醫(yī)學全在線
衛(wèi)生部直屬 | 浙江 | 河南 | 廣東 | 北京 | 天津 | 河北 | 上海 | 江蘇 | 山東 | 山西 | 湖南 | 安徽 | 江西 | 福建 | 湖北 | 廣西
貴州 | 云南 | 四川 | 陜西 | 重慶 | 甘肅 | 寧夏 | 青海 | 新疆 | 新疆兵團 | 遼寧 | 吉林 | 海南 | 西藏 | 黑龍江 | 內(nèi)蒙古
您現(xiàn)在的位置: 醫(yī)學全在線 > 中國衛(wèi)生人才網(wǎng) > 湖南衛(wèi)生人才網(wǎng) > 益陽 > 正文:益陽市國家衛(wèi)生人才網(wǎng):益陽市關(guān)于開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知
    

益陽市關(guān)于開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知

益陽市國家衛(wèi)生人才網(wǎng):益陽市有關(guān)開展衛(wèi)生系統(tǒng)信息安全檢查工作的公告:益衛(wèi)函〔2013〕218 號 益陽市衛(wèi)生局關(guān)于開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知 各區(qū)縣(市)衛(wèi)生局、大通湖區(qū)社會發(fā)展局、益陽高新區(qū)社會工作部,市直各醫(yī)療衛(wèi)生單位:按照《國家衛(wèi)生計生委辦公廳關(guān)于開展衛(wèi)生計生領(lǐng)域信息安全檢查工作的通知》(國衛(wèi)辦規(guī)劃函〔2013〕51號)以及工業(yè)和信息化部《關(guān)于印發(fā)2013年重點領(lǐng)域信息安全檢查工作方案的函》(工信部協(xié)函〔2013〕259號)和湖南省衛(wèi)生廳《關(guān)于開展衛(wèi)

益衛(wèi)函〔2013〕218 號

益陽市衛(wèi)生局關(guān)于開展

衛(wèi)生系統(tǒng)信息安全檢查工作的通知

各區(qū)縣(市)衛(wèi)生局、大通湖區(qū)社會發(fā)展局、益陽高新區(qū)社會工作部,市直各醫(yī)療衛(wèi)生單位

按照《國家衛(wèi)生計生委辦公廳關(guān)于開展衛(wèi)生計生領(lǐng)域信息安全檢查工作的通知》(國衛(wèi)辦規(guī)劃函〔2013〕51號)以及工業(yè)和信息化部《關(guān)于印發(fā)2013年重點領(lǐng)域信息安全檢查工作方案的函》(工信部協(xié)函〔2013〕259號)和湖南省衛(wèi)生廳《關(guān)于開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知》(湘衛(wèi)辦發(fā)〔2013〕28號)要求,市衛(wèi)生局將在全市范圍內(nèi)開展衛(wèi)生系統(tǒng)信息安全檢查工作,F(xiàn)將有關(guān)事項通知如下:

一、檢查目的

通過開展常態(tài)化的信息安全檢查,進一步落實信息安全責任,增強信息安全意識,認真查找突出問題和薄弱環(huán)節(jié),全面排查安全隱患和安全漏洞,分析評估信息安全狀況和防護水平,有針對性地采取管理和技術(shù)防護措施,促進安全防范水平和安全可控能力提升,預防和減少重大信息安全事件的發(fā)生,切實保障信息安全。

二、檢查內(nèi)容

(一)信息安全管理制度的建設(shè)及落實情況。按照國家信息安全政策和標準規(guī)范要求,建立健全信息安全管理規(guī)章制度。重點檢查信息安全主管領(lǐng)導、管理機構(gòu)、工作人員履職情況,信息安全責任落實及事故責任追究情況,人員、資產(chǎn)、采購、外包服務(wù)等日常安全管理情況,信息安全經(jīng)費保障情況等。其中包括數(shù)據(jù)中心用戶權(quán)限、系統(tǒng)運行、網(wǎng)絡(luò)通信、數(shù)據(jù)管理以及機房安全、設(shè)備安全、緊急情況處理流程等規(guī)章制度是否健全完善,是否按照機房和數(shù)據(jù)管理要求,配備專業(yè)的系統(tǒng)管理員和數(shù)據(jù)庫管理員等維護操作人員,并加強對維護和操作人員的培訓和管理,明確責任,將各項安全管理制度落到實處。

