信息安全情況報(bào)告精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全情況報(bào)告主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全情況報(bào)告范文

市委網(wǎng)信辦：

根據(jù)《市委網(wǎng)絡(luò)安全和信息化委員會辦公室關(guān)于開展網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息保護(hù)專項(xiàng)治理的通知》要求，我局高度重視，召開專題會議，安排專人和科室負(fù)責(zé)，制定我市商務(wù)系統(tǒng)數(shù)據(jù)安全和個(gè)人信息保護(hù)專項(xiàng)治理工作方案，現(xiàn)將專項(xiàng)治理情況報(bào)告如下：

一、專項(xiàng)治理范圍及具體內(nèi)容

對全局范圍內(nèi)的應(yīng)用系統(tǒng)、網(wǎng)站、電腦終端、電子郵件及個(gè)人電子信息等方面進(jìn)行專項(xiàng)治理。一是應(yīng)用系統(tǒng)及網(wǎng)站。重點(diǎn)排查處理、存儲公眾和個(gè)人信息及重要業(yè)務(wù)數(shù)據(jù)的服務(wù)器、存儲設(shè)備等。檢查日常運(yùn)維制度落實(shí)情況，排查服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、中間件等系統(tǒng)軟件和應(yīng)用軟件的漏洞修復(fù)、補(bǔ)丁安裝情況，排查服務(wù)器賬號、訪問日志及安全日志，確保無異常登錄，并杜絕使用弱口令、默認(rèn)口令、通用口令等。二是電腦終端。排查個(gè)人電腦終端是否安裝殺毒軟件，是否定期更新病毒庫并查殺病毒、木馬等惡意程序。三是電子郵件。按照上級文件要求，禁止使用互聯(lián)網(wǎng)免費(fèi)郵箱傳輸、存儲工作信息，因此各科室需排查使用互聯(lián)網(wǎng)免費(fèi)郵箱（如qq郵箱、163郵箱等）處理工作信息的情況，若存在，應(yīng)立即清理數(shù)據(jù)和注銷賬號。四是個(gè)人電子信息。排查本單位采集、處理、存儲、應(yīng)用、廢棄個(gè)人信息的情況。排查涉及個(gè)人信息管理的應(yīng)用系統(tǒng)、網(wǎng)站、服務(wù)器、數(shù)據(jù)庫等各環(huán)節(jié)管理制度和防護(hù)措施的有效性。排查在互聯(lián)網(wǎng)個(gè)人信息時(shí)，是否進(jìn)行脫敏處理，不能把完整的身份證號碼、手機(jī)號碼等出來，明確個(gè)人信息防護(hù)責(zé)任和措施，確保個(gè)人信息安全。

二、專項(xiàng)治理結(jié)果

通過此次專項(xiàng)治理活動(dòng)對全局應(yīng)用系統(tǒng)及網(wǎng)站排查情況、電腦終端排查情況、電子郵件排查情況、個(gè)人電子信息排查情況、是否存在重要數(shù)據(jù)丟失、泄露或大量個(gè)人信息泄露的情況、自查發(fā)現(xiàn)的問題及整改情況等六部分內(nèi)容進(jìn)行自查，未發(fā)現(xiàn)存在重要數(shù)據(jù)丟失、泄露或大量個(gè)人信息泄露的情況。

第2篇：信息安全情況報(bào)告范文

隨著信息安全等級保護(hù)工作的不斷深化，已延伸到醫(yī)療衛(wèi)生行業(yè)。衛(wèi)計(jì)委要求三級醫(yī)院核心業(yè)務(wù)系統(tǒng)定級不低于第三級。本文結(jié)合醫(yī)院實(shí)際，介紹了醫(yī)院信息安全等級保護(hù)工作的建設(shè)，闡明了信息系統(tǒng)的定級、備案、整改、測評四個(gè)實(shí)施步驟，以供大家探討。

關(guān)鍵詞：

醫(yī)院信息安全；等級保護(hù)工作；等級測評

一、引言

隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用，信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下，推出了信息安全等級保護(hù)制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，公安部等四部委聯(lián)合了《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）。隨著等級保護(hù)工作的深入開展，原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[2011]85號），進(jìn)一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)工作，并對三級甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級作了要求，原則上不低于第三級。從《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》中可知信息安全等級保護(hù)對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統(tǒng)及其安全產(chǎn)品進(jìn)行等級劃分，并按等級對信息安全事件響應(yīng)[1]。

二、醫(yī)院信息安全等級保護(hù)工作實(shí)施步驟

2.1定級與備案[2]。

根據(jù)公安部信息安全等級保護(hù)評估中心編制的《信息安全等級保護(hù)政策培訓(xùn)教程》，有兩個(gè)定級要素決定了信息系統(tǒng)的安全保護(hù)等級，一個(gè)是等級保護(hù)對象受到破壞時(shí)所侵害的客體，另外一個(gè)是對客體造成侵害的程度。對于三級醫(yī)院，門診量與床位相對較多，影響范圍較廣，一旦信息系統(tǒng)遭到破壞，將會給患者造成生命財(cái)產(chǎn)損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認(rèn)同國家衛(wèi)計(jì)委對三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級的限制要求。在完成定級報(bào)告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機(jī)關(guān)辦理備案手續(xù)，在取得備案回執(zhí)后才算完成定級備案工作。我院已按照要求向我市公安局網(wǎng)安支隊(duì)，同時(shí)也是我市信息安全等級保護(hù)工作領(lǐng)導(dǎo)小組辦公室，提交了定級報(bào)告與備案表。

2.2安全建設(shè)與整改[3]。

在完成定級備案后，就要結(jié)合醫(yī)院實(shí)際，分析信息安全現(xiàn)狀，進(jìn)行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險(xiǎn)評估。

了解等級保護(hù)基本要求?！缎畔⑾到y(tǒng)安全等級保護(hù)基本要求》分別從技術(shù)和管理兩方面提出了基本要求?；炯夹g(shù)要求包括五個(gè)方面：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全，主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品（包括硬件和軟件）及安全配置來實(shí)現(xiàn)；基本管理要求也包括五個(gè)方面：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對人員活動(dòng)進(jìn)行約束控制，以期達(dá)到安全管理要求[4]。技術(shù)類安全要求按保護(hù)側(cè)重點(diǎn)進(jìn)一步劃分為三類：業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類）、通用安全保護(hù)類（G類）。如受條件限制，可以逐步完成三級等級保護(hù)，A類和S類有一類滿足即可，但G類必須達(dá)到三級，最嚴(yán)格的G3S3A3控制項(xiàng)共計(jì)136條[5]。醫(yī)院可以結(jié)合自身建設(shè)情況，選擇其中一個(gè)標(biāo)準(zhǔn)進(jìn)行差距分析。管理方面要求很嚴(yán)格，只有完成所有的154條控制項(xiàng)，達(dá)到管理G3的要求，才能完成三級等級保護(hù)要求。這需要我們逐條對照，發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞，找出與管理要求的差距。對于有條件的三甲醫(yī)院，可以先進(jìn)行風(fēng)險(xiǎn)評估，通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險(xiǎn)評估報(bào)告》。經(jīng)過與三級基本要求對照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機(jī)房雖有滅火器，但沒安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少，不能很好的應(yīng)對網(wǎng)絡(luò)入侵。在運(yùn)維管理方面，缺乏預(yù)警機(jī)制，無法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。

根據(jù)差距分析情況，結(jié)合醫(yī)院信息系統(tǒng)安全實(shí)際需求和建設(shè)目標(biāo)，著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面，滿足于臨床的實(shí)際需求，避免資金投入的浪費(fèi)、起不到實(shí)際效果。整改方案制訂應(yīng)遵循以下原則：安全技術(shù)和安全管理相結(jié)合，技術(shù)作保障，管理是更好的落實(shí)安全措施；從安全區(qū)域邊界、安全計(jì)算環(huán)境和安全通信網(wǎng)絡(luò)進(jìn)行三維防護(hù)，建立安全管理中心[6]。方案設(shè)計(jì)完成后，應(yīng)組織專家或經(jīng)過第三方測評機(jī)構(gòu)進(jìn)行評審，以保證方案的可用性。整改方案實(shí)施。實(shí)施過程中應(yīng)注意技術(shù)與管理相結(jié)合，并根據(jù)實(shí)際情況適當(dāng)調(diào)整安全措施，提高整體保護(hù)水平。我院整改方案是先由醫(yī)院內(nèi)部自查，再邀請等級測評公司進(jìn)行預(yù)測評，結(jié)合醫(yī)院實(shí)際最終形成的方案。網(wǎng)絡(luò)技術(shù)人員熟悉系統(tǒng)現(xiàn)狀，易于發(fā)現(xiàn)潛在安全威脅，所以醫(yī)院要先自查，對自身安全進(jìn)行全面了解。等級測評公司派專業(yè)安全人員進(jìn)駐醫(yī)院，經(jīng)過與醫(yī)院技術(shù)人員溝通，利用安全工具進(jìn)行測試，可以形成初步的整改報(bào)告，對我院安全整改具有指導(dǎo)意義。

2.3開展等級保護(hù)測評[7]。

下一步工作就是開展等級測評。在測評機(jī)構(gòu)的選擇上，首先要查看其是否具有“DICP”認(rèn)證，有沒有在當(dāng)?shù)毓膊块T進(jìn)行備案，還可以到中國信息安全等級保護(hù)網(wǎng)站進(jìn)行核實(shí)。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準(zhǔn)備階段。

醫(yī)院與測評機(jī)構(gòu)共同成立項(xiàng)目領(lǐng)導(dǎo)小組，制定工作任務(wù)與測評計(jì)劃等前期準(zhǔn)備工作。項(xiàng)目啟動(dòng)前，為防止醫(yī)院信息泄露，還需要簽訂保密協(xié)議。項(xiàng)目啟動(dòng)后，測評機(jī)構(gòu)要進(jìn)行前期調(diào)研，主要是了解醫(yī)院信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、設(shè)備運(yùn)行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況，然后再選擇相應(yīng)的測評工具和文檔。在測評準(zhǔn)備階段，主要是做好組織機(jī)構(gòu)建設(shè)工作，配合等級測評公司人員的調(diào)查工作。

