第一篇:等級保護技術方案-XX大學附屬XX醫院-三級
XX醫院等級保護安全建設方案
秘密級
密級:秘密
XX大學附屬XX醫院
(信息安全建設整體規劃方案)
XX有限公司 201X年X月X日 XX醫院等級保護安全建設方案
秘密級
目錄 2 2.1 工程項目背景.................................................................................................................6 安全建設路線.................................................................................................................7 設計原則..........................................................................................................................7
2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.2 3 3.1 等級保護建設原則.................................................................................................7 體系化的設計原則.................................................................................................7 產品的先進性原則.................................................................................................7 按步驟有序建設原則.............................................................................................7 安全服務細致化原則.............................................................................................8
等級化建設思路..............................................................................................................8 系統分析.........................................................................................................................9 網絡結構分析..................................................................................................................9
3.1.1 3.1.2 3.2 業務內網.................................................................................................................9 辦公外網...............................................................................................................10
業務系統分析................................................................................................................11
3.2.1 3.2.2 4 5 6 6.1 業務內網...............................................................................................................11 辦公外網...............................................................................................................11
等級保護建設流程........................................................................................................13 方案參照標準...............................................................................................................15 安全風險與需求分析....................................................................................................16 安全技術需求分析........................................................................................................16
6.1.1 6.1.2 6.1.3 6.1.4 物理安全風險與需求分析...................................................................................16 計算環境安全風險與需求分析...........................................................................17 區域邊界安全風險與需求分析...........................................................................19 通信網絡安全風險與需求分析...........................................................................20 XX醫院等級保護安全建設方案
秘密級
6.2 7 7.1 7.2 7.3 安全管理需求分析........................................................................................................22 技術體系方案設計........................................................................................................22 方案設計目標................................................................................................................22 方案設計框架................................................................................................................23 安全技術體系設計........................................................................................................24
7.3.1 7.3.2
7.3.2.1 7.3.2.2 7.3.2.3 7.3.2.4 7.3.2.5 7.3.2.6 7.3.2.7 7.3.2.8 7.3.2.9 物理安全設計.......................................................................................................24 計算環境安全設計...............................................................................................26
身份鑒別.......................................................................................................................26 訪問控制.......................................................................................................................27 系統安全審計...............................................................................................................28 入侵防范.......................................................................................................................29 主機惡意代碼防范.......................................................................................................30 軟件容錯.......................................................................................................................30 數據完整性與保密性...................................................................................................30 備份與恢復...................................................................................................................31 資源控制.......................................................................................................................32 客體安全重用...............................................................................................................33 抗抵賴...........................................................................................................................33 7.3.2.10 7.3.2.11
7.3.3
7.3.3.1 7.3.3.2 7.3.3.3 7.3.3.4 7.3.3.5 7.3.3.6 7.3.3.7 7.3.3.8 區域邊界安全設計...............................................................................................34
邊界訪問控制...............................................................................................................34 安全隔離網閘...............................................................................................................35 流量控制.......................................................................................................................36 邊界完整性檢查...........................................................................................................38 邊界入侵防御...............................................................................................................39 邊界安全審計(上網行為管理)................................................................................39 網頁防篡改...................................................................................................................40 邊界惡意代碼防范(防毒墻)....................................................................................40 XX醫院等級保護安全建設方案
秘密級
7.3.4
7.3.4.1 7.3.4.2 7.3.4.3 7.3.4.4 7.3.4.5 7.3.4.6 通信網絡安全設計...............................................................................................41
網絡結構安全...............................................................................................................41 網絡安全審計...............................................................................................................41 網絡設備防護...............................................................................................................42 通信完整性...................................................................................................................43 通信保密性...................................................................................................................43 網絡可信接入...............................................................................................................43
7.3.5
7.3.5.1 7.3.5.2 7.3.5.3 安全管理中心設計...............................................................................................44
系統管理.......................................................................................................................45 審計管理.......................................................................................................................46 網絡運維及應用監控管理系統....................................................................................47
