前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全等級(jí)保護(hù)管理辦法范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安全等級(jí)保護(hù)管理辦法范文第1篇

關(guān)鍵詞：信息安全等級(jí)保護(hù)；機(jī)構(gòu)管理；信息中心隨著《信息安全等級(jí)保護(hù)實(shí)施指南》和《信息安全等級(jí)保護(hù)管理辦法》等一系列文件頒布以來，醫(yī)院如何開展等級(jí)保護(hù)工作，確保信息安全，已經(jīng)變成熱門話題。其中，負(fù)責(zé)醫(yī)院信息安全等級(jí)保護(hù)工作的組織管理機(jī)構(gòu)，主要從管理層和用戶層對醫(yī)院信息安全等級(jí)保護(hù)進(jìn)行管理建設(shè)。管理層的主要工作是制定醫(yī)院信息安全等級(jí)保護(hù)工作的管理辦法；用戶層的主要工作是依據(jù)管辦法要求，進(jìn)行溝通合作以及運(yùn)行監(jiān)控和審查檢查工作。

1信息安全機(jī)構(gòu)管理目的

信息安全等級(jí)保護(hù)工作是解決信息安全問題的基本方法，而信息安全不僅靠物理安全、網(wǎng)絡(luò)安全、主機(jī)安全等具體技術(shù)上的實(shí)現(xiàn)，還需要建立健全的信息安全機(jī)構(gòu)管理制度，貫徹信息安全工作和維持信息安全的建設(shè)成果，在技術(shù)和管理兩個(gè)維度下保障信息安全保護(hù)體系在持續(xù)的運(yùn)營工作中發(fā)揮應(yīng)有的信息安全保護(hù)作用[1]。

2信息安全機(jī)構(gòu)管理思路

2.1加強(qiáng)安全管理建設(shè)是實(shí)現(xiàn)等級(jí)保護(hù)組織機(jī)構(gòu)管理的基礎(chǔ) 醫(yī)院信息安全管理需要由醫(yī)院信息化領(lǐng)導(dǎo)機(jī)構(gòu)協(xié)調(diào)進(jìn)行。為了完成和強(qiáng)化信息安全的管理，需要建立相應(yīng)的信息安全管理機(jī)構(gòu)，這是醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的必要條件[2]。同時(shí)，安全組織管理建設(shè)也是重要組成內(nèi)容，包括健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳部門，制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)等。

2.2相關(guān)管理辦法制定是規(guī)范等級(jí)保護(hù)組織機(jī)構(gòu)管理的根本保證 醫(yī)院信息系統(tǒng)存在著來自社會(huì)環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn)，其安全威脅無時(shí)無處不在。對于醫(yī)院信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決，而必須配合等級(jí)保護(hù)的信息系統(tǒng)安全保障體系，制定相關(guān)管理辦法，全方位綜合解決系統(tǒng)安全問題。

2.3定期審查監(jiān)控是實(shí)施等級(jí)保護(hù)組織機(jī)構(gòu)管理的具體表現(xiàn) 根據(jù)醫(yī)院對于信息安全等級(jí)保護(hù)的要求，安全等級(jí)保護(hù)除重視技術(shù)解決方案外，更應(yīng)明確定期審查、檢查和監(jiān)控的必要性。包括：指定專員定期對系統(tǒng)進(jìn)行安全巡查，檢查的內(nèi)容包含例如系統(tǒng)運(yùn)行情況、系統(tǒng)漏洞確認(rèn)、系統(tǒng)數(shù)據(jù)備份、現(xiàn)有安全技術(shù)措施有效性、安全配置與安全策略一致性、安全管理制度的執(zhí)行情況等等。

3信息安全機(jī)構(gòu)管理措施

醫(yī)院信息安全管理體系依賴于信息安全等級(jí)保護(hù)管理建設(shè)的機(jī)構(gòu)管理。根據(jù)醫(yī)院當(dāng)前信息安全管理需要和機(jī)構(gòu)管理特點(diǎn)，和信息安全等級(jí)保護(hù)管理所要求的系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)、安全管理制度和人員安全管理，筆者從崗位設(shè)置、人員配備、授權(quán)、審批、審查和溝通交流等方面分析醫(yī)院信息管理機(jī)構(gòu)建設(shè)，切實(shí)做到提升醫(yī)院信息等級(jí)保護(hù)管理的能力。

3.1崗位設(shè)置 信息中心內(nèi)部根據(jù)崗位劃分不同，設(shè)置多個(gè)安全管理崗位包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員崗位，各崗位人員應(yīng)按照自己的崗位職責(zé)，落實(shí)本崗位的信息安全工作[3]。

以我院為例，我院信息安全管理工作由院領(lǐng)導(dǎo)負(fù)責(zé)指導(dǎo)和管理，同時(shí)成立了醫(yī)院級(jí)別的信息安全工作領(lǐng)導(dǎo)小組，由黨委書記擔(dān)任領(lǐng)導(dǎo)小組組長，由信息中心負(fù)責(zé)管理工作的具體落實(shí)，制定各信息系統(tǒng)相關(guān)崗位的崗位職責(zé)和工作標(biāo)準(zhǔn)并形成文件。