2.3.2測評方案編制階段。

測評內(nèi)容主要由測評對象與測評指標(biāo)來確定。我院測評對象包含三級的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級的門戶網(wǎng)站。測評機(jī)構(gòu)要與醫(yī)院溝通，制定工具測試方法與測評指導(dǎo)書，編制測評方案。在此階段，主要工作由等級測評機(jī)構(gòu)來完成。

2.3.3現(xiàn)場測評階段。

在經(jīng)過實(shí)施準(zhǔn)備后，測評機(jī)構(gòu)要對上述控制項(xiàng)進(jìn)行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開展，測評工作應(yīng)盡量減少對業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時(shí)應(yīng)避免業(yè)務(wù)高峰期，可以選擇下班時(shí)間或晚上。為避免對現(xiàn)有業(yè)務(wù)造成影響，測評工具應(yīng)在接入前進(jìn)行測試，同時(shí)要做好應(yīng)急預(yù)案準(zhǔn)備，一旦影響醫(yī)院業(yè)務(wù)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案[8]。在對209條控制項(xiàng)進(jìn)行測評后應(yīng)進(jìn)行結(jié)果確認(rèn)，并將資料歸還醫(yī)院。該階段是從真實(shí)情況中了解信息系統(tǒng)全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測評，還不能影響醫(yī)院業(yè)務(wù)開展，除非必要，不然安全測試工作必須在夜間進(jìn)行。

2.3.4報(bào)告編制階段。

通過判定測評單項(xiàng)，測評機(jī)構(gòu)對單項(xiàng)測評結(jié)果進(jìn)行整理，逐項(xiàng)分析，最終得出整體測評報(bào)告。測評報(bào)告包含了醫(yī)院信息安全存在的潛在威脅點(diǎn)、整改建議與最終測評結(jié)果[9]。對于公安機(jī)關(guān)來講，醫(yī)院能否通過等級測評的主要標(biāo)準(zhǔn)就是測評結(jié)果。因此，測評報(bào)告的結(jié)果至關(guān)重要。測評結(jié)果分為：不符合、部分符合、全部符合。有的測評機(jī)構(gòu)根據(jù)單項(xiàng)測評結(jié)果進(jìn)行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結(jié)果，需要醫(yī)院落實(shí)安全整改方案。

2.4安全運(yùn)維。

我們必須清醒地認(rèn)識到，實(shí)施安全等級保護(hù)是一項(xiàng)長期工作，它不僅要在信息化建設(shè)規(guī)劃中考慮，還要在日常運(yùn)維管理中重視，是不斷循環(huán)的過程。按照等級保護(hù)制度要求，信息系統(tǒng)等級保護(hù)級別定為三級的三甲醫(yī)院每年要自查一次，還要邀請測評機(jī)構(gòu)進(jìn)行測評并進(jìn)行整改，監(jiān)管部門每年要抽查一次。因此，醫(yī)院要按照PDCA的循環(huán)工作機(jī)制，不斷改進(jìn)安全技術(shù)與管理上，完善安全措施，更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行[10]。

三、結(jié)語

醫(yī)院信息安全工作是信息化建設(shè)的一部分，是一項(xiàng)長期的系統(tǒng)工程，需要分批分期的循序改建。還要結(jié)合醫(yī)院實(shí)際，考慮安全產(chǎn)品的實(shí)用性，不能盲目的進(jìn)行投資。醫(yī)院通過實(shí)施等級保護(hù)工作，可以有效增強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)整體安全性，有力保障醫(yī)院各項(xiàng)業(yè)務(wù)的持續(xù)開展，適應(yīng)醫(yī)院信息化不斷發(fā)展的需求。

作者：王磊 單位：蚌埠醫(yī)學(xué)院第二附屬醫(yī)院

參考文獻(xiàn)

[1]公安部,國家保密局,國家密碼管理局,國務(wù)院信息化辦公室文件.關(guān)于信息安全等級保護(hù)工作的實(shí)施意見（公通字[2004]66號）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[S],2008-06-19.

[5]魏世杰.醫(yī)院信息安全等級保護(hù)三級建設(shè)思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構(gòu)建醫(yī)院信息安全等級保護(hù)縱深防護(hù)體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級系統(tǒng)信息安全等級保護(hù)測評指標(biāo)體系研究[J].鐵路計(jì)算機(jī)應(yīng)用,2015,24(2):59-61.

第3篇：信息安全情況報(bào)告范文

［關(guān)鍵詞］數(shù)據(jù)安全;文檔管理;保密

［中圖分類號］F270 ［文獻(xiàn)標(biāo)識碼］A ［文章編號］1005-6432（2012）6-0065-02

1 企業(yè)的核心數(shù)據(jù)面臨內(nèi)外兩方面的安全保密隱患

1.1 缺乏統(tǒng)一管理

組織里某人或某些人起草的重要文件缺乏集中統(tǒng)一管理：企業(yè)員工的離職,電腦的丟失,有意或無意的刪除操作,或病毒的侵襲造成文件丟失。傳統(tǒng)上,像含有機(jī)密財(cái)務(wù)數(shù)據(jù)的投融資報(bào)告,月度、季度、年度銷售分析報(bào)告,財(cái)務(wù)分析報(bào)告,商業(yè)往來文件和合同,重要內(nèi)部會議的會議紀(jì)要等。這些對一個(gè)組織來講非常重要的文件大多是由組織里的某個(gè)人或某些人撰寫,保留在個(gè)人的電腦里,容易由于有意或者無意的原因造成文件丟失。

1.2 缺乏有效加密

很多企業(yè)在文檔和核心數(shù)據(jù)資產(chǎn)的加密方面意識不強(qiáng),并且沒有有效的加密手段：文件在員工的電腦里可以輕松地通過電子郵箱、移動(dòng)存儲設(shè)備、通信工具、打印設(shè)備等將文檔原文直接拷貝出來,最終導(dǎo)致信息的泄露。

2 加強(qiáng)文檔數(shù)據(jù)管理的手段

2.1 建立組織級文檔保護(hù)機(jī)制

一個(gè)組織中最難管理的是人員,要管理好企業(yè)的核心文檔首先要管理好這些文檔的管理者。建立一套合理而健全的機(jī)制,是具有關(guān)鍵意義的做法。組織內(nèi)信息安全制度的建立,往往比購買設(shè)備、提高技術(shù)還重要。國外信息安全管理的經(jīng)驗(yàn)表明,大多數(shù)的攻擊來自系統(tǒng)內(nèi)部,并且外部可利用內(nèi)部進(jìn)行攻擊。而對內(nèi)部攻擊的防范比對外部攻擊的防范更困難。防范內(nèi)部的安全攻擊,管理措施(行政的和法律的)顯得更為重要。建立并執(zhí)行一整套科學(xué)、合理、嚴(yán)密的管理制度,從每一個(gè)環(huán)節(jié)堵塞電子文檔信息安全的漏洞,這些環(huán)節(jié)包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔,到電子檔案的保管、提供利用的全過程,即要進(jìn)行全過程管理,任何一個(gè)環(huán)節(jié)疏于管理,都有可能導(dǎo)致電子文檔信息的丟失或失真。加強(qiáng)對電子文件制作人員和管理人員的管理；電子文件制作過程要職責(zé)分明；電子文件形成后要及時(shí)積累；建立和執(zhí)行科學(xué)的歸檔制度；制定和嚴(yán)格執(zhí)行電子文檔的鑒定、保管制度和標(biāo)準(zhǔn)；加強(qiáng)對電子文檔利用活動(dòng)的管理；建立電子文檔管理的記錄系統(tǒng)等。

2.2 利用數(shù)據(jù)安全保護(hù)軟件加強(qiáng)文檔管理

(1)加強(qiáng)訪問控制

訪問控制是網(wǎng)絡(luò)環(huán)境下電子文檔信息安全防范和保護(hù)的主要措施和手段,它的主要任務(wù)是保證包括電子文檔信息在內(nèi)的網(wǎng)絡(luò)資源不被非法訪問和非法使用。具體措施包括：入網(wǎng)訪問控制,控制組織內(nèi)的用戶是否用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶的訪問時(shí)間和準(zhǔn)入范圍；權(quán)限控制,控制用戶允許訪問哪些目錄、子目錄、文件和其他資源；指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作,如只讀、改寫、創(chuàng)建、刪除、查找、存取控制等,而最基本的控制是防止電子文檔的拷貝篡改和打印；

(2)數(shù)據(jù)加密

信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息的傳輸,確保不宜公開的電子文檔的非公開性。在多數(shù)情況下,信息加密是保證電子文檔機(jī)密性的唯一方法。如果有權(quán)使用受控文件的內(nèi)部人士將受控文件通過郵件,聊天工具,U盤等任何方式傳遞給第三者,第三者打開文件看到的是亂碼,確保信息不被泄露。

(3)文檔備份

由于網(wǎng)絡(luò)的不安全性,導(dǎo)致電子文檔信息易丟失或失真,給信息安全帶來嚴(yán)重威脅。盡管可以采取各種各樣的技術(shù)和方法來保證網(wǎng)絡(luò)的安全,但客觀地說,任何一個(gè)網(wǎng)絡(luò)都不能確保萬無一失,信息丟失和失真的現(xiàn)象難免不會發(fā)生。如果建立備份與恢復(fù)系統(tǒng),即使信息丟失和失真,也能夠做到有備無患,只要啟動(dòng)該系統(tǒng),丟失或失真的信息就會重新恢復(fù)原來的面貌。

