《某单位数据安全自查报告.docx》由会员分享,可在线阅读,更多相关《某单位数据安全自查报告.docx(7页珍藏版)》请在第一文库网上搜索。
1、某单位数据安全自查及整改报告我单位收到关于开展XX数据安全自查和信息系统摸底的通知(以下简称通知)后,单位党组领导高度重视,迅速部署、推进自查工作贯彻落实,现将自查及整改情况总结如下:一、领导高度重视,迅速部署抓自查我单位收到通知后,主要负责同志高度重视,分别通过召开视频会议、转发分件等形式及时部署自查工作,对通知中要求的三大方面、六项具体工作进行了逐项分解落实。我单位及各部门主要领导为第一责任人,负责本单位的自查工作;牵头部门负责自身承担工作的牵头组织、自查整改、联络协调及自查情况的汇总上报;配合部门按照分工要求及各自的工作职能,完成本单位承担的工作任务,积极主动搞好配合,确保自查工作查实、
2、查深、查细,在自查过程中将工作推进落实到位,完成国家局安排的各项工作任务。二、全面自查,及时整改统筹协调各方资源,从网络安全、数据安全的安全技术防护到安全管理多角度深入查找存在的安全隐患,严格按照通知要求完成各项检查内容。对自查中发现的重大安全风险隐患立即整改与复查,确保安全责任明确,安全防护到位。(一)组织健全、制度日趋完善我单位全面落实中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法等法律法规和政策要求,建立健全网络安全责任体系,健全考核评价和监督问责机制,明确以中心党委书记为网络与数据安全工作第一负责人,各处室负责人是各自信息系统的网络安全工作直接责任人。
3、遵循“谁生成谁负责、谁使用谁负责、谁存储谁负责、谁运营谁负责”的原则,逐步完善数据安全保障机制,建立了覆盖数据采集、传输、存储、处理、交换、销毁生命周期的数据安全管理制度,出台并完善了数据安全管理办法、数据安全应急预案。参照省公共数据资源开放分级分类指南结合我单位网络与信息系统实际情况,制订了数据分类分级细则,并根据数据类别属性、重要及敏感程度等差异性,采取适当的、与数据安全风险相适应的管理措施和技术手段。(-)网络和信息系统数据安全情况(1)等级保护和关键信息基础设备保护工作开展情况我单位深入贯彻落实网络安全等级保护2.O制度,注重全方位主动防御、动态防御、整体防护和精准防护,建立了“一个中
4、心,三重防护”的安全保护体系,构建以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的网络安全整体纵深防御体系。聘请了网络与信息安全测评中心定期对我单位网络与信息系统开展网络安全等级保护测评工作;聘请了某信息科技有限公司、某股份有限公司等服务商,定期对我单位开展包括但不限于:风险评估、渗透测试、漏洞扫描、安全基线核查、安全监测、安全加固、攻防演练、数据备份恢复等安全服务工作。(2)数据安全防护技术措施我单位根据数据分类分级细则开展数据资产梳理工作,形成各部门业务/系统数据资产的分类分级清单对各类数据进行分类分级。我单位采用了访问控制、身份鉴别、加密、脱敏/去标识化、
5、安全审计等技术措施,有效保障了数据生命周期安全,具体包括:1)在数据采集(生产)阶段,按照“合法、正当、必要”的原则,公开收集、使用规则,明示收集、使用数据的目的、方式和范围,并对采集系统或设备进行认证鉴权,防止非法采集(生产)数据。2)在数据传输过程中,采用了划分网络安全域,实施数据流控制、关键操作日志留存;采用了数据完整性校验的技术手段,同时,对重要数据采取了加密传输。3)对存储数据的服务器、数据库及相关基础设施的访问权限按照“权限最小化、特权分离”的原则,操作系统管理员、数据库管理员、应用系统管理员做到职责分离、账号分离。在数据备份方面,采用了定期备份、全量备份和镜像备份等方式,并定期开
