推荐第1篇:信息安全等级保护工作汇报
XXX 信息安全等级保护工作汇报
一、医院简介
XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。
医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张 。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。
医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。
医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。 全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。
医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。
XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具有国际水准的最先进的层流净化手术室共六个6 手术间,同时可开展胸、脑、腹、四肢、五官、妇科等高尖端手术。急诊科是黑龙江北部地区最大的急诊综合科室,科室有独立床位近30张,抢救设备齐全,实力雄厚,是我院“门神”级科室。我院拥有全区设备最先进功能最完善的烧伤病房和血液病房,发热门诊、检验科均按照国家级标准建设,为患者提供了方便、安全的就医环境 。
XXX领导班子带领广大职工勇于拼搏,锐意进取实现了医院的快速、稳定、健康发展,以改革创新的精神脚,踏实地的工作作风使社会效益和经济效益稳步增长,年收入突破亿元大关。医院的各项事业蓬勃发展,硕果累累,成绩斐然。
“以病人为中心,创建人民群众最满意医院”是XXX始终坚持的办院宗旨。医院人正以执着的医志、高尚的医德、精湛的医术和严谨的学风书写着辉煌的历史,为打造“国内知名、省内一流”医院的目标而努力奋斗!
二、加强领导
根据黑龙江省卫生计生委、黑龙江省公安厅、黑龙江省工信委《关于进一步开展好卫生计生行业信息安全等级保护工作的通知》医院高度重视信息系统的信息安全保护工作,成立信息安全领导小组,具体工作由网络中心承担,负责医院信息系统等级保护工作,并开展相关科室的监督指导,根据安排,医院自成立信息安全领导小组以来,就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时组织培训等方式,不断加强技术人员的培养,对网络中心增加专业技术人员,强化信息安全保护能力。
三、完善制度
为落实加强和改进互联网建设与管理,根据原卫生部《关于印发卫生行业信息安全等级保护工作的指导意见》(卫办发【2011】85号)的文件要求,我们对医院信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了《信息系统安全组织结构及管理制度》《信息人员安全管理制度》《信息系统管理制度》《信息安全组织机构设置》《信息安全组织机构管理制度》《系统运维管理制度》等制度及《物理安全技术措施建设》、《网络安全技术措施建设》、《主机安全技术措施建设》、《应用安全技术措施建设》、《数据安全技术措施建设》等措施。
四、信息等级安全保护基本情况
目前,医院已有HIS、院内办公网、农村合作医疗、城镇职工医保、城镇居民医保、铁路医保、低保等多个内部信息系统,根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。
在物理安全方面,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。 机房做到防水、防火、防静电处理,温湿度控制在要求的温湿度之间。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;在医院互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用虎纹远程管理软件,对终端进行工作行为、上网行为等管理,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;安装彩蝶ARP检测系统及局域网抓包工具,自部署起已多次成功检测出SQL注入,伪装IP地址,全网攻击,FTP匿名登录,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
对于医院信息系统的不足,医院高度重视,在资金紧张等情况下,自筹300余万元,对系统进行改造,将在下半年投入200余万元将对医院信息系统软件升级改造。增加电子病历系统,检验科LIS系统,医学影像系统。硬件投入100余万元,增加服务器终端,网络设备等。
五、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,医院在该项工作上虽然取得一些进展,但是与上级主管部门要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
建议上级领导加强工作指导,通过多种方式的等级保护技术交流和培训,提高单位领导及员工的等级保护意识,进一步推进医院的信息系统等级保护工作。
推荐第2篇:信息安全等级保护工作汇报
2013年信息安全等级保护工作汇报
一、加强领导
2013年,根据扬州市信息安全等级保护办公室的的通知,集团高度重视非涉密重要信息系统的信息安全保护工作。集团安全等级保护工作由集团信息安全领导小组负责,具体工作由网络技术部和扬州网等部门承担,负责集团信息系统等级保护工作,并开展对集团所属单位的监督指导。根据安排,集团自2011年以来就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时通过组织培训等方式,不断加强技术人员的培养,强化信息安全保护能力。
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;
在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工
作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出SQL注入,FTP匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
建议市里加强工作指导,通过多种方式的等级保护技术交流和培训,提高单位领导及员工的等级保护意识,进一步推进集团的信息系统等级保护工作。
推荐第3篇:信息安全等级保护工作汇报
2009年信息安全等级保护工作汇报
2010年1月20日
一、加强领导 2009年,根据部里的总体部署,我厅高度重视非涉密重要信息系统的信息安全保护工作。我厅交通信息安全等级保护工作由厅信息安全领导小组负总责,具体工作由厅信息安全领导小组办公室承担,负责厅机关信息系统等级保护工作,并开展对厅直单位的监督指导。根据安排,我厅自2007年以来就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时通过组织培训等方式,不断提高技术人员的培养,强化信息安全保护能力。
二、完善制度 为了做好信息系统等级保护工作,根据《信息安全等级保护管理办法》(公通字200743号)的要求,结合我省实际,我厅制定并印发了《福建省交通运输厅信息系统等级保护管理制度》,对交通信息系统安全等级保护工作做出了具体的要求,同时在我厅开展的资源整合和服务工程建设中,根据等级保护要求,编制《厅网络安全系统建设方案》,制订了分步实施计划,并开展了数据库审计测试等前期工作。 2
三、信息等级安全保护基本情况 目前,厅机关已有办公自动化、门户网站及交通地理信息系统等3个系统完成了等级保护备案和测评工作,并根据测评中心的评估报告进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;在厅互联网出口部署网络行为管理(智能网关)系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。部署入侵防御系统监测、记录网络安全事件。 在主机安全方面,终端计算机采用双硬盘及物理隔离卡隔离互联网及政务内网应用,通过部署趋势网络防毒墙网络版,安装360安全卫士等安全软件保障主机系统安全,并且做到系统漏洞补丁及时更新,内网终端全部在政务网注册,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。 对于应用安全,严格做好系统安全测试,配备了专门的漏洞 3 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出SQL注入,FTP匿名登录,网站目录遍历,探测主机地址漏洞等。同时还安装网页防篡改系统,保障网站正常运行。 在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。 此外,2009年我厅新建成的福建省卫星定位安全服务等4个系统也
及时向省网安办履行了申请备案和测评手续,具体测评正在实施中。
四、建议 信息系统安全等级保护工作责任重大,技术性强,工作量巨大,我省在该项工作上虽然取得一些进展,但是与部、省要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。建议部里加强工作指导,通过多种方式的等级保护技术交流和培训,提高交通系统各级单位领导及职工的等级保护意识,进一步推进交通系统的信息系统等级保护工作。
推荐第4篇:等级保护
总结下关于等级保护工作的一些基础性知识,对等级保护工作有个快速的认识和了解。
一、什么是等级保护?
答:网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
解读:等级保护是对专有信息及信息系统进行分等级保护,对其中的信息安全产品进行按等级管理,对发现的安全事件分等级响应和处置。两个对象,三重管理。
二、等级保护工作具体步骤是怎样的?
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:
1)是信息系统定级。
2)是信息系统备案。
3)是系统安全建设。
4)是信息系统开始等级测评。
5)主管单位定期开展监督检查。
解读:系统定级和备案工作是等级保护工作开展的前提,也是等级保护工作最先要做的内容,系统安全建设可以先做也可以在等级测评之后再进行,第三和第四步没有严格意义上的先后顺序之分。
三、开展等级保护工作的相关法律法规或文件要求?
答:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确要求我国信息安全保障工作实行等级保护制度;
《信息安全等级保护管理办法》的通知(公通字[2007]43号)具体部署了实施信息安全等级保护工作的操作办法;
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)加快推动了等级保护工作的发展;
《中华人民共和国网络安全法》明确了国家实行网络安全等级保护制度。
解读:网络安全法的出台将等级保护工作以法律形式确定下来,等级保护工作至此以法律的形式确定为国家网络安全的基本国策,没有网络安全就没有国家安全.
四、等级保护分为几个等级?
答:分为五个等级,分别为:
第一级(自主保护级)
第二级(指导保护级)
第三级(监督保护级)
第四级(强制保护级)
第五级(专控保护级)
系统的重要程度从1-5级逐级升高。
解读:我们在日常工作中需要进行等级保护测评的系统是2-4级,经常遇到的是二级和三级信息系统,一级系统要求比较低,不需要进行测评,如果某个系统达到五级系统,那么这个系统很可能就已经涉密了,就不是等级保护范畴了,所以在技术要求里也没有五级的相关标准要求。
五、去哪里进行信息系统的定级备案工作?
答:全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
解读:系统定级资料填写完成之后打印两份,首页盖章,电子档准备一份,带着这些资料去当地公安网安部门进行系统备案,至于到底是哪个网安请根据各地的要求,省、市、区县都有可能。
六、什么是等级保护测评?
答:等级保护测评指的是用户单位委托第三方有测评资质且在当地备案的测评机构对单位已定级备案的信息系统按照对应的等级标准要求进行测评的过程,测评结束后出具相应的信息系统测评报告。
解读:对测评机构要求一定是有资质且在用户所在地公安网安部门备案
七、信息系统的测评多久需要测一次?
答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。
解读:二级系统为什么建议是两年呢?
一、系统相对三级没那么重要,所以时间上相对长点;
二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。
八、等级保护测评一般多长时间能测完?
答:现场测评周期一般一周左右,具体看信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。
解读:测评周期最不确定的因素就是整改,整改的快自然结束的快,所以用户单位想早点结束的话就得把安全整改抓紧落实完成。
九、等级保护测评的费用是多少?
答:测评的费用首先是按照信息系统来算,不是按照一个单位,不同等级的测评费用不一样。费用每个省市具体要求不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,如某些省市:二级系统不低于4万元;三级系统不低于8万元。
解读:测评的费用按照系统个数和系统的等级去核算,等级越高的相对费用越高
十、用户单位需要开展等级保护测评,找谁去做?
答:找有测评资质在当地有资格的测评公司去做测评,该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》,同时要求在测评机构在省公安厅网安总队备案成功;另外部分省份要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
解读:测评必须是有资质有资格的测评公司去做,有些厂商或者集成商号称能做测评,他们可能是有这个技术水平,但是没有这个资格和资质。
十一、等级保护测评后的最终结论分为哪几种?
答:测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分,如82分。
解读:测评的结论理论上有符合这种结论,就是满分100分的情况,但是实际上很难达到,也几乎没有出现过,如果你们家测评达到100分了,或者你经常看到有人得100分,那一定是这家测评机构不负责任地在测评。一方面是没有绝对的安全,另一方面等保的一些条款确实很难达到或者不适用。初次做等保能达到65-75之间就已经不错了。
十二、等级保护测评结论不符合是不是等级保护工作就白做了?
答:等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
解读:测评结论不符合不是最重要的,最重要的是我们已经发现了问题,下面就需要及时对这些问题特别是高危风险及时进行安全整改,消除隐患,降低风险。
十三、测评结束后有什么书面性的材料证明自己开展过等保工作?
答:书面性材料有:一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明;另一个就是测评报告,加盖过测评机构公章及测评专用章。
解读:有不少人会问,测评报告出了后主管部门有没有一个类似通过测评的一个证明,这个据我了解全国只有极个别地方有类似证明文件,绝大多数地方都没有,拿到了正式测评报告测评的工作就可以算是告一段落了
推荐第5篇:等级保护
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级”
计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)
信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)
信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准) 信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准) 信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)
信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)
推荐第6篇:信息安全等级保护工作汇报(精)
2009年信息安全等级保护工作汇报
福建省交通运输厅 2010年1月20日
一、加强领导
2009年,根据部里的总体部署,我厅高度重视非涉密重要信息系统的信息安全保护工作。我厅交通信息安全等级保护工作由厅信息安全领导小组负总责,具体工作由厅信息安全领导小组办公室承担,负责厅机关信息系统等级保护工作,并开展对厅直单位的监督指导。根据安排,我厅自2007年以来就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时通过组织培训等方式,不断提高技术人员的培养,强化信息安全保护能力。
二、完善制度
为了做好信息系统等级保护工作,根据《信息安全等级保护管理办法》(公通字[2007]43号)的要求,结合我省实际,我厅制定并印发了《福建省交通运输厅信息系统等级保护管理制度》,对交通信息系统安全等级保护工作做出了具体的要求,同时在我厅开展的资源整合和服务工程建设中,根据等级保护要求,编制《厅网络安全系统建设方案》,制订了分步实施计划,并开展了数据库审计测试等前期工作。
三、信息等级安全保护基本情况
目前,厅机关已有办公自动化、门户网站及交通地理信息系统等3个系统完成了等级保护备案和测评工作,并根据测评中心的评估报告进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;在厅互联网出口部署网络行为管理(智能网关)系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。部署入侵防御系统监测、记录网络安全事件。
在主机安全方面,终端计算机采用双硬盘及物理隔离卡隔离互联网及政务内网应用,通过部署趋势网络防毒墙网络版,安装360安全卫士等安全软件保障主机系统安全,并且做到系统漏洞补丁及时更新,内网终端全部在政务网注册,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY+用户名+密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞
2 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出SQL注入,FTP匿名登录,网站目录遍历,探测主机地址漏洞等。同时还安装网页防篡改系统,保障网站正常运行。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
此外,2009年我厅新建成的福建省卫星定位安全服务等4个系统也及时向省网安办履行了申请备案和测评手续,具体测评正在实施中。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,我省在该项工作上虽然取得一些进展,但是与部、省要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。建议部里加强工作指导,通过多种方式的等级保护技术交流和培训,提高交通系统各级单位领导及职工的等级保护意识,进一步推进交通系统的信息系统等级保护工作。
推荐第7篇:等级评审工作汇报
射洪妇女儿童医院
工作汇报
各位领导:
你们好!
