二、信息系统运营使用单位等级保护工作情况1、单位信息安全等级保护工作的组织领导情况重点包括:单位网络安全领导机构或信息安全等级保护工作领导机构成立情况;单位网络安全或信息安全等级保护工作的职责部门和具体职能情况;单位信息安全等级保护工作部署情况等。结合我单位实际情况,成立了网络安全领导小组,由网络安全工作领导和日常巡视人员组成;安全小组职责部门为技术部,主要负责网络安全工作的领导、监督、实施等;我单位结合公司实际情况制定了安全等级保护相关的日程安排,定期或2、单位对信息安全等级保护工作的重视情况重点包括:单位网络信息安全等级保护工作年度考核情况;单位组织开展网络安全自查情况;单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。我单位网络安全工作考核已纳入到年度考核指标;单位严格落实有关网络信息安全保密方面的各项规定,采取多种自查措施防范网络安全事故,总体上我单位网络信息安全工作做得比较扎实;单位严格落实网络安全经费预算,保证网络安全工作的经费投入,经费约占信息化建设经费的XX%。3、单位网络安全责任追究制度执行情况重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位发生的网络事件进行追责等情况。我单位建立了网络安全责任追究制度,主管领导负总责,具体管理人员负主责;本单位尚未发生网络安全事件。如遇网络安全事件,会依据责任追究制度对相关人员进行追责。4、单位信息系统定级备案工作情况。重点包括:单位信息系统是否全部定级备案?单位系统调整是否及时进行备案变更?单位新建信息系统是否落实定级备案等工作。我单位依据信息安全等级保护有关政策和标准,已于20XX年X月完成单位信息系统定级备案工作。5、单位信息系统安全测评和安全建设整改工作情况重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情况;单位网络安全保护状况的了解掌握等情况。我单位严格落实网络安全经费预算和投入,保证信息系统的安全检测和整改工作的顺利实施;经检测,我单位信息系统总体安全保护状况较好,但也发现了服务器上存在的漏洞和网络防范方面的风险;针对安全等级保护测评得出的各项风险,单位组织制定了信息安全建设整改方案,修补了服务器漏洞、加强了网络权限管理,使我单位信息系统安全隐患明显减少;通过全方位的安全测评,了解掌握了我单位信息系统的基本情况和今后需要加强的安全薄弱环节。6、单位网络安全管理制度的制定和实施情况重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单位人员管理、信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况;管理制度的监督保障和运行情况等。我单位制定了相关工作规范和有效的技术方案,确保本单位信息系统建设和网络安全能够“同步规划、同步建设、同步运行”;为保障网络安全工作的实施,建立了《人员管理制度》、《运维、机房管理制度》、《信息系统设备管理制度》、《介质管理制度》、《外包管理》等管理制度;我单位对工作人员严格要求,对违反制度的人员进行严肃处理,保证制度的有效实施。7、单位重要数据的保护情况重点包括:单位数据中心建设情况;单位重要数据存储和安全保护情况;单位重要数据备份恢复情况,单位重要数据存储和应用是否由社会第三方提供?提供服务单位的具体情况等。我单位的数据中心服务器为XXX,均为双机热备工作方式,并配置了XX备份;本单位数据中心所有数据均设置为本地实时双机热备、XX备份的方式;我单位数据存储和应用均由本单位提供。8、单位网络安全监测和预警情况重点包括:单位开展日程网络安全监测情况;单位网络安全监测技术手段建设情况;单位网络安全预警工作情况等。我单位定期或不定期进行网络安全监测,掌握网络最新安全运行情况;网络安全监测的主要手段有网络设备的报警检查、服务器的日志检查、服务器安全策略配置、安全漏洞扫描、物理机房安全检查等;我单位结合多种技术手段进行网络安全监测,对网络安全事件进行及时的预警,极大的降低了信息系统网络安全风险。9、单位网络安全应急预案和演练情况重点包括:是否制定了单位网络安全预案?单位网络安全预案是否进行了演练?是否根据演练情况对预案进行了修改完善等情况。我单位制定了单位网络安全应急预案;并组织公司相关部门人员进行了演练;事后对应急处理流程、系统恢复重建方面进行评估和修改,总结经验教训,完善单位网络应急处理预案。10、单位网络安全事件(事故)的处置情况?重点包括:是否明确了单位网络安全事件发生、报告和处置流程?年内是否发生重大网络安全事件?是否与相关部门建立了网络安全应急处置机制等情况。我单位制定了网络安全处理方案,明确了网络安全事件(事故)的逐层上报机制、事件(事故)处理流程和灾备的启用流程等;我单位年内未发生重大网络安全事件;我单位根据不同的网络事件(事故)类型与各相关部门进行了交底,与其建立了相关的应急处置机制。11、单位信息技术产品、服务国产化情况重点包括:单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况楼单位新建信息系统是否采用国产化设备;单位信息安全服务情况等。我单位信息系统采用XX的数据库和服务器、XXXX操作系统、XX和XX的交换机,核心信息技术产品的国产化比率为12.5%;网络安全设备采用XXNIPS、XXX、XXX;国产化比率为66%;单位认真研究制定信息系统“国产化”规划,新建的信息系统情况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况楼单位新建信息系统是否采用国产化设备;单位信息安全服务情况等。我单位信息系统采用XX的数据库和服务器、XXXX操作系统、XX和XX的交换机,核心信息技术产品的国产化比率为12.5%;网络安全设备采用XXNIPS、XXX、XXX;国产化比率为66%;单位认真研究制定信息系统“国产化”规划,新建的信息系统会优先考虑国产设备进行部署,积极推进新建信息系统的“国产化”进程。12、单位网络安全宣传培训情况重点包括:单位组织开展网络安全宣传教育情况;单位组织开展网络安全岗位培训和网络安全员培训等情况。我单位通过各种方式定期或不定期的开展网络安全的知识讲座和培训,宣传网络安全知识,强化网络安全意识;并组织网络安全员进行网络安全法规的学习和网络安全知识技术的培训。