寧波市市場監督局網路安全建設

1. 寧波市公共數據安全管理暫行規定

第一條為了保障公共數據安全，促進和規范公共數據使用，根據《中華人民共和國網路安全法》《浙江省公共數據和電子政務管理辦法》《浙江省公共數據開放與安全管理暫行辦法》等規定，結合本市實際，制定本規定。第二條本市行政區域內公共數據的安全管理活動，適用本規定。法律、法規和浙江省人民政府規章另有規定的，從其規定。
本規定所稱的公共數據，是指行政機關以及履行公共管理和服務職能的事業單位(以下統稱公共管理和服務機構)在依法履行職責過程中獲得的各類數據資源。第三條公共數據安全管理應當堅持政府主導、綜合防範、保護隱私、兼顧發展的原則。
公共數據安全管理應當貫穿於公共數據的採集、歸集、清洗、共享、開放、使用、傳輸和銷毀等生命周期全過程。第四條市大數據發展管理部門是本市公共數據安全管理工作的主管部門，負責本市公共數據安全的組織協調、統籌規劃和監督管理工作。區縣(市)人民政府確定的大數據發展管理部門是本行政區域內公共數據安全管理工作的主管部門，負責公共數據安全的相關監督管理工作。
市、區縣(市)網信、公安、通信、保密、密碼管理等部門按照各自職責做好公共數據安全的監督管理工作。第五條公共管理和服務機構對職責范圍內的公共數據安全管理承擔主體責任，履行下列職責：
(一)明確本機構安全管理責任組織和人員，負責公共數據安全管理工作；
(二)編制本機構公共數據目錄，明確數據共享和開放屬性，落實分類分級管理制度；
(三)制定本機構公共數據安全管理制度和操作規程，落實網路安全等級保護制度；
(四)採取防範計算機病毒和危害網路安全行為、日誌記錄和監測、數據備份和加密等技術措施，定期開展公共數據安全風險評估：
(五)制定公共數據安全應急處置預案，定期組織應急演練；
(六)發生數據安全事件時，立即採取處置措施，並及時向公安機關等部門報告；
(七)對本機構公共數據服務外包活動開展安全審查；
(八)定期開展公共數據安全教育和技術培訓；
(九)其他公共數據安全管理工作。第六條公共管理和服務機構應當遵循合法、必要、正當的原則採集各類數據；無法律、法規依據，不得採集公民、法人和其他組織的相關數據；採集公共數據應當限定在必要范圍內，不得超出公共管理和服務需要採集數據，可以通過共享方式獲得的數據不得重復採集。
公共管理和服務機構應當對數據採集的環境、設施、網路、系統等採取必要的安全防護措施，不得利用私人設備採集公共數據。第七條除法律、法規另有規定外，公共管理和服務機構採集公共數據時涉及個人信息的，應當告知其採集的目的、方式和范圍。
除法律、法規另有規定外，公共管理和服務機構在公共場所設置數據採集設施、設備採集信息的，應當設置明顯標識。
個人可以向公共管理和服務機構查閱或者復制涉及本人信息的數據，發現存在錯誤的，有權提出異議並要求公共管理和服務機構及時採取更正等必要措施。第八條公共管理和服務機構在公共數據處理過程中應當遵守下列規定：
(一)未經數據提供單位或者被採集人同意，不得改變原始數據值；
(二)在公共數據匯聚、挖掘等處理過程中獲得的數據或者得出的結論，可能涉密、涉敏或者危害國家安全、損害國家利益、公共利益的，應當進行安全風險評估。
公共管理和服務機構不得對外使用、傳播前款第二項獲得的數據或者得出的結論。第九條公共管理和服務機構應當按照公共數據的共享屬性將其分為無條件共享類、受限共享類、非共享類，並實行分級管理。其中，對非共享類公共數據實行負面清單管理制度，具體由市大數據發展管理部門會同有關部門另行制定。第十條公共管理和服務機構應當按照公共數據的開放屬性將其分為無條件開放類、受限開放類和禁止開放類，並實行分級管理。
公共管理和服務機構擬將公共數據對外開放的，應當按照規定進行安全風險評估。
公民、法人和其他組織認為開放的公共數據侵犯其商業秘密、個人隱私等合法權益的，有權要求提供公共數據開放服務的公共管理和服務機構按照規定中止、撤回開放的數據。第十一條公共管理和服務機構通過共享獲得的公共數據，除用於本機構履行職責外，不得用於其他用途。
公共管理和服務機構應當採取必要的電子簽名、許可權控制、訪問控制、日誌審計等技術管控措施確保公共數據在使用中安全可控、可溯源。
鼓勵高等院校、科研機構和市場主體開展數據安全與隱私保護等技術研究，提高公共數據使用安全管理水平。

2. 2022年上半年發布的網路安全相關政策有

國家政策

1、2022年1月4日，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部等十三部門聯合修訂了《網路安全審查辦法》，自2022年2月15日起正式施行。

《辦法》指出，網路安全審查堅持防範網路安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合，從產品和服務以及數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。

2、2022年1月4日，國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合發布《互聯網信息服務演算法推薦管理規定》，自2022年3月1日起施行。

《規定》的出台，旨在規范互聯網信息服務演算法推薦活動，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益，促進互聯網信息服務健康發展。

3、2022年1月6日，國務院辦公廳發布《要素市場化配置綜合改革試點總體方案》（國辦發〔2021〕51號）

《方案》要求完善公共數據開放共享機制、建立健全數據流通交易規則、拓展規范化數據開發利用場景、加強數據安全保護。明確探索「原始數據不出域、數據可用不可見」的交易範式，實現數據使用「可控可計量」，推動完善數據分級分類安全保護制度。

4、2022年1月12日，國務院發布《「十四五」數字經濟發展規劃》

《規劃》部署了八項重點任務，在數字經濟安全體系方面，提出了三個方向的要求，一是增強網路安全防護能力、二是提升數據安全保障水平、三是切實有效防範各類風險，並系統闡述了網路安全對於數字經濟的獨特作用及重要性。

5、2022年1月18日，發改委、網信辦、市場監管總局、工信部等九部門聯合發布《關於推動平台經濟規范健康持續發展的若干意見》（發改高技〔2021〕1872號）

《意見》強化數據安全管理工作；推動平台企業深入落實網路安全等級保護制度，探索開展數據安全風險態勢監測通報，建立應急處置機制。

6、2022年1月22日，工信部、發改委聯合印發《關於促進雲網融合 加快中小城市信息基礎設施建設的通知》

《通知》明確將面向城區常住人口100萬以下的中小城市（含地級市、縣城和特大鎮）組織實施雲網強基行動，增強中小城市網路基礎設施承載和服務能力，推進應用基礎設施優化布局，建立多層次、體系化的算力供給體系。

7、2022年1月26日，中央網信辦等10部門印發《數字鄉村發展行動計劃（2022-2025年）》

數據安全保障提出，加強安全保障加強農業農村數據安全保護，落實涉農關鍵信息基礎設施安全保護制度和網路安全等級保護制度。

8、2022年2月15日，國家互聯網信息辦公室等十三部門聯合修訂發布的《網路安全審查辦法》正式施行

《辦法》以關鍵信息基礎設施的供應鏈安全為核心，重點加強對數據安全的關注和規范，聚焦網路產品、服務及數據處理活動，助推關鍵信息基礎設施與網路平台的高質量發展。

3. 單位開展網路安全自查報告

【 #報告# 導語】時光荏苒，光陰似箭，辛苦的工作已經告一段落，回顧這一段時間存在的工作問題，我想這個時候，你需要寫一份自查報告了。以下是 整理的單位開展網路安全自查報告，歡迎閱讀！

1.單位開展網路安全自查報告

根據《關於開展xx市電子政務網信息安全與網路管理專項檢查的通知》文件精神，我局積極組織落實，認真對照，對網路安全基礎設施建設情況、網路安全防範技術情況及網路信息安全保密管理情況進行了自查，對我局的網路信息安全建設進行了深刻的剖析，現將自查情況報告如下：

