上半年/2023年报

为加强互联网行业网络与信息安全工作，全面加强我馆网络与信息安全工作，我馆信息技术科会同运维单位对本馆网络、信息系统和网站的安全问题进行了自查，现报告如下:

一、网络与信息安全状况

本次检查采用本单位自查、远程检查与现场抽查相结合的方式，检查内容主要包含网络与信息系统安全的组织管理、日常维护、技术防护、应急管理、技术培训等5个方面。

从检查情况看，网络与信息安全总体情况良好。本馆一贯重视信息安全工作，始终把信息安全作为信息化工作的重点内容。网络信息安全工作机构健全、责任明确，日常管理维护工作规范；管理制度完善，技术防护措施得当，信息安全风险有效降低；重视信息系统（网站）系统管理员和网络安全技术人员培训，应急预案与应急处置技术队伍有落实，工作经费有保障，基本保证了我馆网络信息系统（网站）持续安全稳定运行。但在网络安全管理、技术防护设施、网站建设与维护、信息系统等级保护工作等方面，还需要进一步加强和完善。

二、网络信息安全工作情况

1.网络信息安全组织管理

按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，我馆网络信息安全工作实行“三级”管理。本馆设有信息化工作领导小组，领导小组全面负责网络信息安全工作，授权信息技术科对网络信息安全工作进行安全管理和监督责任，承担信息系统安全技术防护与技术保障工作。

2. 信息系统（网站）日常安全管理

我馆有“中心机房安全管理制度”、“数据安全管理办法”、“门户网站管理办法”、“数据资源管理办法”、“数据备份管理制度”等系列规章制度。各科室基本能按要求，落实责任人，较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常维护操作较规范，做到了杜绝弱口令并定期更改，严密防护个人电脑，定期备份数据，定期查看安全日志等，随时掌握系统（网站）状态，保证正常运行。

3. 信息系统（网站）技术防护

我馆网络数据中心建有一定规模的综合安全防护措施。

一是建有专业中心机房，配备视频监控、备用电力供应设备，有防水、防潮、防静电、温湿度控制、电磁防护等措施，进出机房实行门禁和登记制度；

二是网络出口部署有安全系统，部署有应用防火墙，并定期更新检测规则库, 重要信息系统建立专网以便与互联网物理隔离；

三是网络设备、安全设备等定期进行安全漏洞检查，及时更新操作系统和补丁，配置口令策略保证更新频度；

四是全面IP地址实名绑定，具备上网行为回溯追踪能力;

五是对重要系统和数据进行定期备份，并建有灾备中心。

4. 信息安全应急管理

我馆制定有《网络与信息安全突发事件应急预案》，信息技术科会同运维单位进行了年度应急演练，确保网络安全事件的快速有效处置。

5. 信息安全教育培训

定期进行全员信息安全保密培训，增强管理干部和技术人员的安全防范意识, 提高技术防护能力。

三、检查发现的主要问题

通过具体检查项目，我馆在信息安全工作上还存在一定的问题：

1. 安全管理方面：部分系统日常管理维护不够规范，数据备份重视不够，信息保密意识差等问题

2. 技术防护方面：安全技术防护设施仍不足，如缺少数据中心上网行为管控和日志审计系统，无法对网络内用户操作进行安全审计。

3.应用系统（网站）方面：个别应用系统（网站）存在应用系统安全漏洞，有可能发生安全事故。

4.信息系统等级保护工作尚未全面开展

四、整改措施

针对存在的问题，本馆信息化领导小组专门进行了研究部署。

1.进一步完善网络信息安全管理制度，规范信息系统和网站日常管理维护工作程序加强网管员技术培训，提高安全意识和技术能力。

2.继续完善网络信息安全技术防护设施。定期对服务器、操作系统进行漏洞扫描和隐患排查，建立针对性的主动防护体系。

3.全面开展信息系统等级保护工。积极创造条件开展后续定级测评、整改等工作。

4.加强应急管理，着力开展实战演练。认真安排组织年度信息安全应急演练，按计划实施。加强部门间协作，做好应急演练，将安全事件的影响降到最低。