第一篇：11[1126]衛(wèi)生部辦公廳關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知

衛(wèi)生部辦公廳關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)

工作的通知

衛(wèi)辦綜函?2011?1126號(hào)

各省、自治區(qū)、直轄市衛(wèi)生廳局，新疆生產(chǎn)建設(shè)兵團(tuán)及計(jì)劃單列市衛(wèi)生局，部直屬各單位，部機(jī)關(guān)各司局：

為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度和衛(wèi)生部關(guān)于《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》（衛(wèi)辦發(fā)?2011?85號(hào)，以下簡(jiǎn)稱《指導(dǎo)意見(jiàn)》），全面提高衛(wèi)生行業(yè)信息安全保障能力和水平，保障和促進(jìn)衛(wèi)生信息化健康發(fā)展，我部決定全面開(kāi)展信息安全等級(jí)保護(hù)工作?，F(xiàn)將有關(guān)事項(xiàng)通知如下：

一、具體內(nèi)容

（一）建立健全工作機(jī)制。各省級(jí)衛(wèi)生行政部門(mén)要盡快確定信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員，建立健全信息安全技術(shù)專家委員會(huì)，并分別于2011年12月30日前和2012年4月30日前將聯(lián)絡(luò)員名單和專家委員會(huì)成員名單報(bào)送我部。

（二）限時(shí)報(bào)送備案情況。各省級(jí)衛(wèi)生行政部門(mén)要于2011年12月30日前將本地區(qū)已定級(jí)備案的衛(wèi)生信息系統(tǒng)情況報(bào)送我部。

（三）完成定級(jí)備案工作。衛(wèi)生行業(yè)各單位要于2012年5月30日前完成本單位信息系統(tǒng)的定級(jí)備案工作。

（四）開(kāi)展安全建設(shè)整改工作。衛(wèi)生行業(yè)各單位要根據(jù)信息系統(tǒng)定級(jí)備案情況開(kāi)展等級(jí)測(cè)評(píng)工作，查找安全差距和風(fēng)險(xiǎn)隱患，并結(jié)合自身安全需求，制訂安全建設(shè)整改方案。要于2015年12月30日前完成信息安全等級(jí)保護(hù)建設(shè)整改工作，并通過(guò)等級(jí)測(cè)評(píng)。

二、相關(guān)要求

（一）衛(wèi)生行業(yè)各單位要按照“遵循標(biāo)準(zhǔn)、重點(diǎn)保護(hù)，行業(yè)指導(dǎo)、屬地管理，同步建設(shè)、動(dòng)態(tài)完善”的原則，建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制。

（二）各省級(jí)衛(wèi)生行政部門(mén)要督促本地區(qū)衛(wèi)生行業(yè)各單位按照《指導(dǎo)意見(jiàn)》要求，開(kāi)展信息安全等級(jí)保護(hù)工作。

（三）各省級(jí)衛(wèi)生行政部門(mén)等級(jí)保護(hù)工作聯(lián)絡(luò)員發(fā)生變化時(shí)，應(yīng)當(dāng)及時(shí)向我部報(bào)告。

（四）各省級(jí)衛(wèi)生行政部門(mén)要及時(shí)向我部報(bào)告工作進(jìn)展情況，并于每年第四季度報(bào)送本地區(qū)信息安全等級(jí)保護(hù)工作總結(jié)。

二○一一年十二月七日

第二篇：衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》的通知

附件：

衛(wèi) 生 部 文 件

衛(wèi)辦發(fā)?2011?85號(hào)

衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)

信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》的通知

各省、自治區(qū)、直轄市衛(wèi)生廳局，新疆生產(chǎn)建設(shè)兵團(tuán)及計(jì)劃單列市衛(wèi)生局，部直屬各單位，部機(jī)關(guān)各司局：

為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國(guó)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作，按照公安部《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》（公信安?2009?1429號(hào)）要求，我部結(jié)合衛(wèi)生行業(yè)實(shí)際，研究制定了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》?，F(xiàn)印發(fā)給你們，請(qǐng)遵照?qǐng)?zhí)行。

聯(lián)系人：衛(wèi)生部統(tǒng)計(jì)信息中心 楊慧清、矯涌本 聯(lián)系電話：010－68791029、68792497 傳真：010－68792836

