信息网络安全检查总结(精选6篇)
信息网络安全检查总结 篇1
2013年信息安全检查总结报告
人民银行:
按照中国人民银行办公室《关于XXXX通知》(XXXX〔2013〕1号)的要求,我行高度重视,积极开展自查工作,现将有关情况报告如下:
一、信息安全检查工作组织开展情况
为切实做好信息安全检查工作,我行成立了以主管信息科技的行领导任组长,综合部总经理、信息技术条线技术骨干为成员的分行信息安全自查工作小组。工作小组多次召开信息安全检查专题会议,认真学习和领会本次检查的要求,制定了符合分行实际情况的自查计划,并对照人民银行制定的《信息安全检查操作指南》的要求,对我行的系统运行、维护和信息安全等进行了逐条对比和梳理,做到检查不留死角,有序推进自查和风险整改工作。
二、信息安全主要工作情况
1、组织和制度建设方面
首先,为强化全行信息安全管理工作,分行成立了以行领导为组长,各部门负责人为成员的信息安全工作领导小组,组织、协调和指导全行信息安全管理工作,各部门各负其责,具体承担与本部门相关的信息安全管理任务。其次是加强制度的完善和落实,我行按照本次检查的要求,结合内外部审计发现问题的整改,梳理修订了各项规章制度,同时,认真贯彻执行各项信息科技风险管理制度,重点对网络基础设施进行了加固改造,加强了互联网使用和防止敏感信息泄漏的安全管理工作。
2、人员安全管理
健全员工信息安全责任制度,员工对使用的行内计算机设备和应用系统涉及的敏感信息负责;加强员工离岗离职交接时的安全控制,员工离职时,必须终止系统访问权限;外部人员进入计算机机房及设备间等重要区域时,须先通过审批,在行内人员陪同下方可进入,对其活动有相应的记录。
3、网络系统安全方面
按照本次检查要求,重点检查了我行核心网络系统,涉及核心网络系统设备有路由器6台,交换机2台,防火墙6台。我行网络系统实施模块化、分区化的管理,核心网络的安全性和稳定性有较高的保证。根据业务性质和类型,对vlan 和 ip地址进行了分段划分。广域网接入采用了两家通讯运营商提供的双线路,通过双线路、双路由设备冗余有效保证了网络传输的可用性。
从自查总体情况来看,我行网络系统安全运营机制较完善,日常操作和管理较规范;我行骨干网络、外联等网络系统硬件工作正常、网络运行平稳,网络带宽、设备性能满足生产运行需求;我行网络系统模块化、分区化设计的架构较为科学合理,具备较高的安全性;重要网络设备及骨干通信线路均实现了热备,冗余度、可靠性较高。
4、系统安全管理方面
我行所有生产系统均部署于总行,分行不存在系统安全管理。
三、自查发现的主要问题和面临的威胁分析 1.发现的主要问题及改进措施
运营商系统和维护管理风险,市政通信管线安全风险等影响通信安全的风险,具有外部不可控性,风险因素难以完全避免。我行位于XXXX,核心机房托管于XXXX中心机房内,外部通信接入环境存在着一定的不稳定因素。
改进措施:我行针对上述情况,将加强与建设银行、运营商、大楼物业管理等部门充分合作,如果建设银行或运营商有维护和变更,我行将提前介入,做好应急准备,保证网络系统可靠运行。
2.面临的安全威胁与风险
随着网络系统在我行的广泛应用,银行业务得到较好发展,但是安全风险也更加严重和复杂,单个安全事件可能会引起多个应用系统故障甚至瘫痪;互联网的使用提高了信息的交流和使用效率,但是如果员工的信息安全意识淡薄,就容易发生信息泄漏。我行将认真贯彻监管部门的信息安全管理规定,加强信息安全培训工作,提高全行信息安全管理水平。
四、后续工作计划
通过本次检查,进一步促进了我行信息安全的基础管理工作,我行下一步将从以下几个方面开展信息安全工作:
1、结合本次检查,积极整改发现的问题,更加有效地控制风险;同时进一步加大对整改情况的跟踪核查力度,强化对敏感信息、病毒防范与桌面安全的管理及整改责任的落实。
2、认真分析和研究问题产生的根源,从制度、流程、系统等方面采取针对性的措施。对个别确实存在客观原因不能完全整改的问题,应从实际出发,在风险可控的前提下调整风险应对措施。
3、进一步强化信息安全管理的职责分工与协作,切实发挥信息安全管理部门的监督、检查与指导作用。加强全体员工信息安全培训及教育,提高信息安全意识和操作技能,防范信息泄露,让全体员工明白信息安全与自身息息相关,是每个员工日常工作应该遵守的规则。
信息网络安全检查总结 篇2
随着信息技术的飞速发展和网络技术在各行业的广泛应用, 世界各国的信息化取得了飞速的发展。信息系统在国民经济和社会信息化的背景下, 提高了办公效率, 改善决策和投资环境, 为信息管理、服务水平的提高提供了强大的技术支持。同时, 由于其信息系统的开放性, 针对信息系统的信息安全事件也频繁发生, 安全威胁越来越严重, 信息系统的信息安全问题已成为世界各国重点关注和亟待解决的问题。
世界各国为了解决信息系统的安全问题, 普遍采用了检查、评估等方法来保证信息系统的安全性, 并建立了相应的法律、标准、规范等, 其中以美国的信息安全检查指标体系最具代表性。我国一些关系到国计民生的重点行业为保证信息系统的安全性, 也采取了安全检查的方法来保证信息系统的安全性。
2. 国外信息系统安全检查评估现状
美国联邦信息安全管理法案 (Federal Information Security Management Act, FISMA) 要求联邦各机构对每一个系统实施“定期的有效性测试与评估, 考察信息安全的策略、流程与措施。评估的频率视风险而定, 但不能少于每年一次”。这种评估包括对管理、运行和技术类控制的测试。该条款不要求联邦机构实施国家标准技术研究院 (National Institute of Standards and Technology, NIST) 的认证和认可指南中所需要的复杂的测试, 而是要求维护一个持续不断的风险评估过程, 以确保安全控制能将风险维持在一种可接受的级别上。该条款还强调了对各系统安全状态的了解, 以便正确地维护系统级的行动和里程碑计划 (Plan of Action and Milestone, POA&M) , 并要求在每年度准确地报告各机构IT安全项目的总体态势。
年度FISMA检查的广度和深度依赖于多种因素。
1) 可接受的风险级别以及系统或信息遭受危害的程度;
2) 系统配置和设置得到在案记录以及持续监督的范围;
3) 补丁管理的实施范围;
4) 最近一次检查的相对综合性;
5) 作为系统认证和认可的组成部分的最近一次深度测试与评估的时间。
行政管理和预算局 (Office of Management and Budget, 以下简称OMB) 在每年夏季公布上一年7月1日至下一年6月30日 (一个会计年度) 的信息安全管理实施报告指南, 要求各部门信息主管及由美国审计总署委派、总统任命、独立于各部门的监察长提交报告, OMB再根据前面两个来源的报告撰写总报告后提交国会审议。
