第一篇:等级保护技术方案-XX大学附属XX医院-三级
XX医院等级保护安全建设方案
秘密级
密级:秘密
XX大学附属XX医院
(信息安全建设整体规划方案)
XX有限公司 201X年X月X日 XX医院等级保护安全建设方案
秘密级
目录 2 2.1 工程项目背景.................................................................................................................6 安全建设路线.................................................................................................................7 设计原则..........................................................................................................................7
2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.2 3 3.1 等级保护建设原则.................................................................................................7 体系化的设计原则.................................................................................................7 产品的先进性原则.................................................................................................7 按步骤有序建设原则.............................................................................................7 安全服务细致化原则.............................................................................................8
等级化建设思路..............................................................................................................8 系统分析.........................................................................................................................9 网络结构分析..................................................................................................................9
3.1.1 3.1.2 3.2 业务内网.................................................................................................................9 办公外网...............................................................................................................10
业务系统分析................................................................................................................11
3.2.1 3.2.2 4 5 6 6.1 业务内网...............................................................................................................11 办公外网...............................................................................................................11
等级保护建设流程........................................................................................................13 方案参照标准...............................................................................................................15 安全风险与需求分析....................................................................................................16 安全技术需求分析........................................................................................................16
6.1.1 6.1.2 6.1.3 6.1.4 物理安全风险与需求分析...................................................................................16 计算环境安全风险与需求分析...........................................................................17 区域边界安全风险与需求分析...........................................................................19 通信网络安全风险与需求分析...........................................................................20 XX医院等级保护安全建设方案
秘密级
6.2 7 7.1 7.2 7.3 安全管理需求分析........................................................................................................22 技术体系方案设计........................................................................................................22 方案设计目标................................................................................................................22 方案设计框架................................................................................................................23 安全技术体系设计........................................................................................................24
7.3.1 7.3.2
7.3.2.1 7.3.2.2 7.3.2.3 7.3.2.4 7.3.2.5 7.3.2.6 7.3.2.7 7.3.2.8 7.3.2.9 物理安全设计.......................................................................................................24 计算环境安全设计...............................................................................................26
身份鉴别.......................................................................................................................26 访问控制.......................................................................................................................27 系统安全审计...............................................................................................................28 入侵防范.......................................................................................................................29 主机恶意代码防范.......................................................................................................30 软件容错.......................................................................................................................30 数据完整性与保密性...................................................................................................30 备份与恢复...................................................................................................................31 资源控制.......................................................................................................................32 客体安全重用...............................................................................................................33 抗抵赖...........................................................................................................................33 7.3.2.10 7.3.2.11
7.3.3
7.3.3.1 7.3.3.2 7.3.3.3 7.3.3.4 7.3.3.5 7.3.3.6 7.3.3.7 7.3.3.8 区域边界安全设计...............................................................................................34
边界访问控制...............................................................................................................34 安全隔离网闸...............................................................................................................35 流量控制.......................................................................................................................36 边界完整性检查...........................................................................................................38 边界入侵防御...............................................................................................................39 边界安全审计(上网行为管理)................................................................................39 网页防篡改...................................................................................................................40 边界恶意代码防范(防毒墙)....................................................................................40 XX医院等级保护安全建设方案
秘密级
7.3.4
7.3.4.1 7.3.4.2 7.3.4.3 7.3.4.4 7.3.4.5 7.3.4.6 通信网络安全设计...............................................................................................41
网络结构安全...............................................................................................................41 网络安全审计...............................................................................................................41 网络设备防护...............................................................................................................42 通信完整性...................................................................................................................43 通信保密性...................................................................................................................43 网络可信接入...............................................................................................................43
