2019网络安全监督

❶ 专家解读2019年《网络安全法》草案

一、重大历史进步

网络安全不是今天才重要，网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务，可见决心之巨。只是网络安全立法之路实在艰辛，时国务院信息办审时度势，由信息安全条例角度入手，并连续数年推动其列入国务院法制办二类立法计划，之后未能再进一步。2008年后，国务院信息办职能整体划转至工业和信息化部，有关方面意识到制定条例未必就比人大立法容易，且国务院行政法规无力调整现行上位法的法律规定，遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法，国家立法资源有限，每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法，还要考虑工业立法，一半指标已不得用，而信息化方向还有一部历史更为悠久的电信法望眼欲穿，信息安全法终究连个队都没排上。期间，人大建议、政协提案不计其数，社会公众翘首以盼，均无果。

此次草案公开征求意见，表明这项工作进入了实质性立法程序，这是一个重大历史进步。欢欣鼓舞之所在，不是因为草案具体内容，而源于征求意见本身的象征意义。时至今日，我们对网络安全立法不是搞清楚、看明白了，而是问题更多、更复杂了，很多观点分歧可能更大了，网络安全立法难度不降反升，但突破恰恰在此时。中央网络安全和信息化领导小组成立后，中央领导同志英明决策，切实将网络安全提升到了国家安全和发展的高度，不但作出“网络强国”的全局战略部署，更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等，无一不历经多年论证而蹉跎，今朝方开花结果。

诚然，网络安全立法工作十分艰巨，草案肯定有这样那样的问题，但今天的一小步，是国家网络安全工作的一大步。我们应该宽容它、呵护它，使其不断成熟、更加科学，成长为护佑国家网络安全和信息化发展的参天大树。

二、彰显国家意志，确立基本原则

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多，还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法，这些“软性”法律规定确有必要，其意在于宣示国家网络安全工作的基本原则，明确建设网络安全保障体系的主要举措，从而为整体推进保障体系建设提供法律依据。

一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼，驱动之双轮，要坚持以安全保发展、以发展促安全，不能简单地通过不上网、不共享、不互联互通来保安全，或者片面强调建专网。要努力实现技术创新和体制机制创新，不断增强维护网络安全的新思路、新方法、新举措、新本领，而不是因噎废食、自甘落后。

二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释，且一笔带过，然犹有石破天惊之意。

三是开展国际合作。网络安全是全球面临的共同问题，中国对广泛开展国际合作持积极态度，合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等，目标是推动构建和平、安全、开放、合作的网络空间。

四是建立统筹协调、分工负责的网络安全管理体制。多年 实践 和各国经验表明，网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立，有必要通过立法增强领导小组及其办公室的权威性。草案规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括，对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作，由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作，由网信部门会同国务院有关部门制定办法或组织实施。由此，政府向解决分散、多头和重复管理迈出了关键一步。

五是加强行业自律。要充分发挥行业组织作用，指导行业组织成员加强网络安全防护，促进行业健康发展。

六是强化网络安全顶层设计。顶层设计至关重要，首先是要制定网络安全国家战略，对外宣示主张，对内指导工作;其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划，确保战略落地，确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。

七是建立和完善网络安全标准体系，充分发挥标准在网络安全建设中的指导性、规范性作用。

八是加大财政投入，以加快产业发展，深化技术研发，提升网络安全创新能力。

九是做好宣传教育和 人才 培养工作。首先，要开展经常性的网络安全宣传教育;其次，要通过学历教育和在职培训，采取多种方式培养网络安全人才。

三、关键信息基础设施保护工作进入正轨

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了“关键信息基础设施的运行安全”一节。

一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线(即基本要求)，其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。

四、兼具综合法与专门法的特点

网络安全包含的内容太多，当前需要立法规范的事项也很多，于是就有了综合法与专门法的争议。一个基本事实是，目前世界上鲜见网络安全的综合法，有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护，近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。

作为第一部网络安全法(《电子签名法》不应该计算在内)，草案首先要体现综合性，其侧重点应该在以下四个方面：

一是要明确部门、企业、社会组织和个人的权利、义务和责任。

二是规定国家网络安全工作的基本原则和理念。

三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供法律依据，体现依法治国要求。这首先是政府部门的工作需要(如对境外违法信息予以阻断、实施网络通信管制等);其次，这些规定和措施往往经过了实践检验，部门间争议较小，有利于提高立法效率。

四是建立国家网络安全的一系列基本制度、形成制度框架，这些基本制度带有全局性、基础性，是推动基础性工作、夯实基础能力所必需。

此外，为了突出实用性，草案还应部分体现专门法的特点。这应从三个方面去考虑：

一是实施重点防护，对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。

二是防范重大威胁。例如，信息系统安全受控于人是我们面临的心腹大患，斯诺登事件使我们进一步看清风险所在，这就要对供应链安全进行规范。

三是对普遍性、长期存在的社会诉求予以响应。

总体看，草案比较好地处理了综合法与专门法的关系问题，但个别条款还是过于纠结细枝末节(如网络运营者的分项安全保护义务不必展开)，或细致到了足可取代部分专门法的地步(如个人信息保护应制定专门法，原有条款似可删减后将重心转向规范信息内容安全)。除了个人信息外，草案没有突出对公民个人权益的更多保护，如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘，这不能不说是小的遗憾。

五、“网络安全”的定义还可以更为妥帖

“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色，效果有云泥之别。近年的工作中，我们用过“信息安全”，也用过“网络安全”，学者们各抒己见，一些部门也喜欢朝向有利于自身职能的角度去解释，这些自不待言。但中央网络安全和信息化领导小组成立后，已经基本将其统一为“网络安全”。当然，国安委还是使用“信息安全”，《国家安全法》使用的是“网络与信息安全”，但这些已不会造成工作上的障碍。

