關(guān)于2010年市級(jí)政府信息系統(tǒng)
安全檢查抽查階段工作的情況通報(bào)
市各委辦局���,各轄市���、區(qū)信息安全主管部門(mén):
為加強(qiáng)政府信息系統(tǒng)安全檢查工作�����,提高政府信息系統(tǒng)安全保障能力�����,進(jìn)一步提高政府信息系統(tǒng)安全管理水平,依據(jù)《江蘇省政府信息系統(tǒng)安全檢查實(shí)施辦法》(蘇政辦發(fā)〔2009〕51號(hào))��,市網(wǎng)絡(luò)與信息安全辦(市經(jīng)濟(jì)和信息化委員會(huì))會(huì)同有關(guān)部門(mén)�,于今年8月啟動(dòng)了2010年市級(jí)政府信息系統(tǒng)安全檢查。檢查工作分為兩階段��,第一階段為各單位自查(8月)����;第二階段為集中抽查(9月上旬—中旬)。現(xiàn)將抽查階段情況通報(bào)如下:
一�����、基本情況
9月7日至17日���,市信息安全辦���、市公安局、保密局�����、密碼管理局等部門(mén)共同成立了檢查組���,對(duì)常州市信息中心����、市文廣新局、市體育局��、市衛(wèi)生局�����、市創(chuàng)意產(chǎn)業(yè)基地�����、市地稅局����、市煙草局����、市規(guī)劃局、市食品藥品監(jiān)管局����、市科教城等10家單位進(jìn)行了信息系統(tǒng)安全抽查����。在抽查過(guò)程中��,檢查組認(rèn)真聽(tīng)取了各單位第一階段安全自查的實(shí)施情況匯報(bào)����,重點(diǎn)圍繞信息安全組織機(jī)構(gòu)、日常信息安全管理���、等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估���、技術(shù)防護(hù)手段建設(shè)、應(yīng)急管理工作開(kāi)展�、信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用、信息安全服務(wù)���、信息安全教育培訓(xùn)���、信息安全經(jīng)費(fèi)保障、安全隱患排查及整改等十個(gè)方面情況�����。實(shí)地查看了信息系統(tǒng)物理環(huán)境,組織技術(shù)人員對(duì)各單位信息系統(tǒng)進(jìn)行了現(xiàn)場(chǎng)檢測(cè)評(píng)估���,并委托常州瑞新網(wǎng)絡(luò)科技有限公司對(duì)2市5區(qū)的政府門(mén)戶(hù)網(wǎng)站進(jìn)行了外部WEB安全測(cè)試��。
二����、總體評(píng)價(jià)
從抽查情況看��,各單位能按照國(guó)家和省信息安全工作要求���,重視并積極開(kāi)展相關(guān)工作����,落實(shí)安全管理制度和技術(shù)措施��,努力提高信息安全防護(hù)能力���。具體表現(xiàn)在:
(一)信息安全工作重視程度明顯加強(qiáng)
各單位按照市政府要求,明確了信息安全工作主管領(lǐng)導(dǎo)����、管理部門(mén)和信息安全員���,建立制度規(guī)范,組織開(kāi)展信息安全教育���、培訓(xùn)��。全市各單位和絕大部分重要信息系統(tǒng)�、重點(diǎn)網(wǎng)站主要負(fù)責(zé)人對(duì)這次檢查工作高度重視��,認(rèn)真研究自查要求�,精心組織,周密部署���,分解任務(wù)����,責(zé)任到人�,按要求組織開(kāi)展了信息安全自查工作,形成了自查報(bào)告��,對(duì)發(fā)現(xiàn)的問(wèn)題���,及時(shí)進(jìn)行了整改���。本次抽查中��,市信息中心��、文廣新局等單位領(lǐng)導(dǎo)親自參加了檢查工作��,聽(tīng)取檢查組意見(jiàn)并推動(dòng)落實(shí)整改措施�。
(二)信息系統(tǒng)安全自查工作認(rèn)真開(kāi)展
