關(guān)于2010年市級政府信息系統(tǒng)

安全檢查抽查階段工作的情況通報

市各委辦局，各轄市、區(qū)信息安全主管部門：

為加強政府信息系統(tǒng)安全檢查工作，提高政府信息系統(tǒng)安全保障能力，進一步提高政府信息系統(tǒng)安全管理水平，依據(jù)《江蘇省政府信息系統(tǒng)安全檢查實施辦法》（蘇政辦發(fā)〔2009〕51號），市網(wǎng)絡(luò)與信息安全辦（市經(jīng)濟和信息化委員會）會同有關(guān)部門，于今年8月啟動了2010年市級政府信息系統(tǒng)安全檢查。檢查工作分為兩階段，第一階段為各單位自查（8月）；第二階段為集中抽查（9月上旬—中旬）?，F(xiàn)將抽查階段情況通報如下：

一、基本情況

9月7日至17日，市信息安全辦、市公安局、保密局、密碼管理局等部門共同成立了檢查組，對常州市信息中心、市文廣新局、市體育局、市衛(wèi)生局、市創(chuàng)意產(chǎn)業(yè)基地、市地稅局、市煙草局、市規(guī)劃局、市食品藥品監(jiān)管局、市科教城等10家單位進行了信息系統(tǒng)安全抽查。在抽查過程中，檢查組認真聽取了各單位第一階段安全自查的實施情況匯報，重點圍繞信息安全組織機構(gòu)、日常信息安全管理、等級保護與風(fēng)險評估、技術(shù)防護手段建設(shè)、應(yīng)急管理工作開展、信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用、信息安全服務(wù)、信息安全教育培訓(xùn)、信息安全經(jīng)費保障、安全隱患排查及整改等十個方面情況。實地查看了信息系統(tǒng)物理環(huán)境，組織技術(shù)人員對各單位信息系統(tǒng)進行了現(xiàn)場檢測評估，并委托常州瑞新網(wǎng)絡(luò)科技有限公司對2市5區(qū)的政府門戶網(wǎng)站進行了外部WEB安全測試。

二、總體評價

從抽查情況看，各單位能按照國家和省信息安全工作要求，重視并積極開展相關(guān)工作，落實安全管理制度和技術(shù)措施，努力提高信息安全防護能力。具體表現(xiàn)在：

（一）信息安全工作重視程度明顯加強

各單位按照市政府要求，明確了信息安全工作主管領(lǐng)導(dǎo)、管理部門和信息安全員，建立制度規(guī)范，組織開展信息安全教育、培訓(xùn)。全市各單位和絕大部分重要信息系統(tǒng)、重點網(wǎng)站主要負責(zé)人對這次檢查工作高度重視，認真研究自查要求，精心組織，周密部署，分解任務(wù)，責(zé)任到人，按要求組織開展了信息安全自查工作，形成了自查報告，對發(fā)現(xiàn)的問題，及時進行了整改。本次抽查中，市信息中心、文廣新局等單位領(lǐng)導(dǎo)親自參加了檢查工作，聽取檢查組意見并推動落實整改措施。

（二）信息系統(tǒng)安全自查工作認真開展

   大多數(shù)單位能按照《2010年度常州市政府信息系統(tǒng)安全檢查實施方案》，認真組織開展本部門信息系統(tǒng)安全自查。部分單位還委托專業(yè)機構(gòu)開展了信息安全風(fēng)險評估、安全測評，對發(fā)現(xiàn)的安全漏洞和其他隱患進行了集中清理和整改，有效提升了信息系統(tǒng)安全防護能力。

（三）信息系統(tǒng)安全管理水平不斷提高

各單位基本上制定了《重要崗位信息安全和保密責(zé)任制度》、《重要崗位人員安全保密協(xié)議》、《人員離職離崗信息安全管理規(guī)定》等關(guān)鍵的管理制度。管理制度基本覆蓋信息安全日常管理的各個方面。大多數(shù)單位能按照信息安全工作要求，建立并落實信息安全和保密工作責(zé)任制，部分單位制定了專項應(yīng)急預(yù)案，規(guī)范了信息安全事件應(yīng)急響應(yīng)與處置流程，定期組織相關(guān)人員進行應(yīng)急演練，有效提高了應(yīng)急處置能力。

（四）信息安全防范措施整體增強

大多數(shù)單位門戶網(wǎng)站和重要業(yè)務(wù)系統(tǒng)都安裝了防火墻、入侵檢測等網(wǎng)絡(luò)安全設(shè)備，能夠定期對重要業(yè)務(wù)數(shù)據(jù)進行數(shù)據(jù)備份；防火墻、入侵檢測系統(tǒng)、審計、網(wǎng)頁防篡改等網(wǎng)絡(luò)安全硬件、軟件產(chǎn)品應(yīng)用廣泛，83.3%的單位部署邊界防護產(chǎn)品防火墻。72.2%的單位部署了網(wǎng)頁防篡改軟件。部分單位能對系統(tǒng)賬戶、口令、軟件等進行定期清理，對服務(wù)器的應(yīng)用、服務(wù)、端口等進行定期檢查，在門戶網(wǎng)站部署了網(wǎng)頁防篡改設(shè)施，對重要數(shù)據(jù)進行異地備份，防范和應(yīng)對一般信息安全突發(fā)事件能力普遍提升。經(jīng)檢查，信息系統(tǒng)安全得分在80分以上的單位有：市信息中心、地稅局、規(guī)劃局；70—80分的單位有：衛(wèi)生局、科教城、煙草局；70分以下的有：食品藥品監(jiān)管局、文廣新局、體育局、創(chuàng)意產(chǎn)業(yè)基地。

