第一篇:衛生部關于印發《衛生行業信息安全等級保護工作的指導意見》的通知
附件:
衛 生 部 文 件
衛辦發?2011?85號
衛生部關于印發《衛生行業
信息安全等級保護工作的指導意見》的通知
各省、自治區、直轄市衛生廳局,新疆生產建設兵團及計劃單列市衛生局,部直屬各單位,部機關各司局:
為貫徹落實國家信息安全等級保護制度,規范和指導全國衛生行業信息安全等級保護工作,按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安?2009?1429號)要求,我部結合衛生行業實際,研究制定了《衛生行業信息安全等級保護工作的指導意見》。現印發給你們,請遵照執行。
聯系人:衛生部統計信息中心 楊慧清、矯涌本 聯系電話:010-68791029、68792497 傳真:010-68792836
二〇一一年十二月二日 衛生行業信息安全等級保護
工作的指導意見
衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作,對于促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會 秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度,規范和指導全國衛生行業信息安全等級保護工作,制定本指導意見。
一、工作目標
依據國家信息安全等級保護制度,遵循相關標準規范,在衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,明確信息安全保障重點,落實 信息安全責任,建立信息安全等級保護工作長效機制,切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力,為衛生信息化健康發展提供可靠保障,全面維護公共利益、社會秩序和國家安全。
二、工作原則
(一)遵循標準,重點保護。遵循國家信息安全等級保護相關標準規范,結合衛生行業信息系統特點,優先保護重要衛生信息系統,優先滿足重點信息安全需求。
(二)行業指導,屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。地方各級衛生行政部門要按照 2 國家信息安全等級保護制度有關要求,做好本地區衛生信息系統安全等級保護的指導和管理工作。衛生行業各單位要按照“誰主管、誰負責,誰運營、誰負責”的要求,落實信息安全責任。
(三)同步建設,動態完善。在信息系統規劃設計與建設過程中,同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用范圍等條件改變導致安全需求發生變化時,應當重新調整信息系統安全保護等級,及時完善安全保障措施。
三、工作機制
地方各級衛生行政部門承擔本地衛生信息安全責任,信息化工作領導小組統籌組織本地衛生信息安全等級保護工作。衛生部信息化工作領導小組負責對全國衛生行業 信息安全等級保護工作的組織協調、監督指導,并組織開展部機關信息安全等級保護工作。省級、地市級衛生行政部門信息化工作領導小組負責對本地區衛生行業信 息安全等級保護工作的組織協調、監督指導,并組織開展本單位信息安全等級保護工作。
衛生部建立信息安全等級保護工作聯絡員機制,各省級衛生行政部門應當設置信息安全等級保護工作聯絡員。聯絡員職責是落實國家信息安全等級保護工作的有關政 策和技術標準,掌握本地區信息安全等級保護工作動態和總體情況,代表本地區與衛生部及同級信息安全等級保護管理部門進行日常聯系和交流,協調落實本地區信 息安全等級保護工作。
衛生部和各省級衛生行政部門應當分別建立信息安全技術 3 專家委員會,參與信息系統定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛生行業、公安機關及信息安全技術等專家。
四、工作任務
(一)定級備案。
1.衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查,對未定級、定級不準的信息系統,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。
國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級,第二級為指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。以下重要衛生信息系統安全保護等級原則上不低于第三級:
(1)衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統;
(2)國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心;
(3)三級甲等醫院的核心業務信息系統;(4)衛生部網站系統;
(5)其他經過信息安全技術專家委員會評定為第三級以上(含第三級)的信息系統。
2.擬定為第三級以上(含第三級)的衛生信息系統,應當 4 經信息安全技術專家委員會論證、評審。