只是这个“网络安全”实是“CyberSecurity”之译，非“NetworkSecurity”。这里面的“网络”其实指的是“网络空间”(Cyberspace)。因此，当草案试图从“网络空间”的内涵上去解释“网络”时，便挑战了大众的科技常识底线，且出现了“网络是指网络和系统”的尴尬。当然，如果就这么用下去，倒也自成一脉，但草案转眼就去使用狭义的“网络”了，如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等，这里都是指的“network”。由此，草案中频繁出现自己与自己打架的情况。

而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

解决这个问题的途径是，网络就是网络，不要让网络去包括信息系统。即，自始至终使用传统意义上的“Network”概念。对于“网络安全”，则按“网络空间安全”去解释即可。

另外，草案的起草坚持问题导向，对一些确有必要，但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益，但对于什么是“原则性规定”则要仔细琢磨。

❷ 等级保护新标准2.0解读

2019年，等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布，并于2019年12月1日开始实施，我国也正式迈入等保2.0时代。

下面是等保2.0三大核心新标准的介绍：

1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

该项标准是等级保护标准体系的核心，对2008版标准中提出的基本要求进行了修改完善，形成安全通用要求；对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域，提出了安全扩展要求。

2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》

该标准主要对共性安全保护目标提出通用安全设计技术要求，该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》

该标准与等级保护基本要求保持一致，主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。

此外，从等保1.0到等保2.0，等级保护发生的主要变化有：

1、意义的变化

由信息安全等级保护→网络安全等级保护，强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者，都应该按网络安全等级保护制度的要求对系统进行安全保护，以法律的形式确定等级保护工作为国家网络安全的基本国策，并在法律层面确立了其在网络安全领域的基础、核心地位。

2、对象的变化

新等保实现了保护对象的全覆盖，更具普适性与指导性，对象扩大了（包括基础网络），通用要求加扩展要求（工控、云计算、大数据、物联网、移动互联），更适应当前信息化高速发展所面临的新问题新挑战。

3、定级的变化

三级系统的定级新增了一类受侵害客体：对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。

4、测评标准的变化

测评要求的测评单元中增加了【测评对象】项，进一步明确了测评的对象。测评条件更具适应性但是要求更严格（复测评周期、测评控制项的减少、合规基线上调测评75分以上合格，当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分，复测评合格分数基线为85分）、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长，改为一年为复测评周期，兼顾考虑了实际等级保护工作所面临的复杂情况，更符合实际工作的场景。

5、定级备案实施方面的变化

等保2.0在定级备案实施也发生了变化，在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级，不是自主定级，到公安机关定级备案前要新增两个关键环节，确保定级备案的严谨与准确，第一对于定级对象的等级要经过专家评审，第二要经得主管部门审核通过，才能到公安机关备案确定最终等级保护对象的级别，整体定级更加严格。新建的第三级以上定级对象，通过等级测评后方可投入运行，加强“同步性”原则。

6、其他

从等级保护2.0框架中能够体现“一个中心，三重防护”的思想得以升华，等保2.0标准体系相比现行等保标准的安全体系更注重动态防御（变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护），强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。

等保2.0新增个人信息保护内容，个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现，在当前政务互通、人物互联，个人信息被广泛采集的商业、政务环境下，意指提升个人信息保护的重要性和必要性。

❸ 什么负责统筹协调网络安全工作和相关监督管理工作

网信部门是负责统筹协调网络安全工作和相关监督管理工作。网信办主要职责是落实互联网信息传播方针政策和推动互联网信息传播法制建设，指导、协调、督促有关部门加强互联网信息内容管理，负责网络新闻业务及其他相关业务的审批和日常监管等。
为加强党中央对涉及党和国家事业全局的重大工作的集中统一领导，强化决策和统筹协调职责，将中央全面深化改革领导小组、中央网络安全和信息化领导小组、中央财经领导小组、中央外事工作领导小组分别改为中央全面深化改革委员会、中央网络安全和信息化委员会、中央财经委员会、中央外事工作委员会，负责相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。
互联网新闻信息服务提供者转载新闻信息，应当转载国家规定范围内的单位发布的新闻信息，注明新闻信息来源、空察原作者、原标题、编辑真实姓名等，不得歪曲、篡改标题原意和新闻信息内容，并保证新闻信息斗辩茄来源可追溯。
互联网新闻信息服务提供者及其从业人员不得通过采编、发布、转载、删除新闻信息，干预新闻信息呈现或搜索结果等手段谋取不正当利益。
网信办的历史沿革:
2011年5月，中华人民共和国国家互联网信息办公室成立。
2018年03月，国务院下发《国务院关于机构设置的通知》，通知中指出:国家互联网信息办公室与中央网络安全和信息化委员会办公室，一个机构两块牌子，列入中共中央直属机构序列。
2019年12月，国灶闹家互联网信息办公室发布了《网络信息内容生态治理规定》，自2020年3月1日起施行。
网信办属于政府部门。2018年3月，根据中共中央印发了《深化党和国家机构改革方案》，将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会。
网信办主要职责是落实互联网信息传播方针政策和推动互联网信息传播法制建设，指导、协调、督促有关部门加强互联网信息内容管理，负责网络新闻业务及其他相关业务的审批和日常监管，指导有关部门做好网络游戏、网络视听、网络出版等网络文化领域业务布局规划。
协调有关部门做好网络文化阵地建设的规划和实施工作，负责重点新闻网站的规划建设，组织、协调网上宣传工作，依法查处违法违规网站，指导有关部门督促电信运营企业、接入服务企业、域名注册管理和服务机构等做好域名注册、互联网地址(IP地址)分配、网站登记备案、接入等互联网基础管理工作，在职责范围内指导各地互联网有关部门开展工作。

