第一篇:三甲醫(yī)院等級(jí)測(cè)評(píng)技術(shù)
三甲醫(yī)院等級(jí)測(cè)評(píng)
技術(shù)白皮書(shū)
東軟 2012 年8 月
目錄 2 3 等保建設(shè)與等級(jí)測(cè)評(píng)-行業(yè)文件及進(jìn)度要求...............................................................1 等保建設(shè)及等級(jí)評(píng)測(cè)-三級(jí)綜合醫(yī)院評(píng)審相關(guān)要求...................................................1 等保建設(shè)及等級(jí)測(cè)評(píng)的流程、內(nèi)容............................................................................2 3.1 3.2 3.3 4 等保建設(shè)的階段劃分.............................................................................................2 等級(jí)測(cè)評(píng)的流程與方法.........................................................................................3 等級(jí)測(cè)評(píng)備案.........................................................................................................4
等級(jí)測(cè)評(píng)的內(nèi)容及指標(biāo)體系........................................................................................5 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 等保三級(jí)基本要求-物理安全................................................................................6 等保三級(jí)基本要求-網(wǎng)絡(luò)安全................................................................................7 等保三級(jí)基本要求-主機(jī)安全................................................................................9 等保三級(jí)基本要求-應(yīng)用安全..............................................................................11 等保三級(jí)基本要求-數(shù)據(jù)安全及備份恢復(fù)..........................................................12 等保三級(jí)基本要求-安全管理制度......................................................................13 等保三級(jí)基本要求-安全管理機(jī)構(gòu)......................................................................13 等保三級(jí)基本要求-人員安全管理......................................................................14 等保三級(jí)基本要求-系統(tǒng)建設(shè)管理......................................................................15 等保三級(jí)基本要求-系統(tǒng)運(yùn)維管理..................................................................17 6 東軟等級(jí)保護(hù)服務(wù)優(yōu)勢(shì)..............................................................................................21 東軟等保差距測(cè)評(píng)部分典型案例..............................................................................23 6.1 6.2 6.3 中國(guó)國(guó)際金融有限公司-等級(jí)保護(hù)差距測(cè)評(píng)......................................................23 南方電網(wǎng)集團(tuán)-等級(jí)測(cè)評(píng)與信息安全管理體系梳理..........................................23 國(guó)家質(zhì)檢總局-等級(jí)保護(hù)咨詢?cè)u(píng)估......................................................................23 1等保建設(shè)與等級(jí)測(cè)評(píng)-行業(yè)文件及進(jìn)度要求
根據(jù)《衛(wèi)生部辦公廳關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》(衛(wèi) 辦綜函〔2011〕1126號(hào)),“十二五”期間包括三甲醫(yī)院在內(nèi)的所有衛(wèi)生行業(yè)單位 全面開(kāi)展信息系統(tǒng)定級(jí)、備案、整改建設(shè)和等級(jí)測(cè)評(píng)工作。加強(qiáng)衛(wèi)生行業(yè)等保建設(shè),對(duì)于確保公共衛(wèi)生和醫(yī)療信息系統(tǒng)安全穩(wěn)定運(yùn)行,維護(hù)社會(huì)和諧,改善醫(yī)患關(guān)系,保 護(hù)患者隱私,防止商業(yè)秘密泄露具有重要意義。
目前全國(guó)各省均己按照衛(wèi)生部要求積極推動(dòng)衛(wèi)生行業(yè)等保工作,絕大部分省市均 要求在2012 年底或2013 年底前完成三甲醫(yī)院的等保定級(jí)、備案、整改建設(shè)和等級(jí)測(cè) 評(píng)工作。以廣東為例,根據(jù)廣東省衛(wèi)生廳《關(guān)于全面開(kāi)展全省衛(wèi)生行業(yè)信息安全等級(jí) 保護(hù)工作的通知》(粵衛(wèi)辦函〔2012〕2號(hào)),廣東省各級(jí)衛(wèi)生單位要在2012 年12 月30 日前完成信息安全等級(jí)保護(hù)建設(shè)整改并通過(guò)等級(jí)測(cè)評(píng)。陜西省衛(wèi)生廳也下發(fā)了 《陜西省衛(wèi)生廳關(guān)于印發(fā)陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案的通知》(陜衛(wèi)辦發(fā)〔2012〕132號(hào)),要求在2012 年底前完成三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信 息系統(tǒng)的定級(jí)、保護(hù)和備案工作。各省、市、自治區(qū)均依據(jù)各自實(shí)際情況,制定了相 應(yīng)的等保建設(shè)進(jìn)度安排,以達(dá)到衛(wèi)生部衛(wèi)辦綜函〔2011〕1126號(hào)文件中所要求的,在2015 年底前完成全行業(yè)的等保建設(shè)整改和測(cè)評(píng)工作。
2等保建設(shè)及等級(jí)評(píng)測(cè)-三級(jí)綜合醫(yī)院評(píng)審相關(guān)要求
等保建設(shè)是三甲醫(yī)院建設(shè)的重要內(nèi)容。《三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)實(shí)施細(xì)則(2011 年版)》第六章對(duì)三甲醫(yī)院有如下要求:“實(shí)施國(guó)家信息安全等級(jí)保護(hù)制度,實(shí)行信 息系統(tǒng)操作權(quán)限分級(jí)管理,保障網(wǎng)絡(luò)信息安全,保護(hù)患者隱私。推動(dòng)系統(tǒng)運(yùn)行維護(hù)的 規(guī)范化管理,落實(shí)突發(fā)事件響應(yīng)機(jī)制,保證業(yè)務(wù)的連續(xù)性。”,對(duì)信息系統(tǒng)的安全措 施、防病毒、防入侵、安全監(jiān)管、安全運(yùn)維及安全保護(hù)等級(jí)等作出了詳細(xì)規(guī)定。3等保建設(shè)及等級(jí)測(cè)評(píng)的流程、內(nèi)容
3.1等保建設(shè)的階段劃分
如上圖所示,三甲醫(yī)院等保項(xiàng)目建設(shè)可以劃分為系統(tǒng)定級(jí)、等保差距測(cè)評(píng)及規(guī)劃 設(shè)計(jì)、等保安全集成、等級(jí)測(cè)評(píng)、等級(jí)測(cè)評(píng)備案及安全運(yùn)維6 個(gè)階段。對(duì)于三級(jí)系統(tǒng)(如三甲醫(yī)院HIS 系統(tǒng)、電子病歷系統(tǒng)等),在安全運(yùn)維階段還需要每年做一次等級(jí) 測(cè)評(píng)及備案工作。具體流程是:
1、按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開(kāi)展定級(jí)工作,并報(bào) 屬地公安機(jī)關(guān)及衛(wèi)生行政部門(mén)備案。
2、按照國(guó)家信息安全等級(jí)保護(hù)工作規(guī)范及相關(guān)標(biāo)準(zhǔn)開(kāi)展安全保護(hù)現(xiàn)狀分析,查 找安全隱患及與等保標(biāo)準(zhǔn)之間的差距,確定安全需求;制訂等級(jí)保護(hù)建設(shè)整改方案,并經(jīng)信息安全技術(shù)專家委員會(huì)論證。
3、按照整改方案,完善安全保護(hù)設(shè)施,建立安全管理制度,落實(shí)安全管理措施,形成信息安全技術(shù)防護(hù)體系和信息安全管理體系,保障信息系統(tǒng)安全。
4、選擇權(quán)威等級(jí)測(cè)評(píng)機(jī)構(gòu),對(duì)醫(yī)院三級(jí)及三級(jí)以上信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。
5、等級(jí)測(cè)評(píng)合格后,將測(cè)評(píng)報(bào)告報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門(mén)備案。
6、在日常運(yùn)維過(guò)程中落實(shí)相應(yīng)技術(shù)及管理措施,保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。階段 定級(jí)備案
文檔輸出成果物
《信息系統(tǒng)定級(jí)結(jié)果報(bào)告》包括信息化現(xiàn)狀概述;:管理模式; 信息系統(tǒng)列表;信息系統(tǒng)的概述;信息系統(tǒng)的邊界、設(shè)備部署、支撐的業(yè)務(wù)應(yīng)用、安全保護(hù)等級(jí)以及保護(hù)要求;
差距測(cè)評(píng)與規(guī)劃設(shè)計(jì)《差距測(cè)評(píng)報(bào)告》(每個(gè)系統(tǒng)一份報(bào)告):包括信息系統(tǒng)現(xiàn)狀、信息系統(tǒng)安全測(cè)評(píng)的方法、信息系統(tǒng)運(yùn)行環(huán)境測(cè)評(píng)、安全測(cè)評(píng) 內(nèi)容、殘留風(fēng)險(xiǎn)分析與評(píng)價(jià);
《安全設(shè)計(jì)方案》根據(jù)等保標(biāo)準(zhǔn)中對(duì)三級(jí)系統(tǒng)的相關(guān)要求以及 醫(yī)院的實(shí)際情況編寫(xiě)安全設(shè)計(jì)方案,包括對(duì)系統(tǒng)的安全保護(hù)要 求、策略和措施等內(nèi)容;
等保安全集成
《安全建設(shè)項(xiàng)目計(jì)劃》:包含項(xiàng)目所有過(guò)程的時(shí)間、人員、質(zhì) 量控制等;《項(xiàng)目實(shí)施報(bào)告》:包含項(xiàng)目工作日志、會(huì)議紀(jì)要、變更文檔等;《項(xiàng)目驗(yàn)收文檔》:包含系統(tǒng)交付清單以及產(chǎn)品 相關(guān)文檔等;
等級(jí)測(cè)評(píng)
《等級(jí)測(cè)評(píng)報(bào)告》(每個(gè)系統(tǒng)一份報(bào)告):內(nèi)容包括信息系統(tǒng) 現(xiàn)狀、信息系統(tǒng)安全測(cè)評(píng)的方法、信息系統(tǒng)運(yùn)行環(huán)境測(cè)評(píng)、安 全測(cè)評(píng)內(nèi)容、預(yù)估風(fēng)險(xiǎn)分析與符合度評(píng)價(jià)、殘留風(fēng)險(xiǎn)的測(cè)試以 及控制方法等建議結(jié)論。
等級(jí)測(cè)評(píng)備案 安全運(yùn)維
《信息系統(tǒng)安全等級(jí)保護(hù)備案表》
《系統(tǒng)運(yùn)行管理和控制報(bào)告》、《系統(tǒng)變更管理和控制報(bào)告》、《系統(tǒng)安全狀態(tài)監(jiān)控及安全事件處置報(bào)告》
3.2等級(jí)測(cè)評(píng)的流程與方法
根據(jù)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》,三甲醫(yī)院的等保相關(guān)測(cè)評(píng) 工作主要分為兩類:差距測(cè)評(píng)及等級(jí)測(cè)評(píng)。兩類測(cè)評(píng)依據(jù)的標(biāo)準(zhǔn)和內(nèi)容是相同的。差 距測(cè)評(píng)通常在整改建設(shè)前完成,等級(jí)測(cè)評(píng)通常在整改建設(shè)完成后進(jìn)行。
差距測(cè)評(píng)是依據(jù)對(duì)安全現(xiàn)狀的調(diào)研和分析,查找安全隱患及與國(guó)家信息安全等級(jí) 保護(hù)標(biāo)準(zhǔn)之間的差距,測(cè)評(píng)報(bào)告和結(jié)果主要用于指導(dǎo)等保合規(guī)性建設(shè)。等級(jí)測(cè)評(píng)由具有等級(jí)測(cè)評(píng)的機(jī)構(gòu),對(duì)系統(tǒng)安全保障體系是否達(dá)到相應(yīng)等級(jí)的等保 要求進(jìn)行的測(cè)評(píng),其測(cè)評(píng)報(bào)告和結(jié)果具有權(quán)威性。
等級(jí)測(cè)評(píng)(包括等保差距測(cè)評(píng))可劃分為測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析 和編制測(cè)評(píng)報(bào)告四個(gè)階段,如下圖所示:
等級(jí)測(cè)評(píng)的方法主要包括訪談、檢查和測(cè)試。
3.3等級(jí)測(cè)評(píng)備案
等級(jí)測(cè)評(píng)完成后,應(yīng)到當(dāng)?shù)毓矙C(jī)關(guān)辦理備案手續(xù)。到公安機(jī)關(guān)指定網(wǎng)址下載信 息安全等級(jí)保護(hù)備案軟件,填寫(xiě)生成《信息系統(tǒng)安全等級(jí)保護(hù)備案表》及相關(guān)附件,向公安機(jī)關(guān)網(wǎng)監(jiān)部門(mén)提出備案申請(qǐng)。對(duì)于HIS等三級(jí)及三級(jí)以上信息系統(tǒng),提供系統(tǒng) 拓?fù)浣Y(jié)構(gòu)及說(shuō)明、安全組織機(jī)構(gòu)和管理制度、安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案、系統(tǒng)使用 的信息安全產(chǎn)品清單及相關(guān)資質(zhì)證書(shū)、等級(jí)測(cè)評(píng)報(bào)告等。4等級(jí)測(cè)評(píng)的內(nèi)容及指標(biāo)體系
根據(jù)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》,三甲醫(yī)院HIS 等系統(tǒng)根 據(jù)GB/T 22239-2008 《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中三級(jí)的基 本要求進(jìn)行測(cè)評(píng)。測(cè)評(píng)主要包括兩個(gè)方面的內(nèi)容:一是安全控制測(cè)評(píng),主要測(cè)評(píng)信息 安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;二是系統(tǒng)整體測(cè)評(píng),主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性,包括安全控制間、層面間、區(qū)域間和系統(tǒng)整體 結(jié)構(gòu)4 個(gè)層次,涉及到信息系統(tǒng)的整體拓?fù)洹⒕植拷Y(jié)構(gòu),也關(guān)系到信息系統(tǒng)的具體安 全功能實(shí)現(xiàn)和安全控制配置,與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)。其中,安全控制 測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。
對(duì)安全控制測(cè)評(píng)的描述,使用工作單元方式組織。工作單元分為安全技術(shù)測(cè)評(píng)和 安全管理測(cè)評(píng)兩大類。安全技術(shù)測(cè)評(píng)包括:物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng) 用安全和數(shù)據(jù)安全等五個(gè)層面上的安全控制測(cè)評(píng);安全管理測(cè)評(píng)包括:安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制 測(cè)評(píng)。如下圖所示。
測(cè)評(píng)的工作單元(描述方式)包括測(cè)評(píng)項(xiàng)、測(cè)評(píng)方式、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和結(jié) 果判定,如下圖所示。根據(jù)保護(hù)側(cè)重點(diǎn)的不同,技術(shù)類安全要求進(jìn)一步細(xì)分為:保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求(簡(jiǎn)記為S);保 護(hù)系統(tǒng)連續(xù)正常的運(yùn)行,免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保 證類要求(簡(jiǎn)記為A);通用安全保護(hù)類要求(簡(jiǎn)記為 G)。下表中標(biāo)記的字母表示 安全要求的類型,數(shù)字表示適用的安全保護(hù)等級(jí)。
4.1等保三級(jí)基本要求-物理安全
測(cè)評(píng)項(xiàng) 物理位置的選擇(G3)
測(cè)評(píng)要求
a)機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能 力的建筑內(nèi);
b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用 水設(shè)備的下層或隔壁。
a)機(jī)房出入口應(yīng)安排專人值守,控制、鑒別和記錄進(jìn)入 的人員;
b)需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程,并限 制和監(jiān)控其活動(dòng)范圍;
c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理,區(qū)域和區(qū)域之間設(shè)置物 理隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域;
結(jié)果判定
物理訪問(wèn)控制(G3)
防盜竊和防破環(huán)(G3)d)重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng),控制、鑒別和記錄進(jìn) 入的人員。
a)應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi);
b)應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除 去的標(biāo)記;
c)應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道 中;
d)應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫(kù)或檔案室中; e)應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng); f)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。
防雷擊(G3)a)機(jī)房建筑應(yīng)設(shè)置避雷裝置; b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷; c)機(jī)房應(yīng)設(shè)置交流電源地線。
防火(G3)a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火;
b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等 級(jí)的建筑材料;
c)機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè) 備隔離開(kāi)。
a)水管安裝,不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下; b)應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲 透;
c)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn) 移與滲透;
d)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)行防水 檢測(cè)和報(bào)警。
a)主要設(shè)備應(yīng)采用必要的接地防靜電措施; b)機(jī)房應(yīng)采用防靜電地板。
溫濕度控制(G3)電力供應(yīng)(A3)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的 變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。
