资源描述
XXDD
相关开展计算机网络保密管理专题检验汇报
XX市保密局:
XXDD企业为切实做好涉密信息系统及非涉密信息系统保密管理,预防失泄密事件发生,依据XX市保密局《相关组织开展计算机网络保密管理专题检验通知》文件精神,XXDD企业于4月 日到 日组织开展了网络信息安全保密专题检验,现将检验结果汇报以下:
一、 企业领导高度重视,主动布署检验工作
企业接到通知后,企业领导高度重视,立即组织相关人员召开会议,成立以保密委员会主任为组长,保密委员会副主任为副组长,相关部门责任人为组员保密专题工作检验领导小组,由企业保密办负责保密管理和网络安全相关人员组成检验小组,实施具体工作。
此次检验以部门为单位,全企业范围进行安全自查,检验小组利用专业检验工具同时进行检验,发觉问题当场提出整改意见。并要求各部门将自查结果以纸质形式报检验小组立案,检验小组对照各部门自查结果补充并反馈整改意见。
二、 严格实施保密制度,细化检验内容
XXDD企业认真对照计算机保密管理和技术防范相关要求,开展全企业范围内安全检验。检验小组利用安全管理软件和审计软件逐台清查内网计算机是否有违规操作和泄密风险,另此次检验在严格要求涉密计算机防护、使用同时,也强调了对非涉密计算机使用管理要求。具体检验内容以下:
1、 从检验过程中发觉问题,反思《计算机和信息系统保密管理制度》是否存在管理漏洞;
2、 网络管理“三员”配置是否符合标准;
3、 涉密计算机(笔记本)是否违规联接国际互联网或其它公共信息网络;
4、 涉密计算机(笔记本)是否按要求正确安装、配置和使用安全防护软件(内网计算机必需安装安全防护软件有:江民杀毒软件、文档管理系统、主机监控和审计系统、主机接入认证系统、打印用户端、中孚在线检验工具;涉密单机必需安装安全防护软件有:防病毒软件、主机监控和审计系统);
5、 涉密计算机(笔记本)是否根据安全保密管理策略进行配置(口令复杂度、长度和变更周期是否符合保密制度要求;是否设置屏保及锁屏);
6、 应用系统用户及数据库是否存在空口令、弱口令;
7、 涉密计算机中是否存放、处理高于计算机密级信息;
8、 是否在涉密场所中安装、使用配有麦克风、摄像头等音视频输入装置智能设备和含有没有线收发功效智能设备;
9、 非涉密计算机是否违规接入涉密信息系统,互联网接入终端是否在显著位置粘贴严禁处理涉密信息标识;
10、 非涉密计算机及存放介质是否存放、处理、传输国家秘密、标有密级标识数据信息或内部敏感信息;
11、 是否在互联网网站、论坛、博客、社交媒体等公布国家秘密;
三、发觉问题立即整改,不留后患
经过为期 天全方面检验,令部分职员意识到自己日常使用计算机部分行为存在泄密风险,企业职员均主动配合检验工作,悉心听取整改意见。检验结果以下:
1、 XXDD企业《计算机和信息系统保密管理制度》涵盖对涉密计算机信息系统部署环境、涉密及非涉密台式计算机、涉密及非涉密便携式计算机、移动存放介质、互联网、网络系统设备、信息输出及维修报废管理要求。制度较完善,但企业内网和外围之间信息传输方法发生了改变,部分制度要求步骤还未修订。检验工作结束后,保密委员主任要求保密办立即重新梳理信息传输步骤,做到行有所依,同时应梳理其它涉密资料管理步骤是否有变动或疏漏,应一并整改。
2、 XXDD针对网络系统管理专门配置有“三员”——安全审计员、安全保密员、系统管理员,负责信息系统日常安全保密管理和帮助开展安全保密教育宣传。
3、 为确保涉密网络安全XXDD采取了身份判别方法,有效防范非授权用户登录服务器、终端、应用系统和安全保密设备;采取访问控制方法,有效防范用户对信息越权防问;采取安全审计方法,正确统计用户和管理人员操作行为,有效监控违规操作;采取边界安全防护方法,有效防范违规接入、违规外联和移动存放介质交叉使用等行为;采取信息流转控制方法,预防高密级信息流入低密级网络或安全域。
4、 为了在确保信息公开同时,要预防涉密信息流入非涉密网络信息系统中,企业要求非涉密计算机(连接互联网计算机)不得存放涉密信息及企业关键技术信息及经营信息,并设置一定强度登陆密码、屏保及屏锁。此次检验小组逐台检验了企业非涉密计算机,发觉:
1) 部分互联网计算机上存放有敏感信息,虽不包含国家秘密,但为避免无须要误会,已要求对应管理人员刻盘保留或删除敏感信息;
2) 存在部分互联网计算机未设置登陆密码、屏保及屏锁现象,检验人员发觉后要求其立即重新设置,直至符合保密要求;
3) 发觉部分职员在互联网网站上公布了未经审批企业招聘信息,虽不包含国家秘密,但已对公布人员进行了批评教育,并对其部门责任人提出了整改意见
5、 企业内网和外网间信息现仅能经过光盘一次性刻录传输,且使用固定中间机作为统一输入输出口,中间机有专员管理。
四、检验结论
成DD网络符合安全要求,企业职员在涉密计算机信息系统及非涉密计算机使用中无重大违规现象,职员保密意识良好,但对非涉密网络系统使用上防范意识较松懈,企业保密委员会要求:
1、 依据企业实际工作情况,修改完善《计算机和信息系统保密管理制度》及其它相关制度;
2、 组织企业职员学习新《计算机和信息系统保密管理制度》及《保密技术防范常识》,还应加强日常保密培训,让职员们不停加强认识,提升警惕性。
发觉问题立即整改,不停推进保密管理工作水平再上新台阶。
XXDD
5月 日
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
