【文章內(nèi)容簡介】 工作，指導(dǎo)企業(yè)全面落實(shí)信息安全管理措施； 五是組織三家基礎(chǔ)電信企業(yè)開展互聯(lián)網(wǎng)絡(luò)安全應(yīng)急演練工作，確保建黨 xx 周年重大時(shí)期網(wǎng)絡(luò)與信息安全。 信息安全述職報(bào)告 2 一、信息安全總體情況 （一）本信息安全工作主要情況 今年以來，全市從落實(shí)各項(xiàng)安全管理制度和規(guī)范入手，積極有效地開展了政府信息安全工作，主要完成了以下五項(xiàng)工作： 1．落實(shí)信息安全規(guī)范。全市范圍內(nèi)逐步推行《蘇州市電子政務(wù)網(wǎng)信息安全規(guī)范（試行）》，所有接入蘇州電子政務(wù)網(wǎng)系統(tǒng)嚴(yán)格遵照規(guī)范實(shí)施，按照七個(gè)區(qū)、五個(gè)下屬市、市級機(jī)關(guān)順序，我委定期組織開展安全檢查，確保各項(xiàng)安全保障措施落實(shí)到位。 2．組織信息安全培訓(xùn)。面向全市政府部門 CIO 及信息安全技術(shù)人員進(jìn)行了網(wǎng)站滲透攻擊與防護(hù)、病毒原理與防護(hù)等專題培訓(xùn)，提高了信息安全保障技能。 3．加強(qiáng)政 府門戶網(wǎng)站巡檢。定期對政府部門網(wǎng)站進(jìn)行外部 web 安全檢查，出具安全風(fēng)險(xiǎn)掃描報(bào)告，并協(xié)助、督促相關(guān)部門進(jìn)行安全加固。 4．狠抓信息安全事件整改。今年，省通信管理局通報(bào)了幾起我市政府部門主機(jī)感染“飛客”蠕蟲病毒、木馬受控安全事件，我市高度重視，立即部署相關(guān)工作，向涉及政府部門發(fā)出安全通報(bào)，責(zé)令采取有力措施迅速處置，并向全市政府部門發(fā)文，要求進(jìn)一步加強(qiáng)政府門戶網(wǎng)站安全管理。 5．做好重要時(shí)期信息安全保障。采取一系列有效措施，實(shí)行 24小時(shí)值班制及安全日報(bào)制，與重點(diǎn)部門簽訂信息安全保障承諾書，加強(qiáng)互聯(lián) 網(wǎng)出口訪問實(shí)時(shí)監(jiān)控，確保世博會(huì)期間信息系統(tǒng)安全。 （二）信息系統(tǒng)安全檢查工作開展情況及檢查效果 按照省網(wǎng)安辦統(tǒng)一部署，我市及時(shí)制定了《 xx 蘇州市政府信息系統(tǒng)安全檢查工作方案》，五市七區(qū)及市級機(jī)關(guān)各部門迅速展開了自查工作， **家單位上報(bào)了書面檢查報(bào)告，較好地完成了自查工作。在認(rèn)真分析、總結(jié)前期各單位自查工作基礎(chǔ)上， 9 月中旬，市發(fā)改委會(huì)同市國密局、市公安局和信息安全服務(wù)公司抽調(diào) 21 名同志組成聯(lián)合檢查組，分成三個(gè)檢查小組，對部分市（區(qū)）和市級機(jī)關(guān)重要信息系統(tǒng)安全情況進(jìn)行抽查。檢查組共掃描了 **個(gè)單 位門戶網(wǎng)站，采用自動(dòng)和人工相結(jié)合方式對 **臺重要業(yè)務(wù)系統(tǒng)服務(wù)器、 **臺客戶端、 **臺交換機(jī)和 **臺防火墻進(jìn)行了安全檢查。 檢查組認(rèn)真貫徹“檢查就是服務(wù)”理念，按照《工作方案》對抽查單位進(jìn)行了細(xì)致周到安全巡檢，提供了一次全面安全風(fēng)險(xiǎn)評估服務(wù)，受到了服務(wù)單位歡迎和肯定。檢查從自查情況核實(shí)到管理制度落實(shí)，從網(wǎng)站外部安全掃描到重要業(yè)務(wù)系統(tǒng)安全檢測，從整體網(wǎng)絡(luò)安全評測到機(jī)房物理環(huán)境實(shí)地勘查，全面了解了各單位信息安全現(xiàn)狀，發(fā)現(xiàn)了一些安全問題，及時(shí)消除了一些安全隱患，有針對性地提出了整改建議，并出具了 18 份書面檢 查報(bào)告，督促有關(guān)單位對照報(bào)告認(rèn)真落實(shí)整改。