3.2人員配備 信息中心采用安全責(zé)任層層落實(shí)制，中心主任對醫(yī)院所有信息化相關(guān)系統(tǒng)負(fù)責(zé)，網(wǎng)絡(luò)工程師對醫(yī)院所有網(wǎng)絡(luò)建設(shè)及維護(hù)負(fù)責(zé)，系統(tǒng)工程師對醫(yī)院服務(wù)器、數(shù)據(jù)庫、存儲(chǔ)和信息系統(tǒng)負(fù)責(zé)，信息安全工程師對醫(yī)院網(wǎng)絡(luò)安全、信息安全、機(jī)房物理安全負(fù)責(zé)，安全審計(jì)工程師對所有人的信息安全工作進(jìn)行監(jiān)督和審計(jì)，保證信息安全工作層層做實(shí)。

3.3授權(quán)和審批 醫(yī)院信息中心對于外部廠商人員的相關(guān)操作均需進(jìn)行審批流程，通過軟件記錄其所有操作行為，并保存進(jìn)檔。對于中心內(nèi)部工作人員執(zhí)行嚴(yán)格的離崗流程，由所在部門主管負(fù)責(zé)回收本部門負(fù)責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理正常的離職手續(xù)。

信息中心對于客戶端操作系統(tǒng)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限、數(shù)據(jù)庫操作權(quán)限進(jìn)行分級(jí)控制。內(nèi)網(wǎng)客戶端硬盤分區(qū)全部使用NTFS，管理員密碼由信息中心網(wǎng)絡(luò)組每月定時(shí)更換；對所有應(yīng)用系統(tǒng)功能進(jìn)行編號(hào)，對功能進(jìn)行模塊化管理，并對模塊進(jìn)行分級(jí)控制；同時(shí)，設(shè)置數(shù)據(jù)庫用戶，將不同應(yīng)用的數(shù)據(jù)分別管理，賦予創(chuàng)建、修改、刪除表及表內(nèi)數(shù)據(jù)權(quán)限。

3.4審查和檢查 醫(yī)院信息中心日常檢查由信息安全管理員進(jìn)行，自檢內(nèi)容包括終端安全自檢和軟件管理自檢，終端安全自檢包括檢查是否每臺(tái)計(jì)算機(jī)安裝防病毒軟件，病毒庫是否為最新版本，終端操作系統(tǒng)是否安裝最新補(bǔ)丁，是否設(shè)置6位以上口令；軟件管理自檢包括檢查軟件是否為正版軟件，軟件管理的各項(xiàng)記錄是否完整等。

構(gòu)建信息安全綜合防護(hù)體系保證醫(yī)院各系統(tǒng)能夠長期穩(wěn)定安全運(yùn)行，滿足了醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需要。本文對信息安全機(jī)構(gòu)管理的目的、思路和措施進(jìn)行了詳細(xì)的分析闡述，對相關(guān)工作人員和機(jī)構(gòu)具有一定的啟示意義。同時(shí)，通過梳理分析業(yè)務(wù)特點(diǎn)和管理流程，依據(jù)等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，明確安全管理需求，筆者所在醫(yī)院信息管理中心整理并制定出符合醫(yī)院信息系統(tǒng)實(shí)際情況的一套信息安全管理體系文件，并在2012年公安局等級(jí)保護(hù)測評中被評為三級(jí)。

參考文獻(xiàn)：

[1]蘇丹.醫(yī)院信息系統(tǒng)安全與管理[J].中國信息界(e醫(yī)療),2013,(05):58-59.

安全等級(jí)保護(hù)管理辦法范文第2篇

關(guān)鍵詞：等級(jí)保護(hù)；信息安全；風(fēng)險(xiǎn)評估

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

隨著信息化的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)與信息技術(shù)在各個(gè)行業(yè)都得到了廣泛應(yīng)用，對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析和等級(jí)評估，找出信息系統(tǒng)中存在的問題，對其進(jìn)行控制和管理，己成為信息系統(tǒng)安全運(yùn)行的重點(diǎn)。

一、信息系統(tǒng)安全

信息安全的發(fā)展大致為以下幾個(gè)階段，20世紀(jì)40-70年代，人們通過密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性；到了70-90年代，為確保信息系統(tǒng)資產(chǎn)保密性、完整性和可用性的措施和控制，采取安全操作系統(tǒng)設(shè)計(jì)技術(shù)；90年代后，要求綜合通信安全和信息系統(tǒng)安全，確保信息在存儲(chǔ)、處理和傳輸過程中免受非授權(quán)的訪問，防止授權(quán)用戶的拒絕服務(wù)，以及包括檢測、記錄和對抗此類威脅的措施，代表是安全評估保障CC；今天，要保障信息和信息系統(tǒng)資產(chǎn)，保障組織機(jī)構(gòu)使命的執(zhí)行，綜合技術(shù)、管理、過程、人員等，需要更加完善的管理機(jī)制和更加先進(jìn)的技術(shù)，出臺(tái)的有BS7799/ISO17799管理文件[1]。

二、信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是指對信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對信息系統(tǒng)中發(fā)生的信息安全事件等分等級(jí)響應(yīng)、處置，對設(shè)備設(shè)施、運(yùn)行環(huán)境、系統(tǒng)軟件以及網(wǎng)絡(luò)系統(tǒng)按等級(jí)管理。風(fēng)險(xiǎn)評估按照風(fēng)險(xiǎn)范疇中設(shè)定的相關(guān)準(zhǔn)則進(jìn)行評估計(jì)算，同時(shí)結(jié)合信息安全管理和等級(jí)保護(hù)要求來實(shí)施?，F(xiàn)在越來越注重將安全等級(jí)策略和風(fēng)險(xiǎn)評估技術(shù)相結(jié)合的辦法進(jìn)行信息系統(tǒng)安全管理，國內(nèi)2007年下發(fā)《信息安全等級(jí)保護(hù)管理辦法》，規(guī)范了信息安全等級(jí)保護(hù)的管理。ISO/IEC 27000是英國標(biāo)準(zhǔn)協(xié)會(huì)的一個(gè)關(guān)于信息安全管理的標(biāo)準(zhǔn)[2]。

