【正文】 信息安全管理工作的職能部門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé)。 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用。b)應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。d)應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。c)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。d)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測評(píng)的管理。 資產(chǎn)管理(G3)本項(xiàng)要求包括: a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容。c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份。d)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序,明確過程控制方法和人員職責(zé),必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練。c)應(yīng)根據(jù)國家相關(guān)管理部門對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響,對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分。e)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容,并按照?qǐng)?zhí)行。1聘請(qǐng)信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件、具有安全顧問參與評(píng)審的文檔或記錄）1應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）1應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）四、人員安全管理何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。3應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測的記錄3應(yīng)對(duì)惡意代碼庫的升級(jí)情況進(jìn)行記錄（代碼庫的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。三、工作內(nèi)容信息系統(tǒng)運(yùn)營使用單位在開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作中，應(yīng)按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，堅(jiān)持管理和技術(shù)并重 的原則，將技術(shù)措施和管理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。同步建設(shè)原則：信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。（二）、工作步驟及任務(wù)做好系統(tǒng)定級(jí)工作。按照測評(píng)報(bào)告評(píng)測初稿結(jié)果，對(duì)照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等有關(guān)標(biāo)準(zhǔn)，組織開展等級(jí)保護(hù)安全建設(shè)整改工作。按照市衛(wèi)生系統(tǒng)信息安全等級(jí)保護(hù)劃分 定級(jí)要求，對(duì)信息系統(tǒng)進(jìn)行定級(jí)后，將本單位《信息系統(tǒng)安全等級(jí)保護(hù)備案表》《信息系統(tǒng)定級(jí)報(bào)告》和備案電子數(shù)據(jù)報(bào)***公安局。其他信息系統(tǒng)于以上系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、制度安全同樣適用，因此采用自主保護(hù)原則實(shí)行保護(hù)。第四級(jí)信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對(duì)勢力有組織的大規(guī)模攻擊的能力，抵抗嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。第五篇：醫(yī)院落實(shí)國家信息安全等級(jí)保護(hù)制度的具體措施**醫(yī)院落實(shí)國家信息安全等級(jí)保護(hù)制度的具體措施一、信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。1應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）1外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）1應(yīng)具有外部人員訪問重要區(qū)域的書面申請(qǐng)1應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）五、系統(tǒng)建設(shè)管理應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）應(yīng)具有系統(tǒng)建設(shè)/整改方案應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本應(yīng)按照國家的相關(guān)規(guī)定進(jìn)行采購和使用系統(tǒng)信息安全產(chǎn)品安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購1采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單1應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）1應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)1對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)1應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測1軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報(bào)告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南1應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制2應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案2在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測試（第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗(yàn)收?qǐng)?bào)告）2應(yīng)具有工程測試驗(yàn)收方案（測試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）2應(yīng)具有測試驗(yàn)收?qǐng)?bào)告2應(yīng)指定專門部門負(fù)責(zé)測試驗(yàn)收工作（具有對(duì)系統(tǒng)測試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）2根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）2應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄2應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。（安全管理制度體系的評(píng)審記錄）系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。 應(yīng)急預(yù)案管理(G3)本項(xiàng)要求包括: a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序,對(duì)備份過程進(jìn)行記錄,所有文件和記錄應(yīng)妥善保存。g)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入。b)應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測和報(bào)警記錄進(jìn)行分析、評(píng)審,發(fā)現(xiàn)可疑行為,形成分析報(bào)告,并采取必要的應(yīng)對(duì)措施。 系統(tǒng)運(yùn)維管理 環(huán)境管理(G3)本項(xiàng)要求包括: a)應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。c)應(yīng)制定工程實(shí)施方面的管理制度,明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。c)應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)。 人員離崗(G3)本項(xiàng)要求包括: a)應(yīng)嚴(yán)格規(guī)范人員離崗過程,及時(shí)終止離崗員工的所有訪問權(quán)限。 人員配備(G3)本項(xiàng)要求包括: a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。d)安全管理制度應(yīng)通過正式、有效的方式發(fā)布。c)應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作。d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度。e)應(yīng)及時(shí)刪除多余的、過期的帳戶,避免共享帳戶的存在。c)應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。h)應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。 溫濕度控制(G3)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料。（八）健全長效工作機(jī)制。公安機(jī)關(guān)應(yīng)當(dāng)會(huì)同有關(guān)部門加強(qiáng)對(duì)信息系統(tǒng)的監(jiān)督檢查，對(duì)未依法履行定級(jí)、備案手續(xù)的單位，督促其限期改正。五、信息安全等級(jí)保護(hù)制度的原則信息安全等級(jí)保護(hù)的核心是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。第二級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。四、信息安全等級(jí)保護(hù)等級(jí)劃分和監(jiān)管方式（一）信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第三十五條信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。第三十一條涉密信息系統(tǒng)發(fā)生涉密等級(jí)、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。第二十六條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況，及時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。第二十二條第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測評(píng)機(jī)構(gòu)進(jìn)行測評(píng)：（一）在中華人民共和國境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；（三）從事相關(guān)檢測評(píng)估工作兩年以上，無違法記錄；（四）工作人員僅限于中國公民；（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求；（七）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；（八）對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。對(duì)跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。第十二條在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB178591999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T202712006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T202702006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T202722006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T202732006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T6712006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。第五級(jí)信息系統(tǒng)運(yùn)營、使用單