第一篇:11[1126]卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知
卫生部办公厅关于全面开展卫生行业信息安全等级保护
工作的通知
卫办综函„2011‟1126号
各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:
为贯彻落实国家信息安全等级保护制度和卫生部关于《卫生行业信息安全等级保护工作的指导意见》(卫办发„2011‟85号,以下简称《指导意见》),全面提高卫生行业信息安全保障能力和水平,保障和促进卫生信息化健康发展,我部决定全面开展信息安全等级保护工作。现将有关事项通知如下:
一、具体内容
(一)建立健全工作机制。各省级卫生行政部门要尽快确定信息安全等级保护工作联络员,建立健全信息安全技术专家委员会,并分别于2011年12月30日前和2012年4月30日前将联络员名单和专家委员会成员名单报送我部。
(二)限时报送备案情况。各省级卫生行政部门要于2011年12月30日前将本地区已定级备案的卫生信息系统情况报送我部。
(三)完成定级备案工作。卫生行业各单位要于2012年5月30日前完成本单位信息系统的定级备案工作。
(四)开展安全建设整改工作。卫生行业各单位要根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案。要于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
二、相关要求
(一)卫生行业各单位要按照“遵循标准、重点保护,行业指导、属地管理,同步建设、动态完善”的原则,建立信息安全等级保护工作长效机制。
(二)各省级卫生行政部门要督促本地区卫生行业各单位按照《指导意见》要求,开展信息安全等级保护工作。
(三)各省级卫生行政部门等级保护工作联络员发生变化时,应当及时向我部报告。
(四)各省级卫生行政部门要及时向我部报告工作进展情况,并于每年第四季度报送本地区信息安全等级保护工作总结。
二○一一年十二月七日
第二篇:卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知
附件:
卫 生 部 文 件
卫办发„2011‟85号
卫生部关于印发《卫生行业
信息安全等级保护工作的指导意见》的通知
各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安„2009‟1429号)要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。现印发给你们,请遵照执行。
联系人:卫生部统计信息中心 杨慧清、矫涌本 联系电话:010-68791029、68792497 传真:010-68792836
二〇一一年十二月二日 卫生行业信息安全等级保护
工作的指导意见
卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会 秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实 信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照 2 国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业 信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信 息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。
卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政 策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流,协调落实本地区信 息安全等级保护工作。
卫生部和各省级卫生行政部门应当分别建立信息安全技术 3 专家委员会,参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。
四、工作任务
(一)定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当 4 经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标 准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促 6 本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
五、工作要求
(一)高度重视,加强领导。卫 生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总 责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
(二)保障经费,加强监管。卫生行业各单位要建立经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算,并加强对资金使用的监管。
(三)加强沟通,密切合作。各级卫生行政部门应当加强与本地信息安全等级保护管理部门的沟通交流,建立协作机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等级保护工作。
第三篇:教育部办公厅关于开展信息系统安全等级保护工作的通知
附件1:
教育部办公厅关于开展信息系统安全等级
保护工作的通知
教办厅函[2009]80
号
各省、自治区、直辖市教育厅(教委),各计划单列市教育局,新疆生产建设兵团教育局,部属各高等学校:
信息系统安全等级保护制度是构建国家信息安全保障体系的基本制度。为进一步做好教育系统信息安全工作,提高教育信息系统安全保障能力和水平,经研究,决定在教育系统全面开展信息系统安全等级保护工作。有关要求通知如下:
一、教育信息系统安全等级保护工作的目标
落实国家有关信息系统安全等级保护制度建设的文件要求,增强各地、各校主管部门领导的信息安全保护意识;开展技术培训,建立信息安全技术队伍,建立健全教育系统信息安全等级保护技术保障体系;全面开展教育系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改,用3年左右时间,基本建立教育系统信息系统安全等级保护体系,切实提高教育信息系统安全水平,保证教育信息化的健康持续发展。
二、教育信息系统安全等级保护工作的内容
1.按照国家信息安全等级保护有关要求,对教育系统各级行政部门、各级各类学校信息安全工作部门主管领导及技术骨干人员进行培训。
2.信息系统安全定级和备案。各单位对本单位信息系统进行定级,对二级以上的信息系统要办理备案手续。
3.对三级以上信息系统开展信息安全等级测评工作。根据测评结果,不符合要求的,要制订整改方案进行整改。
4.根据公安部门要求,在教育系统联合开展信息系统安全等级保护监督检查工作。
三、教育信息系统安全等级保护工作的安排
1.教育部教育管理信息中心负责教育系统信息安全等级保护工作的组织实施,并配合公安部门在教育系统内开展监督检查工作。
2.人员培训。到2010年底,基本完成高校及地市级以上教育行政部门的培训工作,每单位至少培训1名信息系统安全主管和1名技术骨干;到2012年,基本完成其余教育行政部门和学校的培训工作,每单位至少培训1名信息安全人员。对参加培训考核合格人员颁发相应证书。
3.信息系统定级备案。由参加过培训并具有考核合格证书的人员对本单位信息系统协助进行定级。高校及地市级以上教育行政部门三级以上的信息系统要在教育部教育管理信息中心和当地公安部门同时办理备案手续。已建三级以上信息系统未办理备案手续或仅在当地公安部门办理手续的,2010年4月前要完成补办工作。
4.信息系统安全等级测评和整改。教育部教育管理信息中心根据国家有关规定对三级教育信息系统每年进行一次安全等级测评,四级教育信息系统每半年进行一次等级测评。每年11月前完成安全测评。不符合要求的信息系统在第二年4月前完成整改工作。