OMB制定了一个考评准则, 满分为100分。在OMB的考评准则中, 大部分是针对广泛人群的提问调查。因此, 得分与某项信息安全工作在部门内实施的范围成正比。0分表示比例小于最低要求, 例如只有29%甚至更低比例的雇员接受过信息安全培训;不同的比例范围将被赋予不同的分数, 总分数由各单项分数汇总而成。
除OMB提交的报告外, 美国还有另外一份由国会众议院监管及政府改革委员会 (Committee on Oversight and Government Reform) 做出的政府信息系统安全评估报告。监管及政府改革委员会做出的报告的基础数据来源也是各部门提交的报告, 但其评价方法是量化的。监管及政府改革委员会特地制定了一套政务信息系统安全检查指标体系, 评分后可以直观地了解政府各部门电子政府信息安全的基本情况。
美国众议院监管及政府改革委员会根据各部门提交的报告, 依照评分框架, 每年春季提出各部门的评分与评级结果。该指标体系提供了一个政府各部门信息安全基本情况的排名方法:首先是依据信息安全检查评分框架对各政府部门进行评分, 然后再根据不同部门的评分或评级的高低对部门进行排序, 得出各部门之间信息安全基本情况的横向比较。
俄罗斯在保障政府信息系统信息安全方面做了大量的工作。俄罗斯宪法把信息安全纳入了国家安全管理范围, 颁布了《联邦信息、信息化和信息网络保护法》, 强调了国家在建立信息资源和信息网络化中的责任。俄罗斯联邦政府联络与情报局为俄罗斯联邦国家政权机关建立了因特网网段RGIN (Russian Government Internet Network) , 并建成了高效安全的“阿特拉斯”数据传输, 确保俄罗斯联邦各主体行政中心之间文件的网络传输。
他们还确立了《计算机系统安全评估标准》、《产品安全评估软件》等一系列完善的系统安全评估指标。同时, 建立了联邦经济信息保护中心, 负责政府网络及其他的专门网络、网络信息配套保护、国家政权机关信息技术保障等。俄罗斯十分重视信息安全检查工作, 从法令、机构人员、资金、技术、管理等角度对信息安全检查工作予以全方位的支持和保障。
英国政府非常重视对信息安全法律法规执行情况的监督检查。一些政府部门设有专门的工作小组负责对有关电子政务建设法律法规和规章制度的贯彻落实和监督检查。例如英国教育与技能部有6人工作小组, 专门负责《数据保护法案》和《信息自由法》两法执行情况的监督检查。为形成制约机制, 对法律法规执行情况进行有效的监管, 他们采取了一些行之有效的措施, 如将机关工作人员执行法律法规和规章制度的情况与其业绩和奖惩挂钩, 若有违犯有关规定的行为, 一经发现轻则由人事部门提出警告, 重则开除。
德国在内政部下建立了信息安全局, 负责促进政府、企业和个人在IT应用方面的安全工作, 保证政府信息系统的安全性、实施信息安全技术的合法性及相关标准的统一性等。从确立安全要求, 到应用信息安全技术的计划、设计、实施、评估以及安全检查等, 德国政府进行了多方面的信息安全任务。但是德国信息安全检查工作还存在着一些不足, 例如工作人员责任不清, 授权不明, 检查工作无认证、无标准、无评估, 缺乏经常的监控工作等。
3. 国内信息系统安全检查评估现状
近几年来, 我国电力企业信息化投资占企业总投资的比重越来越大, IT基础设施不断完善, 信息系统越来越多。信息系统安全对电力企业意义重大, 它应该与电网安全一样被重视。
事实上, 2003年, 国家电网公司已将国家电力信息系统的安全运行纳入到电力安全生产管理的范畴, 把信息系统的安全管理纳入电力安全生产体系, 实行了信息系统安全运行报表制度和监督管理制度。电力企业经过多年的电力生产安全管理实践, 形成了一套电力安全生产规章制度, 建立了电力生产安全管理机制, 并且根据现代电力生产管理需求, 基于风险管理的理论, 开展了安全性评价工作。《供电企业安全检查性评价》从生产设备系统、劳动和作业环境、安全生产管理三个方面进行危险性查评诊断, 并坚持“自查、自检、自改”以及专家查评与单位班组自查相结合的原则, 将安全生产管理的重心放到一线班组, 实现安全生产各项管理工作的标准化、规范化, 用规范化的管理实现安全生产的动态过程管理。
供电企业将信息系统安全检查提高到电力安全生产的高度, 并借鉴电力生产安全性评价的做法, 对信息系统安全检查工作常态化, 坚持“自查、自检、自改”, 并坚持安全性评价专家查评与班组自查相结合的原则。
保险信息系统安全问题关系保险业发展全局, 也关系到社会经济的稳定。现代保险业的运转对信息化的依赖程度与日俱增, 信息化不再只是一种辅助的手段, 而是已成为保险机构的大动脉。
中国保监会早已认识到保险业信息系统安全检查的重要性, 在2008年奥运和2009年国庆期间, 保监会都组织了保险业的信息系统安全大检查。保险业信息安全检查工作以各公司自查为主, 主要围绕“内控与组织管理”和“信息技术管理”两个重点开展。保监会统计信息部负责全行业信息系统安全检查工作的组织领导, 并组织检查组对部分公司进行现场检查;各公司负责各自信息系统的安全检查工作的组织实施。
在保险公司进行自查的基础上, 保监会组织网络与信息安全检查组, 对部分保险公司和部分地区的分公司进行现场检查, 在检查中采用抽查方式对核心业务系统进行安全评测, 根据检查情况和评测结果对被检查单位提出整改意见。
随着电信新技术、新业务的不断涌现, 尤其是互联网的蓬勃发展以及电信运营企业向综和信息服务提供商的战略转型, 传统电信网络与现代通信网络的“网络与信息安全”概念有了很大的不同, 做好网络与信息安全工作显得更加重要与突出。在工业和信息化部的要求下, 各省通信管理局开展了信息系统安全检查工作, 提高了电信网络的抗风险能力, 推动了电信网络信息安全保障工作。
电信信息系统安全检查重点检查计算机安全规章制度的落实情况、安全人员的配备、防病毒措施等, 采取企业自查、分组交叉检查和重点抽查相结合的方式, 督促和检查各企业电信网络安全工作的落实情况, 帮助企业进一步完善电信网络安全防范和应急体系。企业以自查工作为契机和动力, 发现自身存在的问题和不足, 制定整改计划和措施着手解决。通过分组交叉检查对电信企业进行了横向比较分析和总结, 促进了相互学习、取长补短, 提高了网络与信息安全的保障能力和水平。
