信息安全自查报告篇1
一、网络与信息安全自查工作组织开展情况
9月10日起,由市电政办牵头,对各市直各单位当前网络与信息安全进行了一次全面的调查,此次调查工作以各单位自查为主,市电政办抽查为辅的方式进行。自查的重点包括:电政办中心机房网络检修、党政门户网维护密码防护升级,市直各单位的信息系统的运行情况摸底调查、市直各单位客户机病毒检测,市直各单位网络数据流量监控和数据分析等。
二、信息安全工作情况
通过上半年电政办和各单位的努力,我市在网络与信息安全方面主要完成了以下工作:
1、所有接入市电子政务网的系统严格遵照规范实施,我办根据《常宁市党政门户网站信息审核制度》、《常宁市网络与信息安全应急预案》、《“中国?常宁”党政门户网站值班读网制度》、《"中国?常宁”党政门户网站应急管理预案》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
2、组织信息安全培训。面向市直政府部门及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
3、加强对党政门户网站巡检。定期对各部门子网站进行外部web安全检查,出具安全风险扫描报告,并协助、督促相关部门进行安全加固。
4、做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障承诺书,加强互联网出口访问的实时监控,确保十八大期间信息系统安全。
三、自查发现的主要问题和面临的威胁分析
通过这次自查,我们也发现了当前还存在的一些问题:
1、部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。
2、少数单位的工作人员安全意识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的情况。
3、存在计算机病毒感染的情况,特别是U盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
4、信息安全经费投入不足,风险评估、等级保护等有待加强。
5、信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量。
四、改进措施和整改结果
在认真分析、总结前期各单位自查工作的基础上,9月12日,我办抽调3名同志组成检查组,对部分市直机关的重要信息系统安全情况进行抽查。检查组共扫描了18个单位的门户网站,采用自动和人工相结合的方式对15台重要业务系统服务器、46台客户端、10台交换机和10台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求对抽查单位进行了细致周到的安全巡检,提供了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查情况核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改建议,督促有关单位对照报告认真落实整改。通过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障能力显著提高。
五、关于加强信息安全工作的意见和建议
针对上述发现的问题,我市积极进行整改,主要措施有:
1、对照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求,要求各单位进一步完善规章制度,将各项制度落实到位。
2、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
3、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件责任人,要严肃追究责任。
4、继续完善信息安全设施,密切监测、监控电子政务网络,从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位的安全防护体系。
5、加大应急管理工作推进力度,在全市信息安全员队伍的基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
信息安全自查报告(二)
根据上级文件《关于集中开展全县网络清理检查工作的通知》,我镇积极组织落实,对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理等情况进行了自查,对我镇的网络信息安全建设进行了深刻的剖析,现将自查情况报告如下:
一、成立领导小组
为进一步加强我镇网络清理工作,我镇成立了网络清理工作领导小组,由镇长任组长,分管副镇长任副组长,下设办公室,做到分工明确,责任具体到人,确保网络清理工作顺利实施。
二、我镇网络安全现状
我镇的政府信息化建设从开始到现在,经过不断发展,逐渐由原来的没有太高安全标准的网络升级为现在的具有一定安全性的办公系统。目前我镇电脑均采用杀毒软件对网络进行保护及病毒防治。
三、我镇网络安全管理
为了做好信息化建设,规范政府信息化管理,我镇专门制订了《涉密非涉密计算机保密管理制度》、《涉密非涉密移动存储介质保密管理制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。
我镇定期对网站上的所有信息进行整理,确保计算机使用做到“谁使用、谁负责”,尚未发现涉及到安全保密内容的信息;对我镇产生的数据信息进行严格、规范管理,并及时存档备份;此外,我镇在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,积极参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我镇网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。
针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:
1、进一步加强我镇网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化我镇计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。
2、加强我镇干部职工在计算机技术、网络技术方面的学习,不断提高干部计算机技术水平。
3、加强设备维护,及时更换和维护好故障设备,以免出现重大安全隐患,为我镇网络的稳定运行提供硬件保障。
