信息系統(tǒng)安全自查報告

信息系統(tǒng)安全自查報告一、自查情況1、安全制度落實情況:目前我院已制定了<網(wǎng)絡安全管理制度>、<計算機信息系統(tǒng)安全保密管理制度>、<涉密人員管理制度>等制度并嚴格執(zhí)行。信息管護人員負責信息系統(tǒng)安全管理，密碼管理，且規(guī)定嚴禁外泄。2、安全防范措施落實情況:(1)計算機經(jīng)過了信息系統(tǒng)安全技術檢查，并安裝了防火墻，同時配置安裝了專業(yè)殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。(2)禁止使用來歷不明或未經(jīng)殺毒的一切移動存儲介質(zhì)。(3)在安裝殺毒軟件時采用國家主管部門批準的查毒殺毒軟件適時查毒和殺毒，不使用來歷不明、未經(jīng)殺毒的軟件、軟盤、光盤、u盤等載體，不訪問非法網(wǎng)站，自覺嚴格控制和阻斷病毒來源。在單位外的u盤，不得攜帶到單位內(nèi)使用。(4)安裝了準入準出管理系統(tǒng)，對內(nèi)部網(wǎng)絡中出現(xiàn)的內(nèi)部用戶未通過允許私自聯(lián)到外部網(wǎng)絡的行為進行檢查。對外來終端接入醫(yī)院網(wǎng)絡必須進行健康度審查，直至符合相關要求后，經(jīng)管理員審核才能接入醫(yī)院網(wǎng)絡。對接入互聯(lián)網(wǎng)的終端計算機采取控制措施，包括實名接入認證、IP地址與MAC地址綁定等，定期對終端計算機進行安全審計；規(guī)范化使用終端軟硬件，不得擅自更改軟硬件配置，不得擅自安裝軟件，嚴禁在計算機上安裝非法盜版軟件；監(jiān)控系統(tǒng)開啟服務與程序情況，關閉不必要的服務、端口、來賓組等，防止惡意程序后臺運行，防止安裝過多應用軟件及病毒、木馬程序的自運行；加強網(wǎng)絡訪問控制，防止計算機進行違規(guī)互聯(lián)，防止信息因共享等方式進行違規(guī)流轉，防止木馬、病毒在信息系統(tǒng)內(nèi)大規(guī)模爆發(fā)。(5)安裝了防病毒系統(tǒng)、威肋預警系統(tǒng)，服務器安裝支持統(tǒng)一管理的防病毒軟件，及時更新軟件版本和病毒庫;整改配備威脅管理平臺和殺軟，主機與網(wǎng)絡的防范產(chǎn)品統(tǒng)一管理，且必須與終端殺毒軟件屬不同的安全庫；定期（如每半年年）進行系統(tǒng)漏洞掃描，并根據(jù)掃描發(fā)現(xiàn)的漏洞開展整改工作，應定期（如每月）對惡意代碼查殺結果進行分析，對于查殺發(fā)現(xiàn)的病毒及其傳播、感染方式進行通告，并出具分析報告，及時更新操作系統(tǒng)的安全補丁，更新前應對補丁進行測試，確認其不影響操作系統(tǒng)的業(yè)務性能后，再安裝系統(tǒng)安全補丁。(6)安裝了數(shù)據(jù)庫審計系統(tǒng)（防統(tǒng)方）軟件， 審計范圍覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等；保護審計記錄，避免受到未預期的刪除、修改或覆蓋等；對醫(yī)院數(shù)據(jù)庫幾張重要的表格（統(tǒng)方）采取相應的安全措施，降低國家省里衛(wèi)計委三令五聲的統(tǒng)方信息泄露事件。整改配備數(shù)據(jù)庫審計系統(tǒng)（反統(tǒng)方），對重要客戶端的審計和審計報表計記錄的保護。部署數(shù)據(jù)庫審計系統(tǒng)，賦予安全管理員審計系統(tǒng)管理權限，其中系統(tǒng)管理員無審計系統(tǒng)日志訪問權限，安全管理員無數(shù)據(jù)庫系統(tǒng)管理權限；(7)安裝了網(wǎng)閘隔離設備，醫(yī)院內(nèi)網(wǎng)與外網(wǎng)原本是物理上隔離，因部份數(shù)據(jù)需要內(nèi)外網(wǎng)進行交互，采用專用三機統(tǒng)的安全網(wǎng)閘來實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)交互，保障安全。3、應急響應機制建設情況:(1)制定了初步應急預案，并處于不斷完善階段。(2)對信息系統(tǒng)數(shù)據(jù)進行定期備份，以降低或消除各種災難對正常工作的影響。