国家重要信息系统基本情况表
国家重要信息系统基本情况表(样例)
第四级:结构化保护级; 第五级:访问验证保护级”) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号) 关于信息安全等级保护工作的实施意见(公通字[2004]66号)定级标准 信息安全等级保护管理办法(公通字[2007]43号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号) 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号) 地方及行业范例 关于加强国家电子政务工程建设项目信息安全风险评估工作的
通知(发改高技[2008]2071号) 关于进一步推进中央企业信息安全等级保护工作的通知 水利网络与信息安全体系建设基本技术要求(2010年3月) 证券期货业信息系统安全等级保护基本要求(试行) (JR/T 0060-2010) 山西省计算机信息系统安全保护条例(2009年1月)广东省计算机信息系统安全保护条例(2008年4月) 宁夏回族自治区计算机信息系统安全保护条例(2009年10月)徐州市计算机信息系统安全保护条例(2009年1月) 标准规范 十大重要标准 计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准) 信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准) 信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准) 信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准) 信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准) 信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准) 信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准) 信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准) 信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准) 其它相关标准 GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术网络基础安全技术要求
智慧政务信息系统介绍 根据国家要标准化管理委员会、国务院信息化工作办公室颁布的《电子政务标准化指南》,通常意义下的电子政务的总体框架由网络基础设施层、应用支撑层、应用层和公众服务层组成,信息安全与管理贯穿于各个层面中。我们提出了电子政务平台的总体框架,采用分层的思想对电子政务建设任务进行分解,以明确接口定义,并发建设,易于整合资源,缩短整体建设周期。 如图所示为电子政务平台的分层逻辑模型,整个逻辑结构按照功能可以自下而上划分为三个层次: 基础设施层 应用支撑层 应用层 同时,电子政务平台的安全保障体系(包括信息安全基础设施)、运行监控和维护贯穿于电子政务平台的各个层次。
基础设施层是为电子政务平台提供政务信息及其它运行管理信息传输和交换的平台,牵涉到互联网、政务外网和政务内网三个部分。其中政务内网与政务外网实现物理隔离,政务外网和互联网之间逻辑隔离。基础设施建设内容主要包括区域网络交换管理中心、网络、服务器、存储系统以及配套的基础软件和数据库等。 应用支撑层主要是针对电子政务平台的一些公共应用服务单元或特点进行归纳和抽象,建立相应的服务元素,为电子政务应用系统提供基础的模块化构件或服务,有效地简化电子政务应用系统的设计和实现,并有助于电子政务应用系统的优化设计。应用支撑层的内容主要包括多样化接入服务、统一的WEB公众门户服务平台、通用的电子政务构件、数据中心和数据交换、工作流程管理、应用集成模块、统一的用户管理等。 应用层是整个电子政务体系面向最终用户的层面,主要包括面向公众服务的公众服务系统、面向政府决策支持的内部办公系统和内部业务系统,以及电子政务门户网站。 电子政务安全保障体系和信息安全基础设施主要是面向电子政务应用的通用安全服务,包括各个层次的安全措施,和一个智能化的提供认证和授权的平台。 另外,电子政务平台建设过程必须在国家相关电子政务的标准、政策、法规指导下进行。结合各地的具体情况在国家标准和政策法规的基础上,逐步完善电子政务建设标准体系和政策法规是一项长期的任务。 6方案应用框架描述 结合国家电子政务标准,并针对城市电子政务建设实际情况,规划出城市电子政务系统与业务流程规范、业务接口及数据交换模型。旨在深化政务关键业务重构,实现信息资源共享,政务公开,改进管理体制,以提高政府办事效率及更好的便民服务,实现高效、廉洁、公正、严明的政府行政体系。 针对一站式办公平台与业务协同信息模型图,其电子政务系统平台结构总体设计如下:
编号:DCB2014- XXXXXX信息系统基本情况调查表 四川省软件和信息系统工程测评中心 2016年月日 共29 页第 1 页
说明 1、请提供信息系统的最新网络结构图(拓扑图)。 A、应该标识出网络设备、服务器设备和主要终端设备及其名称。 B、应该标识出服务器设备的IP地址。 C、应该标识网络区域划分等情况。 D、应该标识网络与外部的连接等情况。 E、应该能够对照网络结构图说明所有业务流程和系统组成。 (如果一张图无法表示,可以将核心部分和接入部分分别画出,或以多张图表示。) 2、请根据信息系统的网络结构图填写各类调查表。 共29 页第 2 页
XXXXXX信息系统工程网络结构图(拓扑图): 共29 页第 3 页
调查表清单 表1-1 单位基本情况 表1-2 参与人员名单 表1-3 物理环境情况 表1-4 信息系统基本情况 表1-5 承载业务(服务)情况调查 表1-6 信息系统网络结构(环境)情况调查 表1-7 外联线路及设备端口(网络边界)情况调查 表1-8 网络设备情况调查 表1-9 安全设备情况调查 表1-10 服务器设备情况调查 表1-11 终端设备情况调查 表1-12 系统软件情况调查 表1-13 应用系统软件情况调查 表1-14 业务数据情况调查 表1-15 数据备份情况调查 表1-16 应用系统软件处理流程调查 表1-17 业务数据流程调查 表1-18 管理文档情况调查 表1-19 安全威胁情况调查 共29 页第 4 页
表1-1 单位基本情况 共29 页第 5 页
表1-2 参与人员名单 共29 页第 6 页
信息系统安全自查报告
————————————————————————————————作者:————————————————————————————————日期: 2
信息系统安全材料报告 一、什么是信息系统安全 信息系统安全:包括信息系统安全基本概念、信息系统安全体系、信息系统安全管理目标、信息系统安全需求、风险管理与控制、风险评估与分析、信息系统安全技术、信息安全标准与法律法规。 二、信息系统安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 工作内容 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。 信息系统安全等级测评是验证信息系统是否满足相应安全保护
等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。 政策标准 政策法规 中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)(“第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)计算机信息系统安全保护等级划分准则(GB 17859-1999)(“第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级;
计算机信息管理系统基本情况介绍和功能说明 我公司于2013年06月01日升级完善了计算机控制程序,增添了必备的设施、设备和仪器,规范和完善了经营质量管理操作程序,保障了在库商品的质量。 在质量管理控制模式上,采用国内先进的时空超越KSOA供应链管理系统,配备了服务器、终端机和移动硬盘,建立了各部门、岗位之间信息传输和数据共享的局域网;有符合企业管理实际需要的应用软件和相关数据库;各类数据的录入、更新、保存等操作程序均符合授权范围、管理制度、操作规程的要求,能保证数据原始、真实、准确、安全和可追溯。一、计算机系统概况: 我公司采用KSOA用友时空企业业务管理软件,更换了浪潮英信NF-5220服务器、UPS不间断电源、40台各岗位终端机、数据备份硬盘、打印机等,KSOA主要包括了采购管理、销售管理、往来管理、仓储管理、商品会计、综合查询、统计分析、质量管理、基础信息等功能模块,能对医疗器械的购、销、存等质量控制环节进行全面规范管理,对购进医疗器械的合法性,购货单位资质审核,首营企业审核,首营品种审核,对采购、收货、验收、储存、在库检查、出库、销售、运输等过程进行有效控制。 计算机管理系统能为经营业务过程、质量控制提供支持,覆盖了经营管理全过程,满足了医疗器械经营管理活动的质量控制。对医疗器械的流向可追溯,保证了医疗器械质量管理活动有序高效地运行。计算机管理系统的设计、使用和验证情况:
(一)、质量管理基础数据管理模块 1、供货单位数据管理模块 (1). 首营企业资质录入、审核、审批 由业务员收集整理供应商资质,在KSOA系统中填写“首营企业审批表”,由业务部负责人、质管部负责人、质量负责人进行系统审批。系统电子层签流程完成后由质量管理员将资料存档并在系统中维护供应商业务委托人信息后方可进行医疗器械的采购业务。 (2). 供应商更新与维护 当供货单位资质信息发生变更时,质量管理员根据业务人员递交的供货单位资质变更材料及时在KSOA系统中进行资料变更登记的动态信息的维护。 (3). 质量控制功能:供应商任意一个资质过期或者超经营范围系统都能够自动拦截,自动锁定该供货企业不能采购,制作采购订单时能够准确提供拦截原因。 2.购货单位数据管理模块 (1). 购货单位资质录入、审核、审批 由业务员收集整理购货单位资质,在KSOA系统中填写“客户资质登记表”,由医疗器械经营部负责人、质管部负责人、质量负责人进行系统审 批。系统电子层签流程完成后由质量管理员将资料存 档,并在系统中维护购货单位业务委托人信息后方可进行医疗器械的采购业务。 (2). 购货单位更新与维护 当购货单位资质信息发生变更时,质量管理员根据业务人员递交的购