首先,医院全体员工对各位领导百忙之中来我院检查指导工作表示最热烈的欢迎,对各位领导长期以来对我院工作的指导与帮助表示衷心的感谢!
我院始建于2007年。医院总投资500万元,占地面积2000平方米,共有科室13间,门诊室12间,住院病房9间,开放病床20张,办公室3间。主要医疗器材包括:DNA检测系统、蓝光婴儿培养箱、电解质分析仪、多普勒胎音仪、微量元素检测仪、液压手术床、奥林巴斯显微镜、激光机、ABX血球分析仪、盆腔治疗仪、尿液分析仪、血凝分析仪、数码阴道镜、红光治疗仪、彩色多普勒B超、变频电刀、心电图机、旋磁光子热疗仪、心电监护仪、二氧化碳激光治疗仪等高科技仪器。全院现在员工总数51人。
建院之时,医院即严格按照一级医院的标准进行创建工作,使医院在管理上、医护质量等多个方面的良好发展,奠定了强实的基础。
一、提高认识
加强领导
接到卫生局医院等级评审通知后,我院即召开专题院办公会,成立以医院主要负责人为组长的综合性医院创建领导小组,成立专门办公室,召开动员大会,再次进行学习培训工作。通过组织学习,使全院员工认识到医院等级评审工作是管理年活动的深化,对建立医院管理评价制度的长效机制具有很强的现实意义和指导作用,是医院能否生存与发展的重要手段,是做好群众满意医院工作的重要契机,既提高大家各方面的技能,又营造全院“人人参与评审,事事关系评审”的氛围,做好各项迎审工作。
二、落实责任
注重实效
自查自纠
我院在积极进行培训,组织学习,提高认识的基础上,通过加强领导,结合医院的实际,制定实施方案,并细化标准,落实责任人,将每一项工作予以分工,任务到人,责任到人,设立联络人、资料整理收集人、专项工作责任人,按照一级综合性医院评审标准,分步实施,按计划进行分线自查,对自查中发现的问题进行及时整改,并在整改中提高。对管理方面及时予以改进,技术方面予以培训提高,充实调整,设备上及时补充增加。
三、加强医院管理,提高运行绩效
1、强化法制教育,提高法律意识。院领导带头并组织全院职工认真学习,掌握国家相关法律法规,健全、完善了医院有关各项规章制度,并要求严格执行,依法办院,依法执业,保障医院的正常执业活动,确保医疗质量安全。医院严格按照规定范围内的诊疗科目执业,对医务人员严格实行持“三证”方可上岗制,对新分配、新调入人员实行岗前培训学习。轮转考核制等。
2、加强领导,严格管理,从严治院,不断更新医院管理知识,提高管理水平。客观分析、审视工作中存在的不足和问题,把握关键点,找准切入点,解决发展中的不和谐问题,使医院工作走向可持续、科学发展的道路。院领导把主要精力用于医院管理,加强自身管理知识学习,以适应新时期对医院干部的多元化要求,积极参加省内有关管理知识学习班或短期培训班,不断吸纳新思维、新理念、新方法,不断提高医院管理水平。
3、不断建立健全院、科两级管理责任制及目标责任考核制,院长对各科主任提出目标责任,以服务效率和服务质量等综合指标考核科室,指标量化细化,责任到人,奖惩分明,与工资挂钩。
4、加强财务管理,依法规范经济活动。完善经济核算办法,提高经济管理水平,控制医疗技术,降低医药费用,努力减轻病人负担,增强服务透明度,自觉接受患者监督。完善收入办法,所有医疗费用均严格参照《省医疗服务价格手册》所规定的项目和标准进行收费,新开展的检查项目收费标准均由物价部门批准。同时设立专职物价审核人员,每天对各科室医疗服务收费情况进行审核检查,及时纠正出现的错误收费。
5、我院积极响应上级号召,得到了病人的好评。严格麻醉药品、剧毒药品和放射性药品管理;严格执行临床四项通报制度,坚持每季度对前十位抗菌素类、消化类、心血管类、营养类和搞肿瘤类药品进行监控评价,定期监控、定期预警,安全合理用药,保护患者的权益。引入临床药师制度,主动联系临床,科学引导临床正确用药;定期下发《临床药学期刊》,加强对临床用药指导。
6、坚持院务公开,对人事任免、职称聘任、药品采购、大型设备购置、大额度资金使用等热点和敏感问题实行集体研究、决定制度,并在院务公开栏或有关会议上公布。设备购置首先由分管院长、使用仪器科室主任、使用人员等认真考察设备的型号、性能、价格后提交医院相关委员会,最后由委员会、考察人员和纪委与厂商代表集体进行协谈,杜绝了暗箱操作和收受“回扣”等违纪现象的发生,增加了透明度;治理商业贿赂,实施卫生部“八不准”,建立行风建设的长效机制。
四、加强医疗质量管理
持续改进各项工作
1、把医疗质量管理放在首位,建立健全医疗质量管理各级组织,明确职责及规章并加以认真落实。完善第
一、
二、三级医疗质控组织对医疗质量进行检查完成率100%,并针对查出的问题及时做了整改。
2、坚持强化首诊负责制、疑难病例、死亡病例、死亡病例讨论制、三查八对制度等核心制度。各科建立了疑难、危重、大手术病人会诊和术前讨论登记本等,月考核时严格检查三级医师查房记录,有遗漏或不认真执行者,在月考核时给予扣分;落实大手术病人报告审批制度;各临床科室建立了与病人及其家属的谈话制度;医院还制定并下发了《知情同意制度》。
3、强化三级查房制度,业务院长深入病房坚持行政查房,同时每月不定期、有重点、有计划地检查工作。坚持每周专家督导查房,科主任、副主任医师每周查房1至2次,主治医师每天查房1次,住院医师每天至少查房2次;科主任查房体现国内外诊疗最新水平及教学意识;增强学术氛围,培养中青年医师正确的临床思维、使用正确的临床的路径;各级医师查房意见必须签字。制定完善总值班制度,加大对全院夜间、节假日等盲点时间、定位部位、危重病人医疗安全的监管力度,确保医疗安全,到现今医院未发生过重大医疗事故。
4、加强对病历质量管理,严格执行《病历书写基本规范》。采取三级病案质量检查制度,多环节把关。采取自查、终末质控、抽查及定期复查等形式;上级医师查房时要进行病案质量检查;对医疗文书书写质量缺陷进行监控,每月对病历进行检查、分析、总结。通过评价-反馈-改进体系,不断提高病历书写质量。科主任对全科出院病历做终末质量检查,做到不合格病历不出科。对不规范病历在周会上全院通报,以强化对患者医疗关键环节的质量控制;同时邀请省、市专家来院进行病历质量评比、讲座等,不断提高病历书写的质量和水平。
5、加强抗生素的使用管理,医院制定下发了《抗菌药物合理应用管理实施细则》等文件,明确规定了抗生素的使用原则、适应症及使用时间等,要求在使用高档抗生素时做到患者知情同意、科主任签字同意和主管院长审批同意等,同时充分利用HIS系统对医生药品处方权限严格限制,从源头上堵住越级、越线使用抗生素的问题。
6、加强检验科质量控制工作,规范实验室制度,做好室内质控十五项,并绘制了各项质控图,能将室内质控控制在要求条件之内。室间质控能达到省临检中心的要求。
7、制定整体护理实施方案并明确职责;对每日新入、危重、抢救、手术病人等实行严格的护理床头交接班制度,加强晨晚间护理工作;加大护理查房和督导、检查的力度,坚持每月召开护理例会,每月护理质量检查一次,每半年大查一次,坚持每季度召开护理质量控制分析会对督导、检查出的问题及时提出并加以整改;实行护士长夜查房制度,达到与科室、护士间相互学习、相互交流、相互监督、相互促进的作用。
8、严格执行控制院内感染的各项规章制度,每月由专人对全院重点科室、部门和各科医疗器械进行细菌监测,终末消毒、毁形、回收工作均有专人负责。定期组织院内院感知识、手卫生等讲座,对医务人员进行院感知识培训及岗前培训,有效地防止了医院内感染的发生。
9、不定期进行“三基”考试训练,所在医、技、药、护人员参加,并将考试成绩与益工资挂钩;不定期举办院内各类知识讲座、护理专题讲座、技术练兵活动等;积极参加省、市有关部门组织的学术活动、培训班、技术能手比赛等,强化素质,提高业务能力、
五、加大对人才培训,积极开展新业务、新技术、新方法,进一步加快科技兴院的步伐。
六、改进服务流程,改善就诊环境,方便病人就医
1、改进门诊服务流程
为了方便病人的就诊,我院在建院初始开始使用医院HIS系统,通过增加服务窗口、门诊收费人员及电脑设备、增加门诊医师及多处布点等措施,缩短病人的候诊、挂号、取药时间;同时,在门急诊输液室、候诊室处等地方安装电视机、饮水机、排椅等人性化措施来改善候诊环境;加强分诊人员的素质培训;科室标识、指示牌做到规范、清楚、醒目。
2、指导病人明明白白就医
我院将医疗服务收费价目表、挂号收费标准、化验结果领取须知、就诊流程等张贴在明显位置,制作医院布局图、楼层布局图、楼层说明图、指路牌、导医等使患者最大程度的方便就诊。
3、规范门诊服务
对门诊病人反应的意见积极协调处理,及时化解矛盾;医技科室进一步树立为病人服务的意识,改造服务流程,缩短设备检查预约、报告时间,检验科三大常规十五分钟出结果、生化检验项目、随送随检,报告出来后通过HIS系统,临床科室的医生工作站可以马上看到结果,基本杜绝了患者家属来回送标本取报告的现象。提高门诊诊疗水平,保证门诊诊疗质量的前提下,医院为疑难的门诊病人进行了全院大会诊,打破了以往医院只为住院病人进行全院大会诊的传统,倡导把病人当成亲人的“换位思考”和“病人不动,医生动”的服务理念,切实给患者带来方便。群众满意度自查91%。
七、增强医患沟通,构建和谐医患关系,减免特困患者费用
1、增加或重新修订知情同意(志愿)书
为了尊重患者的知情权和选择权,根据国家有关法律法规,结合医院的具体条件,2007年以来增加或重新修订各种知情同意(志愿)书12种,如:《手术同意书》、《麻醉同意书》、《贵重药品知情同意书》、《输血同意书》等等。
2、建立和完善了病人投诉处理制度
医院规范了患者投诉管理制度,在门诊设置投诉点,安排院长接待日,建立投诉群众工作站,公布投诉电话,定期接待患者投诉,集中处理患者反映的各项问题。
3、严格医德医风监督检查
为了倾听群众呼声,医院定期召开社会监督员座谈会、住院病人座谈会;定期对行风建设信息通报,为加强医患沟通,发现问题与及时整改提供了一个平台。对个别违背职业道德,利用职务之便谋取私利行为,给予通报批评、缓聘、低聘、解聘、取消评优、职称评定、职务晋级资格。
4、多途径解决患者负担
我院为使患者得到真正的温暖与实惠,医患关系绝非单纯的治病与被治的关系,我们将其视同于家人的关系,从多角度,根据不同特点,开展多形式的温馨服务,护理部开展“护理工作怎样为职工群众服务”的大讨论,“沟通、诚信、细心”的服务理念、“FEP服务模式”(家庭式温馨护理、环境舒适、个性化护理)。为了优化服务流程,倡导无缝隙护理、延伸护理服务,满足病人多方的需求。全院集思方益,优化便民服务措施;各专科根据科室的特点开展特色服务,如产科、妇科。妇产科开展了如何做个准妈妈等健康宣传教育项目,均取得了很好的社会效益。
5、积极参与突发公共卫生事件的医疗救助,认真完成上级卫生主管部门下达的任务。
八、深入推进行风建设工作,树立良好的医德医风。
医院建立了行风建设领导小组,制订行风建设方案,积极开展“行风大家评”活动,贯彻落实卫生行风各项工作,并在社会和集团公司离退休人员中聘请行风监督员,定期召开会议听取意见并落实到位;加强医德医风教育培训,提高全心全意为人民服务意识。推进药品、设备、高值医用耗材,基建维修工程集中招标采购工作。推进“医患双向承诺制”,全面开展治理医药购销领域商业贿赂专项工作。遵守卫生部八项纪律。
以上是我们的工作汇报,在创建过程中,虽然自查结果合格,但仍有许多这样和那样的问题,在今后的工作中我们将一一改进,还望各位评审专家批评指正,提出好的建议。由于企业体制、机制和人才方面的情况,我们与地方上级和兄弟医院存在一些差距和不足;在内涵建设和员工素质方面我们还要进一步加强,积极向本县上级医院专家学习,借鉴好的管理经验,加强沟通和联系,也希望各位专家给予支持、帮助。我们深信通过这次医院等级评审,经过专家们的认真指导,必将对我院今后的工作和发展起到积极推动作用,我们将以此为今后工作的新起点和新动力,珍惜机会,不断持续改进,完善自己,努力践行科学发展观、切实加强医院管理,更好地为人民群众健康服务,让广大患者信任而来,满意而归,从而实现医院可持续发展。
最后,祝各位领导和专家身体健康,并对我院的等级评审检查所付出的辛勤劳动表示最诚挚的谢意!
