關(guān)于2010年市級政府信息系統(tǒng)
安全檢查抽查階段工作的情況通報
市各委辦局�����,各轄市、區(qū)信息安全主管部門:
為加強政府信息系統(tǒng)安全檢查工作���,提高政府信息系統(tǒng)安全保障能力���,進(jìn)一步提高政府信息系統(tǒng)安全管理水平,依據(jù)《江蘇省政府信息系統(tǒng)安全檢查實施辦法》(蘇政辦發(fā)〔2009〕51號)�����,市網(wǎng)絡(luò)與信息安全辦(市經(jīng)濟(jì)和信息化委員會)會同有關(guān)部門��,于今年8月啟動了2010年市級政府信息系統(tǒng)安全檢查�����。檢查工作分為兩階段,第一階段為各單位自查(8月)����;第二階段為集中抽查(9月上旬—中旬)。現(xiàn)將抽查階段情況通報如下:
一����、基本情況
9月7日至17日,市信息安全辦�����、市公安局���、保密局���、密碼管理局等部門共同成立了檢查組,對常州市信息中心�����、市文廣新局�����、市體育局、市衛(wèi)生局��、市創(chuàng)意產(chǎn)業(yè)基地���、市地稅局、市煙草局���、市規(guī)劃局�、市食品藥品監(jiān)管局����、市科教城等10家單位進(jìn)行了信息系統(tǒng)安全抽查。在抽查過程中����,檢查組認(rèn)真聽取了各單位第一階段安全自查的實施情況匯報,重點圍繞信息安全組織機(jī)構(gòu)����、日常信息安全管理、等級保護(hù)與風(fēng)險評估��、技術(shù)防護(hù)手段建設(shè)、應(yīng)急管理工作開展�����、信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用���、信息安全服務(wù)��、信息安全教育培訓(xùn)�、信息安全經(jīng)費保障��、安全隱患排查及整改等十個方面情況�����。實地查看了信息系統(tǒng)物理環(huán)境���,組織技術(shù)人員對各單位信息系統(tǒng)進(jìn)行了現(xiàn)場檢測評估����,并委托常州瑞新網(wǎng)絡(luò)科技有限公司對2市5區(qū)的政府門戶網(wǎng)站進(jìn)行了外部WEB安全測試�。
二、總體評價
從抽查情況看����,各單位能按照國家和省信息安全工作要求���,重視并積極開展相關(guān)工作,落實安全管理制度和技術(shù)措施��,努力提高信息安全防護(hù)能力�。具體表現(xiàn)在:
(一)信息安全工作重視程度明顯加強
各單位按照市政府要求,明確了信息安全工作主管領(lǐng)導(dǎo)���、管理部門和信息安全員,建立制度規(guī)范��,組織開展信息安全教育�����、培訓(xùn)�����。全市各單位和絕大部分重要信息系統(tǒng)����、重點網(wǎng)站主要負(fù)責(zé)人對這次檢查工作高度重視�,認(rèn)真研究自查要求�����,精心組織���,周密部署�����,分解任務(wù)�����,責(zé)任到人����,按要求組織開展了信息安全自查工作��,形成了自查報告�����,對發(fā)現(xiàn)的問題����,及時進(jìn)行了整改�。本次抽查中���,市信息中心�、文廣新局等單位領(lǐng)導(dǎo)親自參加了檢查工作���,聽取檢查組意見并推動落實整改措施�。
(二)信息系統(tǒng)安全自查工作認(rèn)真開展
大多數(shù)單位能按照《2010年度常州市政府信息系統(tǒng)安全檢查實施方案》�,認(rèn)真組織開展本部門信息系統(tǒng)安全自查。部分單位還委托專業(yè)機(jī)構(gòu)開展了信息安全風(fēng)險評估����、安全測評���,對發(fā)現(xiàn)的安全漏洞和其他隱患進(jìn)行了集中清理和整改�����,有效提升了信息系統(tǒng)安全防護(hù)能力���。
(三)信息系統(tǒng)安全管理水平不斷提高
各單位基本上制定了《重要崗位信息安全和保密責(zé)任制度》�����、《重要崗位人員安全保密協(xié)議》�����、《人員離職離崗信息安全管理規(guī)定》等關(guān)鍵的管理制度�。管理制度基本覆蓋信息安全日常管理的各個方面�。大多數(shù)單位能按照信息安全工作要求,建立并落實信息安全和保密工作責(zé)任制��,部分單位制定了專項應(yīng)急預(yù)案��,規(guī)范了信息安全事件應(yīng)急響應(yīng)與處置流程��,定期組織相關(guān)人員進(jìn)行應(yīng)急演練�����,有效提高了應(yīng)急處置能力����。
(四)信息安全防范措施整體增強