❹ 国家网络监督局

在我国没有国家网络监管局这个部门，与之类似的有网络安全管理局。

网络安全管理局主要负责组织拟订电信网、互联网及其相关网络与信息安全规划、政策和标准并组织实施；承担电信网、互联网网络与信息安全技术平台的建设和使用管理；承担电信和互联网行业网络安全审查相关工作，组织推动电信网、互联网安全自主可控工作。

国家网信部门负责统筹协调网络安全工作和相关监督管理工作。

国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

感谢您的信任，以上是我的回复，希望可以帮助到您，祝您生活愉快～

❺ 如何开展信息通信及电力监控安全性评价自查工作

1.电力监控系统是否存在网络非法外联情况；

2.运维、技术支扒郑持人员是否将接入生产控制大区的计算机设备与互联网相连混用；

3.所有业务功能是否按安全分区的原则部署；

4.远方控制功能是否在安全Ⅰ区春返颂；

5.调度数据网络是否基于专用通信通道（时分复用或波分复用），是否采用了统计复用的PTN或租用的虚拟专网（VPN）等；

6.抽查调度数据网网络设备，查看其安全配置是否符合要求；

7.安全大区的横向边界是否采用正反向隔离装置，并是否配置正确；

8.调度数据网纵向边界是否采用正方向隔离装置，并是否配置正确；

9.安全Ⅱ区是否采用纵向加密认证装置（卡）替代防火墙；

10.防火墙是否仅开通应世扰用所需的数据通道，IDS入侵监测策略是否合理；

11.是否采取技术或相关措施防止生产控制大区的非法外联；（并到网络接口和USB接口的检查）三类工作站检查互联网连接；

❻ 公安机关互联网安全监督检查规定

第一章总则第一条为规范公安机关互联网安全监督检查工作，预防网络违法犯罪，维护网络安全，保护公民、法人和其他组织合法权益，根据《中华人民共和国人民警察法》、《中华人民共和国网络安全法》等有关法律、行政法规，制定本规定。第二条本规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。第三条互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。

上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督。第四条公安机关开展互联网安全监督检查，应当遵循依法科学管理、保障和促进发展的方针，严格遵守法定权限和程序，不断改进执法方式，全面落实执法责任。第五条公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密，应当严格保密，不得泄露、出售或者非法向他人提供。

公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。第六条公安机关对互联网安全监督检查工作中发现的可能危害国家安全、公共安全、社会秩序的网络安全风险，应当及时通报有关主管部门和单位。第七条公安机关应当建立并落实互联网安全监督检查工作制度，自觉接受检查对象和人民群众的监督。第二章监督检查对象和内容第八条互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的，可以由其经常居住地公安机关实施。第九条公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况，对下列互联网服务提供者和联网使用单位开展监督检查：

（一）提供互联网接入、互联网数据中心、内容分发、域名服务的；

（二）提供互联网信息服务的；

（三）提供公共上网服务的；

（四）提供其他互联网服务的；

对开展前款规定的服务未满一年的，两年内曾发生过网络安全事件、违法犯罪案件的，或者因未履行法定网络安全义务被公安机关予以行政处罚的，应当开展重点监督检查。第十条公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况，依照国家有关规定和标准，对下列内容进行监督检查：

（一）是否办理联网单位备案手续，并报送接入单位和用户基本信息及其变更情况；

（二）是否制定并落实网络安全管理制度和操作规程，确定网络安全负责人；

（三）是否依法采取记录并留存用户注册信息和上网日志信息的技术措施；

（四）是否采取防范计算机病毒和网络攻击、网络侵入等技术措施；

（五）是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施；

（六）是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助；

（七）是否履行法律、行政法规规定的网络安全等级保护等义务。第十一条除本规定第十条所列内容外，公安机关还应当根据提供互联网服务的类型，对下列内容进行监督检查：

（一）对提供互联网接入服务的，监督检查是否记录并留存网络地址及分配使用情况；

（二）对提供互联网数据中心服务的，监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息；

（三）对提供互联网域名服务的，监督检查是否记录网络域名申请、变动信息，是否对违法域名依法采取处置措施；

（四）对提供互联网信息服务的，监督检查是否依法采取用户发布信息管理措施，是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施，并保存相关记录；

（五）对提供互联网内容分发服务的，监督检查是否记录内容分发网络与内容源网络链接对应情况；

（六）对提供互联网公共上网服务的，监督检查是否采取符合国家标准的网络与信息安全保护技术措施。第十二条在国家重大网络安全保卫任务期间，对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位，公安机关可以对下列内容开展专项安全监督检查：

（一）是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员；

（二）是否组织开展网络安全风险评估，并采取相应风险管控措施堵塞网络安全漏洞隐患；

（三）是否制定网络安全应急处置预案并组织开展应急演练，应急处置相关设施是否完备有效；

（四）是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施；

（五）是否按照要求向公安机关报告网络安全防范措施及落实情况。

对防范恐怖袭击的重点目标的互联网安全监督检查，按照前款规定的内容执行。

❼ 网络安全政策

法律分析：国家对网络安全行业越来越重视，未来人才培训和产业规模发展前景可观，如何规范，保障网络安全行业健康发展，国家出台了一系列相关法规政策：

2016年11月：《中华人民共和国网络安全法》，于2017年6月1日开始实施。主要强调了金融、能源、交通、电子政务等行业在网络安全等级保护制度的建设，是我国第一部网络空间管理方面的基础性法律。

2017年1月：《关于促进互联网健康有序发展的意见》，意见要求要加快完善市场准入制度，提升网络安全保障水平，维护用户合法权益、打击网络违法犯罪、增强网络管理能力，防范移动互联网安全风险。

2018年3月：《关于推动资本市场服务网络强国建设的指导意见》，意见重点强调要推动网信事业和资本市场协调发展，保障国家网络安全和金融安全，促进网信和证券监督工作联动。