大多數(shù)單位能按照《2010年度常州市政府信息系統(tǒng)安全檢查實(shí)施方案》��,認(rèn)真組織開(kāi)展本部門(mén)信息系統(tǒng)安全自查���。部分單位還委托專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展了信息安全風(fēng)險(xiǎn)評(píng)估���、安全測(cè)評(píng),對(duì)發(fā)現(xiàn)的安全漏洞和其他隱患進(jìn)行了集中清理和整改����,有效提升了信息系統(tǒng)安全防護(hù)能力�����。
(三)信息系統(tǒng)安全管理水平不斷提高
各單位基本上制定了《重要崗位信息安全和保密責(zé)任制度》���、《重要崗位人員安全保密協(xié)議》����、《人員離職離崗信息安全管理規(guī)定》等關(guān)鍵的管理制度。管理制度基本覆蓋信息安全日常管理的各個(gè)方面�����。大多數(shù)單位能按照信息安全工作要求���,建立并落實(shí)信息安全和保密工作責(zé)任制��,部分單位制定了專(zhuān)項(xiàng)應(yīng)急預(yù)案����,規(guī)范了信息安全事件應(yīng)急響應(yīng)與處置流程�,定期組織相關(guān)人員進(jìn)行應(yīng)急演練,有效提高了應(yīng)急處置能力�。
(四)信息安全防范措施整體增強(qiáng)
大多數(shù)單位門(mén)戶(hù)網(wǎng)站和重要業(yè)務(wù)系統(tǒng)都安裝了防火墻、入侵檢測(cè)等網(wǎng)絡(luò)安全設(shè)備���,能夠定期對(duì)重要業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)備份��;防火墻��、入侵檢測(cè)系統(tǒng)�����、審計(jì)���、網(wǎng)頁(yè)防篡改等網(wǎng)絡(luò)安全硬件��、軟件產(chǎn)品應(yīng)用廣泛��,83.3%的單位部署邊界防護(hù)產(chǎn)品防火墻��。72.2%的單位部署了網(wǎng)頁(yè)防篡改軟件����。部分單位能對(duì)系統(tǒng)賬戶(hù)���、口令���、軟件等進(jìn)行定期清理,對(duì)服務(wù)器的應(yīng)用�、服務(wù)��、端口等進(jìn)行定期檢查,在門(mén)戶(hù)網(wǎng)站部署了網(wǎng)頁(yè)防篡改設(shè)施����,對(duì)重要數(shù)據(jù)進(jìn)行異地備份,防范和應(yīng)對(duì)一般信息安全突發(fā)事件能力普遍提升���。經(jīng)檢查����,信息系統(tǒng)安全得分在80分以上的單位有:市信息中心��、地稅局�����、規(guī)劃局��;70—80分的單位有:衛(wèi)生局���、科教城����、煙草局;70分以下的有:食品藥品監(jiān)管局���、文廣新局��、體育局���、創(chuàng)意產(chǎn)業(yè)基地。
但是�����,通過(guò)本次抽查也發(fā)現(xiàn)�����,市政府各部門(mén)信息系統(tǒng)安全保障工作中仍存在不少問(wèn)題�����,主要表現(xiàn)在:
(一)信息安全意識(shí)有待進(jìn)一步加強(qiáng)
少數(shù)單位領(lǐng)導(dǎo)對(duì)信息安全工作重視不夠�����,未按照信息安全工作要求��,認(rèn)真研究解決本單位信息安全工作中的實(shí)際問(wèn)題,存在管理部門(mén)虛設(shè)�����、技術(shù)人員缺乏��、安全措施不落實(shí)���、安全經(jīng)費(fèi)無(wú)保障現(xiàn)象。個(gè)別部門(mén)截至抽查時(shí)��,尚未組織開(kāi)展本部門(mén)信息安全自查工作���,系統(tǒng)存在嚴(yán)重安全隱患����。
(二)信息安全管理缺乏長(zhǎng)效機(jī)制
一是表現(xiàn)為臨時(shí)性�����,沒(méi)有把信息安全工作貫穿信息系統(tǒng)建設(shè)��、運(yùn)維全過(guò)程���,而是作為一項(xiàng)階段性��、臨時(shí)性工作�����,缺乏規(guī)范的長(zhǎng)效工作機(jī)制�;二是表現(xiàn)為事后性,沒(méi)有確立信息安全事前管理�����、風(fēng)險(xiǎn)管理的意識(shí)���,未能按照有關(guān)規(guī)定�����,定期開(kāi)展信息風(fēng)險(xiǎn)評(píng)估�����、等級(jí)測(cè)評(píng)等工作��。