3.衛生行業各單位在確定信息系統安全保護等級后,對第二級以上(含第二級)信息系統,應當報屬地公安機關及衛生行政部門備案。跨省全國聯網運行并由衛生部定級的信息系統,由衛生部報公安部備案;在各地運行、應用的分支系統,應當報屬地公安機關備案。
(二)建設與整改。
1.對已確定安全保護等級的第二級以上(含第二級)衛生信息系統,應當按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準,開展安全保護現狀分析,查找安全隱患及與國家信息安全等級保護標準之間的差距,確定安全需求。
2.根據信息系統安全保護現狀分析結果,按照《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統等級保護安全設計技術要求》等國家標 準,制訂信息系統安全等級保護建設整改方案。第三級以上(含第三級)衛生信息系統安全建設整改方案應當經信息安全技術專家委員會論證。
3.衛生行業各單位應當按照信息系統安全建設整改方案,完善安全保護設施,建立安全管理制度,落實安全管理措施,形成信息安全技術防護體系和信息安全管理體系,有效保障衛生信息系統安全。
(三)等級測評。
1.系統建設整改工作完成后,應當按照《信息安全等級保護管理辦法》要求,從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構,對第三級以上(含第三級)衛生信息系統進行等級測評。
2.測評合格后,應當將測評報告報屬地公安機關及衛生行政部門備案。
3.應當每年對第三級以上(含第三級)衛生信息系統進行等級測評。對于重要部門的第二級信息系統,可參照上述要求進行等級測評。
(四)宣傳培訓。
1.各級衛生行政部門信息化工作領導小組應當對本地區各級各類醫療衛生機構開展等級保護政策和標準規范培訓,提高各單位信息安全管理人員的技術能力和管理水平。
2.衛生行業各單位應當開展內部信息安全培訓,提升全員信息安全意識,規范信息安全操作行為,提高信息安全保障能力。
(五)監督檢查。
1.衛生部信息化工作領導小組負責督導檢查各地醫療衛生機構信息安全等級保護工作落實情況,并督促部機關重要信息系統責任單位開展信息安全等級保護工作。
2.省級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況,并督促 6 本單位開展信息安全等級保護工作。
3.省級衛生行政部門信息化工作領導小組應當于每年年底,向衛生部信息化工作領導小組報送本地區信息系統定級備案、建設整改、等級測評和自查等工作開展情況。
五、工作要求
(一)高度重視,加強領導。衛 生行業各單位要高度重視,充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位主要負責同志要負總 責,分管負責同志要具體抓,明確職責與任務,突出重點,將信息安全等級保護工作列入重要議事日程和工作績效考核指標,一級抓一級,層層抓落實。
(二)保障經費,加強監管。衛生行業各單位要建立經費投入機制,將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算,并加強對資金使用的監管。
(三)加強溝通,密切合作。各級衛生行政部門應當加強與本地信息安全等級保護管理部門的溝通交流,建立協作機制,在信息安全等級保護工作中的定級備案、建設整改、等級測評、監督檢查等環節密切合作,共同推進信息安全等級保護工作。
第二篇:衛生行業信息安全等級保護工作的指導意見2011-85(精)
衛生部關于印發《衛生行業信息安全等級保護工 作的指導意見》的通知 衛辦發〔2011〕85號
各省、自治區、直轄市衛生廳局,新疆生產建設兵團及計劃單列市衛生局,部直屬各單位,部機關各司局: 為貫徹落實國家信息安全等級保護制度,規范和指導全國衛生行業信息安全等級保護工作,按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號要求,我部結合衛生行業實際,研究制定了《衛生行業信息安全等級保護工作的指導意見》。現印發給你們,請遵照執行。
二〇一一年十一月二十九日
衛生行業信息安全等級保護工作的指導意見衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作,對于促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會秩序和
國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度,規范和指導全國衛生行業信息安全等級保護工作,制定本指導意見。
一、工作目標
依據國家信息安全等級保護制度,遵循相關標準規范,在衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,明確信息安全保障重點,落實信息安全責任,建立信息安全等級保護工作長效機制,切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力,為衛生信息化健康發展提供可靠保障,全面維護公共利益、社會秩序和國家安全。
二、工作原則