7.3.6 8 9 9.1 9.2 9.3 不同等級系統互聯互通.......................................................................................48
安全管理體系設計........................................................................................................48 安全運維服務設計........................................................................................................50 安全掃描........................................................................................................................50 人工檢查........................................................................................................................51 安全加固........................................................................................................................51
9.3.1 9.3.2 9.3.3 9.4 流程.......................................................................................................................52 內容.......................................................................................................................52 風險規避...............................................................................................................54
日志分析........................................................................................................................55
9.4.1 9.4.2 9.5 流程.......................................................................................................................55 內容.......................................................................................................................56
補丁管理........................................................................................................................56
9.5.1 9.5.2 9.6 流程.......................................................................................................................57 內容.......................................................................................................................57
安全監控........................................................................................................................58 XX醫院等級保護安全建設方案
秘密級
9.6.1 9.6.2 9.7 9.8 流程.......................................................................................................................58 內容.......................................................................................................................59
安全通告........................................................................................................................60 應急響應........................................................................................................................61
9.8.1 9.8.2 9.8.3 9.8.4 9.9 10 入侵調查...............................................................................................................61 主機、網絡異常響應...........................................................................................61 其他緊急事件.......................................................................................................61 響應流程...............................................................................................................62
安全運維服務的客戶價值............................................................................................63 整體配置方案...............................................................................................................63
安全產品部署說明...................................................................................................65 10.1 11 12 方案合規性分析............................................................................................................66 信息安全產品選型及配置清單.....................................................................................67
產品選型...................................................................................................................67 12.1
12.1.1 12.1.2
12.2 選型建議..........................................................................................................67 選型要求..........................................................................................................67
信息安全建設配置清單............................................................................................68
12.2.1
12.2.2 業務內網安全產品配置清單..........................................................................68 辦公外網安全產品配置清單:...........................................................................69 XX醫院等級保護安全建設方案
秘密級 工程項目背景
醫院是一個信息和技術密集型的行業,其計算機網絡是一個完善的辦公網絡系統,作為一個現代化的醫療機構網絡,除了要滿足高效的內部自動化辦公需求以外,還應對外界的通訊保證暢通。結合醫院復雜的HIS、RIS、PACS等應用系統,要求網絡必須能夠滿足數據、語音、圖像等綜合業務的傳輸要求,所以在這樣的網絡上應運用多種高性能設備和先進技術來保證系統的正常運作和穩定的效率。同時醫院的網絡系統連接著Internet、醫保網和高校等,訪問人員比較復雜,所以如何保證醫院網絡系統中的數據安全問題尤為重要。在日新月異的現代化社會進程中,計算機網絡幾乎延伸到了世界每一個角落,它不停的改變著我們的工作生活方式和思維方式,但是,計算機信息網絡安全的脆弱性和易受攻擊性是不容忽視的。由于網絡設備、計算機操作系統、網絡協議等安全技術上的漏洞和管理體制上的不嚴密,都會使計算機網絡受到威脅。我們可以想象一下,對于一個需要高速信息傳達的現代化醫院,如果遭到致命攻擊,會給社會造成多大的影響。
在醫院行業的信息化建設過程中,信息安全的建設雖然只是一個很小的部分,但其重要性不容忽視。便捷、開放的網絡環境,是醫院信息化建設的基礎,在數據傳遞和共享的過程當中,數據的安全性要切實地得到保障,才能保障醫院信息化業務的正常運行。然而,我們的數據卻面臨著越來越多的安全風險,時刻對業務的正常運行帶來威脅。
為此,國家公安部、保密局、國家密碼管理局、國務院信息化領導小組辦公室于2007年聯合頒布了861號文件《關于開展全國重要信息系統安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》,要求涉及國計民生的信息系統應達到一定的安全等級,根據文件精神和等級劃分的原則,醫院信息系統構筑至少應達到二級或以上防護要求。XX醫院等級保護安全建設方案
秘密級
所以,在XXX大學XXX醫院的信息化建設過程中,我們應當正視可能面臨的各種安全風險,對網絡威脅給予充分的重視。為了XXX醫院信息網絡的安全穩定運行,確保醫院信息系統建設項目的順利實施,結合具體的網絡和應用系統情況,作為有著豐富醫療行業大型安全項目實施經驗的XXX有限公司,將以極大的信心和飽滿的熱情,根據XXX醫院目前的計算機信息網網絡特點及安全需求,本著切合實際、保護投資、著眼未來的原則,提出本技術方案。安全建設路線
2.1 設計原則
2.1.1 等級保護建設原則
XX醫院計算機網絡系統屬國計民生的重要信息系統,其安全建設不能忽視國家相關政策要求,在安全保障體系建設上最終所要達到的保護效果應符合《信息系統安全等級保護基本要求》。
2.1.2 體系化的設計原則
系統設計應充分考慮到各個層面的安全風險,構建完整的安全防護體系,充分保證系統的安全性。同時,應確保方案中使用的信息安全產品和技術方案在設計和實現的全過程中有具體的措施來充分保證其安全性。
2.1.3 產品的先進性原則
XX醫院的安全保障體系建設規模龐大,意義深遠。對所需的各類安全產品提出了很高的要求。必須認真考慮各安全產品的技術水平、合理性、先進性、安全性和穩定性等特點,共同打好工程的技術基礎。
2.1.4 按步驟有序建設原則
XX醫院的安全保障體系的建設是一項長期的工程,并非一蹴而就解決所有安全問題。因此,在實際建設過程中要根據實際情況分輕重緩急,分期、分批的 XX醫院等級保護安全建設方案
秘密級
進行部署。
2.1.5 安全服務細致化原則
要使得安全保障體系發揮最大的功效,除安全產品的部署外還應提供有效的安全服務,根據XX醫院的網絡系統具體現狀及承載的重要業務,全面而細致的安全服務會提升日常運維及應急處理風險的能力。安全服務就需要把安全服務商的專業技術經驗與行業經驗相結合,結合XX醫院的實際信息系統量身定做才可以保障其信息系統安全穩定的運行。
2.2 等級化建設思路
“等級化安全體系”是依據國家信息安全等級保護制度,根據系統在不同階段的需求、業務特性及應用重點,采用等級化與體系化相結合的安全體系設計方法,幫助構建一套覆蓋全面、重點突出、節約成本、持續運行的安全防御體系。
根據等級化安全保障體系的設計思路,等級保護的設計與實施通過以下步驟進行:
1.系統識別與定級:通過分析系統所屬類型、所屬信息類別、服務范圍以及業務對系統的依賴程度確定系統的等級。通過此步驟充分了解系統狀況,包括系統業務流程和功能模塊,以及確定系統的等級,為下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據。
2.安全域設計:根據第一步的結果,通過分析系統業務流程、功能模塊,根據安全域劃分原則設計系統安全域架構。通過安全域設計將系統分解為多個層次,為下一步安全保障體系框架設計提供基礎框架。
3.安全保障體系框架設計:根據安全域框架,設計系統各個層次的安全保障體系框架(包括策略、組織、技術和運作),各層次的安全保障體系框架形成系統整體的安全保障體系框架。
4.確定安全域安全要求:參照國家相關等級保護安全要求,設計等級安全 XX醫院等級保護安全建設方案
秘密級
指標庫。通過安全域適用安全等級選擇方法確定系統各區域等級,明確各安全域所需采用的安全指標。
5.評估現狀:根據各等級的安全要求確定各等級的評估內容,根據國家相關風險評估方法,對系統各層次安全域進行有針對性的等級風險評估。通過等級風險評估,可以明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。
6.安全技術解決方案設計:針對安全要求,建立安全技術措施庫。通過等級風險評估結果,設計系統安全技術解決方案。
7.安全管理建設:針對安全要求,建立安全管理措施庫。通過等級風險評估結果,進行安全管理建設。
通過如上步驟,XX醫院的網絡信息系統可以形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障系統整體的安全。系統分析
3.1 網絡結構分析
從目前XX醫院的全局網絡結構上看,可以分為兩大部分,用于日常醫療信息交換的業務網以及實時獲取Internet信息資源的辦公網。其中,醫院內部業務網是醫院業務開展的重要平臺,承載著核心業務,同時具有相應鏈路與衛生局、社保和銀行等其他機構交換數據;而辦公網主要對外提供信息發布門戶,對內提供Internet網絡接入等服務。
3.1.1 業務內網
XX醫院的業務內網是由在建的新辦公大樓中心機房、各業務大樓(如:門診大樓、急診大樓、住院大樓、科學樓、醫技樓、肝病大樓等)以及蘿崗醫院(包括災備中心)等幾部分組成,其中新辦公大樓中心機房是整個業務網絡的核心,主要提供醫療數據交換、存儲和醫院業務系統的運維。各業務大樓主要提供醫護人員的日常業務的開展。XX醫院等級保護安全建設方案
秘密級
整個XX醫院的業務網絡由核心層、匯聚層和接入層的網絡交換設備組成網絡的骨干,然后通過各樓層交換機接入到各個業務大樓,為了防止網絡設備由于單點故障而影響業務系統的可用性,在主要的核心節點設備上都采用了雙機冗余的方式在線運行。此外,還有相應的VPN專線連接到衛生局、社保和銀行等外部單位,進行相關的醫療業務數據交換。
XX醫院的業務內網拓樸圖所下所示:
磁盤陣列PACS以及HIS等服務器群磁盤陣列或磁帶庫IT運營維護系統數據中心蘿崗分院異地備份中心門診樓接入交換機門診樓中心機房防火墻…入侵防御高清視頻通訊系統(與羅崗園區進行視頻通訊)衛生局外聯單位社保銀行…………………住院樓Presentation_ID醫技樓?2008 Cisco Systems, Inc.All rights reserved.Cisco Confidential肝病大樓急診樓科學樓門診樓后座1