大多數(shù)單位門戶網(wǎng)站和重要業(yè)務(wù)系統(tǒng)都安裝了防火墻、入侵檢測等網(wǎng)絡(luò)安全設(shè)備,能夠定期對重要業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)備份�;防火墻、入侵檢測系統(tǒng)���、審計����、網(wǎng)頁防篡改等網(wǎng)絡(luò)安全硬件�����、軟件產(chǎn)品應(yīng)用廣泛�����,83.3%的單位部署邊界防護(hù)產(chǎn)品防火墻�。72.2%的單位部署了網(wǎng)頁防篡改軟件。部分單位能對系統(tǒng)賬戶��、口令����、軟件等進(jìn)行定期清理��,對服務(wù)器的應(yīng)用、服務(wù)�、端口等進(jìn)行定期檢查,在門戶網(wǎng)站部署了網(wǎng)頁防篡改設(shè)施��,對重要數(shù)據(jù)進(jìn)行異地備份����,防范和應(yīng)對一般信息安全突發(fā)事件能力普遍提升。經(jīng)檢查�,信息系統(tǒng)安全得分在80分以上的單位有:市信息中心、地稅局�、規(guī)劃局;70—80分的單位有:衛(wèi)生局����、科教城、煙草局��;70分以下的有:食品藥品監(jiān)管局�、文廣新局、體育局���、創(chuàng)意產(chǎn)業(yè)基地�。
但是��,通過本次抽查也發(fā)現(xiàn),市政府各部門信息系統(tǒng)安全保障工作中仍存在不少問題�,主要表現(xiàn)在:
(一)信息安全意識有待進(jìn)一步加強
少數(shù)單位領(lǐng)導(dǎo)對信息安全工作重視不夠,未按照信息安全工作要求�,認(rèn)真研究解決本單位信息安全工作中的實際問題,存在管理部門虛設(shè)�����、技術(shù)人員缺乏��、安全措施不落實����、安全經(jīng)費無保障現(xiàn)象。個別部門截至抽查時���,尚未組織開展本部門信息安全自查工作�����,系統(tǒng)存在嚴(yán)重安全隱患���。
(二)信息安全管理缺乏長效機(jī)制
一是表現(xiàn)為臨時性,沒有把信息安全工作貫穿信息系統(tǒng)建設(shè)���、運維全過程��,而是作為一項階段性����、臨時性工作�����,缺乏規(guī)范的長效工作機(jī)制�;二是表現(xiàn)為事后性,沒有確立信息安全事前管理����、風(fēng)險管理的意識,未能按照有關(guān)規(guī)定��,定期開展信息風(fēng)險評估�����、等級測評等工作����。
(三)信息系統(tǒng)安全狀況亟需改善
政府網(wǎng)站是政府部門宣傳政策方針����、向社會公眾提供服務(wù)���、接受監(jiān)督的重要媒介�,對外交流互動的“窗口”�。從今年網(wǎng)站外部安全測試情況看,本次檢查2市5區(qū)的政府門戶網(wǎng)站����,共發(fā)現(xiàn)漏洞406個,其中高風(fēng)險漏洞115個�,占漏洞總數(shù)的28.3.%。溧陽市和金壇市政府的門戶網(wǎng)站存在嚴(yán)重的安全隱患�����,鐘樓區(qū)����、天寧區(qū)、武進(jìn)區(qū)���、新北區(qū)����、戚墅堰區(qū)政府的門戶網(wǎng)站安全情況較好。從漏洞的類型看���,SQL注入、跨站腳本���、cookie欺騙為主�����。
另一方面相對于信息產(chǎn)品的使用情況來說���,先進(jìn)的信息安全管理手段、標(biāo)準(zhǔn)���、方法仍然未被大部分單位掌握和使用�。對信息安全產(chǎn)品依賴性強��,“重技術(shù)�、輕管理,重產(chǎn)品�����、輕維護(hù)”的現(xiàn)象十分突出,僅11.9%的信息系統(tǒng)進(jìn)行等級保護(hù)測評工作��,僅27.8%的系統(tǒng)已進(jìn)行風(fēng)險評估工作���。等級保護(hù)和風(fēng)險評估是我國信息安全工作的國家標(biāo)準(zhǔn)和規(guī)范���。有關(guān)單位應(yīng)切實加強對等級保護(hù)和風(fēng)險評估標(biāo)準(zhǔn)、規(guī)范的學(xué)習(xí)�,加深理解,結(jié)合本單位實際情況�,運用等級保護(hù)和風(fēng)險評估的理念、方法����,切實做好本單位的信息安全工作。
(四)安全管理制度不健全����、措施落實不到位
從現(xiàn)場檢查的情況來看,部分單位制度的執(zhí)行落后于制度的制定��,存在“重制定�����,輕執(zhí)行”的現(xiàn)象。未制訂與制度配套的執(zhí)行流程和操作記錄�。相關(guān)臺賬不完善。部分單位只重視機(jī)關(guān)內(nèi)部信息安全管理���,沒有擔(dān)負(fù)起本系統(tǒng)、本行業(yè)信息安全指導(dǎo)管理的職責(zé)����。相當(dāng)一部分單位運維管理制度不健全,重要信息系統(tǒng)無應(yīng)急專項預(yù)案�����,對信息技術(shù)產(chǎn)品國產(chǎn)化����、密碼技術(shù)與產(chǎn)品使用未引起足夠重視,信息安全問責(zé)制度尚未建立等���。有些制度措施雖然明確了����,但沒有切實落到實處。
針對本次安全抽查中所發(fā)現(xiàn)問題��,檢查組在抽查時已向各單位作了現(xiàn)場反饋���,并提出相應(yīng)建議���。請未列入本次抽查范圍的單位,認(rèn)真對照上述問題�,進(jìn)一步改進(jìn)和完善本單位信息安全工作,切實做好信息系統(tǒng)安全自查����,認(rèn)真開展信息系統(tǒng)安全風(fēng)險評估,抓緊整改所發(fā)現(xiàn)的問題��,以實際行動確保全市政府信息系統(tǒng)安全��。
二○一○年十月十三日
|