各市州衛(wèi)生局�����,部省直各醫(yī)療衛(wèi)生單位:
按照《國(guó)家衛(wèi)生計(jì)生委辦公廳關(guān)于開展衛(wèi)生計(jì)生領(lǐng)域信息安全檢查工作的通知》(國(guó)衛(wèi)辦規(guī)劃函〔2013〕51號(hào))以及工業(yè)和信息化部《關(guān)于印發(fā)2013年重點(diǎn)領(lǐng)域信息安全檢查工作方案的函》(工信部協(xié)函〔2013〕259號(hào))要求��,我廳將在全省范圍內(nèi)開展衛(wèi)生系統(tǒng)信息安全檢查工作�����,F(xiàn)將有關(guān)事項(xiàng)通知如下:
一���、檢查目的
通過(guò)開展常態(tài)化的信息安全檢查��,進(jìn)一步落實(shí)信息安全責(zé)任�����,增強(qiáng)人員信息安全意識(shí)�����,認(rèn)真查找突出問(wèn)題和薄弱環(huán)節(jié)�����,全面排查安全隱患和安全漏洞�,分析評(píng)估信息安全狀況和防護(hù)水平,有針對(duì)性地采取管理和技術(shù)防護(hù)措施�,促進(jìn)安全防范水平和安全可控能力提升,預(yù)防和減少重大信息安全事件的發(fā)生�����,切實(shí)保障信息安全�����。
二���、檢查內(nèi)容
(一)信息安全管理制度的建設(shè)及落實(shí)情況�。按照國(guó)家信息安全政策和標(biāo)準(zhǔn)規(guī)范要求���,建立健全信息安全管理規(guī)章制度及落實(shí)情況��。重點(diǎn)檢查信息安全主管領(lǐng)導(dǎo)���、管理機(jī)構(gòu)、工作人員履職情況�,信息安全責(zé)任落實(shí)及事故責(zé)任追究情況,人員���、資產(chǎn)��、采購(gòu)�����、外包服務(wù)等日常安全管理情況�,信息安全經(jīng)費(fèi)保障情況等�����。其中包括數(shù)據(jù)中心用戶權(quán)限、系統(tǒng)運(yùn)行�、網(wǎng)絡(luò)通信、數(shù)據(jù)管理以及機(jī)房安全�、設(shè)備安全、緊急情況處理流程等規(guī)章制度是否健全完善����,是否按照機(jī)房和數(shù)據(jù)管理要求,配備專業(yè)的系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員等維護(hù)操作人員����,并加強(qiáng)對(duì)維護(hù)和操作人員的培訓(xùn)和管理,明確責(zé)任�,將各項(xiàng)安全管理制度落到實(shí)處。
(二)安全防護(hù)情況�。網(wǎng)絡(luò)與信息系統(tǒng)防毒、防攻擊����、防篡改、防癱瘓��、防泄密等技術(shù)措施及有效性。重點(diǎn)檢查重要網(wǎng)絡(luò)與信息系統(tǒng)的安全防護(hù)情況�����,包括技術(shù)防護(hù)體系建立情況���;網(wǎng)絡(luò)邊界防護(hù)措施,不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施����,互聯(lián)網(wǎng)接入安全防護(hù)措施,無(wú)線局域網(wǎng)安全防護(hù)策略等�����;服務(wù)器�����、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備等安全策略配置及有效性�,應(yīng)用系統(tǒng)安全功能配置及有效性;數(shù)據(jù)審計(jì)系統(tǒng)、日志服務(wù)器�����、監(jiān)控系統(tǒng)的運(yùn)行情況����;終端計(jì)算機(jī)、移動(dòng)存儲(chǔ)介質(zhì)安全防護(hù)措施���;重要數(shù)據(jù)傳輸�、存儲(chǔ)的安全防護(hù)措施等����。
(三)數(shù)據(jù)保護(hù)情況。數(shù)據(jù)管理安全意識(shí)和日常監(jiān)管措施����,數(shù)據(jù)維護(hù)、管理等軟硬件設(shè)施建設(shè)�����。重點(diǎn)檢查應(yīng)用系統(tǒng)的數(shù)據(jù)備份工作�,備份數(shù)據(jù)是否安全、有效,是否建立異地容災(zāi)中心���,全面��、有效地防范和化解信息系統(tǒng)及數(shù)據(jù)庫(kù)風(fēng)險(xiǎn);重要業(yè)務(wù)數(shù)據(jù)的傳輸��、遷移是否采用密碼技術(shù)或者特殊的防護(hù)手段�;計(jì)算機(jī)存儲(chǔ)介質(zhì)的恢復(fù)和銷毀工作是否嚴(yán)格按照信息安全管理的有關(guān)規(guī)定進(jìn)行,由具有專業(yè)處理資質(zhì)的單位進(jìn)行處理����,并做好登記;是否對(duì)開發(fā)運(yùn)維商進(jìn)行權(quán)限管理�,授予開發(fā)運(yùn)維商有限的操作權(quán)限并與開發(fā)運(yùn)維商簽訂數(shù)據(jù)安全保密協(xié)議�。