【圖一:XX醫院業務內網】
3.1.2 辦公外網
辦公外網主要由門診樓中心機房、各接入業務大樓、Internet接入區和中大校園網出口等幾部分組成;辦公外網的組網方式與業務網有些類似,但其主要職能是供本院醫職人員的互聯網瀏覽服務以及對外網站的發布,所以辦公外網采用的是成本更低廉單核心網絡架構,以滿足一般性的外網業務需求。XX醫院等級保護安全建設方案
秘密級
XX醫院的辦公外網拓撲圖如下所示:
【圖二:XX醫院辦公外網】
3.2 業務系統分析
3.2.1 業務內網
經過近十多年的發展,XX醫院信息系統(Hospital Information System,HIS)建設初具規模,日趨完善。信息系統的發展經歷了從單機系統、局部網絡系統到整個醫院信息系統的多個階段,可以說,HIS系統是XX醫院醫療信息化的最核心資產。
另外,內網還運行有CLS系統、PACS系統、ES系統、CRS系統和B超等業務應用系統,它們也是XX醫院日常業務正常開展的重要組成部分。
3.2.2 辦公外網
辦公外網是XX醫院對外綜合性服務系統的載體,和Internet直接連接,并且按照醫院相關規定和運行HIS系統的業務內網物理隔離。主要應用有:
? 信息發布網站:各級醫療系統的Web網站是其公眾形象的重要體現形式之一,其主要功能是發布正式的醫院官方的文件和信息等。XX醫院等級保護安全建設方案
秘密級
? 郵件和Internet瀏覽服務:除了提供對外網站發布服務,醫院辦公網絡系統還對內部人員提供郵件服務和Internet瀏覽服務。
? 外網OA系統:則主要指用于日常辦公的終端、辦公自動化應用服務器和數據庫,對于XX醫院OA系統,主要包含的應用有:電子郵件、公文傳遞及批復、文件傳輸和內部主頁等日常辦公文件處理。XX醫院等級保護安全建設方案
秘密級 等級保護建設流程
XXX公司提出的“按需防御的等級化安全體系”是依據國家信息安全等級保護制度,根據系統在不同階段的需求、業務特性及應用重點,采用等級化的安全體系設計方法,幫助構建一套覆蓋全面、重點突出、節約成本、持續運行的等級化安全防御體系。
“等級化”設計方法,是根據需要保護的信息系統確定不同的安全等級,根據安全等級確定不同等級的安全目標,形成不同等級的安全措施進行保護。等級保護的精髓思想就是“等級化”。等級保護可以把業務系統、信息資產、安全邊界等進行“等級化”,分而治之,從而實現信息安全等級保護的“等級保護、適度安全”思想。
整體的安全保障體系包括技術和管理兩大部分,其中技術部分根據《信息系統安全等級保護基本要求》分為物理安全、網絡安全、主機安全、應用安全、數據安全五個方面進行建設;而管理部分根據《信息系統安全等級保護基本要求》則分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面。
整個安全保障體系各部分既有機結合,又相互支撐。之間的關系可以理解為“構建安全管理機構,制定完善的安全管理制度及安全策略,由相關人員,利用技術工手段及相關工具,進行系統建設和運行維護。”
根據等級化安全保障體系的設計思路,等級保護的設計與實施通過以下步驟進行:
1.系統識別與定級:確定保護對象,通過分析系統所屬類型、所屬信息類別、服務范圍以及業務對系統的依賴程度確定系統的等級。通過此步驟充分了解系統狀況,包括系統業務流程和功能模塊,以及確定系統的等級,為下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據。XX醫院等級保護安全建設方案
秘密級
2.安全域設計:根據第一步的結果,通過分析醫院系統業務流程、功能模塊,根據安全域劃分原則設計系統安全域架構。通過安全域設計將系統分解為多個層次,為下一步安全保障體系框架設計提供基礎框架。3.確定安全域安全要求:參照國家相關等級保護安全要求,設計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統各區域等級,明確各安全域所需采用的安全指標。
4.評估現狀:根據各等級的安全要求確定各等級的評估內容,根據國家相關風險評估方法,對系統各層次安全域進行有針對性的等級風險評估。并找出系統安全現狀與等級要求的差距,形成完整準確的按需防御的安全需求。通過等級風險評估,可以明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。5.安全保障體系方案設計:根據安全域框架,設計系統各個層次的安全保障體系框架以及具體方案。包括:各層次的安全保障體系框架形成系統整體的安全保障體系框架;詳細安全技術設計、安全管理設計。6.安全建設:根據方案設計內容逐步進行安全建設,滿足方案設計并要符合的安全需求,滿足等級保護相應等級的基本要求,實現按需防御。7.持續安全運維:通過安全預警、安全監控、安全加固、安全審計、應急響應等,從事前、事中、事后三個方面進行安全運行維護,確保系統的持續安全,滿足持續性按需防御的安全需求。
通過如上步驟,系統可以形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障XX醫院系統整體的安全。而應該特別注意的是:等級保護不是一個項目,它應該是一個不斷循環的過程,所以通過整個安全項目、安全服務的實施,來保證XX醫院等級保護的建設能夠持續的運行,能夠使整個系統隨著環境的變化達到持續的安全。XX醫院等級保護安全建設方案
秘密級 方案參照標準
? GB/T 21052-2007 信息安全等級保護 信息系統物理安全技術要求 ? 信息安全技術 信息系統安全等級保護基本要求 ? 信息安全技術 信息系統安全保護等級定級指南 ? 信息安全技術信息安全等級保護實施指南 ? 信息安全技術 信息系統安全等級保護測評指南
? GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求 ? GB/T 20270-2006 信息安全技術 網絡基礎安全技術要求 ? GB/T 20984-2007信息安全技術 信息安全風險評估規范 ? GB/T 20269-2006 信息安全技術 信息系統安全管理要求 ? GB/T 20281-2006 信息安全技術 防火墻技術要求與測試評價方法 ? GB/T 20275-2006 信息安全技術 入侵檢測系統技術要求和測試評價方法 ? GB/T 20278-2006 信息安全技術 網絡脆弱性掃描產品技術要求 ? GB/T 20277-2006 信息安全技術 網絡脆弱性掃描產品測試評價方法 ? GB/T 20279-2006 信息安全技術 網絡端設備隔離部件技術要求 ? GB/T 20280-2006 信息安全技術 網絡端設備隔離部件測試評價方法 等。XX醫院等級保護安全建設方案
秘密級 安全風險與需求分析
伴隨著XX醫院信息化的快速發展,信息安全問題日益顯現。從醫院安全建設角度,目前還沒有成規模的部署安全產品,采用最多的只是桌面防病毒、網絡防火墻和IDS入侵檢測等傳統安全技術手段,無論是業務網還是辦公網均面臨著來自網絡外部和內部的一系列新型復雜的安全威脅;因此,必須認清威脅,明確需求,采取措施“攮外”與“安內”并舉,才能確保XX醫院信息化的順利進行。
需要說明的是,業務網上承載著最核心HIS系統,整個安全建設將圍繞保障業務系統的安全運行為目標。其次是辦公外網,既在諸如終端防護上具備和業務網類似的安全需求,又因邊界的不同屬性需要采取不同的個性化解決方案。
6.1 安全技術需求分析
6.1.1 物理安全風險與需求分析
物理安全風險主要是指網絡周邊的環境和物理特性引起的網絡設備和線路的不可使用,從而會造成網絡系統的不可使用,甚至導致整個網絡的癱瘓。它是整個網絡系統安全的前提和基礎,只有保證了物理層的可用性,才能使得整個網絡的可用性,進而提高整個網絡的抗破壞力。例如:
? 機房缺乏控制,人員隨意出入帶來的風險; ? 網絡設備被盜、被毀壞;
? 線路老化或是有意、無意的破壞線路; ? 設備在非預測情況下發生故障、停電等; ? 自然災害如地震、水災、火災、雷擊等; ? 電磁干擾等。
因此,在通盤考慮安全風險時,應優先考慮物理安全風險。保證網絡正常運 XX醫院等級保護安全建設方案
秘密級
行的前提是將物理層安全風險降到最低或是盡量考慮在非正常情況下物理層出現風險問題時的應對方案。
6.1.2 計算環境安全風險與需求分析
計算環境的安全主要指主機以及應用層面的安全風險與需求分析,包括:身份鑒別、訪問控制、系統審計、入侵防范、惡意代碼防范、軟件容錯、數據完整性與保密性、備份與恢復、資源合理控制、剩余信息保護、抗抵賴等方面。
? 身份鑒別
身份鑒別包括主機和應用兩個方面。
主機操作系統登錄、數據庫登陸以及應用系統登錄均必須進行身份驗證。過于簡單的標識符和口令容易被窮舉攻擊破解。同時非法用戶可以通過網絡進行竊聽,從而獲得管理員權限,可以對任何資源非法訪問及越權操作。因此必須提高用戶名/口令的復雜度,且防止被網絡竊聽;同時應考慮失敗處理機制。
? 訪問控制
訪問控制包括主機和應用兩個方面。
訪問控制主要為了保證用戶對主機資源和應用系統資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進入系統,低權限的合法用戶也可能企圖執行高權限用戶的操作,這些行為將給主機系統和應用系統帶來了很大的安全風險。用戶必須擁有合法的用戶標識符,在制定好的訪問控制策略下進行操作,杜絕越權非法操作。
? 系統審計
系統審計包括主機審計和應用審計兩個方面。
對于登陸主機后的操作行為則需要進行主機審計。對于服務器和重要主機需要進行嚴格的行為控制,對用戶的行為、使用的命令等進行必要的記錄審計,便于日后的分析、調查、取證,規范主機使用行為。而對于應用系統同樣提出了應用審計的要求,即對應用系統的使用行為進行審計。重點審計應用層信息,和業 XX醫院等級保護安全建設方案
秘密級
務系統的運轉流程息息相關。能夠為安全事件提供足夠的信息,與身份認證與訪問控制聯系緊密,為相關事件提供審計記錄。
? 入侵防范
主機操作系統面臨著各類具有針對性的入侵威脅,常見操作系統存在著各種安全漏洞,并且現在漏洞被發現與漏洞被利用之間的時間差變得越來越短,這就使得操作系統本身的安全性給整個系統帶來巨大的安全風險,因此對于主機操作系統的安裝,使用、維護等提出了需求,防范針對系統的入侵行為。
? 惡意代碼防范
病毒、蠕蟲等惡意代碼是對計算環境造成危害最大的隱患,當前病毒威脅非常嚴峻,特別是蠕蟲病毒的爆發,會立刻向其他子網迅速蔓延,發動網絡攻擊和數據竊密。大量占據正常業務十分有限的帶寬,造成網絡性能嚴重下降、服務器崩潰甚至網絡通信中斷,信息損壞或泄漏。嚴重影響正常業務開展。因此必須部署惡意代碼防范軟件進行防御。同時保持惡意代碼庫的及時更新。
? 軟件容錯
軟件容錯的主要目的是提供足夠的冗余信息和算法程序,使系統在實際運行時能夠及時發現程序設計錯誤,采取補救措施,以提高軟件可靠性,保證整個計算機系統的正常運行。
? 數據安全
主要指數據的完整性與保密性。數據是信息資產的直接體現。所有的措施最終無不是為了業務數據的安全。因此數據的備份十分重要,是必須考慮的問題。應采取措施保證數據在傳輸過程中的完整性以及保密性;保護鑒別信息的保密性
? 備份與恢復
數據是信息資產的直接體現。所有的措施最終無不是為了業務數據的安全。因此數據的備份十分重要,是必須考慮的問題。對于關鍵數據應建立數據的備份機制,而對于網絡的關鍵設備、線路均需進行冗余配置,備份與恢復是應對突發 XX醫院等級保護安全建設方案
秘密級
事件的必要措施。
? 資源合理控制
資源合理控制包括主機和應用兩個方面。
主機系統以及應用系統的資源是有限的,不能無限濫用。系統資源必須能夠為正常用戶提供資源保障。否則會出現資源耗盡、服務質量下降甚至服務中斷等后果。因此對于系統資源進行控制,制定包括:登陸條件限制、超時鎖定、用戶可用資源閾值設置等資源控制策略。
? 剩余信息保護
對于正常使用中的主機操作系統和數據庫系統等,經常需要對用戶的鑒別信息、文件、目錄、數據庫記錄等進行臨時或長期存儲,在這些存儲資源重新分配前,如果不對其原使用者的信息進行清除,將會引起用戶信息泄漏的安全風險,因此,需要確保系統內的用戶鑒別信息文件、目錄和數據庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除
對于動態管理和使用的客體資源,應在這些客體資源重新分配前,對其原使用者的信息進行清除,以確保信息不被泄漏。
? 抗抵賴
對于數據安全,不僅面臨著機密性和完整性的問題,同樣還面臨著抗抵賴性(不可否認性)的問題,應采用技術手段防止用戶否認其數據發送和接收行為,為數據收發雙方提供證據。
6.1.3 區域邊界安全風險與需求分析
區域邊界的安全主要包括:邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面。
? 邊界訪問控制
對于各類邊界最基本的安全需求就是訪問控制,對進出安全區域邊界的數據信息進行控制,阻止非授權及越權訪問。XX醫院等級保護安全建設方案
秘密級
? 邊界完整性檢測
邊界的完整性如被破壞則所有控制規則將失去效力,因此需要對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查,維護邊界完整性。
? 邊界入侵防范
各類網絡攻擊行為既可能來自于大家公認的互聯網等外部網絡,在內部也同樣存在。通過安全措施,要實現主動阻斷針對信息系統的各種攻擊,如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等,實現對網絡層以及業務系統的安全防護,保護核心信息資產的免受攻擊危害。
? 邊界安全審計
在安全區域邊界需要建立必要的審計機制,對進出邊界的各類網絡行為進行記錄與審計分析,可以和主機審計、應用審計以及網絡審計形成多層次的審計系統。并可通過安全管理中心集中管理。
? 邊界惡意代碼防范
現今,病毒的發展呈現出以下趨勢:病毒與黑客程序相結合、蠕蟲病毒更加泛濫,目前計算機病毒的傳播途徑與過去相比已經發生了很大的變化,更多的以網絡(包括 Internet、廣域網、局域網)形態進行傳播,因此為了安全的防護手段也需以變應變。迫切需要網關型產品在網絡層面對病毒予以查殺。
6.1.4 通信網絡安全風險與需求分析
XX醫院通信網絡的安全主要包括:網絡結構安全、網絡安全審計、網絡設備防護、通信完整性與保密性等方面。
? 網絡結構
網絡結構是否合理直接影響著是否能夠有效的承載業務需要。因此網絡結構需要具備一定的冗余性;帶寬能夠滿足業務高峰時期數據交換需求;并合理的劃分網段和VLAN。XX醫院等級保護安全建設方案
秘密級
? 網絡安全審計
由于用戶的計算機相關的知識水平參差不齊,一旦某些安全意識薄弱的管理用戶誤操作,將給信息系統帶來致命的破壞。沒有相應的審計記錄將給事后追查帶來困難。有必要進行基于網絡行為的審計。從而威懾那些心存僥幸、有惡意企圖的少部分用戶,以利于規范正常的網絡應用行為。
? 網絡設備防護
由于XX醫院在建網絡系統將會使用大量的網絡設備和安全設備,如交換機、防火墻、入侵檢測設備等。這些設備的自身安全性也會直接關系到涉密網和各種網絡應用的正常運行。如果發生網絡設備被不法分子攻擊,將導致設備不能正常運行。更加嚴重情況是設備設置被篡改,不法分子輕松獲得網絡設備的控制權,通過網絡設備作為跳板攻擊服務器,將會造成無法想象的后果。例如,交換機口令泄漏、防火墻規則被篡改、入侵檢測設備失靈等都將成為威脅網絡系統正常運行的風險因素。
? 通信完整性與保密性
由于網絡協議及文件格式均具有標準、開發、公開的特征,因此數據在網上存儲和傳輸過程中,不僅僅面臨信息丟失、信息重復或信息傳送的自身錯誤,而且會遭遇信息攻擊或欺詐行為,導致最終信息收發的差異性。因此,在信息傳輸和存儲過程中,必須要確保信息內容在發送、接收及保存的一致性;并在信息遭受篡改攻擊的情況下,應提供有效的察覺與發現機制,實現通信的完整性。
而數據在傳輸過程中,為能夠抵御不良企圖者采取的各種攻擊,防止遭到竊取,應采用加密措施保證數據的機密性。
? 網絡可信接入
對于一個不斷發展的網絡而言,為方便辦公,在網絡設計時保留大量的接入端口,這對于隨時隨地快速接入到XX醫院業務網絡進行辦公是非常便捷的,但同時也引入了安全風險,一旦外來用戶不加阻攔的接入到網絡中來,就有可能破壞網絡的安全邊界,使得外來用戶具備對網絡進行破壞的條件,由此而引入諸如 XX醫院等級保護安全建設方案
秘密級
蠕蟲擴散、文件泄密等安全問題。因此需要對非法客戶端實現禁入,能監控網絡,對于沒有合法認證的外來機器,能夠阻斷其網絡訪問,保護好已經建立起來的安全環境。
6.2 安全管理需求分析
“三分技術、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術管理措施外,安全管理是保障安全技術手段發揮具體作用的最有效手段,建立健全安全管理體系不但是國家等級保護中的要求,也是作為一個安全體系來講,不可或缺的重要組成部分。
安全管理體系依賴于國家相關標準、行業規范、國際安全標準等規范和標準來指導,形成可操作的體系。主要包括:
? 安全管理制度 ? 安全管理機構 ? 人員安全管理 ? 系統建設管理 ? 系統運維管理
根據等級保護的要求在上述方面建立一系列的管理制度與操作規范,并明確執行。技術體系方案設計
7.1 方案設計目標
三級系統安全保護環境的設計目標是:落實GB 17859-1999對三級系統的安全保護要求,在二級安全保護環境的基礎上,通過實現基于安全策略模型和標記的強制訪問控制以及增強系統的審計機制,使得系統具有在統一安全策略管控下,保護敏感資源的能力。
通過為滿足物理安全、網絡安全、主機安全、應用安全、數據安全五個方面 XX醫院等級保護安全建設方案
秘密級
