按照总体国家安全观主题教育网络培训通知要求,我校认真谋划,精心组织,选派骨干教师,积极参与培训工作,现将培训工作总结如下:
一、领导重视,合理安排
为做好本次网络培训工作,确保培训取得实效,我校党委组织部根据工作需要,选派中层干部、骨干教师共4人参加培训,统筹组织部副部长和一名工作人员专门为培训人员搞好服务保障,确保培训工作的顺利开展。
二、精心组织,认真学习
一、加强顶层设计,确立信息安全教育国家战略
1.《网络空间安全国家战略》
布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
3.联邦政府信息技术安全培训标准(FIPS)
FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
二、结合实际,提升信息安全保障措施
外汇分局在查找出信息安全风险隐患后,应结合自身实际,从管理和技术两方面采取相应的防护措施。
(一)加大信息安全管理制度的体系建设
(二)加强信息安全技术防护措施
(三)强化信息安全教育培训
外汇分局应采取各种方法做好信息安全教育培训。除开展提高安全意识的培训外,还需要加强信息安全知识及安全防护技能的培训。
(二)作为全校选修课中的一个课程
将学生安全教育纳入学校教育主渠道,设为学生的必修课或公选课中的必选课,落实相应的学分,有统编规划的教材,应该是《首都教育安全稳定“十一五”规划》中安全教育要实现“三进”的初衷。但是现实上,将学生安全教育列入学生的必修课或公选课中的必选课是比较困难的,但就从师资队伍这个方面就比较难解决,更不用说同其它课程争夺学分的问题了。目前,将学生安全教育纳入学校教育主渠道的形式,开设安全教育公选课,由职能部门的干部作为授课教师,从网络上、从书店里找一些参考资料,制作成教案,将知识传授给选课的一个班或几个班的学生。此种安全教育的方式,虽能调动一些学生的积极性,能够不断为学生补充新的安全知识,但是覆盖面有限。在此种方式下,如何解决覆盖面的问题,同样是各高校教育同仁深入思考的一个问题。
(三)作为信息宣传提示的一个内容
将学生需要了解和掌握的安全知识,以标语的形式通过横幅、展板、电子显示屏、网络等进行广而告之,是各高校阶段性宣教安全知识的一种主要形式,是对课堂教学不能全员覆盖的一种有意义的补充,是不断强化学生安全意识,做好自我保护的一种较好的方式。但是,此种方式传递的安全知识不全面、系统、深入,对教育的组织者而言是一种被动的实施,主动性完全掌握在学生自身,熟视无睹是对此种方式最致命的打击。所以,如何使得学生安全知识教育全面、系统、深入、主动,同样又是各高校教育同仁深入思考的一个问题。
二、首都高校大学生安全教育探索实践
大学生的安全教育势在必行,如何以“学生受益”为目标,同时又能调动全体学生学习安全知识的主动性,将全面、系统、深入的安全知识传授给学生,是高校学生安全教育组织者深入探索和实践的课题。北京农学院在深入开展“平安校园”创建过程中,积极探索学生安全稳定教育的新模式,搭建安全知识教育网络平台,利用网络技术,实现全面、系统、深入并时时、处处、全员的安全知识教育。
(一)强大平台功能,实现教育便捷实施
(二)权威教育资源,实现教育系统深入
(三)平台三大特色,创新安全教育模式
安全稳定教育网络平台三大特色:教育网络化、内容多样化、参与全员化,创新了安全稳定教育模式。
2.内容多样化,积极调动学习趣味。安全稳定教育网络平台提供多种形式的安全教育素材,比如新闻、热点事件的视频、PPT课件、典型案例等,并且将学生需要及时了解和掌握的安全知识,进行阶段性的调整、补充,增加了学习趣味性,从而调动学生学习的积极性。使平台在校园安全教育方面发挥重要作用,切实为广大学生的安全教育带来帮助。3.参与全员化,实现教育落实到位。安全稳定知识网络平台充分发挥教育的主渠道作用,将安全知识学习覆盖到每一名研究生、本科生和专科生,对来校的长短期留学、培训的学生都有一定的学习要求,真正将安全教育培训落实到位,做到安全教育的全覆盖。
1.1管理层方面
管理层方面的信息安全大致也包括物理层方面和管理层方面。
1.2网络层方面
网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。(1)网络。主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。
(2)系统。造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。
(3)应用。在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。
二、信息安全教育
2.1保密协议
在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁善。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻幵始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对干信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。
2.2信息安全管理制度
2.3员工职业素养的教育
在企业内部对员工的职业素养也需要进行培训。譬如对干一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基要求。
2.4普及计算机及网络知识的教育
