信息安全管理办法-政府部门要求

2024-06-25

信息安全管理办法-政府部门要求(共16篇)

1.信息安全管理办法-政府部门要求 篇一

一、为了处理工作中涉及的办公秘密和业务秘密信息,特制定计算机信息系统安全保密制度。

二、信息科、机要科负责指导市政府办公室涉密人员的保密技术培训,落实技术防范措施。

三、涉密信息不得在与国际网络的计算机系统中存储,处理和传输。

四、凡上网的信息,上网前必须进行审查,进行登那一世小说网 http://记,“谁上网,谁负责”,确保国家机密不上网。

五、如在网上发现反动、黄色的宣传和出版物,要保护好现场,及时报向市委保密局汇报,依据有关规定处理;如发现泄露国家机密的情况,要及时采取措施,对违反规定造成后果的,依据有关规定进行处理。

六、加强个人主页管理,对于在个人主页中张贴,传播有害信息的责任人要依法处理,并删除个人主页。

七、发生重大突发事件期间,各涉密科室要加强网络监控,及时、果断地处理网上突发事件。

逆隋 异界太极眼 狐色生香 步步生莲 一剑惊仙 重生之官道 http://

2.信息安全管理办法-政府部门要求 篇二

1.1安全管理制度结构。鉴于一般政府都已建立了管理委员会和有关机构, 针对系统的安全管理的主要职责是明确安全管理的责任者、实施者;落实安全管理制度, 并依靠行政管理手段, 保证整个系统顺利运行。

1.2安全管理遵循总则。信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。实行安全等级保护制度, 制定安全等级的划分标准和安全等级的保护办法。信息安全管理规范应定期审查, 依据各部门所受影响予以变更, 确保其持续的适宜性。安全管理由专门的安全管理部门或者人员来负责。与安全有关的活动采取多人负责、任期有限和职责分离、权限随岗原则。

二、安全管理机构

依据BMB17-2006和BMB20-2007中的相应要求, 结合系统分析、风险分析和安全需求分析的结果, 建立安全管理机构, 明确机构的具体组成与职能。

安全管理机构在主管领导的直接管理下开展工作, 通过技术人员与管理人员的密切协作, 逐步建立安全防范责任体系, 将安全防范的责任逐级落实到每个具体操作人员的日常工作中。

将依据行政上的管理体系, 建立自上而下的安全管理机构, 上一级安全管理机构指导下一级安全管理机构的工作, 下一级安全管理机构接受并执行上一级安全管理机构的安全策略。

三、人员管理

3.1内部人员管理。确保政务信息系统的安全, 应加强人事安全管理。安全人员应包括:系统管理员、安全管理员、安全审计员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。其中安全审计员、安全管理员必须由不同人员担当。

3.2外部人员管理。建立要求知会制度, 向经常或一段时间内需要进入系统的外部人员 (除本单位正式编制和聘用人员之外的其他人员) 知会本单位的相关规定, 使其认识到自身的责任和安全违规会受到的惩罚。对重要安全区域和要害部门, 禁止外部人员进入或接近;设立专门的会客室, 用来接待外部来访人员;加强接待国 (境) 外人员、国 (境) 外驻华机构和组织以及外资企业人员参观、考察时的管理, 预先制定接待预案, 经过审查批准后严格按照预定的范围、路线和要求进行接待。禁止外部人员携带与工作无关的具有录音、录像、拍照、信息存储等功能的设备;对于外部人员随身携带的具有无限通信功能设备 (如手机和具有无限联网功能的计算机) 采取关机断电或屏蔽措施。

对所有进入系统现场进行维修、服务、参观等的外部人员进行全程旁站陪同。

四、物理环境

根据BMB17-2006中8.1.1“环境安全”和其他相关的安全法规、标准的要求, 定期对周边环境情况 (如可疑人员、安全距离变化等) 进行监控;定期对物理入侵、窃听和窃照等方面进行安全风险评估, 并根据评估结果及时调整系统的防护方案。

根据安全等级和安全范围进行分区控制, 根据每个工作人员的实际工作需要规定所能进入的区域, 无权进入者的跨区域访问和外访者进入机房, 必须经过有关安全管理人员的批准。

对各机房和区域的进出口应进行严格控制, 要根据安全程度和安全等级采取必要的措施, 如设置门卫和电子技术报警与控制装置, 对人员进入和退出时间及进入理由进行登记等多重限制措施。

五、设备管理

5.1申报审批。建立严格的安全设备和介质维修、报废审批制度;

设备和介质需要维修或报废时, 应向主管领导提出申请, 经过批准后严格按照BMB17-2006及有关要求进行相应处理。

5.2数据保护。设备和介质现场维修时, 应有相关人员进行全程陪同, 严禁维修人员擅自读取和拷贝计算机、数字复印机等安全电子设备中存储的安全信息;需要将设备带离现场维修时, 必须将安全存储部件拆除并妥善保管;安全存储部件出现故障, 如不能保证安全, 必须按照安全载体销毁要求予以销毁, 如需恢复其存储信息, 必须在国家工作部门指定的具有数据恢复资质的单位进行, 并由专人负责送取;需要报废的设备和介质, 应激性信息消除和载体销毁处理, 所采用的技术、设备和措施应符合相关规定的保准。

5.3登记备案。对维修、报废的设备和介质进行日志记录, 按有关规定办理登记备案等手续;对维修的设备和介质的外移进行记录, 返回时做返回记录;对报废设备和介质的密级情况、采取的方法、经手人和最终去向等进行记录。

六、总结

3.信息安全管理办法-政府部门要求 篇三

究其成因,食品安全信息交流制度的空缺,使国内信息安全调查总是慢半拍。在国外,要求收集信息必须准确,并要在研究单位、政府机构、粮食生产与食品加工企业及消费者之间进行有效交流,以便增加透明度,努力保证食品安全。同时,收集其他国家的食品安全信息并开展交流。譬如,日本建立了及时有效的从国际组织及海外各国收集信息的机制。而在国内,不仅内部食品信息交流网络尚未架构起来,而且与国外信息交流更是少得可怜。

信息披露环节过多,也使得信息很难做到及时、公开。从国外来讲,一些食品药品监督管理部门可以在收集到可靠信息后立即发布相关警告或指令。而在国内,都必须上报上级主管卫生部门,然后再通过上级部门结合实际情况,进行严格审批,在最大程度地保证消费者利益和国内市场各方面均衡发展的基础上,卫生部才发布相关的产品安全警告或提醒。如此众多环节,让我们不难理解,为何安全警告总是姗姗来迟。

检测标准严重滞后,更让洋品牌常常在出现安全问题后,总是表现得傲慢无礼。在很多情况下,国家质检部门不是不想向公众及时发出安全信息,而是心有余而力不足。比如说,我国1996年出台《食品添加剂使用卫生标准》,其中规定禁止将“苏丹红一号”作为食品添加剂用于食品生产。但10年后发生苏丹红事件后,国家仍还没有出台统一的有关“苏丹红一号”的检测方法和标准。再以麦乐鸡所含的化学物质为例,由于目前对这种物质没有国家统一易行的检测标准和手段,只能任其自说自话,信口雌黄。

4.信息安全管理办法-政府部门要求 篇四

一直以来,全省政府网站建设工作得到省领导及政府各级领导的高度重视和支持。战书省长在5月20日针对媒体报道的有关研究贯彻中央抗震救灾部署的信息做批示:“我省新闻网,特别是政府门户网站应集中挂贴我省这方面的动作情况。”;5月21日针对省政府门户网站发布的有关我省抗震救灾信息情况报告上做批示:

“政府门户网站改版后,信息量加大,信息发布及时,面目一新。最近围绕中心工作,宣传力度加大。希望今后突出省政府重大决策、重要工作、重要活动、重要的思想理念,特别是在贯彻落实党中央国务院重大工作部署方面。”;在5月21日晚召开的省政府常务会上指出:“省政府门户网站在发布我省抗震救灾动态信息方面,内容全面,发布及时。希望其它媒体在此方面也加强宣传力度”。省政府办公厅领导对网站的建设工作更是高度重视并给予多方面的工作支持。多次召开全厅工作会议,听取网站建设工作汇报、协调厅内各处室对网站建设工作特别是信息报送工作给予重视,因此对全省政府网站的建设工作提出了更高的要求。2005年至今,省政府门户网站已进行了三次大的改版工作。在“2005(第四届)中国电子政务技术与应用大会”上,我省政府门户网站荣获全国省级优秀政府门户网站奖牌。在2005年至2007年连续三年的全国政府网站绩效评估活动中分别获省级网站绩效排名第10位,第10位,第9位。各地区、各部门的网站建设也有不同程度的提高。这些成绩的取得来之不易,是与各级领导的关心支持、与省政府各直属单位及各市县政府对网站的建设工作提供内容保障支持分不开的。虽然我省政府网站建设取得了一定的成绩,但与国家要求还有一定的距离,网站的信息保障工作亟待加强。

信息保障工作一直是省政府门户网站的重点工作之一。网站现已发布的“政府信息公开目录”是省政府门户网站提供发布平台和技术支持,由省政务公开办公室组织政府各部门共同进行信息维护的。“政府信息公开目录”是省政府门户网站重要的政务栏目,它的发布大大地丰富了网站的政务公开信息。

不久前,国务院办公厅中央政府门户网站的负责同志,及全国政府网站绩效评估专家在与省政府门户网站进行网站建设工作交流时指出,“政府信息公开目录”是今年全国政府网站绩效评估的主要评估指标之一,主要评估公开目录中是否提供按业务流梳理的“办事事项、办事指南、表格下载、在线办理”等信息。而我省现已发布的“政府信息公开目录”内容中缺少上述要求的重要部分。为此省政务公开领导小组办公室及省电子政务建设领导小组办公室联合举办了此次培训会议,以保障我省“政府信息公开目录”在短期内实现所缺乏内容的补充和完善。从而使我省政府门户网站更切实地为全省公众和企业提供网上办事服务,达到国家对“政府信息公开目录”的信息发布要求,从而进一步提高我省政府门户网站的绩效水平。

一、省政府门户网站信息报送工作情况

1、全省政府部门及市县政府网站的建设情况

目前,全省69家省直厅局中已建设网站的有54家,至今未建设网站的有15家单位,包括:省科顾委、省政府第一办公室、省直机关事务管理局、省政府研究室、省接待办公室、省民族事务委员会、省监察厅、省文化厅、省广播电视局、省外事办公室、省国防动员办公室、省人民防空办公室、省政府发展研究中心、省机械设备成套局、省有色金属地质勘查局;13家市政府已全部建设网站;64家县级政府中61家已建设政府网站,3家未建设网站的单位是齐齐哈尔市的甘南县、鹤岗市的绥滨县、绥化市的明水县。