2019年3月：《中央企业负责人经营业绩考核办法》，将网络安全纳入考核范围。

2019年10月：《中华人民共和国密码法》，将规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提出了国家对密码实行分类管理。

2019年5月24日：《网络安全审查办法（征求意见稿）》，由国家网信办发布。

2019年7月2日：《云计算服务安全评估办法》，由国家网信办、发改委、工信部及财政部。

法律依据：《中华人民共和国网络安全法》 第一条 为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

❽ 国家什么部门负责网络安全和监督工作

国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。
明确了网络安全的监管责任，解决了谁来负责的问题。
将现行有效的网络安全监管体制法制化，明确了网信部门与其他相关网络监管部门的职责分工。
网信部门负责统筹协调网络安全工作和相关监督管理工作，电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作，这种“1+X”的监管体制，符合当前互联网与现实社会全面融合的特点和我国监管需要。
《中华人民共和国网络安全法》第八条：国家网信部门负责统筹协调网络安全工作和相关监督管理工作。
国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

❾ 2019机关网络安全总结

2019机关单位网络安全总结
篇一：

【摘 要】 网络安全对于机关单位工作的正常运行至关重要，本文由机关单位网络安全的基本定义，引出维护网络安全的意义，从而逐步剖析影响机关单位网络安全的主要因素，最后提出解决机关单位的网络安全问题的具芹亩体措施。

【关键词】 机关单位;局域网;网络安全

0.引言

随着社会计算机信息技术的飞速发展，计算机网络的便捷性使得网络成为机关单位的重要办公平台。然而，矛盾辩证法告诉我们，事物往往正反相随、有利必有弊。同样也是因为计算机网络的便捷性，使得机关单位的网络办公平台较之传统平台更易暴露在不法分子眼前，用以进行非法勾当。机关单位网络入侵事件屡有发生，这严重影响了政府工作以及社会的正常运行，本文旨在研究探讨机关单位的网络安全问题，为维护机关单位的网络安全提供一定的理论依据。

1.机关单位网络安全概述

机关单位网络安全就是指，机关单位的组织内部局域网络不受不被允许和识别用户干扰、进入。局域网内数据只能被机关单位所认可的工作人员共享、利用，组织网内计算机的硬件、软件以及数据的安全性受到保护。

2.网络安全对于机关单位的重要性

网络安全对于任何组织、国家的正常运行以及健康发展都具有至关重要的意义。就机关单位内部网来说，其是所有机关工作人员数据联通、共享以及交流的最主要平台，保证这个网络平台的通畅、安全运行，不仅关乎到我们单位组织工作人员能否顺利进行工作，更关乎到我们人民的切身利益能否得到可靠保障。

在经济类违法犯罪案件中，机关单位内部网络安全性显得尤为重要。我们知道经济案件是指公民、法人因为国家所认可的盈利机构所受到的经济损失和精神损失，以及不当的违法经营和商业舞弊、商业间谍。在对一例经济违法犯罪事件的立案侦查过程中，我们工作人员通过内部网络相互沟通，调查的过程与结论备案于内部网络上。如果组织内部网络被枣蠢不法分子恶意侵入，网络中所储存的调查备案以及工作人员的沟通记录完全暴露，甚至被蓄意篡改，那么我们在打击惩处经济违法分子的过程中就会受到严重干扰，甚至产生错误判断，以此产生的后果将是十分严重的。其不仅会使国家财政遭受巨大损失，更会严重影响社会经济秩序的正常运行，动摇国之根基。


篇二：

为了做好迎接全市党政机关信息系统安全检查工作，根据枣经信字[20xx]171号文件要求和安排部署，市统计局领导高度重视，召开专题会议，认真学习文件精神，研究部署贯彻落实意见，并结合统计工作实际，开展了本局信息系统安全工作和计算机信息系统安全自查，通过自查，进一步明确了我局信息系统安全工作职责，规范了信息系统安全工作标准，完善了信息系统安全工作制度，提升了信息系统安全工作水平，现将自查情况报告如下：

一、领导重视，强化全局人员信息系统安全意识

一是成立了市统计局信息系统安全工作领导小组，分管领导任组长，各科室主要负责人为成员，具体负责市统计局信息系统安全工作。二是深入开展信息系统安全法制宣传教育。组织全局干部职工认真学习《山东省政府信息系统安全管理办法》和各项信息系统安全制度，重点抓好对领导干部和人员的信息系统安全宣传教育，积极参加市信息系统安全部门组织的各类业务培训教育，不断提高领导和人员的信息系统安全意识和做好信息系统安全工作的自觉性。三是采取多渠道、多形式加强对领导干部、重点人员、信息系统安全干部的信息系统安全法制宣传教育。四是充分利用现代宣传教育载体和正反两方面的典型案例开展教育，切实提高信息系统安全宣传教育的效果。

二、建立健全制度，提高信息系统安全工作管理水平

先后建立了计算机信息系统安全管理制度、网络安全管理制度、计算机维修、更换、报废信息系统安全管理制度、网络信息上传发布信息系统安全管理制度、XX市统计局信息系统安全应急预案、XX市统计局网路定级标准、XX市统计局信息系统安全规划书、XX市统计局信息系统安全管理流程、补丁分发策略等各项制度。健立健全信息系统安全工嫌岩森作责任制，加强领导。根据信息系统安全法律法规管理是信息系统安全工作部门的重要职责，是信息系统安全工作纳入依法管理的重要途径。一是充分认识信息系统安全工作依法行政的重要意义，增强信息系统安全工作的自觉性，提高信息系统安全工作管理水平。二是进一步规范定密工作，要按照定密程序界定国家秘密，防止定密过宽过严，同时要制定必要的管理制度，逐步实现动态信息系统安全管理。三是继续抓好计算机信息系统和电子政务工作中的信息系统安全管理，建立和完善上网信息的信息系统安全审查制度。四是继续加强日常信息系统安全管理工作，进一步加强对国家秘密载体特别是绝密级国家秘密载体的管理力度，抓好对统计数据的管理工作，所有统计数据必须经主要领导审核同意后，经综合科对外提供。