(二)安全防護情況。網(wǎng)絡(luò)與信息系統(tǒng)防毒、防攻擊、防篡改、防癱瘓、防泄密等技術(shù)措施及有效性。重點檢查重要網(wǎng)絡(luò)與信息系統(tǒng)的安全防護情況,包括技術(shù)防護體系建立情況;網(wǎng)絡(luò)邊界防護措施,不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施,互聯(lián)網(wǎng)接入安全防護措施,無線局域網(wǎng)安全防護策略等;服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性,應(yīng)用系統(tǒng)安全功能配置及有效性;數(shù)據(jù)審計系統(tǒng)、日志服務(wù)器、監(jiān)控系統(tǒng)的運行情況;終端計算機、移動存儲介質(zhì)安全防護措施;重要數(shù)據(jù)傳輸、存儲的安全防護措施等。

(三)數(shù)據(jù)保護情況。數(shù)據(jù)管理安全意識和日常監(jiān)管措施,數(shù)據(jù)維護、管理等軟硬件設(shè)施建設(shè)。重點檢查應(yīng)用系統(tǒng)的數(shù)據(jù)備份工作,備份數(shù)據(jù)是否安全、有效,是否建立異地容災中心,全面、有效地防范和化解信息系統(tǒng)及數(shù)據(jù)庫風險;重要業(yè)務(wù)數(shù)據(jù)的傳輸、遷移是否采用密碼技術(shù)或者特殊的防護手段;計算機存儲介質(zhì)的恢復和銷毀工作是否嚴格按照信息安全管理的有關(guān)規(guī)定進行,由具有專業(yè)處理資質(zhì)的單位進行處理,并做好登記;是否對開發(fā)運維商進行權(quán)限管理,授予開發(fā)運維商有限的操作權(quán)限并與開發(fā)運維商簽訂數(shù)據(jù)安全保密協(xié)議。

(四)應(yīng)急工作情況。按照國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預案要求,建立健全信息安全應(yīng)急工作機制情況。重點檢查信息安全事件應(yīng)急預案制定修訂情況,應(yīng)急預案演練情況;應(yīng)急技術(shù)支撐隊伍、災難備份與恢復措施建設(shè)情況,重大信息安全事件處置及查處情況等。

(五)安全教育培訓情況。重點檢查信息安全和保密形勢宣傳教育、領(lǐng)導干部和各級人員信息安全技能培訓、信息安全管理和技術(shù)人員專業(yè)培訓情況等。

(六)信息安全等級保護工作開展情況。重點檢查信息系統(tǒng)等級保護定級備案、測評開展工作。是否按照省衛(wèi)生廳、公安廳《關(guān)于印發(fā)<湖南省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護工作實施方案>的通知》(湘衛(wèi)辦發(fā)〔2012〕28號)要求,認真組織實施衛(wèi)生信息系統(tǒng)安全等級保護工作。

三、檢查方式

信息安全檢查工作按照“誰主管誰負責、誰運行誰負責”的原則,以自查和抽查相結(jié)合的方式開展。市衛(wèi)生局負責網(wǎng)絡(luò)與信息安全檢查的組織、協(xié)調(diào)和指導工作。

(一)自查工作

1.市直各醫(yī)療衛(wèi)生單位負責本單位的信息系統(tǒng)自查工作。

2.各區(qū)縣(市)衛(wèi)生局負責組織本地區(qū)衛(wèi)生行業(yè)信息系統(tǒng)的自查工作。

3.自查工作完成后,各單位要對檢查情況進行全面匯總,填寫檢查結(jié)果統(tǒng)計表(附件1),認真梳理存在的主要問題,分析評估安全風險,撰寫自查總結(jié)報告(附件2)。

(二)抽查工作

市衛(wèi)生局組織對部分重點單位信息安全進行抽查,查找安全漏洞和隱患,評估信息安全防護能力和水平,研究提出改進和加強信息安全保障的措施與建議。

四、時間安排

(一)自查時間進度安排

1.實施階段:8月22日~9月15日。

2.總結(jié)上報階段:9月15日~9月20日。

(二)抽查時間進度安排

實施時間:9月21日~9月30日

五、信息報送

2013年9月20日前,各區(qū)(縣)市衛(wèi)生局、市直醫(yī)療衛(wèi)生單位將檢查總結(jié)報告(附件2)連同檢查結(jié)果統(tǒng)計表(附件1)報送市衛(wèi)生局辦公室。