一、加強領導，成立了網路與信息安全工作領導小組

為進一步加強全局網路信息系統安全管理工作，我局成立了網路與信息系統安全保密工作領導小組，由局長任組長，下設辦公室，做到分工明確，責任具體到人。確保網路信息安全工作順利實施。

二、我局網路安全現狀

我局的統計信息自動化建設從一九九七年開始，經過不斷發展，逐漸由原來的小型區域網發展成為目前與國家局、自治區局以及縣區局實現四級互聯互通網路。網路核心採用思科7600和3600交換機，數據中心採用3com4226交換機，匯集層採用3com4226交換機、思科2924交換機和聯想天工ispirit1208e交換機，總共可提供150多個有線接入點，目前為止已使用80個左右。數據中心骨幹為千兆交換式，百兆交換到桌面。網際網路出口統一由市信息辦提供，為雙百兆光纖。與自治區統計局採用2兆光纖直聯，各縣區統計局及三個開發區統計局採用天融信虛擬專用網路軟體從互聯網上連接進入到自治區統計局的網路，入口總帶寬為4兆，然後再連接到我局。橫向方面，積極推進市統計局與政府網互聯，目前已經實現與100多家市級黨政部門和12個縣區政府的光纖連接。我局採用天融信硬體防火牆對網路進行保護，採用偉思網路隔離卡和文件豎胡防彈衣軟體對重點計算機進行單機保護，安裝正版金山毒霸網路版殺毒軟體，對全局計算機進行病毒防治。

三、我局網路信息化安全管理

為了做好信息化建設，規范統計信息化管理，我局專門制訂了《xx市統計局信息化規章制度》，對信息化工作管理、內部電腦安全管理、機房管理、機房環境安全管理、計算機及網路設備管理、數據、資料和信息的安全管理、網路安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定，進一步規范了我局信息安全管理工作。

針對計算機保密工作，我局制定了《涉密計算機管理制度》，並由計算機使用人員簽訂了《xx市統計局計算機保密工作崗位責任書》，對計算機使用做到誰使用帆羨誰負責對我局內網產生的數據信息進行嚴格、規范管理。

此外，我局在全局范圍內每年都組織相關計算機安全技術培訓，計算站的同志還積極參加市信息辦及其他計算機安全技術培訓，提高了網路維護以及安全防護技能和意識，有力地保障我局統計信息網路正常運行。

四、網路安全存在的不足及整改措施

目前，我局網路安全仍然存在以下幾點不足：一是安全防範意識較為薄弱。二是病毒監控能力有待提高。三是遇到惡意攻擊、計算機病毒侵襲等突發事件處理不夠及時。

針對目前我局網路安全方面存在的不足，提出以下幾點整改辦法：

1、加強我局計算機操作技術、網路安全技術方面的培訓，強化我局計算機操作人員對網路病毒、信息安全的防範意識。

2、加強我局計算站同志在計算機技術、網路技術方面的學習，不斷提高我局計算機專管人員的技術水平。

2.單位開展網路安全自查報告

我區接到市信息化領導小組辦公室下發的《xx市信息化工作領導小組辦公室關於開展重點領域網路與信息安全檢查的通知》後，高新區管委會領導十分重視，及時召集相關人員按照文件要求，逐條落實，周密安排自查，對機關各部局配備的計算機網路與信息安全工作進行了排查，現將自查情況報告如下：

一、領導高度重視、組織健全、制態纖拍度完善

近年來，高新區網路與信息安全工作通過不斷完善，日益健全，管委會領導十分重視計算機管理組織的建設，本著「控制源頭、加強檢查、明確責任、落實制度」的指導思想，成立了由管委會副主任為主管，辦公室主任為負責人的網路安全工作小組，並設有專門的信息管理人員，所有上傳信息都由辦公室主任負責審查其合法性、准確性和保密性。高新區會在有關部門的監督和指導下，根據《中華人民共和國計算機信息系統安全保護條例》和《計算機病毒防治管理辦法》等法規、規定，建立和健全了《安全管理責任制度》、《計算機及網路保密管理規定》和《文書保密工作制度》等防範制度，將計算機信息系統保密工作切實做到防微杜漸，把不安全苗頭消除在萌芽狀態。

按照文件要求，高新區及時制定了高新區門戶網站安全突發事件應急預案，並根據應急預案組織應急演練。

二、強化安全教育，定期檢查督促強化安全教育

高新區在開展網路與信息工作的每一步，都把強化信息安全教育放到首位，使管委會全體工作人員都意識到計算機安全保護是高新區中心工作的有機組成部分，而且在新形勢下，網路和信息安全還將成為創建「平安高新、和諧高新」的重要內容。為進一步提高人員網路安全意識，我們還經常組織人員對相關部局進行計算機安全保護的檢查。通過檢查，我們發現部分人員安全意識不強，少數計算機操作員對制度貫徹不夠。對此，我們根據檢查方案中的檢查內容對不合格的部局提出批評，限期整改。各部局在安裝殺毒軟體時全部採用國家主管部門批準的查毒殺毒軟體適時查毒和殺毒，不使用來歷不明、未經殺毒的軟體、u盤等載體，不訪問非法網站，自覺嚴格控制和阻斷病毒來源。單位電腦設備外送修理時，有指定人員跟隨聯系。電腦報廢處理時，及時將硬碟等存儲載體拆除或銷毀。

三、信息安全制度日趨完善

在網路與信息安全管理工作中，我們就樹立了以制度管理人員的思想，制定了網路信息安全相關制度，要求高新區管委會各部局提供的上傳內容，由各部局負責人審查簽字後報送至信息管理員，經辦公室主任審核同意後上傳；重大內容發布報管委會領導簽發後再上傳，以此作為高新區計算機網路內控制度，確保網站信息的保密性。

對照《通知》要求，高新區網站在以往的工作中，主要作了以上幾方面的工作，但還有些方面要急待改進。

一是要今後還要進一步加強與市政府信息中心聯系，以此來查找差距，彌補工作中的不足。

二是要進一步加強對高新區管委會工作人員的計算機安全意識教育和防範技能訓練，提高防範意識，充分認識到計算機網路與信息安全案件的嚴重性，把計算機安全保護知識真正融於工作人員業務素質的提高當中。

三是要進一步健絡與信息安全管理制度，提高管理人員工作技能，經常聘請專業人員對管理人員進行培訓，把學到的知識真正融於網路與信息安全保護工作中，而不是輕輕帶過；做到人防與技防結合，真正設置起一道網路與信息安全工作的一道看不見的屏障。

3.單位開展網路安全自查報告

為了認真貫徹落實公安部《關於開展重要信息系統和重點網站網路安全保護狀況自檢自查工作的通知》文件精神，為進一步做好我院網路與信息系統安全自查工作，提高安全防護能力和水平，預防和減少重大信息安全事件的發生，切實加強網路與信息系統安全防範工作，創造良好的網路信息環境。近期，我院進行了信息系統和網站網路安全自查，現就我院網路與信息系統安全自查工作情況匯報如下：

一、網路與信息安全自查工作組織開展情況

（一）自查的總體評價

我院嚴格按照公安部對網路與信息系統安全檢查工作的要求，積極加強組織領導，落實工作責任，完善各項信息系統安全制度，強化日常監督檢查，全面落實信息系統安全防範工作。今年著重抓了以下排查工作：一是硬體安全，包括防雷、防火和電源連接等；二是網路安全，包括網路結構、互聯網行為管理等；三是應用安全，公文傳輸系統、軟體管理等，形成了良好穩定的安全保密網路環境。

