地市煙草商業企業網絡安全責任落實探析

◆吳志宏 張滔 祝凱 王國梁

地市煙草商業企業網絡安全責任落實探析

◆吳志宏 張滔 祝凱 王國梁

（湖北省煙草公司黃石市公司 湖北 435000）

互聯網絡與國家發展緊密聯系日益劇增，各行各業也都順應時勢加強互聯網絡的應用，網絡安全問題也隨之而來。本文分析了作者所在地市煙草商業企業網絡安全現狀，結合國家及行業要求，從責任意識、制度建設、技術防護、考核問責等方面探討了網絡安全工作責任的落實。

煙草；網絡安全；責任落實

隨著互聯網絡的迅猛發展，經濟、政治、科技、文化等領域與信息網絡形成了深入整合，信息網絡突顯了強大的創新力，推進社會各項事業高質量發展。但同時由于信息安全管理、外部攻擊、網絡輿論等事件的發生，信息網絡強大的破壞力和影響力也為人們敲響了警鐘。為此，黨和國家也愈加重視網絡安全，相繼成立了中央及地方各級網信辦、制定發布《網絡安全法》系列法律法規，網絡安全已經上升至國家安全高度。

維護網絡安全重要手段之一是有效落實網絡安全主體責任。煙草企業是國家經濟發展的重要支柱，更應加強責任、思想、制度、技術等建設，全面加強網絡安全責任落地。

1 網絡安全責任落實現實問題

1.1 網絡安全管理秩序不佳。

一是工作職責執行不夠嚴格，管理所（營銷部）-縣局（營銷部）-市局（公司）三個層級網絡安全職責較為明確，但日常實際工作中，下級單位沒有嚴格履行職責，最后部分工作由上級單位承擔；二是信息系統建設及管理職責不清，由于行業業務系統、自建信息系統相應職責沒有明確，業務管理存在“只用不管”現象，賬戶及數據管理不嚴，存在安全風險。

1.2 網絡安全與信息化建設不同步。

信息化規劃由于客觀條件，關鍵信息基礎設施早期沒有較好保證安全技術措施同步規劃、同步建設、同步使用。近年來，微信、釘釘及附屬應用由于功能完善、價格實惠、即買即用等顯著特點被廣泛應用，同時缺少信息系統安全等級保護測評、定級、備案等手續，以及企業內部審核手續，企業內部數據被錄入至互聯網應用及服務中，存在信息數據安全風險[1]。

1.3 員工網絡安全責任意識不強。

少數部門對網絡安全工作的重要性認識不足、重視不夠，安全防范意識不強，基礎設施安全保障能力不強。基層員工普遍存在網絡安全技術性太強、網絡安全不會造成生命危險、出現事故沒有財產損失影響不大等思想，責任意識相當薄弱。

1.4 專業人員力量較為薄弱

縣局（營銷部）通常僅用1名計算機相關人員擔任兼職網絡安全員，同時還承擔其他管理部門日常工作，市局（公司）共有4名人員，需要承擔市局（公司）計算機機房、網絡鏈路、信息系統、信息化終端及維護、安全培訓等諸多管理工作，工作量超出負荷較為嚴重。

2 網絡安全責任落實主要手段

2.1 提高責任意識

加強市局縣局兩級黨組（黨委）對本單位網信工作的集中統一領導，黨組（黨委）對本單位網絡安全工作負主體責任；發揮網信領導小組決策和統籌協調作用，每年至少召開一次網信領導小組會議，集中研究本單位網絡安全和信息化推進方向、工作重點和目標任務；分管網絡安全的領導班子成員每季度召集一次專題會議，聽取網絡安全工作匯報，研究網絡安全工作。

強化網絡安全全員責任意識，按照（市、縣）主體責任、（業務部門、信息部門）主管責任、（網絡安全員、部門安全員、個人）執行責任、（運維廠商）第三方責任四個層面，圍繞“組織保障、管理手段、技術防護、應急處置、宣傳教育”五個維度，建立網絡安全工作責任體系，確保網絡安全責任落實到崗、責任到人。