二〇一一年十二月二日 衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)

工作的指導(dǎo)意見(jiàn)

衛(wèi)生信息安全工作是我國(guó)衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級(jí)保護(hù)工作，對(duì)于促進(jìn)衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護(hù)公共利益、社會(huì) 秩序和國(guó)家安全具有重要意義。為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國(guó)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作，制定本指導(dǎo)意見(jiàn)。

一、工作目標(biāo)

依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度，遵循相關(guān)標(biāo)準(zhǔn)規(guī)范，在衛(wèi)生行業(yè)全面開(kāi)展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作，明確信息安全保障重點(diǎn)，落實(shí) 信息安全責(zé)任，建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制，切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力，為衛(wèi)生信息化健康發(fā)展提供可靠保障，全面維護(hù)公共利益、社會(huì)秩序和國(guó)家安全。

二、工作原則

（一）遵循標(biāo)準(zhǔn)，重點(diǎn)保護(hù)。遵循國(guó)家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點(diǎn)，優(yōu)先保護(hù)重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點(diǎn)信息安全需求。

（二）行業(yè)指導(dǎo)，屬地管理。衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)行行業(yè)指導(dǎo)、屬地管理。地方各級(jí)衛(wèi)生行政部門(mén)要按照 2 國(guó)家信息安全等級(jí)保護(hù)制度有關(guān)要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級(jí)保護(hù)的指導(dǎo)和管理工作。衛(wèi)生行業(yè)各單位要按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的要求，落實(shí)信息安全責(zé)任。

（三）同步建設(shè)，動(dòng)態(tài)完善。在信息系統(tǒng)規(guī)劃設(shè)計(jì)與建設(shè)過(guò)程中，同步開(kāi)展信息安全等級(jí)保護(hù)工作。因信息和信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用范圍等條件改變導(dǎo)致安全需求發(fā)生變化時(shí)，應(yīng)當(dāng)重新調(diào)整信息系統(tǒng)安全保護(hù)等級(jí)，及時(shí)完善安全保障措施。

三、工作機(jī)制

地方各級(jí)衛(wèi)生行政部門(mén)承擔(dān)本地衛(wèi)生信息安全責(zé)任，信息化工作領(lǐng)導(dǎo)小組統(tǒng)籌組織本地衛(wèi)生信息安全等級(jí)保護(hù)工作。衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)全國(guó)衛(wèi)生行業(yè) 信息安全等級(jí)保護(hù)工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo)，并組織開(kāi)展部機(jī)關(guān)信息安全等級(jí)保護(hù)工作。省級(jí)、地市級(jí)衛(wèi)生行政部門(mén)信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)本地區(qū)衛(wèi)生行業(yè)信 息安全等級(jí)保護(hù)工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo)，并組織開(kāi)展本單位信息安全等級(jí)保護(hù)工作。

衛(wèi)生部建立信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員機(jī)制，各省級(jí)衛(wèi)生行政部門(mén)應(yīng)當(dāng)設(shè)置信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員。聯(lián)絡(luò)員職責(zé)是落實(shí)國(guó)家信息安全等級(jí)保護(hù)工作的有關(guān)政 策和技術(shù)標(biāo)準(zhǔn)，掌握本地區(qū)信息安全等級(jí)保護(hù)工作動(dòng)態(tài)和總體情況，代表本地區(qū)與衛(wèi)生部及同級(jí)信息安全等級(jí)保護(hù)管理部門(mén)進(jìn)行日常聯(lián)系和交流，協(xié)調(diào)落實(shí)本地區(qū)信 息安全等級(jí)保護(hù)工作。

衛(wèi)生部和各省級(jí)衛(wèi)生行政部門(mén)應(yīng)當(dāng)分別建立信息安全技術(shù) 3 專家委員會(huì)，參與信息系統(tǒng)定級(jí)指導(dǎo)、備案審查、方案論證、安全咨詢、安全檢查等技術(shù)工作。信息安全技術(shù)專家委員會(huì)應(yīng)當(dāng)包含衛(wèi)生行業(yè)、公安機(jī)關(guān)及信息安全技術(shù)等專家。

四、工作任務(wù)