(一遵循標準,重點保護。遵循國家信息安全等級保護相關標準規范,結合衛生行業信息系統特點,優先保護重要衛生信息系統,優先滿足重點信息安全需求。
(二行業指導,屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。地方各級衛生行政部門要按照國家信息安全等級保護制度有關要求,做好本地區衛生信息系統安全等級保護的指導和管理工作。衛生行業各單位要按照“誰主管、誰負責,誰運營、誰負責”的要求,落實
信息安全責任。
(三同步建設,動態完善。在信息系統規劃設計與建設過程中,同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用范圍等條件改變導致安全需求發生變化時,應當重新調整信息系統安全保護等級,及時完善安全保障措施。
三、工作機制
地方各級衛生行政部門承擔本地衛生信息安全責任,信息化工作領導小組統籌組織本地衛生信息安全等級保護工作。衛生部信息化工作領導小組負責對全國衛生行業信息安全等級保護工作的組織協調、監督指導,并組織開展部機關信息安全等級保護工作。省級、地市級衛生行政部門信息化工作領導小組負責對本地區衛生行業信息安全等級保護工作的組織協調、監督指導,并組織開展本單位信息安全等級保護工作。
衛生部建立信息安全等級保護工作聯絡員機制,各省級衛生行政部門應當設置信息安全等級保護工作聯絡員。聯絡員職責是落實國家信息安全等級保護工作的有關政策和技術標準,掌握本地區信息安全等級保護工作動態和總體情況,代表本地區與衛生部及同級信息安全等級保護管理部門
進行日常聯系和交流,協調落實本地區信息安全等級保護工作。衛生部和各省級衛生行政部門應當分別建立信息安全
技術專家委員會,參與信息系統定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛生行業、公安機關及信息安全技術等專家。
四、工作任務(一定級備案。
1.衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查,對未定級、定級不準的信息系統,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。
國家信息安全等級保護制度將信息安全保護等級分為
五級:第一級為自主保護級,第二級為指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。以下重要衛生信息系統安全保護等級原則上不低于第三級:(1衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系
統等跨省全國聯網運行的信息系統;(2國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心;(3三級甲等醫院的核心業務信息系統;(4衛生部網站系統;(5其他經過信息安全技術專家委員會評定為第三級以上(含第三級的信息系統。
2.擬定為第三級以上(含第三級的衛生信息系統,應當經信息安全技術專家委員會論證、評審。
3.衛生行業各單位在確定信息系統安全保護等級后,對第二級以上(含第二級信息系統,應當報屬地公安機關及衛生行政部門備案。跨省全國聯網運行并由衛生部定級的信息系統,由衛生部報公安部備案;在各地運行、應用的分支系統,應當報屬地公安機關備案。
(二建設與整改。
1.對已確定安全保護等級的第二級以上(含第二級衛生信息系統,應當按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標
準,開展安全保護現狀分析,查找安全隱患及與國家信息安 全等級保護標準之間的差距,確定安全需求。2.根據信息系統安全保護現狀分析結果,按照《信息安 全技術信息系統安全等級保護基本要求》、《信息安全技術 信息系統等級保護安全設計技術要求》等國家標準,制訂信 息系統安全等級保護建設整改方案。第三級以上(含第三級)衛生信息系統安全建設整改方案應當經信息安全技術專家 委員會論證。3.衛生行業各單位應當按照信息系統安全建設整改方 案,完善安全保護設施,建立安全管理制度,落實安全管理 措施,形成信息安全技術防護體系和信息安全管理體系,有 效保障衛生信息系統安全。
(三)等級測評。1.系統建設整改工作完成后,應當按照《信息安全等級 保護管理辦法》要求,從全國信息安全等級保護測評機構推 薦目錄中選擇等級測評機構,對第三級以上(含第三級)衛 生信息系統進行等級測評。2.測評合格后,應當將測評報告報屬地公安機關及衛生 行政部門備案。
3.應當每年對第三級以上(含第三級)衛生信息系統進 行等級測評。對于重要部門的第二級信息系統,可參照上述 要求進行等級測評。
(四)宣傳培訓。1.各級衛生行政部門信息化工作領導小組應當對本地 區各級各類醫療衛生機構開展等級保護政策和標準規范培 訓,提高各單位信息安全管理人員的技術能力和管理水
平。2.衛生行業各單位應當開展內部信息安全培訓,提升全 員信息安全意識,規范信息安全操作行為,提高信息安全保 障能力。