企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机:,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家见或是其他计算机k的病毒带到企业内部,导致企、计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更尚的信息安全意识。
1.举办了2期专用线道口工培训。
2.举办了2期营业线施工监护人员培训。
3.举办了轨道检查仪、电子水准仪操作、使用、数据处理及分析培训班。
4.举办了3期集中修施工路工及雇工安全教育培训。
5.举办了一期营业线施工防护员培训(补培)。
6.举办了一期焊轨技术培训。
7.举办了2期新监控终端及工务安全生产管理培训。
8.对新调入人员进行了三级安全教育培训。
9.根据段领导工作要求,组织了全段防护员、工班长防护知识强化培训。
10.组织对2018年以来新取证防护员进行了防护知识强化培训。
11.组织对高铁岗位线路工、桥隧工进行专业知识及应急强化培训。
13.组织了全员《集团公司营业线施工安全管理实施细则》219、220号文件学习培训考试。
14.组织对2020年度添乘人员进行了电气化作业安全培训考试。
15.组织开展了铁路环境安全整治培训及考试。
16.组织了上半年机动车驾驶员培训考试。
17.利用钉钉网课对新职人员进行岗前资格性培训。
18.组织开展了全员劳动安全教育培训。
19.组织开展了防洪防胀培训考试。
20.承办了集团公司职教管理人员培训。
21.承办了集团公司工务系统高铁岗位线路工技能竞赛。
二、重点工作完成情况
2.把控安全重点,强化关键岗位人员培训。一是强化“三新”人员培训。牢牢把握“岗前培训、考试合格、持证上岗”的工作底线,按照“三新”人员培训管理办法,组织对59名新职及80名零星转岗、调入的人员进行了岗前安全和业务培训,并利用钉钉网课的形式对59名新职人员进行了岗前资格性培训。二是强化施工安全培训,强化对工班长、防护员、施工监护人员培训,严格培训过程控制和结果考核,对培训考试不合格不能胜任岗位工作的人员坚决不予注册,确保关键岗位人员业务素质达标。三是强化对自轮运转和机动车驾驶员培训,结合新型应急起复器的使用、施工及防洪期间运行安全,组织开展了两次轨道车司机培训及应急演练,突出抓好轨道车司机标准化作业能力培训。四是落实开展“敬畏规章、执行标准、夯实基础”专项教育,下发了活动方案,以“四纳入、一竞赛”为抓手,一是将规章制度专项教育纳入年度行车主要工种三年轮训;二是将规章制度专项教育纳入各类岗位适应性培训;三是将规章制度专项教育纳入车间班组月度学习计划;四是将规章制度专项教育纳入机关干部送课到一线活动;组织开展规章学习与法律知识竞赛,以此来促进活动的持续深入开展。
4.以竞技促提升,深化岗位练兵和技能竞赛活动。一是以组织开展车间团体技能竞赛为依托,每季组织开展一次车间团体对抗赛,上半年组织了焊轨和高铁线路工技能对抗赛。二是以提升职工业务技能为重点,组织开展了线路工、探伤工、轨道车司机技能竞赛,并承办了集团公司Ⅱ类高铁线路工技能竞赛,获得了第2、3、4、5、7名的好成绩。
5.加强教材课件开发,充实完善教育培训资源。为丰富段、车间、班组培训资源,在去年获得集团公司教材课件开发优秀单位的基础上,为合理有效地用好奖励经费,起草下发了《工务段关于开展教材课件评比和授课能手比赛活动通知》,在全段范围内征集培训教材和课件,同时,为促进活动的开展,职教科将活动与车间班组安全教育培训课件开发和专业管理干部送科到一线活动结合起来,指定专业科室人员围绕职教科精品课程库进行开发,选择优秀专兼职教员围绕车间、班组安全教育培训课程进行录制,在此基础上,鼓励大家结合作业和培训要求编写和开发教材,用于补充和完善手机平台和车间培训资源。二是根据职培部、工务部要求,认真编写了《高速安规》和车间、班组安全培训讲义编写,如期完成了《高速安规》的编写上报,并对安全培训讲义进行了二次修订。
7.强化职工法律法规、网络安全和事故案例教育培训。以《劳动法》、《铁路法》、《铁路安全管理条例》等法律法规、事故案例以及网络安全管理为重点实施培训,将法律法规、网络安全和案例教育常态化纳入车间月度学习计划,经常性地做好安全警示教育,通过不断的强化学习,深挖细剖安全生产中存在的突出问题、惯性问题和违法违纪行为,使职工深刻认识到违章就是违法,从而树立牢固的法治观念和安全责任意识,进一步增强岗位责任感和防范处理事故的能力。
8.加强专兼职师资队伍管理考核。一是加强段及车间职教管理人员和专职技教员、兼职教员队伍建设,配齐配强专职技教员、兼职教员队伍。二是加强兼职教员考核力度,按照授课任务完成情况实行动态考核管理,对8名未按要求完成培训授课任务的兼职教员扣发月度奖励津贴并进行了考核通报。
一、技校学生校园安全教育现状
1.日常安全教育情况
目前,由于受教学条件、师资力量的限制,多数技校还没有设置安全教育课程。学校的安全教育工作还没有形成一个系统的安全教育模式和体系。另外,学校开展安全教育的途径比较单一,对安全教育的内容涉及面较窄,学生对安全教育的直观体验还比较模糊。
2.网络安全防范意识状况
随着互联网的普及和应用,学生已达到人人上网的程度。传统的安全教育对新时期的社会交往安全,尤其是网络安全的教育涉及较少。然而,网络信息的虚拟性和隐蔽性等特点,使得网络犯罪不断上升。在这种新型犯罪中,成为受害群体的学生不在少数,因此,有必要加强学生的网络安全防范意识。
二、安全防范意识的改进策略
1.加大安全防范宣传教育工作
