发布日期:
立足供应链管理,保障财政网络信息安全
2022年,为加强财政网络信息安全建设,提升财政网络信息安全防范化解能力,合肥高新区财政局及时掌握网络信息安全新动态,以网络信息安全供应链管理为新起点,持续建设安全制度健全、监测预警全面、测评服务规范、防范手段多样的财政网络信息安全体系。
一是健全财政网络信息安全工作领导小组的供应链管理职能。2022年,合肥高新区财政局修订了财政网络信息安全工作领导小组职责,将供应链管理纳入职责范围。工作领导小组牵头组织供应链安全日常管理工作,根据供应链安全工作的要求和规范,定期组织对财政业务信息项目及业务信息系统开展安全技术检测及整改工作,并制订供应链安全事件的应急响应预案,及时处置上报重大安全隐患。
二是压实财政内设部门和机构的供应链管理责任。合肥高新区财政局的各处室、直属单位在本部门自建自用的财政业务信息化项目的建设、开发、运维过程中增强供应链安全管理,在项目实施前调研项目供应商是否符合信息安全要求资质,确认供应商是否已建成符合国家标准的信息安全体系,并与供应商签订安全协议,对重要岗位人员进行背景调查并签订保密协议。
三是拟定财政网络信息供应链产品白名单。合肥高新区财政局不仅定期检查财政业务信息系统中使用的电子邮件系统、网络监控软件、文件共享平台、源代码仓库、VPN产品、云桌面系统、虚拟化软件、视频会议软件、财务软件、行业专用软件、数据库等软件、中间件及网络设备、安全设备、服务器、手持设备等硬件,还重点检查供应链产品的版本、型号、生产厂商、开发类型、涉及操作系统等,核实产品是否将用户信息或用户应用内容回传供应商等情况,拟定并实时更新供应链产品白名单,排查供应链产品和供应链企业的安全隐患。
四是增强财政网络信息外包服务供应链的安全监管。合肥高新区财政局在选择具有专业资质的外包服务供应商和服务人员时,严格界定外包服务业务范围和工作内容,明确敏感信息访问、核心数据处理等所有相关的安全要求,并对外包服务人员进行必要的背景审查和保密审查,严禁由外包人员接触财政业务信息系统的关键内容,并通过专人全程陪同或堡垒机等技术手段监测操作行为,严禁外包服务人员非授权接入和操作,严禁复制和泄露任何敏感信息,对外包服务人员因履行服务内容需要携带的设备、资料和介质均需事先审核检查;遵循“最小权限原则”合理分配外包服务人员操作权限,减小外包服务人员误操作或滥用权限导致发生各种意外事件带来的影响。新安晚报安徽网大皖新闻记者许佳
一是健全财政网络信息安全工作领导小组的供应链管理职能。2022年,合肥高新区财政局修订了财政网络信息安全工作领导小组职责,将供应链管理纳入职责范围。工作领导小组牵头组织供应链安全日常管理工作,根据供应链安全工作的要求和规范,定期组织对财政业务信息项目及业务信息系统开展安全技术检测及整改工作,并制订供应链安全事件的应急响应预案,及时处置上报重大安全隐患。
二是压实财政内设部门和机构的供应链管理责任。合肥高新区财政局的各处室、直属单位在本部门自建自用的财政业务信息化项目的建设、开发、运维过程中增强供应链安全管理,在项目实施前调研项目供应商是否符合信息安全要求资质,确认供应商是否已建成符合国家标准的信息安全体系,并与供应商签订安全协议,对重要岗位人员进行背景调查并签订保密协议。
三是拟定财政网络信息供应链产品白名单。合肥高新区财政局不仅定期检查财政业务信息系统中使用的电子邮件系统、网络监控软件、文件共享平台、源代码仓库、VPN产品、云桌面系统、虚拟化软件、视频会议软件、财务软件、行业专用软件、数据库等软件、中间件及网络设备、安全设备、服务器、手持设备等硬件,还重点检查供应链产品的版本、型号、生产厂商、开发类型、涉及操作系统等,核实产品是否将用户信息或用户应用内容回传供应商等情况,拟定并实时更新供应链产品白名单,排查供应链产品和供应链企业的安全隐患。
四是增强财政网络信息外包服务供应链的安全监管。合肥高新区财政局在选择具有专业资质的外包服务供应商和服务人员时,严格界定外包服务业务范围和工作内容,明确敏感信息访问、核心数据处理等所有相关的安全要求,并对外包服务人员进行必要的背景审查和保密审查,严禁由外包人员接触财政业务信息系统的关键内容,并通过专人全程陪同或堡垒机等技术手段监测操作行为,严禁外包服务人员非授权接入和操作,严禁复制和泄露任何敏感信息,对外包服务人员因履行服务内容需要携带的设备、资料和介质均需事先审核检查;遵循“最小权限原则”合理分配外包服务人员操作权限,减小外包服务人员误操作或滥用权限导致发生各种意外事件带来的影响。新安晚报安徽网大皖新闻记者许佳