五、对网络清理检查工作的意见和建议
随着信息化水平不断提高,人们对网络信息依赖也越来越大,保障网络与信息安全,维护国家安全和社会稳定,已经成为信息化发展中迫切需要解决的问题,由于我镇网络信息方面专业人才不足,对信息安全技术了解还不够,希望上级部门能加强相关知识的培训与演练,以提高我们的防范能力。
信息安全自查报告(三)
根据上级网络安全管理文件精神,桃江县教育局成立了网络信息安全工作领导小组,在组长曾自强副局长的领导下,制定计划,明确责任,具体落实,对我系统网络与信息安全进行了一次全面的调查。发现问题,分析问题,解决问题,确保了网络能更好地保持良好运行,为我县教育发展提供一个强有力的信息支持平台。
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强全系统网络信息系统安全管理工作,我局成立了网络与信息系统安全保密工作领导小组,做到分工明确,责任具体到人。安全工作领导小组,组长曾自强,副组长吴万夫,成员有刘林声、王志纯、苏宇。分工与各自的职责如下:曾自强副局长为我局计算机网络与信息系统安全保密工作第一责任人,全面负责计算机网络与信息安全管理工作。办公室主任吴万夫分管计算机网络与信息安全管理工作。刘林声负责计算机网络与信息安全管理工作的日常事务,上级教育主管部门的信息、文件的接收工作。王志纯负责计算机网络与信息安全管理工作的日常协调、督促工作。苏宇负责网络维护和日常技术管理工作。
二、完善制度,确保了网络安全工作有章可循
为保证我系统计算机网络的正常运行与健康发展,加强对校园网的管理,规范网络使用行为,根据《中国教育和科研计算机网络管理办法(试行)》、《关于进一步加强桃江县教育系统网络安全管理工作的通知》的有关规定,制定了《桃江县教育系统网络安全管理办法》、《上网信息审核登记表》、《上网信息监控巡视制度》、《桃江县教育系统网络安全管理责任状》等相关制度、措施,确保网络安全。
三、强化管理,加强了网络安全技术防范措施
信息安全自查报告篇2
我局对网络信息安全系统工作一直十分重视,成立了专门的领导小组,建立了网络安全保密责任制和有关规章制度,由局信息中心统一管理,各股室配合网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我局网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现网络安全事故。根据文件精神,我局开始了信息安全自查工作,结合工作实际,现汇报如下:
一、信息安全自查工作开展情况
1、健全组织机构。根据工作要求和部署,我局高度重视,立即成立信息安全工作机构,组织开展全局重点领域网络和信息安全大检查,局主要领导为第一责任人,局办公室统一协调,监督指导信息安全工作,各科室主要负责人负责落实本部门的信息安全工作,指定专人定期检查网络信息安全,认真填写排查记录,建立排查台帐,做到专人维护,专人管理,确保网络信息安全。
2、认真开展排查。组织专业人员加大计算机管理系统的排查,对管理系统软件和硬件进行了逐项安全排查,认真仔细检查了服务器、路由器、交换机,以及政务QQ群、微信公众号、移动U盘等,通过检查,我局所有管理系统和计算机全部安装了国产专业杀毒软件、防火墙等,没有安全风险存在,同时每台计算机管理系统都指定了熟悉业务的工作人员操作,提高安全防护能力,有效预防和减少重大信息安全事件的发生。
二、信息安全工作情况
1、在安全管理上,建立信息网络安全责任制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,加强督促开展信息安全检查与专项整治,及时上报开展情况与检查结果,建立完善信息安全各项规章制度,与信息安全员签订保密协议,把安全责任制落实到每一个岗位,责任到人。
2、在防护技术上,加大了网络防护措施,检查了互联网的连接情况,对外联的出口进行了安全控制,分别设置了安全密码进行传输,确保计算机的正常运行。
3、应急处置与灾备情况,制定了信息安全事件应急预案,对重要系统重要数据全部进行备份,确保重要数据的信息不丢失。
三、自查发现的主要问题
1、安全意识不够,需要继续加强对单位职工的信息安全意识教育,提高做好安全工作的主动性和自觉性。
2、规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
3、设备维护、更新还不够及时。
四、整改措施
根据自查过程中发现的不足,同时结合我单位实际,将着重对以下几个方面进行整改:
1、加强单位在岗职工信息安全教育培训工作,增强信息安全防范和保密意识。
信息安全自查报告篇3
我校建立并落实了岗位信息安全和保密责任制度,由教导处主管信息安全,信息老师负责学校的信息安全工作。开学以来,我校对村学期信息安全保障工作进行了专门部署。
二、安全防范措施落实情况
学校网站设置有专门管理员密码,专门有一台计算机接收文件,该计算机必须用密码登陆。同时我校购买了专门的杀毒软件,学校所有计算机必须安装杀毒软件,必须定期杀毒,每台计算机关闭远程控制,文件共享,来宾账户。重要电子文档必须设置密码。
三、应急响应机制建设情况
我校建设了应急预案制定和应急机制。重要数据备份刻盘。针对新学期的信息安全制定完善了应急工作方案和工作计划,安排了值班人员。
四、密码技术与产品使用情况
保密计算机必须使用密码,重要信息要求必须密码保护。
五、安全教育培训情况
学校相关工作人员定期参加信息安全教育培训、掌握信息安全常识和技能。兼职安全员持证上岗。
六、责任追究情况
建立了信息安全责任追究制度,对违反信息安全规定的行为和泄密事故、信息安全事故,责任人和有关负责人严格追究责任。
信息安全自查报告篇4
为确保本人信用信息不被他人非法查询,避免因身份被盗用引发的信息泄露风险,借鉴国际经验做法,网上查询设置了严格的身份验证程序,即需要通过私密性问题验证或数字证书验证的方式确认个人身份的真实性。只有通过身份验证的个人才能注册成为查询用户。严格的身份验证程序可能会给个人带来不便,但确是有效保护个人信息的必要手段。查询网站设置了不同级别的查询操作安全防控措施。每次查询信用报告时,均需要再次进行身份验证;每次查询“信用信息概要”,需要在线输入本人注册绑定手机获取的“动态确认码”。个人应重视保护自身信用信息安全,注意保管好自己的用户名和密码,不要将密码透露给他人,并定期更换密码;妥善保存信用报告,避免在网吧等公共场所及开放网络查询及保存个人信用报告,防止个人信息泄露。
二、如何防范互联网潜在信息安全风险,如黑客攻击、计算机病毒感染、网络通信故障等?