(五)監督檢查。1.衛生部信息化工作領導小組負責督導檢查各地醫療 衛生機構信息安全等級保護工作落實情況,并督促部機關重 要信息系統責任單位開展信息安全等級保護工作。2.省級衛生行政部門信息化工作領導小組負責督導檢 查本地區衛生行業各單位信息安全等級保護工作落實情況,并督促本單位開展信息安全等級保護工作。3.省級衛生行政部門信息化工作領導小組應當于每年 年底,向衛生部信息化工作領導小組報送本地區信息系統定
級備案、建設整改、等級測評和自查等工作開展情況。
五、工作要求
(一)高度重視,加強領導。衛生行業各單位要高度重 視,充分認識信息安全等級保護工作對保護居民健康信息安 全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位 主要負責同志要負總責,分管負責同志要具體抓,明確職責 與任務,突出重點,將信息安全等級保護工作列入重要議事 日程和工作績效考核指標,一級抓一級,層層抓落實。
(二)保障經費,加強監管。衛生行業各單位要建立經 費投入機制,將信息安全等級保護建設整改、等級測評、信 息安全服務、技術培訓等費用納入信息化建設預算,并加強 對資金使用的監管。
(三)加強溝通,密切合作。各級衛生行政部門應當加 強與本地信息安全等級保護管理部門的溝通交流,建立協作 機制,在信息安全等級保護工作中的定級備案、建設整改、等級測評、監督檢查等環節密切合作,共同推進信息安全等 級保護工作。
第三篇:關于印發《關于信息安全等級保護工作的實施意見》的通知
關于印發《關于信息安全等級保護工作的實施意見》的通知
公通字[2004]66 號
各省、自治區、直轄市公安廳(局)、保密局、國家密碼管理委員會辦公室、信息化領導小組辦公室,新疆生產建設兵團公安局、保密局、國家密碼管理委員會辦公室、信息化領導小組辦公室,中央和國家機關各部委保密委員會辦公室,各人民團體保密委員會辦公室:
《關于信息安全等級保護工作的實施意見》已經國家網絡與信息安全協調小組第三次會議討論通過,現印發給你們,請認真貫徹實施。
公安部國家保密局
國家密碼管理委員會辦公室國務院信息化工作辦公室
二〇〇四年九月十五日
關于信息安全等級保護工作的實施意見
信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度,能夠充分調動國家、法人和其他組織及公民的積極性,發揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統安全建設更加突出重點、統一規范、科學合理,對促進我國信息安全的發展將起到重要推動作用。
為了進一步提高信息安全的保障能力和防護水平,維護國家安全、公共利益和社會穩定,保障和促進信息化建設的健康發展,1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》規定,“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。2003年中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出,“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南。”
一、開展信息安全等級保護工作的重要意義
近年來,黨中央、國務院高度重視,各有關方面協調配合、共同努力,我國信息安全保障工作取得了很大進展。但是從總體上看,我國的信息安全保障工作尚處于起步階段,基礎薄弱,水平不高,存在以下突出問題:信息安全意識和安全防范能力薄弱,信息安全滯后于信息化發展;信息系統安全建設和管理的目標不明確;信息安全保障工作的重點不突出;信息安全監督管理缺乏依據和標準,監管措施有待到位,監管體系尚待完善。隨著信息技術的高速發展和網絡應用的迅速普及,我國國民經濟和社會信息化進程全面加快,信息系統的基礎性、全局性作用日益增強,信息資源已經成為國家經濟建設和社會發展的重要戰略資源之一。保障信息安全,維護國家安全、公共利益和社會穩定,是當前信息化發展中迫切需要解決的重大問題。
實施信息安全等級保護,能夠有效地提高我國信息和信息系統安全建設的整體水平,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利于優化信息安全資源的配置,對信息系統分級實施保護,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式。
二、信息安全等級保護制度的原則
信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監督。信息安全等級保護制度遵循以下基本原則:
(一)明確責任,共同保護。通過等級保護,組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作;各方主體按照規范和標準分別承擔相應的、明確具體的信息安全保護責任。
(二)依照標準,自行保護。國家運用強制性的規范及標準,要求信息和信息系統按照相應的建設和管理要求,自行定級、自行保護。