（一）定級(jí)備案。

1．衛(wèi)生行業(yè)各單位應(yīng)當(dāng)對(duì)本單位建設(shè)與運(yùn)營(yíng)的衛(wèi)生信息系統(tǒng)進(jìn)行自查，對(duì)未定級(jí)、定級(jí)不準(zhǔn)的信息系統(tǒng),應(yīng)當(dāng)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開(kāi)展定級(jí)工作。

國(guó)家信息安全等級(jí)保護(hù)制度將信息安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，第二級(jí)為指導(dǎo)保護(hù)級(jí)，第三級(jí)為監(jiān)督保護(hù)級(jí)，第四級(jí)為強(qiáng)制保護(hù)級(jí)，第五級(jí)為?？乇Ｗo(hù)級(jí)。以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí)：

（1）衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國(guó)聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)；

（2）國(guó)家、省、地市三級(jí)衛(wèi)生信息平臺(tái)，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國(guó)家級(jí)數(shù)據(jù)中心；

（3）三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)；（4）衛(wèi)生部網(wǎng)站系統(tǒng)；

（5）其他經(jīng)過(guò)信息安全技術(shù)專家委員會(huì)評(píng)定為第三級(jí)以上（含第三級(jí)）的信息系統(tǒng)。

2.擬定為第三級(jí)以上（含第三級(jí)）的衛(wèi)生信息系統(tǒng)，應(yīng)當(dāng) 4 經(jīng)信息安全技術(shù)專家委員會(huì)論證、評(píng)審。

3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護(hù)等級(jí)后，對(duì)第二級(jí)以上（含第二級(jí)）信息系統(tǒng)，應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門(mén)備案。跨省全國(guó)聯(lián)網(wǎng)運(yùn)行并由衛(wèi)生部定級(jí)的信息系統(tǒng)，由衛(wèi)生部報(bào)公安部備案；在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)備案。

（二）建設(shè)與整改。

1.對(duì)已確定安全保護(hù)等級(jí)的第二級(jí)以上（含第二級(jí)）衛(wèi)生信息系統(tǒng)，應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國(guó)家標(biāo)準(zhǔn)，開(kāi)展安全保護(hù)現(xiàn)狀分析，查找安全隱患及與國(guó)家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距，確定安全需求。

2.根據(jù)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析結(jié)果，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo) 準(zhǔn)，制訂信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改方案。第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家委員會(huì)論證。

3.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)按照信息系統(tǒng)安全建設(shè)整改方案，完善安全保護(hù)設(shè)施，建立安全管理制度，落實(shí)安全管理措施，形成信息安全技術(shù)防護(hù)體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。

（三）等級(jí)測(cè)評(píng)。

1.系統(tǒng)建設(shè)整改工作完成后，應(yīng)當(dāng)按照《信息安全等級(jí)保護(hù)管理辦法》要求，從全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄中選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)，對(duì)第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。

2.測(cè)評(píng)合格后，應(yīng)當(dāng)將測(cè)評(píng)報(bào)告報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門(mén)備案。

3.應(yīng)當(dāng)每年對(duì)第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。對(duì)于重要部門(mén)的第二級(jí)信息系統(tǒng)，可參照上述要求進(jìn)行等級(jí)測(cè)評(píng)。

（四）宣傳培訓(xùn)。

1.各級(jí)衛(wèi)生行政部門(mén)信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)對(duì)本地區(qū)各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)開(kāi)展等級(jí)保護(hù)政策和標(biāo)準(zhǔn)規(guī)范培訓(xùn)，提高各單位信息安全管理人員的技術(shù)能力和管理水平。

2.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)開(kāi)展內(nèi)部信息安全培訓(xùn)，提升全員信息安全意識(shí)，規(guī)范信息安全操作行為，提高信息安全保障能力。

（五）監(jiān)督檢查。

1.衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)督導(dǎo)檢查各地醫(yī)療衛(wèi)生機(jī)構(gòu)信息安全等級(jí)保護(hù)工作落實(shí)情況，并督促部機(jī)關(guān)重要信息系統(tǒng)責(zé)任單位開(kāi)展信息安全等級(jí)保護(hù)工作。

2.省級(jí)衛(wèi)生行政部門(mén)信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)督導(dǎo)檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級(jí)保護(hù)工作落實(shí)情況，并督促 6 本單位開(kāi)展信息安全等級(jí)保護(hù)工作。

