益陽市國家衛(wèi)生人才網(wǎng):益陽市有關(guān)開展衛(wèi)生系統(tǒng)信息安全檢查工作的公告:益衛(wèi)函〔2013〕218 號 益陽市衛(wèi)生局關(guān)于開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知 各區(qū)縣(市)衛(wèi)生局、大通湖區(qū)社會發(fā)展局�、益陽高新區(qū)社會工作部,市直各醫(yī)療衛(wèi)生單位:按照《國家衛(wèi)生計生委辦公廳關(guān)于開展衛(wèi)生計生領(lǐng)域信息安全檢查工作的通知》(國衛(wèi)辦規(guī)劃函〔2013〕51號)以及工業(yè)和信息化部《關(guān)于印發(fā)2013年重點領(lǐng)域信息安全檢查工作方案的函》(工信部協(xié)函〔2013〕259號)和湖南省衛(wèi)生廳《關(guān)于開展衛(wèi)
益衛(wèi)函〔2013〕218 號
益陽市衛(wèi)生局關(guān)于開展
衛(wèi)生系統(tǒng)信息安全檢查工作的通知
各區(qū)縣(市)衛(wèi)生局����、大通湖區(qū)社會發(fā)展局、益陽高新區(qū)社會工作部,市直各醫(yī)療衛(wèi)生單位:
按照《國家衛(wèi)生計生委辦公廳關(guān)于開展衛(wèi)生計生領(lǐng)域信息安全檢查工作的通知》(國衛(wèi)辦規(guī)劃函〔2013〕51號)以及工業(yè)和信息化部《關(guān)于印發(fā)2013年重點領(lǐng)域信息安全檢查工作方案的函》(工信部協(xié)函〔2013〕259號)和湖南省衛(wèi)生廳《關(guān)于開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知》(湘衛(wèi)辦發(fā)〔2013〕28號)要求����,市衛(wèi)生局將在全市范圍內(nèi)開展衛(wèi)生系統(tǒng)信息安全檢查工作。現(xiàn)將有關(guān)事項通知如下:
一����、檢查目的
通過開展常態(tài)化的信息安全檢查,進(jìn)一步落實信息安全責(zé)任���,增強(qiáng)信息安全意識���,認(rèn)真查找突出問題和薄弱環(huán)節(jié),全面排查安全隱患和安全漏洞���,分析評估信息安全狀況和防護(hù)水平��,有針對性地采取管理和技術(shù)防護(hù)措施,促進(jìn)安全防范水平和安全可控能力提升�����,預(yù)防和減少重大信息安全事件的發(fā)生��,切實保障信息安全。
二�、檢查內(nèi)容
(一)信息安全管理制度的建設(shè)及落實情況。按照國家信息安全政策和標(biāo)準(zhǔn)規(guī)范要求�,建立健全信息安全管理規(guī)章制度。重點檢查信息安全主管領(lǐng)導(dǎo)����、管理機(jī)構(gòu)、工作人員履職情況����,信息安全責(zé)任落實及事故責(zé)任追究情況,人員�����、資產(chǎn)��、采購����、外包服務(wù)等日常安全管理情況,信息安全經(jīng)費(fèi)保障情況等��。其中包括數(shù)據(jù)中心用戶權(quán)限���、系統(tǒng)運(yùn)行��、網(wǎng)絡(luò)通信�、數(shù)據(jù)管理以及機(jī)房安全、設(shè)備安全���、緊急情況處理流程等規(guī)章制度是否健全完善���,是否按照機(jī)房和數(shù)據(jù)管理要求,配備專業(yè)的系統(tǒng)管理員和數(shù)據(jù)庫管理員等維護(hù)操作人員�����,并加強(qiáng)對維護(hù)和操作人員的培訓(xùn)和管理�,明確責(zé)任,將各項安全管理制度落到實處���。
(二)安全防護(hù)情況�。網(wǎng)絡(luò)與信息系統(tǒng)防毒�、防攻擊、防篡改�����、防癱瘓�、防泄密等技術(shù)措施及有效性。重點檢查重要網(wǎng)絡(luò)與信息系統(tǒng)的安全防護(hù)情況�����,包括技術(shù)防護(hù)體系建立情況����;網(wǎng)絡(luò)邊界防護(hù)措施,不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施��,互聯(lián)網(wǎng)接入安全防護(hù)措施���,無線局域網(wǎng)安全防護(hù)策略等���;服務(wù)器、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備等安全策略配置及有效性���,應(yīng)用系統(tǒng)安全功能配置及有效性���;數(shù)據(jù)審計系統(tǒng)���、日志服務(wù)器、監(jiān)控系統(tǒng)的運(yùn)行情況����;終端計算機(jī)、移動存儲介質(zhì)安全防護(hù)措施���;重要數(shù)據(jù)傳輸���、存儲的安全防護(hù)措施等。