a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備; b)應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷 電情況下的正常運(yùn)行要求;
c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供 電;
d)應(yīng)建立備用供電系統(tǒng)。
電磁防護(hù)(S3)a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合 干擾;
b)電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾; c)應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。防水和防潮(G3)
防靜電(G3)
4.2等保三級(jí)基本要求-網(wǎng)絡(luò)安全
測(cè)評(píng)項(xiàng) 結(jié)構(gòu)安全(G3)
測(cè)評(píng)要求
a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足 業(yè)務(wù)高峰期需要;
b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要; c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全 的訪問(wèn)路徑;
d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖; e)應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程 度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制 的原則為各子網(wǎng)、網(wǎng)段分配地址段;
結(jié)果判定 訪問(wèn)控制(G3)f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信 息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手 段;
g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。
a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能; b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪 問(wèn)的能力,控制粒度為端口級(jí);
c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾,實(shí)現(xiàn)對(duì)應(yīng)用層
HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議命令級(jí)的控 制;
d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連 接;
e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù); f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;
g)應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則,決定允許或拒絕用 戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn),控制粒度為單個(gè)用戶; h)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。
安全審計(jì)(G3)a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行 為等進(jìn)行日志記錄;
b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表; d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或 覆蓋等。
a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻 擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等;
b)當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、攻擊 目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除; b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別; b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制; c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一;
d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的 鑒別技術(shù)來(lái)進(jìn)行身份鑒別;
e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度 要求并定期更換;
f)應(yīng)具有登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登 錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施;
g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止鑒別 信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng); h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。入侵防范(G3)
惡意代碼防范(G3)網(wǎng)絡(luò)設(shè)備防護(hù)(G3)
邊界完整性檢 查(S3)a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷;
b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢 查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷。身份鑒別(S3)a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和 鑒別;
b)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被 冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;
c)應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登 錄次數(shù)和自動(dòng)退出等措施;
d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別 信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng);
e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶 名,確保用戶名具有唯一性。
f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行 身份鑒別。
訪問(wèn)控制(S3)a)應(yīng)啟用訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)
資源的訪問(wèn);
b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分 離,僅授予管理用戶所需的最小權(quán)限;
c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離; d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;
e)應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶,避免共享帳戶的存在。f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記;
g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資 源的操作;
a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存 儲(chǔ)空間,被釋放或再分配給其他用戶前得到完全清除,無(wú)論 這些信息是存放在硬盤(pán)上還是在內(nèi)存中;
b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存 儲(chǔ)空間,被釋放或重新分配給其他用戶前得到完全清除。剩余信息保護(hù)(S3)
資源控制(A3)a)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端 登錄;
b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定; c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬
盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;
d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度; e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行 檢測(cè)和報(bào)警。
4.3等保三級(jí)基本要求-主機(jī)安全
測(cè)評(píng)項(xiàng) 安全審計(jì)(G3)
測(cè)評(píng)要求
a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作 系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶;
結(jié)果判定 b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用 和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件; c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等;
d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表; e)應(yīng)保護(hù)審計(jì)進(jìn)程,避免受到未預(yù)期的中斷; f)應(yīng)保護(hù)審計(jì)記錄,避免受到未預(yù)期的刪除、修改或覆蓋 等。
a)應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為,能夠記 錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警;
b)應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè),并在檢測(cè)到完 整性受到破壞后具有恢復(fù)的措施;
c)操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和 應(yīng)用程序,并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及 時(shí)得到更新。
a)應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件 版本和惡意代碼庫(kù);
b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不 同的惡意代碼庫(kù);
c)應(yīng)支持防惡意代碼的統(tǒng)一管理。入侵防范(G3)
惡意代碼防范(G3)
身份鑒別(S3)a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí) 和鑒別;
b)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易 被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;
c)應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法 登錄次數(shù)和自動(dòng)退出等措施;
d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止 鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng);
e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用 戶名,確保用戶名具有唯一性。
f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn) 行身份鑒別。
訪問(wèn)控制(S3)a)應(yīng)啟用訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)
資源的訪問(wèn);
b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán) 限分離,僅授予管理用戶所需的最小權(quán)限;
c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離; d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳 戶,修改這些帳戶的默認(rèn)口令;
e)應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶,避免共享帳戶的存 在。
f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記;
g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息 資源的操作;
a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的 存儲(chǔ)空間,被釋放或再分配給其他用戶前得到完全清除,無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中; 剩余信息保護(hù)(S3)資源控制(A3)b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在 的存儲(chǔ)空間,被釋放或重新分配給其他用戶前得到完全清 除。
a)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制 終端登錄;
b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定; c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;
d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度; e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn) 行檢測(cè)和報(bào)警。
4.4等保三級(jí)基本要求-應(yīng)用安全
測(cè)評(píng)項(xiàng) 安全審計(jì)(G3)
測(cè)評(píng)要求
a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng) 重要安全事件進(jìn)行審計(jì);
b)應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程,無(wú)法刪除、修改或覆 蓋審計(jì)記錄;
c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起 者信息、類型、描述和結(jié)果等;
d)應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成 審計(jì)報(bào)表的功能。
a)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù) 據(jù)原發(fā)證據(jù)的功能;
b)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù) 據(jù)接收證據(jù)的功能。
a)應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí) 和鑒別;
b)應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí) 現(xiàn)用戶身份鑒別;
c)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功 能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒 別信息不易被冒用;
d)應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非 法登錄次數(shù)和自動(dòng)退出等措施;
e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身 份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù) 安全策略配置相關(guān)參數(shù)。
結(jié)果判定
抗抵賴(G3)
身份鑒別(S3)
訪問(wèn)控制(S3)a)應(yīng)提供訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn);
b)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作;
c)應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,并嚴(yán)格限制默認(rèn)帳 戶的訪問(wèn)權(quán)限; d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán) 限,并在它們之間形成相互制約的關(guān)系。e)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能; f)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息 資源的操作;
a)應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配 給其他用戶前得到完全清除,無(wú)論這些信息是存放在硬 盤(pán)上還是在內(nèi)存中;
b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在 的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清 除。
應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。剩余信息保護(hù)(S3)
通信完整性(S3)通信保密性(S3)a)在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密
碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證;
b)應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。
軟件容錯(cuò)(A3)a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過(guò)人機(jī)接口輸入 或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要 求;
b)應(yīng)提供自動(dòng)保護(hù)功能,當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所 有狀態(tài),保證系統(tǒng)能夠進(jìn)行恢復(fù)。
資源控制(A3)a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任 何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;
b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制; c)應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制; d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限 制;
e)應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分 配最大限額和最小限額;
f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行 檢測(cè)和報(bào)警;
g)應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能,并在安裝后根據(jù)安全策 略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí),根據(jù)優(yōu)先級(jí)分配 系統(tǒng)資源。
4.5等保三級(jí)基本要求-數(shù)據(jù)安全及備份恢復(fù)
測(cè)評(píng)項(xiàng) 數(shù)據(jù)完整性
測(cè)評(píng)要求
a)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)
結(jié)果判定(S3)在傳輸過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí) 采取必要的恢復(fù)措施;
b)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù) 在存儲(chǔ)過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí) 采取必要的恢復(fù)措施。
a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、數(shù)據(jù)保密性(S3)鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性;
b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信 息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。
a)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,完全數(shù)據(jù)備份至少每 天一次,備份介質(zhì)場(chǎng)外存放; 備份和恢復(fù)(A3)
