信息网络安全等级保护工作自检自查报告

信息网络安全等级保护工作自检自查报告XX县烟草专卖局（分公司）的信息网络安全建设在上级部门的关心指导下，近年取得了快速的进步和发展，实效性强，网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定，严格规范信息安全等级保护，提高企业对信息网络安全的防控能力，保障企业信息网络安全，保证公司各项办公自动化工作的正常进行，促进企业效益的稳步提升，按照《XX县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求，我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查，现将自查情况报告如下。一、等级保护工作部署和组织实施情况XX县烟草公司企业信息化建设在市局（公司）的统一领导下，按照“统一网络、统一平台、统一数据库”的要求，以打造“数字烟草”为战略目标，以“系统集成、资源整合、信息共享”为工作方针，取得了快速的发展，在积极推进企业信息化建设的过程中，更加重视网络信息的安全建设工作。从省公司到市公司、县公司，领导高度重视，统一规划，统一标准，同步实施。首先是逐级成立了领导小组和职能部门，XX分公司按照上级部门要求，2000年11月成立了信息化领导小组，下设信息办在公司办公室，并设置了计算机系统管理员岗位，明确了各自的职责。由于网络推广应用迅速，2005年重新更设了计算机网络信息中心，旨在强化对企业的网络建设和网络安全管理。在历次的机构设置中，都明确了分公司主要领导分管信息工作，把网络信息安全的建设与管理摆到了企业各项工作的重要位置中来，表明了企业对信息化建设、网络安全管理的高度重视和决心。其次是对行业的网络安全建设高瞻远瞩、统一标准、规范运作、务求实效。先后省公司下发了《云南省烟草专卖局关于建设云南省行业计算机网络与信息安全系统的通知》，对全行业的网络信息安全建设作了明确、细致的规定，制定了高效规范的《云南省烟草行业计算机网络与信息安全系统建设方案》，统一在全系统范围内实施。随后市局公司又下发了《曲靖市烟草专卖局（公司）关于建设网络安全系统的通知》，对各分公司的网络安全建设作了具体的安排部署。XX县烟草公司严格按照上级部门要求，主动推进网络安全建设，严律遵循行业标准规范，组织实施信息项目，积极配合上级部门在全行业开展网络安全建设工作。二、信息系统安全保护等级备案情况XX县烟草专卖局（分公司）隶属曲靖市烟草专卖局（公司）子公司，无法人资格。网络信息安全建设也是依照市公司统一要求进行，信息安全保护等级为二级。按照本次检查要求，备案材料主要包括三类。一是各级各部门的文件，包括有：罗烟司字［2000］48号《关于成立云南省烟草XX县公司信息化领导小组的通知》，省公司云烟科［2000］209号《关于决举办云南省烟草行业计算机系统管理员培训班的通知》，省公司云烟信［2003］552号《云南省烟草专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知》，市公司云曲烟专司字［2004］35号《曲靖市烟草专卖局（公司）关于建设网络安全系统的通知》、《曲靖烟草专卖局（公司）党政工作部关于举办网络信息安全培训的通知》，市公司云曲烟办字［2004］98号《曲靖市烟草专卖局（公司）关于建设地面专网的通知》等。第二类是各项网络信息安全建设规范、技术标准及方案等，主要包括有：《云南省烟草行业信息网络信息系统技术规范》两部分，《云南省烟草行业信息网络系统计算机网络系统建设技术规范》、《云南省烟草行业计算机网络与信息安全系统建设方案》。第三类是各类管理制度或规定，主要包括有：《云南省烟草行业信息网络管理规范》、《云南省烟草行业计算机网络与信息安全管理制度》、《信息化工作管理规定》的网络与信息安全管理，《网络建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息网络事件应急预案》等。三、信息安全设施建设情况。根据上级部门的统一规划、建设要求，XX县烟草公司积极推进各项网络安全建设工作。首先，为考虑网络安全，结合业务实际，在网络规划时以建设专线为重点，在全省烟草系统内全部采用专线连接，实现互联互通。在系统主干网络建设上，先是采用卫星专用通道联网，后改用DDN专线，随着网络技术的发展和普及，从2006年开始，全省烟草系统，从省公司至市公司，从市公司至分公司，从分公司至烟叶站、烟叶收购点，采用带宽不同的SDH专线连接。公司绝大部分业务均在内网里运行，各类数据信息通过内网服务器和网络流转、共享，无外网托管现象，只有极少部分业务需挂外网。其次是不断采用新技术、新手段做好网络信息安全防范工作，严格划分企业内网与外网，通过硬件防火墙设置，保证内外信息交互有效进行，实现对垃圾信息、非法访问的有效过滤。同时，通过网络版杀毒软件的安装使用，对计算机病毒进行整体防治，另一方面，对操作终端还配置防木马程序的软件，以及软件防火墙等软件的使用，配合杀毒软件对计算机病毒、黑客攻击、木马程序等进行了有效的防范。总之，通过软硬件技术手段的有效结合，使系统内网及每个终端计算机、系统内的信息、数据安全得到了有效保障，有效保证了企业各业务工作的顺利开展。四、管理制度建设情况。烟草企业自2004年工商分制以来，作为一分公司，在曲靖市烟草公司的直接领导下，各项工作稳步推进，伴随着社会效益、企业效益的逐年攀升，曲靖烟草企业更加注重管理模式的总结与创新，强调管理的精细化和规范化，通过长时间的积累、总结和创新，对各行各业各个环节都制定了规范、有效的管理制度。形成了具有行业标准的相关制度－《曲靖烟草商业管理（QTCM）－管理制度》，在网络信息安全方面涉及很多内容。制定了《计算机设备管理规定》，旨在规范烟草系统计算机及相关设备的管理工作，促进设备的有效管理，提高设备的综合效率，满足工作需求；制定了《计算机机房管理理规定》，旨在加强计算机机房的运行、使用和管理，保证各信息系统的稳定可靠运行，促进公司网络的健康发展；制定了《信息化工作管理规定》、以及《网站建设及信息维护管理规定》，包括网络和信息安全管理规定，旨在保证企业网络信息系统运行安全、可靠，做到实体安全、运行安全、数据安全和管理安全。