网站已运行网站群日常监测系统,每隔一小时对我省所有已开通的政府网站进行可用性监测,以保障网站群系统的正常运行。

2、全省信息报送工作情况

5.信息安全管理办法-政府部门要求 篇五

信息安全等级测评机构能力

要求

(试行)

Competence for operation of bodies performing testing and evaluation of classified protection of information system security

200×-××-×× 发布 200×-××-×× 实施

公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求

目录 2 3 4 5 6 7 8 9 范围......................................................................3 名词解释..................................................................3 基本条件..................................................................3 组织管理能力..............................................................4 测评实施能力..............................................................5 设施和设备安全与保障能力...................................................7 质量管理能力..............................................................8 规范性保证能力............................................................8 风险控制能力.............................................................10 可持续性发展能力.........................................................10 11 测评机构能力约束性要求...................................................11 信息安全等级测评机构能力要求

前言

公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。

《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求

信息安全等级测评机构能力要求 范围

本规范规定了测评机构的能力要求。

本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。名词解释

2.1 等级测评

等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。2.2 等级测评机构

等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。基本条件

依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件:

a)在中华人民共和国境内注册成立(港澳台地区除外);

b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); c)产权关系明晰,注册资金100万元以上;

d)从事信息系统检测评估相关工作两年以上,无违法记录;

e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;

f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;

h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; i)对国家安全、社会秩序、公共利益不构成威胁;j)应当具备的其他条件。信息安全等级测评机构能力要求 组织管理能力

4.1 测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。

4.2 测评机构应按一定方式组织并设立相关部门,明确其职责、权限和相互关系,保证各项工作的有序开展。

4.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于60%。其中测评技术人员不少于10人。

4.4 测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量主管、保密安全员和档案管理员等(不论称谓如何),并配备足够的、相对稳定并具备相应能力的工作人员。

4.5 测评机构应制定完善的规章制度,包括但不限于以下内容: a)保密管理制度

制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求,以及违反保密制度的罚则等内容。b)项目管理制度

测评机构应依据《信息系统安全等级保护定级指南》等技术标准制定符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。

c)质量管理制度(包含设备管理和文件档案管理等)

应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。d)人员管理制度

应包括人员录用、考核、日常管理以及离职等方面的内容和要求。e)培训教育制度

应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。

f)申诉、投诉及争议处理制度

应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。

信息安全等级测评机构能力要求 测评实施能力

5.1 人员能力

5.1.1 测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。

5.1.2 测评人员应参加由公安部信息安全等级保护评估中心举办的专门培训、考试并取得中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持证上岗。

5.1.3 初级、中级和高级等级测评师具体能力要求如下: a)初级等级测评师

 了解信息安全等级保护的相关政策、标准;  熟悉信息安全基础知识;

 熟悉信息安全产品分类,了解其功能、特点和操作方法;

 掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;

 掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;  能够按照报告编制要求整理测评数据。b)中级等级测评师

 熟悉信息安全等级保护相关政策、法规;  熟悉信息安全等级保护相关政策、法规;

 正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;

 掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;

 具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;

 能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;  能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评信息安全等级测评机构能力要求

方法;

 具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力;  了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合理化的整改建议。c)高级等级测评师

 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;  对信息安全等级保护标准体系及主要标准有较为深入的理解;  具有信息安全理论研究的基础、实践经验和研究创新能力;

 具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;

 熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。

5.1.4 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,其比例应满足等级测评工作需要。

5.1.5测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。5.2 测评能力

5.2.1 测评机构应通过提供案例、过程记录等资料,证明其具有从事信息系统检测评估相关工作两年以上的工作经验。

5.2.2 测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现在以下方面:

a)安全技术测评实施能力,包括物理安全测评、网络安全测评、主机系统安全测评、应用安全和数据安全测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;

b)安全管理测评实施能力,包括安全管理机构测评、安全管理制度测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;

c)安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,借助专用测评设备和工具,实现主流协议分析、漏洞发现与验证等方面的能力; d)整体测评实施能力,指根据测评报告的单元测评的结果记录部分、结果汇总部

信息安全等级测评机构能力要求

分和问题分析部分,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果的能力。

e)风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力; 5.2.3 测评机构应有完备的测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。

a)测评准备阶段,收集被测系统的相关资料信息,填写规范的系统调查表,全面掌握被测评系统的详细情况,为测评工作的开展打下基础;

b)方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以下要求:

 符合相关的等级测评标准;

 提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。c)现场测评阶段,严格执行测评方案和测评指导书中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并记录;

d)报告编制阶段,找出整个信息系统安全保护现状与相应等级的保护要求之间的差距,分析差距可能导致被测评系统面临的风险,给出等级测评结论,形成测评报告,测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版(试行)》的格式和内容要求编写,测评报告应通过评审并有相关记录。设施和设备安全与保障能力

6.1 测评机构应具备必要的办公环境、设备、设施和管理系统,使用的技术装备、设施原则上应当符合以下条件:

a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;

b)产品的核心技术、关键部件具有我国自主知识产权; 信息安全等级测评机构能力要求

c)产品研制、生产单位及其主要业务、技术人员无犯罪记录;

d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能; e)对国家安全、社会秩序、公共利益不构成危害。

f)信息安全产品应获得公安部计算机信息安全产品销售许可证。

6.2 测评机构应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、协议分析仪、渗透测试工具等。测评设备和工具应通过权威机构的检测并可提供检测报告(见附录《信息安全等级测评设备和工具指引》)。

6.3 测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足信息系统仿真、技术培训和模拟测试的需要。

6.4 测评机构应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。

6.5 测评设备和工具均应有正确的标识。质量管理能力

7.1 管理体系建设

7.1.1 测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保测评机构各级人员能够理解和执行。

7.1.2测评机构应当制定相应的质量目标,不断提升自身的测评质量和管理水平。7.1.3测评机构应指定一名质量主管,明确其质量保证的职责。质量主管不应受可能有损工作质量的影响或利益冲突,并有权直接与测评机构最高管理层沟通。7.2 管理体系维护

7.2.1测评机构应保证管理体系的有效运行,发现问题及时反馈并采取纠正措施,确保其有效性。

7.2.2

测评机构应当严格遵守申诉、投诉及争议处理制度,并应记录采取的措施。规范性保证能力

8.1 公正性保证能力

8.1.1 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。

信息安全等级测评机构能力要求

8.1.2 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。

8.2 可信与保密性保证能力

8.2.1测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。

8.2.2 测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料,证明其机构合规、产权关系明晰,资金注册达到要求(100万元)。8.2.3 测评机构应建立并保存工作人员的人员档案,包括人员基本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等,保障人员的稳定和可靠。8.2.4 测评机构使用的测试设备和工具应具备全面的功能列表,且不存在功能列表之外的隐蔽功能。

8.2.5测评机构应重视安全保密工作,指派安全保密工作的责任人。

8.2.6 测评机构应根据国家有关保密规定制定保密管理制度,并定期对工作人员进行保密教育,测评机构和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。

8.2.7

测评机构应明确岗位保密要求,与全体人员签订《保密责任书》,规定其应当履行的安全保密义务和承担的法律责任,并负责检查落实。

8.2.8 测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于: a)被测评单位提供的资料;

b)等级测评活动生成的数据和记录; c)依据上述信息做出的分析与专业判断。

8.2.9 测评机构应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。8.3 测评方法与程序的规范性

测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。8.4 测评记录的规范性

a)测评记录应当清晰规范,并获得被测评方的书面确认; 信息安全等级测评机构能力要求

b)测评机构应具有安全保管记录的能力,所有的测评记录应保存三年以上。8.5 测评报告的规范性

a)测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告;

b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;

c)测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;

d)能力评估合格的测评机构应依据《信息安全等级保护测评工作管理规范》第六条,对出具的等级测评报告统一加盖等级测评机构能力合格专用标识并登记归档。风险控制能力

9.1 测评机构应充分估计测评可能给被测系统带来的风险,风险包括但不限于以下方面:

a)测评机构由于自身能力或资源不足造成的风险;

b)测试验证活动可能对被测系统正常运行造成影响的风险; c)测试设备和工具接入可能对被测系统正常运行造成影响的风险;

d)测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。

9.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。可持续性发展能力

10.1 测评机构应根据自身情况制定战略规划,通过不断的投入保证测评机构的持续建设和发展。

10.2 测评机构应定期对管理体系进行评审并持续改进,不断提高管理要求。设定中、远期目标(如获得相应管理体系资质认可),通过目标的实现,逐步提升质量管理能力。10.3 测评机构应建立文件化的培训制度,以确保其工作人员在专业技术和管理方面持续满足等级测评工作的需要。

10.4 测评机构应投入专门的力量来从事测评实践总结和测评技术研究工作,测评机构间应进行经验交流和技术研讨,保持与测评技术发展的同步性。

信息安全等级测评机构能力要求 测评机构能力约束性要求

测评机构不得从事下列活动:

a)影响被测评信息系统正常运行,危害被测评信息系统安全; b)泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密;

c)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;

d)未按规定格式出具等级测评报告;

e)非授权占有、使用等级测评相关资料及数据文件; f)分包或转包等级测评项目;

g)信息安全产品(专用测评设备和工具以外)开发、销售和信息系统安全集成; h)限定被测评单位购买、使用其指定的信息安全产品;

6.信息安全管理办法-政府部门要求 篇六

根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《互联网安全保护技术措施规定》等有关法律法规规定,互联网接入服务单位、数据中心服务单位和信息服务单位应自觉履行以下信息安全保护法定职责和义务:

一、遵守国家法律和行政法规,不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动。服从公安部门的管理和监督检查,对有关违反规定的行为负有监督、举报和停止为其服务的责任。

二、提供互联网接入服务、数据中心服务的单位应每月将接入本网络的用户和网站情况报公安机关公共信息网络安全监察部门备案,并及时报告用户和网站的变更情况。提供互联网信息服务的单位应在网站开办后30日内,到公安机关公共信息网络安全监察部门进行备案,并及时报告网站变更情况。

三、建立和完善信息网络安全保护组织:

(一)成立由单位主管领导挂帅的信息网络安全保护组织,设立安全专管员;信息服务单位还要设立专职信息审核员。

(二)落实安全保护组织、安全专管员、信息审核员的岗位职责。

(三)信息安全管理人员须经公安机关安全培训,取得省公安厅制发的《安全培训合格证》,实行持证上岗制度。

(四)信息网络安全保护组织要自觉接受公安机关的业务监督指导,保持与公安机关的联系渠道畅通。

四、严格落实以下信息网络安全保护管理制度:

(一)信息发布审核、登记制度;

(二)新闻组、BBS等交互式信息栏目及个人主页等信息服务栏目的安全管理制度;

(三)信息巡查、保存、清除和备份制度;

(四)病毒检测和网络安全漏洞检测制度;

(五)异常情况及违法案件报告和协助查处制度;

(六)帐号使用登记和操作权限管理制度;

(七)安全教育和培训制度;

(八)其他与安全保护相关的管理制度。

五、严格落实以下信息网络安全保护技术措施,有关安全保护技术应当具有符合公共安全行业技术标准的联网接口:

(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;

(二)重要数据库和系统主要设备的冗灾备份措施;

(三)记录并留存60日以上用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。

提供互联网接入服务的单位还要采取记录并留存用户注册信息、记录并跟踪网络运行状态及监测、记录网络安全事件等安全技术措施。

提供互联网数据中心服务的单位还要采取记录并留存用户注册信息、在公共信息服务中发现、停止传输违法信息并保留相关记录等安全技术措施。

提供互联网信息服务的单位还要采取在公共信息服务中发现、停止传输违法信息并保留相关记录的安全技术措施;提供新闻、出版以及电子公告等服务的,要能够记录并留存发布的信息内容及发布时间;开办门户网站、新闻网站、电子商务网站的,要能够防范网站、网页被篡改,被篡改后能够自动恢复;开办电子公告服务的,具有用户注册信息和发布信息审计功能;开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。

六、落实以下互联网有害信息监测和应急处置责任:

(一)严格信息巡查、监测工作,确保本网络不出现有害信息传播、扩散事件。

(二)发现有害信息的,应在保留有关原始记录(包括有害信息及日志内容)后,立即消除该有害信息,并在24小时内向公安机关网监部门报告。

(三)接公安机关处置有害信息的通知后,对有害信息有直接处置权限的单位,应立即进行有害信息清除工作,并按有关要求保存原始记录、查证信息发布人员;数据中心等运营单位无法直接消除有害信息的,应在30分钟内采取删除有害信息所在目录、关闭服务器、暂时停止联网等紧急措施。有害信息处置工作应及时反馈公安机关。

责任书签订单位

(法人签字、单位盖章):

****年**月**日

7.改善民生对政府管理的新要求 篇七

关键词:民生,政府管理,管理体制,公共政策

民生是构成社会生活的基本内容, 也是国家和社会组织活动的重要目的。而改善民生既是一个经济和社会层面的问题, 也是一个政治层面的问题, 其中涉及到政府管理。在政府管理层面, 改善民生有赖于政府转变管理体制和方式, 提高服务意识、行为规范和服务能力, 因此, 保障和改善民生, 不仅对提高经济社会发展水平提出了要求, 也对推进政府管理创新提出了要求。

一、转变政府管理职能, 提高公共服务能力

随着经济社会发展水平的提高, 民生领域不断拓展。过去的民生需要主要在衣、食、住、行、用等基本生存方面;现代的民生内涵除了基本生存外, 还包括社会保障、义务教育、公共卫生等公共服务和产品需求。民生领域不断拓展, 对转变政府管理职能、提高公共服务能力提出了要求, 即要求政府在搞好经济调节、市场监管的同时, 更加注重社会管理和公共服务, 把公共资源更多地向社会管理和公共服务倾斜, 促进社会事业发展和改善民生。

适应民生需求的变化, 转变政府管理职能, 建立公共服务型政府, 是政治合法性的要求。根据马克思主义的基本观点, 保障和促进民生属于国家的基本职能, 即国家的社会职能。国家政治职能的实现, 必须建立在其履行社会职能的基础之上。在现代社会, 政府向全社会提供基本的公共服务被认为是政府义不容辞的责任, 甚至是政府存在的依据和理由。在政府与市场的关系上, 市场主要是解决经济运行方式问题, 在资源配置中发挥基础作用, 而政府主要是满足全社会基本公共服务需求、基本公共产品需要。由此, 必须确立政府是社会公共服务责无旁贷的供给者的理念。政府承担起全社会基本公共需求提供者的责任, 促进改善民生, 是政治合法性的要求。

社会公共服务或产品是指由政府提供的而且不是以市场方式满足社会公共需求的服务或产品, 公共服务和产品具有非排他性和非竞争性的特征。当前, 政府提供的公共服务包括公共基础设施建设, 创造就业岗位, 完善社会保障体系和社会福利体系, 促进教育、科技、文化、卫生、体育等公共事业发展, 进行宏观调控、发布公共信息等方面。在我国经济高速发展的同时, 一些新的民生问题和社会矛盾也在不断涌现。一方面, 这些民生问题的产生有其客观因素, 即与社会转型、市场经济改革和全球化进程密切相关;另一方面, 民生问题也与制度、政策的失衡, 政府管理职能转变滞后、提供公共服务不足有关。因此, 改善和保障民生, 有待于进一步转变政府管理职能和提高政府公共服务能力。十七大报告指出, 要“加快行政管理体制改革, 建设服务型政府”, 这既是发展社会主义民主政治的必然要求, 也是民生发展提出的要求。

二、转变政府管理体制, 促进民生问题的有效解决

促进民生问题的有效解决, 涉及到转变政府管理体制。政府管理体制的创新和改革要有计划、有步骤地进入财政民主化改革、行政层级调整、政府间关系重构、党政关系模式再造、制约权力体制的完善等敏感而关键的领域。十七大报告指出, 要“加大机构整合力度, 探索实行职能有机统一的大部门体制, 健全部门间协调配合机制。”“加快推进政企分开、政资分开、政事分开、政府与市场中介组织分开, 规范行政行为”。

保障和改善民生, 需要建立面向民生的公共财政体制, 需要健全政府公共财政体制。民生问题在某种程度上可以说是公共产品供应问题, 需要政府的投入。提高政府公共服务水平体现在财政功能这个层次上, 就意味着政府要降低财政支出中用于经济建设的比重, 压缩非公共产品的支出, 把更多的公共资源用到社会公共需要领域来。财政支出要体现以人为本, 就必须调整公共支出的范围, 把生产投资型财政转变为公共服务型财政, 将财政支出的重点转向公共教育、社会保障、公共卫生、公共安全和公共基础设施等方面。公共民生领域是政府投入的重点, 这是现代国家的一个基本特征。我国目前政府层级之间财政分割的问题突出, 不同层级或不同部门的政府机构自利倾向严重, 逐利动机非常强烈, 因而不利于承担起民生投入的责任, 这一现状必须加以改革。

保障和改善民生, 需要合理划分中央和地方经济社会事务的管理责权。中国的政府体系, 包括中央、省 (自治区、直辖市) 、地区 (地级市、自治州) 、县 (县级市) 和乡 (镇) 共5级, 但由于没有通过立法对各级政府的事权加以明确划分, 使事权和社会公共产品的供给责任长期层层下移, 中央和省级政府集中了过多的基础建设和经济建设支出份额, 而社会保障支出以及基础教育和公共卫生这类区域性外溢效应较强的公共品过多地由基层政府承担。现行分税制下, 财权过于集中在中央, 事权过于下放到地方, 地方没有正常的融资渠道去完成大量的公共事务, 这不仅影响到公共服务供给的质量、水平和稳定性, 而且导致各地公共服务水平不一, 制约公共服务的公平性。这是城乡差距、区域差距、贫富差距不断扩大的重要原因。对此, 必须按照《中共中央关于完善社会主义市场经济体制若干问题的决定》所提出的要求进行改革, 即“合理划分中央和地方经济社会事务的管理责权, 按照中央统一领导、充分发挥地方主动性、积极性的原则, 明确中央和地方对经济调节、市场监管、社会管理、公共服务方面的管理责权。”

三、转变政府管理方式, 强化公共政策的公平性

当今中国的社会结构正在由总体性社会向分化性社会变迁, 整个社会出现了剧烈、持续、深刻的分化, 表现为社会异质性的增加、社会利益分化。在这种社会背景下, 一项政策或改革, 可能在让某些群体受惠的同时, 使另外一些群体受损, 这一时期的政治会更加凸现利益群体的博弈。保障和促进民生, 需要政府转变管理方式, 在社会管理中更加重视公平性, 以确保各不同利益群体平等的基本生存和发展权利。

在政府管理方式上, 存在着传统的行政管理与公共管理的区别。传统行政管理的主要目标在于通过社会管制维护社会秩序, 重管制轻服务。政府公共管理的目标不仅在于维护社会公共秩序, 也在于有效公平地向公众提供公共产品和服务。传统的行政管理在价值理念上强调管理的效率至上而忽视了公平性, 因而往往与民生问题发生矛盾和冲突。而公共管理不仅重视为社会提供高效优质服务, 而且更强调社会公平, 因而与民生要求相一致。政府公共管理包括两个方面的内容, 一方面是公共性的内容, 强调的是政府公共管理不同于私人管理或企业管理, 强调对公共利益的关注;一方面是管理的内容, 它强调的是调解冲突及融和不同利益的过程。促进改善民生, 必须实现由传统行政管理向公共管理的转变。十七大报告指出, 要“加快推进政企分开、政资分开、政事分开、政府与市场中介组织分开, 规范行政行为”。实现上述四个分开, 有助于政府把公共管理的重心放在公共利益和不同利益的协调上, 促进社会的公平性, 促进改善民生。

政府在管理过程中最主要和最直接的手段是制定公共政策。要确保公共政策的公平性取向, 必须坚持决策中的科学化、民主化, 以防出现诸如目标选择不适当、公共利益部门化、政策之间相互冲突等问题。十七大报告强调指出, 要“推进决策科学化、民主化, 完善决策信息和智力支持系统, 增强决策透明度和公众参与度, 制定与群众利益密切相关的法律法规和公共政策原则上要公开听取意见”。在公共政策设计中, 在属于专业性技术性比较强的重大事项方面, 更多地需要依靠科学, 依靠专业化。现代社会分工越来越细, 其中一项重要的分工就是让政府政策制定的调研、决策、执行、监督等四个环节实现相对分离。而在表达民生的需求方面, 在属于与社会公众利益密切相关的决策事项方面, 更多地需要社会公众的参与, 依靠民主机制。因此, 要建立健全群众参与决策与监督的机制, 把关注民生落实在决策中, 并通过有效的制度安排监督保障关注民生决策的贯彻执行。决策的科学化、民主化要求改革现在公共管理中存在的政府行政部门既管研究又管决策, 还管执行和自我监督的体制, 以解决权力过分集中、公共权力滥用、与民争利等问题。要求改革当前公共政策制定中主要由一个部门或几个相关部门主导公共利益和公共政策制定的办法, 以防止产生公共利益可能受制于部门利益和特殊利益集团利益的问题。从某种意义上说, 通过政府决策的科学化、民主化, 促进社会资源的公平分配, 是政府所代表的公平、正义的最后一道防线。