(三)同步建設,動態調整。信息系統在新建、改建、擴建時應當同步建設信息安全設施,保障信息安全與信息化建設相適應。因信息和信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級。等級保護的管理規范和技術標準應按照等級保護工作開展的實際情況適時修訂。
(四)指導監督,重點保護。國家指定信息安全監管職能部門通過備案、指導、檢查、督促整改等方式,對重要信息和信息系統的信息安全保護工作進行指導監督。國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統,主要包括:國家事務處理信息系統(黨政機關辦公系統);財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關系到國計民生的信息系統;教育、國家科研等單位的信息系統;公用通信、廣播電視傳輸等基礎信息網絡中的信息系統;網絡管理中心、重要網站中的重要信息系統和其他領域的重要信息系統。
三、信息安全等級保護制度的基本內容
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
信息系統是指由計算機及其相關和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡;信息是指在信息系統中存儲、傳輸、處理的數字化信息。
根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統必須要達到的基本的安全保護水平等因素,信息和信息系統的安全保護等級共分五級:
1.第一級為自主保護級,適用于一般的信息和信息系統,其受到破壞后,會對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經濟建設和公共利益。
2.第二級為指導保護級,適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成一定損害。
3.第三級為監督保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。
4.第四級為強制保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。
5.第五級為專控保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統的核心子系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害。
國家通過制定統一的管理規范和技術標準,組織行政機關、公民、法人和其他組織根據信息和信息系統的不同重要程度開展有針對性的保護工作。國家對不同安全保護級別的信息和信息系統實行不同強度的監管政策。第一級依照國家管理規范和技術標準進行自主保護;第二級在信息安全監管職能部門指導下依照國家管理規范和技術標準進行自主保護;第三級依照國家管理規范和技術標準進行自主保護,信息安全監管職能部門對其進行監督、檢查;第四級依照國家管理規范和技術標準進行自主保護,信息安全監管職能部門對其進行強制監督、檢查;第五級依照國家管理規范和技術標準進行自主保護,國家指定專門部門、專門機構進行專門監督。
國家對信息安全產品的使用實行分等級管理。
信息安全事件實行分等級響應、處置的制度。依據信息安全事件對信息和信息系統的破壞程度、所造成的社會影響以及涉及的范圍,確定事件等級。根據不同安全保護等級的信息系統中發生的不同等級事件制定相應的預案,確定事件響應和處置的范圍、程度以及適用的管理制度等。信息安全事件發生后,分等級按照預案響應和處置。
四、信息安全等級保護工作職責分工
公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。
在信息安全等級保護工作中,涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。
信息和信息系統的主管部門及運營、使用單位按照等級保護的管理規范和技術標準進行信息安全建設和管理。
國務院信息化工作辦公室負責信息安全等級保護工作中部門間的協調。
五、實施信息安全等級保護工作的要求
信息安全等級保護工作要突出重點、分級負責、分類指導、分步實施,按照誰主管誰負責、誰運營誰負責的要求,明確主管部門以及信息系統建設、運行、維護、使用單位和個人的安全責任,分別落實等級保護措施。實施信息安全等級保護應當做好以下六個方面工作:
(一)完善標準,分類指導。制定系統完整的信息安全等級保護管理規范和技術標準,并根據工作開展的實際情況不斷補充完善。信息安全監管職能部門對不同重要程度的信息和信息系統的安全等級保護工作給予相應的指導,確保等級保護工作順利開展。
(二)科學定級,嚴格備案。信息和信息系統的運營、使用單位按照等級保護的管理規范和技術標準,確定其信息和信息系統的安全保護等級,并報其主管部門審批同意。
對于包含多個子系統的信息系統,在保障信息系統安全互聯和有效信息共享的前提下,應當根據等級保護的管理規定、技術標準和信息系統內各子系統的重要程度,分別確定安全保護等級。跨地域的大系統實行縱向保護和屬地保護相結合的方式。