(4)事后跟蹤

企業(yè)在加強(qiáng)管控的同時(shí)還應(yīng)注意文檔泄露后的跟蹤管理。應(yīng)該準(zhǔn)備好正常的事件報(bào)告和分類程序,這類程序用來報(bào)告可能對機(jī)構(gòu)的財(cái)產(chǎn)安全造成影響的不同種類的事件和弱點(diǎn),所有的員工、合同方和第三方用戶都應(yīng)該知曉這套報(bào)告程序。他們需要盡可能快地將文檔泄露事件和弱點(diǎn)報(bào)告給指定的聯(lián)系方。組織應(yīng)明確信息安全事故報(bào)告的方式、報(bào)告的內(nèi)容、報(bào)告的受理部門,即安全事件應(yīng)在被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)氖芾硗緩竭M(jìn)行通報(bào)。應(yīng)當(dāng)盡可能快速地通過適當(dāng)管理渠道來報(bào)告安全事故。組織的普通員工通常是安全事件的最早發(fā)現(xiàn)者,如果安全事件能及時(shí)發(fā)現(xiàn)并報(bào)告相應(yīng)的主管部門,作出及時(shí)的處理,能使組織的經(jīng)濟(jì)損失及聲譽(yù)損失降到最低。為及時(shí)發(fā)現(xiàn)安全事件,組織應(yīng)建立正式的報(bào)告程序,分別對安全事故的報(bào)告作出明確規(guī)定。應(yīng)當(dāng)讓所有員工和第三方的簽約人都了解報(bào)告程序并鼓勵(lì)他們在安全事件發(fā)生的第一時(shí)間就盡快報(bào)告。還應(yīng)當(dāng)建立起事故反應(yīng)機(jī)制,以便在接到事故報(bào)告時(shí),有關(guān)部門能及時(shí)采取措施。應(yīng)當(dāng)建立適當(dāng)?shù)姆答仚C(jī)制,確保在處理完事故之后,使員工能夠知道所報(bào)告事故的處理結(jié)果。同時(shí)可以用這些事故來提高用戶的安全意識,使他們了解發(fā)生了什么情況、對這種情況怎樣做出反應(yīng)并且將來如何避免這些事故。針對不同的類型的安全事件,作出相應(yīng)的應(yīng)急計(jì)劃,規(guī)定事件處理步驟。

3 結(jié) 論

企業(yè)核心文檔的安全保密工作關(guān)系到企業(yè)的核心競爭力和可持續(xù)發(fā)展水平,加強(qiáng)保密工作、建立有效的防范機(jī)制、提高員工的保密意識、利用系統(tǒng)手段進(jìn)行文檔管理是全面提高保密管理能力的有效途徑。

參考文獻(xiàn)：

［1］ 陳運(yùn).信息安全概要［J］.數(shù)據(jù)通信.2001(3)：36-38.

［2］ 同志敏.信息安全的內(nèi)容和實(shí)現(xiàn)［J］.軟件世界. 2002 (1)：17-19.

［3］ 吳江.信息安全的三個(gè)重要領(lǐng)域［J］.數(shù)據(jù)通信,2001(3)：19-21.

第4篇：信息安全情況報(bào)告范文

信息安全檢查的作用

為了收集信息系統(tǒng)的運(yùn)行數(shù)據(jù)、了解信息安全管理體系的運(yùn)行情況，及時(shí)發(fā)現(xiàn)信息系統(tǒng)存在的安全問題和修補(bǔ)安全漏洞，各大銀行普遍采用安全檢查的方法，提升信息系統(tǒng)的安全保障能力：一是檢查信息安全保障體系的建設(shè)情況、信息系統(tǒng)安全管理制度的落實(shí)情況，提高信息系統(tǒng)安全管理水平；二是檢查科技人員的安全技術(shù)水平以及安全培訓(xùn)教育情況，強(qiáng)化他們的信息安全意識；三是檢查信息系統(tǒng)運(yùn)行情況、日常操作中的安全控制措施，促進(jìn)完善安全內(nèi)控機(jī)制，及時(shí)處置操作安全風(fēng)險(xiǎn)；四是檢查信息系統(tǒng)數(shù)據(jù)存儲、傳輸、使用等數(shù)據(jù)管理情況，防范數(shù)據(jù)泄露風(fēng)險(xiǎn)；五是檢查應(yīng)急預(yù)案制定情況以及應(yīng)急演練結(jié)果，提高對突發(fā)事件的應(yīng)對能力。信息安全檢查工作的內(nèi)容信息安全檢查工作是為了查找信息安全問題和薄弱環(huán)節(jié)，采取一定的檢查或檢測方法，發(fā)現(xiàn)安全現(xiàn)狀與安全要求之間的差距，以便有針對性地采取防范對策、改進(jìn)防范措施，進(jìn)一步提升安全防范能力，預(yù)防和減少重大信息安全事件的發(fā)生，切實(shí)保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。在進(jìn)行安全檢查前，首先要確定安全要求、明確信息安全檢查工作中要檢查的項(xiàng)目。郵儲銀行以信息安全保障評估框架為指導(dǎo)，以等級保護(hù)系列標(biāo)準(zhǔn)為基礎(chǔ)，結(jié)合銀監(jiān)會、中國人民銀行等監(jiān)管機(jī)構(gòu)對信息安全管理的相關(guān)監(jiān)管要求，提取內(nèi)部管理制度中對安全的相關(guān)要求，制定了具有特色的安全檢查要求，形成了《郵政金融計(jì)算機(jī)系統(tǒng)安全檢查手冊》。該《手冊》從主機(jī)安全、網(wǎng)絡(luò)及邊界安全、應(yīng)用安全、數(shù)據(jù)安全、基礎(chǔ)設(shè)施安全、網(wǎng)點(diǎn)終端安全、運(yùn)行安全、安全管理8個(gè)方面歸納整理出400多個(gè)安全檢查項(xiàng)。該《手冊》明確了信息安全檢查工作的檢查內(nèi)容、檢查要點(diǎn)和檢查方法。

信息安全檢查的實(shí)踐

郵儲銀行開展的2014~2015年度信息安全檢查工作，包括了制定檢查工作計(jì)劃、信息安全檢查、問題整改和檢查總結(jié)等階段。制定檢查工作計(jì)劃。在選取安全檢查項(xiàng)目時(shí)，緊緊圍繞年度安全管理目標(biāo)，結(jié)合年度信息安全工作的重點(diǎn)領(lǐng)域以及運(yùn)行維護(hù)工作中容易忽視的安全問題。2015年的安全檢查在兼顧檢查全面性的同時(shí)，確定以網(wǎng)絡(luò)邊界安全、主機(jī)安全、數(shù)據(jù)安全3方面為檢點(diǎn)，從《手冊》中選取100個(gè)檢查項(xiàng)，同時(shí)規(guī)劃了現(xiàn)場檢查工作的方法、工作過程等內(nèi)容，從而形成年度安全檢查方案。隨后，根據(jù)各安全檢查項(xiàng)目在保障信息安全中的作用以及現(xiàn)有條件下實(shí)現(xiàn)的難度等實(shí)際情況，將安全檢查項(xiàng)分成基本要求項(xiàng)和增強(qiáng)要求項(xiàng)并對其賦予不同的分值，建立起安全檢查的量化評價(jià)標(biāo)準(zhǔn)。檢查完成后，可以通過評價(jià)標(biāo)準(zhǔn)直接給出的分?jǐn)?shù)，直觀地評價(jià)、比較各分行信息安全工作的情況。在組建安全檢查隊(duì)伍時(shí)，每個(gè)檢查小組由總行、分行的信息安全人員組成。各分行分組交叉檢查的方式，便于各分行通過檢查相互學(xué)習(xí)、取長補(bǔ)短，提高信息安全的保障能力和水平。

實(shí)施信息安全檢查

信息安全檢查圍繞安全檢查項(xiàng)目，采用登錄系統(tǒng)檢查、在線工具檢查、查閱制度文檔、訪談關(guān)鍵人員、巡查網(wǎng)點(diǎn)等方法，收集安全運(yùn)行數(shù)據(jù)，評價(jià)安全管理水平。登錄信息系統(tǒng)設(shè)備檢查安全配置基本情況，重點(diǎn)關(guān)注系統(tǒng)日志、操作日志、配置文件等信息；使用安全漏洞掃描工具檢測設(shè)備存在的風(fēng)險(xiǎn)點(diǎn)；通過檢查設(shè)備的使用狀況，評價(jià)基層單位對信息資源的控制能力是否滿足安全保護(hù)的要求。查看各監(jiān)控系統(tǒng)的監(jiān)控記錄，確認(rèn)各項(xiàng)報(bào)警得到及時(shí)處理。查閱規(guī)章制度，了解安全規(guī)定是否覆蓋安全工作的所有領(lǐng)域；瀏覽審批記錄、登記表等詳細(xì)信息，了解日常工作中安全規(guī)定的執(zhí)行情況。通過訪談相關(guān)崗位人員、現(xiàn)場觀察各崗位人員的實(shí)際配合情況，了解日常工作流程中是否存在安全漏洞；通過實(shí)地檢查網(wǎng)點(diǎn)，最直觀地從工作環(huán)境考察安全管理細(xì)節(jié)，查看基層各項(xiàng)安全制度的落實(shí)情況。在檢查過程中發(fā)現(xiàn)的問題，現(xiàn)場檢查組以事實(shí)確認(rèn)單的形式進(jìn)行記錄，并在現(xiàn)場檢查總結(jié)會上與被檢查機(jī)構(gòu)的人員進(jìn)行溝通和確認(rèn)，作為后期整改工作的基礎(chǔ)依據(jù)。

問題整改

在完成了現(xiàn)場檢查工作之后，各檢查小組匯總事實(shí)確認(rèn)單，梳理出需要各分行著手整改的問題，針對每個(gè)分行簽發(fā)安全檢查整改通知書，要求各分行對癥下藥完成整改工作，以完善信息系統(tǒng)的安全防護(hù)措施。對網(wǎng)絡(luò)邊界問題的整改，完善了網(wǎng)絡(luò)各區(qū)域特別是第三方接入?yún)^(qū)防火墻、路由器、交換機(jī)的安全配置，對經(jīng)過網(wǎng)絡(luò)邊界的重要信息實(shí)施相應(yīng)保護(hù)，提升了抵御外部網(wǎng)絡(luò)攻擊的能力。對主機(jī)安全問題的整改，調(diào)整了各類軟件的安全配置參數(shù)，使之遵循最新版本安全配置基線的要求，提升了主機(jī)的安全防護(hù)能力。對數(shù)據(jù)安全問題的整改，增強(qiáng)了數(shù)據(jù)訪問的身份認(rèn)證和訪問控制機(jī)制，防止非授權(quán)使用，保證數(shù)據(jù)免遭泄露和篡改。同時(shí)加強(qiáng)了對備份數(shù)據(jù)管理，有效保護(hù)了數(shù)據(jù)的高可用性。對檢查中發(fā)現(xiàn)的其他問題進(jìn)行整改，促進(jìn)了在運(yùn)行維護(hù)過程中主動(dòng)采取更加有效的安全措施，升級管理手段，使安全管理更加全面覆蓋到安全保障架構(gòu)的各個(gè)方面。