三、加大检查力度，防止重点涉密计算机泄密

建立了全局计算机管理登记台账，移动磁介质管理登记台账。全局有一台涉密计算机与国际互联网及其它公共信息网物理隔离。涉密计算机设有身份认证和访问控制。网络终端没有违规上国际互联网及其他公共信息网的现象。涉密计算机设有开机密码，由专人保管。对非涉密计算机网络，加大网路安全设备投入，配置了防火墙、ips防护入侵系统，进一步加强对计算机信息系统信息系统安全安全防范和管理工作。加强对内部网络的管理，建立健全网络管理制度，严防失泄密事件的发生。严格执行“涉密信息不上网，上网信息不涉密”和“谁上网，谁负责”的原则，加强对涉密网络的检查。

四、制定措施，抓好日常性信息系统安全工作

在工作实际中，着力按照市委信息系统安全委员会、市经信委制定的信息系统安全工作制度来严格执行。如：重大节、假日前要进行信息系统安全教育，增强信息系统安全意识，涉密会议要严格场所选择、人员范围、明确信息系统安全要求、涉密文件要严格借阅制度，不准强制他人违反信息系统安全规定复制国家秘密载体，经批准，到指定文印室复印，不准私自留存秘密文件、密品，不准携带秘密文件、密品回家和出入公共场所，不准通过普通邮政传递秘密文件、资料和其他物品，不准向家属、子女和无关人员泄露涉密事项、不准利用移动电话、对讲机等通讯工具谈论涉密事项，不准私自随意处理涉密文件及内部资料，必须集中统一销毁等规定，使之在思想认识上有信息系统安全的意识，在工作实践上有信息系统安全的防线，使信息系统安全工作真正落到实处。

五、我局网络风险防范及对策

1、系统风险的防范

(1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。

(2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。

(3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。

(4)应用系统，加强应用系统开发过程的监督,应用系统运行过程中的实时监督。

(5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。

(6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。

2、操作风险的防范

操作风险主要来自内部,应完善网络内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务分离、制作者与执行者分离,对主管和操作员实行ic卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。

建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试网络的灾难应急计划,对出现的安全问题提供技术支援和解决方案。

六、存在的主要问题及改进措施

虽然我局在信息系统安全方面做了大量的工作，但距各级领导的要求还相差很远，主要表现在以下几方面：一是在定期进行安全评估和加固、对安全事件处理流程及办法方面做的不够，二是机房安全建设在场地位置、ups、温度、湿度、消防等方面都能符合国家标准，但机房没有噪音控制、报警监控等措施。三是没有配置病毒集中监控系统，因而在防病毒方面存在着很大隐患。四是没有做到定期、系统地进行培训，基本上都没有制定长期、系统的培训计划。

❿ 2019年度网络安全和信息化工作自评报告

2019年度网络安全和信息化工作自评报告

一年来，在公司信息中心正确指导支持下，围绕公司年度网络安全和信息化工作会议精神和工作要求，不忘初心使命，砥砺奋进，努力开创企业信息化高质量发展新局面，卓有成效地在主体责任落实、网络安全、项目管理、创新能力、队伍建设、数据中心与数据质量、数字化工厂建设等方面开展探索和实践，均取得了较优成绩。现将2019年来的主要工作自评总结汇报如下：

一、严格落实信息化工作主体责任

全年针对信息化工作点多面广，服务性和专业性都很强的特点，紧扣行业和公司信息化发展战略，“行业典范”、“窗口企业”的目标定位，在大局下思考和行动，切实担当创新和高质量发展的新使命和新责任，在政治和业务领域活学活用实学精干中推进各项工作。

一是召开厂党委会议，4月28日，利用会议和办公系统传达学习和部署落实了行业及公司2019年网络安全和信息化领导小组会议、网络安全和信息化工作会精神，研究贯彻落实意见;6月4日，厂党委会议上，研究部署和下发了本年度网络安全工作，明确了年度网络安全和信息化工作要点，纳入2019年度工作目标考核方案，细化分解到月度重点工作任务清单，纳入季度和月度工作考核。全年从安全生产管理周例会督办项目完成情况和月(季)重点工作绩效督查情况来看，年度网络安全和信息化工作重点都得到了较好地贯彻和落实。

二是5月上旬制定并经多次讨论后，批次下发了《江西中培搏烟工业有限责任公司井冈山卷烟厂网络安全与系统运维考核实施细则》，并于6月份开始实施考核。结合公司对企业年度信息化工作考核要求，全面梳理差距并迎头整改弥补差额事项。突出IT综合管理和治理方案，主要关注企业发展后劲、IT工作绩效和基础夯实工作。由于与绩效挂勾，增强了全员IT工作绩效意识，促进各项考核指标处于较好状态。从全年的生产管理周工作简报来看，全年MES系统、制丝管控系统、卷包数采系统、批次系统、能管系统、高架系统运行总体正常，辩搏实现了IT网络信息系统生产保障。批次管理系统各项数据完整，卷包车间数据准确率为99.08%，制配灶祥丝车间数据准确率为100%，成品数据准确率为100%。其它各系统数据完整率也均处优良。