（二）積極組織部署網路與信息安全自查工作

1、專門成立網路與信息安全自查協調領導機構

成立了由分管領導、分管部門、網路管理組成的信息安全協調領導小組，確保信息系統高效運行、理順信息安全管理、規范信息化安全等級建設。

2、明確網路與信息安全自查責任部門和工作崗位

我院領導非常注重信息系統建設，多次開會明確信息化建設責任部門，做到分工明確，責任具體到人。

3、貫徹落實網路與信息安全自查各項工作文件或方案

信息系統責任部門和工作人員認真貫徹落實市工業和信息化委員會各項工作文件或方案，根據網路與信息安全檢查工作的特點，制定出一系列規章制度，落實網路與信息安全工作。

4、召開工作動員會議，組織人員培訓，專門部署網路與信息安全自查工作

我院每季度召開一次工作動員會議，定期、不定期對技術人員進行培訓，並開展考核。技術人員認真學習貫徹有關文件精神，把信息安全工作提升到重要位置，常抓不懈。

二、信息安全主要工作情況

（一）網路安全管理情況

1、認真落實信息安全責任制

我院制定出相應信息安全責任追究制度，定崗到人，明確責任分工，把信息安全責任事故降低到最低。

2、積極推進信息安全制度建設

（1）加強人員安全管理制度建設

我院建立了人員錄用、離崗、考核、安全保密、教育培訓、外來人員管理等安全管理制度，對新進人員進行培訓，加強人員安全管理，不定期開展考核。

（2）嚴格執行機房安全管理制度

我院制定出《機房管理制度》，加強機房進出人員管理和日常監控制度，嚴格實施機房安全管理條例，做好防火防盜，保證機房安全。

（二）技術安全防範和措施落實情況

1、網路安全方面

我院配備了防病毒軟體、網路隔離卡，採用了強口令密碼、資料庫存儲備份、移動存儲設備管理、數據加密等安全防護措施，明確了網路安全責任，強化了網路安全工作。計算機及網路配置安裝了專業殺毒軟體，加強了在防病毒、防攻擊、防泄密等方面的有效性。並按照保密規定，在重要的涉密計算機上實行了開機密碼管理，專人專用，杜絕涉密和非涉密計算機之間的混用。

2、信息系統安全方面

涉密計算機沒有違規上國際互聯網及其他的信息網的情況，未發生過失密、泄密現象。實行領導審查簽字制度凡上傳網站的信息，須經有關領導審查簽字後方可上傳；二是開展經常性安全檢查，主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟體安裝與升級、木馬病毒檢測、埠開放情況、系統管理許可權開放情況、訪問許可權開放情況、網頁篡改情況等進行監管，認真做好系統安全日記。

（三）應急工作情況

1、開展日常信息安全監測和預警

我院建立日常信息安全監測和預警機制，提高處置網路與信息安全突發公共能力事件，加強網路信息安全保障工作，形成科學、有效、反應迅速的應急工作機制，確保重要計算機信息系統的實體安全、運行安全和數據安全，限度地減輕網站網路與信息安全突發公共事件的危害。

2、建立安全事件報告和響應處理程序

我院建立健全分級負責的應急管理體制，完善日常安全管理責任制。相關部門各司其職，做好日常管理和應急處置工作。設立安全事件報告和相應處理程序，根據安全事件分類和分級，進行不同的上報程序，開展不同的響應處理。

3、制定應急處置預案，定期演練並不斷完善

我院制定了安全應急預案，根據預警信息，啟動相應應急程序，加強值班值守工作，做好應急處理各項准備工作。定期演練預警方案，不斷完善預警方案可行性、可操作性。

（四）安全教育培訓情況

為保證我院網路安全有效地運行，減少病毒侵入，我院就網路安全及系統安全的有關知識進行了培訓。期間，大家對實際工作中遇到的`計算機方面的有關問題進行了詳細的咨詢，並得到了滿意的答復。

三、網路與信息安全存在的問題

經過安全檢查，我單位信息系統安全總體情況良好，但也存在了一些不足：

1、信息安全意識不夠。員工的信息安全教育還不夠，缺乏維護信息安全主動性和自覺性。

2、設備維護、更新還不夠及時。

3、專業技術人員少，信息系統安全力量有限，信息系統安全技術水平還有待提高。

4、信息系統安全工作機制有待進一步完善。

四、網路與信息安全改進措施

根據自查過程中發現的不足，同時結合我院實際，將著重以下幾個方面進行整改：

一是要繼續加強對全員的信息安全教育，提高做好安全工作的主動性和自覺性。

二是要切實增強信息安全制度的落實工作，不定期的對安全制度執行情況進行檢查，對於導致不良後果的責任人，要嚴肅追進責任，從而提高人員安全防範意識。

三是要加強專業信息技術人員的培養，進一步提高信息安全工作技術水平，便於我們進一步加強計算機信息系統安全防範和保密工作。

四是要加大對線路、系統、網路設備的維護和保養，同時，針對信息技術發展迅速的特點，要加大系統設備更新力度。

五是要創新完善信息安全工作機制，進一步規范辦公秩序，提高信息工作安全性。

五、關於加強信息安全工作的意見和建議

我們在管理過程中發現了一些管理方面存在的薄弱環節，今後我們還要在以下幾個方面進行改進：

一是對於線路不整齊、暴露的，立即對線路進行限期整改，並做好防鼠、防火安全工作。

二是加強設備維護，及時更換和維護好故障設備。

三是自查中發現個別人員計算機安全意識不強。在以後的工作中，我們將繼續加強計算機安全意識教育和防範技能訓練，讓員工充分認識到計算機案件的嚴重性。人防與技防結合，確實做好單位的網路安全工作。

4.單位開展網路安全自查報告

根據《XX縣20XX年網路安全檢查工作方案》（X政辦秘〔20XX〕80號）文件精神，我單位積極組織落實，認真對照，對進一步落實信息安全責任、網路安全基礎設施建設情況、網路安全防範技術情況及網路信息安全保密管理情況進行了自查。總體上看，我單位網路信息安全工作做得比較扎實，效果也比較好，近年來未發現網路安全事故，現將我單位自查情況匯報如下：

一、網路安全管理情況

今年以來，我單位加強組織領導，強化宣傳教育，落實工作責任，加強日常監督檢查，將網路安全管理工作抓在手上。單位成立了專門的領導組，由單位主要領導任組長，分管領導任副組長，各部門負責人為成員，嚴格落實有關網路信息安全方面的各項規定，採取了多種措施防範安全保密有關事件的發生。到目前為止，未發生一起計算機失密、泄密事故；其他非涉密計算機（含筆記本電腦）及網路使用，也嚴格按照局計算機保密信息系統管理辦法落實了有關措施，確保了機關信息安全。

二、重要信息系統安全情況

一是網路安全方面。我單位配備了防病毒軟體，採用了強口令密碼、移動存儲設備管理等安全防護措施，明確了網路安全責任，強化了網路安全工作。

二是信息系統安全方面實行領導審查簽字制度。凡上傳網站的信息，須經有關領導審查簽字後方可上傳；二是開展經常性安全檢查，主要對計算機密碼口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟體安裝與升級、木馬病毒檢測、埠開放情況、網頁篡改情況等進行監管，認真做好系統安全。

三是硬體設備使用合理，軟體設置規范，設備運行狀況良好。我單位系統相關設備的應用一直採取規范化管理，硬體設備的使用符合國家相關產品質量安全規定，單位硬體的運行環境符合要求，列印機配件、色帶架等基本使用設備原裝產品。網站系統安全有效，暫未出現任何安全隱患。

三、網路安全應急工作情況

我單位根據《XX省網路與信息安全事件應急預案》的要求，結合園區網路工作實際情況，編制了園區網路與信息安全事件應急預案。安排專門人員負責網路與信息安全工作，及時上報網路與信息安全事故。截止目前，我單位尚未發生網路與信息安全事故。