基本技術要求進行技術體系建設;為滿足安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面基本管理要求進行管理體系建設。使得XX醫院網絡系統的等級保護建設方案最終既可以滿足等級保護的相關要求,又能夠全方面為XX醫院的業務系統提供立體、縱深的安全保障防御體系,保證信息系統整體的安全保護能力。
7.2 方案設計框架
根據《信息系統安全等級保護基本要求》,分為技術和管理兩大類要求,具體如下圖所示:
本方案將嚴格根據技術與管理要求進行設計。首先應根據本級具體的基本要求設計本級系統的保護環境模型,根據《信息系統等級保護安全設計技術要求》,保護環境按照安全計算環境、安全區域邊界、安全通信網絡和安全管理中心進行設計,內容涵蓋基本要求的5個方面。同時結合管理要求,形成如下圖所示的保護環境模型: XX醫院等級保護安全建設方案
秘密級
信息系統的安全保護等級由業務信息安全性等級和系統服務保證性等級較高者決定,因此,對某一個定級后的信息系統的安全保護的側重點可以有多種組合。對于3級保護系統,其組合為:(在S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3選擇)。以下對XX醫院詳細方案設計時應將每個項目進行相應的組合級別說明。
7.3 安全技術體系設計
7.3.1 物理安全設計
物理環境安全策略的目的是保護網絡中計算機網絡通信有一個良好的電磁兼容工作環境,并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發生。
? 機房選址
機房和辦公場地選擇在具有防震、防風和防雨等能力的建筑內。機房場地應避免設在建筑物的高層或地下室,以及用水設備的下層或隔壁。XX醫院等級保護安全建設方案
秘密級
? 機房管理
機房出入口安排專人值守,控制、鑒別和記錄進入的人員;
需進入機房的來訪人員須經過申請和審批流程,并限制和監控其活動范圍。對機房劃分區域進行管理,區域和區域之間設置物理隔離裝置,在重要區域前設置交付或安裝等過渡區域;
重要區域應配置電子門禁系統,控制、鑒別和記錄進入的人員。? 機房環境
合理規劃設備安裝位置,應預留足夠的空間作安裝、維護及操作之用。房間裝修必需使用阻燃材料,耐火等級符合國家相關標準規定。機房門大小應滿足系統設備安裝時運輸需要。機房墻壁及天花板應進行表面處理,防止塵埃脫落,機房應安裝防靜電活動地板。
機房安裝防雷和接地線,設置防雷保安器,防止感應雷,要求防雷接地和機房接地分別安裝,且相隔一定的距離;機房設置火災自動消防系統,能夠自動檢測火情、自動報警,并自動滅火;機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料;機房應采取區域隔離防火措施,將重要設備與其他設備隔離開。配備空調系統,以保持房間恒濕、恒溫的工作環境;在機房供電線路上配置穩壓器和過電壓防護設備;提供短期的備用電力供應,滿足關鍵設備在斷電情況下的正常運行要求。設置冗余或并行的電力電纜線路為計算機系統供電;建立備用供電系統。鋪設線纜要求電源線和通信線纜隔離鋪設,避免互相干擾。對關鍵設備和磁介質實施電磁屏蔽。
? 設備與介質管理
為了防止無關人員和不法分子非法接近網絡并使用網絡中的主機盜取信息、破壞網絡和主機系統、破壞網絡中的數據的完整性和可用性,必須采用有效的區域監控、防盜報警系統,阻止非法用戶的各種臨近攻擊。此外,必須制定嚴格的出入管理制度和環境監控制度,以保障區域監控系統和環境監控系統的有效運行。對介質進行分類標識,存儲在介質庫或檔案室中。利用光、電等技術設置機 XX醫院等級保護安全建設方案
秘密級
房防盜報警系統;對機房設置監控報警系統。
7.3.2 計算環境安全設計 7.3.2.1 身份鑒別
身份鑒別可分為主機身份鑒別和應用身份鑒別兩個方面: 主機身份鑒別:
為提高主機系統安全性,保障各種應用的正常運行,對主機系統需要進行一系列的加固措施,包括:
? 對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別,且保證用戶名的唯一性。
? 根據基本要求配置用戶名/口令;口令必須具備采用3種以上字符、長度不少于8位并定期更換;
? 啟用登陸失敗處理功能,登陸失敗后采取結束會話、限制非法登錄次數和自動退出等措施。
? 遠程管理時應啟用SSH等管理方式,加密管理數據,防止被網絡竊聽。? 對主機管理員登錄進行雙因素認證方式,采用USB key+密碼進行身份鑒別
應用身份鑒別:
為提高應用系統系統安全性應用系統需要進行一系列的加固措施,包括: 對登錄用戶進行身份標識和鑒別,且保證用戶名的唯一性。
根據基本要求配置用戶名/口令,必須具備一定的復雜度;口令必須具備采用3種以上字符、長度不少于8位并定期更換;
啟用登陸失敗處理功能,登陸失敗后采取結束會話、限制非法登錄次數和自動退出等措施。XX醫院等級保護安全建設方案
秘密級
應用系統如具備上述功能則需要開啟使用,若不具備則需進行相應的功能開發,且使用效果要達到以上要求。
對于三級系統,要求對用戶進行兩種或兩種以上組合的鑒別技術,因此可采用雙因素認證(USB key+密碼)或者構建PKI體系,采用CA證書的方式進行身份鑒別。
7.3.2.2 訪問控制
三級系統一個重要要求是實現自主訪問控制和強制訪問控制。自主訪問控制實現:在安全策略控制范圍內,使用戶對自己創建的客體具有各種訪問操作權限,并能將這些權限的部分或全部授予其他用戶;自主訪問控制主體的粒度應為用戶級,客體的粒度應為文件或數據庫表級;自主訪問操作應包括對客體的創建、讀、寫、修改和刪除等。強制訪問控制實現:在對安全管理員進行嚴格的身份鑒別和權限控制基礎上,由安全管理員通過特定操作界面對主、客體進行安全標記;應按安全標記和強制訪問控制規則,對確定主體訪問客體的操作進行控制;強制訪問控制主體的粒度應為用戶級,客體的粒度應為文件或數據庫表級。
由此主要控制的是對應用系統的文件、數據庫等資源的訪問,避免越權非法使用。采用的措施主要包括:
啟用訪問控制功能:制定嚴格的訪問控制安全策略,根據策略控制用戶對應用系統的訪問,特別是文件操作、數據庫訪問等,控制粒度主體為用戶級、客體為文件或數據庫表級。
權限控制:對于制定的訪問控制規則要能清楚的覆蓋資源訪問相關的主體、客體及它們之間的操作。對于不同的用戶授權原則是進行能夠完成工作的最小化授權,避免授權范圍過大,并在它們之間形成相互制約的關系。
賬號管理:嚴格限制默認賬戶的訪問權限,重命名默認賬戶,修改默認口令;及時刪除多余的、過期的賬戶,避免共享賬戶的存在。
訪問控制的實現主要采取兩種方式:采用安全操作系統,或對操作系統進行安全增強改造,且使用效果要達到以上要求。XX醫院等級保護安全建設方案
秘密級
7.3.2.3 系統安全審計
系統審計包含主機審計和應用審計兩個層面: 主機審計:
部署終端安全管理系統,啟用主機審計功能,或部署主機審計系統,實現對主機監控、審計和系統管理等功能。
監控功能包括服務監控、進程監控、硬件操作監控、文件系統監控、打印機監控、非法外聯監控、計算機用戶賬號監控等。
審計功能包括文件操作審計、外掛設備操作審計、非法外聯審計、IP地址更改審計、服務與進程審計等。審計范圍覆蓋到服務器上的每個操作系統用戶和數據庫用戶;內容包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等;保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。同時,根據記錄的數據進行統計分析,生成詳細的審計報表,系統管理功能包括系統用戶管理、主機監控代理狀態監控、安全策略管理、主機監控代理升級管理、計算機注冊管理、實時報警、歷史信息查詢、統計與報表等。
應用審計:
應用層安全審計是對業務應用系統行為的審計,需要與應用系統緊密結合,此審計功能應與應用系統統一開發。
應用系統審計功能記錄系統重要安全事件的日期、時間、發起者信息、類型、描述和結果等,并保護好審計結果,阻止非法刪除、修改或覆蓋審計記錄。同時能夠對記錄數據進行統計、查詢、分析及生成審計報表。
部署數據庫審計系統對用戶行為、用戶事件及系統狀態加以審計,范圍覆蓋到每個用戶,從而把握數據庫系統的整體安全。
應用系統如具備上述功能則需要開啟使用,若不具備則需進行相應的功能開 XX醫院等級保護安全建設方案
秘密級
發,且使用效果要達到以上要求。
7.3.2.4 入侵防范
針對入侵防范主要體現在主機及網絡兩個層面。針對主機的入侵防范,可以從多個角度進行處理: ? 入侵檢測系統可以起到防范針對主機的入侵行為; ? 部署漏洞掃描進行系統安全性檢測;
? 部署終端安全管理系統,開啟補丁分發功能模塊及時進行系統補丁升級; ? 操作系統的安裝遵循最小安裝的原則,僅安裝需要的組件和應用程序,關閉多余服務等;
? 另外根據系統類型進行其它安全配置的加固處理。
針對網絡入侵防范,可通過部署網絡入侵檢測系統來實現。將網絡入侵檢測系統位于有敏感數據需要保護的網絡上,通過實時偵聽網絡數據流,尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規行為和未授權的網絡訪問時,網絡監控系統能夠根據系統安全策略做出反應,包括實時報警、事件登錄,或執行用戶自定義的安全策略等。
入侵檢測系統可以部署在XX醫院的核心處以及主要服務器區,這里我們建議在這些區域的交換機上部署入侵檢測系統,監視并記錄網絡中的所有訪問行為和操作,有效防止非法操作和惡意攻擊。同時,入侵檢測系統還可以形象地重現操作的過程,可幫助安全管理員發現網絡安全的隱患。
需要說明的是,IDS是對防火墻的非常有必要的附加而不僅僅是簡單的補充。入侵檢測系統作為網絡安全體系的第二道防線,對在防火墻系統阻斷攻擊失敗時,可以最大限度地減少相應的損失。因此,IDS應具備更多的檢測能力,能夠和其他安全產品(邊界防火墻、內網安全管理軟件等)進行聯動。XX醫院等級保護安全建設方案
秘密級
7.3.2.5 主機惡意代碼防范
各類惡意代碼尤其是病毒、木馬等是對XX醫院的重大危害,病毒在爆發時將使路由器、3層交換機、防火墻等網關設備性能急速下降,并且占用整個網絡帶寬。
針對病毒的風險,我們建議重點是將病毒消滅或封堵在終端這個源頭上。比如,在所有終端主機和服務器上部署網絡防病毒系統,加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。
在XX醫院安全管理安全域中,可以部署防病毒服務器,負責制定和終端主機防病毒策略,在XX醫院內網建立全網統一的一級升級服務器,在下級節點建立二級升級服務器,由管理中心升級服務器通過互聯網或手工方式獲得最新的病毒特征庫,分發到數據中心節點的各個終端,并下發到各二級服務器。在網絡邊界通過防火墻進行基于通信端口、帶寬、連接數量的過濾控制,可以在一定程度上避免蠕蟲病毒爆發時的大流量沖擊。同時,防毒系統可以為安全管理平臺提供關于病毒威脅和事件的監控、審計日志,為全網的病毒防護管理提供必要的信息。
7.3.2.6 軟件容錯
軟件容錯的主要目的是提供足夠的冗余信息和算法程序,使系統在實際運行時能夠及時發現程序設計錯誤,采取補救措施,以提高軟件可靠性,保證整個計算機系統的正常運行。因此在應用系統軟件設計時要充分考慮軟件容錯設計,包括:
提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求;
具備自保護功能,在故障發生時,應用系統應能夠自動保存當前所有狀態,確保系統能夠進行恢復。
7.3.2.7 數據完整性與保密性
目前,XX醫院信息系統中傳輸的信息主要是重要的業務數據和辦公文檔,對信息完整性校驗提出了一定的需求,特別是通過公網遠程接入內網傳遞數據的 XX醫院等級保護安全建設方案
秘密級
私密性有很高的要求。而SSL VPN非常適用于遠程接入環境,例如:移動辦公接入。它和IPSEC VPN適用于不同的應用場景,可配合使用。
SSL的英文全稱是“Secure Sockets Layer”,中文名為“安全套接層協議層”,它是網景(Netscape)公司提出的基于WEB應用的安全協議。SSL協議指定了一種在應用程序協議(如Http、Telenet、NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制,它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。
SSL與IPSec安全協議一樣,也可提供加密和身份驗證安全方法,因此安全性上二者無明顯差別。
SSL VPN使用SSL/HTTPS技術作為安全傳輸機制。這種機制在所有的標準Web瀏覽器上都有,不用額外的軟件實現。使用SSL VPN,在移動用戶和內部資源之間的連接通過應用層的Web連接實現,而不是像IPSec VPN在網絡層開放的“通道”。SSL對移動用戶是理想的技術,因為:
? SSL無需被加載到終端設備上 ? SSL無需終端用戶配置
? SSL無需被限于固定終端,只要有標準瀏覽器即可使用
產品部署方面,SSL VPN只需單臂旁路方式接入。單臂旁路接入不改變原有網絡結構和網路配置,不增加故障點,部署簡單靈活,同時提供完整的SSL VPN服務。遠程用戶只需應用標準IE瀏覽器即可登陸網關,通過身份鑒別,在基于角色的策略控制下實現對醫院內部資源的存取訪問。遠程移動用戶只需打開標準IE瀏覽器,登陸SSL VPN網關,經過用戶認證后即可根據分配給該用戶的相應策略進行相關業務系統的訪問。
7.3.2.8 備份與恢復
備份與恢復主要包含兩方面內容,首先是指數據備份與恢復,另外一方面是關鍵網絡設備、線路以及服務器等硬件設備的冗余。
XX醫院等級保護安全建設方案
秘密級
數據是最重要的系統資源。數據丟失將會使系統無法連續正常工作。數據錯誤則將意味著不準確的事務處理。可靠的系統要求能立即訪問準確信息。將綜合存儲戰略作為計算機信息系統基礎設施的一部分實施不再是一種選擇,而已成為必然的趨勢。
數據備份系統應該遵循穩定性、全面性、自動化、高性能、操作簡單、實時性等原則。備份系統先進的特性可提供增強的性能,易于管理,廣泛的設備兼容性和較高的可靠性,以保證數據完整性。廣泛的選件和代理能將數據保護擴展到整個系統,并提供增強的功能,其中包括聯機備份應用系統和數據文件,先進的設備和介質管理,快速、順利的災難恢復以及對光纖通道存儲區域網(SAN)的支持等。
本地完全數據備份至少每天一次,且備份介質需要場外存放。
提供能異地數據備份功能,利用通信網絡將關鍵數據定時批量傳送至異地備用場地。
對于核心交換設備、外部接入鏈路以及系統服務器進行雙機、雙線的冗余設計,保障從網絡結構、硬件配置上滿足不間斷系統運行的需要。
7.3.2.9 資源控制
為保證XX醫院的應用系統正常的為用戶提供服務,必須進行資源控制,否則會出現資源耗盡、服務質量下降甚至服務中斷等后果。通過對應用系統進行開發或配置來達到控制的目標,包括:
? 會話自動結束:當應用系統的通信雙方中的一方在一段時間內未作任何響應,另一方應能夠及時檢測并自動結束會話,釋放資源;
? 會話限制:對應用系統的最大并發會話連接數進行限制,對一個時間段內可能的并發會話連接數進行限制,同時對單個帳戶的多重并發會話進行限制,設定相關閾值,保證系統可用性。
? 登陸條件限制:通過設定終端接入方式、網絡地址范圍等條件限制終端
XX醫院等級保護安全建設方案
秘密級
登錄。
? 超時鎖定:根據安全策略設置登錄終端的操作超時鎖定。
? 用戶可用資源閾值:限制單個用戶對系統資源的最大或最小使用限度,保障正常合理的資源占用。
? 對重要服務器的資源進行監視,包括CPU、硬盤、內存等。? 對系統的服務水平降低到預先規定的最小值進行檢測和報警。? 提供服務優先級設定功能,并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級,根據優先級分配系統資源。
應用系統如具備上述功能則需要開啟使用,若不具備則需進行相應的功能開發,且使用效果要達到以上要求。
7.3.2.10 客體安全重用
為實現客體的安全重用,及時清除剩余信息存儲空間,應通過對操作系統及數據庫系統進行安全加固配置,使得操作系統和數據庫系統具備及時清除剩余信息的功能,從而保證用戶的鑒別信息、文件、目錄、數據庫記錄等敏感信息所在的存儲空間(內存、硬盤)被及時釋放或再分配給其他用戶前得到完全清除。
7.3.2.11 抗抵賴
解決系統抗抵賴特性最有效的方法就是采用數字簽名技術,通過數字簽名及簽名驗證技術,可以判斷數據的發送方是真實存在的用戶。數字簽名是不對稱加密算法的典型應用。數字簽名的應用過程是,數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變量進行加密處理,完成對數據的合法“簽名”,數據接收方則利用對方的公鑰來解讀收到的“數字簽名”,并將解讀結果用于對數據完整性的檢驗,以確認簽名的合法性同時,通過對簽名的驗證,可以判斷數據在傳輸過程中是否被更改。從而,可以實現數據的發送方不能對發送的數據進行抵賴,發送的數據是完整的,實現系統的抗抵賴性和完整性需求。
XX醫院等級保護安全建設方案
秘密級
PKI體系具備了完善的數字簽名功能。因此部署PKI體系可解決抗抵賴的問題,同時提供身份鑒別和訪問控制。
7.3.3 區域邊界安全設計 7.3.3.1 邊界訪問控制
通過對XX醫院的邊界風險與需求分析,在網絡層進行訪問控制需部署防火墻產品,可以對所有流經防火墻的數據包按照嚴格的安全規則進行過濾,將所有不安全的或不符合安全規則的數據包屏蔽,杜絕越權訪問,防止各類非法攻擊行為。同時可以和內網安全管理系統、網絡入侵檢測系統等進行安全聯動,為網絡創造全面縱深的安全防御體系。
在各安全域邊界部署防火墻產品,部署效果如下: 1.網絡安全的基礎屏障:
防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
2.強化網絡安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻一身上。
