关于网络与信息安全工作落实情况地报告

为加强互联网行业网络与信息安全工作，全面加强我公司网络

与信息安全工作， 公司运维部门对公司网络、 信息系统和网站的安全

问题组织了自查，现将自查情况汇报如下：

一、 公司网络与信息安全状况

本次检查采用本单位自查、 远程检查与现场抽查相结合的方式，

检查内容主要包含网络与信息系统安全的组织管理、日常维护、技

术防护、应急管理、技术培训等 5 各方面。

从检查情况看，我司网络与信息安全总体情况良好。公司一贯

重视信息安全工作，始终把信息安全作为信息化工作的重点内容。

网络信息安全工作机构健全、责任明确，日常管理维护工作比较规

范；管理制度完善，技术防护措施得当，信息安全风险得到有效降

低；比较重视信息系统（网站）系统管理员和网络安全技术人员培

训，应急预案与应急处置技术队伍有落实，工作经费有一定保障，

基本保证了公司息系统（网站）持续安全稳定运行。但在网络

安全管理、技术防护设施、网站建设与维护、信息系统等级保护工

作等方面，还需要进一步加强和完善。

二、网络信息安全工作情况

1. 网络信息安全组织管理

按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原

则，公司网络信息安全工作实行“三级”管理。公司设有信息化工

作领导小组，领导小组全面负责公司网络信息安全工作，授权信息

办对全公司网络信息安全工作进行安全管理和监督责任。运维部门

承担 信息系统安全技术防护与技术保障 工作。各部门个单位单位信

息系统和网站信息内容的直接安全责任。

2. 信息系统（网站）日常安全管理

公司有“公司网管理条例”、“中心机房安全管理制度“、

“数据安全管理办法”、“网站管理办法”、“服务器托管管理办

法”、“网络故障处理规范”等系列规章制度。各系统（网站）使

用单位基本能按要求，落实责任人，较好地履行网站信息上传审签

制度、信息系统数据保密与防篡改制度。日常维护操作较规范，多

数单位做到了杜绝弱口令并定期更改，严密防护个人电脑，定期备

份数据，定期查看安全日志等，随时掌握系统（网站）状态，保证

正常运行。

3. 信息系统（网站）技术防护

公司网数据中心建有一定规模的综合安全防护措施。

一是建有专业中心机房，配备视频监控、备用电力供应设备，有

防水、防潮、防静、温湿度控制、电磁防护等措施，进出机房实行门

禁和登记制度；

二是网络出口部署有安全系统，站群系统部署有 应用防火墙，并

定期更新检测规则库， 重要信息系统建立专网以便与校园网物理隔离；

三是对服务器、网络设备、安全设备等定期进行安全漏洞检查，

及时更新操作系统和补丁，配置口令策略保证更新频度；

四是全面实行实名认证制度，具备上网行为回溯追踪能力；

五是对重要系统和数据进行定期备份，并建有灾备中心。

4. 信息安全应急管理

运维部制定有《网络与信息安全突发事件应急预案》。技术部

应急技术支持单位，确保网络安全事件的快速有效处置。

5. 信息安全教育培训

定期对公司全员进行信息安全保密培训。增强管理干部和技术

人员的安全防范意识，提高技术防护能力。

三、检查发现的主要问题

通过具体检查项目，我司在信息安全工作上还存在一定的问

题：

1. 安全管理方面： 。部分系统（网站）日常管理维护不够规范，

仍存在管理员弱口令、数据备份重视不够、信息保密意识差等问题

2. 技术防护方面：安全技术防护设施仍不足，如缺少数据中心

安全防御系统和审计系统，欠缺安全检测设施，无法对服务器、信

息系统（网站）进行安全漏洞扫描与隐患检查。

3．应用系统（网站）方面：个别应用系统（网站）存在设计

缺陷和安全漏洞，有可能发生安全事故。

4. 信息系统等级保护工作尚未全面开展。

四、整改措施

针对存在的问题，信息化领导小组专门进行了研究部署。

1. 进一步完善网络信息安全管理制度，规范信息系统和网站日常管

理维护工作程序。 加强网管员技术培训， 提高安全意识和技术能力。

2. 继续完善网络信息安全技术防护设施，配备必要的安全防御

和检测设备，实行信息系统（网站）安全检测准入制度，从根本上

降低安全风险。 定期对服务器、 操作系统进行漏洞扫描和隐患排查，

建立针对性的主动防护体系。

3. 全面开展信息系统等级保护工作，完成所有在线系统的定级、

备案工作。积极创造条件开展后续定级测评、整改等工作。

5. 加强应急管理，修订应急预案，组建以技术人员为骨干、重

要系统管理员参加的应急支援技术队伍，加强部门间协作，做好应

急演练，将安全事件的影响降到最低