7.3.5
7.3.5.1 7.3.5.2 7.3.5.3 安全管理中心设计...............................................................................................44
系统管理.......................................................................................................................45 审计管理.......................................................................................................................46 网络运维及应用监控管理系统....................................................................................47
7.3.6 8 9 9.1 9.2 9.3 不同等级系统互联互通.......................................................................................48
安全管理体系设计........................................................................................................48 安全运维服务设计........................................................................................................50 安全扫描........................................................................................................................50 人工检查........................................................................................................................51 安全加固........................................................................................................................51
9.3.1 9.3.2 9.3.3 9.4 流程.......................................................................................................................52 内容.......................................................................................................................52 风险规避...............................................................................................................54
日志分析........................................................................................................................55
9.4.1 9.4.2 9.5 流程.......................................................................................................................55 内容.......................................................................................................................56
补丁管理........................................................................................................................56
9.5.1 9.5.2 9.6 流程.......................................................................................................................57 内容.......................................................................................................................57
安全监控........................................................................................................................58 XX医院等级保护安全建设方案
秘密级
9.6.1 9.6.2 9.7 9.8 流程.......................................................................................................................58 内容.......................................................................................................................59
安全通告........................................................................................................................60 应急响应........................................................................................................................61
9.8.1 9.8.2 9.8.3 9.8.4 9.9 10 入侵调查...............................................................................................................61 主机、网络异常响应...........................................................................................61 其他紧急事件.......................................................................................................61 响应流程...............................................................................................................62
安全运维服务的客户价值............................................................................................63 整体配置方案...............................................................................................................63
安全产品部署说明...................................................................................................65 10.1 11 12 方案合规性分析............................................................................................................66 信息安全产品选型及配置清单.....................................................................................67
产品选型...................................................................................................................67 12.1
12.1.1 12.1.2
12.2 选型建议..........................................................................................................67 选型要求..........................................................................................................67
信息安全建设配置清单............................................................................................68
12.2.1
12.2.2 业务内网安全产品配置清单..........................................................................68 办公外网安全产品配置清单:...........................................................................69 XX医院等级保护安全建设方案
秘密级 工程项目背景
医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击,会给社会造成多大的影响。
在医院行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医院信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医院信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
为此,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医院信息系统构筑至少应达到二级或以上防护要求。XX医院等级保护安全建设方案
秘密级
所以,在XXX大学XXX医院的信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了XXX医院信息网络的安全稳定运行,确保医院信息系统建设项目的顺利实施,结合具体的网络和应用系统情况,作为有着丰富医疗行业大型安全项目实施经验的XXX有限公司,将以极大的信心和饱满的热情,根据XXX医院目前的计算机信息网网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,提出本技术方案。安全建设路线
2.1 设计原则
2.1.1 等级保护建设原则
XX医院计算机网络系统属国计民生的重要信息系统,其安全建设不能忽视国家相关政策要求,在安全保障体系建设上最终所要达到的保护效果应符合《信息系统安全等级保护基本要求》。
2.1.2 体系化的设计原则
系统设计应充分考虑到各个层面的安全风险,构建完整的安全防护体系,充分保证系统的安全性。同时,应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
2.1.3 产品的先进性原则
XX医院的安全保障体系建设规模庞大,意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,共同打好工程的技术基础。
2.1.4 按步骤有序建设原则
XX医院的安全保障体系的建设是一项长期的工程,并非一蹴而就解决所有安全问题。因此,在实际建设过程中要根据实际情况分轻重缓急,分期、分批的 XX医院等级保护安全建设方案
秘密级
进行部署。
2.1.5 安全服务细致化原则
要使得安全保障体系发挥最大的功效,除安全产品的部署外还应提供有效的安全服务,根据XX医院的网络系统具体现状及承载的重要业务,全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合,结合XX医院的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。
2.2 等级化建设思路
“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2.安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
3.安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
4.确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全 XX医院等级保护安全建设方案
秘密级
指标库。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
5.评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
6.安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。
7.安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行安全管理建设。
通过如上步骤,XX医院的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。系统分析
3.1 网络结构分析
从目前XX医院的全局网络结构上看,可以分为两大部分,用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中,医院内部业务网是医院业务开展的重要平台,承载着核心业务,同时具有相应链路与卫生局、社保和银行等其他机构交换数据;而办公网主要对外提供信息发布门户,对内提供Internet网络接入等服务。
3.1.1 业务内网
XX医院的业务内网是由在建的新办公大楼中心机房、各业务大楼(如:门诊大楼、急诊大楼、住院大楼、科学楼、医技楼、肝病大楼等)以及萝岗医院(包括灾备中心)等几部分组成,其中新办公大楼中心机房是整个业务网络的核心,主要提供医疗数据交换、存储和医院业务系统的运维。各业务大楼主要提供医护人员的日常业务的开展。XX医院等级保护安全建设方案
秘密级
整个XX医院的业务网络由核心层、汇聚层和接入层的网络交换设备组成网络的骨干,然后通过各楼层交换机接入到各个业务大楼,为了防止网络设备由于单点故障而影响业务系统的可用性,在主要的核心节点设备上都采用了双机冗余的方式在线运行。此外,还有相应的VPN专线连接到卫生局、社保和银行等外部单位,进行相关的医疗业务数据交换。