四、增强管理过程开放性, 确保群众利益的有效表达

1、政府政务公开化。

公开化是指政府决策和行政行为除涉及国家安全及商业机密等不宜披露的信息外, 都应通过适当的渠道告知社会。只有在公开的环境下, 才能有效保障个人行为能实现公正和公平。我国政府一直倡导政务公开, 但由于缺乏制度的保障和约束, 政务信息即使发布仍未达到制度化和经常化的要求。如:政府在法规文件的制定和发布过程中, 基本是通过内部“红头文件”的方式层层下发, 透明度不高, 社会公众的知晓度很低。

2、关乎民生决策, 公众应能积极参与及公开讨论。

在涉及公共事务和公共利益的领域, 只有经过利益相关者积极参与公开讨论和协调所达成的共识, 才能最大限度地显示、聚合公共需求和公共利益, 提升公共利益分配的公平性、公正性。在公共决策领域, 领导干部有优势, 也会有其局限;专家学者有高见, 但多适用一些比较专业化的领域, 他们对民生问题的体验不大可能超越社会大众, 因此, 扩大公民参与决策, 拓宽民主渠道具有重要意义。增强公共管理过程的开放性, 关键在于建立完善公众利益表达机制。解决民生问题不仅需要提高政府利益整合能力, 也需要有公众利益表达的渠道以及管理者的反馈机制。目前中国的民生问题之所以成为各方关注的焦点, 很大程度上与公共管理系统中群众的利益表达不畅有关。社会资源总是有限的, 最大限度地将有限资源运用到群众的真正需要上, 就有赖于民意表达机制的完善。建立完善公众利益表达机制, 这是十七大报告中指出的要“保障人民的知情权、参与权、表达权、监督权”的要求。

3、重视弱势群体的声音。

8.信息安全管理办法-政府部门要求 篇八

摘要:本文从理论上构建了政府门户网站信息安全保障体系。主要包括制定网站信息安全技术保障的总体规划、积极应用各种安全技术产品和建立基于公众应用需求的容灾级别和容灾系统。保障体系的提出,不仅为政府门户网站信息安全保障提供了可行性借鉴,而且大大丰富了公共管理的理论体系。

关键词:政府门户网站;信息安全;保障;体系

政府门户网站建设在带来高效率和便利的同时,也带来了威胁、风险和责任。目前在全球范围内,计算机病毒、各种有害信息、系统安全漏洞和网络违法犯罪等政府网站信息安全问题日渐突出,不仅制约了信息化的持续、健康发展,也给国家的经济建设和人们的社会生活带来了许多负面影响。如何保障政府门户网站信息安全,已经成为世界各国政府主管部门、企业界和广大用户共同面临的一个严峻挑战。

一、制定网站信息安全技术保障的总体规划

构建政府门户网站信息安全技术保障体系,首先需要有关部门和单位对信息安全问题高度重视,并制定网站信息安全技术保障的总体规划,防范信息安全风险。主要应做好以下几个方面的工作:一是要加强政府门户网站的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。

二、积极应用各种安全技术产品

目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:

1.防火墙。防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但其本身可能存在安全问题,也可能会是一个潜在的瓶颈。

2.入侵检测系统。入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测技术作为防火墙的合理补充,是主动保护自己免受攻击的一种网络安全技术。即通过对计算机网络或计算机系统中的若干关键点收集的信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同,入侵检测系统需要更多的智能,它可以将得到的数据进行分析,并得出有用的结果。

3.近年来,门户网站防篡改系统也出现了不少,可使系统修改检测时间缩小到毫秒级,而且,由于采用的事件触发技术,系统监测基本不额外占占用系统资源。目前市场上主流的网页防篡改技术主要包括如下几项技术:(1)外挂扫描技术。外挂扫描技术是采用从外部逐个扫描网页文件的方式来判断对网页的非法修改,采用这种技术一般会有一定的時间间隔,而且网站文件越多,时间间隔越长,不能保证被黑客修改的网页不被访问者看到。(2)核心内嵌技术。采用核心内嵌技术的防篡改系统,其篡改检测模块运行于Web服务器软件内部,与Web服务器无缝结合。每次Web服务器对外发送网页时,系统都进行网页防篡改检测,从而能够实时地确保每个网页的真实性。(3)事件触发技术。事件触发技术是把系统的篡改检测模块嵌入到操作系统内核,因此所有的文件非法变更事件都会被事件触发器无延迟的获取,该机制完全区别于扫描技术和核心内嵌技术,不需要与备份库对比分析的繁琐过程,因此可以做到监控的实时性和系统资源低占用率。是当前比较先进的一种防篡改检测技术。(4)CDN技术。CDN即内容分发,主服务器针对不同地区、不同电信运营商,将浏览内容镜像到多个服务器上,如果一个服务器受到攻击,则由其它镜像来接管,网友可从最近的节点上获取数据。

三、建立基于公众应用需求的容灾级别和容灾系统

各种自然灾害和突发事件都有可能导致各网站信息系统的瘫痪造成灾难性后果。根据公众对系统需求的紧急程度、应急恒复时间来划分,容灾备份通常分为以下三种级别。

1.最高级别容灾系统。建立异地镜像系统,即同时对系统软、硬件进行备份,并且系统的数据实现远程类实时备份。该级别的容灾系统可确保原系统在完全崩溃的情况下,系统能够立刻替代原系统响应服务。

2.一般级别容灾系统。对动态系统数据进行定期完整备份和增量备份,并同时进行异地备份处理。网站系统服务平台确保在指定的时间内搭建完成,然后提供与原系统基本相同的系统服务(与系统实时数据差别主要由增量备份的时间间隔决定,每次增量备份间时间间隔越短,备份数据与实时数据差别越小)。

3.最低级别容灾系统。仅定期进行系统数据的完全冷备份,适用于仅要求系统可恢复且系统数据变化不大的情况下。

9.信息安全管理办法-政府部门要求 篇九

(节选)

一、检查范围

为各地、各部门履行职能提供支撑的非涉密信息系统,包括自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。各地、各部门的重要业务系统、门户网站是检查重点。

政府信息系统安全检查,是指依据国家、省有关政策规定,参照国家信息安全技术标准规范,对信息系统安全保障工作进行检测评估、查找隐患、规范管理、完善措施、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检测、等级测评等。

涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定和标准执行.五、检查内容

主要检查信息安全有关规章制度落实情况、技术防护措

施及其有效性、2010年度信息系统安全检查中发现问题的整改情况。

(一)信息安全组织机构

信息安全工作主管领导、信息安全管理机构、信息安全专职工作机构、专职信息安全员等设置情况。按照《安徽省人民政府办公厅转发国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(皖政办发〔2008〕21号)文件要求,各部门要明确一名领导主管信息安全工作,应指定一个内设机构承担信息安全管理工作,各内设机构指定一名专职或兼职信息安全员。

(二)日常信息安全管理

1、人员管理。查验相关文档、文件、记录等,检查信息安全和保密责任制建立及落实情况,重要岗位人员安全保密协议签订情况,人员离岗离职信息安全管理情况,外部人员访问机房等重要区域管理情况,违反制度规定造成信息安全事件的责任查处情况等。

2、资产管理。检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。

3、运维管理。检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的,应查看服务合同

和安全保密协议等。

(三)等级保护与风险评估

1、等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档,检查信息系统定级、测评、整改等情况。

2、风险评估。检查信息安全风险评估有关文件要求的落实情况。通过查看风险评估报告等,检查风险评估工作的开展。

(四)技术防护手段建设

1、网络边界安全防护。检查系统总体网络架构、区域划分及边界防护、网络管理等情况;互联网接入情况;终端接入互联网时是否有安全信息提示措施等;边界防护设备部署、使用及策略配置情况。

2、信息安全产品部署及使用。提供信息系统完整的网络拓扑图,包括总体网络架构、子系统、终端节点、区域划分、边界防护设备(防火墙、入侵检测设备、防病毒网关和安全审计设备)及对外网络接口等,提供边界防护设备日志。

3、服务器安全防护。检查服务器上应用、服务、端口以及系统补丁等情况,账号口令强度及更新情况,病毒木马防护措施及漏洞扫描、病毒木马检测情况。

4、网络设备安全防护。检查安全策略配置有效性;账

号口令强度和更新情况;漏洞扫描情况。

5、终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理方式,计算机账号口令强度和更新情况;终端计算机接入互联网安全控制措施(如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等);是否安装病毒防护软件,定期进行漏洞扫描、病毒木马检测;是否在非涉密和涉密信息系统间混用了计算机和移动存储设备,是否使用了非涉密计算机处理涉密信息等。

6、门户网站安全防护。检查网站信息发布审批制度建立及落实情况;边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况,以及安全配置策略的有效性;是否定期进行漏洞扫描、木马检测等。

7、密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行防护的情况,使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。

8、网络信任措施。检查采用数字证书实现身份认证和授权管理的情况,使用的数字证书是否符合国家电子认证服务管理规定。

(五)应急管理工作开展

1、应急预案。检查《安徽省网络与信息安全事件应急预案》落实情况,重要信息系统是否制定了本部门信息安全

应急预案文本及宣贯培训记录、灾难备份工作开展情况等。

2、应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的,应检查演练相关文档(包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等)。

3、应急技术支援队伍。检查是否按照要求明确应急技术支援队伍。对于已明确的,应检查签订的合同和安全保密协议,掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。

4、灾难备份。检查重要业务系统和网站的数据是否进行备份,是否配备冗余的通信线路、网络设备、服务器,已进行灾难备份的应查看备份记录、检查相关冗余设备。对于采用社会第三方灾难备份服务的,应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。

5、信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的,应检查是否进行了及时处置,是否按照要求上报和通报等。(信息安全事件分级依据《安徽省网络与信息安全事件应急预案》)。

(六)信息技术产品和信息安全产品使用

1、信息技术产品。检查服务器、网络设备、操作系统、储存设备、终端计算机、字处理软件等国产化情况。在使用捐赠服务器、网络设备、存储阵列等产品,应检查产品应用

范围、签订的相关协议,以及使用前是否进行安全测评等。

2、信息安全产品。在进行网络边界安全防护检查时,查看防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品等国产化情况。使用捐赠的信息安全产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。

本指南中的国产终端计算机、国产字处理软件、国产信息安全产品,暂按以下方法进行认定:(1)国产终端计算机应具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件;(2)国产字处理软件应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,并符合法律法规和政策规定的其他条件;(3)国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,通过国家认定的信息安全产品检测实验室的检测,并符合法律和政策规定的其他条件。

