信息系统安全年度报告(精选16篇)
1.信息系统安全年度报告 篇一
某区国税局2012年度
信息网络与安全情况报告
近年来,我局不断加强网络与信息安全工作,有力保障了国税各类应用系统的平稳运行。现汇报如下:
一、总体评价
我局严格执行省、市局网络与信息安全有关指示精神,完善制度,强化管理,细化技术措施,不断提高安全防护能力。目前,我局各类应用系统安全稳定,运转良好,未发生过失密、泄密和违规外联现象。
二、主要工作措施
(一)成立领导小组
网络与信息安全领导小泽切实履行工作职责,发挥领导作用,加强对我局信息安全工作的指导。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的要求,落实安全责任,健全责任追究制度,加大宣传力度,牢固树立“信息按去哪,人人有责”的意识。
(二)完善工作制度
建立了信息系统安全管理制度、应急预案、值班制度、信息发布审核制度、政府信息公开工作制度、保密审查制度、责任追究制度、事后检查制度等,严格执行,全面落实。
(三)强化网络安全
一是加强机房安全管理。机房安全是网络与信息安全的核心,我局对中心机房相关设备定期进行安全检查,对核心路由及主交换不定期进行相关技术测试,排除隐患,确保安全。
二是加强涉密计算机管理。按照安全第一、保密措施先行的原则,不断提高保密技术防范水平,对涉密信息指定专人管理,涉密计算机专机专用,并登记造册。对涉密设备粘贴保密标识,安装必要的监控和防护软件,拆除笔记本电脑的无线网卡,并设定系统密码,严防非本人操作。
二是加强重点岗位安全管理。征收大厅及管理分局接触纳
税人最多,也是感染病毒的高发区。我局要求对所有纳税人使用的移动存储设备在接入内网打开前必须主动杀毒。严禁移动存储设备未经处理在内外网交叉使用。
三是严禁违规外联。禁止一切带无线路由功能的外接设备
(如:手机、上网卡、无线路由等)连入内网进行充电、数据拷贝等操作,外来电脑(台式机、笔记本)禁止接入内网。内网电脑不得以任何理由接入外网。能够连入外网的科室,加强网络安全防护意识,不得随意插拔网线。内网计算机发生故障,尽量找人来修,减少送修次数,如确需送修报信息中心进行必要的处理。
四是主动升级杀毒软件。要求内网计算机及时升级病毒库,定时全盘扫描计算机,养成良好的上网安全习惯,并通过桌面防护系统不定期扫描内网设备,发现病毒库版本太低,及时通知使用人主动升级杀毒软件。在每个部门都指定一名信息安全工作联络员,出现病毒爆发等异常情况,及时信息中心取得联系。
(四)保障系统运维
一是规范工作流程。制定和完善各类应用系统的运行管理和
操作准则,使运维流程清晰、运转顺畅,杜绝违规或非规范操作,减少数据修改频率。我局抽调了6名经验丰富的业务骨干成立了数据小组,及时收集整理前台各类应用系统运行中遇到的各种疑难问题,及时给出解决方案。
二是严格数据录入。在前台数据录入工作中引入AB角工作制,由前台录入人员两人为一组对录入数据予以交叉把关。建立数据自检制度,将数据录入和数据核对工作分离开来,把关前置,确保数据录入“双保险”。加强对录入数据质量的考核。将数据质量作为岗位责任考核的重要指标,每月进行综合评比,按月兑现考核。
三是加强学习培训。为进一步熟练前台操作应用和避免运维问题,以分层次、分类型、分岗位为培训原则,开展了形势多样的业务系统操作应用培训,包括集中培训、视频培训、点对点的培训、岗位练兵带等,同时组织业务骨干加强对前台电脑系统安装配置的学习,加强对各类应用系统的了解,不断提升操作水平。注重收集运维过程中产生的有借鉴价值的问题解决方案,做到成果共享、经验互鉴,不断提升业务素质。
四是强化数据利用。四是强化数据分析。信息中心定期从后台抽取数据,对出现的问题进行通报,对程序性、制度性问题提交数据小组,研究分析并提出相关解决方案。对照市局每月下发的数据分析通报,综合分析系统运行质量和问题,找出工作中存在的问题和薄弱环节,及时加以解决。
2.信息系统安全年度报告 篇二
美国食品与药品管理局(FDA)认为,他们有责任确保所有在美国上市的医学产品(包括药品和医疗器械等)的安全性和疗效。因此,他们建立了MedWatch系统。MedWatch是美国FDA的安全性信息和不良事件报告系统,该系统不仅为专业医务人员服务,还为使用医学产品的公众服务。
MedWatch发布重要而及时的关于医学产品安全性方面的临床信息,这些医学产品包括处方药、非处方药(OTC)、生物制剂、医学和放射学装置,以及特殊的营养产品(包括医学食品、食品添加剂和婴儿配方奶粉)等。
所有可能影响大众健康的医学产品的安全性警告、召回、撤出市场和重要的标签修改等信息,美国FDA都通过MedWatch的网站和MedWatch E-list系统迅速传达给医务人员和公众。目前,在MedWatch的网站上,可查询到1996年至今的相关医学产品的安全性信息。
3.信息系统安全年度报告 篇三
关键字:风险信息披露,物流上市公司
一、研究背景
从1995年巴林银行(Baring’s Bank)倒闭,1997年亚洲金融风暴,到安然公司破产,中航油的巨亏,风险和风险管理近年来引起了越来越多的关注。传统意义上的风险主要是指纯粹风险,即自然灾害、意外事故可能发生的损失、失败及伤害。而现代意义上的风险则不仅包括纯粹风险,更着眼于企业利用风险带来的盈利的机会风险。
公司风险的信息披露问题已经引起了学术界的重视。葛家澍(2002)提出:“过去的财务报告主要反映企业经营、投资等行为带来的报酬,很少反映与报酬俱生的风险。高质量会计准则所要求的信息披露,应当涉及风险。” [1]郑明川等(2002)提出“会计报表使用者不仅关心反映过去事项的财务状况及经营成果,而且更为关注经营的过程及其引起的风险。” [2]邓传洲等(2003)提出:“由于公司面临的风险加剧,公司在年度报告中系统披露风险将有利于投资者决策。” [3] Philip M.和Philip J. (2006)对79家英国公司年报中的风险信息披露进行了实证研究。[4]
各国准则制订者已经认识到风险信息披露的重要性。德国通过立法强制企业披露风险信息,英国则通过颁布指导性文件鼓励企业自愿披露风险信息。[5]中国证监会在《公开发行证券的公司信息披露内容与格式准则第2号—年度报告的内容与格式(2005年修订)》中要求公司应当遵循重要性原则披露可能对公司未来发展战略和经营目标的实现产生不利影响的所有风险因素,包括宏观政策风险、市场或业务经营风险、财务风险、技术风险等。[6]
二、物流企业的风险种类
根据我国物流上市公司的年度报告,我国物流企业的风险主要包括几下几类:
宏观环境风险:物流业是国民经济的基础产业,与国民经济总量及其增速、经济结构密切相关,前述经济要素的变动必然会影响物流业的服务总量进而影响公司的经营业绩。
市场竞争风险:国外同行业在服务质量和规模方面优于国内物流企业,国外资本进入中国物流市场将对国内物流企业产生一定影响;国内铁路、公路、航空、海运、港口服务等行业内部的激烈竞争,对公司的经营带来一定的挑战。
投资、筹资风险:物流行业属于基础行业,投资所需资金数额巨大,因此物流企业面临着筹资和投资风险。
价格风险:运输市场价格受国家宏观经济政策、国内外经济周期、国内的经济贸易形势以及运输市场供求关系等多种因素的影响,运输价格的波动,直接影响公司的主营业务收入。由于运输工具对燃料的依赖性,油料价格波动将直接影响公司的经营业绩。
利率、汇率风险:利率变动会影响物流企业的筹资成本,而汇率变动会影响公司的收支以外币为主的物流企业。
运营风险:是指物流企业由于内部经营上的原因而导致的经营收益的不确定性。
安全风险:物流活动受较多不确定因素的影响,如自然灾害的不可抗力和意外事故,都可能对公司的正常经营和经济效益带来较大的影响。
三、研究设计
1、样本选择与数据来源
本文根据中国证券监督管理委员会2001年制定的《上市公司行业分类指引》,物流业归属于“交通运输、仓储业”,通过查阅“东方证券”网站上“交通运输、仓储业”每一个公司的“经营范围”和“主营业务”,筛选出以物流业务为主营业务的31家上市公司作为研究样本。
本文选择2005年12月31日的年度报告作为分析评价的依据,相关资料从巨潮资讯网站(http://www.coinfo.com.cn)获取。
2、指标选择
本文在对物流上市公司的风险信息披露进行分类时,将涉及到数字描述的风险定义为“定量风险”,将全部用文字描述的风险定义为“定性风险”;将可能给企业带来盈利机会的风险定义为“好消息”风险,将只能给企业带损失的风险定义为“坏消息”风险。
在评价公司的风险信息披露数量时,可以选择字数,句子数量和页数比例作为评价依据。考虑到字数的准确度高,客观性强,最具可比性,因此本文选择字数作为评价风险信息披露的衡量指标。
四、实证结果及分析
1、我国物流上市公司风险信息披露的种类
表1对我国物流上市公司的风险披露的种类进行了描述。在31家物流上市公司中,有20家披露了风险,占65%;有11家未披露风险,占35%。在披露了风险的20家公司中,只有5家公司披露了定量风险,占25%;其余15家公司披露的全部是定性风险,占75%。定性风险信息披露远高于定量风险信息披露。14家公司披露的全部是“坏消息”风险,占70%;有6家公司披露了“好消息”风险,占30%。“坏消息”风险信息披露远高于“好消息”风险信息披露。有14家公司披露了宏观环境风险,12家公司披露了价格风险;11家公司披露了市场竞争风险,9家公司披露了投资筹资风险,6家公司披露了运营风险,4家公司披露了安全风险,3家公司披露了利率汇率风险。