四、宣傳教育培訓情況

為確保計算機網路安全、實行了網路專管員制度、計算機安全保密制度、網站安全管理制度等以有效提高管理員的工作效率。同時我單位結合自身情況制定計算機系統安全自查工作制度，做到定期組織工作人員學習有關網路知識，提高計算機使用水平，確保防微杜漸。

五、windowsXP停止安全服務應對工作情況

我單位對電腦及其設備實行「誰使用、誰管理、誰負責」的管理制度。針對windowsXP停止安全服務的情況，我單位積極採取措施，做好安全防護。要求單位人員及時下載安裝國內相關企業提供的防護軟體，降低信息安全風險。同時完善並嚴格執行信息安全管理相關制度，加強安全管理和風險的防控，並結合自身的信息系統的應用特點和安全的要求需求，綜合採取有效的管理和技術措施，以保障信息系統的安全運行。

六、數據泄露及系統被控制情況

我單位網路系統的組成結構及其配置合理，並符合有關的安全規定；網路使用的各種硬體設備、軟體和網路介面是也過安全檢驗、鑒定合格後才投入使用的，自安裝以來運轉基本正常。同時積極抓好日常管理方面工作，做好外網、網站和應用軟體「五層管理」，確保「涉密計算機不上網，上網計算機不涉密」，嚴格按照保密要求處理光碟、硬碟、U盤、移動硬碟等管理、維修和銷毀工作。

七、自查存在的問題及整改意見

我們在管理過程中發現了一些管理方面存在的薄弱環節，今後我們還要在以下幾個方面進行改進。

一是對線路不整齊、暴露的，立即對線路進行限期整改，並做好防鼠、防火安全工作。

二是加強設備維護，及時更換和維護好故障設備。

三是自查中發現個別工作人員計算機安全意識不強。在以後的工作中，我們將繼續加強計算機安全意識教育和防範技能訓練，讓單位工作人員充分認識到計算機案件的嚴重性。人防與技防結合，確實做好單位的網路安全工作。

5.單位開展網路安全自查報告

一、信息安全總體情況

（一）成立政府信息系統安全工作領導小組

我局成立了政府信息系統安全工作領導小組，以班子成員局長陳竑同志為組長，副局長韋典宣同志為副組長，網路管理人員以及信息系統使用的相關人員為成員，負責我局政府信息系統安全工作的統一指揮和組織領導，辦公室設在局信息化管理部門。安全小組的成立，明確了政府信息系統安全的主管領導、具體負責管護人員和管理機構。

（二）制定檢查方案，確立檢查范圍

信息部門制定了詳細的檢查方案，對所要檢查的部門、范圍、具體要求作了部署，具體內容包括：

1、政府信息系統：檢查南寧市電子政務內網統一工作平台、南寧市政務信息報送系統、政民互動綜合服務平台、網上信訪、南寧市城市管理局政務信息網站、市委機要網、檔案管理系統。

2、安全規章制度和安全設備：檢查管理制度是否健全；信息系統安全防護設施的狀況、防入侵和防病毒情況、人員出入情況；是否與互聯網物理隔離；計算機密碼、口令的保密狀況；計算機軟體、程序等電子文件和加密狗的保管、使用情況等。

（三）開展安全檢查，及時整改隱患

信息系統安全檢查具體措施，一是對本單位政務信息系統的帳戶、口令等進行了一次專門的清理檢查，並及時將軟體更新和升級，消除安全隱患。二是強化網路安全管理工作，對所有接入政府內部網路的計算機設備進行了全面安全檢查，對發現有操作系統存在漏洞、防毒軟體配置不到位的計算機進行全面升級，確保網路安全。三是規范信息的採集、審核和發布流程，嚴格信息發布審核，確保所發布信息內容的准確性和真實性。四是嚴格禁止涉密計算機與互聯網相連。

（四）應急響應機制建設情況

1、制定了網路與信息系統安全應急預案，有效處置我局網路與信息的安全性與可靠性；

2、對信息系統數據進行定期備份，不斷地健全的災難備份系統、完善的災難備份恢復計劃，以降低或消除各種災難對正常工作的影響。

（五）信息技術產品和服務國產化情況

1、終端計算機的保密系統和防火牆、殺毒軟體等，皆為國產產品。

2、檔案管理系統、人事管理系統等皆為市政府、市委統一指定產品系統。

（六）完善計算機安全管理制度和系統安全保護策略

完善、整理了各個部門、崗位的計算機安全管理制度、操作規程、崗位要求，如重要崗位不準竄崗、混崗；人走機關等。對每一台涉密計算機的安全保護策略進行了檢查、發現不規范不安全的地方及時處理解決。

（七）強化操作人員信息安全管理

我局不斷加強對計算機使用者的安全培訓工作，強化每一個使用者安全使用網路的能力，提高安全防範意識，對每台入網計算機的使用者、IP地址進行登記造冊。加強了網路機房安全管理工作。

（八）嚴格落實責任追究制度

嚴厲查處違反信息安全規定的行為和泄密事故、信息安全事故，嚴肅追究懲處責任人和有關負責人的責任。

總之，我局對涉及信息系統方面的規章制度、安全組織及職責、人員管理、體系結構、網路安全、設備和操作系統安全、應用系統安全、數據安全、物理環境安全、應急響應和災難恢復等環節進行查找、分析和歸納，對已有的安全管理體系和安全措施進行核實和評價。從自查情況看，我局信息系統安全狀況總體情況良好，不同類型的網路應用全部實現了物理隔離，多年來未發生過重大信息系統安全事件。

二、信息安全檢查發現的主要問題及整改情況

（一）目前存在的問題

1、不少信息系統使用人員安全意識淡薄，在管理上缺乏主動性和自覺性；

2、網路安全技術管理人員配備較少，信息系統安全方面可投入的力量有限；

3、規章制度體系初步建立，但還不夠完善，未能覆蓋信息系統安全的所有方面，制度的完善已列入今後的重點工作；

4、部分信息系統的數據無可靠備份，出現故障後，會導致系統使用中斷；

5、在設備和操作系統安全環節，缺乏有效審計手段，無法建立可行的審計策略；

6、防病毒系統更新、升級滯後，整體運行不穩定，信息系統存在感染計算機病毒的風險隱患。

（二）下一步整改措施

針對以上自查中發現的隱患與不足，為進一步加強信息系統安全，我局應圍繞信息系統安全綜合治理的工作目標，重點在完善規章制度、豐富技術手段上下功夫，認真開展整改工作。

1、依據《國家信息安全技術標准規范》，結合我市信息系統安全檢查工作目錄，再次檢查規章制度各個環節的安全策略與安全制度，並對其中不完善部分進行了重新修訂與修改；

2、組織系統管理員、網路管理員、信息系統使用人員等核心技術人員開展多種形式的信息系統安全知識學習、培訓，進一步強化相關工作人員安全意識的教育工作，加強設備安全巡檢，防患於未然；