3.省級(jí)衛(wèi)生行政部門(mén)信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)于每年年底，向衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組報(bào)送本地區(qū)信息系統(tǒng)定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)和自查等工作開(kāi)展情況。

五、工作要求

（一）高度重視，加強(qiáng)領(lǐng)導(dǎo)。衛(wèi) 生行業(yè)各單位要高度重視，充分認(rèn)識(shí)信息安全等級(jí)保護(hù)工作對(duì)保護(hù)居民健康信息安全、醫(yī)療衛(wèi)生機(jī)構(gòu)正常運(yùn)轉(zhuǎn)和社會(huì)穩(wěn)定的重要意義。各單位主要負(fù)責(zé)同志要負(fù)總 責(zé)，分管負(fù)責(zé)同志要具體抓，明確職責(zé)與任務(wù)，突出重點(diǎn)，將信息安全等級(jí)保護(hù)工作列入重要議事日程和工作績(jī)效考核指標(biāo)，一級(jí)抓一級(jí)，層層抓落實(shí)。

（二）保障經(jīng)費(fèi)，加強(qiáng)監(jiān)管。衛(wèi)生行業(yè)各單位要建立經(jīng)費(fèi)投入機(jī)制，將信息安全等級(jí)保護(hù)建設(shè)整改、等級(jí)測(cè)評(píng)、信息安全服務(wù)、技術(shù)培訓(xùn)等費(fèi)用納入信息化建設(shè)預(yù)算，并加強(qiáng)對(duì)資金使用的監(jiān)管。

（三）加強(qiáng)溝通，密切合作。各級(jí)衛(wèi)生行政部門(mén)應(yīng)當(dāng)加強(qiáng)與本地信息安全等級(jí)保護(hù)管理部門(mén)的溝通交流，建立協(xié)作機(jī)制，在信息安全等級(jí)保護(hù)工作中的定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等環(huán)節(jié)密切合作，共同推進(jìn)信息安全等級(jí)保護(hù)工作。

第三篇：教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知

附件1：

教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)

保護(hù)工作的通知

教辦廳函[2009]80

號(hào)

各省、自治區(qū)、直轄市教育廳（教委），各計(jì)劃單列市教育局，新疆生產(chǎn)建設(shè)兵團(tuán)教育局，部屬各高等學(xué)校：

信息系統(tǒng)安全等級(jí)保護(hù)制度是構(gòu)建國(guó)家信息安全保障體系的基本制度。為進(jìn)一步做好教育系統(tǒng)信息安全工作，提高教育信息系統(tǒng)安全保障能力和水平，經(jīng)研究，決定在教育系統(tǒng)全面開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作。有關(guān)要求通知如下：

一、教育信息系統(tǒng)安全等級(jí)保護(hù)工作的目標(biāo)

落實(shí)國(guó)家有關(guān)信息系統(tǒng)安全等級(jí)保護(hù)制度建設(shè)的文件要求，增強(qiáng)各地、各校主管部門(mén)領(lǐng)導(dǎo)的信息安全保護(hù)意識(shí)；開(kāi)展技術(shù)培訓(xùn)，建立信息安全技術(shù)隊(duì)伍，建立健全教育系統(tǒng)信息安全等級(jí)保護(hù)技術(shù)保障體系；全面開(kāi)展教育系統(tǒng)信息系統(tǒng)的定級(jí)、備案和測(cè)評(píng)工作，對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)進(jìn)行整改，用3年左右時(shí)間，基本建立教育系統(tǒng)信息系統(tǒng)安全等級(jí)保護(hù)體系，切實(shí)提高教育信息系統(tǒng)安全水平，保證教育信息化的健康持續(xù)發(fā)展。

二、教育信息系統(tǒng)安全等級(jí)保護(hù)工作的內(nèi)容

1.按照國(guó)家信息安全等級(jí)保護(hù)有關(guān)要求，對(duì)教育系統(tǒng)各級(jí)行政部門(mén)、各級(jí)各類學(xué)校信息安全工作部門(mén)主管領(lǐng)導(dǎo)及技術(shù)骨干人員進(jìn)行培訓(xùn)。