征信中心从建立健全信息安全制度、强化信息网络安全保护策略、采用先进的信息安全技术手段和基础设备、建立较强的应急响应机制等方面,建立全方位的信息安全管理体系,努力防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失,最大限度地保障信息安全。基于互联网运行的个人信用报告查询网站与基于人民银行内联网(专网)运行的个人征信系统实行物理隔离。互联网查询网站已经通过国家权威机构的信息安全风险评估,从访问、传输、存储等各环节均按照安全等级标准采取了相应的技术防范措施。互联网查询网站不存储个人注册的身份标识信息(姓名、证件类型和证件号码)。在网上查得的个人信用报告中,客户的证件号码只展示后4位数字,其余数字用星号进行屏蔽。从获得可以查询的反馈通知之日起,查询结果仅在互联网网站保存7天,到期后系统自动删除。
三、他人或其他机构也可以上网查询个人信用报告吗?
征信中心提供的互联网查询信用报告服务方式,仅是对个人信息主体本人提供的查询服务,目前他人或机构无法通过互联网查询本人信用信息。
四、为什么私密性问题验证问题难回答?
私密性问题是基于个人在银行办理信贷业务过程中形成的身份信息和信贷交易信息设计的。私密性问题需要本人在一定时间内在线正确回答一定数量的问题才能通过。如果个人从未在银行办理过贷款,也没有使用过信用卡,就没有足够的信息对个人进行身份真实验证,个人将无法使用“私密性问题验证”的方式确认身份。如果个人对自身信用交易状况不熟悉,未能正确回答所提问题,或本人的真实信息与征信系统收集的信息不一致,就无法通过私密性问题验证。个人身份验证没有通过属于正常情况,个人可以转用数字证书方式进行身份验证,也可以到人民银行分支机构现场查询。
五、为什么数字证书验证覆盖商业银行范围不全?
目前商业银行使用的数字证书(俗称U盾)有两类,一类是自行开发的数字证书,主要有中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、招商银行等;另一类是使用中国金融认证中心发放的数字证书,大多数商业银行使用该机构的数字证书。征信中心个人信用报告查询网站(网址为https://.cn)使用中国金融认证中心的数字证书进行认证。凡是使用中国金融认证中心发放的数字证书,均可以在网站上进行身份验证。对于自行开发数字证书的商业银行,征信中心正在研发通过商业银行网上银行为客户提供信用报告查询服务,争取尽快实现通过网银查询本人信用报告的服务。
六、为什么查询结果不能当时反馈?
互联网查询网站与基于人民银行内联网(专网)运行的个人征信系统实行物理隔离。查询网站用于验证个人身份的信息和信用报告信息存储在个人征信系统中,系统每日会对查询网站的注册和查询申请集中处理,并需要在两网间进行数据交换。因此,查询网站无法实现实时交付征信产品,一般会在个人提交查询申请的第二日反馈查询结果。对于那些急需查询信用信息的个人,可通过现场查询的方式获取个人信用报告。
七、信用报告中基本信息没有更新怎么办?
请您到业务发生银行进行变更。如果个人基本信息发生变化或有错时,当事人应及时、主动通知业务发生银行变更个人信息,银行才会及时将信息报送给征信系统,个人信息才会在信用报告中得到更新。
八、网上查的信息有错误怎么办?