國務院信息化工作辦公室組織國內有關信息安全專家成立信息安全保護等級專家評審委員會。重要的信息和信息系統的運營、使用單位及其主管部門在確定信息和信息系統的安全保護等級時,應請信息安全保護等級專家評審委員會給予咨詢評審。
安全保護等級在三級以上的信息系統,由運營、使用單位報送本地區地市級公安機關備案。跨地域的信息系統由其主管部門向其所在地的同級公安機關進行總備案,分系統分別由當地運營、使用單位向本地地市級公安機關備案。
信息安全產品使用的分等級管理以及信息安全事件分等級響應、處置的管理辦法由公安部會同保密局、國密辦、信息產業部和認監委等部門制定。
(三)建設整改,落實措施。對已有的信息系統,其運營、使用單位根據已經確定的信息安全保護等級,按照等級保護的管理規范和技術標準,采購和使用相應等級的信息安全產品,建設安全設施,落實安全技術措施,完成系統整改。對新建、改建、擴建的信息系統應當按照等級保護的管理規范和技術標準進行信息系統的規劃設計、建設施工。
(四)自查自糾,落實要求。信息和信息系統的運營、使用單位及其主管部門按照等級保護的管理規范和技術標準,對已經完成安全等級保護建設的信息系統進行檢查評估,發現問題及時整改,加強和完善自身信息安全等級保護制度的建設,加強自我保護。
(五)建立制度,加強管理。信息和信息系統的運營、使用單位按照與本系統安全保護等級相對應的管理規范和技術標準的要求,定期進行安全狀況檢測評估,及時消除安全隱患和漏洞,建立安全制度,制定不同等級信息安全事件的響應、處置預案,加強信息系統的安全管理。信息和信息系統的主管部門應當按照等級保護的管理規范和技術標準的要求做好監督管理工作,發現問題,及時督促整改。
(六)監督檢查,完善保護。公安機關按照等級保護的管理規范和技術標準的要求,重點對第三、第四級信息和信息系統的安全等級保護狀況進行監督檢查。發現確定的安全保護等級不符合等級保護的管理規范和技術標準的,要通知信息和信息系統的主管部門及運營、使用單位進行整改;發現存在安全隱患或未達到等級保護的管理規范和技術標準要求的,要限期整改,使信息和信息系統的安全保護措施更加完善。對信息系統中使用的信息安全產品的等級進行監督檢查。
對第五級信息和信息系統的監督檢查,由國家指定的專門部門、專門機構按照有關規定進行。
國家保密工作部門、密碼管理部門以及其他職能部門按照職責分工指導、監督、檢查。
六、信息安全等級保護工作實施計劃
計劃用三年左右的時間在全國范圍內分三個階段實施信息安全等級保護制度。
(一)準備階段。為了保障信息安全等級保護制度的順利實施,在全面實施等級保護制度之前,用一年左右的時間做好下列準備工作:
1.加強領導,落實責任。在國家網絡與信息安全協調小組的領導下,地方各級人民政府、信息安全監管職能部門、信息系統的主管部門和運營、使用單位要明確各自的安全責任,建立協調配合機制,分別制定詳細的實施方案,積極推進信息安全等級保護制度的建立,推動信息安全管理運行機制的建立和完善。
2.加快完善法律法規和標準體系。法律規范和技術標準是推廣和實施信息安全等級保護工作的法律依據和技術保障。為此,《信息安全等級保護管理辦法》和《信息安全等級保護實施指南》、《信息安全等級保護評估指南》等法規、規范要加緊制定,盡快出臺。
加快信息安全等級保護管理與技術標準的制定和完善,其他現行的相關標準規范中與等級保護管理規范和技術標準不相適應的,應當進行調整。
3.建設信息安全等級保護監督管理隊伍和技術支撐體系。信息安全監管職能部門要建立專門的信息安全等級保護監督檢查機構,充實力量,加強建設,抓緊培訓,使監督檢查人員能夠全面掌握信息安全等級保護相關法律規范和管理規范及技術標準,熟練運用技術工具,切實承擔信息安全等級保護的指導、監督、檢查職責。同時,還要建立信息安全等級保護監督、檢查工作的技術支撐體系,組織研制、開發科學、實用的檢查、評估工具。
4.進一步做好等級保護試點工作。選擇電子政務、電子商務以及其他方面的重點單位開展等級保護試點工作,并在試點工作的基礎上進一步完善等級保護實施指南等相關的配套規范、標準和工具,積累信息安全等級保護工作實施的方法和經驗。
5.加強宣傳、培訓工作。地方各級人民政府、信息安全監管職能部門和信息系統的主管部門要積極宣傳信息安全等級保護的相關法規、標準和政策,組織開展相關培訓,提高對信息安全等級保護工作的認識和重視,積極推動各有關部門、單位做好開展信息安全等級保護工作的前期準備。
(二)重點實行階段。在做好前期準備工作的基礎上,用一年左右的時間,在國家重點保護的涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統中實行等級保護制度。經過一年的建設,使基礎信息網絡和重要信息系統的核心要害部位得到有效保護,涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統的保護狀況得到較大改善,結束目前基本沒有保護措施或保護措施不到位的狀況。
在工作中,如發現等級保護的管理規范和技術標準以及檢查評估工具等存在問題,及時組織有關部門進行調整和修訂。