3.對網絡存取和訪問進行監控審計
如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個
XX醫院等級保護安全建設方案
秘密級
網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
4.防止內部信息的外泄
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而曝露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger,DNS等服務。
5.精確流量管理
通過部署防火墻設備,不僅可以實現精準訪問控制與邊界隔離防護,還能實現阻止由于病毒或者P2P軟件引起的異常流量、進行精確的流量控制等。對各級節點安全域實現全面的邊界防護,嚴格控制節點之間的網絡數據流。
7.3.3.2 安全隔離網閘
根據XX醫院外網的業務需求,數據中心提供對互聯網的訪問服務。對這些訪問行為,需要對數據交換、傳輸協議、傳輸內容、安全決策等進行嚴格的檢查,以防止有互聯網引入風險。數據中心內部劃分了專門的互聯網服務器安全域,將對外提供服務的Web服務器等部署在防火墻的DMZ區,負責接收和處理來自互聯網的業務訪問請求。防火墻進行嚴格的訪問控制的設定,確保訪問身份的合法性。
但是,防火墻無法高度保證傳輸內容、協議、數據的安全性。同時,需要對互聯網業務服務器對數據中心內網數據庫的訪問進行嚴格的管理控制,不允許互聯網用戶訪問到互聯網業務服務器的數據庫。
可以通過在互聯網服務器安全域與數據中心內網的安全邊界上,在互聯網服務器安全域中的業務服務器與單個部門服務器安全域中的業務數據庫之間部署
XX醫院等級保護安全建設方案
秘密級
安全隔離網閘,對各部門的數據庫實現按需數據同步。用戶可以通過互聯網訪問到互聯網服務器區中的指定業務前置服務器中,互聯網服務器區的業務前置服務器負責接收用戶的業務訪問請求,并通過安全隔離網閘訪問內網某個部門前置受理服務器,在內部安全域實現內網前置處理服務器對相應數據庫完成業務處理,并將業務處理結果,按照用戶部門的不同,存儲在單個部門服務器安全域中、訪問用戶所在的部門的數據庫中,完成用戶通過互聯網對自己部門業務服務器的訪問。
通過這種方式,可以為訪問提供更高的安全性保障。安全隔離網閘兩側網絡之間所有的TCP/IP連接在其主機系統上都要進行完全的應用協議還原,還原后的應用層信息根據用戶的策略進行強制檢查后,以格式化數據塊的方式通過隔離交換矩陣進行單向交換,在另外一端的主機系統上通過自身建立的安全會話進行最終的數據通信,即實現“協議落地、內容檢測”。這樣,既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,又進行了強制內容檢測,從而實現最高級別的安全。
7.3.3.3 流量控制
XX醫院數據中心提供面向互聯網的服務,包括門戶網站、互聯網數據收集服務等,這些服務集中在互聯網服務區安全域中。對于服務的訪問流量,是我們需要保護的流量。但是,往往有一些“異常”的流量,通過部分或完全占據網絡資源,使得正常的業務訪問延遲或中斷。可能發生在互聯網服務區安全邊界的異常流量,根據產生原因的不同,大致可以分為兩類:攻擊流量、病毒流量。
攻擊流量:是以拒絕服務式攻擊(DDOS)為代表,他們主要來自于互聯網,攻擊的目標是互聯網服務區安全域中的服務系統。
病毒流量:病毒流量可能源自數據中心內部或互聯網,主要是由蠕蟲病毒所引發,一旦內部主機感染病毒,病毒會自動的在網絡中尋找漏洞主機并感染。互聯網中的大量蠕蟲病毒,也可能通過安全邊界,進入到數據中心網絡中來。
通過在互聯網服務區安全邊界最外側部署流量管理系統,可以實時的發現并
XX醫院等級保護安全建設方案
秘密級
阻斷異常流量,為正常的互聯網訪問請求提供高可靠環境。流量控制系統部署在互聯網服務區安全邊界最外層,直接面向互聯網,阻斷來自互聯網的攻擊,阻斷病毒的自動探測和傳播。
流量控制系統必須具備智能的流量分析能力、特征識別能力,具備大流量入侵時足夠的性能處理能力,可以為XX醫院網絡系統實現:
全面識別網絡應用流量
使用協議檢測、協議解碼、特征簽名、行為檢測四種技術精確識別網絡上的每個應用并對其進行分類管理。可以識別13大類、1100種以上網絡應用,與應用使用的端口、協議或是否采用加密以及隱蔽機制無關。
全面識別網絡攻擊流量
精確識別7大類、1600種以上高風險網絡攻擊流量,包括DDoS/DoS、緩存區溢出、掃描、木馬后門、蠕蟲病毒、Web攻擊等。
全面控制網絡應用流量
采用精確流量控制技術,實現帶寬限制、保證帶寬、帶寬借用、應用優先級等一系列帶寬管理功能,防止不正常應用對網絡帶寬資源的過度消耗,保證關鍵應用帶寬,限制非關鍵應用帶寬,改善和保障整體網絡應用的服務質量。
全面清洗網絡攻擊流量
能夠實時阻擋網絡掃描、蠕蟲病毒、木馬后門、DDoS/ DoS、Web攻擊等攻擊流量,給用戶專業級流量凈化設備的效果。如果不能夠將占用或消耗網絡帶寬的攻擊流量或者給應用流量帶來巨大安全威脅的惡意流量清洗掉,關鍵應用流量的管理就得不到有效的保障。在有多條廣域網鏈路存在的情況下,可以對每條廣域網鏈路設置不同的流量凈化策略。
全面管理網絡應用行為
在應用行為管理上,可以根據不同的時間、用戶群組來對IM、P2P、網絡游戲、股票證券、非法隧道等下達嚴格的管理策略,杜絕對不良網站和危險資源的37 XX醫院等級保護安全建設方案
秘密級
訪問,防止對Internet資源的濫用,避免醫院敏感信息的泄漏。
全面的流量監控與報表
具有強大的流量實時監控與報表分析能力。不同策略下網絡應用流量的監控與分析報表包括應用流量分布、內部主機流量分布、外部主機流量分布、帶寬負載分布、連接數分布、數據包大小分布、QoS流量分布等等。網絡攻擊流量的監控報表包括每一次異常流量攻擊的發生時間、嚴重程度、處理方式、攻擊種類、源IP、目的IP、源端口、目的端口、協議等;對網絡攻擊流量的分析報表包括來源、目的、種類、威脅程度等的詳細分析。
7.3.3.4 邊界完整性檢查
邊界完整性檢查核心是要對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查,維護網絡邊界完整性。通過部署終端安全管理系統可以實現這一目標。
終端安全管理系統其中一個重要功能模塊就是非法外聯控制,探測內部網中非法上互聯網的計算機。非法外聯監控主要解決發現和管理用戶非法自行建立通路連接非授權網絡的行為。通過非法外聯監控的管理,可以防止用戶訪問非信任網絡資源,并防止由于訪問非信任網絡資源而引入安全風險或者導致信息泄密。
? 終端非法外聯行為監控
可以發現終端試圖訪問非授信網絡資源的行為,如試圖與沒有通過系統授權許可的終端進行通信,自行試圖通過撥號連接互聯網等行為。對于發現的非法外聯行為,可以記錄日志并產生報警信息。
? 終端非法外聯行為管理
可以禁止終端與沒有通過系統授權許可的終端進行通信,禁止撥號上網行為。
XX醫院等級保護安全建設方案
秘密級
7.3.3.5 邊界入侵防御
在各區域邊界,防火墻起到了協議過濾的主要作用,根據安全策略在偏重在網絡層判斷數據包的合法流動。但面對越來越廣泛的基于應用層內容的攻擊行為,防火墻并不擅長處理應用層數據。
在XX醫院網絡邊界和主要服務器區安全域均已經設計部署了防火墻,對每個安全域進行嚴格的訪問控制。鑒于以上對防火墻核心作用的分析,需要其他具備檢測新型的混合攻擊和防護的能力的設備和防火墻配合,共同防御來自應用層到網絡層的多種攻擊類型,建立一整套的安全防護體系,進行多層次、多手段的檢測和防護。入侵防護系統(IPS)就是安全防護體系中重要的一環,它能夠及時識別網絡中發生的入侵行為并實時報警并且進行有效攔截防護。
IPS是繼“防火墻”、“信息加密”等傳統安全保護方法之后的新一代安全保障技術。它監視計算機系統或網絡中發生的事件,并對它們進行分析,以尋找危及信息的機密性、完整性、可用性或試圖繞過安全機制的入侵行為并進行有效攔截。IPS就是自動執行這種監視和分析過程,并且執行阻斷的硬件產品。
將IPS串接在防火墻后面,核心服務器區的前面,在防火墻進行訪問控制,保證了訪問的合法性之后,IPS動態的進行入侵行為的保護,對訪問狀態進行檢測、對通信協議和應用協議進行檢測、對內容進行深度的檢測。阻斷來自內部的數據攻擊以及垃圾數據流的泛濫。
由于IPS對訪問進行深度的檢測,因此,IPS產品需要通過先進的硬件架構、軟件架構和處理引擎對處理能力進行充分保證。
7.3.3.6 邊界安全審計(上網行為管理)
各安全區域邊界已經部署了相應的安全設備負責進行區域邊界的安全。對于流經各主要邊界(重要服務器區域、外部連接邊界)需要設置必要的審計機制,進行數據監視并記錄各類操作,通過審計分析能夠發現跨區域的安全威脅,實時地綜合分析出網絡中發生的安全事件。一般可采取開啟邊界安全設備的審計功能
XX醫院等級保護安全建設方案
秘密級
模塊,根據審計策略進行數據的日志記錄與審計。同時審計信息要通過安全管理中心進行統一集中管理,為安全管理中心提供必要的邊界安全審計數據,利于管理中心進行全局管控。邊界安全審計和主機審計、應用審計、網絡審計等一起構成完整的、多層次的審計系統。
7.3.3.7 網頁防篡改
在XX醫院外網數據中心的互聯網服務器區對外提供Web服務,Web應用的普及使得XX醫院外網信息系統中存在的Web服務器很容易成為黑客的攻擊目標。需要專業的主頁防篡改工具有效阻止主頁篡改事件的發生,維護Web頁面的安全。
在XX醫院辦公外網的互聯網服務器區中的每個web服務器配置一套主頁防篡改系統,全面監測WEB服務器的頁面是否正常。對于突破網站防火墻的篡改行為,進行實時監控,確保網站信息安全。一旦發現網站信息被篡改之后,立刻通知監控中心并迅速恢復正常的網頁文件。7?24不間斷地保護網站,任何惡意篡改痕跡將被實時保留,并主動和及時通知管理人員,做到防范于未然。
XX醫院外網互聯網服務器區Web部署的主頁防篡改系統可以保障主要的WEB頁面信息的安全和準確性。全面的監測和保障XX醫院外網Web服務的安全。防止黑客對網頁進行惡意篡改。通過網絡掃描網站的網頁,監測網頁是否被修改,當發現網頁被修改后,系統能夠自動報警和恢復。
7.3.3.8 邊界惡意代碼防范(防毒墻)
一個完善的安全體系應該包含了從桌面到服務器、從內部用戶到網絡邊界的全面地解決方案,以抵御來自黑客和病毒的威脅。
在XX醫院辦公外網邊界部署防病毒網關,采用透明接入方式,在最接近病毒發生源安全邊界處進行集中防護,對夾雜在網絡交換數據中的各類網絡病毒進行過濾,可以對網絡病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進行全面的攔截。阻止病毒通過網絡的快速擴散,將經網絡傳播的病毒阻擋在外,可以有效防止病毒從其他區域傳播到內部其他安全域
XX醫院等級保護安全建設方案
秘密級
中。通過部署AV防病毒網關(防毒墻),截斷了病毒通過網絡傳播的途徑,凈化了網絡流量。
部署的防病毒網關應特別注意設備性能,產品必須具備良好的體系架構保證性能,能夠靈活的進行網絡部署。同時為使得達到最佳防毒效果,AV防病毒網關設備和桌面防病毒軟件應為不同的廠家產品,兩類病毒防護產品共同組成XX醫院的立體病毒防護體系。
為能達到最好的防護效果,病毒庫的及時升級至最新版本至關重要。對于能夠與互聯網實現連接的網絡,應對自動升級進行準確配置;對與不能與互聯網進行連接的網絡環境,需采取手動下載升級包的方式進行手動升級。
7.3.4 通信網絡安全設計 7.3.4.1 網絡結構安全
網絡結構的安全是網絡安全的前提和基礎,對于XX醫院,選用主要網絡設備時需要考慮業務處理能力的高峰數據流量,要考慮冗余空間滿足業務高峰期需要;網絡各個部分的帶寬要保證接入網絡和核心網絡滿足業務高峰期需要;按照業務系統服務的重要次序定義帶寬分配的優先級,在網絡擁堵時優先保障重要主機;合理規劃路由,業務終端與業務服務器之間建立安全路徑;繪制與當前運行情況相符的網絡拓撲結構圖;根據各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的網段或VLAN。保存有重要業務系統及數據的重要網段不能直接與外部系統連接,需要和其他網段隔離,單獨劃分區域。
7.3.4.2 網絡安全審計
網絡安全審計系統主要用于監視并記錄網絡中的各類操作,偵察系統中存在的現有和潛在的威脅,實時地綜合分析出網絡中發生的安全事件,包括各種外部事件和內部事件。
在XX醫院交換機處并接部署網絡行為監控與審計系統,形成對全網網絡數
XX醫院等級保護安全建設方案
秘密級
據的流量監測并進行相應安全審計,同時和其它網絡安全設備共同為集中安全管理提供監控數據用于分析及檢測。
網絡行為監控和審計系統將獨立的網絡傳感器硬件組件連接到網絡中的數據會聚點設備上,對網絡中的數據包進行分析、匹配、統計,通過特定的協議算法,從而實現入侵檢測、信息還原等網絡審計功能,根據記錄生成詳細的審計報表。
網絡行為監控和審計系統采用旁路技術,不用在目標主機中安裝任何組件。同時網絡審計系統可以與其它網絡安全設備進行聯動,將各自的監控記錄送往安全管理安全域中的安全管理服務器,集中對網絡異常、攻擊和病毒進行分析和檢測。
7.3.4.3 網絡設備防護
為提高網絡設備的自身安全性,保障各種網絡應用的正常運行,對網絡設備需要進行一系列的加固措施,包括:
? 對登錄網絡設備的用戶進行身份鑒別,用戶名必須唯一; ? 對網絡設備的管理員登錄地址進行限制;
? 身份鑒別信息具有不易被冒用的特點,口令設置需3種以上字符、長度不少于8位,并定期更換;
? 具有登錄失敗處理功能,失敗后采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施;
? 啟用SSH等管理方式,加密管理數據,防止被網絡竊聽。
? 對于鑒別手段,三級要求采用兩種或兩種以上組合的鑒別技術,因此需采用USBkey+密碼進行身份鑒別,保證對網絡設備進行管理維護的合法性。
XX醫院等級保護安全建設方案
秘密級
7.3.4.4 通信完整性
信息的完整性設計包括信息傳輸的完整性校驗以及信息存儲的完整性校驗。對于信息傳輸和存儲的完整性校驗可以采用的技術包括校驗碼技術、消息鑒別碼、密碼校驗函數、散列函數、數字簽名等。
對于信息傳輸的完整性校驗應由傳輸加密系統完成。部署SSL VPN系統保證遠程數據傳輸的數據完整性。對于信息存儲的完整性校驗應由應用系統和數據庫系統完成。
7.3.4.5 通信保密性
應用層的通信保密性主要由應用系統完成。在通信雙方建立連接之前,應用系統應利用密碼技術進行會話初始化驗證;并對通信過程中的敏感信息字段進行加密。
對于信息傳輸的通信保密性應由傳輸加密系統完成。部署SSL VPN系統保證遠程數據傳輸的數據機密性。
7.3.4.6 網絡可信接入
為保證網絡邊界的完整性,不僅需要進行非法外聯行為,同時對非法接入進行監控與阻斷,形成網絡可信接入,共同維護邊界完整性。通過部署終端安全管理系統可以實現這一目標。
終端安全管理系統其中一個重要功能模塊就是網絡準入控制,啟用網絡阻斷方式包括ARP干擾、802.1x協議聯動等。
監測內部網中發生的外來主機非法接入、篡改 IP 地址、盜用 IP 地址等不法行為,由監測控制臺進行告警。運用用戶信息和主機信息匹配方式實時發現接入主機的合法性,及時阻止 IP 地址的篡改和盜用行為。共同保證XX醫院的邊界完整性。具體如下:
? 在線主機監測
XX醫院等級保護安全建設方案
秘密級
可以通過監聽和主動探測等方式檢測系統中所有在線的主機,并判別在線主機是否是經過系統授權認證的信任主機。
? 主機授權認證
可以通過在線主機是否安裝客戶端代理程序,并結合客戶端代理報告的主機補丁安裝情況,防病毒程序安裝和工作情況等信息,進行網絡的授權認證,只允許通過授權認證的主機使用網絡資源。
? 非法主機網絡阻斷
對于探測到的非法主機,系統可以主動阻止其訪問任何網絡資源,從而保證非法主機不對網絡產生影響,無法有意或無意的對網絡攻擊或者試圖竊密。
? 網絡白名單策略管理
可生成默認的合法主機列表,根據是否安裝安全管理客戶端或者是否執行安全策略,來過濾合法主機列表,快速實現合法主機列表的生成。同時允許管理員設置白名單例外列表,允許例外列表的主機不安裝客戶端但是仍然授予網絡使用權限,并根據需要授予可以和其他授權認證過的主機通信的權限或者允許和任意主機通信的權限。
? IP和MAC綁定管理
可以將終端的IP和MAC地址綁定,禁止用戶修改自身的IP和MAC地址,并在用戶試圖更改IP和MAC地址時,產生相應的報警信息。
7.3.5 安全管理中心設計
由于XX醫院覆蓋面廣,用戶眾多,技術人員水平不一。為了能準確了解系統的運行狀態、設備的運行情況,統一部署安全策略,應進行安全管理中心的設計,根據要求,應在系統管理、審計管理和安全管理幾個大方面進行建設。
在安全管理安全域中建立安全管理中心,是有效幫助管理人員實施好安全措施的重要保障,是實現業務穩定運行、長治久安的基礎。通過安全管理中心的建設,真正實現安全技術層面和管理層面的結合,全面提升用戶網絡的信息安全保
XX醫院等級保護安全建設方案
秘密級
障能力。
7.3.5.1 系統管理
通過系統管理員對系統的資源和運行進行配置、控制和管理,包括: ? 用戶身份管理:統一管理系統用戶身份,按照業務上分工的不同,合理地把相關人員劃分為不同的類別或者組,以及不同的角色對模塊的訪問權限。權限設置可按角色劃分,角色分為普通用戶、系統管理員、安全管理員、審計管理員等。
? 系統資源配置與監控:進行系統資源配置管理與監控,包括CPU負載、磁盤使用情況、服務器內存、數據庫的空間、數據庫日志空間、SWAP使用情況等,通過配置采樣時間,定時檢測。
? 系統加載和啟動:進行系統啟動初始化管理,保障系統的正常加載和啟動。
? 系統運行的異常監控:系統資源和設備受到攻擊,或運行異常時,會以告警等信息方式,通知管理員。安全管理平臺可提供多種自動處理機制,協助用戶監控最新告警,全方位掌控網絡異常和攻擊。