(三)數(shù)據(jù)保護(hù)情況�。數(shù)據(jù)管理安全意識和日常監(jiān)管措施,數(shù)據(jù)維護(hù)���、管理等軟硬件設(shè)施建設(shè)����。重點檢查應(yīng)用系統(tǒng)的數(shù)據(jù)備份工作�,備份數(shù)據(jù)是否安全、有效��,是否建立異地容災(zāi)中心,全面�、有效地防范和化解信息系統(tǒng)及數(shù)據(jù)庫風(fēng)險�;重要業(yè)務(wù)數(shù)據(jù)的傳輸、遷移是否采用密碼技術(shù)或者特殊的防護(hù)手段��;計算機(jī)存儲介質(zhì)的恢復(fù)和銷毀工作是否嚴(yán)格按照信息安全管理的有關(guān)規(guī)定進(jìn)行�����,由具有專業(yè)處理資質(zhì)的單位進(jìn)行處理�����,并做好登記���;是否對開發(fā)運(yùn)維商進(jìn)行權(quán)限管理����,授予開發(fā)運(yùn)維商有限的操作權(quán)限并與開發(fā)運(yùn)維商簽訂數(shù)據(jù)安全保密協(xié)議���。
(四)應(yīng)急工作情況�。按照國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案要求���,建立健全信息安全應(yīng)急工作機(jī)制情況�。重點檢查信息安全事件應(yīng)急預(yù)案制定修訂情況,應(yīng)急預(yù)案演練情況����;應(yīng)急技術(shù)支撐隊伍、災(zāi)難備份與恢復(fù)措施建設(shè)情況�,重大信息安全事件處置及查處情況等。
(五)安全教育培訓(xùn)情況����。重點檢查信息安全和保密形勢宣傳教育、領(lǐng)導(dǎo)干部和各級人員信息安全技能培訓(xùn)�、信息安全管理和技術(shù)人員專業(yè)培訓(xùn)情況等。
(六)信息安全等級保護(hù)工作開展情況���。重點檢查信息系統(tǒng)等級保護(hù)定級備案�����、測評開展工作�。是否按照省衛(wèi)生廳��、公安廳《關(guān)于印發(fā)<湖南省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護(hù)工作實施方案>的通知》(湘衛(wèi)辦發(fā)〔2012〕28號)要求,認(rèn)真組織實施衛(wèi)生信息系統(tǒng)安全等級保護(hù)工作�。
三、檢查方式
信息安全檢查工作按照“誰主管誰負(fù)責(zé)�、誰運(yùn)行誰負(fù)責(zé)”的原則,以自查和抽查相結(jié)合的方式開展���。市衛(wèi)生局負(fù)責(zé)網(wǎng)絡(luò)與信息安全檢查的組織、協(xié)調(diào)和指導(dǎo)工作����。
(一)自查工作
1.市直各醫(yī)療衛(wèi)生單位負(fù)責(zé)本單位的信息系統(tǒng)自查工作。
2.各區(qū)縣(市)衛(wèi)生局負(fù)責(zé)組織本地區(qū)衛(wèi)生行業(yè)信息系統(tǒng)的自查工作���。
3.自查工作完成后���,各單位要對檢查情況進(jìn)行全面匯總,填寫檢查結(jié)果統(tǒng)計表(附件1)��,認(rèn)真梳理存在的主要問題�����,分析評估安全風(fēng)險����,撰寫自查總結(jié)報告(附件2)�。
(二)抽查工作
市衛(wèi)生局組織對部分重點單位信息安全進(jìn)行抽查���,查找安全漏洞和隱患����,評估信息安全防護(hù)能力和水平��,研究提出改進(jìn)和加強(qiáng)信息安全保障的措施與建議�����。
四�、時間安排
(一)自查時間進(jìn)度安排
1.實施階段:8月22日~9月15日。
2.總結(jié)上報階段:9月15日~9月20日�����。
(二)抽查時間進(jìn)度安排
實施時間:9月21日~9月30日
五�、信息報送
2013年9月20日前,各區(qū)(縣)市衛(wèi)生局��、市直醫(yī)療衛(wèi)生單位將檢查總結(jié)報告(附件2)連同檢查結(jié)果統(tǒng)計表(附件1)報送市衛(wèi)生局辦公室��。
六、工作要求
(一)加強(qiáng)組織領(lǐng)導(dǎo)�����。各級各單位要高度重視此次檢查工作��,切實加強(qiáng)組織領(lǐng)導(dǎo)�����,精心部署���,落實工作責(zé)任,確保檢查順利實施并取得實效���。