信息安全自查报告篇5
通过开展信息系统安全检查,掌握全局信息安全总体态势,发现存在的主要问题和薄弱环节,推动局及下属事业单位进一步健全信息安全管理制度、完善信息安全保障技术措施、提高信息安全防护能力。
二、检查范围和内容
对局机关及下属事业单位信息安全工作进行全面检查。
检查内容包括:局机关和下属事业单位自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统以及部分终端设备等,检点为公共服务业务系统和门户网站。详细内容参见《2012年度市地震局机关信息系统安全自查情况报告表》。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
三、检查原则
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
局机关各处(室)信息系统安全检查,由办公室牵头组织实施。
下属事业单位信息安全检查工作由台、中心自行组织开展。
四、检查形式及时间安排
信息系统安全检查以自查为主。局机关及下属事业单位应于7月2日至7月6日完成本年度信息安全自查,应按照《2012年度市地震局机关信息系统安全自查情况报告表》逐项检查,并核对准确度。局办公室应于7月10日前完成《2012年度市地震局信息系统安全检查工作报告》的撰写和报送市信安办工作。自查结束后,要尽快消除自查中发现的安全隐患,时刻绷紧信息安全这根弦,全面迎接7月中旬市政府信息系统安全检查小组的抽查。
五、工作要求
(一)局及下属事业单位应将信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,确保检查工作顺利开展。
(二)请局办公室于7月10日前,将自查工作总结(纸质文档和电子光盘)报送市信安办(纸质材料需盖章)。
信息安全自查报告篇6
(中国民用航空飞行学院航空工程学院,四川广汉618307)
【摘要】民航业不断发展的同时会面临不安全事件绝对数量的增加,提升民航业各相关单位不安全事件调查能力是必然趋势。论文在分析现阶段民航不安全事件调查现状的基础上,总结出民航不安全事件调查中存在的缺陷,从调查环境、调查机制、调查方式三方面给出不安全事件调查的改进措施和建议,旨在一定程度上提高民航不安全事件的调查水平。
关键词不安全事件;调查机制;航空安全
improvementsandSuggestionswithinvestigationaboutUnsafeeventsofCivilaviation
LVpeiLiUYi-ding
(aviationengineeringinstitute,CivilaviationFlightUniversityofChina,GuanghanSichuan618307,China)
【abstract】withthedevelopmentofcivilaviation,theabsolutenumberofunsafeeventsisadding.Becauseofthis,itisinevitabletrendthatallrelevantunitsaffiliatedtocivilaviationneedtoliftcapacityofinvestigatingtheunsafeevents.atthebaseofanalyzingthestatusofinvestigationofunsafeeventsofcivilaviation,thethesissumsupofthelackofinvestigationofunsafeeventsofcivilaviationandraisesimprovementsandsuggestionswithinvestigationaboutunsafeeventsfromtheenvironmentofinvestigation,mechanismofinvestigationandmethodsofinvestigation.Bytheseaspects,thethesisaimstoimprovetheinvestigationlevelofunsafeeventsofcivilaviationtosomeextent.
【Keywords】Unsafeevents;mechanismofinvestigation;aviationsafety
0引言
随着民航强国战略的不断推进,近些年来我国民航业的发展取得了前所未有的进步。得益于良好的民航事故监控与预防措施,飞行流量的快速增长、航线网络和机队规模的不断扩大并没有带来频繁的航空事故,民航不安全事件的发生概率也在逐年下降,但不安全事件的绝对数量却呈现上升趋势[1]。
由冰山差错法则可知,每一起重大事故背后都隐藏着大量的不安全事件,通过预防和消除不安全事件的发生,就可以从源头上有效地阻止事故的发生。然而,对于低等级的不安全事件来说,没有规定必须上报,只是自愿上报,导致发现其的难度加大。加之,在中国民航业现阶段中,绝大部分当事人不愿意上报与自己相关的不安全事件,进一步加大了不安全事件的收集困难。缺乏足够的不安全事件导致民航相关分析人员无法从中获得大量宝贵的事前预防的经验,在一定程度上阻碍了不安全事件调查水平的提高。