随着税收信息化的快速推进, 各级税务机关对信息安全越来越重视, 信息安全方面的投入也越来越大。税务系统信息安全检查以非涉密的网络系统和物理环境为检查对象, 检查内容包括安全管理检查和安全技术检查两大部分。检查技术和实施方案按照安全评估和等级保护要求, 结合税务行业标准制定的完善, 确保检查的系统性、完整性、针对性和时效性, 提高了税务信息的安全保障能力。在检查实施过程中, 主要使用了人工检查评估和工具检查评估两种方法。所涉及的过程包括安全管理策略问卷调查、网络安全设备评估、主机系统工具扫描、主机系统人工评估、安全威胁调查、渗透性测试、现场勘察等。
税务系统进行信息安全检查, 按照综合评估、点面结合、以点带面、注重实效的工作思路, 在全面系统检查的同时, 对基础性的安全管理、关键技术平台设备、技术实施、运维监控和风险防范进行重点抽查, 既有全面性的问卷调查, 又有重点性的现场上机检查, 紧密围绕建立网络与信息安全基本保障体系建设, 持续性地进行安全加固和风险防范。
综合上述分析, 我国的信息安全起步较晚, 在信息系统安全检查方面开展工作的时间也不长, 在信息安全检查方面还存在着一些不足。
没有统一完善的标准和规范。我国各行业在进行信息安全检查工作时没有统一完善的行业标准和规范, 在开展信息安全检查工作时存在各级企业或机关自定标准自行检查的情况, 这不利于对各级信息系统进行安全性的横向比较, 也不利于检查工作的持续开展。各行业应制定一套明确、全面的检查标准和规范, 建立一套清晰的信息安全检查工作体系, 增强自身的检查评估能力, 推动信息安全建设的持续发展和深化落实。
缺乏良好的指标体系和监管机制。我国各行业信息安全检查虽然取得了一定的效果, 但各行业都没有建立一个良好的信息系统安全检查指标体系和监管机制。各企业和机关在进行自检时随意性较强, 没有规范的执行流程, 没有一套完善的指标体系;上级指导机构对其没有缺乏统一的监督和管理, 没有建立公开、明确的奖惩机制。
对内部威胁的重视不够。各行业的信息安全建设和检查大多还限制在堵漏洞、做高墙、防外攻这些老路上。实际上, 企业和机关内部数据安全的危害性正在日益上升, 如未经授权的雇员对文件或数据的访问、带有涉密数据的可移动设备遗失或失窃等, 恶意员工故意破坏信息系统甚至泄漏机密等, 但这些还没有引起足够的重视。
对信息安全的认识存在误区。目前各行业还普遍存在以是否发生安全事故作为信息安全工作好坏的衡量标准的现象。一些信息系统的建设时间较短, 没有发生足以引起信息安全管理机构重视的安全事件, 因此就盲目地认为当前信息安全防范工作已经足够, 这样的认识存在着误区, 并对信息安全带来极大的安全隐患。信息安全的处理应该遵循风险管理的原则和方法, 安全事件的防范应该以安全风险防范的方式来处理。
4. 启示
目前, 我国政府对信息系统虽然在信息安全检查方面开展了一些相应的工作, 取得了一定的效果。但与其他行业信息安全检查情况类似, 存在着上述问题。与国外信息安全工作开展较早的国家相比, 我国目前还没有成熟有效的信息系统安全检查方法和相应的管理机制、管理制度和规范等, 在这方面还需要开展很多工作。通过对美、俄、英、德等国信息系统安全检查现状的分析, 在我国政府信息系统安全检查体系建设中可得到以下启示。
加强信息安全基础工作。政府信息系统的信息安全检查评估工作需要依赖已开展的信息安全基础工作, 如信息系统安全性建设、信息安全技术的实施、政府人员的安全教育与培训等。
建立信息安全法规和标准体系。国外的信息安全检查评估大多是针对信息安全标准、法规等进行符合性检查, 这需要建立一套全面完善的法规、标准体系。我国目前在这方面还有很大的不足。
技术与管理并重。国外的信息安全检查很多集中在管理方面, 对技术方面涉及较少。我国在建立信息安全检查指标体系时应该管理与技术并重, 进行全方位的信息安全检查, 来充分保障我国政府信息系统的安全。
自查与监督检查的相结合。政府各部门内部的经常性、规律性的自查可以增强政府人员的信息安全意识, 提高部门信息安全人员的管理和技术水平。监督检查可以在自查的基础上进行针对性的检查和监督, 节约检查时间和成本。
建立信息安全检查评估的管理机制。建立国家层面上的、权威统一的信息安全检查评估管理机制, 对相关工作进行统一的协调和管理, 避免在信息安全检查评估过程中造成检查人员责任不清、授权重叠、授权不足、检查标准降低等情况, 加强对信息安全检查工作的监督管理, 使信息安全检查工作规范、有序地进行, 保证检查工作的高质、高效。
参考文献
[1]Office of Management and Budget.http://www.whitehouse.gov/omb/.
[2]Committee on Oversight and Government Reform.http://oversight.house.gov/.
[3]樊国桢等.美国联邦政府资讯安全管理系统稽核作业与相关标准初探.
[4]刘洋海.浅谈电力企业信息安全性检查.南方电网技术研究.2006, 2 (3) :65-67.
信息网络安全检查总结 篇3
一、工作开展情况
羊口万海光伏电站,装机容量35MW,位于山东省潍坊市羊口镇临港工业园区,为落实山东省调通知[2018]69号-《关于做好2018年上合组织青岛峰会电力监控系统网络与信息安全保障准备工作的通知》要求,我公司积极响应并组织开展电力监控系统安全防护专项检查活动。
二、检查发现问题
本次专项检查工作共发现问题8个,其中基础物理安全问题3个、总体结构安全问题0个、系统本体安全问题4个、安全管理问题1个、应急保障问题0个。
主要问题情况如下:
(一)基础物理安全层面
1、二次设备间和控制室采用普通柜式空调进行温度调节,无湿度自动调节设施;未设置温湿度越线报警系统;
2、二次设备间电源线和通信线缆未隔离铺设,机柜内电源线与通信网络部署在同一线槽内;
3、二次设备间电缆沟内未设置进水报警系统;
(二)总体结构安全层面 羊口万海光伏电站,严格按照国家发改委第14号令《电力监控系统安全防护规定》要求,实施了安全分区、网络专用、横向隔离、纵向认证的总体安全防护方针和策略。安全分区:羊口万海电力监控系统分为生产控制大区和管理信息大区,生产控制大区分为安全Ⅰ区和安全Ⅱ区,其中电站监控系统部署在安全Ⅰ区,光功率预测系统部署在安全Ⅱ区;网络专用:羊口万海电力监控系统网络架构清晰,各系统采用了独立的网络设备组网,主要系统节点采用了双机双网冗余热备用方式;横向隔离:生产控制大区和管理信息大区之间部署了专用方向隔离装置,禁止通用网络服务;纵向认证:羊口万海电力监控系统与纵向连接经过了国家制定部门认证的电力专用纵向加密认证装置,开启了加密策略,实现了数据纵向传输的保密性。
(三)系统本体安全层面
1、口令长度为6位数字,未定期更换;
2、故障滤波系统采用windows 系统;
3、系统多人共用了一个账户;
4、现场逆变器数据未加入到省调D5000备调系统中。
