公司信息安全总结
1信息安全专项治理活动总结
一、信息安全专项治理活动组织情况
按照公司《关于开展信息安全专项治理活动的通知》要求,确保网络与信息系统安全维稳运行,我公司近日对系统内服务器设备及网络出口等设施进行了一次认真详细的排查治理工作,现就此次信息安全专项治理活动工作总结如下:
1、组织分工;按照工作要求我公司成立了以XXX为组长,全体成员为工作实施人的信息安全专项治理活动小组,负责对本次活动进行组织、排查、隐患治理,总结上报等工作。
2、排查设备种类及数量;此次工作主要针对公司信息机房、UPS电源室及基层分公司网络通道,排查共涉及投入使用中的服务器7台,核心层交换机3台,汇聚层交换机3台,接入层交换机35台,路由器7台,网络防火墙2台,UPS电源2组,及其他周边电源和网络设施等。
二、符合公司要求情况
1、桌面终端安全治理;一是重点对公司终端防病毒软件的安装率进行了检查,通过本次检查未发现防病毒软件安装率不符的情况。真正实现了防病毒软件安装率百分之百的任务目标;二是对桌面终端管理工作进行了抽查。并同时下发通知及操作说明,要求各终端机用户对病毒木马库进行数据升级和补丁安装工作。要求用户在使用软件时尽量使用公司软件网站上提供的软件进行下载安装,杜绝盗版软件的使用;三是重点治理了系统设备违规存储、处理、发送敏感的工作内容和行为,确保信息的保密管理工作。
2、互联网出口安全治理;一是我公司未出现非公司系统内单位公用公司互联网出口的情况;二是我公司互联网只有机关办公楼接入公司的统一外网出口,下属各单位不存在互联网出口问题,并且互联网出口均有安全监测及防火墙设备,并建立的规范的安全流程及联动机制,确保了网络安全稳定运行。
三、发现问题隐患情况
本次信息安全专项治理活动,对我公司信息系统安全及网络安全工作,起到了很好的检查和督导作用,同时也为我们更好的发现工作中存在的问题和隐患起到了帮助。通过此次排查我公司主要在治理桌面终端管理方面还存在一些问题,今后还需要加强这方面的管理工作。
四、整改情况
此次专项治理工作共完成隐患整改三处,对发现的问题均进行的整改。
五、下一步工作与建议
通过这段时间的专项治理工作,对我公司下一步的系统安全及网路建设工作的计划提出了进一步的要求。结合本次工作,我公司在今后的工作中将重点对公司下属二级单位的桌面终端管理工作进行维护,同时也希望公司能提升现有安全防护系统的性能,方便远程控制系统的升级及补丁安装工作,从而使系统更加安全稳定运行。
2本年度信息安全管理工作总结
20XX年在公司领导的大力支持及广大员工的共同努力下,始终把安全工作放在首位,认真贯彻执行“安全第一,预防为主,综合治理”的安全工作方针,狠抓落实安全生产管理工作,为分部各项工作的开展和经济指标的完成打下了坚实基础,回顾这一年来安全管理主要做了以下几个方面的工作:
一、层层签订安全责任状,认真落实安全责任制
为了切实加强对安全生产工作的组织领导,强化安全生产管理,年初,经理与各工段负责人签订了《安全生产责任状》,把安全目标层层细化、量化,落实到每一个人。20XX年安全生产责任状签订9个工段,签订率100%。形成了分部领导总负责,各工段长重点负责的安全生产责任模式。
二、建立健全安全管理体系,认真落实安全管理制度。
没有规矩不成方圆,完善的制度是保证安全的基础,因此今年我花费了大量的精力重新修订了14项安全生产管理制度、编制了分部的综合应急救援预案、重新对分部的安全生产责任制进行修订等,为分部的安全管理工作打下了良好的基础。并且按照国家要求的标准建立健全了各类消防设备档案、资料,做好各种消防设备、环保设施的运转和保养记录,做到安全工作心中有数,确保分部的安全生产运营。