本文在分析现阶段民航不安全事件调查现状的基础上,总结出民航不安全事件调查中存在的缺陷,并给出改进措施和建议,旨在一定程度上提高民航不安全事件的调查水平。
1民航不安全事件调查概况
1.1不安全事件的定义
《中国民用航空信息管理规定》(CCaR396-R2)中,民用航空安全信息是指民用航空器事故、民用航空器事故征候以及其他与民用航空器运行有关的不安全事件信息。本规定所称其他不安全事件是指在航空器运行阶段或者在机场活动区内发生航空器损坏和人员受伤或者其他影响飞行安全的情况,但其严重程度未构成事故征候的事件。
参照上述规定,给出本文中民航不安全事件的定义:航空器运行中发生偏离操作规章、航空器损坏、设施设备损坏、人员受伤或者是预定飞行计划改变等情况,但其程度未构成飞行事故征候或航空地面事故的事件。与事故或事故征候不同,不安全事件的实际后果没有前者那样严重,导致局方和企事业单位的管理层、决策层对它们抱有轻视的偏见,对事件原因、安全建议的发掘深度不够[2]。需要指出的是:该类不安全事件严重等级很低,不需要上报至民航局、民航地区管理局和地方监管安全办公室,只需要航空公司进行内部调查分析即可。
1.2民航不安全事件调查背景
随着我国民航不断高速地发展,飞行流量不断增加,航线网络和机队规模不断扩大,民航各个单位的工作量也随之增加,民航不安全事件的数量也逐渐增大。目前,我国民航业相关管理单位对事故及事故征候的调查能力相对较为成熟,相对于民航事故及事故征候调查,民航不安全事件调查现有的组织实施方法、信息管理模式、调查工作流程等方面尚不完善,缺乏相应的规范。再者,针对航空公司,公司中不同人员的生理和心理状态,各种设备的技术管理水平以及运行环境等因素都会影响公司的安全状况。然而这些因素又均处在不断的动态变化当中,在系统的协同作用下,它们的偶然偏差可能导致公司的不安全事件的发生[3]。所以,目前我国民航业没有形成一套具有针对性的不安全事件调查方法。
1.3民航不安全事件调查的意义
民航不安全事件调查作为不安全事件发生后的认真检查、确定其因、明确责任及采取措施避免类似事件发生的主要手段,对民航安全运行有着不可替代的作用。不安全事件是系统中存在问题的明显证据,不安全事件的统计和分析一方面可为运行人员提供有价值的安全教训,另一方面可以识别系统中存在的危险,确定危险构成实际风险的条件、潜在后果和发生的可能性。不安全事件调查旨在发现系统中已存在问题,降低和避免未来事故、事故征候、差错发生的潜在可能性,为提高民航业运行系统的安全性和可靠性做出贡献。
2民航不安全事件调查现状及不足分析
2.1民航不安全事件调查环境
中国民航发展的现阶段中,没有形成良好的主动报告不安全事件的行业氛围。对比国外的自愿报告系统与我国的自愿报告系统运行的情况,我国在主动报告不安全事件上存在着严重的瞒报部分或全部客观事实的情况。这说明我国民航业没有形成积极的主动报告氛围,导致当事人没有主动报告的意识,其根本原因是民航从业人员至上而下的思想没有形成良好的统一。
目前,航空公司对不安全事件进行调查的职能部门—安全监察部门中的成员一般都是公司内部的成员。公司某部门一旦发生了不安全事件,公司内部的安全监察部门的调查人员往往会站在公司自身的角度看待已发事件,从公司成员的角度评价已发事件,会不知不觉地考虑到公司自身的背景安全文化,容易受到固有观念的影响和束缚,这就会大大影响安全监察部门对不安全事件的调查。总之,我国现阶段航空公司对不安全事件缺乏独立的调查环境。
2.2民航不安全事件调查机制
目前,大部分航空公司对不安全事件处理流程大致为:不安全事件报告、调查与分析、提出整改措施和整改措施跟踪[4]。在公司内部进行调查中,需要的是当事人的主动上报,而后由公司相关的安全监察部门进行调查。中国民航传统的不安全事件调查工作包含责任调查内容,涉及到过错界定及处罚,这会阻碍当事人进行主动上报,即使当事人愿意上报,上报内容也会在一定程度上缺乏真实性和全面性,使调查工作在可靠性和准确性上存在明显的不足。
再者,我国民航业现阶段主动报告机制尚不完善。主动报告内容的范围很狭窄,而强制报告内容的范围很广泛,造成了主动报告减免责任规定的发挥空间少之又少。主动报告适用条件的规定不太详细,基本上都只是规定局方收到当事人属于自愿报告范畴的报告就构成自愿报告,对于自愿报告的认定也缺乏明确的标准[5]。这在一定程度上阻滞着主动报告机制的执行。
2.3民航不安全事件调查方式
目前,我国绝大部分航空公司中负责不安全事件调查的职能部门是安全监察部门。该部门常用的调查方式有:听取事发单位领导汇报、请当事人或单位写出书面事发经过、听录音(包括无线电和电话)、看录像、照相、绘图等,查看进程单和交接班日志、审察当事人的技术资格、与当事人谈话、向事发现场的当事人同事了解情况[6]。在完成资料收集工作之后,安全监察部门需要把取得的各方面资料进行分类、整理和查证,分析已发生不安全事件的原因,根据事件的严重程度给予定性,明确责任,提出结论意见,责令相关单位拿出对当事人、责任领导、责任单位的处理方案。安全监察部门同时会针对不安全事件的直接原因和暴露的问题,提出改进措施和事前预防的建议。
