信息安全述职报告

　　信息安全述职报告1

　　日前，重庆市通信管理局组织召开了20XX年一季度网络与信息安全管理工作例会，信息安全工作。重庆市通信管理局信息安全管理处相关同志，重庆电信、重庆移动、重庆联通三家基础电信企业相关部门负责人以及工作人员参加了会议。

　　会议对20XX年一季度以来重庆市互联网网络与信息安全管理工作开展情况进行了通报。在信息安全管理方面，各基础电信企业加强网站备案基础数据平台建设与管理，切实开展了空壳备案数据的清理工作；通报了工业和信息化部xx年底开展的备案核查情况，重庆市网站主体的备案信息准确率落后，有待全面提升；以多项互联网专项行动治理为契机，相关部门积极主动清理网站有害信息，网络环境得以有效净化；各企业全面落实“网络信息安全指导意见”，管理体制不断完善，管理能力不断增强。在网络安全管理工作方面，通报了重庆市一季度网络安全形势以及网络安全预警、处置工作的开展情况，同时介绍了“两会”期间网络安全专项保障工作的开展情况。

　　会议听取了三家基础电信企业在网络与信息安全工作方面的汇报，并对下一阶段工作进行了部署。

　　一是全面核正重庆市所有备案信息，通过加强接入服务商（包括省外接入服务商）备案主体真实性核验管理、严格备案审核等措施，全力提高备案信息准确率；

　　二是于6月30日前完成企业备案系统接口的升级工作，完善上报网站备案信息真实性核验材料等接口，有效提升网站真实性核验工作水平；

　　三是将日常监管与专项行动治理结合起来，非法网站及有害信息的处置等工作，营造良好的网络环境；

　　四是开展贯彻落实指导意见的监督检查工作，指导企业全面落实信息安全管理措施；

　　五是组织三家基础电信企业开展互联网络安全应急演练工作，确保建党xx周年重大时期网络与信息安全。

　　信息安全述职报告2

　　一、信息安全总体情况

　　（一）本年度信息安全工作主要情况

　　今年以来，全市从落实各项安全管理制度和规范入手，积极有效地开展了政府信息安全工作，主要完成了以下五项工作：

　　1．落实信息安全规范。全市范围内逐步推行《苏州市电子政务网信息安全规范（试行）》，所有接入苏州电子政务网系统严格遵照规范实施，按照七个区、五个下属市、市级机关顺序，我委定期组织开展安全检查，确保各项安全保障措施落实到位。

　　2．组织信息安全培训。面向全市政府部门CIO及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训，提高了信息安全保障技能。

　　3．加强政府门户网站巡检。定期对政府部门网站进行外部web安全检查，出具安全风险扫描报告，并协助、督促相关部门进行安全加固。

　　4．狠抓信息安全事件整改。今年，省通信管理局通报了几起我市政府部门主机感染“飞客”蠕虫病毒、木马受控安全事件，我市高度重视，立即部署相关工作，向涉及政府部门发出安全通报，责令采取有力措施迅速处置，并向全市政府部门发文，要求进一步加强政府门户网站安全管理。

　　5．做好重要时期信息安全保障。采取一系列有效措施，实行24小时值班制及安全日报制，与重点部门签订信息安全保障承诺书，加强互联网出口访问实时监控，确保世博会期间信息系统安全。

　　（二）信息系统安全检查工作开展情况及检查效果

　　按照省网安办统一部署，我市及时制定了《xx年度苏州市政府信息系统安全检查工作方案》，五市七区及市级机关各部门迅速展开了自查工作，**家单位上报了书面检查报告，较好地完成了自查工作。在认真分析、总结前期各单位自查工作基础上，9月中旬，市发改委会同市国密局、市公安局和信息安全服务公司抽调21名同志组成联合检查组，分成三个检查小组，对部分市（区）和市级机关重要信息系统安全情况进行抽查。检查组共扫描了**个单位门户网站，采用自动和人工相结合方式对**台重要业务系统服务器、**台客户端、**台交换机和**台防火墙进行了安全检查。

　　检查组认真贯彻“检查就是服务”理念，按照《工作方案》对抽查单位进行了细致周到安全巡检，提供了一次全面安全风险评估服务，受到了服务单位欢迎和肯定。检查从自查情况核实到管理制度落实，从网站外部安全扫描到重要业务系统安全检测，从整体网络安全评测到机房物理环境实地勘查，全面了解了各单位信息安全现状，发现了一些安全问题，及时消除了一些安全隐患，有针对性地提出了整改建议，并出具了18份书面检查报告，督促有关单位对照报告认真落实整改。通过信息安全检查，使各单位进一步提高了思想认识，完善了安全管理制度，强化了安全防范措施，落实了安全问题整改，全市安全保障能力显著提高。