以上数据表明我国物流上市公司风险披露的现状不容乐观。部分上市公司未遵循证监会规定,没有披露任何风险信息;对风险信息的披露主要是文字表述,定量的数据披露较少;对风险的理解主要局限于纯粹风险上,忽略了机会风险信息的披露;风险信息披露的内容主要关注的是企业外部风险,如宏观环境风险、价格风险和市场竞争风险,对企业内部风险信息,如运营风险和安全风险的披露较少。
2、我国物流上市公司风险信息披露的数量
表2列示了我国物流上市公司披露的风险数量的统计数据。在物流上市公司年报中总计披露了10239个文字。除了风险管理对策(4757字)外,披露字数最多的三类风险分别是:宏观环境风险(2115字)、价格风险(970字)和市场竞争风险(806字);其余四类风险是运营风险(639字)、投资筹资风险(534字)、利率汇率风险(302字)和安全风险(116字)。
以上数据表明虽然我国物流上市公司对面临的风险及相应的对策进行了或多或少的披露,但是总体数量和质量均不高,不同企业的风险披露数量和种类的差别较大。企业对于企业外部风险的关注程度高于内部风险。
五、结论及建议
本文对我国物流上市公司风险信息披露的现状进行了分析。我们的分析结果表明:尽管我国物流上市公司大部分对风险进行了披露,但披露的风险内容不够完整,对风险的分类不够严密,风险信息缺乏可比性。披露的定性风险较多,定量风险较少;披露的纯粹风险较多,机会风险较少;披露的企业外部风险较多,企业内部风险较少。我国上市公司的风险披露亟待完善。目前上市公司风险披露的主要规范是中国证监会于2005年修订的“公开发行证券的公司信息披露内容与格式准则第2号――年度报告的内容与格式”。虽然经过修订,但对风险的分类仍然不够严密,也不够全面。
基于以上研究,我们建议由权威机构专门制订风险披露准则,使上市公司有章可循。该准则应该提供一个较为统一的内容格式,使企业之间风险信息可比;规范公司年度报告中需披露的风险内容以及风险的分类,指导上市公司在年度报告中全面、系统地披露风险,引导上市公司提供一体化的风险管理报告。从而有利于投资者理解企业风险内容及影响程度,有利于企业管理层加强风险管理。
作者单位:中国农业大学经济管理学院北京物资学院会计系
(编辑 雨露)
参考文献:
[1]葛家澍.关于高质量会计准则的几个问题[J].会计研究.2002(10).16-23.
[2]郑明川.徐翠萍.衍生金融工具风险信息的VaR披露模式[J].会计研究.2002(7).49-53.
[3]邓传洲.李正.论非金融类公司年度报告中的风险信息披露[J].会计研究.2003(8).19-22. [4]Philip M. Linsley and Philip J. Shrives. Risk reporting: A study of risk disclosures in the annual reports of UK companies[J].The British Accounting Review.2006(38).387-404.
[5]Jerry Dickinson. Enterprise Risk Management: Its Origins and Conceptual Foundation[J].The Geneva Papers on Risk and Insurance .2001(July).Vol.26.No.3.360-366.
4.信息系统安全自查报告2014 篇四
检查工作自查报告
市工信委:
根据《关于开展2014年全市重点领域网络与信息安全检查的通知》(洪工信字【2014】177号)文件的精神,我局领导高度重视,立即组织开展全局范围的信息系统安全检查工作。按照《中华人民共和国计算机信息系统安全保护条例》、《**市政府信息系统安全检查指南》的要求,我局对政务网站信息安全管理工作认真组织自查,现将情况汇报如下:
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行
一、信息安全制度落实情况
1、建立管理机构。我局于2010年成立了信息安全和保密管理工作领导小组,并于2014年调整后,由局长**任组长,副调研员**负责分管信息安全工作。各科室负责人为成员,办公室设在局办公室,设专人负责处理日常工作。
2、建立建全信息安全制度。我局专门制订了信息化工作有关规章制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作。并在今年对信息安全制度进行了修订,完善制度,确保政府信息系统安全防护措施。
二、日常信息安全管理情况
1.在信息收集上传过程中,由办公室统一协调,各处室、下属单位把信息统一上报至局办公室,由局办公室审核后再把信息上传发布,从而保证了信息上传的准确性、安全性,决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。
2.我局严格文件的收发工作,完善了清点、整理、编号、签收制度,并要求信息管理员定期进行系统全备份。
3.我局每台涉密计算机采用独立内网管理,不与外网接触,防火墙、杀毒软件等皆为国产产品,公文处理软件具体使用微软公司的office系统、金山公司的WPS系统,信息系统的第三方服务外包均为国内公司。
4、为确保我局网络信息安全工作有效顺利开展,我局要求以各科室、下属单位为单位认真组织学习相关法律、法规和网络信息安全的相关知识,使全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。全体工作人员签订《网络信息安全承诺书》。
三、安全防范措施落实情况
1.我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
2.我局实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
3.我局切实抓好内网、外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、资源库管理、软件管理等。涉密计算机都设有专人管理。公文、财务、人事等系统都设有专人管理负责。
四、应急响应机制建设情况
1、制定了应急预案,并随着信息化程度的深入,结合我局实际,处于不断完善阶段。
2、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
五、信息安全检查工作发现的主要问题及整改情况 1.存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。
二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面;
三是设备维护、更新还不够及时。
2.下一步的整改计划
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是要加强专业信息技术人员的培养,进一步提高信息安全工作技术水平,便于我们进一步加强对计算机信息系统安全防范和保密工作。
二是要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
三是要要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
最后,希望市政府能够经常组织有关信息系统安全的培训,从而进一步提高信息系统管理工作人员的专业水平,从而进一步强化信息系统的安全防范工作。
5.信息系统安全年度报告 篇五
2012信息系统安全检查工作报告
一、信息安全状况总体评价
概述本单位信息安全工作情况,与上一相比信息安全工作取得的新进展,对本单位信息安全状况的总体评价。
二、2012年信息安全检查情况
对照2012信息系统安全检查表,逐项描述本单位2012年在信息安全组织管理、日常管理、安全防护、应急管理、教育培训、安全检查等方面开展的工作情况。
三、检查发现的主要问题及整改情况
(一)存在主要问题及其原因
描述安全检查特别是技术检测发现的主要问题和薄弱环节,分析其存在原因。
(二)下一步工作打算
针对检查发现的问题提出整改计划或整改措施。
四、对信息安全工作的意见和建议
6.信息系统安全年度报告 篇六
市政府网管中心:
根据《通知》要求,我局对本部门信息系统安全情况进行了自查,现将具体情况汇报如下:
一、基本情况
按照《通知》要求,我局立即组织开展全局范围的信息系统安全检查工作,对我局的业务信息系统、网络安全情况等作了全面检查。
二、2014年信息安全主要工作情况
(一)信息安全制度落实情况;我局严格按照上级部门要求,全面落实安全防范措施,全力保障信息系统安全工作,积极开展信息安全应急演练,有效降低、防范信息安全风险,应急处置能力得到切实提高,保证了信息系统持续安全稳定运行,建立建全信息安全制度。我局针对信息化工作,制订了有关规章制度,对内部网络安全管理、计算机及网络设备管理、数据、资料和信息的安全、政府信息公开保密审查等各方面都作了详细规定,进一步规范了我局信息安全管理工作。
(二)信息安全管理与技术防护情况:
1.加强日常监督,遵照“涉密计算机不上网,上网计算机不涉密”的工作原则,严格按照保密要求处理光盘、硬盘、U
盘等存储介质的管理、维修和销毁工作。涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
2.定期进行系统数据备份,及时对系统软件进行更新、升级,对系统数据、信息资源做到及时备份。
(三)安全防范措施落实情况
1.为确保我局网络信息安全工作有效顺利开展,积极与网络安全经验丰富的技术人员取得联系,不定期对网络安全保障工作进行检查。
2.登录系统都设有专门的账户名及密码,由操作人员负责保管。
(四)应急管理
1.与系统外包单位紧密联系,实时监控系统运用,并商定其给予局应急技术以最大程度的支持。
