【正文】 品清單，是否定期審定和更新候選產(chǎn)品名單1應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）1應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊1對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準1應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測1軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南1應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制2應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案2在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）2應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）2應(yīng)具有測試驗收報告2應(yīng)指定專門部門負責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）2根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）2應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄2應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關(guān)系等。1聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）1應(yīng)組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）1應(yīng)定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）四、人員安全管理何部門/何人負責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，技能考核文檔或記錄應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）應(yīng)設(shè)定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）應(yīng)對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。（安全管理制度體系的評審記錄）系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進行檢查，對需要改進的制度進行修訂。一、物理安全應(yīng)具有機房和辦公場地的設(shè)計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施）應(yīng)具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄應(yīng)配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標記介質(zhì)有分類標識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；應(yīng)具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄應(yīng)具有機房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測；應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告應(yīng)具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品1應(yīng)具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄1應(yīng)具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄1應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施；溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄1應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護記錄1應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）1應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄二、安全管理制度應(yīng)具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程應(yīng)具有安全管理制度的制定程序：應(yīng)具有專門的部門或人員負責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）應(yīng)對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應(yīng)具有管理制度評審記錄應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。實現(xiàn)安全的進行信息交流，資源共享的目的，使計算機網(wǎng)絡(luò)系統(tǒng)更好的為人們的生活工作服務(wù)。漏洞的修復(fù)分兩種，有的漏洞系統(tǒng)自身可以進行恢復(fù)，而有一部分漏洞則需要手動進行修復(fù)。計算機系統(tǒng)中的漏洞是計算機網(wǎng)絡(luò)安全中存在的極大隱患，因此，要定期對計算機進行全方位的系統(tǒng)漏洞掃描，以確認當前的計算機系統(tǒng)中是否存在著系統(tǒng)漏洞。3．4計算機網(wǎng)絡(luò)病毒的防范技術(shù)計算機病毒是威脅計算機網(wǎng)絡(luò)安全的重大因素，因此應(yīng)該對常見的計算機病毒知識進行熟練地掌握，對其基本的防治技術(shù)手段有一定的了解，能夠在發(fā)現(xiàn)病毒的第一時間里對其進行及時的處理，將危害降到最低。3．3虛擬系統(tǒng)不同安全等級安全保護絡(luò)信息安全進行控制。當有這樣要求，規(guī)定所要保護的數(shù)據(jù)信息，不管處于系統(tǒng)中任何位置，進行任何形式的數(shù)據(jù)處理都需采取相同安全保護等級是，都應(yīng)嚴格按照全系統(tǒng)同一安全等級安全保護方法開展系統(tǒng)安全性設(shè)計，設(shè)計出要求所需的安全機制。在此基礎(chǔ)上，投入合理的安全投入，運用以下兩點信息安全等級保護方法，努力使信息系統(tǒng)得到應(yīng)有的安全保護。2．2按照保護數(shù)據(jù)的價值劃分保護等級不同類別的數(shù)據(jù)信息需要實施不同安全等級的保護，這樣不僅能使信息系統(tǒng)中的數(shù)據(jù)信息的安全得到應(yīng)有的保證，而且又能縮減一部分不必要的開銷。這一個級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗證功能，負責(zé)管理訪問者對訪問對象的所有訪問活動，管理訪問者能否訪問某些對象從而對訪問對象實行?？