三、等級(jí)保護(hù)劃分

完整正確地理解安全保護(hù)等級(jí)的安全要求，并合理地確定目標(biāo)系統(tǒng)的保護(hù)等級(jí)，是將等級(jí)保護(hù)合理地運(yùn)用于具體信息系統(tǒng)的重要前提[3]。國家計(jì)算機(jī)等級(jí)保護(hù)總體原則《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859）將我國信息系統(tǒng)安全等級(jí)分為5個(gè)級(jí)別，以第1級(jí)用戶自主保護(hù)級(jí)為基礎(chǔ)，各級(jí)逐漸增強(qiáng)。

第一級(jí)：用戶自主保護(hù)級(jí)，通過隔離用戶和數(shù)據(jù)，實(shí)施訪問控制，以免其他用戶對數(shù)據(jù)的非法讀寫和破壞。

第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)，使用機(jī)制來鑒別用戶身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。

第三級(jí)：安全標(biāo)記保護(hù)級(jí)，提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述。

第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)，將第三級(jí)的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體和客體。加強(qiáng)鑒別機(jī)制，系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。

第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)，訪問監(jiān)控器仲裁主體對客體的全部訪問，具有極強(qiáng)的抗?jié)B透能力。

四、信息系統(tǒng)定級(jí)

為提高我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作[4]，定級(jí)范圍包含：

1.電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

2.鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通等重要信息系統(tǒng)。

3.市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

4.涉及國家秘密的信息系統(tǒng)。各行業(yè)根據(jù)行業(yè)特點(diǎn)指導(dǎo)本地區(qū)、本行業(yè)進(jìn)行定級(jí)工作，保障行業(yè)內(nèi)的信息系統(tǒng)安全。

五、等級(jí)保護(hù)在行業(yè)中應(yīng)用

（一）等級(jí)保護(hù)在電力行業(yè)信息安全中的應(yīng)用

國家電網(wǎng)公司承擔(dān)著為國家發(fā)展電力保障的基本使命，對電力系統(tǒng)的信息安全非常重視，已經(jīng)把信息安全提升到電力生產(chǎn)安全的高度，并陸續(xù)下發(fā)了《關(guān)于網(wǎng)絡(luò)信息安全保障工作的指導(dǎo)意見》和《國家電網(wǎng)公司與信息安全管理暫行規(guī)定》。

（二）電信網(wǎng)安全防護(hù)體系研究及標(biāo)準(zhǔn)化進(jìn)展

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》和《2006~2020年國家信息化發(fā)展戰(zhàn)略》的出臺(tái)，明確了我國信息安全保障工作的發(fā)展戰(zhàn)略[5]。文中也明確了“國家公用通信網(wǎng)”包括通常所指“基礎(chǔ)電信網(wǎng)絡(luò)”、“移動(dòng)通信網(wǎng)”、“公用互聯(lián)網(wǎng)”和“衛(wèi)星通信網(wǎng)”等基礎(chǔ)電信網(wǎng)絡(luò)。將安全保障的工作落實(shí)到電信網(wǎng)絡(luò)，充分研究安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評估以及災(zāi)難備份及恢復(fù)三部分內(nèi)容，將三部分工作有機(jī)結(jié)合，互為依托和補(bǔ)充，共同構(gòu)成了電信網(wǎng)安全防護(hù)體系。

六、結(jié)束語

安全等級(jí)保護(hù)是指導(dǎo)信息系統(tǒng)安全防護(hù)工作的基礎(chǔ)管理原則，其核心內(nèi)容是根據(jù)信息系統(tǒng)的重要程度進(jìn)行安全等級(jí)劃分，并針對不同的等級(jí)，提出安全要求。我國信息安全等級(jí)保護(hù)正在不斷地完善中，相信信息保護(hù)工作會(huì)越做越好。

參考文獻(xiàn)：

[1]徐超漢.計(jì)算機(jī)信息安全管理[M].北京:電子工業(yè)出版社,2006,36-89

[2]ISO27001.信息安全管理標(biāo)準(zhǔn)[S].2005

[3]GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S].1999

[4]關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知［EB/OL］.公信安[2007]861號(hào),20070716.

