XX 县烟草专卖局(分公司) 的信息网络安全建设在上级部门的关心指导下, 近年取得了快速的进步和发展, 实效性强, 网络安全防控能力大大增强。 为进一步贯彻落实行业网络与信息安全各项管理规定, 严格规范信息安全等级保护, 提高企业对信息网络安全的防控能力,保障企业信息网络安全, 保证公司各项办公自动化工作的正常进行, 促进企业效益的稳步提升, 按照《XX 县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求, 我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查, 现将自查情况报告如下。
一、 等级保护工作部署和组织实施情况
XX 县烟草公司企业信息化建设在市局(公司) 的统一领导下, 按照“统一网络、 统一平台、统一数据库”的要求, 以打造“数字烟草”为战略目标, 以“系统集成、 资源整合、 信息共享”为工作方针, 取得了快速的发展, 在积极推进企业信息化建设的过程中, 更加重视网络信息的安全建设工作。 从省公司到市公司、 县公司, 领导高度重视, 统一规划, 统一标准, 同步实施。 首先是逐级成立了领导小组和职能部门, XX 分公司按照上级部门要求, 2000 年 11月成立了信息化领导小组, 下设信息办在公司办公室, 并设置了计算机系统管理员岗位, 明确了各自的职责。 由于网络推广应用迅速, 2005 年重新更设了计算机网络信息中心, 旨在强化对企业的网络建设和网络安全管理。 在历次的机构设置中, 都明确了 分公司主要领导分管信息工作, 把网络信息安全的建设与管理摆到了企业各项工作的重要位置中来, 表明了企业对信息化建设、 网络安全管理的高度重视和决心。 其次是对行业的网络安全建设高瞻远瞩、 统一标准、 规范运作、 务求实效。先后省公司下发了《云南省烟草专卖局关于建设云南省行业计算机网络与信息安全系统的通知》, 对全行业的网络信息安全建设作了明确、 细致的规定, 制定了高效规范的《云南省烟草行业计算机网络与信息安全系统建设方案》, 统一在全系统范围内实施。 随后市局公司又下发了《曲靖市烟草专卖局(公司) 关于建设网络安全系统的通知》, 对各分公司的网络安全建设作了具体的安排部署。 XX 县烟草公司严格按照上级部门要求, 主动推进网络安全建设, 严律遵循行业标准规范, 组织实施信息项目, 积极配合上级部门在全行业开展网络安全建设工作。
二、 信息系统安全保护等级备案情况
XX 县烟草专卖局(分公司) 隶属曲靖市烟草专卖局(公司) 子公司, 无法人资格。 网络信息安全建设也是依照市公司统一要求进行, 信息安全保护等级为二级。按照本次检查要求,备案材料主要包括三类。 一是各级各部门的文件, 包括有: 罗烟司字[2000] 48 号《关于成立云南省烟草 XX 县公司信息化领导小组的通知》, 省公司云烟科[2000] 209 号《关于决举办云南省烟草行业计算机系统管理员培训班的通知》, 省公司云烟信[2003] 552 号《云南省烟草专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知》, 市公司云曲烟专司字[2004] 35 号《曲靖市烟草专卖局(公司) 关于建设网络安全系统的通知》、《曲靖烟草专卖局(公司) 党政工作部关于举办网络信息安全培训的通知》, 市公司云曲烟办字[2004] 98 号《曲靖市烟草专卖局(公司) 关于建设地面专网的通知》 等。 第二类是各项网络信息安全建设规范、 技术标准及方案等, 主要包括有: 《云南省烟草行业信息网络信息系统技术规范》两部分, 《云南省烟草行业信息网络系统计算机网络系统建设技术规范》、《云南省烟草行业计算机网络与信息安全系统建设方案》。 第三类是各类管理制度或规定,主要包括有: 《云南省烟草行业信息网络管理规范》、《云南省烟草行业计算机网络与信息安全管理制度》、《信息化工作管理规定》 的网络与信息安全管理, 《网络建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》 及《突发信息网络事件应急预案》等。
三、 信息安全设施建设情况。
