醫(yī)學全在線
衛(wèi)生部直屬 | 浙江 | 河南 | 廣東 | 北京 | 天津 | 河北 | 上海 | 江蘇 | 山東 | 山西 | 湖南 | 安徽 | 江西 | 福建 | 湖北 | 廣西
貴州 | 云南 | 四川 | 陜西 | 重慶 | 甘肅 | 寧夏 | 青海 | 新疆 | 新疆兵團 | 遼寧 | 吉林 | 海南 | 西藏 | 黑龍江 | 內蒙古
您現(xiàn)在的位置: 醫(yī)學全在線 > 中國衛(wèi)生人才網(wǎng) > 湖南衛(wèi)生人才網(wǎng) > 益陽 > 正文:益陽國家衛(wèi)生人才網(wǎng):益陽市有關開展衛(wèi)生系列系統(tǒng)資訊安全檢查工作的公告
    

益陽市有關開展衛(wèi)生系列系統(tǒng)資訊安全檢查工作的公告

益陽國家衛(wèi)生人才網(wǎng):益陽市有關開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知:益衛(wèi)函〔2013〕218 號 益陽市衛(wèi)生局關于開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知 各區(qū)縣(市)衛(wèi)生局、大通湖區(qū)社會發(fā)展局、益陽高新區(qū)社會工作部,市直各醫(yī)療衛(wèi)生單位:按照《國家衛(wèi)生計生委辦公廳關于開展衛(wèi)生計生領域信息安全檢查工作的通知》(國衛(wèi)辦規(guī)劃函〔2013〕51號)以及工業(yè)和信息化部《關于印發(fā)2013年重點領域信息安全檢查工作方案的函》(工信部協(xié)函〔2013〕259號)和湖南省衛(wèi)生廳《關于開展衛(wèi)

益衛(wèi)函〔2013〕218 號

益陽市衛(wèi)生局關于開展

衛(wèi)生系統(tǒng)信息安全檢查工作的通知

各區(qū)縣(市)衛(wèi)生局、大通湖區(qū)社會發(fā)展局、益陽高新區(qū)社會工作部,市直各醫(yī)療衛(wèi)生單位

按照《國家衛(wèi)生計生委辦公廳關于開展衛(wèi)生計生領域信息安全檢查工作的通知》(國衛(wèi)辦規(guī)劃函〔2013〕51號)以及工業(yè)和信息化部《關于印發(fā)2013年重點領域信息安全檢查工作方案的函》(工信部協(xié)函〔2013〕259號)和湖南省衛(wèi)生廳《關于開展衛(wèi)生系統(tǒng)信息安全檢查工作的通知》(湘衛(wèi)辦發(fā)〔2013〕28號)要求,市衛(wèi)生局將在全市范圍內開展衛(wèi)生系統(tǒng)信息安全檢查工作,F(xiàn)將有關事項通知如下:

一、檢查目的

通過開展常態(tài)化的信息安全檢查,進一步落實信息安全責任,增強信息安全意識,認真查找突出問題和薄弱環(huán)節(jié),全面排查安全隱患和安全漏洞,分析評估信息安全狀況和防護水平,有針對性地采取管理和技術防護措施,促進安全防范水平和安全可控能力提升,預防和減少重大信息安全事件的發(fā)生,切實保障信息安全。

二、檢查內容

(一)信息安全管理制度的建設及落實情況。按照國家信息安全政策和標準規(guī)范要求,建立健全信息安全管理規(guī)章制度。重點檢查信息安全主管領導、管理機構、工作人員履職情況,信息安全責任落實及事故責任追究情況,人員、資產、采購、外包服務等日常安全管理情況,信息安全經費保障情況等。其中包括數(shù)據(jù)中心用戶權限、系統(tǒng)運行、網(wǎng)絡通信、數(shù)據(jù)管理以及機房安全、設備安全、緊急情況處理流程等規(guī)章制度是否健全完善,是否按照機房和數(shù)據(jù)管理要求,配備專業(yè)的系統(tǒng)管理員和數(shù)據(jù)庫管理員等維護操作人員,并加強對維護和操作人員的培訓和管理,明確責任,將各項安全管理制度落到實處。