安全等級(jí)保護(hù)管理辦法范文第3篇

一、工作目標(biāo)

依據(jù)國家信息安全等級(jí)保護(hù)制度，遵循相關(guān)標(biāo)準(zhǔn)規(guī)范，在衛(wèi)生行業(yè)全面開展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測評等工作，明確信息安全保障重點(diǎn)，落實(shí)信息安全責(zé)任，建立信息安全等級(jí)保護(hù)工作長效機(jī)制，切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力，為衛(wèi)生信息化健康發(fā)展提供可靠保障，全面維護(hù)公共利益、社會(huì)秩序和國家安全。

二、工作原則

（一）遵循標(biāo)準(zhǔn)，重點(diǎn)保護(hù)。遵循國家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點(diǎn)，優(yōu)先保護(hù)重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點(diǎn)信息安全需求。

（二）行業(yè)指導(dǎo)，屬地管理。衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)行行業(yè)指導(dǎo)、屬地管理。地方各級(jí)衛(wèi)生行政部門要按照國家信息安全等級(jí)保護(hù)制度有關(guān)要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級(jí)保護(hù)的指導(dǎo)和管理工作。衛(wèi)生行業(yè)各單位要按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)”的要求，落實(shí)信息安全責(zé)任。

（三）同步建設(shè)，動(dòng)態(tài)完善。在信息系統(tǒng)規(guī)劃設(shè)計(jì)與建設(shè)過程中，同步開展信息安全等級(jí)保護(hù)工作。因信息和信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用范圍等條件改變導(dǎo)致安全需求發(fā)生變化時(shí)，應(yīng)當(dāng)重新調(diào)整信息系統(tǒng)安全保護(hù)等級(jí)，及時(shí)完善安全保障措施。

三、工作機(jī)制

地方各級(jí)衛(wèi)生行政部門承擔(dān)本地衛(wèi)生信息安全責(zé)任，信息化工作領(lǐng)導(dǎo)小組統(tǒng)籌組織本地衛(wèi)生信息安全等級(jí)保護(hù)工作。衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)對全國衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo)，并組織開展部機(jī)關(guān)信息安全等級(jí)保護(hù)工作。省級(jí)、地市級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)對本地區(qū)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo)，并組織開展本單位信息安全等級(jí)保護(hù)工作。

衛(wèi)生部建立信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員機(jī)制，各省級(jí)衛(wèi)生行政部門應(yīng)當(dāng)設(shè)置信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員。聯(lián)絡(luò)員職責(zé)是落實(shí)國家信息安全等級(jí)保護(hù)工作的有關(guān)政策和技術(shù)標(biāo)準(zhǔn)，掌握本地區(qū)信息安全等級(jí)保護(hù)工作動(dòng)態(tài)和總體情況，代表本地區(qū)與衛(wèi)生部及同級(jí)信息安全等級(jí)保護(hù)管理部門進(jìn)行日常聯(lián)系和交流，協(xié)調(diào)落實(shí)本地區(qū)信息安全等級(jí)保護(hù)工作。

衛(wèi)生部和各省級(jí)衛(wèi)生行政部門應(yīng)當(dāng)分別建立信息安全技術(shù)專家委員會(huì)，參與信息系統(tǒng)定級(jí)指導(dǎo)、備案審查、方案論證、安全咨詢、安全檢查等技術(shù)工作。信息安全技術(shù)專家委員會(huì)應(yīng)當(dāng)包含衛(wèi)生行業(yè)、公安機(jī)關(guān)及信息安全技術(shù)等專家。

四、工作任務(wù)

（一）定級(jí)備案。

1．衛(wèi)生行業(yè)各單位應(yīng)當(dāng)對本單位建設(shè)與運(yùn)營的衛(wèi)生信息系統(tǒng)進(jìn)行自查，對未定級(jí)、定級(jí)不準(zhǔn)的信息系統(tǒng),應(yīng)當(dāng)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開展定級(jí)工作。

國家信息安全等級(jí)保護(hù)制度將信息安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，第二級(jí)為指導(dǎo)保護(hù)級(jí)，第三級(jí)為監(jiān)督保護(hù)級(jí)，第四級(jí)為強(qiáng)制保護(hù)級(jí)，第五級(jí)為?？乇Ｗo(hù)級(jí)。以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí)：

（1）衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)；

（2）國家、省、地市三級(jí)衛(wèi)生信息平臺(tái)，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級(jí)數(shù)據(jù)中心；

（3）三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)；

（4）衛(wèi)生部網(wǎng)站系統(tǒng)；

（5）其他經(jīng)過信息安全技術(shù)專家委員會(huì)評定為第三級(jí)以上（含第三級(jí)）的信息系統(tǒng)。

2.擬定為第三級(jí)以上（含第三級(jí)）的衛(wèi)生信息系統(tǒng)，應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家委員會(huì)論證、評審。

3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護(hù)等級(jí)后，對第二級(jí)以上（含第二級(jí)）信息系統(tǒng)，應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門備案?？缡∪珖?lián)網(wǎng)運(yùn)行并由衛(wèi)生部定級(jí)的信息系統(tǒng)，由衛(wèi)生部報(bào)公安部備案；在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)備案。

（二）建設(shè)與整改。

1.對已確定安全保護(hù)等級(jí)的第二級(jí)以上（含第二級(jí)）衛(wèi)生信息系統(tǒng)，應(yīng)當(dāng)按照國家信息安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國家標(biāo)準(zhǔn)，開展安全保護(hù)現(xiàn)狀分析，查找安全隱患及與國家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距，確定安全需求。

2.根據(jù)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析結(jié)果，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國家標(biāo)準(zhǔn)，制訂信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改方案。第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家委員會(huì)論證。

3.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)按照信息系統(tǒng)安全建設(shè)整改方案，完善安全保護(hù)設(shè)施，建立安全管理制度，落實(shí)安全管理措施，形成信息安全技術(shù)防護(hù)體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。

