第一篇：衛(wèi)生行業(yè)信息安全等級保護工作的指導意見2011-85(精)

衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工 作的指導意見》的通知 衛(wèi)辦發(fā)〔2011〕85號

各省、自治區(qū)、直轄市衛(wèi)生廳局,新疆生產建設兵團及計劃單列市衛(wèi)生局,部直屬各單位,部機關各司局: 為貫徹落實國家信息安全等級保護制度,規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作,按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號要求,我部結合衛(wèi)生行業(yè)實際,研究制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》?，F(xiàn)印發(fā)給你們,請遵照執(zhí)行。

二〇一一年十一月二十九日

衛(wèi)生行業(yè)信息安全等級保護工作的指導意見衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作,對于促進衛(wèi)生信息化健康發(fā)展,保障醫(yī)藥衛(wèi)生體制改革,維護公共利益、社會秩序和

國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度,規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作,制定本指導意見。

一、工作目標

依據(jù)國家信息安全等級保護制度,遵循相關標準規(guī)范,在衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,明確信息安全保障重點,落實信息安全責任,建立信息安全等級保護工作長效機制,切實提高衛(wèi)生行業(yè)信息安全防護能力、隱患發(fā)現(xiàn)能力、應急處置能力,為衛(wèi)生信息化健康發(fā)展提供可靠保障,全面維護公共利益、社會秩序和國家安全。

二、工作原則

(一遵循標準,重點保護。遵循國家信息安全等級保護相關標準規(guī)范,結合衛(wèi)生行業(yè)信息系統(tǒng)特點,優(yōu)先保護重要衛(wèi)生信息系統(tǒng),優(yōu)先滿足重點信息安全需求。

(二行業(yè)指導,屬地管理。衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導、屬地管理。地方各級衛(wèi)生行政部門要按照國家信息安全等級保護制度有關要求,做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導和管理工作。衛(wèi)生行業(yè)各單位要按照“誰主管、誰負責,誰運營、誰負責”的要求,落實

信息安全責任。

(三同步建設,動態(tài)完善。在信息系統(tǒng)規(guī)劃設計與建設過程中,同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務類型、應用范圍等條件改變導致安全需求發(fā)生變化時,應當重新調整信息系統(tǒng)安全保護等級,及時完善安全保障措施。

三、工作機制

地方各級衛(wèi)生行政部門承擔本地衛(wèi)生信息安全責任,信息化工作領導小組統(tǒng)籌組織本地衛(wèi)生信息安全等級保護工作。衛(wèi)生部信息化工作領導小組負責對全國衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調、監(jiān)督指導,并組織開展部機關信息安全等級保護工作。省級、地市級衛(wèi)生行政部門信息化工作領導小組負責對本地區(qū)衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調、監(jiān)督指導,并組織開展本單位信息安全等級保護工作。

衛(wèi)生部建立信息安全等級保護工作聯(lián)絡員機制,各省級衛(wèi)生行政部門應當設置信息安全等級保護工作聯(lián)絡員。聯(lián)絡員職責是落實國家信息安全等級保護工作的有關政策和技術標準,掌握本地區(qū)信息安全等級保護工作動態(tài)和總體情況,代表本地區(qū)與衛(wèi)生部及同級信息安全等級保護管理部門

進行日常聯(lián)系和交流,協(xié)調落實本地區(qū)信息安全等級保護工作。衛(wèi)生部和各省級衛(wèi)生行政部門應當分別建立信息安全

技術專家委員會,參與信息系統(tǒng)定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛(wèi)生行業(yè)、公安機關及信息安全技術等專家。

四、工作任務(一定級備案。

1.衛(wèi)生行業(yè)各單位應當對本單位建設與運營的衛(wèi)生信息系統(tǒng)進行自查,對未定級、定級不準的信息系統(tǒng),應當按照《信息安全技術信息系統(tǒng)安全等級保護定級指南》開展定級工作。