　　（三）全市信息状况总体评价

　　综合信息系统安全自查和抽查情况看，我市信息系统安全工作整体情况良好，尤其在组织机构、制度建设和日常管理方面，比较完善规范，个别单位还通过了ISO9001质量管理认证，采取了有效安全防护措施，信息安全工作得到了各单位领导普遍重视。但在风险评估、等级保护、应急演练以及经费保障上面都有待于加强。

　　二、主要问题及整改情况

　　（一）主要存在问题

　　经过本次信息安全自查，对照检查标准，主要存在以下一些问题：

　　1．部分单位规章制度不够完善，未能覆盖信息系统安全所有方面。

　　2．少数单位工作人员安全意识不够强，日常运维管理缺乏主动性和自觉性，存在规章制度执行不严、操作不规范情况。

　　3．存在计算机病毒感染情况，特别是U盘、移动硬盘等移动存储设备带来安全问题不容忽视。

　　4．信息安全经费投入不足，风险评估、等级保护等有待加强。

　　5．信息安全管理人员信息安全知识和技能不足，主要依靠外部安全服务公司力量。

　　（二）整改措施

　　针对上述发现问题，我市积极进行整改，主要措施有：

　　1．对照要求，要求各单位进一步完善规章制度，将各项制度落实到位。

　　2．继续加大对机关全体工作人员安全教育培训，提高信息安全技能，主动、自觉地做好安全工作。

　　3．加强信息安全检查，督促各单位把安全制度、安全措施切实落实到位，对于导致不良后果安全事件责任人，要严肃追究责任。

　　4．继续完善信息安全设施，密切监测、监控电子政务网络，从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位安全防护体系。

　　5．加大应急管理工作推进力度，在全市信息安全员队伍基础上组建一支应急支援技术队伍，加强部门间协作，完善应急预案，做好应急演练，将安全事件影响降到最低。

　　三、几点体会及打算

　　信息系统安全检查是一项非常有效、非常重要工作方式，能够督促我们及时发现问题，解决问题。但是，信息安全保障是一项长期工作，过去安全不等于现在安全，现在安全不等于将来安全，需要建立长效机制，加强日常管理。

　　要做好信息安全工作，思想是保障，制度是根本，坚持是关键。强化信息安全意识提高，高度重视信息安全，规范日常操作，是做好信息安全工作重要保障；不断完善各项信息安全制度，做到有章可循，有章必循，严格按照制度来执行，用制度管好人，用人管好技术，信息安全工作才能取得预期效果;信息系统安全维护管理工作必须持之以恒，常抓不懈，以高度负责态度把各项安全工作认真落到实处。

　　信息安全工作必须坚持统一规划、统筹管理、分步建设原则。全市信息安全工作整体一盘棋，在科学、统一信息安全规划指导下，按照《苏州市电子政务网信息安全规范（试行）》(以下简称安全规范)要求，进行统筹管理，根据“重点保护、分等级保护、同步建设”原则分步建设，做到成本和安全间动态平衡，反对把信息安全问题绝对化、静止化、夸大化。苏州电子政务外网分成根区域、节点区域、叶子区域三种区域，每个区域有着不同安全要求，采取不同安全策略，重点关注区域间互联，对区域边界进行安全控制,来隔离区域间安全风险，阻断区域间风险传递。

　　必须强化电子政务项目安全管理职能。按照同步建设原则，各部门在信息化项目立项时要确定安全等级，项目验收时将安全审计作为重要内容之一，安全防护措施未达到相应安全等级，不予通过验收。

　　针对检查中发现一些主要问题，我们将加大信息安全投入力度，将信息安全经费列入单位年度预算，对重要单位、重要信息系统强制配备必要信息安全设备；加大信息安全检查力度，将信息安全检查工作纳入单位工作考评体系，定期、不定期对各单位信息安全实行检查，提高信息安全检查工作力度和效率；加大信息安全培训力度，对各单位信息安全主管和人员定期进行培训，使得负责信息安全人员能够具有一定安全知识，掌握必须安全技能，胜任信息安全工作。

　　信息安全述职报告3

　　接到《河南省卫生计生委关于开展河南省卫生系统网络与信息督导检查工作的通知》后，我院领导高度重视，立即召开相关科室负责人会议，深入学习和认真贯彻落实文件精神，充分认识到开展网络与信息安全自查工作的重要性和必要性，对自查工作做了详细部署，由主管院长负责安排、协调相关检查部门、监督检查项目，由信息科负责具体检查和自查工作，并就自查中发现的问题认真做好相关记录，及时整改，完善。

　　长期以来，我院在信息化建设过程中，一直非常重视网络与信息安全工作，并采取目一套有效的安全管理规范、有效的安全管理措施。自1月9日起，全院开展网络与信息安全工作自查，根据互联网安全和院内局域网安全的'相应特点，逐项排查，消除安全隐患，现将我院信息安全工作情况汇报如下。