3、修訂《市城 管局網路與信息安全應急預案》，使之適應信息技術發展的新要求；

4、強化技術A、B角配置，並要求A、B角同時參與技術設備的檢修與維護；

5、確保客戶端防病毒系統的正確有效，確保安全補丁的及時分發；

6、進一步強化信息系統客戶端安全監控及授權管理，確保系統安全。

三、對信息安全檢查工作的意見和建議

（一）加強信息網路安全技術人員培訓，使安全技術人員及時更新信息網路安全管理知識，提高相關管理及法律法規等的認識，不斷地加強信息網路安全管理和技術防範水平。

（二）加大網路安全設備的投入。

一是要繼續加強對鄉幹部的安全意識教育，提高做好安全工作的主動性和自覺性。

二是要切實增強信息安全制度的落實工作，不定期的對安全制度執行情況進行檢查，對於導致不良後果的責任人，要嚴肅追究責任，從而提高人員安全防護意識。

三是要以制度為根本，在進一步完善信息安全制度的同時，安排專人，完善設施，密切監測，隨時隨地解決可能發生的信息系統安全事故。

四是要加大對線路、系統等的及時維護和保養，加大更新力度。

五是要提高安全工作的現代化水平，便於我們進一步加強對計算機信息系統安全的防範和信息系統安全工作。

4. 如何開展單位信息系統安全體系建設

加強信息安全建設的幾點認識
董振國
信息安全建設是電子政務建設不可缺少的重要組成部分。電子政務信息系統承載著大量事關國家政治安全、經濟安全、國防安全和社會穩定的數據和信息；網路與信息安全不僅關繫到電子政務的健康發展，而且已經成為國家安全保障體系的重要組成部分。缺乏安全保障的電子政務信息系統，不可能實現真正意義上的電子政務。
一、強化安全保密意識，高度重視信息安全，是確保政務網路信息系統安全運行的前提條件
目前，電子政務信息系統大都是採用開放式的操作系統和網路協議，存在著先天的安全隱患。網路攻擊、黑客入侵、病毒泛濫、系統故障、自然災害、網路竊密和內部人員違規操作等都對電子政務的安全構成極大威脅。因此，信息安全保障工作是一項關系國民經濟和社會信息化全局的長期性任務。
我們必須認真貫徹「一手抓電子政務建設，一手抓網路和信息安全」的精神和中辦發［2003］27號文件關於信息安全保障工作的總體要求，充分認識加強信息安全體系建設的重要性和緊迫性，高度重視網路和信息安全。這是做好信息安全保障工作的前提條件。「高度重視」首先要領導重視；只有領導重視才能把信息安全工作列入議事日程，放到重要的位置，才能及時協調解決信息安全工作所面臨的諸多難題。其次，要通過加強網路保密知識的普及教育，特別是對縣處級以上幹部進行網路安全知識培訓，大力強化公務員隊伍的安全保密意識，使網路信息安全宣傳教育工作不留死角，為網路信息系統安全運行創造條件。

二、加強法制建設，建立完善的制度規范，是做好信息安全保障工作的重要基礎
確保政務網路信息安全，必須加強信息安全法制建設和標准化建設，嚴格按照規章制度和工作規范辦事。俗話說，沒有規矩不成方圓，信息安全工作尤其如此。如果我們能夠堅持建立法制和標准，完善制度和規范並很好地執行，就會把不安全因素和失誤降到最低限度，使政務信息安全工作不斷登上新的台階。
為此，一要嚴格按照現行的法律法規規范網路行為，維護網路秩序，同時逐步建立和完善信息安全法律制度。要加強信息安全標准化工作，抓緊制定急需的信息安全和技術標准，形成與國際標准相銜接的具有中國特色的信息安全標准體系。
二要建立健全各項規章制度和日常工作規范。要根據網路和信息安全面臨的新情況、新問題，緊密聯系本單位信息安全保密工作的實際，本著「堵漏、補缺、管用」的原則，抓緊修訂、完善和新建信息安全工作的各項規章制度及操作規程，切實增強制度的科學性、有用性和可操作性，使信息安全工作有據可依、有章可循。
三要重視安全標准和規章制度的貫徹落實。有了制度，不能把它束之高閣。不按制度辦事，是造成工作失誤和安全隱患的重要原因。很多不安全因素和工作漏洞都是由於沒有按程序辦事所造成的。因此，要組織信息化工作人員反復學習有關制度和規范，使他們熟悉和掌握各項制度的基本內容，明白信息安全工作的規矩和方法，自覺用制度約束自己，規范工作。
四要建立完善對制度落實情況的監督檢查和激勵機制。工作程序、規章制度建立後，必須做到行必循之，把規章制度的每一條、每一款落到實處。執行制度主要靠自覺，但必須有嚴格的監督檢查。要通過監督檢查建立信息安全工作的激勵機制，把信息安全工作與年度考核評比及「爭先創優」工作緊密結合起來，激勵先進，鞭策後進，確保各項信息安全工作制度落到實處。各地、各部門要不定期地對本地和本系統的制度落實情況進行自查自糾，發現問題及早解決。

三、建立信息安全組織體系，落實安全管理責任制，是做好政務信息安全保障工作的關鍵
調查顯示，在實際的網路安全問題中，約有80%是由於管理問題造成的。因此，建立信息安全管理機構，加強組織協調，發揮其統籌規劃、科學管理、宏觀調控和決策的作用，強化信息安全管理，形成全方位的信息安全管理組織體系至關重要。
一方面，要逐步建立和完善信息安全組織體系。該體系應包括各地、各部門成立的保密工作領導小組；有本部門主管領導參加的政務網路與信息安全協調小組；聘請國內外安全專家組成的安全咨詢專家小組。根據建設和應用情況需要，還可建立相應的信息安全管理執行機構（如「政府安全中心」），負責整個政務信息系統中的安全保密工作，包括提供相關服務。
另一方面，要在健全信息安全組織體系的基礎上，切實落實安全管理責任制。明確各級、各部門行政一把手（或主管領導同志）作為信息安全保障工作的第一責任人；技術部門主管或項目負責人作為信息安全保障工作直接責任人，強化對網路管理人員和操作人員的管理。切實把好用人關，對關鍵崗位實行A、B角色管理；對網路管理人員和涉密操作人員要簽訂保密協議，明確保密職責，實行持證上崗制度。要培養一批具有信息安全管理經驗的復合人才，充實到關鍵崗位，為政務信息化把好安全關。

四、結合實際注重實效，正確處理信息安全「五大關系」，是確保信息安全投資效益的最佳選擇
在電子政務建設中，信息安全方面的投資往往涉及很大金額。各地、各部門應緊密結合自身實際，正確處理和把握與信息安全相關的「五大關系」，使有限的資金發揮出最大的社會效益。
1、要正確處理發展與安全的關系。發展與安全是信息安全關系中最基本、最重要的一對關系，由此可以派生出其他一些關系。發展與安全的關系是辯證統一、相輔相成的，其中發展是目的，安全是保證。二者關系處理得好，安全會有保障並能促進發展；處理不好，安全就會制約並牽制發展。正確處理發展與安全的關系就是要加快發展，確保安全。具體講，就是在加快發展過程中確保安全；在確保安全的條件下加快發展。這里要注意克服兩種傾向：一是過分強調發展而忽視安全；二是追求絕對安全而制約發展。為此，要堅持電子政務發展和網路信息安全「兩手抓」。要在電子政務建設和發展過程中不斷加強安全管理，完善安全措施，切實保障安全；同時要在適度安全、基本安全的前提下，培育業務需求，加大工作力度，促進電子政務事業加快發展。
2、處理好安全成本與效益的關系。成本與效益的關系是由信息安全基本關系派生出來的，二者的關系是對立統一、相反相成的。成本與效益的關系處理得好，安全成本就會下降同時效益提高；處理不好，安全成本就會上升同時效益下降。正確處理好安全成本與效益的關系，必須堅持綜合平衡。要根據中辦發［2003］27號文件中關於「信息化發展的不同階段和不同信息系統不同的安全需求，必須從實際出發，綜合平衡安全成本和風險，優化信息安全資源的配置，確保重點」的要求，一方面千方百計降低安全投入成本，另一方面努力提高安全措施的實際效果，確保滿足重點項目、重點部位的安全需求，使有限的安全保障資金充分發揮出良好的使用效益。
3、處理好信息安全與共享（信息公開和保密）的關系。這也是從信息安全基本關系中派生出來的。開放和發展需要信息資源共享，而網路互聯為信息共享提供了條件。但信息公開和信息保護是一對不可迴避的矛盾。推進信息化建設既要強調資源共享，還要保證信息安全。我們應立足於電子政務建設的大系統，整體地、動態地看待信息安全與資源共享問題，用發展的眼光和辯證的觀點去處理問題。在這對矛盾中，目前資源共享是矛盾的主要方面。當前我國各地方、各行業的信息資源建設普遍存在「數字鴻溝」、「信息孤島」現象。針對這種情況,我們在處理兩者之間關系時,應當緊緊圍繞矛盾的主要方面，在確保國家安全和尊重個人隱私的前提下，把當前工作的重點放在最大限度地促進信息資源共享方面，消除數字鴻溝和信息孤島，提高信息資源共享程度，使政務信息資源發揮更大的社會效益。
4、處理好安全管理與技術的關系。安全管理與技術的關系也是信息安全體系中的基本關系之一。在信息安全保障體系中，安全管理和安全技術是一個不可分割的統一體，是一個事物的兩個方面。管理離不開技術，技術離不開管理；兩者緊密相連、相互滲透、互為補充。因此，在信息安全工作中，我們要堅持管理和技術並重，做到管理手段和技術手段相結合，也就是在加強管理的前提下，採用先進的安全技術，在提升技術的基礎上強化管理。信息安全問題的解決需要技術手段，但又不能單純依賴技術。信息化的過程其實是人與技術相互融合的過程，如何使管理與技術相得益彰十分重要。在這方面，我們要同時注意防止和克服「重管理、輕技術」和「單純技術觀點」兩種傾向，既要高度重視信息安全技術的重要作用，又要避免陷入唯技術論的怪圈。從理論上看，不存在絕對安全的技術；技術固然重要，但管理更不容忽視。雖然「三分技術，七分管理」的說法不一定準確，但從另一個角度說明了安全管理工作的重要性。因此，我們應以業務為主導，從全局的高度部署安全策略，採用先進技術，加強安全管理，把採取安全技術手段與加強日常管理和健全體制機制緊密結合起來，堅持一手抓安全技術手段開發，一手抓安全規章制度的建立與完善，提高政務網路信息系統的安全性和可靠性。
5、處理好信息安全工作中應急事件處理與建立長效機制的關系。要保證政務網路與信息系統的「長治久安」，必須著手建立一套長期有效的安全機制。但信息安全問題在信息化進程中廣泛存在且突發性強，所以又必須強調和重視應急事件的處理。一旦出現影響到國家利益的網路安全與信息安全事件，必須能夠立即採取有效措施，控制危機的發展，把損失減少到最低限度。
為此，首先要建立和完善信息安全監控體系，及時發現和處置突發事件，提高對網路攻擊、病毒入侵、網路失竊密的防範能力，防治有害信息傳播，增強對政務網路和信息系統的監控、管理和保護。其次，要重視信息安全應急處理工作，建立健全應急管理協調機制、指揮調度機制和信息安全通報制度。要制定完善信息安全處置預案，加強信息安全應急支援服務隊伍建設，提高信息安全應急響應能力。