國家信息安全等級保護制度將信息安全保護等級分為

五級:第一級為自主保護級,第二級為指導保護級,第三級為監(jiān)督保護級,第四級為強制保護級,第五級為專控保護級。以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級:(1衛(wèi)生統(tǒng)計網(wǎng)絡直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系

統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng);(2國家、省、地市三級衛(wèi)生信息平臺,新農合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心;(3三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng);(4衛(wèi)生部網(wǎng)站系統(tǒng);(5其他經過信息安全技術專家委員會評定為第三級以上(含第三級的信息系統(tǒng)。

2.擬定為第三級以上(含第三級的衛(wèi)生信息系統(tǒng),應當經信息安全技術專家委員會論證、評審。

3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護等級后,對第二級以上(含第二級信息系統(tǒng),應當報屬地公安機關及衛(wèi)生行政部門備案?？缡∪珖?lián)網(wǎng)運行并由衛(wèi)生部定級的信息系統(tǒng),由衛(wèi)生部報公安部備案;在各地運行、應用的分支系統(tǒng),應當報屬地公安機關備案。

(二建設與整改。

1.對已確定安全保護等級的第二級以上(含第二級衛(wèi)生信息系統(tǒng),應當按照國家信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等國家標

準，開展安全保護現(xiàn)狀分析，查找安全隱患及與國家信息安 全等級保護標準之間的差距，確定安全需求。2.根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結果，按照《信息安 全技術信息系統(tǒng)安全等級保護基本要求》、《信息安全技術 信息系統(tǒng)等級保護安全設計技術要求》等國家標準，制訂信 息系統(tǒng)安全等級保護建設整改方案。第三級以上（含第三級）衛(wèi)生信息系統(tǒng)安全建設整改方案應當經信息安全技術專家 委員會論證。3.衛(wèi)生行業(yè)各單位應當按照信息系統(tǒng)安全建設整改方 案，完善安全保護設施，建立安全管理制度，落實安全管理 措施，形成信息安全技術防護體系和信息安全管理體系，有 效保障衛(wèi)生信息系統(tǒng)安全。

（三）等級測評。1.系統(tǒng)建設整改工作完成后，應當按照《信息安全等級 保護管理辦法》要求，從全國信息安全等級保護測評機構推 薦目錄中選擇等級測評機構，對第三級以上（含第三級）衛(wèi) 生信息系統(tǒng)進行等級測評。2.測評合格后，應當將測評報告報屬地公安機關及衛(wèi)生 行政部門備案。

3.應當每年對第三級以上（含第三級）衛(wèi)生信息系統(tǒng)進 行等級測評。對于重要部門的第二級信息系統(tǒng)，可參照上述 要求進行等級測評。

（四）宣傳培訓。1.各級衛(wèi)生行政部門信息化工作領導小組應當對本地 區(qū)各級各類醫(yī)療衛(wèi)生機構開展等級保護政策和標準規(guī)范培 訓，提高各單位信息安全管理人員的技術能力和管理水

平。2.衛(wèi)生行業(yè)各單位應當開展內部信息安全培訓，提升全 員信息安全意識，規(guī)范信息安全操作行為，提高信息安全保 障能力。

（五）監(jiān)督檢查。1.衛(wèi)生部信息化工作領導小組負責督導檢查各地醫(yī)療 衛(wèi)生機構信息安全等級保護工作落實情況，并督促部機關重 要信息系統(tǒng)責任單位開展信息安全等級保護工作。2.省級衛(wèi)生行政部門信息化工作領導小組負責督導檢 查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況，并督促本單位開展信息安全等級保護工作。3.省級衛(wèi)生行政部門信息化工作領導小組應當于每年 年底，向衛(wèi)生部信息化工作領導小組報送本地區(qū)信息系統(tǒng)定