? 數據備份與恢復:數據的定期備份與恢復管理,識別需要定期備份的重要業務信息、系統數據及軟件系統,規定備份信息的備份方式、備份頻度、存儲介質、保存期等;根據數據的重要性及其對系統運行的影響,制定數據的備份策略和恢復策略,定期執行備份與恢復策略。? 惡意代碼防范管理:建立惡意代碼管理中心,進行防惡意代碼軟件的統一管理,并根據情況建立二級管理中心。惡意代碼管理中心實現:殺毒策略統一集中配置;自動并強制進行惡意代碼庫升級;定制統一客戶端策略并強制執行;進行集中病毒報警等。
? 系統補丁管理:集中進行補丁管理,定期統一進行系統補丁安裝。注意應首先在測試環境中測試通過,并對重要文件進行備份后,方可實施系
XX醫院等級保護安全建設方案
秘密級
統補丁程序的安裝。
? 系統管理員身份認證與審計:對系統管理員進行嚴格的身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些操作進行審計。
7.3.5.2 審計管理
通過安全審計員對分布在系統各個組成部分的安全審計機制進行集中管理,包括:根據安全審計策略對審計記錄進行分類;提供按時間段開啟和關閉相應類型的安全審計機制;對各類審計記錄進行存儲、管理和查詢等;對安全審計員進行嚴格的身份鑒別,并只允許其通過特定的命令或界面進行安全審計操作。
具體集中審計內容包括: ? 日志監視
實時監視接收到的事件的狀況,如最近日志列表、系統風險狀況等;監控事件狀況的同時也可以監控設備運行參數,以配合確定設備及網絡的狀態;日志監視支持以圖形化方式實時監控日志流量、系統風險等變化趨勢。
? 日志管理
日志管理實現對多種日志格式的統一管理。通過SNMP、SYSLOG或者其它的日志接口采集管理對象的日志信息,轉換為統一的日志格式,再統一管理、分析、報警;自動完成日志數據的格式解析和分類;提供日志數據的存儲、備份、恢復、刪除、導入和導出操作等功能。日志管理支持分布式日志級聯管理,下級管理中心的日志數據可以發送到上級管理中心進行集中管理
? 審計分析
集中審計可綜合各種安全設備的安全事件,以統一的審計結果向用戶提供可定制的報表,全面反映網絡安全總體狀況,重點突出,簡單易懂。
系統支持對包過濾日志、代理日志、入侵攻擊事件、病毒入侵事件等十幾種日志進行統計分析并生成分析報表;支持按照設備運行狀況、設備管理操作對安
XX醫院等級保護安全建設方案
秘密級
全設備管理信息統計分析;支持基于多種條件的統計分析,包括:對訪問流量、入侵攻擊、郵件過濾日志、源地址、用戶對網絡訪問控制日志等。對于入侵攻擊日志,可按照入侵攻擊事件、源地址、被攻擊主機進行統計分析,生成各類趨勢分析圖表。
系統可以生成多種形式的審計報表,報表支持表格和多種圖形表現形式;用戶可以通過IE瀏覽器訪問,導出審計結果。可設定定時生成日志統計報表,并自動保存以備審閱或自動通過郵件發送給指定收件人,實現對安全審計的流程化處理。
7.3.5.3 網絡運維及應用監控管理系統
XX醫院作為醫療信息化的服務提供者,面對日益增長的業務需求,對網絡和系統的穩定性、可靠性、服務質量的要求很高。大量軟硬件的投入和增加,也導致了XX醫院運維管理難度的增大和系統管理人員的工作壓力越來越大。
此外,XX醫院業務系統運維還需要對應用系統的整體運行狀況進行有效監控,需要及時發現潛在的問題,這對網絡管理工程師又是一個很大的挑戰。網管工程師過去經常是在故障發生后,才能去進行處理,工作處于被動狀態。有時即使發現了故障,也要花費很長時間去尋找和診斷故障,極大地影響了工作效率。由于沒有直觀的網絡拓撲功能,應用系統的監測和管理顯得非常繁瑣。如何對各種應用系統進行有效的監測管理,不斷提高各種應用的服務質量,是XX醫院網管項目系統管理人員急需解決的問題。
為了保障XX醫院的業務系統正常運轉,提高服務和維護水平,特別是要管理分布式的網絡、系統環境,有必要使用一套全面的網絡運維管理系統,制定相應的管理策略和制度,實現集中統一管理,并實現:
? 監測管理自動化,故障處理變被動為主動,主動發現系統問題,在最短的時間內實現故障報警,管理人員可以快速采取解決措施。
? 完善的性能分析報告,更能幫助系統管理人員及時預測、發現性能瓶頸,提高系統的整體性能。
? 幫助管理者制定并執行良好的實施、管理和分析策略,使XX醫院醫院
XX醫院等級保護安全建設方案
秘密級
系統運維管理水平上升到新的高度。
7.3.6 不同等級系統互聯互通
在明確等級劃分之后,不同等級的系統間面臨著互聯互通的問題,系統間需要進行數據交換。《電子政務信息安全等級保護實施指南》指出,不同安全等級的電子政務系統之間可以根據業務需要進行互聯互通。
不同安全等級的系統互聯互通,應遵循以下原則:
? 不同等級安全域互聯后各級系統須能夠滿足本級各項基本技術要求,高安全等級的系統要充分考慮引入低安全等級系統后帶來的風險,不能因為互聯而無法達到相應的基本要求,破壞本等級的安全邊界。? 互聯手段中重點是互聯邊界應采取相應的邊界保護、訪問控制等安全措施,防止高等級系統的安全受低等級系統的影響。邊界產品可有針對性的選擇安全隔離網閘、防火墻、入侵防護等邊界安全設備。
? 根據系統業務要求和安全保護要求,制定相應的互聯互通安全策略,包括訪問控制策略和數據交換策略等,嚴格控制數據在不同等級之間的流動。安全管理體系設計
安全體系管理層面設計主要是依據《信息系統安全等級保護基本要求》中的管理要求而設計。分別從以下方面進行設計:
? 安全管理制度
根據安全管理制度的基本要求制定各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法,是具有可操作性,且必須得到有效推行和實施的制度。
制定嚴格的制定與發布流程,方式,范圍等,制度需要統一格式并進行有效
XX醫院等級保護安全建設方案
秘密級
版本控制;發布方式需要正式、有效并注明發布范圍,對收發文進行登記。
信息安全領導小組負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定,定期或不定期對安全管理制度進行評審和修訂,修訂不足及進行改進。
? 安全管理機構
根據基本要求設置安全管理機構的組織形式和運作方式,明確崗位職責; 設置安全管理崗位,設立系統管理員、網絡管理員、安全管理員等崗位,根據要求進行人員配備,配備專職安全員;成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權;制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。
建立授權與審批制度; 建立內外部溝通合作渠道;
定期進行全面安全檢查,特別是系統日常運行、系統漏洞和數據備份等。? 人員安全管理
根據基本要求制定人員錄用,離崗、考核、培訓幾個方面的規定,并嚴格執行;規定外部人員訪問流程,并嚴格執行。
? 系統建設管理
根據基本要求制定系統建設管理制度,包括:系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級評測、安全服務商選擇等方面。從工程實施的前、中、后三個方面,從初始定級設計到驗收評測完整的工程周期角度進行系統建設管理。
? 系統運維管理
根據基本要求進行信息系統日常運行維護管理,利用管理制度以及安全管理中心進行,包括:環境管理、資產管理、介質管理、設備管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更
XX醫院等級保護安全建設方案
秘密級
管理、備份與恢復管理、安全事件處置、應急預案管理等,使系統始終處于相應等級安全狀態中。安全運維服務設計
XX公司提出的等級保護建設流程中,在進行安全保障體系設計以及安全建設之后將會進入到周期性的安全運維階段,來保證和鞏固等級保護建設的成果。
根據建立的信息安全管理運維體系對客戶的信息安全系統進行實時的維護管理,針對XX醫院信息系統安全軟、硬件提供全面的安全運維服務。針對于整個系統相關范圍的不同安全等級及實際應用,所需要的安全運維服務模塊如下:
? 安全掃描
人工檢查 ? 安全加固
日志分析 ? 補丁管理
安全監控 ? 安全通告
應急響應
以下章節是相關內容的具體描述。
9.1 安全掃描
安全專家通過按照計算機信息系統安全的國家標準、相關行業標準設計、編寫、制造的安全掃描工具,分析并指出有關網絡的安全漏洞及被測系統的薄弱環節,給出詳細的檢測報告,并針對檢測到的網絡安全隱患給出相應的修補措施和安全建議。
安全掃描目的是提高內部網絡安全防護性能和抗破壞能力,檢測評估已運行網絡的安全性能,為網絡系統管理員提供實時安全建議。安全掃描作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前可以提供安全防護解決方案。
安全掃描是一種快速有效的安全評估手段,可以發覺系統可能存在的部分安全問題,XX公司根據目前安全行業漏洞發掘情況,對掃描系統漏洞庫不斷進行更新。使在掃描過程中,可以發現系統更多的安全問題。
第二篇:等級保護三級承諾書
承諾書
中國交通通信信息中心:
根據?關于認真貫徹〖道路運輸車輛衛星定位系統平臺技術要求〗和〖道路運輸車輛衛星定位系統車載終端技術要求〗兩項標準的通知?(交運發〔2011〕158號)、?關于進一步開展交通運輸行業信息安全等級保護工作的通知?(廳科技字〔2012〕120號)以及?道路運輸車輛衛星定位系統平臺和道路運輸車輛衛星定位系統車載終端標準符合性審查辦法(試行)?(中交通信字〔2011〕75號)的規定,我公司承諾于2013年12月31日前,按照交通運輸部關于行業信息安全等級保護工作的要求提交XXXX(平臺名稱)的信息系統安全等級保護三級備案證明和測評報告。如未按期完成,愿意接受從符合性審查公告目錄中刪除的處理。
二〇一二年 月 日
第三篇:天津中醫藥大學第二附屬醫院等級評審資料
天津中醫藥大學第二附屬醫院管理制度
醫療技術臨床應用管理制度
第一章總則
第一條 為加強醫療技術管理,促進衛生科技進步,提高醫療服務質量,保障人民身體健康,根據《醫療技術臨床應用管理辦法》《醫療機構管理條例》等國家有關法律法規,結合我院實際情況,制定本制度。
第二條 本辦法所稱醫療技術,是指醫療機構及其醫務人員以診斷和治療疾病為目的,對疾病作出判斷和消除疾病、緩解病情、減輕痛苦、改善功能、延長生命、幫助患者恢復健康而采取的診斷、治療措施。
第三條 醫療技術臨床應用應當遵循科學、安全、規范、有效、經濟、符合倫理的原則
第四條 醫院鼓勵研究、開發和應用新的醫療技術,鼓勵引進國內外先進醫療技術;禁止使用已明顯落后或不再適用、需要淘汰或技術性、安全性、有效性
第五條 凡引進本院尚未開展的新技術、新項目,均應嚴格遵守本制度。
第二章 醫療技術分類分級管理
第六條 醫院建立醫療技術臨床應用準入和管理制度,對醫療技術實行分類、分級管理。
第頁
天津中醫藥大學第二附屬醫院管理制度
第七條 新醫療技術分為以下三類:
第一類技術,即一般診療技術,指除國家或省衛生行政部門規定限制度使用外的常用診療項目,具體是指在國內已開展且基本成熟或完全成熟的醫療技術。
第二類技術,即限制使用技術(高難、高新技術),指需要在限定范圍和具備一定條件方可使用的技術難度大、技術要求高的醫療技術。
第三類技術,即探索使用技術,指醫療機構引進或自主開發的在國內尚未使用的新技術。包括以下三類:
(一)涉及重大倫理問題,安全性、有效性尚需經規范的臨床試驗研究進一步驗證的醫療技術:
1、克隆治療技術
2、自體干細胞和免疫細胞治療技術
3、基因治療技術
4、中樞神經系統手術戒毒
5、立體定向手術治療精神病技術
6、異基因干細胞移植技術
7、瘤苗治療技術等。
(二)涉及重大倫理問題,安全性、有效性確切的醫療技術:
1、同種器官移植技術
2、變性手術等。
第頁
天津中醫藥大學第二附屬醫院管理制度
(三)風險性高,安全性、有效性尚需驗證或者安全性、有效性確切的醫療技術:
1、利用粒子發生裝置等大型儀器設備實施毀損式治療技術,2、放射性粒子植入治療技術
3、腫瘤熱療治療技術
4、腫瘤冷凍治療技術
5、組織、細胞移植技術
6、人工心臟植入技術
7、人工智能輔助診斷治療技術等
(四)其他需要特殊管理的醫療技術:
1、基因芯片診斷和治療技術
2、斷骨增高手術治療技術
3、異種器官移植技術等
第三章 醫療技術臨床應用管理
第八條 醫院對第一類醫療技術臨床應用根據功能、任務、技術能力實施嚴格管理。醫務部負責醫療技術臨床應用管理工作,此類技術如果尚沒有在院內開展,需向醫院正式提出申請,履行新技術新項目準入程序,經醫院專家認定,報市衛生局批準后方可使用。具體申報、審批、管理流程參照我院《新技術新項目準入流程》。
第九條 第二類醫療技術和第三類醫療技術臨床應用前實行第三方技術審核制度。
第頁
天津中醫藥大學第二附屬醫院管理制度
天津市衛生局指定或者組建的技術審核機構負責第二類醫療技術臨床應用能力技術審核工作。
衛生部指定或者組建的機構、組織(以下簡稱技術審核機構)負責第三類醫療技術臨床應用能力技術審核工作。
第十條 第二類醫療技術需向天津市衛生局申報,經指定的技術審核機構認定后,天津市衛生局準予診療科目項下醫療技術登記的,方可開展臨床應用。
第十一條 第三類醫療技術需要向天津市衛生局申報,并經衛生部指定的技術審核機構認定后,天津市衛生局準予診療科目項下醫療技術登記的,方可開展臨床應用。
天津中醫藥大學第二附屬醫院
2009年5月10日
第頁
第四篇:三級醫院等級評審實施方案
三級醫院等級評審工作實施方案
為促進醫院加強內涵建設,保證醫療安全,持續改進服務質量,提高醫院管理水平和服務效率,切實促進我院的發展,根據衛生部《醫院評審暫行辦法》(衛醫管發[2011]75號)、《三級綜合醫院評審標準實施細則(2011年版)》的要求,以及2012年湖南省衛生工作會議精神,結合我院的實際情況,力爭在第二周期三級綜合性醫院等級評審中確保“三甲”醫院等級。為此,特制訂醫院三級醫院等級評審迎評工作實施方案。
一、指導思想
堅持以評促建、以評促改、評建并舉、重在內涵的方針,圍繞質量、安全、服務、管理、績效,體現以病人為中心。嚴格按照衛生部《醫院評審暫行辦法》(衛醫管發[2011]75號)、《三級綜合醫院評審標準實施細則(2011年版)》的要求, 從細、從實、從嚴加強管理,提高工作質量,增強服務功能,推進學科建設,構建和諧醫院,促進醫院全面、協調、可持續發展,全面達到三級甲等醫院目標。
二、目標要求
通過建立以院長掛帥的迎評機構及體系,全員發動,以衛生部及湖南省衛生廳“三級綜合醫院評審標準”為依據,認真學習,扎實培訓,對照標準自查與整改,逐條達標,確保公立醫院的公益性,保證患者安全,使患者享受優質高效價廉的醫療護理,實現醫院管理科學化、規范化、標準化,建立有效的醫院管理持續改進體系。
三、領導機構與工作體系
為更好地組織、領導和指揮三級綜合醫院評審準備活動,保障迎評工作嚴密有序進行,醫院建立“三級醫院等級評審”領導機構與工作體系:
(一)領導小組 組 長: 副組長: 成 員:
(二)辦公室
設立三級醫院等級評審專門辦公室,該辦工作人員全脫產開展工
作,各成員在領導小組的統一領導下,密切配合,積極參與,各司其職,確保人員到位,責任到位,工作到位。
主 任: 副主任: 成 員: 秘 書:
(三)評審辦職責
1、負責制定迎評工作實施方案和具體工作計劃,解讀《三級綜合醫院評審標準》和《三級綜合醫院評審標準實施細則》指標內涵,明確和細化迎評工作內容和目標任務,以及全院各項迎評任務的安排工作;
2、為院領導小組決策提供信息服務以及迎評需要的對外聯絡工作;
3、負責組織、推動評審工作按計劃、分步驟進行;
4、負責組織關于迎評工作全院性的學習、培訓和考試工作;
5、組織召開迎評領導工作小組會議;
6、組織部門及科室迎評工作的督查活動,并及時提出反饋及整改建義;
7、督促各單位(部門)各項迎評工作的落實;
8、定期向評審工作領導小組匯報迎評工作的進展情況,并就特殊性問題提交討論;
9、負責迎評資料的收集、整理、匯編、建檔工作;
10、完成迎評領導小組交辦的有關工作;
11、負責專家評審工作的陪檢人員安排。
(四)醫院評審督查專家組 組 長: 副組長: 成 員: 秘 書:
四、實施步驟
(一)準備階段
迎評工作分為宣傳動員、自查整改、整改提高、督查促進、持續
改進、再次自查、繼續改進、再次督查、總結完善、申報評審十個階段實施。
第一階段(4月份):宣傳動員,提高認識。
高度重視三級甲等醫院創建活動,做好宣傳動員,提高認識,組織全院職工認真學習等級醫院評審標準,提高對創建活動重要性的認識,掌握等級醫院評審標準的主要內容、方法和要求。評審辦根據《三級綜合醫院評審標準實施細則(2011年版)》的要求和我院實際情況,分解任務,落實到科室部門和責任人。
第二階段(5月1日—5月30日):自查整改。
根據評審辦分解的任務,各科室部門和責任人落實各項內容,對照評審標準,查缺補漏,健全各項制度,完善醫療規范,強化三基三嚴,充實技術項目。評審辦組織醫院評審督查專家組考核檢查,形成書面報告上報領導小組,提出整改意見,針對普遍問題、薄弱環節,重點突破。向全院反饋檢查結果。
第三階段(6月1日—6月15日):整改提高。
各科室部門根據檢查檢查反饋結果,找出工作中存在的不足,根據評審辦的整改意見,提出本科室部門具體的整改措施加以整改。重點是項目內容空缺部分,一定要在本階段制定計劃、逐一落實解決。
第四階段(6月16日—6月31日):督查促進。
邀請省衛生廳醫政處相關領導及專家來我院指導、督查,促進各項評審準備工作的全面改善和提高。評審辦根據省衛生廳專家組檢查結果,形成書面報告上報領導小組,提出進一步整改意見,針對核心要素的實際情況,重點整改。向全院反饋檢查結果。
第五階段(7月1日—7月15日):持續改進。
各科室部門根據衛生廳專家檢查反饋檢查結果和整改意見,進一步找出工作中存在的不足,提出本科室部門具體的整改措施加以整改。重點是核心要素的落實。