射洪妇女儿童医院
推荐第8篇:林地保护等级分级
附 录 A (规范性附录)
林地保护等级分级及保护管理措施
A.1 保护等级分级 A.1.1 Ⅰ级保护林地
是我国重要生态功能区内予以特殊保护和严格控制生产活动的区域,以保护生物多样性、特有自然景观为主要目的。包括流程1000公里以上江河干流及其一级支流的源头汇水区、自然保护区的核心区和缓冲区、世界自然遗产地、重要水源涵养地、森林分布上限与高山植被上限之间的林地。 A.1.2 Ⅱ级保护林地
是我国重要生态调节功能区内予以保护和限制经营利用的区域,以生态修复、生态治理、构建生态屏障为主要目的。包括除Ⅰ级保护林地外的国家级公益林地、军事禁区、自然保护区实验区、国家森林公园、沙化土地封禁保护区和沿海防护基干林带内的林地。 A.1.3 Ⅲ级保护林地
是维护区域生态平衡和保障主要林产品生产基地建设的重要区域。包括除Ⅰ、Ⅱ级保护林地以外的地方公益林地,以及国家、地方规划建设的丰产优质用材林、木本粮油林、生物质能源林培育基地。 A.1.4 Ⅳ级保护林地
是需要予以保护并引导合理、适度利用的区域,包括未纳入上述Ⅰ、Ⅱ、Ⅲ级保护范围的各类林地。 A.2 保护管理措施
A.2.1 Ⅰ级保护林地管理措施
实行全面封禁保护,禁止生产性经营活动,禁止改变林地用途。 A.2.2 Ⅱ级保护林地管理措施
实施局部封禁管护,鼓励和引导抚育性管理,改善林分质量和森林健康状况,禁止商业性采伐。除必需的工程建设占用外,不得以其他任何方式改变林地用途,禁止建设工程占用森林,其他地类严格控制。 A.2.3 Ⅲ级保护林地管理措施 严格控制征占用森林。适度保障能源、交通、水利等基础设施和城乡建设用地,从严控制商业性经营设施建设用地,限制勘查、开采矿藏和其他项目用地。重点商品林地实行集约经营、定向培育。公益林地在确保生态系统健康和活力不受威胁或损害下,允许适度经营和更新采伐。
A.2.4 Ⅳ级保护林地管理措施
严格控制林地非法转用和逆转,限制采石取土等用地。推行集约经营、农林复合经营,在法律允许的范围内合理安排各类生产活动,最大限度地挖掘林地生产力。
推荐第9篇:网络安全等级保护条例
第一章第二章第三章第四章第五章第六章第七章第八章 网络安全等级保护条例
(征求意见稿)
目
录
总 则 ..........................................支持与保障 ......................................网络的安全保护 ..................................涉密网络的安全保护 .............................密码管理 .......................................监督管理 .......................................法律责任 .......................................附 则 .........................................
第一章 总 则
第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。
第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。
- 23络安全防范意识。
国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。
第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。
国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。
第三章 网络的安全保护
第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造
- 56用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。第二十二条【上线检测】新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。
新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
第二十四条【安全整改】网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。
第二十五条【自查工作】网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自
- 9第二十九条【技术维护要求】第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。
第三十条【监测预警和信息通报】地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。
第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。
行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。
第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约
- 1112涉密网络中使用的安全保密产品,应当通过国家保密行政管理部门设立的检测机构检测。计算机病毒防护产品应当选用取得计算机信息系统安全专用产品销售许可证的可靠产品,密码产品应当选用国家密码管理部门批准的产品。
第四十条【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。
涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。
公安机关、国家安全机关涉密网络投入使用的管理,依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。
第四十一条【涉密网络使用管理总体要求】涉密网络运营者应当制定安全保密管理制度,组建相应管理机构,设臵安全保密管理人员,落实安全保密责任。
第四十二条【涉密网络预警通报要求】涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度,发现安全风险隐患的,应及时采取应急处臵措施,并向保密行政管理部门报告。
- 14密码产品应当经过密码管理部门批准,采用密码技术的软件系统、硬件设备等产品,应当通过密码检测。
密码的检测、装备、采购和使用等,由密码管理部门统一管理;系统设计、运行维护、日常管理和密码评估,应当按照国家密码管理相关法规和标准执行。
第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。
第四十八条【密码安全管理责任】网络运营者应当按照国家密码管理法规和相关管理要求,履行密码安全管理职责,加强密码安全制度建设,完善密码安全管理措施,规范密码使用行为。
任何单位和个人不得利用密码从事危害国家安全、社会公共利益的活动,或者从事其他违法犯罪活动。
第六章 监督管理
第四十九条【安全监督管理】县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求,落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作,实行监督管理;对第三级以上网络运营者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务,实行重点监督管理。
县级以上公安机关对同级行业主管部门依照国家法律法规规定和相关标准规范要求,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作情况,进行监督、检查、指导。
地市级以上公安机关每年将网络安全等级保护工作情况通报同级网信部门。
第五十条【安全检查】县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:
(一)日常网络安全防范工作;
(二)重大网络安全风险隐患整改情况;
(三)重大网络安全事件应急处臵和恢复工作;
(四)重大活动网络安全保护工作落实情况;
(五)其他网络安全保护工作情况。
- 17自参加境外组织的网络攻防活动。
第五十五条【事件调查】公安机关应当根据有关规定处置网络安全事件,开展事件调查,认定事件责任,依法查处危害网络安全的违法犯罪活动。必要时,可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。
网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。
第五十六条【紧急情况断网措施】网络存在的安全风险隐患严重威胁国家安全、社会秩序和公共利益的,紧急情况下公安机关可以责令其停止联网、停机整顿。
第五十七条【保密监督管理】保密行政管理部门负责对涉密网络的安全保护工作进行监督管理,负责对非涉密网络的失泄密行为的监管。发现存在安全隐患,违反保密法律法规,或者不符合保密标准保密的,按照《中华人民共和国保守国家秘密法》和国家保密相关规定处理。
第五十八条【密码监督管理】密码管理部门负责对网络安全等级保护工作中的密码管理进行监督管理,监督检查网络运营者对网络的密码配备、使用、管理和密码评估情况。其中重要涉密信息系统每两年至少开展一次监督检查。监督检查中发现存在安全隐患,或者违反密码管理相关规定,或者不符合密码相关标准规范要求的,按照国家密码管理相关规定予以处理。
第五十九条【行业监督管理】行业主管部门应当组织制定本行业、本领域网络安全等级保护工作规划和标准规范,掌握网络基本情况、定级备案情况和安全保护状况;监督管理本行业、本领域网络运营者开展网络定级备案、等级测评、安全建设整改、安全自查等工作。
行业主管部门应当监督管理本行业、本领域网络运营者依照网络安全等级保护制度和相关标准规范要求,落实网络安全管理和技术保护措施,组织开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作。
第六十条【监督管理责任】网络安全等级保护监督管理部门及其工作人员应当对在履行职责中知悉的国家秘密、个人信息和重要数据严格保密,不得泄露、出售或者非法向他人提供。
第六十一条【执法协助】网络运营者和技术支持单位应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助。
第六十二条【网络安全约谈制度】省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中,发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
第七章 法律责任
第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。
第六十四条【违反技术维护要求】网络运营者违反本条例第二十九条规定,对第三级以上网络实施境外远程技术维护,未进行网络安全评估、未采取风险管控措施、未记录并留存技术维护日志的,由公安机关和相关行业主管部门依据各自职责责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第六十五条【违反数据安全和个人信息保护要求】网络运营者违反本条例第三十一条第二款规定,擅自收集、使用、提供数据和个人信息的,由网信部门、公安机关依据各自职责责令改正,依照《中华人民共和国网络安全法》第六十四条第一款的规定处罚。
第六十六条【网络安全服务责任】违反本条例第二十六条
- 21保密管理和密码管理规定的,由保密行政管理部门或者密码管理部门按照各自职责分工责令改正,拒不改正的,给予警告,并通报向其上级主管部门,建议对其主管人员和其他直接责任人员依法给予处分。
第六十九条【监管部门渎职责任】网信部门、公安机关、国家保密行政管理部门、密码管理部门以及有关行业主管部门及其工作人员有下列行为之一,对直接负责的主管人员和其他直接责任人员,或者有关工作人员依法给予处分:
(一)玩忽职守、滥用职权、徇私舞弊的;
(二)泄露、出售、非法提供在履行网络安全等级保护监管职责中获悉的国家秘密、个人信息和重要数据;或者将获取其他信息,用于其他用途的。
第七十条【法律竞合处理】违反本条例规定,构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八章 附 则
第七十一条【术语解释】本条例所称的“内”、“以上”包含本数;所称的“行业主管部门”包含行业监管部门。
第七十二条【军队】军队的网络安全等级保护工作,按照军队的有关法规执行。
第七十三条【生效时间】本条例由自
年 月 日起施行。
- 23 -
推荐第10篇:等级保护会议发言稿
讲话稿
一、信息系统安全等级保护工作意义
信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法,开展信息安全等级保护工作是实现国家对重要信息系统重点保护的重大措施,可以有效解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我市信息安全保障工作的整体水平。
二、我市信息系统等级保护工作组织机构
我市已由市公安局牵头建立了与市政府信息办、市机要局、市保密局联络机制,并坚持“分工负责、密切配合”的原则,公安机关牵头,负责等级保护全面工作的监督、检查、指导,并主要负责非涉及国家秘密的信息系统的等级保护工作,市政府信息办负责部门间协调,机要局密码工作的监督、检查,涉及国家秘密的信息系统由国家保密工作部门负责。
在联络机制的基础上,市局拟争取市委、市政府支持,成立信息安全等级保护领导小组,明确各部门职责,加强领导 ,进一步推进我市信息安全等级保护工作。
三、我市信息安全的前期情况
1
随着我市工业化、信息化的发展,信息系统在带来高效和便捷的同时,系统的安全性对社会生产、生活影响越来越大。在我市比较典型的两个重要信息系统是:人社局的社会保险系统和建委的房屋产权登记管理系统,这两个大的系统存贮的信息关系到全市居民的医疗金、养老金、和房屋产权的安全,目前以上数据都已完全电子化,而且数据库在本市存贮,如果说这两个系统的安全受到破坏,可以讲后果不堪设想。虽然我市目前各个重要单位的重要信息系统都相应建立了比较严密的管理制度,也落实了较为完备的安全技术措施,但是存在的缺点是各单位、各行业自主保护,各自为营;造成了安全标准不统一,安全制度不健全的打游击战的状况。导致的结果是隐患重重,。目前市区比较重要的单位已经基本完成信息系统的定级备案,并将在明年把三级以上系统的安全测评和安全措施的改进作为工作重点。
系统定级备案工作,就是根据系统的业务和数据对国民经济和社会生活的影响大小,确定系统的安全保护级别,不同的安全级别采取不同标准的安全保护措施,并由国家确定有资质的测评机构进行测评,及时发现系统安全问题,及时整改。系统定级备案可以简单的理解为网安部门由打击涉网犯罪向指导预防犯罪延伸,当然这样比喻不太全面,因为安全事件产生的原因是多方面的,网上违法犯罪只是计算机系统安全事件的一个方面。
四、信息系统定级备案工作的法律依据