級備案、建設整改、等級測評和自查等工作開展情況。

五、工作要求

（一）高度重視，加強領導。衛(wèi)生行業(yè)各單位要高度重 視，充分認識信息安全等級保護工作對保護居民健康信息安 全、醫(yī)療衛(wèi)生機構正常運轉和社會穩(wěn)定的重要意義。各單位 主要負責同志要負總責，分管負責同志要具體抓，明確職責 與任務，突出重點，將信息安全等級保護工作列入重要議事 日程和工作績效考核指標，一級抓一級，層層抓落實。

（二）保障經費，加強監(jiān)管。衛(wèi)生行業(yè)各單位要建立經 費投入機制，將信息安全等級保護建設整改、等級測評、信 息安全服務、技術培訓等費用納入信息化建設預算，并加強 對資金使用的監(jiān)管。

（三）加強溝通，密切合作。各級衛(wèi)生行政部門應當加 強與本地信息安全等級保護管理部門的溝通交流，建立協(xié)作 機制，在信息安全等級保護工作中的定級備案、建設整改、等級測評、監(jiān)督檢查等環(huán)節(jié)密切合作，共同推進信息安全等 級保護工作。

第二篇：衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知

附件：

衛(wèi) 生 部 文 件

衛(wèi)辦發(fā)?2011?85號

衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)

信息安全等級保護工作的指導意見》的通知

各省、自治區(qū)、直轄市衛(wèi)生廳局，新疆生產建設兵團及計劃單列市衛(wèi)生局，部直屬各單位，部機關各司局：

為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作，按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安?2009?1429號）要求，我部結合衛(wèi)生行業(yè)實際，研究制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》?，F(xiàn)印發(fā)給你們，請遵照執(zhí)行。

聯(lián)系人：衛(wèi)生部統(tǒng)計信息中心 楊慧清、矯涌本 聯(lián)系電話：010－68791029、68792497 傳真：010－68792836

二〇一一年十二月二日 衛(wèi)生行業(yè)信息安全等級保護

工作的指導意見

衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作，對于促進衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護公共利益、社會 秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作，制定本指導意見。

一、工作目標

依據(jù)國家信息安全等級保護制度，遵循相關標準規(guī)范，在衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實 信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛(wèi)生行業(yè)信息安全防護能力、隱患發(fā)現(xiàn)能力、應急處置能力，為衛(wèi)生信息化健康發(fā)展提供可靠保障，全面維護公共利益、社會秩序和國家安全。

二、工作原則

（一）遵循標準，重點保護。遵循國家信息安全等級保護相關標準規(guī)范，結合衛(wèi)生行業(yè)信息系統(tǒng)特點，優(yōu)先保護重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點信息安全需求。

（二）行業(yè)指導，屬地管理。衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導、屬地管理。地方各級衛(wèi)生行政部門要按照 2 國家信息安全等級保護制度有關要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導和管理工作。衛(wèi)生行業(yè)各單位要按照“誰主管、誰負責，誰運營、誰負責”的要求，落實信息安全責任。

（三）同步建設，動態(tài)完善。在信息系統(tǒng)規(guī)劃設計與建設過程中，同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務類型、應用范圍等條件改變導致安全需求發(fā)生變化時，應當重新調整信息系統(tǒng)安全保護等級，及時完善安全保障措施。

三、工作機制

地方各級衛(wèi)生行政部門承擔本地衛(wèi)生信息安全責任，信息化工作領導小組統(tǒng)籌組織本地衛(wèi)生信息安全等級保護工作。衛(wèi)生部信息化工作領導小組負責對全國衛(wèi)生行業(yè) 信息安全等級保護工作的組織協(xié)調、監(jiān)督指導，并組織開展部機關信息安全等級保護工作。省級、地市級衛(wèi)生行政部門信息化工作領導小組負責對本地區(qū)衛(wèi)生行業(yè)信 息安全等級保護工作的組織協(xié)調、監(jiān)督指導，并組織開展本單位信息安全等級保護工作。