兀Ｗo信息不能被非授權(quán)獲取。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。該級別是安全標記保護級。該級別是系統(tǒng)審計保護級。完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。信息系統(tǒng)的安全保護等級分為五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。信息安全等級保護2003年，中辦、國辦轉(zhuǎn)發(fā) 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003327號)，提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。當前，我們正在有計劃的開展信息安全等級保護制度實施工作。隨著現(xiàn)在高科技的快速發(fā)展以及當前社會對信息系統(tǒng)需求的不斷增加，信息系統(tǒng)的規(guī)模也在日益擴大，它的諸多應(yīng)用都給社會創(chuàng)造了巨大的財富，與此同時，信息系統(tǒng)也成為了威脅、攻擊以及破壞的對象。嚴格按照等級保護的規(guī)定，建設(shè)安全的信息系統(tǒng)成為了目前面臨的主要問題。建議市里加強工作指導(dǎo)，通過多種方式的等級保護技術(shù)交流和培訓(xùn)，提高單位領(lǐng)導(dǎo)及員工的等級保護意識，進一步推進集團的信息系統(tǒng)等級保護工作。在數(shù)據(jù)安全方面，數(shù)據(jù)庫通過備份系統(tǒng)定期備份，關(guān)鍵數(shù)據(jù)庫服務(wù)器采用雙機熱備份，保證數(shù)據(jù)庫服務(wù)器的可用性和高效性，在出現(xiàn)故障時可以快速恢復(fù)；數(shù)據(jù)庫的訪問按不同用戶身份進行嚴格的權(quán)限控制。在主機安全方面，終端計算機采用雙硬盤及物理隔離互聯(lián)網(wǎng)及內(nèi)網(wǎng)應(yīng)用，通過部署趨勢網(wǎng)絡(luò)防毒墻網(wǎng)絡(luò)版，安裝聯(lián)軟安全管理軟件保障客戶機系統(tǒng)安全，并且做到漏洞補丁及時更新，重要的應(yīng)用系統(tǒng)安裝了計算機監(jiān)控與審計系統(tǒng)，實現(xiàn)對主機的usb等外設(shè)接口的控制管理，采用key用戶名密碼等方式控制用戶登陸行為。關(guān)鍵網(wǎng)絡(luò)設(shè)備和服務(wù)器做到有主有備，確保在發(fā)生物理故障時可以及時更換。三、信息等級安全保護基本情況目前，集團已有揚州網(wǎng)、揚州晚報網(wǎng)、揚州汽車網(wǎng)、藝術(shù)在線網(wǎng)和多個內(nèi)部信息系統(tǒng)根據(jù)等級保護的要求進行了整改優(yōu)化，積極加強信息系統(tǒng)安全環(huán)境建設(shè)，消除安全管理中的薄弱環(huán)節(jié)。篇三：2013年信息安全等級保護工作匯報 2013年信息安全等級保護工作匯報一、加強領(lǐng)導(dǎo)二、完善制度為貫徹落實全市加強和改進互聯(lián)網(wǎng)建設(shè)與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》（揚辦發(fā)[2012]57號）文件精神，對集團信息系統(tǒng)安全等級保護工作做出了具體的要求，根據(jù)等級保護要求，開展了信息安全制度的前期完善工作。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責(zé)任發(fā)現(xiàn)和報告信息安全可疑事件，應(yīng)視情況及時以口頭或書面的形式報告院網(wǎng)絡(luò)辦。應(yīng)急預(yù)案是安全等級保護的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復(fù)的情況下能確保醫(yī)療活動持續(xù)進行。根據(jù)信息安全等級保護的要求，制定各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。成立信息安全工作組，網(wǎng)絡(luò)辦負責(zé)人為安全責(zé)任人，擬定實施醫(yī)院信息系統(tǒng)安全等級保護的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保信息安全等級保護工作順利實施。完善等級保護體系建設(shè)做好整改工作。做好系統(tǒng)等級測評工作。做好系統(tǒng)備案工作。二、工作任務(wù)做好系統(tǒng)定級工作。為確保我院信息系統(tǒng)安全可靠運行，根據(jù)公安部等四部、局、辦印發(fā)的《關(guān)于信息安全等級保護工作的實施意見》公通字【2004】66號、《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》衛(wèi)辦綜函【2011】1126號、衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》的通知 衛(wèi)辦發(fā)【2011】85號和省市有關(guān)文件精神，并結(jié)合我院信息化建設(shè)的工作實際，特制定《德江縣民族中醫(yī)院信息系統(tǒng)安全等級保護工作實施方案》確保我院信息系統(tǒng)安全。（四）自查自糾、完善制度。（三）積極配合、認真整改。（二）加強培訓(xùn)，嚴格定級。五、定級工作要求（一）加強領(lǐng)導(dǎo)，落實保障。（四）備案。（三）評審。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。各部門要組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。成立由赴省參加過計算機培訓(xùn)的教師組成的評審組，主要負責(zé)：一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。成立由電教組牽頭的工作機構(gòu)，主要職責(zé)：在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，切實抓好我校定級保護工作的日常工作。成立領(lǐng)導(dǎo)小組，校長任組長，副校長任副組長、各部門負責(zé)人為成員，負責(zé)我校信息安全等級保護工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求，開展信息系統(tǒng)自評工作。安全保衛(wèi)處負責(zé)定級工作的監(jiān)督。定級工作由電教組牽頭，會同學(xué)校辦公室、安全保衛(wèi)處等共同組織實施。二、定級范圍學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。根據(jù)商教發(fā)【2011】321號文件精神，結(jié)合我校實際，制訂本實施方案。4應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）4應(yīng)定期對應(yīng)急預(yù)案進行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對應(yīng)急預(yù)案定期進行審查并更新5應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理3應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 應(yīng)具有變更方案評審記錄和變更過程記錄文檔。