不安全事件调查的结果对提升航空公司安全管理水平来说是宝贵的资源。国际民航组织在Doc9859《安全管理手册》中指出“有效的安全管理是数据驱动,而高质量的数据是安全管理的血液。”[7]数据的管理必然要与管理系统结合起来,国内民航业不安全事件管理系统的开发尚未得到良好的发展,不安全事件管理效率比较低,不安全事件相关数据的利用程度也很低。所以,目前我国航空公司急需开发适合公司发展的不安全事件管理系统。
不安全事件调查离不开对于不安全事件的收集。在航空公司的日常运营过程中,为了提升公司自身的不安全事件调查能力,现在很多民航相关从业人员都提出了采用匿名信的方式来收集不安全事件信息,以便扩大不安全事件的收集来源,但是这种方式在现在公司中实行的效果却并不是很好。不安全事件调查与安全管理是密切相关的,而目前航空公司安全管理工作主要依靠外部审计、内部审计、内部评估、安全报告等方式来收集不安全事件。然而,由于这些不安全事件的数量很大,并且缺少获取和分析这些信息的有效工具,以至于管理者很难处理这些数据,从而降低了这些宝贵数据的有用性。
3民航不安全事件调查方法改进措施
3.1营造独立主动的民航不安全事件调查环境
目前,我国民航业不安全事件调查环境缺乏独立性和主动性。第一方面,独立性要求调查职能部门从航空公司内部的职能部门脱离开来,调查职能部门中的人员不应从公司各部门中调配,而应当成立一个专门负责调查的部门或者委托第三方机构来帮助公司进行不安全事件调查。这样做在一定程度上可以避免调查人员(同时是公司部门成员)考虑到公司自身的背景安全文化,切实做到在调查上的客观性。
第二方面,主动性要求公司至上而下地形成主动报告的氛围。公司管理层可以在各部门中大力宣传好报告主动性的意义,保证公司每位成员都从思想上加强主动报告的意识。公司可以在培训新进员工的时候,加强他们从组织系统的角度而不是从自身的角度对主动报告进行全面的认识。从宣传和培训两个角度来实现公司主动报告氛围的形成。
3.2完善民航不安全事件调查机制
完善不安全事件调查机制从两个方面进行,一方面落实减轻或免除处罚机制,另一方面鼓励实行主动报告制度。
落实减轻或免除处罚机制,首先要明确不安全事件调查的目的是:发现系统中存在的隐患和缺陷,预防事故、事故征候、严重差错的发生,而不是裁定责任、处罚当事人。其次,公司内部必须以制度或规定的形式来明确什么样的事件能够执行减轻或免除处罚制度,做到管理者与当事人在进行不安全事件调查的过程中处于平等的地位。
鼓励实行主动报告制度,公司内部可以建立主动报告奖励制度。公司颁布奖励评定规定,规定中有报告不同不安全事件的的评分标准,根据主动报告的不安全事件的价值度来进行奖励,价值度最重要的是能够从报告的不安全事件中发现系统中的漏洞,并可总结出完善系统的措施。必须强调的是:该制度中主动报告必须强调时效性的规定,即发生了不安全事件必须在一定时间期限内主动上报,否则不视为主动报告。
3.3改进民航不安全事件调查方法
首先,改进不安全事件调查方法要制定一套合适的不安全事件调查流程,该流程如下:
(1)主动上报不安全事件。
(2)对上报的不安全事件进行预处理,核实真实性,剔除与改善系统无关的信息。
(3)再处理,消除不安全事件当事人的个人信息和部门信息,并且严格保密。
(4)分析不安全事件,并提出改进和完善系统的建议。
(5)建立不安全事件数据库,进行存档。
(6)信息与共享。
(7)进一步进行跟踪调查,预防同类不安全事件的重复发生。
该不安全事件调查流程由公司中独立的调查职能部门或委托的第三方机构进行。调查职能部门在调查的过程当中应当严格履行独立性,系统地、全面地对不安全事件发生相关的各个组织的每个组成部分进行调查。
针对不安全事件调查流程的第一步—主动报告不安全事件,公司应当建立不安全事件主动报告系统,该系统应方便一线员工操作,达到简单明了而又信息完备的目的。本论文提出:严格按照“4w1H”来提交,即when(何时),where(何地),what(发生了什么),how(如何发生),why(为何发生)。第一步也是极为关键的一步,这一步执行得好,对下面调查职能部门开展调查工作有良好的促进作用。
4总结
面向未来,我国民航业将会不断发展,同时也会面临不安全事件绝对数量的增加,提升航空公司不安全事件调查能力十分重要。论文在分析现阶段民航不安全事件调查现状的基础上,总结出民航不安全事件调查中存在的缺陷有:调查环境缺乏独立性和主动性、减免或免除处罚制度和主动报告机制存在滞后性、调查方式上缺乏一套系统的调查流程,从营造独立主动的民航不安全事件调查环境、完善民航不安全事件调查机制、改进民航不安全事件调查方法三方面给出不安全事件调查的改进措施和建议,旨在一定程度上提高我国民航业不安全事件的调查水平。
参考文献
[1]陈旭明.空管不安全事件人因控制对策[J].科技资讯,2013,14:248-249.
[2]霍志勤.跑道安全事件危害评价研究[J].工业安全与环保,2011,37(12):17-18.
[3]王永刚,王灿敏,郑红运,陈芳.基于系统动力学的航空公司不安全事件致因复杂性研究[n].中国安全科学学报,2013,23(8):71-72.
