1、英山县卫生计生系统信息安全隐患自查方案各县直医疗机构、乡镇卫生院:为认真贯彻落实湖北省卫生和计划生育委员会关于在全省卫生计生系统开展信息安全隐患自查工作的通知鄂卫生计生函2015293 号文件精神,加强卫生计生领域网络与信息安全工作,贯彻落实国家信息安全等级保护制度,按照国家卫生计生委办公厅关于卫生计生领域信息安全隐患排查工作的要求,结合卫生系统实际,特制定本自查方案。一、工作目标坚持“积极利用、科学发展、依法管理、确保安全”的 16 字方针,加大依法管理网络的力度,不断健全网络安全的保障体系。以科学发展观为指导,严格按照计算机信息系统安全管理制度规定,扎实开展信息安全各项工作。通过深入开展信
2、息安全隐患的排查整改,全面落实责任,强化监督管理,坚决遏制重特大信息安全事件的发生,确保我县网络与信息安全管理、技术防护等各项工作的正常开展。二、组织领导为加强对信息安全隐患自查工作的组织领导,县卫生和计划生育局成立卫生计生系统信息安全检查领导小组,小组名单设置如下:组长:贺淑贞成员: 佟伟雄 石秀琳 刘瑜亮领导小组负责领导本系统信息安全检查活动的实施工作,由刘瑜亮同志负责日常信息安全资料收集、信息安全活动的监督检查。三、检查时间:(一)自查阶段(6 月18 日前)各单位根据检查内容,对本单位、本区域卫生计生信息安全工作整体情况进行自查,对近一年来公安部门通报的问题要专门说明。(二)整改阶段(
3、7 月30 日前)各单位在自查过程中,如发现信息安全隐患及工作问题,要及时进行整改。(三)抽查阶段(6 月18 日7 月30 日)省卫生计生委规划信息处与信息中心将会同相关业务部门成立联合督查小组,适时对重点单位、部门网络和信息系统进行抽查,并通报抽查结果。四、活动内容(一)网络与信息安全管理情况按照国家网络安全政策和相关标准规范要求,建立健全网络安全管理制度及落实情况。重点检查网络与信息安全主管领导、管理机构和工作人员履职情况以及资产、采购、服务外包、经费保障、网络安全责任制落实、事故责任追究等情况。(二)技术防护情况建立健全技术防护体系,强化网络边界安全情况。重点检查网络安全域的划分情况、
4、数据库服务器和应用服务器的边界防护情况;防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性;网络设备、安全设备等安全策略配置,应用系统安全功能及有效性;终端计算机、移动存储介质安全防护措施。(三)数据泄露及业务系统被控情况卫生计生行业各级门户网站和重要信息系统基本情况,具体包括信息系统的主管部门、人员职责、网络链路情况、承载的主要业务、信息系统服务持续性要求以及信息系统的运营方式(自运营或托管)等。信息系统涵盖公共卫生、医疗服务、医疗保障(新农合)、药品供应保障、计划生育和综合管理等六大类业务领域。重点检查涉及公民个人信息的系统以及承载以上业务信息系统的服务器是否存在配置不当,是否及时更改服务
5、器管理员、操作系统管理员、数据库管理员的弱口令,是否清理不受控和不熟悉的管理员账号。数据安全重点检查管理员权限设置、数据库安全配置与策略设置、数据备份与恢复以及数据传输、加密和存储情况。门户网站和业务系统如委托第三方机构进行运行维护,是否通过可信且可控的终端登录,是否通过互联网进行远端维护。是否单独购置服务器用于存储服务器的登录和运行维护日志。采购使用云计算服务的单位与提供云计算服务的服务商是否明确安全管理责任、数据归属和安全管理标准,确保敏感数据不出境。(四)应急工作情况是否制定信息安全突发事件及时处置和通报制度,重点检查网络与信息安全通报工作开展情况,网络安全事件应急预案制度修订、应急演练
6、、灾难备份措施建设等情况。(五)安全问题整改情况上一年度安全检查发现问题的整改情况及整改效果,本年度安全检查发现问题的整改情况及整改效果,进一步分析安全风险,评估安全状况。(六)其他情况检查网络安全宣传教育、人员技术和管理培训以及WindowsXP 停止安全服务后的应对情况。五、工作要求1、高度重视,加强领导。要坚持“积极利用、科学发展、依法管理、确保安全”16字方针的重要性,把组织开展好信息安全隐患自查工作放在突出位置抓实抓好;要切实加强组织领导,主要负责同志要亲自部署,分管领导要亲自带队检查,做到精心组织、周密部署、责任落实,确保工作取得实效。市卫生局将成立督查组,对卫生系统信息安全大检查
7、工作情况进行督查。2、强化隐患治理工作。要突出抓好排查出的隐患治理工作,采取切实可行的措施,确保隐患得到有效治理。对一时难以彻底整治的隐患,要明确责任人和整改期限,落实严密的监测监控措施,凡存在重大违法行为和严重事故隐患的单位,如果不能及时消除,必须停产、停业整顿,坚决防止重特大事故的发生。3、严肃信息安全责任追究。要加大对信息安全工作的督查和责任追究力度,对制度不健全、工作不落实、措施不到位、疏于监管防范等导致事故发生的有关责任人,要依法予以严肃查处。县卫生局对各单位开展信息安全大检查情况进行督查并将其纳入2011 年信息安全目标考核内容。4、完善事故应急救援,做好节日值班工作。要畅通信息安全信息渠道,完善事故应急救援预案,加强事故救援演练,提高生产安全事故的应急处置能力。要坚持做到24 小时领导带班值班制度,一旦发生事故或遇到紧急情况,要及时组织相关人员进行隐患排查,妥善处理信息安全带来的不利因素,最大限度减少数据泄露及业务被控,确保本系统信息安全常态化。5、做好总结和信息报送工作。各单位开展信息安全隐患自查过程中发现的问题以及检查信息及时报送县卫计局信息中心。
