信息安全检查工作汇报

1. 信息安全检查工作汇报 委信息办 2012.05

2. 1 2011年政府信息系统安全检查工作 2 本年度信息系统安全自查工作 下一步工作建议与安排 3 一步建设思路

3. 《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发[2009]28号）《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发[2009]28号） 《关于做好2011年度政府信息系统安全检查工作的通知》（质检信办[2011]95号）

4. 一、信息安全状况总体评价 1、安全制度落实方面。信息中心开展了“信息安全管理、IT运维和等级保护”咨询与认证工作; 制定了35份信息安全管理体系文件以及55份记录模板。 2、应急响应机制建设方面。完善并发布《机房环境、信息网络与信息系统应急响应预案》，提升处理重大信息安全事故的应变能力。 3、安全隐患排查方面。定期对安全制度、防范措施、技术设备等各方面进行检查，尽可能排除各方面的安全隐患，防患于未然，降低安全事故发生的概率，提高信息安全保障能力。

5. 二、2011年信息安全主要工作情况 （一）建立健全组织机构 1、国家认监委信息中心信息安全管理委员会； 2、信息安全执行小组。 （二）严格落实信息安全日常管理工作 1、信息安全保障经费，2011年经费150万元； 2、信息安全管理体系文件、质量管理体系文件。 （三）严格落实安全防范措施 1、业务系统大集中部署、每日两次巡检； 2、网站信息发布审批制度、网站防篡改系统； 3、网络统一监控、防病毒、防攻击、对用户上网行为进行审计等安全防范措施。

6. 二、2011年信息安全主要工作情况 （四）完善应急响应机制 1、重要业务系统数据每天进行一次备份； 2、发布《机房环境、信息网络与信息系统应急响应预案》，并组织了2次推演演练。 （五）加强信息安全教育培训 1、认证认可信息化专题培训； 2、信息安全管理体系审核员培训。 （六）信息安全检查 1、组织两次信息安全保密检查工作

7. 1 2011年政府信息系统安全检查工作 2 本年度信息系统安全自查工作 下一步工作建议与安排 3 一步建设思路

8. 对5项网站系统、25台服务器设备漏洞扫描情况：对5项网站系统、25台服务器设备漏洞扫描情况： 1、设备部署的中间件软件版本较低，已通过下载最新稳定版本及官方补丁方式解决； 2、业务系统不支持最新中间件软件、数据库软件的系统补丁，已通过在网络设备中关闭可能产生漏洞的端口解决，需要联系系统开发人员对程序安全性做进一步评估、改进才能最终杜绝相关漏洞； 3、网站存在跨站漏洞、SQL注入漏洞、网站源代码泄露等问题，已通过配置Web应用防火墙设备进行前端隔离，还需联系网站开发人员或外购厂商对网站代码做进一步的安全优化。

9. 安全加固手段： 1、对主机系统进行安全加固，关闭非必要的服务与端口，并在网络边界防火墙进行访问控制； 2、对网络进行定期扫描，及时解决网络中存在的安全问题； 3、完善网络与安全设备配置，实时监控、防护、保障网络安全； 4、在web服务器前端增加配置专业防护设备，抵御和检测外部恶意攻击。

10. 1 2011年政府信息系统安全检查工作 2 本年度信息系统安全自查工作 下一步工作建议与安排 3 一步建设思路

11. 一、存在的问题与建议 1、存在信息安全意识薄弱、日常操作不规范的问题。建议参照信息安全管理体系、等级保护要求等系统、规范的方式，提高日常管理与监督能力，并加强信息安全教育培训，提升安全意识与操作水平。 2、信息中心、各成员单位部分服务器与网络设备存在系统漏洞，恶意人员可以通过漏洞对我委信息系统或用户造成不良影响和损失。建议加强日常系统扫描、功能模块升级、安装补丁，并与委信息办、信息安全机构、厂商及时沟通，从技术层面避免安全事故的发生。 3、部分设备存在单点故障问题，相关灾备体系尚未全面建立。建议调整完善相关网络结构、加大信息化经费投入进行解决。

12. 二、下一步信息安全工作安排 （一）统筹规划，全面推行信息安全体系、信息系统等级保护工作 本年度信息中心将完成构建、运行ISO27000信息安全管理体系，并开始重要信息系统等级保护定级与备案准备工作，实现管理与技术两手抓。 （二）加强信息安全意识与实践，开展年度信息系统安全检查工作 信息办将参照2011年信息系统安全检查要求，结合等级保护、信息安全管理体系建议，组织技术专家会同各成员单位进行进一步交流与培训，并开展先期检查与整改工作。

13. 敬请领导批评指正！