[4]王永刚,赖晋将,王燕.航空公司不安全事件管理系统设计[n].中国民航飞行学院学报,2010,21(1):12-13.
[5]胡临春.我国民航迫切需要完善航空安全主动报告制度[J].中国民用航空,2011,127:54-55.
[6]霍志勤.空管不安全事件调查工作的改进建议[J].空中交通管制,2003,3:12-13.
信息安全自查报告篇7
一、加强领导,进一步完善aDR监测体系
2013年区药品不良反应监测工作不断提高,特别是新的、严重的药品不良反应比例走在全市前列,这与各单位领导的高度重视是分不开的。为不断提高aDR的报告数量和质量,各单位要继续加强领导,落实人员。通过“省药品不良反应报告预警系统”监测网络平台,以区药品不良反应监测站为中心,区级医疗机构为重点,乡镇卫生院、村卫生室、个体诊所为基础,进一步完善aDR监测网点建设。
二、加强培训,全面提高安全用药意识和aDR报告质量
在提倡自主学习,不断提高业务素质和工作能力的同时,aDR中心将对各医疗机构的aDR监测工作人员有计划地进行业务培训和业务指导,通过定期培训、模拟演练和现场实训等方法,提高监测人员的业务能力。对aDR报告质量长期处于低水平徘徊的单位要进行重点指导;对不按规定配备aDR监测人员、aDR工作不落实,aDR报告不力,甚至匿而不报的单位,要进行督查,通报批评。
三、强化信息交流,完善aDR监测工作机制
区aDR监测中心将进一步强化药品不良反应监测信息通报制度,增加信息交流,每季度对药品不良反应监测工作情况进行信息通报,介绍工作动态,表扬好的经验,指出存在的问题,通报药品安全信息。对可以向社会公开的药品安全信息将通过媒体向社会通报。并及时向有关涉药单位通报国家aDR中心、省aDR中心和市aDR中心的药品安全信息、工作动态和工作要求。
为进一步完善药品不良反应监测工作考评机制,年底将按照目标值完成情况、新(严重)的aDR报告数、每百万人口报告比率进行评分,对药品不良反应报告和监测工作进行考核,并通报考核结果。
四、加强日常监测评估,提高aDR监测预警能力
市药品不良反应报告评估专家库已经成立,市中心将组织专家组定期对我市aDR报告进行分析、评价,提出关联性评价意见,并将评价意见以内部通信形式通报本市相关部门和医疗机构。各单位要提高监测业务能力,能及时发现药品安全性信号,充分利用监测平台,对严重药品不良反应或不良事件做到早发现、早报告、早调查;并将药品安全信息以“预警”形式通报各医疗机构,提醒医务人员注意该类药品的不良反应,防止类似药品不良反应的重复发生;对高风险类药品要加强重点监测,建立不合理用药、配伍禁忌、药物相互作用等风险预警机制和无批准文号的假药识别机制;对药品不良反应报告多的药品,要加强监督抽样;对严重群体不良反应、死亡病例要组织调查、确认、处理并及时上报;要积极探索及时有效地利用aDR监测信息,从单纯收集aDR报告逐步转向信号发现、调查报告、分析评价,进而进行风险评估,发出aDR风险预警,使aDR监测信息发挥应有的作用,确保公众用药安全。
信息安全自查报告篇8
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据iSo27001的管理思想,信息安全风险评估在信息安全管理的pDCa环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。a.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户iD、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:nessus、nmap等,主机系统支持:windows、Linux、Unix等,数据库支持:mSSQL、oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如eXCeL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、neSSUS、nmap等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念——pDCa循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调整风险控制工作计划,从而实现信息安全风险管理的工作目标。
信息安全自查报告篇9
一、工作目标
通过专项检查,认真查找网络与信息安全存在的隐患和漏洞,增强各单位的安全意识;全面落实安全组织、安全制度和技术防范措施,建立和完善安全防范机制,确保信息网络安全。
二、组织领导
成立市网络与信息安全专项检查工作组,由市信息中心牵头,会同市公安局、市保密局、市经信委等相关部门组成,负责对全市政府网络与信息安全检查工作的督导,对重要信息系统进行现场检查,并做好检查的汇总分析和上报工作。各地各部门要制定具体的安全检查方案,并组织实施。
三、检查范围