6、展备份有效性验证。4)使用数据时,采取加密、脱敏等技术手段以及必要的访问控制措施,对数据进行安全保护,防止数据泄露、损毁、丢失。对于涉及敏感数据存储系统的重大操作(如对数据的批量复制、传输、处理、开放共享和销毁等),采取了审批与操作分离的多人管控模式,并实施日志安全审计。5)在数据共享交换上,遵循“合法、正当、必要”原则,定期对数据共享内容、认证鉴权机制、传输协议等进行安全审计并留存审计记录。离开我单位网络与计算环境的数据进行脱敏处理,且采用不可逆脱敏算法。6)在数据销毁阶段,由专人负责经过消磁、粉碎等不可逆技术手段对承载的数据进行销毁,彻底删除后,才可离开其所在的安全区域。需要销毁的电子信息
7、存储介质类型包括:硬盘、软盘、光盘、U盘以及各种存储芯片等。数据删除和销毁的操作,按照我单位内部审批流程,经过审批后方可实施,并进行记录归档。(三)终端数据使用安全情况在终端安全上,我单位部署了终端安全管理系统、网络版杀毒软件、上网行为管理系统、补丁升级管理系统等技术措施结合个人计算机使用管理制度,实现对终端安全的有效管理。通过部署终端安全管理系统,实现:1)准入控制。系统能自动发现并阻止未授权终端接入我单位网络。2)移动存储介质管控。对移动存储介质接入控制、使用范围、权限等进行有效管控。3)文档加密管理。对重要、敏感电子文档使用时的读写权限、打印权限、编辑权限、浏览次数、复制、另存为等操作进
8、行控制,并限制电子文档只能在指定终端上使用。4)桌面行为审计。对终端的各类行为进行审计。(四)建立常态化的网络安全考核机制我单位制定出台网络安全责任制评价考核办法。根据省委网信办、公安厅的统筹部署,定期开展网络安全自查工作,定期开展网络安全专题研讨班。针对数据安全管理人员制订了培训计划,内容包括数据安全要求和实操规范,如法律法规、政策标准、应急响应、安全意识、防护和技能等方面。三、存在的安全隐患(一)新技术的应用,存在新的安全风险随着云计算、大数据等新兴技术在我单位的应用,新的技术体系,带来新的安全漏洞与风险。大数据应用中数据往往穿越原有系统数据保护边界,数据属主与权限随之发生迁移,导致原有数
9、据保护方案失效。其次,部分系统存在大量外界数据接口,加大了数据安全风险。再者,大数据引入HadOOP等新的技术体系,带来新的安全漏洞与风险。采用全新的新兴的处理架构(例:Hadoop),内在安全机制仍不完善,因此在推动大数据技术应用时面临着很多安全风险和挑战。(-)存在数据库攻击、恶意操作等风险我单位部分信息系统需要接入互联网,随着网络安全防护环境和黑客攻击手段的变化,近年来围绕数据库安全的信息泄露事件不断频发,依靠传统的网络防火墙、入侵防御系统(IPS)等传统防护措施,无法识别和细粒度管控特定用户对数据库具体操作防护(比如:删除数据库表、批量盗取数据、恶意篡改数据等)。四、下一步数据安全管理
10、工作计划(一)建立健全网络安全管理制度建立健全内部管理协调机制,与网信部门、公安部门建立跨部门协调和事件处理机制,充分发挥纵向衔接、横向协调的组织保障作用。一是全面落实网络安全等级保护制度,深化网络安全等级保护定级备案工作,全面梳理包括云计算、移动互联网、物联网、大数据等新技术应用在疾控行业内的运用情况,按照国家、疾控行业等有关规范准确定级、备案和测评。二是科学开展安全建设整改。在网络建设和运营过程中应同步规划、同步建设、同步使用网络安全保护措施,可通过网络迁移上云或网络安全服务外包方式充分利用网络安全服务商提升网络安全保护能力。(-)建立适度的数据安全防控机制适当采用(升级)国产密码算法、敏
11、感数据静态动态脱敏、接口动态防护、电子水印、数据防泄露等技术保护等手段,建立可以灵活地根据特定时间、敏感数据、特殊群体、重点终端进行管理的数据与个人信息安全态势感知和安全事件追踪溯源系统,形成“进不来、出不去、改不了、赖不掉、查得到”的网络安全体系;解决可以根据重点人员、特殊终端、敏感时期、应用系统等,提供按需分配的数据安全追踪溯源手段和技术。(三)加强数据安全队伍建设和人才培养选拔、培养具有数据安全管理经验和专业技能的人员从事数据安全管理工作,制定数据安全培训规划,开展面向全员的普及性培训,加强管理和技术人员的专业培训,逐步完善管理和技术人员持证上岗。附:信息系统调查汇总表某单位2023年03月01日
免费区 