根据上级部门的统一规划、 建设要求, XX 县烟草公司积极推进各项网络安全建设工作。首先, 为考虑网络安全, 结合业务实际, 在网络规划时以建设专线为重点, 在全省烟草系统内全部采用专线连接, 实现互联互通。 在系统主干网络建设上, 先是采用卫星专用通道联网,后改用 DDN 专线, 随着网络技术的发展和普及, 从 2006 年开始, 全省烟草系统, 省公司至市公司, 从市公司至分公司, 从分公司至烟叶站、 烟叶收购点, 采用带宽不同的 SDH专线连接。 公司绝大部分业务均在内网里运行, 各类数据信息通过内网服务器和网络流转、共享, 无外网托管现象, 只有极少部分业务需挂外网。 其次是不断采用新技术、 新手段做好网络信息安全防范工作, 严格划分企业内网与外网, 通过硬件防火墙设置, 保证内外信息交互有效进行, 实现对垃圾信息、 非法访问的有效过滤。 同时,通过网络版杀毒软件的安装使用, 对计算机病毒进行整体防治, 另一方面, 对操作终端还配置防木马程序的软件, 以及软件防火墙等软件的使用, 配合杀毒软件对计算机病毒、 黑客攻击、 木马程序等进行了 有效的防范。 总之, 通过软硬件技术手段的有效结合, 使系统内网及每个终端计算机、 系统内的信息、 数据安全得到了有效保障, 有效保证了企业各业务工作的顺利开展。
四、 管理制度建设情况。
烟草企业自 2004 年工商分制以来, 作为一分公司, 在曲靖市烟草公司的直接领导下, 各项工作稳步推进, 伴随着社会效益、 企业效益的逐年攀升, 曲靖烟草企业更加注重管理模式的总结与创新, 强调管理的精细化和规范化, 通过长时间的积累、 总结和创新, 对各行各业各个环节都制定了 规范、 有效的管理制度。 形成了具有行业标准的相关制度-《曲靖烟草商业管理(QTCM) -管理制度》, 在网络信息安全方面涉及很多内容。 制定了《计算机设备管理规定》, 旨在规范烟草系统计算机及相关设备的管理工作, 促进设备的有效管理, 提高设备的综合效率, 满足工作需求; 制定了《计算机机房管理理规定》, 旨在加强计算机机房的运行、 使用和管理, 保证各信息系统的稳定可靠运行, 促进公司网络的健康发展; 制定了《信息化工作管理规定》、 以及《网站建设及信息维护管理规定》, 包括网络和信息安全管理规定, 旨在保证企业网络信息系统运行安全、可靠, 做到实体安全、 运行安全、 数据安全和管理安全。 2008 年 4 月份, 根据企业《职业健康安全管理体系》 运行的整改要求, 制定了《突发信息网络事件应急预案》, 包括机房渗漏水应急预案、 机房盗窃应急预案、 机房火灾应急预案、 机房长时间停电应急预案、 通信网络故障应急预案、 网络病毒爆发应急预案、 服务器软件系统故障应急预案、 核心设备硬件故障应急预案、 业务数据损坏应急预案等九部分内容, 旨在加强对系统内突发信息网络事件的控制, 迅速有效开展应急救援行动, 降低危害程度。 总之, 企业对网络安全高度重视, 制定了众多管理制度, 并积极层层落实, 责任分明, 有效地保证了了企业长期以来的网络信息系统的稳定运行。
五、 信息安全产品选择和使用情况。
我司的网络信息安全产品, 2004 年开始根据市公司的要求, 进行统一配置。 其中, 硬件防火墙采用中端型产品, 品牌型号为天融信 NGFWARES-VPN(S), 版本 TOPSEC 集中管理器 V2.2.17, 基本满足管理要求。 防病毒软件曾采用趋势 Trend 网络版, 2007 年以后统一改用瑞星企业专用版, 与全国大多企业一致选用国产软件。 网络管理平台软件曾使用复旦光华T_Manager 网络综合管理系统, 预计未来将采用其它新系统实现网络综合管理。 此外, 针对各终端设备的安全防范, 我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎 360 安全卫土等安全软件, 实现防病毒、木马程序、 黑客、 非法程序等的辅助管理, 进一步提高了整个系统的安全防范能力和管理水平。
六、 聘请测评机构开展技术测评情况
我司的网络安全检测及风险评估工作也是依照市局(公司) 的统一要求组织实施, 按照市公司的统一安排, 聘请测评机构为曲靖市麒麟区联创信息网络有限公司, 检测时间一般为每年 6 至 7 月份, 检测内容为: 机房物理环境、 服务器、 网络设备(交换机、 路由器、 防火墙),桌面终端等, 其中, 桌面终端采用抽查方式进行检测, 抽查率不少于总数的 30%, 检测工作中, 工程师需签订《云南省网络与信息系统安全检测单位保密承诺》 和安全检测保密协议,检测结果及报告由市公司保存。
七、 定期自查情况
XX 县烟草公司高度重视网络安全建设工作, 强调日常维护、 安全防范和定期自查工作。对管理制度不断完善更新, 新技术新手段积极采用, 借助于企业职业健康安全管理体系的贯标、 运行和提升工作, 不断开展网络信息安全的检查工作, 对一经查出的问题及时整改, 自己不能解决的及时上报上级部门, 给予帮助解决, 有效地促进了整个安全防控体系的完善和管理水平的提高。
曲靖市烟草公司 XX 分公司
xxxx年xx月xx日
上一篇:事业单位工作调动申请书范文