(三)信息系統(tǒng)安全狀況亟需改善
政府網(wǎng)站是政府部門(mén)宣傳政策方針�、向社會(huì)公眾提供服務(wù)、接受監(jiān)督的重要媒介����,對(duì)外交流互動(dòng)的“窗口”。從今年網(wǎng)站外部安全測(cè)試情況看�����,本次檢查2市5區(qū)的政府門(mén)戶(hù)網(wǎng)站���,共發(fā)現(xiàn)漏洞406個(gè),其中高風(fēng)險(xiǎn)漏洞115個(gè)���,占漏洞總數(shù)的28.3.%�。溧陽(yáng)市和金壇市政府的門(mén)戶(hù)網(wǎng)站存在嚴(yán)重的安全隱患�����,鐘樓區(qū)�����、天寧區(qū)���、武進(jìn)區(qū)��、新北區(qū)���、戚墅堰區(qū)政府的門(mén)戶(hù)網(wǎng)站安全情況較好��。從漏洞的類(lèi)型看�,SQL注入��、跨站腳本��、cookie欺騙為主�����。
另一方面相對(duì)于信息產(chǎn)品的使用情況來(lái)說(shuō)�,先進(jìn)的信息安全管理手段、標(biāo)準(zhǔn)�、方法仍然未被大部分單位掌握和使用。對(duì)信息安全產(chǎn)品依賴(lài)性強(qiáng)�����,“重技術(shù)�、輕管理���,重產(chǎn)品、輕維護(hù)”的現(xiàn)象十分突出����,僅11.9%的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作,僅27.8%的系統(tǒng)已進(jìn)行風(fēng)險(xiǎn)評(píng)估工作����。等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估是我國(guó)信息安全工作的國(guó)家標(biāo)準(zhǔn)和規(guī)范。有關(guān)單位應(yīng)切實(shí)加強(qiáng)對(duì)等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)����、規(guī)范的學(xué)習(xí)�,加深理解,結(jié)合本單位實(shí)際情況�����,運(yùn)用等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的理念�、方法,切實(shí)做好本單位的信息安全工作����。
(四)安全管理制度不健全����、措施落實(shí)不到位
從現(xiàn)場(chǎng)檢查的情況來(lái)看�����,部分單位制度的執(zhí)行落后于制度的制定��,存在“重制定�����,輕執(zhí)行”的現(xiàn)象�����。未制訂與制度配套的執(zhí)行流程和操作記錄���。相關(guān)臺(tái)賬不完善����。部分單位只重視機(jī)關(guān)內(nèi)部信息安全管理��,沒(méi)有擔(dān)負(fù)起本系統(tǒng)、本行業(yè)信息安全指導(dǎo)管理的職責(zé)�����。相當(dāng)一部分單位運(yùn)維管理制度不健全���,重要信息系統(tǒng)無(wú)應(yīng)急專(zhuān)項(xiàng)預(yù)案����,對(duì)信息技術(shù)產(chǎn)品國(guó)產(chǎn)化���、密碼技術(shù)與產(chǎn)品使用未引起足夠重視����,信息安全問(wèn)責(zé)制度尚未建立等����。有些制度措施雖然明確了����,但沒(méi)有切實(shí)落到實(shí)處。
針對(duì)本次安全抽查中所發(fā)現(xiàn)問(wèn)題����,檢查組在抽查時(shí)已向各單位作了現(xiàn)場(chǎng)反饋���,并提出相應(yīng)建議。請(qǐng)未列入本次抽查范圍的單位�����,認(rèn)真對(duì)照上述問(wèn)題��,進(jìn)一步改進(jìn)和完善本單位信息安全工作�����,切實(shí)做好信息系統(tǒng)安全自查���,認(rèn)真開(kāi)展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估��,抓緊整改所發(fā)現(xiàn)的問(wèn)題���,以實(shí)際行動(dòng)確保全市政府信息系統(tǒng)安全。
二○一○年十月十三日
|