(三)全面實行階段。在試行工作的基礎上,用一年左右的時間,在全國全面推行信息安全等級保護制度。已經實施等級保護制度的信息和信息系統的運營、使用單位及其主管部門,要進一步完善信息安全保護措施。沒有實施等級保護制度的,要按照等級保護的管理規范和技術標準認真組織落實。
經過三年的努力,逐步將信息安全等級保護制度落實到信息安全規劃、建設、評估、運行維護等各個環節,使我國信息安全保障狀況得到基本改善。
第四篇:陜西省衛生廳關于印發陜西省衛生行業信息安全等級保護工作實施方案的通知
陜西省衛生廳關于印發陜西省衛生行業信息安全等級保護工作實施
方案的通知
陜衛辦發〔2012〕132號
各設區市衛生局,楊凌示范區社會事業局,廳直屬、部屬各醫療衛生單位、廳機關各處室:
現將《陜西省衛生行業信息安全等級保護工作實施方案》印發給你們,請遵照執行。
二〇一二年四月十六日
陜西省衛生行業信息安全等級保護工作實施方案
信息安全等級保護是一項重要國家安全制度,為了規范和指導衛生行業信息安全等級保護工作,衛生部印發了《衛生行業信息安全等級保護工作的指導意見》(衛辦發〔2011〕85號)。按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)和衛生部有關要求,結合我省衛生行業實際,特制定本實施方案。
一、指導思想和基本原則
(一)指導思想
以科學發展觀為指導,認真貫徹落實國家和省有關信息安全等級保護規定和要求,維護和保障國家信息安全、人民群眾個人權益,促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會秩序。
(二)基本原則
1、遵循標準,重點保護。遵循國家和省信息安全等級保護相關標準規范,結合我省衛生行業信息系統實際,優先保護重要的、涉及面廣、遭受破壞對社會危害程度大的信息系統,優先滿足重點信息系統安全需求。
2、行業指導,屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。各市級衛生行政部門要按照國家和省信息安全等級保護制度有關要求,做好本地區衛生信息系統安全等級保護的指導、管理和保護工作。各單位要按照“誰主管、誰負責,誰運營、誰負責”的要求,落實信息安全責任。
3、同步建設,動態完善。在信息系統規劃設計與建設過程中,同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用范圍等條件改變導致安全需求發生變化時,應當重新調整信息系統安全保護等級,及時完善安全保障措施。
二、建設目標
依據國家、省信息安全等級保護制度,遵循相關標準規范,在全省衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,明確信息安全保障重點,落實信息安全責任,建立信息安全等級保護工作長效機制,切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力,為衛生信息化健康發展提供可靠保障,全面維護公共利益、社會秩序和國家安全。
三、主要任務
(一)定級備案
1、衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級,第二級為指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。以下重要衛生信息系統安全等級保護原則上不低于第三級:
(1)全省衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨市全省聯網運行的信息系統;
(2)省、市、縣三級區域衛生信息平臺、業務系統(新農合、衛生監督、婦幼保健等)及數據中心;
(3)二級及以上醫院的核心業務信息系統(電子病歷、財務);
(4)其他經過信息安全技術專家技術指導組評定為第三級以上(含第三級)的信息系統。
2、擬定為第三級以上(含第三級)的衛生信息系統,應當經當地信息安全技術專家技術指導組論證、評審。
3、各單位在確定信息系統安全保護等級后,對第二級以上(含第二級)信息系統,應當報屬地公安機關網安部門及衛生行政部門備案。跨市全省聯網運行并由省衛生廳定級的信息系統,由省衛生廳報省公安廳備案;在各市、縣運行、應用的分支系統,應當報屬地公安機關備案。
(二)建設與整改
1、對確定安全保護等級第二級以上(含第二級)的衛生信息系統,應當按照國家、省信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等標準,開展安全保護現狀分析,查找安全隱患及與信息安全等級保護標準之間的差距,確定安全需求。
2、根據信息系統安全保護現狀分析結果,按照《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統等級保護安全設計技術要求》等國家標準,制訂信息系統安全等級保護建設整改方案。第三級以上(含第三級)衛生信息系統安全建設整改方案應當經信息安全技術專家技術指導組論證。
3、各地各單位應當按照信息系統安全建設整改方案,完善安全保護設施,建立安全管理制度,落實安全管理措施,形成信息安全技術防護體系和信息安全管理體系,有效保障衛生信息系統安全。
(三)等級測評
