第一篇:卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知
附件:
卫 生 部 文 件
卫办发„2011‟85号
卫生部关于印发《卫生行业
信息安全等级保护工作的指导意见》的通知
各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安„2009‟1429号)要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。现印发给你们,请遵照执行。
联系人:卫生部统计信息中心 杨慧清、矫涌本 联系电话:010-68791029、68792497 传真:010-68792836
二〇一一年十二月二日 卫生行业信息安全等级保护
工作的指导意见
卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会 秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实 信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照 2 国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业 信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信 息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。
卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政 策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流,协调落实本地区信 息安全等级保护工作。
卫生部和各省级卫生行政部门应当分别建立信息安全技术 3 专家委员会,参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。
四、工作任务
(一)定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当 4 经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标 准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促 6 本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
五、工作要求
(一)高度重视,加强领导。卫 生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总 责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
(二)保障经费,加强监管。卫生行业各单位要建立经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算,并加强对资金使用的监管。
(三)加强沟通,密切合作。各级卫生行政部门应当加强与本地信息安全等级保护管理部门的沟通交流,建立协作机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等级保护工作。
第二篇:卫生行业信息安全等级保护工作的指导意见2011-85(精)
卫生部关于印发《卫生行业信息安全等级保护工 作的指导意见》的通知 卫办发〔2011〕85号
各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局: 为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。现印发给你们,请遵照执行。
二〇一一年十一月二十九日
卫生行业信息安全等级保护工作的指导意见卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和
国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实
信息安全责任。
(三同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。
卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级信息安全等级保护管理部门
进行日常联系和交流,协调落实本地区信息安全等级保护工作。卫生部和各省级卫生行政部门应当分别建立信息安全
技术专家委员会,参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。
四、工作任务(一定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为
五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:(1卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系
统等跨省全国联网运行的信息系统;(2国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;(3三级甲等医院的核心业务信息系统;(4卫生部网站系统;(5其他经过信息安全技术专家委员会评定为第三级以上(含第三级的信息系统。
2.拟定为第三级以上(含第三级的卫生信息系统,应当经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
(二建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标
准,开展安全保护现状分析,查找安全隐患及与国家信息安 全等级保护标准之间的差距,确定安全需求。2.根据信息系统安全保护现状分析结果,按照《信息安 全技术信息系统安全等级保护基本要求》、《信息安全技术 信息系统等级保护安全设计技术要求》等国家标准,制订信 息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家 委员会论证。3.卫生行业各单位应当按照信息系统安全建设整改方 案,完善安全保护设施,建立安全管理制度,落实安全管理 措施,形成信息安全技术防护体系和信息安全管理体系,有 效保障卫生信息系统安全。
(三)等级测评。1.系统建设整改工作完成后,应当按照《信息安全等级 保护管理办法》要求,从全国信息安全等级保护测评机构推 荐目录中选择等级测评机构,对第三级以上(含第三级)卫 生信息系统进行等级测评。2.测评合格后,应当将测评报告报属地公安机关及卫生 行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进 行等级测评。对于重要部门的第二级信息系统,可参照上述 要求进行等级测评。