《人民警察法》和《中华人民共和国计算机信息系统安全保护条例》规定了公安机关负责监督管理信息系统特别是重点领域信息系统安全保护工作。组织开展信息安全等级保护工作是公安机关肩负的新的历史使命,是在信息网络领域开展的面向全社会的管理监察工作。具体职责是:监督、检查、指导信息系统运营使用单位和主管部门开展信息安全等级保护工作;监督、检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况、定级和备案情况、安全整改、等级测评、产品使用、自查等情况;组织开展信息安全等保护的政策、法规、标准规范的宣传培训。
五、工作要求:
前期,由于市局对县局等级保护工作没有部署和具体指导,县级单位除了少数行业自身定级和部分县局网安部门已经开展了一些前期工作外,等级保护工作在县级单位还没有完全展开,随着社会信息化的发展和信息安全面临的严峻形势,今后将把等级保护工作纳入到县级网安部门的日常工作,而且将是一个长期性的系统性的工作,借这个机会提几点要求:
1切实加强对此次定级工作的组织领导,主动争取当地党委政府的领导。成立等级保护工作协调小组或领导小组,党委政府有关领导担任组长,有关职能部门和主管部门作为
成员。协调小组或领导小组下设办公室,县级公安机关分管网监工作的局长担任办公室主任,办事机构设在网监部门。
2、调动社会力量,积极推动信息安全等级保护工作。信息安全等级保护是一项复杂庞大的系统工程,需要全社会广泛动员和支持。公安机关在组织开展等级保护各项工作时要注意充分发挥社会力量的作用,共同推动等级保护工作。要注意在本地区科研机构、高校、协会、学会中选择和培养一批技术能力强,背景可靠的单位作为开展信息安全等级保护的技术支持力量;选择和确定一批专业人才作为等级保护的专家队伍。
3、加强宣传培训,提高开展等级保护工作的能力。公安机关要认真组织相关部门学习和掌握等级保护有关政策、规范和标准,针对信息系统运营、使用单位及信息安全相关技术支持单位对等级保护有关政策、方法、标准不了解等问题,要有针对性地加强宣传和培训。同时,要充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,为顺利实施等级保护工作奠定坚实的基础。
第11篇:安全等级保护管理办法
安全等级保护管理办法
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规制定以下办法:
第1条 网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第2条 根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录。
第3条 根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录。
第4条 根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录。
第5条 根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录。
第6条 每周对网络信息系统安全管理策略进行数据备份,并作详细记录。 第7条 网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
第8条 网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第9条 每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密局,并做详细记录。
第10条 每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录。
第11条 每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录,并将安全评估分析报告上报保密办。
第12条 每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录。
第13条 每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录。 第14条 涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第15条 根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第16条 每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录,遇有重大问题上报保密部门。
第17条 涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录。
第18条 新增涉密计算机联入涉密网络,需经保密局审批,由安全保密管理员统一进行操作,并做详细记录。
第12篇:等级保护全面自查
潞安容海发电有限责任公司信息安全等级保护自查报告
随着我国信息网络事业的飞速发展,信息安全保障能力提到了一个新的高度,我厂信息安全以及信息安全等级保护工作就提到了日常议程上来了。围绕提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设的要求,一年来,我厂认真贯彻落实行业和公司的总体部署,在公司和企业信息化工作的统一部署下,按照突出重点、统筹规划,重点保障基础信息网络和重要信息系统安全的总体要求和原则,狠抓系统维护、培训和流程梳理,促进管理规范,提高系统运行效率。进一步完善企业新的运行机制条件下的信息化管理工作,促进企业年度信息安全管理工作目标的实现。特别是今年9月以来,我厂在总结以往工作的基础上,通过认真学习和领会《信息系统安全等级保护基本要求》精神,根据公司的统一部署,结合我厂的具体情况,认真梳理和开展了信息安全等级保护这项工作,取得一定成效。现简要总结汇报我厂2011年度开展信息安全等级保护工作情况。
一、企业开展信息安全等级保护主要工作回顾
1、加强宣传,增强认识,积极推进企业信息安全等级保护工作。为提高企业对信息安全等级保护这项工作的认识,我厂组织信息化管理部门和相关人员认真宣传学习了工业和信息化部文件,大家充分了解到开展定级等工作内容、要求和技术标。一是增强了大家对推行信息安全等级保护制度的重要性和必要性以及信息安全等级保护工作的认识。二是在总结过去工作经验的基础上,确定了将信息安全等级保护工作作为今年网络安全保障工作的一项重要任务来抓。三是采取一定措施,积极推进了公司和企业信息安全等级保护工作。从系统定级、定级评审、系统备案、测评整改、监督检查等五个阶段进行了一些有益的探索。并按照既定的工作目标和时限要求,确保等级保护定级工作保质保量完成。
2、对照要求,认真查找和消除企业信息安全等级保护工作中的差距。信息化管理部门和相关人员通过对照国家和行业有关信息安全等级保护工作文件相关规定和我厂实际,认真开展自查和总结。针对企业现状展开分析和讨论,寻找我厂开展信息安全等级保护这项工作的差距,理清工作思路,进一步确立了企业信息安全等级保护工作思路和目标。一是对企业信息安全总体情况进行了全面摸底,检查了企业信息安全管理、信息安全技术、和信息安全运维三个体系建设情况。二是对信息安全检查中发现的主要问题进行了及时整改,采取了相应的对策和措施。
3、落实组织,建立企业信息安全等级保护工作长效机制。我厂领导高度重视信息安全等级保护工作的开展。企业有关领导和相关信息安全职能部门充分认识到开展信息安全等级保护是保障全市政治稳定、经济发展和社会和谐的有效手段。为适应公司组织机构调整需要,提高企业信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,我厂及时调整了信息化工作领导机构,同时,成立了潞安容海电厂关于成立信息系统安全工作领导小组,进一步落实了信息系统安全工作责任。在落实企业信息安全等级保护工作目标责任基础上,一是重新梳理和调整了企业信息化队伍;二是建立健全了信息安全管理制度;三是落实和发挥了系统备份、安全巡检、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能;四是实现了集中安全管理控制,快速安全事件响应,高可信的安全防护;五是重申了对IT系统和产品开展入网前安全检查,消除安全隐患等几项具体措施。
4、总体规划,分步实施和落实信息安全策略。我厂信息安全规划坚持行业和政策实际,着眼于企业长远的发展目标,以及高新技术迅猛发展的需要,立足企业当前的基础和迫切需要解决的问题。信息安全规划主要是企业部署了网络硬件路由、防火墙和网络防毒墙。实施和应用了中心机房安全监控、火灾报警系统,瑞星网络版企业杀毒软件和上网行为管理系统。机房和综合楼办公楼实施了 UPS供电,建立了中心机房网络雷电防护体系。安全策略主要是针对网络进行了CISCO PIX515安全策略配置,企业内部网络采用了路由和VLAN技术;服务器采取用户和密码登录;各部门上网用户实行等级权限,采用帐户和密码登录方式进行单个PC管理。各个终端运维强调Windows补丁管理,并通过Windows安全策略向用户提供限制性的访问权限,有效地保护了windows机器。
另外,结合企业职业健康安全管理体系建设要求,对供电体系、雷电防护体系缺陷、计算机的安全保护,信息泄露、数据备份、病毒或黑客入侵等危险源进行了认真的辨识,对二级以上危险源都制订了预控措施,明确了各岗位的岗位职责并对相关职责抓好落实。目前,企业信息系统的安全正式纳入烟草行业安全管理信息系统管理,并着手规划建立健全信息安全技术和信息安全运维两个体系建设。
5、完善制度,建立和落实了信息安全保护责任制。自从2009年组建信息系统网络以来,我厂就先后制订并修改了各项信息安全相关制度,坚持对重大节日期间的信息安全保障工作进行专门部署。今年,我厂在加强内部信息化管理制度建设方面,将国家局行业卷烟生产经营决策管理系统五个操作文件纳入了企业贯标管理。另外,为加强企业网络安全与信息管理,适应行业改革与发展机制的需要,企业除执行国家、行业和公司有关信息网络管理法律法规和制度外,内部制订和修订了一系列规章制度(包括预案和管理办法)。这些制度的制订和修改遵循了相关流程,并形成了记录。目前已正式印发的制度主要包括:《计算机和网络信息系统管理办法》、《通信管理制度》、《网络与信息安全事件专项应急预案》、《潞安矿业(集团)公司容海热电厂计算机安全管理规定》、《通信突发事件应急处置专项预案》。制度下发以后,日常开展督导和制度执行力检查,促进信息安全保护责任的落实。
6、抓好人员培训和系统演练,促进企业重要信息系统日常信息安全保护工作落到实处。另外,在下半年的10月和11月,内部分两期采取模拟信息网络及中心机房突发事件、发生网络中断等突发事件,以训带练的形式开展了这两个应急预案的演练。由生技部牵头,安全科、生产(设备)、物资科等相关部门安排相关人员参加了这次预案的培训和演练。培训和演练取得了预期目的。
5、日常认真抓好信息安全检查和系统运维,促进信息安全管理和系统整治规范。为了营造良好的网络环境,保护自身信息的安全,我厂信息化主管部门结合信息技术支持与服务本职,突出工作重点,积极抓好网络安全管理,进一步使安全落到实处。
(一)、坚持日常信息系统运维检查。针对企业信息网络系统管理和因特网上病毒和欺骗木马程序(病毒)攻击猖獗现状,信息化主管部门日常组织开展了专业性和群众性的信息及安全检查,集中消除和治理安全隐患,杜绝各种信息安全事故发生。
(二)、定期开展信息系统管理制度执行情况检查。按照企业制度督察检查办法,信息化主管部门编制了《计算机网络系统管理办法检查表》,对照信息系统管理制度内容开展对各部门和各岗位以及重点部位、重点项目检查,形成检查记录。
(三)、结合节假日和安全生产月、6S以及内部审核活动等开展信息网络安全专项检查。按照节假日和安全生产月、6S以及内部审核活动要求,开展网络设备全面检查和现场清理整顿工作,(1)是检查全厂各部门采用集线束对办公设备连线的整理规范状况;(2)是重点对两个机房以及各网络交换点场所的开关线路和周围杂物及时进行清理。对检查发现的问题,尤其是严重对网络系统造成安全隐患的项目立即下达通知整改,使问题消灭在萌芽状态,促进信息网络安全监督检查到位,安全记录真实规范。(3)是按照电力行业严格规范的总要求,对全厂网络的一些历史遗留问题和以往布线(电话线、有线、网线等)凸显瑕疵的地方,结合厂区布局的规范化,结合网络规范和6S管理要求,严格按相关标准进行了一次全面清理。
二、企业信息安全工作存在的问题是和改善工作意见或建议
1、企业在网络审计、安全设备统一管理、网站防篡改、行业数字证书(CA)认证等系统方面的建设工作未开展,建议公司加强企业信息安全技术体系建设这些方面给予特别支持和引导。另外,指导企业对信息系统备份措施的检查,包括检查的方法和内容。
2、公司对国家局行业生产经营决策管理系统的安全运维今年正式进行了部署,建议对每次巡检发现的问题能给予统一解决和处理。另外,指导企业开展网络和应用系统应急预案的编制和演练。
三、2012年企业信息安全工作重点
信息安全管理的对象是计算机网络和相关硬件系统以及在此系统上构架应用的软件和信息系统的决策规划、效能应用、系统安全、网络监察、个人上网等一切网络管理行为。而信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。为此,需要做好以下安全防范工作。
1、明确各层组织机构和人员的信息和信息网络安全责任,实现组织和人力上的安全保证;
2、组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;
3、规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施各系统配置和标准化设置,便于安全的维护和加固,实现基础管理上的安全保证;
4、除采用相应的物理防火墙和安全软件外,做好应急预案是确保万无一失的第一步,实现技术上的安全保证;
5、组织好本单位内的项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,实现规划和应用上的安全保证;
6、定期组织开展信息和网络安全检查活动。通过对现场检查和清理,系统的监管,促进网络现场规范,营造一个整洁、规范、安全、高效的网络和信息系统环境,实现环境上的安全保证。
2011年12月3日
第13篇:等级保护与分级保护
等级保护与分级保护
一、信息系统等级保护
1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。
第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。
第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:包括计算机系统、操作系统、数据库系统和通信系统; 网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;
管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制。
二、涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或数量较多; (3)信息系统使用单位对信息系统的依赖程度较高。 绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其要引起重视。