(四)應(yīng)急工作情況���。按照國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案要求�,建立健全信息安全應(yīng)急工作機(jī)制情況��。重點(diǎn)檢查信息安全事件應(yīng)急預(yù)案制定修訂情況�����,應(yīng)急預(yù)案演練情況;應(yīng)急技術(shù)支撐隊(duì)伍��、災(zāi)難備份與恢復(fù)措施建設(shè)情況��,重大信息安全事件處置及查處情況等�。
(五)安全教育培訓(xùn)情況。重點(diǎn)檢查信息安全和保密形勢(shì)宣傳教育����、領(lǐng)導(dǎo)干部和各級(jí)人員信息安全技能培訓(xùn)、信息安全管理和技術(shù)人員專業(yè)培訓(xùn)情況等����。
(六)信息安全等級(jí)保護(hù)工作開展情況。重點(diǎn)檢查信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案��、測(cè)評(píng)開展工作����。是否按照省衛(wèi)生廳、公安廳《關(guān)于印發(fā)<湖南省衛(wèi)生行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案>的通知》(湘衛(wèi)辦發(fā)〔2012〕28號(hào))要求��,認(rèn)真組織實(shí)施衛(wèi)生信息系統(tǒng)安全等級(jí)保護(hù)工作�。
三、檢查方式
信息安全檢查工作按照“誰(shuí)主管誰(shuí)負(fù)責(zé)���、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則��,以自查和抽查相結(jié)合的方式開展�����。省衛(wèi)生廳負(fù)責(zé)網(wǎng)絡(luò)與信息安全檢查行動(dòng)的組織�����、協(xié)調(diào)和指導(dǎo)工作���。
(一)自查工作。
1.部省直各醫(yī)療衛(wèi)生單位負(fù)責(zé)本單位的信息系統(tǒng)自查工作�����。
2.各市州衛(wèi)生局負(fù)責(zé)組織本地區(qū)衛(wèi)生行業(yè)信息系統(tǒng)的自查工作��。
3.自查工作完成后��,各單位要對(duì)檢查情況進(jìn)行全面匯總�����,填寫檢查結(jié)果統(tǒng)計(jì)表(附件1),認(rèn)真梳理存在的主要問(wèn)題�,分析評(píng)估安全風(fēng)險(xiǎn),編寫自查總結(jié)報(bào)告(附件2)�。
(二)抽查工作。由省衛(wèi)生宣傳教育信息中心組織信息安全專業(yè)檢查隊(duì)伍��,對(duì)部分重點(diǎn)單位信息安全進(jìn)行抽查����,查找安全漏洞和隱患,評(píng)估信息安全防護(hù)能力和水平���,研究提出改進(jìn)和加強(qiáng)信息安全保障的措施與建議����。
四���、時(shí)間安排
(一)自查時(shí)間進(jìn)度安排�����。
1.實(shí)施階段:8月15日 - 9月15日����。
2.總結(jié)上報(bào)階段:9月15日-9月20日。
(二)抽查時(shí)間進(jìn)度安排�����。
1.實(shí)施時(shí)間:8月20日-9月25日
2.總結(jié)上報(bào)階段:9月25日-9月30日
五�、信息報(bào)送
2013年9月30日前,市州衛(wèi)生局�����、部省直各醫(yī)療衛(wèi)生單位將檢查總結(jié)報(bào)告(附件2)連同檢查結(jié)果統(tǒng)計(jì)表(附件1)報(bào)送省衛(wèi)生廳���。
六�、工作要求
(一)加強(qiáng)組織領(lǐng)導(dǎo)�����。各級(jí)各單位要高度重視此次檢查工作�,切實(shí)加強(qiáng)組織領(lǐng)導(dǎo)�,精心部署,落實(shí)工作責(zé)任����,確保檢查順利實(shí)施并取得實(shí)效��。
(二)加強(qiáng)整改落實(shí)���。各單位按照通知要求,對(duì)檢查中發(fā)現(xiàn)的問(wèn)題及時(shí)分析研究��,采取有效措施加以整改��。因條件不具備不能立刻整改的�����,要制定整改計(jì)劃�����、整改方案及整改時(shí)間表��,并采取臨時(shí)防范措施�,確保網(wǎng)絡(luò)與信息系統(tǒng)安全正常運(yùn)行。
(三)加強(qiáng)保密管理�。在檢查行動(dòng)中,各級(jí)各單位要嚴(yán)格按照有關(guān)保密規(guī)定和要求��,切實(shí)加強(qiáng)保密管理��。
聯(lián) 系 人:省衛(wèi)生宣教信息中心 文華南
聯(lián)系電話:0731-84822296
電子郵箱:wangluoglk@163。com
附件:1.地方/行業(yè)信息安全檢查結(jié)果統(tǒng)計(jì)表
2.信息安全總結(jié)報(bào)告參考格式
湖南省衛(wèi)生廳
2013年8月15日
(信息公開形式:主動(dòng)公開)