(四)宣传培训。1.各级卫生行政部门信息化工作领导小组应当对本地 区各级各类医疗卫生机构开展等级保护政策和标准规范培 训,提高各单位信息安全管理人员的技术能力和管理水
平。2.卫生行业各单位应当开展内部信息安全培训,提升全 员信息安全意识,规范信息安全操作行为,提高信息安全保 障能力。
(五)监督检查。1.卫生部信息化工作领导小组负责督导检查各地医疗 卫生机构信息安全等级保护工作落实情况,并督促部机关重 要信息系统责任单位开展信息安全等级保护工作。2.省级卫生行政部门信息化工作领导小组负责督导检 查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。3.省级卫生行政部门信息化工作领导小组应当于每年 年底,向卫生部信息化工作领导小组报送本地区信息系统定
级备案、建设整改、等级测评和自查等工作开展情况。
五、工作要求
(一)高度重视,加强领导。卫生行业各单位要高度重 视,充分认识信息安全等级保护工作对保护居民健康信息安 全、医疗卫生机构正常运转和社会稳定的重要意义。各单位 主要负责同志要负总责,分管负责同志要具体抓,明确职责 与任务,突出重点,将信息安全等级保护工作列入重要议事 日程和工作绩效考核指标,一级抓一级,层层抓落实。
(二)保障经费,加强监管。卫生行业各单位要建立经 费投入机制,将信息安全等级保护建设整改、等级测评、信 息安全服务、技术培训等费用纳入信息化建设预算,并加强 对资金使用的监管。
(三)加强沟通,密切合作。各级卫生行政部门应当加 强与本地信息安全等级保护管理部门的沟通交流,建立协作 机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等 级保护工作。
第三篇:关于印发《关于信息安全等级保护工作的实施意见》的通知
关于印发《关于信息安全等级保护工作的实施意见》的通知
公通字[2004]66 号
各省、自治区、直辖市公安厅(局)、保密局、国家密码管理委员会办公室、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理委员会办公室、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室,各人民团体保密委员会办公室:
《关于信息安全等级保护工作的实施意见》已经国家网络与信息安全协调小组第三次会议讨论通过,现印发给你们,请认真贯彻实施。
公安部国家保密局
国家密码管理委员会办公室国务院信息化工作办公室
二〇〇四年九月十五日
关于信息安全等级保护工作的实施意见
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
为了进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展,1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”
一、开展信息安全等级保护工作的重要意义
近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
二、信息安全等级保护制度的原则
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则:
(一)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。
(二)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。
(三)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(四)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
三、信息安全等级保护制度的基本内容
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级:
1.第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
2.第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
3.第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
4.第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
5.第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。
国家对信息安全产品的使用实行分等级管理。
信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案响应和处置。
四、信息安全等级保护工作职责分工
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。
国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。
五、实施信息安全等级保护工作的要求
信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。实施信息安全等级保护应当做好以下六个方面工作:
(一)完善标准,分类指导。制定系统完整的信息安全等级保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导,确保等级保护工作顺利开展。
(二)科学定级,严格备案。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。
对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定安全保护等级。跨地域的大系统实行纵向保护和属地保护相结合的方式。
国务院信息化工作办公室组织国内有关信息安全专家成立信息安全保护等级专家评审委员会。重要的信息和信息系统的运营、使用单位及其主管部门在确定信息和信息系统的安全保护等级时,应请信息安全保护等级专家评审委员会给予咨询评审。
安全保护等级在三级以上的信息系统,由运营、使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案,分系统分别由当地运营、使用单位向本地地市级公安机关备案。
信息安全产品使用的分等级管理以及信息安全事件分等级响应、处置的管理办法由公安部会同保密局、国密办、信息产业部和认监委等部门制定。
(三)建设整改,落实措施。对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。对新建、改建、扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。