XX医院的业务内网拓朴图所下所示:
磁盘阵列PACS以及HIS等服务器群磁盘阵列或磁带库IT运营维护系统数据中心萝岗分院异地备份中心门诊楼接入交换机门诊楼中心机房防火墙…入侵防御高清视频通讯系统(与罗岗园区进行视频通讯)卫生局外联单位社保银行…………………住院楼Presentation_ID医技楼©2008 Cisco Systems, Inc.All rights reserved.Cisco Confidential肝病大楼急诊楼科学楼门诊楼后座1
【图一:XX医院业务内网】
3.1.2 办公外网
办公外网主要由门诊楼中心机房、各接入业务大楼、Internet接入区和中大校园网出口等几部分组成;办公外网的组网方式与业务网有些类似,但其主要职能是供本院医职人员的互联网浏览服务以及对外网站的发布,所以办公外网采用的是成本更低廉单核心网络架构,以满足一般性的外网业务需求。XX医院等级保护安全建设方案
秘密级
XX医院的办公外网拓扑图如下所示:
【图二:XX医院办公外网】
3.2 业务系统分析
3.2.1 业务内网
经过近十多年的发展,XX医院信息系统(Hospital Information System,HIS)建设初具规模,日趋完善。信息系统的发展经历了从单机系统、局部网络系统到整个医院信息系统的多个阶段,可以说,HIS系统是XX医院医疗信息化的最核心资产。
另外,内网还运行有CLS系统、PACS系统、ES系统、CRS系统和B超等业务应用系统,它们也是XX医院日常业务正常开展的重要组成部分。
3.2.2 办公外网
办公外网是XX医院对外综合性服务系统的载体,和Internet直接连接,并且按照医院相关规定和运行HIS系统的业务内网物理隔离。主要应用有:
信息发布网站:各级医疗系统的Web网站是其公众形象的重要体现形式之一,其主要功能是发布正式的医院官方的文件和信息等。XX医院等级保护安全建设方案
秘密级
邮件和Internet浏览服务:除了提供对外网站发布服务,医院办公网络系统还对内部人员提供邮件服务和Internet浏览服务。
外网OA系统:则主要指用于日常办公的终端、办公自动化应用服务器和数据库,对于XX医院OA系统,主要包含的应用有:电子邮件、公文传递及批复、文件传输和内部主页等日常办公文件处理。XX医院等级保护安全建设方案
秘密级 等级保护建设流程
XXX公司提出的“按需防御的等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的等级化安全防御体系。
“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级:确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。XX医院等级保护安全建设方案
秘密级
2.安全域设计:根据第一步的结果,通过分析医院系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。3.确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
4.评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。5.安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。6.安全建设:根据方案设计内容逐步进行安全建设,满足方案设计并要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。7.持续安全运维:通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。
通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障XX医院系统整体的安全。而应该特别注意的是:等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证XX医院等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。XX医院等级保护安全建设方案
秘密级 方案参照标准
GB/T 21052-2007 信息安全等级保护 信息系统物理安全技术要求 信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统安全保护等级定级指南 信息安全技术信息安全等级保护实施指南 信息安全技术 信息系统安全等级保护测评指南
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20984-2007信息安全技术 信息安全风险评估规范 GB/T 20269-2006 信息安全技术 信息系统安全管理要求 GB/T 20281-2006 信息安全技术 防火墙技术要求与测试评价方法 GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法 GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 GB/T 20277-2006 信息安全技术 网络脆弱性扫描产品测试评价方法 GB/T 20279-2006 信息安全技术 网络端设备隔离部件技术要求 GB/T 20280-2006 信息安全技术 网络端设备隔离部件测试评价方法 等。XX医院等级保护安全建设方案
秘密级 安全风险与需求分析
伴随着XX医院信息化的快速发展,信息安全问题日益显现。从医院安全建设角度,目前还没有成规模的部署安全产品,采用最多的只是桌面防病毒、网络防火墙和IDS入侵检测等传统安全技术手段,无论是业务网还是办公网均面临着来自网络外部和内部的一系列新型复杂的安全威胁;因此,必须认清威胁,明确需求,采取措施“攮外”与“安内”并举,才能确保XX医院信息化的顺利进行。
需要说明的是,业务网上承载着最核心HIS系统,整个安全建设将围绕保障业务系统的安全运行为目标。其次是办公外网,既在诸如终端防护上具备和业务网类似的安全需求,又因边界的不同属性需要采取不同的个性化解决方案。
6.1 安全技术需求分析
6.1.1 物理安全风险与需求分析
物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。例如:
机房缺乏控制,人员随意出入带来的风险; 网络设备被盗、被毁坏;
线路老化或是有意、无意的破坏线路; 设备在非预测情况下发生故障、停电等; 自然灾害如地震、水灾、火灾、雷击等; 电磁干扰等。
因此,在通盘考虑安全风险时,应优先考虑物理安全风险。保证网络正常运 XX医院等级保护安全建设方案
秘密级
行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。
6.1.2 计算环境安全风险与需求分析
计算环境的安全主要指主机以及应用层面的安全风险与需求分析,包括:身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。
身份鉴别
身份鉴别包括主机和应用两个方面。
主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,且防止被网络窃听;同时应考虑失败处理机制。
访问控制
访问控制包括主机和应用两个方面。
访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
系统审计
系统审计包括主机审计和应用审计两个方面。
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计应用层信息,和业 XX医院等级保护安全建设方案
秘密级
务系统的运转流程息息相关。能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。
入侵防范
主机操作系统面临着各类具有针对性的入侵威胁,常见操作系统存在着各种安全漏洞,并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得操作系统本身的安全性给整个系统带来巨大的安全风险,因此对于主机操作系统的安装,使用、维护等提出了需求,防范针对系统的入侵行为。
恶意代码防范
病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。
软件容错
软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。
数据安全
主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。应采取措施保证数据在传输过程中的完整性以及保密性;保护鉴别信息的保密性
备份与恢复
数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发 XX医院等级保护安全建设方案
秘密级
事件的必要措施。
资源合理控制
资源合理控制包括主机和应用两个方面。
主机系统以及应用系统的资源是有限的,不能无限滥用。系统资源必须能够为正常用户提供资源保障。否则会出现资源耗尽、服务质量下降甚至服务中断等后果。因此对于系统资源进行控制,制定包括:登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略。
剩余信息保护
对于正常使用中的主机操作系统和数据库系统等,经常需要对用户的鉴别信息、文件、目录、数据库记录等进行临时或长期存储,在这些存储资源重新分配前,如果不对其原使用者的信息进行清除,将会引起用户信息泄漏的安全风险,因此,需要确保系统内的用户鉴别信息文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除
对于动态管理和使用的客体资源,应在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄漏。
抗抵赖
对于数据安全,不仅面临着机密性和完整性的问题,同样还面临着抗抵赖性(不可否认性)的问题,应采用技术手段防止用户否认其数据发送和接收行为,为数据收发双方提供证据。
6.1.3 区域边界安全风险与需求分析
区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。
边界访问控制
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。XX医院等级保护安全建设方案
秘密级
边界完整性检测
边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。
边界入侵防范
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
边界安全审计
在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系统。并可通过安全管理中心集中管理。
边界恶意代码防范
现今,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以网络(包括 Internet、广域网、局域网)形态进行传播,因此为了安全的防护手段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀。
6.1.4 通信网络安全风险与需求分析
XX医院通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。
网络结构
网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。XX医院等级保护安全建设方案
秘密级
网络安全审计
由于用户的计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理用户误操作,将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户,以利于规范正常的网络应用行为。
网络设备防护
由于XX医院在建网络系统将会使用大量的网络设备和安全设备,如交换机、防火墙、入侵检测设备等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。如果发生网络设备被不法分子攻击,将导致设备不能正常运行。更加严重情况是设备设置被篡改,不法分子轻松获得网络设备的控制权,通过网络设备作为跳板攻击服务器,将会造成无法想象的后果。例如,交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。
通信完整性与保密性
由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。
而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。
网络可信接入
对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入到XX医院业务网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如 XX医院等级保护安全建设方案
秘密级
蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,能监控网络,对于没有合法认证的外来机器,能够阻断其网络访问,保护好已经建立起来的安全环境。
6.2 安全管理需求分析
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,建立健全安全管理体系不但是国家等级保护中的要求,也是作为一个安全体系来讲,不可或缺的重要组成部分。
安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导,形成可操作的体系。主要包括:
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
根据等级保护的要求在上述方面建立一系列的管理制度与操作规范,并明确执行。技术体系方案设计
7.1 方案设计目标
三级系统安全保护环境的设计目标是:落实GB 17859-1999对三级系统的安全保护要求,在二级安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。
通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面 XX医院等级保护安全建设方案
秘密级
基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得XX医院网络系统的等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面为XX医院的业务系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
7.2 方案设计框架
根据《信息系统安全等级保护基本要求》,分为技术和管理两大类要求,具体如下图所示:
本方案将严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型,根据《信息系统等级保护安全设计技术要求》,保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计,内容涵盖基本要求的5个方面。同时结合管理要求,形成如下图所示的保护环境模型: XX医院等级保护安全建设方案
秘密级
信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级较高者决定,因此,对某一个定级后的信息系统的安全保护的侧重点可以有多种组合。对于3级保护系统,其组合为:(在S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3选择)。以下对XX医院详细方案设计时应将每个项目进行相应的组合级别说明。
7.3 安全技术体系设计
7.3.1 物理安全设计
物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。
机房选址
机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。XX医院等级保护安全建设方案