5. 2019年度網路安全和信息化工作自評報告

2019年度網路安全和信息化工作自評報告

一年來，在公司信息中心正確指導支持下，圍繞公司年度網路安全和信息化工作會議精神和工作要求，不忘初心使命，砥礪奮進，努力開創企業信息化高質量發展新局面，卓有成效地在主體責任落實、網路安全、項目管理、創新能力、隊伍建設、數據中心與數據質量、數字化工廠建設等方面開展探索和實踐，均取得了較優成績。現將2019年來的主要工作自評總結匯報如下：

一、嚴格落實信息化工作主體責任

全年針對信息化工作點多面廣，服務性和專業性都很強的特點，緊扣行業和公司信息化發展戰略，“行業典範”、“窗口企業”的目標定位，在大局下思考和行動，切實擔當創新和高質量發展的新使命和新責任，在政治和業務領域活學活用實學精幹中推進各項工作。

一是召開廠黨委會議，4月28日，利用會議和辦公系統傳達學習和部署落實了行業及公司2019年網路安全和信息化領導小組會議、網路安全和信息化工作會精神，研究貫徹落實意見;6月4日，廠黨委會議上，研究部署和下發了本年度網路安全工作，明確了年度網路安全和信息化工作要點，納入2019年度工作目標考核方案，細化分解到月度重點工作任務清單，納入季度和月度工作考核。全年從安全生產管理周例會督辦項目完成情況和月(季)重點工作績效督查情況來看，年度網路安全和信息化工作重點都得到了較好地貫徹和落實。

二是5月上旬制定並經多次討論後，批次下發了《江西中培搏煙工業有限責任公司井岡山卷煙廠網路安全與系統運維考核實施細則》，並於6月份開始實施考核。結合公司對企業年度信息化工作考核要求，全面梳理差距並迎頭整改彌補差額事項。突出IT綜合管理和治理方案，主要關注企業發展後勁、IT工作績效和基礎夯實工作。由於與績效掛勾，增強了全員IT工作績效意識，促進各項考核指標處於較好狀態。從全年的生產管理周工作簡報來看，全年MES系統、制絲管控系統、卷包數采系統、批次系統、能管系統、高架系統運行總體正常，辯搏實現了IT網路信息系統生產保障。批次管理系統各項數據完整，卷包車間數據准確率為99.08%，制配灶祥絲車間數據准確率為100%，成品數據准確率為100%。其它各系統數據完整率也均處優良。

三是全年嚴格執行行業和公司網路安全檢查要求以及企業管理體系文件要求組織開展了節假日期間和日常網路與信息系統安全檢查排查與運維，全面推進了企業IT基礎“1+2+2+N”運維模式文件體系架構和日常運用實踐，確保了系統穩定。全年開展網路信息安全半年度、季度巡檢、月度集中檢查42次，營造了網路安全和數據安全良好生態，保持了網路安全系統及其設備設施、作業活動和作業環境處於正常有效狀態。全年累計處理各類問題或故障53次，整改完成率100%。另外，今年8月如期開展了企業信息安全及計算機信息系統保密工作自查。目前，制度對接和檢查執行的效果顯現。

四是按照《煙草行業應對網路安全攻擊基本防護措施》通知要求對敏感信息、資產狀況、安全加固、實時監測和應急處置共五點開展自查工作，並向信息中心提交自查報告。在對敏感信息方面，及時響應國家或行業通報的網路安全情況，在完善平台技術架構與安全防範網路策略上，針對所負責的網路和系統進行日常系統“查缺補漏”工作。在充分利用IT資源方面，瞄準IT資源清晰、流程順暢和數據管理目標，合理做好IT資源規劃與利用，積極開展IT資產、網路安全、各管控系統潛能作用等專項管理診斷活動，進一步盤活現有資源、滿足崗位需求、奠定IT資產管理規范基礎，集成整合企業資源並形成合力，提升整體抗風險能力。年初、6月6日和9月，先後召開了各運維單位駐廠人員日常工作銜接專題會，日常銜接年度各外來運維單位工作。8月開展了IT基礎專項管理診斷活動。1月和6月的管理體系外部審核和內部審核活動，3月、9月和12月三度組織IT資產(包括軟體、文件)盤點清查整治和廢舊利用和設備報廢工作。在安全加固方面，按照網路安全等級保護制度，舉一反三落實各項基礎設施和管理工作，著重針對已定二級備案的《行業生產經營決策管理系統江西中煙井岡山卷煙廠分支系統》專項申報公司進行等保測評工作。針對辦公網與生產網安全，實施了邏輯隔離工作。日常管理上採取技術手段將工控主機上的不必要USB、光碟機等介面已禁掉，並對工控主機實施嚴格的訪問控制。另外，加強了區域網路管理。在6月和12月先後檢查拆除不合規的網路信息系統。對於生產區域無線網路，只允許PDA終端連接，手機筆記本等移動終端不得連接車間無線網路。各部門兼職網路安全信息員組織本部門檢查排查是否存在私接無線路由器的情況。在實時監測方面，嚴格執行企業網路安全相關制度規范。實時監測防火牆等安全設備運行情況。每日對防火牆等網路安全設備進行實時監測，對發現的疑似攻擊地址立即在防火牆上進行封禁處理。發現異常須及時報告。按照“先封堵再研判”原則先阻斷網路連接，再對攻擊行為進行溯源，並及時向公司信息中心報告有關情況。