但是，通過本次抽查也發(fā)現(xiàn)，市政府各部門信息系統(tǒng)安全保障工作中仍存在不少問題，主要表現(xiàn)在：

（一）信息安全意識有待進一步加強

     少數(shù)單位領(lǐng)導(dǎo)對信息安全工作重視不夠，未按照信息安全工作要求，認真研究解決本單位信息安全工作中的實際問題，存在管理部門虛設(shè)、技術(shù)人員缺乏、安全措施不落實、安全經(jīng)費無保障現(xiàn)象。個別部門截至抽查時，尚未組織開展本部門信息安全自查工作，系統(tǒng)存在嚴(yán)重安全隱患。

（二）信息安全管理缺乏長效機制

     一是表現(xiàn)為臨時性，沒有把信息安全工作貫穿信息系統(tǒng)建設(shè)、運維全過程，而是作為一項階段性、臨時性工作，缺乏規(guī)范的長效工作機制；二是表現(xiàn)為事后性，沒有確立信息安全事前管理、風(fēng)險管理的意識，未能按照有關(guān)規(guī)定，定期開展信息風(fēng)險評估、等級測評等工作。

（三）信息系統(tǒng)安全狀況亟需改善

政府網(wǎng)站是政府部門宣傳政策方針、向社會公眾提供服務(wù)、接受監(jiān)督的重要媒介，對外交流互動的“窗口”。從今年網(wǎng)站外部安全測試情況看，本次檢查2市5區(qū)的政府門戶網(wǎng)站，共發(fā)現(xiàn)漏洞406個，其中高風(fēng)險漏洞115個，占漏洞總數(shù)的28.3.%。溧陽市和金壇市政府的門戶網(wǎng)站存在嚴(yán)重的安全隱患，鐘樓區(qū)、天寧區(qū)、武進區(qū)、新北區(qū)、戚墅堰區(qū)政府的門戶網(wǎng)站安全情況較好。從漏洞的類型看，SQL注入、跨站腳本、cookie欺騙為主。

另一方面相對于信息產(chǎn)品的使用情況來說，先進的信息安全管理手段、標(biāo)準(zhǔn)、方法仍然未被大部分單位掌握和使用。對信息安全產(chǎn)品依賴性強，“重技術(shù)、輕管理，重產(chǎn)品、輕維護”的現(xiàn)象十分突出，僅11.9%的信息系統(tǒng)進行等級保護測評工作，僅27.8%的系統(tǒng)已進行風(fēng)險評估工作。等級保護和風(fēng)險評估是我國信息安全工作的國家標(biāo)準(zhǔn)和規(guī)范。有關(guān)單位應(yīng)切實加強對等級保護和風(fēng)險評估標(biāo)準(zhǔn)、規(guī)范的學(xué)習(xí)，加深理解，結(jié)合本單位實際情況，運用等級保護和風(fēng)險評估的理念、方法，切實做好本單位的信息安全工作。

（四）安全管理制度不健全、措施落實不到位

從現(xiàn)場檢查的情況來看，部分單位制度的執(zhí)行落后于制度的制定，存在“重制定，輕執(zhí)行”的現(xiàn)象。未制訂與制度配套的執(zhí)行流程和操作記錄。相關(guān)臺賬不完善。部分單位只重視機關(guān)內(nèi)部信息安全管理，沒有擔(dān)負起本系統(tǒng)、本行業(yè)信息安全指導(dǎo)管理的職責(zé)。相當(dāng)一部分單位運維管理制度不健全，重要信息系統(tǒng)無應(yīng)急專項預(yù)案，對信息技術(shù)產(chǎn)品國產(chǎn)化、密碼技術(shù)與產(chǎn)品使用未引起足夠重視，信息安全問責(zé)制度尚未建立等。有些制度措施雖然明確了，但沒有切實落到實處。

針對本次安全抽查中所發(fā)現(xiàn)問題，檢查組在抽查時已向各單位作了現(xiàn)場反饋，并提出相應(yīng)建議。請未列入本次抽查范圍的單位，認真對照上述問題，進一步改進和完善本單位信息安全工作，切實做好信息系統(tǒng)安全自查，認真開展信息系統(tǒng)安全風(fēng)險評估，抓緊整改所發(fā)現(xiàn)的問題，以實際行動確保全市政府信息系統(tǒng)安全。 

                             二○一○年十月十三日

掃一掃在手機打開當(dāng)前頁