益卫函〔2013〕218 号
益阳市卫生局关于开展
卫生系统信息安全检查工作的通知
各区县(市)卫生局、大通湖区社会发展局、益阳高新区社会工作部,市直各医疗卫生单位:
按照《国家卫生计生委办公厅关于开展卫生计生领域信息安全检查工作的通知》(国卫办规划函〔2013〕51号)以及工业和信息化部《关于印发2013年重点领域信息安全检查工作方案的函》(工信部协函〔2013〕259号)和湖南省卫生厅《关于开展卫生系统信息安全检查工作的通知》(湘卫办发〔2013〕28号)要求,市卫生局将在全市范围内开展卫生系统信息安全检查工作。现将有关事项通知如下:
一、检查目的
通过开展常态化的信息安全检查,进一步落实信息安全责任,增强信息安全意识,认真查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。
二、检查内容
(一)信息安全管理制度的建设及落实情况。按照国家信息安全政策和标准规范要求,建立健全信息安全管理规章制度。重点检查信息安全主管领导、管理机构、工作人员履职情况,信息安全责任落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,信息安全经费保障情况等。其中包括数据中心用户权限、系统运行、网络通信、数据管理以及机房安全、设备安全、紧急情况处理流程等规章制度是否健全完善,是否按照机房和数据管理要求,配备专业的系统管理员和数据库管理员等维护操作人员,并加强对维护和操作人员的培训和管理,明确责任,将各项安全管理制度落到实处。
(二)安全防护情况。网络与信息系统防毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查重要网络与信息系统的安全防护情况,包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;数据审计系统、日志服务器、监控系统的运行情况;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。
(三)数据保护情况。数据管理安全意识和日常监管措施,数据维护、管理等软硬件设施建设。重点检查应用系统的数据备份工作,备份数据是否安全、有效,是否建立异地容灾中心,全面、有效地防范和化解信息系统及数据库风险;重要业务数据的传输、迁移是否采用密码技术或者特殊的防护手段;计算机存储介质的恢复和销毁工作是否严格按照信息安全管理的有关规定进行,由具有专业处理资质的单位进行处理,并做好登记;是否对开发运维商进行权限管理,授予开发运维商有限的操作权限并与开发运维商签订数据安全保密协议。
(四)应急工作情况。按照国家网络与信息安全事件应急预案要求,建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制定修订情况,应急预案演练情况;应急技术支撑队伍、灾难备份与恢复措施建设情况,重大信息安全事件处置及查处情况等。
(五)安全教育培训情况。重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。
(六)信息安全等级保护工作开展情况。重点检查信息系统等级保护定级备案、测评开展工作。是否按照省卫生厅、公安厅《关于印发<湖南省卫生行业信息系统安全等级保护工作实施方案>的通知》(湘卫办发〔2012〕28号)要求,认真组织实施卫生信息系统安全等级保护工作。
三、检查方式
信息安全检查工作按照“谁主管谁负责、谁运行谁负责”的原则,以自查和抽查相结合的方式开展。市卫生局负责网络与信息安全检查的组织、协调和指导工作。
(一)自查工作
1.市直各医疗卫生单位负责本单位的信息系统自查工作。
2.各区县(市)卫生局负责组织本地区卫生行业信息系统的自查工作。
3.自查工作完成后,各单位要对检查情况进行全面汇总,填写检查结果统计表(附件1),认真梳理存在的主要问题,分析评估安全风险,撰写自查总结报告(附件2)。
(二)抽查工作
市卫生局组织对部分重点单位信息安全进行抽查,查找安全漏洞和隐患,评估信息安全防护能力和水平,研究提出改进和加强信息安全保障的措施与建议。
四、时间安排
(一)自查时间进度安排
1.实施阶段:8月22日~9月15日。
2.总结上报阶段:9月15日~9月20日。
(二)抽查时间进度安排
实施时间:9月21日~9月30日
五、信息报送
2013年9月20日前,各区(县)市卫生局、市直医疗卫生单位将检查总结报告(附件2)连同检查结果统计表(附件1)报送市卫生局办公室。
六、工作要求
(一)加强组织领导。各级各单位要高度重视此次检查工作,切实加强组织领导,精心部署,落实工作责任,确保检查顺利实施并取得实效。
(二)加强整改落实。对检查中发现的问题及时分析研究,采取有效措施加以整改。条件不具备不能立刻整改的,要制定整改计划、整改方案及整改时间表,并采取临时防范措施,确保网络与信息系统安全正常运行。
(三)加强保密管理。在检查中,要严格按照有关保密规定和要求,切实加强保密管理。
联 系 人: 唐启超 伍力
联系电话:0737-4301120
电子邮箱:yywsyj@sina。com
附件:1.地方/行业信息安全检查结果统计表
2.信息安全总结报告参考格式
益阳市卫生局
2013年8月26日
附件1
地方/行业信息安全检查结果统计表
市/州/单位名称: | ||||||||||||||||
一、重要信息系统安全检查情况 | ||||||||||||||||
基本情况 | 重要信息系统总数: (请另附系统清单) | |||||||||||||||