三是全年严格执行行业和公司网络安全检查要求以及企业管理体系文件要求组织开展了节假日期间和日常网络与信息系统安全检查排查与运维，全面推进了企业IT基础“1+2+2+N”运维模式文件体系架构和日常运用实践，确保了系统稳定。全年开展网络信息安全半年度、季度巡检、月度集中检查42次，营造了网络安全和数据安全良好生态，保持了网络安全系统及其设备设施、作业活动和作业环境处于正常有效状态。全年累计处理各类问题或故障53次，整改完成率100%。另外，今年8月如期开展了企业信息安全及计算机信息系统保密工作自查。目前，制度对接和检查执行的效果显现。

四是按照《烟草行业应对网络安全攻击基本防护措施》通知要求对敏感信息、资产状况、安全加固、实时监测和应急处置共五点开展自查工作，并向信息中心提交自查报告。在对敏感信息方面，及时响应国家或行业通报的网络安全情况，在完善平台技术架构与安全防范网络策略上，针对所负责的网络和系统进行日常系统“查缺补漏”工作。在充分利用IT资源方面，瞄准IT资源清晰、流程顺畅和数据管理目标，合理做好IT资源规划与利用，积极开展IT资产、网络安全、各管控系统潜能作用等专项管理诊断活动，进一步盘活现有资源、满足岗位需求、奠定IT资产管理规范基础，集成整合企业资源并形成合力，提升整体抗风险能力。年初、6月6日和9月，先后召开了各运维单位驻厂人员日常工作衔接专题会，日常衔接年度各外来运维单位工作。8月开展了IT基础专项管理诊断活动。1月和6月的管理体系外部审核和内部审核活动，3月、9月和12月三度组织IT资产(包括软件、文件)盘点清查整治和废旧利用和设备报废工作。在安全加固方面，按照网络安全等级保护制度，举一反三落实各项基础设施和管理工作，着重针对已定二级备案的《行业生产经营决策管理系统江西中烟井冈山卷烟厂分支系统》专项申报公司进行等保测评工作。针对办公网与生产网安全，实施了逻辑隔离工作。日常管理上采取技术手段将工控主机上的不必要USB、光驱等接口已禁掉，并对工控主机实施严格的访问控制。另外，加强了区域网络管理。在6月和12月先后检查拆除不合规的网络信息系统。对于生产区域无线网络，只允许PDA终端连接，手机笔记本等移动终端不得连接车间无线网络。各部门兼职网络安全信息员组织本部门检查排查是否存在私接无线路由器的情况。在实时监测方面，严格执行企业网络安全相关制度规范。实时监测防火墙等安全设备运行情况。每日对防火墙等网络安全设备进行实时监测，对发现的疑似攻击地址立即在防火墙上进行封禁处理。发现异常须及时报告。按照“先封堵再研判”原则先阻断网络连接，再对攻击行为进行溯源，并及时向公司信息中心报告有关情况。

五是根据人事变动和企业状况，重新成立了网络安全与信息化管理工作领导小组，下发了红头文件。进一步明确了分管网络安全工作领导班子成员及其组织工作主体责任。实现了内部资源整合。年初信息部门恢复单列部门，又鉴于今年员工1人借调支援商业公司系统开发、2人生育轮休的实际，内部采取轮岗交流与职责整合轮换作业方式组织开展企业信息化工作，促进年轻员工得到很好的锻炼。

二、突出抓好网络安全杜绝发生网络信息安全事件

全年抓好做好梳理网络安全隐患、检查治理与落实整改三个环节的工作，做到两个全覆盖，即覆盖所有部门、覆盖所有系统，确保不留死角不留隐患。由于采取“集中管控、分布防护”两手抓的方略，在信息系统整体防护的管理上取得了一定的成效，全年未发生一起网络信息安全事故。网络安全工作成效主要体现在：

一是进一步夯实网络安全基础工作。1月，开展了IT资产及信息网络安全专项管理诊断，瞄准“两化融合”和现有质量、环境及职业健康安全三标管理体系目标要求，严格落实网络安全责任制度，明确每个信息系统业务主管部门和运行维护部门具体职责。进一步优化完善了企业信息化系统运维保障工作机制，深入构建企业网络信息安全运维管理体系。全面梳理建立和实施各管控系统底层操作应用标准文件，使之满足企业IT运行的各项管理要求。9月通过了市公安部门等保工作检查与备案。6月6日和12月15日两度开展了系统账户和密码合规性、网络与信息系统漏洞自查整改活动。在开展排查“弱口令”和“扫漏洞”的网络安全问题整改活动中，全面针对弱口令、漏洞未修复等突出安全隐患进行整改。对未按要求设置密码的网络和IT服务器与终端机以及我厂自建信息系统的账号进行全面清查，对不符合要求的账户密码立即进行整改，将密码修改为字母、数字、特殊符号等3种以上组合且不少于8位，对存在漏洞的IT系统及时进行了修复。另外，在今年6月行业和吉安市11月开展的两度网络安全应急演练中，均保持了网络安全和系统稳定，达到了预期效果。

二是编制实施了网络安全及各信息系统应急预案，按要求开展了季度演练与评价。全年按季开展了计算机网络与信息系统应急演练6次，涵盖中心机房、OA、MES、批次管理和物流系统等运行突发事件的处置和应急状态处置，均达到预期效果。其中，先后完成了《MES系统制丝工单下发不到制丝管控系统应急演练》、《计算机房精密空调初期起火现场应急演练》、《批次管理系统辅料冻结应急演练方案》、《设备故障导致片烟高架库无法出库应急演练》，且各活动记录齐全。

三是我厂办公网与生产网设计实行了逻辑隔离，明确了工控机的安全管理措施。同时，以执行和监督执行各项制度规范进一步得到巩固，全年未发生网络信息安全事件。全年从月(季)绩效考核的结果来看，没有出现由于软硬件故障，计算机病毒，工作失误，遭受人为破坏等原因影响本单位信息系统正常运行，也从未造成由于系统数据丢失、泄露、被篡改，以及业务中断超过4小时，产生不良影响或一定经济损失，严重影响生产和工作的其他情况。