学校首先要提高对校园安全教育工作的重视程度,设立学校安全教育管理部门,拿出专项安全教育管理经费,采取多种宣传教育手段,如召开安全教育大会、观看安全教育片、发放安全教育图书、设置开展安全教育技能课程等多种方式,让学生更深入地了解安全教育的必要性,提高学生的主动安全意识。
2.做好安全教育培训工作
3.建立稳定长效的管理机制
校园安全教育工作重在平时管理,只有保证各个环节不出问题,才能实现安全稳定的管理目标。学校要把安全教育纳入日常的教育工作中,根据实际情况制定校园安全管理制度,落实安全管理措施,明确安全管理目标。在具体的安全教育管理工作中,要进行明确的责任分工。同时,要做好管理过程的监督工作,查看安全教育工作的实施是否到位,验收管理成效,把校园安全教育贯彻于学生的整个学习生活中,实现校园安全教育的连贯性和长效性。
4.重视安全预防及安全监督工作
安全教育关系到广大师生切身利益的必要举措。校园安全教育工作要坚持“预防为主、安全第一、综合治理”的管理方针。在安全教育的工作中,一旦发现苗头性、规律性、倾向性的问题,要及时进行分析,做出有针对性的预防措施。广大师生要时刻保持忧患意识,化被动接受为主动参与,并对安全教育工作的各个环节和效果进行监督,促使安全教育管理工作更加细致有效。
5.加强自身知识的学习和丰富
6.创新安全教育知识的途径和内容
学校可以通过举办安全教育主题辩论赛、安全教育主题征文、安全教育讲座、安全教育网站等新形式,来进行安全教育,吸引广大学生积极参与,以起到教育和警示作用。学校应设立安全教育的激励机制,鼓励教师传授学生比较贴近生活的安全知识,如人际交往特别是异往的安全常识、网络信息安全的防范、心理健康知识、地震、水灾等生态安全知识等,教学生学会自我保护,使其面对危险时能做到自我调试,掌握更多防范风险的方法与途径。
三、小结
校园安全教育的目的是为了保护学生的身心健康,保证正常的学习环境和学校的快速发展。广大师生要增强安全意识,主动学习安全知识,提高安全技能,为创造和谐稳定的校园环境共同努力。
参考文献:
1.1信息安全组织临时化
通常,企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升。
1.2员工上网无限制
1.3个人移动设备(BYOD)使用泛滥
在企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公。企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线Wi-Fi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险。
1.4信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多企业的广泛采用。尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对企业的业务带来了不同程度的影响。同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态。不仅如此,部分企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护。
1.5信息安全事件处理不及时
2改进企业信息安全管理的对策
2.1建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行。企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证。信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等。
2.2加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识。为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全。企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定。对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主。除了对企业的人员进行教育培训,还需对其进行规范化管理。对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患。
2.3完善信息安全技术体系
一是保障并完善数据安全,企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失。
二是保障并完善终端安全,企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播。
一、信息安全自查工作组织开展情况
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、分析,提高了对全台网络与信息安全状况的掌控。
二、信息安全工作情况
1、8月6日完成信息系统的自查工作部署,并研究制定自查实施方案,根据所承担的业务要求和网络边界安全性对硬盘播出系统、非线性编辑系统、XX有线电视传输系统进行全面的梳理并综合分析。
2、8月7日对硬盘播出系统、非线性编辑系统、XX有线电视传输系统进行了细致的自查工作。
(1)系统安全自查基本情况