衛(wèi)生部建立信息安全等級保護工作聯(lián)絡員機制，各省級衛(wèi)生行政部門應當設置信息安全等級保護工作聯(lián)絡員。聯(lián)絡員職責是落實國家信息安全等級保護工作的有關政 策和技術標準，掌握本地區(qū)信息安全等級保護工作動態(tài)和總體情況，代表本地區(qū)與衛(wèi)生部及同級信息安全等級保護管理部門進行日常聯(lián)系和交流，協(xié)調落實本地區(qū)信 息安全等級保護工作。

衛(wèi)生部和各省級衛(wèi)生行政部門應當分別建立信息安全技術 3 專家委員會，參與信息系統(tǒng)定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛(wèi)生行業(yè)、公安機關及信息安全技術等專家。

四、工作任務

（一）定級備案。

1．衛(wèi)生行業(yè)各單位應當對本單位建設與運營的衛(wèi)生信息系統(tǒng)進行自查，對未定級、定級不準的信息系統(tǒng),應當按照《信息安全技術信息系統(tǒng)安全等級保護定級指南》開展定級工作。

國家信息安全等級保護制度將信息安全保護等級分為五級：第一級為自主保護級，第二級為指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級：

（1）衛(wèi)生統(tǒng)計網(wǎng)絡直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)；

（2）國家、省、地市三級衛(wèi)生信息平臺，新農合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心；

（3）三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)；（4）衛(wèi)生部網(wǎng)站系統(tǒng)；

（5）其他經過信息安全技術專家委員會評定為第三級以上（含第三級）的信息系統(tǒng)。

2.擬定為第三級以上（含第三級）的衛(wèi)生信息系統(tǒng)，應當 4 經信息安全技術專家委員會論證、評審。

3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護等級后，對第二級以上（含第二級）信息系統(tǒng)，應當報屬地公安機關及衛(wèi)生行政部門備案。跨省全國聯(lián)網(wǎng)運行并由衛(wèi)生部定級的信息系統(tǒng)，由衛(wèi)生部報公安部備案；在各地運行、應用的分支系統(tǒng)，應當報屬地公安機關備案。

（二）建設與整改。

1.對已確定安全保護等級的第二級以上（含第二級）衛(wèi)生信息系統(tǒng)，應當按照國家信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等國家標準，開展安全保護現(xiàn)狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。

2.根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結果，按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》、《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》等國家標 準，制訂信息系統(tǒng)安全等級保護建設整改方案。第三級以上（含第三級）衛(wèi)生信息系統(tǒng)安全建設整改方案應當經信息安全技術專家委員會論證。

3.衛(wèi)生行業(yè)各單位應當按照信息系統(tǒng)安全建設整改方案，完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術防護體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。

（三）等級測評。

1.系統(tǒng)建設整改工作完成后，應當按照《信息安全等級保護管理辦法》要求，從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構，對第三級以上（含第三級）衛(wèi)生信息系統(tǒng)進行等級測評。

2.測評合格后，應當將測評報告報屬地公安機關及衛(wèi)生行政部門備案。

3.應當每年對第三級以上（含第三級）衛(wèi)生信息系統(tǒng)進行等級測評。對于重要部門的第二級信息系統(tǒng)，可參照上述要求進行等級測評。

（四）宣傳培訓。

1.各級衛(wèi)生行政部門信息化工作領導小組應當對本地區(qū)各級各類醫(yī)療衛(wèi)生機構開展等級保護政策和標準規(guī)范培訓，提高各單位信息安全管理人員的技術能力和管理水平。

2.衛(wèi)生行業(yè)各單位應當開展內部信息安全培訓，提升全員信息安全意識，規(guī)范信息安全操作行為，提高信息安全保障能力。

（五）監(jiān)督檢查。

1.衛(wèi)生部信息化工作領導小組負責督導檢查各地醫(yī)療衛(wèi)生機構信息安全等級保護工作落實情況，并督促部機關重要信息系統(tǒng)責任單位開展信息安全等級保護工作。

