2025年计算机信息系统安全保密工作的自查报告.docxVIP

2025年计算机信息系统安全保密工作的自查报告

2025年，我单位严格贯彻落实《中华人民共和国数据安全法》《中华人民共和国保守国家秘密法》及相关行业规范要求，以“零泄密、零事件”为目标，围绕计算机信息系统全生命周期安全保密管理，重点聚焦制度执行、技术防护、人员管控、数据流转四大核心环节，开展全方位自查工作。本次自查覆盖单位本级及3个下属分支机构，涉及办公网、业务专网、涉密内网3类信息系统，终端设备876台（含移动终端213台），数据存储节点12个（含云存储平台4个），第三方运维合作方5家。通过系统检查、现场核验、日志分析、人员访谈等方式，累计发现问题23项，完成整改19项，其余4项纳入2026年重点攻坚计划。现将具体情况报告如下：

一、安全保密工作开展情况

（一）制度体系建设与执行

本年度修订完善《计算机信息系统安全保密管理办法》《涉密信息设备使用规范》《数据分类分级管理细则》等核心制度8项，新增《移动终端安全接入管理规定》《云服务安全采购指南》2项制度，形成“基础制度+专项规范+操作流程”三级制度体系。制度执行方面，每季度由保密委员会牵头开展制度落实情况检查，重点核查访问权限审批（全年审批记录1236条，合规率100%）、介质使用登记（移动存储介质出入登记682次，无漏登）、日志留存（各系统日志留存均超6个月，关键系统达1年）等环节。针对2024年自查发现的“部分制度条款与新技术应用不匹配”问题，2025年3月组织技术部门、法律顾问、一线员工开展专题研讨，修订了涉及AI辅助办公、远程移动办公的安全要求，明确“AI生成内容需经人工复核方可外传”“远程办公终端必须通过VPN加密接入，禁止使用公共WiFi传输敏感数据”等细则，制度时效性和可操作性显著提升。

（二）技术防护体系运行

1.网络边界防护：办公网与互联网边界部署下一代防火墙（NGFW）、入侵检测系统（IDS）、Web应用防火墙（WAF），全年拦截恶意访问请求2.3万次，阻断SQL注入、XSS攻击等高危行为17起；业务专网与办公网通过单向网闸隔离，严格限制文件摆渡方向（全年摆渡文件587份，均通过审批且无反向传输）；涉密内网实行物理隔离，仅保留与上级涉密传输系统的专用接口，接口设备由双人双锁管理，全年无违规外联记录。

2.终端安全管理：部署终端安全管理系统（EDR），实现终端补丁自动分发（全年推送系统补丁12次，补丁安装率99.2%）、外设管控（禁用USB存储设备自动播放功能，限制非授权移动存储接入）、进程监控（禁止安装与工作无关的即时通讯软件，违规安装自动卸载并触发警报）。针对213台移动终端，采用“设备注册+动态口令+生物识别”三重认证，绑定设备MAC地址与使用人身份，未注册设备无法接入内部系统。

3.数据安全防护：完成数据分类分级工作，将数据划分为“核心涉密（一级）、重要敏感（二级）、一般内部（三级）、公开（四级）”四类，其中一级数据占比12%（主要为客户隐私、核心技术参数），二级数据占比28%（主要为业务流程、经营数据）。一级数据采用国密SM4算法加密存储，传输过程中使用SM2算法签名验证；二级数据通过数据库透明加密（TDE）保护，访问需经角色权限控制（RBAC），全年一级数据未发生泄露，二级数据违规访问事件同比下降65%（2024年8起，2025年3起）。

4.漏洞管理：建立“周扫描、月评估、即时修复”漏洞闭环管理机制，使用漏扫工具对12个关键系统开展扫描（全年扫描144次），发现高危漏洞19个、中危漏洞37个，均在72小时内完成修复（修复率100%）；针对无法立即修复的漏洞（如老旧系统兼容性问题），通过访问控制、流量限制等措施实施临时防护，同步制定硬件替换计划（2026年Q2前完成56台老旧服务器更换）。

（三）人员安全管理

1.教育培训：全年组织安全保密培训7次，覆盖全员236人，其中涉密岗位人员（42人）额外开展3次实操演练（包括模拟数据泄露处置、恶意软件清除等场景）。培训内容结合典型案例（如某单位因移动存储交叉使用导致数据泄露事件），重点讲解“最小权限原则”“三员分立（系统管理员、安全保密员、安全审计员）”“违规行为法律后果”等内容，培训后考核通过率98.7%（仅2人补考通过）。

2.岗位管理：严格执行涉密岗位资格审查，42名涉密人员均通过背景调查并签订《保密承诺书》，明确“离岗脱密期2年”“禁止在社交平台发布工作相关内容”等义务；实行岗位权限动态调整，全年因岗位变动调整权限63人次，离职人员权限均在24小时内回收（无延迟）。

3.日常监督：通过“制度检查+技术监测+群众举报”多维度监督，全年开展现场抽查12次（覆盖所有部门），发现违规行为4起（均为移动存储介质未登记使用），已按《违规行为处理办法》