【文章內(nèi)容簡介】 機進行掃描，對外接的USB設備，必須進行病毒掃描。三、存在的主要問題通過本次自查發(fā)現(xiàn)，我局信息系統(tǒng)存在不少安全隱患問題，主要有以下幾方面：（一）安全保護意識有待增強，各種安全保護措施有待加強，部分管理人員的安全保護意識薄弱。（二）數(shù)據(jù)的存儲及備份機制還不夠完善，存在信息丟失的隱患，存在移動存儲介質(zhì)內(nèi)外網(wǎng)混用，個別筆記本電腦存在內(nèi)外網(wǎng)混用。（三）因區(qū)局搬遷新辦公樓后，對區(qū)局的內(nèi)網(wǎng)進行了重新規(guī)劃，路由策略進行了了修改，核心網(wǎng)絡設備失效的路由策略未即時清理。（四）重技術建設、輕安全保護。進行計算機信息系統(tǒng)建設規(guī)劃時，主要考慮了業(yè)務需求和系統(tǒng)技術性能要求，沒有很好地將系統(tǒng)的安全保護措施一并考慮，造成安全保護工作相對滯后。四、加強安全保護工作的意見和建議根據(jù)信息安全自查的情況，結合區(qū)局實際情況，現(xiàn)就加強區(qū)局信息系統(tǒng)安全工作，提出以下意見和建議：（一）加強領導，提高對信息系統(tǒng)安全重要性和緊迫性的認識。組織相關人員認真學習與信息系統(tǒng)安全有關的管理規(guī)定，不斷增強信息系統(tǒng)安全保護意識，做到認識到位、措施到位、管理到位。（二）認真落實技術防范措施，著重落實以下等安全保護技術措施：系統(tǒng)重要數(shù)據(jù)的冗余或備份措施；計算機病毒防治措施；網(wǎng)絡攻擊防范、追蹤措施；研究有關內(nèi)網(wǎng)補丁升級的措施。（三）嚴格防范內(nèi)外網(wǎng)移動存儲混用，加強對移動存儲的分類管理，嚴禁在外網(wǎng)機器處理或保存涉稅文件，嚴格執(zhí)行內(nèi)、外網(wǎng)物理隔離制度。（四）停用內(nèi)外到外網(wǎng)出口，瑞星防病毒托管服務器升級下掛到市局。（五）加強網(wǎng)絡和安全設備管理，調(diào)整網(wǎng)絡和安全設備配置，嚴格網(wǎng)絡訪問控制策略，保護網(wǎng)絡安全。（六）加強中心機房的管理工作，提高機房運行環(huán)境，保障設備安全。第四篇：信息安全等級保護信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。一、物理安全應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄應配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄主要設備或設備的主要部件上應設置明顯的不易除去的標記介質(zhì)有分類標識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放應具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；應具有機房監(jiān)控報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；應在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品1應具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄1應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄1應具有溫濕度自動調(diào)節(jié)設施；溫濕度自動調(diào)節(jié)設施的運行記錄、定期檢查和維護記錄1應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄1應具有冗余或并行的電力電纜線路（如雙路供電方式）1應具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄二、安全管理制度應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程應具有安全管理制度的制定程序：應具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應具有管理制度評審記錄應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等）安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構和組織結構等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）三、安全管理機構應設立信息安全管理工作的職能部門應設立安全主管、安全管理各個方面的負責人應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）安全管理員應是專職人員關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）應組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）1應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）1應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。1聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）1應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）1應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）四、人員安全管理何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術人員的技術技能進行考核，技能考核文檔或記