（三）等級(jí)測評。

1.系統(tǒng)建設(shè)整改工作完成后，應(yīng)當(dāng)按照《信息安全等級(jí)保護(hù)管理辦法》要求，從全國信息安全等級(jí)保護(hù)測評機(jī)構(gòu)推薦目錄中選擇等級(jí)測評機(jī)構(gòu)，對第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測評。

2.測評合格后，應(yīng)當(dāng)將測評報(bào)告報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門備案。

3.應(yīng)當(dāng)每年對第三級(jí)以上（含第三級(jí)）衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測評。對于重要部門的第二級(jí)信息系統(tǒng)，可參照上述要求進(jìn)行等級(jí)測評。

（四）宣傳培訓(xùn)。

1.各級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)對本地區(qū)各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)開展等級(jí)保護(hù)政策和標(biāo)準(zhǔn)規(guī)范培訓(xùn)，提高各單位信息安全管理人員的技術(shù)能力和管理水平。

2.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)開展內(nèi)部信息安全培訓(xùn)，提升全員信息安全意識(shí)，規(guī)范信息安全操作行為，提高信息安全保障能力。

（五）監(jiān)督檢查。

1.衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)督導(dǎo)檢查各地醫(yī)療衛(wèi)生機(jī)構(gòu)信息安全等級(jí)保護(hù)工作落實(shí)情況，并督促部機(jī)關(guān)重要信息系統(tǒng)責(zé)任單位開展信息安全等級(jí)保護(hù)工作。

2.省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)督導(dǎo)檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級(jí)保護(hù)工作落實(shí)情況，并督促本單位開展信息安全等級(jí)保護(hù)工作。

3.省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)于每年年底，向衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組報(bào)送本地區(qū)信息系統(tǒng)定級(jí)備案、建設(shè)整改、等級(jí)測評和自查等工作開展情況。

五、工作要求

（一）高度重視，加強(qiáng)領(lǐng)導(dǎo)。衛(wèi)生行業(yè)各單位要高度重視，充分認(rèn)識(shí)信息安全等級(jí)保護(hù)工作對保護(hù)居民健康信息安全、醫(yī)療衛(wèi)生機(jī)構(gòu)正常運(yùn)轉(zhuǎn)和社會(huì)穩(wěn)定的重要意義。各單位主要負(fù)責(zé)同志要負(fù)總責(zé)，分管負(fù)責(zé)同志要具體抓，明確職責(zé)與任務(wù)，突出重點(diǎn)，將信息安全等級(jí)保護(hù)工作列入重要議事日程和工作績效考核指標(biāo)，一級(jí)抓一級(jí)，層層抓落實(shí)。

安全等級(jí)保護(hù)管理辦法范文第4篇

信息安全防護(hù)要考慮不同層次的問題。例如網(wǎng)絡(luò)平臺(tái)就需要擁有網(wǎng)絡(luò)節(jié)點(diǎn)之間的相互認(rèn)證以及訪問控制；應(yīng)用平臺(tái)則需要有針對各個(gè)用戶的認(rèn)證以及訪問控制，這就需要保證每一個(gè)數(shù)據(jù)的傳輸?shù)耐暾院捅Ｃ苄?，?dāng)然也需要保證應(yīng)用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有：

1.1信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是對信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測評、信息安全檢查五個(gè)階段。要積極參與信息安全等級(jí)定級(jí)評定，及時(shí)在當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案，然后根據(jù)對應(yīng)等級(jí)要求，組織好評測，然后開展針對性的防護(hù)，從而提供全面的保障。

1.2網(wǎng)絡(luò)分區(qū)和隔離

運(yùn)用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備將企業(yè)網(wǎng)絡(luò)劃分為若干個(gè)區(qū)域，通過在不同區(qū)域?qū)嵤┨囟ǖ陌踩呗詫?shí)現(xiàn)對區(qū)域的防護(hù)，保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)置穩(wěn)定正常，保障業(yè)務(wù)信息安全。

1.3終端安全防護(hù)

需要部署（實(shí)施）防病毒系統(tǒng)、上網(wǎng)行為管理、主機(jī)補(bǔ)丁管理等終端安全防護(hù)措施。通過這些安全措施使網(wǎng)絡(luò)內(nèi)的終端可以防御各種惡意代碼和病毒；可以對互聯(lián)網(wǎng)訪問行為監(jiān)管，為網(wǎng)絡(luò)的安全防護(hù)管理提供安全保障；可以自動(dòng)下發(fā)操作系統(tǒng)補(bǔ)丁，提高終端的安全性。

2.構(gòu)建信息安全防護(hù)體系

電力企業(yè)應(yīng)充分利用已經(jīng)成熟的信息安全理論成果，在此基礎(chǔ)上在設(shè)計(jì)出具有可操作性，能兼顧整體性，并且能融合策略、組織、技術(shù)以及運(yùn)行為一體化的信息安全保障體系，從而保障信息安全。

2.1建立科學(xué)合理的信息安全策略體系

信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標(biāo)準(zhǔn)以及規(guī)范和多方面的細(xì)則，所涉及的基本要素包括信息管理和信息技術(shù)這兩方面，其覆蓋了信息系統(tǒng)的網(wǎng)絡(luò)層面、物理層面、系統(tǒng)層面以及應(yīng)用層面這四大層面。