第六階段(7月16日—7月30日):再次自查。
評審辦再次組織醫院評審督查專家組考核檢查,形成書面報告上報領導小組,重點是查缺補漏。向全院反饋檢查結果。
第七階段(8月1日—8月15日):繼續改進。
各科室部門根據醫院評審督查專家組檢查反饋檢查結果和整改
意見,進一步找出工作中存在的不足,提出本科室部門具體的整改措施加以整改。重點是核心要素的落實。
第八階段(9月16日—9月31日):再次督查。
再次邀請省衛生廳醫政處相關領導及專家來我院指導、督查,促進各項評審準備工作的全面改善和提高。評審辦根據省衛生廳專家組檢查結果,形成書面報告上報領導小組,提出進一步整改意見,針對A類指標的實際情況,重點整改。向全院反饋檢查結果。
第九階段(10月1日—11月31日):總結完善。
各科室部門根據衛生廳專家再次檢查反饋檢查結果和整改意見,進一步找出工作中存在的不足,提出本科室部門具體的整改措施加以整改。重點是持續不斷改進。
第十階段(12月1日—12月30日):申報評審。
評審辦根據衛生部《醫院評審暫行辦法》,準備評審申請材料上報領導小組審查,審查通過后上報衛生廳醫政處。
四、工作方法
1.全面自查:各職能部門及科室,根據本部門、科室的工作情況,按照評審標準的要求,逐條對照檢查,對沒有做到位的工作及時完善,對自己確實難以完成、需要醫院支持的以書面形式報評審辦,由評審辦與醫院領導協調解決。各職能部門及科室工作要銜接,各種資料要相互對應。
2.醫院評審督查專家組檢查:評審辦定期組織醫院評審督查專家組進行檢查,對存在的普遍問題、薄弱環節,重點突破。
3.邀請衛生廳專家督查:邀請省衛生廳醫政處領導以及省評審專家進行指導和督查。
4.持續改進:各科室部門要根據每次檢查、督查的結果提出具體的整改措施,并認真落實整改。
5.所有評審過程的自查、檢查、整改都要保留原始記錄。
六、具體措施
(一)針對薄弱環節重點突破。以學習、創建、建立、實踐、完善、提高為主線,以質量、安全、服務為主題。
1、學習和掌握三級綜合醫院評審標準:自學和組織集中學習兩種方式,醫院和科室或部門兩個層次,管理人員和非管理人員兩種要
求。
2、學習管理知識:全院職工統一思想,把握評審標準的主題和內涵,以管理人員為主體,結合自身崗位,刻苦鉆研和學習管理知識。
3、學習業務知識:加強醫務人員基本理論、基本知識、基本技能的培訓、學習和考核,夯實醫務人員自身素質,以高于三級甲等醫院要求的業務能力迎接等級醫院的評審。
4、建立院科兩級的質量安全管理體系:各科室及部門,總結和組織學習本專業或部門的標準及管理規范,建立各專業或部門的質量安全管理規范,按照本專業或部門的標準和要求建立院科兩級管理組織,通過實踐、督查、改正即“PDCA”循環,不斷豐富和完善質量安全管理體系。
5、分析和總結普遍性、薄弱性、重點性、關鍵性問題(如臨床技能、病歷書寫等),成立機構或指派專人按時間和要求完成任務。
(二)實行責任追究制度,嚴格有關評審工作組織、管理、實施獎懲辦法(具體措施另行制定)。
七、工作要求
(一)統一認識,明確目標。
醫院各科室要進一步提高對三級綜合性醫院等級評審重要性的認識,要克服松懈情緒,以評審三級甲等醫院為抓手,全面提高醫院服務的能力和水平。
(二)加強領導,完善措施。
部門及科室負責人為執行的第一責任人,開展動員組織部署,調動部門及科室醫務人員的積極性,制定完善措施和制度,確保評審工作順利進行。
(三)突出重點,持續改進。
針對醫院管理中的薄弱環節做好整改工作,改進思維模式和管理習慣,堅持“以人為本”、“以病人為中心”,走以內涵建設為主、內涵與外延相結合的發展道路,持之以恒地予以推動。
二○一二年八月六日
第五篇:三級醫院等級評審---醫院黨務工作制度
黨委會工作制度
1、堅持集體領導和個人分工相結合的原則,委員要充分發表自己的意見。對重大問題要在充分醞釀討論的基礎上通過表決形成決議。當意見分歧雙方人數相當時,可再次復議或報請上級黨委決定。
2、黨委會要認真貫徹黨的路線、方針、政策,研究落實上級黨委文件精神;對辦院方向,精神文明建設和行業作風建設,思想政治工作,統戰及群團組織建設,干部任免、調動和獎懲,重要財務支出,大型設備購置,規模較大的基建維修項目論證,群眾福利等重大問題;以及上級領導機關規定應由黨委負責的問題進行討論。
3、黨委成員要不斷加強思想、組織和作風建設,堅持密切聯系群眾,多為群眾辦實事,辦好事,堅持深入調查研究,及時發現并解決問題,提高工作效率。
4、研究討論紀委提請黨委研究或決定的重要問題。
5、召開黨委會必須有半數以上委員參加,委員之間要經常互通有無,交流信息,及時掌握全院各項工作進展情況。
6、黨委對醫院行政業務工作實行保證監督,屬于行政業務具體問題由院務會討論、院長決策。
紀檢委工作制度
1、維護黨的章程,檢查醫院對黨的路線、方針、政策和決議的貫徹落實情況。
2、協助黨委研究和解決醫院黨風方面存在的問題,每半年對全院進行一次檢查,年末進行一次大檢查,并向院黨委和衛生局紀檢委匯報。
3、協助院黨委搞好黨政班子廉政建設,做好對同級班子和黨員的監督工作。
4、協助院黨委采取多種形式對黨員的黨性、黨風、黨紀教育,還要經常了解黨員遵紀守法情況。
5、在認真搞好民主評議黨員的基礎上,并要妥善處置不合格黨員,每年進行一次。
6、認真管理黨員的控告申訴,以及群眾對黨員的檢舉控告,并要搞好黨員違紀案件的處理。
7、經常深入基層,密切聯系群眾,調查研究,不斷提高政策水平和解決問題的能力。
黨委辦公室工作制度
1、認真貫徹落實黨的路線、方針、政策,組織全院職工進行政治理論學習,不斷提高思想政治素質。
2、負責完成黨委的工作計劃、總結,組織起草黨委各種文件及科室月工作要點,做好會議記錄。
3、加強和改善黨的思想政治工作,制定思想政治工作計劃,檢查監督計劃的實施,不斷研究探索思想政治工作的規律、特點和方法,總結思想政治工作經驗。
4、抓好黨的思想建設、組織建設和作風建設,充分發揮黨支部的戰斗堡壘和黨員的先鋒模范作用。在組織發展中,本著“成熟一個發展一個”的原則,堅持發展黨員公示制和責任追究制,嚴格黨員標準,保證質量,并搞好積極分子培養考核。
5、負責抓好宣傳報道、來信來訪、普法學習及統戰工作。6、抓好支部書記的自身建設工作,每月定期召開支部書記月例會。7、定期召開科室會議,傳達醫院精神,研究布置總結科室工作。8、圍繞黨委中心工作,搞好調查研究,為領導決策提供參考意見。9、及時完成黨委及上級部門安排的各項工作。
院級黨員領導干部參加雙重組織生活制度
1、每位院級黨員領導干部除按時參加黨組學習、民主生活會外,都要參加所在黨支部、黨小組的組織生活,自覺接受黨組織和黨員的監督,因工作忙不能參加者事先請假,事后補課。
2、在黨委、黨支部、黨小組生活會上,每個院級黨員領導干部都要以普通黨員身份,主動向各級黨組織和黨員匯報自己的思想和工作情況。
3、堅持領導班子半年一次民主生活會制度,交流思想,溝通感情,理順關系,增進團結,提高班子凝聚力和戰斗力。每次生活會要抓住一兩個突出問題進行整改。
院黨委民主生活會制度
為了加強黨的組織制度建設,健全黨內民主,加強黨內監督,發揮黨組織的戰斗堡壘作用,根據有關規定,制定本制度。
1、民主生活會的主要內容:
民主生活會主要是圍繞貫徹執行黨的路線、方針、政策和決議的情況;加強領導班子自身建設,實行民主集中制的情況;艱苦奮斗,清正廉潔,遵紀守法的情況;堅持群眾路線,改進領導作風,深入調查研究,密切聯系群眾的情況及其他重要問題,結合領導班子成員的自身情況,進行檢查、總結,統一認識,開展批評與自我批評。
2、參加民主生活會人員
院黨委(支部)委員。根據會議內容和實際需要,可適當確定列席人員。
3、召開會議的要求:
民主生活會每半年進行一次,原則上要在規定的時間內自行安排時間進行。如因特殊原因不能按時召開的,要及時向上級黨委說明情況,并及時進行補開。
4、民主生活會要把握以下環節: 1)做好會前準備工作。
民主生活會召開前,黨組織主要領導應確定開會時間和主要議題,并提前將會議議題上報上級黨委,待同意后,再把會議時間和議題通知參加會議的每個成員,并要求認真準備發言提綱。對因工不能參加會議的要交書面發言材料。
黨組織在會前,應采取多種形式,廣泛聽取黨內外群眾意見,并將意見整理歸納后在生活會上予以通報,并提出整改措施,給群眾答復。班子成員之間要開展談心活動,溝通思想,做好引導工作,防止矛盾激化。
2)參加會議的成員應本著團結——批評——團結的方針,圍繞會議主題,開展批評與自我批評,要實事求是地指出各自的缺點和不足,分清是非,提高認識,嚴以律己,寬以待人。黨政主要領導同志,要增強民主意識,帶頭開展批評與自我批評,依靠班子自身的力量解決班子成員內部的矛盾和問題。列席人員可以對領導班子及其成員提出意見和建議。
3)要針對生活會上檢查的問題,制定整改措施,在適應的范圍內向干部和群眾通報,接受群眾監督。
4)民主生活會的檢查與考核
上級黨員領導干部要按分工和紀委、黨委部門的同志,在必要時應參加基層黨組織民主生活會。紀委、黨委部門要每年檢查、調閱一次基層民主生活會記錄,對基層班子召開民主生活會情況予以通報。
院領導班子聯系群眾制度
1、每個班子成員要努力發揚黨的實事求是、密切聯系群眾的優良傳統,轉變作風,深入基層,樹立領導就是服務的思想。
2、堅持醫療和行政查房制度,把問題解決在基層,為一線服好務。
3、堅持每周一院長接待日制度,接待患者和職工的來訪,認真聽取群眾意見,做好群眾的思想工作。
4、定期調研,分析黨員和職工群眾的思想動態,研究解決新問題、新情況,把聯系群眾情況做為考核評價領導班子的重要內容。
5、關心群眾生活,積極主動為職工群眾解決一些實際問題和生活上的困難。
院領導班子學習制度
1、院領導班子成員要加強學習,堅持自學與集中學相結合,不斷拓寬知識面,提高政治、業務水平和決策能力。
2、班子成員要按時參加院理論中心組學習,每季度集中學習一次,時間不少于半天。3、要按時參加支部組織的政治理論學習,要求職工學習的,領導班子要帶頭學。4、要制定學習計劃,理論中心組學習由黨委書記主持,黨委辦公室安排具體學習時間。5、堅持理論聯系實際的原則,結合工作、思想和改革等實際問題,邊學習、邊改進、邊提高。
6、每年組織一到兩次參觀學習,學習兄弟單位有關醫院改革、精神文明、醫院管理等方面的先進經驗。
黨員教育制度
1、運用黨課的形式堅持對黨員進行黨的基本知識、黨的基本路線、方針、政策教育,不斷提高廣大黨員素質,發揮好先鋒模范作用。
2、運用現代化的聲像設備和活潑多樣的教育形式把黨課搞活,從實際出發,注意教育效果。
3、要堅持必要的理論灌輸教育,不斷提高黨員的政治理論水平,突出抓好黨性、黨風、黨紀和法制教育,做廉潔的表率,端正黨風。
4、黨辦制定出黨課教育計劃,按計劃落實講課人,落實講課內容,寫出黨課教材,聯系黨員思想實際進行有針對性的教育。
5、注意抓好正反典型教育,向先進人物學習,弘揚正氣,以反面典型為鏡子,警鐘長鳴。
“三會一課”制度
1、支部委員會,每月召開一次以上。由黨支部書記主持。主要內容是:學習黨的路線、方針、政策;討論決定重大事情;總結部署工作;研究黨員發展、轉正和自身建設問題。
2、黨員大會,每季度召開一次。由支部書記主持。主要內容是:學習上級黨組織有關文件,傳達會議精神;通報支部工作情況,聽取黨員意見和建議,部署工作;討論通過黨員發展、轉正事宜。
3、黨小組會,每月召開1-2次。由黨小組長主持。主要內容是:學習上級組織有關文件;匯報黨員個人思想和工作情況,開展批評與自我批評;醞釀黨員發展、轉正情況。
4、黨課,每季度進行一次。參加人員為全體黨員和入黨積極分子。授課內容是:傳達黨的文件,黨紀黨風和黨的有關知識教育、表彰先進人物、播放有教育意義的電視錄相等。
5、黨委班子生活會每半年召開一次。
支委會生活會每半年召開一次。黨小組生活會每半年召開一次。
民主評議黨員制度
根據省委組織部印發的《民主評議黨員工作細則》,特制定我院民主評議黨員制度如下:
1、根據中央和省市委的要求,每年進行一次民主評議黨員工作。
2、民主評議黨員工作要把對黨員的教育、管理、監督融為一體,與“創先爭優”、“黨員建功立業”等活動相結合。黨支部、小組隨時記載黨員在上述活動中的表現,作為評議時的依據。
3、民主評議黨員工作要緊緊圍繞經濟建設這個中心,通過教育、考核和評價每個黨員在醫療實踐中發揮先鋒模范作用的情況,不斷解決黨員隊伍中存在的與黨的基本路線和黨章要求不相適應的問題以及消極腐敗行為,提高黨員素質,純潔黨員隊伍,增強黨組織的凝聚力和戰斗力,為促進醫院改革提供堅實的組織保證。
4、民主評議黨員要正確運用批評與自我批評的武器,堅持原則,實事求是,與人為善,達到自我教育,自我提高,互相幫助,共同進步的目的。
5、所有黨員都應參加所在支部的民主評議活動。黨員干部要帶頭觸及矛盾,找準問題,虛心聽取別人意見,自覺接受黨內外群眾的監督。
6、民主評議黨員的基本內容是:
(1)是否具有堅定的共產主義信念,認真履行黨員義務,按時交納黨費,參加黨的組織生活;能否貫徹執行黨的基本路線及方針政策,在政治上同黨中央保持一致,并腳踏實地做好本職工作,全心全意為人民服務。
(2)是否刻苦學習思想政治理論,鉆研業務技術,不斷更新知識,精益求精,成為技術和工作骨干,挑大梁,做模范,為事業發展和三個文明建設做出貢獻。
(3)是否解放思想、勇于探索,站在改革前列,維護改革大局,正確處理國家、集體和個人三者利益關系,做到個人利益服從黨和人民的利益,局部利益服從整體利益,在個人利益同黨和人民的利益發生矛盾時,自覺犧牲個人利益。
(4)是否切實地執行黨的決議,嚴守黨紀、政紀、國法、廉潔自律、克己奉公,自覺抵制不正之風,杜絕“吃、拿、卡、要”和“冷、硬、頂、推”等問題,有高尚的醫德醫風。
(5)是否密切聯系群眾,關心群眾疾苦,艱苦奮斗,是否團結協作,關于團結不同意見的人一道工作。
7、民主評議黨員要評出格次,對優秀黨員通過適當的方式進行表彰獎勵,對基本不合格黨員限期一年改正,對不合格黨員應視情況給予處分,直至開除黨籍。
8、預備黨員同正式黨員一樣參加民主評議活動,但不定格次。經評議確實不具備黨員條件的,可提前取消預備黨員資格。
黨支部書記月會制度
支部書記月會是及時貫徹黨委決議,互相溝通情況和協調各項工作的會議,為了開好這個會,特做如下規定:
1、每月第一周周二上午為支部書記月會,會議時間一般不超過兩小時。2、會議由黨委書記或黨辦主任主持,黨辦成員,各基層支部書記參加會議。
3、每兩周一次工作會議,各支部向黨委匯報半個月來工作完成的情況和下兩周的工作要點,會上黨委書記或黨辦部署有關工作。
4、定期組織學習、培訓,拓展知識面,交流學習體會,總結工作經驗,探索工作新方法、新途徑。
5、做好會議記錄,需要各部門協作完成的任務,做出明確分工,確定完成期限和標準。
黨支部委員會制度
1、支部委員會在支部大會召開前或休會期間,負責領導和處理支部的日常工作,確定支部大會議題和內容。
2、支委會每月召開一次(特殊情況除外),由黨支部書記主持,專人負責記錄。3、會議內容:
(1)貫徹落實院黨委和支部黨員大會的決議;(2)制定月、季、年工作計劃和完成的措施;(3)聽取支部委員所分管工作的匯報;
(4)研究分析黨員、職工的思想狀況,提出教育措施;
(5)研究確定非黨積極分子,制定發展計劃,做好發展黨員和預備黨員轉正等項工作;(6)討論黨支部的其它有關事宜;
4、支委會要堅持民主集中制的組織原則,堅持重大問題集體討論決定,在集體領導下,堅持以支部委員分工負責,做好支部工作。
5、支委民主生活會每季度召開一次,由支部書記主持,專人負責記錄,黨辦每半年檢查一次生活會記錄。
6、支委生活會要圍繞貫徹黨的方針政策和上級指示精神,以及廉政建設、黨風黨紀等情況,開展批評與自我批評,溝通思想,交換意見,及時糾正工作中的失誤,增強支部班子的團結。
7、支委會要認真做好記錄,黨辦定期檢查考核支部工作完成情況,并作為支部升級達標的依據。
支部黨員大會制度
支部黨員大會是支部的領導機關,為了更好地執行黨章的有關規定,發揚黨內民主,發揮支部黨員大會的作用,特做如下規定:
1、支部黨員大會一般每季度召開一次(特殊情況例外),由黨支部書記主持。2、會議內容:
(1)學習討論黨的路線、方針、政策和法律法規,以及黨委和上級黨組織的決議指示,結合實際制定措施。
(2)討論和批準支委會工作報告。
(3)討論、決定對黨員的表彰和處分,接收新黨員和預備黨員的轉正。
(4)選舉支部委員會和出席上級黨代表大會的代表;討論撤換不稱職的支部委員和黨員代表。(5)討論決定黨支部的其它重大問題。
3、會前要由支委會確定會議議題,議題要明確,中心要突出,并將會議內容和要求事先通知全體黨員。
4、會議必須充分發揚民主,黨員對支部工作要充分發表意見,認真討論,并提出批評和建議,最后按少數服從多數的原則,做出決議。決議必須經實到會正式黨員的半數以上通過,方能有效。
5、支部黨員大會做出的決定,會后要抓落實,凡涉及需要保密的,任何人不得向外傳播。6、支部黨員大會上要認真做好會議記錄,黨辦每半年檢查一次。
黨小組會議制度
1、黨小組會是黨員組織生活的重要組成部分,是組織實現黨支部的決議,保證黨支部各項任務完成的基礎。2、黨小組會一般每月召開兩至三次(特殊情況除外),由黨小組長主持。3、活動內容:
(1)學習馬列主義、毛澤東思想,學習鄧小平理論,學習“三個代表”和黨的路線、方針政策及決議,學習黨的基本知識,時事政治,法律法規和文化科學知識。學習有關文件,傳達上級指示。
(2)傳達支部決議,討論貫徹上級有關文件精神。
(3)分析黨小組每個黨員所包保的職工思想狀況,了解群眾的意見和要求,制定相應措施。(4)協助黨支部做好黨員民主評議工作,非黨積極分子的教育考察,接收新黨員和預備黨員的教育、考察和轉正工作。
(5)黨員匯報思想、工作,學習和執行黨的決議情況,組織督促黨員按時參加黨的各種活動,按時交納黨費。
(6)小組會要盡可能安排得形式多樣,內容豐富,達到即豐富黨員生活,又教育黨員的目的。(7)每季度召開一次黨小組生活會,會前要確定一兩個中心議題,通知全體黨員做好準備,會上黨員領導干部要帶頭開展批評與自我批評,會后要開展談心活動,把會上和會下結合起來,達到弄清思想、幫助同志,增強團結的目的。