(四)安全管理层面
电站未设立专门的网络安全与通信安全专业技术人员。
(五)应急保障层面
羊口万海制定了羊口万海新能源场站电力监控系统安全防护总体方案,方案中包含了应急预案、人员组织机构、外来人员登记管理制度、羊口万海新能源场站系统用户及密码安全管理规范、数据库 管理制度、移动存储介质使用申请表等各项规章制度和规范。增强了对网络安全事件的预防和应对突发网络安全事件的能力。
截至4月10日,已完成问题整改7个,问题整改率87.5%。对于无法立即整改的问题,暂时采取以下措施进行处置:
故障滤波系统采用windows 系统,已经联系厂家进行整改,升级为Linux系统。
三、下一步工作计划
1、羊口万海光伏电站会进一步加强羊口万海新能源场站电力监控系统安全防护总体方案的落实和实施,加强对场站内现制度和管理上的安全保证;规范日常信息化管理和检查制度。包括:软件管理、硬件管理、和维护管理、网络管理等,便于安全的维护和加固,实现基础管理上的安全保证;
2、组织好本单位推广应用与主管领导和工作人员的培训等工作,确保信息化的实施成效,实现规划和应用上的安全保证;
3、加强人员对网络安全知识的拷问及考试制度,对考核结果实施奖惩制度,激发员工学习网络安全的能动性和积极性。
网络与信息安全检查情况报告 篇4
一、 成立检查工作领导小组。
组长由党委副书记、镇长罗红同志担任,副组长由副镇长李青春同志担任,成员由教科文卫办、综治办、整治办、三岔派出所相关负责人组成。
二、 认真开展检查工作。
我镇有三岔中心小学幼儿园,高山中心幼儿园,佳家幼儿园共3家幼儿园。2月8日,镇政府组织全镇3所幼儿园园长集中开会,会上传达了县教育局《通知》精神,并针对我镇幼教工作的实际情况进行工作安排,要求各幼儿园首先自查,并写出自查报告,对存在问题及时整改并报镇政府。2月10日,镇政府组织教科文卫办、综治办、整治办和三岔派出所等单位联合检查。从检查的情况看,所有幼儿园都能按照幼儿园管理工作相关规定开展幼教工作:1、园长是培训合格,持园长证上岗;2、教师都是幼教专科毕业,三岔小学、幼儿园、高山幼儿园还有部分小学教师任教。且所有教师都持有体检合格健康证上岗任教;3、活动场地都在400平方米至平方米之间;4、环境卫生有教师专门打扫和管理,午睡室环境通风效果较好,床单被褥能按时换洗,园内都配备消防灭火器材,餐具每次使用前定时消毒15分钟以上,餐具洗涤用水全是管网水,幼儿用水都是桶装矿泉水,落实了安全应急通道,门卫有专人值班,有监控设备,有应急预案。
三、 存在的问题和解决办法。
检查中,个别幼儿园存在消防设备数量配置不足,监控设施开启滞后等现象。为此,检查组及时指出,并责令立即整改。在下一步的工作中,我镇将以此为契机,继续加大检查和管理力度,并采取定时与不定时相结合的方式,配合相关部门严厉惩处相关违规责任人,为全镇幼教事业健康发展不断努力。
我局大力推动安全工作落实,按照中央、省、市、县和市局“全覆盖、零容忍、严查处、重实效”的工作要求,建立健全安全生产主体责任制,明确管理监督责任分工,不断加强安全管理。进一步完善安全工作应急预案和教育培训长效机制,完善安全管理制度,严格落实各类防范措施,认真开展安全隐患排查和重点危险源监控监测。通过不懈努力,进一步强化了全局干部职工及综合福利中心、各敬老院、救助管理站工作人员的安全责任意识,有效防范和坚决遏制了我县民政系统重特大事故发生。
现将以来我局安全生产工作自查情况汇报如下:
一、加强组织领导,严格落实安全工作责任制
我局党组高度重视安全生产工作,定期或不定期召开安全工作专题会议,注重听取各科室、所、办、站、院、中心等的安全生产工作情况汇报,研究解决安全生产工作中的重要问题。局主要领导亲自安排部署安全生产工作并带队进行检查,分管领导认真督促所分管单位切实做好安全生产工作,明确专人负责安全生产工作,实行 “一岗双责”工作责任制。年初制定安全生产工作要点,将安全生产各项工作任务和要求细化分解,层层签订安全生产责任书。开展经常性的督促检查,严格实行安全生产“一票否决”制度,安全生产工作做到了年初有部署,每月每季度有分析、检查,年度有考核。
二、强化安全防范措施,坚决防止安全事故
为了防止发生安全事故,我局采取了一系列切实有效的安全防范措施:
(一)严格落实安全生产责任制,健全完善规章制度。以来,进一步健全了《敬老院职位代理制度》、《敬老院工作人员考勤、请销假及值班制度》、《敬老院院务管理委员会职责》等规章制度,提升了敬老院管理和服务水平,有力促进了我县各敬老院的标准化、科学化、规范化建设。
(二)开展经常性的安全生产宣传教育,提高安全意识。我局针对全县民政系统具体情况,分期分批对局机关干部职工和各中心敬老院、救助管理站、综合福利中心等单位工作人员进行了安全生产教育和培训,进一步强化了干部职工安全意识,让工作人员掌握了专业的安全防救知识和技能,从人员素质方面确保了安全生产。
(三)配备安全管理人员,加强日常监督管理。我局配备了专职的安全管理人员,负责对全局安全生产工作进行日常的监督管理,并适时开展应急救援演练。开展安全隐患排查,一旦发现安全隐患,立即妥善处理,并及时向上级报告,确保将安全隐患消灭在萌芽状态。
三、突出重点,确保重点部位生产安全
针对各敬老院、救助站、综合福利中心等重点部位,我局采取了重点防范措施:
(一)采取积极措施,严格做好“五防”和专项安全工作。即做好防火、防盗、防触电、防中毒、防老人走失;切实做好人身安全、设施安全、用电用火安全、食品药品安全、交通安全、生活安全、住宿安全等项工作。
(二)落实安全防范措施,确保办公室、财会室、厨房、餐厅、保管室、储藏室、宿舍的财产安全,对电视机、电脑、冰箱、冰柜等公物要严格管理,明确责任,以免丢失和损坏。
(三)安全责任实行“一票否决制”,对负有安全事故责任的第一责任人和直接责任人一票否决,取消当年评优、评奖资格,并视情节和责任给予相应的处分。
会计信息质量检查工作总结 篇5
会计信息质量检查工作总结
市财政局监督检查办:
根据《中华人民共和国会计法》和《财政部门实施会计监督办法》的有关规定以及韶财监[2011]4号《关于下达2011年我市财政监督工作检查项目的通知》要求,我局派出检查组于2011年9月19日至2011年10月9日,对翁源县交通运输局(以下简称交通局)和翁源县物资总公司(韶关粤联民用爆破器材翁源分公司)等两个单位进行了2010会计信息质量(会计核算是否真实合法、信息披露是否充分完整等)的检查。现就有关检查情况总结汇报如下。
一、选择好检查内容,作好检查前的准备工作