2.省級衛(wèi)生行政部門信息化工作領導小組負責督導檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況，并督促 6 本單位開展信息安全等級保護工作。

3.省級衛(wèi)生行政部門信息化工作領導小組應當于每年年底，向衛(wèi)生部信息化工作領導小組報送本地區(qū)信息系統(tǒng)定級備案、建設整改、等級測評和自查等工作開展情況。

五、工作要求

（一）高度重視，加強領導。衛(wèi) 生行業(yè)各單位要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫(yī)療衛(wèi)生機構正常運轉和社會穩(wěn)定的重要意義。各單位主要負責同志要負總 責，分管負責同志要具體抓，明確職責與任務，突出重點，將信息安全等級保護工作列入重要議事日程和工作績效考核指標，一級抓一級，層層抓落實。

（二）保障經費，加強監(jiān)管。衛(wèi)生行業(yè)各單位要建立經費投入機制，將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算，并加強對資金使用的監(jiān)管。

（三）加強溝通，密切合作。各級衛(wèi)生行政部門應當加強與本地信息安全等級保護管理部門的溝通交流，建立協(xié)作機制，在信息安全等級保護工作中的定級備案、建設整改、等級測評、監(jiān)督檢查等環(huán)節(jié)密切合作，共同推進信息安全等級保護工作。

第三篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產品安全認證資質，電子門禁系統(tǒng)運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應具有機房監(jiān)控報警設施的安全資質材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產品有效期合格；自動消防系統(tǒng)是經消防檢測部門檢測合格的產品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節(jié)設施；溫濕度自動調節(jié)設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等）----安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構和組織結構等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業(yè)資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續(xù)，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續(xù)的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應具有外部人員訪問重要區(qū)域的書面申請

14、應具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）

五、系統(tǒng)建設管理

1、應明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應具有系統(tǒng)建設/整改方案

3、應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責

4、應具有系統(tǒng)的安全建設工作計劃（系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產品

9、安全產品的相關憑證，如銷售許可等，應使用符合國家有關規(guī)定產品

10、應具有專門的部門負責產品的采購

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統(tǒng)運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養(yǎng)的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產清單（覆蓋資產責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產管理的責任部門或人員

7、應依據(jù)資產的重要程度對資產進行標識

8、介質存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經過審批流程，由何人審批（審批記錄）

18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等

19、應有相關網(wǎng)絡監(jiān)控系統(tǒng)或技術措施能夠對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警

20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應定期對監(jiān)控記錄進行分析、評審

22、應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網(wǎng)絡安全管理工作

25、應對網(wǎng)絡設備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡設備運維維護工作記錄）

26、應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理

30、應具有內部網(wǎng)絡外聯(lián)的授權批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應經過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權限與安全審計權限分離等）

34、審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應具有主管領導的批準

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應定期執(zhí)行恢復程序，檢查和測試備份介質的有效性

44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。

48、應對系統(tǒng)相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。

第四篇：信息安全等級保護工作實施方案

白魯?shù)A九年制學校

信息安全等級保護工作實施方案

為加強信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進我校信息化建設。根據(jù)商教發(fā)【2011】321號文件精神，結合我校實際，制訂本實施方案。

一、指導思想

以科學發(fā)展觀為指導，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我?；A信息網(wǎng)絡和重要信息系統(tǒng)安全穩(wěn)定運行。

二、定級范圍

學校管理、辦公系統(tǒng)、教育教學系統(tǒng)、財務管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領導

