等级保护自查报告

潞安容海发电有限责任公司信息安全等级保护自查报告

随着我国信息网络事业的飞速发展，信息安全保障能力提到了一个新的高度，我厂信息安全以及信息安全等级保护工作就提到了日常议程上来了。围绕提高信息安全保障能力，维护国家安全、公共利益和社会稳定，促进信息化建设的要求，一年来，我厂认真贯彻落实行业和公司的总体部署，在公司和企业信息化工作的统一部署下，按照突出重点、统筹规划，重点保障基础信息网络和重要信息系统安全的总体要求和原则，狠抓系统维护、培训和流程梳理，促进管理规范，提高系统运行效率。进一步完善企业新的运行机制条件下的信息化管理工作，促进企业年度信息安全管理工作目标的实现。特别是今年9月以来，我厂在总结以往工作的基础上，通过认真学习和领会《信息系统安全等级保护基本要求》精神，根据公司的统一部署，结合我厂的具体情况，认真梳理和开展了信息安全等级保护这项工作，取得一定成效。现简要总结汇报我厂2011年度开展信息安全等级保护工作情况。

一、企业开展信息安全等级保护主要工作回顾

1、加强宣传，增强认识，积极推进企业信息安全等级保护工作。为提高企业对信息安全等级保护这项工作的认识，我厂组织信息化管理部门和相关人员认真宣传学习了工业和信息化部文件，大家充分了解到开展定级等工作内容、要求和技术标。一是增强了大家对推行信息安全等级保护制度的重要性和必要性以及信息安全等级保护工作的认识。二是在总结过去工作经验的基础上，确定了将信息安全等级保护工作作为今年网络安全保障工作的一项重要任务来抓。三是采取一定措施，积极推进了公司和企业信息安全等级保护工作。从系统定级、定级评审、系统备案、测评整改、监督检查等五个阶段进行了一些有益的探索。并按照既定的工作目标和时限要求，确保等级保护定级工作保质保量完成。

2、对照要求，认真查找和消除企业信息安全等级保护工作中的差距。信息化管理部门和相关人员通过对照国家和行业有关信息安全等级保护工作文件相关规定和我厂实际，认真开展自查和总结。针对企业现状展开分析和讨论，寻找我厂开展信息安全等级保护这项工作的差距，理清工作思路，进一步确立了企业信息安全等级保护工作思路和目标。一是对企业信息安全总体情况进行了全面摸底，检查了企业信息安全管理、信息安全技术、和信息安全运维三个体系建设情况。二是对信息安全检查中发现的主要问题进行了及时整改，采取了相应的对策和措施。

3、落实组织，建立企业信息安全等级保护工作长效机制。我厂领导高度重视信息安全等级保护工作的开展。企业有关领导和相关信息安全职能部门充分认识到开展信息安全等级保护是保障全市政治稳定、经济发展和社会和谐的有效手段。为适应公司组织机构调整需要，提高企业信息安全保障能力，维护国家安全、公共利益和社会稳定，促进信息化建设，我厂及时调整了信息化工作领导机构，同时，成立了潞安容海电厂关于成立信息系统安全工作领导小组，进一步落实了信息系统安全工作责任。在落实企业信息安全等级保护工作目标责任基础上，一是重新梳理和调整了企业信息化队伍；二是建立健全了信息安全管理制度；三是落实和发挥了系统备份、安全巡检、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能；四是实现了集中安全管理控制，快速安全事件响应，高可信的安全防护；五是重申了对IT系统和产品开展入网前安全检查，消除安全隐患等几项具体措施。

4、总体规划，分步实施和落实信息安全策略。我厂信息安全规划坚持行业和政策实际，着眼于企业长远的发展目标，以及高新技术迅猛发展的需要，立足企业当前的基础和迫切需要解决的问题。信息安全规划主要是企业部署了网络硬件路由、防火墙和网络防毒墙。实施和应用了中心机房安全监控、火灾报警系统，瑞星网络版企业杀毒软件和上网行为管理系统。机房和综合楼办公楼实施了 UPS供电，建立了中心机房网络雷电防护体系。安全策略主要是针对网络进行了CISCO PIX515安全策略配置，企业内部网络采用了路由和VLAN技术；服务器采取用户和密码登录；各部门上网用户实行等级权限，采用帐户和密码登录方式进行单个PC管理。各个终端运维强调Windows补丁管理，并通过Windows安全策略向用户提供限制性的访问权限，有效地保护了windows机器。