六、工作要求

(一)加強組織領(lǐng)導。各級各單位要高度重視此次檢查工作,切實加強組織領(lǐng)導,精心部署,落實工作責任,確保檢查順利實施并取得實效。

(二)加強整改落實。對檢查中發(fā)現(xiàn)的問題及時分析研究,采取有效措施加以整改。條件不具備不能立刻整改的,要制定整改計劃、整改方案及整改時間表,并采取臨時防范措施,確保網(wǎng)絡(luò)與信息系統(tǒng)安全正常運行。

(三)加強保密管理。在檢查中,要嚴格按照有關(guān)保密規(guī)定和要求,切實加強保密管理。

聯(lián) 系 人: 唐啟超  伍力

聯(lián)系電話:0737-4301120

電子郵箱:yywsyj@sina。com

附件:1.地方/行業(yè)信息安全檢查結(jié)果統(tǒng)計表

2.信息安全總結(jié)報告參考格式

益陽市衛(wèi)生局

2013年8月26日

附件1

地方/行業(yè)信息安全檢查結(jié)果統(tǒng)計表

市/州/單位名稱:                                        

一、重要信息系統(tǒng)安全檢查情況

基本情況

重要信息系統(tǒng)總數(shù):                                     (請另附系統(tǒng)清單)

(按服務(wù)對象

進行統(tǒng)計)

1. 面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量:          

2. 不面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量:          

(按聯(lián)網(wǎng)情況

進行統(tǒng)計)

1. 通過互聯(lián)網(wǎng)可直接訪問的系統(tǒng)數(shù)量:          

2. 通過互聯(lián)網(wǎng)不能直接訪問的系統(tǒng)數(shù)量:          

其中,與互聯(lián)網(wǎng)物理隔離的系統(tǒng)數(shù)量:        

(按數(shù)據(jù)集中情況進行統(tǒng)計)

1. 全國數(shù)據(jù)集中的系統(tǒng)數(shù)量:          

2. 省級數(shù)據(jù)集中的系統(tǒng)數(shù)量:          

3. 未進行數(shù)據(jù)集中的系統(tǒng)數(shù)量:          

(按業(yè)務(wù)連續(xù)性進行統(tǒng)計)

1. 可容忍中斷時間小于30分鐘的系統(tǒng)數(shù)量:        

2. 可容忍中斷時間大于30分鐘、小于12小時的系統(tǒng)數(shù)量:        

3. 可容忍中斷時間大于12小時的系統(tǒng)數(shù)量:        

(按災備情況

進行統(tǒng)計)

1. 進行系統(tǒng)級災備的系統(tǒng)數(shù)量:          

2. 僅對數(shù)據(jù)進行災備的系統(tǒng)數(shù)量:          

3. 無災備的系統(tǒng)數(shù)量:          

系統(tǒng)

構(gòu)成情況

主要硬件和軟件

服務(wù)器

路由器

交換機

防火墻

磁盤陣列

磁帶庫

操作系統(tǒng)

數(shù)據(jù)庫

國內(nèi)品牌數(shù)量

(臺/套)

國外品牌數(shù)量

(臺/套)

業(yè)務(wù)應(yīng)用

軟件系統(tǒng)

(統(tǒng)計3年內(nèi)數(shù)據(jù))

1. 自主設(shè)計開發(fā)(不含二次開發(fā))的套數(shù):          

2. 委托國內(nèi)廠商開發(fā)的套數(shù):          

委托國外廠商開發(fā)的套數(shù):          

3. 直接采購國內(nèi)廠商產(chǎn)品的套數(shù):          

直接采購國外廠商產(chǎn)品的套數(shù):          

二、重要工業(yè)控制系統(tǒng)安全檢查情況

基本情況

重要工業(yè)控制系統(tǒng)運營單位總數(shù):           家

重要工業(yè)控制系統(tǒng)總數(shù):                   套

系統(tǒng)類型情況

國內(nèi)品牌

國外品牌

數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)

分布式控制系統(tǒng)(DCS)