根据市局监督检查办的要求,我们对行政事业单位、国有及国有控股企业两大系统内在财政资金额度大、涉及预算内外支出类别多、资金管理的法规制度较多的特点,重点选择了县交通局和县物资总公司(韶关粤联民用爆破器材翁源分公司)。针对这两个单位的特点,在实施检查前,我们结合会计信息质量检查的主要内容:是否依法设置帐薄;会计凭证、会计帐薄、会计报告和其他会计资料是否真实完整; 会计核算是否符合国家统一的会计制度;会计工作人员是否具备从业资格等,收集有关法律法规政策文件,整理被检查单位的会计报表、专项报告等基础资料;向涉及资金管理分配科室索要指标文件和具体资金管理制度。并将具体使用内容、金额、项目要求等情况录入专项检查目录中形成检查资料卷,便于检查人员在检查中核对,制定检查方案。为保证每项检查工作的有序进行,一般情况下都能根据检查资金的具体情况,制定检查方案或提纲,明确操作步骤和方式。对参检人员进行政策法规业务培训,学习掌握有关政策。使每位检查人员充分熟悉相关法规政策和被查单位的有关情况,明确检查的要点、难点和切入点。做到政策清、情况明、检查有深度、找准问题所在,使其检查不走过场,力争达到检查的目的。
二、被检单位情况
(一)翁源县交通局是县人民政府负责公路建设及养护、客货运输管理和水路交通行业管理的主管职能部门。内设机构有办公室、业务股等股室,下辖两个事业单位(交通管理总站、地方公路站),一个企业单位(装运公司)。至2010年12月末止,在职干部职工25人,离休人员2人,退休13人,单位实行独立核算,开设银行帐户2个(零余额户、公路建设专户),设置会计员和出纳员各一名,会计核算执行《事业会计制度》。全年总收入为:1,006,257.50元,支出:1,001,676.36元,结余4,582.52元。
(二)翁源县物资总公司是我县一家国有企业,主要经营民用爆破物资批发、零售,兼营民爆运输和配送等,该公司现有干部职工14人,其中技术人员9人。全年的主营收入为:5,025,589.74元,兼营收入为125,044.71元,均已申报纳税;支出:产品销售支出(含销售成本、费用及税金)3,302,857.70元,营业外支出114,918.63元,管理费用支出1,720,471.46元,所得税支出4,328.14,净利润8,058.52元。
三、检查中发现的主要问题
通过检查,发现被检查单位的会计工作还存在比较多的问题,会计基础工作还比较薄弱,主要表现在以下几个方面:一是取得原始凭证不合规定,内容不完整:有的支出凭证未经领导签批,有白条或三联收据抵账的现象,有现金支出但未设置现金账,总账改错未用红笔划销和加盖印鉴,而用涂改液改错。二是记账凭证的填写不规范,个别单位使用会计科目有差错,多种业务记入同一张凭证,原始凭证夹有回形针,把多个月份的凭证装订于一本凭证。三是账簿体系不健全、不完善,个别单位未按会计制度设置会计账簿,主要是报表未盖章,启用日期未填写,账簿启用表填写不完善,单位未盖章,负责人、记账人未签名或盖章,账簿目录表未填写。四是内部会计管理制度不完善,物资总公司出纳员无证上岗(现已责令其单位限期派人参加培训考试,取得会计从 业资格证,或另派其他有证人员接替)。
四、处理情况
对于本次检查发现的问题,我局要求必须在规定的期限内,认真整改,完善单位内部控制制度,加强对财务人员业务素质的培训,并要求被检查单位今后严格执行各种法律法规和财经制度。同时,财政部门将加强同有关部门的协助,形成监管合力,综合治理会计信息失真问题,为会计行业的健康发展营造良好的外部环境。我们将坚持并不断完善跟综访回制度,进行跟踪检查,如再发现违规现象,将根据《会计法》等有关财经法规,从严进行处理;对整改措施得力,效果明显的予以肯定,总结宣传其改进财务会计管理的经验,以有效提高会计信息质量。
翁源县财政局监督检查办
二○一一年十月一十二日篇二:会计信息质量检查工作总结 关于2012年会计信息质量检查情况的报告 **市财政局:
为切实履行财政部门会计监督职责,全面提升会计信息质量和会计工作规范化管理水平,综合治理会计信息失真问题,根据*财监[2012]28号文和*财监[2012]212号《关于开展2012年会计信息质量检查的通知》精神,结合我市实情统筹安排会计信息质量检查工作,截止目前此项工作已基本结束。现将检查的情况报告如下:
一、加强领导,周密部署
为扎实开展检查工作,我局确定由分管财政监督检查工作的纪检组长牵头负责,成立检查小组,研究制定检查工作方案,下发检查通知书,积极协调相关主管部门,整合监管力量,确保检查工作取得成效。
(一)精心组织成立检查组。为确保检查不走过场,经研究决定,由财政局纪检组、监察室牵头,针对检查对象专门抽调相关业务股室成员组成检查组,切实加强对检查全过程的组织、指导、协调,及时解决检查中存在的问题,确保检查工作顺利进行。
(二)认真研究确定检查单位和检查内容。根据*财监督 [2012]212号文件精神,我市将粮食、保障性住房建设项目、教育、水利、医药卫生等民生工作作为会计信息质量检查重点,并紧密结合“小金库”专项治理工作,以全面提升会计信息质量和会计工作
规范化管理水平为目标,认真研究选定*市粮油购销公司、*房地产开发有限公司、*市教育局、*市水务处、*卫生院等5个行政企事业单位开展检查,进一步明确检查的范围、重点、内容、时间及工作要求。
(三)加强学习培训,提高检查质量。我局及时将检查通知书和检查方案下发至相关单位和参检工作人员手中,要求每个参检人员加强相关业务知识学习,于7月上旬组织全体参检人员认真学习《中华人民共和国会计法》、《财政部门监督办法》、《财政检查工作办法》等法律法规,并邀请*财政局监察分局领导进行检前指导,进一步明确检查程序、检查重点、注意事项和时间要求,为检查工作扎实有序开展做了充足准备。
二、认真检查,查摆问题
(一)全面检查,紧抓重点。本次检查历时一个多月,整个检查过程兼顾全面和重点,针对不同单位的业务情况,检查前检查组人员分工收集准备材料并开会讨论,明确检查的重点,除全面检查单位财务会计机构、人员基本情况、财务收支、信息披露等基本情况外,有针对性地选择不同重点进行检查。如卫生院主要检查其收支两条线和新农合、药品零差价补助执行情况;水务处主要检查其水利设施建设专项资金使用和跟踪监督是否到位;保障性住房*小区主要检查其工程管理费用的开支情况;教育局侧重生均经费是否按时足额下拨到校;粮油公司则侧重于储备粮收储补贴经费的使用。
(二)严格检查,真实反映问题。检查过程中,检查人员认真、如实地将发现问题记录在工作底稿上,并让被检单位负责人签名确认。通过对五个单位检查,主要存在以下几方面问题:
一是现金日记账登记不规范。没有按规定的会计期间登记入账;没有做到日清月结,出现坐支现象;个别单位金额登记错误时没按规定用红笔划线更正,而是随意涂改。