2.定时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
三、检查发现的主要问题和面临的威胁
在自查过程中我们发现了一些不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及
时。
四、改进措施与整改效果
(一)继续加强对局机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
(二)切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
(三)以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
(四)提高安全工作的现代化水平,加大人员培训力度,提高系统管理人员的专业技术水平,以便进一步加强对计算机信息系统安全的防范和保密工作。
五、关于加强信息安全工作的意见和建议
希望市政府能够经常性地组织有关信息系统安全、网络安全等方面的专业培训,进一步提高信息系统管理工作人员的专业技术水平,强化信息系统的安全防范工作。
7.信息系统安全年度报告 篇七
根据青海省电力公司2010年用电信息采集系统工程建设的总体安排, 营销部制定详细的计划, 从2010年12月29日起, 对所属的7个供电公司2010年度用电信息采集系统建设进行验收。
截止目前, 海东、海北、黄化、海西、海南、果洛、西宁供电公司用电信息采集均已转入正式运行。青海省电力公司2010年度用电信息采集系统建设顺利通过验收, 为实现“基础数据准确率100%, 数据传输真实率100%, 系统稳定率100%, 网络安全率100%及系统可用率100%”的系统建设总目标奠定了坚实的基础。
8.信息系统安全年度报告 篇八
市信息化工作领导小组办公室:
按照《印发张家界市重点单位网络与信息安全检查工作方案和信息安全自查操作指南的通知》(X信办[2012]X号,我司立即组织开展信息系统安全检查工作,现将自查情况汇报如下:
一、信息安全状况总体评价
我司信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力切实得到提高,保证了本会信息系统持续安全稳定运行。
二、信息安全工作情况
(一)信息安全组织管理
领导重视,机构健全。针对信息系统安全检查工作,理事会高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由XXX担任,副组长由XXX,成员由各科(室)、直属单位负责人组成,领导小组下设办公室,办公室设在XXX。建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了残疾人工作的良好运行,确保了信息系统的安全。
每年派员参加市有关单位组织的网络系统安全知识培训,做好网络安全管理和信息安全工作。
三、检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我司实际,今后要在以下几个方面进行整改。
存在不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
一是要继续加强对干部职工的安全意识教育,提高做好安全工作的主动性和自觉性。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
四是要提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和保密工作。
五是要创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
9.信息系统安全年度报告 篇九
根据《关于开展全区重要信息系统和政府网站安全专项检查的通知》的精神,我局领导高度重视,立即组织开展全局范围的信息系统安全检查工作。现将自查情况汇报如下:
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行。
一、自查情况
(一)信息安全组织管理情况
1.我局专门制订了信息化工作有关规章制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作
2.为确保我局网络信息安全工作有效顺利开展,我局要求以各科室、下属单位为单位认真组织学习相关法律、法规和网络信息安全的相关知识,使全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
(二)日常信息安全管理
1.为进一步加强我局政府信息安全工作的领导,成立了信息安全工作领导小组,由局长任组长,分管领导任网络安全负责人,各科室负责人为成员,办公室内部设立信息中心,设专人负责处理日常工作。
2.在信息收集上传过程中,由信息中心统一协调,各科室、下属单位把信息统一上报至办公室,由信息中心掌握上传密码的同志统一把信息上传发布,从而保证了信息上传的准确性、安全性,决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。
3.我局严格文件的收发工作,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行系统全数据备份检查,并对所有业务系统都进行了逻辑备份和物理备份。
4.我局没有涉密计算机。每台非涉密计算机的保密系统和防火墙、杀毒软件等皆为国产产品,公文处理软件具体使用微软公司的office系统。
(三)信息安全防护管理
1.我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
2.我局实行角色审核制度。凡上传网站的信息,须经有关负责人审核后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安
装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
3.我局切实抓好内网、外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
(四)信息安全应急管理
我局已经做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,落实了应急技术支撑队伍,把工作做深做细做在前面。积极组织开展了应急演练,检验了应急预案的可操作性,提高了应急处置能力。
(五)信息安全教育培训
我局针对信息管理人员实际情况,每年开展信息化教育培训,以掌握信息化管理技能为目的进行实践操作能力培训。在我们建的文化系统办公室QQ群实时对一些最新网络病毒及安全事件进行播报以提高信息管理人员的安全防范意识。
(六)信息安全检查工作发现的主要问题及整改情况 1.存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。
二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面;
三是设备维护、更新还不够及时。2.下一步的整改计划
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是要加强专业信息技术人员的培养,进一步提高信息安全工作技术水平,便于我们进一步加强对计算机信息系统安全防范和保密工作。
二是要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
三是要要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
10.信息系统安全年度报告 篇十
上市公司虚假信息披露事件的不断出现使上市公司的信誉受到了严重的影响, 而早在1992年, COSO委员会就建议, 由管理当局或其指定人员定期评价企业内部控制的设计和执行的有效性, 同时对外披露内部控制评价报告和注册会计师的审核报告。安然事件发生后, 美国国会于2002年通过了《萨班斯——奥克斯利法案》, 开始强制披露公司内部控制信息。我国的内部控制信息披露发展晚于英美, 2006年上交所、深交所分别颁布了《上市公司内部控制指引》, 并分别于当年7月和次年7月实施。随后制定了《企业内部控制基本规范》。从上述规定来看, 我国的内部信息披露模式与美国模式较相近, 而出台的《内部控制基本规范》也大致采用了类似于COSO的内部控制框架 (冯悦, 2010) 。本文拟通过对沪市上市公司2008年~2010年3年的年度报告中内部控制信息披露现状进行描述性统计分析, 以期揭示我国内部控制信息披露基本现状, 并对今后内部控制信息披露的规范化有所帮助。
二、沪市上市公司2008~2010年年报披露分析
本文共选取了沪市2008年858家, 2009年870家, 2010年905家上市公司的年报。根据2008年上交所颁布的《关于做好上市公司2008年年报报告工作的通知》, 剔除了上证公司治理板块样本公司、发行境外上市外资股的公司及金融类公司, 因为此类公司对内部控制信息有特殊要求。同时, 剔除了ST公司 (包括ST、*ST、SST、S*ST、S类上市公司) 和被出具非标准审计意见的公司。最终保留了初选样本2008年505家, 2009年529家, 2010年557家。
第一, 总体披露情况。笔者经过分析沪市上市公司2008年~2010年的年度报表, 参照张波 (2010) 根据年报内部控制信息披露的详细程度, 将上市公司年度报告分为6类 (见表1) 。
根据上述分类, 对沪市上市公司2008年~2010年年报数据进行初选数据统计, 如表2所示。