(二)安全防護情況。網(wǎng)絡與信息系統(tǒng)防毒、防攻擊、防篡改、防癱瘓、防泄密等技術措施及有效性。重點檢查重要網(wǎng)絡與信息系統(tǒng)的安全防護情況,包括技術防護體系建立情況;網(wǎng)絡邊界防護措施,不同網(wǎng)絡或信息系統(tǒng)之間安全隔離措施,互聯(lián)網(wǎng)接入安全防護措施,無線局域網(wǎng)安全防護策略等;服務器、網(wǎng)絡設備、安全設備等安全策略配置及有效性,應用系統(tǒng)安全功能配置及有效性;數(shù)據(jù)審計系統(tǒng)、日志服務器、監(jiān)控系統(tǒng)的運行情況;終端計算機、移動存儲介質安全防護措施;重要數(shù)據(jù)傳輸、存儲的安全防護措施等。

(三)數(shù)據(jù)保護情況。數(shù)據(jù)管理安全意識和日常監(jiān)管措施,數(shù)據(jù)維護、管理等軟硬件設施建設。重點檢查應用系統(tǒng)的數(shù)據(jù)備份工作,備份數(shù)據(jù)是否安全、有效,是否建立異地容災中心,全面、有效地防范和化解信息系統(tǒng)及數(shù)據(jù)庫風險;重要業(yè)務數(shù)據(jù)的傳輸、遷移是否采用密碼技術或者特殊的防護手段;計算機存儲介質的恢復和銷毀工作是否嚴格按照信息安全管理的有關規(guī)定進行,由具有專業(yè)處理資質的單位進行處理,并做好登記;是否對開發(fā)運維商進行權限管理,授予開發(fā)運維商有限的操作權限并與開發(fā)運維商簽訂數(shù)據(jù)安全保密協(xié)議。

(四)應急工作情況。按照國家網(wǎng)絡與信息安全事件應急預案要求,建立健全信息安全應急工作機制情況。重點檢查信息安全事件應急預案制定修訂情況,應急預案演練情況;應急技術支撐隊伍、災難備份與恢復措施建設情況,重大信息安全事件處置及查處情況等。

(五)安全教育培訓情況。重點檢查信息安全和保密形勢宣傳教育、領導干部和各級人員信息安全技能培訓、信息安全管理和技術人員專業(yè)培訓情況等。

(六)信息安全等級保護工作開展情況。重點檢查信息系統(tǒng)等級保護定級備案、測評開展工作。是否按照省衛(wèi)生廳、公安廳《關于印發(fā)<湖南省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護工作實施方案>的通知》(湘衛(wèi)辦發(fā)〔2012〕28號)要求,認真組織實施衛(wèi)生信息系統(tǒng)安全等級保護工作。

三、檢查方式

信息安全檢查工作按照“誰主管誰負責、誰運行誰負責”的原則,以自查和抽查相結合的方式開展。市衛(wèi)生局負責網(wǎng)絡與信息安全檢查的組織、協(xié)調和指導工作。

(一)自查工作

1.市直各醫(yī)療衛(wèi)生單位負責本單位的信息系統(tǒng)自查工作。

2.各區(qū)縣(市)衛(wèi)生局負責組織本地區(qū)衛(wèi)生行業(yè)信息系統(tǒng)的自查工作。

3.自查工作完成后,各單位要對檢查情況進行全面匯總,填寫檢查結果統(tǒng)計表(附件1),認真梳理存在的主要問題,分析評估安全風險,撰寫自查總結報告(附件2)。

(二)抽查工作

市衛(wèi)生局組織對部分重點單位信息安全進行抽查,查找安全漏洞和隱患,評估信息安全防護能力和水平,研究提出改進和加強信息安全保障的措施與建議。

四、時間安排

(一)自查時間進度安排

1.實施階段:8月22日~9月15日。

2.總結上報階段:9月15日~9月20日。

(二)抽查時間進度安排

實施時間:9月21日~9月30日

五、信息報送

2013年9月20日前,各區(qū)(縣)市衛(wèi)生局、市直醫(yī)療衛(wèi)生單位將檢查總結報告(附件2)連同檢查結果統(tǒng)計表(附件1)報送市衛(wèi)生局辦公室。