2.2建設(shè)先進(jìn)可靠的信息安全技術(shù)防護(hù)體系

結(jié)合電力企業(yè)的特點(diǎn)，在企業(yè)內(nèi)部形成分區(qū)、分域、分級(jí)、分層的網(wǎng)絡(luò)環(huán)境，然后充分運(yùn)用防火墻、病毒過濾、入侵防護(hù)、單向物理隔離、拒絕服務(wù)防護(hù)和認(rèn)證授權(quán)等技術(shù)進(jìn)行區(qū)域邊界防護(hù)。通過統(tǒng)一規(guī)劃，解決系統(tǒng)之間、系統(tǒng)內(nèi)部網(wǎng)段間邊界不清晰，訪問控制措施薄弱的問題，對不同等級(jí)保護(hù)的業(yè)務(wù)系統(tǒng)分級(jí)防護(hù)，避免安全要求低的業(yè)務(wù)系統(tǒng)的威脅影響到安全要求高的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)全方位的技術(shù)安全防護(hù)。同時(shí)，還要結(jié)合信息機(jī)房物流防護(hù)、網(wǎng)絡(luò)準(zhǔn)入控制、補(bǔ)丁管理、PKI基礎(chǔ)設(shè)施、病毒防護(hù)、數(shù)據(jù)庫安全防護(hù)、終端安全管理和電子文檔安全防護(hù)等細(xì)化的措施，形成覆蓋企業(yè)全領(lǐng)域的技術(shù)防護(hù)體系。

2.3設(shè)置責(zé)權(quán)統(tǒng)一的信息安全組織體系

在企業(yè)內(nèi)部設(shè)置網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu)，按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”原則，實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理。信息安全領(lǐng)導(dǎo)機(jī)構(gòu)由決策層組成，工作機(jī)構(gòu)由各部門管理成員組成。工作機(jī)構(gòu)一般設(shè)置在信息管理部門，包含安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和應(yīng)用管理員，并分配相關(guān)安全責(zé)任，使信息安全在組織內(nèi)得以有效管理。

2.4構(gòu)建全面完善的信息安全管理體系

對于電力企業(yè)的信息安全防范來說，單純的使用技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的，只有配合管理才能提供有效運(yùn)營的保障。

2.4.1用制度保證信息安全

企業(yè)要建立從指導(dǎo)性到具體性的安全管理框架體系。安全方針是信息安全指導(dǎo)性文件，指明信息安全的發(fā)展方向，為信息安全提供管理指導(dǎo)和支持；安全管理辦法是對信息安全各方面內(nèi)容進(jìn)行管理的方法總述；安全管理流程是在信息安全管理辦法的基礎(chǔ)上描述各控制流程；安全規(guī)范和操作手冊則是為用戶提供詳細(xì)使用文檔。人是信息安全最活躍的因素，人的行為會(huì)直接影響到信息安全保障。所以需要通過加強(qiáng)人員信息安全培訓(xùn)、建立懲罰機(jī)制、加大關(guān)鍵崗位員工安全防范力度、加強(qiáng)離崗或調(diào)動(dòng)人員的信息安全審查等措施實(shí)現(xiàn)企業(yè)工作人員的規(guī)范管理，明確員工信息安全責(zé)任和義務(wù)，避免人為風(fēng)險(xiǎn)。

2.4.3建設(shè)時(shí)就考慮信息安全

在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)時(shí)，就從生命周期的各階段統(tǒng)籌考慮信息安全，遵照信息安全和信息化建設(shè)“三同步”原則，即“同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行”。

2.4.4實(shí)施信息安全運(yùn)行保障

主要是以資產(chǎn)管理為基礎(chǔ)，風(fēng)險(xiǎn)管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應(yīng)功能，構(gòu)建動(dòng)態(tài)的可信安全運(yùn)行保障。同時(shí)，還需要不斷完善應(yīng)急預(yù)案，做好預(yù)案演練，可以對信息安全事件進(jìn)行及時(shí)的應(yīng)急響應(yīng)和處置。

3.總結(jié)

安全等級(jí)保護(hù)管理辦法范文第5篇

信息安全等級(jí)保護(hù)建設(shè)背景

信息安全等級(jí)保護(hù)制度是我們國家在國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。實(shí)行信息安全等級(jí)保護(hù)制度，能夠充分調(diào)動(dòng)國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達(dá)到有效保護(hù)的目的，增強(qiáng)安全保護(hù)的整體性、針對性和實(shí)效性，使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理，對促進(jìn)我國信息安全的發(fā)展將起到重要推動(dòng)作用。

2011年，原衛(wèi)生部了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》（衛(wèi)辦綜函〔2011〕1126號(hào)）。針對醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》（衛(wèi)發(fā)辦〔2011〕85號(hào)）要求三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)不低于第三級(jí)，并且要求2015年12月30日前完成信息安全等級(jí)保護(hù)建設(shè)整改工作，并通過等級(jí)測評。

醫(yī)療行業(yè)面臨的主要風(fēng)險(xiǎn)

1.醫(yī)療行業(yè)特點(diǎn)

