烟草专卖局信息网络安全等级保护工作自检自查报告

1、烟草专卖局信息网络安全等级保护工作自检自查报告xx县烟草专卖局（分公司）的信息网络安全建设在上级部门的关心指导下，近年取得了快速的进步和发展，实效性强，网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定，严格规范信息安全等级保护，提高企业对信息网络安全的防控能力，保障企业信息网络安全，保证公司各项办公自动化工作的正常进行，促进企业效益的稳步提升，按照xx县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知要求，我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查，现将自查情况报告如下。一、 等级保护工作部署和组织实施情况xx县烟草公司企业信息化

2、建设在市局（公司）的统一领导下，按照“统一网络、统一平台、统一数据库”的要求，以打造“数字烟草”为战略目标，以“系统集成、资源整合、信息共享”为工作方针，取得了快速的发展，在积极推进企业信息化建设的过程中，更加重视网络信息的安全建设工作。从省公司到市公司、县公司，领导高度重视，统一规划，统一标准，同步实施。首先是逐级成立了领导小组和职能部门，xx分公司按照上级部门要求，2000年11月成立了信息化领导小组，下设信息办在公司办公室，并设置了计算机系统管理员岗位，明确了各自的职责。由于网络推广应用迅速，2005年重新更设了计算机网络信息中心，旨在强化对企业的网络建设和网络安全管理。在历次的机构设置

3、中，都明确了分公司主要领导分管信息工作，把网络信息安全的建设与管理摆到了企业各项工作的重要位置中来，表明了企业对信息化建设、网络安全管理的高度重视和决心。其次是对行业的网络安全建设高瞻远瞩、统一标准、规范运作、务求实效。先后省公司下发了云南省烟草专卖局关于建设云南省行业计算机网络与信息安全系统的通知，对全行业的网络信息安全建设作了明确、细致的规定，制定了高效规范的云南省烟草行业计算机网络与信息安全系统建设方案，统一在全系统范围内实施。随后市局公司又下发了市烟草专卖局（公司）关于建设网络安全系统的通知，对各分公司的网络安全建设作了具体的安排部署。xx县烟草公司严格按照上级部门要求，主动推进网络安

4、全建设，严律遵循行业标准规范，组织实施信息项目，积极配合上级部门在全行业开展网络安全建设工作。二、信息系统安全保护等级备案情况xx县烟草专卖局（分公司）隶属市烟草专卖局（公司）子公司，无法人资格。网络信息安全建设也是依照市公司统一要求进行，信息安全保护等级为二级。按照本次检查要求，备案材料主要包括三类。一是各级各部门的文件，包括有：罗烟司字48号关于成立云南省烟草xx县公司信息化领导小组的通知，省公司云烟科209号关于决举办云南省烟草行业计算机系统管理员培训班的通知，省公司云烟信552号云南省烟草专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知，市公司云曲烟专司字35号市烟草专卖局（

5、公司）关于建设网络安全系统的通知、烟草专卖局（公司）党政工作部关于举办网络信息安全培训的通知，市公司云曲烟办字98号市烟草专卖局（公司）关于建设地面专网的通知等。第二类是各项网络信息安全建设规范、技术标准及方案等，主要包括有：云南省烟草行业信息网络信息系统技术规范两部分，云南省烟草行业信息网络系统计算机网络系统建设技术规范、云南省烟草行业计算机网络与信息安全系统建设方案。第三类是各类管理制度或规定，主要包括有：云南省烟草行业信息网络管理规范、云南省烟草行业计算机网络与信息安全管理制度、信息化工作管理规定的网络与信息安全管理，网络建设及信息维护按理规定、计算机设备管理规定、计算机机房管理规定及突

6、发信息网络事件应急预案等。三、信息安全设施建设情况。根据上级部门的统一规划、建设要求，xx县烟草公司积极推进各项网络安全建设工作。首先，为考虑网络安全，结合业务实际，在网络规划时以建设专线为重点，在全省烟草系统内全部采用专线连接，实现互联互通。在系统主干网络建设上，先是采用卫星专用通道联网，后改用ddn专线，随着网络技术的发展和普及，从2006年开始，全省烟草系统，从省公司至市公司，从市公司至分公司，从分公司至烟叶站、烟叶收购点，采用带宽不同的sdh专线连接。公司绝大部分业务均在内网里运行，各类数据信息通过内网服务器和网络流转、共享，无外网托管现象，只有极少部分业务需挂外网。其次是不断采用新技