4、信息技術產(chǎn)品應用情況:使用防火墻、安全網(wǎng)閘與入侵檢測系統(tǒng)，有效保護信息系統(tǒng)安全。5、信息安全教育培訓情況:(1)我院不斷加強對計算機使用者的安全培訓工作，強化每一個使用者安全使用網(wǎng)絡的能力，提高安全防范意識，對每臺入網(wǎng)計算機的使用者、ip地址進行登記造冊。(2)組織人員參加網(wǎng)絡安全員培訓。增強內(nèi)部人員的信息安全防護意識，有效提高信息安全防護能力。二、信息安全檢查發(fā)現(xiàn)的主要問題及整改情況1、目前存在的問題:(1)規(guī)章制度體系初步建立，但還不夠完善，未能覆蓋信息系統(tǒng)安全的所有方面。(2)不少信息系統(tǒng)使用人員安全意識不強，在管理上缺乏主動性和自覺性。(3)網(wǎng)絡安全技術管理人員配備較少，信息系統(tǒng)安全方面投入的力量有限。2、整改措施:(1)再次檢查規(guī)章制度各個環(huán)節(jié)的安全策略與安全制度，并對其中不完善部分進行重新修訂與修改，切實增強信息安全制度的落實工作，不定期對安全制度執(zhí)行情況進行檢查。(2)繼續(xù)加強人員的安全意識教育，提高人員安全工作的主動性和自覺性。(3)加大對線路、系統(tǒng)等的及時維護和保養(yǎng)，加大更新力度。提高安全工作的現(xiàn)代化水平，便于進一步加強對計算機信息系統(tǒng)安全的防范和信息系統(tǒng)安全工作。三、對信息安全檢查工作的意見和建議1、加強信息網(wǎng)絡安全技術人員培訓，使安全技術人員及時更新信息網(wǎng)絡安全管理知識。2、加強人員的信息安全意識，不斷地加強信息系統(tǒng)安全管理和技術防范水平。3、增加安全管理的經(jīng)費。其中專業(yè)理論知識內(nèi)容包括：保安理論知識、消防業(yè)務知識、職業(yè)道德、法律常識、保安禮儀、救護知識。作技能訓練內(nèi)容包括：崗位操作指引、勤務技能、消防技能、軍事技能。二．培訓的及要求培訓目的安全生產(chǎn)目標責任書為了進一步落實安全生產(chǎn)責任制，做到“責、權、利”相結合，根據(jù)我公司2015年度安全生產(chǎn)目標的內(nèi)容，現(xiàn)與財務部簽訂如下安全生產(chǎn)目標：一、目標值：1、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。2、現(xiàn)金安全保管，不發(fā)生盜竊事故。3、每月足額提取安全生產(chǎn)費用，保障安全生產(chǎn)投入資金的到位。4、安全培訓合格率為100%。二、本單位安全工作上必須做到以下內(nèi)容：1、對本單位的安全生產(chǎn)負直接領導責任，必須模范遵守公司的各項安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴格履行本人的安全職責，確保安全責任制在本單位全面落實，并全力支持安全工作。2、保證公司各項安全管理制度和管理辦法在本單位內(nèi)全面實施，并自覺接受公司安全部門的監(jiān)督和管理。3、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當“安全與交貨期、質(zhì)量”發(fā)生矛盾時，堅持安全第一的原則。4、參加生產(chǎn)碰頭會時，首先匯報本單位的安全生產(chǎn)情況和安全問題落實情況；在安排本單位生產(chǎn)任務時，必須安排安全工作內(nèi)容，并寫入記錄。5、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。6、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。7、以身作則，不違章指揮、不違章操作。對發(fā)現(xiàn)的各類違章現(xiàn)象負有查禁的責任，同時要予以查處。8、虛心接受員工提出的問題，杜絕不接受或盲目指揮；9、發(fā)生事故，應立即報告主管領導，按照“四不放過”的原則召開事故分析會，提出整改措施和對責任者的處理意見，并填寫事故登記表，嚴禁隱瞞不報或降低對責任者的處罰標準。10、必須按規(guī)定對單