第一篇:關于印發《關于信息安全等級保護工作的實施意見》的通知
關于印發《關于信息安全等級保護工作的實施意見》的通知
公通字[2004]66 號
各省、自治區、直轄市公安廳(局)、保密局、國家密碼管理委員會辦公室、信息化領導小組辦公室,新疆生產建設兵團公安局、保密局、國家密碼管理委員會辦公室、信息化領導小組辦公室,中央和國家機關各部委保密委員會辦公室,各人民團體保密委員會辦公室:
《關于信息安全等級保護工作的實施意見》已經國家網絡與信息安全協調小組第三次會議討論通過,現印發給你們,請認真貫徹實施。
公安部國家保密局
國家密碼管理委員會辦公室國務院信息化工作辦公室
二〇〇四年九月十五日
關于信息安全等級保護工作的實施意見
信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度,能夠充分調動國家、法人和其他組織及公民的積極性,發揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統安全建設更加突出重點、統一規范、科學合理,對促進我國信息安全的發展將起到重要推動作用。
為了進一步提高信息安全的保障能力和防護水平,維護國家安全、公共利益和社會穩定,保障和促進信息化建設的健康發展,1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》規定,“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。2003年中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出,“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南。”
一、開展信息安全等級保護工作的重要意義
近年來,黨中央、國務院高度重視,各有關方面協調配合、共同努力,我國信息安全保障工作取得了很大進展。但是從總體上看,我國的信息安全保障工作尚處于起步階段,基礎薄弱,水平不高,存在以下突出問題:信息安全意識和安全防范能力薄弱,信息安全滯后于信息化發展;信息系統安全建設和管理的目標不明確;信息安全保障工作的重點不突出;信息安全監督管理缺乏依據和標準,監管措施有待到位,監管體系尚待完善。隨著信息技術的高速發展和網絡應用的迅速普及,我國國民經濟和社會信息化進程全面加快,信息系統的基礎性、全局性作用日益增強,信息資源已經成為國家經濟建設和社會發展的重要戰略資源之一。保障信息安全,維護國家安全、公共利益和社會穩定,是當前信息化發展中迫切需要解決的重大問題。
實施信息安全等級保護,能夠有效地提高我國信息和信息系統安全建設的整體水平,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利于優化信息安全資源的配置,對信息系統分級實施保護,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式。
二、信息安全等級保護制度的原則
信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監督。信息安全等級保護制度遵循以下基本原則:
(一)明確責任,共同保護。通過等級保護,組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作;各方主體按照規范和標準分別承擔相應的、明確具體的信息安全保護責任。
(二)依照標準,自行保護。國家運用強制性的規范及標準,要求信息和信息系統按照相應的建設和管理要求,自行定級、自行保護。
(三)同步建設,動態調整。信息系統在新建、改建、擴建時應當同步建設信息安全設施,保障信息安全與信息化建設相適應。因信息和信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級。等級保護的管理規范和技術標準應按照等級保護工作開展的實際情況適時修訂。
(四)指導監督,重點保護。國家指定信息安全監管職能部門通過備案、指導、檢查、督促整改等方式,對重要信息和信息系統的信息安全保護工作進行指導監督。國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統,主要包括:國家事務處理信息系統(黨政機關辦公系統);財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關系到國計民生的信息系統;教育、國家科研等單位的信息系統;公用通信、廣播電視傳輸等基礎信息網絡中的信息系統;網絡管理中心、重要網站中的重要信息系統和其他領域的重要信息系統。
三、信息安全等級保護制度的基本內容
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
信息系統是指由計算機及其相關和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡;信息是指在信息系統中存儲、傳輸、處理的數字化信息。
根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統必須要達到的基本的安全保護水平等因素,信息和信息系統的安全保護等級共分五級:
1.第一級為自主保護級,適用于一般的信息和信息系統,其受到破壞后,會對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經濟建設和公共利益。