二是会计科目使用不规范。会计科目方向记错,而且使用不正确,如个别单位购入固定资产直接在成本费用列支、接待费在办公费中列支等。
三是票据报销不规范。有些单位的报销票据没有经办人、证明人、审批人签字;个别付款凭证没有领款签收,有的发票没有付款人名称或公章,使用存根联或圆珠笔开票等。
四是大额现金支付现象仍然存在。主要集中在接待费、办公用品、茶叶及维修费支出等方面。
五是固定资产管理不到位。个别单位购入电脑等办公设备没有进行固定资产核算直接在成本费用中列支,而且固定资产和无形资产没按规定进行折旧和摊销。
六是往来款项没有及时处理。个别单位应缴财政专户款和往来款项没有及时上缴和处理,长期挂账。
三、分析归纳,整改建议
检查结束后,检查组及时对工作底稿进行汇总,认真撰写检查报告,提出检查建议,上报局领导审阅,并及时将存在问题和
检查建议反馈至相关单位,要求按时认真完成整改工作。
一是要求相关业务主管部门结合业务工作进一步加强财务方面的管理和监督,特别是对专项资金使用的跟踪检查和问责问效,确保资金安全使用。
二是建议业务主管部门针对检查中发现的共性问题,牵头组织开展系统内部的自查工作,并逐条制定整改措施,防范于未然。
三是责令相关单位进行账目调整,历史遗留的往来款项及时处理,应缴财政专户款项应及时上缴。
四是加强会计队伍建设,全面提高会计人员素质,加大会计人员的继续教育培训力度,特别是对新从业会计人员的基础工作不扎实等问题,加强《会计基础工作规范》培训工作,进一步提高会计信息工作质量。
五是建立健全会计监督体系,强化会计监督职能,加强监督检查执法力度,建立健全内部控制制度,从源头上防范腐败行为。
六是要加强执法队伍自身建设,加强财政执法人员培训,努力提高业务水平和执法能力,保证监督质量,真正建立起一支精干、高效、清正廉洁的财政监督干部队伍。**市财政局
2012年*月*日篇三:2011会计信息质量检查工作报告 立山区财政局2011年会计信息质量
检查工作报告 我局根据市财政局《关于组织区县财政局、市财政监督局开展2011年会计信息质量检查和会计师事务所执业质量检查的工作方案》的要求,在2011年4月至10月期间,组织开展了本区2011年会计信息质量检查,现将检查工作的情况报告如下:
一、组织开展检查工作的整体情况
年初,按照市、区有关财政会计监督方面的工作部署,我局结合工作实际,制定了《2011财政会计监督工作计划》,并按要求上报2011年会计信息质量检查公示名单。我局根据年初制定的工作目标和市局下达的会计信息质量检查任务,认真开展了会计信息质量检查。从6月1日起到9月30日止,我局共组成4个检查组,对全区多户企业进行了会计信息质量检查。重点对公示单位进行了入户检查。
二、组织开展检查工作的主要做法
今年我局会计信息质量工作围绕国家宏观调控重点和积极财政政策的实施,按照“扩内需、促增长、调结构、重民生”的要求,选取房地产及相关行业作为检查重点。在被检查的企业中,属房地产行业的2家;属钢铁深加工企业的2家;;其他分别归属于服务业和政府机关,对执行新会计准则的单位。一是关注涉及民生的政策问题;二是对新会计准
则执行情况开展检查。三是结合“小金库”治理工作,对相关的会计科目,实施了重点检查。
为保证检查工作程序规范与检查人员行为规范,我局在内部机构的设臵上,设臵了两个稽查科室,认真从事会计监督检查工作,2个科室分别为财政监督科、局办公室,其他科室积极配合开展此项检查工作。并根据《财政部门检查工作办法》和《财政部门实施会计监督办法》的相关规定,制订了《立山区区财政局财政会计监督检查工作计划》,从检查准备、检查实施、检查审理、结案归档等每一个环节都做了明确的规定。计划的合理制定,有效促进了会计监督工作的有序开展,有力约束了监督检查人员的个人行为,会计信息质量检查规范化、精细化水平不断提高。为确保检查工作程序规范和检查人员行为规范,不断完善本区会计信息质量检查工作,对每个检查项目,在实施检查前,检查组在对检查对象进行分析的基础上,针对行业特点和检查对象的具体情况制订检查方案,确保检查工作抓住重点;在检查过程中,检查组牢固树立依法行政和规范检查程序意识,高度重视检查证据的收集和工作底稿的填制,对每一个违法会计行为事实的认定都获取了相关证据,并经被检查人的确认;在检查结束后,对检查组提交的检查报告、工作底稿等材料进行认真审核,涉及行政处罚的送审理部门审理,确保检查工作的质量和检查成效。做到事实清楚、证据确凿、定性准确、依
据充分、程序合法、处理恰当。
三、检查中发现的主要问题
会计基础规范工作方面反映如下共性问题:任用不具备从业资格的会计工作人员;未按规定启用会计账簿,即未在封面上填明单位名称和账簿名称等各项内容,无单位公章和个人签章;会计档案未按规定装订成册;未按照规定的方法更正错误;凭证无签章。实行会计电算化的单位基本存在。针对未按规定正确配备会计人员,即所有会计记录、报告、档案管理等环节均由一人操作问题,要求企业依法再配备一名会计人员;个别企业因企业规模小,建议其代理记账。但代理记账后同样会出现账务处理不及时问题,因为很多企业每月一次与代理记账单位联系,移交所需办理的记账业务。
四、上述问题产生的原
(一)被检查单位领导人对会计工作认识不足
会计工作对经营管理工作的影响往往是间接的。正因为如此,有些单位领导人认为会计工作不抓无所谓,只把会计部门当成收、付款的一个窗口,认为会计工作就是简单收支,没有什么了不起的,一切工作都是领导说了算,因此也没有必要学习业务和更新知识,致使有的会计人员对会计核算工作缺乏了解,导致会计核算工作的各个环节与制度要求不符,进而影响单位会计信息质量。
(二)会计人员素质不高并忽视学习
有些会计人员文化水平,学历层次较低,又没有注意继续深造,理不清科目、帐薄、报表之间的对应关系;也有一些会计人员虽有一定的业务水平,但长期忽视学习新的业务知识和新的会计法规,总按自己的习惯进行账务处理,因此,对于一些新出台的会计制度及核算要求不了解。此外,还有一些会计人员尽管对一些基本的会计核算规定还算了解,但是因缺乏应有职业道德素质,不认真执行制度,不按规定去做,工作贪图简单,降低自己的工作标准,而造成会计核算工作的不规范。
五、加强会计监督工作的意见和建议
(一)要加大会计信息质量检查执法力度
关键在于抓好《会计法》和国家统一的会计制度的贯彻执行工作,要使《会计法》和国家统一的会计制度在各单位得到较好地贯彻落实,在做法上我们要检查与宣传并举;处罚与教育并举;规范与疏导并举。对违法会计行为和违法财务行为,不管是哪个单位,也不管是哪个人,都要坚持法律面前人人平等,对照《会计法》和其他有关法律、法规的规定,该给予行政处罚的,要依法给予行政处罚;该给予行政处分的,要依法给予行政处分;构成犯罪的,要依法移交司法机关处理,决不能姑息迁就。会计执法检查要坚决做到有法必依,执法必严,违法必究,发挥法律的威慑作用,维护
