一、組織管理和責(zé)任落實(shí)
1.領(lǐng)導(dǎo)小組組建�����。網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組健全��,有網(wǎng)絡(luò)安全����、數(shù)據(jù)安全管理工作領(lǐng)導(dǎo)小組的任命或授權(quán)文件�;年內(nèi)未發(fā)生重大安全事件�����。
2.網(wǎng)絡(luò)信息安全管理制度落實(shí)情況���。制定網(wǎng)絡(luò)安全日常�、數(shù)據(jù)安全管理制度����,規(guī)范網(wǎng)絡(luò)運(yùn)行維護(hù)和日常管理要求。信息化建設(shè)規(guī)劃中同步考慮和納入網(wǎng)絡(luò)安全�、數(shù)據(jù)安全建設(shè)內(nèi)容。將網(wǎng)絡(luò)安全建設(shè)整改����、運(yùn)行維護(hù)、日常管理��、檢查評(píng)估等網(wǎng)絡(luò)安全����、數(shù)據(jù)安全工作經(jīng)費(fèi)納入年度信息化工作預(yù)算���。
3.網(wǎng)絡(luò)信息安全責(zé)任簽約工作�。開(kāi)展重點(diǎn)崗位人員網(wǎng)絡(luò)信息安全責(zé)任簽約工作。
二�����、網(wǎng)絡(luò)信息安全等級(jí)保護(hù)工作
1.定級(jí)備案與測(cè)評(píng)工作�����。定期開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)���、備案����、測(cè)評(píng)�、安全建設(shè)整改等工作。針對(duì)等級(jí)保護(hù)三級(jí)信息系統(tǒng)提供核心設(shè)備冗余���。
2.三員管理���。系統(tǒng)管理、信息安全、審計(jì)分別有專(zhuān)人負(fù)責(zé)��。
3.信息安全承諾簽訂工作�����。針對(duì)疾病預(yù)防控制重要信息系統(tǒng)���,開(kāi)展系統(tǒng)責(zé)任管理單位與下級(jí)使用單位的安全承諾責(zé)任簽約��。
4.網(wǎng)絡(luò)信息安全檢查和培訓(xùn)�����。定期開(kāi)展信息系統(tǒng)網(wǎng)絡(luò)安全檢查和安全培訓(xùn)���。
5.服務(wù)商管理。與服務(wù)商開(kāi)展保密協(xié)議簽訂�����。
6.云網(wǎng)平臺(tái)統(tǒng)一接入管理���。具備本級(jí)應(yīng)用的云或平臺(tái)在部署區(qū)級(jí)疾控相關(guān)應(yīng)用系統(tǒng)后資源占用率不高于80%�;使用電子政務(wù)外網(wǎng)和VPN虛擬專(zhuān)網(wǎng)接入各級(jí)各類(lèi)醫(yī)療衛(wèi)生機(jī)構(gòu);建立配置穩(wěn)定��、溝通暢通的運(yùn)維團(tuán)隊(duì)���。
三、終端和數(shù)據(jù)安全管理
1. 聯(lián)網(wǎng)計(jì)算機(jī)終端管理����。終端設(shè)備安裝有查殺病毒軟件,對(duì)重要信息系統(tǒng)的終端電腦備案并實(shí)名制管理�。及時(shí)開(kāi)展終端和服務(wù)器補(bǔ)丁更新,關(guān)閉高危端口�。
2.視頻會(huì)商終端管理。構(gòu)建和完善視頻會(huì)商相關(guān)的終端及音視頻網(wǎng)絡(luò)聯(lián)通基礎(chǔ)條件�,確保有效接受?chē)?guó)家和市級(jí)疾控機(jī)構(gòu)的遠(yuǎn)程視頻會(huì)商指導(dǎo)。
3.數(shù)據(jù)管理��。對(duì)信息系統(tǒng)統(tǒng)一歸口管理��。落實(shí)系統(tǒng)數(shù)據(jù)備份及恢復(fù)措施���。完善信息系統(tǒng)的重要離線數(shù)據(jù)使用管理機(jī)制��,落實(shí)臺(tái)賬使用審批管理���。
四�、信息系統(tǒng)用戶(hù)權(quán)限和編碼管理
1.用戶(hù)規(guī)范管理���。按照相關(guān)申請(qǐng)審批流程開(kāi)設(shè)賬戶(hù)���,建立人員和賬號(hào)清單、人員權(quán)限清單��。應(yīng)實(shí)名制管理“一人一賬戶(hù)”��,禁止“多人一賬戶(hù)”����,強(qiáng)化密碼管理,及時(shí)清理無(wú)人使用的賬戶(hù)����。根據(jù)“最小、夠用”原則進(jìn)行用戶(hù)授權(quán)���。
2.VPN虛擬專(zhuān)網(wǎng)接入管理����。根據(jù)疾控專(zhuān)網(wǎng)管理要求開(kāi)展VPN接入管理,規(guī)范操作規(guī)程�����,落實(shí)使用人員管理��。全面加強(qiáng)VPN虛擬專(zhuān)網(wǎng)安全性�����,實(shí)現(xiàn)通信雙方的身份鑒別�,通信過(guò)程中敏感數(shù)據(jù)的機(jī)密性�、完整性保護(hù)。
3.標(biāo)準(zhǔn)編碼管理����。按國(guó)家及本市的文件、通知和相關(guān)標(biāo)準(zhǔn)要求��,規(guī)范區(qū)內(nèi)編碼核對(duì)����、修改及質(zhì)控反饋流程,加強(qiáng)標(biāo)準(zhǔn)編碼的準(zhǔn)確性�����。
4.CA數(shù)字證書(shū)管理。CA數(shù)字證書(shū)進(jìn)行實(shí)名制規(guī)范化管理�����,“一人一證”�����,規(guī)范CA數(shù)字證書(shū)申請(qǐng)��、使用�����、注銷(xiāo)的要求�,并完善應(yīng)急保障相關(guān)機(jī)制。升級(jí)已發(fā)放的證書(shū)介質(zhì)及數(shù)字證書(shū)�����,完成符合國(guó)密算法的個(gè)人數(shù)字證書(shū)在傳染病相關(guān)重點(diǎn)業(yè)務(wù)系統(tǒng)中的部署使用�。
5.培訓(xùn)與技術(shù)指導(dǎo)。按計(jì)劃開(kāi)展本單位和下級(jí)用戶(hù)的培訓(xùn)和技術(shù)考核��。
6.落實(shí)響應(yīng)。加強(qiáng)業(yè)務(wù)連續(xù)性管理并持續(xù)監(jiān)測(cè)�。按照應(yīng)急預(yù)案,對(duì)發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行響應(yīng)和處置���,報(bào)告上級(jí)部門(mén)��。加強(qiáng)市區(qū)應(yīng)急聯(lián)動(dòng)��,及時(shí)處置并反饋。
轉(zhuǎn)載自-上海衛(wèi)健委官網(wǎng)