从表2可知, 2008年有87家, 占所选样本的17.23%;2009年96家, 占所选样本的18.15%;2010年有102家, 占所选样本的18.33%的公司自愿披露了内部控制报告。由上述数据可以看出沪市上市公司自愿披露内部控制报告的数量逐年增加, 也即管理层对内部控制报告的重要性的意识越来越增强。
3年中分别有9.9%、10.4%、10.23%的公司自愿聘请了注册会计师出具内控报告审核评价意见。在其他没有出具内控报告的公司中, 2008年中有占总数13.07%, 2009年中有占总数13.23%, 2010年中有占总数13.8%, 详细披露内控信息。但是, 从表2中可以看出, 所选样本公司的大部分, 是没有披露内部控制基本要素, 或是仅披露某个或某些要素, 但是没有实质内容, 基本流于形式。如2008年中有350家, 占所选样本的69.3%;2009年中有359家, 占所选样本的67.86%;2010年中有368家, 占所选样本的66.07%。
从3年数据中可以看出, 至少半数以上上市公司对内部控制信息的披露问题不重视, 或者仅仅应付相关规范, 并没有进行实质披露。而由于有相关规范和规定的要求, 完全没有披露内部控制信息的公司也不多。这可以通过表2数据证实, 其中2008年仅有2家没有披露任何内部控制信息, 占所选样本的0.4%;2009年也仅有4家, 占所选样本的0.76%;2010年有10家, 占所选样本的1.8%。因此, 通过对表2的数据进行分析, 发现虽然进行内部控制信息披露的上市公司越来越多, 但是由于大部分的上市公司依然没有重视, 希望未来能有更有效的措施促使上市公司进行信息披露。
第二, 内部控制按特殊披露要求的披露情况。笔者对2008~2010年三年中其披露要求的类型按自愿性内控信息披露和强制性内控信息披露进行了统计, 结果如表3所示。
从表3可以看出, 2008年强制性内部控制信息披露的公司数量是246家, 而自愿性内部控制信息披露的公司数量是87家, 因此, 强制性内部控制信息披露公司数量是自愿性内部控制信息披露公司的2.8倍。同样, 2009年强制性内部控制信息披露的公司数量是253家, 而自愿性内部控制信息披露的公司数量是96家, 因此, 强制性内部控制信息披露公司数量是自愿性内部控制信息披露公司的2.6倍。同样, 2010年强制性内部控制信息披露的公司数量是262家, 而自愿性内部控制信息披露的公司数量是102家, 因此, 强制性内部控制信息披露公司数量是自愿性内部控制信息披露公司的2.6倍。
从上述数据中可以看出自愿性披露公司内部控制信息的公司的数量逐年增加, 但同时, 强制性披露内部控制信息的公司数量也是逐年增加。虽然在这3年中自愿性内部控制信息披露所占比例有逐年上升的趋势, 从2008年的26.13%、2009年增加到27.51%、2010年增加到28.02%;但和强制性内部控制信息披露相比, 自愿性内部控制信息披露占总体披露数量还是比较低。
第三, 内部报告的披露依据情况。根据表2的统计结果:2008年有87家, 2009年96家, 2010年有102家公司自愿披露了内部控制报告。接着, 笔者对报告内容的披露依据进行了分析, 结果如表4。
从表4可知, 2008年有57.47%、2009年有57.29%、2010年有55.88%的公司表明按照《企业内部控制基本规范》的要求披露五项要素;另外有6.9%、8.33%、7.85%的公司按照《上海证劵交易上市公司内部控制指引》的要求披露了八项要素。
从表4中可以看出, 2008年有50家、2009年有55家、2010年有57家上市公司依据《企业内部控制基本规范》对内部控制进行披露;2008年有6家、2009年有8家、2010年有8家上市公司依据《上海证劵交易上市公司内部控制指引》对内部控制进行披露。
无论从比例上来看还是数量上看, 《企业内部控制基本规范》作为上市公司内部控制信息披露的依据都占主导地位。但是从上述数据统计中, 发现2008年有27家、2009年有24家、2010年有31家上市公司虽然披露了其内部控制信息, 但并没有指明披露的依据, 也即3年中仍然有30%左右公司没说明披露的依据。
第四, 内部控制审计报告的披露情况。根据表2的统计结果:2008年~2010年沪市上市公司分别有50家、55家、57家公司自愿聘请了注册会计师对内部控制报告出具核实评价意见, 笔者通过查阅出具的意见, 并进行分析找出注册会计师出具评价意见的依据, 对上述依据进行了统计分析, 如表5所示。
从表5可以看出, 数量上, 2008年有21家公司, 2009年有23家公司, 2010年有22家公司, 进行内控报告审计的依据是《“3101号”准则》;比例上, 2008年自愿进行内控报告审计公司占总数的42%, 2009年自愿进行内控报告审计公司占总数的41.82%, 2010年自愿进行内控报告审计公司占总数的38.6%, 进行内控报告审计的依据是《“3101号”准则》。
从表5中可看出, 注册会计师进行内部控制报告审计的还有《指导意见》, 其中在2008年有10家上市公司的内部控制审计报告的依据是《指导意见》, 占自愿出具内部控制信息审计报告的20%;2009年有11家, 占20%的比例;2010年有13家, 占22.81%的比例。
从上述数据可看出, 注册会计师出具内部控制审计报告的的依据越来越多的向《指导意见》靠拢。注册会计师执行内部控制报告审计业务的依据还有上交所《指引》和《基本规范》等, 其中在2008年有11家上市公司内部控制信息披露的审计依据选择的是《基本规范》、《指引》或其他准则等依据, 占自愿出具内部控制信息审计报告的22%;2009年有14家, 占25.45%的比例;2010年有13家, 占22.8%的比例。
从这些数据可以看出, 其他审计依据也占有不小的分量。而且依据《“3101号”准则》出具的内部控制审计报告数占总数的比例并未过半, 因此注册会计师出具的内部控制信息的审计报告的依据具有多样化特征, 因此其可比性不高。
三、结论
通过上述分析, 可以得到以下结论:一是上市公司自愿性内部控制信息披露总体水平依然较低。通过对上述2008年~2010年沪市上市公司内部控制信息披露情况的描述性统计分析结果可以看出, 上市公司自愿出具内部控制报告的数量逐年增加, 披露状况已经有所改善。但从总体看上市公司自愿披露的动机仍不强烈, 仍有不少公司披露内控信息流于形式, 自愿性内部控制信息披露水平较低。二是上市公司内部控制信息披露的依据不统一。在上述分析中发现, 自愿性信息披露中依然有约1/3的公司没有遵照要求指明披露依据, 同时内部控制信息披露总体遵照要求指明披露依据的水平也较低。三是注册会计师出具内部控制审计意见的依据不统一。通过对沪市上市公司三年数据分析, 可以看出虽然已有很多上市公司自愿聘请了注册会计师出具内部控制报告核实评价意见, 但依据不统一, 造成出具的意见之间缺乏可比性。此外, 学术界对审计师审核标准意见也不统一, 如杨有红 (2009) 认为应细化有效性标准, 提出应将经济性纳入评价标准。池国华、朱俊卿 (2009) 提出上市公司进行内部控制评价的一般标准和具体标准等。
总之, 鼓励、推动上市公司自愿性信息披露、规范内部控制鉴定报告、提高内部控制信息披露的有效性和参考性, 需要上市公司、证劵监管部门和投资者三方的共同努力。
参考文献
[1]杨有红、汪薇:《2006沪市内部控制信息披露研究》, 《会计研究》2008年第3期。
[2]冯悦:《浅议海内外上市公司内部控制信息披露比较》, 《新会计》2010年第7期。
[3]左田芳:《上市公司内部控制信息披露的问题研究》, 《中国总会计师》2010年第5期。
[4]池国华、原国英、乔岳峰:《辽宁省上市公司内部控制信息披露:现状与建议——基于2009年沪深两市A股主板公司的数据分析》, 《上海立信会计学院学报》2010年第24期。
[5]黄寿昌、李芸达、陈圣飞:《内部控制报告自愿披露的市场效应——基于股票交易及股票收益波动率的实证研究》, 《审计研究》2010年第4期。
[6]李少轩、张瑞丽:《上市公司内部控制信息披露影响因素研究——基于沪、深上市公司的实证分析》, 《财会通讯 (综合) 》2009年第3期。
[7]Maria Ogneva, K.R.Subramanyam, K.Raghunandan, 2006, Internal Control Weakness and Cost of Equity:Evidence from SOX Section404Disclosures.July, AAA2006Financial Accounting and Reporting Setion (FARS) Meeting Paper.
[8]Stephen H.Bryan, Steven B.Lilien, Characteristics of Firms with Material Weaknesses in Internal Control:An Assessment of Section404of Sarbanes Oxley.Working Paper, http://papers.ssrn.com/, 2005.
[9]Scott N.Bronson, Joseph V.Carcello, and K.Raghunandan.Firm characteristics and voluntary management reports on internal control[J].Auditing:A Journal practice&theory, 2006, 25 (02) :25-39.