(按服务对象 进行统计) | 1. 面向社会公众提供服务的系统数量: 2. 不面向社会公众提供服务的系统数量: | |||||||||||||||
(按联网情况 进行统计) | 1. 通过互联网可直接访问的系统数量: 2. 通过互联网不能直接访问的系统数量: 其中,与互联网物理隔离的系统数量: | |||||||||||||||
(按数据集中情况进行统计) | 1. 全国数据集中的系统数量: 2. 省级数据集中的系统数量: 3. 未进行数据集中的系统数量: | |||||||||||||||
(按业务连续性进行统计) | 1. 可容忍中断时间小于30分钟的系统数量: 2. 可容忍中断时间大于30分钟、小于12小时的系统数量: 3. 可容忍中断时间大于12小时的系统数量: | |||||||||||||||
(按灾备情况 进行统计) | 1. 进行系统级灾备的系统数量: 2. 仅对数据进行灾备的系统数量: 3. 无灾备的系统数量: | |||||||||||||||
系统 构成情况 | 主要硬件和软件 |
| 服务器 | 路由器 | 交换机 | 防火墙 | 磁盘阵列 | 磁带库 | 操作系统 | 数据库 | ||||||
国内品牌数量 (台/套) |
|
|
|
|
|
|
|
| ||||||||
国外品牌数量 (台/套) |
|
|
|
|
|
|
|
| ||||||||
业务应用 软件系统 (统计3年内数据) | 1. 自主设计开发(不含二次开发)的套数: 2. 委托国内厂商开发的套数: 委托国外厂商开发的套数: 3. 直接采购国内厂商产品的套数: 直接采购国外厂商产品的套数: | |||||||||||||||
二、重要工业控制系统安全检查情况 | ||||||||||||||||
基本情况 | 重要工业控制系统运营单位总数: 家 重要工业控制系统总数: 套 | |||||||||||||||
系统类型情况 |
| 国内品牌 | 国外品牌 | |||||||||||||
数据采集与监控(SCADA)系统 | 套 | 套 | ||||||||||||||
分布式控制系统(DCS) | 套 | 套 | ||||||||||||||
过程控制系统(PCS) | 套 | 套 | ||||||||||||||
可编程控制器(PLC) | 台 | 台 | ||||||||||||||
工业控制网络 连接情况 | 1. 直接与互联网连接的重要工业控制系统数量: 套 2. 与内部局域网连接的重要工业控制系统数量: 套 3. 含有无线接入方式的重要工业控制系统数量: 套 | |||||||||||||||
运行维护情况 | 1. 采用远程方式运行维护的重要工业控制系统数量: 套 2. 由国内厂商提供运行维护服务的重要工业控制系统数量: 套 3. 由国外厂商提供运行维护服务的重要工业控制系统数量: 套 | |||||||||||||||
信息安全 防护情况 | 1. 网络边界处架设网络安全设备的重要工业控制系统数量: 套 2. 安装防病毒软件或设备的重要工业控制系统数量: 套 3. 定期进行安全更新的重要工业控制系统数量: 套 4. 采取加密措施传输、存储敏感数据的重要工业控制系统数量: 套 | |||||||||||||||
三、本年度信息安全事件及技术检测情况 | ||||||||||||||||
信息安全事件[1]情况 | 特别重大信息安全事件次数: 重大信息安全事件次数: 较大信息安全事件次数: 一般信息安全事件次数: | |||||||||||||||
地区/行业统一组织的技术检测情况 | 恶意代码[2]检测 | ①进行过病毒木马等恶意代码检测的服务器台数:___________ 其中,存在恶意代码的服务器台数:___________ ②进行过病毒木马等恶意代码检测的终端计算机台数:_________ 其中,存在恶意代码的终端计算机台数:___________ | ||||||||||||||
安全漏洞检测 | ①进行过漏洞扫描的服务器台数:___________ 其中,存在漏洞的服务器台数:___________ 存在高风险漏洞[3]的服务器台数:___________ ②进行过漏洞扫描的终端计算机台数:___________ 其中,存在漏洞的终端计算机台数:___________ 存在高风险漏洞的终端计算机台数:___________ | |||||||||||||||
| | | | | | | | | | | | | | | | |
附件2
信息安全总结报告参考格式
一、自查工作总结报告名称
×××(区县、部门、行业名称)信息安全自查工作总结报告
二、主报告内容要求
(一)本地区(部门、行业)信息安全自查工作组织开展情况。概述此次安全检测工作组织开展情况、所检查的重要信息系统基本情况。
(二)本地区(部门、行业)信息安全工作情况。对照《检查通知》要求,逐项、详细描述本地区(部门、行业)在安全管理、技术防护、应急处置、安全教育培训与安全问题整改方面工作的检查结果。
(三)本地区(部门、行业)自查发现的主要问题和面临的威胁分析。
1.发现的主要问题和薄弱环节
2.面临的安全威胁与风险
3.整体安全状况的基本判断
(四)改进措施及整改效果。
1.改进措施
2.整改效果
(五)关于加强信息安全工作的意见和建议。
[1]信息安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)
[2]本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
[3]本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。