石林投资发展集团有限公司

关于审计发现问题整改落实情况的报告

县人民政府：

根据《国务院关于加强设计工作的意见》、《云南省人民政府关于加强审计工作的实施意见》和《石林彝族自治县审计局审计报告》（石审报〔2022〕43号）关于审计整改的要求，现将审计发现问题整改落实情况报告如下：

一、审计项目基本情况

2022年8月12日至11月30日，县审计局对我公司投资建设的石林县智慧停车信息系统进行了审计，我公司按照县审计局要求提供了相关资料，积极主动地配合县审计局完成了审计工作。

二、审计发现问题及整改落实情况

我公司对审计过程中提出的问题，我公司高度重视、认真对待。我公司组织下属的项目运营公司（石林通达智慧停车管理有限公司）及项目承建单位、项目监理单位和其他项目相关责任主体对存在问题进行分析和研判，及时查缺补漏，制定了详细的整改措施，及时落实整改。本次审计发现的问题及整改落实情况如下：

（一）关于石林通达智慧停车管理有限公司管理层中无人分管信息系统安全工作，也未配备信息系统安全管理员的问题

整改落实情况：我公司已责成石林通达智慧停车管理有限公司于2022年11月30日组织召开专题会议进行研究和讨论，制定并印发了《石林通达智慧停车管理有限公司关于调整领导班子成员工作分工的通知》（石通发〔2022〕1号），明确了公司副总经理分管信息系统安全工作；印发了《石林通达智慧停车管理有限公司关于丁猛同志任职的通知》（石通发〔2022〕2号），任命丁猛同志为信息系统和网络安全管理员。

（二）关于石林通达智慧停车管理有限公司没有建立相应的信息安全管理制度，信息系统安全保护等级未进行定级的问题

整改落实情况：我公司已经责成石林通达智慧停车管理有限公司建立健全信息系统安全管理制度，公司于2022年11月20日印发了《石林通达智慧停车管理有限公司网络信息安全管理制度（试行）》并进行了传达学习。对于信息系统安全保护登记未进行顶级的问题，我公司正在与保护等级评定机构沟通联系，计划委托专业机构进行评估定级。需要说明的是，石林县智慧停车信息系统服务器端整体部署于中国移动云端服务器，已向石林县公安局网络监察大队备案。中国移动集团云南分公司具有信息安全服务三级资质、信息安全服务三级资质一级（安全工程类）和信息安全管理认证证书。中国移动云端服务器已通过信息系统安全等级认定和备案，以及网络安全等级保护移动云系统等级测评。中国移动集团云南公司制定有完善的信息安全管理制度。

（三）关于审计中通过现场登录测试发现，部分信息系统账号为初始密码，未进行二次密码更改的问题

整改情况：我公司已要求所有登录用户修改系统账号登录密码，并要求系统开发商优化系统登录密码设置规则，提高密码保护安全等级。

（四）关于部分日常业务计算机未安装杀毒软件，部分日常业务电脑虽安装了杀毒软件但未启用，业务电脑防病毒能力欠缺的问题

整改情况：我公司已经责成石林通达智慧停车管理有限公司对业务计算机安装和启用杀毒软件，并要求工作人员严格按照《信息安全管理制度》进行必要的业务计算机安全防护。需要说明的是，石林智慧停车信息系统部署于中国移动云端服务器端，所有业务数据的存储、计算、交换等都在云端服务器内完成，该服务器具专业防火墙等设备，能够有效防护病毒和网络攻击等。办公室的业务计算机仅作为业务终端使用，通过特定端口，在有限的权限内访问服务器，对云端服务器安全不构成威胁。

（五）关于石林通达智慧停车管理有限公司于本公司内部人员签订了安全保密协议书，但未与第三方软件维护人员签订安全保密协议的问题

整改情况：我公司已经责成石林通达智慧停车管理有限公司于2022年12月1日与第三方软件维护人员签订了《保密承诺书》。

（六）关于少部分业务订单关键信息缺失，存在数据输入完整性不足的问题

整改情况：该问题因在系统升级过程引起的异常，特别是6月、7月，公司对系统进行了两次重大升级，产生个别数据输入完整性不足的订单，当前已经没有再次发生类似问题。我公司将对系统进行持续优化完善，对升级过程进行调整和优化，提升用户体验。

（七）信息系统收取停车费不够规范问题

整改情况：对因系统异常导致的少记取的停车费用，公司进行了核销；对多收取的停车费486元，公司联系车主进行退款处理，目前，尚有14个订单，共计停车费29元，因联系不到车主，未完成退款。

三、审计建议采纳情况

（一）关于加强信息系统安全管理工作，按要求配备相应人员，建立信息系统安全管理制度等相关制度建议

采纳情况：已采纳。

（二）关于严格控制系统停车计时收费算法，合法合规收取停车费，避免产生少收或者多收停车费用订单，加强信息录入，确保客户订单信息完整准确的建议

采纳情况：已采纳。我公司与系统开发单位进行了反馈，系统开发单位对收费系统进行了优化和调整。当前系统计时精确度已达99%，达到了目前技术条件极限值；信息完整度已达100%。

（三）关于采取必要的数据备份措施，提高系统数据的安全性的建议

采纳情况：已采纳。该系统数据采用了实时热备技术备份数据，并制定有《云硬盘备份应急预案》。

（四）关于加强信息系统安全控制，加强操作人员安全教育，要求业务计算机和信息系统使用者设置登录密码，严格控制账号发放，临时账号使用后应及时删除。提高职工防病毒意识，及时安装更新业务计算机杀毒软件，并定期不定期进行查杀的建议

采纳情况：已采纳。

我公司将持续做好信息系统安全培训教育，落实信息系统安全防护制度和措施，确保石林智慧停车系统安全运行，为广大车主提供安全、稳定、便捷的服务。

特此报告。

石林投资发展集团有限公司

2023年2月24日