三、强化安全培训教育活动,不断提高全员安全意识
为全面贯彻落实“安全第一,预防为主,综合治理”的安全工作方针,今年我们重点强化了对职工的安全教育的培训力度。
1、分部从员工一入厂开始,组织开展新员工入厂“三级”安全教育,从厂级的教育“宣传国家的法律法规、公司的安全管理规章制度”,到车间级的“车间工艺生产情况、危险源辨识”,最后到班组的“工位操作技能和安全操作规程的培训”,一步步确保的我们的新员工受到一个系统的、有层次的、全面的职业健康安全环境教育。确保新员工入厂“三级”安全教育率达100%并保证了培训的效率。
2、在六月份“安全生产月”活动中,根据上级文件精神的要求,积极参与安全生产竞赛活动。组织全体员工通过板报、录像的形式积极学习安全、消防知识。“安全生产月”活动的开展,提高了广大员工安全生产的积极性。
3、消防演练、消防知识培训:在去年组织分部职工参与的应急疏散及消防灭火演习的基础上,今年分部又组织了一次消防知识培训,结合最新的消防知识和技术,为广大员工讲述生动形象的一堂教学课,不仅**员工一些日常中使用的灭火常识,还重点讲解了如何正确的使用各类灭火器,并收到了很好的效果。
4、在组织“安全生产月”活动时分部厂房内悬挂了安全警示标志,醒目位置张贴了安全宣传标语,以提高人们的防范能力,减少或避免事故的发生。
5、今年共组织了多项安全专项培训工作:其中生产经营单位负责人安全资质证书复审培训3人,特种作业资格证的培(复)训,其中叉车2人,电工1人,电焊6人,起重3人。
通过一系列的培训、教育和实际操作训练,大大提高了全员的法律知识、**处理问题的能力和技能,增强了全体职工搞好安全生产的自觉性,提高队伍的整体素质,从根本上解决安全生产意识、水平和责任心的问题,有效地加强管理的执行力。
四、加强“源头”管理工作,坚决制止“三违”现象
1、安全检查是消除事故隐患的主要手段,20XX年共组织各类抽查20余次,日常检查每天1次,对查出的隐患基本按时进行了整改。
2、继续严格执行《动火作业审批》、《临时电审批》等安全制度,杜绝了违章指挥、违章作业。
3、加大外包服务单位管理,强化施工安全措施,确保施工安全。一是进行安全资格审查,不具备安全资格的外来施工队伍不得进入厂区施工。二是要求外来施工队进厂施工前,必须先签订《外包服务建筑施工安全管理协议》,经过相应安全资质验证,外来供应商人员接受安全告知后,方可允许施工。
4、居安思危,开展“警示性”安全教育,做到安全工作警钟长鸣。20XX年螺杆泵分部共发生各类事故0起,同时将公司内发生的事故在分部进行通报,为广大职工敲响安全警钟,让职工在真实的事例中加深认识,使职工从教训中得到教育,不断提高职工的安全防范能力和事故应变能力。
五、强化施工现场管理,确保消除事故隐患。
为了正确处理改造施工和生产同时进行的矛盾,确保改造施工和生产作业的安全,着重做以下方面的工作:
1、加强学习《动火作业审批》、《临时电审批》等直接作业环节安全监督管理规定,严格执行公司《安全管理制度》。
2、与施工单位签订安全协议、加强施工队伍施工前和施工后过程中的安全教育后方予以上岗,杜绝施工过程中出现安全真空现象的发生。
3、通过修订《外包服务建筑施工安全管理协议》强化对承包商的管理,落实承包商安全生产责任制,加强直接作业环节的安全监控,提升现场施工管理水平。
4、不管大小的项目,由双方事先制定施工方案和安全防护方案,双方同意后在安全措施落实后再开始施工;
5、及时总结施工过程中存在的问题和经验,在保质保量的前提下,抓紧工程进度。
六、健全安全环境管理体系,积极推行安全质量标准化。