四是根据公司《网络安全责任书》，我厂编制并与各部门签订了《网络安全责任书》，并在管理制度文件体系中明确了信息系统业务主管部门和运行维护部门网络安全责任。同时，加强了与建设合作单位的协同管理，任何项目开工前，首先做到了开展安全告知培训，签订相关安全(施工)协议，并按保密要求与本单位信息系统派驻运维人员签订《数据保密承诺函》，严守保密规定，较好地履行保密责任。

五是严格执行《井冈山卷烟厂计算机机房管理规定》等机房系列标准规范体系文件。每日对计算机机房进行日常巡检，每周对机房主要设备进行周检，并填写记录。对出现的故障进行分析并处理，将分析研判情况进行记录，并形成月度 工作总结 。在机房管理标准文件中，根据要求，明确网络与机房基础设施维保的通信联动应急保障制度。

六是数字化视频监控系统具有基本安全措施。按要求，监控网与生产网及办公网实施了逻辑隔离。日常根据各部门实际需求分配摄像头查看范围及权限，并且对分配账户均按要求设置了合规密码，合理发挥了数字化视频监控系统的作用。

三、严格推进项目管理各项工作

密切关注公司四大体系建设、数据中心系统建设和OA系统升级项目应用。以公司信息化规划为指导开展企业项目年度需求调研、项目申报、方案论证，关键技术咨询等工作。在年度预算项目批复文件下达之后，分解落实实施计划。一方面，瞄准目标，做好公司各在建重点项目和系统的技术对接，按要求开展实施与优化工作。另一方面，进一步强化企业内部信息技术消化，全面拓展工控安全分析预警、二维码识别物料、QCD、SPC等信息化技术在安全、质量、成本、考核，在过程控制与数据分析预警等方面的应用深度和广度，进一步夯实企业信息化技术基础，为生产制造过程大数据挖掘运用，精益生产和智能物联扩展应用奠定了良好基础。进一步促进企业在“两化融合”、“数字化智能工厂”建设架构与开发上继续发挥作用。通过上半年和下半年两度召开年度采购项目推进会，梳理了各项目采购流程规划和节点时间工作控制，有序推进了项目实施工作。截止11月，年度5个项目均按进度计划如期完成了实施任务。

2019年我厂立项申报的5个项目均符合公司申报项目要求，保留了申报项目论证记录。按要求每季度的下个月10日前，将项目实施进度上报了信息中心。各项报送资料完整。贯彻落实规划“回头看”要求，制定实施了具体 工作计划 和方案，对近几年来重要信息化项目进行梳理、评估，有部署、有落实，有记录，并形成规划“回头看”报告。所有信息化项目均按公司档案管理要求保存完整的过程档案资料(包括但不限于采购、启动、需求调研、上线运行、验收等关键环节)及电子档案资料，并设置兼职管理人员。各个信息化项目均符合公司规定的“一项一卷”要求，保存了信息化项目过程档案资料及电子档。信息化项目公开招标项目比例在80%以上。未出现按季度上报信息化工作进展情况漏报迟报现象。

四、积极营造氛围，促进创新能力提升

全年围绕积极利用信息系统资源，创新系统应用途径，有效支撑本单位生产组织、质量管控、库存管理、降本增效等重点工作，以课题、小改小革等实践活动和各种业务及学术交流形式带动创新活力，推进企业精益和创新管理。在各项创新能力提升主题活动实践中，全年累计产生各项成果20余项。其中，5个课题成果正在等待公司和江西省各管理协会组织年终评比结果。

5个案例。梳理总结完成了《井冈山卷烟厂网络信息安全运维管理体系建设实践》、《二维码技术应用推广》、《基于检维修体系的信息化应用》、《基于制丝管控系统的防错预警机制应用》等案例。其中，有2个于今年4月和10月在公司年度信息化工作会和“创新引领高质量发展”信息化专题交流会上展开了交流研讨。

2018年底，上报省企协参评创新课题3个，其中，年初从发布与推广第二十届江西省企业管理现代化创新成果通报中获悉，《基于信息化项目管理的工具运用与实践》和《精益合作生产批次管理系统的风险分析与应对》均荣获一等奖，《构建网络安全信息系统““1+2+2+N”运维模式》获二等奖。本厂取得《精益合作生产批次管理系统的风险分析与应对》创新成果，在广丰卷烟厂实现部分推广。

2018年公司精益课题2个。其中，梳理总结完成了2018年公司立项的《二维码技术应用推广》精益管理课题成果，并以A3报告进行了验收申报。全面完成了2018年公司立项的《构建信息系统“1+2+2+N”运维模式》精益管理课题实践，该成果已经在2月18日公司《关于表彰2018年度精益管理优秀课题、管理诊断优秀案例和企业管理先进个人的决定》中荣获了公司当年评比二等奖。今年扩展产生了《IT网络安全信息系统“1+2+2+N”运维模式》新成果。

今年注册QC课题2个。12月9日，召开部门QC活动小组专题会，全面总结了今年两个课题工作。另外，2018年注册QC课题4个，完成企业QC课题成果3个，其中，《提高批次管理系统卷包投料扫码率》QC活动成果荣获2018年度江西省第三十九次质量管理小组代表大会三等奖，另外两个QC课题成果荣获厂优秀奖。

2篇论文发表。于2月27日和5月8日，我厂相继在《东方烟草报》管理前沿发表了论文《数字化工厂背景下质量管理体系的信息化应用》和《浅谈企业信息化工作绩效的自主评估》。《数字化工厂背景下质量管理体系的信息化应用》荣获江西烟草优秀论文。发表在《江西烟草》总第148期论文增刊P49-P51。《抓住机遇有的放矢推进数字化工厂“两化融合”实践》荣获公司产业系统特等奖。最近报送了论文《试论信息化支撑推行企业绩效管理的思维方法》参评。

