公司网络安全检查整改方案.docVIP

PAGE1

公司网络安全检查整改方案

集团公司网络安全检查组对我公司网络安全工作情况进行了专项检查，并下发了反馈意见书。根据公司网络安全自查情况、检查组对公司的检查结果以及反馈意见，公司制定整改方案如下：

一、开展信息系统等级保护工作

反馈意见：

根据《网络安全等级保护管理办法》、《集团公司信息安全管理规定》的要求，进一步完善信息系统等级保护工作实施和管理工作机制。

整改措施：

1.对已投运信息系统和网站开展等级保护定级、备案、测评以及整改工作。目前，公司本部企业宣传网站的等保测评工作已经开展，已走公司内部流程并向集团递交申请。预计9月中旬完成定级备案工作，9月下旬完成测评机构的确定，10月至11月开展测评工作。

2.完善信息系统等级保护工作实施和管理工作机制，组织所属单位及时开展信息系统等级保护工作。已下发通知要求所属各单位对已有信息系统进行统计，对照相关法律及规定梳理需进行等级保护的信息系统，执行等级保护定级、备案、测评和整改要求。目前，各单位已梳理完毕，正在进行定级前申请工作，预计11月底完成定级备案和测评工作。

3.组织全公司系统的信息系统等级保护培训。计划10月初聘请专业技术人员对公司全系统信息化管理人员进行集中培训与辅导。

二、加强对外网站安全管理

反馈意见：

加强对外网站安全管理，强化网站访问控制，做好防篡改工作。

整改措施：

1.与党群部门沟通协调，加强对公司本部企业宣传网站的管理。重点加强对外网站的运行安全监测与风险控制，部署网站内容防篡改措施；采用地址绑定等措施强化网站的访问控制；及时开展公司企业宣传网站的等级保护工作。在网站防篡改策略和等级保护备案、测评完成之前，暂时予以关闭。

2.对所属单位外部网站进行筛查，加强对所属单位外部网站的管理，指导督促所属单位外部网站的安全管理与等级保护工作。经筛查，赤峰公司有企业宣传网站1个。

三、开展应急处置能力建设

反馈意见：

编制应急预案和专项应急处置方案，开展应急演练，不断完善应急预案和处置方案。

整改措施：

1.持续推进网络安全事件应急与风险处置工作，制定公司应急处置预案和专项应急处置方案，定期开展应急演练。目前，预案已制定完毕，待集团公司发布后予以修订发布。计划10月底前完成专项应急处置方案的制定工作，并开展网络安全应急演练。

2.开展《集团公司网络与信息安全信息通报管理办法》的宣贯工作，严格执行网络安全信息报送和通报管理制度。

3.指导督促所属单位的应急处置能力建设。

四、加快实现硬件设备国产化

反馈意见：

加快实现硬件设备国产化，进一步提高本单位信息系统软、硬件国产化率。

整改措施：

1.推进软件正版化、国产化工作。目前，已在公司系统全面安装并使用金山WPS等国产软件，做好国产化软件替代工作。

2.根据公司现有设备的生命周期，有序推进硬件产品国产化进程。现已完成核心网络设备、网络接入设备的国产化替代工作，新采购的服务器均为国产设备，原有服务器将根据设备的情况及相应信息系统的使用情况逐步进行国产化替代，逐步提高本单位信息系统软、硬件国产化率。

五、做好新上业务系统的安全功能验证和测试工作

反馈意见：

公司重要业务系统上线在即，要继续抓好主要安全功能验证与测试工作。

整改措施：

1.对即将上线的生产调度指挥系统，参照《信息安全技术信息系统安全保护等级定级指南》预估信息安全等级，并及时做好等保定级申请、备案、测评和整改工作。预计11月底完成。

2.依据相关法律法规，以安全防护策略为指导，由安全技术体系、安全管理体系和安全服务保障共同形成涵盖系统设计、开发、测试、上线运行以及运行维护全过程的信息安全体系架构规划。与生产调度指挥系统建设同步实施。

六、加强信息系统运维审计及风险管理

反馈意见：

加强信息系统运维审计及风险管理，充分利用已部署的日志审计系统，降低信息系统运维风险隐患。

整改措施：

1.制定公司《信息系统使用管理规定》，规范信息系统使用，加强身份认证管理，严格U-key使用规范，明确各信息系统使用及维护人员权限和可操作范围，加强信息系统管理。预计9月底发布公司《信息系统使用管理规定》，日常工作中加强宣传、适时抽查。

2.对日志审计系统进行检查调整，梳理运维人员账户，确保系统运维人员在日志审计系统下操作；明确运维人员权限，提高系统整体安全性，充分利用已部署的日志审计系统，降低信息系统运维风险隐患。已完成。

附件：公司网络安全检查整改任务分工