關規(guī)定給予其行政處分;構成犯罪的,由司法機關依法追究刑事責任。

第六章附則

第四十三條計算機信息系統(tǒng)的保密管理,按照國家有關規(guī)定執(zhí)行。

第7篇

根據(jù)市人民政府辦公室《關于開展政府信息系統(tǒng)安全的檢查的通知》(天政電[2010]52號)文件精神。我鎮(zhèn)對本鎮(zhèn)信息系統(tǒng)安全情況進行了自查，現(xiàn)匯報如下：

一、自查情況

(一)安全制度落實情況

1、成立了安全小組。明確了信息安全的主管領導和具體負責管護人員,安全小組為管理機構。

2、建立了信息安全責任制。按責任規(guī)定:保密小組對信息安全負首責，主管領導負總責，具體管理人負主責。

3、制定了計算機及網(wǎng)絡的保密管理制度。鎮(zhèn)網(wǎng)站的信息管護人員負責保密管理，密碼管理，對計算機享有獨立使用權，計算機的用戶名和開機密碼為其專有，且規(guī)定嚴禁外泄。

(二)安全防范措施落實情況

1、計算機經(jīng)過了保密技術檢查，并安裝了防火墻。同時配置安裝了專業(yè)殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。

2、計算機都設有開機密碼，由專人保管負責。同時，計算機相互共享之間沒有嚴格的身份認證和訪問控制。

3、網(wǎng)絡終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象，沒有安裝無線網(wǎng)絡等。

4、安裝了針對移動存儲設備的專業(yè)殺毒軟件。

(三)應急響應機制建設情況

1、制定了初步應急預案，并隨著信息化程度的深入，結合我鎮(zhèn)實際，處于不斷完善階段。

2、堅持和計算機系統(tǒng)定點維修單位聯(lián)系機關計算機維修事宜，并商定其給予鎮(zhèn)應急技術以最大程度的支持。

3、嚴格文件的收發(fā)，完善了清點、修理、編號、簽收制度，并要求信息管理員每天下班前進行系統(tǒng)備份。

(四)信息技術產(chǎn)品和服務國產(chǎn)化情況

1、終端計算機的保密系統(tǒng)和防火墻、殺毒軟件等，皆為國產(chǎn)產(chǎn)品。

2、公文處理軟件具體使用金山軟件的wps系統(tǒng)。

3、工資系統(tǒng)、年報系統(tǒng)等皆為市政府、市委統(tǒng)一指定產(chǎn)品系統(tǒng)。

(五)安全教育培訓情況

1、派專人參加了市政府組織的網(wǎng)絡系統(tǒng)安全知識培訓，并專門負責我鎮(zhèn)的網(wǎng)絡安全管理和信息安全工作。

2、安全小組組織了一次對基本的信息安全常識的學習活動。

二、自查中發(fā)現(xiàn)的不足和整改意見

根據(jù)《通知》中的具體要求，在自查過程中我們也發(fā)現(xiàn)了一些不足，同時結合我鎮(zhèn)實際，今后要在以下幾個方面進行整改。

1、安全意識不夠。要繼續(xù)加強對機關干部的安全意識教育，提高做好安全工作的主動性和自覺性。

2、設備維護、更新及時。要加大對線路、系統(tǒng)等的及時維護和保養(yǎng)，同時，針對信息技術的飛快發(fā)展的特點，要加大更新力度。

第8篇

一、健全完善互聯(lián)網(wǎng)工作郵箱安全保密制度。院黨委十分重視保密工作，嚴格執(zhí)行“誰主管誰負責、誰運行誰負責、誰使用誰負責”的保密原則,嚴格執(zhí)行有關網(wǎng)絡安全制度，不斷完善保密工作機制。

二、嚴把互聯(lián)網(wǎng)工作郵箱信息審核關。凡用工作郵箱信息均要通過分管領導審核，安排專人，并做好信息登記記錄。用互聯(lián)網(wǎng)工作郵箱等處理有關信息時，設置了保密提醒功能。

三、加強對工作郵箱以及個人郵箱的檢查。經(jīng)自查，我院開設的互聯(lián)網(wǎng)工作郵箱，沒有違規(guī)儲存、傳輸、處理國家秘密和工作秘密，沒有發(fā)現(xiàn)以單位、部門名稱或者簡稱命名的互聯(lián)網(wǎng)工作郵箱，沒有將單位工作郵箱郵件自動轉(zhuǎn)發(fā)至個人郵箱或境外郵箱；沒有用個人郵箱處理公務的行為；建立完善相關制度，認真完善和落實日常保密管理措施，不存在泄密隱患，互聯(lián)網(wǎng)工作郵箱保密安全狀況良好。

四、發(fā)現(xiàn)問題立即整改。在自查過程中，發(fā)現(xiàn)個別工作郵箱登陸密碼設置雖符合保密要求，但未定期修改密碼，立即要求負責人員進行整改，并明確使用人的職能職責，確保定期對使用郵箱密碼進行修改。

通過此次開展互聯(lián)網(wǎng)工作郵箱保密自查工作，我院摸清和掌握了基本情況，明確了今后保密工作的努力方向。我院將以此次互聯(lián)網(wǎng)工作郵箱保密檢查工作為契機，進一步建立健全保密工作規(guī)章制度，不斷強化工作人員保密意識，嚴格規(guī)范工作人員保密行為，定期開展互聯(lián)網(wǎng)工作郵箱保密自查工作，及時整改存在的問題，切實將保密工作落實到各項工作中去，不斷推動安全保密工作向前發(fā)展。