過程控制系統(tǒng)(PCS)

可編程控制器(PLC)

工業(yè)控制網(wǎng)絡(luò)

連接情況

1. 直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:                 套

2. 與內(nèi)部局域網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:                 套

3. 含有無線接入方式的重要工業(yè)控制系統(tǒng)數(shù)量:                 套

運行維護情況

1. 采用遠程方式運行維護的重要工業(yè)控制系統(tǒng)數(shù)量:             套

2. 由國內(nèi)廠商提供運行維護服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量:       套

3. 由國外廠商提供運行維護服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量:       套

信息安全

防護情況

1. 網(wǎng)絡(luò)邊界處架設(shè)網(wǎng)絡(luò)安全設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量:       套

2. 安裝防病毒軟件或設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量:             套

3. 定期進行安全更新的重要工業(yè)控制系統(tǒng)數(shù)量:                 套

4. 采取加密措施傳輸、存儲敏感數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量:   套

三、本年度信息安全事件及技術(shù)檢測情況

信息安全事件[1]情況

特別重大信息安全事件次數(shù):        

重大信息安全事件次數(shù):        

較大信息安全事件次數(shù):        

一般信息安全事件次數(shù):        

地區(qū)/行業(yè)統(tǒng)一組織的技術(shù)檢測情況

惡意代碼[2]檢測

①進行過病毒木馬等惡意代碼檢測的服務(wù)器臺數(shù):___________

其中,存在惡意代碼的服務(wù)器臺數(shù):___________

②進行過病毒木馬等惡意代碼檢測的終端計算機臺數(shù):_________

其中,存在惡意代碼的終端計算機臺數(shù):___________

安全漏洞檢測

①進行過漏洞掃描的服務(wù)器臺數(shù):___________

其中,存在漏洞的服務(wù)器臺數(shù):___________

存在高風險漏洞[3]的服務(wù)器臺數(shù):___________

②進行過漏洞掃描的終端計算機臺數(shù):___________

其中,存在漏洞的終端計算機臺數(shù):___________

存在高風險漏洞的終端計算機臺數(shù):___________

附件2

信息安全總結(jié)報告參考格式

一、自查工作總結(jié)報告名稱

×××(區(qū)縣、部門、行業(yè)名稱)信息安全自查工作總結(jié)報告

二、主報告內(nèi)容要求

(一)本地區(qū)(部門、行業(yè))信息安全自查工作組織開展情況。概述此次安全檢測工作組織開展情況、所檢查的重要信息系統(tǒng)基本情況。

(二)本地區(qū)(部門、行業(yè))信息安全工作情況。對照《檢查通知》要求,逐項、詳細描述本地區(qū)(部門、行業(yè))在安全管理、技術(shù)防護、應(yīng)急處置、安全教育培訓與安全問題整改方面工作的檢查結(jié)果。

(三)本地區(qū)(部門、行業(yè))自查發(fā)現(xiàn)的主要問題和面臨的威脅分析。

1.發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)

2.面臨的安全威脅與風險

3.整體安全狀況的基本判斷

(四)改進措施及整改效果。

1.改進措施

2.整改效果

(五)關(guān)于加強信息安全工作的意見和建議。



[1]信息安全事件分級標準參見《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預案》(國辦函〔2008〕168號)

[2]本表所稱惡意代碼,是指病毒木馬等具有避開安全保護措施、竊取他人信息、損害他人計算機及信息系統(tǒng)資源、對他人計算機及信息系統(tǒng)實施遠程控制等功能的代碼或程序。

[3]本表所稱高風險漏洞,是指計算機硬件、軟件或信息系統(tǒng)中存在的嚴重安全缺陷,利用這些缺陷可完全控制或部分控制計算機及信息系統(tǒng),對計算機及信息系統(tǒng)實施攻擊、破壞、信息竊取等行為。

...
關(guān)于我們 - 聯(lián)系我們 -版權(quán)申明 -誠聘英才 - 網(wǎng)站地圖 - 網(wǎng)絡(luò)課程 - 幫助
醫(yī)學全在線 版權(quán)所有© CopyRight 2006-2046, MED126.COM, All Rights Reserved
浙ICP備12017320號
百度大聯(lián)盟認證綠色會員可信網(wǎng)站 中網(wǎng)驗證