(二)加強(qiáng)整改落實��。對檢查中發(fā)現(xiàn)的問題及時分析研究�,采取有效措施加以整改���。條件不具備不能立刻整改的��,要制定整改計劃���、整改方案及整改時間表���,并采取臨時防范措施,確保網(wǎng)絡(luò)與信息系統(tǒng)安全正常運(yùn)行�����。
(三)加強(qiáng)保密管理�����。在檢查中����,要嚴(yán)格按照有關(guān)保密規(guī)定和要求,切實加強(qiáng)保密管理�。
聯(lián) 系 人: 唐啟超 伍力
聯(lián)系電話:0737-4301120
電子郵箱:yywsyj@sina。com
附件:1.地方/行業(yè)信息安全檢查結(jié)果統(tǒng)計表
2.信息安全總結(jié)報告參考格式
益陽市衛(wèi)生局
2013年8月26日
附件1
地方/行業(yè)信息安全檢查結(jié)果統(tǒng)計表
市/州/單位名稱: |
一��、重要信息系統(tǒng)安全檢查情況 |
基本情況 | 重要信息系統(tǒng)總數(shù): (請另附系統(tǒng)清單) |
(按服務(wù)對象 進(jìn)行統(tǒng)計) | 1. 面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量: 2. 不面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量: |
(按聯(lián)網(wǎng)情況 進(jìn)行統(tǒng)計) | 1. 通過互聯(lián)網(wǎng)可直接訪問的系統(tǒng)數(shù)量: 2. 通過互聯(lián)網(wǎng)不能直接訪問的系統(tǒng)數(shù)量: 其中�,與互聯(lián)網(wǎng)物理隔離的系統(tǒng)數(shù)量: |
(按數(shù)據(jù)集中情況進(jìn)行統(tǒng)計) | 1. 全國數(shù)據(jù)集中的系統(tǒng)數(shù)量: 2. 省級數(shù)據(jù)集中的系統(tǒng)數(shù)量: 3. 未進(jìn)行數(shù)據(jù)集中的系統(tǒng)數(shù)量: |
(按業(yè)務(wù)連續(xù)性進(jìn)行統(tǒng)計) | 1. 可容忍中斷時間小于30分鐘的系統(tǒng)數(shù)量: 2. 可容忍中斷時間大于30分鐘、小于12小時的系統(tǒng)數(shù)量: 3. 可容忍中斷時間大于12小時的系統(tǒng)數(shù)量: |
(按災(zāi)備情況 進(jìn)行統(tǒng)計) | 1. 進(jìn)行系統(tǒng)級災(zāi)備的系統(tǒng)數(shù)量: 2. 僅對數(shù)據(jù)進(jìn)行災(zāi)備的系統(tǒng)數(shù)量: 3. 無災(zāi)備的系統(tǒng)數(shù)量: |
系統(tǒng) 構(gòu)成情況 | 主要硬件和軟件 | | 服務(wù)器 | 路由器 | 交換機(jī) | 防火墻 | 磁盤陣列 | 磁帶庫 | 操作系統(tǒng) | 數(shù)據(jù)庫 |
國內(nèi)品牌數(shù)量 (臺/套) | | | | | | | | |
國外品牌數(shù)量 (臺/套) | | | | | | | | |
業(yè)務(wù)應(yīng)用 軟件系統(tǒng) (統(tǒng)計3年內(nèi)數(shù)據(jù)) | 1. 自主設(shè)計開發(fā)(不含二次開發(fā))的套數(shù): 2. 委托國內(nèi)廠商開發(fā)的套數(shù): 委托國外廠商開發(fā)的套數(shù): 3. 直接采購國內(nèi)廠商產(chǎn)品的套數(shù): 直接采購國外廠商產(chǎn)品的套數(shù): |
二���、重要工業(yè)控制系統(tǒng)安全檢查情況 |
基本情況 | 重要工業(yè)控制系統(tǒng)運(yùn)營單位總數(shù): 家 重要工業(yè)控制系統(tǒng)總數(shù): 套 |
系統(tǒng)類型情況 | | 國內(nèi)品牌 | 國外品牌 |
數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng) | 套 | 套 |
分布式控制系統(tǒng)(DCS) | 套 | 套 |
過程控制系統(tǒng)(PCS) | 套 | 套 |
可編程控制器(PLC) | 臺 | 臺 |
工業(yè)控制網(wǎng)絡(luò) 連接情況 | 1. 直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量: 套 2. 與內(nèi)部局域網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量: 套 3. 含有無線接入方式的重要工業(yè)控制系統(tǒng)數(shù)量: 套 |
