医院信息系统安全等级保护工作实施方案.doc

《医院信息系统安全等级保护工作实施方案.doc》由会员分享，可在线阅读，更多相关《医院信息系统安全等级保护工作实施方案.doc（3页珍藏版）》请在咨信网上搜索。

信息安全等级保护工作实施措施 医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度，确保我院信息系统安全可靠运行，并结合我院信息系统应用的特点，特制订了此信息安全等级保护工作措施 一、工作任务 1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政管理信息系统、网络直报系统及门户网站，定级方法由市卫生局统一与市公安局等信息安全相关部门协商。 2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。 3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。 4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》等有关标准，组织开展等级保护安全建设整改工作，具体要求如下：  安全类别 控制项 主要安全措施 二级保护措施 三级保护措施 物理安全 物理访问控制 机房安排专人负责，来访人员须审批和陪同 √ √ 重要区域配置门禁系统   √ 防盗窃和防破坏 暴露在公共场所的网络设备须具备安全保护措施 √ √ 主机房安装监控报警系统   √ 防雷击 机房计算机系统接地符合GB 50057－1994《建筑物防雷设计规范》中的计算机机房防雷要求 √ √ 机房电源、网络信号线、重要设备安装有资质的防雷装置   √ 防火 机房设置灭火设备和火灾自动报警系统 √ √ 机房配置自动灭火装置   √ 电力供应 机房及关键设备应配置UPS备用电力供应 √ √ 医院重要科室应采用双回路电源供电 √ √ 环境监控 机房设置温、湿度自动调节设施 √ √ 机房设置防水检测和报警设施   √ 对机房关键设备和磁介质实施电磁屏蔽   √ 网络安全 结构安全 网络应按职能和重要程度不同划分网段 √ √ 重要网段之间应采用防火墙进行隔离   √ 访问控制 网络边界部署防火墙或网闸 √ √ 安全审计 网络日志审计、网络运维管理安全审计 √ √ 边界完整性检查 采用准入控制系统，实现准入控制、非法外联检查 √ √ 采用准入控制系统，实现准入控制及非法外联可阻断   √ 入侵防范 入侵检测系统/入侵防御系统 √ √ 恶意代码防范 防病毒网关   √ 主机安全 入侵防范 采用服务器安全加固 √ √ 安全审计 采用终端管理系统实现安全审计 √ √ 恶意代码防范 防病毒软件 √ √ 应用安全 身份鉴别 采用电子认证措施 √ √ 安全审计 数据库安全审计系统 √ √ 数据安全与备份恢复 备份和恢复 本地数据备份与恢复 √ √ 硬件冗余 关键网络设备、线路和服务器硬件冗余 √ √ 异地备份 异地数据备份   √ 二、工作要求 1、切实加强组织领导。拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，召开专题会议，确保信息安全等级保护工作顺利实施。 2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。 3、制定保障医疗活动不中断的应急预案。按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。 4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件，应视情况及时以口头或书面的形式逐级报告。对重大信息网络安全事件、安全事故和计算机违法犯罪案件，应在24小时内向公安机关报告，并保护好现场。其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书 为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标： 一、目标值： 1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。 2、现金安全保管，不发生盗窃事故。 3、每月足额提取安全生产费用，保障安全生产投入资金的到位。 4、安全培训合格率为100%。 二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥； 9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育； 11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落