2.信息系統(tǒng)安全定級(jí)和備案。各單位對(duì)本單位信息系統(tǒng)進(jìn)行定級(jí)，對(duì)二級(jí)以上的信息系統(tǒng)要辦理備案手續(xù)。

3.對(duì)三級(jí)以上信息系統(tǒng)開(kāi)展信息安全等級(jí)測(cè)評(píng)工作。根據(jù)測(cè)評(píng)結(jié)果，不符合要求的，要制訂整改方案進(jìn)行整改。

4.根據(jù)公安部門(mén)要求，在教育系統(tǒng)聯(lián)合開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)監(jiān)督檢查工作。

三、教育信息系統(tǒng)安全等級(jí)保護(hù)工作的安排

1.教育部教育管理信息中心負(fù)責(zé)教育系統(tǒng)信息安全等級(jí)保護(hù)工作的組織實(shí)施，并配合公安部門(mén)在教育系統(tǒng)內(nèi)開(kāi)展監(jiān)督檢查工作。

2.人員培訓(xùn)。到2010年底，基本完成高校及地市級(jí)以上教育行政部門(mén)的培訓(xùn)工作，每單位至少培訓(xùn)1名信息系統(tǒng)安全主管和1名技術(shù)骨干；到2012年，基本完成其余教育行政部門(mén)和學(xué)校的培訓(xùn)工作，每單位至少培訓(xùn)1名信息安全人員。對(duì)參加培訓(xùn)考核合格人員頒發(fā)相應(yīng)證書(shū)。

3.信息系統(tǒng)定級(jí)備案。由參加過(guò)培訓(xùn)并具有考核合格證書(shū)的人員對(duì)本單位信息系統(tǒng)協(xié)助進(jìn)行定級(jí)。高校及地市級(jí)以上教育行政部門(mén)三級(jí)以上的信息系統(tǒng)要在教育部教育管理信息中心和當(dāng)?shù)毓膊块T(mén)同時(shí)辦理備案手續(xù)。已建三級(jí)以上信息系統(tǒng)未辦理備案手續(xù)或僅在當(dāng)?shù)毓膊块T(mén)辦理手續(xù)的，2010年4月前要完成補(bǔ)辦工作。

4.信息系統(tǒng)安全等級(jí)測(cè)評(píng)和整改。教育部教育管理信息中心根據(jù)國(guó)家有關(guān)規(guī)定對(duì)三級(jí)教育信息系統(tǒng)每年進(jìn)行一次安全等級(jí)測(cè)評(píng)，四級(jí)教育信息系統(tǒng)每半年進(jìn)行一次等級(jí)測(cè)評(píng)。每年11月前完成安全測(cè)評(píng)。不符合要求的信息系統(tǒng)在第二年4月前完成整改工作。

各地、各校要充分認(rèn)識(shí)信息安全等級(jí)保護(hù)工作的重要性，提高信息系統(tǒng)安全意識(shí)，明確機(jī)構(gòu)和責(zé)任，將信息安全等級(jí)保護(hù)建設(shè)、測(cè)評(píng)、培訓(xùn)等各項(xiàng)費(fèi)用納入預(yù)算，并為信息安全等級(jí)保護(hù)工作開(kāi)展提供必要的工作便利。

教育部辦公廳

二○○九年十一月十一日

第四篇：陜西省衛(wèi)生廳關(guān)于印發(fā)陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案的通知

陜西省衛(wèi)生廳關(guān)于印發(fā)陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施

方案的通知

陜衛(wèi)辦發(fā)〔2012〕132號(hào)

各設(shè)區(qū)市衛(wèi)生局，楊凌示范區(qū)社會(huì)事業(yè)局，廳直屬、部屬各醫(yī)療衛(wèi)生單位、廳機(jī)關(guān)各處室：

現(xiàn)將《陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案》印發(fā)給你們，請(qǐng)遵照?qǐng)?zhí)行。

二〇一二年四月十六日

陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案

信息安全等級(jí)保護(hù)是一項(xiàng)重要國(guó)家安全制度，為了規(guī)范和指導(dǎo)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作，衛(wèi)生部印發(fā)了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》（衛(wèi)辦發(fā)〔2011〕85號(hào)）。按照公安部《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》（公信安〔2009〕1429號(hào)）和衛(wèi)生部有關(guān)要求，結(jié)合我省衛(wèi)生行業(yè)實(shí)際，特制定本實(shí)施方案。