2.2 強化制度建設

按照《網絡安全法》等法律法規及行業相關要求，針對市局（公司）當前網絡安全管理中存在的突出問題，全面梳理現有制度和標準中存在的不足以及未涵蓋的內容，實現制度修訂常態化，全面完善現有網絡安全管理制度和流程。

通過新增和修訂一批綜合類管理制度、基礎設施類管理制度、應用軟件類管理制度、數據類管理制度，建立符合國家網絡安全法，契合市局（公司）實際，適應互聯網+發展要求的網絡安全制度體系，全面提升網絡安全基礎管理水平。

2.3 提升技術防護

在信息化基礎設施、網絡鏈路、信息系統建設初期，充分考慮行業網絡安全規劃、等保2.0等要求，結合自身特點加強前瞻性思考、全局性謀劃、戰略性布局，高標準高質量做好網絡安全規劃。

在終端、應用、系統、網絡和物理五個層面，通過廣泛采用用戶名密碼、 CA 認證、訪問控制、入侵防護、終端加密等等安全防護技術和安全產品，在身份認證、訪問控制、內容安全、監控審計、備份恢復等網絡安全防范關鍵節點加強針對性技術管控，保障當前網絡安全的穩定可靠。

針對基層員工賬號口令管理不嚴、信息系統權限分配較為粗放、敏感數據查詢下載管控不嚴等現象，通過流程固化、在線審核、溯源追蹤等技術手段，消除因管理工作隨意性造成安全隱患，實現通過“技術管人”提升安全性。

2.4 狠抓責任落實

管理手段方面，充分運用行業安全運維平臺，形成標準化、流程化、一體化的安全運維管理機制和模式，保證應用系統的運行安全、信息安全、人員安全、資產安全。實現統一管理、分級負責、流程規范、安全高效的網絡安全管控機制。

隱患整改方面，針對歷年安全專項檢查、自查等發現的問題，建立整改清單，實行銷號管理，全面落實整改，并在網絡安全季度報告中向上級報告整改進度。同時，結合省局網絡安全月度運行通報、專項檢查等反饋問題，結合實際工作對照自查自身是否存在類似問題并予以整改。

應急處置方面，編制年度應急演練計劃，每年至少開展一次實戰演練，每季度開展一次預案演練，定期上報演練結果，每年滾動完善演練方案，實現常態化的應急演練。

2.5 嚴格考核問責

建立網絡安全責任制檢查考核制度，完善健全考核機制、流程、方法。將網絡安全工作責任制考核結果納入考核評價中。不定期開展檢查，每季度開展通報，年度網絡安全工作責任制考評結果不合格或因發生網絡安全事件被通報批評的，將對分管領導進行約談。對發生重大網絡安全事件的逐級倒查，追究當事人、網絡安全責任人直到主要負責人責任，按照有關法律、法規嚴肅處理。

不斷完善監控手段，推動定期考核向實時監控轉變。持續細化各層級、各崗位的責任考核指標，充分利用先進技術手段，逐步實現考核指標的可量化、數據化和自動化抽取，推進以網絡安全考核指標體系為核心的監控平臺建設，實時掌握網絡安全責任落實情況和風險隱患，變被動處置為主動預防，提升網絡安全數字化監控能力。

3 結語

網絡安全不是獨立的單項工作，與企業日常經營管理工作已經深入整合，只有各層級、環節、崗位對規定責任不打折扣高效落實，才能實現企業整體網絡安全。國家經濟社會、企業需求、內外部安全威脅不斷在變，網絡安全面臨的壓力也隨之在變，責任落實機制及手段也需要適時調整及完善。

[1]何洪峰.企業落實網絡安全責任思考與實踐[J].廣東公安科技，2018（2）：47-49