(四)自查自纠,落实要求。信息和信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时整改,加强和完善自身信息安全等级保护制度的建设,加强自我保护。
(五)建立制度,加强管理。信息和信息系统的运营、使用单位按照与本系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估,及时消除安全隐患和漏洞,建立安全制度,制定不同等级信息安全事件的响应、处置预案,加强信息系统的安全管理。信息和信息系统的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作,发现问题,及时督促整改。
(六)监督检查,完善保护。公安机关按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的,要通知信息和信息系统的主管部门及运营、使用单位进行整改;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,要限期整改,使信息和信息系统的安全保护措施更加完善。对信息系统中使用的信息安全产品的等级进行监督检查。
对第五级信息和信息系统的监督检查,由国家指定的专门部门、专门机构按照有关规定进行。
国家保密工作部门、密码管理部门以及其他职能部门按照职责分工指导、监督、检查。
六、信息安全等级保护工作实施计划
计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。
(一)准备阶段。为了保障信息安全等级保护制度的顺利实施,在全面实施等级保护制度之前,用一年左右的时间做好下列准备工作:
1.加强领导,落实责任。在国家网络与信息安全协调小组的领导下,地方各级人民政府、信息安全监管职能部门、信息系统的主管部门和运营、使用单位要明确各自的安全责任,建立协调配合机制,分别制定详细的实施方案,积极推进信息安全等级保护制度的建立,推动信息安全管理运行机制的建立和完善。
2.加快完善法律法规和标准体系。法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。为此,《信息安全等级保护管理办法》和《信息安全等级保护实施指南》、《信息安全等级保护评估指南》等法规、规范要加紧制定,尽快出台。
加快信息安全等级保护管理与技术标准的制定和完善,其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的,应当进行调整。
3.建设信息安全等级保护监督管理队伍和技术支撑体系。信息安全监管职能部门要建立专门的信息安全等级保护监督检查机构,充实力量,加强建设,抓紧培训,使监督检查人员能够全面掌握信息安全等级保护相关法律规范和管理规范及技术标准,熟练运用技术工具,切实承担信息安全等级保护的指导、监督、检查职责。同时,还要建立信息安全等级保护监督、检查工作的技术支撑体系,组织研制、开发科学、实用的检查、评估工具。
4.进一步做好等级保护试点工作。选择电子政务、电子商务以及其他方面的重点单位开展等级保护试点工作,并在试点工作的基础上进一步完善等级保护实施指南等相关的配套规范、标准和工具,积累信息安全等级保护工作实施的方法和经验。
5.加强宣传、培训工作。地方各级人民政府、信息安全监管职能部门和信息系统的主管部门要积极宣传信息安全等级保护的相关法规、标准和政策,组织开展相关培训,提高对信息安全等级保护工作的认识和重视,积极推动各有关部门、单位做好开展信息安全等级保护工作的前期准备。
(二)重点实行阶段。在做好前期准备工作的基础上,用一年左右的时间,在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度。经过一年的建设,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的保护状况得到较大改善,结束目前基本没有保护措施或保护措施不到位的状况。
在工作中,如发现等级保护的管理规范和技术标准以及检查评估工具等存在问题,及时组织有关部门进行调整和修订。
(三)全面实行阶段。在试行工作的基础上,用一年左右的时间,在全国全面推行信息安全等级保护制度。已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门,要进一步完善信息安全保护措施。没有实施等级保护制度的,要按照等级保护的管理规范和技术标准认真组织落实。
经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善。
第四篇:陕西省卫生厅关于印发陕西省卫生行业信息安全等级保护工作实施方案的通知
陕西省卫生厅关于印发陕西省卫生行业信息安全等级保护工作实施
方案的通知
陕卫办发〔2012〕132号
各设区市卫生局,杨凌示范区社会事业局,厅直属、部属各医疗卫生单位、厅机关各处室:
现将《陕西省卫生行业信息安全等级保护工作实施方案》印发给你们,请遵照执行。
二〇一二年四月十六日
陕西省卫生行业信息安全等级保护工作实施方案
信息安全等级保护是一项重要国家安全制度,为了规范和指导卫生行业信息安全等级保护工作,卫生部印发了《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)。按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)和卫生部有关要求,结合我省卫生行业实际,特制定本实施方案。
一、指导思想和基本原则
(一)指导思想
以科学发展观为指导,认真贯彻落实国家和省有关信息安全等级保护规定和要求,维护和保障国家信息安全、人民群众个人权益,促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序。
(二)基本原则
1、遵循标准,重点保护。遵循国家和省信息安全等级保护相关标准规范,结合我省卫生行业信息系统实际,优先保护重要的、涉及面广、遭受破坏对社会危害程度大的信息系统,优先满足重点信息系统安全需求。
2、行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。各市级卫生行政部门要按照国家和省信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导、管理和保护工作。各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
3、同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
二、建设目标
依据国家、省信息安全等级保护制度,遵循相关标准规范,在全省卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
三、主要任务
(一)定级备案