系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节,因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级\"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。在涉密信息系统定级时,可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响,以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时,在同一个系统里,还允许划分不同的安全域,在每个安全域可以分别定级,不同的级别采取不同的安全措施,更加科学地实施分级保护,在一定程度上可以解决保重点,保核心的问题,也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题。涉密信息系统建设单位在定级的同时,必须报主管部门审批。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则。当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求,当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进行论证,综合考虑修改项和其他保护要求之间的相关性,综合分析,改造方案的实施以及后续测评要按照国家的标准执行,并且要求文档化。在设计完成之后要进行方案论证,由建设使用单位组织有关的专家和部门进行方案设计论证,确定总体方案达到分级保护技术的要求后再开始实施;在工程建设实施过程中注意工程监理的要求;建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评,确定在技术层面是否达到了涉密信息系统分级保护的要求。
运行及维护过程的不可控性以及随意性,往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运行维护进行规范,从而确保涉密信息系统正常运行。通过安全检查和持续改进,不断跟踪涉密信息系统的变化,并依据变化进行调整,确保涉密信息系统满足相应分级的安全要求,并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别,所以在运行维护中应尽可能地实现流程固化,操作自动化,减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性,使安全策略作为安全运行的驱动力以及重要的制约规则,从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段,当局部调整等原因导致安全措施变化时,如果不影响系统的安全分级,应从安全运行及维护阶段进入安全工程实施阶段,重新调整和实施安全措施,确保满足分级保护的要求;当系统发生重大变更影响系统的安全分级时,应从安全运行及维护阶段进入系统定级阶段,重新开始一次分级保护实施过程。
随着我们国家民主与法制建设进程的不断推进,保密的范围和事项正在逐步减少,致使一些涉密人员保密意识和敌情观念淡化,对保密工作的必要性和重要性认识不足。虽然长期处于和平时期,但并不意味着无密可保。事实上,政府部门掌握着大量重要甚至核心的机密,已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场。据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出,渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求,加强涉密信息系统建设意义重大。
三、等级保护和分级保护之间的关系 国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。如:
(1) 国家事务处理信息系统(党政机关办公系统);
(2) 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;
(3) 国防工业企业、科研等单位的信息系统;
(4) 公用通信、广播电视传输等基础信息网络中的计算机信息系统; (5) 互联网网络管理中心、关键节点、重要网站以及重要应用系统; (6)其他领域的重要信息系统。
国家实行信息安全等级保护制度,有利于建立长效机制,保证安全保护工作稳固、持久地进行下去;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体安全保护水平,保障信息系统安全正常运行,保障信息安全,进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转;有利于根据所保护的信息的重要程度,决定保护等级,防止“过保护”和“欠保护”的情况发生;有利于信息安全保护科学技术和产业化发展。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容,关系到国家的安全和利益,一旦泄露,必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全,国家就会丧失信息主权和信息控制权,所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。
因为不同类别、不同层次的国家秘密信息,对于维护国家安全和利益具有不同的价值,所以需要不同的保护强度种措施。对不同密级的信息,应当合理平衡安全风险与成本,采取不同强度的保护措施,这就是分级保护的核心思想。对涉密信息系统的保护,既要反对只重应用不讲安全,防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象;同时也要反对不从实际出发,防护措施“一刀切”,造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护,就是要使保护重点更加突出,保护方法更加科学,保护的投入产出比更加合理,从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。
由上可以看出国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是国家信息安全等级保护在涉及国家秘密信息的信息系统中的特殊保护措施与方法。由于国家秘密信息与公开信息在内容和特性上有着明显的区别,所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全,以至于影响信息的合理利用,阻碍信息化的发展;也不能用维护公众信息安全的办法来维护国家的秘密信息安全,以至于窃密、泄密事件的发生,危害国家的安全和利益,同样影响信息化的健康发展。
第14篇:等级保护三级承诺书
承诺书
中国交通通信信息中心:
根据〘关于认真贯彻〖道路运输车辆卫星定位系统平台技术要求〗和〖道路运输车辆卫星定位系统车载终端技术要求〗两项标准的通知〙(交运发〔2011〕158号)、〘关于进一步开展交通运输行业信息安全等级保护工作的通知〙(厅科技字〔2012〕120号)以及〘道路运输车辆卫星定位系统平台和道路运输车辆卫星定位系统车载终端标准符合性审查办法(试行)〙(中交通信字〔2011〕75号)的规定,我公司承诺于2013年12月31日前,按照交通运输部关于行业信息安全等级保护工作的要求提交XXXX(平台名称)的信息系统安全等级保护三级备案证明和测评报告。如未按期完成,愿意接受从符合性审查公告目录中删除的处理。
二〇一二年 月 日
第15篇:信息网络安全等级保护
信息网络安全等级保护
自检自查报告
临河人民医院的的信息网络安全建设在上级部门的 关心指导下,近年取得了快速的进步和发展,根据市卫生局《关于开展信息系统等级保护检查工作的通知》文件精神和要求及接到公安局文件后,医院高度重视,及时召开院信息系统安全等级保护工作领导小组会议,积极部署工作、明确责任、具体落实,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,认真对照信息安全等级保护自查项目表,对我院信息安全等级保护工作进行了一次摸底调查,现将此项工作自查情况汇报如下:
一、等级保护工作组织开展、实施情况:
成立了临河区人民医院信息系统安全等级保护工作领导小组,落实了信息安全责任制;对等级保护责任部门和岗位人员进行了确定,确保专人落实;制定了等级保护工作的文件及相关工作方案;严格按照国家等级保护政策、标准规范和行业主管部门的要求,组织开展各项工作;及时召开了信息系统安全等级保护工作领导小组工作会议;医院主要领导对等级保护工作作出了重要批示,并在工作会议上提出了四点要求。
2信息安全管理制度的建立和落实情况 院信息中心制定了《临河区人民医院信息化建设总体规划》、《临河区人民医院信息系统工作制度与人员岗位职责目录》、《临河区人民医院计算机管理系统应急预案》、《临河区人民医院HIS信息系统工作制度》等相关制度,并在实际工作中对照制度严格执行各项操作流程。
3按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况
遵照有关法律法规,对医院信息服务网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对医院信息服务网信息安全保护等级进行了自主定级。
二、信息系统定级备案情况,信息系统变化及定级备案变动情况:
按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字,2007‟861号),对本单位维护的医院内网站(医院信息和服务网)安全保护等级级别定位第二级。
三、信息安全设施建设情况和信息安全整改情况:
1安全设施建设情况:我院计算机、公文处理软件和信息系统安全产品均为国产产品,包括使用360、金山安全卫士、金山毒霸、诺顿nod正版软件等安全软件。公文处理软件使用了Microsoft Office系统。单位使用的工资系统、业务系统、数据传输平台系统、数据库等应用软件均为市委、市政府政府相关部门、市财政局和市卫生局统一指定的产品系统。重点信息系统使用的服务器、路由器、交换机等均为国产产品。 2信息安全整改情况:
一信息系统安全工作还需要继续完善和提高相应的维护能力。随着移动护理查房的展开,信息工作人员还需要继续提高信息系统安全管理和管护工作的水平。 二设备维护、更新有待加强。科室的正版nod杀毒软件维护能够自动更新升级,并进行了定时扫描,确保不存在系统漏洞,偶尔更换新主机ip地址会有冲突,IP网络地址也进行了统一管理。今后将对线路、系统等的及时维护和保养,及时更新升级软件和管理网络地址。
三信息系统安全工作机制还有待完善。部门信息系统安全相关工作机制制度、应急预案等还不健全,还要完善信息系统安全工作机制,建立完善信息系统安全应急响应机制,以提高医院网络信息工作的运行效率,促进医疗、办公秩序的进一步规范,防范风险。
四、信息安全管理制度建设和落实情况:
1制定了医院信息服务网信息安全管理制度,按照“谁主管谁负责”的原则开展工作,我单位负责人为第一责任人,对医院信息服务网信息安全管理负直接责任,并接受上级单位的监管。
2对医院信息服务网机房实施了24小时值班,操作系统、数据库系统、防病毒系统、网站软件系统实时升级,
3发现安全隐患,第一时间由技术人员解决。
五、信息安全产品选择和使用情况:
医院内部服务器使用了IBM和戴尔的服务器,交换机使用了H3C.
六、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况:暂无聘请测评机构开展技术测评工作。
七、自行定期开展自查情况:
1每半年对医院信息服务网进行一次信息系统安全保护自查和应急演练措施。 2开展信息安全知识和技能培训情况:主动学习信息安全法律法规,积极参加公安机关、上级主管部门组织的信息安全知识和技能培训。
第16篇:信息安全等级保护
信息安全等级保护(二级) 信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
2
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
6
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
8
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
9
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
10
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
11
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
13
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
14
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
15
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
16
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录) 50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第17篇:医院等级评审工作汇报
濮阳市第五人民医院工作汇报
一、基本情况
市第五人民医院是在2003年全国大部分地区出现非典疫情后,市委、市政府为落实国务院《突发公共卫生事件应急条例》精神,保障人民身体健康,促进我市经济社会发展而规划建设的一所集医疗科研、教学和预防于一体的医疗机构。为整合全市卫生资源,减少医疗资源的浪费,将结核病防治所和肿瘤医院改扩建为市第五人民医院,同时挂濮阳市传染病医院和濮阳市结核病防治所两块牌子,实行院所合一的管理模式,即医院和结核病防治所合并在一起,实现资源共享,优势互补。医院占地103亩,设置床位150张,总建筑面积12800平方米,一期工程包括门诊楼、传染病病房楼、供应室等7000平方米已建设完成。人员编制195人,人员和办公经费实行80%差额预算管理,目前实有在编人员158人,非在编人员62人。医院承担着全市的突发公共卫生事件的应急救治和各类传染病防治、监测、科研任务以及我市西部地区医疗卫生服务任务。负责全市结核病预防、治疗和疫情监测任务。
二、主要工作及做法
(一)积极推进医药卫生体制改革,按要求完成了改革任务。
1、健全制度,建立良性运行机制。对现有规章制度进行了全面梳理,共新建立《医院投诉管理制度》、《医院后勤物资采
1 购管理制度》等62项,修订完善58项,形成了包括行政、医疗、护理以及感染控制等方面一整套管理制度,使各项工作有法可依、有章可循。成立综合质量目标考评小组,每月深入科室对各项制度执行情况进行监督检查,形成了良好的运行机制。
2、实行全员成本核算,推进精细化管理。作为濮阳市公立医疗机构经济运行管理改革的试点单位,我院着力加强成本核算与控制,改善收入结构,严格科室二级分配,推进精细化管理。一是实行全员成本核算,将科室的人员工资、夜班费、保险、公积金、健康补贴、交通费等全部纳入成本核算范围,节奖超罚,通过成本管理,使医院成本具体到每一个螺丝、螺帽,每一把镊子、钳子,形成了人人讲成本、人人算成本、人人降成本的良好氛围,大大降低了医院运行成本。2010年医院运营成本较上年降低17.4%,今年上半年运行成本较上年同期降低5%。二是突出效率,兼顾公平,不断完善考核指标体系,强化绩效考核。分别按医技、临床及行政职能科室三个体系进行考核,把服务质量、工作效率等方面作为考核重点,并向高技术、高风险岗位倾斜,严格科室二级分配,强化科室管理职责,增强职工责任感,调动职工积极性。