2.第二級為指導保護級,適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成一定損害。
3.第三級為監督保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。
4.第四級為強制保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。
5.第五級為專控保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統的核心子系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害。
國家通過制定統一的管理規范和技術標準,組織行政機關、公民、法人和其他組織根據信息和信息系統的不同重要程度開展有針對性的保護工作。國家對不同安全保護級別的信息和信息系統實行不同強度的監管政策。第一級依照國家管理規范和技術標準進行自主保護;第二級在信息安全監管職能部門指導下依照國家管理規范和技術標準進行自主保護;第三級依照國家管理規范和技術標準進行自主保護,信息安全監管職能部門對其進行監督、檢查;第四級依照國家管理規范和技術標準進行自主保護,信息安全監管職能部門對其進行強制監督、檢查;第五級依照國家管理規范和技術標準進行自主保護,國家指定專門部門、專門機構進行專門監督。
國家對信息安全產品的使用實行分等級管理。
信息安全事件實行分等級響應、處置的制度。依據信息安全事件對信息和信息系統的破壞程度、所造成的社會影響以及涉及的范圍,確定事件等級。根據不同安全保護等級的信息系統中發生的不同等級事件制定相應的預案,確定事件響應和處置的范圍、程度以及適用的管理制度等。信息安全事件發生后,分等級按照預案響應和處置。
四、信息安全等級保護工作職責分工
公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。
在信息安全等級保護工作中,涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。
信息和信息系統的主管部門及運營、使用單位按照等級保護的管理規范和技術標準進行信息安全建設和管理。
國務院信息化工作辦公室負責信息安全等級保護工作中部門間的協調。
五、實施信息安全等級保護工作的要求
信息安全等級保護工作要突出重點、分級負責、分類指導、分步實施,按照誰主管誰負責、誰運營誰負責的要求,明確主管部門以及信息系統建設、運行、維護、使用單位和個人的安全責任,分別落實等級保護措施。實施信息安全等級保護應當做好以下六個方面工作:
(一)完善標準,分類指導。制定系統完整的信息安全等級保護管理規范和技術標準,并根據工作開展的實際情況不斷補充完善。信息安全監管職能部門對不同重要程度的信息和信息系統的安全等級保護工作給予相應的指導,確保等級保護工作順利開展。
(二)科學定級,嚴格備案。信息和信息系統的運營、使用單位按照等級保護的管理規范和技術標準,確定其信息和信息系統的安全保護等級,并報其主管部門審批同意。
對于包含多個子系統的信息系統,在保障信息系統安全互聯和有效信息共享的前提下,應當根據等級保護的管理規定、技術標準和信息系統內各子系統的重要程度,分別確定安全保護等級。跨地域的大系統實行縱向保護和屬地保護相結合的方式。
國務院信息化工作辦公室組織國內有關信息安全專家成立信息安全保護等級專家評審委員會。重要的信息和信息系統的運營、使用單位及其主管部門在確定信息和信息系統的安全保護等級時,應請信息安全保護等級專家評審委員會給予咨詢評審。
安全保護等級在三級以上的信息系統,由運營、使用單位報送本地區地市級公安機關備案。跨地域的信息系統由其主管部門向其所在地的同級公安機關進行總備案,分系統分別由當地運營、使用單位向本地地市級公安機關備案。
信息安全產品使用的分等級管理以及信息安全事件分等級響應、處置的管理辦法由公安部會同保密局、國密辦、信息產業部和認監委等部門制定。
(三)建設整改,落實措施。對已有的信息系統,其運營、使用單位根據已經確定的信息安全保護等級,按照等級保護的管理規范和技術標準,采購和使用相應等級的信息安全產品,建設安全設施,落實安全技術措施,完成系統整改。對新建、改建、擴建的信息系統應當按照等級保護的管理規范和技術標準進行信息系統的規劃設計、建設施工。
(四)自查自糾,落實要求。信息和信息系統的運營、使用單位及其主管部門按照等級保護的管理規范和技術標準,對已經完成安全等級保護建設的信息系統進行檢查評估,發現問題及時整改,加強和完善自身信息安全等級保護制度的建設,加強自我保護。
(五)建立制度,加強管理。信息和信息系統的運營、使用單位按照與本系統安全保護等級相對應的管理規范和技術標準的要求,定期進行安全狀況檢測評估,及時消除安全隱患和漏洞,建立安全制度,制定不同等級信息安全事件的響應、處置預案,加強信息系統的安全管理。信息和信息系統的主管部門應當按照等級保護的管理規范和技術標準的要求做好監督管理工作,發現問題,及時督促整改。
(六)監督檢查,完善保護。公安機關按照等級保護的管理規范和技術標準的要求,重點對第三、第四級信息和信息系統的安全等級保護狀況進行監督檢查。發現確定的安全保護等級不符合等級保護的管理規范和技術標準的,要通知信息和信息系統的主管部門及運營、使用單位進行整改;發現存在安全隱患或未達到等級保護的管理規范和技術標準要求的,要限期整改,使信息和信息系統的安全保護措施更加完善。對信息系統中使用的信息安全產品的等級進行監督檢查。