(七)信息安全服务

查看信息安全外包服务项目清单,包括外包服务内容、服务商名称、服务商性质(外资、非外资)、合同和安全保密协议、服务方式(远程在线服务、现场服务或其他等)。

(八)信息安全教育培训

机关工作人员参加信息安全教育培训、掌握信息安全常

识和基本技能情况,信息安全管理和技术人员参加信息安全专业培训情况、重点岗位持证上岗等情况。

(九)信息安全经费保障

检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入单位年度预算,以及本年度信息安全经费实际投入情况等。

(十)安全隐患排查及整改

重点检查对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情况,以及分析产生问题的隐患的原因,研究制定和落实整改措施等情况。

六、时间安排

各地、各单位可根据实际情况,统筹规划和组织部署信息系统安全检查工作,并对安全检查工作进行认真总结、分析和评估,于2011年12月31日前将安全检查报告报送安徽省网络与信息安全协调小组办公室。

协调小组办公室将及时跟踪、掌握、汇总安全检查情况,并将安全检查结果报送工业和信息化部。

七、工作要求

(一)各单位要把信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,开展宣传教育培训活动,确保检查工作顺利开展。按照《安徽省政府信息系统安全检查实施办法》的要求,参照

本指南制定具体的安全检查实施方案和工作计划,并认真组织实施。建立信息安全检查责任制,明确检查责任,落实检查组织机构、参与单位及检查人员。

(二)可组织所属信息中心等单位开展安全检查工作,也可根据需要委托外部专业机构协助开展技术检测工作。

全面参与技术检测的外部专业机构应至少满足以下条件:

1、事业单位;

2、从事信息安全检测或相关工作两年以上;

3、专业技术检测人员10人以上,均签订两年以上劳动合同;

4、参与技术检测的人员均为中国公民,无违法犯罪记录,并签订安全保密协议。

(三)委托外部专业机构协助开展技术检测,应与检测机构及参与检测的人员签订安全保密协议,明确安全保密责任和义务。

安全保密协议应包括以下内容:

1、检测机构应遵守国家有关法律法规,客观、公正地提供检测服务;

2、检测机构应保证所提供相关材料的真实性;

3、检测机构不得向其他单位和个人泄露数据和检测结果,不得利用检测数据谋取利益;

4、检测机构应采取有效安全措施,防止因技术检测引发信息安全事件;

5、检测机构不得将检测任务分包或转包。

(四)强化安全检查过程的安全保密和风险控制,切实加强对检查活动、检查人员以及相关文档和数据的安全保密

管理,周密制定检查工作应急预案,确保被检查信息系统的安全正常运行。

八、检查报告

(一)检查报告内容

检查报告主要包括三方面内容:一是信息安全总体情况。包括本年度信息安全工作主要情况,安全检查工作开展情况及检查效果,对本单位信息安全状况的总体评价;二是主要问题及整改情况。三是经验总结及意见建议。包括本部门安全检查工作的经验总结,对安徽省网络与信息安全检查工作的意见建议。

根据检查结果编制检查报告,范围限于各部门本级机关及派出机构。

根据检查结果的敏感程度确定检查报告密级,并在检查报告上明确标识。

(二)报送方式

检查报告以各单位办公室名义报送安徽省网络与信息安全协调小组办公室。

九、安全抽查

按照《安徽省政府信息系统安全检查实施办法》要求,省网络与信息安全协调小组办公室会同有关单位组织开展政府信息系统安全抽查工作。抽查方式分为现场安全抽查和外部安全抽查。

(一)现场抽查。主要抽查2010年度安全检查中发现问题的整改情况,2011年度安全检查工作开展情况。相关单位应积极配合抽查工作,指定抽查工作负责人和联络员,落实所需办公场所、办公设备、网络资源等必要条件,提供抽查工作涉及的信息系统资产信息、信息系统建设运维情况、信息安全规章制度等相关文件、文档和记录。

(二)外部安全检查。定期对全省各部门、各单位门户网站进行外部检查,重点检测网站漏洞、网页挂马等情况。

附件:信息安全检查报告编制要求

附件:

信息安全检查报告编制要求

信息安全检查报告包括工作报告和技术报告,编制要求分别如下:

一、工作报告主要内容

1、概述

2、检查工作组织和实施情况。

3、检查发现的主要问题及概要统计分析。

4、被检查单位信息安全状况的总体评价。

5、主要的整改建议措施,以及对信息安全检查工作的建议。

二、技术报告主要内容

1、任务来源和检查依据。

2、检查工作开展情况。概要说明检查准备阶段、实施阶段和总结阶段所做的工作。

3、检查的信息系统基本情况,抽取的服务器、网络设备、终端计算机等相关设备情况。

4、检查结果。对照本规范中关于检查内容的要求,逐项、客观陈述检查和技术测试结果。

5、主要问题及分析。对检查中发现的问题、存在的安全漏洞和隐患进行分类汇总,对可能造成的危害与影响进行分析,对检查数据类项目进行统计(辅以图表形式),对被检查单位信息安全状况进行总体评价。

10.信息安全管理办法-政府部门要求 篇十

市政府网管中心:

根据《通知》要求,我局对本部门信息系统安全情况进行了自查,现将具体情况汇报如下:

一、基本情况

按照《通知》要求,我局立即组织开展全局范围的信息系统安全检查工作,对我局的业务信息系统、网络安全情况等作了全面检查。

二、2014年信息安全主要工作情况

(一)信息安全制度落实情况;我局严格按照上级部门要求,全面落实安全防范措施,全力保障信息系统安全工作,积极开展信息安全应急演练,有效降低、防范信息安全风险,应急处置能力得到切实提高,保证了信息系统持续安全稳定运行,建立建全信息安全制度。我局针对信息化工作,制订了有关规章制度,对内部网络安全管理、计算机及网络设备管理、数据、资料和信息的安全、政府信息公开保密审查等各方面都作了详细规定,进一步规范了我局信息安全管理工作。

(二)信息安全管理与技术防护情况:

1.加强日常监督,遵照“涉密计算机不上网,上网计算机不涉密”的工作原则,严格按照保密要求处理光盘、硬盘、U

盘等存储介质的管理、维修和销毁工作。涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。

2.定期进行系统数据备份,及时对系统软件进行更新、升级,对系统数据、信息资源做到及时备份。

(三)安全防范措施落实情况

1.为确保我局网络信息安全工作有效顺利开展,积极与网络安全经验丰富的技术人员取得联系,不定期对网络安全保障工作进行检查。

2.登录系统都设有专门的账户名及密码,由操作人员负责保管。

(四)应急管理

1.与系统外包单位紧密联系,实时监控系统运用,并商定其给予局应急技术以最大程度的支持。

2.定时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。

三、检查发现的主要问题和面临的威胁

在自查过程中我们发现了一些不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及

时。

四、改进措施与整改效果

(一)继续加强对局机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。

(二)切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。

(三)以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。

(四)提高安全工作的现代化水平,加大人员培训力度,提高系统管理人员的专业技术水平,以便进一步加强对计算机信息系统安全的防范和保密工作。

五、关于加强信息安全工作的意见和建议

希望市政府能够经常性地组织有关信息系统安全、网络安全等方面的专业培训,进一步提高信息系统管理工作人员的专业技术水平,强化信息系统的安全防范工作。

11.信息安全管理办法-政府部门要求 篇十一

一、强化安全意识

在实心球教学中,学生要有很强的安全意识。教师在发放实心球前,就要告知学生如何拿球、停球、捡球;告诉学生听信号进行投球和捡球。并且告诉学生实心球练习中可能会出现的危险情况。比如不按要求进行练习,不听信号捡球,不按规定动作拿球、停球,投球时球没有握紧等等,这些情况会导致的后果要告知学生。

教师在上课前要做好充分的准备工作。如实心球的数量,放置位置,场地布置等。我在进行实心球教学时,会划好练习场地,标好明确的投掷线等,每节课都将实心球归还到器材室。教师还要和其他教师共同好场地使用,选择干扰较少的场地,并与其他教师做好沟通。教师必须要处处考虑周全,时刻紧绷安全这根弦。

二、细化教学要求

1.如何拿球不可小视。很多老师在发放教学器材时,往往会忽略拿器材时的要求,从而课还没开始上,就会导致安全事故的发生。我在日常的教学中也发现,在没有强调拿球要求是,很多学生拿到实心球多会好奇的把玩,拿到手就上抛实心球等危险的动作。于是我在课上强调拿球方法(双手拿住球不能抛),并告知学生不按要求拿会导致砸伤自己或者是同学。学生排好队有序的按要求拿球到达指定的位置,这样有效的避免了在发放实心球的过程中安全事故的发生。

2.投球安全是关键。投掷实心球是一节课最重要的内容。学生在投掷实心球前,教师规定预备动作。要求让学生双手将球平稳的移到头顶的后方做好准备动作,放置学生用力过猛后脱手,球砸到后面的学生。学生在投掷实心球时,必须听信号投掷。准备好后,必须听到教师哨音后才可将球掷出。如果没有投出,不可急急忙忙将球投出,把球放置在脚前,等待下次投掷信号。

教师的讲解示范一定要规范明确,握球方法、用力部位、用力顺序等细化到每一个步骤。在教学时,教师可以先让学生徒手练习,学生明确动作要领后,再持球练习,循序渐进的投球练习可以让学生对动作要领得以掌握,从而预防投头球过程中的运动损伤。

教师在投掷实心球练习时,队形的组织是预防教学安全的重要条件之一。很多老师公开课教学时,为了教学更有新意,往往采用的队形也花样繁多。但我在教学中发现,小学生的自制力比较差,在练习过程中很难保持好队形,从而导致安全事故的发生。我觉得四列横队对掷,这样的练习队形比较实用。

3.怎样停球很重要。我在实心球教学时,问学生怎么让滚动的实心球停下来安全,很多学生告诉我用手、用脚背等等飞,方法多种多样。而滚动中的实心球,容易让手和脚趾受伤。教师要示范讲解停球的方法,让学生知道用前脚掌停球。要求只要学生左右移动停好滚到自己身边的球,不要前后移动停球。学生能够安全的停球,有效的杜绝停球引发的安全事故。

4.捡球同样要有序。学生停好球以后,要听教师的哨音进行捡球。教师看学生都将球投出后再吹哨捡球,要求学生就近捡球,不抢球。捡到球后,不抛球,双手握球,回到指定地点,将捡到的球放在脚前。我在进行实心球的教学时,是让第一组学生投,再由投的同学听指挥捡球捡回,交至下一位学生的手里。这样就预防了第一组学生还没投完,第二组不听指挥的学生就冲出去捡球而导致伤害事故的发生。但这样组织时,教师一定要强调传递实心球的安全,要求学生传递实心球时要手把手的传,不能抛球。