3、严格药品监管,促进合理用药。从今年2月开始,在全市率先进行了药品集中配送工作,减少了药品配送中间环节,提高了采购效率,有效遏制了医药购销中的不正之风。集中配送后,医院药剂人员从繁忙的药品采购工作中解放出来,不断加强临床
2 药师查房,开展用药督导,促进了合理用药,加强了药品使用管理。进一步优化医、药收入比例,降低药品收入比重,增加基本药物、常见药物的收入比例,认真贯彻落实药品管理法、医院处方管理办法及抗菌药物临床应用指导原则,切实减轻患者费用负担。2010年患者次均住院费用4811.7元,较2009年5492.2元下降12.4%, 今年1—10月份,药占比控制在49%以下,其中,基本药物使用比例达84.19%(国家二级医院要求>70%),抗生素药物使用比例29.17%(国家二级医院规定<35%)。
(二)以开展“医疗质量万里行”和“三好一满意”主题活动为契机,不断加强医疗质量管理。
今年以来,我院以开展“医疗质量万里行”和“三好一满意”活动为抓手,严格检查各项卫生法律法规执行情况,根据工作实际创新工作方法,进一步提高医疗水平和服务质量。一是落实“十大指标”,强化责任目标管理。我院把落实“十大指标”作为医院宏观管理的核心内容,逐条对照落实,由医务科按照医院制定的《贯彻落实二级医院“十大指标”的实施方案》对各科室的工作任务进行严格检查,同时负责将医院每月的“十大指标”完成情况进行汇总并上报市卫生局。今年(前11个月),患者次均费用4972元,药占比48.9%,床位使用率85%,首诊确诊率97%,甲级病历率94.8%,处方合格率97%,麻醉处方合格率100%,圆满完成了十大指标的各项任务。二是组织业务学习和人员进修,保障医
3 疗质量和安全。共组织医务人员参加的院内培训8次,邀请院外专家到我院会诊、手术、授课10余次,组织院内人员参加病人会诊、抢救30余次,选派了4名青年医务人员到郑大一附院进修学习,巩固了基础理论,提升了我院专业诊疗水平。三是加强监督,促进各项业务持续改进。今年初对医院综合质量考核小组进行了调整,按照检查内容分为临床医技、行政和后勤3个检查组,对各科室工作任务进行综合目标检查和考评,发现问题及时提出整改措施并纳入绩效考核。四是发挥协作医院品牌效应,打造肝病专科优势。我院充分利用与解放军302医院的协作关系,定期邀请肝病专家到我院查房、坐诊、讲学,为广大肝病患者提供规范化治疗指导和最新的肝病治疗方法,同时积极推广治疗肝病的新型临床药物。今年解放军302医院专家来院会诊、查房、讲学10次,通过与解放军302医院肝病专家的学习交流,我院肝病专科诊治水平大幅提高,收到了良好的效果。五是加强护理管理,积极开展主题活动。组织各临床科室开展了“优质护理服务示范工程”等活动,严格落实岗位责任制,开展健康教育,强化护理制度建设,组织岗位练兵。五是强化培训与监测,有效预防和控制医院感染。以加强感染监测和消毒灭菌措施为重点,我院认真贯彻落实《医院感染管理办法》和相关技术规范,加强重点部门、重点环节的医院感染控制工作,定期对消毒灭菌效果及环境卫生学进行监测,每月检查医院感染质量管理情况,有效预防和控制医院感染。
(三)认真做好结核病发病模式研究等项目工作,不断推动结核病防治工作取得新进展。
以开展国家重大专项“结核病发病模式”研究等项目为契机,积极开展业务培训,加强结防队伍建设,健全结防机构,增添诊疗设备,改善结防机构基础建设,进行健康教育,普及结核病防治知识,结核病防治工作取得了长足的进步,成为全省结核病防治工作的一面旗帜。自去年底开始,我市在全国范围内率先启动了全球基金结核病项目和国家科技重大专项“结核病发病模式研究”课题项目,在耐多药病人发现、管理等方面形成了良好的机制,为项目的全面实施提供了宝贵经验。耐多药患者发现、问卷调查、标本采集、治疗管理、资料整理等方面工作位居全国五个试点省市前列。
在结核病防治工作方面不断创新工作方法,在全省率先启动了结核病纳入新农合重大疾病补偿和慢性病进行管理,有效地强化了结核病归口管理工作,提高了我市结核病人的发现和管理水平。2008年全省结核病与新农合结合工作现场经验交流会在我市召开,我市将结核病纳入新农合补偿的做法形成了“濮阳模式”在全省得以推广。实施了结防机构每月集中阅片、市级结核病防治专家基层派驻和基层结防机构人员免费培训三项创新制度,有效地提高了各级结防机构工作能力,为实现早预防、早发现、早治疗“三早”目标打下了坚实的基础,取得了满意的效果。医药卫生报对创新措施的实施情况及效果多次进行了深入报道,刘学周厅
5 长批示要在全省推广。
(四)突出专科特色,不断提升工作能力和服务质量 医院根据发展定位,重点扶持肝病科、结核科等传染性疾病的专科建设。组建了感染性疾病病区,启动了肝病专科建设,与解放军302医院建立了协作关系,继续巩固结核专科特色,推动外科围绕肺、肝两个器官和结核、肝病两个专科发展业务,多渠道筹措资金,添置了全自动生化仪、电子胃镜、气管镜等多种设备,完善了医院功能,提高了医院服务水平和效率;先后选派40多人到解放军302医院、省人民医院、郑大一附院等上级医院进修学习,进一步提高了卫生专业技术队伍的整体水平,医院医疗质量明显提高。在2010年、2011年全市医疗卫生机构急救技术比武中连创佳绩,先后获得特等奖、一等奖、二等奖各一项,三等奖二项。积极开展科研工作,近年来共获得科技成果五项,荣获河南省卫生科技进步奖二等奖一项、濮阳市科技进步奖一等奖一项、二等奖两项。
(五)推行科学管理, 强化制度保障作用
从强化组织机构入手,做好人员培训、规范制度、加强监管等各项工作。坚持每月一次的院长行政查房,重点内容为学科建设、质量管理、医疗安全。健立健全了“学术委员会”“医疗质量管理委员会”、“医疗质量监控办公室”“药事管理委员会”、“设备与物资管理委员会”“应急与发事件领导小组”“行风建设领导小组”、“医院信息管理小组”分别负责对相应部门工作的管理、指导和监控。
6 坚持实施院务公开制度,确保“三重一大”决策的民主参与和科学可行。医院定期向职工通报医院发展情况,落实院长接待日制度,设置了院长邮箱,适时向临床科室下发征求意见函,组织召开各个层面人员座谈会,尤其重视一线临床科室专家、民主党派人士对医院发展方面的建言献策。
为确保医疗环境和医疗秩序,对生活、医用垃圾做到分类处理,严格落实医疗废物处理制度。严把污水处理关,建立设备检修制度,物资管理台帐。在经济管理方面,全院实施计划管理,实施预决算分析管理,建有严格的财务报告制度,明确的价格管理制度,做到常用医疗服务项目公示,并提供信息查询方式。全院以实施全成本核算的管理办法约束各个科室和部门,严把预算、审计关,努力节能减排,降耗增值。
(六)严格监督管理,提高行风建设水平
为了杜绝商业贿赂和不良行风事件的发生,在设备、药品、耗材、办公用品采购以及工程建设等工作中,严格执行招标竞标制度,纪检和审计人员全程参与与监管。坚持依靠监督制度评价行风效果,每月一次向门诊、病房患者进行问卷调查;坚持病人随访制度,每月电话随访出院病人;建立了全员医德档案,与职称晋升、评先挂钩;定期在院例会上对医德医风情况进行总结,纳入考核。尤其是去年底以来,我院凭借在全市统一开展的“一创双优”活动春风,着力创新思想观念,优化干部作风,优化发展环境,不断加强医德医风教育,用人性化、规范化和公益化的服务,
7 打动着每一位患者,使市第五人民医院成为市民群众心中值得信任和托付的品牌。近年来,医院实现了医疗服务零投诉,无医疗差错、纠纷发生,拒收病人红包等好人好事不断涌现,医务人员拒收红包共50余人次,累计金额万余元,患者调查满意率持续保持在98%以上。
三、迎接评审所做的工作
(一)以组织作保障,紧张投入全面迎评
医院专门成立院长、书记挂帅的迎评领导小组,由医疗副院长牵头,抽调强有力人员成立了“等级医院评审迎检办公室”,确立了“以评促建、全面提高,夯实基础、保障发展”的参评目标。依据评审内容相应成立了行政、临床、医技、综合四个工作组,分工负责评审各项工作。
(二)正视不足不回避,采取措施落实处
在迎评准备期间,我们针对自查中发现的问题,制订了全面快速限期限人整改措施,确保各责任单位在期限内实现了整改。对于一些难以解决的硬件问题,医院不惜花重金改善,购置了全自动生化仪、超声清洗机等设备,针对手术室面积不够、流程、分区不合理的问题,我院利用社区服务中心项目建设的机遇,调整科室布局,重新规划建设规范的层流手术室,目前手术室基础建设已经完成,正在进行净化工程施工,预计年底前可交付使用。同时,我们狠抓核心制度执行,迎评各专业小组定期深入科室开展监督检查和质量考核,对于因不认真、不负责而出现问题的人,
8 给与严肃处理。
(三)以等级评审为抓手,着力提升医院综合实力
通过紧张的迎评准备工作,我们感受到,通过评审强化了人人参与管理,人人重视医疗安全的意识。评审的目的,是为了确保医院科学平稳发展,维护医院、患者的共同利益。在迎检准备阶段,对标达标让我们体会到了评审标准对医院实际工作上的指导价值,对照标准积极整改,我院的工作取得了长足的进步。在今后的工作中,我们要继续巩固成果,继续以评审标准为准绳评价医院各项工作,以实现科学管理促进医院综合实力的提高,为实现医院发展目标奠定坚实基础。
再次感谢各位领导、各位评审专家!
二〇一一年十二月二日
第18篇:医院等级评审工作汇报
泌尿外科等级评审工作自查汇报
尊敬的各位领导,各位专家:
今天,评审组专家莅临我科指导工作,首先,我泌尿外科全体职工,欢迎各位领导和各位专家到来,对各位领导和专家长期以来对我科工作的指导和帮助表示衷心的感谢!现将我科迎评工作情况向各位领导和专家汇报如下:
一、迎评准备情况
(一)、认真组织,全科动员,扎实推进迎评工作 自等级医院评审工作开展以来,我科按照医院有关要求,严格对照《三级综合医院评审标准》等相关文件规定,把等级评审工作作为头等大事来抓,认真组织,全院动员,全员参与,全力以赴,确保迎评工作有序开展。
一是健全组织,明确职责。科室成立了等级评审工作管理小组,建立了科主任总责、科室成员分工负责、各负其责的工作机制。制定下发了等级医院评审工作实施方案和配套措施,确定了工作目标、工作要求、实施步骤,做到了任务到到人,明确分工,不留空白。
二是积极动员,抓好落实。评审工作启动后,科室多次召开了迎接等级评审工作会议,全力以赴投入到评审工作中来,严格对照评审标准和实施细则,将各章节、条款逐条划分,逐项分解,责任到人,考核到人,每周进行调度,不定期进行互评、互查,对发现的问题明确专人,限时解决,确
保等级评审工作稳步推进。
三是评建结合,持续改进。在迎评工作中,我们牢牢把握“以评促建、以评促改、评建并举、重在内涵”的指导方针,把等级评审与日常工作有机结合,把PDCA持续改进的理念贯穿在各项日常工作中。对自评中发现的问题,都结合日常工作制定了整改措施,及时进行解决,不断加以完善,做到“以评审改进工作、以工作推进评审”,使科室各项工作得到了持续改进和提高。
(二)、强化质量管理,促进医疗质量持续改进和提高 科室坚持质量强科,不断增强为患者服务的能力,以等级医院评审为契机,进一步强化了日常管理、考核和监督,努力在质量管理上实现规范化、制度化、系统化、全员化。
1、加强基础质量管理,认真落实核心制度。科室围绕基础质量、环节质量和终末质量管理,认真贯彻落实人员岗位责任制及医疗技术操作规范。对核心制度进行了细化、量化,使之更具可操作性,并印制成册,要求科室医护人员知晓率100%。加强以电子病历为核心的信息化建设,进一步规范病历书写,提高书写效率及质量。
2、健全质量管理组织,及时督导解决问题。科室成立质量管理小组,每月召开医疗质量分析会,了解医疗环节中的隐患,及时发现问题,解决问题。每月确定一个检查主题,重点针对工作中的薄弱环节,检查交接班制度、值班制度、会诊制度等核心制度的落实情况,对检查中发现的问题,及
时进行改进,并依据处罚规定严格奖惩。将医疗、护理、院感、病历质量、抗菌药物合理使用、处方点评等纳入检查内容,进行汇总评分和排序,并对质量情况进行分析点评,促进了医疗质量的持续改进。
3、推行患者安全目标管理,确保医疗安全。严格执行查对制度,注重手术安全核查、临床用血管理、临床实验室管理、危急值报告制度管理,确保手术、输血、用药、检验等医疗服务环节的安全。妥善处理医疗安全(不良)事件,积极学习法律法规,增强了科室医务人员的法律意识、安全意识,近年来未发生重大医疗事故。
4、加强业务培训与考核,打造学习型人才队伍。科室每月定期开展继续教育讲座,分层次、分岗位进行培训,通过技术操作比赛、三基三严考试、病例讨论等形式,检验培训成效,并将结果与职工岗位聘用等直接挂钩,形成了有培训、有考核、有奖惩、有改进的良性循环。
5、加强临床路径管理试点,规范医疗服务行为。按照医院要求,结合科室实际,制定了临床路径管理制度、奖惩制度和实施流程。在保证医疗质量和安全的基础上,较好的解决了大处方、滥检查的情形,平均住院日、住院费用等指标逐年下降。
6、加强科室管理,确保院感质量安全。强化手卫生管理,全科统一使用非手触式水笼头和抗菌洗手液。加强对医疗废物的管理,预防了医院感染的发生。对每个科室都制定了考
核细则,每周不定期检查,每季度进行一次全面检查,以书面形式提出持续质量改进措施。
7、加强护理管理,改进护理质量。多年来,科室高度重视护理工作,对护理工作实施目标管理,建立健全了护理管理体系,实行护士岗位责任制和目标管理责任制,落实护理常规,对患者提供全面、全程、专业、人性化的护理服务,病人满意度不断提高。科室建立了护理工作量化考核体系并注重持续改进,实行了护理聘用人员分层次考核。
8、加强药事管理,推进临床合理用药。加强药剂管理,执行《处方管理办法》,开展处方点评,优先合理使用基本药物,开展抗菌药物临床应用管理,抗菌药物品种控制在35种以下,举办了多期抗菌药物合理使用培训,并加强监督指导。按规定报告不良反应,全面落实质量管理与改进制度,促进临床合理用药。
二、自评情况及自评中发现的问题
自迎评工作开展以来,我们对照标准查不足,在不断的改进和完善中,我们深切的感受到了迎评工作给科室带来的巨大变化,科室的职工队伍得到锤炼,管理水平得到提高,PDCA循环原理深入人心,促进了各项工作的全面提升。但是,仍有许多地方存在不足:1.如部分人员的服务还不完善;2.某些制度的落实尚不到位;3.对PDCA循环理解不透彻;4.部分岗位职责没有落到实处;5.年轻医师和病人沟通不到位;6.个别病历不能及时完成。
我们深信,通过这次各位领导和专家的检查和指导,必将对我科今后的各项工作起到极大的推进作用,为我们持续改进提供新的强大动力。我们将虚心听取各位领导和专家的意见,针对存在的问题再加力度,再添举措,及时改进。我们将以此为契机,努力建立完善持续改进的长效机制,持续改进,不断提高医疗服务质量和管理水平,更好的为人民群众健康服务,使科室各项工作再上一个新台阶。
泌尿外科
2015-7-16 5
第19篇:等级医院工作汇报[1]
五道江镇卫生院 申报一级医院工作汇报
一、医院基本情况;五道江镇卫生院始建于1979年,是全镇唯一的一所集医疗、预防保健、社区卫生服务为一体的镇级综合医院,占地面积4600多平方米,其中建筑面积2900平方米。全院现有正式职工37名。全院卫技人员共有32名,其中高级职称8名,中级职称24名,初级职称4名。医院设有门诊部、内外科疗区、行政、后勤等科室,开设病床48张。
二、巩固等级医院工作情况