對第五級信息和信息系統的監督檢查,由國家指定的專門部門、專門機構按照有關規定進行。
國家保密工作部門、密碼管理部門以及其他職能部門按照職責分工指導、監督、檢查。
六、信息安全等級保護工作實施計劃
計劃用三年左右的時間在全國范圍內分三個階段實施信息安全等級保護制度。
(一)準備階段。為了保障信息安全等級保護制度的順利實施,在全面實施等級保護制度之前,用一年左右的時間做好下列準備工作:
1.加強領導,落實責任。在國家網絡與信息安全協調小組的領導下,地方各級人民政府、信息安全監管職能部門、信息系統的主管部門和運營、使用單位要明確各自的安全責任,建立協調配合機制,分別制定詳細的實施方案,積極推進信息安全等級保護制度的建立,推動信息安全管理運行機制的建立和完善。
2.加快完善法律法規和標準體系。法律規范和技術標準是推廣和實施信息安全等級保護工作的法律依據和技術保障。為此,《信息安全等級保護管理辦法》和《信息安全等級保護實施指南》、《信息安全等級保護評估指南》等法規、規范要加緊制定,盡快出臺。
加快信息安全等級保護管理與技術標準的制定和完善,其他現行的相關標準規范中與等級保護管理規范和技術標準不相適應的,應當進行調整。
3.建設信息安全等級保護監督管理隊伍和技術支撐體系。信息安全監管職能部門要建立專門的信息安全等級保護監督檢查機構,充實力量,加強建設,抓緊培訓,使監督檢查人員能夠全面掌握信息安全等級保護相關法律規范和管理規范及技術標準,熟練運用技術工具,切實承擔信息安全等級保護的指導、監督、檢查職責。同時,還要建立信息安全等級保護監督、檢查工作的技術支撐體系,組織研制、開發科學、實用的檢查、評估工具。
4.進一步做好等級保護試點工作。選擇電子政務、電子商務以及其他方面的重點單位開展等級保護試點工作,并在試點工作的基礎上進一步完善等級保護實施指南等相關的配套規范、標準和工具,積累信息安全等級保護工作實施的方法和經驗。
5.加強宣傳、培訓工作。地方各級人民政府、信息安全監管職能部門和信息系統的主管部門要積極宣傳信息安全等級保護的相關法規、標準和政策,組織開展相關培訓,提高對信息安全等級保護工作的認識和重視,積極推動各有關部門、單位做好開展信息安全等級保護工作的前期準備。
(二)重點實行階段。在做好前期準備工作的基礎上,用一年左右的時間,在國家重點保護的涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統中實行等級保護制度。經過一年的建設,使基礎信息網絡和重要信息系統的核心要害部位得到有效保護,涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統的保護狀況得到較大改善,結束目前基本沒有保護措施或保護措施不到位的狀況。
在工作中,如發現等級保護的管理規范和技術標準以及檢查評估工具等存在問題,及時組織有關部門進行調整和修訂。
(三)全面實行階段。在試行工作的基礎上,用一年左右的時間,在全國全面推行信息安全等級保護制度。已經實施等級保護制度的信息和信息系統的運營、使用單位及其主管部門,要進一步完善信息安全保護措施。沒有實施等級保護制度的,要按照等級保護的管理規范和技術標準認真組織落實。
經過三年的努力,逐步將信息安全等級保護制度落實到信息安全規劃、建設、評估、運行維護等各個環節,使我國信息安全保障狀況得到基本改善。
第二篇:衛生部關于印發《衛生行業信息安全等級保護工作的指導意見》的通知
附件:
衛 生 部 文 件
衛辦發?2011?85號
衛生部關于印發《衛生行業
信息安全等級保護工作的指導意見》的通知
各省、自治區、直轄市衛生廳局,新疆生產建設兵團及計劃單列市衛生局,部直屬各單位,部機關各司局:
為貫徹落實國家信息安全等級保護制度,規范和指導全國衛生行業信息安全等級保護工作,按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安?2009?1429號)要求,我部結合衛生行業實際,研究制定了《衛生行業信息安全等級保護工作的指導意見》。現印發給你們,請遵照執行。
聯系人:衛生部統計信息中心 楊慧清、矯涌本 聯系電話:010-68791029、68792497 傳真:010-68792836
二〇一一年十二月二日 衛生行業信息安全等級保護
工作的指導意見
衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作,對于促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會 秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度,規范和指導全國衛生行業信息安全等級保護工作,制定本指導意見。
一、工作目標
依據國家信息安全等級保護制度,遵循相關標準規范,在衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,明確信息安全保障重點,落實 信息安全責任,建立信息安全等級保護工作長效機制,切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力,為衛生信息化健康發展提供可靠保障,全面維護公共利益、社會秩序和國家安全。