隨著我國醫(yī)療衛(wèi)生事業(yè)的迅速發(fā)展，醫(yī)學(xué)科學(xué)的不斷進(jìn)步，醫(yī)藥衛(wèi)生事業(yè)體制改革的逐步深入，醫(yī)院生存和發(fā)展的外部環(huán)境和內(nèi)部機(jī)制都發(fā)生了很大的變化。當(dāng)今計(jì)算機(jī)信息和網(wǎng)絡(luò)通信技術(shù)的深入發(fā)展為提高醫(yī)院管理水平創(chuàng)造了良好的條件，醫(yī)院信息化建設(shè)也因此逐漸在我國各級(jí)醫(yī)院中迅猛發(fā)展。目前醫(yī)療行業(yè)信息化有如下特點(diǎn)：系統(tǒng)運(yùn)行連續(xù)性要求高，要求7×24小時(shí)不間斷服務(wù)；網(wǎng)絡(luò)間斷時(shí)間不允許超過2小時(shí)；信息高度集成，所有信息需要集中使用；異構(gòu)系統(tǒng)多，系統(tǒng)復(fù)雜度高；系統(tǒng)間接口復(fù)雜，涉及廠家多；系統(tǒng)內(nèi)存儲(chǔ)資料價(jià)值較高，存儲(chǔ)著醫(yī)院大量運(yùn)用數(shù)據(jù)，其中包含大量患者隱私；存儲(chǔ)的數(shù)據(jù)內(nèi)容本身具備法律效力；核心網(wǎng)絡(luò)采用網(wǎng)絡(luò)物理隔離。

2.信息系統(tǒng)的威脅來源

信息系統(tǒng)的威脅來源主要可以分為兩個(gè)方面，一個(gè)是環(huán)境因素造成的威脅，另一個(gè)方面是人為因素造成的威脅，而人為因素所帶來的損失往往是不可估量的。

在環(huán)境因素方面，威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。

在人員因素方面又可以分為有意和無意兩種情況，對于有意而為之的人，通常指惡意造成破壞的人，懷不滿情緒的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞，采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益。而外部人員也可以利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力。對于無意的情況來說，通常指管理人員沒有意識(shí)到問題或者沒有盡心盡責(zé)的工作。例如，內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。

3.信息系統(tǒng)負(fù)面影響

醫(yī)院內(nèi)部的信息系統(tǒng)如果受到威脅、入侵或被破壞等，會(huì)給國家、醫(yī)院以及人民的利益帶來嚴(yán)重的影響。

系統(tǒng)如果出現(xiàn)宕機(jī)的現(xiàn)象，首先會(huì)造成患者情緒激動(dòng)，耽誤治療流程，甚至?xí){到患者生命的安危。其次會(huì)造成門診業(yè)務(wù)人員、主治醫(yī)生、護(hù)士等工作人員的工作慌亂，甚至成為情緒激動(dòng)患者的放矢對象。門診辦主任、主管院領(lǐng)導(dǎo)、醫(yī)院院長電話問詢，信息中心則會(huì)電話不斷、手忙腳亂。醫(yī)院業(yè)務(wù)停頓，從經(jīng)濟(jì)上受損失，而媒體也會(huì)曝光醫(yī)院，使得醫(yī)院信譽(yù)受損。

如果醫(yī)院信息系統(tǒng)的內(nèi)部信息丟失，則會(huì)造成員工信息被公開、患者信息泄露等風(fēng)險(xiǎn)。例如，據(jù)《勞動(dòng)報(bào)》報(bào)道，一名負(fù)責(zé)開發(fā)、維護(hù)市衛(wèi)生局出生系統(tǒng)數(shù)據(jù)庫的技術(shù)部經(jīng)理利用工作之便，在2011年至2012年4月期間，每月兩次非法進(jìn)入該院數(shù)據(jù)庫，偷偷下載新生兒出生信息并進(jìn)行販賣，累計(jì)達(dá)到了10萬條，給醫(yī)療衛(wèi)生行業(yè)帶來了嚴(yán)重的負(fù)面影響。

信息安全等級(jí)保護(hù)建設(shè)體系

由于醫(yī)院信息系統(tǒng)復(fù)雜的特點(diǎn)、面臨的威脅及產(chǎn)生負(fù)面影響的嚴(yán)重性，醫(yī)院開展信息安全等級(jí)保護(hù)建設(shè)工作就尤為重要，急需一套適合醫(yī)院的等級(jí)保護(hù)安全防御體系。

信息安全等級(jí)保護(hù)體系主要包括技術(shù)與管理兩方面，在安全技術(shù)方面包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全；在安全管理方面包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。這10個(gè)方面里每一項(xiàng)都有若干控制項(xiàng)，順利通過測評至少要達(dá)到控制項(xiàng)的80%以上（表1）。

如表1所示，控制項(xiàng)中G表示基本要求類，三級(jí)必須達(dá)到G3標(biāo)準(zhǔn)；S表示業(yè)務(wù)信息安全類，A表示系統(tǒng)服務(wù)保證類，三級(jí)標(biāo)準(zhǔn)中S與A任選一項(xiàng)達(dá)到三級(jí)即可。

根據(jù)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)，我院主要建設(shè)經(jīng)驗(yàn)如下：

1.信息安全技術(shù)

（1）物理安全：數(shù)據(jù)中心機(jī)房是物理安全的核心，機(jī)房的裝修工程、動(dòng)力配電系統(tǒng)、空調(diào)新風(fēng)系統(tǒng)、消防系統(tǒng)、綜合布線系統(tǒng)等均需按照A級(jí)機(jī)房標(biāo)準(zhǔn)進(jìn)行建設(shè)。此外，日常的管理工作也尤為重要，在物理權(quán)限控制方面應(yīng)配備門禁系統(tǒng)，并且應(yīng)做到兩種或兩種以上的身份識(shí)別機(jī)制，如指紋加密碼或IC卡加密碼等。環(huán)境監(jiān)控方面除了每天定時(shí)的人員巡檢還應(yīng)在機(jī)房及各設(shè)備間部署監(jiān)控系統(tǒng)，利用傳感器監(jiān)控溫濕度、漏水、電壓、設(shè)備狀態(tài)等信息，一旦發(fā)生異常通過短信及時(shí)告知機(jī)房管理人員。