（一）工作分工。定級工作由電教組牽頭，會同學校辦公室、安全保衛(wèi)處等共同組織實施。

學校辦公室負責定級工作的部門間協(xié)調。

安全保衛(wèi)處負責定級工作的監(jiān)督。

電教組負責定級工作的檢查、指導、評審。

各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求，開展信息系統(tǒng)自評工作。

（二）協(xié)調領導機制。

1、成立領導小組，校長任組長，副校長任副組長、各部門負責人為成員，負責我校信息安全等級保護工作的領導、協(xié)調工作。督促各部門按照總體方案落實工作任務和責任，對等級保護工作整體推進情況進行檢查監(jiān)督，指導安全保密方案制定。

2、成立由電教組牽頭的工作機構，主要職責：在領導小組的領導下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關會議；組織開展政策和技術培訓，掌握定級工作規(guī)范和技術要求，為定級工作打好基礎；全面掌握學校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協(xié)調解決，形成定級工作總結并按時上報領導小組。

3、成立由赴省參加過計算機培訓的教師組成的評審組，主要負責：一是為我校信息與網(wǎng)絡安全提供技術支持與服務咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網(wǎng)絡安全突發(fā)公共事件的分析研判和為領導決策提供依據(jù)。

四、主要內容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調查。各部門要組織開展對所屬信息系統(tǒng)的摸底調查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。

（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。

（三）評審。初步確定信息系統(tǒng)安全保護等級后，上報學校信息系統(tǒng)安全等級保護評審組進行評審。

（四）備案。根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)統(tǒng)一由電教組負責備案工作。

五、定級工作要求

（一）加強領導，落實保障。各部門要落實責任，并于12月15日前將《信息系統(tǒng)安全等級保護備案表》、《信息系統(tǒng)安全等級保護定級報告》上報九年制學校。

（二）加強培訓，嚴格定級。為切實落實評審工作，保證定級準確，備案及時，全面提高我?；A信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護能力和水平，保證定級工作順利進行，各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統(tǒng)單位信息分級培訓材料》、《信息系統(tǒng)安全保護等級定級指南（國標）》、《信息系統(tǒng)安全等級保護基本要求（報批）》、《信息系統(tǒng)安全等級保護實施指南（報批）》等材料。

（三）積極配合、認真整改。各部門要認真按照評級要求，組織開展等級保護工作，切實做好重要信息系統(tǒng)的安全等級保護。

（四）自查自糾、完善制度。此次定級工作完成后，請各部門按照《信息安全等級保護管理辦法》和有關技術標準，依據(jù)系統(tǒng)所定保護等級的要求，定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應及時進行變更備案

第五篇：陜西省衛(wèi)生廳關于印發(fā)陜西省衛(wèi)生行業(yè)信息安全等級保護工作實施方案的通知

陜西省衛(wèi)生廳關于印發(fā)陜西省衛(wèi)生行業(yè)信息安全等級保護工作實施

方案的通知

陜衛(wèi)辦發(fā)〔2012〕132號

各設區(qū)市衛(wèi)生局，楊凌示范區(qū)社會事業(yè)局，廳直屬、部屬各醫(yī)療衛(wèi)生單位、廳機關各處室：

現(xiàn)將《陜西省衛(wèi)生行業(yè)信息安全等級保護工作實施方案》印發(fā)給你們，請遵照執(zhí)行。

二〇一二年四月十六日

陜西省衛(wèi)生行業(yè)信息安全等級保護工作實施方案

信息安全等級保護是一項重要國家安全制度，為了規(guī)范和指導衛(wèi)生行業(yè)信息安全等級保護工作，衛(wèi)生部印發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（衛(wèi)辦發(fā)〔2011〕85號）。按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）和衛(wèi)生部有關要求，結合我省衛(wèi)生行業(yè)實際，特制定本實施方案。

一、指導思想和基本原則

（一）指導思想

以科學發(fā)展觀為指導，認真貫徹落實國家和省有關信息安全等級保護規(guī)定和要求，維護和保障國家信息安全、人民群眾個人權益，促進衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護公共利益、社會秩序。