4、黨辦每半年檢查一次,檢查結果作為評先進黨小組的主要依據。
積極分子培養考核系列制度
確定積極分子制度
1、凡申請入黨者,必須向黨組織提出書面申請,經過三個月以上時間考核后,符合積極分子條件,方能吸收為積極分子。
2、一般積極分子由黨小組或團組織向黨支部推薦,支委會經過認真衡量和審議,確定入黨積極分子,在支部黨員大會上公布,并上報黨辦備案,及時領取《積極分子登記表》,由黨支部按項目填寫,并妥善保管。
3、重點積極分子由支委會提名,支部黨員大會討論,上報黨辦。
4、計劃發展對象由支委會提名,支部黨員大會討論,上報黨辦進行超前考核,審查討論后確定。整頓積極分子隊伍制度
1、黨支部、黨辦年末分析研究積極分子隊伍及管理教育情況,及時解決存在問題。
2、黨支部年末進行集中整頓,包括思想整頓、組織整頓,要求堅持標準,嚴格篩選、調整,不斷擴大積極分子隊伍,提高素質。
3、制定發展計劃,落實培養措施。一般積極分子指定一名正式黨員負責培養,重點積極分子和計劃發展對象應指定兩名正式黨員負責培養,黨支部按規定對積極分子進行培養教育,對表現突出、符合黨員條件的,經嚴格考核,支委會認真討論后,納入下一年發展計劃。考核寫實制度
1、建立考核檔案。凡是積極分子都要建立考核檔案,對積極分子的入黨申請書、自傳、思想匯報、積極分子登記表、政審材料及本人向黨組織交待、說明問題的材料等有關材料都要裝入檔案,由黨支部妥善保管。
2、嚴格考核、寫實。對一般積極分子每年考察寫實一次,對重點積極分子每半年考察寫實一次,對計劃發展對象每季度考察寫實一次。考核寫實由黨小組進行,考核后要及時填入《積極分子考察表》,并簽字蓋章。
3、考核寫實要突出本人特點,切忌千篇一律,黨小組對積極分子每年、對重點積極分子每半年、計劃發展對象每季度要進行一次面對面的講評。談話與匯報制度
1、一般積極分子每年以書面形式向黨組織匯報一次思想、工作情況,重點積極分子每半年匯報一次,計劃發展對象每季度匯報一次。
2、對提出入黨申請者,黨支部要派人談話,進行鼓勵,提出要求。
3、對積極分子,特別是重點積極分子和計劃發展對象,培養人要每月談一次話,肯定成績,指出缺點,明確努力方向。
4、黨支部要定期聽取黨小組、培養人的匯報,督促檢查工作。積極分子管理教育制度
1、黨的積極分子日常管理工作由黨支部負責,集中培訓由黨辦負責。
2、支部要有組織、有計劃地組織積極分子活動,每月活動一次,要有記錄。
3、經常組織積極分子參加黨內學習、會議和活動,經常分配給他們一定的社會工作或艱巨的任務,交任務,壓擔子,使其在實踐工作中經受鍛煉和考驗。
4、對表現一般和有問題的積極分子由黨支部書記負責談話,有針對性地教育。嚴格履行入黨手續制度
1、吸收積極分子入黨,要按規定進行培養、考察。
2、對發展對象要實行超前考核,采取個別談話、民主測評等形式,廣泛征求黨內外群眾意見。
3、必須經過短期集中培訓和黨的基礎知識考核。
4、嚴把入口關。黨支部對發展對象必須做到材料齊全,手續完備上報黨辦;黨辦審查有關材料,嚴格考察,切實把好每一道“關口”,嚴格堅持黨員標準,審查后將材料上報局黨辦審查,確定是否履行入黨手續并通知支部。
5、接收新黨員入黨必須經過支部大會討論,并作出決議。
6、黨委審批新黨員后,要及時通知黨支部。支部書記要找新黨員談話,通知黨組織批準日期、入黨時間、預備期限、怎樣交納黨費、編入黨小組過組織生活。黨辦要及時為預備黨員舉行入黨宣誓。
預備黨員教育考核系列制度
考核寫實制度
1、建立預備黨員考核檔案,設預備黨員考察表。
2、考核由黨小組進行,季度考核寫實一次,及時填入《預備黨員考察表》并簽字蓋章。
3、考核寫實要突出本人特點,內容要具體,分析要深刻,每個季度都能看出進步的幅度,避免空話套話,考察發現問題,及時幫助教育。談話和匯報制度
1、黨支部書記、黨小組長要經常找預備黨員談心,了解思想、工作和履行黨員義務情況,轉達黨內外群眾意見和反映。
2、預備黨員應通過組織生活、個別談心或書面材料等形式,每個季度向黨組織匯報一次思想、工作、學習情況。
3、支委會要定期聽取黨小組的匯報,掌握新黨員的質量。預備黨員管理制度
1、預備黨員的管理教育工作由黨支部負責,集中培訓由黨辦負責。
2、嚴密黨的組織生活,預備黨員要自覺參加黨的組織生活,自覺接受黨內生活的鍛煉和黨組織的幫助與監督。
3、對外單位調入的預備黨員要加強管理,轉正前要把原單位的表現了解清楚。培養教育制度
1、舉辦新黨員學習班,有計劃地進行教育。
2、通過上黨課進行黨的基本知識、黨員標準、黨的優良傳統和作風、黨的路線、方針、政策、黨風黨紀、廉政建設及怎樣做一名合格的共產黨員的教育。
3、進行實際考核。分配預備黨員一定的社會工作和交辦具體任務,在實際工作中進行考察了解,考察結果作為能否轉為正式黨員的依據。嚴格履行轉正手續
1、預備黨員在預備期滿前及時提出轉正申請。
2、預備黨員轉正必須在預備期滿后分別召開黨小組會及支部大會,申請轉正的預備黨員必須到會。
3、預備黨員轉正前要采取民主測評、個別談話等形式廣泛征求黨內外群眾意見。
4、嚴把轉正關,嚴格審查預備黨員轉正有關材料,考察預備黨員的表現,了解入黨時黨支部大會提出的缺點,克服改正情況,全面衡量是否具備轉正條件。
5、預備黨員轉正前必須參加新黨員宣誓,參加黨的基本知識測驗。
6、黨委審批預備黨員轉正后,要及時通知支部,支部書記和組織委員要同新黨員談話,通知審批結果及黨齡起始時間,并向支部黨員大會宣布。發展黨員工作責任制度
為做好發展黨員工作,我們對積極分子和預備黨員采取了“五級管理責任制”。即黨委、黨辦、黨支部、黨小組、培養人五級管理,各負其責。
黨委:負責指導發展黨員工作,審定發展計劃,定期召開黨委會研究、布置和檢查發展黨員工作,并嚴格按程序審批發展對象及預備黨員轉正事宜。
黨辦:負責掌握積極分子隊伍狀況,對積極分子和預備黨員集中培訓,對計劃發展對象、預備黨員轉正進行超前考核,嚴格履行入黨手續,嚴把入口關,對基層黨支部組織發展工作定期檢查、考核。
黨支部:負責積極分子和預備黨員的培養、教育和考察工作,管理好檔案。黨小組、培養人:負責對積極分子和預備黨員的日常培養、考核、寫實等項工作。黨委書記責任制
1、要把發展黨員工作納入黨委工作日程,定期研究、布置和檢查,保證發展黨員工作的指導思想和政策方針的貫徹落實。
2、加強對發展黨員工作的宏觀指導,審定發展計劃。
3、要深入基層調查研究,了解新情況,總結新經驗,把發展黨員工作提高到一個新水平。
4、定期聽取黨辦對發展黨員工作情況的匯報,認真分析、研究積極分子、預備黨員的培養、考察及公示情況,及時解決存在問題。
5、主持召開黨委會,嚴格審查發展對象和預備黨員轉正的材料,認真聽取考察人的匯報,逐一討論、審批。組織干事責任制
1、切實做好發展黨員的基礎工作,把著力點放在挑選、培養和考察積極分子上,不斷壯大隊伍,提高素質。
2、定期檢查、指導基層支部對積極分子、預備黨員的培養、教育、考察和積極分子隊伍整頓等項工作。定期把發展黨員工作特別對新黨員質量和計劃執行情況向黨委匯報。
3、抓好積極分子、預備黨員的集中培訓,定期舉辦積極分子、預備黨員學習班,進行黨的基本知識、黨員標準、黨的優良傳統和黨風黨紀等方面教育。
4、經常深入基層和積極分子、預備黨員交朋友、談心,了解他們的思想狀況,有針對性地做好思想政治工作。
5、對黨支部上報的計劃發展對象進行超前考核,全面衡量,根據考核情況,擬定發展計劃,向黨委匯報。
6、對發展對象、預備黨員要嚴格履行入黨和轉正手續,認真審查支部上報的材料,保證手續健全、材料齊備。
7、嚴格按照發展黨員公示制度的要求對發展對象進行公示,及時向黨委匯報公示結果。
8、向黨委匯報考察情況,黨委討論后作出決議,及時辦理手續,通知黨支部。黨支部書記(組織委員)責任制
1、把發展黨員工作做為一項經常性工作,切實納入支部的工作日程,認真抓好。
2、要深入宣傳、全面貫徹新時期發展黨員工作的指導思想和方針,切實搞好發展黨員工作。
3、年末對積極分子隊伍進行思想整頓和組織整頓,搞好積極分子隊伍建設,認真做好發展黨員的基礎工作,把著力點放在挑選、培養和考察積極分子上,不斷壯大隊伍,提高素質。
4、定期分析、研究積極分子隊伍建設和預備黨員的思想工作情況,及時解決存在問題。
5、建立檔案。將積極分子、預備黨員的有關材料裝入檔案,妥善保管。積極分子調動工作時,原黨支部將其檔案材料及時全部轉給調入單位黨組織。
6、制定發展計劃,落實培養措施。對一般積極分子指定一名正式黨員負責培養,對重點積極分子、計劃發展對象指定兩名正式黨員負責培養。
7、定期檢查、指導黨小組對積極分子、預備黨員考察、寫實工作以及對重點積極分子、計劃發展對象、預備黨員定期講評工作。
8、有計劃、系統地組織積極分子、預備黨員進行學習,通過參加組織學習會議、分配社會工作等多種形式,交任務、壓擔子,使其在實際工作中經受鍛煉和考驗。
9、定期聽取黨小組長和培養人的匯報,經常檢查他們的工作,不斷總結發展黨員工作的新經驗。
10、嚴格履行入黨和轉正手續,做到手續健全,材料齊備,上報黨辦。黨小組長責任制
1、在黨支部的領導下,認真貫徹落實新時期發展黨員工作的指導思想和方針,切實搞好組織發展基礎工作。
2、認真落實對積極分子、預備黨員培養、考察措施,做好經常性的培養、教育和考察工作,定期檢查培養人的工作。
3、對提出入黨申請的人,要及時找其談話,經過考核,確認符合積極分子條件,由小組黨員討論,并向黨支部推薦。根據積極分子成熟情況,可向黨支部建議將其列入重點積極分子或計劃發展對象。
4、認真考核寫實。對一般積極分子每年考察、寫實一次;重點積極分子每半年考察、寫實一次;計劃發展對象每季度考察、寫實一次;督促培養人及時填寫《積極分子考察表》。要經常找積極分子談話,轉達黨內外群眾意見。
5、對預備黨員每個季度黨小組講評一次,認真填寫《預備黨員考察表》,及時組織黨小組討論,提出預備期滿能否轉為中共正式黨員的意見,形成材料,上報黨支部。培養人責任制
1、認真了解和考察所負責培養的積極分子、預備黨員對黨的認識、入黨動機、思想素質、現實表現,政治歷史、家庭成員和聯系密切的主要社會關系的情況,并如實向黨小組、黨支部匯報。
2、經常對所負責培養的積極分子、預備黨員進行黨章、黨綱和黨的基本知識等方面教育,幫助提高對黨的認識,端正入黨動機。
3、經常找所負責培養的積極分子、預備黨員談心,了解其思想情況,肯定成績,指出缺點和努力方向,并轉達黨員和群眾的意見、反映,定期考察寫實,及時填寫《積極分子、預備黨員考察表》。
4、定期向黨小組、黨支部匯報所負責培養的積極分子、預備黨員的培養、教育和考察情況,根據積極分子成熟情況,向黨小組或黨支部建議列為重點積極分子或計劃發展對象。
思想政治工作制度
1、思想政治工作在黨委統一領導下,黨、政、工、青、婦齊抓共管,形成行政抓條,黨務抓塊,工青抓活動,書記院長抓全面的強有力的思想政治工作體系。
2、院黨委要把思想政治工作擺到重要議事日程上,討論決定思想政治工作計劃,檢查實施情況,分析職工隊伍的思想狀況,并解決工作中的問題。
3、黨委實行思想政治工作四級責任制:(1)黨委包支部班子成員;
(2)支部委員包科主任、護士長和黨小組長;(3)黨小組長包本組黨員;
(4)黨員包群眾(按責任區落實到人頭);
4、加強政工干部隊伍建設,配齊配強政工干部隊伍。堅持政工干部例會制度,以會代訓,提高政工干部思想和業務素質。使政工干部具有八種能力:
(1)具有分析判斷和概括能力;(2)具有一定的組織和領導能力;
(3)具有溝通和協調左右之間,上下之間及內部外部之間關系的能力;(4)具有一定的知人善任、辨別是非、果斷處事的能力;(5)具有頭腦清醒、思維敏捷、遠見卓識的應變能力;(6)具有不畏艱險、敢抓敢管、開拓進取的能力;
(7)具有懂業務、會管理,把思想工作做到業務工作中的結合能力;
5、思想政治工作原則:
(1)堅持實事求是,理論聯系實際的原則;(2)堅持思想政治工作與業務工作相結合的原則;(3)堅持身教重于言教,身教言教相結合的原則;(4)堅持思想工作同解決群眾切身利益相結合的原則;(5)堅持物質鼓勵與精神鼓勵相結合的原則;(6)堅持表揚與批評相結合的原則;
(7)堅持思想教育與必要的組織處理相結合原則;
6、思想政治工作方法 六必談方法
(1)出現違紀現象必談;(2)思想上出現反復波動時必談;(3)家庭和本人生活上遇到困難時必談;(4)工作遇到困難和矛盾時必談;(5)婚喪嫁娶生育時必談;(6)有成績受到表揚時必談; 五必訪方法
(1)職工生病住院時必訪;
(2)家庭發生矛盾或生活有困難時必訪;(3)婚喪嫁娶生育時必訪;(4)無故曠工必訪;
(5)出現違章違紀現象時必訪; 三結合方法
(1)組織教育和家庭教育相結合;(2)解決思想問題和實際困難相結合;(3)嚴格解決和耐心細致的說服教育相結合; 典型教育方法
(1)注重培養典型、樹立典型、宣傳典型。
(2)組織全院職工向先進典型人物學習,趕超先進,弘揚正風正氣。靈活多樣方法
思想政治工作力戒死板教條,要盡量多組織一些報告會,演講會、知識競賽、參觀、訪問、開展豐富的文體活動等豐富多彩的教育形式,寓教于文、寓教于樂。既要發揚傳統好的方法,又要靈活、務實、創新。
職工隊伍思想狀況分析制度
1、為使思想政治工作有地放矢,講求實效,每半年要對全院職工隊伍的思想狀況進行一次分析,及時掌握職工的思想動態,有針對性地做好思想政治工作。
2、由各黨支部負責,以黨小組為單位,組織黨員分析職工思想狀況,把分析的情況向黨支部匯報。各黨支部匯總之后向院黨委匯報,并由院黨委和各支部書記共同分析全院的職工思想傾向。
3、每個黨員要對責任區內所包群眾的思想變化、職工家庭成員間、夫妻關系以及生活狀況做到心中有數,對重點幫教對象要重點分析。
4、針對存在的問題,采取解決措施,制定教育計劃,化消極因素為積極因素。
5、進一步落實思想政治工作責任制,做好過細的思想政治工作,廣泛開展談心活動,并積極解決職工的實際問題,減少后顧之憂。
6、每半年召開一次職工隊伍思想狀況分析會,院黨委對全院職工的思想狀況進行重點分析,研究解決的辦法,制定加強教育的措施。
職工政治理論學習制度
1、凡全院在職職工,都必須參加黨的路線、方針、政策以及形勢任務等政治理論學習,樹立學習工作化,工作學習化,終身學習的理念,不斷提高全體職工的政治覺悟,思想素質、理論水平和道德水準。
2、規定每月最后一周周三為政治理論學習日,一般不超過兩個小時。
3、由黨委辦公室制定出政治理論學習計劃,按計劃組織學習。
4、采取集中學習與分散學習相結合的方法,集中學習由院里統一組織全院性的理論輔導,形勢報告和教育錄像等,分散學習以支部為單位,由支部書記組織本支部職工按計劃學習、討論。
5、建立學習考勤制度,因病因事不能參加者,應提前向黨委或黨支部請假,做好個人學習筆記,學習情況每半年檢查一次。
6、各支部建立學習記錄本,記錄參加學習情況、學習內容和討論情況。
黨建工作檢查匯報制度
1、醫院黨委每年要結合院內開展的各項活動對各支部工作進行一次全面檢查,各支部要每季度向院黨委匯報工作情況。
2、檢查和匯報的主要內容: 1)支部班子建設情況;
2)黨員的管理教育和模范作用情況; 3)黨組織生活落實情況; 4)黨風、黨紀情況;
5)黨的積極分子培養教育和新黨員發展情況。
3、檢查方法:
1)查閱支部會議記錄和小組會議記錄; 2)聽取支部書記和小組長的匯報; 3)征求黨內外意見。
4、黨支部每半年對各小組進行一次檢查,黨員結合自己的思想工作和學習等情況,每季度向小組匯報一次。
5、黨委和支部要及時通報檢查情況,表揚先進,批評落后,促進黨建各項工作的落實。
黨費收繳使用管理制度
黨費的收繳、管理和使用是黨的建設中一項十分嚴肅的工作。只有認真做好這項工作,努力實現黨費管理和使用工作的制度化,規范化,標準化,才能發揮黨組織在黨的建設中的服務作用。根據中組部和中共吉林省委組織部《關于黨費收繳、管理和使用的細則》及我院所屬黨組織的情況,特制定本制度。
凡有固定收入的黨員,必須按工資比例交納黨費。
沒有經濟收入或交納黨費有困難的黨員,由本人提出申請,經黨支部批準,可以少交或免交黨費。
黨員交納黨費的有關規定:
1)新入黨的黨員交納黨費的時間應該從支部大會通過為預備黨員之日開始交納黨費,原是共青團員的預備黨員,在預備期間只交黨費,不交團費,如果當月交了團費,可以從下一個月開始交納黨費。
2)流動黨員在外期間,憑正式組織關系向外出所在黨組織交納黨費。黨員出國定居,從停止黨籍之日起即停止交納黨費。
3)持黨員組織關系證明信的黨員,應向黨組織關系所在的黨支部交納黨費。黨費的收繳辦法:
1)各支部要由組織委員(不設委員會的由支部書記承擔)堅持按月收繳黨費。離退休黨支部可以每季上繳一次黨費,時間必須在每季度最后一個月的25日前完成上繳黨費的工作。
2)黨員應自覺地向所在黨組織交納黨費。如有特殊情況不能親自交納或不能按月交納時,經所在黨支部委員會同意,可以委托其黨員代交、予交、補交、補交時間不得超過6個月。
3)交納黨費是黨員的義務,黨員應自覺履行,對無故不交納黨費的黨員要及時進行批評教育、限期改正,并及時向上級黨組織報告。對進行批評教育后仍舊不交納黨費的,根據《黨章》連續六個月不交納黨費者按自行脫黨處理的規定進行處理。
“創先爭優”制度
“創先爭優”即黨內開展的創先進黨支部,先進黨小組,爭做優秀共產黨員的活動。
1、“創先爭優”活動要緊緊圍繞增強黨組織的凝聚力、戰斗力、增強黨員的先進意識,發揮黨員先鋒模范作用,保證醫院各項任務完成來進行。
2、“創先爭優”活動,以為期限。每年的年初到年終,做到季度檢查,半年初評,全年總結表彰。采取自檢與統一檢查相結合的方法。
3、制定考核細則,評比條件,每年進行充分修改填入新的內容,收到實際效果。
4、黨委和支部要高度重視,要加強領導,黨委委員要抓好分管支部的工作,堅持質量,抓好典型,注重效果。
5、“創先爭優”的評選方法,優秀黨員由黨小組評議,黨支部審議通過,院黨委審批,先進黨小組由黨支部推薦,先進黨支部和先進黨小組是黨委根據日常考核和半年初評,年末總評情況,綜合平衡、審定。
點擊咨詢 