b)應(yīng)提供異地?cái)?shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)將關(guān)鍵 數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地;
c)應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié) 點(diǎn)存在單點(diǎn)故障;
d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng) 的硬件冗余,保證系統(tǒng)的高可用性。
4.6等保三級(jí)基本要求-安全管理制度
測(cè)評(píng)項(xiàng) 管理制度(G3)
測(cè)評(píng)要求
a)應(yīng)制定信息安全工作的總體方針和安全策略,說(shuō)明機(jī)構(gòu)安 全工作的總體目標(biāo)、范圍、原則和安全框架等;
b)應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度; c)應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立 操作規(guī)程;
d)應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的 信息安全管理制度體系。
a)應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制 定;
b)安全管理制度應(yīng)具有統(tǒng)一的格式,并進(jìn)行版本控制; c)應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定; d)安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布; e)安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。
評(píng)審和修 訂(G3)a)信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員 對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定;
b)應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定,對(duì)存在 不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。
結(jié)果判定
制定和發(fā) 布(G3)
4.7等保三級(jí)基本要求-安全管理機(jī)構(gòu)
測(cè)評(píng)項(xiàng) 崗位設(shè)置(G3)
測(cè)評(píng)要求
a)應(yīng)設(shè)立信息安全管理工作的職能部門(mén),設(shè)立安全主 管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人 的職責(zé);
結(jié)果判定 人員配備(G3)b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé);
c)應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小 組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán);
d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職 責(zé)、分工和技能要求。
a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管 理員等;
b)應(yīng)配備專職安全管理員,不可兼任; c)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。
授權(quán)和審批(G3)a)應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審 批部門(mén)和批準(zhǔn)人等;
b)應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等 事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過(guò)程,對(duì)重 要活動(dòng)建立逐級(jí)審批制度;
c)應(yīng)定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng) 目、審批部門(mén)和審批人等信息; d)應(yīng)記錄審批過(guò)程并保存審批文檔。
溝通和合作(G3)a)應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信 息安全職能部門(mén)內(nèi)部的合作與溝通,定期或不定期召開(kāi) 協(xié)調(diào)會(huì)議,共同協(xié)作處理信息安全問(wèn)題;
b)應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝 通;
c)應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全 組織的合作與溝通;
d)應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作 內(nèi)容、聯(lián)系人和聯(lián)系方式等信息;
e)應(yīng)聘請(qǐng)信息安全專家作為常年的安全顧問(wèn),指導(dǎo)信息 安全建設(shè),參與安全規(guī)劃和安全評(píng)審等。
審核和檢查(G3)a)安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括 系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況;
b)應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查,檢 查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安 全策略的一致性、安全管理制度的執(zhí)行情況等;
c)應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù) 據(jù),形成安全檢查報(bào)告,并對(duì)安全檢查結(jié)果進(jìn)行通報(bào);
d)應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安 全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活 動(dòng)。
4.8等保三級(jí)基本要求-人員安全管理
測(cè)評(píng)項(xiàng) 人員錄用(G3)
測(cè)評(píng)要求
a)應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用; b)應(yīng)嚴(yán)格規(guī)范人員錄用過(guò)程,對(duì)被錄用人的身份、背 景、專業(yè)資格和資質(zhì)等進(jìn)行審查,對(duì)其所具有的技術(shù)技 能進(jìn)行考核;
結(jié)果判定 c)應(yīng)簽署保密協(xié)議;
d)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署 崗位安全協(xié)議。
a)應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程,及時(shí)終止離崗員工的所 有訪問(wèn)權(quán)限;
b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供 的軟硬件設(shè)備;
c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾 調(diào)離后的保密義務(wù)后方可離開(kāi)。
a)應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知 的考核;
b)應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和 技能考核;
c)應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。人員離崗(G3)
人員考核(G3)
安全意識(shí)教育和 培訓(xùn)(G3)
外部人員訪問(wèn)管 理(G3)a)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和 相關(guān)安全技術(shù)培訓(xùn);
b)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān) 人員,對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒; c)應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定,針對(duì)不同 崗位制定不同的培訓(xùn)計(jì)劃,對(duì)信息安全基礎(chǔ)知識(shí)、崗位 操作規(guī)程等進(jìn)行培訓(xùn);
d)應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔 保存。
a)應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申 請(qǐng),批準(zhǔn)后由專人全程陪同或監(jiān)督,并登記備案; b)對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等 內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定,并按照規(guī)定執(zhí)行。
4.9等保三級(jí)基本要求-系統(tǒng)建設(shè)管理
測(cè)評(píng)項(xiàng) 系統(tǒng)定級(jí)(G3)
測(cè)評(píng)要求
a)應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí); b)應(yīng)以書(shū)面的形式說(shuō)明確定信息系統(tǒng)為某個(gè)安全保護(hù) 等級(jí)的方法和理由;
c)應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定 級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定;
d)應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)。
安全方案設(shè)計(jì)(G3)a)應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施,并依 據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;
b)應(yīng)指定和授權(quán)專門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn) 行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃; c)應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況,統(tǒng)一考慮安全保障 體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案,并形成配套文件; d)應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)總體安全策 略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳 細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論 證和審定,并且經(jīng)過(guò)批準(zhǔn)后,才能正式實(shí)施;
結(jié)果判定 產(chǎn)品采購(gòu)和使用(G3)e)應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總 體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè) 規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。
a)應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定; b)應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén) 的要求;
c)應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu); d)應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。
a)應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi),開(kāi)發(fā)人員 和測(cè)試人員分離,測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制; b)應(yīng)制定軟件開(kāi)發(fā)管理制度,明確說(shuō)明開(kāi)發(fā)過(guò)程的控制 方法和人員行為準(zhǔn)則;
c)應(yīng)制定代碼編寫(xiě)安全規(guī)范,要求開(kāi)發(fā)人員參照規(guī)范編 寫(xiě)代碼;
d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專 人負(fù)責(zé)保管;
e)應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和 批準(zhǔn)。
a)應(yīng)根據(jù)開(kāi)發(fā)需求檢測(cè)軟件質(zhì)量; 自行軟件開(kāi)發(fā)(G3)
外包軟件開(kāi)發(fā)(G3)
工程實(shí)施(G3)
測(cè)試驗(yàn)收(G3)
系統(tǒng)交付(G3)b)應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代 碼;
c)應(yīng)要求開(kāi)發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指 南;
d)應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼,并審查軟件中可能 存在的后門(mén)。
a)應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程 的管理;
b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程,并要求工 程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程;
c)應(yīng)制定工程實(shí)施方面的管理制度,明確說(shuō)明實(shí)施過(guò)程 的控制方法和人員行為準(zhǔn)則。
a)應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè) 試,并出具安全性測(cè)試報(bào)告;
b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè) 試驗(yàn)收方案,在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié) 果,并形成測(cè)試驗(yàn)收?qǐng)?bào)告;
c)應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行 書(shū)面規(guī)定;
d)應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理,并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作; e)應(yīng)組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn) 行審定,并簽字確認(rèn)。
a)應(yīng)制定詳細(xì)的系統(tǒng)交付清單,并根據(jù)交付清單對(duì)所交 接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn);
b)應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能 培訓(xùn);
c)應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行 系統(tǒng)運(yùn)行維護(hù)的文檔; 系統(tǒng)備案(G3)d)應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面 規(guī)定;
e)應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)交付的管理工作,并按照管理規(guī)定的要求完成系統(tǒng)交付工作。
a)應(yīng)指定專門(mén)的部門(mén)或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān) 材料,并控制這些材料的使用;
b)應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門(mén)備案;
c)應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī) 關(guān)備案。
等級(jí)測(cè)評(píng)(G3)a)在系統(tǒng)運(yùn)行過(guò)程中,應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí) 測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改; b)應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng),發(fā)現(xiàn) 級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造,發(fā)現(xiàn)不 符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;
c)應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單 位進(jìn)行等級(jí)測(cè)評(píng);
d)應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管 理。
安全服務(wù)商選擇a)應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定;(G3)
b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確
約定相關(guān)責(zé)任;
c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾,必要的與其簽訂服務(wù)合同。
4.10等保三級(jí)基本要求-系統(tǒng)運(yùn)維管理
測(cè)評(píng)項(xiàng) 環(huán)境管理(G3)
測(cè)評(píng)要求
a)應(yīng)指定專門(mén)的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;
b)應(yīng)指定部門(mén)負(fù)責(zé)機(jī)房安全,并配備機(jī)房安全管理人員,對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理; c)應(yīng)建立機(jī)房安全管理制度,對(duì)有關(guān)機(jī)房物理訪問(wèn),物品 帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定; d)應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理,規(guī)范辦公環(huán)境人員 行為,包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰 匙、不在辦公區(qū)接待來(lái)訪人員、工作人員離開(kāi)座位應(yīng)確保 終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒(méi)有包含敏感信息的 紙檔文件等。
a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn) 責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容;
b)應(yīng)建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的 責(zé)任人員或責(zé)任部門(mén),并規(guī)范資產(chǎn)管理和使用的行為; c)應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理,根據(jù)資產(chǎn) 的價(jià)值選擇相應(yīng)的管理措施;
d)應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定,并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。
a)應(yīng)建立介質(zhì)安全管理制度,對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定;
結(jié)果判定
資產(chǎn)管理(G3)
介質(zhì)管理(G3)設(shè)備管理(G3)
監(jiān)控管理和 安全管理中 心(G3)
網(wǎng)絡(luò)安全管 理(G3)b)應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對(duì)各類介質(zhì)進(jìn)行控 制和保護(hù),并實(shí)行存儲(chǔ)環(huán)境專人管理;
c)應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等 情況進(jìn)行控制,對(duì)介質(zhì)歸檔和查詢等進(jìn)行登記記錄,并根 據(jù)存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn);
d)應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷毀等進(jìn)行 嚴(yán)格的管理,對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和 監(jiān)控管理,對(duì)送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的 敏感數(shù)據(jù),對(duì)保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不得自行銷 毀;