一、指導(dǎo)思想和基本原則

（一）指導(dǎo)思想

以科學(xué)發(fā)展觀為指導(dǎo)，認(rèn)真貫徹落實(shí)國(guó)家和省有關(guān)信息安全等級(jí)保護(hù)規(guī)定和要求，維護(hù)和保障國(guó)家信息安全、人民群眾個(gè)人權(quán)益，促進(jìn)衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護(hù)公共利益、社會(huì)秩序。

（二）基本原則

1、遵循標(biāo)準(zhǔn)，重點(diǎn)保護(hù)。遵循國(guó)家和省信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合我省衛(wèi)生行業(yè)信息系統(tǒng)實(shí)際，優(yōu)先保護(hù)重要的、涉及面廣、遭受破壞對(duì)社會(huì)危害程度大的信息系統(tǒng)，優(yōu)先滿足重點(diǎn)信息系統(tǒng)安全需求。

2、行業(yè)指導(dǎo)，屬地管理。衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)行行業(yè)指導(dǎo)、屬地管理。各市級(jí)衛(wèi)生行政部門(mén)要按照國(guó)家和省信息安全等級(jí)保護(hù)制度有關(guān)要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級(jí)保護(hù)的指導(dǎo)、管理和保護(hù)工作。各單位要按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的要求，落實(shí)信息安全責(zé)任。

3、同步建設(shè)，動(dòng)態(tài)完善。在信息系統(tǒng)規(guī)劃設(shè)計(jì)與建設(shè)過(guò)程中，同步開(kāi)展信息安全等級(jí)保護(hù)工作。因信息和信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用范圍等條件改變導(dǎo)致安全需求發(fā)生變化時(shí)，應(yīng)當(dāng)重新調(diào)整信息系統(tǒng)安全保護(hù)等級(jí)，及時(shí)完善安全保障措施。

二、建設(shè)目標(biāo)

依據(jù)國(guó)家、省信息安全等級(jí)保護(hù)制度，遵循相關(guān)標(biāo)準(zhǔn)規(guī)范，在全省衛(wèi)生行業(yè)全面開(kāi)展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作，明確信息安全保障重點(diǎn)，落實(shí)信息安全責(zé)任，建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制，切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力，為衛(wèi)生信息化健康發(fā)展提供可靠保障，全面維護(hù)公共利益、社會(huì)秩序和國(guó)家安全。

三、主要任務(wù)

（一）定級(jí)備案

1、衛(wèi)生行業(yè)各單位應(yīng)當(dāng)對(duì)本單位建設(shè)與運(yùn)營(yíng)的衛(wèi)生信息系統(tǒng)進(jìn)行自查，應(yīng)當(dāng)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開(kāi)展定級(jí)工作。國(guó)家信息安全等級(jí)保護(hù)制度將信息安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，第二級(jí)為指導(dǎo)保護(hù)級(jí)，第三級(jí)為監(jiān)督保護(hù)級(jí)，第四級(jí)為強(qiáng)制保護(hù)級(jí)，第五級(jí)為?？乇Ｗo(hù)級(jí)。以下重要衛(wèi)生信息系統(tǒng)安全等級(jí)保護(hù)原則上不低于第三級(jí)：

（1）全省衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨市全省聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)；

（2）省、市、縣三級(jí)區(qū)域衛(wèi)生信息平臺(tái)、業(yè)務(wù)系統(tǒng)（新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等）及數(shù)據(jù)中心；

（3）二級(jí)及以上醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)（電子病歷、財(cái)務(wù)）；

（4）其他經(jīng)過(guò)信息安全技術(shù)專家技術(shù)指導(dǎo)組評(píng)定為第三級(jí)以上（含第三級(jí)）的信息系統(tǒng)。

2、擬定為第三級(jí)以上（含第三級(jí)）的衛(wèi)生信息系統(tǒng)，應(yīng)當(dāng)經(jīng)當(dāng)?shù)匦畔踩夹g(shù)專家技術(shù)指導(dǎo)組論證、評(píng)審。