11.信息系统安全年度报告 篇十一
报告
“瓦斯是煤矿第一杀手”,煤矿安全监控系统从建立到信息联网,再到改造升级,是煤矿企业依靠科技兴安,确保监控有效,防范瓦斯事故的有效手段。煤矿安全监控系统的运行正常与否直接关系到煤矿企业的安危和井下矿工的生命安全。最近,我局组织专人采取问卷调查、职工座谈、现场查看等方式对全县煤矿安全监控系统及信息联网运行情况进行了调研,共选择了4处高瓦斯矿井、3处低瓦斯矿井和县瓦斯监控中心作为调研对象,现将调研情况简述于下:
一、当前全县煤矿安全监控系统及信息联网的现状
仁寿县现有煤矿12处,年核定生产能力141万吨,其中高瓦斯矿井7处,低瓦斯矿井5处,均实现了与县瓦斯监控中心的信息联网。从本次调研的情况来看,当前全县煤矿安全监控系统及信息联网总体管理规范、运行正常、效果明显。
1、安全监控系统及信息联网的知晓率比较高。在调研的7处矿井中,我们共发放调查问卷140份,回收有效问卷136份,组织煤矿职工座谈7次,参加座谈的煤矿管理人员和一线工人共计42人。据统计,所有被调查对象都知道煤矿安全监控系统,知道煤矿安全监控系统信息联网的占87.9%;认为安全监控系统非常重要的占98.7%;认为煤矿安全监控系统信息联网非常重要的占87.9%。说明煤矿职工对安全监控系统及信息联网比较了解和熟悉。
2、安全监控系统及信息联网管理基本规范。安全监控系统及信息联网使用管理是本次调研的重点,通过对省、市、县监察监管部门今年1-10月份在7处矿井检查做出的笔录进行分析后发现,涉及安全监控系统及信息联网的问题只占所有检查出问题的5%。7处矿井安全监控系统及检测仪器的装备、设计和安装、传感器设置、使用与维护、系统及联网信息处理、管理制度与技术资料等均符合《煤矿安全监控系统及检测仪器使用管理规范》(AQ1029-2007)的规定和要求。
3、安全监控系统及信息联网运行基本正常。从调研的情况来看,今年1-10月份7处煤矿中只有2处矿井各出现过1次安全监控系统信号全部断线,原因均为矿井停电搬迁井下设备,断线时间均未超出计划停电时间。今年
1-10月份县监控中心出现过2次无信号,一次是因为供电局维修线路停电,另一次是因为眉山电信出现故障。总的来看,全县煤矿安全监控系统及信息联网运行基本正常。
4、安全监控系统及信息联网的效果比较明显。据统计显示,今年1-10月份7处矿井安全监控系统共监测到瓦斯超限报警689次,其中一级报警634次,占报警总数的92%;二级报警26次,占报警总数的4%;三级报警29次,占报警总数的4%。矿井针对每次瓦斯超限报警均采取有效措施及时进行了处理,今年1-10月份7处矿井均未发生过瓦斯事故。
二、目前安全监控系统及信息联网存在的主要问题
从调研中我们了解到,目前我县煤矿安全监控系统及信息联网也还存在一些问题,具体有以下5个方面:
1、煤矿安全监控系统部分设备易出故障。调研的7处矿井中有5处矿井反映安全监控系统部分设备易出故障,特别是安全监控系统的瓦斯传感器和便携式瓦斯检测报警仪易出故障。
2、煤矿安全监控系统部分设备报废率较高。7处矿井均反映有相当一部分瓦斯传感器和便携式瓦斯检测报警仪出现故障后不能维修,或维修后仍不能正常使用。
3、煤矿安全监控系统设备检定工作实际意义不大。调研的7处煤矿均反映检定后的部分监控设备特别是模拟量传感器运行不稳定,性能得不到保障,认为检定工作所起到的实际效果不大。
4、煤矿安全监控系统及信息联网操作人员队伍不稳定。据统计显示,7处矿井共有地面监控工24人(其中具有此工作经验2年以上的8人,1-2年的10人,不足1年的6人),井下维护工21人(其中具有此工作经验2年以上的6人,1-2年的10人,1年以下的5人)。调研的7处矿井中有6处矿井存在今年因地面监控工或井下维护工辞职而重新招聘新人情况。
5、县监控中心部分设备老化严重。据县瓦斯监控中心反映,目前部分设备连续使用已达3-4年,设备老化严重,易出故障,对全县煤矿安全监控系统信息联网的正常运行带来了一定的影响。
三、存在问题的原因分析
针对以上问题,在座谈了解的基础上,经过认真比较分析,主要是以下
原因造成:
1、煤矿安全监控系统部分设备易出故障的主要原因:一是目前煤矿使用的瓦斯传感器和便携式报警仪大多采用热催化敏感元件,易受井下淋水、粉尘等环境因素影响;二是部分传感器易受放炮冲击或冒顶片帮而掉落损坏;三是部分传感器要随工作面的推进或搬迁而移动或拆装,难免受人为因素影响。
2、煤矿安全监控系统设备检定工作意义不大的主要原因:目前监控设备的检定均是煤矿送到有资质的单位进行检定,设备在拆、装和长距离运输过程中极易受到影响。而设备只要有一项指标达不到要求,该设备即检定为不合格,有些设备甚至要在检定和维修之间徘徊几个月才能拿到检定合格的证书,当设备再次使用时,性能又难以得到保障。而目前部分监控设备的检定费用甚至高于购买费用,有的煤矿购买监控设备只用1年即淘汰,这既造成了资源的浪费又增加了煤矿企业的负担。
3、煤矿安全监控系统及信息联网操作人员队伍不稳定的主要原因:一是操作人员普遍感觉责任大,思想压力大。座谈的14名监控系统操作人员有10人认为此项工作很危险,4人认为此项工作危险,无人觉得此项工作不危险;二是工作条件较差,待遇不高。由于煤矿大多处在偏远山区,交通不便,工作和生活条件较差,而煤矿监控人员拿的都不是一线工资,待遇普遍不高;三是对煤炭行业的未来发展不抱希望。大部分人认为煤矿是夕阳产业,资源总有枯竭的一天,来煤矿工作只是暂时的;四是个别操作人员业务知识不全面。据统计,调研的7处矿井共有地面监控工24人,其中下过井的只有4人,大部分地面监控工对井下情况都不熟悉。
4、县瓦斯监控中心部分设备老化的主要原因:煤矿安全监控系统每天24小时都在不间断运行,我县瓦斯监控中心于2005年成立之初采购的部分监控设备由于使用时间较长,目前老化严重,易出故障,加之我县煤矿安全监控系统改造升级后联网信息数据比改造升级前多了近一倍,导致了部分设备运行缓慢,难以适应现在的要求。
四、需要采取的对策和建议
为确保煤矿安全监控系统及信息联网的正常运行,杜绝煤矿瓦斯事故的发生,针对以上存在的问题,提出如下对策和建议:
1、煤矿企业应加强自身管理。一要把好安全监控系统相关产品的采购关。煤矿企业在采购相关产品时一定要仔细了解该生产厂家是否具有相应的资质、该产品证件是否齐全、该产品性能是否稳定可靠等,严禁使用未取得
相应资质的厂家生产或证件不全的产品;二要加强安全监控系统产品的使用管理。要严格按照产品的使用说明书进行安设和使用,如果个别安设地点存在影响产品正常运行的因素时要采取有效的保护措施,如外加保护罩等。需要注意的是:产品在井下连续运行一定时间后应升井进行检修,不要等到出现问题后才进行处理;三要把好安全监控系统相关产品的维修关。当安全监控系统的相关产品出现故障后煤矿企业应送到生产厂家或有资质的单位请专业维修人员进行维修,维修后要按照要求先试运行;四要加强对安全监控系统操作人员的管理。各煤矿企业应根据自身的实际情况选好监控人员,要提高监控人员的待遇,增强监控人员工作的积极性。煤矿安全监控系统操作人员属于特种作业人员,专业性较强,煤矿企业要积极选派监控人员外出学习,提高其业务素质,同时要留住人,尽量避免该工种人员的流失和调换。
2、建议上级部门取消对部分安全监控系统设备的检定工作。目前将同样的安全监控系统设备送不同单位进行检定,其出具的检定合格有效期却不同,有的时间相差半年,这也说明目前各检定机构对安全监控系统设备的检定工作认识上还存在差异。从目前我县煤矿的实际情况来看,安全监控系统设备检定工作起到的作用十分有限,问题反而比较多。目前瓦斯传感器和便携式瓦斯检测报警仪调校工作所起到的作用完全可以代替检定工作所起到的作用,而且当瓦斯传感器或便携式瓦斯检测报警仪出现问题时,通过调校比通过检定更能及时有效地发现问题。