檢查總結(jié)

經(jīng)過一段時(shí)間的信息安全檢查整改工作，各分行報(bào)告了每個(gè)問題的整改完成情況。總行依據(jù)整改報(bào)告評價(jià)各項(xiàng)整改措施的有效性，評估信息安全狀況和防護(hù)水平，促進(jìn)總行對信息安全管理工作進(jìn)行持續(xù)監(jiān)管。

持續(xù)改進(jìn)的信息安全檢查工作

第5篇：信息安全情況報(bào)告范文

信息安全責(zé)任制落實(shí)的具體措施。

以下是對*公司信息安全保密工作的簡要匯報(bào)：

一、嚴(yán)格遵守各項(xiàng)安全保密管理制度

根據(jù)研究院的有關(guān)規(guī)定,*公司根據(jù)自身業(yè)務(wù)情況，已陸續(xù)了一些管理制度：如《公司知識產(chǎn)權(quán)與保密規(guī)定》，《關(guān)于公司員工退、離（辭）職有關(guān)問題的規(guī)定》、《公司計(jì)算機(jī)使用及電子郵箱、網(wǎng)絡(luò)管理規(guī)定》《關(guān)于公司局域網(wǎng)的管理辦法》、《研究報(bào)告四級質(zhì)量控制體系管理規(guī)定》等等。

公司要求各級領(lǐng)導(dǎo)和全體員工嚴(yán)格遵守各項(xiàng)安全（保密）管理制度與規(guī)定，加強(qiáng)信息安全保密工作的防范，嚴(yán)格各項(xiàng)工作的業(yè)務(wù)流程，認(rèn)真履行、互相監(jiān)督，及時(shí)發(fā)現(xiàn)并消除隱患。

二、建立健全相關(guān)組織，加強(qiáng)信息安全隊(duì)伍建設(shè)

1、為進(jìn)一步做好信息安全管理工作，加強(qiáng)對信息安全、保密工作的統(tǒng)一管理，公司于20*年*月成立以執(zhí)行總裁為第一責(zé)任人的*公司安全工作小組和*公司保密工作小組。小組成員包括：財(cái)務(wù)部、人力資源部、項(xiàng)目管理部、品牌市場部、客戶服務(wù)部、知識管理部、辦公室等職能部門的經(jīng)理和公司各業(yè)務(wù)部門總經(jīng)理及各部門崗位的人員。

2、安全（保密）工作小組成員，負(fù)責(zé)建立健全、貫徹實(shí)施有關(guān)安全（保密）管理制度，組織公司安全（保密）教育和知識學(xué)習(xí)等項(xiàng)工作。定期組織對公司安全（保密）工作的監(jiān)督、檢查，及時(shí)解決安全（保密）工作中存在的問題。

三、認(rèn)真落實(shí)有關(guān)信息安全（保密）制度，加強(qiáng)信息安全保密工作的管理

1、職能部門郵箱加密。

公司財(cái)務(wù)部、人力資源部、項(xiàng)目管理部等職能部門郵箱全部加密碼，避免通過郵件泄密。

2、人力資源部：a、所有人事檔案入柜，封存，由專人保管；b、涉及薪酬的文件全部加密。c、與新、老員工簽訂《保密協(xié)議》。協(xié)議中規(guī)定：賽迪顧問員工所有研究成果是公司商業(yè)秘密的重要組成部分，其知識產(chǎn)權(quán)歸公司所有。未經(jīng)批準(zhǔn)，員工不得向外界傳播或提供有關(guān)公司的一切有關(guān)文件及資料，也不得交給無關(guān)人員，否則應(yīng)賠償公司因此而遭受的一切經(jīng)濟(jì)損失。必要時(shí)，追究其法律責(zé)任。保密條款不因《勞動(dòng)合同書》的終止而失效。d、嚴(yán)格加強(qiáng)對離職人員的交接流程的管理，細(xì)化員工離職的交接程序，規(guī)定交接時(shí)間。

3、財(cái)務(wù)部門：安裝監(jiān)控?cái)z像頭；每位財(cái)務(wù)人員電腦個(gè)人賬號均加密。

4、市場部門：加強(qiáng)媒體網(wǎng)站的政審工作。

5、項(xiàng)目管理部：a、每年通過招標(biāo)的形式確定與供應(yīng)商的合作，并與印刷公司、翻譯公司簽訂保密協(xié)議，以確保外部打印、翻譯的安全。b、報(bào)告發(fā)送采用pdf格式，并設(shè)置開啟密碼。c、嚴(yán)格報(bào)告借閱和贈送審批手續(xù)。d、要求各部門嚴(yán)格遵守研究報(bào)告四級質(zhì)量控制體系規(guī)定，加強(qiáng)審核流程的管理。d、要求研究部門嚴(yán)格遵守“研究報(bào)告四級質(zhì)量控制體系”規(guī)定，加臺研究報(bào)告的審核流程。

e、合同設(shè)專人管理

6、各業(yè)務(wù)部門：各產(chǎn)業(yè)研究中心、咨詢中心有關(guān)保密的電子資料都由部門總經(jīng)理或項(xiàng)目負(fù)責(zé)人保管或存放，并加鎖。

7、辦公室：a、設(shè)置檔案管理專人保管和借閱審批制度。b、加強(qiáng)辦公區(qū)域的安全防盜管理，增加監(jiān)控?cái)z像裝置。c、為保障公司服務(wù)器的安全，未經(jīng)公司計(jì)算機(jī)系統(tǒng)維護(hù)員同意，不得私自操作服務(wù)器。

*公司信息安全保密工作下一階段需要繼續(xù)完善的地方：

1、進(jìn)一步加強(qiáng)日常對員工的多種形式的保密培訓(xùn)工作。尤其是強(qiáng)化新員工入職培訓(xùn)。

2、進(jìn)一步細(xì)化員工離職的交接程序，進(jìn)一步嚴(yán)格勞動(dòng)合同的管理。

3、多與各兄弟單位交流，學(xué)習(xí)借鑒先進(jìn)經(jīng)驗(yàn)。

4、財(cái)務(wù)部門、人力資源部門、項(xiàng)目管理部設(shè)置專用打印機(jī)。

5、加強(qiáng)各公司各業(yè)務(wù)部門對專項(xiàng)咨詢保密工作的管理，并與客戶簽訂《保密協(xié)議》。

6、加強(qiáng)品牌市場部門會議策劃案的保密工作管理。

第6篇：信息安全情況報(bào)告范文

突發(fā)安全事故應(yīng)急預(yù)案與方案

為全面落實(shí)“安全第一、預(yù)防為主、綜合治理”的方針，切實(shí)搞好廠區(qū)安全工作，認(rèn)真做好各種突發(fā)事件應(yīng)對工作，將可能發(fā)生的事故降到最低限度，根據(jù)《安全生產(chǎn)法》、《浙江省安全生產(chǎn)條例》、和上級有關(guān)部門要求，結(jié)合公司實(shí)際情況，制定以下應(yīng)急預(yù)案。

一.組織機(jī)構(gòu)及主要職責(zé).

公司成立突發(fā)事件應(yīng)急預(yù)案領(lǐng)導(dǎo)小組，組長黨支部書記xx同志擔(dān)任，副組長由生產(chǎn)經(jīng)理xx、技術(shù)經(jīng)理xx同志擔(dān)任，成員由部門、車間負(fù)責(zé)人組成，領(lǐng)導(dǎo)小組下設(shè)指揮組，搶險(xiǎn)組和后勤保障組。

1.指揮組由xx、xx組成。在第一時(shí)間突發(fā)事件的相關(guān)情況，第一時(shí)間組織員工疏散，第一時(shí)間組織員工自救，保證員工人身安全，第一時(shí)間保證公司財(cái)產(chǎn)和員工財(cái)產(chǎn)安全，第一時(shí)間組織協(xié)調(diào)各項(xiàng)工作有序進(jìn)行。

2.搶險(xiǎn)組：由20名員工組程：由xx任組長，xx任副組長，組員由xx、xx、xx、xx、xx、xx承擔(dān)危難工作，在保證自身安全的前提下完成任務(wù)。

3.后勤保障組：由6名同志組成，xx任組長，xx為副組長，組員由xx、xx擔(dān)物資裝備供應(yīng)，切實(shí)保證突發(fā)事件工作所需。

二.突發(fā)事件應(yīng)急救援預(yù)案措施

1.發(fā)生一般火警、火災(zāi)事故、設(shè)備事故、人身傷害事故及其他突發(fā)事件，當(dāng)班值班人員應(yīng)立即報(bào)告車間、部門和公司領(lǐng)導(dǎo)，逐級上報(bào)?；鹁馂?zāi)撥打119請求救援。人身傷亡事故應(yīng)立即送醫(yī)院治療，或撥打120請求救援，但不管是哪類事故，搶險(xiǎn)救護(hù)時(shí)都要先切斷電源或采取防護(hù)措施后再組織救護(hù)，防止事態(tài)擴(kuò)大。

2.發(fā)生重大火災(zāi)事故，應(yīng)立即切斷電源，迅速向公司匯報(bào)，公司逐級向上反映。崗位人員撥打119救援電話請求援后，首先組織自救，使用現(xiàn)場的滅火器進(jìn)行滅火，根據(jù)著火部位、性質(zhì)也可用現(xiàn)場備用的防火沙、土、水進(jìn)行滅火，電氣火災(zāi)要用干粉滅火器，變壓器、油罐等用水冷卻時(shí)，人要遠(yuǎn)離，嚴(yán)防爆炸傷人，待消防專業(yè)人員趕到后，在專業(yè)人員指揮下配合滅火。

