各市州衛(wèi)生局,部省直各醫(yī)療衛(wèi)生單位:
按照《國家衛(wèi)生計生委辦公廳關于開展衛(wèi)生計生領域信息安全檢查工作的通知》(國衛(wèi)辦規(guī)劃函〔2013〕51號)以及工業(yè)和信息化部《關于印發(fā)2013年重點領域信息安全檢查工作方案的函》(工信部協函〔2013〕259號)要求���,我廳將在全省范圍內開展衛(wèi)生系統(tǒng)信息安全檢查工作���,F將有關事項通知如下:
一�、檢查目的
通過開展常態(tài)化的信息安全檢查��,進一步落實信息安全責任�,增強人員信息安全意識,認真查找突出問題和薄弱環(huán)節(jié)���,全面排查安全隱患和安全漏洞�����,分析評估信息安全狀況和防護水平�,有針對性地采取管理和技術防護措施��,促進安全防范水平和安全可控能力提升����,預防和減少重大信息安全事件的發(fā)生,切實保障信息安全�。
二、檢查內容
(一)信息安全管理制度的建設及落實情況���。按照國家信息安全政策和標準規(guī)范要求���,建立健全信息安全管理規(guī)章制度及落實情況�。重點檢查信息安全主管領導����、管理機構、工作人員履職情況�,信息安全責任落實及事故責任追究情況,人員�、資產、采購�、外包服務等日常安全管理情況,信息安全經費保障情況等�。其中包括數據中心用戶權限、系統(tǒng)運行��、網絡通信��、數據管理以及機房安全��、設備安全���、緊急情況處理流程等規(guī)章制度是否健全完善���,是否按照機房和數據管理要求,配備專業(yè)的系統(tǒng)管理員和數據庫管理員等維護操作人員�����,并加強對維護和操作人員的培訓和管理�,明確責任,將各項安全管理制度落到實處�。
(二)安全防護情況。網絡與信息系統(tǒng)防毒�、防攻擊、防篡改����、防癱瘓、防泄密等技術措施及有效性���。重點檢查重要網絡與信息系統(tǒng)的安全防護情況����,包括技術防護體系建立情況�����;網絡邊界防護措施,不同網絡或信息系統(tǒng)之間安全隔離措施��,互聯網接入安全防護措施�����,無線局域網安全防護策略等�����;服務器����、網絡設備、安全設備等安全策略配置及有效性�,應用系統(tǒng)安全功能配置及有效性;數據審計系統(tǒng)�、日志服務器、監(jiān)控系統(tǒng)的運行情況����;終端計算機、移動存儲介質安全防護措施�;重要數據傳輸、存儲的安全防護措施等�����。
(三)數據保護情況�。數據管理安全意識和日常監(jiān)管措施,數據維護�����、管理等軟硬件設施建設����。重點檢查應用系統(tǒng)的數據備份工作,備份數據是否安全��、有效���,是否建立異地容災中心����,全面���、有效地防范和化解信息系統(tǒng)及數據庫風險�;重要業(yè)務數據的傳輸�、遷移是否采用密碼技術或者特殊的防護手段���;計算機存儲介質的恢復和銷毀工作是否嚴格按照信息安全管理的有關規(guī)定進行,由具有專業(yè)處理資質的單位進行處理�����,并做好登記�;是否對開發(fā)運維商進行權限管理,授予開發(fā)運維商有限的操作權限并與開發(fā)運維商簽訂數據安全保密協議�����。
(四)應急工作情況�����。按照國家網絡與信息安全事件應急預案要求���,建立健全信息安全應急工作機制情況��。重點檢查信息安全事件應急預案制定修訂情況��,應急預案演練情況���;應急技術支撐隊伍�����、災難備份與恢復措施建設情況,重大信息安全事件處置及查處情況等�����。
(五)安全教育培訓情況����。重點檢查信息安全和保密形勢宣傳教育、領導干部和各級人員信息安全技能培訓���、信息安全管理和技術人員專業(yè)培訓情況等����。
(六)信息安全等級保護工作開展情況�。重點檢查信息系統(tǒng)等級保護定級備案、測評開展工作�。是否按照省衛(wèi)生廳、公安廳《關于印發(fā)<湖南省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護工作實施方案>的通知》(湘衛(wèi)辦發(fā)〔2012〕28號)要求���,認真組織實施衛(wèi)生信息系統(tǒng)安全等級保護工作�。
三、檢查方式
信息安全檢查工作按照“誰主管誰負責�����、誰運行誰負責”的原則����,以自查和抽查相結合的方式開展。省衛(wèi)生廳負責網絡與信息安全檢查行動的組織���、協調和指導工作�。
(一)自查工作�。
1.部省直各醫(yī)療衛(wèi)生單位負責本單位的信息系統(tǒng)自查工作。
2.各市州衛(wèi)生局負責組織本地區(qū)衛(wèi)生行業(yè)信息系統(tǒng)的自查工作�����。
3.自查工作完成后����,各單位要對檢查情況進行全面匯總,填寫檢查結果統(tǒng)計表(附件1)�����,認真梳理存在的主要問題,分析評估安全風險�����,編寫自查總結報告(附件2)����。
(二)抽查工作���。由省衛(wèi)生宣傳教育信息中心組織信息安全專業(yè)檢查隊伍�����,對部分重點單位信息安全進行抽查��,查找安全漏洞和隱患���,評估信息安全防護能力和水平,研究提出改進和加強信息安全保障的措施與建議�。
四、時間安排
(一)自查時間進度安排����。
1.實施階段:8月15日 - 9月15日�。
2.總結上報階段:9月15日-9月20日��。
(二)抽查時間進度安排���。
1.實施時間:8月20日-9月25日
2.總結上報階段:9月25日-9月30日
五��、信息報送
2013年9月30日前�����,市州衛(wèi)生局���、部省直各醫(yī)療衛(wèi)生單位將檢查總結報告(附件2)連同檢查結果統(tǒng)計表(附件1)報送省衛(wèi)生廳。
六��、工作要求
(一)加強組織領導���。各級各單位要高度重視此次檢查工作�,切實加強組織領導��,精心部署�,落實工作責任���,確保檢查順利實施并取得實效。
(二)加強整改落實��。各單位按照通知要求��,對檢查中發(fā)現的問題及時分析研究�,采取有效措施加以整改。因條件不具備不能立刻整改的�,要制定整改計劃、整改方案及整改時間表����,并采取臨時防范措施���,確保網絡與信息系統(tǒng)安全正常運行��。
(三)加強保密管理����。在檢查行動中���,各級各單位要嚴格按照有關保密規(guī)定和要求����,切實加強保密管理。
聯 系 人:省衛(wèi)生宣教信息中心 文華南
聯系電話:0731-84822296
電子郵箱:wangluoglk@163����。com
附件:1.地方/行業(yè)信息安全檢查結果統(tǒng)計表
2.信息安全總結報告參考格式
湖南省衛(wèi)生廳
2013年8月15日
(信息公開形式:主動公開)