通過信息安全檢查，使各單位進(jìn)一步提高了思想認(rèn)識，完善了安全管理制度，強(qiáng)化了安全防范措施，落實(shí)了安全問題整改，全市安全保障能力顯著提高。 （三）全市信息狀況總體評價(jià) 綜合信息系統(tǒng)安全自查和抽查情況看，我市信息系統(tǒng)安全工作整體情況良好，尤其在組織機(jī)構(gòu)、制度建設(shè)和日常管理方面，比較完善規(guī)范，個(gè)別單位還通過了 ISO9001 質(zhì)量管理認(rèn)證，采取了有效安全防護(hù)措施，信息安全工作得到了各單位領(lǐng)導(dǎo)普遍重視。但在風(fēng)險(xiǎn)評估、等級保護(hù)、應(yīng)急演練以及經(jīng)費(fèi)保障上面都有待于加強(qiáng)。 二、主要問題及整改情況 （一）主要存在問題 經(jīng)過本次信息安全自查，對照檢查標(biāo)準(zhǔn)，主要存在以下一些問題： 1．部分單位規(guī)章制度不夠完善，未能覆蓋信息系統(tǒng)安全所有方面。 2．少數(shù)單位工作人員安全意識不夠強(qiáng)，日常運(yùn)維管理缺乏主動(dòng)性和自覺性，存在規(guī)章制度執(zhí)行不嚴(yán)、操作不規(guī)范情況。 3．存在計(jì)算機(jī)病毒感染情況，特別是 U 盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備帶來安全問題不容忽視。 4．信息安全經(jīng)費(fèi)投入不足，風(fēng)險(xiǎn)評估、等級保護(hù)等有待加強(qiáng)。 5．信息安全管理人員信息安全 知識和技能不足，主要依靠外部安全服務(wù)公司力量。 （二）整改措施 針對上述發(fā)現(xiàn)問題，我市積極進(jìn)行整改，主要措施有： 1．對照要求，要求各單位進(jìn)一步完善規(guī)章制度，將各項(xiàng)制度落實(shí)到位。 2．繼續(xù)加大對機(jī)關(guān)全體工作人員安全教育培訓(xùn)，提高信息安全技能，主動(dòng)、自覺地做好安全工作。 3．加強(qiáng)信息安全檢查，督促各單位把安全制度、安全措施切實(shí)落實(shí)到位，對于導(dǎo)致不良后果安全事件責(zé)任人，要嚴(yán)肅追究責(zé)任。 4．繼續(xù)完善信息安全設(shè)施，密切監(jiān)測、監(jiān)控電子政務(wù)網(wǎng)絡(luò)，從邊界防護(hù)、訪問控制、入 侵檢測、行為審計(jì)、防毒防護(hù)、網(wǎng)站保護(hù)等方面建立起全方位安全防護(hù)體系。 5．加大應(yīng)急管理工作推進(jìn)力度，在全市信息安全員隊(duì)伍基礎(chǔ)上組建一支應(yīng)急支援技術(shù)隊(duì)伍，加強(qiáng)部門間協(xié)作，完善應(yīng)急預(yù)案，做好應(yīng)急演練，將安全事件影響降到最低。 三、幾點(diǎn)體會(huì)及打算 信息系統(tǒng)安全檢查是一項(xiàng)非常有效、非常重要工作方式，能夠督促我們及時(shí)發(fā)現(xiàn)問題，解決問題。但是，信息安全保障是一項(xiàng)長期工作，過去安全不等于現(xiàn)在安全，現(xiàn)在安全不等于將來安全，需要建立長效機(jī)制，加強(qiáng)日常管理。 要做好信息安全工作，思想是保障，制度是根本，堅(jiān)持是關(guān)鍵。強(qiáng)化信息安全意識提高，高度重視信息安全，規(guī)范日常操作，是做好信息安全工作重要保障；不斷完善各項(xiàng)信息安全制度，做到有章可循，有章必循，嚴(yán)格按照制度來執(zhí)行，用制度管好人，用人管好技術(shù)，信息安全工作才能取得預(yù)期效果 。信息系統(tǒng)安全維護(hù)管理工作必須持之以恒，常抓不懈，以高度負(fù)責(zé)態(tài)度把各項(xiàng)安全工作認(rèn)真落到實(shí)處。 信息安全工作必須堅(jiān)持統(tǒng)一規(guī)劃、統(tǒng)籌管理、分步建設(shè)原則。