3.發(fā)生人身傷亡事故，發(fā)現(xiàn)人員要立即向班組長、車間主任、部門、公司逐級上報(bào)后，還要通知醫(yī)院工傷搶救小組，立即趕赴現(xiàn)場組織救援。若傷部位屬擦傷、碰傷、壓傷等要及時(shí)用消炎止痛藥物擦洗患處，若為出血嚴(yán)重，要用干凈布料進(jìn)行包扎止血。若傷者發(fā)生骨折要保持靜從事靜臥。若發(fā)生嚴(yán)重?zé)齻?、燙傷，要立即用冷水沖洗30分鐘以上，若傷者已昏迷、休克，要立即抬至通風(fēng)良好的地方，進(jìn)行人工呼吸或按摩心臟，待醫(yī)生到達(dá)后立即送醫(yī)院搶救。

4.若發(fā)生食物中毒事故，救援人員在救援時(shí)要了解中毒原因，迅速把中毒人員抬至通風(fēng)良好處進(jìn)行一般性搶救，并立刻送往醫(yī)院搶救。

5.發(fā)生重大設(shè)備事故，要立即報(bào)告，同時(shí)停止設(shè)備運(yùn)轉(zhuǎn)，處理事故時(shí)，要有專業(yè)人監(jiān)護(hù)。嚴(yán)格執(zhí)行檢修程序和停送電確認(rèn)制度，防止打亂仗，冒險(xiǎn)作業(yè)。

6.發(fā)生爆炸事故，要立即關(guān)閉爆炸源，若有人員傷亡，按人員傷亡預(yù)案救援。

7.發(fā)生各類事故都要保護(hù)好現(xiàn)場，待事故調(diào)查分析處理。

三.注意事項(xiàng)

1.突發(fā)事件應(yīng)急預(yù)案工作領(lǐng)導(dǎo)小組成員要保證24小時(shí)開機(jī)，認(rèn)真做好各項(xiàng)預(yù)防工作，隨時(shí)準(zhǔn)備應(yīng)付各類突發(fā)事件發(fā)生。

2.突發(fā)事件應(yīng)急預(yù)案工作要聽從指揮，服從安排，要切實(shí)做到安全第一、預(yù)防為主、綜合治理。

3.本預(yù)案可根據(jù)實(shí)際情況進(jìn)行修改完善。

突發(fā)安全事故應(yīng)急預(yù)案與方案

為切實(shí)做好網(wǎng)絡(luò)突發(fā)事件的防范和應(yīng)急處理工作，進(jìn)一步提高預(yù)防和控制網(wǎng)絡(luò)突發(fā)事件的能力和水平，減輕或消除突發(fā)事件的危害和影響，確保我局網(wǎng)絡(luò)與信息安全，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等有關(guān)法規(guī)文件精神，結(jié)合我局實(shí)際情況，特制定本應(yīng)急預(yù)案。

一、指導(dǎo)思想

認(rèn)真落實(shí)“教育在先，預(yù)防在前，積極處置”的工作原則，牢固樹立安全意識，提高防范和救護(hù)能力，以維護(hù)正常的工作秩序和營造綠色健康的網(wǎng)絡(luò)環(huán)境為中心，進(jìn)一步完善網(wǎng)絡(luò)管理機(jī)制，提高突發(fā)事件的應(yīng)急處置能力。

二、組織領(lǐng)導(dǎo)及職責(zé)

成立計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作領(lǐng)導(dǎo)小組

組  長：xx

副組長：xx

成  員：xx

主要職責(zé)：負(fù)責(zé)召集領(lǐng)導(dǎo)小組會議，部署工作，安排、檢查落實(shí)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)重大事宜。副組    長負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)應(yīng)急預(yù)案的落實(shí)情況，處理突發(fā)事故，完成局領(lǐng)導(dǎo)交辦的各項(xiàng)任務(wù)。

三、安全保護(hù)工作職能部門

1. 負(fù)責(zé)人： xx

2. 信息安全技術(shù)人員：xx

四、應(yīng)急措施及要求

1. 各處室要加強(qiáng)對本部門人員進(jìn)行及時(shí)、全面地教育和引導(dǎo)，提高安全防范意識。

2. 網(wǎng)站配備信息審核員和安全管理人員，嚴(yán)格執(zhí)行有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度，規(guī)范辦公室、計(jì)算機(jī)機(jī)房等上網(wǎng)場所的管理，落實(shí)上網(wǎng)電腦專人專用和日志留存。

3. 信息所要建立健全重要數(shù)據(jù)及時(shí)備份和災(zāi)難性數(shù)據(jù)恢復(fù)機(jī)制。

4. 采取多層次的有害信息、惡意攻擊防范與處理措施。各處室信息員為第一層防線，發(fā)現(xiàn)有害信息保留原始數(shù)據(jù)后及時(shí)刪除；信息所為第二層防線，負(fù)責(zé)對所有信息進(jìn)行監(jiān)視及信息審核，發(fā)現(xiàn)有害信息及時(shí)處理。

5. 切實(shí)做好計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的防火、防盜 、防雷和防信號非法接入。

6.所有涉密計(jì)算機(jī)一律不許接入國際互聯(lián)網(wǎng)，做到專網(wǎng)、專機(jī)、專人、專用，做好物理隔離。連接國際互聯(lián)網(wǎng)的計(jì)算機(jī)絕對不能存儲涉及國家秘密、工作秘密、商業(yè)秘密的文件。

附：

應(yīng)急處理措施指南

（一）當(dāng)人為、病毒破壞或設(shè)備損壞的災(zāi)害發(fā)生時(shí)，具體按以下順序進(jìn)行：判斷破壞的來源與性質(zhì)，斷開影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開與破壞來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定破壞來源的ip或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照災(zāi)害發(fā)生的性質(zhì)分別采用以下方案：

1、網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論事件緊急處置措施

(1)網(wǎng)站、網(wǎng)頁由信息所值班人員負(fù)責(zé)隨時(shí)密切監(jiān)視信息內(nèi)容。

(2)發(fā)現(xiàn)在網(wǎng)上出現(xiàn)內(nèi)容被篡改或非法信息時(shí)，值班人員應(yīng)立即向本單位信息安全負(fù)責(zé)人通報(bào)情況；情況緊急的，首先中斷服務(wù)器網(wǎng)線連接，再按程序報(bào)告。

(3)信息安全相關(guān)負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場，作好必要記錄，清理非法信息，妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄，強(qiáng)化安全防范措施，并將網(wǎng)站網(wǎng)頁重新投入使用。

(4)追查非法信息來源，并將有關(guān)情況向本單位網(wǎng)絡(luò)領(lǐng)導(dǎo)小組匯報(bào)。

(5)信息化領(lǐng)導(dǎo)小組召開會議，如認(rèn)為事態(tài)嚴(yán)重，則立即向市政府信息化辦公室和公安部門報(bào)警。

2、 黑客攻擊事件緊急處置措施

(1)當(dāng)發(fā)現(xiàn)黑客正在進(jìn)行攻擊時(shí)或者已經(jīng)被攻擊時(shí)，首先（）將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場，并將有關(guān)情況向本單位信息化領(lǐng)導(dǎo)小組匯報(bào)。

(2)信息安全相關(guān)負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場，對現(xiàn)場進(jìn)行分析，并做好記錄，必要時(shí)上報(bào)主管部門。

(3)恢復(fù)與重建被攻擊或破壞系統(tǒng)。

(4)信息化領(lǐng)導(dǎo)小組召開會議，如認(rèn)為事態(tài)嚴(yán)重，則立即向市政府信息化辦公室和公安部門報(bào)警。

3、病毒事件緊急處置措施

(1)當(dāng)發(fā)現(xiàn)有計(jì)算機(jī)被感染上病毒后，應(yīng)立即向信息安全負(fù)責(zé)人報(bào)告，將該機(jī)從網(wǎng)絡(luò)上隔離開來。

(2)信息安全相關(guān)負(fù)責(zé)人員在接到通報(bào)后立即趕到現(xiàn)場。

(3)對該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。

(4)啟用反病毒軟件對該機(jī)進(jìn)行殺毒處理，同時(shí)通過病毒檢測軟件對其他機(jī)器進(jìn)行病毒掃描和清除工作。

(5)如果現(xiàn)行反病毒軟件無法清除該病毒，應(yīng)立即向本單位信息化領(lǐng)導(dǎo)小組報(bào)告，并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決。

(6)信息化領(lǐng)導(dǎo)小組開會研究，認(rèn)為情況嚴(yán)重的，應(yīng)立即市政府信息化辦公室和公安部門報(bào)警。

4、軟件系統(tǒng)遭破壞性攻擊的緊急處置措施

(1)重要的軟件系統(tǒng)平時(shí)必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須按本單位容災(zāi)備份規(guī)定的間隔按時(shí)進(jìn)行備份，并將它們保存于安全處。

(2)一旦軟件遭到破壞性攻擊，應(yīng)立即向信息安全負(fù)責(zé)人報(bào)告，并將該系統(tǒng)停止運(yùn)行。

(3)檢查信息系統(tǒng)的日志等資料，確定攻擊來源，并將有關(guān)情況向本單位信息化領(lǐng)導(dǎo)小組匯報(bào)，再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)。

(4)信息化領(lǐng)導(dǎo)小組召開會議，如認(rèn)為事態(tài)嚴(yán)重，則立即市政府信息化辦公室和公安部門報(bào)警。

5、數(shù)據(jù)庫安全緊急處置措施

(1)對于重要的信息系統(tǒng)，主要數(shù)據(jù)庫系統(tǒng)應(yīng)按雙機(jī)設(shè)備設(shè)置，并至少要準(zhǔn)備兩個(gè)以上數(shù)據(jù)庫備份，平時(shí)一個(gè)備份放在機(jī)房，另一個(gè)備份放在另一安全的建筑物中。