五是根據人事變動和企業狀況，重新成立了網路安全與信息化管理工作領導小組，下發了紅頭文件。進一步明確了分管網路安全工作領導班子成員及其組織工作主體責任。實現了內部資源整合。年初信息部門恢復單列部門，又鑒於今年員工1人借調支援商業公司系統開發、2人生育輪休的實際，內部採取輪崗交流與職責整合輪換作業方式組織開展企業信息化工作，促進年輕員工得到很好的鍛煉。

二、突出抓好網路安全杜絕發生網路信息安全事件

全年抓好做好梳理網路安全隱患、檢查治理與落實整改三個環節的工作，做到兩個全覆蓋，即覆蓋所有部門、覆蓋所有系統，確保不留死角不留隱患。由於採取“集中管控、分布防護”兩手抓的方略，在信息系統整體防護的管理上取得了一定的成效，全年未發生一起網路信息安全事故。網路安全工作成效主要體現在：

一是進一步夯實網路安全基礎工作。1月，開展了IT資產及信息網路安全專項管理診斷，瞄準“兩化融合”和現有質量、環境及職業健康安全三標管理體系目標要求，嚴格落實網路安全責任制度，明確每個信息系統業務主管部門和運行維護部門具體職責。進一步優化完善了企業信息化系統運維保障工作機制，深入構建企業網路信息安全運維管理體系。全面梳理建立和實施各管控系統底層操作應用標准文件，使之滿足企業IT運行的各項管理要求。9月通過了市公安部門等保工作檢查與備案。6月6日和12月15日兩度開展了系統賬戶和密碼合規性、網路與信息系統漏洞自查整改活動。在開展排查“弱口令”和“掃漏洞”的網路安全問題整改活動中，全面針對弱口令、漏洞未修復等突出安全隱患進行整改。對未按要求設置密碼的網路和IT伺服器與終端機以及我廠自建信息系統的賬號進行全面清查，對不符合要求的賬戶密碼立即進行整改，將密碼修改為字母、數字、特殊符號等3種以上組合且不少於8位，對存在漏洞的IT系統及時進行了修復。另外，在今年6月行業和吉安市11月開展的兩度網路安全應急演練中，均保持了網路安全和系統穩定，達到了預期效果。

二是編制實施了網路安全及各信息系統應急預案，按要求開展了季度演練與評價。全年按季開展了計算機網路與信息系統應急演練6次，涵蓋中心機房、OA、MES、批次管理和物流系統等運行突發事件的處置和應急狀態處置，均達到預期效果。其中，先後完成了《MES系統制絲工單下發不到制絲管控系統應急演練》、《計算機房精密空調初期起火現場應急演練》、《批次管理系統輔料凍結應急演練方案》、《設備故障導致片煙高架庫無法出庫應急演練》，且各活動記錄齊全。

三是我廠辦公網與生產網設計實行了邏輯隔離，明確了工控機的安全管理措施。同時，以執行和監督執行各項制度規范進一步得到鞏固，全年未發生網路信息安全事件。全年從月(季)績效考核的結果來看，沒有出現由於軟硬體故障，計算機病毒，工作失誤，遭受人為破壞等原因影響本單位信息系統正常運行，也從未造成由於系統數據丟失、泄露、被篡改，以及業務中斷超過4小時，產生不良影響或一定經濟損失，嚴重影響生產和工作的其他情況。

四是根據公司《網路安全責任書》，我廠編制並與各部門簽訂了《網路安全責任書》，並在管理制度文件體系中明確了信息系統業務主管部門和運行維護部門網路安全責任。同時，加強了與建設合作單位的協同管理，任何項目開工前，首先做到了開展安全告知培訓，簽訂相關安全(施工)協議，並按保密要求與本單位信息系統派駐運維人員簽訂《數據保密承諾函》，嚴守保密規定，較好地履行保密責任。

五是嚴格執行《井岡山卷煙廠計算機機房管理規定》等機房系列標准規范體系文件。每日對計算機機房進行日常巡檢，每周對機房主要設備進行周檢，並填寫記錄。對出現的故障進行分析並處理，將分析研判情況進行記錄，並形成月度 工作總結 。在機房管理標准文件中，根據要求，明確網路與機房基礎設施維保的通信聯動應急保障制度。

六是數字化視頻監控系統具有基本安全措施。按要求，監控網與生產網及辦公網實施了邏輯隔離。日常根據各部門實際需求分配攝像頭查看范圍及許可權，並且對分配賬戶均按要求設置了合規密碼，合理發揮了數字化視頻監控系統的作用。

三、嚴格推進項目管理各項工作

密切關注公司四大體系建設、數據中心系統建設和OA系統升級項目應用。以公司信息化規劃為指導開展企業項目年度需求調研、項目申報、方案論證，關鍵技術咨詢等工作。在年度預算項目批復文件下達之後，分解落實實施計劃。一方面，瞄準目標，做好公司各在建重點項目和系統的技術對接，按要求開展實施與優化工作。另一方面，進一步強化企業內部信息技術消化，全面拓展工控安全分析預警、二維碼識別物料、QCD、SPC等信息化技術在安全、質量、成本、考核，在過程式控制制與數據分析預警等方面的應用深度和廣度，進一步夯實企業信息化技術基礎，為生產製造過程大數據挖掘運用，精益生產和智能物聯擴展應用奠定了良好基礎。進一步促進企業在“兩化融合”、“數字化智能工廠”建設架構與開發上繼續發揮作用。通過上半年和下半年兩度召開年度采購項目推進會，梳理了各項目采購流程規劃和節點時間工作控制，有序推進了項目實施工作。截止11月，年度5個項目均按進度計劃如期完成了實施任務。

2019年我廠立項申報的5個項目均符合公司申報項目要求，保留了申報項目論證記錄。按要求每季度的下個月10日前，將項目實施進度上報了信息中心。各項報送資料完整。貫徹落實規劃“回頭看”要求，制定實施了具體 工作計劃 和方案，對近幾年來重要信息化項目進行梳理、評估，有部署、有落實，有記錄，並形成規劃“回頭看”報告。所有信息化項目均按公司檔案管理要求保存完整的過程檔案資料(包括但不限於采購、啟動、需求調研、上線運行、驗收等關鍵環節)及電子檔案資料，並設置兼職管理人員。各個信息化項目均符合公司規定的“一項一卷”要求，保存了信息化項目過程檔案資料及電子檔。信息化項目公開招標項目比例在80%以上。未出現按季度上報信息化工作進展情況漏報遲報現象。

四、積極營造氛圍，促進創新能力提升

全年圍繞積極利用信息系統資源，創新系統應用途徑，有效支撐本單位生產組織、質量管控、庫存管理、降本增效等重點工作，以課題、小改小革等實踐活動和各種業務及學術交流形式帶動創新活力，推進企業精益和創新管理。在各項創新能力提升主題活動實踐中，全年累計產生各項成果20餘項。其中，5個課題成果正在等待公司和江西省各管理協會組織年終評比結果。

5個案例。梳理總結完成了《井岡山卷煙廠網路信息安全運維管理體系建設實踐》、《二維碼技術應用推廣》、《基於檢維修體系的信息化應用》、《基於制絲管控系統的防錯預警機制應用》等案例。其中，有2個於今年4月和10月在公司年度信息化工作會和“創新引領高質量發展”信息化專題交流會上展開了交流研討。

2018年底，上報省企協參評創新課題3個，其中，年初從發布與推廣第二十屆江西省企業管理現代化創新成果通報中獲悉，《基於信息化項目管理的工具運用與實踐》和《精益合作生產批次管理系統的風險分析與應對》均榮獲一等獎，《構建網路安全信息系統““1+2+2+N”運維模式》獲二等獎。本廠取得《精益合作生產批次管理系統的風險分析與應對》創新成果，在廣豐卷煙廠實現部分推廣。