秘密级
机房管理
机房出入口安排专人值守,控制、鉴别和记录进入的人员;
需进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围。对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 机房环境
合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机房应安装防静电活动地板。
机房安装防雷和接地线,设置防雷保安器,防止感应雷,要求防雷接地和机房接地分别安装,且相隔一定的距离;机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。配备空调系统,以保持房间恒湿、恒温的工作环境;在机房供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应,满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电;建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设,避免互相干扰。对关键设备和磁介质实施电磁屏蔽。
设备与介质管理
为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、电等技术设置机 XX医院等级保护安全建设方案
秘密级
房防盗报警系统;对机房设置监控报警系统。
7.3.2 计算环境安全设计 7.3.2.1 身份鉴别
身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面: 主机身份鉴别:
为提高主机系统安全性,保障各种应用的正常运行,对主机系统需要进行一系列的加固措施,包括:
对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户名的唯一性。
根据基本要求配置用户名/口令;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。 对主机管理员登录进行双因素认证方式,采用USB key+密码进行身份鉴别
应用身份鉴别:
为提高应用系统系统安全性应用系统需要进行一系列的加固措施,包括: 对登录用户进行身份标识和鉴别,且保证用户名的唯一性。
根据基本要求配置用户名/口令,必须具备一定的复杂度;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。XX医院等级保护安全建设方案
秘密级
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
对于三级系统,要求对用户进行两种或两种以上组合的鉴别技术,因此可采用双因素认证(USB key+密码)或者构建PKI体系,采用CA证书的方式进行身份鉴别。
7.3.2.2 访问控制
三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现:在安全策略控制范围内,使用户对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户;自主访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;自主访问操作应包括对客体的创建、读、写、修改和删除等。强制访问控制实现:在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级。
由此主要控制的是对应用系统的文件、数据库等资源的访问,避免越权非法使用。采用的措施主要包括:
启用访问控制功能:制定严格的访问控制安全策略,根据策略控制用户对应用系统的访问,特别是文件操作、数据库访问等,控制粒度主体为用户级、客体为文件或数据库表级。
权限控制:对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权,避免授权范围过大,并在它们之间形成相互制约的关系。
账号管理:严格限制默认账户的访问权限,重命名默认账户,修改默认口令;及时删除多余的、过期的账户,避免共享账户的存在。
访问控制的实现主要采取两种方式:采用安全操作系统,或对操作系统进行安全增强改造,且使用效果要达到以上要求。XX医院等级保护安全建设方案
秘密级
7.3.2.3 系统安全审计
系统审计包含主机审计和应用审计两个层面: 主机审计:
部署终端安全管理系统,启用主机审计功能,或部署主机审计系统,实现对主机监控、审计和系统管理等功能。
监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。
审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户和数据库用户;内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;保护审计记录,避免受到未预期的删除、修改或覆盖等。同时,根据记录的数据进行统计分析,生成详细的审计报表,系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。
应用审计:
应用层安全审计是对业务应用系统行为的审计,需要与应用系统紧密结合,此审计功能应与应用系统统一开发。
应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。
部署数据库审计系统对用户行为、用户事件及系统状态加以审计,范围覆盖到每个用户,从而把握数据库系统的整体安全。
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开 XX医院等级保护安全建设方案
秘密级
发,且使用效果要达到以上要求。
7.3.2.4 入侵防范
针对入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范,可以从多个角度进行处理: 入侵检测系统可以起到防范针对主机的入侵行为; 部署漏洞扫描进行系统安全性检测;
部署终端安全管理系统,开启补丁分发功能模块及时进行系统补丁升级; 操作系统的安装遵循最小安装的原则,仅安装需要的组件和应用程序,关闭多余服务等;
另外根据系统类型进行其它安全配置的加固处理。
针对网络入侵防范,可通过部署网络入侵检测系统来实现。将网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。
入侵检测系统可以部署在XX医院的核心处以及主要服务器区,这里我们建议在这些区域的交换机上部署入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶意攻击。同时,入侵检测系统还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。
需要说明的是,IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵检测系统作为网络安全体系的第二道防线,对在防火墙系统阻断攻击失败时,可以最大限度地减少相应的损失。因此,IDS应具备更多的检测能力,能够和其他安全产品(边界防火墙、内网安全管理软件等)进行联动。XX医院等级保护安全建设方案
秘密级
7.3.2.5 主机恶意代码防范
各类恶意代码尤其是病毒、木马等是对XX医院的重大危害,病毒在爆发时将使路由器、3层交换机、防火墙等网关设备性能急速下降,并且占用整个网络带宽。
针对病毒的风险,我们建议重点是将病毒消灭或封堵在终端这个源头上。比如,在所有终端主机和服务器上部署网络防病毒系统,加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
在XX医院安全管理安全域中,可以部署防病毒服务器,负责制定和终端主机防病毒策略,在XX医院内网建立全网统一的一级升级服务器,在下级节点建立二级升级服务器,由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库,分发到数据中心节点的各个终端,并下发到各二级服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制,可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时,防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志,为全网的病毒防护管理提供必要的信息。
7.3.2.6 软件容错
软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计,包括:
提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
具备自保护功能,在故障发生时,应用系统应能够自动保存当前所有状态,确保系统能够进行恢复。
7.3.2.7 数据完整性与保密性
目前,XX医院信息系统中传输的信息主要是重要的业务数据和办公文档,对信息完整性校验提出了一定的需求,特别是通过公网远程接入内网传递数据的 XX医院等级保护安全建设方案
秘密级
私密性有很高的要求。而SSL VPN非常适用于远程接入环境,例如:移动办公接入。它和IPSEC VPN适用于不同的应用场景,可配合使用。
SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL与IPSec安全协议一样,也可提供加密和身份验证安全方法,因此安全性上二者无明显差别。
SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种机制在所有的标准Web浏览器上都有,不用额外的软件实现。使用SSL VPN,在移动用户和内部资源之间的连接通过应用层的Web连接实现,而不是像IPSec VPN在网络层开放的“通道”。SSL对移动用户是理想的技术,因为:
SSL无需被加载到终端设备上 SSL无需终端用户配置
SSL无需被限于固定终端,只要有标准浏览器即可使用
产品部署方面,SSL VPN只需单臂旁路方式接入。单臂旁路接入不改变原有网络结构和网路配置,不增加故障点,部署简单灵活,同时提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关,通过身份鉴别,在基于角色的策略控制下实现对医院内部资源的存取访问。远程移动用户只需打开标准IE浏览器,登陆SSL VPN网关,经过用户认证后即可根据分配给该用户的相应策略进行相关业务系统的访问。
7.3.2.8 备份与恢复
备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。
XX医院等级保护安全建设方案
秘密级
数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择,而已成为必然的趋势。
数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能,易于管理,广泛的设备兼容性和较高的可靠性,以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能,其中包括联机备份应用系统和数据文件,先进的设备和介质管理,快速、顺利的灾难恢复以及对光纤通道存储区域网(SAN)的支持等。
本地完全数据备份至少每天一次,且备份介质需要场外存放。
提供能异地数据备份功能,利用通信网络将关键数据定时批量传送至异地备用场地。
对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足不间断系统运行的需要。
7.3.2.9 资源控制
为保证XX医院的应用系统正常的为用户提供服务,必须进行资源控制,否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标,包括:
会话自动结束:当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够及时检测并自动结束会话,释放资源;
会话限制:对应用系统的最大并发会话连接数进行限制,对一个时间段内可能的并发会话连接数进行限制,同时对单个帐户的多重并发会话进行限制,设定相关阈值,保证系统可用性。
登陆条件限制:通过设定终端接入方式、网络地址范围等条件限制终端
XX医院等级保护安全建设方案
秘密级
登录。
超时锁定:根据安全策略设置登录终端的操作超时锁定。
用户可用资源阈值:限制单个用户对系统资源的最大或最小使用限度,保障正常合理的资源占用。
对重要服务器的资源进行监视,包括CPU、硬盘、内存等。 对系统的服务水平降低到预先规定的最小值进行检测和报警。 提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
7.3.2.10 客体安全重用
为实现客体的安全重用,及时清除剩余信息存储空间,应通过对操作系统及数据库系统进行安全加固配置,使得操作系统和数据库系统具备及时清除剩余信息的功能,从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间(内存、硬盘)被及时释放或再分配给其他用户前得到完全清除。
7.3.2.11 抗抵赖
解决系统抗抵赖特性最有效的方法就是采用数字签名技术,通过数字签名及签名验证技术,可以判断数据的发送方是真实存在的用户。数字签名是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性同时,通过对签名的验证,可以判断数据在传输过程中是否被更改。从而,可以实现数据的发送方不能对发送的数据进行抵赖,发送的数据是完整的,实现系统的抗抵赖性和完整性需求。
XX医院等级保护安全建设方案
秘密级
PKI体系具备了完善的数字签名功能。因此部署PKI体系可解决抗抵赖的问题,同时提供身份鉴别和访问控制。
7.3.3 区域边界安全设计 7.3.3.1 边界访问控制
通过对XX医院的边界风险与需求分析,在网络层进行访问控制需部署防火墙产品,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动,为网络创造全面纵深的安全防御体系。
在各安全域边界部署防火墙产品,部署效果如下: 1.网络安全的基础屏障:
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3.对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个
XX医院等级保护安全建设方案
秘密级
网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
5.精确流量管理
通过部署防火墙设备,不仅可以实现精准访问控制与边界隔离防护,还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护,严格控制节点之间的网络数据流。
7.3.3.2 安全隔离网闸
根据XX医院外网的业务需求,数据中心提供对互联网的访问服务。对这些访问行为,需要对数据交换、传输协议、传输内容、安全决策等进行严格的检查,以防止有互联网引入风险。数据中心内部划分了专门的互联网服务器安全域,将对外提供服务的Web服务器等部署在防火墙的DMZ区,负责接收和处理来自互联网的业务访问请求。防火墙进行严格的访问控制的设定,确保访问身份的合法性。
但是,防火墙无法高度保证传输内容、协议、数据的安全性。同时,需要对互联网业务服务器对数据中心内网数据库的访问进行严格的管理控制,不允许互联网用户访问到互联网业务服务器的数据库。
可以通过在互联网服务器安全域与数据中心内网的安全边界上,在互联网服务器安全域中的业务服务器与单个部门服务器安全域中的业务数据库之间部署
XX医院等级保护安全建设方案
秘密级
安全隔离网闸,对各部门的数据库实现按需数据同步。用户可以通过互联网访问到互联网服务器区中的指定业务前置服务器中,互联网服务器区的业务前置服务器负责接收用户的业务访问请求,并通过安全隔离网闸访问内网某个部门前置受理服务器,在内部安全域实现内网前置处理服务器对相应数据库完成业务处理,并将业务处理结果,按照用户部门的不同,存储在单个部门服务器安全域中、访问用户所在的部门的数据库中,完成用户通过互联网对自己部门业务服务器的访问。
通过这种方式,可以为访问提供更高的安全性保障。安全隔离网闸两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
