开展卫生系统信息安全检查工作的通知

来源：湖南卫生厅更新：2013/8/21 中国卫生人才网

湖南卫生网:开展卫生系统信息安全检查工作的公告:各市州卫生局，部省直各医疗卫生单位：按照《国家卫生计生委办公厅关于开展卫生计生领域信息安全检查工作的通知》（国卫办规划函〔2013〕51号)以及工业和信息化部《关于印发2013年重点领域信息安全检查工作方案的函》（工信部协函〔2013〕259号)要求，我厅将在全省范围内开展卫生系统信息安全检查工作。现将有关事项通知如下：一、检查目的通过开展常态化的信息安全检查，进一步落实信息安全责任，增强人员信息

各市州卫生局，部省直各医疗卫生单位：

按照《国家卫生计生委办公厅关于开展卫生计生领域信息安全检查工作的通知》（国卫办规划函〔2013〕51号)以及工业和信息化部《关于印发2013年重点领域信息安全检查工作方案的函》（工信部协函〔2013〕259号)要求，我厅将在全省范围内开展卫生系统信息安全检查工作。现将有关事项通知如下：

一、检查目的

通过开展常态化的信息安全检查，进一步落实信息安全责任，增强人员信息安全意识，认真查找突出问题和薄弱环节，全面排查安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。

二、检查内容

（一)信息安全管理制度的建设及落实情况。按照国家信息安全政策和标准规范要求，建立健全信息安全管理规章制度及落实情况。重点检查信息安全主管领导、管理机构、工作人员履职情况，信息安全责任落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。其中包括数据中心用户权限、系统运行、网络通信、数据管理以及机房安全、设备安全、紧急情况处理流程等规章制度是否健全完善，是否按照机房和数据管理要求，配备专业的系统管理员和数据库管理员等维护操作人员，并加强对维护和操作人员的培训和管理，明确责任，将各项安全管理制度落到实处。

（二)安全防护情况。网络与信息系统防毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查重要网络与信息系统的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；数据审计系统、日志服务器、监控系统的运行情况；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。

（三)数据保护情况。数据管理安全意识和日常监管措施，数据维护、管理等软硬件设施建设。重点检查应用系统的数据备份工作，备份数据是否安全、有效，是否建立异地容灾中心，全面、有效地防范和化解信息系统及数据库风险；重要业务数据的传输、迁移是否采用密码技术或者特殊的防护手段；计算机存储介质的恢复和销毁工作是否严格按照信息安全管理的有关规定进行，由具有专业处理资质的单位进行处理，并做好登记；是否对开发运维商进行权限管理，授予开发运维商有限的操作权限并与开发运维商签订数据安全保密协议。

（四)应急工作情况。按照国家网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制定修订情况，应急预案演练情况；应急技术支撑队伍、灾难备份与恢复措施建设情况，重大信息安全事件处置及查处情况等。

（五)安全教育培训情况。重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。

（六)信息安全等级保护工作开展情况。重点检查信息系统等级保护定级备案、测评开展工作。是否按照省卫生厅、公安厅《关于印发<湖南省卫生行业信息系统安全等级保护工作实施方案>的通知》（湘卫办发〔2012〕28号)要求，认真组织实施卫生信息系统安全等级保护工作。

三、检查方式

信息安全检查工作按照“谁主管谁负责、谁运行谁负责”的原则，以自查和抽查相结合的方式开展。省卫生厅负责网络与信息安全检查行动的组织、协调和指导工作。

（一)自查工作。

1．部省直各医疗卫生单位负责本单位的信息系统自查工作。

2．各市州卫生局负责组织本地区卫生行业信息系统的自查工作。

3．自查工作完成后，各单位要对检查情况进行全面汇总，填写检查结果统计表（附件1)，认真梳理存在的主要问题，分析评估安全风险，编写自查总结报告（附件2)。

（二)抽查工作。由省卫生宣传教育信息中心组织信息安全专业检查队伍，对部分重点单位信息安全进行抽查，查找安全漏洞和隐患，评估信息安全防护能力和水平，研究提出改进和加强信息安全保障的措施与建议。

四、时间安排

（一)自查时间进度安排。