二、工作原則
(一)遵循標準,重點保護。遵循國家信息安全等級保護相關標準規范,結合衛生行業信息系統特點,優先保護重要衛生信息系統,優先滿足重點信息安全需求。
(二)行業指導,屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。地方各級衛生行政部門要按照 2 國家信息安全等級保護制度有關要求,做好本地區衛生信息系統安全等級保護的指導和管理工作。衛生行業各單位要按照“誰主管、誰負責,誰運營、誰負責”的要求,落實信息安全責任。
(三)同步建設,動態完善。在信息系統規劃設計與建設過程中,同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用范圍等條件改變導致安全需求發生變化時,應當重新調整信息系統安全保護等級,及時完善安全保障措施。
三、工作機制
地方各級衛生行政部門承擔本地衛生信息安全責任,信息化工作領導小組統籌組織本地衛生信息安全等級保護工作。衛生部信息化工作領導小組負責對全國衛生行業 信息安全等級保護工作的組織協調、監督指導,并組織開展部機關信息安全等級保護工作。省級、地市級衛生行政部門信息化工作領導小組負責對本地區衛生行業信 息安全等級保護工作的組織協調、監督指導,并組織開展本單位信息安全等級保護工作。
衛生部建立信息安全等級保護工作聯絡員機制,各省級衛生行政部門應當設置信息安全等級保護工作聯絡員。聯絡員職責是落實國家信息安全等級保護工作的有關政 策和技術標準,掌握本地區信息安全等級保護工作動態和總體情況,代表本地區與衛生部及同級信息安全等級保護管理部門進行日常聯系和交流,協調落實本地區信 息安全等級保護工作。
衛生部和各省級衛生行政部門應當分別建立信息安全技術 3 專家委員會,參與信息系統定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛生行業、公安機關及信息安全技術等專家。
四、工作任務
(一)定級備案。
1.衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查,對未定級、定級不準的信息系統,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。
國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級,第二級為指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。以下重要衛生信息系統安全保護等級原則上不低于第三級:
(1)衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統;
(2)國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心;
(3)三級甲等醫院的核心業務信息系統;(4)衛生部網站系統;
(5)其他經過信息安全技術專家委員會評定為第三級以上(含第三級)的信息系統。
2.擬定為第三級以上(含第三級)的衛生信息系統,應當 4 經信息安全技術專家委員會論證、評審。
3.衛生行業各單位在確定信息系統安全保護等級后,對第二級以上(含第二級)信息系統,應當報屬地公安機關及衛生行政部門備案。跨省全國聯網運行并由衛生部定級的信息系統,由衛生部報公安部備案;在各地運行、應用的分支系統,應當報屬地公安機關備案。
(二)建設與整改。
1.對已確定安全保護等級的第二級以上(含第二級)衛生信息系統,應當按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準,開展安全保護現狀分析,查找安全隱患及與國家信息安全等級保護標準之間的差距,確定安全需求。
2.根據信息系統安全保護現狀分析結果,按照《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統等級保護安全設計技術要求》等國家標 準,制訂信息系統安全等級保護建設整改方案。第三級以上(含第三級)衛生信息系統安全建設整改方案應當經信息安全技術專家委員會論證。
3.衛生行業各單位應當按照信息系統安全建設整改方案,完善安全保護設施,建立安全管理制度,落實安全管理措施,形成信息安全技術防護體系和信息安全管理體系,有效保障衛生信息系統安全。
(三)等級測評。
1.系統建設整改工作完成后,應當按照《信息安全等級保護管理辦法》要求,從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構,對第三級以上(含第三級)衛生信息系統進行等級測評。
2.測評合格后,應當將測評報告報屬地公安機關及衛生行政部門備案。
3.應當每年對第三級以上(含第三級)衛生信息系統進行等級測評。對于重要部門的第二級信息系統,可參照上述要求進行等級測評。
(四)宣傳培訓。
1.各級衛生行政部門信息化工作領導小組應當對本地區各級各類醫療衛生機構開展等級保護政策和標準規范培訓,提高各單位信息安全管理人員的技術能力和管理水平。
2.衛生行業各單位應當開展內部信息安全培訓,提升全員信息安全意識,規范信息安全操作行為,提高信息安全保障能力。
(五)監督檢查。
1.衛生部信息化工作領導小組負責督導檢查各地醫療衛生機構信息安全等級保護工作落實情況,并督促部機關重要信息系統責任單位開展信息安全等級保護工作。