信息系统安全自查工作的报告 一、注重信息安全工作及规章制度建设 公司自开业以来以《XXX公司信息系统运行管理制度》《XXX公司计算机信息系统安全、保密管理规定》等相关内控制度为基准制定了信息安全工作的安全策略、支撑安全策略实现的各项安全管理规定以及操作规程等构成的全面的信息安全管理制度体系;制订了安全组织的设立、人员的安全管理,系统建设及运维相关安全管理制度;制订了安全管理人员或操作人员执行的管理操作规程;明确了安全管理各个岗位的岗位职责;按监管机构的要求严格实施了机房管理、外来人员管理和信息数据安全管理。 此次自查工作主要分为三个环节逐步开展。第一个环节是以行政人事部为主,从安全管理制度、设施、人员、岗位职责等方面整体梳理总结;分公司的系统管理员在权限之内负责全省的员工权限的相关配置,各中心支公司的系统管理员没有配置系统的权限,实现辖内员工的权限由分公司统一配置,各中心支公司系统管理负责维护本机构的机器、网络、桌而维护以及系统问题的上报。 第二个环节是联合分公司各部门、各中心支公司开展信息安全自查工作讨论,补充现有制度的缺陷; 第三个环节是由信息检查小组再次梳理整体信息安全工
作,并修正检查出的工作错误。 在检查中我公司发现中支信息员对部分规定、通知执行力度不够,无法引起足够的重视,我公司针对此类情况准备下发严格的管控及奖惩措施。 我公司大部分电脑按照总公司要求加入域集中管理,安装了网络版防病毒软件,使用上网行为管理设备对与工作无关的网站及软件进行了封锁,及时更新系统补丁、修复漏洞, 通过以上措施,大大降低了系统文件被篡改、中病毒等风险, 但是通过自查发现分公司对此项工作的执行力度较强,各中心支公司存在没有进入域管理的情况,针对此类情况,我公司再次下发相关文件要求各中支必须对每台电脑进入域管理,以实现集中管理。 二、信息系统的安全管控 为了确保电子信息系统安全、稳定、可靠的运行,网络机房建设严格参照国家机房标准建设,我分公司至总公司网络采用联通SDH专线,备线采用电信SDH专线(互为备份)。机房内现有设备:防火墙、3层交换机、上网行为管理设备、服务器、工控机各一台,路由器2台、二层交换机5台,配备有长效型UPS,目前设备运行状况良好。机房面积12平方米,配备门锁、中央空调,由信息管理人员专人管理,做到每月打扫卫生、每天到场巡视。 公司业务、财务、辅助系统采用B/S模式开发,所有数据
公司网络安全自查报告 从网络运行和管理者角度说,希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。下面是为大家提供的关于公司网络安全的自查报告,内容如下: 我XXXXX公司对网络信息系统安全工作一直十分重视,根据XXX 相关要求要求成立了专门的领导组,建立健全了网络安全保密责任制和有关规章制度,由XXXXX公司信息中心统一管理,各业务部门负责各自的日常信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我XXXXX公司网络信息安全保密工作做得比较扎实,效果也比较好,自业务系统正式上线后,未发现安全问题。 XXXXX公司高度重视网络信息安全工作,在接到XXX的相关文件后,立即召开专题会议部署信息系统安全工作,成立自查工作小组,对我XXXXX公司的信息系统网络安全等情况进行了系统全面的检查,下面将自查情况报告如下: 一、信息安全总体状况 我XXXXX公司目前各网络系统运转良好,未发现网络入侵和其他安全事件。 (一)领导重视制度完善
1、为进一步加强XXXXX公司信息安全工作的领导,成立了信息安全工作领导小组,组长分管副局长为XX,组员XXX、XXX、XXXX; 各科室负责人为成员,办公室设在信息中心,设专人负责除了日常工作,同时建立了安全责任制、应急预案、值班制度、信息发布审核制度、保密制度、责任追究制度等。近年以来都没发生过安全责任事故。 2、为确保我XXXXX公司网络信息安全工作有效顺利开展,开展了网络信息安全宣传教育培训工作,平均每季度一次,目前共举办了二期,主要培训内容信息安全及计算机技术。我XXXXX公司要求以各部门为单位认真组织学习国家及XXX相关法律、法规和网络信息安全的相关知识,让全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。 (二)严格要求,措施到位 1、强化安全防范措施。我XXXXX公司对于程序升级、服务器维护、网络设备和安全设备维护等方面工作进行了严格要求,进一步强化了安全防范措施。一是对本单位信息系统的账户、口令、软件补丁等定期进行检查,及时更新和升级、杜绝了弱口令、弱密码、消除了安全隐患。二是每台计算机都安装了杀毒软件,并定期进行病毒查杀、对操作系统存在的漏洞、防毒软件配置不到位的计算机坚决断掉网络连接,发现问题,及时上报、处理。三是对本单位有计算机的使用者进行了安全培训和对每台入网计算机的使用者、ip地址和物理MAC 地址进行了登记造册,由信息中心进行管理,此外,严格管理业务处