为确保管理体系的有效运行,20XX年下半年公司组织人员对QHSE管理体系进行内部审核,并请专家进行了外部审核,建立修订了各类安全质量标准化文件,对提升我分部的整体安全水平具有重要的促进作用。
同时各部门通过内部培训、宣传等方式对质量、环境及安全方针进行了宣传贯彻,确保了全体员工对质量、环境及安全方针的理解和标准化贯彻落实。
七、认真贯彻执行《职业病防治法》,改善员工工作环境。
为提高员工对职业病和危险化学品的认识,公司组织职工认真学习《职业病防治法》和《危险化学品安全管理条例》。20XX年8月对20余名接触职业健康危害因素的岗位一线员工进行了职业健康体检查体。同时为各个岗位的员工配备了适合的劳动防护用品,确保了员工的身心健康。
八、开展多种形式的安全检查,及时发现各种事故隐患。
为加大安全检查力度,促进各项安全工作真正落实到实处,发挥安全职能“监管”的作用,在日常工作中我特别注重各项检查制度的落实情况:查设备,看有无漏油跑气、部件失灵、损坏现象;查电气运行,看各种防雷、防静电装置是否良好;查消防器材、设备,看齐全、有效情况;查训练,看操作是否熟练、迅速。从而保证了我们的安全基础工作扎实有效。
九、安全绩效
在20XX年公司安全工作计划中,我们制定了了本年度的安全考核指标。
1、全年死亡、重伤事故为0;
2、重大厂内交通事故为0;
3、中毒、中暑事故为0;
4、轻伤事故频率≤6‰;
5、火灾事故损失0;
6、尘毒点合格率100%。
以上指标均顺利地完成。
十、存在的问题
1、个别员工对安全工作存在松懈麻痹思想,存在事故与我无缘的麻痹心态,工作中违犯劳动纪律,存在侥幸心理。在今后的工作中需加大安全教育力度,使其从思想上重视起安全工作。
2、20XX年分部内安装、改造、施工等项目较多,外来施工单位人员水准参差不齐,工具装备良莠不齐。为此在今后的安全管理中,我们要加大对外来施工队伍的监管力度,真正做到“谁负责生产,谁负责安全”,预防各类安全事故的发生。
十一、20XX年安全工作规划
为确保20XX年无事故灾害,充分认识安全生产工作的重要性和紧迫性,我分部将继续巩固成果,在新的一年工作中重点做以下工作:
1、全面落实安全生产责任制,层层签订安全生产责任状,认真落实安全管理制度。
2、突出重点,继续深化安全生事故隐患的专项整治,进一步推行安全质量标准化现场管理工作,定期组织安全大检查,加强现场检查力度,将事故隐患消灭在萌芽之中。
3、加强事故应急救援管理工作。针对可能发生的危险化学品、火灾、爆炸、特种设备等各类突发险情,按照应急救援预案职责和要求,编制岗位应急响应预案。为了不断提高员工的事故处理能力和应急技能,组织一次火灾爆炸事故应急救援预案演练活动。
4、坚持“预防为主,防治结合”的方针,依法做好职工职业健康监护,定期组织对职业病危害作业场所检测和职业健康体检,健全员工职业卫生档案和健康监护档案,杜绝发生职业病。
5、加强对外来施工人员的安全管理,保证外来施工人员和公司员工的人身、财产安全。
6、推进安全生产标准化进程,通过实施安全生产标准化体系,从而可以看出,我们向着正确的道路上一步步迈进。确保环境、质量和安全管理方针的贯彻和目标的完成,实现安全生产标准化的有效运行,为安全生产提供保障。
综上所述,在过去的一年里我们在安全方面做了大量的工作,保证了分部各项工作的顺利开展,取得一定的成效,未来还要靠我们继续努力。安全工作任重而道远,只有起点没有终点,在以后的工作中我们要进一步强化员工安全意识,加强对员工的安全教育培训,提高全员的安全意识和安全防范能力,努力开创安全生产工作新局面,为创建和谐安全的企业管理和文化而努力奋斗!