2.省級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況,并督促 6 本單位開展信息安全等級保護工作。
3.省級衛生行政部門信息化工作領導小組應當于每年年底,向衛生部信息化工作領導小組報送本地區信息系統定級備案、建設整改、等級測評和自查等工作開展情況。
五、工作要求
(一)高度重視,加強領導。衛 生行業各單位要高度重視,充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位主要負責同志要負總 責,分管負責同志要具體抓,明確職責與任務,突出重點,將信息安全等級保護工作列入重要議事日程和工作績效考核指標,一級抓一級,層層抓落實。
(二)保障經費,加強監管。衛生行業各單位要建立經費投入機制,將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算,并加強對資金使用的監管。
(三)加強溝通,密切合作。各級衛生行政部門應當加強與本地信息安全等級保護管理部門的溝通交流,建立協作機制,在信息安全等級保護工作中的定級備案、建設整改、等級測評、監督檢查等環節密切合作,共同推進信息安全等級保護工作。
第三篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統要求,藍色字體為第三級系統等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(三級明確要求);電子門禁系統有驗收文檔或產品安全認證資質,電子門禁系統運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質有分類標識;介質分類存放在介質庫或檔案室內,磁介質、紙介質等分類存放
6、應具有攝像、傳感等監控報警系統;機房防盜報警設施的安全資質材料、安裝測試和驗收報告;機房防盜報警系統的運行記錄、定期檢查和維護記錄;
7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告;機房監控報警系統的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質的防雷保安器;具有防雷檢測資質的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統;自動消防系統的運行記錄、檢查和定期維護記錄;消防產品有效期合格;自動消防系統是經消防檢測部門檢測合格的產品
11、應具有除濕裝置;空調機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調節設施;溫濕度自動調節設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(如備用發電機);備用供電系統運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規程,如系統維護手冊和用戶操作規程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發布制度具有統一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發登記記錄,收發應通過正式、有效的方式(如正式發文、領導簽署和單位蓋章等)----安全管理制度應注明發布范圍,并對收發文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位(分工明確,各司其職),數量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統活動進行審批(如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯單位聯系列表)
12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統進行安全檢查(查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格,安全檢查報告,檢查結果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業資格和資質進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協議(協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內部人員中選拔,是否要求其簽署崗位安全協議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調離手續,是否要求關鍵崗位調離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調離手續的記錄,調離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監督等)
13、應具有外部人員訪問重要區域的書面申請
14、應具有外部人員訪問重要區域的登記記錄(記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等)
五、系統建設管理