各地、各校要充分认识信息安全等级保护工作的重要性,提高信息系统安全意识,明确机构和责任,将信息安全等级保护建设、测评、培训等各项费用纳入预算,并为信息安全等级保护工作开展提供必要的工作便利。
教育部办公厅
二○○九年十一月十一日
第四篇:陕西省卫生厅关于印发陕西省卫生行业信息安全等级保护工作实施方案的通知
陕西省卫生厅关于印发陕西省卫生行业信息安全等级保护工作实施
方案的通知
陕卫办发〔2012〕132号
各设区市卫生局,杨凌示范区社会事业局,厅直属、部属各医疗卫生单位、厅机关各处室:
现将《陕西省卫生行业信息安全等级保护工作实施方案》印发给你们,请遵照执行。
二〇一二年四月十六日
陕西省卫生行业信息安全等级保护工作实施方案
信息安全等级保护是一项重要国家安全制度,为了规范和指导卫生行业信息安全等级保护工作,卫生部印发了《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)。按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)和卫生部有关要求,结合我省卫生行业实际,特制定本实施方案。
一、指导思想和基本原则
(一)指导思想
以科学发展观为指导,认真贯彻落实国家和省有关信息安全等级保护规定和要求,维护和保障国家信息安全、人民群众个人权益,促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序。
(二)基本原则
1、遵循标准,重点保护。遵循国家和省信息安全等级保护相关标准规范,结合我省卫生行业信息系统实际,优先保护重要的、涉及面广、遭受破坏对社会危害程度大的信息系统,优先满足重点信息系统安全需求。
2、行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。各市级卫生行政部门要按照国家和省信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导、管理和保护工作。各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
3、同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
二、建设目标
依据国家、省信息安全等级保护制度,遵循相关标准规范,在全省卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
三、主要任务
(一)定级备案
1、卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全等级保护原则上不低于第三级:
(1)全省卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨市全省联网运行的信息系统;
(2)省、市、县三级区域卫生信息平台、业务系统(新农合、卫生监督、妇幼保健等)及数据中心;
(3)二级及以上医院的核心业务信息系统(电子病历、财务);
(4)其他经过信息安全技术专家技术指导组评定为第三级以上(含第三级)的信息系统。
2、拟定为第三级以上(含第三级)的卫生信息系统,应当经当地信息安全技术专家技术指导组论证、评审。
3、各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关网安部门及卫生行政部门备案。跨市全省联网运行并由省卫生厅定级的信息系统,由省卫生厅报省公安厅备案;在各市、县运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改
1、对确定安全保护等级第二级以上(含第二级)的卫生信息系统,应当按照国家、省信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等标准,开展安全保护现状分析,查找安全隐患及与信息安全等级保护标准之间的差距,确定安全需求。
2、根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家技术指导组论证。
3、各地各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评
1、系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从省信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2、测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3、对第三级以上(含第三级)卫生信息系统每年应当进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训
1、省卫生厅将集中开展信息安全等级保护培训,各市、县卫生行政部门信息化工作领导小组也要对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2、各医疗卫生单位要积极组织开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查
1、省卫生厅信息化工作领导小组办公室负责督导检查各市和厅直属、部属医疗卫生机构信息安全等级保护工作落实情况,并督促厅机关重要信息系统责任单位开展信息安全等级保护工作。
2、市级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并负责本单位开展信息安全等级保护工作。
3、市级卫生行政部门信息化工作领导小组应当于每年12月15日前,向省卫生厅信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
四、时间安排
(一)第一阶段。2012年7月底以前,按照《陕西省卫生行业信息安全等级保护实施方案》,建立省、市二级信息安全等级保护专家技术指导组,确定信息安全等级保护工作联络员,并完成技术培训。
(二)第二阶段。2012年底前,完成三级甲等医院的核心业务信息系统,已建成运行跨市全省联网运行的信息系统的定级、保护和备案工作。
(三)第三阶段。2013年12月30日前,完成二级及区域卫生信息平台等及其它已建成运行的业务信息系统的定级、保护和备案。
五、保障措施
(一)加强组织领导。各级医疗卫生机构要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要领导要负总责,分管领导要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
省卫生厅成立陕西省卫生行业信息安全等级保护专家技术指导组,为各地、各医疗卫生单位业务信息系统定级、测评、备案提供技术指导和业务培训。建立省、市二级信息安全等级保护工作联络员机制。联络员职责是落实国家、省信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与省卫生厅及同级公安部门进行日常联系和交流。
(二)保障经费,加强监管。各级医疗卫生机构要建立经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算,并加强对资金使用的监管。
(三)加强沟通,密切合作。各级卫生行政部门应当加强与当地公安部门的沟通交流,建立协作机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等级保护工作。
第五篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
![下载11[1126]卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(推荐阅读)word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 