(2)一旦數(shù)據(jù)庫崩潰，值班人員應(yīng)立即啟動(dòng)備用系統(tǒng)，并向信息安全負(fù)責(zé)人報(bào)告。

(3)在備用系統(tǒng)運(yùn)行期間；信息安全工作人員應(yīng)對主機(jī)系統(tǒng)進(jìn)行維修并作數(shù)據(jù)恢復(fù)。

(4)如果兩套系統(tǒng)均崩潰而無法恢復(fù)，應(yīng)立即向有關(guān)廠商請求緊急支援。

6、廣域網(wǎng)外部線路中斷緊急處置措施

(1)廣域網(wǎng)線路中斷后，值班人員應(yīng)立即向信息安全負(fù)責(zé)人報(bào)告。

(2)信息安全相關(guān)負(fù)責(zé)人員接到報(bào)告后，應(yīng)迅速判斷故障節(jié)點(diǎn)，查明故障原因。

(3)如屬我方管轄范圍，由信息安全工作人員立即予以恢復(fù)。

(4)如屬電信部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求修復(fù)。

(5)如有必要，向本單位信息化領(lǐng)導(dǎo)小組匯報(bào)。

7、局域網(wǎng)中斷緊急處置措施

(1)設(shè)備管理部門平時(shí)應(yīng)準(zhǔn)備好網(wǎng)絡(luò)備用設(shè)備，存放在指定的位置。

(2)局域網(wǎng)中斷后，信息安全相關(guān)負(fù)責(zé)人員應(yīng)立即判斷故節(jié)點(diǎn)，查明故障原因，并向網(wǎng)絡(luò)安全組組長匯報(bào)。

(3)如屬線路故障，應(yīng)重新安裝線路。

(4)如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即從指定位置將備用設(shè)備取出接上，并調(diào)試通暢。

(5)如屬路由器、交換機(jī)配置文件破壞，應(yīng)迅速按照要求重新配置，并調(diào)測通暢。

(6)如有必要，向本單位信息化領(lǐng)導(dǎo)小組匯報(bào)。

8、設(shè)備安全緊急處置措施

(1)服務(wù)器等關(guān)鍵設(shè)備損壞后，值班人員應(yīng)立即（）向信息安全負(fù)責(zé)人報(bào)告。

(2)信息安全相關(guān)負(fù)責(zé)人員立即查明原因。

(3)如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。

(4)如屬不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請求派維護(hù)人員前來維修。

(5)如果設(shè)備一時(shí)不能修復(fù)，應(yīng)向本單位信息化領(lǐng)導(dǎo)小組匯報(bào)。

（二）當(dāng)發(fā)生的災(zāi)害為自然災(zāi)害時(shí)，應(yīng)根據(jù)當(dāng)時(shí)的實(shí)際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)的安全，然后是設(shè)備安全。具體方法包括：硬盤的拔出與保存，設(shè)備的斷電與拆卸、搬遷等。

（三）當(dāng)發(fā)生火災(zāi)時(shí)，若因用電等原因引起火災(zāi)，立即切斷電源，撥打119報(bào)警，組織人員開啟滅火器進(jìn)行撲救。

（1）對于初起火災(zāi)，現(xiàn)場人員應(yīng)立即實(shí)施撲救工作，使用滅火器具實(shí)施滅火撲救工作；

（2）火勢較大時(shí)，應(yīng)立即撥打119火災(zāi)報(bào)警電話和根據(jù)火災(zāi)情況啟動(dòng)有關(guān)消防設(shè)備，通知有關(guān)人員到場滅火；

（3）在保障人員安全的前提下，按上款保護(hù)數(shù)據(jù)及設(shè)備。

（四）當(dāng)市電不正常時(shí)，采用ups供電，供電時(shí)間視電池容量而定，一般不超過1小時(shí)，若超過此時(shí)間，關(guān)團(tuán)服務(wù)器等網(wǎng)絡(luò)設(shè)備，等市電供應(yīng)正常后半小時(shí)再重新啟動(dòng)服務(wù)器。

（五）其它

做好機(jī)房及戶外網(wǎng)絡(luò)設(shè)備的防盜竊、防雷擊、防鼠害等工作。若發(fā)生事故，應(yīng)立即組織人員自救，并報(bào)警。

其它沒有列出的不確定因素造成的災(zāi)害，可根據(jù)總的安全原則，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的可以請示相關(guān)的專業(yè)人員。

突發(fā)安全事故應(yīng)急預(yù)案與方案

為了尊重生命、維護(hù)顧客的生命安全，在堅(jiān)持"以預(yù)防為主"的前提下，按照《xx市人民政府突發(fā)公共事件總體應(yīng)急預(yù)案》的要求，為落實(shí)游泳館的屬地責(zé)任制，更科學(xué)有效地處理泳館安全事故突發(fā)事件，特制定應(yīng)急預(yù)案。

一、突發(fā)事件應(yīng)急小組

組長：

副組長：

成員：

聯(lián)絡(luò)員：

二、突發(fā)事件應(yīng)急處理方法

1．緊急處理并報(bào)案

在場的救生員及安全員應(yīng)在第一時(shí)間實(shí)施搶救措施，并向120急救中心、應(yīng)急小組負(fù)責(zé)人報(bào)告；

2．處理

游泳館接到安全事故突發(fā)事件報(bào)告，應(yīng)迅速派人趕到事故現(xiàn)場，立即進(jìn)行專業(yè)處理，應(yīng)急小組負(fù)責(zé)人應(yīng)迅速趕到事故現(xiàn)場指揮解決問題，并及時(shí)上報(bào)董事會。

3．聯(lián)系電話

處理溺水的應(yīng)急小組電話：

處理受傷、突發(fā)疾病等事故電話：

急救中心：120

安全事故：110報(bào)警，

第7篇：信息安全情況報(bào)告范文

【 關(guān)鍵詞 】 信息安全；電力企業(yè)；風(fēng)險(xiǎn)評估；管理模式

1 引言

在如今的信息化社會中，信息通過共享傳遞實(shí)現(xiàn)其價(jià)值。在信息交換的過程中，人們肯定會擔(dān)心自己的信息泄露，所以信息安全備受關(guān)注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個(gè)開放互聯(lián)的環(huán)境，接入網(wǎng)絡(luò)的方式多樣，再加上技術(shù)存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè)，作為重要的一環(huán)納入到整個(gè)企業(yè)管理體系中去。

2 電力企業(yè)信息管理體系建設(shè)的依據(jù)

關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個(gè)部分內(nèi)容：信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實(shí)施規(guī)則是一個(gè)基礎(chǔ)性指導(dǎo)文件，里面有10大管理項(xiàng)、36個(gè)執(zhí)行的目標(biāo)和127種控制的方法，可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個(gè)參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立、施工和維護(hù)信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標(biāo)準(zhǔn)，如GB 15851―1995。

關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多，如何針對企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要，尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎。我國電力企業(yè)已經(jīng)引入了一些國際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證，關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下，也應(yīng)該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求。

3 信息安全管理體系里的重要環(huán)節(jié)

3.1 硬件環(huán)境要求

信息安全管理體系并沒有特別要求添加什么特別的設(shè)備，只是對企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式，內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離。企業(yè)每個(gè)員工基本都有自己的移動(dòng)設(shè)備，如手機(jī)等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展。另外，實(shí)時(shí)監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備，監(jiān)控硬件設(shè)備的安全。

3.2 軟件環(huán)境要求

在企業(yè)設(shè)備（主要是計(jì)算機(jī)）上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外，企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題，都在信息安全管理體系設(shè)計(jì)的考慮范疇。

3.3 企業(yè)員工管理

盡管現(xiàn)在一直倡導(dǎo)智能化，但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工。不管是對設(shè)備終端操作來進(jìn)行信息的首發(fā)，還是對企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作，都是有員工來進(jìn)行的。所以，對企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)，然后對培訓(xùn)結(jié)果進(jìn)行考核，不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核。另外，如果有條件的話，企業(yè)應(yīng)該定期（例如每年）進(jìn)行一次信息安全的相關(guān)演習(xí)。

另外，電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的，這時(shí)候會有施工人員和駐場人員在電力企業(yè)，對這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。

3.4 信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評估

風(fēng)險(xiǎn)評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個(gè)重要途徑，它是對企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用下所帶來的風(fēng)險(xiǎn)可能性的評測。風(fēng)險(xiǎn)評估的主要任務(wù)是：檢測評估對象所面臨的各種風(fēng)險(xiǎn)，估計(jì)風(fēng)險(xiǎn)的概率和可能帶來的負(fù)面影響的程度，確定信息安全管理體系承受風(fēng)險(xiǎn)的能力，確定不同風(fēng)險(xiǎn)發(fā)生后消減和控制的優(yōu)先級，對消除風(fēng)險(xiǎn)提出建議。在信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評估過程中，形成《風(fēng)險(xiǎn)系數(shù)評估報(bào)告》、《風(fēng)險(xiǎn)處理方案》等文檔，作為對信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險(xiǎn)系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對風(fēng)險(xiǎn)的理解，企業(yè)員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風(fēng)險(xiǎn)系數(shù)評估的過程中，可以進(jìn)行一些員工的問卷調(diào)查等，把員工對風(fēng)險(xiǎn)的認(rèn)識納入風(fēng)險(xiǎn)評估的考慮范疇。

企業(yè)的設(shè)備會老舊更換，員工也會更換，所以企業(yè)的信息安全是動(dòng)態(tài)的，因此風(fēng)險(xiǎn)評估工作也要視具體情況定期進(jìn)行，針對當(dāng)前情況作評估報(bào)告，然后制定相應(yīng)的風(fēng)險(xiǎn)處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點(diǎn)就是體系內(nèi)各個(gè)模塊的結(jié)合，信息安全管理體系的風(fēng)險(xiǎn)評估與關(guān)鍵內(nèi)容的實(shí)時(shí)監(jiān)控就應(yīng)該結(jié)合起來。