1、應明確信息系統的邊界和安全保護等級(具有定級文檔,明確信息系統安全保護等級)
2、應具有系統建設/整改方案
3、應授權專門的部門對信息系統的安全建設進行總體規劃,由何部門/何人負責
4、應具有系統的安全建設工作計劃(系統安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規定進行采購和使用系統信息安全產品
9、安全產品的相關憑證,如銷售許可等,應使用符合國家有關規定產品
10、應具有專門的部門負責產品的采購
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統運維管理
1、應指定專人或部門對機房的基本設施(如空調、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調、溫濕度控制等機房設施定期維護保養的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產清單(覆蓋資產責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產管理的責任部門或人員
7、應依據資產的重要程度對資產進行標識
8、介質存放于何種環境中,應對存放環境實施專人管理(介質存放在安全的環境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質使用管理記錄,應記錄介質歸檔和使用等情況(介質存放、使用管理記錄)
10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制
11、應對介質的使用情況進行登記管理,并定期盤點(介質歸檔和查詢的記錄、存檔介質定期盤點的記錄)
12、對送出維修或銷毀的介質如何管理,銷毀前應對數據進行凈化處理。(對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質實行異地存儲,異地存儲環境是否與本地環境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或專門部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經過審批流程,由何人審批(審批記錄)
18、應監控主機、網絡設備和應用系統的運行狀況等
19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警
20、應具有日常運維的監控日志記錄和運維交接日志記錄
21、應定期對監控記錄進行分析、評審
22、應具有異常現象的現場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網絡安全管理工作
25、應對網絡設備進行過升級,更新前應對現有的重要文件是否進行備份(網絡設備運維維護工作記錄)
26、應對網絡進行過漏洞掃描,并對發現的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網絡設備配置數據的離線備份)
28、系統網絡的外聯種類(互聯網、合作伙伴企業網、上級部門網絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規聯網的行為。
29、對便攜式和移動式設備的網絡接入應進行限制管理
30、應具有內部網絡外聯的授權批準書,應具有網絡違規行為(如撥號上網等)的檢查手段和工具。
31、在安裝系統補丁程序前應經過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統補丁安裝操作記錄
33、應對系統管理員用戶進行分類(比如:劃分不同的管理角色,系統管理權限與安全審計權限分離等)
34、審計員應定期對系統審計日志進行分析(有定期對系統運行日志和審計數據的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統的變更申請書,應具有主管領導的批準
42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統(備份文件記錄)
43、應定期執行恢復程序,檢查和測試備份介質的有效性
44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執行所需資金應做過預算并能夠落實。
48、應對系統相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。
第四篇:信息安全等級保護工作實施方案
白魯礎九年制學校
信息安全等級保護工作實施方案
為加強信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進我校信息化建設。根據商教發【2011】321號文件精神,結合我校實際,制訂本實施方案。
一、指導思想
以科學發展觀為指導,以黨的十七大、十七屆五中全會精神為指針,深入貫徹執行《信息安全等級保護管理辦法》等文件精神,全面推進信息安全等級保護工作,維護我校基礎信息網絡和重要信息系統安全穩定運行。
二、定級范圍
學校管理、辦公系統、教育教學系統、財務管理等重要信息系統以及其他重要信息系統。
三、組織領導
(一)工作分工。定級工作由電教組牽頭,會同學校辦公室、安全保衛處等共同組織實施。
學校辦公室負責定級工作的部門間協調。