e)應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ),存 儲(chǔ)地的環(huán)境要求和管理方法應(yīng)與本地相同;
f)應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ),并根據(jù)所 承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理。a)應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè) 備)、線路等指定專門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理; b)應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制 度,對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和 領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理;
c)應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度,對(duì)其維 護(hù)進(jìn)行有效的管理,包括明確維護(hù)人員的責(zé)任、涉外維修 和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等;
d)應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè) 備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實(shí)現(xiàn)主要設(shè) 備(包括備份和冗余設(shè)備)的啟動(dòng)/停止、加電/斷電等操 作;
e)應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦 公地點(diǎn)。
a)應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀 況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警,形成記錄并 妥善保存;
b)應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng) 審,發(fā)現(xiàn)可疑行為,形成分析報(bào)告,并采取必要的應(yīng)對(duì)措 施;
c)應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升 級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。
a)應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān) 控記錄的日常維護(hù)和報(bào)警信息分析和處理工作;
b)應(yīng)建立網(wǎng)絡(luò)安全管理制度,對(duì)網(wǎng)絡(luò)安全配置、日志保 存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面 作出規(guī)定;
c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份;
d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng) 安全漏洞進(jìn)行及時(shí)的修補(bǔ);
e)應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置,并對(duì)配置文件進(jìn)行定期 離線備份;
f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn);
g)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的 網(wǎng)絡(luò)接入;
h)應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策 略的行為。
系統(tǒng)安全管a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制 理(G3)策略;
b)應(yīng)定期進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn) 行修補(bǔ);
c)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序,在安裝系統(tǒng)補(bǔ)丁前,首先 在測(cè)試環(huán)境中測(cè)試通過(guò),并對(duì)重要文件進(jìn)行備份后,方可 實(shí)施系統(tǒng)補(bǔ)丁程序的安裝;
d)應(yīng)建立系統(tǒng)安全管理制度,對(duì)系統(tǒng)安全策略、安全配 置、日志管理和日常操作流程等方面作出具體規(guī)定; e)應(yīng)指定專人對(duì)系統(tǒng)進(jìn)行管理,劃分系統(tǒng)管理員角色,明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn),權(quán)限設(shè)定應(yīng)當(dāng)遵循最 小授權(quán)原則;
f)應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù),詳細(xì)記錄操作日志,包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改 等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作;
g)應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析,以便及時(shí)發(fā) 現(xiàn)異常行為。
惡意代碼防a)應(yīng)提高所有用戶的防病毒意識(shí),及時(shí)告知防病毒軟件 范管理(G3)版本,在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件 或郵件之前,先進(jìn)行病毒檢查,對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備 接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查;
b)應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢 測(cè)記錄;
c)應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定 期匯報(bào)等作出明確規(guī)定;
d)應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí) 情況并進(jìn)行記錄,對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件 防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析 處理,并形成書(shū)面的報(bào)表和總結(jié)匯報(bào)。
密碼管理應(yīng)建立密碼使用管理制度,使用符合國(guó)家密碼管理規(guī)定的(G3)密碼技術(shù)和產(chǎn)品。
變更管理a)應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的變更,并制定變更方案;(G3)
b)應(yīng)建立變更管理制度,系統(tǒng)發(fā)生變更前,向主管領(lǐng)導(dǎo)
備份與恢復(fù) 管理(G3)申請(qǐng),變更和變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施變更,并在實(shí)施后將變更情況向相關(guān)人員通告;
c)應(yīng)建立變更控制的申報(bào)和審批文件化程序,對(duì)變更影響 進(jìn)行分析并文檔化,記錄變更實(shí)施過(guò)程,并妥善保存所有 文檔和記錄;
d)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序,明確過(guò)程控制方法和人員職責(zé),必要時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演 練。
a)應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟 件系統(tǒng)等; 安全事件處 置(G3)
應(yīng)急預(yù)案管 理(G3)b)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度,對(duì)備份 信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī) 范;
c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響,制定數(shù) 據(jù)的備份策略和恢復(fù)策略,備份策略須指明備份數(shù)據(jù)的放 置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸 的方法;
d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過(guò)程的程序,對(duì)備份過(guò)程 進(jìn)行記錄,所有文件和記錄應(yīng)妥善保存;
e)應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測(cè)試備份介質(zhì)的有效性,確保可以在恢復(fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件,但任何情況下 用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn);
b)應(yīng)制定安全事件報(bào)告和處置管理制度,明確安全事件 的類型,規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù) 的管理職責(zé);
c)應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分 方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響,對(duì)本系統(tǒng)計(jì)算機(jī)安 全事件進(jìn)行等級(jí)劃分;
d)應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序,確定事件的報(bào) 告流程,響應(yīng)和處置的范圍、程度,以及處理方法等; e)應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中,分析和鑒定事 件產(chǎn)生的原因,收集證據(jù),記錄處理過(guò)程,總結(jié)經(jīng)驗(yàn)教訓(xùn),制定防止再次發(fā)生的補(bǔ)救措施,過(guò)程形成的所有文件和記 錄均應(yīng)妥善保存;
f)對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不 同的處理程序和報(bào)告程序。
a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù) 案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理 流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;
b)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的 執(zhí)行有足夠的資源保障;
c)應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培 訓(xùn)應(yīng)至少每年舉辦一次;
d)應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練,根據(jù)不同的應(yīng)急恢復(fù)內(nèi) 容,確定演練的周期;
e)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的 內(nèi)容,并按照?qǐng)?zhí)行。5東軟等級(jí)保護(hù)服務(wù)優(yōu)勢(shì)
東軟為國(guó)內(nèi)眾多用戶提供了等保差距測(cè)評(píng)、等保方案設(shè)計(jì)、等保安全集成等服務(wù),東軟等級(jí)保護(hù)服務(wù)的優(yōu)勢(shì)主要包括: 參與相關(guān)標(biāo)準(zhǔn)編寫(xiě),與主管部門(mén)關(guān)系融洽。東軟作為民族信息安全企業(yè)的代表,參與了等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)的起草編制工作,配合國(guó)家主管部門(mén)執(zhí)筆編寫(xiě)了《風(fēng) 險(xiǎn)評(píng)估實(shí)施指南》,并且核心骨干成員是國(guó)家標(biāo)準(zhǔn)編委會(huì)專家組成員之一。承擔(dān)國(guó)家攻關(guān)項(xiàng)目,樹(shù)立了良好行業(yè)標(biāo)桿。東軟多次承擔(dān)國(guó)家信息安全863 攻關(guān)項(xiàng)目及等級(jí)保護(hù)試點(diǎn)性項(xiàng)目,為農(nóng)業(yè)部、國(guó)家海洋局、人力資源與社會(huì)保障部等 部委、各級(jí)地方政府、金融、電信和教育等行業(yè),提供了包括系統(tǒng)定級(jí)、系統(tǒng)備案、差距評(píng)估、整改方案設(shè)計(jì)、系統(tǒng)整改建設(shè)、驗(yàn)收測(cè)評(píng)、定期評(píng)估等級(jí)保護(hù)服務(wù)工作。從實(shí)施信息系統(tǒng)等級(jí)保護(hù)試點(diǎn)數(shù)量、規(guī)模和質(zhì)量方面均名列前茅。基于這些豐富的實(shí) 施經(jīng)驗(yàn),東軟總結(jié)研發(fā)了等級(jí)保護(hù)知識(shí)庫(kù),充盈的知識(shí)庫(kù)為等級(jí)保護(hù)實(shí)施工作提供強(qiáng) 大的知識(shí)后盾。符合國(guó)家政策要求,形成了等保最佳實(shí)踐。東軟綜合等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn) 的起草編制經(jīng)驗(yàn)和信息系統(tǒng)等級(jí)保護(hù)試點(diǎn)工作實(shí)施經(jīng)驗(yàn),結(jié)合業(yè)內(nèi)信息安全最佳實(shí)踐,形成了一套以安全策略為核心,以組織保障為基礎(chǔ),以技術(shù)措施為工具,以運(yùn)行維護(hù) 為支撐的按需防御的等級(jí)保護(hù)方法論。按需防御的等級(jí)保護(hù)在滿足國(guó)家等級(jí)保護(hù)政策 前提下,結(jié)合業(yè)務(wù)需求保障信息系統(tǒng)安全可靠。總結(jié)項(xiàng)目經(jīng)驗(yàn)積累,提煉等級(jí)保護(hù)知識(shí)庫(kù)。東軟總結(jié)等級(jí)保護(hù)項(xiàng)目實(shí)施經(jīng)驗(yàn)和 安全體系建設(shè)經(jīng)驗(yàn),積累形成了安全定級(jí)知識(shí)庫(kù)、等級(jí)測(cè)評(píng)知識(shí)庫(kù)、安全體系知識(shí)庫(kù) 和等級(jí)化支撐平臺(tái)。東軟等級(jí)保護(hù)基于豐富的安全定級(jí)知識(shí)庫(kù)、等級(jí)測(cè)評(píng)知識(shí)庫(kù)和安 全體系知識(shí)庫(kù)為理論基礎(chǔ),以等級(jí)化支撐平臺(tái)為支撐,以安全需求為導(dǎo)向,通過(guò)專業(yè) 安全服務(wù)和高性能安全產(chǎn)品,保證安全定級(jí)合理準(zhǔn)確、體系建設(shè)科學(xué)規(guī)范、安全運(yùn)維 持續(xù)穩(wěn)定。多年專業(yè)服務(wù)歷程,儲(chǔ)備了大量專家顧問(wèn)。東軟安全服務(wù)部作為全國(guó)最大的專 業(yè)安全咨詢服務(wù)團(tuán)隊(duì)之一,擁有大量技術(shù)精湛,經(jīng)驗(yàn)豐富的CISSP、CISP、CISA、CCIE、BSI、CIW、PMP 等專業(yè)認(rèn)證的信息安全專家、網(wǎng)絡(luò)專家及項(xiàng)目管理專家,來(lái) 自電信、政府、金融等領(lǐng)域的行業(yè)資深專家以及知名的網(wǎng)絡(luò)安全滲透測(cè)試專家等全方 位的安全服務(wù)專家組。雄厚的人才儲(chǔ)備確保等級(jí)保護(hù)工作的順利實(shí)施。完整服務(wù)體系資質(zhì),保障了服務(wù)可信可靠。東軟NetEye秉承了東軟一貫的專 業(yè)、優(yōu)質(zhì)、高效的服務(wù)理念,在全國(guó)41 個(gè)城市設(shè)立了本地化的服務(wù)體系,在當(dāng)?shù)嘏?備了經(jīng)過(guò)專門(mén)培訓(xùn)認(rèn)證的售后服務(wù)工程師,保證能夠快速高效地完成項(xiàng)目實(shí)施、故障 診斷等售后服務(wù)需求。建立起中國(guó)信息安全界覆蓋面最廣、服務(wù)內(nèi)容最全、響應(yīng)時(shí)間 最短、技術(shù)水平最高的信息安全服務(wù)體系。東軟擁有國(guó)內(nèi)最高級(jí)別的各類信息安全 服務(wù)資質(zhì)證書(shū),包括信息系統(tǒng)二級(jí)安全服務(wù)資質(zhì)證書(shū)(中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中 心頒發(fā))、涉密系統(tǒng)集成甲級(jí)資質(zhì)證書(shū)(國(guó)家保密局頒發(fā))、計(jì)算機(jī)系統(tǒng)集成一級(jí)資 質(zhì)證書(shū)(信息產(chǎn)業(yè)部頒發(fā)),以及ISO9000 質(zhì)量管理體系認(rèn)證等多類資質(zhì)證書(shū),保障了 安全服務(wù)的可信可靠。
6東軟等保差距測(cè)評(píng)部分典型案例
6.1中國(guó)國(guó)際金融有限公司-等級(jí)保護(hù)差距測(cè)評(píng)
東軟參照國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)政策要求,結(jié)合中國(guó)國(guó)際金融中心的業(yè) 務(wù)系統(tǒng)類型和應(yīng)用情況,分別從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安 全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理十 大方面進(jìn)行了詳細(xì)評(píng)估分析,幫助中國(guó)國(guó)際金融中心合理定義業(yè)務(wù)系統(tǒng)的安全定級(jí),并尋找自身差距,同時(shí)結(jié)合中國(guó)國(guó)際金融中心的實(shí)際情況合理規(guī)劃后續(xù)安全改造建設(shè)。經(jīng)過(guò)東軟公司全程的顧問(wèn)式咨詢服務(wù)之后,中國(guó)國(guó)際金融中心科學(xué)合理的開(kāi)展信息系 統(tǒng)安全等級(jí)保護(hù)工作,得到了上級(jí)有關(guān)部門(mén)的大力肯定和贊揚(yáng)。
6.2南方電網(wǎng)集團(tuán)-等保差距測(cè)評(píng)與信息安全管理體系梳理
東軟通過(guò)訪談、檢查和測(cè)試等測(cè)評(píng)方式對(duì)南方網(wǎng)電信息系統(tǒng)進(jìn)行了詳細(xì)的測(cè)評(píng)。其中訪談包括13 類角色人員共計(jì)325 項(xiàng)內(nèi)容;檢查包括環(huán)境檢查、網(wǎng)絡(luò)配置檢查、主機(jī)配置檢查、應(yīng)用和數(shù)據(jù)檢查以及文檔檢查五個(gè)方面共計(jì)212 項(xiàng)內(nèi)容;測(cè)試包括功 能測(cè)試和性能測(cè)試共計(jì)34 項(xiàng)內(nèi)容。在檢查過(guò)程中,測(cè)評(píng)單位通過(guò)風(fēng)險(xiǎn)評(píng)估的方式,對(duì)網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)和管理等方面進(jìn)行了風(fēng)險(xiǎn)分析,在進(jìn)行測(cè)評(píng)指標(biāo)比較的同 時(shí),切實(shí)的分析了南網(wǎng)信息系統(tǒng)面臨的風(fēng)險(xiǎn)和安全隱患。協(xié)助南網(wǎng)從事件發(fā)現(xiàn)、響應(yīng)、處置、應(yīng)急恢復(fù)入手,對(duì)信息安全等級(jí)日常保護(hù)進(jìn)行檢查和測(cè)評(píng),并提出可行的改進(jìn) 方案。
6.3國(guó)家質(zhì)檢總局-等級(jí)保護(hù)咨詢?cè)u(píng)估
參照《GBT22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,東軟 對(duì)國(guó)家質(zhì)檢總局的三大類核心業(yè)務(wù)系統(tǒng)進(jìn)行了等級(jí)保護(hù)差距分析,運(yùn)用顧問(wèn)訪談、人 工核查、工具檢測(cè)等多種調(diào)研方式,從基本技術(shù)要求和基本管理要求兩方面,對(duì)質(zhì)檢 業(yè)務(wù)監(jiān)督管理系統(tǒng)、質(zhì)檢業(yè)務(wù)行政許可管理系統(tǒng)、質(zhì)檢信息服務(wù)系統(tǒng)三大類核心業(yè)務(wù) 系統(tǒng)進(jìn)行了全面細(xì)致的評(píng)估分析,幫助國(guó)家質(zhì)檢總局清晰把握等級(jí)保護(hù)的相關(guān)政策符 合度,合理規(guī)劃了后續(xù)的安全建設(shè)規(guī)劃。
第二篇:三甲醫(yī)院等級(jí)復(fù)審心得體會(huì)
財(cái)務(wù)處三甲醫(yī)院等級(jí)復(fù)審心得體會(huì)
2017年11月4日,我院三甲醫(yī)院的復(fù)審工作順利結(jié)束。迎接復(fù)審檢查過(guò)程中,財(cái)務(wù)處上下一心,團(tuán)結(jié)一致,作為財(cái)務(wù)處的一名普通工作人員,在這次評(píng)審中我感觸很深。
財(cái)務(wù)處作為醫(yī)院評(píng)審的重點(diǎn),評(píng)審項(xiàng)目多,工作任務(wù)重,從這次“三甲”復(fù)審的準(zhǔn)備過(guò)程,我深深體會(huì)到 “不積硅步,無(wú)以致千里”。醫(yī)院相關(guān)制度、職責(zé)、工作流程都比較全面,關(guān)鍵在于細(xì)節(jié)是否落實(shí)。只要我們每個(gè)人都充分認(rèn)識(shí)自己工作的性質(zhì)與責(zé)任,在日常工作過(guò)程中踏實(shí),嚴(yán)格要求自己,對(duì)每一項(xiàng)規(guī)定都按高標(biāo)準(zhǔn)、嚴(yán)要求地去落實(shí),從小事做起,從點(diǎn)滴養(yǎng)良好的工作習(xí)慣,那么對(duì)任何檢查都能應(yīng)負(fù)自如。