3、加大经费投入,及时更换老化设备。为确保我县煤矿安全监控系统信息联网特别是县瓦斯监控中心的正常运行,每年必须要有一定的资金保障。目前我县瓦斯监控中心既是仁寿县的瓦斯监控中心同时又是眉山市的瓦斯监控中心,起着省、市、县、矿四级联网的关键作用。只要我县瓦斯监控中心不能正常运行,省、市、县、矿四级联网监控将变成只有煤矿一级监控,“分级监控,分级响应”的作用就变成了“一级监控,一级响应”。为保证煤矿安全监控系统信息联网的正常运行,需要加大经费投入,及时更换目前已老化、易出故障的部分监控设备。
12.政府信息公开年度报告 篇十二
在主动公开的信息中,政策法规类的信息×条(内容可具体描述),占总体的比例为×%(内容可具体描述);规划计划类的信息×条(内容可具体描述),占总体的比例为×%(内容可具体描述);属于本单位业务类信息×条,占总体的比例为×%(对本单位业务类信息的进一步分析,由各单位依据自身的实际工作情况酌情展开)。
在主动公开的信息中与公众密切相关的重大事项方面的信息有×条,(主要结合本单位的工作实际情况描述,包括1.影响公众人身和财产安全的疫情、灾情或者突发事件的预报、发生及其处理情况;2.扶贫、优抚、教育、社会保障、劳动就业等方面的标准、条件及实施情况;3.土地征用、房屋拆迁的批准文件、补偿标准、安置方案等信息的公开情况进行归纳总结。)对社会产生的影响和意义(由各单位根据工作实际情况客观评价)。
在主动公开的信息中属公共资金使用和监督方面的信息×条,(主要结合本单位的工作实际情况描述,包括:1.重大城市基础建设项目的公开招标中标情况及工程进度情况;2.政府集中采购项目的目录、政府采购限额标准、采购结果及其监督情况;3.政府财政预算、决算和实际支出以及审计等信息的公开情况进行归纳总结。)对社会产生的影响和意义(由各单位根据工作实际情况客观评价)。
在主动公开信息工作中,为方便公众了解信息,海口市(市区)人民政府(局、办、委)采用了×××公开形式。(包括政府公报或者其他报纸、杂志,政府网站,政府新闻发布会以及广播、电视等公共媒体,设立的公共查阅室、资料索取点、政府信息公告栏、电子屏幕等场所或者设施和采用定期或不定期方式召开新闻发布会等形式,其中最常用的形式和最受欢迎的形式等,并对不同公开形式的工作进行总结。)
13.电力信息系统的信息安全技术 篇十三
1 安全系统构建
电力行业属于垄断性行业, 安全系统初始构建是国电集团的大信息网络构建的一部分, 通常是在电力系统建设阶段形成, 国电集团目前的信息网络是由各省及省下面的各地市级网络供电局所组成的一个大型广域网, 集团及各省企业公司通过它来管理各种信息资源, 各网络之间利用分组交换以及数字网络复接技术, 相对独立成为一个单独的数据通信网络。这种布局, 能够解决信息质量及安全的初步要求, 大体能够保证数据信息及时可靠、完整有效。
2 安全硬件堡垒——防火墙技术
防火墙是内网与外网信息数据互通的进出口, 其关键在于这个进出口的唯一性, 亦即“必经之路”, 所有的Internet访问均不可能绕过它而产生连接, 为此, 在此处加强技术力量保障安全的效力是显而易见的。当前的电力信息系统防火墙基本是有设置保护的, 但是较普遍的是设置不够保险, 最高级别的保密策略应是拒绝一切未经准许的连接请求, 于是, 选择“缺省全部关闭, 按需求开通的原则”是必须遵循的, 同时, 需要禁止远程协助等容易导致防火墙失控的各类危险服务, 如Telnet、NNTP、NFS等。此外, 还可采取在不同安全区之间设置专用物理隔离墙的措施, 使保护更加隐密, 增加安全系数。
3 安全软件—病毒防护技术
病毒往往是从漏洞处进入系统的, 这就要求电力信息系统网络应形成一个整体的防护罩, 任何的缺漏都将使全局防护失效。服务器、工作站、主机、各用户均应完善杀毒软件。网络防毒系统可以采用C/S模式, 首先, 利用服务器网络核心功能, 在服务器端先行安装杀毒软件, 然后派发到各工作站及用户, 客户端安装完软件后, 通过Internet与服务器联成一体, 并利用Live Update (在线升级) 功能, 从免疫中心实时获取最新的病毒码信息, 及时更新病毒代码库, 根据需要选择扫描方式, 从而完成整个网络的查杀布署工作。扫描方式可选自动扫描或人工扫描、实时进行或预定进行、升级后扫描或开机后扫描等。防护软件可根据电力信息网系统特性与病毒软件商联合制作, 不求最贵, 但求最经济适用。由于病毒扫描进程将使服务器性能降低, 因此如采用预置扫描方式, 建议将扫描时间设定在服务器访问率最低的夜间。
4 入侵检测系统技术
为了应对黑客的攻击, 入侵检测系统作为一个功能强大的安全保障工具, 应推荐应用于各电力企业, 其采用先进的攻击防卫技术, 通过在不同的位置分布放置检测监控装置, 能够最大限度地、有效地阻止各种类型的攻击, 特点鲜明, 安全可靠。入侵检测系统中心数据库应放置在DMZ区, 内网、各监控引擎应与中心随时保持通讯, 针对入侵反馈信息, 通过预先设置好的安全策略启动相应报警及防卫程序。入侵检测系统还可以在事后清楚地界定责任人和责任事件, 为网络管理人员提供强有力的保障。
5 安全技术管理优化
首先, 应提高电力信息系统使用人员的风险认识。电力信息系统使用人员不得从外网上随意下载性质不明的资料、软件等, 不得随意修改系统密码或是执行有泄漏密码可能的操作, 确实应进行相关操作时, 刚下载的资料、软件应第一时间进行杀毒, 尽最大可能地杀死可能携带的病毒, 不给不法分子可乘之机。
其次, 各类密码设定和妥善管理。系统内应保证密码的隐密性, 杜绝使用默认密码、出厂密码或者无密码, 不使用容易猜测的密码。密码要及时更新, 特别是有人员调离时密码一定要更新。密度强度应以区别大小字的英文字母与阿拉伯数字、字符组合的形式设立。
再者, 加强对系统安全的检测管理。系统使用人员及安全管理人员应定期对信息系统进行检测维护, 包括检查系统功能状态、病毒库更新状态、设备陈旧状态、数据异常状态等各类信息。重要文件应养成加密及备份的习惯, 对于文件安全, 通过文件加密、信息摘要和访问控制等安全措施, 来实现文件存储和传输的保密和完整性要求, 并实现对文件访问的控制。对通信安全, 采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护, 实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全, 通过VPN技术, 提高信息, 如电子公文、MAIL等在传输过程中的保密性和安全性。数据的备份策略要合理, 备份要及时, 备份介质保管要安全, 要注意备份介质的异地保存。
6 安全审计技术策略
可以模仿U盾、密保等认证, 结合密码使用, 通过电子、电话等多途径的密码保护安全问题增加信息系统安全性。为了实现数据库数据的安全, 或是避免被入侵后更改数据, 应设置数据库访问控制、存储加密以及完整性检验等功能。利用网络隐患扫描系统生成详细的安全评估报告, 可对系统进行形象的分析, 审计系统运行安全状态, 评判系统安全性能。
摘要:电力系统信息安全问题是关系到电力生产与供需运营的重大问题, 采取相应技术措施保障电力信息安全是为了保障能源供应顺畅而值得研究的一个课题。本文主要简要论述了六大电力系统信息安全技术来保障信息的安全。
关键词:电力,信息系统,安全,网络技术
参考文献
[1]唐亮.电力系统计算机网络信息安全的防护[J].供用电, 2010.
[2]钟捷.电力信息系统存储安全需求及加密[J].技术研究, 2009.
[3]张文军.电力信息系统中的信息安全技术[J].科技与生活, 2012.
[4]王宝义, 张少敏.电力企业信息网络系统的综合安全策略[J].华北电力技术, 2003 (4) .
[5]楚狂.网络安全与防火墙技术[M].人民邮电出版社, 2004.
