一、注重資訊安全工作及規章制度建設
公司自開業以來以《xxx公司資訊系統執行管理制度》《xxx公司計算機資訊系統安全、保密管理規定》等相關內控制度爲基準制定了資訊安全工作的安全策略、支撐安全策略實現的各項安全管理規定以及操作規程等構成的全面的資訊安全管理制度體系;制訂了安全組織的設立、人員的安全管理,系統建設及運維相關安全管理制度;制訂了安全管理人員或操作人員執行的管理操作規程;明確了安全管理各個崗位的崗位職責;按監管機構的要求嚴格實施了機房管理、外來人員管理和資訊數據安全管理。
此次自查工作主要分爲三個環節逐步開展。第一個環節是以行政人事部爲主,從安全管理制度、設施、人員、崗位職責等方面整體梳理總結;分公司的系統管理員在權限之內負責全省的員工權限的相關配置,各中心支公司的系統管理員沒有配置系統的權限,實現轄內員工的權限由分公司統一配置,各中心支公司系統管理負責維護本機構的'機器、網絡、桌面維護以及系統問題的上報。
第二個環節是聯合分公司各部門、各中心支公司開展資訊安全自查工作討論,補充現有制度的缺陷;
第三個環節是由資訊檢查小組再次梳理整體資訊安全工作,並修正檢查出的工作錯誤。
在檢查中我公司發現中支資訊員對部分規定、通知執行力度不夠,無法引起足夠的重視,我公司針對此類情況準備下發嚴格的管控及獎懲措施。
我公司大部分電腦按照總公司要求加入域集中管理,安裝了網絡版防病毒軟件,使用上網行爲管理設備對與工作無關的網站及軟件進行了封鎖,及時更新系統補丁、修復漏洞,透過以上措施,大大降低了系統檔案被篡改、中病毒等風險,但是透過自查發現分公司對此項工作的執行力度較強,各中心支公司存在沒有進入域管理的情況,針對此類情況,我公司再次下發相關檔案要求各中支必須對每臺電腦進入域管理,以實現集中管理。
二、資訊系統的安全管控
爲了確保電子資訊系統安全、穩定、可靠的執行,網絡機房建設嚴格參照國家機房標準建設,我分公司至總公司網絡採用聯通SDH專線,備線採用電信SDH專線(互爲備份)。機房內現有設備:防火牆、3層交換機、上網行爲管理設備、服務器、工控機各一臺,路由器2臺、二層交換機5臺,配備有長效型UPS,目前設備執行狀況良好。機房面積12平方米,配備門鎖、中央空調,由資訊管理人員專人管理,做到每月打掃衛生、每天到場巡視。
公司業務、財務、輔助系統採用B/S模式開發,所有數據均集中在總公司服務器,系統介面友好、客戶端不需各分公司維護。系統開發、維護由總公司掌控,分公司只有使用權,但各省公司或中支可以提需求,總公司評審後視情況落實。系統賬號權限實行分級管理,分公司僅有部分賬號設定權,並可以單獨設定賬號的崗位權限及機構權限。系統賬號權限分工明確,收付費等系統執行正常。財務系統和業務系統可以無縫實時對接,數據資訊流轉暢通。
在業務系統數據控制方面,系統會對錄入項目的完整性進行檢測,如未完成必填項目,系統不會流轉。分公司有權在業務流程未完成的情況下對部分數據進行修正,同時也對有修正權的賬號做了嚴格限制。
三、數據管理和災備建設
我公司的業務數據都不儲存在本地,由總公司統一儲存,我公司提供網絡介質及部分系統的數據(呼叫中心),對於在我公司存取的數據採用雙擊備份加光盤存儲方式進行數據的備份,並且在服務器發生故障時,緊急啓用呼叫轉移的方式保證呼叫中心繫統的暢通。
四、應急響應體系建設情況
爲保障系統穩定、網絡暢通,要求資訊管理人員手機24小時開機,隨時處理各種突發情況並及時與總公司聯繫溝通。近期經演練,在人爲斷電後,UPS能夠實時切換至後備電池供電狀態並堅持12小時以上,確保網絡暢通。
根據《通知》具體要求,在自查過程中我們也發現了一些不足之處,同時結合公司實際,今後要在一下幾個方面進行整改。
1、透過自查,發現員工資訊安全意識不強,今後要繼
續加強對資訊安全工作的安全意識教育,提高做好安全工作的主動性和自覺性。加強員工資訊安全意識教育和防範技能訓練,充分認識到資訊安全的重要性,把資訊安全保護意識真正融入工作中。
2、透過自查,部分機構制度建設不完善,或存在制度落實性較差。今後分公司將加強制度建設及落實,完善應急預案制定,爲資訊安全管理工作有序開展提供保障。
3、將全轄全部辦公電腦加入域管理。