其次,“不積小流,無(wú)以成江海”。評(píng)審成功的每一步,對(duì)一個(gè)崗位來(lái)講需要認(rèn)真遵守制度,熟練掌握流程;對(duì)于一個(gè)集體來(lái)講,需要大家共同的責(zé)任感和主人翁的精神。眾人拾柴火焰高,只有完美的團(tuán)隊(duì),沒(méi)有完美的個(gè)人,所以要靠全體員工的通力協(xié)作來(lái)共同維護(hù)集體利益和榮譽(yù)。這次檢查中,在領(lǐng)導(dǎo)的統(tǒng)一部署下,大家統(tǒng)一思想,認(rèn)識(shí)到檢查都是為了進(jìn)一步提高醫(yī)院管理水平,通過(guò)“三甲復(fù)評(píng)”能全面提高醫(yī)院的內(nèi)涵質(zhì)量,確保醫(yī)院事業(yè)健康持續(xù)發(fā)展,我們必將以積極的、健康的和向上的心態(tài)來(lái)接受檢查,充分發(fā)揮了團(tuán)隊(duì)協(xié)作精神,相互支持,相互溝通,團(tuán)結(jié)協(xié)作。
結(jié)算科全體同事利用每周的科室晨會(huì),在科長(zhǎng)和聯(lián)絡(luò)員的帶領(lǐng)下,共同學(xué)習(xí)背誦等級(jí)評(píng)審應(yīng)知應(yīng)會(huì)內(nèi)容,從醫(yī)院院訓(xùn)到消防知識(shí),鞏固強(qiáng)化。在工作之余,同事們?cè)诹奶熘邢嗷タ疾臁V挥凶龊贸浞譁?zhǔn)備,我們才能以最好的狀態(tài)迎接檢查。
財(cái)務(wù)處預(yù)算工作是本次等級(jí)評(píng)審的重點(diǎn),如何在繁忙的工作同時(shí),高效的完成評(píng)審的準(zhǔn)備工作,既是壓力,也是動(dòng)力。醫(yī)院的全面預(yù)算從2016年開(kāi)始正式實(shí)施,等級(jí)評(píng)審對(duì)我們的預(yù)算工作無(wú)疑是一種挑戰(zhàn),對(duì)預(yù)算工作的方方面面提出了全面深入的考核要求,同時(shí)評(píng)審對(duì)預(yù)算工作也是難得的機(jī)遇,借此機(jī)會(huì)能夠提高了醫(yī)院全體職工對(duì)預(yù)算重要性的認(rèn)識(shí),指明預(yù)算工作發(fā)展的目標(biāo)和方向。我通過(guò)評(píng)審條款的梳理和資料的準(zhǔn)備,歸檔整理了預(yù)算工作文件,從預(yù)算的制度、流程到崗位職責(zé),從預(yù)算審批、調(diào)整到分析反饋,評(píng)審資料的準(zhǔn)備和一次次的督導(dǎo)也是對(duì)自己的工作一次全面回顧與檢驗(yàn),認(rèn)識(shí)到了我們的差距與不足。通過(guò)數(shù)月的努力,經(jīng)過(guò)大家緊鑼密鼓的資料準(zhǔn)備,熱火朝天的持續(xù)改進(jìn),三甲醫(yī)院復(fù)審順利完成了,通過(guò)本次評(píng)審,大家工作明確了工作目標(biāo),健全了管理制度,規(guī)范了工作流程,回首這半年,準(zhǔn)備評(píng)審的過(guò)程歷歷在目,忙碌的日子是緊張也是充實(shí)的。通過(guò)評(píng)審的過(guò)程,我們認(rèn)識(shí)到評(píng)審不僅僅存在于這兩天,更應(yīng)該貫徹在我們?nèi)粘9ぷ鞯?65天。如果每一天我們都像對(duì)待評(píng)審一樣的標(biāo)準(zhǔn)來(lái)對(duì)待我們的工作,我們才會(huì)真正從評(píng)審這項(xiàng)工作中得到持續(xù)改善與提高。因?yàn)槲覀兿嘈牛横t(yī)院的明天也就是我們的未來(lái),醫(yī)院與我們的前途已緊密聯(lián)系在一起。只要通過(guò)大家的共同努力,用我們的雙手一定會(huì)創(chuàng)造醫(yī)院更輝煌的明天。以上是本人本次評(píng)審工作的一點(diǎn)心得,與大家分享。謝謝。
第三篇:淺談三甲醫(yī)院信息安全等級(jí)保護(hù)工作
淺談三甲醫(yī)院信息安全等級(jí)保護(hù)工作
1、建設(shè)背景
隨著醫(yī)院信息化建設(shè)的不斷的發(fā)展,醫(yī)院各項(xiàng)工作的開(kāi)展都不同程度的采用了網(wǎng)絡(luò)信息系統(tǒng),信息系統(tǒng)在三甲醫(yī)院中的角色也越來(lái)越重要,現(xiàn)代醫(yī)院的發(fā)展建設(shè)已經(jīng)和信息化建設(shè)結(jié)合為一體;當(dāng)醫(yī)院信息系統(tǒng)安全受到攻擊或破壞從而導(dǎo)致醫(yī)院不能正常開(kāi)展各項(xiàng)醫(yī)療工作時(shí),就很容易引發(fā)社會(huì)性的群體事故,如泄露患者個(gè)人隱私信息(重大疾病)、掛號(hào)系統(tǒng)中斷引發(fā)患者情緒不滿在醫(yī)院鬧事,因此如何保證醫(yī)院信息系統(tǒng)安全也成為醫(yī)院信息化建設(shè)需重視的問(wèn)題。
為了進(jìn)一步做好醫(yī)院信息安全保護(hù)工作,衛(wèi)生部針對(duì)我國(guó)現(xiàn)階段各醫(yī)療行業(yè)的現(xiàn)狀,下發(fā)了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》的通知{2011}85號(hào),在該通知中明確了信息安全等級(jí)保護(hù)與醫(yī)療行業(yè)信息安全保護(hù)的聯(lián)系,根據(jù)該文件的指導(dǎo)精神,三甲醫(yī)院的核心業(yè)務(wù)系統(tǒng)應(yīng)按照信息安全等級(jí)保護(hù)第三級(jí)進(jìn)行建設(shè)和保護(hù)。
2、建設(shè)過(guò)程
醫(yī)院信息安全等級(jí)保護(hù)工作建設(shè)主要分為以下幾個(gè)過(guò)程: 2.1醫(yī)院信息系統(tǒng)定級(jí)評(píng)審
根據(jù)信息安全等級(jí)保護(hù)的相關(guān)規(guī)定,當(dāng)信息系統(tǒng)遭到攻擊或破壞時(shí)引發(fā)的后果可分為對(duì)國(guó)家安全、社會(huì)秩序及公共利益、公民及個(gè)人的合法利益的受損害程序來(lái)進(jìn)行等級(jí)劃分。對(duì)比此規(guī)定,按照衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的相關(guān)要求,三甲醫(yī)院應(yīng)按照信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)來(lái)對(duì)醫(yī)院核心業(yè)務(wù)進(jìn)行定級(jí),并組織各方相關(guān)信息安全專家完成醫(yī)院信息系統(tǒng)的定級(jí)工作。
2.2醫(yī)院信息系統(tǒng)備案
在對(duì)醫(yī)院信息系統(tǒng)進(jìn)行定級(jí)評(píng)審后,醫(yī)院需將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》及相關(guān)文檔上交給當(dāng)?shù)匦l(wèi)生主管部門(mén),有衛(wèi)生部門(mén)報(bào)市級(jí)以上公安機(jī)關(guān)進(jìn)行備案登記,等拿到備案回單后完成信息系統(tǒng)的定級(jí)工作。
2.3醫(yī)院信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)
在完成信息系統(tǒng)定級(jí)及備案工作后,需選擇當(dāng)?shù)毓膊块T(mén)授權(quán)的具有信息安全等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的專業(yè)測(cè)評(píng)機(jī)構(gòu)對(duì)醫(yī)院信息系統(tǒng)進(jìn)行整體測(cè)評(píng)。其測(cè)評(píng)目的在于對(duì)醫(yī)院信息系統(tǒng)的安全防護(hù)能力做出客觀評(píng)價(jià),通過(guò)對(duì)物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、安全管理幾個(gè)方面的安全檢查,以國(guó)家信息安全等級(jí)保護(hù)基本要求作為安全基線,進(jìn)行客觀的符合性判定,進(jìn)一步衡量當(dāng)前系統(tǒng)的安全防護(hù)能力,以及系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn)所在。為安全整改和將來(lái)的安全建設(shè)提供有力依據(jù)。
2.3.1測(cè)評(píng)指標(biāo)與方法
醫(yī)院核心業(yè)務(wù)系統(tǒng)屬于等級(jí)保護(hù)三級(jí)系統(tǒng),安全測(cè)評(píng)指標(biāo)應(yīng)包括《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》7.1節(jié)“技術(shù)要求”中的三級(jí)通用指標(biāo)類(G3),三級(jí)業(yè)務(wù)信息安全性指標(biāo)類(S3)和三級(jí)業(yè)務(wù)服務(wù)保證類(A3)。
測(cè)評(píng)現(xiàn)場(chǎng)工作將采用訪談、檢查和測(cè)試等三類方法。訪談是測(cè)評(píng)人員通過(guò)與信息系統(tǒng)有關(guān)人員進(jìn)行交流、討論等活動(dòng)以獲取證據(jù)的一種方法。檢查是測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)以獲取證據(jù)的一種方法。測(cè)試是指測(cè)評(píng)人員對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動(dòng),然后通過(guò)查看、分析響應(yīng)輸出結(jié)果來(lái)獲取證據(jù)的一種方法。
訪談使用到的工具主要是訪談列表。測(cè)評(píng)人員針對(duì)訪談列表上的問(wèn)題,逐項(xiàng)與信息系統(tǒng)有關(guān)人員進(jìn)行交流、討論,根據(jù)被訪談人員的回答了解和確認(rèn)信息系統(tǒng)的安全保護(hù)情況。檢查使用到的工具主要是核查列表。測(cè)評(píng)人員針對(duì)核查列表上的問(wèn)題,通過(guò)觀察、查驗(yàn)、分析等活動(dòng),逐項(xiàng)核實(shí)。根據(jù)檢查對(duì)象的不同,檢查可以進(jìn)一步分為文檔審查、現(xiàn)場(chǎng)觀測(cè)和配置核查等方式。依據(jù)工具和實(shí)施過(guò)程的不同,測(cè)試可以進(jìn)一步細(xì)分為信息獲取、漏洞掃描、滲透測(cè)試、密碼分析等方式。信息獲取是指獲取存活主機(jī)/設(shè)備的名稱、IP 地址、操作系統(tǒng)、開(kāi)放的服務(wù)端口以及特定的數(shù)據(jù)包等信息內(nèi)容;漏洞掃描是指利用漏洞掃描設(shè)備對(duì)目標(biāo)設(shè)備進(jìn)行自動(dòng)探測(cè),發(fā)現(xiàn)這些主機(jī)/設(shè)備上各個(gè)對(duì)網(wǎng)絡(luò)開(kāi)放端口上存在的錯(cuò)誤配置和已知安全漏洞;滲透測(cè)試是模擬黑客可能使用的攻擊技術(shù),試圖侵入信息系統(tǒng)或取得信息系統(tǒng)上的更多資源,以直觀地測(cè)評(píng)信息系統(tǒng)的安全狀況。從不同接入點(diǎn)對(duì)信息系統(tǒng)進(jìn)行漏洞掃描和滲透測(cè)試,可以反映出信息系統(tǒng)在不同角度、不同視野下的安全狀況。
2.3.2單元測(cè)評(píng)
把測(cè)評(píng)指標(biāo)和測(cè)評(píng)方式結(jié)合到信息系統(tǒng)的具體測(cè)評(píng)對(duì)象上,就構(gòu)成了可以具 體測(cè)評(píng)的工作單元。測(cè)評(píng)機(jī)構(gòu)將分別對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面進(jìn)行單元測(cè)評(píng)。
2.3.3整體測(cè)評(píng) 信息系統(tǒng)的安全控制集成到信息系統(tǒng)后,會(huì)在層面內(nèi)、層面間和區(qū)域間產(chǎn)生 連接、交互、依賴、協(xié)同等相互關(guān)聯(lián)關(guān)系,使信息系統(tǒng)的整體安全功能與信息系 統(tǒng)的結(jié)構(gòu)密切相關(guān),在整體上呈現(xiàn)出一種集成特性。這些集成特性在安全控制的 工作單元中是沒(méi)有完全體現(xiàn)。因此,在安全控制測(cè)評(píng)的基礎(chǔ)上,有必要對(duì)集成系 統(tǒng)和運(yùn)行環(huán)境進(jìn)行整體測(cè)評(píng)。安全控制間的安全測(cè)評(píng)主要考慮同一層面上的不同安全控制間存在的功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。例如,主機(jī)層面的身份鑒別與訪問(wèn)控制之間關(guān)系密切,應(yīng)關(guān)注他們之間的關(guān)聯(lián)互補(bǔ)作用。層面間的安全測(cè)評(píng)主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用。例如,網(wǎng)絡(luò)層面、主機(jī)系統(tǒng)層面與安全管理的系統(tǒng)運(yùn)維管理之間關(guān)系密切,應(yīng)關(guān)注他們之間的關(guān)聯(lián)互補(bǔ)作用。區(qū)域間的安全測(cè)評(píng)主要考慮互連互通(包括物理上和邏輯上的互連互通等)的不同區(qū)域之間存在的安全功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用,特別是有數(shù)據(jù)交換的兩個(gè)不同區(qū)域。系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)主要考慮信息系統(tǒng)整體結(jié)構(gòu)的安全性和整體安全防范的合理性。整體結(jié)構(gòu)的安全性測(cè)評(píng)應(yīng)從信息系統(tǒng)的物理布局、網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)邏輯(業(yè)務(wù)數(shù)據(jù)流)、系統(tǒng)實(shí)現(xiàn)和集成方式等入手,結(jié)合不同位置上可能面臨的威脅、可能暴露的脆弱性等,綜合判定信息系統(tǒng)的整體布局是否合理、整體是否安全有效等。在檢查信息系統(tǒng)安全保護(hù)措施的具體實(shí)現(xiàn)方式和部署情況后,結(jié)合其業(yè)務(wù)數(shù)據(jù)流分析不同區(qū)域和不同邊界與安全保護(hù)措施的關(guān)系、重要業(yè)務(wù)和關(guān)鍵信息與安全保護(hù)措施的關(guān)系等,參照縱深防御的要求,識(shí)別信息系統(tǒng)的安全防范是否突出重點(diǎn)、層層深入,綜合判定信息系統(tǒng)的整體安全防范是否恰當(dāng)合理。
2.4測(cè)評(píng)結(jié)果報(bào)備及整改
測(cè)評(píng)機(jī)構(gòu)在完成對(duì)醫(yī)院信息系統(tǒng)測(cè)評(píng)工作后,會(huì)出具《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》,醫(yī)院需將測(cè)評(píng)報(bào)告提交給當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案,按照測(cè)評(píng)報(bào)告評(píng)測(cè)結(jié)果,對(duì)照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等有關(guān)標(biāo)準(zhǔn),結(jié)合醫(yī)院工作實(shí)際,組織開(kāi)展等級(jí)保護(hù)安全建設(shè)整改工作,將整改工作具體落實(shí)到個(gè)人并在預(yù)期內(nèi)完成整改工作。
2.5制定醫(yī)院信息安全等級(jí)保護(hù)管理體系
醫(yī)院將參照信息安全等級(jí)保護(hù)管理要求,結(jié)合醫(yī)院的自身實(shí)際情況,從信息安全管理機(jī)構(gòu)、信息安全管理制度、信息人員安全、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面來(lái)構(gòu)建信息安全等級(jí)保護(hù)管理體系。
總的來(lái)說(shuō),信息安全等級(jí)保護(hù)建設(shè)系統(tǒng)要從實(shí)際需求出發(fā),定期檢驗(yàn)建設(shè)的合規(guī)性、合理性。合規(guī)性是指在政策要求指導(dǎo)下構(gòu)建醫(yī)院完整的信息安全體系。要落實(shí)國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn);響應(yīng)衛(wèi)生部推進(jìn)等級(jí)保護(hù)建設(shè)工作的指導(dǎo)精神;通過(guò)國(guó)家等級(jí)保護(hù)測(cè)評(píng);為醫(yī)療行業(yè)信息安全體系建設(shè)以及等級(jí)保護(hù)建設(shè)方面起到試點(diǎn)示范效應(yīng)。實(shí)際需求是指結(jié)合醫(yī)院自身業(yè)務(wù)發(fā)展需要進(jìn)行系統(tǒng)化建設(shè),切實(shí)提高自身信息安全防護(hù)水平。實(shí)現(xiàn)主動(dòng)防御外部入侵威脅,防范內(nèi)部不規(guī)范操作帶來(lái)危害影響;降低日常信息化管理工作難度,提高對(duì)復(fù)雜、異構(gòu)信息系統(tǒng)的運(yùn)管效率,做到“有法可依,有技可行”;對(duì)已建、新建和擬建的信息系統(tǒng)進(jìn)行合理規(guī)劃,規(guī)范建設(shè)。
參考文獻(xiàn):
1)《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))
2)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)
3)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》
4)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》
第四篇:超聲科三甲醫(yī)院等級(jí)評(píng)審工作總結(jié)
超聲科三甲醫(yī)院等級(jí)評(píng)審工作總結(jié)
2014年11月22日,是一個(gè)特殊的日子,會(huì)銘記在每一位中心醫(yī)院職工的心中,四年時(shí)間的努力,為的就是這一刻,當(dāng)評(píng)審專家用洪亮的聲音宣布:“xx醫(yī)院三甲醫(yī)院等級(jí)評(píng)審復(fù)審?fù)ㄟ^(guò)”時(shí),頓時(shí)響起了如雷般的掌聲,經(jīng)久不息,高興,激動(dòng),淚水,委屈都凝聚在了這一刻,四年,說(shuō)長(zhǎng)很長(zhǎng),但是對(duì)于我們經(jīng)歷過(guò)這場(chǎng)戰(zhàn)爭(zhēng)的人來(lái)說(shuō),卻是轉(zhuǎn)瞬即逝。
四年前,醫(yī)院提出了要進(jìn)行三甲醫(yī)院等級(jí)評(píng)審,就像是一個(gè)“發(fā)令槍”,隨之院領(lǐng)導(dǎo),等級(jí)評(píng)審辦公室?guī)ьI(lǐng)我們進(jìn)行了一次長(zhǎng)跑。我作為科主任,帶領(lǐng)我的科室團(tuán)隊(duì)緊跟醫(yī)院的步伐,一步不落,對(duì)于每一次的醫(yī)院通知都認(rèn)真執(zhí)行,認(rèn)真整改。通過(guò)這次三甲醫(yī)院等級(jí)評(píng)審我們學(xué)到了很多,使我們不論從管理到業(yè)務(wù)都有了很大的提高。2014年3月我們醫(yī)院進(jìn)行了三甲醫(yī)院等級(jí)醫(yī)院評(píng)審的初審,在專業(yè)組的評(píng)審中,評(píng)審專家給我們提出了很多寶貴的意見(jiàn)和建議,如1:超聲科需配備一名護(hù)士2:病例隨訪的例數(shù)相對(duì)不足3:緊急意外搶救培訓(xùn)不足等問(wèn)題,通過(guò)8個(gè)月時(shí)間我們認(rèn)真進(jìn)行了整改,都達(dá)到了要求。在復(fù)審中,專家查看了科室資料,走訪了現(xiàn)場(chǎng),都很滿意,較初審大有改觀,但是提出了影像檢查未能實(shí)現(xiàn)一人唯一編碼,超聲科專業(yè)分組不合理,職稱相對(duì)較低等問(wèn)題。我們會(huì)進(jìn)一步加強(qiáng)整改。醫(yī)德醫(yī)風(fēng)檢查組在初審和復(fù)審都到了我么科室,對(duì)我們科室的提問(wèn)都表示滿意。在等級(jí)評(píng)審的工作中,超聲科參照等級(jí)評(píng)審標(biāo)準(zhǔn),一條一條整改,一條一條達(dá)標(biāo),從中受益匪淺。
1:超聲科每月進(jìn)行科室質(zhì)量與安全會(huì)議,進(jìn)行了6個(gè)質(zhì)控指標(biāo)的監(jiān)測(cè),每月進(jìn)行檢查,討論,整改,反饋,通過(guò)這個(gè)形式加大了超聲報(bào)告質(zhì)量的監(jiān)管,不斷的提高報(bào)告質(zhì)量。同時(shí)還運(yùn)用魚(yú)骨圖進(jìn)行問(wèn)題的分析,進(jìn)行整改。
2:每人每月至少5份的病例隨訪,定期召開(kāi)疑難病例討論會(huì),由副主任醫(yī)師以上人員主持,大家各抒己見(jiàn),分析討論,使業(yè)務(wù)水平不斷的提高。
3:完善了各種緊急意外預(yù)案和流程,并定期進(jìn)行培訓(xùn),對(duì)于各種突發(fā)事件大家都行及時(shí)有效的處理。
4:完善和修訂超聲科各項(xiàng)規(guī)章制度,加強(qiáng)了管理。
5:加強(qiáng)了設(shè)備管理,各種設(shè)備標(biāo)識(shí)清楚,定期進(jìn)行設(shè)備巡檢,每個(gè)設(shè)備配有設(shè)備運(yùn)行記錄本和維修本,定期對(duì)設(shè)備進(jìn)行維護(hù)保養(yǎng)。6:規(guī)范了診療常規(guī),減少差錯(cuò)事故的發(fā)生。
7:增強(qiáng)了手衛(wèi)生的意識(shí),加強(qiáng)了感染相關(guān)知識(shí)的培訓(xùn)。8:還有對(duì)于不良事件的上報(bào),人員替代的程序都有了規(guī)范。三甲醫(yī)院等級(jí)評(píng)審教會(huì)了我們很多東西,使我們累并快樂(lè)著,在以后的工作中,我們會(huì)一直這樣堅(jiān)持下去,使我們無(wú)論是管理還是專業(yè)技術(shù)都會(huì)不斷的提升,能更好的為患者服務(wù),使xx醫(yī)院的明天更美好!