安全保衛處負責定級工作的監督。
電教組負責定級工作的檢查、指導、評審。
各部門依據《信息安全等級保護管理辦法》和本方案要求,開展信息系統自評工作。
(二)協調領導機制。
1、成立領導小組,校長任組長,副校長任副組長、各部門負責人為成員,負責我校信息安全等級保護工作的領導、協調工作。督促各部門按照總體方案落實工作任務和責任,對等級保護工作整體推進情況進行檢查監督,指導安全保密方案制定。
2、成立由電教組牽頭的工作機構,主要職責:在領導小組的領導下,切實抓好我校定級保護工作的日常工作。做好組織各信息系統運營使用部門參加信息系統安全等級保護定級相關會議;組織開展政策和技術培訓,掌握定級工作規范和技術要求,為定級工作打好基礎;全面掌握學校各部門定級保護工作的進展情況和存在的問題,對存在的問題及時協調解決,形成定級工作總結并按時上報領導小組。
3、成立由赴省參加過計算機培訓的教師組成的評審組,主要負責:一是為我校信息與網絡安全提供技術支持與服務咨詢;二是參與信息安全等級保護定級評審工作;三是參與重要信息與網絡安全突發公共事件的分析研判和為領導決策提供依據。
四、主要內容、工作步驟
(一)開展信息系統基本情況的摸底調查。各部門要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。
(二)初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審。初步確定信息系統安全保護等級后,上報學校信息系統安全等級保護評審組進行評審。
(四)備案。根據《信息安全等級保護管理辦法》,信息系統安全保護等級為第二級以上的信息系統統一由電教組負責備案工作。
五、定級工作要求
(一)加強領導,落實保障。各部門要落實責任,并于12月15日前將《信息系統安全等級保護備案表》、《信息系統安全等級保護定級報告》上報九年制學校。
(二)加強培訓,嚴格定級。為切實落實評審工作,保證定級準確,備案及時,全面提高我校基礎信息網絡和重要信息系統的信息安全保護能力和水平,保證定級工作順利進行,各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統單位信息分級培訓材料》、《信息系統安全保護等級定級指南(國標)》、《信息系統安全等級保護基本要求(報批)》、《信息系統安全等級保護實施指南(報批)》等材料。
(三)積極配合、認真整改。各部門要認真按照評級要求,組織開展等級保護工作,切實做好重要信息系統的安全等級保護。
(四)自查自糾、完善制度。此次定級工作完成后,請各部門按照《信息安全等級保護管理辦法》和有關技術標準,依據系統所定保護等級的要求,定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查,并不斷完善安全管理制度,今后,若信息系統備案資料發生變化,應及時進行變更備案
第五篇:陜西省衛生廳關于印發陜西省衛生行業信息安全等級保護工作實施方案的通知
陜西省衛生廳關于印發陜西省衛生行業信息安全等級保護工作實施
方案的通知
陜衛辦發〔2012〕132號
各設區市衛生局,楊凌示范區社會事業局,廳直屬、部屬各醫療衛生單位、廳機關各處室:
現將《陜西省衛生行業信息安全等級保護工作實施方案》印發給你們,請遵照執行。
二〇一二年四月十六日
陜西省衛生行業信息安全等級保護工作實施方案
信息安全等級保護是一項重要國家安全制度,為了規范和指導衛生行業信息安全等級保護工作,衛生部印發了《衛生行業信息安全等級保護工作的指導意見》(衛辦發〔2011〕85號)。按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)和衛生部有關要求,結合我省衛生行業實際,特制定本實施方案。
一、指導思想和基本原則
(一)指導思想
以科學發展觀為指導,認真貫徹落實國家和省有關信息安全等級保護規定和要求,維護和保障國家信息安全、人民群眾個人權益,促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會秩序。
(二)基本原則
1、遵循標準,重點保護。遵循國家和省信息安全等級保護相關標準規范,結合我省衛生行業信息系統實際,優先保護重要的、涉及面廣、遭受破壞對社會危害程度大的信息系統,優先滿足重點信息系統安全需求。
2、行業指導,屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。各市級衛生行政部門要按照國家和省信息安全等級保護制度有關要求,做好本地區衛生信息系統安全等級保護的指導、管理和保護工作。各單位要按照“誰主管、誰負責,誰運營、誰負責”的要求,落實信息安全責任。
3、同步建設,動態完善。在信息系統規劃設計與建設過程中,同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用范圍等條件改變導致安全需求發生變化時,應當重新調整信息系統安全保護等級,及時完善安全保障措施。
二、建設目標
依據國家、省信息安全等級保護制度,遵循相關標準規范,在全省衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,明確信息安全保障重點,落實信息安全責任,建立信息安全等級保護工作長效機制,切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力,為衛生信息化健康發展提供可靠保障,全面維護公共利益、社會秩序和國家安全。