1、系統建設整改工作完成后,應當按照《信息安全等級保護管理辦法》要求,從省信息安全等級保護測評機構推薦目錄中選擇等級測評機構,對第三級以上(含第三級)衛生信息系統進行等級測評。
2、測評合格后,應當將測評報告報屬地公安機關及衛生行政部門備案。
3、對第三級以上(含第三級)衛生信息系統每年應當進行等級測評。對于重要部門的第二級信息系統,可參照上述要求進行等級測評。
(四)宣傳培訓
1、省衛生廳將集中開展信息安全等級保護培訓,各市、縣衛生行政部門信息化工作領導小組也要對本地區各級各類醫療衛生機構開展等級保護政策和標準規范培訓,提高各單位信息安全管理人員的技術能力和管理水平。
2、各醫療衛生單位要積極組織開展內部信息安全培訓,提升全員信息安全意識,規范信息安全操作行為,提高信息安全保障能力。
(五)監督檢查
1、省衛生廳信息化工作領導小組辦公室負責督導檢查各市和廳直屬、部屬醫療衛生機構信息安全等級保護工作落實情況,并督促廳機關重要信息系統責任單位開展信息安全等級保護工作。
2、市級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況,并負責本單位開展信息安全等級保護工作。
3、市級衛生行政部門信息化工作領導小組應當于每年12月15日前,向省衛生廳信息化工作領導小組報送本地區信息系統定級備案、建設整改、等級測評和自查等工作開展情況。
四、時間安排
(一)第一階段。2012年7月底以前,按照《陜西省衛生行業信息安全等級保護實施方案》,建立省、市二級信息安全等級保護專家技術指導組,確定信息安全等級保護工作聯絡員,并完成技術培訓。
(二)第二階段。2012年底前,完成三級甲等醫院的核心業務信息系統,已建成運行跨市全省聯網運行的信息系統的定級、保護和備案工作。
(三)第三階段。2013年12月30日前,完成二級及區域衛生信息平臺等及其它已建成運行的業務信息系統的定級、保護和備案。
五、保障措施
(一)加強組織領導。各級醫療衛生機構要高度重視,充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位主要領導要負總責,分管領導要具體抓,明確職責與任務,突出重點,將信息安全等級保護工作列入重要議事日程和工作績效考核指標,一級抓一級,層層抓落實。
省衛生廳成立陜西省衛生行業信息安全等級保護專家技術指導組,為各地、各醫療衛生單位業務信息系統定級、測評、備案提供技術指導和業務培訓。建立省、市二級信息安全等級保護工作聯絡員機制。聯絡員職責是落實國家、省信息安全等級保護工作的有關政策和技術標準,掌握本地區信息安全等級保護工作動態和總體情況,代表本地區與省衛生廳及同級公安部門進行日常聯系和交流。
(二)保障經費,加強監管。各級醫療衛生機構要建立經費投入機制,將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算,并加強對資金使用的監管。
(三)加強溝通,密切合作。各級衛生行政部門應當加強與當地公安部門的溝通交流,建立協作機制,在信息安全等級保護工作中的定級備案、建設整改、等級測評、監督檢查等環節密切合作,共同推進信息安全等級保護工作。
第五篇:11[1126]衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知
衛生部辦公廳關于全面開展衛生行業信息安全等級保護
工作的通知
衛辦綜函?2011?1126號
各省、自治區、直轄市衛生廳局,新疆生產建設兵團及計劃單列市衛生局,部直屬各單位,部機關各司局:
為貫徹落實國家信息安全等級保護制度和衛生部關于《衛生行業信息安全等級保護工作的指導意見》(衛辦發?2011?85號,以下簡稱《指導意見》),全面提高衛生行業信息安全保障能力和水平,保障和促進衛生信息化健康發展,我部決定全面開展信息安全等級保護工作。現將有關事項通知如下:
一、具體內容
(一)建立健全工作機制。各省級衛生行政部門要盡快確定信息安全等級保護工作聯絡員,建立健全信息安全技術專家委員會,并分別于2011年12月30日前和2012年4月30日前將聯絡員名單和專家委員會成員名單報送我部。
(二)限時報送備案情況。各省級衛生行政部門要于2011年12月30日前將本地區已定級備案的衛生信息系統情況報送我部。
(三)完成定級備案工作。衛生行業各單位要于2012年5月30日前完成本單位信息系統的定級備案工作。
(四)開展安全建設整改工作。衛生行業各單位要根據信息系統定級備案情況開展等級測評工作,查找安全差距和風險隱患,并結合自身安全需求,制訂安全建設整改方案。要于2015年12月30日前完成信息安全等級保護建設整改工作,并通過等級測評。
二、相關要求
(一)衛生行業各單位要按照“遵循標準、重點保護,行業指導、屬地管理,同步建設、動態完善”的原則,建立信息安全等級保護工作長效機制。
(二)各省級衛生行政部門要督促本地區衛生行業各單位按照《指導意見》要求,開展信息安全等級保護工作。
(三)各省級衛生行政部門等級保護工作聯絡員發生變化時,應當及時向我部報告。
(四)各省級衛生行政部門要及時向我部報告工作進展情況,并于每年第四季度報送本地區信息安全等級保護工作總結。
二○一一年十二月七日
點擊咨詢 