2007年以来,在市局有关领导、专家的指导支持下,我院严格按照等级医院的标准和专家提出的意见,不断加强医院的管理,提高医疗质量,改进医疗服务,使医院在管理上、医疗质量上、服务上等多个方面都得到了良好的发展。2009年11月,随着三年一个周期的等级医院评审倒计时的来临,我院积极响应省厅的通知,向市卫生局递交了等级医院评审申请,并在全院进行了再动员和自查自纠。
(一)提高认识,加强领导
为顺利迎接评审检查,我院成立了以院长、书记为组长的一级医院评论工作领导小组,新购了10多本《吉林省一级综合医院评审评价标准》发放至全院各科,并多次组织召开院领导班子会议和院科两级领导专题工作会议,对照《评审标准》,进行认真的学习培训和工作部署安排,在全院进行动员号召。通过学习、动员,使全院职工进一步认识到了医院评审工作对建立医院管理评价制度的长效机制
具有非常重要的现实意义和指导作用,是促进医院生存与发展的重要手段,是做好群众满意医院工作的重要契机,在全院形成了“人人参与评审,事事关系评审”的氛围。
(二)落实责任,注重实效,自查自纠
对照省卫生厅2008年修订版的《吉林省一级综合医院评审评价标准》,我院领导组结合本院实际,细化标准,分解任务,将指标下达到了各委员会和各科室,要求各项指标的责任人把材料、表格、数据等列出目录,分门别类规范整理,各分管院长把关包面,科室包块儿,个人包项,确保责任到人。对每一项工作,每一个指标,我们都认真进行自查,发现问题及时整改并在整改中提高。对管理方面及时予以改进,技术方面予以培训提高,充实调整,设备上及时补充增加。近两年来,医院添臵设备近百万元,增加高级职称人员3名,整改不足5件(处)。
(三)加强医院管理,提高运行绩效
1、强化法制教育,提高法律意识。为增强全院职工的法制意识,几年来,医院领导始终带头并认真组织全院职工认真学习、掌握国家相关法律法规,不断健全完善医院的各项规章制度,严格执行依法办院,依法执业,保障了医院的正常执业活动,保证了医疗质量安全。对医务人员严格实行持“三证”方可上岗制,对新分配、新调入人员实行岗前培训学习、轮转考核制等。
2、加强领导,严格管理,从严治院,不断更新医院管理知识,提高管理水平。我们现任班子是2010年2月新组建的,上任伊始,班子就明确提出了“以制度管权,以制度管事 ”的管理办法。院领导把主要精力都投入在医院的管理工作上,并不断加强自身管理知识 2
学习,积极参加省内外有关管理知识的学习班或短期培训班,不断吸纳新思想、新理念、新方法,不断提高自身领导管理水平。工作中做到客观分析、审视存在的不足和问题,把握关键点,找准切入点,解除发展中的不和谐问题,解放思想,开拓创新,使医院工作走向了可持续、科学发展的道路。
3、改革分配方案,建立健全院、科两级管理责任制及目标责任考核。为充分调动职工工作积极性,彻底革除“大锅饭”的现象,院领导经过深入调查研究、多次测算,多方征求科室意见,2010年5月制定出台了新的《医院管理分配方案》,新《方案》以服务效率和服务质量等综合指标考核科室,指标量化细化,责任到人,奖惩分明,与工资挂钩,解决了不合理分配的问题。
4、规范药品采购和使用管理工作。近年来,我院按照国家规定,不断规范药品采购办法,积极参加全省网上药品招标采购。目前,我院招标药品占全院药品总额的98%以上,而且非招标药品购进价格均低于招标价。2010年以来,我院总计为患者让利2万余元,得到了患者的好评。我们按照卫生部门的要求建立了处方点评制度,开展处方评价工作,制定了本院的基本药品目录,及时统计填报药品不良反映和抗生素数量排列统计表。
5、加强财务管理,依法规范经济活动。在日常财务活动中,我们结合工作实际,不断完善经济核算办法,提高经济管理水平,尽可能地控制医疗成本,降低医药费用,努力减轻病人负担,增强服务透明度,自觉接受患者监督。所有医疗费用均严格参照《吉林省医疗服务价格手册》所规定的项目和标准进行收费,不定期对各科室医疗服务收费情况进行抽查审核,及时发现为题,纠正错误。
6、坚持院务公开。对经营决策、经营状况、财务收支情况、医药设备采购、人事任免、大额度资金使用、绩效考核等热点、敏感问题,实行集体研究、决定制度,并在院内进行公开。凡经营决策、大额度资金使用等重大事项或临时性、突击性、阶段性工作,随时公布;经营状况、财务收支情况等,则一般在每月的院科主任会上进行通报,由科主任传达至每一个职工。通过院务公开,增加了工作透明度,提高了管理效率,促进了班子建设,保证了我院各项工作的科学、高效运作。
(四)强化医疗质量与安全管理,不断提升服务质量
1、把医疗质量管理放在首位。医疗质量是医院管理工作的重中之重,我们始终把它放在工作的首要位臵来抓,并根据上级出台的的新规定、新要求,不断健全医疗质量管理组织,明确职责、规章,加以认真落实。几年来,我们进一步完善了
一、
二、三级医疗质控组织,落实了医疗质量定期检查考评制度,并针对查出的问题及时做了整改。
2、认真落实首诊负责制、疑难病例、死亡病例讨论制、三查七对制度等医疗核心制度。各科建立健全了疑难、危重、大手术病人会诊和术前讨论登记本等,月考核时严格检查三级医师查房记录,疑难、死亡病例讨论记录等,有遗漏或不认真执行者,在月考核时给予扣分;落实大手术病人报告审批制度;各临床科室均建立了与病人及其家属的谈话制度;医院还制定并下发了《知情同意制度》。
3、加强对病历质量管理,严格执行《吉林省病历书写基本规范(试行)》。采取三级病案质量检查制度,多环节把关。采取自查、终末质控、抽查及定期复查等形式,对医疗文书书写质量缺陷进行监 4
控。每月对病历进行检查、分析、总结,通过评价-反馈-改进体系,不断提高病历书写质量。科主任对全科出院病历做终末质量检查,做到不合格病历不出科。对不规范的病历在院科主任会上全院通报,强化对患者医疗关键环节的质量控制。
4、加强人才建设,注重继续教育和业务培训,提高医务人员整体素质。医院领导从战略高度重视人力建设。为加大对在职人员的培养,我们采用了“请进来,走出去”的方法,多次邀请上级医院的专家来院开展手术、会诊病人,并选派技术骨干赴通化、长春等地进修深造,学习外面的新技术和新知识,使医院的业务水平有了很大的提高。与此同时。我们还加强对全体医务人员的基本理论、基本知识、基本技能的学习和培训,定期举办医院业务讲座,定期进行理论和技术操作考试,积极鼓励和支持医护人员参加各种成人学历教育。2009年共举办各类讲座40次,1200人次参加听课,组织各种考试40次,考试合格率均达到95%以上,使医务人员的整体素质得到了进一步的提高。
5、制定整体护理实施方案并明确职责。对每日新入、危重、抢救、手术病人等实行严格的护理床头交接班制度,加强晨晚间护理工作;加大护理查房和督导、检查的力度,坚持每月召开护士长例会,每月护理质量检查一次,每半年大查一次,坚持每季度召开护理质量控制分析会对督导、检查出的问题及时提出并加以整改;实行护士长夜查房制度,达到与科室、护士间相互学习、相互交流、相互监督、相互促进的作用。
6、严格执行控制院内感染的各项规章制度。每月由专人对重点科室、部门和各科医疗器械进行监测,终末消毒、毁形、回收工作均 5
有专人负责。定期组织院内院感知识、手卫生等讲座,对医务人员进行院感知识培训及岗前培训
达120人次,有效地防止了医院内感染的发生。
7、加强重点学科建设。内科、外科是本院的两个重点科室,为加强重点学科建设,不断创新与引进医疗技术,提高医院的核心竞争力,对这两个科室,医院在人员、医疗器械配备等方面给予了大力支持,积极打造平台,确保了他们在原有基础上取得更大发展。
(五)加强基础建设,改善就诊环境,方便病人就医
1、改造医院。为改善居民就医环境,保障医疗安全,2010年6月我院开始对楼房进行维修改造,2010年之前我院是一座70年代砖质结构楼,已是一座危楼,存在很大的安全隐患。后经多方努力,2010年6月,在区政府大力支持下投资进行维修改造,2010年12月投入使用。医院门诊病人的就诊环境和医护人员的办公条件得到了历史上的大改变,医院环境有了突破性的改观,人的精神面貌也焕然一新,医疗服务质量进一步提高。
2、改进服务流程,改善全院环境。2010年,在资金十分紧张的情况下,筹措资金对楼房、庭院进行改造,硬化庭院300平方米,营造绿地300平方米。在规范科室标识方面,我们制作了规范、清楚、醒目的服务标识,确保正确引导患者及时就诊。各诊区配有候诊椅,方便病人等候、休息。诊室内做有隔离屏障,很好地保护了患者的隐私,为患者精心营造了一个方便、快捷、舒适的就医环境。
3、多方筹资,更新设备,拓宽服务领域。我院在医疗设备上,由于长期以来资金困难,大多陈旧、短缺,已严重影响到工作的正常运转。我们院领导班子,团结协作,通过多方筹集资金,先后为医院 6
添臵、购买了CR、彩超、血流变、全自动生化仪、尿分析仪近百万元的医疗设备,大大改变了医院医疗设备落后的现状。同时,我们还派出技术骨干,外出学习先进技术,不断拓宽医院服务领域,2010年先后派内外科人员到通化、长春学习。院内开展四肢骨折手术,内外科急症抢救,心脑血管意外抢救治疗。目前为止,外科开展四肢骨折手术100多例,抢救心脑血管危重患者70多例。
(六)加强医患沟通,构建和谐医患关系
1、增加或重新修订知情同意书。为尊重患者的知情同意权和选择权,根据国家有关法律法规,结合医院的具体条件,2007以来我们增加或重新修订了《手术同意书》、《麻醉同意书》、《输血同意书》等等各种知情同意书,充分尊重患者的知情权、同意权和选择权,详细告知患者疾病诊断、治疗、用药、风险、费用等事项,切实维护了患者的健康权益;
2、进一步完善了医患沟通制度。09年,我们制订出台了《医患沟通制度》、《护患沟通制度》等,提出了“一个根本、两个技巧、三个掌握、四个留意、五个避免”的沟通要求,教育和引导全院医务人员牢固树立“以病人为中心”的服务理念,用通俗易懂的语言主动加强与病人的交流,耐心向病人交待或解释病情,倾听患者意见,积极主动改进工作。并将“医患沟通制度”纳入医院质量管理体系,由医务科、护理部定期抽查、评价、考核。
3、建立医疗事故防范预案、医疗事故内部报告制度和医疗纠纷登记制度。依照法律和有关规定妥善处臵医患纠纷,把医患纠纷处臵纳入法制化、规范化轨道,切实维护医患双方的合法权益;
4、建立、完善病人投诉处理制度。在社会上公开投诉电话号 7
码,在院内设立投诉信箱,设立院长接待日,及时受理、处理病人投诉,减少医患纠纷的发生,努力提高医疗服务质量和服务水平,努力营造良好的医疗环境,确保病人在住院期间得到及时、安全、高效、专业、全程优质服务,从而有效融洽了医患关系。
5、着力缓解群众“看病贵、看病难”问题。我们从规范服务收费着手,强化药品和医疗价格的监管,严格执行收费政策,严格遵守合理检查、合理用药、因病施治;同时实行惠民措施,落实惠民医疗服务和单病种限价收费政策,要求医生避免不必要的重复检查,充分为广大患者考虑;对贫困户实行医疗费用减免政策,在一定程度上缓解了患者“看病贵、看病难”问题。
(七)深入推进行风建设,树立良好医德医风
1、强化医德医风教育。我院把依法治医和以德治医有机结合起来,大力弘扬白求恩精神,发扬救死扶伤,治病救人的优良传统,切实开展忠于职守、爱岗敬业、开拓进取、乐于奉献的思想和职业道德教育,从主观上教育职工关心、爱护病人,让职工真正意识到病人是我们的衣食父母;
2、认真落实医德制度。我们进一步修订、完善了“医德医风考核制度”、“职工个人医德医风考核办法”“药品、医疗器械、一次性材料购销管理制度”、“医务人员执业行为守则”等符合实际、便于操作的制度和规定,形成了加强医德医风考核、投诉举报、激励和惩戒等的长效机制;同时认真贯彻执行卫生部的《医务人员医德规范》、《八项行业纪律》及省厅的《十不准》规定;并结合治理行业贿赂专项治理活动,加强对不正之风的专项治理工作,坚决杜绝了“商业贿赂”等违法违纪行为的出现;
3、大力推进医疗服务信息公开力度,加强社会监督。为增强患者就医透明度,我们及时向社会公布卫生政策法规、标准规范、行政许可等重要事项和医院服务项目收费标准、药品及医用耗材价格、医疗服务流程,让患者明明白就医,放放心心看病;同时还通过设立举报箱,公布投诉电话号码,定期收集病人和社会监督员对医院医疗服务中的意见等形式,广泛征求社会各界意见,及时发现问题和不足,及时改进。
三、取得的成效
在巩固等级医院工作的过程中,我们通过制度创新,加强管理,提高医疗服务质量, 推进了医院管理的规范化、标准化、制度化建设。全院的医疗安全、医疗质量等都有了进一步的提高,医患矛盾大为减少,病人满意度达到95%以上;医生责任心、病人管理水平、医疗质量管理意识等都明显增强,形成了服务、质量、效益、管理一起抓的良好局面,树立了医院良好的社会形象,促进了医院的发展。2010年,全院共完成业务收入160万元,较上年增长10%,药品收入占业务收入比例的60%;完成门诊量10688人次,同比增长5.47%;完成出院量813人次,同比增长9.8%;治愈好转率97%,与上年持平;开展手术25台;抢救73例,成功率98%;病人平均住院日7.14天;病床使用率达77.1%,同比增长23.62个百分点;各科护理质量指标达到考核标准,其中基础护理合格率≥90%,无菌护理技术操作合格率≥97%,急救物品完好率100%,五种表格书写合格率≥90%,全年护理差错事故发生率为0,褥疮发生率为0。
四、存在的困难和问题
虽然我院通过艰辛的努力取得了一定成效,但是仍存在很多问 9
题:一是医院硬件达不到要求,手术室、供应室建设不符合标准,业务用房仍很紧张,无法满足医院基本功能需求,一些医疗设备短缺,确诊率、诊疗水平有待进一步提高;二是由于具备资质医务人员严重匮乏,继续医学教育计划难以落实,人才缺乏,导致医院技术发展滞后,部分学科建设缺乏带头人,专科特色无法开展;三是由于体制、机制和人才方面的情况,我们与上级和兄弟医院还存在很大差距;四是内涵建设和员工素质方面我们还需进一步加强;五是便民服务措施不够完善,医院环境不够美化。
以上是我们的工作汇报,敬请各位领导、各位评审专家批评指正。我们深信通过这次医院等级评审,经过专家们的认真指导,必将对我院今后的工作起到积极的推动作用,我们将以此为今后工作的新起点和新动力,珍惜机会,不断持续改进,完善自己,努力践行科学发展观、切实加强医院管理,更好地为人民群众健康服务。
五道江镇卫生院
第20篇:等级保护中心机房管理制度
Iyunke信息化管理制度
中心机房管理制度
为科学、有效地管理中心机房,保证网络系统安全、高效运行和使用,结合本局网络结构及运行情况,特制定如下制度,请遵照执行。
一、机房日常管理
1.管理目标是保证中心机房设备与信息的安全,保障机房具有良好的运行环境和工作环境。
2.机房日常管理指定专人负责。
3.机房钥匙要严格保管,不得随意转借,一旦丢失要及时报告并积极寻找,并采取有效措施予以补救。
4.无关人员未经批准不得进入机房,更不得动用机房设备、物品和资料,确因工作需要,相关人员需要进入机房操作必须经过批准方可在管理人员的指导或协同下进行。
5.机房应保持清洁、卫生,温度、湿度适可,机房内严禁吸烟,严禁携带无关物品尤其是易燃、易爆物品及其他危险品进入机房。
6.消防物品要放在指定位置,任何人不得随意挪动;机房工作人员要掌握防火技能,定期检查消防设施是否正常。出现异常情况应立即采取切断电源、报警、使用灭火设备等正确方式予以处理。
7.硬件设备要注意维护和保养,做到设备物卡相符、设备使
Iyunke信息化管理制度
用状态记录完整。
8.建立机房登记制度,对本地局域网、广域网的运行情况建立档案。未发生故障或故障隐患时,网管人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等要做好详细记录。
9.网管人员应做好网络安全工作,严格保密服务器的各种帐号,监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