第五篇:三甲醫(yī)院標(biāo)準(zhǔn)
三級(jí)甲等醫(yī)院 三級(jí)醫(yī)院:(病床數(shù)在501張以上)是向幾個(gè)地區(qū)提供高水平專科性醫(yī)療衛(wèi)生服務(wù)和執(zhí)行高等教育、科研任務(wù)的區(qū)域性以上的醫(yī)院。甲等:按千分制,分等評(píng)分標(biāo)準(zhǔn)獲得超過(guò)900分為甲等。[1] 具體條件如下:
1. 醫(yī)院應(yīng)有正式的病房和一定數(shù)量的病床設(shè)施。以實(shí)施住院診療為主,一般設(shè)有相應(yīng)的門(mén)診部;
2. 應(yīng)有基本的醫(yī)療設(shè)備,設(shè)立藥劑、檢驗(yàn)、放射、手術(shù)及消毒供應(yīng)等醫(yī)技診療部門(mén);
三級(jí)甲等醫(yī)院標(biāo)識(shí)
3. 應(yīng)有能力對(duì)住院病人提供合格與合理的診療、護(hù)理和基本生活服務(wù); 4. 應(yīng)有相應(yīng)的、系統(tǒng)的人員編配; 5. 應(yīng)有相應(yīng)的工作制度與規(guī)章制度; 6. 應(yīng)有相應(yīng)的醫(yī)院文化。配備要求 床位
住院床位總數(shù)501張以上。科室設(shè)置
(一)臨床科室:至少設(shè)有急診科、內(nèi)科、外科、婦產(chǎn)科、兒科、中醫(yī)科、耳鼻喉科、口腔科、眼科、皮膚科、麻醉科、康復(fù)科、預(yù)防保健科;(二)醫(yī)技科室:至少設(shè)有藥劑科、檢驗(yàn)科、放射科、手術(shù)室、病理科、輸血科、核醫(yī)學(xué)科、理療科(可與康復(fù)科合設(shè))、消毒供應(yīng)室、病案室、營(yíng)養(yǎng)部和相應(yīng)的臨床功能檢查室。人員
(一)每床至少配備1.03名衛(wèi)生技術(shù)人員;(二)每床至少配備0.4名護(hù)士;
(三)各專業(yè)科室的主任應(yīng)具有副主任醫(yī)師以上職稱;(四)臨床營(yíng)養(yǎng)師不少于2人;
(五)工程技術(shù)人員(技師、助理工程師及以上人員)占衛(wèi)生技術(shù)人員總數(shù)的比例不低于1%。房屋
(一)每床建筑面積不少于60平方米;
(二)病房每床凈使用面積不少于6平方米;
(三)日平均每門(mén)診人次占門(mén)診建筑面積不少于4平方米。設(shè)備
(一)基本設(shè)備:
給氧裝置呼吸機(jī)、電動(dòng)吸引器 自動(dòng)洗胃機(jī)、心電圖機(jī)心臟除顫器、心電監(jiān)護(hù)儀 多功能搶救床、萬(wàn)能手術(shù)床無(wú)影燈、麻醉機(jī) 麻醉監(jiān)護(hù)儀、高頻電刀移動(dòng)式X光機(jī)、X光機(jī) B超、多普勒成像儀動(dòng)態(tài)心電圖機(jī)、腦電圖機(jī)腦血流圖機(jī)、血液透析器肺功能儀。
支氣管鏡食道鏡、胃鏡 十二指腸鏡、乙狀結(jié)腸鏡結(jié)腸鏡、直腸鏡 腹腔鏡、膀胱鏡宮腔鏡、婦科檢查床產(chǎn)程監(jiān)護(hù)儀、萬(wàn)能產(chǎn)床 胎兒監(jiān)護(hù)儀、嬰兒保溫箱骨科牽引床、裂隙燈牙科治療椅、渦輪機(jī)牙鉆機(jī)、銀汞攪拌機(jī) 顯微鏡、生化分析儀紫外線分光光度計(jì)、酶標(biāo)分析儀 尿分析儀、分析天平細(xì)胞自動(dòng)篩選器、沖洗車 電冰箱、恒溫箱離心機(jī)敷料柜、器械柜冷凍切片機(jī)、石蠟切片機(jī)高壓滅菌設(shè)備、蒸餾器 紫外線燈、手套烘干上粉機(jī)洗衣機(jī)、沖洗工具 下收下送密閉車、常水、熱水、凈化過(guò)濾系統(tǒng)凈物存放、消毒滅菌密閉柜、通風(fēng)降溫、烘干設(shè)備熱源監(jiān)測(cè)設(shè)備(恒溫箱、凈化臺(tái)、干燥箱)。(二)病房每床單元設(shè)備與二級(jí)綜合醫(yī)院相同;(三)有與開(kāi)展的診療科目相應(yīng)的其他設(shè)備。
六、制定各項(xiàng)規(guī)章制度、人員崗位責(zé)任制,有國(guó)家制定或認(rèn)可的醫(yī)療護(hù)理技術(shù)操作規(guī)程,并成冊(cè)可用。
七、注冊(cè)資金到位,數(shù)額由各省、自治區(qū)、直轄市衛(wèi)生行政部門(mén)確定。編輯本段評(píng)審標(biāo)準(zhǔn)
醫(yī)院等級(jí)評(píng)定重新啟動(dòng)后還采用三級(jí)六等劃分等級(jí),評(píng)審堅(jiān)持“六重三不”原則,即重服務(wù)、重管理、重質(zhì)量、重安全、重基礎(chǔ)、重保障、不搞運(yùn)動(dòng)、不搞形式、不弄虛作假,民營(yíng)醫(yī)院可以與公立醫(yī)院平等的參與等級(jí)評(píng)定。考核的主要項(xiàng)目包括醫(yī)療服務(wù)與管理、醫(yī)療質(zhì)量與安全、技術(shù)水平與效率。實(shí)行1000分制,900分以上評(píng)為三級(jí)甲等,750分-900分評(píng)為三級(jí)乙等,600分-750分評(píng)為三級(jí)丙等。醫(yī)院等級(jí)不搞終身制,實(shí)行動(dòng)態(tài)管理。此外,此次醫(yī)療質(zhì)量綜合考評(píng)標(biāo)準(zhǔn)突出了“以病人為中心”的服務(wù)理念,要求醫(yī)院必須定期征集病人意見(jiàn),每季度開(kāi)一次病人意見(jiàn)座談會(huì)。醫(yī)院還須設(shè)立免費(fèi)飲水供應(yīng)、公用電話、實(shí)行電子電話預(yù)約診療等,要求化驗(yàn)室檢查報(bào)告在24小時(shí)內(nèi)出結(jié)果,還要有收費(fèi)價(jià)格公示,提供費(fèi)用查詢,實(shí)行費(fèi)用清單制度。
《三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)》
一、醫(yī)院功能與任務(wù)(50分)(一)醫(yī)療服務(wù)(20分)
能提供全面連續(xù)的醫(yī)療護(hù)理、預(yù)防保健和康復(fù)醫(yī)療服務(wù)。
1.在高質(zhì)量綜合性醫(yī)療服務(wù)的基礎(chǔ)上,提供高水平的專科服務(wù)。承擔(dān)危急重癥和疑難病診治任務(wù),開(kāi)展雙向轉(zhuǎn)診。
2.有足夠的醫(yī)療服務(wù)輻射能力,年出院病人中應(yīng)有一定比例來(lái)自醫(yī)院所在地以外的地區(qū)或省。
3.按國(guó)家有關(guān)規(guī)定,參加當(dāng)?shù)丶痹\醫(yī)療網(wǎng),在衛(wèi)生行政部門(mén)領(lǐng)導(dǎo)下,能配合急救中心迅速做出應(yīng)急反應(yīng),承擔(dān)災(zāi)害事故的緊急救援任務(wù),并能接受成批傷病員進(jìn)行院內(nèi)急救。4.開(kāi)展心理衛(wèi)生、遺傳找尋門(mén)診服務(wù)和支持、指導(dǎo)社區(qū)醫(yī)療、護(hù)理、康復(fù)醫(yī)療服務(wù)。
(二)教學(xué)科研(15分)1.承擔(dān)高等醫(yī)學(xué)院的臨床教學(xué)和實(shí)習(xí),能培養(yǎng)高級(jí)臨床醫(yī)學(xué)人才。并承擔(dān)二級(jí)醫(yī)院技術(shù)骨干的臨床專業(yè)進(jìn)修任務(wù)。
2.承擔(dān)國(guó)家、省(自治區(qū)、直轄市)科研課題。
(三)業(yè)務(wù)技術(shù)指導(dǎo)(10分)履行對(duì)下級(jí)醫(yī)療機(jī)構(gòu)技術(shù)指導(dǎo)是醫(yī)院的職責(zé)和義務(wù),建立經(jīng)常性技術(shù)指導(dǎo)與合作關(guān)系,幫助開(kāi)展新技術(shù)、新項(xiàng)目,解決疑難問(wèn)題,培養(yǎng)衛(wèi)生技術(shù)和管理人才。完成當(dāng)?shù)匦l(wèi)生行政部門(mén)的衛(wèi)生或支農(nóng)工作。
(四)預(yù)防保健(5分)1.開(kāi)展健康教育
2.承擔(dān)當(dāng)?shù)匦l(wèi)生行政部門(mén)交辦的預(yù)防保健,主要慢性非傳染性疾病(心、腦血管疾病、惡性腫瘤)的臨床流行病學(xué)調(diào)查和防治工作。3.參與城市初級(jí)衛(wèi)生保健工作。
二、科室設(shè)置(30分)醫(yī)院科室設(shè)置應(yīng)與其功能、任務(wù)和規(guī)模相適應(yīng)。職能科室的設(shè)置應(yīng)符合精簡(jiǎn)、高效的原則,適應(yīng)管理工作的需要。業(yè)務(wù)科室應(yīng)在《醫(yī)療機(jī)構(gòu)設(shè)置規(guī)劃》的指導(dǎo)下和整體發(fā)展的基礎(chǔ)上,加強(qiáng)專科建設(shè),部分一級(jí)科室實(shí)行二級(jí)分科,突出專科優(yōu)勢(shì)。
(一)臨床科室(20分)1.一級(jí)專業(yè)科室
應(yīng)符合《醫(yī)療機(jī)構(gòu)基本標(biāo)準(zhǔn)》及當(dāng)?shù)亍夺t(yī)療設(shè)置規(guī)劃》的規(guī)定。
2.二級(jí)專業(yè)科室
內(nèi)科:應(yīng)至少設(shè)7個(gè)科室,下列科室中地個(gè)為必設(shè)科室 :心血管、消化、呼吸、血液、神經(jīng)內(nèi)科、腎內(nèi)、內(nèi)分泌等專業(yè)科室。
外科:應(yīng)設(shè)普外、心胸外科、神經(jīng)外科、泌尿外科、骨科等專業(yè)科室。
婦產(chǎn)科:應(yīng)婦科、產(chǎn)科、計(jì)劃生育等專業(yè)科室。兒科:應(yīng)設(shè)兒內(nèi)、新生兒等專業(yè)科室。
3.重點(diǎn)專科
重點(diǎn)專科應(yīng)依據(jù)《醫(yī)療機(jī)構(gòu)設(shè)置規(guī)劃》設(shè)立。
全院應(yīng)有3個(gè)以上的重點(diǎn)專科。每重點(diǎn)專科有20張病床。應(yīng)設(shè)綜合重癥加強(qiáng)監(jiān)護(hù)病房(ICU或稱綜合加強(qiáng)醫(yī)療病房)或?qū)?浦匕Y加強(qiáng)監(jiān)護(hù)病房(或稱專科加強(qiáng)醫(yī)療病房)
(二)醫(yī)技科室及其他業(yè)務(wù)科室(10分)
除符合<醫(yī)療機(jī)構(gòu)標(biāo)準(zhǔn)>外,還應(yīng)設(shè)信息統(tǒng)計(jì)室圖書(shū)館(室)
三、人員配備(30 分)醫(yī)院應(yīng)配備與其功能、任務(wù)和規(guī)模相適應(yīng)的衛(wèi)生技術(shù)人員及其他專業(yè)技術(shù)人員,除引應(yīng)符合《醫(yī)療機(jī)構(gòu)基本標(biāo)準(zhǔn)》外,還應(yīng)滿足下列條件:
(一)實(shí)際從事臨床護(hù)理工作的在編護(hù)理人數(shù)不少于衛(wèi)生技術(shù)人員總數(shù)的50%,病床床位與病房護(hù)士之比不少于1:0.4,具有大專以上護(hù)理專業(yè)畢業(yè)文憑者不少于護(hù)士總數(shù)的20%,護(hù)理部正、副主任,內(nèi)、外、婦、兒、急診科、手術(shù)室及重點(diǎn)科室護(hù)士長(zhǎng)應(yīng)具有副主任護(hù)師以上技術(shù)職務(wù),主管護(hù)師、護(hù)士結(jié)構(gòu)合理(10分)
(二)主任、副主任醫(yī)師、主治醫(yī)師、住院醫(yī)師機(jī)構(gòu)合理。(6分)
(三)各一級(jí)科室和重點(diǎn)二級(jí)科室主任應(yīng)具有主任醫(yī)師技術(shù)職務(wù),一般二級(jí)科室主任應(yīng)具有副主任醫(yī)師以上技術(shù)職務(wù)。(7分)
(四)營(yíng)養(yǎng)人員(具有營(yíng)養(yǎng)士以上技術(shù)職務(wù)的人員)與床位比為1:200(4分)
(五)輸血科專業(yè)人員根據(jù)醫(yī)院床位數(shù)、手術(shù)例數(shù)、用血量及工作實(shí)際情況確定。(3分)醫(yī)學(xué)院校附屬醫(yī)院以及教學(xué)醫(yī)院,適當(dāng)增加人員比例