14.信息系统安全年度报告 篇十四
2011~2012学年度信息公开工作年度报告
根据《中华人民共和国政府信息公开条例》规定和市政府、市教委有关要求,近年来,我院形成了党委统一领导、党政工齐抓共管、职能部门组织实施、纪委监察督促检查、广大教职工和学生积极参与的工作格局,有效地促进了学院信息公开工作的改革和发展。
一、概述
2011~2012学年度,学院以依法治校,依法行政为宗旨,以完善制度和督查落实为抓手的信息公开工作进行了对照自查,并争取在狠抓贯彻落实,不断大力推进的基础上,进一步加大信息公开的纵深力度,进一步规范办学行为,协力构建和谐校园,全面提升办学水平,不断开创信息公开工作的新局面,为创建全国一流的软件学院作出新的佳绩。
(一)加强组织领导,健全工作机构
实行信息公开,是促进学校民主管理和科学决策的有效形式,也是依法治校完善民主管理制度的有效途径。我院充分认识全面推进信息公开工作的重要意义,主动适应新形势下社会主义民主政治建设的要求,把政务公开工作落到实处,努力促进学院廉政建设和教育管理的科学化、民主化,提高人民群众对教育的满意度,促进和谐校园的构建和教育事业的健康发展。
学院按照董事会领导下的院长负责制的领导体制和工作机制,成立了以院长组长,党委书记和分管纪检监察工作的党委副书记、工会主席为副组长,纪委、党政办公室、监察室、工会等部门负责人为成员的政务公开领导小组。政务公开工作领导小组下设办公室,办公室挂靠学院党政办公室。政务公开工作领导小组成员有变动的,学院进行及时调整到位。政务公开工作领导小组经常研究部署政务公开工作,每年召开1~2次专题会议。
(二)优化制度建设,扎实信息公开工作基础 信息公开涉及的制度广,随着国家和学院的发展,相应的规章制度亦要与时俱进才能确保信息公开工作的顺利开展,为此,党政办公室作为信息公开工作的执行机构,在学院党政的关心下,认真贯彻《教育法》和《高等教育法》,以信息公开工作为促进,依照国家法律,协同信息公开工作的重点部门:人事处、教务处、财务处、科研处、学生处、招就处、继续教育学院等积极梳理相关规章制度,大力推进了这些部门的建章立制和完善规章的工作,形成了较为完善的学院信息公开制度,并督促其在网上的正常运行。通过完善管理制度体系,实现了信息公开工作的制度化、规范化开展,并使信息公开工作在合法、民主、程序、可操作的轨道上顺畅开展。
(三)多种途径推进,全面铺开信息公开工作 本学年度学院信息公开工作的重点内容是教育收费工作;学生学籍管理工作;学院帮困助学工作;就业指导工作;教师资格认定和教育人才引进工作等。在具体措施上学院加强了信息公开制度的宣传,并以多种形式开展工作,确保信息公开制度规范有效落实。学院充分运用广播、校园网、校报等媒体进行信息公开制度的宣传与运作;大力推行院长接待日制度和信访接待的“窗口”公开制度; 在学院网站上设立了政务公开专栏;同时学校积极倡导运用现代科技手段实施网络办公,有计划、分步骤地探索网上行政技术,丰富网上行政资源,积极推进电子政务建设,不断创新信息公开方式,建立和完善信息公开工作的信息平台,为广大师生提供公开、透明、高效的信息服务;较好地实现了信息透明、服务便捷和有利监督的信息工作目的。
(四)完善督查工作,建立信息工作长效机制
学校在推进信息公开制度的工作中,建立了一套较为科学规范的监督保障机制,充分发挥各级、各个层面的监督作用,保证信息公开内容的真实性、全面性和有效性。健全了信息公开工作责任制,严格了责任追究工作,把学院信息的全过程置于广大师生和人民群众的监督之下。同时,对信息公开的监督做到了制度化、经常化,明确了专人负责,学院通过及时、全面、准确地公开服务项目的政策规定、办事程序、办事时限及收费标准,在学院与师生员工和人民群众之间开辟了一条有效的沟通渠道,消除了隔阂,增进了理解,为构建和谐校园创造了良好条件。
二、信息公开情况
(一)突出公开重点,完善公开内容
政务公开工作涉及面广、政策性强,只有把握重点,狠抓落实,才能取得成效。因此,我们在实际工作中始终坚持把学院中心工作和教职工关心的热点问题作为政务公开的重要内容。
1.公开学院改革发展中的“重点”问题
凡涉及学院改革发展中的重大事项,如“十二五”发展规划、学院校区建设规划和布局等,我们都向全院公开,广泛发动师生参与其中。对于各种与教职工切身利益息息相关的政策、制度、方案等,都广泛征求群众的意见,并通过教代会审议,力求做到精益求精。通过公开学院的重点工作,让广大教职工既明确了学院发展目标和任务,又凝聚了人心,形成了全院上下齐心协力的良好氛围。
2.公开教职工和社会关注的“热点”问题
招生考试、人事调整、职称评聘、教育收费等,都关系到广大教职工和学生的切身利益,是师生关注的“热点”问题。对这些问题,学院都力求做到公开、公平、公正。如学院通过印制招生简章和在校园网上刊登招生信息,将学院的各类招生计划、录取原则及执行情况向社会及时公布。又如对教职工职称评聘问题,学院每年职称评定时都实行条件公开、申请材料公开、程序公开、评审结果公开。在干部选拔任用上学院严格按照民主推荐、组织考察、党政联席会议讨论、任前公示、上岗谈话、试用六个月的程序,强化了过程的监督和管理,确保公开、透明和公正。对学院财务收费这个社会关注的“热点”问题,学院采取收费标准网上公布和收费现场设立公示牌形式,主动接受社会的监督,严格执行收费标准,规范收费程序,增加收费的透明度。对教师的科研项目申报、立项和评审也面向社会公示。由于这些“热点”问题处理的透明度比较高,教职工和社会都比较满意。
(二)丰富公开形式,创新公开载体 1.认真落实教代会制度
教代会是学院加强民主管理和民主监督的重要体现,是教职工行使民主管理的权力机构。学院每年都召开1~2次教代会,切实落实教职工代表的知情权。对涉及教职工切身利益的重大问题,如薪酬制度、考勤制度、招聘培训等方案均采取尊重民意的投票表决形式来确定。在院领导民主评议活动中,采取由中层干部和教代会代表共同参与评议的方式,取得了较好的效果。
2.设立专门的政务公开栏
凡涉及教职工利益、教职工普遍关心的事项一律公开。为使政务公开工作更加及时、全面,学院专门在校园网上开设了政务公开栏,对学院重大决策、规章制度、收费、职称评聘、奖惩、规划、基建等信息进行公开。
3.不断完善网络信息公开载体
学院以信息化建设为突破口,不断创新信息公开工作方法。本年度学院对校园网进行了一次重大改版,所有部门的主要信息,包括规章制度、部门工作职责和办事程序等均要求实行网上公开。学院重要文件的运转,通过办公自动化系统向学院各部门传递。学院还通过建立公共数据平台为学生、教师、管理人员提供了个性化的信息服务;通过设置网络公告、公告栏、信息弹跳窗等方式,及时发布校内主要信息,让广大教职员工及时了解学院最新发展动态。信息化在信息公开中广泛应用,使学院形成了上下互动的信息公开运行机制,大大提升了我院信息公开的效率和效果。
(三)严格公开程序,保证公开时间
在公开程序上,学院制定公开流程图,按照“提出、初审、审核、公开、反馈、整改、建档”七项程序进行公开。建立健全依申请公开事项的处理机制。公开工作程序各环节职责清晰、责任到人。同时,认真处理群众对信息公开工作的质询、意见和建议,及时予以答复。
在公开时间上,做到经常性内容定期公开,阶段性内容逐段公开,动态性内容及时公开,临时性内容随时公开。学院重大决策在决策前、决策中、决策后全程公开,充分听取群众的意见和建议。公开时间、时限都严格按规定执行。
15.信息系统安全年度报告 篇十五
按照**市人民政府办公室《关于开展2009年度政府信息系统安全检查的通知》(**办函[2009]324号)要求,我局组织相关人员对照检查项目对自行运行维护管理的**广电信息网、**广电局办公网、**广播电视网、有线电视用户管理系统、数据业务用户管理系统、数字电视系统、数据业务系统(指个人用户上网、集团用户上网)等网站系统、办公系统、业务系统进行了全面检查,现将检查情况报告如下:
一、安全制度健全,责任落实
