狗万 赢钱秒结 您当前的位置:首页>>狗万19200>>规划计划

娄底市卫生计生行业信息系统安全等级保护工作实施方案

文章来源:狗万提款要认证_狗万19200_狗万 赢钱秒结 作者:规划信息科 发表日期:2019-01-19

做好信息安全等级保护工作,对于促进卫生计生信息化健康发展,深化医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。根据《中华人民共和国网络安全法》和《信息安全等级保护管理办法》及娄底市综治委《关于进一步加强全市网络信息安全等级保护工作的通知》要求,为规范和指导全市卫生计生行业信息安全等级保护工作,制定本实施方案。

一、工作目标

根据《网络安全法》和国家信息安全等级保护制度,在卫生计生行业全面开展信息安全等级保护定级备案、建设整改、等级测评和机房基础设施风险评估等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生计生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生计生信息化健康发展提供可靠保障。同时,确保各单位在省、市综治考评中不失分。

二、基本原则

(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生计生行业信息系统特点,优先保护重要卫生计生信息系统,优先满足重点信息安全需求。

(二)行业指导,归口管理。公安机关网络安全部门负责业务指导,县市区卫生计生行政部门负责本级卫生计生信息系统安全等级保护的管理工作。各医疗卫生单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。

(三)同步建设,动态完善。在信息系统规范设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。

三、责任分工

(一)市公安局依据国家赋予公安机关监督管理计算机信息系统安全等级保护工作的法定职责,负责监督、检查、指导全市卫生计生信息系统安全等级保护工作,受理全市卫生计生行业信息系统安全等级保护定级备案。

(二)各级卫生计生行政部门承担管辖单位卫生计生信息安全责任,统筹组织本级卫生计生信息安全等级保护工作,负责对行业信息安全等级保护工作的组织协调、监督指导。

(三)各医疗卫生机构负责落实本单位信息系统安全等级保护工作,要明确职责与分工,落实责任人,明确信息安全等级保护工作联络员。联络员职责包括:落实国家信息安全等级保护工作的有关政策和技术标准,掌握本单位信息安全等级保护工作动态和总体情况,代表本单位与上级信息安全等级保护管理部门进行日常联系和交流,协调落实本单位信息安全等级保护工作。

四、工作任务

(一)定级备案

1、各医疗卫生单位应当对本单位建设与运营的信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。

2、国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:

1)三级甲等医院的核心业务信息系统,主要包括:HIS系统,LIS系统,PACS系统,EMR系统等;

2)除三级甲等以外的三级医院和县级人民医院的HIS系统;

3)其他经过市卫生计生委网络安全与信息化领导小组下设专家组评定为第三级以上(含第三级)的信息系统。

以下重要卫生信息系统安全保护等级原则上不低于第二级:

1)官方门户网站系统;

2)二级医院的HIS系统,LIS系统,PACS系统,EMR系统等;

3)各单位自主运营维护的邮件系统。

4)其他经过市卫生计生委网络安全与信息化领导小组下设专家组评定为第二级的信息系统。

3、各医疗卫生单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报公安机关及卫生计生行政部门备案。由市公安局网技支队网络安全监察大队统一受理全市各单位信息系统安全等保备案(地点设市公安局大楼1306室),经审核合格,发放《备案证明》。

(二)安全评估

1、对已确定安全保护等级的第二级以上(含第二级)卫生计生信息系统,应当按照《中华人民共和国网络安全法》和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。

2、各单位已有独立运维的邮件系统的,不得将单位邮箱邮件自动转发至私人邮箱或境外邮箱,必须落实防钓鱼、防窃密、防病毒、反垃圾、内容过滤、安全审计等关键安全保护措施。没有独立运维的邮件系统的,必须落实工作人员不得使用互联网邮箱存储、处理、传输涉密信息和工作敏感信息。

3、根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。

4、各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。

(三)等级测评

1、系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,选取具备公安部核发的测评资质并同时在省公安厅备案的测评机构对第二级以上(含第二级)卫生计生信息系统进行等级测评。

2、测评合格后,应当将测评报告报市公安局及卫生计生行政部门存档。

3、第三级以上(含第三级)卫生计生信息系统应当每年进行等级测评。对于重要的第二级信息系统,可参照上述要求进行等级测评。

(四)机房基础设施风险评估

1、机房基础设施风险评估应按照国家现行的机房安全标准,分析现有机房和标准之间的差距,结合现场勘察,对机房电气系统、暖通系统、消防系统、弱电系统等基础设施现有使用状态和设备运行情况进行全方位的检查。

2、各单位机房每年应当选取具备国家检验检测机构资质认定证书的测评机构对机房基础设施进行风险评估,发现其中隐患、风险问题,提出合理的整改建议,并出具评估报告及整改方案。

3、各单位应将评估报告及整改方案报市卫生计生行政部门备案批准,并按照机房基础设施风险评估整改方案进行整改。

五、工作要求

(一)提高认识,加强领导。要充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义,高度重视此项工作的开展。各单位要成立信息化工作领导小组,单位一把手要负总责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标。要建立经费保障机制,将信息安全等级保护工作中第三方评测、信息安全服务、技术培训,尤其是整改所需的软硬件投入等费用纳入预算,并切实加强对资金使用的监管。

(二)制定方案,明确步骤。请各单位于2018年6月30日前上报本单位《信息安全等级保护工作方案》和信息安全等级保护工作联络员名单,确保于2018年8月31日前完成信息安全等级保护定级备案和机房基础设施风险评估,2018年11月30日前完成建设整改工作,并通过等级测评。

(三)加强培训,完善管理。各单位信息化工作领导小组应当对本单位开展等级保护政策、内部信息安全和标准规范培训,提升全员信息安全意识,提高本单位信息安全管理人员的技术能力和管理水平。各单位工作人员不得使用互联网邮箱存储、处理、传输涉密信息和工作敏感信息,不得将单位邮箱邮件自动转发至私人邮箱或境外邮箱。

(四)强化监督,严格追责。卫生计生行政部门和公安部门应加强沟通交流,建立协作机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等级保护工作。市卫生计生委联合市公安局将不定期开展信息系统安全等级保护工作检查,对不符合有关管理规范和技术标准的单位责令整改,对违反等级保护相关政策法规玩忽职守或责任心不强造成严重后果,依法依规追究有关人员的行政责任,构成犯罪的,依法追究刑事责任。各单位应定期组织自查,对照等保要求,查找隐患、堵塞漏洞,各县市区卫生计生部门每年至少应组织一次对本辖区内各单位的安全检查,确保信息系统等级保护各项要求落实到位。