四、醫(yī)院管理(140分)
(一)組織管理(25分)
1.醫(yī)院應(yīng)有健全的科學(xué)管理體系,各項(xiàng)管理工作均有專職或兼職人員負(fù)責(zé)。
2.認(rèn)真貫徹執(zhí)行國(guó)家有關(guān)法律、法規(guī)和國(guó)務(wù)院發(fā)布的《醫(yī)療機(jī)構(gòu)管理?xiàng)l例》及衛(wèi)生部發(fā)布的《醫(yī)療機(jī)構(gòu)管理?xiàng)l例實(shí)施細(xì)則》、《全國(guó)醫(yī)院工作條例》、《醫(yī)院工作制度》與《醫(yī)院工作人員職責(zé)》,并結(jié)合醫(yī)院實(shí)際,認(rèn)真制定和不斷 完善醫(yī)院工作制度,各級(jí)務(wù)類人員崗位職責(zé)和崗前教育制度,并組織實(shí)施,加強(qiáng)標(biāo)準(zhǔn)化管理。
3.醫(yī)院實(shí)行目標(biāo)管理,應(yīng)制定中、長(zhǎng)期發(fā)展規(guī)劃和計(jì)劃。作好執(zhí)行進(jìn)度發(fā)協(xié)調(diào),檢查、考核與評(píng)價(jià)。
4.建立健全院內(nèi)、外的監(jiān)督制度,定期對(duì)醫(yī)院工作和醫(yī)療服務(wù)質(zhì)量進(jìn)行評(píng)價(jià)。
5.院長(zhǎng)應(yīng)全面掌握醫(yī)院管理的知識(shí)和技能,了解國(guó)內(nèi)醫(yī)院管理動(dòng)態(tài),強(qiáng)化科學(xué)管理意識(shí);醫(yī)院領(lǐng)導(dǎo)必須接受國(guó)家、省(自治區(qū)直轄市)衛(wèi)生行政部門(mén)的管理專業(yè)崗位培訓(xùn)并獲得培訓(xùn)證書(shū)。只能科室的領(lǐng)導(dǎo)也要接受崗位培訓(xùn)
6.有在職人員培訓(xùn)計(jì)劃和經(jīng)費(fèi)
7.醫(yī)院職工對(duì)院領(lǐng)導(dǎo)班子結(jié)構(gòu)、合作和工作滿意度≥80%。
(二)信息管理(22分)
1.有健全的信息管理組織和有關(guān)工作制度
2.圖書(shū)館的中、外文醫(yī)學(xué)圖書(shū)和期刊能滿足醫(yī)教研需要
3.檔案管理按《科技事業(yè)單位檔案管理升級(jí)辦法》(國(guó)家二級(jí))標(biāo)準(zhǔn)執(zhí)行。
4.對(duì)醫(yī)療、病案統(tǒng)計(jì)、財(cái)務(wù)、人事、藥庫(kù)、和圖書(shū)情報(bào)等信息實(shí)行電子計(jì)算機(jī)管理。
5.各種統(tǒng)計(jì)、分析、編碼及信息都必須擦卻國(guó)家和部頒標(biāo)準(zhǔn)。
6.醫(yī)院的各項(xiàng)信息必須真實(shí)、完整、準(zhǔn)確并及時(shí)分析、反饋與利用。
(三)財(cái)務(wù)管理(15分)
1.嚴(yán)格執(zhí)行國(guó)家的有關(guān)財(cái)會(huì)制度,加強(qiáng)財(cái)經(jīng)律。
2.嚴(yán)格執(zhí)行收費(fèi)標(biāo)準(zhǔn),實(shí)行主要服務(wù)項(xiàng)目明碼標(biāo)價(jià)。
3.貫徹“勤儉辦院”的方針,加強(qiáng)經(jīng)營(yíng)管理逐步開(kāi)展成本核算。
(四)設(shè)備管理(19分)
1.有健全的設(shè)備管理和維修組織,配備一定的工程技術(shù)人員。
2.醫(yī)院設(shè)備實(shí)行計(jì)劃管理,建立健全醫(yī)療設(shè)備定期采購(gòu)、保養(yǎng)、維修與更新制度。保證醫(yī)療工作需要。保證設(shè)備處于完好狀態(tài),提高使用效率,避免重復(fù)購(gòu)置。
3.醫(yī)院應(yīng)重點(diǎn)保證《醫(yī)療機(jī)構(gòu)基本標(biāo)準(zhǔn)》規(guī)定達(dá)到的設(shè)備和其他基本要裝備、急救設(shè)備、監(jiān)護(hù)設(shè)備的配備,購(gòu)置貴重儀器設(shè)備要經(jīng)過(guò)論證。有關(guān)大型設(shè)備按衛(wèi)生部有關(guān)規(guī)定執(zhí)行。
4.貴重設(shè)備要建立檔案,專人管理。
(五)總務(wù)管理(19分)
1、健全的總務(wù)管理制度崗位職責(zé)和工作制度
2.般物質(zhì)實(shí)行定額管理 有健全的采購(gòu)驗(yàn)收 入庫(kù)發(fā)放 報(bào)廢等制度
3.主動(dòng)、及時(shí)為醫(yī)教研和職工生活服務(wù)。做倒三下(下收、下送、下修),保證三通(水通、電通、氣通),及時(shí)處理三漏(漏水、漏電、漏氣),做倒兩滿意(職工、病人)。
4.有意外情況下的供電措施確保應(yīng)急需要
(六)建筑管理(8分)
1.醫(yī)院建設(shè)要有總體規(guī)劃,新建、改建、擴(kuò)建要進(jìn)行可行性論證、資料保存完整,符合衛(wèi)生部《綜合醫(yī)院建筑標(biāo)準(zhǔn)》等建筑規(guī)范。
2.醫(yī)院的門(mén)診部、住院部、醫(yī)技科室、手術(shù)室、消毒供應(yīng)室、急診科等部門(mén)的建筑布局及人、物流向合理。室內(nèi)采光、色彩設(shè)計(jì)符合衛(wèi)生學(xué)要求。
3.醫(yī)院舊建筑有定期維修計(jì)劃,不得在危房中從事醫(yī)療活動(dòng)。
(七)安全管理(15分)
1.有健全的醫(yī)院安全保衛(wèi)管理組織。
2.有健全的醫(yī)院安全保衛(wèi)管理制度、措施及實(shí)施記錄并定期對(duì)安全管理進(jìn)行評(píng)價(jià)。、對(duì)易發(fā)生危險(xiǎn)的設(shè)備及部門(mén)有特殊的管理措施,如高壓力系統(tǒng)、高壓氧艙氧氣供應(yīng)室 危險(xiǎn)品倉(cāng)庫(kù)同位素室 配電室手術(shù)室 細(xì)菌室等
消防設(shè)備齊全,標(biāo)志醒目,定期檢查更換,使用方便。
嚴(yán)格執(zhí)行醫(yī)療用毒性藥品、麻醉藥品、精神藥品管理制度。
(八)環(huán)境管理(17分)1、保持醫(yī)院清潔衛(wèi)生]、門(mén)診、病房等醫(yī)療去禁止吸煙;保持整潔、安靜。3、搞好院內(nèi)綠化、美化和道路硬化。、污水污物 放射性物質(zhì)等處理,有毒氣體排放及消煙均應(yīng)符合有關(guān)規(guī)定
五、醫(yī)療管理與技術(shù)水平(480分)(一)、醫(yī)療管理(105分)1.建立健全醫(yī)療管理組織,人員配備合理,有相應(yīng)的工作制度。有一位副院長(zhǎng)分管業(yè)務(wù)工作。
2.制定切實(shí)可行的全院醫(yī)療業(yè)務(wù)建設(shè)規(guī)劃和工作計(jì)劃,并組織實(shí)施。
3.建立健全醫(yī)療工作制度診療技術(shù)規(guī)范、操作規(guī)程和醫(yī)療質(zhì)量標(biāo)準(zhǔn),并組織實(shí)施
4.建立健全醫(yī)療質(zhì)量管理組織,制定質(zhì)量管理方案,完善質(zhì)量管理內(nèi)部約束機(jī)制,進(jìn)行全員質(zhì)量教育,提高質(zhì)量意識(shí),定期對(duì)醫(yī)療護(hù)理、醫(yī)技、藥品病案質(zhì)量管理進(jìn)行監(jiān)督、檢查、評(píng)價(jià),提出改進(jìn)意見(jiàn)。必備的醫(yī)療質(zhì)量管理組織有:醫(yī)療質(zhì)量管理委員會(huì)、病案管理委員會(huì)(可以與醫(yī)療質(zhì)量管理委員會(huì)合并)、藥事管理委員會(huì)、醫(yī)院感染管理委員會(huì)、輸血管理委員會(huì)。
5.堅(jiān)持三級(jí)醫(yī)師查房及各種病例討論制度。建立健全病歷質(zhì)量檢查考核制度加強(qiáng)院、科、主治醫(yī)師三級(jí)的檢查考核。病歷書(shū)寫(xiě)要求清晰、規(guī)范、完整、正確、及時(shí)、有要點(diǎn)、有分析、注重內(nèi)涵質(zhì)量,完整地記錄各級(jí)醫(yī)師查房、搶救 會(huì)診、討論意見(jiàn)不得弄虛作假。
6.高度重視醫(yī)療安全,增強(qiáng)全院人員醫(yī)療安全意識(shí)。加強(qiáng)醫(yī)療缺陷管理,制定措施加以防范,及時(shí)發(fā)生和糾正差錯(cuò)事故苗頭。對(duì)已發(fā)現(xiàn)的差錯(cuò)、事故要及時(shí)上報(bào),正確處理,吸取教訓(xùn),總結(jié)經(jīng)驗(yàn),改進(jìn)工作。
管人員的技術(shù)培訓(xùn)、考核,建立醫(yī)務(wù)人員技術(shù)檔案。
門(mén)診管理,改善服務(wù)態(tài)度,簡(jiǎn)化手續(xù)、方便群眾,努力消除“三長(zhǎng)一短”(掛號(hào)、收費(fèi)、取藥時(shí)間長(zhǎng)、就診時(shí)間短)現(xiàn)象,并有相應(yīng)措施,內(nèi)外婦兒科每天應(yīng)有副主任醫(yī)師以上人員出門(mén)診,其中內(nèi)科和外科門(mén)診應(yīng)每天保證二名副主任醫(yī)師以上人員在崗,承擔(dān)指導(dǎo)低年資醫(yī)師幫助解決疑難問(wèn)題的任務(wù)。本院醫(yī)師出門(mén)診人數(shù)應(yīng)占在崗門(mén)診醫(yī)師總?cè)藬?shù)的65%以上。
加強(qiáng)急診科建設(shè),執(zhí)行急診首診負(fù)責(zé)制,按衛(wèi)生部和各省、自治區(qū)、直轄市規(guī)定,在組織領(lǐng)導(dǎo)、布局和人員、床位、設(shè)備、藥品、器械、通訊設(shè)備以及車輛配備等方面進(jìn)行落實(shí),保證醫(yī)療、搶救和轉(zhuǎn)送病人的需要。
10.堅(jiān)持危重?fù)尵炔∪舜才越话嘀贫龋瑖?yán)密觀察病情變化,堅(jiān)守崗位。
11.醫(yī)技科室樹(shù)立和堅(jiān)持為臨床第一線服務(wù)的思想,加強(qiáng)管理,保證質(zhì)量,提高工作效率。縮短預(yù)約和發(fā)報(bào)告的時(shí)間。檢驗(yàn)科必須建立室內(nèi)質(zhì)量控制系統(tǒng),并參加衛(wèi)生部臨床檢驗(yàn)中心或本地區(qū)臨床檢驗(yàn)中心的室間質(zhì)評(píng)活動(dòng)(甲等醫(yī)院必須參加衛(wèi)生部臨床檢驗(yàn)中心的室間質(zhì)評(píng)活動(dòng)).床學(xué)研究和臨床用藥的監(jiān)督與指導(dǎo)。
(二)、護(hù)理管理(75分)、貫徹衛(wèi)生部關(guān)于加強(qiáng)護(hù)理工作管理的有關(guān)規(guī)定,建立健全護(hù)理管理體制。、醫(yī)院護(hù)理工作實(shí)行院長(zhǎng)領(lǐng)導(dǎo)下的護(hù)理部主任負(fù)責(zé)制。藥積極創(chuàng)造條件設(shè)護(hù)理副院長(zhǎng),實(shí)行三級(jí)或二級(jí)管理。