7.3.3.3 流量控制
XX医院数据中心提供面向互联网的服务,包括门户网站、互联网数据收集服务等,这些服务集中在互联网服务区安全域中。对于服务的访问流量,是我们需要保护的流量。但是,往往有一些“异常”的流量,通过部分或完全占据网络资源,使得正常的业务访问延迟或中断。可能发生在互联网服务区安全边界的异常流量,根据产生原因的不同,大致可以分为两类:攻击流量、病毒流量。
攻击流量:是以拒绝服务式攻击(DDOS)为代表,他们主要来自于互联网,攻击的目标是互联网服务区安全域中的服务系统。
病毒流量:病毒流量可能源自数据中心内部或互联网,主要是由蠕虫病毒所引发,一旦内部主机感染病毒,病毒会自动的在网络中寻找漏洞主机并感染。互联网中的大量蠕虫病毒,也可能通过安全边界,进入到数据中心网络中来。
通过在互联网服务区安全边界最外侧部署流量管理系统,可以实时的发现并
XX医院等级保护安全建设方案
秘密级
阻断异常流量,为正常的互联网访问请求提供高可靠环境。流量控制系统部署在互联网服务区安全边界最外层,直接面向互联网,阻断来自互联网的攻击,阻断病毒的自动探测和传播。
流量控制系统必须具备智能的流量分析能力、特征识别能力,具备大流量入侵时足够的性能处理能力,可以为XX医院网络系统实现:
全面识别网络应用流量
使用协议检测、协议解码、特征签名、行为检测四种技术精确识别网络上的每个应用并对其进行分类管理。可以识别13大类、1100种以上网络应用,与应用使用的端口、协议或是否采用加密以及隐蔽机制无关。
全面识别网络攻击流量
精确识别7大类、1600种以上高风险网络攻击流量,包括DDoS/DoS、缓存区溢出、扫描、木马后门、蠕虫病毒、Web攻击等。
全面控制网络应用流量
采用精确流量控制技术,实现带宽限制、保证带宽、带宽借用、应用优先级等一系列带宽管理功能,防止不正常应用对网络带宽资源的过度消耗,保证关键应用带宽,限制非关键应用带宽,改善和保障整体网络应用的服务质量。
全面清洗网络攻击流量
能够实时阻挡网络扫描、蠕虫病毒、木马后门、DDoS/ DoS、Web攻击等攻击流量,给用户专业级流量净化设备的效果。如果不能够将占用或消耗网络带宽的攻击流量或者给应用流量带来巨大安全威胁的恶意流量清洗掉,关键应用流量的管理就得不到有效的保障。在有多条广域网链路存在的情况下,可以对每条广域网链路设置不同的流量净化策略。
全面管理网络应用行为
在应用行为管理上,可以根据不同的时间、用户群组来对IM、P2P、网络游戏、股票证券、非法隧道等下达严格的管理策略,杜绝对不良网站和危险资源的37 XX医院等级保护安全建设方案
秘密级
访问,防止对Internet资源的滥用,避免医院敏感信息的泄漏。
全面的流量监控与报表
具有强大的流量实时监控与报表分析能力。不同策略下网络应用流量的监控与分析报表包括应用流量分布、内部主机流量分布、外部主机流量分布、带宽负载分布、连接数分布、数据包大小分布、QoS流量分布等等。网络攻击流量的监控报表包括每一次异常流量攻击的发生时间、严重程度、处理方式、攻击种类、源IP、目的IP、源端口、目的端口、协议等;对网络攻击流量的分析报表包括来源、目的、种类、威胁程度等的详细分析。
7.3.3.4 边界完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是非法外联控制,探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
终端非法外联行为监控
可以发现终端试图访问非授信网络资源的行为,如试图与没有通过系统授权许可的终端进行通信,自行试图通过拨号连接互联网等行为。对于发现的非法外联行为,可以记录日志并产生报警信息。
终端非法外联行为管理
可以禁止终端与没有通过系统授权许可的终端进行通信,禁止拨号上网行为。
XX医院等级保护安全建设方案
秘密级
7.3.3.5 边界入侵防御
在各区域边界,防火墙起到了协议过滤的主要作用,根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为,防火墙并不擅长处理应用层数据。
在XX医院网络边界和主要服务器区安全域均已经设计部署了防火墙,对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析,需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合,共同防御来自应用层到网络层的多种攻击类型,建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵防护系统(IPS)就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。
IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。
将IPS串接在防火墙后面,核心服务器区的前面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。
由于IPS对访问进行深度的检测,因此,IPS产品需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。
7.3.3.6 边界安全审计(上网行为管理)
各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能
XX医院等级保护安全建设方案
秘密级
模块,根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。
7.3.3.7 网页防篡改
在XX医院外网数据中心的互联网服务器区对外提供Web服务,Web应用的普及使得XX医院外网信息系统中存在的Web服务器很容易成为黑客的攻击目标。需要专业的主页防篡改工具有效阻止主页篡改事件的发生,维护Web页面的安全。
在XX医院办公外网的互联网服务器区中的每个web服务器配置一套主页防篡改系统,全面监测WEB服务器的页面是否正常。对于突破网站防火墙的篡改行为,进行实时监控,确保网站信息安全。一旦发现网站信息被篡改之后,立刻通知监控中心并迅速恢复正常的网页文件。724不间断地保护网站,任何恶意篡改痕迹将被实时保留,并主动和及时通知管理人员,做到防范于未然。
XX医院外网互联网服务器区Web部署的主页防篡改系统可以保障主要的WEB页面信息的安全和准确性。全面的监测和保障XX医院外网Web服务的安全。防止黑客对网页进行恶意篡改。通过网络扫描网站的网页,监测网页是否被修改,当发现网页被修改后,系统能够自动报警和恢复。
7.3.3.8 边界恶意代码防范(防毒墙)
一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案,以抵御来自黑客和病毒的威胁。
在XX医院办公外网边界部署防病毒网关,采用透明接入方式,在最接近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过滤,可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散,将经网络传播的病毒阻挡在外,可以有效防止病毒从其他区域传播到内部其他安全域
XX医院等级保护安全建设方案
秘密级
中。通过部署AV防病毒网关(防毒墙),截断了病毒通过网络传播的途径,净化了网络流量。
部署的防病毒网关应特别注意设备性能,产品必须具备良好的体系架构保证性能,能够灵活的进行网络部署。同时为使得达到最佳防毒效果,AV防病毒网关设备和桌面防病毒软件应为不同的厂家产品,两类病毒防护产品共同组成XX医院的立体病毒防护体系。
为能达到最好的防护效果,病毒库的及时升级至最新版本至关重要。对于能够与互联网实现连接的网络,应对自动升级进行准确配置;对与不能与互联网进行连接的网络环境,需采取手动下载升级包的方式进行手动升级。
7.3.4 通信网络安全设计 7.3.4.1 网络结构安全
网络结构的安全是网络安全的前提和基础,对于XX医院,选用主要网络设备时需要考虑业务处理能力的高峰数据流量,要考虑冗余空间满足业务高峰期需要;网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要;按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机;合理规划路由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。
7.3.4.2 网络安全审计
网络安全审计系统主要用于监视并记录网络中的各类操作,侦察系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。
在XX医院交换机处并接部署网络行为监控与审计系统,形成对全网网络数
XX医院等级保护安全建设方案
秘密级
据的流量监测并进行相应安全审计,同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。
网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。
网络行为监控和审计系统采用旁路技术,不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。
7.3.4.3 网络设备防护
为提高网络设备的自身安全性,保障各种网络应用的正常运行,对网络设备需要进行一系列的加固措施,包括:
对登录网络设备的用户进行身份鉴别,用户名必须唯一; 对网络设备的管理员登录地址进行限制;
身份鉴别信息具有不易被冒用的特点,口令设置需3种以上字符、长度不少于8位,并定期更换;
具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
启用SSH等管理方式,加密管理数据,防止被网络窃听。
对于鉴别手段,三级要求采用两种或两种以上组合的鉴别技术,因此需采用USBkey+密码进行身份鉴别,保证对网络设备进行管理维护的合法性。
XX医院等级保护安全建设方案
秘密级
7.3.4.4 通信完整性
信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。
对于信息传输的完整性校验应由传输加密系统完成。部署SSL VPN系统保证远程数据传输的数据完整性。对于信息存储的完整性校验应由应用系统和数据库系统完成。
7.3.4.5 通信保密性
应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;并对通信过程中的敏感信息字段进行加密。
对于信息传输的通信保密性应由传输加密系统完成。部署SSL VPN系统保证远程数据传输的数据机密性。
7.3.4.6 网络可信接入
为保证网络边界的完整性,不仅需要进行非法外联行为,同时对非法接入进行监控与阻断,形成网络可信接入,共同维护边界完整性。通过部署终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是网络准入控制,启用网络阻断方式包括ARP干扰、802.1x协议联动等。
监测内部网中发生的外来主机非法接入、篡改 IP 地址、盗用 IP 地址等不法行为,由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接入主机的合法性,及时阻止 IP 地址的篡改和盗用行为。共同保证XX医院的边界完整性。具体如下:
在线主机监测
XX医院等级保护安全建设方案
秘密级
可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主机是否是经过系统授权认证的信任主机。
主机授权认证
可以通过在线主机是否安装客户端代理程序,并结合客户端代理报告的主机补丁安装情况,防病毒程序安装和工作情况等信息,进行网络的授权认证,只允许通过授权认证的主机使用网络资源。
非法主机网络阻断
对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络攻击或者试图窃密。
网络白名单策略管理
可生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安全策略,来过滤合法主机列表,快速实现合法主机列表的生成。同时允许管理员设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用权限,并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。
IP和MAC绑定管理
可以将终端的IP和MAC地址绑定,禁止用户修改自身的IP和MAC地址,并在用户试图更改IP和MAC地址时,产生相应的报警信息。
7.3.5 安全管理中心设计
由于XX医院覆盖面广,用户众多,技术人员水平不一。为了能准确了解系统的运行状态、设备的运行情况,统一部署安全策略,应进行安全管理中心的设计,根据要求,应在系统管理、审计管理和安全管理几个大方面进行建设。
在安全管理安全域中建立安全管理中心,是有效帮助管理人员实施好安全措施的重要保障,是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设,真正实现安全技术层面和管理层面的结合,全面提升用户网络的信息安全保
XX医院等级保护安全建设方案
秘密级
障能力。
7.3.5.1 系统管理
通过系统管理员对系统的资源和运行进行配置、控制和管理,包括: 用户身份管理:统一管理系统用户身份,按照业务上分工的不同,合理地把相关人员划分为不同的类别或者组,以及不同的角色对模块的访问权限。权限设置可按角色划分,角色分为普通用户、系统管理员、安全管理员、审计管理员等。
系统资源配置与监控:进行系统资源配置管理与监控,包括CPU负载、磁盘使用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情况等,通过配置采样时间,定时检测。
系统加载和启动:进行系统启动初始化管理,保障系统的正常加载和启动。
系统运行的异常监控:系统资源和设备受到攻击,或运行异常时,会以告警等信息方式,通知管理员。安全管理平台可提供多种自动处理机制,协助用户监控最新告警,全方位掌控网络异常和攻击。
数据备份与恢复:数据的定期备份与恢复管理,识别需要定期备份的重要业务信息、系统数据及软件系统,规定备份信息的备份方式、备份频度、存储介质、保存期等;根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,定期执行备份与恢复策略。 恶意代码防范管理:建立恶意代码管理中心,进行防恶意代码软件的统一管理,并根据情况建立二级管理中心。恶意代码管理中心实现:杀毒策略统一集中配置;自动并强制进行恶意代码库升级;定制统一客户端策略并强制执行;进行集中病毒报警等。
系统补丁管理:集中进行补丁管理,定期统一进行系统补丁安装。注意应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系
XX医院等级保护安全建设方案
秘密级
统补丁程序的安装。
系统管理员身份认证与审计:对系统管理员进行严格的身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
7.3.5.2 审计管理
通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括:根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对安全审计员进行严格的身份鉴别,并只允许其通过特定的命令或界面进行安全审计操作。
具体集中审计内容包括: 日志监视
实时监视接收到的事件的状况,如最近日志列表、系统风险状况等;监控事件状况的同时也可以监控设备运行参数,以配合确定设备及网络的状态;日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。
日志管理
日志管理实现对多种日志格式的统一管理。通过SNMP、SYSLOG或者其它的日志接口采集管理对象的日志信息,转换为统一的日志格式,再统一管理、分析、报警;自动完成日志数据的格式解析和分类;提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。日志管理支持分布式日志级联管理,下级管理中心的日志数据可以发送到上级管理中心进行集中管理
审计分析