六、工作要求

(一)加強組織領導。各級各單位要高度重視此次檢查工作,切實加強組織領導,精心部署,落實工作責任,確保檢查順利實施并取得實效。

(二)加強整改落實。對檢查中發(fā)現(xiàn)的問題及時分析研究,采取有效措施加以整改。條件不具備不能立刻整改的,要制定整改計劃、整改方案及整改時間表,并采取臨時防范措施,確保網(wǎng)絡與信息系統(tǒng)安全正常運行。

(三)加強保密管理。在檢查中,要嚴格按照有關保密規(guī)定和要求,切實加強保密管理。

聯(lián) 系 人: 唐啟超  伍力

聯(lián)系電話:0737-4301120

電子郵箱:yywsyj@sina。com

附件:1.地方/行業(yè)信息安全檢查結果統(tǒng)計表

2.信息安全總結報告參考格式

益陽市衛(wèi)生局

2013年8月26日

附件1

地方/行業(yè)信息安全檢查結果統(tǒng)計表

市/州/單位名稱:                                        

一、重要信息系統(tǒng)安全檢查情況

基本情況

重要信息系統(tǒng)總數(shù):                                     (請另附系統(tǒng)清單)

(按服務對象

進行統(tǒng)計)

1. 面向社會公眾提供服務的系統(tǒng)數(shù)量:          

2. 不面向社會公眾提供服務的系統(tǒng)數(shù)量:          

(按聯(lián)網(wǎng)情況

進行統(tǒng)計)

1. 通過互聯(lián)網(wǎng)可直接訪問的系統(tǒng)數(shù)量:          

2. 通過互聯(lián)網(wǎng)不能直接訪問的系統(tǒng)數(shù)量:          

其中,與互聯(lián)網(wǎng)物理隔離的系統(tǒng)數(shù)量:        

(按數(shù)據(jù)集中情況進行統(tǒng)計)

1. 全國數(shù)據(jù)集中的系統(tǒng)數(shù)量:          

2. 省級數(shù)據(jù)集中的系統(tǒng)數(shù)量:          

3. 未進行數(shù)據(jù)集中的系統(tǒng)數(shù)量:          

(按業(yè)務連續(xù)性進行統(tǒng)計)

1. 可容忍中斷時間小于30分鐘的系統(tǒng)數(shù)量:        

2. 可容忍中斷時間大于30分鐘、小于12小時的系統(tǒng)數(shù)量:        

3. 可容忍中斷時間大于12小時的系統(tǒng)數(shù)量:        

(按災備情況

進行統(tǒng)計)

1. 進行系統(tǒng)級災備的系統(tǒng)數(shù)量:          

2. 僅對數(shù)據(jù)進行災備的系統(tǒng)數(shù)量:          

3. 無災備的系統(tǒng)數(shù)量:          

系統(tǒng)

構成情況

主要硬件和軟件

服務器

路由器

交換機

防火墻

磁盤陣列

磁帶庫

操作系統(tǒng)

數(shù)據(jù)庫

國內品牌數(shù)量

(臺/套)

國外品牌數(shù)量

(臺/套)

業(yè)務應用

軟件系統(tǒng)

(統(tǒng)計3年內數(shù)據(jù))

1. 自主設計開發(fā)(不含二次開發(fā))的套數(shù):          

2. 委托國內廠商開發(fā)的套數(shù):          

委托國外廠商開發(fā)的套數(shù):          m.payment-defi.com

3. 直接采購國內廠商產品的套數(shù):          

直接采購國外廠商產品的套數(shù):          

二、重要工業(yè)控制系統(tǒng)安全檢查情況

基本情況

重要工業(yè)控制系統(tǒng)運營單位總數(shù):           家

重要工業(yè)控制系統(tǒng)總數(shù):                   套

系統(tǒng)類型情況

國內品牌

國外品牌

數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)

分布式控制系統(tǒng)(DCS)

過程控制系統(tǒng)(PCS)

可編程控制器(PLC)

工業(yè)控制網(wǎng)絡

連接情況

1. 直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:                 套

2. 與內部局域網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:                 套