3.切實(shí)落實(shí)衛(wèi)生部《醫(yī)院工作人員職責(zé)》的有關(guān)規(guī)定,充分發(fā)揮中級(jí)以上技術(shù)職務(wù)人員在護(hù)理工作中的作用,各級(jí)人員按技術(shù)職務(wù)上崗。、開(kāi)展整體護(hù)理,有整體護(hù)理實(shí)施方案,通過(guò)模式病房逐步向全院推廣。5.建立整體護(hù)理病歷,并不斷完善。、完善各科疾病護(hù)理常規(guī)和護(hù)理技術(shù)操作規(guī)程,并認(rèn)真執(zhí)行。7、指定并完善護(hù)理質(zhì)量管理方案,加強(qiáng)護(hù)理質(zhì)量管理。、護(hù)理部應(yīng)有專門(mén)負(fù)責(zé)教育和繼續(xù)教育的副主任,各病房應(yīng)有負(fù)責(zé)教學(xué)的護(hù)理人員。9、加強(qiáng)護(hù)理人員的培訓(xùn),考核,建立業(yè)務(wù)技術(shù)檔案,年培訓(xùn)率不低于15%;有分級(jí)培養(yǎng)目標(biāo)、培養(yǎng)計(jì)劃,并組織實(shí)施;對(duì)護(hù)理專業(yè)大專以上畢業(yè)生的培養(yǎng),使用計(jì)劃藥落實(shí)到個(gè)人。10、加強(qiáng)護(hù)理管理人員的培訓(xùn)。護(hù)士長(zhǎng)以上的管理人員必須接受國(guó)家和省(自治區(qū)、直轄市)衛(wèi)生行政部門(mén)組織的管理專業(yè)崗位培訓(xùn)并獲得結(jié)業(yè)證書(shū)。(三)、“三基”、“三嚴(yán)”培訓(xùn)與管理(45分)、醫(yī)院要堅(jiān)持對(duì)衛(wèi)生技術(shù)人員進(jìn)行基礎(chǔ)理論、基本知識(shí)、基本技能(簡(jiǎn)稱“三基”)訓(xùn)練,培養(yǎng)嚴(yán)格要求、嚴(yán)格組織、嚴(yán)謹(jǐn)態(tài)度(簡(jiǎn)稱“三嚴(yán)”)。、“三基”培訓(xùn)必須全員參與,“三基”考核必須人人達(dá)標(biāo)。、要把“三嚴(yán)”作風(fēng)貫徹到各項(xiàng)醫(yī)療業(yè)務(wù)活動(dòng)和管理工作的始終。4.醫(yī)護(hù)人員人人掌握手心復(fù)蘇急救術(shù)。
(四)、醫(yī)院感染管理(40分)
1、貫徹執(zhí)行衛(wèi)生部關(guān)于加強(qiáng)醫(yī)院感染的有關(guān)規(guī)定,健全醫(yī)院感染管理組織,嚴(yán)格控制醫(yī)院感染。
2.有醫(yī)院感染控制方案及管理制度,關(guān)有監(jiān)測(cè)記錄、效果、評(píng)價(jià)及改進(jìn)設(shè)施。
3.建立嚴(yán)格的消毒、隔離和法定報(bào)告?zhèn)魅静〉怯泩?bào)告制度。
4.有醫(yī)院感染的教育培訓(xùn)制度,醫(yī)護(hù)人員必須樹(shù)立無(wú)菌觀念,嚴(yán)格進(jìn)行正確的無(wú)菌技術(shù)操作。
5.有合理使用抗生素的管理辦法。、特殊區(qū)域的管理應(yīng)達(dá)到衛(wèi)生部《醫(yī)院感染管理規(guī)范》的要求。、消毒供應(yīng)室應(yīng)達(dá)到衛(wèi)生部《醫(yī)院消毒供應(yīng)室驗(yàn)收標(biāo)準(zhǔn)(試行)的要求》。8、消毒物品、物體表面、手、空氣現(xiàn)場(chǎng)采樣檢驗(yàn)要達(dá)到規(guī)定的要求。(五)、輸血管理(15分)
1.嚴(yán)格執(zhí)行衛(wèi)生部《采供血機(jī)構(gòu)和血液管理辦法》及有關(guān)規(guī)定,輸血工作納入本地區(qū)血液三統(tǒng)一管理。不得自找血源、自采自供血源。
2.建立健全輸血工作制度、技術(shù)操作規(guī)程和質(zhì)量標(biāo)準(zhǔn),建立質(zhì)量考核指標(biāo)和質(zhì)量管理信息反饋系統(tǒng)。3、臨床輸血要嚴(yán)格執(zhí)行用血登記制度和用血報(bào)批手續(xù),輸血前必須執(zhí)行輸血前的檢驗(yàn)和核對(duì)制度。
4.嚴(yán)格掌握輸血適應(yīng)癥,有合理用血和成分輸血的管理辦法。、有嚴(yán)格控制輸血感染的方案及管理制度,建立輸血反應(yīng)及輸血感染疾病的登記報(bào)告和調(diào)查處理制度。
6.輸血科應(yīng)達(dá)到衛(wèi)生部有關(guān)規(guī)定的要求。
(六)、技術(shù)水平(200分)
醫(yī)院要具有與其功能和任務(wù)相適應(yīng)的醫(yī)療技術(shù)水平,能接受二級(jí)和部分三級(jí)醫(yī)院的轉(zhuǎn)診。能正確處理復(fù)雜疑難病癥。
1.臨床科室(見(jiàn)附件一)(60分)2.醫(yī)技科室(見(jiàn)附件二)(60分)3.重點(diǎn)專科(60分)(1)、能開(kāi)展“附件一”所列之重點(diǎn)專科診療技術(shù),每個(gè)重點(diǎn)專科要達(dá)到國(guó)內(nèi)或省級(jí)先進(jìn)行列。(2)、科主任或?qū)W科帶頭人應(yīng)具有副主任醫(yī)師技術(shù)職務(wù),在國(guó)內(nèi)本專業(yè)學(xué)術(shù)領(lǐng)域有一定的知名度。
(3)、專業(yè)人才形成梯隊(duì)。(4)、能開(kāi)展與重點(diǎn)相應(yīng)的實(shí)驗(yàn)研究。
(5)、部(委)省級(jí)以上科研成果。(6)、國(guó)際間的學(xué)術(shù)交流。
(7)、每年在國(guó)家級(jí)(本專業(yè)領(lǐng)域核心期刊)或省級(jí)學(xué)術(shù)刊物發(fā)表的論文≥2篇。4、護(hù)理(20分)(1)、重點(diǎn)專科護(hù)理達(dá)到國(guó)內(nèi)先進(jìn)水平。(2)、開(kāi)展整體護(hù)理,并能對(duì)下級(jí)醫(yī)院提供技術(shù)指導(dǎo)。
(3)、能承擔(dān)中、高等衛(wèi)生學(xué)校互利專業(yè)的臨床教學(xué)。(4)、開(kāi)展護(hù)理科研 每年護(hù)理科研或革新項(xiàng)目≥2項(xiàng)。(5)、每年在省以上刊物發(fā)表的論文≥3篇。
六、教學(xué)、科研管理與水平(105分)(一)、教學(xué)科研管理(45分)
1.有與功能和任務(wù)想適應(yīng)的、健全的教學(xué)和科研管理組織,醫(yī)院領(lǐng)導(dǎo)要有人分工負(fù)責(zé)教學(xué)、科研管理工作。
2. 有切實(shí)可行的教學(xué)科研規(guī)劃和工作計(jì)劃,并組織實(shí)施與評(píng)價(jià)。、有健全的教學(xué)和科研工作規(guī)章制度,做到有監(jiān)督、有檢查、有評(píng)價(jià)。4、有比較穩(wěn)定的教師隊(duì)伍并建立備課 評(píng)教評(píng)學(xué)和檢查性聽(tīng)課制度。
5.教學(xué)資料(電化教學(xué)材料、自編統(tǒng)編等)、教學(xué)設(shè)備(儀器設(shè)備、圖表標(biāo)
本模型、實(shí)驗(yàn)動(dòng)物等)以及所提供的教室、示教室、病種、病人數(shù)量均能滿足臨床教學(xué)的需要。、執(zhí)行衛(wèi)生部有關(guān)“教學(xué)醫(yī)院”的管理規(guī)定。
(二)、教學(xué)、科研水平(60分)
醫(yī)院要具有與其功能和任務(wù)相適應(yīng)的教學(xué)和科研水平。1、完成高等醫(yī)學(xué)院校的臨床實(shí)習(xí)任務(wù) 2.獨(dú)立培養(yǎng)碩士或博士研究生。
3.畢業(yè)后教育繼續(xù)教育和進(jìn)修教育正規(guī)嚴(yán)格效果好。
4.每年承擔(dān)部委省級(jí)以上科研課題≥2項(xiàng)。
5.在統(tǒng)計(jì)內(nèi),在國(guó)家級(jí)學(xué)術(shù)刊物(本專業(yè)領(lǐng)域核心期刊)發(fā)表論文≥20篇;參加國(guó)際學(xué)術(shù)交流≥1次。
6.按評(píng)審前三年統(tǒng)計(jì),有省科技進(jìn)步(成果)獎(jiǎng)≥1項(xiàng);部委、省科技進(jìn)步(成果)獎(jiǎng)≥2項(xiàng)。
七、思想政治工作與醫(yī)德醫(yī)風(fēng)建設(shè)(65分)
(一)、貫徹黨的路線方針、政策堅(jiān)持社會(huì)主義的辦院方針,堅(jiān)持為人民服務(wù)的宗旨,把社會(huì)效益放在首位。(10分)
(二)、有相應(yīng)的管理體系和教育體制度。(5分)
(三)、堅(jiān)持進(jìn)行愛(ài)國(guó)主義、社會(huì)主義、集體主義教育、職業(yè)道德教育和法制教育。(5分)
(四)、加強(qiáng)醫(yī)德醫(yī)風(fēng)建設(shè),貫《醫(yī)務(wù)人員醫(yī)德規(guī)范及實(shí)施辦法》,建立健全廉潔行醫(yī)措施,堅(jiān)決抵制不正之風(fēng),獎(jiǎng)懲分明。(13分)
(五)、以病人為中心,優(yōu)質(zhì)服務(wù)。(13分)
(六)、提倡敬業(yè)精神.對(duì)技術(shù)精益求精,對(duì)工作認(rèn)真負(fù)責(zé)。(6分)
(七)、建立健全群眾和社會(huì)監(jiān)督制度,患者、合同單位對(duì)醫(yī)院的滿意度≥85%。(13分)
八、統(tǒng)計(jì)指標(biāo)(100分)1.入院診斷與出院診斷符合率≥95%。2.手術(shù)前后符合率≥90%。
3.臨床主要診斷與病理符合率≥50%。
4.X線電子計(jì)算機(jī)體層成像裝置(CT)檢查陽(yáng)性率≥60%(無(wú)CT者,此項(xiàng)不占分)。
5.磁共振成像裝置(MRI)檢查陽(yáng)性率≥70%(無(wú)MRI者,此項(xiàng)不占分)。6.大型X光機(jī)檢查陽(yáng)性率≥50%。
7.X光攝甲片率≥40%。
8.臨床化學(xué)室間質(zhì)評(píng)全年平均及格(VIS≤120)。
9.血液室間質(zhì)評(píng)全年平均及格(改良偏離指數(shù)DI≤2)。10.免疫室間質(zhì)評(píng)全年平均成績(jī)?cè)谌珖?guó)平均成績(jī)之上。
11.細(xì)菌室間質(zhì)評(píng)全國(guó)鑒定正確率≥80%。12.尸檢率≥10%(新生兒尸檢除外)。
13.急診危重病人搶救成功率≥80%。14.病房危重病人搶救成功率≥84%。
15.無(wú)菌手術(shù)切口甲級(jí)愈合率≥97%。
16.同一病例一周內(nèi)再住院率(檢查時(shí)確定病種,同級(jí)醫(yī)院比較)處于同級(jí)醫(yī)院較低水平。
17.住院產(chǎn)婦死亡率≤0.02%。18.活產(chǎn)新生兒死亡率≤0.5%。
19.麻醉死亡率≤0.02%。20.門(mén)診處方合格率≥95%。
21.門(mén)診病歷書(shū)寫(xiě)格式合格率≥90%。22.甲級(jí)病案率≥90%(無(wú)丙級(jí)病案)。
23.陪護(hù)率≤5%(不包括愛(ài)嬰醫(yī)院產(chǎn)科病房)24.一人一針一管一滅菌執(zhí)行率100% 25.住院病人治療飲食就餐率100% 26.住院病人就餐率≥80% 27.醫(yī)院感染率≤10% 28.醫(yī)院感染漏報(bào)率≤20%
29.無(wú)菌手術(shù)切口感染率≤0.5% 30.病床使用率適宜范圍85%-93% 31.平均住院日≤18天
32.病床周轉(zhuǎn)次數(shù)≥17次/年
33.萬(wàn)元以上醫(yī)療設(shè)備、儀器完好率≥95% 34.完成指令性任務(wù)100%
35.衛(wèi)生技術(shù)人員“三基”考核合格率(合格標(biāo)準(zhǔn)為80分)100% 36.護(hù)理技術(shù)操作合格率(合格標(biāo)準(zhǔn)為90分)100% 37.基礎(chǔ)護(hù)理合格率(合格標(biāo)準(zhǔn)為90分)100% 38.特護(hù)一級(jí)護(hù)理合格率(合格標(biāo)準(zhǔn)為80分)90%
39.護(hù)理文件書(shū)寫(xiě)合格率(合格標(biāo)準(zhǔn)為80分)≥95%(根據(jù)護(hù)理模式改革的需要,護(hù)理文件由各地自定)。
40.開(kāi)展整體護(hù)理病房數(shù)≥20% 41.急救物品完好率100%
42.常規(guī)器械消毒滅菌合格率100%
43、一次性注射器、輸液(血)器用后毀形率100% 44.年褥瘡發(fā)生次數(shù)0(特殊情況例外)45.成分輸血使用率70%計(jì)算公式:
各種成分血使用量(袋)=各種成份血使用量(袋)+全血使用量(袋)×100% 46.單病種治愈好轉(zhuǎn)率達(dá)衛(wèi)生部頒發(fā)的病種質(zhì)量控制標(biāo)準(zhǔn)。47.單位病種病死率低于衛(wèi)生部頒布的病種質(zhì)量控制標(biāo)準(zhǔn)。
48.單位病種術(shù)后十日死亡率低于衛(wèi)生部頒布的病種質(zhì)量標(biāo)準(zhǔn)。49.法定報(bào)告?zhèn)魅韭﹫?bào)率0。50.醫(yī)療責(zé)任事故發(fā)生次數(shù)0。
點(diǎn)擊咨詢 