集中审计可综合各种安全设备的安全事件,以统一的审计结果向用户提供可定制的报表,全面反映网络安全总体状况,重点突出,简单易懂。
系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行统计分析并生成分析报表;支持按照设备运行状况、设备管理操作对安
XX医院等级保护安全建设方案
秘密级
全设备管理信息统计分析;支持基于多种条件的统计分析,包括:对访问流量、入侵攻击、邮件过滤日志、源地址、用户对网络访问控制日志等。对于入侵攻击日志,可按照入侵攻击事件、源地址、被攻击主机进行统计分析,生成各类趋势分析图表。
系统可以生成多种形式的审计报表,报表支持表格和多种图形表现形式;用户可以通过IE浏览器访问,导出审计结果。可设定定时生成日志统计报表,并自动保存以备审阅或自动通过邮件发送给指定收件人,实现对安全审计的流程化处理。
7.3.5.3 网络运维及应用监控管理系统
XX医院作为医疗信息化的服务提供者,面对日益增长的业务需求,对网络和系统的稳定性、可靠性、服务质量的要求很高。大量软硬件的投入和增加,也导致了XX医院运维管理难度的增大和系统管理人员的工作压力越来越大。
此外,XX医院业务系统运维还需要对应用系统的整体运行状况进行有效监控,需要及时发现潜在的问题,这对网络管理工程师又是一个很大的挑战。网管工程师过去经常是在故障发生后,才能去进行处理,工作处于被动状态。有时即使发现了故障,也要花费很长时间去寻找和诊断故障,极大地影响了工作效率。由于没有直观的网络拓扑功能,应用系统的监测和管理显得非常繁琐。如何对各种应用系统进行有效的监测管理,不断提高各种应用的服务质量,是XX医院网管项目系统管理人员急需解决的问题。
为了保障XX医院的业务系统正常运转,提高服务和维护水平,特别是要管理分布式的网络、系统环境,有必要使用一套全面的网络运维管理系统,制定相应的管理策略和制度,实现集中统一管理,并实现:
监测管理自动化,故障处理变被动为主动,主动发现系统问题,在最短的时间内实现故障报警,管理人员可以快速采取解决措施。
完善的性能分析报告,更能帮助系统管理人员及时预测、发现性能瓶颈,提高系统的整体性能。
帮助管理者制定并执行良好的实施、管理和分析策略,使XX医院医院
XX医院等级保护安全建设方案
秘密级
系统运维管理水平上升到新的高度。
7.3.6 不同等级系统互联互通
在明确等级划分之后,不同等级的系统间面临着互联互通的问题,系统间需要进行数据交换。《电子政务信息安全等级保护实施指南》指出,不同安全等级的电子政务系统之间可以根据业务需要进行互联互通。
不同安全等级的系统互联互通,应遵循以下原则:
不同等级安全域互联后各级系统须能够满足本级各项基本技术要求,高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,不能因为互联而无法达到相应的基本要求,破坏本等级的安全边界。 互联手段中重点是互联边界应采取相应的边界保护、访问控制等安全措施,防止高等级系统的安全受低等级系统的影响。边界产品可有针对性的选择安全隔离网闸、防火墙、入侵防护等边界安全设备。
根据系统业务要求和安全保护要求,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等,严格控制数据在不同等级之间的流动。安全管理体系设计
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计:
安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效
XX医院等级保护安全建设方案
秘密级
版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责; 设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度; 建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。 人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更
XX医院等级保护安全建设方案
秘密级
管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。安全运维服务设计
XX公司提出的等级保护建设流程中,在进行安全保障体系设计以及安全建设之后将会进入到周期性的安全运维阶段,来保证和巩固等级保护建设的成果。
根据建立的信息安全管理运维体系对客户的信息安全系统进行实时的维护管理,针对XX医院信息系统安全软、硬件提供全面的安全运维服务。针对于整个系统相关范围的不同安全等级及实际应用,所需要的安全运维服务模块如下:
安全扫描
人工检查 安全加固
日志分析 补丁管理
安全监控 安全通告
应急响应
以下章节是相关内容的具体描述。
9.1 安全扫描
安全专家通过按照计算机信息系统安全的国家标准、相关行业标准设计、编写、制造的安全扫描工具,分析并指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
安全扫描目的是提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为网络系统管理员提供实时安全建议。安全扫描作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决方案。
安全扫描是一种快速有效的安全评估手段,可以发觉系统可能存在的部分安全问题,XX公司根据目前安全行业漏洞发掘情况,对扫描系统漏洞库不断进行更新。使在扫描过程中,可以发现系统更多的安全问题。
第二篇:等级保护三级承诺书
承诺书
中国交通通信信息中心:
根据〘关于认真贯彻〖道路运输车辆卫星定位系统平台技术要求〗和〖道路运输车辆卫星定位系统车载终端技术要求〗两项标准的通知〙(交运发〔2011〕158号)、〘关于进一步开展交通运输行业信息安全等级保护工作的通知〙(厅科技字〔2012〕120号)以及〘道路运输车辆卫星定位系统平台和道路运输车辆卫星定位系统车载终端标准符合性审查办法(试行)〙(中交通信字〔2011〕75号)的规定,我公司承诺于2013年12月31日前,按照交通运输部关于行业信息安全等级保护工作的要求提交XXXX(平台名称)的信息系统安全等级保护三级备案证明和测评报告。如未按期完成,愿意接受从符合性审查公告目录中删除的处理。
二〇一二年 月 日
第三篇:天津中医药大学第二附属医院等级评审资料
天津中医药大学第二附属医院管理制度
医疗技术临床应用管理制度
第一章总则
第一条 为加强医疗技术管理,促进卫生科技进步,提高医疗服务质量,保障人民身体健康,根据《医疗技术临床应用管理办法》《医疗机构管理条例》等国家有关法律法规,结合我院实际情况,制定本制度。
第二条 本办法所称医疗技术,是指医疗机构及其医务人员以诊断和治疗疾病为目的,对疾病作出判断和消除疾病、缓解病情、减轻痛苦、改善功能、延长生命、帮助患者恢复健康而采取的诊断、治疗措施。
第三条 医疗技术临床应用应当遵循科学、安全、规范、有效、经济、符合伦理的原则
第四条 医院鼓励研究、开发和应用新的医疗技术,鼓励引进国内外先进医疗技术;禁止使用已明显落后或不再适用、需要淘汰或技术性、安全性、有效性
第五条 凡引进本院尚未开展的新技术、新项目,均应严格遵守本制度。
第二章 医疗技术分类分级管理
第六条 医院建立医疗技术临床应用准入和管理制度,对医疗技术实行分类、分级管理。
第页
天津中医药大学第二附属医院管理制度
第七条 新医疗技术分为以下三类:
第一类技术,即一般诊疗技术,指除国家或省卫生行政部门规定限制度使用外的常用诊疗项目,具体是指在国内已开展且基本成熟或完全成熟的医疗技术。
第二类技术,即限制使用技术(高难、高新技术),指需要在限定范围和具备一定条件方可使用的技术难度大、技术要求高的医疗技术。
第三类技术,即探索使用技术,指医疗机构引进或自主开发的在国内尚未使用的新技术。包括以下三类:
(一)涉及重大伦理问题,安全性、有效性尚需经规范的临床试验研究进一步验证的医疗技术:
1、克隆治疗技术
2、自体干细胞和免疫细胞治疗技术
3、基因治疗技术
4、中枢神经系统手术戒毒
5、立体定向手术治疗精神病技术
6、异基因干细胞移植技术
7、瘤苗治疗技术等。
(二)涉及重大伦理问题,安全性、有效性确切的医疗技术:
1、同种器官移植技术
2、变性手术等。
第页
天津中医药大学第二附属医院管理制度
(三)风险性高,安全性、有效性尚需验证或者安全性、有效性确切的医疗技术:
1、利用粒子发生装置等大型仪器设备实施毁损式治疗技术,2、放射性粒子植入治疗技术
3、肿瘤热疗治疗技术
4、肿瘤冷冻治疗技术
5、组织、细胞移植技术
6、人工心脏植入技术
7、人工智能辅助诊断治疗技术等
(四)其他需要特殊管理的医疗技术:
1、基因芯片诊断和治疗技术
2、断骨增高手术治疗技术
3、异种器官移植技术等
第三章 医疗技术临床应用管理
第八条 医院对第一类医疗技术临床应用根据功能、任务、技术能力实施严格管理。医务部负责医疗技术临床应用管理工作,此类技术如果尚没有在院内开展,需向医院正式提出申请,履行新技术新项目准入程序,经医院专家认定,报市卫生局批准后方可使用。具体申报、审批、管理流程参照我院《新技术新项目准入流程》。
第九条 第二类医疗技术和第三类医疗技术临床应用前实行第三方技术审核制度。
第页
天津中医药大学第二附属医院管理制度
天津市卫生局指定或者组建的技术审核机构负责第二类医疗技术临床应用能力技术审核工作。
卫生部指定或者组建的机构、组织(以下简称技术审核机构)负责第三类医疗技术临床应用能力技术审核工作。
第十条 第二类医疗技术需向天津市卫生局申报,经指定的技术审核机构认定后,天津市卫生局准予诊疗科目项下医疗技术登记的,方可开展临床应用。
第十一条 第三类医疗技术需要向天津市卫生局申报,并经卫生部指定的技术审核机构认定后,天津市卫生局准予诊疗科目项下医疗技术登记的,方可开展临床应用。
天津中医药大学第二附属医院
2009年5月10日
第页
第四篇:三级医院等级评审实施方案
三级医院等级评审工作实施方案
为促进医院加强内涵建设,保证医疗安全,持续改进服务质量,提高医院管理水平和服务效率,切实促进我院的发展,根据卫生部《医院评审暂行办法》(卫医管发[2011]75号)、《三级综合医院评审标准实施细则(2011年版)》的要求,以及2012年湖南省卫生工作会议精神,结合我院的实际情况,力争在第二周期三级综合性医院等级评审中确保“三甲”医院等级。为此,特制订医院三级医院等级评审迎评工作实施方案。
一、指导思想
坚持以评促建、以评促改、评建并举、重在内涵的方针,围绕质量、安全、服务、管理、绩效,体现以病人为中心。严格按照卫生部《医院评审暂行办法》(卫医管发[2011]75号)、《三级综合医院评审标准实施细则(2011年版)》的要求, 从细、从实、从严加强管理,提高工作质量,增强服务功能,推进学科建设,构建和谐医院,促进医院全面、协调、可持续发展,全面达到三级甲等医院目标。
二、目标要求
通过建立以院长挂帅的迎评机构及体系,全员发动,以卫生部及湖南省卫生厅“三级综合医院评审标准”为依据,认真学习,扎实培训,对照标准自查与整改,逐条达标,确保公立医院的公益性,保证患者安全,使患者享受优质高效价廉的医疗护理,实现医院管理科学化、规范化、标准化,建立有效的医院管理持续改进体系。
三、领导机构与工作体系
为更好地组织、领导和指挥三级综合医院评审准备活动,保障迎评工作严密有序进行,医院建立“三级医院等级评审”领导机构与工作体系:
(一)领导小组 组 长: 副组长: 成 员:
(二)办公室
设立三级医院等级评审专门办公室,该办工作人员全脱产开展工
作,各成员在领导小组的统一领导下,密切配合,积极参与,各司其职,确保人员到位,责任到位,工作到位。
主 任: 副主任: 成 员: 秘 书:
(三)评审办职责
1、负责制定迎评工作实施方案和具体工作计划,解读《三级综合医院评审标准》和《三级综合医院评审标准实施细则》指标内涵,明确和细化迎评工作内容和目标任务,以及全院各项迎评任务的安排工作;
2、为院领导小组决策提供信息服务以及迎评需要的对外联络工作;
3、负责组织、推动评审工作按计划、分步骤进行;
4、负责组织关于迎评工作全院性的学习、培训和考试工作;
5、组织召开迎评领导工作小组会议;
6、组织部门及科室迎评工作的督查活动,并及时提出反馈及整改建义;
7、督促各单位(部门)各项迎评工作的落实;
8、定期向评审工作领导小组汇报迎评工作的进展情况,并就特殊性问题提交讨论;
9、负责迎评资料的收集、整理、汇编、建档工作;
10、完成迎评领导小组交办的有关工作;
11、负责专家评审工作的陪检人员安排。
(四)医院评审督查专家组 组 长: 副组长: 成 员: 秘 书:
四、实施步骤
(一)准备阶段
迎评工作分为宣传动员、自查整改、整改提高、督查促进、持续
改进、再次自查、继续改进、再次督查、总结完善、申报评审十个阶段实施。
第一阶段(4月份):宣传动员,提高认识。
高度重视三级甲等医院创建活动,做好宣传动员,提高认识,组织全院职工认真学习等级医院评审标准,提高对创建活动重要性的认识,掌握等级医院评审标准的主要内容、方法和要求。评审办根据《三级综合医院评审标准实施细则(2011年版)》的要求和我院实际情况,分解任务,落实到科室部门和责任人。
第二阶段(5月1日—5月30日):自查整改。
根据评审办分解的任务,各科室部门和责任人落实各项内容,对照评审标准,查缺补漏,健全各项制度,完善医疗规范,强化三基三严,充实技术项目。评审办组织医院评审督查专家组考核检查,形成书面报告上报领导小组,提出整改意见,针对普遍问题、薄弱环节,重点突破。向全院反馈检查结果。
第三阶段(6月1日—6月15日):整改提高。
各科室部门根据检查检查反馈结果,找出工作中存在的不足,根据评审办的整改意见,提出本科室部门具体的整改措施加以整改。重点是项目内容空缺部分,一定要在本阶段制定计划、逐一落实解决。
第四阶段(6月16日—6月31日):督查促进。
邀请省卫生厅医政处相关领导及专家来我院指导、督查,促进各项评审准备工作的全面改善和提高。评审办根据省卫生厅专家组检查结果,形成书面报告上报领导小组,提出进一步整改意见,针对核心要素的实际情况,重点整改。向全院反馈检查结果。
第五阶段(7月1日—7月15日):持续改进。
各科室部门根据卫生厅专家检查反馈检查结果和整改意见,进一步找出工作中存在的不足,提出本科室部门具体的整改措施加以整改。重点是核心要素的落实。
第六阶段(7月16日—7月30日):再次自查。
评审办再次组织医院评审督查专家组考核检查,形成书面报告上报领导小组,重点是查缺补漏。向全院反馈检查结果。
第七阶段(8月1日—8月15日):继续改进。
各科室部门根据医院评审督查专家组检查反馈检查结果和整改
意见,进一步找出工作中存在的不足,提出本科室部门具体的整改措施加以整改。重点是核心要素的落实。
第八阶段(9月16日—9月31日):再次督查。
再次邀请省卫生厅医政处相关领导及专家来我院指导、督查,促进各项评审准备工作的全面改善和提高。评审办根据省卫生厅专家组检查结果,形成书面报告上报领导小组,提出进一步整改意见,针对A类指标的实际情况,重点整改。向全院反馈检查结果。
第九阶段(10月1日—11月31日):总结完善。
各科室部门根据卫生厅专家再次检查反馈检查结果和整改意见,进一步找出工作中存在的不足,提出本科室部门具体的整改措施加以整改。重点是持续不断改进。
第十阶段(12月1日—12月30日):申报评审。
评审办根据卫生部《医院评审暂行办法》,准备评审申请材料上报领导小组审查,审查通过后上报卫生厅医政处。
四、工作方法
1.全面自查:各职能部门及科室,根据本部门、科室的工作情况,按照评审标准的要求,逐条对照检查,对没有做到位的工作及时完善,对自己确实难以完成、需要医院支持的以书面形式报评审办,由评审办与医院领导协调解决。各职能部门及科室工作要衔接,各种资料要相互对应。
2.医院评审督查专家组检查:评审办定期组织医院评审督查专家组进行检查,对存在的普遍问题、薄弱环节,重点突破。
3.邀请卫生厅专家督查:邀请省卫生厅医政处领导以及省评审专家进行指导和督查。
4.持续改进:各科室部门要根据每次检查、督查的结果提出具体的整改措施,并认真落实整改。
5.所有评审过程的自查、检查、整改都要保留原始记录。
六、具体措施
(一)针对薄弱环节重点突破。以学习、创建、建立、实践、完善、提高为主线,以质量、安全、服务为主题。
1、学习和掌握三级综合医院评审标准:自学和组织集中学习两种方式,医院和科室或部门两个层次,管理人员和非管理人员两种要
求。
2、学习管理知识:全院职工统一思想,把握评审标准的主题和内涵,以管理人员为主体,结合自身岗位,刻苦钻研和学习管理知识。