10.网管人员要对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。网管人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、设备管理
1.网管人员对各种网络设备的使用需按操作程序或使用说明书进行。
2.经常对硬件设备进行检查、测试和修理,确保其运行完好。3.所有贵重设备均由专人保管,专人使用,不得外借或由非专业人员单独操作。
4.中心机房的所有设备未经许可一律不得挪用和外借,特殊情况经批准后办理借用手续,借用期间如有损坏由借用单位或使用人员负责赔偿。
5.硬件设备发生损坏、丢失等事故,应及时上报,填写报告
Iyunke信息化管理制度
单并按有关规定处理。
6.中心机房及其附属设备的管理(登记)与维修由网管人员负责。设备管理人员每半年要核准一次设备登记情况。
7.中心机房主机(系统服务器)、网络服务器及其外围设备由网管人员每周进行一次例行检查和维护,尤其是设备供电、运行状态是否正常等要时常检查和维护。
三、系统软件、应用软件管理
1.软件要定期进行系统维护与备份,备份至少保持一式两套,并存放在温度湿度适宜的磁介质库存中。
2.应用软件、应用数据应根据运行频率进行定期或不定期的备份工作,备份软件和数据亦应存放于的磁介质库存中。
3.应用软件的源程序除了在磁介质上备份以外,网管员应自己进行备份,以防应用程序发生意外,难以恢复。
4.为了便于对系统软件进行应用与管理,机房中须备有与系统软件有关的使用手册和各种指南等资料,以便维护人员查阅。其资料未经许可,任何人不得拿出机房。
5.应用软件人员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用系统运行流程图等进行分类归档,以便查阅。
6.当应用软件修改时,具体的功能修改、逻辑修改、程序变动等,都应有相应的文档记录,以备查阅。
7.为确保软件系统的安全,磁介质除了应有专人管理外,还
Iyunke信息化管理制度
应配备防火器具,确立防磁、防静电、防灰尘等有效措施(建筑上保证),磁介质保管要明确责任,遵守出入库制度。
四、计算机病毒防范管理
1.网管人员应有较强的病毒防范意识,定期进行病毒检测(特别是服务器),发现病毒应立即处理。
2.采用国家许可的正版防病毒软件并及时更新软件版本。3.未经领导许可,网管人员不得在服务器上安装新软件,若确实需要安装,安装前应进行病毒例行检测。
4.经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
五、数据保密及数据备份
1.根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2.禁止泄露、外借和转移专业数据信息。3.未经批准不得随意更改业务数据。
4.网管人员制作数据的备份要异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5.业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
6.备份的数据由网管人员负责保管,备份的数据应在指定的数据保管室或指定的场所保管。
7.备份数据资料保管地点应有防火、防热、防潮、防尘、防
Iyunke信息化管理制度
磁、防盗设施。
六、安全检查管理
1.中心机房安全是关系到行业安全的一件大事,是保证各个业务系统正常工作的前提条件,因此必须坚持定期安全检查。
2.中心机房自检每年进行一次,且须认真做好检查记录。3.对检查中发现的问题将进行限期整改。
附1:网络管理员职责
1.主要负责全市网络(包含局域网、广域网、城域网)的系统安全性及正常运行。
2.负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
3.应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到病毒预防为主。
4.良好周密的日志记录以及细致的分析是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网管员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
5.对机房进行管理,严格按照机房制度执行日常维护。6.每月管理人员应向主管领导提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法见附
Iyunke信息化管理制度
件。
7.严格控制进入机房人员,不允许私自带他人入内。8.要定期检查机房及各种安全设备,做好记录确保安全。 9.对机房各种设备均应建立技术档案,认真填写、妥善保管登记备案。
10.定期对机器进行维护,保证机器正常运行。
11.负责对门、窗、灯、电源、机器的安全情况进行全面检查、管理,全面保证机房的安全无误。
12.搞好机房卫生,保持一个良好的环境。
13.不允许私自将机房内的设备、工具、部件等带出机房,借物须办理借物手续。
14.对因责任心不强而造成事故和严重后果的,要追究责任。
附2:计算机使用和管理制度
信息中心电脑管理和维护由专职管理人员负责,并完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
1.未经许可,不准随便动用电脑设备。
2.未经许可,任何人不准更换电脑硬件和软件,拒绝使用来历不明的软件和光盘。
3.严格按规定程序开启和关闭电脑系统。(1)开机流程:
Iyunke信息化管理制度
接通电源→打开显示器、打印机等外设→开通电脑主机→按显示菜单提示,键入规定口令或密码→在权限内对工作任务进行操作。
(2)关机流程:
退出应用程序、各个子目录→关断主机→关闭显示器、打印机等外设→切断电源。
4.使用人员如发现计算机系统运行异常应及时与管理员联系,非专业管理人员不得擅自拆开计算机调换设备配件。
5.外请人员对电脑进行维修时,单位应有人自始至终地陪同,电脑维修维护过程中,首先确保对单位信息进行拷贝,防止遗失。
6.凡因个人使用不当所造成的电脑维护费用和损失,使用者是否赔偿由单位视情决定。
7.计算机及其相关设备的报废需经过本局办公室或专职人员鉴定,确认不符合使用要求后方可申请报废。
Iyunke信息化管理制度
本制度提供各单位专门用于机房内部,作为机房工作人员的日常行为规范。
一、机房人员日常行为准则
1、
必须注意环境卫生。禁止在机房、办公室内吃食物、抽烟、随地吐痰;对于意外或工作过程中弄污机房地板和其它物品的,必须及时采取措施清理干净,保持机房无尘洁净环境。
2、
必须注意个人卫生。工作人员仪表、穿着要整齐、谈吐文雅、举止大方。
3、
机房用品要各归其位,不能随意乱放。
4、
机房应安排人员值日,负责机房的日常整理和行为督导。
5、
进出机房必须换鞋,雨具、鞋具等物品要按位摆放整齐。
6、
注意检查机房的防晒、防水、防潮,维持机房环境通爽,注意天气对机房的影响,下雨天时应及时主动检查和关闭窗户、检查去水通风等设施。
7、
机房内部不应大声喧哗、注意噪音/音响音量控制、保持安静的工作环境。
8、
坚持每天下班之前将桌面收拾干净、物品摆放整齐。
二、机房保安制度
1、
出入机房应注意锁好防盗门。对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作。最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。应主动拒绝陌生人进出机房。
2、
工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。如检查并锁上自己工作柜枱、锁定工作电脑、并将桌面重要资料和数据妥善保存等等。
3、
工作人员、到访人员出入应登记。
4、
外来人员进入必须有专门的工作人员全面负责其行为安全。
5、
未经主管领导批准,禁止将机房相关的钥匙、保安密码等物品和信息外借或透露给其它人员,同时有责任对保安信息保密。对于遗失钥匙、泄露保安信息的情况要即时上报,并积极主动采取措施保证机房安全。
6、
机房人员对机房保安制度上的漏洞和不完善的地方有责任及时提出改善建议。
Iyunke信息化管理制度
7、
禁止带领与机房工作无关的人员进出机房。
8、
绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。
9、
出现机房盗窃、破门、火警、水浸、110报警等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
三、机房用电安全制度
1、
机房人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。
2、
机房人员应经常实习、掌握机房用电应急处理步骤、措施和要领。
3、
机房应安排有专业资质的人员定期检查供电、用电设备、设施。
4、
不得乱拉乱接电线,应选用安全、有保证的供电、用电器材。
5、
在真正接通设备电源之前必须先检查线路、接头是否安全连接以及设备是否已经就绪、人员是否已经具备安全保护。
6、
严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。
7、
如发现用电安全隐患,应即时采取措施解决,不能解决的必须及时向相关负责人员提出解决。
8、
机房人员对个人用电安全负责。外来人员需要用电的,必须得到机房管理人员允许,并使用安全和对机房设备影响最少的供电方式。
9、
机房工作人员需要离开当前用电工作环境,应检查并保证工作环境的用电安全。
10、
最后离开机房的工作人员,应检查所有用电设备,应关闭长时间带电运作可能会产生严重后果的用电设备。
11、
禁止在无人看管下在机房中使用高温、炽热、产生火花的用电设备。
12、
在使用功率超过特定瓦数的用电设备前,必须得到上级主管批准,并在保证线路保险的基础上使用。
Iyunke信息化管理制度
13、
在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
14、
在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。
15、
应注意节约用电。
四、机房消防安全制度
1、
机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。
2、
任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的,必须取得主管领导批准。工作人员更应保护消防设备不被破坏。
3、
应定期进行消防演习、消防常识培训、消防设备使用培训。
4、
如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。
5、
应严格遵守张贴于相应位置的操作和安全警示及指引。
6、
最后离开的机房工作人员,应检查消防设备的工作状态,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
五、机房用水制度
1、
禁止将供水管道和设施安装在机房内。
2、
应格遵守张贴于相应位置的安全操作、警示以及安全指引。
六、机房硬件设备安全使用制度
1、
机房人员必须熟知机房内设备的基本安全操作和规则。
2、
应定期检查、整理硬件物理连接线路,定期检查硬件运作状态(如设备指示灯、仪表),定期调阅硬件运作自检报告,从而及时了解硬件运作状态。
3、
禁止随意搬动设备、随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。
Iyunke信息化管理制度
4、
禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
5、
对会影响到全局的硬件设备的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备的更改。
6、
对重大设备配置的更改,必须首先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先准备好后备配件和应急措施。
7、
不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。未经上级允许,更不允许他人操作机房内部的设备,对于核心服务器和设备的调整配置,更需要小组人员的共同同意后才能进行。
8、
要注意和落实硬件设备的维护保养措施。
七、软件安全使用制度
1、
必须定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份。
2、
禁止在服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。需要对服务器进行配置,必须在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
3、
对会影响到全局的软件更改、调试等操作应先发布通知,并且应有充分的时间、方案、人员准备,才能进行软件配置的更改。
4、
对重大软件配置的更改,应先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。
5、
不允许任何人员在服务器等核心设备上进行与工作范围无关的软件调试和操作。未经上级允许,不允许带领、指示他人进入机房、对网络及软件环境进行更改和操作。
6、
应严格遵守张贴于相应位置的安全操作、警示以及安全指引。
八、机房资料、文档和数据安全制度
1、
资料、文档、数据等必须有效组织、整理和归档备案。
Iyunke信息化管理制度
2、
禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其它无关人员或向外随意传播。
3、
对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房相关负责人代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
4、
重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
九、机房财产登记和保护制度
1、
机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须建立一套较为完善的借取和归还制度进行管理。
2、
机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,在使用完毕后,应将物品归还并存放于原处,不应随意摆放。
3、
对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
4、
未经主管领导同意,不允许向他人外借或提供机房设备和物品。
十、团队精神和相互协作
1、
机房工作小组人员应树立团队协作精神。
2、
任何将要发生的给其他人员工作和安排产生影响的事情,或需要与其他工作人员互相协调的事情,应先提出和协调一致,禁止个人独断独行的作风。
3、
工作分工要明确,责任要到位、工作计划要清晰,工作总结要具体。
4、
小组人员有义务服从工作安排,并有义务对工作安排提出更加合理化建议和意见。
5、营造民主协作的工作环境,任何人员有权利和义务组织、联络其他小组成员、主管领导等展开讨论、开展会议、及时反映问题、做到相互沟通、协同工作。