3信息安全保密工作总结
为了保护我公司内部的计算机信息系统安全,我们始终把计算机信息系统的保密管理工作作为保密工作的重中之重,建立和完善了计算机信息系统保密技术监督和管理机制,加强涉密计算机网络和媒体的保密管理,重视上网信息的保密检查工作,认真做好公司内部计算机网络管理和工程技术人员的安全保密技术培训工作,及时发现泄密隐患,落实防范措施。同时,还购买先进的网络安全设备,解决我公司之初保密技术滞后问题,增强我公司信息系统安全的总防范能力,较好的实现了“人防”与“技防”并举。
一、制度健全,措施落实
为使保密工作做到有章可循,我公司计算机信息安全根据《中华人民共和国计算机信息系统安全保护条例》等法规,结合工作实际,建立和健全了《保密管理制度》、《网络管理制度》等多的项防范制度,单位保密工作领导小组负责对各项规章制度的执行情况进行检查,发现问题及时解决,将计算机信息系统保密工作切实做到防微杜渐,把不安全苗头消除在萌芽状态,确保网络安全畅通。至今没有发生泄密事件。
二、加强学习,增强保密观念
我公司在实施网站建设的过程中,都把强化信息安全教育放到首位。使全体网络管理人员都意识到计算机安全保护是教育中心工作的有机组成部分。为进一步提高人员计算机安全意识,由我中心牵头,全面开展计算机网络管理和工程技术人员的安全保密技术培训。同时,为使我局内部广大工作人员进一步熟练掌握计算机信息安全知识,我中心还多次开展各类型的专题培训,要求各办公人员定期修改计算机系统密码和办公管理系统密码,进一步增强责任意识。
三、加强保密技术,高度重视计算机网络的安全保密工作
我公司把加快发展保密技术摆在目前保密工作的重要位置上,认真解决信息化大趋势中保密技术滞后问题,增强防范能力。凡涉及国家秘密的通信、办公自动化和计算机信息系统的建设,与保密设施的建设同步进行,确保涉密信息系统物理隔离的保密要求,从整体上提高保密技术防范能力。同时,加强对上网信息的跟踪监测,及时发现问题,堵塞漏洞。
信息泄露是局域网的主要保密隐患之一,所谓信息泄露,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是秘密信息和敏感信息,从而造成泄密事件。由于局域网在保密防护方面有三点脆弱性:一是数据的可访问性。二是信息的聚生性。三是设防的困难性。尽管可以层层设防,但对一个熟悉网络技术的人来说,下些功夫就可以突破这些关卡,这给保密工作带来一定难度。我中心根据近几年的实践和保密技术发展的要求,对我公司计算机局域网的保密防范采取以下几个方面的手段:
(1)充分利用网络操作系统提供的保密措施,定期进行系统升级;严格控制访问权限,准确地划分网络信息的涉密等级、范围和涉密人员;
(2)加强数据库的信息保密防护。采用现代密码技术,加大保密强度。借助现代密码技术对数据进行加密,将重要秘密信息由明文变为密文。
(3)采用防火墙技术,防止局域网与外部网连通后秘密信息的外泄。局域网最安全的保密方法莫过于不与外部联网,但除了一些重点单位和要害部门,大多数局域网都与广域网的连接。防火墙是建立在局域网与外部网络之间的电子系统,用于实现访问控制,即阻止外部入侵者进入局域网内部,而允许局域网内部用户访问外部网络。
(4)在各科室安装国家主管部门批准的查毒杀毒软件适时查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、光盘、U盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。
四、加强对重要设备的监管,确保信息不外流
对于涉及重要信息的计算机和计算机外部设备(包括软盘、U盘、光盘、移动硬盘等)进行磁盘信息加密处理,定期信息备份,备份盘和正式盘不与普通外部存储器混合使用,不使用时由专人管理,存放在有密码锁的柜内,不得外借;对于新启用的重要信息外部存储器在使用前均进行安全性检查和杀毒处理;储有重要信息的设备报废时,均需进行粉碎性处理。如电脑设备需要外送修理时,有指定人员跟随联系,电脑报废处理时,及时将硬盘等存储载体拆除或销毁。
4信息安全保障工作总结
根据XXX局下发的《关于做好辖区证券期货业信息安全保障工作的通知》精神,在十八大期间XXX证券XXX证券营业部成立了信息安全保障工作领导小组,在组长XXX总经理的领导下,制定计划,明确责任,具体落实,确保了营业部证券信息系统能更好地保持良好运行,为十八大期间提供一个强有力的信息支持平台。
一、信息安全状况总体评价