3. 含有無線接入方式的重要工業(yè)控制系統(tǒng)數(shù)量:                 套

運行維護情況

1. 采用遠程方式運行維護的重要工業(yè)控制系統(tǒng)數(shù)量:             套

2. 由國內廠商提供運行維護服務的重要工業(yè)控制系統(tǒng)數(shù)量:       套

3. 由國外廠商提供運行維護服務的重要工業(yè)控制系統(tǒng)數(shù)量:       套

信息安全

防護情況

1. 網(wǎng)絡邊界處架設網(wǎng)絡安全設備的重要工業(yè)控制系統(tǒng)數(shù)量:       套

2. 安裝防病毒軟件或設備的重要工業(yè)控制系統(tǒng)數(shù)量:             套

3. 定期進行安全更新的重要工業(yè)控制系統(tǒng)數(shù)量:                 套

4. 采取加密措施傳輸、存儲敏感數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量:   套

三、本年度信息安全事件及技術檢測情況

信息安全事件[1]情況

特別重大信息安全事件次數(shù):        

重大信息安全事件次數(shù):        

較大信息安全事件次數(shù):        

一般信息安全事件次數(shù):        

地區(qū)/行業(yè)統(tǒng)一組織的技術檢測情況

惡意代碼[2]檢測

①進行過病毒木馬等惡意代碼檢測的服務器臺數(shù):___________

其中,存在惡意代碼的服務器臺數(shù):___________

②進行過病毒木馬等惡意代碼檢測的終端計算機臺數(shù):_________

其中,存在惡意代碼的終端計算機臺數(shù):___________

安全漏洞檢測

①進行過漏洞掃描的服務器臺數(shù):___________

其中,存在漏洞的服務器臺數(shù):___________

存在高風險漏洞[3]的服務器臺數(shù):___________

②進行過漏洞掃描的終端計算機臺數(shù):___________

其中,存在漏洞的終端計算機臺數(shù):___________

存在高風險漏洞的終端計算機臺數(shù):___________

附件2

信息安全總結報告參考格式

一、自查工作總結報告名稱

×××(區(qū)縣、部門、行業(yè)名稱)信息安全自查工作總結報告

二、主報告內容要求

(一)本地區(qū)(部門、行業(yè))信息安全自查工作組織開展情況。概述此次安全檢測工作組織開展情況、所檢查的重要信息系統(tǒng)基本情況。

(二)本地區(qū)(部門、行業(yè))信息安全工作情況。對照《檢查通知》要求,逐項、詳細描述本地區(qū)(部門、行業(yè))在安全管理、技術防護、應急處置、安全教育培訓與安全問題整改方面工作的檢查結果。

(三)本地區(qū)(部門、行業(yè))自查發(fā)現(xiàn)的主要問題和面臨的威脅分析。

1.發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)

2.面臨的安全威脅與風險

3.整體安全狀況的基本判斷

(四)改進措施及整改效果。

1.改進措施

2.整改效果

(五)關于加強信息安全工作的意見和建議。



[1]信息安全事件分級標準參見《國家網(wǎng)絡與信息安全事件應急預案》(國辦函〔2008〕168號)

[2]本表所稱惡意代碼,是指病毒木馬等具有避開安全保護措施、竊取他人信息、損害他人計算機及信息系統(tǒng)資源、對他人計算機及信息系統(tǒng)實施遠程控制等功能的代碼或程序。

[3]本表所稱高風險漏洞,是指計算機硬件、軟件或信息系統(tǒng)中存在的嚴重安全缺陷,利用這些缺陷可完全控制或部分控制計算機及信息系統(tǒng),對計算機及信息系統(tǒng)實施攻擊、破壞、信息竊取等行為。

...
關于我們 - 聯(lián)系我們 -版權申明 -誠聘英才 - 網(wǎng)站地圖 - 網(wǎng)絡課程 - 幫助
醫(yī)學全在線 版權所有© CopyRight 2006-2046, MED126.COM, All Rights Reserved
浙ICP備12017320號
百度大聯(lián)盟認證綠色會員可信網(wǎng)站 中網(wǎng)驗證