五、培养信息化专业团队，提升队伍整体素质

在企业内部，我厂积极营造了学习型团队良好氛围。突出实际需求，参与中国CIO高峰论坛，有选择性的把握学习内容和参与IT企业组织的信息化网络在线研讨，日常内部各类IT专业微信群的线上讨论。全年参与外派和开展了公司和企业13项调研活动，组织安排了南烟、广烟等兄弟单位9人来厂的IT交流或跟班学习。接待了安徽阜阳烟厂和江苏中烟来厂2次针对IT网络、批次管理系统建设和使用情况的经验交流。全年通过“学习强国”和“中国烟草网络学院”《网络安全培训》(专题版)两个网络平台487人达成和超额完成了规定的学习培训指标任务。全年6名年轻员工参加了国家软考，通过率100%。全年组织国家网络安全法集中培训(85人)、公司数据中心(75人)、公司新版OA(85人)、企业网络信息系统用户安全运维、操作应用、新增IT类标准体系文件培训与系统演练413人，全员IT培训率达80%以上，全面拓展信息技术在质量、安全、成本、考核等方面的深度应用和技能水平。

目前部门工作人员有高、中级职称及取得国家软考证书的人员比例为100%。在管控系统的维保工作，采取自主维保、外包人员驻场维保及远程维保相结合的方式。2019年我厂能源管控、物流高架系统基本为本厂人员自主维保，卷包数采(8月24日)、MES(11月23日)等系统在自主维保后继续采取驻厂运维方式进行系统维保。

通过组织各类内部培训、系统演练，公司和外部交流，从中亲身体验信息化发展日新月异的变化，为融合技术创新、应用创新、模式创新与优化改善不断充电。不仅促进了企业信息技术消化、信息技术和应用人才培养工作，而且增强了自身素养和企业形象，逐步实现提供队伍高质量、高水平的信息化服务。

六、持续保持数据中心与数据质量，上报数据及时准确真实规范

根据行业和公司关于加强行业数据安全防范化解风险隐患有关工作，围绕落实《2019年网络安全和信息化工作要点》要求，严防发生数据安全和公民个人信息泄露事件，六月，我厂根据《网络安全法》《电子商务法》等相关法律法规，组织开展了全面排查法律风险和信息系统数据风险工作，通过翻阅我厂信息化项目合同和现场应用，未发现存在违反《网络安全法》《电子商务法》等相关法律法规关于数据安全和公民个人信息保护规定的问题隐患;未使用移动APP等互联网应用系统;不存在对外托管信息系统和承载数据。同时，对驻厂运维人员的安全管理措施进行了检查和风险评估，经过排查，未发现存在擅自读取、存储、缓存、和使用数据(包括数据泄露)的问题隐患。对于存在IT与数据安全等3项主要风险隐患采取了管控措施和问题整改，加大了高风险漏洞和弱密码专项治理情况监管力度，增强大数据环境下防攻击、防泄露、防窃取的监测预警和应急处置能力，确保网络安全设备设施均处于正常工作状态并能实现部署该设备设施的设计要求，确保各项管理措施有效落实，促进数据中心日常运维数据高质量保障。全年上报生产经营决策管理系统的数据差错率为0，上报公司数据中心的数据做到了及时、准确、真实、规范，未出现上报数据不符合要求的情况。

七、推进项目管理与数字化工厂建设

为促进一体协同重点工作成效，今年3至4月，根据《井冈山卷烟厂信息化规划“回头看”工作计划及方案》，采取各系统自查和现场调研相结合的方式，从系统发挥的成效入手，着眼系统性、全局性、整体性等方面对异地技改新厂实施的项目，包括后来实施的批次管理项目，对数字化工厂建设建管用方面所做工作进行回顾和自查及全面梳理、评估。4月10日向公司提交了《井冈山卷烟厂数字化工厂建设和运行情况汇报》。在4月的年度公司信息化工作会、8月的管理诊断、9月的信息化专题调研和11月的公司信息化现场交流会上，均针对SPC管理平台建设、商业营销移动应用、质检离线数据采集完善、设备管理信息系统功能完善、MES智能生产制造、PBMS批次管理两个系统的二期建设和生产经营决策管理系统等保测评等及其相关的技术与方案优化提出了进一步的需求和设想。

全年尤其突出抓好IT基础制度规范工作，夯实IT基础管理工作。通过年初的部门调研、8月公司和企业管理诊断、11月的年度 主题教育 巡视、9月公司对企业信息化工作专题调研、1月和12月质量管理体系认证审核、6月企业质量、环境、安全三标管理体系内部审核，年度各项内部、外部开展的检查和自查自评等活动，针对差距或不足，全年梳理并经制修订涉及物流、工艺质量、生产、成本、能源、设备等IT基础标准文件55个，其中新增文件23个。进一步明确了岗位作业标准规范。包括相关方人员管理，规范了IT业务范围内各项管理的职责和人员合理分工与协作。各管理、技术和作业规范均得到安全有效执行。公司《数字化工厂专项管理诊断情况通报》我厂数字化工厂建设和运行管理亮点体现在：一是数字化工厂运行的制度体系较为完善。建立了管理制度、运维办法、岗位操作规范等三级制度体系，管理要求层层分解，呈现出规划性强、职责明确、操作易懂等特点。二是信息化部门与业务部门联动，建立了完善的生产数据质量保障机制。针对不同生产环节数据，明确了核对的责任岗位、职责要求，做到了生产数据的班清班结，为数据的及时、准确提供了保障。三是将二维码新技术应用于信息化资产管理，做到了“一扫便知”资产生命周期和使用状态。