法律的严肃性和统一性。
(二)依法实行会计从业人员资格证书管理制度 确保每个从事会计工作的人员都真正具备从业能力,达到从业资格标准,都做到持证上岗;加强会计人员的职业道德建设和推进会计诚信建设,形成会计人员遵纪守法的自律机制,使之与会计法规等他律机制协调配合,共同规范会计行为,促进会计信息质量稳步提高。
(三)严格依法行政,提高执法水平
近年来,会计改革的速度非常快,会计知识更新的速度非常快,会计工作和会计管理工作的环境都发生了很大的变化,在这种情况下,我们会计执法人员必须在做好本职工作的同时,重视政治学习加强业务学习,从深度和广度两方面着力,不断提高自身的业务素养,做到懂法、守法、依法行政,不玩忽职守,不滥用职权,不徇私舞弊,不断提高会计执法水平。篇四:会计信息质量自查报告
会计信息质量自查报告
为进一步提高公司会计信息质量,规范日常财务管理工作。根据集团多元化投资管理部相关要求,我公司财审部组织进行了对会计信息质量自检自查活动,范围主要涉及公司2012、2013年1-9月的相关财务会计信息,内容主要包括公司财务人员岗位设置、相关财务会计制度、现金及其他资产管理、往来款项的核对、会计业务处理、会计档案装订保管等。现就自查情况报告如下:
一、财审部基本情况
目前公司财审部共计设置十名财务人员,设财务总监一名,财务室主任一名,会计六名(其中包括两名新来人员,目前正处于使用期),出纳一名、会计档案专管人员一名。出纳没有兼任稽核、会计档案保管、收入、支出、费用、债权债务账目的登记工作。财务印章按规定保管,现金收(付)讫章、银行转讫章由出纳管理,财务专用章、发票专用章等印章由指定人员管理。
会计人员定期或不定期参加新会计准则和新税收法律法规等专题培训活动。就今年来说,公司专门开展“营改增”一系列专题学习活动,并通过考试等方式进一步强化落实相关业务会计处理。公司财审部明确制定了货币资金管理制度、固定资产管理制度、财务开支审批管理制度、预算管理制度、内部控制制度、经济合同管理制度及机动车驾驶员风险金管理规定,并在日常工作中严格按各项制度执行。
二、现金及其他资产管理
我公司办理有关现金收支业务时,严格遵守国务院发布的《现金管理暂行条列》及其实施细则和公司货币资金管理制度。现金的使用严格按规定,现金由出纳保管,现金收入当天存入银行。出纳根据审核无误的支付申请,按规定办理货币资金支付手续,及时登记现金和
银行存款日记账。为了认真执行有关库存现金限额的规定,并保证公司费用开支、公出借款和医药费用报销等业务使用现金。凡一次借款或报销在2000元以上的,应提前一天告知出纳,以便筹款备付。出纳每日对现金进行盘点,公司建立了定期现金盘点制度,无坐支、设置“小金库”、“公款私用”等违法行为。
对于银行存款,出纳及时逐笔序时登记,每日终了结出余额。定期核对银行账户,每月至少核对一次。公司日常使用的票据种类为支票,设置了票据登记薄,对票据购买、领用、注销进行记录。
我公司固定资产主要包括房屋建筑物、运输车辆、机械设备、通用设备及器具工具等。为加强固定资产日常管理工作,提高固定资产使用效益,根据国家相关法律法规,结合公司固定资产管理制度,实施专业化分类管理,固定资产归口管理部门负责建立归口固定资产分类台账。每年11月由财审部牵头,组织归口管理部门和使用部门对固定资产进行实物盘点,财审部根据盘点表及时进行账务处理。
三、往来款项的核对
我公司按照国家、行业、集团及公司本身的规定组织公司物资收发会计核算工作。及时做好各项客运、货运及仓储装卸收入与成本核算工作,定期做好与集团等相关部门的往来账并做出正确的财务分析。期末与物资管理员核对账务,确保账实相符、账账相符,及时核对各供应商供货记录并确保与各供应商核对往来账,确保会计核算的规范、合法,保证会计信息准确、完整、及时。
四、会计业务处理
我公司在处理会计业务时,按实际发生的各项业务取得真实合法可靠的原始凭证。通过取得的原始凭证做账,记账凭证所附原始凭证单据齐全;如果是采购业务记账凭证,其后还附付款申请单、合同、采购订单、入库单、银行付款单等相关原始凭证。并按时装订会计凭
证和会计账薄,同时编制出会计报表。另外,公司积极计算并及时缴纳各种税金,不存在偷税漏税行为。
五、会计档案管理
我公司根据财政部《会计档案管理办法》的规定,科学管理财务会计档案,建立、健全会计档案管理制度,保证会计档案妥善有序存放。并设有专职会计档案管理人员负责会计档案的整理、编号、归档、调阅、借阅等相关工作,及时将超过两年的会计档案移交公司档案室统一管理。
通过开展以上各方面自查自纠活动,我公司会计处理方法和财务管理工作总体符合会计准则及相关会计法律法规的要求,所提供的会计信息及时、真实、可靠、合法。公司财务会计各项工作不存在违法违规现象。但是还存在一些不足,目前公司财务人员实行的是定岗制度,今后会往定期轮岗这个方向考虑。另外,由于恰逢“营改增”这一政策,虽然公司在不断组织新政策培训学习活动,财务人员也在不断努力接受并按新政次执行,但仍然需要一个过渡时期,才能做到更完善。
严格管理、认真执行是做好财务会计工作的重要保障,今后我公司会依托信息化进一步加强财务会计管理力度,严格执行各项规章制度;与时俱进,积极学习新会计法规,不断提高工作质量。认认真真的把财务会计工作落到实处,及时提供真实可靠合理合法的会计信息。篇五:关于会计信息质量检查的情况汇报(行政事业)关于会计信息质量检查的情况汇报
(行政事业单位部分)
根据工作安排,我们从8月17日起对黄骅市计划生育局、水务局、公安局2009年会计信息质量进行检查。具体情况汇报如下:
一、计划生育局存在的问题:
(一)局机关
1、拨入专款未设立明细帐;
2、财政补助收入未设立专项经费项目;
3、专款支出明细帐只核算到2009年6月底;
4、专款支出-宣传费支出超预算,预算拨入为20万元,单位列支264125.32元,造成专款之间相互挤占;
5、专款支出列车油费97326元;
6、2009年6月购电脑13台价款61100元、7月购电脑2台价款8900元、9月购电脑3台价款14100元、12月购电脑15台价款72000元,未见政府采购手续;
7、7月购电脑2台价款8900元、购空调2台价款3600元、12月购数码相机12520元未计入固定资产帐。
(二)育康医院1、2009年收取孕健暂收款(总帐称孕健收入)257030元没有收费依据,且未开正是票据;2、1、2009年收取乡镇孕健服务费38310元没有收费依据,且未开正是票据(2009年返还38900元,上年结转114640元,余114050元);
信息网络安全检查总结 篇6
一、现状及存在问题