7、术、新手段做好网络信息安全防范工作，严格划分企业内网与外网，通过硬件防火墙设置，保证内外信息交互有效进行，实现对垃圾信息、非法访问的有效过滤。同时，通过网络版杀毒软件的安装使用，对计算机病毒进行整体防治，另一方面，对操作终端还配置防木马程序的软件，以及软件防火墙等软件的使用，配合杀毒软件对计算机病毒、黑客攻击、木马程序等进行了有效的防范。总之，通过软硬件技术手段的有效结合，使系统内网及每个终端计算机、系统内的信息、数据安全得到了有效保障，有效保证了企业各业务工作的顺利开展。四、管理制度建设情况。烟草企业自年工商分制以来，作为一分公司，在市烟草公司的直接领导下，各项工作稳步推进，伴随着社会效益、

8、企业效益的逐年攀升，烟草企业更加注重管理模式的总结与创新，强调管理的精细化和规范化，通过长时间的积累、总结和创新，对各行各业各个环节都制定了规范、有效的管理制度。形成了具有行业标准的相关制度烟草商业管理（qtcm）管理制度，在网络信息安全方面涉及很多内容。制定了计算机设备管理规定，旨在规范烟草系统计算机及相关设备的管理工作，促进设备的有效管理，提高设备的综合效率，满足工作需求；制定了计算机机房管理理规定，旨在加强计算机机房的运行、使用和管理，保证各信息系统的稳定可靠运行，促进公司网络的健康发展；制定了信息化工作管理规定、以及网站建设及信息维护管理规定，包括网络和信息安全管理规定，旨在保证企业网

9、络信息系统运行安全、可靠，做到实体安全、运行安全、数据安全和管理安全。2008年4月份，根据企业职业健康安全管理体系运行的整改要求，制定了突发信息网络事件应急预案，包括机房渗漏水应急预案、机房盗窃应急预案、机房火灾应急预案、机房长时间停电应急预案、通信网络故障应急预案、网络病毒爆发应急预案、服务器软件系统故障应急预案、核心设备硬件故障应急预案、业务数据损坏应急预案等九部分内容，旨在加强对系统内突发信息网络事件的控制，迅速有效开展应急救援行动，降低危害程度。总之，企业对网络安全高度重视，制定了众多管理制度，并积极层层落实，责任分明，有效地保证了了企业长期以来的网络信息系统的稳定运行。五、信息安全

10、产品选择和使用情况。我司的网络信息安全产品，年开始根据市公司的要求，进行统一配置。其中，硬件防火墙采用中端型产品，品牌型号为天融信ngfwaresvpn（s），版本topsec集中管理器v2.2.17，基本满足管理要求。防病毒软件曾采用趋势trend网络版，年以后统一改用瑞星企业专用版，与全国大多企业一致选用国产软件。网络管理平台软件曾使用复旦光华t_manager网络综合管理系统，预计未来将采用其它新系统实现网络综合管理。此外，针对各终端设备的安全防范，我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎360安全卫土等安全软件，实现防病毒、木马程序、黑客、非法程序等的辅助管理，进一步提高了整个系统的安全防范能力和管理水平。六、聘请测评机构开展技术测评情况我司的网络安全检测及风险评估工作也是依照市局（公司）的统一要求组织实施，按照市公司的统一安排，聘请测评机构为市麒麟区联创信息网络有限公司，检测时间一般为每年6至7月份，检测内容为：机房物理环境、服务器、网络设备（交换机、路由器、防火墙），桌面终端等，其中，桌面终端采用抽查方式进行检测，抽查率不少于总数的30%，检测工作中，工程师需签订云南省网络与信息系统安全检测单位保密承诺和安全检测保密协议，检测结果及报告由市公司保存。七、定期自查情况xx县烟草公