為了降低信息安全管理體系的風(fēng)險(xiǎn)系數(shù)，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項(xiàng)工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評測方法。這個(gè)測試過程會對系統(tǒng)的可知的所有弱點(diǎn)、技術(shù)方面的缺陷或者漏洞等作主動(dòng)的分析。滲透測試對于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價(jià)值。隨著技術(shù)的不斷進(jìn)步，可能還會出現(xiàn)其他的更有價(jià)值的信息安全技術(shù)，作為信息安全備受矚目的電力企業(yè)，應(yīng)當(dāng)時(shí)刻關(guān)注相關(guān)技術(shù)的進(jìn)展，并及時(shí)將它們納入企業(yè)信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業(yè)信息安全是動(dòng)態(tài)的，所以信息安全管理體系需要建立一個(gè)長效的機(jī)制，針對最新的情況及時(shí)對自身作出調(diào)整，使信息安全管理體系有效的運(yùn)行?，F(xiàn)在一般會采用PDCA循環(huán)過程模式：計(jì)劃，依照體系整個(gè)的方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)系數(shù)、提高信息安全的有關(guān)的安全方針、過程、指標(biāo)和程序等；執(zhí)行：實(shí)施和運(yùn)作計(jì)劃中建立的方針、過程、程序等；評測：根據(jù)方針、目標(biāo)等，評估業(yè)績，并形成報(bào)告，也就是文章前面說到的風(fēng)險(xiǎn)系數(shù)評估；舉措：采取主動(dòng)糾正或預(yù)防措施對體系進(jìn)行調(diào)整，進(jìn)一步提高體系運(yùn)作的有效性。這四個(gè)步驟循環(huán)運(yùn)轉(zhuǎn)，成為一個(gè)閉環(huán)，是信息安全管理體系得到持續(xù)的改進(jìn)。

4 重要技術(shù)及展望

4.1 安全隔離技術(shù)

電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成，從被防御的角度來看的話，內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻、桌面弱口令監(jiān)控、入侵檢測技術(shù)等；而主動(dòng)防護(hù)則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)，在內(nèi)網(wǎng)設(shè)立防火墻，在內(nèi)外網(wǎng)之間進(jìn)行物理隔離。

4.2 數(shù)據(jù)加密技術(shù)

企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進(jìn)行加密來降低信息泄露的風(fēng)險(xiǎn)?？梢愿鶕?jù)電力企業(yè)內(nèi)部具體的安全要求，對規(guī)定的文檔、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r(shí)候，除了對數(shù)據(jù)進(jìn)行加密外，還應(yīng)該在鏈路兩端進(jìn)行通道加密。

4.3 終端弱口令監(jiān)控技術(shù)

終端設(shè)備眾多，而且是業(yè)務(wù)應(yīng)用的主要入口，所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過于簡單薄弱，相當(dāng)于沒有設(shè)定而將設(shè)備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線，因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強(qiáng)這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要。

電力企業(yè)信息安全管理體系是一個(gè)復(fù)雜的系統(tǒng)，包含眾多的安全技術(shù)，如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認(rèn)證技術(shù)、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)，電力企業(yè)都應(yīng)當(dāng)關(guān)注，并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會應(yīng)用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢？不妨做一個(gè)展望，電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力，在信息安全環(huán)境越來越復(fù)雜，信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢？這應(yīng)該是值得期待的。

5 防病毒軟件部署

電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署，如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能，能夠很大程度地減輕維護(hù)人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行，在電力企業(yè)內(nèi)部正式使用時(shí)，盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器。

服務(wù)器安裝配置好賽門鐵克防病毒軟件后，可以遠(yuǎn)程控制客戶端與下級升級服務(wù)器的軟件安裝與升級。

電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的，這樣的話，防病毒軟件的更新可能無法自動(dòng)完成。防病毒軟件需要升級的時(shí)候，維護(hù)人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動(dòng)升級更新。圖1是一個(gè)簡單的框圖，如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話，還可以更多級地分布部署。

6 結(jié)束語

電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān)，是企業(yè)整個(gè)管理系統(tǒng)的一部分。信息安全管理體系是一個(gè)整體性的管理工作，把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理，讓它們協(xié)調(diào)運(yùn)作，實(shí)現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定、有效地維護(hù)企業(yè)的信息安全。

參考文獻(xiàn)

[1] 王志強(qiáng)，李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù)，2013（1）：180-187.

[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識與技術(shù)，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用，2001， 21（10）： 20-23.

[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué)，2004（14）：125-127.

作者簡介：

崔阿軍（1984-），男，甘肅平?jīng)鋈?，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

張馴（1984-），男，江蘇揚(yáng)州人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：信息化建設(shè)及安全技術(shù)。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息化建設(shè)及安全技術(shù)。

第8篇：信息安全情況報(bào)告范文

關(guān)鍵詞：氣象信息網(wǎng)絡(luò)；安全；病毒

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 (2012) 06-0101-01

一、引言

氣象信息網(wǎng)絡(luò)已經(jīng)成為氣象業(yè)務(wù)正常運(yùn)行的重要組成部分，它是相關(guān)人員了解氣象政務(wù)和天氣預(yù)報(bào)等信息的重要媒體。通過這一媒介，預(yù)報(bào)人員可通過氣象信息網(wǎng)絡(luò)傳輸?shù)哪Ｊ綌?shù)據(jù)等，做出準(zhǔn)確的天氣預(yù)報(bào)和氣候預(yù)測。決策服務(wù)人員可根據(jù)實(shí)際天氣情況，氣象災(zāi)害預(yù)警和氣候預(yù)測等信息。公眾氣象信息網(wǎng)絡(luò)的這些信息來安排自己的工作、學(xué)習(xí)和生活。但隨著網(wǎng)絡(luò)病毒、計(jì)算機(jī)黑客的不斷入侵，互聯(lián)網(wǎng)的安全性越來越低，我們的氣象信息網(wǎng)絡(luò)正面臨日益嚴(yán)重的安全威脅。氣象信息網(wǎng)絡(luò)隨時(shí)都有可能遭到有意或無意的黑客攻擊或者病毒傳播。人們是如此地依賴氣象信息網(wǎng)絡(luò)，以至于任何因素網(wǎng)絡(luò)安全事故都可能造成無法估量的損失和社會影響。維護(hù)氣象信息網(wǎng)絡(luò)安全性已經(jīng)刻不容緩。由于氣象網(wǎng)絡(luò)系統(tǒng)在管理和制度上普遍存在缺陷，一些條件較差的基層臺站甚至沒有專職計(jì)算機(jī)網(wǎng)絡(luò)管理人員。還有一些再基層氣象職工計(jì)算機(jī)水平較低，機(jī)房設(shè)備較差，這對氣象網(wǎng)絡(luò)的安全極為不利。

二、提高氣象信息網(wǎng)絡(luò)安全的幾個(gè)途徑

（一）加強(qiáng)路由器控制，防止IP地址非法探測

加強(qiáng)路由器控制，防止IP地址非法探測時(shí)提高氣象信息網(wǎng)絡(luò)安全的重要步驟之一。有時(shí)候非法黑客會采用“IP地址欺騙”的方法來進(jìn)行網(wǎng)絡(luò)攻擊前的準(zhǔn)備。其具體做法是：先假扮成氣象信息網(wǎng)絡(luò)內(nèi)部的一個(gè)IP地址，通過Ping、traeeroute或其他命令探測網(wǎng)絡(luò)命令來探測網(wǎng)絡(luò)。一旦發(fā)現(xiàn)漏洞，黑客會利用這些漏洞對氣象信息網(wǎng)絡(luò)進(jìn)行攻擊。針這類安全隱患，網(wǎng)絡(luò)管理人員應(yīng)該在路由器上建立安全訪問控制列表，以防止IP地址非法探測。當(dāng)建立安全訪問控制列表后，可將其放到路由器連接外網(wǎng)接口入口，形成一道控制墻，假如非法訪問者頻繁地利用Ping、traeeroute或其他網(wǎng)絡(luò)探測命令攻擊主機(jī)，可對其進(jìn)行隔斷或阻斷處理。

（二）進(jìn)行端口管理，阻止病毒傳播

很多網(wǎng)絡(luò)病毒利用固定的端口進(jìn)行黑客攻擊和病毒傳播。例如，臭名昭著的Blaster蠕蟲病毒往往利用TCP 4444端口和UDP 69端口向網(wǎng)絡(luò)內(nèi)部的正常主機(jī)傳播病毒。在氣象信息網(wǎng)絡(luò)安全管理時(shí)，加強(qiáng)計(jì)算機(jī)端口管理可在一定程度上阻礙病毒的傳播范圍。例如，網(wǎng)絡(luò)安全管理人員可在路由器的內(nèi)、外網(wǎng)結(jié)構(gòu)設(shè)置ACL，這樣當(dāng)?shù)竭_(dá)路由器時(shí)，病毒數(shù)據(jù)會被路由器的ACL設(shè)置過濾。因此，進(jìn)行端口管理是一種“防患于未然”的安全策略。當(dāng)發(fā)生端口攻擊等計(jì)算機(jī)信息系統(tǒng)安全事故和計(jì)算機(jī)違法犯罪案件時(shí)，網(wǎng)絡(luò)管理人員應(yīng)該立即向單位信息安全責(zé)任人報(bào)告，并采取必要的措施，避免危害擴(kuò)大，并編寫違章報(bào)告、運(yùn)行日志和其他與計(jì)算機(jī)網(wǎng)絡(luò)端口攻擊有關(guān)的安全材料。

（三）提高內(nèi)網(wǎng)安全級別，實(shí)行分級權(quán)限制度

氣象部門為維護(hù)常規(guī)氣象業(yè)務(wù)的正常運(yùn)行，必須實(shí)行網(wǎng)絡(luò)安全級別的安全管理。一般來說，可將氣象部門的內(nèi)部網(wǎng)絡(luò)按照安全級別分為三個(gè)級別：即業(yè)務(wù)子網(wǎng)級別、辦公子網(wǎng)級別和服務(wù)器級別，并實(shí)行分級權(quán)限制度。通過利用三層交換機(jī)策略對子網(wǎng)間的相互訪問進(jìn)行權(quán)限控制安全級別高的子網(wǎng)可以訪問安全級別低的子網(wǎng)，同時(shí)禁止低級別的子網(wǎng)訪問高級別的子網(wǎng)。當(dāng)?shù)图墑e的子網(wǎng)網(wǎng)絡(luò)感染病毒后，不至于傳染至高級別子網(wǎng)，這樣可在很大程度上防止和阻斷網(wǎng)絡(luò)間病毒的傳播。網(wǎng)絡(luò)管理人員要執(zhí)行氣象信息網(wǎng)絡(luò)安全的分級保護(hù)技術(shù)措施，對計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行情況進(jìn)行檢查，及時(shí)查處不安全因素，排除安全隱患。