硬盘播出系统为实时性系统,对主要业务影响较高。目前拥有DELL服务器5台、惠普服务器2台、cisco交换机2台,操作系统均采用windows系统,数据库采用SQLServer,灾备情况为数据级灾备,该系统不与互联网连接。
非线性编辑系统为非实时性系统,对主要业务影响较高。目前拥有DELL服务器6台、华为交换机1台,网关采用UNIX操作系统,数据库采用SQLServer,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用默认规则。
XX有线电视传输系统为实时性系统,对主要业务影响高,灾备情况为数据灾备,该系统不与互联网连接。
(2)、安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
(3)、网络与信息安全培训情况
制定了《XX市广播电视台信息安全培训计划》,2019年上半年组织信息安全教育培训2次,接受信息安全培训人数40人,站单位中人数的20%。组织信息安全管理和技术人员参加专业培训4次。
信息安全检查总结报告范文二:
按照《关于组织开展20xx年全市政府信息系统安全检查工作的通知》(镇信安联办【20xx】5号)要求,我局高度重视,立即组织开展全局范围的信息系统安全检查工作。现将自查情况汇报如下。
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行。
一、信息安全组织管理工作情况
二、日常信息安全管理工作情况
三、信息安全防护管理工作情况
我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。我局经常开展信息安全检查工作,主要对操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、网页篡改情况等进行监管,认真做好系统安全日记。今年,我局在市政府办的指导下试运行协同办公系统,投入10多万元为所有局领导、各处室配置了内网计算机,为涉密处室另配备了涉密计算机,从硬件上加强了涉密信息系统管理。
四、信息安全应急管理工作情况
我局认真做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,落实了应急技术支撑队伍,把工作做深做细做在前面。
五、信息安全教育培训工作情况
六、信息安全专项检查工作情况
目前我局在市行政中心大楼内办公,网络和信息系统便于统一管理,内外网完全物理隔离,内网计算机均在有效管理范围内。局信息安全工作领导小组针对我局的信息安全形势,定期组织由专业技术人员组成的检查小组到各个办公室专项检查网络和信息安全情况,仔细排查信息系统的漏洞和安全隐患,用专用工具查杀木马、病毒,及时加强防范措施,为所有计算机安装了正版杀毒软件和防火墙,有效提高了计算机和网络防范、抵御风险的能力。此外,检查小组针对个别在市行政中心大楼外办公的处室进行了上门检查,不放过任何信息安全死角。在检查的同时,检查小组还就信息安全知识进行了上门培训。经多次检查,我局信息系统总体情况良好,运行正常,未发现重大隐患。
七、信息安全检查工作发现的主要问题及整改情况
(一)存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。
二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
三是遇到计算机病毒侵袭等突发事件处理不够及时。
(二)下一步工作打算
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是进一步扩大对计算机安全知识的培训面,组织信息员和干部职工进行培训。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息安全事故。
信息安全检查总结报告范文三:
根据**市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[20xx]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下:
一、自查情况
(一)安全制度落实情况
1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
4、安装了针对移动存储设备的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的wps系统。
3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。
(五)安全教育培训情况
1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。
2、安全小组组织了一次对基本的信息安全常识的学习活动。
二、自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。
4、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
信息安全检查总结报告范文四:
根据《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》精神,xx月10日,由市电政办牵头,组织对全市政府信息系统进行自查工作,现将自查情况总结如下:
一、网络与信息安全自查工作组织开展情况