信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力切实得到提高,保证了十八大期间信息系统持续安全稳定运行。
二、信息安全工作部署情况及采取的有效措施
1、加强领导,成立了信息安全保障工作领导小组
为进一步加强信息安全保障工作,XXX证券XXX证券营业部成立了信息安全保障工作领导小组,做到分工明确责任具体到人。安全工作领导小组组长为总经理XX,副组长副总经理XX,成员有合规专员XXX、信息技术专员XXX、客服主管XXXX、信息技术备岗人员XXX。分工与各自的职责如下:XXX为信息安全保障工作第一责任人,全面负责计算机网络与信息安全管理工作、XXXX负责信息安全保障工作的日常事务工作、XXXX负责信息安全保障网络维护和日常技术管理工作、XXX负责日常信息安全保障应急措施工作、XXX和XXXX负责信息安全管理的日常协调工作。
2、日常信息安全管理情况
建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。制定了《计算机和网络安全管理规定》,服务器和网络有专人负责信息系统安全管理。制定了《外部人员访问审批表》。存储介质管理,完善了《存储介质管理制度》,建立了存储介质领用文档。运行维护管理,建立了《信息系统运行日志记录表》,完善了《信息系统日常运行维护制度》。
3、信息安全防护管理
营业部计算机网络已经部署防火墙和XXXX上网行为管理系统,可以有效拒绝外来恶意攻击,保障网络正常运行,防范客户端上非法、不安全的网站,防范外来的电脑恶意接入营业部网络。安装正牌XXXX的防病毒软件,对计算机病毒、有害电子邮件采取有效防范,根据系统服务需求,按需开放端口,遵循最小服务配置原则。一旦发生网络信息安全事故应立即报告相关方面并及时进行协调处理。机房已经启用机房环境监控系统,可以24小时有效的防范机房环境安全等突发事件。
4、信息安全应急管理
进一步修订了营业部信息系统应急预案,并随着信息化程度的深入,结合实际,不断进行完善。按照每周、每月、每季的应急演练要求,完成应急演练计划,演练文档上报公司总部存档。重要设备如服务器、主交换机、路由器等采用双备份的措施。行情接收和通讯线路采用双备份和多备份的多种手段。电力方面测试了发电机的正常启动并增加了燃油储备,以防备在维稳期间电力突然中断,可以自行发电,保障信息系统正常运行。
三、期间发现的主要问题及整改情况
根据《通知》中的具体要求,在工作过程中我们也发现了一些不足,同时结合我部实际,今后要在以下几个方面进行整改。
存在不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系虽然已经建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是个别人员计算机安全意识不强、遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
一是要继续加强对员工的计算机信息安全意识教育,加强对员工的机算机安全知识培训工作,提高做好信息安全工作的主动性和自觉性。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查。
三是要以制度为根本,在进一步完善信息安全制度的同时,提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范工作。
四、对信息安全工作的意见和建议
希望上级部门能够经常组织有关信息系统安全的培训,进一步提升信息系统管理工作人员的专业水平,进一步强化信息系统的安全防范工作。
XXX证券XXX营业部
XXXX
20XX-11-14
5信息安全工作总结
一、20xx年信息安全工作情况
(一)重点工作开展情况
公司坚持安全第一、预防为主、综合治理的信息安全方针,全面加强人防、制防、技防、物防的四防工作,细化安全管理、深化技术督查、建立健全信息安全管理体系,加大信息安全基础设施建设投入,强化信息系统运维管理工作,坚持信息安全八不准,实现了三个不发生的安全目标,保障了全年信息安全。
1.细化信息安全管理
为加强信息安全保密管理工作,编制了《重庆市电力公司员工信息安全与保密手册》、《重庆市电力公司计算机管理办法》等规章制度,并将保密手册印刷成册,做到每个员工人手一册。增强了员工的信息安全保密意识,规范了员工的信息安全行为,使公司计算机设备管理更加规范化。
2.积极开展信息安全技术督查