3、学习业务知识:加强医务人员基本理论、基本知识、基本技能的培训、学习和考核,夯实医务人员自身素质,以高于三级甲等医院要求的业务能力迎接等级医院的评审。
4、建立院科两级的质量安全管理体系:各科室及部门,总结和组织学习本专业或部门的标准及管理规范,建立各专业或部门的质量安全管理规范,按照本专业或部门的标准和要求建立院科两级管理组织,通过实践、督查、改正即“PDCA”循环,不断丰富和完善质量安全管理体系。
5、分析和总结普遍性、薄弱性、重点性、关键性问题(如临床技能、病历书写等),成立机构或指派专人按时间和要求完成任务。
(二)实行责任追究制度,严格有关评审工作组织、管理、实施奖惩办法(具体措施另行制定)。
七、工作要求
(一)统一认识,明确目标。
医院各科室要进一步提高对三级综合性医院等级评审重要性的认识,要克服松懈情绪,以评审三级甲等医院为抓手,全面提高医院服务的能力和水平。
(二)加强领导,完善措施。
部门及科室负责人为执行的第一责任人,开展动员组织部署,调动部门及科室医务人员的积极性,制定完善措施和制度,确保评审工作顺利进行。
(三)突出重点,持续改进。
针对医院管理中的薄弱环节做好整改工作,改进思维模式和管理习惯,坚持“以人为本”、“以病人为中心”,走以内涵建设为主、内涵与外延相结合的发展道路,持之以恒地予以推动。
二○一二年八月六日
第五篇:三级医院等级评审---医院党务工作制度
党委会工作制度
1、坚持集体领导和个人分工相结合的原则,委员要充分发表自己的意见。对重大问题要在充分酝酿讨论的基础上通过表决形成决议。当意见分歧双方人数相当时,可再次复议或报请上级党委决定。
2、党委会要认真贯彻党的路线、方针、政策,研究落实上级党委文件精神;对办院方向,精神文明建设和行业作风建设,思想政治工作,统战及群团组织建设,干部任免、调动和奖惩,重要财务支出,大型设备购置,规模较大的基建维修项目论证,群众福利等重大问题;以及上级领导机关规定应由党委负责的问题进行讨论。
3、党委成员要不断加强思想、组织和作风建设,坚持密切联系群众,多为群众办实事,办好事,坚持深入调查研究,及时发现并解决问题,提高工作效率。
4、研究讨论纪委提请党委研究或决定的重要问题。
5、召开党委会必须有半数以上委员参加,委员之间要经常互通有无,交流信息,及时掌握全院各项工作进展情况。
6、党委对医院行政业务工作实行保证监督,属于行政业务具体问题由院务会讨论、院长决策。
纪检委工作制度
1、维护党的章程,检查医院对党的路线、方针、政策和决议的贯彻落实情况。
2、协助党委研究和解决医院党风方面存在的问题,每半年对全院进行一次检查,年末进行一次大检查,并向院党委和卫生局纪检委汇报。
3、协助院党委搞好党政班子廉政建设,做好对同级班子和党员的监督工作。
4、协助院党委采取多种形式对党员的党性、党风、党纪教育,还要经常了解党员遵纪守法情况。
5、在认真搞好民主评议党员的基础上,并要妥善处置不合格党员,每年进行一次。
6、认真管理党员的控告申诉,以及群众对党员的检举控告,并要搞好党员违纪案件的处理。
7、经常深入基层,密切联系群众,调查研究,不断提高政策水平和解决问题的能力。
党委办公室工作制度
1、认真贯彻落实党的路线、方针、政策,组织全院职工进行政治理论学习,不断提高思想政治素质。
2、负责完成党委的工作计划、总结,组织起草党委各种文件及科室月工作要点,做好会议记录。
3、加强和改善党的思想政治工作,制定思想政治工作计划,检查监督计划的实施,不断研究探索思想政治工作的规律、特点和方法,总结思想政治工作经验。
4、抓好党的思想建设、组织建设和作风建设,充分发挥党支部的战斗堡垒和党员的先锋模范作用。在组织发展中,本着“成熟一个发展一个”的原则,坚持发展党员公示制和责任追究制,严格党员标准,保证质量,并搞好积极分子培养考核。
5、负责抓好宣传报道、来信来访、普法学习及统战工作。6、抓好支部书记的自身建设工作,每月定期召开支部书记月例会。7、定期召开科室会议,传达医院精神,研究布置总结科室工作。8、围绕党委中心工作,搞好调查研究,为领导决策提供参考意见。9、及时完成党委及上级部门安排的各项工作。
院级党员领导干部参加双重组织生活制度
1、每位院级党员领导干部除按时参加党组学习、民主生活会外,都要参加所在党支部、党小组的组织生活,自觉接受党组织和党员的监督,因工作忙不能参加者事先请假,事后补课。
2、在党委、党支部、党小组生活会上,每个院级党员领导干部都要以普通党员身份,主动向各级党组织和党员汇报自己的思想和工作情况。
3、坚持领导班子半年一次民主生活会制度,交流思想,沟通感情,理顺关系,增进团结,提高班子凝聚力和战斗力。每次生活会要抓住一两个突出问题进行整改。
院党委民主生活会制度
为了加强党的组织制度建设,健全党内民主,加强党内监督,发挥党组织的战斗堡垒作用,根据有关规定,制定本制度。
1、民主生活会的主要内容:
民主生活会主要是围绕贯彻执行党的路线、方针、政策和决议的情况;加强领导班子自身建设,实行民主集中制的情况;艰苦奋斗,清正廉洁,遵纪守法的情况;坚持群众路线,改进领导作风,深入调查研究,密切联系群众的情况及其他重要问题,结合领导班子成员的自身情况,进行检查、总结,统一认识,开展批评与自我批评。
2、参加民主生活会人员
院党委(支部)委员。根据会议内容和实际需要,可适当确定列席人员。
3、召开会议的要求:
民主生活会每半年进行一次,原则上要在规定的时间内自行安排时间进行。如因特殊原因不能按时召开的,要及时向上级党委说明情况,并及时进行补开。
4、民主生活会要把握以下环节: 1)做好会前准备工作。
民主生活会召开前,党组织主要领导应确定开会时间和主要议题,并提前将会议议题上报上级党委,待同意后,再把会议时间和议题通知参加会议的每个成员,并要求认真准备发言提纲。对因工不能参加会议的要交书面发言材料。
党组织在会前,应采取多种形式,广泛听取党内外群众意见,并将意见整理归纳后在生活会上予以通报,并提出整改措施,给群众答复。班子成员之间要开展谈心活动,沟通思想,做好引导工作,防止矛盾激化。
2)参加会议的成员应本着团结——批评——团结的方针,围绕会议主题,开展批评与自我批评,要实事求是地指出各自的缺点和不足,分清是非,提高认识,严以律己,宽以待人。党政主要领导同志,要增强民主意识,带头开展批评与自我批评,依靠班子自身的力量解决班子成员内部的矛盾和问题。列席人员可以对领导班子及其成员提出意见和建议。
3)要针对生活会上检查的问题,制定整改措施,在适应的范围内向干部和群众通报,接受群众监督。
4)民主生活会的检查与考核
上级党员领导干部要按分工和纪委、党委部门的同志,在必要时应参加基层党组织民主生活会。纪委、党委部门要每年检查、调阅一次基层民主生活会记录,对基层班子召开民主生活会情况予以通报。
院领导班子联系群众制度
1、每个班子成员要努力发扬党的实事求是、密切联系群众的优良传统,转变作风,深入基层,树立领导就是服务的思想。
2、坚持医疗和行政查房制度,把问题解决在基层,为一线服好务。
3、坚持每周一院长接待日制度,接待患者和职工的来访,认真听取群众意见,做好群众的思想工作。
4、定期调研,分析党员和职工群众的思想动态,研究解决新问题、新情况,把联系群众情况做为考核评价领导班子的重要内容。
5、关心群众生活,积极主动为职工群众解决一些实际问题和生活上的困难。
院领导班子学习制度
1、院领导班子成员要加强学习,坚持自学与集中学相结合,不断拓宽知识面,提高政治、业务水平和决策能力。
2、班子成员要按时参加院理论中心组学习,每季度集中学习一次,时间不少于半天。3、要按时参加支部组织的政治理论学习,要求职工学习的,领导班子要带头学。4、要制定学习计划,理论中心组学习由党委书记主持,党委办公室安排具体学习时间。5、坚持理论联系实际的原则,结合工作、思想和改革等实际问题,边学习、边改进、边提高。
6、每年组织一到两次参观学习,学习兄弟单位有关医院改革、精神文明、医院管理等方面的先进经验。
党员教育制度
1、运用党课的形式坚持对党员进行党的基本知识、党的基本路线、方针、政策教育,不断提高广大党员素质,发挥好先锋模范作用。
2、运用现代化的声像设备和活泼多样的教育形式把党课搞活,从实际出发,注意教育效果。
3、要坚持必要的理论灌输教育,不断提高党员的政治理论水平,突出抓好党性、党风、党纪和法制教育,做廉洁的表率,端正党风。
4、党办制定出党课教育计划,按计划落实讲课人,落实讲课内容,写出党课教材,联系党员思想实际进行有针对性的教育。
5、注意抓好正反典型教育,向先进人物学习,弘扬正气,以反面典型为镜子,警钟长鸣。
“三会一课”制度
1、支部委员会,每月召开一次以上。由党支部书记主持。主要内容是:学习党的路线、方针、政策;讨论决定重大事情;总结部署工作;研究党员发展、转正和自身建设问题。
2、党员大会,每季度召开一次。由支部书记主持。主要内容是:学习上级党组织有关文件,传达会议精神;通报支部工作情况,听取党员意见和建议,部署工作;讨论通过党员发展、转正事宜。
3、党小组会,每月召开1-2次。由党小组长主持。主要内容是:学习上级组织有关文件;汇报党员个人思想和工作情况,开展批评与自我批评;酝酿党员发展、转正情况。
4、党课,每季度进行一次。参加人员为全体党员和入党积极分子。授课内容是:传达党的文件,党纪党风和党的有关知识教育、表彰先进人物、播放有教育意义的电视录相等。
5、党委班子生活会每半年召开一次。
支委会生活会每半年召开一次。党小组生活会每半年召开一次。
民主评议党员制度
根据省委组织部印发的《民主评议党员工作细则》,特制定我院民主评议党员制度如下:
1、根据中央和省市委的要求,每年进行一次民主评议党员工作。
2、民主评议党员工作要把对党员的教育、管理、监督融为一体,与“创先争优”、“党员建功立业”等活动相结合。党支部、小组随时记载党员在上述活动中的表现,作为评议时的依据。
3、民主评议党员工作要紧紧围绕经济建设这个中心,通过教育、考核和评价每个党员在医疗实践中发挥先锋模范作用的情况,不断解决党员队伍中存在的与党的基本路线和党章要求不相适应的问题以及消极腐败行为,提高党员素质,纯洁党员队伍,增强党组织的凝聚力和战斗力,为促进医院改革提供坚实的组织保证。
4、民主评议党员要正确运用批评与自我批评的武器,坚持原则,实事求是,与人为善,达到自我教育,自我提高,互相帮助,共同进步的目的。
5、所有党员都应参加所在支部的民主评议活动。党员干部要带头触及矛盾,找准问题,虚心听取别人意见,自觉接受党内外群众的监督。
6、民主评议党员的基本内容是:
(1)是否具有坚定的共产主义信念,认真履行党员义务,按时交纳党费,参加党的组织生活;能否贯彻执行党的基本路线及方针政策,在政治上同党中央保持一致,并脚踏实地做好本职工作,全心全意为人民服务。
(2)是否刻苦学习思想政治理论,钻研业务技术,不断更新知识,精益求精,成为技术和工作骨干,挑大梁,做模范,为事业发展和三个文明建设做出贡献。
(3)是否解放思想、勇于探索,站在改革前列,维护改革大局,正确处理国家、集体和个人三者利益关系,做到个人利益服从党和人民的利益,局部利益服从整体利益,在个人利益同党和人民的利益发生矛盾时,自觉牺牲个人利益。
(4)是否切实地执行党的决议,严守党纪、政纪、国法、廉洁自律、克己奉公,自觉抵制不正之风,杜绝“吃、拿、卡、要”和“冷、硬、顶、推”等问题,有高尚的医德医风。
(5)是否密切联系群众,关心群众疾苦,艰苦奋斗,是否团结协作,关于团结不同意见的人一道工作。
7、民主评议党员要评出格次,对优秀党员通过适当的方式进行表彰奖励,对基本不合格党员限期一年改正,对不合格党员应视情况给予处分,直至开除党籍。
8、预备党员同正式党员一样参加民主评议活动,但不定格次。经评议确实不具备党员条件的,可提前取消预备党员资格。
党支部书记月会制度
支部书记月会是及时贯彻党委决议,互相沟通情况和协调各项工作的会议,为了开好这个会,特做如下规定:
1、每月第一周周二上午为支部书记月会,会议时间一般不超过两小时。2、会议由党委书记或党办主任主持,党办成员,各基层支部书记参加会议。
3、每两周一次工作会议,各支部向党委汇报半个月来工作完成的情况和下两周的工作要点,会上党委书记或党办部署有关工作。
4、定期组织学习、培训,拓展知识面,交流学习体会,总结工作经验,探索工作新方法、新途径。
5、做好会议记录,需要各部门协作完成的任务,做出明确分工,确定完成期限和标准。
党支部委员会制度
1、支部委员会在支部大会召开前或休会期间,负责领导和处理支部的日常工作,确定支部大会议题和内容。
2、支委会每月召开一次(特殊情况除外),由党支部书记主持,专人负责记录。3、会议内容:
(1)贯彻落实院党委和支部党员大会的决议;(2)制定月、季、年工作计划和完成的措施;(3)听取支部委员所分管工作的汇报;
(4)研究分析党员、职工的思想状况,提出教育措施;
(5)研究确定非党积极分子,制定发展计划,做好发展党员和预备党员转正等项工作;(6)讨论党支部的其它有关事宜;
4、支委会要坚持民主集中制的组织原则,坚持重大问题集体讨论决定,在集体领导下,坚持以支部委员分工负责,做好支部工作。
5、支委民主生活会每季度召开一次,由支部书记主持,专人负责记录,党办每半年检查一次生活会记录。
6、支委生活会要围绕贯彻党的方针政策和上级指示精神,以及廉政建设、党风党纪等情况,开展批评与自我批评,沟通思想,交换意见,及时纠正工作中的失误,增强支部班子的团结。
7、支委会要认真做好记录,党办定期检查考核支部工作完成情况,并作为支部升级达标的依据。
支部党员大会制度
支部党员大会是支部的领导机关,为了更好地执行党章的有关规定,发扬党内民主,发挥支部党员大会的作用,特做如下规定:
1、支部党员大会一般每季度召开一次(特殊情况例外),由党支部书记主持。2、会议内容:
(1)学习讨论党的路线、方针、政策和法律法规,以及党委和上级党组织的决议指示,结合实际制定措施。
(2)讨论和批准支委会工作报告。
(3)讨论、决定对党员的表彰和处分,接收新党员和预备党员的转正。
(4)选举支部委员会和出席上级党代表大会的代表;讨论撤换不称职的支部委员和党员代表。(5)讨论决定党支部的其它重大问题。
3、会前要由支委会确定会议议题,议题要明确,中心要突出,并将会议内容和要求事先通知全体党员。
4、会议必须充分发扬民主,党员对支部工作要充分发表意见,认真讨论,并提出批评和建议,最后按少数服从多数的原则,做出决议。决议必须经实到会正式党员的半数以上通过,方能有效。
5、支部党员大会做出的决定,会后要抓落实,凡涉及需要保密的,任何人不得向外传播。6、支部党员大会上要认真做好会议记录,党办每半年检查一次。
党小组会议制度
1、党小组会是党员组织生活的重要组成部分,是组织实现党支部的决议,保证党支部各项任务完成的基础。2、党小组会一般每月召开两至三次(特殊情况除外),由党小组长主持。3、活动内容:
(1)学习马列主义、毛泽东思想,学习邓小平理论,学习“三个代表”和党的路线、方针政策及决议,学习党的基本知识,时事政治,法律法规和文化科学知识。学习有关文件,传达上级指示。
(2)传达支部决议,讨论贯彻上级有关文件精神。
(3)分析党小组每个党员所包保的职工思想状况,了解群众的意见和要求,制定相应措施。(4)协助党支部做好党员民主评议工作,非党积极分子的教育考察,接收新党员和预备党员的教育、考察和转正工作。
(5)党员汇报思想、工作,学习和执行党的决议情况,组织督促党员按时参加党的各种活动,按时交纳党费。
(6)小组会要尽可能安排得形式多样,内容丰富,达到即丰富党员生活,又教育党员的目的。(7)每季度召开一次党小组生活会,会前要确定一两个中心议题,通知全体党员做好准备,会上党员领导干部要带头开展批评与自我批评,会后要开展谈心活动,把会上和会下结合起来,达到弄清思想、帮助同志,增强团结的目的。
4、党办每半年检查一次,检查结果作为评先进党小组的主要依据。
积极分子培养考核系列制度
确定积极分子制度
1、凡申请入党者,必须向党组织提出书面申请,经过三个月以上时间考核后,符合积极分子条件,方能吸收为积极分子。
2、一般积极分子由党小组或团组织向党支部推荐,支委会经过认真衡量和审议,确定入党积极分子,在支部党员大会上公布,并上报党办备案,及时领取《积极分子登记表》,由党支部按项目填写,并妥善保管。
3、重点积极分子由支委会提名,支部党员大会讨论,上报党办。
4、计划发展对象由支委会提名,支部党员大会讨论,上报党办进行超前考核,审查讨论后确定。整顿积极分子队伍制度
1、党支部、党办年末分析研究积极分子队伍及管理教育情况,及时解决存在问题。
2、党支部年末进行集中整顿,包括思想整顿、组织整顿,要求坚持标准,严格筛选、调整,不断扩大积极分子队伍,提高素质。