《中国人民银行计算机系统信息安全管理规定》规定“各单位科技部门应严格落实信息安全检查相关规定, 按要求定期开展检查工作”, “各单位科技部门在支持与配合内审部门开展信息系统审计的同时, 应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计, 发现问题及时上报”。目前, 根据《中国人民银行信息安全检查管理办法 (试行) 》要求, 人民银行分支机构科技部门每年定期开展2次信息安全的全面自查, 省级城市中心支行以上分支行科技处每年开展1次覆盖辖内40%中支数量的上级检查。
人民银行信息安全检查工作地域范围覆盖辖内各级机构, 检查内容涉及安全、系统、机房、网络等诸多方面。从历次检查的过程及效果来看, 人民银行分支机构的信息安全检查工作仍存在以下不足之处。
一是任务重、时间紧、检查深度有限。现有信息安全检查主要以常规性检查审计为主, 但往往因为检查人员少、被查单位多、检查项目多、检查时间有限等原因, 导致现场检查仓促, 全面了解不够, 检查深入程度有限, 最终导致检查效果不够理想, 无法触及深度隐藏风险或隐患。二是以人工查验手段为主, 缺少有效技术工具辅助。目前有效检查审计工具仅为漏洞扫描工具和终端安全检查软件, 日常工作中也局限于通过非法外联监测、入侵检测、防病毒系统和IT资源监测管理平台对网络和系统的进行监测, 主动性检查和探测工具缺乏。三是工作效果依赖于检查人员水平, 项目量化指标较少。科技人员变化较大, 各地都在不断补充新的科技力量, 新管理员也参加了一定的培训, 但毕竟存在能力差别, 就如何理解规章制度、如何完备检查审计手段、如何规范化检查流程等存在不同认识, 急需一种标准化的检查审计内容和流程以便客观进行评价。
二、国内外信息安全管理相关理论和标准
IT业界公认的ISO/IEC 27001标准为建立、实施、运行、监视、评审、保持和改进信息安全管理体系 (Information Security Management System, ISMS) 提供模型。在建设信息安全管理体系的方法上, ISO 27001标准提供了指导性建议, 即基于PDCA (Plan, Do, Check和Act) 的持续改进的管理模式。在PDCA环中, 检查 (Check) 是其中不可或缺乏一个环节, 对照某单位的信息安全管理体系方针、目标和实践经验, 评估测量管理过程的业绩, 并将结果报告管理者以供评审。
为全面理解和解决企业IT基础架构中与安全有关的各种问题, IBM公司提出了企业信息安全框架 (ESF Enterprise Security Framework) 的白皮书。该白皮书提到, 信息安全审计是指企业为验证所有信息安全政策、标准、程序及其他相关规章制度的正确实施和检查信息系统符合安全实施标准的情况, 以及检验安全运行效果, 信息安全控制措施是否得当所进行的系统的、独立的检查和评价, 是企业信息安全保障体系的一种自我保证手段。
借鉴商业银行合规性检查的理念, 可以通过理清安全检查和技术审计目的, 以规章制度为依据, 采用多样化方式和各类工具, 确保人民银行各项内部安全管理要求得以有效落实。
三、工作建议
(一) 明确检查审计的目标和内容
根据《中国人民银行计算机系统信息安全管理规定》要求, 人民银行开展信息安全检查和技术审计工作的目的是:确保辖内各级单位信息安全管理体系符合总行制订的各项安全方针和标准要求, 以合规、合理、有效为目标, 在保证信息安全管理体系持续有效运作的同时, 不断改进和完善。
信息安全检查和技术审计主要内容应包括以
下3个方面:首先是安全管理制度的符合性, 检查辖内各级人民银行是否按照要求制定了相应规章制度、实施细则和操作手册。其次是安全管理制度的执行情况, 检查辖内各级人民银行员工在工作中遵照既定制度的执行情况, 同时检查被查单位在以往检查结束后发现问题的整改落实情况。再次是信息安全管理工作的效果, 对各项信息安全管理措施的实际效果进行分析, 确定措施是否能够有效保障实现信息安全管理目标。
(二) 定期开展非现场检查审计
人民银行各分支机构信息安全管理员可通过现有运维管理平台定期生成管理信息报表, 例如可按系统产生全省各单位某系统某季度系统软件升级情况、人员变更情况、巡检执行情况等报表, 与日志分析结果相互校验, 确保各类运维管理控制措施有效落实。对于技术方面检查, 应充分利用各类安全工具辅助检查, 例如各类系统安全, 可采用渗透测试的方法检验主机操作系统、数据库系统、应用系统、网络设备等安全性。渗透测试前应做好充分准备工作, 测试时间应选择非工作时间, 事先应告知被测试单位及相关部门, 同时应全程密切关注入侵检测等安全系统的监测情况。成功的渗透测试可以有效评估信息系统或网络防御的有效性, 或者暴露出管理和技术脆弱性, 以便阻挡将来的恶意攻击, 减少风险点。
(三) 增加突击性检查比重
由于常规性检查大部分有一些规律性, 时间一长, 何时检查、检查内容、如何检查等核心问题很容易被检查单位和人员掌握, 检查效果因为被检查人员有了反检查能力而大打折扣, 甚至失效。从这一意义上说, 除完善常规性检查外, 还应大力推广突击检查 (即飞行检查) , 通过对真实状况下的管理活动进行检查而发现问题。此外, 现场检查也可尝试要求被查单位在非工作时间段开展指定项目演练, 假定诸如网络设备故障、机房停电、系统服务器硬件故障的突发场景, 或者设置A角无法到场而由B角操作的障碍, 实战检验被查单位应急处置和协同能力。
(四) 建立结果通报机制
《中国人民银行信息安全检查管理办法 (试行) 》要求, 检查实施结束后, 检查组应向检查发起部门提交检查报告。为了让检查结果发挥积极效果, 检查发起部门应该对检查发现的问题、原因分析、整改措施等情况进行梳理, 形成工作简报上报上一级科技部门, 同时编制安全检查通报, 发送至辖内相关科技部门, 以便所有单位对照检查, 举一反三对已知的安全问题进行充分的评估, 确定隐患的轻重缓急, 采取相应的安全措施进行防范。例如, 地市中支科技科组织的对中支机关和支行信息安全检查, 检查完成后, 除将检查情况上报分行科技处外, 还应编制安全检查通报, 将情况告知相关科室和辖区支行, 各单位在解决自身存在问题的同时也可吸取其他单位的经验教训, 持续提高工作效能。
(五) 完善结果资料管理
【信息网络安全检查总结】推荐阅读:
网络信息安全大检查05-26
网络与信息安全自查工作总结报告06-29
网络信息部工作总结和计划08-02
信息安全日常检查表07-26
信息网络安全07-13
信息网络06-04
网络和信息安全08-05
电力网络信息安全08-09
网络信息安全105-14