（2）網(wǎng)絡(luò)安全：按照等級(jí)保護(hù)思路進(jìn)行安全域的劃分，將不同級(jí)別的信息系統(tǒng)通過防火墻和網(wǎng)閘進(jìn)行隔離，根據(jù)每個(gè)安全域的特點(diǎn)設(shè)定不同的安全策略。服務(wù)器安全域制定細(xì)粒度訪問控制列表，僅開放必要的端口，并在旁路架設(shè)網(wǎng)絡(luò)流量審計(jì)設(shè)備和入侵檢測系統(tǒng)，對所有流量進(jìn)行記錄及審計(jì)，能夠及時(shí)發(fā)現(xiàn)攻擊行為；客戶端安全域制定網(wǎng)絡(luò)準(zhǔn)入和非法外聯(lián)策略，禁止未經(jīng)授權(quán)的計(jì)算機(jī)隨意接入醫(yī)院網(wǎng)絡(luò)，并且通過管理軟件和網(wǎng)閘控制內(nèi)網(wǎng)的計(jì)算機(jī)隨意訪問外網(wǎng)或互聯(lián)網(wǎng)；架設(shè)安全管理域，該區(qū)域主要用于對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備的管理，并集中收集設(shè)備的日志，及時(shí)通過分析日志發(fā)現(xiàn)安全隱患。

（3）安全：服務(wù)器進(jìn)行統(tǒng)一安全策略的制定，部署網(wǎng)絡(luò)版殺毒系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、入侵防范系統(tǒng)等，并結(jié)合服務(wù)器承載的業(yè)務(wù)特點(diǎn)制定詳細(xì)的資源控制列表，按照最小授權(quán)原則，授予最低資源訪問權(quán)限。

（4）應(yīng)用安全：部署數(shù)據(jù)庫審計(jì)系統(tǒng)，對所有流經(jīng)數(shù)據(jù)庫的網(wǎng)絡(luò)流量進(jìn)行數(shù)據(jù)分析，制定審計(jì)策略，發(fā)生違規(guī)數(shù)據(jù)操作及時(shí)通過短信報(bào)給安全審計(jì)人員；同時(shí)部署CA數(shù)字簽名系統(tǒng)，醫(yī)生通過USBKEY進(jìn)行系統(tǒng)登錄，并對其所有操作進(jìn)行數(shù)字簽名，有效保證了應(yīng)用系統(tǒng)的安全性及數(shù)據(jù)的不可抵賴性。

（5）數(shù)據(jù)安全：利用專業(yè)的數(shù)據(jù)備份軟件在異地部署數(shù)據(jù)備份中心，對各系統(tǒng)數(shù)據(jù)庫和文件繼續(xù)高頻率集中加密備份，并且應(yīng)至少六個(gè)月進(jìn)行一次數(shù)據(jù)還原演練，保證在出現(xiàn)問題是可以有效進(jìn)行恢復(fù)。

2.信息安全管理

（1）安全管理制度：從醫(yī)院層面制定信息安全管理制度，對信息安全制度進(jìn)行重新整理修改，規(guī)定信息安全的各方面應(yīng)遵守的原則、方法和指導(dǎo)策略，指定具體管理規(guī)定、處罰措施。制度應(yīng)具備可操作性，同時(shí)應(yīng)由專人負(fù)責(zé)隨時(shí)進(jìn)行修正，并由信息安全領(lǐng)導(dǎo)小組進(jìn)行評審，最終進(jìn)行。

（2）安全管理機(jī)構(gòu)：組織建立信息安全工作領(lǐng)導(dǎo)小組，設(shè)置信息安全管理崗位，設(shè)立獨(dú)立的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員等崗位，制定各崗位的工作職責(zé)，與各崗位相關(guān)人員簽署保密協(xié)議。同時(shí)制定溝通協(xié)作機(jī)制，內(nèi)部定期組織會(huì)議進(jìn)行信息安全工作部署，外部每日向公安局上報(bào)備案信息系統(tǒng)的安全情況，與數(shù)據(jù)庫、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等廠商簽署協(xié)議，提供所有設(shè)備的備機(jī)備件，每月進(jìn)行設(shè)備巡檢，并要求在發(fā)生緊急事件時(shí)及時(shí)到場提供技術(shù)支持。

（3）人員安全管理：在人員錄用方面，嚴(yán)格審查人員的背景、身份，并簽署保密協(xié)議，人員離崗時(shí)執(zhí)行離崗流程，各部門主管負(fù)責(zé)回收本部門負(fù)責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理離職手續(xù)。同時(shí)定期對人員進(jìn)行相關(guān)培訓(xùn)，每周進(jìn)行一次內(nèi)部培訓(xùn)，每年進(jìn)行兩次外部培訓(xùn)。對于外部廠商人員，其對設(shè)備的相關(guān)操作均需進(jìn)行審批流程，并通過技術(shù)手段記錄所有操作行為，做好操作記錄，并不定期進(jìn)行行為審計(jì)。