3、制定发展计划,落实培养措施。一般积极分子指定一名正式党员负责培养,重点积极分子和计划发展对象应指定两名正式党员负责培养,党支部按规定对积极分子进行培养教育,对表现突出、符合党员条件的,经严格考核,支委会认真讨论后,纳入下一年发展计划。考核写实制度
1、建立考核档案。凡是积极分子都要建立考核档案,对积极分子的入党申请书、自传、思想汇报、积极分子登记表、政审材料及本人向党组织交待、说明问题的材料等有关材料都要装入档案,由党支部妥善保管。
2、严格考核、写实。对一般积极分子每年考察写实一次,对重点积极分子每半年考察写实一次,对计划发展对象每季度考察写实一次。考核写实由党小组进行,考核后要及时填入《积极分子考察表》,并签字盖章。
3、考核写实要突出本人特点,切忌千篇一律,党小组对积极分子每年、对重点积极分子每半年、计划发展对象每季度要进行一次面对面的讲评。谈话与汇报制度
1、一般积极分子每年以书面形式向党组织汇报一次思想、工作情况,重点积极分子每半年汇报一次,计划发展对象每季度汇报一次。
2、对提出入党申请者,党支部要派人谈话,进行鼓励,提出要求。
3、对积极分子,特别是重点积极分子和计划发展对象,培养人要每月谈一次话,肯定成绩,指出缺点,明确努力方向。
4、党支部要定期听取党小组、培养人的汇报,督促检查工作。积极分子管理教育制度
1、党的积极分子日常管理工作由党支部负责,集中培训由党办负责。
2、支部要有组织、有计划地组织积极分子活动,每月活动一次,要有记录。
3、经常组织积极分子参加党内学习、会议和活动,经常分配给他们一定的社会工作或艰巨的任务,交任务,压担子,使其在实践工作中经受锻炼和考验。
4、对表现一般和有问题的积极分子由党支部书记负责谈话,有针对性地教育。严格履行入党手续制度
1、吸收积极分子入党,要按规定进行培养、考察。
2、对发展对象要实行超前考核,采取个别谈话、民主测评等形式,广泛征求党内外群众意见。
3、必须经过短期集中培训和党的基础知识考核。
4、严把入口关。党支部对发展对象必须做到材料齐全,手续完备上报党办;党办审查有关材料,严格考察,切实把好每一道“关口”,严格坚持党员标准,审查后将材料上报局党办审查,确定是否履行入党手续并通知支部。
5、接收新党员入党必须经过支部大会讨论,并作出决议。
6、党委审批新党员后,要及时通知党支部。支部书记要找新党员谈话,通知党组织批准日期、入党时间、预备期限、怎样交纳党费、编入党小组过组织生活。党办要及时为预备党员举行入党宣誓。
预备党员教育考核系列制度
考核写实制度
1、建立预备党员考核档案,设预备党员考察表。
2、考核由党小组进行,季度考核写实一次,及时填入《预备党员考察表》并签字盖章。
3、考核写实要突出本人特点,内容要具体,分析要深刻,每个季度都能看出进步的幅度,避免空话套话,考察发现问题,及时帮助教育。谈话和汇报制度
1、党支部书记、党小组长要经常找预备党员谈心,了解思想、工作和履行党员义务情况,转达党内外群众意见和反映。
2、预备党员应通过组织生活、个别谈心或书面材料等形式,每个季度向党组织汇报一次思想、工作、学习情况。
3、支委会要定期听取党小组的汇报,掌握新党员的质量。预备党员管理制度
1、预备党员的管理教育工作由党支部负责,集中培训由党办负责。
2、严密党的组织生活,预备党员要自觉参加党的组织生活,自觉接受党内生活的锻炼和党组织的帮助与监督。
3、对外单位调入的预备党员要加强管理,转正前要把原单位的表现了解清楚。培养教育制度
1、举办新党员学习班,有计划地进行教育。
2、通过上党课进行党的基本知识、党员标准、党的优良传统和作风、党的路线、方针、政策、党风党纪、廉政建设及怎样做一名合格的共产党员的教育。
3、进行实际考核。分配预备党员一定的社会工作和交办具体任务,在实际工作中进行考察了解,考察结果作为能否转为正式党员的依据。严格履行转正手续
1、预备党员在预备期满前及时提出转正申请。
2、预备党员转正必须在预备期满后分别召开党小组会及支部大会,申请转正的预备党员必须到会。
3、预备党员转正前要采取民主测评、个别谈话等形式广泛征求党内外群众意见。
4、严把转正关,严格审查预备党员转正有关材料,考察预备党员的表现,了解入党时党支部大会提出的缺点,克服改正情况,全面衡量是否具备转正条件。
5、预备党员转正前必须参加新党员宣誓,参加党的基本知识测验。
6、党委审批预备党员转正后,要及时通知支部,支部书记和组织委员要同新党员谈话,通知审批结果及党龄起始时间,并向支部党员大会宣布。发展党员工作责任制度
为做好发展党员工作,我们对积极分子和预备党员采取了“五级管理责任制”。即党委、党办、党支部、党小组、培养人五级管理,各负其责。
党委:负责指导发展党员工作,审定发展计划,定期召开党委会研究、布置和检查发展党员工作,并严格按程序审批发展对象及预备党员转正事宜。
党办:负责掌握积极分子队伍状况,对积极分子和预备党员集中培训,对计划发展对象、预备党员转正进行超前考核,严格履行入党手续,严把入口关,对基层党支部组织发展工作定期检查、考核。
党支部:负责积极分子和预备党员的培养、教育和考察工作,管理好档案。党小组、培养人:负责对积极分子和预备党员的日常培养、考核、写实等项工作。党委书记责任制
1、要把发展党员工作纳入党委工作日程,定期研究、布置和检查,保证发展党员工作的指导思想和政策方针的贯彻落实。
2、加强对发展党员工作的宏观指导,审定发展计划。
3、要深入基层调查研究,了解新情况,总结新经验,把发展党员工作提高到一个新水平。
4、定期听取党办对发展党员工作情况的汇报,认真分析、研究积极分子、预备党员的培养、考察及公示情况,及时解决存在问题。
5、主持召开党委会,严格审查发展对象和预备党员转正的材料,认真听取考察人的汇报,逐一讨论、审批。组织干事责任制
1、切实做好发展党员的基础工作,把着力点放在挑选、培养和考察积极分子上,不断壮大队伍,提高素质。
2、定期检查、指导基层支部对积极分子、预备党员的培养、教育、考察和积极分子队伍整顿等项工作。定期把发展党员工作特别对新党员质量和计划执行情况向党委汇报。
3、抓好积极分子、预备党员的集中培训,定期举办积极分子、预备党员学习班,进行党的基本知识、党员标准、党的优良传统和党风党纪等方面教育。
4、经常深入基层和积极分子、预备党员交朋友、谈心,了解他们的思想状况,有针对性地做好思想政治工作。
5、对党支部上报的计划发展对象进行超前考核,全面衡量,根据考核情况,拟定发展计划,向党委汇报。
6、对发展对象、预备党员要严格履行入党和转正手续,认真审查支部上报的材料,保证手续健全、材料齐备。
7、严格按照发展党员公示制度的要求对发展对象进行公示,及时向党委汇报公示结果。
8、向党委汇报考察情况,党委讨论后作出决议,及时办理手续,通知党支部。党支部书记(组织委员)责任制
1、把发展党员工作做为一项经常性工作,切实纳入支部的工作日程,认真抓好。
2、要深入宣传、全面贯彻新时期发展党员工作的指导思想和方针,切实搞好发展党员工作。
3、年末对积极分子队伍进行思想整顿和组织整顿,搞好积极分子队伍建设,认真做好发展党员的基础工作,把着力点放在挑选、培养和考察积极分子上,不断壮大队伍,提高素质。
4、定期分析、研究积极分子队伍建设和预备党员的思想工作情况,及时解决存在问题。
5、建立档案。将积极分子、预备党员的有关材料装入档案,妥善保管。积极分子调动工作时,原党支部将其档案材料及时全部转给调入单位党组织。
6、制定发展计划,落实培养措施。对一般积极分子指定一名正式党员负责培养,对重点积极分子、计划发展对象指定两名正式党员负责培养。
7、定期检查、指导党小组对积极分子、预备党员考察、写实工作以及对重点积极分子、计划发展对象、预备党员定期讲评工作。
8、有计划、系统地组织积极分子、预备党员进行学习,通过参加组织学习会议、分配社会工作等多种形式,交任务、压担子,使其在实际工作中经受锻炼和考验。
9、定期听取党小组长和培养人的汇报,经常检查他们的工作,不断总结发展党员工作的新经验。
10、严格履行入党和转正手续,做到手续健全,材料齐备,上报党办。党小组长责任制
1、在党支部的领导下,认真贯彻落实新时期发展党员工作的指导思想和方针,切实搞好组织发展基础工作。
2、认真落实对积极分子、预备党员培养、考察措施,做好经常性的培养、教育和考察工作,定期检查培养人的工作。
3、对提出入党申请的人,要及时找其谈话,经过考核,确认符合积极分子条件,由小组党员讨论,并向党支部推荐。根据积极分子成熟情况,可向党支部建议将其列入重点积极分子或计划发展对象。
4、认真考核写实。对一般积极分子每年考察、写实一次;重点积极分子每半年考察、写实一次;计划发展对象每季度考察、写实一次;督促培养人及时填写《积极分子考察表》。要经常找积极分子谈话,转达党内外群众意见。
5、对预备党员每个季度党小组讲评一次,认真填写《预备党员考察表》,及时组织党小组讨论,提出预备期满能否转为中共正式党员的意见,形成材料,上报党支部。培养人责任制
1、认真了解和考察所负责培养的积极分子、预备党员对党的认识、入党动机、思想素质、现实表现,政治历史、家庭成员和联系密切的主要社会关系的情况,并如实向党小组、党支部汇报。
2、经常对所负责培养的积极分子、预备党员进行党章、党纲和党的基本知识等方面教育,帮助提高对党的认识,端正入党动机。
3、经常找所负责培养的积极分子、预备党员谈心,了解其思想情况,肯定成绩,指出缺点和努力方向,并转达党员和群众的意见、反映,定期考察写实,及时填写《积极分子、预备党员考察表》。
4、定期向党小组、党支部汇报所负责培养的积极分子、预备党员的培养、教育和考察情况,根据积极分子成熟情况,向党小组或党支部建议列为重点积极分子或计划发展对象。
思想政治工作制度
1、思想政治工作在党委统一领导下,党、政、工、青、妇齐抓共管,形成行政抓条,党务抓块,工青抓活动,书记院长抓全面的强有力的思想政治工作体系。
2、院党委要把思想政治工作摆到重要议事日程上,讨论决定思想政治工作计划,检查实施情况,分析职工队伍的思想状况,并解决工作中的问题。
3、党委实行思想政治工作四级责任制:(1)党委包支部班子成员;
(2)支部委员包科主任、护士长和党小组长;(3)党小组长包本组党员;
(4)党员包群众(按责任区落实到人头);
4、加强政工干部队伍建设,配齐配强政工干部队伍。坚持政工干部例会制度,以会代训,提高政工干部思想和业务素质。使政工干部具有八种能力:
(1)具有分析判断和概括能力;(2)具有一定的组织和领导能力;
(3)具有沟通和协调左右之间,上下之间及内部外部之间关系的能力;(4)具有一定的知人善任、辨别是非、果断处事的能力;(5)具有头脑清醒、思维敏捷、远见卓识的应变能力;(6)具有不畏艰险、敢抓敢管、开拓进取的能力;
(7)具有懂业务、会管理,把思想工作做到业务工作中的结合能力;
5、思想政治工作原则:
(1)坚持实事求是,理论联系实际的原则;(2)坚持思想政治工作与业务工作相结合的原则;(3)坚持身教重于言教,身教言教相结合的原则;(4)坚持思想工作同解决群众切身利益相结合的原则;(5)坚持物质鼓励与精神鼓励相结合的原则;(6)坚持表扬与批评相结合的原则;
(7)坚持思想教育与必要的组织处理相结合原则;
6、思想政治工作方法 六必谈方法
(1)出现违纪现象必谈;(2)思想上出现反复波动时必谈;(3)家庭和本人生活上遇到困难时必谈;(4)工作遇到困难和矛盾时必谈;(5)婚丧嫁娶生育时必谈;(6)有成绩受到表扬时必谈; 五必访方法
(1)职工生病住院时必访;
(2)家庭发生矛盾或生活有困难时必访;(3)婚丧嫁娶生育时必访;(4)无故旷工必访;
(5)出现违章违纪现象时必访; 三结合方法
(1)组织教育和家庭教育相结合;(2)解决思想问题和实际困难相结合;(3)严格解决和耐心细致的说服教育相结合; 典型教育方法
(1)注重培养典型、树立典型、宣传典型。
(2)组织全院职工向先进典型人物学习,赶超先进,弘扬正风正气。灵活多样方法
思想政治工作力戒死板教条,要尽量多组织一些报告会,演讲会、知识竞赛、参观、访问、开展丰富的文体活动等丰富多彩的教育形式,寓教于文、寓教于乐。既要发扬传统好的方法,又要灵活、务实、创新。
职工队伍思想状况分析制度
1、为使思想政治工作有地放矢,讲求实效,每半年要对全院职工队伍的思想状况进行一次分析,及时掌握职工的思想动态,有针对性地做好思想政治工作。
2、由各党支部负责,以党小组为单位,组织党员分析职工思想状况,把分析的情况向党支部汇报。各党支部汇总之后向院党委汇报,并由院党委和各支部书记共同分析全院的职工思想倾向。
3、每个党员要对责任区内所包群众的思想变化、职工家庭成员间、夫妻关系以及生活状况做到心中有数,对重点帮教对象要重点分析。
4、针对存在的问题,采取解决措施,制定教育计划,化消极因素为积极因素。
5、进一步落实思想政治工作责任制,做好过细的思想政治工作,广泛开展谈心活动,并积极解决职工的实际问题,减少后顾之忧。
6、每半年召开一次职工队伍思想状况分析会,院党委对全院职工的思想状况进行重点分析,研究解决的办法,制定加强教育的措施。
职工政治理论学习制度
1、凡全院在职职工,都必须参加党的路线、方针、政策以及形势任务等政治理论学习,树立学习工作化,工作学习化,终身学习的理念,不断提高全体职工的政治觉悟,思想素质、理论水平和道德水准。
2、规定每月最后一周周三为政治理论学习日,一般不超过两个小时。
3、由党委办公室制定出政治理论学习计划,按计划组织学习。
4、采取集中学习与分散学习相结合的方法,集中学习由院里统一组织全院性的理论辅导,形势报告和教育录像等,分散学习以支部为单位,由支部书记组织本支部职工按计划学习、讨论。
5、建立学习考勤制度,因病因事不能参加者,应提前向党委或党支部请假,做好个人学习笔记,学习情况每半年检查一次。
6、各支部建立学习记录本,记录参加学习情况、学习内容和讨论情况。
党建工作检查汇报制度
1、医院党委每年要结合院内开展的各项活动对各支部工作进行一次全面检查,各支部要每季度向院党委汇报工作情况。
2、检查和汇报的主要内容: 1)支部班子建设情况;
2)党员的管理教育和模范作用情况; 3)党组织生活落实情况; 4)党风、党纪情况;
5)党的积极分子培养教育和新党员发展情况。
3、检查方法:
1)查阅支部会议记录和小组会议记录; 2)听取支部书记和小组长的汇报; 3)征求党内外意见。
4、党支部每半年对各小组进行一次检查,党员结合自己的思想工作和学习等情况,每季度向小组汇报一次。
5、党委和支部要及时通报检查情况,表扬先进,批评落后,促进党建各项工作的落实。
党费收缴使用管理制度
党费的收缴、管理和使用是党的建设中一项十分严肃的工作。只有认真做好这项工作,努力实现党费管理和使用工作的制度化,规范化,标准化,才能发挥党组织在党的建设中的服务作用。根据中组部和中共吉林省委组织部《关于党费收缴、管理和使用的细则》及我院所属党组织的情况,特制定本制度。
凡有固定收入的党员,必须按工资比例交纳党费。
没有经济收入或交纳党费有困难的党员,由本人提出申请,经党支部批准,可以少交或免交党费。
党员交纳党费的有关规定:
1)新入党的党员交纳党费的时间应该从支部大会通过为预备党员之日开始交纳党费,原是共青团员的预备党员,在预备期间只交党费,不交团费,如果当月交了团费,可以从下一个月开始交纳党费。
2)流动党员在外期间,凭正式组织关系向外出所在党组织交纳党费。党员出国定居,从停止党籍之日起即停止交纳党费。
3)持党员组织关系证明信的党员,应向党组织关系所在的党支部交纳党费。党费的收缴办法:
1)各支部要由组织委员(不设委员会的由支部书记承担)坚持按月收缴党费。离退休党支部可以每季上缴一次党费,时间必须在每季度最后一个月的25日前完成上缴党费的工作。
2)党员应自觉地向所在党组织交纳党费。如有特殊情况不能亲自交纳或不能按月交纳时,经所在党支部委员会同意,可以委托其党员代交、予交、补交、补交时间不得超过6个月。
3)交纳党费是党员的义务,党员应自觉履行,对无故不交纳党费的党员要及时进行批评教育、限期改正,并及时向上级党组织报告。对进行批评教育后仍旧不交纳党费的,根据《党章》连续六个月不交纳党费者按自行脱党处理的规定进行处理。
“创先争优”制度
“创先争优”即党内开展的创先进党支部,先进党小组,争做优秀共产党员的活动。
1、“创先争优”活动要紧紧围绕增强党组织的凝聚力、战斗力、增强党员的先进意识,发挥党员先锋模范作用,保证医院各项任务完成来进行。
2、“创先争优”活动,以为期限。每年的年初到年终,做到季度检查,半年初评,全年总结表彰。采取自检与统一检查相结合的方法。
3、制定考核细则,评比条件,每年进行充分修改填入新的内容,收到实际效果。
4、党委和支部要高度重视,要加强领导,党委委员要抓好分管支部的工作,坚持质量,抓好典型,注重效果。
5、“创先争优”的评选方法,优秀党员由党小组评议,党支部审议通过,院党委审批,先进党小组由党支部推荐,先进党支部和先进党小组是党委根据日常考核和半年初评,年末总评情况,综合平衡、审定。