全市信息安全工作整體一盤棋，在科學(xué)、統(tǒng)一信息安全規(guī)劃指導(dǎo)下，按照《蘇州市電子政務(wù)網(wǎng)信 息安全規(guī)范（試行）》 (以下簡稱安全規(guī)范 )要求，進(jìn)行統(tǒng)籌管理，根據(jù)“重點(diǎn)保護(hù)、分等級保護(hù)、同步建設(shè)”原則分步建設(shè)，做到成本和安全間動(dòng)態(tài)平衡，反對把信息安全問題絕對化、靜止化、夸大化。蘇州電子政務(wù)外網(wǎng)分成根區(qū)域、節(jié)點(diǎn)區(qū)域、葉子區(qū)域三種區(qū)域，每個(gè)區(qū)域有著不同安全要求，采取不同安全策略，重點(diǎn)關(guān)注區(qū)域間互聯(lián)，對區(qū)域邊界進(jìn)行安全控制 ,來隔離區(qū)域間安全風(fēng)險(xiǎn)，阻斷區(qū)域間風(fēng)險(xiǎn)傳遞。 必須強(qiáng)化電子政務(wù)項(xiàng)目安全管理職能。按照同步建設(shè)原則，各部門在信息化項(xiàng)目立項(xiàng)時(shí)要確定安全等級，項(xiàng)目驗(yàn)收時(shí)將安全審計(jì)作為重要內(nèi)容之一，安全防 護(hù)措施未達(dá)到相應(yīng)安全等級，不予通過驗(yàn)收。 針對檢查中發(fā)現(xiàn)一些主要問題，我們將加大信息安全投入力度，將信息安全經(jīng)費(fèi)列入單位預(yù)算，對重要單位、重要信息系統(tǒng)強(qiáng)制配備必要信息安全設(shè)備；加大信息安全檢查力度，將信息安全檢查工作納入單位工作考評體系，定期、不定期對各單位信息安全實(shí)行檢查，提高信息安全檢查工作力度和效率；加大信息安全培訓(xùn)力度，對各單位信息安全主管和人員定期進(jìn)行培訓(xùn)，使得負(fù)責(zé)信息安全人員能夠具有一定安全知識，掌握必須安全技能，勝任信息安全工作。 信息安全述職報(bào)告 3 接到《河南省衛(wèi)生計(jì) 生委關(guān)于開展河南省衛(wèi)生系統(tǒng)網(wǎng)絡(luò)與信息督導(dǎo)檢查工作的通知》后，我院領(lǐng)導(dǎo)高度重視，立即召開相關(guān)科室負(fù)責(zé)人會(huì)議，深入學(xué)習(xí)和認(rèn)真貫徹落實(shí)文件精神，充分認(rèn)識到開展網(wǎng)絡(luò)與信息安全自查工作的 `重要性和必要性，對自查工作做了詳細(xì)部署，由主管院長負(fù)責(zé)安排、協(xié)調(diào)相關(guān)檢查部門、監(jiān)督檢查項(xiàng)目，由信息科負(fù)責(zé)具體檢查和自查工作，并就自查中發(fā)現(xiàn)的問題認(rèn)真做好相關(guān)記錄，及時(shí)整改，完善。 長期以來，我院在信息化建設(shè)過程中，一直非常重視網(wǎng)絡(luò)與信息安全工作，并采取目一套有效的安全管理規(guī)范、有效的安全管理措施。自 1 月 9 日起，全院開展網(wǎng)絡(luò)與 信息安全工作自查，根據(jù)互聯(lián)網(wǎng)安全和院內(nèi)局域網(wǎng)安全的相應(yīng)特點(diǎn)，逐項(xiàng)排查，消除安全隱患，現(xiàn)將我院信息安全工作情況匯報(bào)如下。 一、網(wǎng)絡(luò)安全管理： 我院的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)，兩網(wǎng)絡(luò)實(shí)現(xiàn)物理隔離，以確保兩網(wǎng)能夠互不影響，獨(dú)立、安全、高效運(yùn)行。 1．硬件安全，包括防雷、防火、防盜和 UPS 電源連接等。醫(yī)院服務(wù)器機(jī)房嚴(yán)格按照機(jī)房標(biāo)準(zhǔn)建設(shè)，工作人員堅(jiān)持每天巡查，排除安全隱患。 HIS、 LIS、 EMR、 PACS 等服務(wù)器、交換機(jī)、存儲(chǔ)等都有 UPS 電源保護(hù)，可以保證短時(shí)間斷電情況下，設(shè)備運(yùn)行正常，不至 于因