我局涉及信息系统运行维护管理的**传媒公司和**网络公司高度重视信息系统安全管理工作,分别成立了以广播电视台副台长田勇和**网络公司董事长李林立为组长的信息系统安全管理领导小组,并分别落实了安全管理责任人和安全管理员。建立了《机房进出安全管理制度》、《安全管理员岗位职责》、《账号使用登记及操作权限管理制度》、《信息巡查、保存、清除和备份制度》、《安全教育与培训工作制度》、《信息发布、审核、等级制度》、《异常情况及违法犯罪案件报告和协查制度》等一系列信息系统安全管理制度,各系统运行管理人员在日常操作中严格按制度执行,公司定期和不定期对操作人员执行各项安全制度情况进行检查和抽查,发现问题及时整改,切实避免了因操作人员操作不当引起的安全事故。在国庆**周年期间,局分管领导和公司领导组织专题研究了国庆期间信息系统安全保障工作,对此作了专门部署,保障了国庆期间各项信息系统安全稳定运行,确保了系统安全无事故发生。
二、安全防范措施到位[本文由免费提供] **网络公司目前运行有6个信息系统,经检查,系统内各个服务器运行正常。重点对账号、口令、软件进一步进行了核实检查,对重要服务器上未使用的端口做好了屏蔽,未发现办公网站上有无效和不安全的链接。**传媒公司管理的**广电网配备了IBM专业网站服务器,委托**网络公司进行管理,服务器放置于**网络公司专业机房,由专人24小时监控,每日对服务器进行安全检测并备案,并在服务器系统安全上配备了卡巴斯基反病毒软件,有效保护从移动设备到服务器的所有网络终端节点的整体安全。在网站信息录入管理上做到了一人一机,信息录入所使用的计算机都设置有独立密码认证,对移动存储设备、电子文档进行严格的安全防护检查,有效保障计算机数据安全。网站的后台管理平台都设有独立的管理账户,严格控制信息管理权限。
三、应急响应机制完善
为了预防突发事件和灾难性事件的发生,特别是在国庆**周年庆典等重要保障期,**传媒公司和**网络公司都建立了网站信息安全预案和广播电视安全播出应急预案以及预防自然灾害工作预案,成立了由专人负责的安全播出组、技术保障组、抢修组、后勤保障组,对重要信号和数据都按要求做了备份,确保了安全保障工作顺利进行。国庆期间,我局每日还定时向省广电局上报了当日安全检测情况。
四、信息技术产品和服务国产化情况
我局目前系统内服务器的国产化率是0,终端电脑的国产化率是100%,操作系统和公文处理软件方面的国产化率是0,办公系统和数字电视系统的软件国产化率是100%。
五、密码技术与产品使用情况
目前系统中只有数字电视CA系统使用了加密系统,该加密系统通过国家广电总局入网认定,无任何安全隐患。
六、安全教育培训情况
我局定期组织相关人员召开网络安全培训会,学习掌握信息安全常识和技能,了解服务器基本工作原理,掌握服务器的日常维护技能以及网站录入人员必须做到的保密原则。**网络公司还派专人参加了信息安全员培训,有2名同志获得了由公安部门颁发的安全员上岗资格证书。
七、严格责任追究
在国庆**周年等重要保障期,**传媒公司和**网络公司分别与局签订了安全播出(传输)责任书,严格实行信息系统安全责任追究,目前我局未出现任何信息系统安全事故。
16.信息系统安全年度报告 篇十六
关键词:医院信息系统,安全防范策略,信息安全
医院信息系统包含各个方面的业务,从收费记录、就诊记录、取药记录、化验记录等一系列患者的隐私信息都需要医院信息系统处于绝对安全的环境中。但是,很多医院个人存在越权操作系统等情况,最终导致医院专用网络瘫痪、业务中断、患者信息泄露等事故出现,给医院和患者都带来了不同程度的影响。
一、医院信息系统信息安全威胁
医院信息系统是包含了多个模块、多种角色、多项业务,受到的信息安全威胁复杂多变,主要来自外部和内部两个方面:
内部信息安全威胁包括:医院工作人员将带有病毒的个人计算机与医院专用网络连接时,由于病毒感染导致医院专用网络受到攻击,造成网络瘫痪或者中断发生;医院工作人员使用同一台计算机访问医院专用网络和互联网,当访问互联网时计算机受到病毒感染,并将病毒带入医院专用网络中;医院工作人员利用权限非法访问数据库系统,窃取蕴含巨大价值的数据信息,或者对病人的就医记录进行篡改,最终造成医疗纠纷事件产生。
外部信息安全威胁包括:医院外部人员通过没有进行认证授权的计算机接入医院专用网络,进而发动病毒攻击、窃取数据、篡改信息等;由于医院专用网络需要与医疗保障等网络相连,以保证信息的及时更新和传输,但也会给医院信息系统造成较大安全隐患。
二、医院信息系统信息安全需求
(一)身份认证,访问控制
身份认证策略是根据不同用户的级别、类型、权限等来进行身份的核实,确认用户合法登陆医院信息系统,对于不同的用户可以选择不同的身份认证方法。访问控制策略是在一定的时间、空间限制下,使得具有访问权限的用户在使用范围能够登陆医院信息系统。
(二)信息资源安全保障
医院信息系统中的信息资源有效保护包括硬件保护和软件保护两个方面,硬件方面需要保证医院信息资源置于安全稳定的物理环境中,保证网络设备的电源7×24小时不间断供电,对医院信息系统中的重要设备要做到适当冗余;软件方面要保证医院计算机操作系统和应用程序的可靠稳定。
(三)网络传输安全保障
医院信息系统要能够对专用网络中的数据流进行实时监测,对存在危险的网络行为进行隔离,自动检测网络安全事件,通过对网络故障的及时处理达到降低网络风险,确保网络业务数据信息的稳定与安全。
三、医院信息系统信息安全策略设计
(一)系统物理环境安全策略
1)网络机房安全保障。网络机房是医院信息系统的核心区域,网络机房要根据室内各类设备的要求严格控制工作环境,对网络机房的温度、湿度要格外注意,同时采取必要的智能门禁措施,控制医院工人员的频繁流动,防止外来人员非法进入网络机房,保证电源设备能够不间断稳定供电。2)服务器安全保障。网络服务器是医院信息系统的核心设备,在保证医院系统安全稳定运行中起着关键作用,一旦网络服务器发生故障,会导致大量有价值数据资源的丢失、医院正常业务的终端,严重的甚至出现整个系统全面瘫痪的情况。因此,需要采取合理的冗余设置,采用容错性能良好、自动进行备份的解决方案,还应该采用双服务器保证系统的正常运行,当一个服务器出现故障时,另一个服务器能够迅速投入工作。
(二)身份认证策略
医院信息系统在应用用户名和密码认证身份的同时,还可以将用户计算机的网络地址、MAC地址,与交换机相连接的接口地址等信息进行绑定,以此对接入医院专用网络的用户加以限制。但是由于绑定信息的工作量复杂繁多,操作起来更是比较麻烦,而且用户计算机的网络地址等还存在被非法用户篡改的危险,因此,信息绑定工作需要由医院信息中心部门的专业技术人员来统一完成,通过对安全管理服务器的配置将信息转发给下一层交换机。这样的身份认证测量不但可以保障用户的合法性操作,还能够提高认证用户身份的准确率。此外,还需要对医院计算机终端安装网络管理软件,通过软件系统来判断计算机是否合规,包括检查杀毒软件是否及时更新、系统补丁是否及时安装等,计算机安装的网络管理软件要能够主动收集计算机的操作信息,并将信息传输到服务器来判断该计算机是否具有合法性。
(三)访问控制策略
本文在充分考虑医院信息系统的各类安全威胁的前提下,提出了一套受时间和空间约束的角色访问控制模型,即TLRBAC, TLRBAC的应用能够改善传统基于角色的访问控制模型的缺陷,从而更好地保障医院信息系统的安全稳定运行。
本文设计的TLRBAC的基本思想是:医院信息系统的用户通过专属的角色身份对系统发起访问,访问行为会受到时间和空间的双方面约束,同时还会受到访问控制规则的限制,在访问规则中增加访问行为受到时间和空间约束的具体条件之后,可以对每个访问行为进行全方面控制。
(四)分布式授权策略
设置最高权限管理机构,该机构由医院信息中心负责,信息中心对医院分布式环境下所有信息资源进行统计,确定权限管理策略;再将医院信息系统信息资源的访问权限分配给存在于分布式环境之下的各个授权管理负责人;每层的授权管理负责人通过控制本层的权限策略,将权限再次分配给下属的角色。由此看来,高层权限管理者拥有上策管理策略,各个分布部门的管理者拥有下次管理策略,而上层策略是对下层策略的约束和管理。
四、结语
本文提出了一套应用于医院信息系统的安全管理策略,主要包括物理环境安全管理策略、系统身份认证策略、系统访问控制策略、分布式授权管理策略和入侵检测与服务器联动策略五个部分,该套安全管理策略具对保证医院信息系统的信息安全发挥了重要作用。
参考文献
【信息系统安全年度报告】推荐阅读:
网络与信息系统安全工作自查报告07-31
2010水务局信息系统安全自查报告10-19
信息系统安全等级三级10-16
信息系统整改报告08-28
房屋安全管理信息系统06-10
建立安全生产信息系统06-21
信息系统安全管理办法07-01
信息系统网络安全建设08-23
医院信息系统升级报告09-18
物流信息系统实验报告11-26