1、卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全等级保护原则上不低于第三级:
(1)全省卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨市全省联网运行的信息系统;
(2)省、市、县三级区域卫生信息平台、业务系统(新农合、卫生监督、妇幼保健等)及数据中心;
(3)二级及以上医院的核心业务信息系统(电子病历、财务);
(4)其他经过信息安全技术专家技术指导组评定为第三级以上(含第三级)的信息系统。
2、拟定为第三级以上(含第三级)的卫生信息系统,应当经当地信息安全技术专家技术指导组论证、评审。
3、各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关网安部门及卫生行政部门备案。跨市全省联网运行并由省卫生厅定级的信息系统,由省卫生厅报省公安厅备案;在各市、县运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改
1、对确定安全保护等级第二级以上(含第二级)的卫生信息系统,应当按照国家、省信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等标准,开展安全保护现状分析,查找安全隐患及与信息安全等级保护标准之间的差距,确定安全需求。
2、根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家技术指导组论证。
3、各地各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评
1、系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从省信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2、测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3、对第三级以上(含第三级)卫生信息系统每年应当进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训
1、省卫生厅将集中开展信息安全等级保护培训,各市、县卫生行政部门信息化工作领导小组也要对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2、各医疗卫生单位要积极组织开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查
1、省卫生厅信息化工作领导小组办公室负责督导检查各市和厅直属、部属医疗卫生机构信息安全等级保护工作落实情况,并督促厅机关重要信息系统责任单位开展信息安全等级保护工作。
2、市级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并负责本单位开展信息安全等级保护工作。
3、市级卫生行政部门信息化工作领导小组应当于每年12月15日前,向省卫生厅信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
四、时间安排
(一)第一阶段。2012年7月底以前,按照《陕西省卫生行业信息安全等级保护实施方案》,建立省、市二级信息安全等级保护专家技术指导组,确定信息安全等级保护工作联络员,并完成技术培训。
(二)第二阶段。2012年底前,完成三级甲等医院的核心业务信息系统,已建成运行跨市全省联网运行的信息系统的定级、保护和备案工作。
(三)第三阶段。2013年12月30日前,完成二级及区域卫生信息平台等及其它已建成运行的业务信息系统的定级、保护和备案。
五、保障措施
(一)加强组织领导。各级医疗卫生机构要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要领导要负总责,分管领导要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
省卫生厅成立陕西省卫生行业信息安全等级保护专家技术指导组,为各地、各医疗卫生单位业务信息系统定级、测评、备案提供技术指导和业务培训。建立省、市二级信息安全等级保护工作联络员机制。联络员职责是落实国家、省信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与省卫生厅及同级公安部门进行日常联系和交流。
(二)保障经费,加强监管。各级医疗卫生机构要建立经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算,并加强对资金使用的监管。
(三)加强沟通,密切合作。各级卫生行政部门应当加强与当地公安部门的沟通交流,建立协作机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等级保护工作。
第五篇:11[1126]卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知
卫生部办公厅关于全面开展卫生行业信息安全等级保护
工作的通知
卫办综函„2011‟1126号
各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:
为贯彻落实国家信息安全等级保护制度和卫生部关于《卫生行业信息安全等级保护工作的指导意见》(卫办发„2011‟85号,以下简称《指导意见》),全面提高卫生行业信息安全保障能力和水平,保障和促进卫生信息化健康发展,我部决定全面开展信息安全等级保护工作。现将有关事项通知如下:
一、具体内容
(一)建立健全工作机制。各省级卫生行政部门要尽快确定信息安全等级保护工作联络员,建立健全信息安全技术专家委员会,并分别于2011年12月30日前和2012年4月30日前将联络员名单和专家委员会成员名单报送我部。
(二)限时报送备案情况。各省级卫生行政部门要于2011年12月30日前将本地区已定级备案的卫生信息系统情况报送我部。
(三)完成定级备案工作。卫生行业各单位要于2012年5月30日前完成本单位信息系统的定级备案工作。
(四)开展安全建设整改工作。卫生行业各单位要根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案。要于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
二、相关要求
(一)卫生行业各单位要按照“遵循标准、重点保护,行业指导、属地管理,同步建设、动态完善”的原则,建立信息安全等级保护工作长效机制。
(二)各省级卫生行政部门要督促本地区卫生行业各单位按照《指导意见》要求,开展信息安全等级保护工作。
(三)各省级卫生行政部门等级保护工作联络员发生变化时,应当及时向我部报告。
(四)各省级卫生行政部门要及时向我部报告工作进展情况,并于每年第四季度报送本地区信息安全等级保护工作总结。
二○一一年十二月七日