2008年4月份，根据企业《职业健康安全管理体系》运行的整改要求，制定了《突发信息网络事件应急预案》，包括机房渗漏水应急预案、机房盗窃应急预案、机房火灾应急预案、机房长时间停电应急预案、通信网络故障应急预案、网络病毒爆发应急预案、服务器软件系统故障应急预案、核心设备硬件故障应急预案、业务数据损坏应急预案等九部分内容，旨在加强对系统内突发信息网络事件的控制，迅速有效开展应急救援行动，降低危害程度。总之，企业对网络安全高度重视，制定了众多管理制度，并积极层层落实，责任分明，有效地保证了了企业长期以来的网络信息系统的稳定运行。五、信息安全产品选择和使用情况。我司的网络信息安全产品，2004年开始根据市公司的要求，进行统一配置。其中，硬件防火墙采用中端型产品，品牌型号为天融信NGFWARES－VPN（S），版本TOPSEC集中管理器V2.2.17，基本满足管理要求。防病毒软件曾采用趋势Trend网络版，2007年以后统一改用瑞星企业专用版，与全国大多企业一致选用国产软件。网络管理平台软件曾使用复旦光华T_Manager网络综合管理系统，预计未来将采用其它新系统实现网络综合管理。此外，针对各终端设备的安全防范，我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎360安全卫土等安全软件，实现防病毒、木马程序、黑客、非法程序等的辅助管理，进一步提高了整个系统的安全防范能力和管理水平。六、聘请测评机构开展技术测评情况我司的网络安全检测及风险评估工作也是依照市局（公司）的统一要求组织实施，按照市公司的统一安排，聘请测评机构为曲靖市麒麟区联创信息网络有限公司，检测时间一般为每年6至7月份，检测内容为：机房物理环境、服务器、网络设备（交换机、路由器、防火墙），桌面终端等，其中，桌面终端采用抽查方式进行检测，抽查率不少于总数的30%，检测工作中，工程师需签订《云南省网络与信息系统安全检测单位保密承诺》和安全检测保密协议，检测结果及报告由市公司保存。七、定期自查情况XX县烟草公司高度重视网络安全建设工作，强调日常维护、安全防范和定期自查工作。对管理制度不断完善更新，新技术新手段积极采用，借助于企业职业健康安全管理体系的贯标、运行和提升工作，不断开展网络信息安全的检查工作，对一经查出的问题及时整改，自己不能解决的及时上报上级部门，给予帮助解决，有效地促进了整个安全防控体系的完善和管理水平的提高。曲靖市烟草公司XX分公司二OO八年十月三十日关于上报宣州区地税局信息系统安全自查的报告宣州区地方税务局文件宣区地税〔2010〕77号签发人:殷本辉关于上报宣州区地税局信息系统安全自查的报告宣城市地方税务局根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见，参照安徽地税信息系统安全自查方案，我局对全区网络与信息安全现状进行了自查，查找薄弱环节和安全隐患，进一步强化信息安全意识、规范信息安全管理，以提高网络与信息系统的安全保障能力，现将自查情况上报给你们。（本文只发电子文件）二〇一〇年六月二十四日宣州区地税局信息系统安全自查报告根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见，参照《安徽省地税局2010年税务信息系统安全检查方案》，从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对宣州区地税局信息安全系统进行了认真地自查与整改，现将自查情况报告如下：一、领导高度重视，组织、部门健全宣州区地税局领导班子高度重视信息系统安全工作，本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，成立了宣州区地税局信息系统安全领导小组，区局一把手担任领导小组组长，分管领导为副组长，下属各单位负责人为成员。各基层分局设立计算机管理员岗位，分别有责任心、取得全国计算机等级二级以上（含二级）证书、熟悉业务操作的人员担任，负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求，不定期地对计算机管理员开展相关业务培训。二、结合安徽地税系统安全自查方案，认真开展自查工作（一）安全管理方面：区局制定了《宣州区地税局公文处理应急预案》、《宣州区地税局内部网站应急预案》、《宣州区地税局网络故障应急预案》、《宣州区地税局计算机机房运行维护管理办法》，并着重落实上级部门下发的信息安全政策、法规和规章制度。确定信息中心一名工作人员担任信息系统安全管理员，具体处理信息系统安全的相关工作。区局中心机房于2008年建成，面积约90平方米，安装了接地保护装置，配备了手持式灭火器，配有两台柜式空调，并确保空调24小时正常运转。加强中心机房的供电管理，配备一台专用的10KVUPS电源专供中心机房设备使用，配备一台专用的6KVUPS电源专供征收大厅设备使用，并定期对UPS电池性能进行相应测试。宣州区地税局办公网络已于2009年元月实行内、外网物理隔离，内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区，通过一台硬件防火墙进行对外与对外的访问控制，所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离，基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离，其他计算机只允许上内网。征管数据市局集中后，区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库，定期对上述数据库进行备份，并将备份数据复制到文件服务器上。（二）安全技术方面：区局的网络通过租用联通的专线，实现市局、区局及分局三级网络互联，各基层分局通过路由交换和以太网两种方式按入区局，区局机关按股室按分VLAN。区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层，3台华为3026交换机作为接入层。除华为3552交换机有热备份，其他网络设备没有冷、热备份