運(yùn)行維護(hù)情況 | 1. 采用遠(yuǎn)程方式運(yùn)行維護(hù)的重要工業(yè)控制系統(tǒng)數(shù)量: 套 2. 由國內(nèi)廠商提供運(yùn)行維護(hù)服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量: 套 3. 由國外廠商提供運(yùn)行維護(hù)服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量: 套 |
信息安全 防護(hù)情況 | 1. 網(wǎng)絡(luò)邊界處架設(shè)網(wǎng)絡(luò)安全設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量: 套 2. 安裝防病毒軟件或設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量: 套 3. 定期進(jìn)行安全更新的重要工業(yè)控制系統(tǒng)數(shù)量: 套 4. 采取加密措施傳輸�����、存儲敏感數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量: 套 |
三���、本年度信息安全事件及技術(shù)檢測情況 |
信息安全事件[1]情況 | 特別重大信息安全事件次數(shù): 重大信息安全事件次數(shù): 較大信息安全事件次數(shù): 一般信息安全事件次數(shù): |
地區(qū)/行業(yè)統(tǒng)一組織的技術(shù)檢測情況 | 惡意代碼[2]檢測 | ①進(jìn)行過病毒木馬等惡意代碼檢測的服務(wù)器臺數(shù):___________ 其中��,存在惡意代碼的服務(wù)器臺數(shù):___________ ②進(jìn)行過病毒木馬等惡意代碼檢測的終端計算機(jī)臺數(shù):_________ 其中�����,存在惡意代碼的終端計算機(jī)臺數(shù):___________ |
安全漏洞檢測 | ①進(jìn)行過漏洞掃描的服務(wù)器臺數(shù):___________ 其中�,存在漏洞的服務(wù)器臺數(shù):___________ 存在高風(fēng)險漏洞[3]的服務(wù)器臺數(shù):___________ ②進(jìn)行過漏洞掃描的終端計算機(jī)臺數(shù):___________ 其中����,存在漏洞的終端計算機(jī)臺數(shù):___________ 存在高風(fēng)險漏洞的終端計算機(jī)臺數(shù):___________ |
| | | | | | | | | | | | | | | | | |
附件2
信息安全總結(jié)報告參考格式
一���、自查工作總結(jié)報告名稱
×××(區(qū)縣�、部門����、行業(yè)名稱)信息安全自查工作總結(jié)報告
二、主報告內(nèi)容要求
(一)本地區(qū)(部門�����、行業(yè))信息安全自查工作組織開展情況。概述此次安全檢測工作組織開展情況����、所檢查的重要信息系統(tǒng)基本情況。
(二)本地區(qū)(部門�����、行業(yè))信息安全工作情況���。對照《檢查通知》要求�����,逐項�����、詳細(xì)描述本地區(qū)(部門���、行業(yè))在安全管理、技術(shù)防護(hù)�����、應(yīng)急處置、安全教育培訓(xùn)與安全問題整改方面工作的檢查結(jié)果��。
(三)本地區(qū)(部門�、行業(yè))自查發(fā)現(xiàn)的主要問題和面臨的威脅分析。
1.發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)
2.面臨的安全威脅與風(fēng)險
3.整體安全狀況的基本判斷
(四)改進(jìn)措施及整改效果�����。
1.改進(jìn)措施
2.整改效果
(五)關(guān)于加強(qiáng)信息安全工作的意見和建議�����。
[1]信息安全事件分級標(biāo)準(zhǔn)參見《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》(國辦函〔2008〕168號)
[2]本表所稱惡意代碼���,是指病毒木馬等具有避開安全保護(hù)措施����、竊取他人信息���、損害他人計算機(jī)及信息系統(tǒng)資源、對他人計算機(jī)及信息系統(tǒng)實施遠(yuǎn)程控制等功能的代碼或程序�。
[3]本表所稱高風(fēng)險漏洞���,是指計算機(jī)硬件、軟件或信息系統(tǒng)中存在的嚴(yán)重安全缺陷���,利用這些缺陷可完全控制或部分控制計算機(jī)及信息系統(tǒng)��,對計算機(jī)及信息系統(tǒng)實施攻擊��、破壞��、信息竊取等行為�����。