（二）基本原則

1、遵循標準，重點保護。遵循國家和省信息安全等級保護相關標準規(guī)范，結合我省衛(wèi)生行業(yè)信息系統(tǒng)實際，優(yōu)先保護重要的、涉及面廣、遭受破壞對社會危害程度大的信息系統(tǒng)，優(yōu)先滿足重點信息系統(tǒng)安全需求。

2、行業(yè)指導，屬地管理。衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導、屬地管理。各市級衛(wèi)生行政部門要按照國家和省信息安全等級保護制度有關要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導、管理和保護工作。各單位要按照“誰主管、誰負責，誰運營、誰負責”的要求，落實信息安全責任。

3、同步建設，動態(tài)完善。在信息系統(tǒng)規(guī)劃設計與建設過程中，同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務類型、應用范圍等條件改變導致安全需求發(fā)生變化時，應當重新調整信息系統(tǒng)安全保護等級，及時完善安全保障措施。

二、建設目標

依據(jù)國家、省信息安全等級保護制度，遵循相關標準規(guī)范，在全省衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛(wèi)生行業(yè)信息安全防護能力、隱患發(fā)現(xiàn)能力、應急處置能力，為衛(wèi)生信息化健康發(fā)展提供可靠保障，全面維護公共利益、社會秩序和國家安全。

三、主要任務

（一）定級備案

1、衛(wèi)生行業(yè)各單位應當對本單位建設與運營的衛(wèi)生信息系統(tǒng)進行自查，應當按照《信息安全技術信息系統(tǒng)安全等級保護定級指南》開展定級工作。國家信息安全等級保護制度將信息安全保護等級分為五級：第一級為自主保護級，第二級為指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。以下重要衛(wèi)生信息系統(tǒng)安全等級保護原則上不低于第三級：

（1）全省衛(wèi)生統(tǒng)計網(wǎng)絡直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨市全省聯(lián)網(wǎng)運行的信息系統(tǒng)；

（2）省、市、縣三級區(qū)域衛(wèi)生信息平臺、業(yè)務系統(tǒng)（新農合、衛(wèi)生監(jiān)督、婦幼保健等）及數(shù)據(jù)中心；

（3）二級及以上醫(yī)院的核心業(yè)務信息系統(tǒng)（電子病歷、財務）；

（4）其他經過信息安全技術專家技術指導組評定為第三級以上（含第三級）的信息系統(tǒng)。

2、擬定為第三級以上（含第三級）的衛(wèi)生信息系統(tǒng)，應當經當?shù)匦畔踩夹g專家技術指導組論證、評審。

3、各單位在確定信息系統(tǒng)安全保護等級后，對第二級以上（含第二級）信息系統(tǒng)，應當報屬地公安機關網(wǎng)安部門及衛(wèi)生行政部門備案?？缡腥÷?lián)網(wǎng)運行并由省衛(wèi)生廳定級的信息系統(tǒng)，由省衛(wèi)生廳報省公安廳備案；在各市、縣運行、應用的分支系統(tǒng)，應當報屬地公安機關備案。

（二）建設與整改

1、對確定安全保護等級第二級以上（含第二級）的衛(wèi)生信息系統(tǒng)，應當按照國家、省信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等標準，開展安全保護現(xiàn)狀分析，查找安全隱患及與信息安全等級保護標準之間的差距，確定安全需求。

2、根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結果，按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》、《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》等國家標準，制訂信息系統(tǒng)安全等級保護建設整改方案。第三級以上（含第三級）衛(wèi)生信息系統(tǒng)安全建設整改方案應當經信息安全技術專家技術指導組論證。

3、各地各單位應當按照信息系統(tǒng)安全建設整改方案，完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術防護體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。

（三）等級測評

1、系統(tǒng)建設整改工作完成后，應當按照《信息安全等級保護管理辦法》要求，從省信息安全等級保護測評機構推薦目錄中選擇等級測評機構，對第三級以上（含第三級）衛(wèi)生信息系統(tǒng)進行等級測評。