3、各單位在確定信息系統(tǒng)安全保護(hù)等級(jí)后，對(duì)第二級(jí)以上（含第二級(jí)）信息系統(tǒng)，應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)網(wǎng)安部門(mén)及衛(wèi)生行政部門(mén)備案?？缡腥÷?lián)網(wǎng)運(yùn)行并由省衛(wèi)生廳定級(jí)的信息系統(tǒng)，由省衛(wèi)生廳報(bào)省公安廳備案；在各市、縣運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)備案。

（二）建設(shè)與整改

1、對(duì)確定安全保護(hù)等級(jí)第二級(jí)以上（含第二級(jí)）的衛(wèi)生信息系統(tǒng)，應(yīng)當(dāng)按照國(guó)家、省信息安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)，開(kāi)展安全保護(hù)現(xiàn)狀分析，查找安全隱患及與信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距，確定安全需求。

2、根據(jù)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析結(jié)果，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo)準(zhǔn)，制訂信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改方案。第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家技術(shù)指導(dǎo)組論證。

3、各地各單位應(yīng)當(dāng)按照信息系統(tǒng)安全建設(shè)整改方案，完善安全保護(hù)設(shè)施，建立安全管理制度，落實(shí)安全管理措施，形成信息安全技術(shù)防護(hù)體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。

（三）等級(jí)測(cè)評(píng)

1、系統(tǒng)建設(shè)整改工作完成后，應(yīng)當(dāng)按照《信息安全等級(jí)保護(hù)管理辦法》要求，從省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄中選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)，對(duì)第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。

2、測(cè)評(píng)合格后，應(yīng)當(dāng)將測(cè)評(píng)報(bào)告報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門(mén)備案。

3、對(duì)第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)每年應(yīng)當(dāng)進(jìn)行等級(jí)測(cè)評(píng)。對(duì)于重要部門(mén)的第二級(jí)信息系統(tǒng)，可參照上述要求進(jìn)行等級(jí)測(cè)評(píng)。

（四）宣傳培訓(xùn)

1、省衛(wèi)生廳將集中開(kāi)展信息安全等級(jí)保護(hù)培訓(xùn)，各市、縣衛(wèi)生行政部門(mén)信息化工作領(lǐng)導(dǎo)小組也要對(duì)本地區(qū)各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)開(kāi)展等級(jí)保護(hù)政策和標(biāo)準(zhǔn)規(guī)范培訓(xùn)，提高各單位信息安全管理人員的技術(shù)能力和管理水平。

2、各醫(yī)療衛(wèi)生單位要積極組織開(kāi)展內(nèi)部信息安全培訓(xùn)，提升全員信息安全意識(shí)，規(guī)范信息安全操作行為，提高信息安全保障能力。

（五）監(jiān)督檢查

1、省衛(wèi)生廳信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)督導(dǎo)檢查各市和廳直屬、部屬醫(yī)療衛(wèi)生機(jī)構(gòu)信息安全等級(jí)保護(hù)工作落實(shí)情況，并督促?gòu)d機(jī)關(guān)重要信息系統(tǒng)責(zé)任單位開(kāi)展信息安全等級(jí)保護(hù)工作。

2、市級(jí)衛(wèi)生行政部門(mén)信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)督導(dǎo)檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級(jí)保護(hù)工作落實(shí)情況，并負(fù)責(zé)本單位開(kāi)展信息安全等級(jí)保護(hù)工作。

3、市級(jí)衛(wèi)生行政部門(mén)信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)于每年12月15日前，向省衛(wèi)生廳信息化工作領(lǐng)導(dǎo)小組報(bào)送本地區(qū)信息系統(tǒng)定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)和自查等工作開(kāi)展情況。

四、時(shí)間安排

（一）第一階段。2012年7月底以前，按照《陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)實(shí)施方案》，建立省、市二級(jí)信息安全等級(jí)保護(hù)專家技術(shù)指導(dǎo)組，確定信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員，并完成技術(shù)培訓(xùn)。

（二）第二階段。2012年底前，完成三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)，已建成運(yùn)行跨市全省聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的定級(jí)、保護(hù)和備案工作。

（三）第三階段。2013年12月30日前，完成二級(jí)及區(qū)域衛(wèi)生信息平臺(tái)等及其它已建成運(yùn)行的業(yè)務(wù)信息系統(tǒng)的定級(jí)、保護(hù)和備案。