1)建立信息安全督查工作常态化机制
在深入开展信息安全保障工作基础上,成立了重庆市第一支企业化的信息安全督查队,将信息安全督查工作常态化、固定化、流程化。制定了《重庆市电力公司信息安全督查管理办法》,按照该管理办法,公司先后开展了春节及两会专项督查、供电公司信息安全督查、迎世博信息安全督查等多项工作。5月21日至22日,通过了国网公司督查组对重庆公司的信息安全专项督查并获得良好评价。
2)开展信息安全反违章专项行动
为努力实现三个不发生基本安全目标,根治违章顽疾,消除事故隐患,全面提高信息系统可控、能控、在控水平,公司编印了《重庆市电力公司开展信息安全反违章专项活动方案》下发到公司各单位。通过开展信息安全反违章专项活动,组织全员学习《信息安全反事故基线措施》,进行信息安全宣传教育;重点督查了信息安全八不准、隐患消缺机制落实等情况,并及时对公司邮件系统和应用系统发现的弱口令进行了整改。
3.加强应急演练和专项安全保障
1)组织应急演练
公司首次成功举办了由信通公司、江北供电局、杨家坪供电局和超高压局参与的信息广域网联合应急演练。改变了广域网故障排除以前大家各自为阵的局面,取而代之的是先进的远程统一指挥协作。通过本次演练,为今后信息系统突发性故障远程统一指挥、协同处置提供了新的模式。
2)保障迎峰度夏和世博会期间的信息安全
为确保迎峰度夏和世博会期间的网络与信息安全,公司开展了以下三方面的工作,一是完善信息系统应急处理机制。二是开展了安全区域、分区防护、终端安全接入等方面的划分工作,强化业务应用系统与核心设备的综合防护,加大互联网出口和对外服务系统的安全巡检与防恶意攻击。三是强化运维值班制度,尤其是在重要、特殊时期的值班管理。
4.信息安全人才梯队建设
1)举办公司首届信息化技能竞赛
在全公司组织开展了首届信息化技能竞赛。公司直属单位、控股供电公司共计40家单位参加竞赛。本次竞赛的开展对建设信息化高技能人才队伍、优秀信息运维队伍、进一步提高全公司信息化建设水平具有重要意义。
2)开展新进大学生信息安全培训
坚持从源头抓信息安全教育,不断创新信息安全教育培训工作。每年对新进大学生开展信息安全知识培训,使每位大学生在正式走上工作岗位前就深刻领会信息安全的重要性,敲响安全警钟,牢固树立信息安全意识,在今后的工作中严格遵守信息安全和保密相关规章制度。
(二)工作的突破和创新:信息安全标准化体系建设
参照ISO27001标准建立了公司信息安全标准化管理体系。已梳理原有11方面共计64个信息安全规章制度,新编了24个制度、修订了20个制度,保证了公司信息安全管理体系的先进性和完整性。
二、形势分析和重要问题研究
(一)面临的新形势
随着国网公司SG186工程的不断深入,越来越多的系统投入运行,信息系统安全运行工作的重要性更加凸显。SG186工程对于国网公司,乃至对于整个电力行业都是一个跨时代的事件,通过建立纵向贯通、横向集成的一体化企业级信息集成平台,公司系统实现了上下信息畅通传输和数据共享,由于SG186工程主要是大集中模式,使得信息安全事件已成为一个全局性的、能影响整个公司的较大威胁。因此必须建立有效的发现、报告、处理、解决信息安全工作机制。
公司作为公共服务行业之一,如果信息安全得不到有效保障,在遭受恶意攻击等破坏行为的情况下,可能造成局部或整个系统瘫痪,影响公司正常生产业务和对外服务。在加快推进公司信息化建设的同时,必须全面提高信息安全的整体防范能力,加强系统运行维护工作。
(二)需要着力解决的重要问题及措施
公司要建立健全信息安全保障、监督体系,积极防御和综合防范信息技术风险,增强信息系统安全预警、应急处理和灾难恢复能力,保证网络和信息系统功能正常发挥,不断提高信息系统安全稳定运行水平。
1.强化信息安全意识
目前还有个别员工使用信息内网终端直接连接互联网,给公司带来巨大信息安全隐患,甚至可能造成信息泄露事件。这些行为充分表明个别员工的信息安全意识仍然淡薄,需进一步强化员工信息安全意识。
2.健全信息系统运维体系
健全信息系统运维体系,人员保障是根本。按照国网公司工作部署,公司20XX年建立了两级三线信息运维体系。但目前由于信息系统建设、运行、管理工作呈现点多面广的局面,加之个别单位未建立专业的信息化机构,运维人员极其缺乏,很难继续深入细致地开展信息化工作。
三、20XX年信息安全工作思路和重点工作安排
(一)工作思路