三、主要任務
(一)定級備案
1、衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級,第二級為指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。以下重要衛生信息系統安全等級保護原則上不低于第三級:
(1)全省衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨市全省聯網運行的信息系統;
(2)省、市、縣三級區域衛生信息平臺、業務系統(新農合、衛生監督、婦幼保健等)及數據中心;
(3)二級及以上醫院的核心業務信息系統(電子病歷、財務);
(4)其他經過信息安全技術專家技術指導組評定為第三級以上(含第三級)的信息系統。
2、擬定為第三級以上(含第三級)的衛生信息系統,應當經當地信息安全技術專家技術指導組論證、評審。
3、各單位在確定信息系統安全保護等級后,對第二級以上(含第二級)信息系統,應當報屬地公安機關網安部門及衛生行政部門備案。跨市全省聯網運行并由省衛生廳定級的信息系統,由省衛生廳報省公安廳備案;在各市、縣運行、應用的分支系統,應當報屬地公安機關備案。
(二)建設與整改
1、對確定安全保護等級第二級以上(含第二級)的衛生信息系統,應當按照國家、省信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等標準,開展安全保護現狀分析,查找安全隱患及與信息安全等級保護標準之間的差距,確定安全需求。
2、根據信息系統安全保護現狀分析結果,按照《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統等級保護安全設計技術要求》等國家標準,制訂信息系統安全等級保護建設整改方案。第三級以上(含第三級)衛生信息系統安全建設整改方案應當經信息安全技術專家技術指導組論證。
3、各地各單位應當按照信息系統安全建設整改方案,完善安全保護設施,建立安全管理制度,落實安全管理措施,形成信息安全技術防護體系和信息安全管理體系,有效保障衛生信息系統安全。
(三)等級測評
1、系統建設整改工作完成后,應當按照《信息安全等級保護管理辦法》要求,從省信息安全等級保護測評機構推薦目錄中選擇等級測評機構,對第三級以上(含第三級)衛生信息系統進行等級測評。
2、測評合格后,應當將測評報告報屬地公安機關及衛生行政部門備案。
3、對第三級以上(含第三級)衛生信息系統每年應當進行等級測評。對于重要部門的第二級信息系統,可參照上述要求進行等級測評。
(四)宣傳培訓
1、省衛生廳將集中開展信息安全等級保護培訓,各市、縣衛生行政部門信息化工作領導小組也要對本地區各級各類醫療衛生機構開展等級保護政策和標準規范培訓,提高各單位信息安全管理人員的技術能力和管理水平。
2、各醫療衛生單位要積極組織開展內部信息安全培訓,提升全員信息安全意識,規范信息安全操作行為,提高信息安全保障能力。
(五)監督檢查
1、省衛生廳信息化工作領導小組辦公室負責督導檢查各市和廳直屬、部屬醫療衛生機構信息安全等級保護工作落實情況,并督促廳機關重要信息系統責任單位開展信息安全等級保護工作。
2、市級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況,并負責本單位開展信息安全等級保護工作。
3、市級衛生行政部門信息化工作領導小組應當于每年12月15日前,向省衛生廳信息化工作領導小組報送本地區信息系統定級備案、建設整改、等級測評和自查等工作開展情況。
四、時間安排
(一)第一階段。2012年7月底以前,按照《陜西省衛生行業信息安全等級保護實施方案》,建立省、市二級信息安全等級保護專家技術指導組,確定信息安全等級保護工作聯絡員,并完成技術培訓。
(二)第二階段。2012年底前,完成三級甲等醫院的核心業務信息系統,已建成運行跨市全省聯網運行的信息系統的定級、保護和備案工作。
(三)第三階段。2013年12月30日前,完成二級及區域衛生信息平臺等及其它已建成運行的業務信息系統的定級、保護和備案。
五、保障措施
(一)加強組織領導。各級醫療衛生機構要高度重視,充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位主要領導要負總責,分管領導要具體抓,明確職責與任務,突出重點,將信息安全等級保護工作列入重要議事日程和工作績效考核指標,一級抓一級,層層抓落實。
省衛生廳成立陜西省衛生行業信息安全等級保護專家技術指導組,為各地、各醫療衛生單位業務信息系統定級、測評、備案提供技術指導和業務培訓。建立省、市二級信息安全等級保護工作聯絡員機制。聯絡員職責是落實國家、省信息安全等級保護工作的有關政策和技術標準,掌握本地區信息安全等級保護工作動態和總體情況,代表本地區與省衛生廳及同級公安部門進行日常聯系和交流。
(二)保障經費,加強監管。各級醫療衛生機構要建立經費投入機制,將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算,并加強對資金使用的監管。
(三)加強溝通,密切合作。各級衛生行政部門應當加強與當地公安部門的溝通交流,建立協作機制,在信息安全等級保護工作中的定級備案、建設整改、等級測評、監督檢查等環節密切合作,共同推進信息安全等級保護工作。
點擊咨詢 