五、保障措施

（一）加強(qiáng)組織領(lǐng)導(dǎo)。各級(jí)醫(yī)療衛(wèi)生機(jī)構(gòu)要高度重視，充分認(rèn)識(shí)信息安全等級(jí)保護(hù)工作對(duì)保護(hù)居民健康信息安全、醫(yī)療衛(wèi)生機(jī)構(gòu)正常運(yùn)轉(zhuǎn)和社會(huì)穩(wěn)定的重要意義。各單位主要領(lǐng)導(dǎo)要負(fù)總責(zé)，分管領(lǐng)導(dǎo)要具體抓，明確職責(zé)與任務(wù)，突出重點(diǎn)，將信息安全等級(jí)保護(hù)工作列入重要議事日程和工作績(jī)效考核指標(biāo)，一級(jí)抓一級(jí)，層層抓落實(shí)。

省衛(wèi)生廳成立陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)專家技術(shù)指導(dǎo)組，為各地、各醫(yī)療衛(wèi)生單位業(yè)務(wù)信息系統(tǒng)定級(jí)、測(cè)評(píng)、備案提供技術(shù)指導(dǎo)和業(yè)務(wù)培訓(xùn)。建立省、市二級(jí)信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員機(jī)制。聯(lián)絡(luò)員職責(zé)是落實(shí)國(guó)家、省信息安全等級(jí)保護(hù)工作的有關(guān)政策和技術(shù)標(biāo)準(zhǔn)，掌握本地區(qū)信息安全等級(jí)保護(hù)工作動(dòng)態(tài)和總體情況，代表本地區(qū)與省衛(wèi)生廳及同級(jí)公安部門(mén)進(jìn)行日常聯(lián)系和交流。

（二）保障經(jīng)費(fèi)，加強(qiáng)監(jiān)管。各級(jí)醫(yī)療衛(wèi)生機(jī)構(gòu)要建立經(jīng)費(fèi)投入機(jī)制，將信息安全等級(jí)保護(hù)建設(shè)整改、等級(jí)測(cè)評(píng)、信息安全服務(wù)、技術(shù)培訓(xùn)等費(fèi)用納入信息化建設(shè)預(yù)算，并加強(qiáng)對(duì)資金使用的監(jiān)管。

（三）加強(qiáng)溝通，密切合作。各級(jí)衛(wèi)生行政部門(mén)應(yīng)當(dāng)加強(qiáng)與當(dāng)?shù)毓膊块T(mén)的溝通交流，建立協(xié)作機(jī)制，在信息安全等級(jí)保護(hù)工作中的定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等環(huán)節(jié)密切合作，共同推進(jìn)信息安全等級(jí)保護(hù)工作。

第五篇：信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說(shuō)明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施）

2、應(yīng)具有有來(lái)訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來(lái)訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門(mén)禁系統(tǒng)(三級(jí)明確要求)；電子門(mén)禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門(mén)禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè)；

9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門(mén)對(duì)防雷裝置的檢測(cè)報(bào)告

10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門(mén)檢測(cè)合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開(kāi)評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過(guò)正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門(mén)

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問(wèn)等），審批部門(mén)是何部門(mén)，審批人是何人。審批程序：

8、應(yīng)與其它部門(mén)之間及內(nèi)部各部門(mén)管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開(kāi)會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)（具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門(mén)/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過(guò)程）

2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限（離崗人員所有訪問(wèn)權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(kāi)（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問(wèn)控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的書(shū)面申請(qǐng)

14、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的登記記錄（記錄描述了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門(mén)/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷(xiāo)售許可等，應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔

20、應(yīng)指定專門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn)）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書(shū)）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔

20、應(yīng)指定專門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn)）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書(shū)）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專人或部門(mén)對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門(mén)/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門(mén)和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開(kāi)座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門(mén)等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門(mén)或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤(pán)點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤(pán)點(diǎn)的記錄）

12、對(duì)送出維修或銷(xiāo)毀的介質(zhì)如何管理，銷(xiāo)毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷(xiāo)毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷(xiāo)毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT(mén)部門(mén)進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警

20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異常現(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門(mén)網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門(mén)批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書(shū)，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄

38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄（代碼庫(kù)的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書(shū)，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。