三、硬化教学管理

要预防实心球教学中的安全事故,硬化教学管理非常重要。有句古话说“不以规矩,不成方圆”,充分说明良好的课堂纪律是课堂教学安全实施的重要前提。教师在进行实心球教学中,要强调学生一切听教师的指挥练习,遵守课堂纪律,不嬉戏打闹。同时要对学生加大安全教育的力度,提高学生的安全意识。但是在日常的教学中,我们还是会发现因为小学生活泼好动,出现抢掷、抢捡等危险的行为,所以,教师不单单只是对学生在课前进行课堂纪律的强化,还要时刻关注学生在课上的行为表现,不断地强调课堂组织纪律,强化安全的重要性,杜绝意外伤害事故的发生。

学生的安全是体育教学的基本前提。只要我们做好体育课的安全预防工作,注重教与学的内容和方法。在严格管理的基础上,大胆的创新和尝试,从思想上重视,细节上抓起,就能上好体育课,学生能够安全健康的学习成长。

12.信息安全管理办法-政府部门要求 篇十二

1 安全问题

1.1 信息内容

在大数据时代的背景下, 大量的数据流和信息流存在于计算机网络当中, 其中包含了非常丰富多样的一些内容, 具有很高的自由性、开放性是计算机网络环境的特点, 也正因为这一点造成数据的安全水平并不高, 信息泄露和破坏这样的潜在安全问题一直都存在。非法截取、非法窃取、系统故障、病毒攻击会影响信息的完整性和可用性, 对社会和经济也会造成一定的威胁。

1.2 黑客攻击

网络黑客攻击具有一定的隐蔽性、破坏性, 造成计算机网络信息安全问题。在大数据时代背景下存在非常庞大的数据信息量, 这样就会在一定程度上降低计算机信息的总体价值密度, 所以, 对于网络黑客造成的安全问题, 使用计算机网络安全的基本分析工具很难及时有效识别。当黑客对计算机系统进行非法攻击时造成的安全问题就会非常严重。

1.3 人为操作不当

在计算机网络信息安全问题当中, 人为操作不当主要包括无意操作和人为恶意攻击这两种类型。计算机网络技术在当前大数据时代下得到了很广泛的应用, 但是应用的水平却是高低不同, 计算机网络的安全操作方法并不是每一个人都能够正确掌握的。因为对计算机安全操作规则的不了解, 就很容易因为操作失误造成数据泄露和安全漏洞等问题, 这样就为黑客和不法分子提供了可乘之机。对计算机网络安全威胁非常大的计算机网络信息安全问题, 就是人为恶意操作造成的, 因为它可以有选择性地破坏计算机网络系统, 并且进一步对计算机网络的完整性和有效性造成很大影响, 或者对重要的信息在我们无法对计算机系统进行正常操作的情况下进行拦截和盗取, 对计算机网络信息的安全造成严重的威胁。

1.4 网络管理不善

能够有效抵御计算机网络破坏的一个重要举措就是进行科学有效的安全管理, 在大数据时代的背景下, 下面这几个问题都是因为网络管理不善造成的, 第一, 网络信息很容易泄露, 这是因为网络安全管理意识不够强, 计算机网络管理也不够完善, 这样就会使计算机网络信息安全问题一个接一个出现。第二, 因为计算机用户不够重视网络安全管理, 就会忽视日常的网络维护和管理, 从而导致计算机网络系统遭到一定程度的破坏。第三, 有一些内部的机构都拥有大量数据信息, 比如银行、政府、学校等, 这些部门和单位如果对网络安全管理不重视, 不法分子就会利用这些安全漏洞来恶意袭击, 造成很严重的损失。

2 加强安全防护工作的措施

2.1 提高黑客攻击防范意识

黑客窃取数据信息的行为在大数据时代下是很常见的, 所以, 应建立和健全防范黑客攻击的管理体系, 逐步提高辨识黑客的速度和能力, 并且为了有效降低黑客的攻击效率, 就可以采取各类优化的防火墙技术, 可以采取内外网隔离等手段来提高计算机网络信息安全性。除此之外, 各单位和部门都应严格采取各类数据认证技术, 严格控制数据信息的访问次数, 进而有效减少计算机网络信息的安全隐患。

2.2 强化网络监控

当前大数据时代所面临的网络信息安全问题是非常严峻的, 应创设网络信息安全的环境, 认识到网络监控的重要性和必要性。第一, 应明确网络监控策略, 网络运行的稳定性和安全性可以通过有效的网络监控来提高;第二, 应强化入侵检测技术的应用, 通过强化网络实时监控, 有效预警和防范网络入侵行为;第三, 提高网络安全意识, 规范操作行为, 及时辨别出钓鱼网站, 避免进入;第四, 建立和健全网络监控管理制度, 明确监控管理职责, 保证网络监控落实到位。

2.3 有效利用防火墙

对于在上面所描述的影响计算机网络安全运用的几个不良因素, 相关单位和部门应建立和完善数据信息安全防范管理制度, 从根本上提高管理人员的计算机网络安全防范意识。为了减少计算机网络安全运行中恶性软件或病毒所带来的威胁, 在大数据时代的背景下, 应经常采用安全系统或者防火墙等技术来干扰恶性软件的运行, 其中属于隔离方式的就是防火墙技术, 它是利用拓扑结构来提高网络运行的安全性和可靠性。近些年来, 防火墙技术在公共与企业的互联网络环境中得到了广泛应用, 为各政府部门加强数据信息的安全管理。防火墙技术在一般的情况下可以对数据信息进行内外分离, 相对安全度较高的就是内部结构中的数据信息, 所以, 在实际对数据信息进行归档时, 人们常常会将数据信息归类到内部信息结构当中。此外, 对数据信息防火墙技术可以定期进行检测和维修, 就可以在一定程度上抑制病毒的入侵。计算机病毒的样式和特点从来不是一成不变的, 因此, 管理人员都应充分了解和掌握病毒的特点、性能、时间和活动范围等, 这样才能更好开展计算机网络安全防范工作, 并且以此为基础从根本上杜绝病毒窃取数据信息的行为。

2.4 信息存储和传输

在进行数据信息的存储和传输的安全管理时应采取格雷的加密措施, 这样才能使计算机网络信息传输和保存的安全性得到有效提高。对数据信息可以进行加密处理, 通过这种处理方式来防止不法分子窃取数据信息, 信息在存储和传输过程中的安全性通过这种密文的形式可以得到有效提高, 避免在传输过程中受到黑客或者不法分子的攻击。不法分子因为看不懂密文也无法破解密文就很难获取数据的具体内容, 这样就可以更好保证数据信息的安全。

3 结语

总之, 对于网络信息安全大数据时代提出了更高的要求, 要求构建完整的防范体系, 构建完备的管理和技术保障是关键。想要使网络性安全防护能力得到有效提高, 就应有效运用防火墙、入侵检测、加密等技术, 通过提高安全管理等级, 为网络信息安全构建良好的内外环境, 满足网络信息安全构建的需求。

参考文献

[1]傅则恒.大数据时代网络信息安全的风险与对策[J].中国电子商务, 2014 (6) .

13.信息安全管理办法-政府部门要求 篇十三

内容提纲

一、检查报告名称

XXX(部门名称)2012政府信息系统安全检查情况报告

二、检查报告组成检查报告包括主报告和附表两部分。

三、主报告内容要求

应包括以下四个方面的内容:

(一)信息安全状况总体评价

概述本部门信息安全工作情况,与上一比信息安全工作取得的新进展,对本部门信息安全状况的总体评价。

(二)2012年信息安全主要工作情况

对照本指南中关于检查内容的要求,逐项、客观描述本部门2012年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。

(三)检查发现的主要问题及整改情况

描述本部门安全检查特别是技术检测结果,总结分析本部门在安全管理、技术防护等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或整改计划。

(四)对信息安全工作的意见和建议

对信息安全工作特别是信息安全检查工作提出意见和建议,进一步促进提高信息安全检查水平。

四、附表内容要求

14.信息安全管理办法-政府部门要求 篇十四

一、信息安全总体状况

一直以来,我乡严格按照《政府信息公开条例》,《中华人民共和国保守国家秘密法》、《中华人民共和国政府信息公开条例》及有关法律法规,成立了单甲乡政府信息安全管理办公室,由分管信息安全工作的领导主抓,并指定一名信息安全员专门负责信息安全工作,出台了《单甲乡乡人民政府信息公开保密审查制度》、《单甲乡乡政务公开责任追究制度》等制度。严格在文山市政府信息公开网站和三七之乡网站对涉及到我乡关于维护稳定、政法、信访、民族宗教、国家安全、公共安全、经济安全等涉密信息进行严格控制,确保“涉密信息不上网”。截止目前,我乡在政府信息公开发布平台上未发现涉密信息。

二、信息安全主要工作情况

(一)信息安全组织管理

下设乡党政综合办公室为政府信息安全管理办公室,由分管信息安全工作的领导主抓,并指定一名信息安全员负责信息安全工作。

(二)日常信息安全管理

1、由信息安全员定时对我乡涉密计算机进行检查,严格在临沧市政府信息公开网站对发布的信息开展认真的检查。对涉及到我乡关于维护稳定、政法、信访、民族宗教、国家安全、公共安全、经济安全等涉密信息进行严格控制,确保“涉密信息不上网”;

2、严格文件的收发,有收发人员完善清点、整理、编号、签收制度,并要求信息管理员每天下班前进行系统全备份。

3、对所有业务系统都进行了逻辑备份和物理备份。

(三)信息安全防护管理

1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。

2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机不和其它计算机之间相互共享。

3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。

4、安装了针对移动存储设备的专业杀毒软件。

5、对重要服务器上的应用、服务、端口和链接都进行了安全检查并加固处理,并对张贴设密计算机和非设密计算机标签。

(四)信息安全应急管理

1、明确责任,分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制,协调管理机制和联动工作机制。

2、以人为本,快速反应。把保障公共利益以及人民群众的合法权益的安全作为首要任务,及时采取措施,最大限度地避免人民群众财产遭受损失。网站网络与信息安全突发公共事件发生时,能按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。

3、依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现网站网络与信息安全突发公共事件应急

处置工作的科学化、程序化与规范化。树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。

(五)信息安全教育培训

为进一步加强我乡政府信息安全工作,乡人民政府对乡机关干部职工及乡属各站所人员实行每年一次的信息安全专题知识培训及保密制度宣传,确保参训率达80% 以上,为我乡政府信息安全工作打下了坚实的基础。