　　一、网络安全管理：

　　我院的网络分为互联网和院内局域网，两网络实现物理隔离，以确保两网能够互不影响，独立、安全、高效运行。

　　1．硬件安全，包括防雷、防火、防盗和UPS电源连接等。医院服务器机房严格按照机房标准建设，工作人员坚持每天巡查，排除安全隐患。HIS、LIS、EMR、PACS等服务器、交换机、存储等都有UPS电源保护，可以保证短时间断电情况下，设备运行正常，不至于因突然断电致设备损坏。此外，局域网内所有计算机USB接口施行完全封闭，这样就有效地避免了因外接介质（如U盘、移动硬盘）而引起中毒或泄密的发生。

　　2．网络安全:包括网络结构、密码管理、IP管理等；网络结构包括网络结构合理，网络连接的稳定性，网络设备（交换机、路由器、光纤收发器等）的稳定性，我院会定期检查网络设备的运转情况并在信息科有网络设备备件，发生故障可以第一时间更换以确保医院业务的正常进行。各个医院系统的操作人员，都有自己的登录名和密码，并分配相应的权限，账户施行“谁使用、谁管理、谁负责”的管理制度。互联网和院内局域网根据区域不同划分为5个IP段，均施行固定IP地址，由医院统一分配、管理，不允许私自添加新IP。

　　二、数据库安全管理：

　　我院目前运行的数据库主要是ORACLE数据库，是保证医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础，为确保医院各项业务正常、高效运行，数据库安全管理是极为有必要的。数据库系统的安全特性主要是针对数据的技术防护而言的，包括数据安全性、并发控制、故障恢复、数据库容灾备份等几个方面。我院对数据安全性采取以下措施：

　　（1）将数据库中需要保护的部分与其他部分相隔。

　　（2）采用授权规则，如账户、口令和权限控制等访问控制方法，并对数据库进行了优化，大大提高服务器数据库并发连接数的承载能力。

　　（3）数据库容灾备份是数据库安全管理中极为重要的一部分，是数据库有效、安全运行的最后保障，也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份，每天凌晨备份整个数据库，包含用户表、系统表、索引、视图和存储过程等所有数据库对象。在备份数据的过程中，主、从服务器正常运行，各客户端的业务能正常进行，也即是热备份。

　　三、软件管理：

　　目前我院在运行的软件主要分为三类：医院系统、常用办公软件和杀毒软件。医院系统软件包括HIS、LIS、EMR、PACS等系统，其中HIS系统是我院日常业务中最主要的软件，是保障医院诊疗活动正常进行的基础，自xx年新系统上线以来，运行很稳定，未出现过重大安全问题，并根据业务需要，不断更新充实。常用办公软件均由医院信息科统一安装，维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。所有电脑，均安装了正版杀毒软件（360企业版杀毒软件和安全卫士），并定期更新病毒库，以保证杀毒软件的防御能力始终保持在很高的水平。

　　四、网站安全管理：

　　在信息化高度发达的今天，网络宣传的作用日益突出，网站安全管理工作也不容忽视。我院的网站后台服务器施行托管管理，确保了网站后台服务的稳定性和安全性。我院设专门网站管理员，负责日常更新、维护，严格执行《网站管理规定》，网站自开放以来，从未发生过重大安全问题，并一直运行良好。

　　五、应急处置：

　　我院HIS系统服务器运行安全、稳定，并配备了大型UPS电源，可以保证大面积断电情况下，服务器坚持运行数小时。虽然医院的信息系统长期以来运行良好，但医院仍然制定了应急处置预案，并对收费操作员和医护人员进行过培训，如果医院出现大面积、长时间停电情况，HIS系统无法正常运行，将临时开始手工收费、记账、发药，以确保诊疗活动能够正常、有序地进行，待到HIS系统恢复正常工作时，再补打发票、补记收费项目。

　　总体来说，我院对网络与信息安全工作非常重视，未发生过重大的安全事故，各系统运转稳定，各项业务能够正常运行。但自查中也发现了不足之处，如目前医院信息技术人员少，信息安全力量有限；信息安全意识还够，个别科室缺乏维护信息安全的主动性和自觉性；个别科室的计算机设备配置偏低，服务期限偏长。今后要加强信息技术人员的培养，更进一步提高信息安全技术水平；加强全院职工的信息安全教育，提高维护信息安全的主动性和自觉性；加大对医院信息化建设投入，提升计算机设备配置，进一步提高工作效率和系统运行的安全性。

　　经过了为期一周的自查工作，我院充分意识到安全工作是一个需要常抓不懈的工程，同时要不断创新，改变旧有的管理方法和理念，以适应新形势下的安全管理需要。