20xx年信息安全坚持安全第一、预防为主、综合治理的工作方针,以确保信息系统运行安全和信息内容安全为目标,全面加强人防、制防、技防、物防的四防工作,落实安全责任。以制度完善为基础,以体系健全为关键,以措施强化为手段,以队伍建设为保障,进一步完善公司信息系统运维体系,严肃安全运行纪律,深化安全管理,加强技术手段应用。全面深化应用信息运行综合监管系统(IMS系统),着力加强信息系统运行监控,变被动处理为主动防御,持续提升信息系统运维安全保障水平,为公司两个转变和智能电网五大体系建设提供支撑。
(二)重点工作
1.强化信息安全责任制,坚决做到信息安全八不准,确保三个不发生
信息安全关系到公司电网安全,关系到国家安全。一是各单位要坚持将信息安全纳入公司安全生产管理体系中,将信息安全纳入信息化工作中,将信息系统等级保护纳入信息安全日常管理工作中。二是要按照谁主管谁负责、谁运行谁负责、谁使用谁负责、谁督查谁负责的原则,抓好信息安全责任落实。抓安全生产必须抓信息安全,抓保密工作必须抓信息安全。三是完善以各单位要成立一把手任组长的信息化领导小组和分管领导任组长的信息安全领导小组,落实信息安全组织机构、编制、人员等方面工作,贯彻执行国家和公司发布的各项信息安全规章制度,把安全责任和安全措施落实到每个环节、每个岗位和每位员工。四是健全信息化2.建立健全信息安全制度体系
建立健全信息安全过程管理的制度、流程、标准体系,实行信息系统安全规划、计划、实施、运行、督查的全过程管控。对信息安全制度、标准进行滚动式修订,持续夯实公司信息安全标准化管理基础。
3.持续强化信息安全基础管理
一是强化信息安全教育培训,引入信息安全仿真培训平台,将原有单次现场培训调整为通过网络多次、周期化培训,按季度、半年滚动进行,不断强化和提高员工信息安全意识和行为规范;二是深化现有信息安全防御体系建设,加强信息外网安全防护,对信息外网终端进行标准化管理,提高信息外网对DDos攻击防护能力。推广实施信息安全接入平台及安全终端、非法外联监测系统、身份认证(RA)系统、文档保护系统、统一漏洞补丁管理系统;三是推广实施信息安全综合治理体系,主要包括合规控制、风险控制、管理控制等方面;四是推进智能电网信息系统安全接入,按照国家电网公司统一坚强智能电网信息安全总体方案要求,研究重庆公司用电采集系统、输电线路监测系统、仓库管理系统和车辆管理系统的安全接入工作。
4.切实提高信息系统运行水平
一是按照电网安全生产和运行管理的要求强化信息系统运行管理,建立一套先进的信息调度运行体系。进一步将所有信息系统纳入公司统一信息运行队伍,严肃安全运行纪律,严格运维监控、运行维护、计划检修、故障通报处理等环节。二是开展运维操作标准化建设。制定信息系统运行《标准作业指导书》,实施标准化作业流程(SOP),对操作前、中、后三个环节执行严格管理。严格执行工作票制度,严格故障处理、升级和配置变更、投运与停运等操作流程的审批;通过安全审计系统对所有操作进行全程记录,实现对运行操作从审批、执行到检查、审核各主要环节的全过程管控。运行操作人员实行持证上岗操作制度,重要操作必须两人在场,有人监护执行。加强运行现场工作的科学管理,规范运行操作标准,提高系统运维质量。三是加强三同步工作。确保信息安全措施与SG-ERP各业务建设的同步规划、同步实施、同步投运,使信息系统全生命周期安全管理贯穿信息系统规划、设计、实施、运维、废弃五个阶段,明确界定各涉及部门责任要求。建立信息系统安全评审制度,搭建应用系统项目管理平台,从安全管理、安全技术方面对信息系统进行安全管控。
5.深化信息安全督查工作
一是通过完善信息安全技术督查队伍的装备、工具,建设信息安全实验室等手段逐步完善信息安全督查队伍的硬件设施,提高技术检查的准确性和精确度。二是贯彻全员参加、全员合格、全员保安全的宗旨,结合电监会和国网公司培训、技术交流等形式,开展信息安全督查人员持证上岗培训,提高信息安全督查队员的业务技能,推动信息安全督查工作规范化、标准化,打造一流的信息安全技术督查队伍。三是建立督查挂牌消缺制度加强督查发现问题的整改工作机制。深化日常、专项督查工作开展信息安全高级督查。加强督查通报建立公司督查标杆推广督查典型经验。整合并扩充督查工具功能,搭建安全督查工作平台,通过安全督查专家分析,提高督查工作效率,规范督查工作。
6.大力培养信息系统运维人才
推广运维队伍持证上岗工作,拓展运维人员视野,适应信息技术日新月异发展的潜在要求,提升运维人员监测、响应和主动发现威胁的能力,新产品新技术掌控能力,新风险及时发现处置能力,建立一支高素质的信息运行维护人才队伍,确保公司信息系统安全稳定可靠运行。