(六)信息安全检查

为进一步落实我乡政府信息安全工作,乡政府信息安全工作领导小组分别对全乡政府信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、安全隐患排查及整改情况做了及时全面的检查。截止目前,我乡在政府信息公开发布平台上未发现涉密信息。

三、主要问题及整改情况

(一)主要问题

杀毒软件部分过期,购买正版软件资金有限,设备维护、更新不及时,电脑设备陈旧,安全性能差,少数职工信息安全意识不强。

(二)整改情况

一是严格控制机要计算机使用人员数量,实行专人专守,对各类移动存储设备进行杀毒,预防病毒感染;二是对重点科室更换新的电脑设备;三是每季度对相关人员进行一次信息安全专题知识培训。

四、相关意见及建议

(一)提高安全意识。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。

(二)设备维护、更新要及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。

(三)安全工作的水平还有待提高。对信息安全的管护还处于初级水平,要提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。

(四)加强计算机安全意识教育和防范技能训练,充分认识到计算机泄密案件的严重性。把计算机安全保护知识真正融于实际工作中,而不是记在纸上;人防与技防结合,把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。

(五)工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。

(六)建议上级相关部门能给予一定的资金和技术投入。

单甲乡乡人民政府

15.信息安全管理办法-政府部门要求 篇十五

大数据这一理念自2008年被提出以来就广受人们关注, 随着社会的发展, 它在各领域也发挥着举足轻重的作用。在大数据时代背景下, 信息安全管理模式也较过去有了很大改变, 并伴随着众多机遇以及挑战。因此, 为了实现信息安全体制的有效变革, 就必须要对大数据时代下信息安全的新特点以及新要求进行分析探索, 以此来促进我国社会的健康发展。

2 大数据时代信息安全的新特点

2.1 规模安全

在信息化时代, 人们在网络上的一举一动都会形成相应数据, 而我国作为拥有7亿左右网民的国家, 各领域通过互联网平台进行操作所形成的海量数据会在云端平台以及数据中心汇集, 而这也进一步增加了信息安全风险的规模以及危害程度。与此同时, 相较于传统信息安全, 大数据时代下的信息安全除了对军事、政治以及经济等方面造成威胁, 同时还极大威胁到了个人信息安全。特别是近年来的信息安全事件频发, 波及范围也逐年扩大, 这也是大数据信息安全的主要特点之一。

2.2 泛在安全

随着科技的发展, 人们可以借助各种移动智能终端, 随时随地的上网, 打破了原有时间以及空间的限制。而这也让信息迅速地在各领域、各国家以及各部门等广泛传播, 并渗透到老百姓生活工作的方方面面。与此同时, 移动互联网的研发普及, 也让原有的信息安全管理模式从静态转向动态, 信息安全的治理也从过去的年月日时的时间概念逐渐缩小为争分夺秒的时间管控。由此可见, 大数据时代下的信息安全呈现出泛在性特征。

2.3 隐性安全

大数据时代下信息安全的隐性安全特征主要体现在以下几个方面:第一, 大数据带来的数据信息数量庞大, 其中仅有一小部分具有利用价值, 大多数信息都是所谓的“脏数据”, 只有通过分析筛选才能最终挖掘并利用到有价值信息;第二, 大数据在移动信息技术的带动下, 也改变了以往的传播方式, 将原有的点对面信息传播模式逐渐替换为现在的点对点以及点对圈, 这种形式更加的隐蔽, 但是潜在的信息安全风险也不容小觑;第三, 在大数据时代, 一些新型的网络犯罪也层出不穷, 不法分子借助网络借贷以及网络投资等形式, 向那些信息能力较弱的群体实施诈骗等违法行为, 这种网上犯罪具有隐蔽性、诱惑性以及欺骗性等特征, 相较于以往的线下诈骗行为, 所带来的影响以及损失也不容忽视。

3 大数据时代信息安全的新要求

大数据时代背景下, 信息安全管理也面临着全新的挑战以及机遇, 然而通过分析研究大数据时代信息安全的新特点我们可以发现, 想要确保信息安全管理的科学合理, 就必须要对现有的管理模式进行优化转型, 而这也是信息安全领域发展的新要求以及必然趋势。

3.1 总体协调、精准治理的信息安全管理新模式

第一, 从体制的角度来看, 要摒弃原有的管理模式, 形成总体协同、“九九归一”的新型管理模式;第二, 从机制的角度来看, 大数据时代的到来, 也让移动互联网得到了广阔的发展空间, 这就促使整个信息安全管理必须要由原来的静态单域管理模式转向动态跨域管理模式;第三, 从技术的角度来看, 以往传统的管理模式总是受制于人, 为了推动我国的科技发展, 在大数据时代下, 就必须建立起自主创新的技术发展模式;第四, 从人才培养的角度来看, 在过去国家比较注重对军事、政治、技术以及外交等领域的人才培养, 但是这种传统的培养模式已经无法适应时代发展需求, 在新时期, 应该将大数据的全球人才以及创新人才等作为人才培养目标;等等。

3.2 去伪存真、自主可信的信息安全管理新路径

事物都有两面性, 大数据在给人们带来便利以及价值的同时, 它的一些负效应也冲击着社会发展, 比如数据亢余以及信息噪音。为有效化解负效应带来的影响, 可以从以下几方面考虑:第一, 去伪存真。大数据时代的发展变革中, 总会不可避免的存在一些不真实、不完整以及不规则的数据信息, 并极大影响了信息安全管理数据分析的最终结果。针对这一现象, 应该借助有效工具, 来对大数据中海量的信息进行多角度的鉴别;第二, 去粗取精。目前, 人们对大数据的辨别能力还不够成熟, 常常对大数据所提供的全本数据抱有足够的信任, 把全本数据的统计结果当作正确结论, 这是不科学的, 应该对数据信息来源的规范性以及完整性等进行综合考虑, 并对甄别后的信息进行深入挖掘, 去其糟粕取其精华, 从而筛选出有价值的信息。

3.3 数据开放、安全共享的信息安全管理新政策

在大数据时代背景下, 不仅要注重信息的开放共享, 同时还要做好信息安全管理, 以信息安全保障开放共享, 以开放共享促进信息安全。与此同时, 在数据开放、安全共享新政策形成的同时, 提高全民的信息安全素养也刻不容缓。提升全民信息安全素养的核心就是要提升他们的网络安全素养, 并将这一目标纳入到各行各业的文明创建指标考核体系中, 健全公民信息安全素养建设的共建机制, 从而为数据开放、安全共享新政策提供宝贵的民众基础。

4 结语

在大数据时代中, 我国的信息安全管理模式也较过去有了很大改变, 在充分研究探索信息安全新特点以及新要求的基础上, 实现信息安全管理模式的创新转型, 是目前所有业内人士需要关注的重点问题, 并需要社会各界的通力协作来共同完成, 从而推动我国社会的良性发展。

参考文献

[1]吴蓓, 刘海光.浅析大数据时代的信息安全[J].计算机光盘软件与应用, 2013, (15) :155-156.

16.政府应急管理中信息公开研究述评 篇十六

〔关键词〕政府应急管理;信息公开;突发事件

DOI:10.3969/j.issn.1008-0821.2012.10.041

〔中图分类号〕G931.6 〔文献标识码〕A 〔文章编号〕1008-0821(2012)10-0171-03

,各种突发事件频繁发生,给政府应急信息公开工作带来严峻挑战。政府应急信息公开问题成为学界和实践界广泛关注的一个热点问题。学界对应急信息公开的研究日新月异,取得的理论成果也越来越多,有必要对研究现状进行统计分析,既能了解该领域的基本状况及最新发展,也能根据学者们的研究成果展望进一步研究的空间。

1 国外研究进展

笔者分别以“emergency information”、“government emergency information”、“crisis information”、“government crisis information”、“publicity of government emergency information”、“publicity of government crisis information”等为题名和关键词,检索了截至2010年12月的Academic Search Premier数据库、Science Direct数据库、ProQuest下的“Academic Research Library”和“Dissertations & Theses”数据库,找到了1 439篇与本课题相关的文献。通过对相关文献的筛选与整理,阅读摘要及部分全文,总体看来,国外对政府应急信息公开的理论研究主要集中在以下几个方面:

1.1 政府应急信息公开与公民信息自由及公民知情权 有学者站在充分保障公民信息自由与知情权的高度,阐明了政府应急信息公开的必要性与合理性。如Morehead,Joe认为,公众对政府信息的获取是一项国家宪法应予以承认的基本权利[1]。2003年,Zachary Sheaffer和Rita Negrin在“面向执行官的危机管理政策和实践指南”一文中谈到了企业危机管理人员的信息能力问题,强调需要对危机信息管理人员进行教育和培养等[2]。

1.2 现代信息技术与政府应急信息公开

部分学者认识到,随着信息技术的应用与推广,电子政务的发展,为政府应急信息公开提供了更为便捷的条件与渠道,极大地改进了政府应急信息公开。Ka-Ping Yee学者认为,在应急管理过程中,可以充分利用网络技术提供应急信息服务,通过建立信息中心,及时发布公众需要的信息,提供的信息要保证真实可信[3]。2004年,美国安全技术研究机构(Institute for Security Technology Studies)的一份报告《危机信息管理软件(CIMS)的互用性》指出了危机信息管理系统之间的互用性,并认为借助危机信息管理软件可以管理许多应急组织内的关键信息流[2]。

1.3 政府应急信息公开与国家公共政策

政府应急信息公开与国家公共政策是密不可分的关系。Sureshandar G.S.论述了政府公共信息沟通政策首先应使政府不仅要预见公众的信息需求,而且要有预见公众对突发事件可能的观点。Herman,E.分析了后911时代如何实现政府信息资源公共获取与敏感信息保护两者之间的平衡[4];Charles R.McClure and Paul T.Jaeger简单介绍了政府信息政策研究的方法和现实意义[5]。

2 国内研究进展

笔者分别以“应急信息”、“政府应急信息”、“危机信息”、“政府危机信息”、“应急信息公开”、“政府应急信息公开”、“危机信息公开”、“政府危机信息公开”等为题名和关键词,检索了截至2010年12月的CNKI下的“中国优秀硕士学位论文数据库”、“中国博士学位论文数据库”和“中国期刊全文数据库”,检索出1 112篇相关文献,研究发现,政府应急信息管理的相关研究已经成为我国学界关注的一个热点问题,其研究特点主要有以下几个方面:

2.1 研究起步较晚,但发展迅速

20世纪八、九十年代,在政府应急信息公开的研究上,主要是围绕某一突发事件的应急信息公开展开,如谭春梅等作者在《广西校园内公共卫生突发事件原因分析及控制措施》一文中,便提出切实加强对各级公共卫生突发事件应急处理信息报告网的建设[6]。2003年“非典”危机以后,学界开始意识到政府信息公开对政府应急管理的重要性,逐步向突发性事件中信息公开的理论研究深入和拓展,柳莎[7]、李薇薇[8]、刘光亮[9]等学者对政府应急信息公开的作用及相关措施等进行了深入研究。

2.2 研究视角逐渐广阔

来自新闻学与传播学、法学、行政学等学科的众多学者对政府应急信息公开展开专门研究,研究视角呈学科多元化发展趋势。譬如:侯保疆等人[10]从传播学视角对政府应急管理的信息公开与大众传媒的关系进行了研究,指出政府与大众传媒在突发公共事件的信息公开上应建立良性互动合作关系;李琴等人[11]从行政法的角度,以汶川大地震为背景,分析了在公共危机背景下政府信息公开的可能性和必要性;石奎等人[12]基于政府管理视域对城市弱势群体公共危机信息管理机制的构建进行了研究,等等。

2.3 研究领域逐渐拓宽

学者们对政府应急信息公开的研究,由于学科背景广泛,研究的领域逐渐拓宽。有的学者对政府应急信息公开制度展开深入探讨。譬如:赵永新[13]、张占杰[14]、张昊[15]等学者以《条例》为参照,对我国信息公开制度的缺陷、问题进行研究并提出完善我国信息公开制度的对策措施。王守海[16]、齐丽文[17]等学者根据对中外信息公开制度进行比较研究,指出突发事件中政府信息公开制度的基本范畴。赵双阁[18]、于燕云[19]等学者关注政府应急管理的信息公开与媒体的关系。刘铁民[20]、陈安[21]等学者关注城市突发事件的应急信息管理和应急信息系统的研究。任冰[22]、周小鹏[23]、彭晖[24]等学者对政府应急信息公开的问题及对策进行专门研究。

3 研究述评

尽管学界的相关研究成果比较丰富,但是针对政府应急信息公开的基本要求、目标取向、影响因素、政府与媒体的关系、公开平台与发布机制等诸多问题的研究仍比较薄弱。概括起来说,目前学界对政府应急管理中信息公开的研究,主要还存在以下几个方面的不足:

3.1 研究内容不够深入

目前,学界主要围绕政府应急信息公开的作用、问题、对策等方面展开研究,这些研究成果还不能非常有效地指导政府在应对突发事件时怎样使公开的信息发挥出最大有用性,提出的解决策略仍处在一个较抽象和宏观的层面,有待进一步具体化和深入化。学界对于政府如何正确引导公众获取有用信息或是公众如何从公布的信息中获取有用信息并充分了解信息等问题的研究还处于初级探索阶段;在政府应急信息公开的制度以及我国信息公开相关法律制度存在的缺陷等问题的研究上,学术界在与信息公开的相关制度的建立、健全和完善上仍处于一个初步探讨的阶段,大多数学者均只是指出《政府信息公开条例》的局限性,但是对于信息公开法的研究并不深入,具体的可操作程序有待于进一步探讨。因此,研究的内容不能仅局限于制度、问题及对策等,对于政府应急信息公开的目标取向,基本要求、公开平台、行政问责等的研究亟待进一步深入。

3.2 研究视角比较狭窄

学界主要基于新闻与传播学、管理学、法学等学科视角对政府信息公开的相关制度、存在问题及解决对策等进行研究,缺少从系统科学、信息资源管理科学、社会学、心理学等不同学科视角研究的成果,没有形成系统的研究领域,跨学科、跨领域、跨行业、跨系统的综合研究十分稀少,缺少综合性、交叉性研究成果,致使目前在政府应急信息公开研究中存在实践超前、理论滞后的问题。理论研究的当务之急主要在于:开展跨学科的综合、整合与融合研究,为政府应急信息公开工作提供必要的理论支撑;开展多视角的理论研究,借鉴多学科的相关理论研究成果,推动政府应急信息公开工作健康发展。

3.3 研究方法略显单薄

工欲善其事,必先利其器。研究方法的有效运用有利于促进研究工作的顺利开展以及研究成果的有效获取。目前学界对政府应急管理中信息公开问题的研究,主要运用了调查法、文献研究法、经验总结法、描述性研究法等。笔者认为,政府应急管理信息中信息公开工作是一项复杂的系统工程,涉及的问题多,除了上述研究方法以外,还应该进一步加强各种研究方法的综合运用,以求获得理想的研究效果。譬如:加强系统方法的应用,在进行问题研究时,既在微观上注重对政府应急信息公开工作的内容进行系统研究,也应该从宏观角度对政府应急信息公开工作与其他应急管理工作及社会环境之间的联系进行综合研究。运用平衡计分卡法、层次分析法,对政府应急信息公开工作进行统计分析,通过建立政府应急信息公开绩效测评模型对信息公开工作绩效进行实证研究。

4 进一步研究的空间

学界对政府应急信息公开的研究方兴未艾。笔者认为,在未来一段时间里,对政府应急信息公开的研究,需要重点把握以下几个方面的研究内容:

4.1 政府应急信息公开法制建设

政府应急信息公开的实践性非常强,学界对政府应急信息公开的研究主要集于对政府应急信息公开的制度研究,不少学者对我国政府信息公开条例进行了一定的解读,并且指出信息公开法制建设的必要性,但对应急信息公开的法律可操作程序的研究甚少。目前,我国并没有一部真正意义上的信息公开法,信息公开的法制建设研究有待于进一步加深,研究主题应该主要集中在政府应急信息公开法律建设中可操作程序、法制建设的意义、作用以及基本内容等方面。

4.2 政府应急信息公开内容

政府应急信息公开的研究内容不应该只局限于原因、问题对策与制度等方面。除了这些研究内容,政府应急信息公开的价值取向和目标原则的研究也是十分必要的,有利于更进一步加强政府应急信息公开的规范化建设,增强政府应对各种突发事件的能力,提高政府公信力。此外,在突发事件应急管理过程中,哪些信息需要公开?哪些信息不宜公开?怎样公开?什么时间公开?由谁公开?对谁公开?等等,这些问题的研究也应该亟待加强。

4.3 政府应急信息公开机制

目前学界关于应急信息公开机制的研究主要关注新闻发言人制度、信息发布机构等内容,而对政府应急信息公开机制建设进行系统研究的成果比较少。笔者认为对于政府应急信息公开机制的研究,需要加强以下3个方面的研究:一是政府应急信息的上报机制;二是政府应急信息的对外披露机制;三是政府应急信息公开工作的绩效评估机制。

4.4 政府应急信息公开平台

政府应急管理的有效实现,需要构建起统一高效的信息平台。信息公开平台建设是政府应急管理的一项基础工作,对于建立健全政府应急管理机制、提高应急决策的时效性、保障公众的知情权、有效应对各种突发事件等均具有重要的现实意义。目前学界主要是从微观角度,研究突发事件信息公开平台建设的重要性、功能需求、体系结构等内容,较少地从宏观视角研究政府应对突发事件信息公开平台建设的内外环境、基本动因、框架体系、技术支持、政策建设等内容,应该立足于我国政府应急管理实际,积极借鉴国外成功经验,基于应急管理流程,从宏观视角系统研究应对各种突发事件信息公开平台建设的相关问题,为我国应对突发事件信息公开平台建设提供一套科学的理论支撑体系和可行的政策建议。

参考文献

[1]Morehead,Joe.The myth of public access to federal government information as a constitutional right[J].Serials Librarian,1995,26(2):1.

[2]章钢,谢阳群.危机信息管理研究综述[J].情报杂志,2006,(8):24.

[3]Ka-Ping Yee.Operating an Emergency Information Service[J].Communications of Tme Acm,2001,44(12):25-28.

[4]Herman,E.A post-September 11th balancing act:Public access to U.S.government information versus protection of sensitive data[J].Journal of Government Information,2004,30(1):42-65.

[5]Charles R.McClure,Paul T.Jaeger.Government information policy research:Importance,approaches,and realities[J].Library & Information Science Research,2008,30:257-264.

[6]谭春梅,等.广西校园内公共卫生突发事件原因分析及控制措施[J].广西预防医学,2002,(12):342-345.

[7]柳莎,陈泽华.论我国公共危机信息公开制度存在的问题与对策[J].中国集体经济,2007,(12):190-192.

[8]李薇薇.对我国政府应急管理成功经验的实证分析[J].四川教育学院学报,2008,(9):23-27.

[9]刘光亮,赖俊.从“三聚氰胺”事件探析我国的政府信息公开制度[J].法制与社会,2009,(3):195-196.

[10]侯保疆,吕玉姣.政府应急管理的信息公开与大众传媒[J].太平洋学报,2009,(4):1-6.

[11]李琴,龚永博.从行政法视角论公共危机中的政府信息公开——以汶川地震为例[J].高等函授学报:哲学社会科学版,2008,(8):18-20.

[12]石奎,磨玉峰.跨越数字的鸿沟——基于政府管理视域的城市弱势群体公共危机信息管理机制构建[J].社会科学论坛,2007,(2):42-45.

[13]赵永新.改革开放以来我国政府信息公开制度建设评析[J].北京电子科技学院学报,2010,(3):14-18.

[14]张占杰.论我国的政府信息公开制度[J].经济管理者,2010:165-166.

[15]张昊.完善我国政府信息公开制度的思考[J].重庆科技学院学报:社会科学版,2010,(20):49-53.

[16]王守海.紧急状态下政府信息公开制度研究[D].中国政法大学,2010:1-43.

[17]齐丽文.突发公共事件中政府信息公开制度研究[D].山东大学,2009:1-43.

[18]赵双阁,强月薪.论政府信息公开对大众传媒的建构性影响[J].新闻与传播评论,2010:66-72.

[19]于燕云.政府信息公开对传媒的影响[J].青年记者,2010,(12):45.

[20]刘铁民,李湖生.应急信息系统高端设计[J].中国计算机用户,2006,(4):24.

[21]武艳南,陈安.构建城市应急信息系统[J].信息方略,2008,(22):19.

[22]任冰.我国政府信息公开制度建设、问题与对策研究——基于中美信息公开制度比较视角[D].西北大学,2009:1-64.

[23]周小鹏.政府在突发公共事件中的信息公开问题研究[D].天津大学,2007:1-44.

[24]彭晖.突发公共事件的信息公开问题研究[D].江西师范大学,2009:1-43.

上一篇:生产转正工作总结下一篇:北京体系考核申请程序