xx月10日起,由市电政办牵头,对各市直各单位当前网络与信息安全进行了一次全面的调查,此次调查工作以各单位自查为主,市电政办抽查为辅的方式进行。自查的重点包括:电政办中心机房网络检修、党政门户网维护密码防护升级,市直各单位的信息系统的运行情况摸底调查、市直各单位客户机病毒检测,市直各单位网络数据流量监控和数据分析等。
通过上半年电政办和各单位的努力,我市在网络与信息安全方面主要完成了以下工作:
1、所有接入市电子政务网的系统严格遵照规范实施,我办根据《常宁市党政门户网站信息审核制度》、《常宁市网络与信息安全应急预案》、《“中国常宁”党政门户网站值班读网制度》、《"中国常宁”党政门户网站应急管理预案》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
2、组织信息安全培训。面向市直政府部门及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
4、做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障承诺书,加强互联网出口访问的实时监控,确保xx大期间信息系统安全。
三、自查发现的主要问题和面临的威胁分析
通过这次自查,我们也发现了当前还存在的一些问题:
1、部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。
2、少数单位的工作人员安全意识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的情况。
3、存在计算机病毒感染的情况,特别是U盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
4、信息安全经费投入不足,风险评估、等级保护等有待加强。
5、信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量。
四、改进措施和整改结果
在认真分析、总结前期各单位自查工作的基础上,xx月12日,我办抽调3名同志组成检查组,对部分市直机关的重要信息系统安全情况进行抽查。检查组共扫描了18个单位的门户网站,采用自动和人工相结合的方式对15台重要业务系统服务器、46台客户端、10台交换机和10台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求对抽查单位进行了细致周到的安全巡检,提供了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查情况核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改建议,督促有关单位对照报告认真落实整改。通过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障能力显著提高。
五、关于加强信息安全工作的意见和建议
针对上述发现的问题,我市积极进行整改,主要措施有:
1、对照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求,要求各单位进一步完善规章制度,将各项制度落实到位。
2、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
3、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件责任人,要严肃追究责任。
4、继续完善信息安全设施,密切监测、监控电子政务网络,从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位的安全防护体系。
5、加大应急管理工作推进力度,在全市信息安全员队伍的基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
信息安全检查总结报告范文五:
按照盟信息化领导小组《关于20xx年我盟开展重点领域信息安全检查工作的通知》(阿信领办字〔20xx〕2号)要求,我局对信息安全管理工作进行自查,现报告如下:
一、信息安全检查工作组织开展情况
二、20xx年信息安全主要工作情况
安全管理方面,制定了《阿拉善盟安全生产监督管理局信息安全管理制度》、《存储介质管理制度》、《人员离职离岗安全规定》等制度,重要岗位人员签订了安全保密协议。
教育培训方面,对全体干部职工开展了信息安全教育培训。
三、检查发现的主要问题和面临的威胁分析
1.发现的主要问题和薄弱环节
自查发现个别人员计算机安全意识不强。在以后的工作中我们将继续加强对计算机安全意识教育和防范技能训练让干部职工充分认识到计算机泄密后的严重性与可怕性。
2.面临的安全威胁与风险
无。
3.整体安全状况的基本判断
网络安全总体状况良好,未发生重大信息安全事故。
四、改进措施与整改效果
1.改进措施
为保证网络安全有效地运行,减少病毒侵入,我局就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
2.整改效果
经过培训教育,全体干部职工对网络信息安全有了更深入的了解,并在工作中时刻注意维护信息安全。
1.学历教育
2.安全竞赛
3.单位内训
4.持续教育
信息安全人才教育培养所需条件
信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。
1.体系化教材
2.专业化师资
信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。