另外，结合企业职业健康安全管理体系建设要求，对供电体系、雷电防护体系缺陷、计算机的安全保护，信息泄露、数据备份、病毒或黑客入侵等危险源进行了认真的辨识，对二级以上危险源都制订了预控措施，明确了各岗位的岗位职责并对相关职责抓好落实。目前，企业信息系统的安全正式纳入烟草行业安全管理信息系统管理，并着手规划建立健全信息安全技术和信息安全运维两个体系建设。

5、完善制度，建立和落实了信息安全保护责任制。自从2009年组建信息系统网络以来，我厂就先后制订并修改了各项信息安全相关制度，坚持对重大节日期间的信息安全保障工作进行专门部署。今年，我厂在加强内部信息化管理制度建设方面，将国家局行业卷烟生产经营决策管理系统五个操作文件纳入了企业贯标管理。另外，为加强企业网络安全与信息管理，适应行业改革与发展机制的需要，企业除执行国家、行业和公司有关信息网络管理法律法规和制度外，内部制订和修订了一系列规章制度（包括预案和管理办法）。这些制度的制订和修改遵循了相关流程，并形成了记录。目前已正式印发的制度主要包括：《计算机和网络信息系统管理办法》、《通信管理制度》、《网络与信息安全事件专项应急预案》、《潞安矿业（集团）公司容海热电厂计算机安全管理规定》、《通信突发事件应急处置专项预案》。制度下发以后，日常开展督导和制度执行力检查，促进信息安全保护责任的落实。

6、抓好人员培训和系统演练，促进企业重要信息系统日常信息安全保护工作落到实处。另外，在下半年的10月和11月，内部分两期采取模拟信息网络及中心机房突发事件、发生网络中断等突发事件，以训带练的形式开展了这两个应急预案的演练。由生技部牵头，安全科、生产（设备）、物资科等相关部门安排相关人员参加了这次预案的培训和演练。培训和演练取得了预期目的。

5、日常认真抓好信息安全检查和系统运维，促进信息安全管理和系统整治规范。为了营造良好的网络环境，保护自身信息的安全，我厂信息化主管部门结合信息技术支持与服务本职，突出工作重点，积极抓好网络安全管理，进一步使安全落到实处。

（一）、坚持日常信息系统运维检查。针对企业信息网络系统管理和因特网上病毒和欺骗木马程序（病毒）攻击猖獗现状，信息化主管部门日常组织开展了专业性和群众性的信息及安全检查，集中消除和治理安全隐患，杜绝各种信息安全事故发生。

（二）、定期开展信息系统管理制度执行情况检查。按照企业制度督察检查办法，信息化主管部门编制了《计算机网络系统管理办法检查表》，对照信息系统管理制度内容开展对各部门和各岗位以及重点部位、重点项目检查，形成检查记录。

（三）、结合节假日和安全生产月、6S以及内部审核活动等开展信息网络安全专项检查。按照节假日和安全生产月、6S以及内部审核活动要求，开展网络设备全面检查和现场清理整顿工作，（1）是检查全厂各部门采用集线束对办公设备连线的整理规范状况；（2）是重点对两个机房以及各网络交换点场所的开关线路和周围杂物及时进行清理。对检查发现的问题，尤其是严重对网络系统造成安全隐患的项目立即下达通知整改，使问题消灭在萌芽状态，促进信息网络安全监督检查到位，安全记录真实规范。（3）是按照电力行业严格规范的总要求，对全厂网络的一些历史遗留问题和以往布线（电话线、有线、网线等）凸显瑕疵的地方，结合厂区布局的规范化，结合网络规范和6S管理要求，严格按相关标准进行了一次全面清理。

二、企业信息安全工作存在的问题是和改善工作意见或建议

1、企业在网络审计、安全设备统一管理、网站防篡改、行业数字证书（CA）认证等系统方面的建设工作未开展，建议公司加强企业信息安全技术体系建设这些方面给予特别支持和引导。另外，指导企业对信息系统备份措施的检查，包括检查的方法和内容。

2、公司对国家局行业生产经营决策管理系统的安全运维今年正式进行了部署，建议对每次巡检发现的问题能给予统一解决和处理。另外，指导企业开展网络和应用系统应急预案的编制和演练。