2、測評合格后，應當將測評報告報屬地公安機關及衛(wèi)生行政部門備案。

3、對第三級以上（含第三級）衛(wèi)生信息系統(tǒng)每年應當進行等級測評。對于重要部門的第二級信息系統(tǒng)，可參照上述要求進行等級測評。

（四）宣傳培訓

1、省衛(wèi)生廳將集中開展信息安全等級保護培訓，各市、縣衛(wèi)生行政部門信息化工作領導小組也要對本地區(qū)各級各類醫(yī)療衛(wèi)生機構開展等級保護政策和標準規(guī)范培訓，提高各單位信息安全管理人員的技術能力和管理水平。

2、各醫(yī)療衛(wèi)生單位要積極組織開展內部信息安全培訓，提升全員信息安全意識，規(guī)范信息安全操作行為，提高信息安全保障能力。

（五）監(jiān)督檢查

1、省衛(wèi)生廳信息化工作領導小組辦公室負責督導檢查各市和廳直屬、部屬醫(yī)療衛(wèi)生機構信息安全等級保護工作落實情況，并督促廳機關重要信息系統(tǒng)責任單位開展信息安全等級保護工作。

2、市級衛(wèi)生行政部門信息化工作領導小組負責督導檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況，并負責本單位開展信息安全等級保護工作。

3、市級衛(wèi)生行政部門信息化工作領導小組應當于每年12月15日前，向省衛(wèi)生廳信息化工作領導小組報送本地區(qū)信息系統(tǒng)定級備案、建設整改、等級測評和自查等工作開展情況。

四、時間安排

（一）第一階段。2012年7月底以前，按照《陜西省衛(wèi)生行業(yè)信息安全等級保護實施方案》，建立省、市二級信息安全等級保護專家技術指導組，確定信息安全等級保護工作聯(lián)絡員，并完成技術培訓。

（二）第二階段。2012年底前，完成三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)，已建成運行跨市全省聯(lián)網(wǎng)運行的信息系統(tǒng)的定級、保護和備案工作。

（三）第三階段。2013年12月30日前，完成二級及區(qū)域衛(wèi)生信息平臺等及其它已建成運行的業(yè)務信息系統(tǒng)的定級、保護和備案。

五、保障措施

（一）加強組織領導。各級醫(yī)療衛(wèi)生機構要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫(yī)療衛(wèi)生機構正常運轉和社會穩(wěn)定的重要意義。各單位主要領導要負總責，分管領導要具體抓，明確職責與任務，突出重點，將信息安全等級保護工作列入重要議事日程和工作績效考核指標，一級抓一級，層層抓落實。

省衛(wèi)生廳成立陜西省衛(wèi)生行業(yè)信息安全等級保護專家技術指導組，為各地、各醫(yī)療衛(wèi)生單位業(yè)務信息系統(tǒng)定級、測評、備案提供技術指導和業(yè)務培訓。建立省、市二級信息安全等級保護工作聯(lián)絡員機制。聯(lián)絡員職責是落實國家、省信息安全等級保護工作的有關政策和技術標準，掌握本地區(qū)信息安全等級保護工作動態(tài)和總體情況，代表本地區(qū)與省衛(wèi)生廳及同級公安部門進行日常聯(lián)系和交流。

（二）保障經費，加強監(jiān)管。各級醫(yī)療衛(wèi)生機構要建立經費投入機制，將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算，并加強對資金使用的監(jiān)管。

（三）加強溝通，密切合作。各級衛(wèi)生行政部門應當加強與當?shù)毓膊块T的溝通交流，建立協(xié)作機制，在信息安全等級保護工作中的定級備案、建設整改、等級測評、監(jiān)督檢查等環(huán)節(jié)密切合作，共同推進信息安全等級保護工作。