专项检查的重点是党政机关门户网站和办公系统,以及基础信息网络(公众电信基础网络、广播电视传输网)和关系国计民生、国家安全、经济命脉、社会稳定的重要信息系统(金融、电力、交通、税务、财政、社会保障、供电供水等)。
四、专项检查内容
(一)信息网络安全组织落实情况。信息安全工作职责的主管领导、信息安全管理工作机构、专职信息安全员等设置情况。
(二)信息网络安全管理规章制度的建立和落实情况。各单位制订相关的信息网络安全管理制度,重点是信息网络系统中软环境、物理环境、运行环境、软件和数据环境等方面管理制度。机房安全、系统运行、人员管理、密码口令、网络通信安全、数据管理、信息审核登记、病毒检测、网络安全漏洞检测、账号使用登记和操作权限管理、安全事件倒查、领导责任追究等制度建立和执行情况。
(三)技术防范措施落实情况。各单位在实体、信息、运行、系统和网络安全等方面,是否制定安全建设规划和实施方案及应急计划。在防攻击、防病毒、防篡改、防瘫痪、防窃密方面,是否有科学、合理、有效的安全技术防范措施。党政重要系统中使用的信息产品和外包服务,是否经过国家认监委、工信部、公安、安全、密码管理等相关部门认证。
(四)执行计算机信息系统安全案件、事件报告制度情况。发生信息安全事件,是否按照报告制度向有关部门报告。
(五)有害信息的制止和防范情况。重点对利用互联网散布政治谣言、扰乱社会秩序、宣扬和封建迷信,以及传播、色情、暴力、等有害信息进行检查。
(六)党政机关保密工作。重点检查保密规章制度建设、领导干部的保密工作,重大活动和重要会议的各项内容事先是否经过保密审查审批,国家秘密文件、资料和其它物品的管理,的电子设备、通信和办公自动化系统是否符合保密要求。
(七)重要信息系统等级保护工作开展情况。重点检查等级保护工作部署和组织实施情况,信息系统安全等级保护定级备案情况,信息安全设施建设情况和信息安全整改情况。
五、专项检查方法与步骤
本次专项检查分三个阶段进行:
(一)自查阶段:(6月1日—6月15日)
各地、各部门根据专项检查内容对本单位的信息网络安全工作进行一次全面的自查,对存在的突出安全隐患进行整改,切实加强本单位信息网络与信息安全的防护工作。自查情况包括网站自查表请于15日前报市信息中心。(市商务中心1017室)
(二)抽查阶段:(6月15日-7月15日)
市网络与信息安全专项检查工作组组织有关单位对部分单位进行抽查和信息安全风险测评,并提出整改意见。
信息安全自查报告篇10
按照县政府信息公开工作领导小组安排,近期,由县政府办牵头,县政府信息公开领导小组办公室(县信息办)会同相关部门组成联合检查组,对全县政府信息公开工作进行检查。现将有关事项通知如下:
一、检查时间
月上旬,具体时间另行通知。
二、检点
重点检查县政府办公室《关于印发县政府信息公开工作考核办法的通知》(岐政办发[]46号)和《关于印发年政府信息公开工作要点的通知》(岐政办发[]35号)文件精神的贯彻落实情况。具体检查内容:
1.组织机构。政府信息公开工作机构建设、设施设备配备情况;政府信息公开年度工作计划、目标、任务及执行情况;履行对下属单位政府信息公开工作指导、监督、检查职责情况。
2.制度建设。政府信息公开、公开指南、保密审查、依申请公开、提交、社会评议、工作考核、监督检查、年度报告等制度建立和执行情况。
3.主动公开。公开的范围和内容是否全面及时;政府信息公开指南和目录是否完善,是否方便操作和更新及时等情况在县政府信息网和各镇、各部门子站上主动公开政府信息情况。
4.依申请公开。依申请公开的受理机构、申请渠道(包括电子申请表的下载、咨询电话、公开申请信箱)、受理程序(审查、登记、答复)和收费标准等情况。
5.信息。重点检查年各镇、各部门在本单位信息公开板块、本单位网站和县政府门户网站相应栏目报送信息数量、质量和时效性。
6.公开形式。设立网上信息公开栏目、公共查阅室、资料索取点、信息公告栏、电子信息屏等情况。
7.政民互动。围绕中心工作和经济社会发展热点问题,开办专题栏目、民意征集、领导信箱、互动交流、网上在线办公等为民服务功能开展情况。
8.信息安全。重点检查政府信息公开安全管理机构、安全管理制度、保密审查程序和运行维护、应急处置建设情况。
9.年度报告。政府信息公开上年度工作报告、本年度工作计划编制上报及网上公布情况。
10.做法、问题及设想。政府信息公开工作中好的做法、经验及存在问题和下一步工作设想。
三、检查方式
各镇、各部门要根据平时记载,如实填报政府信息公开自查表,不得空报、虚填,并形成书面自查总结,将自查表和自查总结于月31日前送县信息化办公室。检查时将采取听汇报、查资料、网上检查和召开座谈会等形式,对政府信息公开情况进行全面检查。
四、几点要求
1.高度重视,精心准备。这次检查是对各镇政府和各部门政府信息公开工作的一次全面摸底,也是贯彻落实国家、省市政府信息公开《条例》和规定的一项重要举措,检查结果将作为年终目标责任考核重要依据。各镇、各部门要高度重视,落实专人负责,精心准备,确保检查工作顺利进行。