2018年公司精益課題2個。其中，梳理總結完成了2018年公司立項的《二維碼技術應用推廣》精益管理課題成果，並以A3報告進行了驗收申報。全面完成了2018年公司立項的《構建信息系統“1+2+2+N”運維模式》精益管理課題實踐，該成果已經在2月18日公司《關於表彰2018年度精益管理優秀課題、管理診斷優秀案例和企業管理先進個人的決定》中榮獲了公司當年評比二等獎。今年擴展產生了《IT網路安全信息系統“1+2+2+N”運維模式》新成果。

今年注冊QC課題2個。12月9日，召開部門QC活動小組專題會，全面總結了今年兩個課題工作。另外，2018年注冊QC課題4個，完成企業QC課題成果3個，其中，《提高批次管理系統卷包投料掃碼率》QC活動成果榮獲2018年度江西省第三十九次質量管理小組代表大會三等獎，另外兩個QC課題成果榮獲廠優秀獎。

2篇論文發表。於2月27日和5月8日，我廠相繼在《東方煙草報》管理前沿發表了論文《數字化工廠背景下質量管理體系的信息化應用》和《淺談企業信息化工作績效的自主評估》。《數字化工廠背景下質量管理體系的信息化應用》榮獲江西煙草優秀論文。發表在《江西煙草》總第148期論文增刊P49-P51。《抓住機遇有的放矢推進數字化工廠“兩化融合”實踐》榮獲公司產業系統特等獎。最近報送了論文《試論信息化支撐推行企業績效管理的思維方法》參評。

五、培養信息化專業團隊，提升隊伍整體素質

在企業內部，我廠積極營造了學習型團隊良好氛圍。突出實際需求，參與中國CIO高峰論壇，有選擇性的把握學習內容和參與IT企業組織的信息化網路在線研討，日常內部各類IT專業微信群的線上討論。全年參與外派和開展了公司和企業13項調研活動，組織安排了南煙、廣煙等兄弟單位9人來廠的IT交流或跟班學習。接待了安徽阜陽煙廠和江蘇中煙來廠2次針對IT網路、批次管理系統建設和使用情況的經驗交流。全年通過“學習強國”和“中國煙草網路學院”《網路安全培訓》(專題版)兩個網路平台487人達成和超額完成了規定的學習培訓指標任務。全年6名年輕員工參加了國家軟考，通過率100%。全年組織國家網路安全法集中培訓(85人)、公司數據中心(75人)、公司新版OA(85人)、企業網路信息系統用戶安全運維、操作應用、新增IT類標准體系文件培訓與系統演練413人，全員IT培訓率達80%以上，全面拓展信息技術在質量、安全、成本、考核等方面的深度應用和技能水平。

目前部門工作人員有高、中級職稱及取得國家軟考證書的人員比例為100%。在管控系統的維保工作，採取自主維保、外包人員駐場維保及遠程維保相結合的方式。2019年我廠能源管控、物流高架系統基本為本廠人員自主維保，卷包數采(8月24日)、MES(11月23日)等系統在自主維保後繼續採取駐廠運維方式進行系統維保。

通過組織各類內部培訓、系統演練，公司和外部交流，從中親身體驗信息化發展日新月異的變化，為融合技術創新、應用創新、模式創新與優化改善不斷充電。不僅促進了企業信息技術消化、信息技術和應用人才培養工作，而且增強了自身素養和企業形象，逐步實現提供隊伍高質量、高水平的信息化服務。

六、持續保持數據中心與數據質量，上報數據及時准確真實規范

根據行業和公司關於加強行業數據安全防範化解風險隱患有關工作，圍繞落實《2019年網路安全和信息化工作要點》要求，嚴防發生數據安全和公民個人信息泄露事件，六月，我廠根據《網路安全法》《電子商務法》等相關法律法規，組織開展了全面排查法律風險和信息系統數據風險工作，通過翻閱我廠信息化項目合同和現場應用，未發現存在違反《網路安全法》《電子商務法》等相關法律法規關於數據安全和公民個人信息保護規定的問題隱患;未使用移動APP等互聯網應用系統;不存在對外託管信息系統和承載數據。同時，對駐廠運維人員的安全管理措施進行了檢查和風險評估，經過排查，未發現存在擅自讀取、存儲、緩存、和使用數據(包括數據泄露)的問題隱患。對於存在IT與數據安全等3項主要風險隱患採取了管控措施和問題整改，加大了高風險漏洞和弱密碼專項治理情況監管力度，增強大數據環境下防攻擊、防泄露、防竊取的監測預警和應急處置能力，確保網路安全設備設施均處於正常工作狀態並能實現部署該設備設施的設計要求，確保各項管理措施有效落實，促進數據中心日常運維數據高質量保障。全年上報生產經營決策管理系統的數據差錯率為0，上報公司數據中心的數據做到了及時、准確、真實、規范，未出現上報數據不符合要求的情況。

七、推進項目管理與數字化工廠建設

為促進一體協同重點工作成效，今年3至4月，根據《井岡山卷煙廠信息化規劃“回頭看”工作計劃及方案》，採取各系統自查和現場調研相結合的方式，從系統發揮的成效入手，著眼系統性、全局性、整體性等方面對異地技改新廠實施的項目，包括後來實施的批次管理項目，對數字化工廠建設建管用方面所做工作進行回顧和自查及全面梳理、評估。4月10日向公司提交了《井岡山卷煙廠數字化工廠建設和運行情況匯報》。在4月的年度公司信息化工作會、8月的管理診斷、9月的信息化專題調研和11月的公司信息化現場交流會上，均針對SPC管理平台建設、商業營銷移動應用、質檢離線數據採集完善、設備管理信息系統功能完善、MES智能生產製造、PBMS批次管理兩個系統的二期建設和生產經營決策管理系統等保測評等及其相關的技術與方案優化提出了進一步的需求和設想。

全年尤其突出抓好IT基礎制度規范工作，夯實IT基礎管理工作。通過年初的部門調研、8月公司和企業管理診斷、11月的年度 主題教育 巡視、9月公司對企業信息化工作專題調研、1月和12月質量管理體系認證審核、6月企業質量、環境、安全三標管理體系內部審核，年度各項內部、外部開展的檢查和自查自評等活動，針對差距或不足，全年梳理並經制修訂涉及物流、工藝質量、生產、成本、能源、設備等IT基礎標准文件55個，其中新增文件23個。進一步明確了崗位作業標准規范。包括相關方人員管理，規范了IT業務范圍內各項管理的職責和人員合理分工與協作。各管理、技術和作業規范均得到安全有效執行。公司《數字化工廠專項管理診斷情況通報》我廠數字化工廠建設和運行管理亮點體現在：一是數字化工廠運行的制度體系較為完善。建立了管理制度、運維辦法、崗位操作規范等三級制度體系，管理要求層層分解，呈現出規劃性強、職責明確、操作易懂等特點。二是信息化部門與業務部門聯動，建立了完善的生產數據質量保障機制。針對不同生產環節數據，明確了核對的責任崗位、職責要求，做到了生產數據的班清班結，為數據的及時、准確提供了保障。三是將二維碼新技術應用於信息化資產管理，做到了“一掃便知”資產生命周期和使用狀態。

6. 網路安全合規涉及的監管部門主要哪些

《網路安全法》第八條提出國家網信部門負責統籌協調網路安全工作和相關監督管理工作。電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網路安全保護和監督管理工作。

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網路安全法（草案）》。 網路安全法草案於2015年7月6日至2015年8月5日在中國人大網上全文公布，並向社會公開徵求意見。
《中華人民共和國網路安全法》一共分七章七十九條。2017年6月1日，不僅僅是一年一度的兒童節，還是《中華人民共和國網路安全法》正式生效的日子。

從今日起，我國網路安全工作有了基礎性的法律框架，針對網路亦有了更多法律約束，中國信息安全行業進入新的時代。