（四）實(shí)行網(wǎng)絡(luò)流量控制，確保業(yè)務(wù)數(shù)據(jù)正常通行

通常在氣象信息網(wǎng)絡(luò)沒有感染病毒時(shí)網(wǎng)絡(luò)帶寬應(yīng)該能夠滿足業(yè)務(wù)數(shù)據(jù)的正常傳輸。假如網(wǎng)絡(luò)中的終端計(jì)算機(jī)感染了“蠕蟲”病毒或一些木馬程序后，網(wǎng)絡(luò)流量會出現(xiàn)異動(dòng)。有時(shí)，網(wǎng)絡(luò)中會產(chǎn)生海量的數(shù)據(jù)流量，嚴(yán)重的甚至?xí)庀笮畔⒕W(wǎng)絡(luò)的帶寬完全耗盡，并導(dǎo)致業(yè)務(wù)網(wǎng)絡(luò)的阻塞或完全癱瘓。由于天氣預(yù)報(bào)、氣候預(yù)測等正常的氣象業(yè)務(wù)運(yùn)行需要?dú)庀髷?shù)據(jù)及時(shí)準(zhǔn)確的傳輸和傳達(dá)，網(wǎng)絡(luò)流量耗盡或阻塞將給氣象業(yè)務(wù)的正常運(yùn)行帶來巨大的隱患。因此，為確保常規(guī)氣象業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確、及時(shí)傳輸，必須要對一些非業(yè)務(wù)的數(shù)據(jù)流量加強(qiáng)管理和限制，防止因?yàn)樯倭拷K端計(jì)算機(jī)的不正常而殃及整個(gè)網(wǎng)絡(luò)。氣象信息安全的相關(guān)人員應(yīng)根據(jù)國家法律法規(guī)和有關(guān)政策要求，遵循國家“積極防御、綜合防范”的方針，確定氣象信息安全工作的策略、重點(diǎn)、制度和措施順利事實(shí)。

（五）終端計(jì)算機(jī)的網(wǎng)絡(luò)安全管理

計(jì)算機(jī)終端的安全是是氣象信息網(wǎng)絡(luò)安全的重要組成部分。病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障，常常給整個(gè)網(wǎng)絡(luò)帶來安全隱患，嚴(yán)重的甚至能導(dǎo)致系統(tǒng)崩潰。因此，對于終端計(jì)算機(jī)一定要加強(qiáng)網(wǎng)絡(luò)安全管理。因此要定期或不定期組織終端計(jì)算機(jī)系統(tǒng)的安全風(fēng)險(xiǎn)評估，檢查安全運(yùn)行情況，并根據(jù)評估報(bào)告對系統(tǒng)安全措施進(jìn)行完善與升級，及時(shí)排除安全隱患。具體的辦法和措施有：進(jìn)入安全模式，使用殺毒軟件、360安全衛(wèi)士、金山清理專家進(jìn)行殺毒或者重裝系統(tǒng)等。

三、結(jié)語

總之，氣象信息網(wǎng)絡(luò)的安全保障工作是一項(xiàng)關(guān)系氣象業(yè)務(wù)健康穩(wěn)定發(fā)展的長期任務(wù)，要充分認(rèn)識加強(qiáng)信息安全保障工作的重要性和緊迫性，把信息安全工作列入重要議事日程，明確任務(wù)，落實(shí)責(zé)任，建立并認(rèn)真落實(shí)信息安全責(zé)任制。在管理制度方面，要建立健全氣象信息安全組織機(jī)構(gòu)、建立健全氣象信息網(wǎng)絡(luò)安全責(zé)任體系、建立一整套氣象信息網(wǎng)絡(luò)安全管理和信息安全應(yīng)急處置等制度，最后，相關(guān)部門要宣傳貫徹國家信息安全相關(guān)法律、法規(guī)、規(guī)章和有關(guān)政策，并組織對氣象信息網(wǎng)絡(luò)管理人員進(jìn)行信息安全教育建設(shè)并完善信息安全保障體系，推動(dòng)信息安全工作的發(fā)展。信息網(wǎng)絡(luò)安全責(zé)任人要正確處理好安全與發(fā)展的關(guān)系，建立信息安全長效機(jī)制，落實(shí)信息安全措施，切實(shí)履行好信息安全保障責(zé)任。

參考文獻(xiàn)：

[1]陳曉字,王曉明,孫鵬.淺談廣東省氣象局網(wǎng)絡(luò)安全防護(hù)體系的部署[J].廣東氣象,2004,26(3):41-43

第9篇：信息安全情況報(bào)告范文

(一)安全管理制度落實(shí)情況。重點(diǎn)檢查信息安全主管領(lǐng)導(dǎo)、管理機(jī)構(gòu)和管理人員的落實(shí)情況，信息安全制度落實(shí)情況，信息安全經(jīng)費(fèi)保障情況。

(二)安全防范措施落實(shí)情況。重點(diǎn)檢查安全技術(shù)措施的有效性以及安全防護(hù)措施的落實(shí)情況。

(三)應(yīng)急響應(yīng)機(jī)制建設(shè)情況。重點(diǎn)檢查應(yīng)急預(yù)案制定、演練、落實(shí)情況，應(yīng)急技術(shù)支援隊(duì)伍建設(shè)情況，重大信息安全事故處置情況以及系統(tǒng)備份情況。

(四)信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況。重點(diǎn)檢查使用國產(chǎn)產(chǎn)品情況，信息安全服務(wù)外包情況，以及對因特殊原因選用國外信息技術(shù)產(chǎn)品和信息安全服務(wù)的安全審查情況。

(五)安全教育培訓(xùn)情況。重點(diǎn)檢查工作人員參加信息安全培訓(xùn)、掌握信息安全常識和技能、重點(diǎn)崗位持證上崗等情況。

(六)責(zé)任追究情況。重點(diǎn)檢查對違反信息安全規(guī)定行為和造成泄密事故、信息安全事故的查處情況，對責(zé)任人和有關(guān)負(fù)責(zé)人的責(zé)任追究以及懲處措施落實(shí)情況。

(七)安全隱患排查及整改情況。重點(diǎn)檢查對安全制度、防范措施、設(shè)備措施等方面存在的漏洞和薄弱環(huán)節(jié)的排查情況，以及分析產(chǎn)生問題和隱患的原因，研究制定和落實(shí)整改措施等情況。

(八)評估信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況。深入分析外部安全形式和內(nèi)部防范措施的有效性，全面評估信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況。

二、檢查方式

安全檢查以各單位自查與統(tǒng)一組織現(xiàn)場檢查相結(jié)合的方式進(jìn)行。市信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)政府信息系統(tǒng)安全檢查的協(xié)調(diào)、指導(dǎo)、監(jiān)督工作，會同保密、機(jī)要、公安等部門和信息安全領(lǐng)域的專家聯(lián)合成立*市政府信息系統(tǒng)安全檢查組，對各級、各部門進(jìn)行現(xiàn)場檢查，聽取被檢查單位網(wǎng)絡(luò)與信息安全有關(guān)情況匯報(bào)，對機(jī)房、安全防護(hù)設(shè)施等重要部位進(jìn)行實(shí)地檢查，對網(wǎng)絡(luò)及系統(tǒng)進(jìn)行必要的安全測試。檢查結(jié)束后，對存在的問題提出整改措施和建議。

三、檢查步驟與時(shí)間安排

本次檢查分三個(gè)階段進(jìn)行：

(一)自查階段(2009年5月-2009年6月)。各級、各部門開展自查，形成自查報(bào)告報(bào)市信息化工作領(lǐng)導(dǎo)小組辦公室。聯(lián)系人：*；聯(lián)系電話*；傳真*。

(二)現(xiàn)場檢查階段(2009年6月-2009年10月)。檢查工作組對各縣(市)、區(qū)和重點(diǎn)要害單位開展現(xiàn)場檢查，針對存在問題提出整改要求，相關(guān)單位根據(jù)檢查工作組的要求進(jìn)行整改。

(三)總結(jié)階段(2009年10月)。檢查組將檢查結(jié)果以書面形式報(bào)市信息化工作領(lǐng)導(dǎo)小組辦公室，市信息化工作領(lǐng)導(dǎo)小組辦公室匯總整理后將有關(guān)情況進(jìn)行通報(bào)。

四、具體要求

(一)切實(shí)加強(qiáng)領(lǐng)導(dǎo)。開展信息安全檢查既是對各重要信息系統(tǒng)安全狀況的調(diào)查了解，也是促進(jìn)各級、各部門加強(qiáng)信息系統(tǒng)安全工作和規(guī)范化管理的過程，要從維護(hù)全市信息安全、講政治講大局的高度，充分認(rèn)識其重要性，主管領(lǐng)導(dǎo)要親自抓，按照本方案的要求，認(rèn)真組織和完成單位信息系統(tǒng)安全檢查工作。

(二)明確責(zé)任分工。政府信息系統(tǒng)安全檢查組負(fù)責(zé)組織現(xiàn)場檢查，并將結(jié)果向市信息化領(lǐng)導(dǎo)小組辦公室匯報(bào)。市信息化領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)組織、協(xié)調(diào)本次專項(xiàng)檢查工作，公安局重點(diǎn)檢查等級保護(hù)制度落實(shí)情況，保密局重點(diǎn)檢查網(wǎng)絡(luò)和信息系統(tǒng)保密管理情況，機(jī)要局重點(diǎn)檢查密碼設(shè)備使用和管理情況。各單位信息化主管部門，負(fù)責(zé)網(wǎng)絡(luò)與信息安全檢查組織實(shí)施、材料上報(bào)等工作，配合政府信息系統(tǒng)安全檢查組進(jìn)行檢查。