信息系统安全自查报告 一、自查情况 1、安全制度落实情况: 目前我院已制定了<网络安全管理制度>、<计算机信息系统安全保密管理制度>、<涉密人员管理制度>等制度并严格执行。信息管护人员负责信息系统安全管理,密码管理,且规定严禁外泄。 2、安全防范措施落实情况: (1)计算机经过了信息系统安全技术检查,并安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。 (2)禁止使用来历不明或未经杀毒的一切移动存储介质。 (3)在安装杀毒软件时采用国家主管部门批准的查毒杀毒软件适时查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、光盘、u盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。在单位外的u盘,不得携带到单位内使用。(4)安装了准入准出管理系统,对内部网络中出现的内部用户未通过允许私自联到外部网络的行为进行检查。对外来终端接入医院网络必须进行健康度审查,直至符合相关要求后,经管理员审核才能接入医院网络。对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等,定期对终端计算机进行安全审计;规范化使用终端软硬件,不得擅自更改软硬件配置,不得擅自安装软件,严禁在计算机上安装非法盗版软件;监控系统开启服务与程序情
况,关闭不必要的服务、端口、来宾组等,防止恶意程序后台运行,防止安装过多应用软件及病毒、木马程序的自运行;加强网络访问控制,防止计算机进行违规互联,防止信息因共享等方式进行违规流转,防止木马、病毒在信息系统内大规模爆发。(5)安装了防病毒系统、威肋预警系统,服务器安装支持统一管理的防病毒软件,及时更新软件版本和病毒库;整改配备威胁管理平台和杀软,主机与网络的防范产品统一管理,且必须与终端杀毒软件属不同的安全库;定期(如每半年年)进行系统漏洞扫描,并根据扫描发现的漏洞开展整改工作,应定期(如每月)对恶意代码查杀结果进行分析,对于查杀发现的病毒及其传播、感染方式进行通告,并出具分析报告,及时更新操作系统的安全补丁,更新前应对补丁进行测试,确认其不影响操作系统的业务性能后,再安装系统安全补丁。(6)安装了数据库审计系统(防统方)软件,审计范围覆盖到服务器上的每个操作系统用户和数据库用户;审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;保护审计记录,避免受到未预期的删除、修改或覆盖等;对医院数据库几张重要的表格(统方)采取相应的安全措施,降低国家省里卫计委三令五声的统方信息泄露事件。整改配备数据库审计系统(反统方),对重要客户端的审计和审计报表计记录的保护。部署数据库审计系统,赋予安全管理员审计系统管理权限,其中系统管理员无审计系统日志访问权限,安全管理员无数据库系统管理权限;(7)安装了网闸隔离设备,医院内网与
计算机信息管理系统基本情况介绍和功能说明(一)计算机信息管理系统基本情况介绍 我单位具有符合医疗器械经营质量管理要求的计算机信息管理系统:千方百计系统,保证经营的产品可追溯。 1.管理销售计算机1台,并配置了扫码枪1把。安装了收款台系统。安装了协力商霸信息管理系统。安装了小票打印机。 2计算机管理信息系统能实现医疗器械质量管理规范要求的计算机功能,记录相关记录项目和内容,对信息进行收集、记录,并具有信息查询和交换等功能,系统能对设置的经营流程进行质量控制,采购、验收、贮存、销售、出入库、退(换)货应在系统中形成内嵌式结构,对相关经营活动进行判断。具有医疗器械经营业务票据生成、打印和管理功能。 (二)计算机信息管理系统功能说明 1具有实现岗位之间信息传输和数据共享的功能 建立所有岗位人员信息数据库,企业负责人、质量负责人、质量管理、验收等岗位,建立各自用户名密码,医疗器械经营管理过程中,用户名密码登陆才能操作,各岗位操作后,信息自动储存,各环节可以查询、共享。 2医疗器械经营业务票据生成、打印和管理功能 系统能实现采购记录、验收记录、入库记录、在库养护、出库复核记录、销售记录等记录功能及查询。支持票据打印。销售小票在收款台打印,与销售记录一致。系统具有与结算系统、开票系统对接,自动打印每笔销售票据功能。
3记录医疗器械产品信息和生产企业信息以及实现质量追溯跟踪的功能 系统具有质量管理基础数据控制功能,数据应包括名称、注册证号或者备案凭证编号、规格型号、生产批号或者序列号、生产日期或者失效日期供货单位、经营品种资质等相关内容。信息由各岗位人员密码登陆录入,后台建立记录,才能进行采购、销售等经营行为。 4各经营环节的质量控制功能 具有包括采购、收货、验收、贮存、检查、销售、出库、复核等各经营环节的质量控制功能,能对各经营环节进行判断、控制,确保各项质量控制功能的实时和有效; 5首营审核功能 具有供货者、购货者以及购销医疗器械的合法性、有效性审核控制功能,实现系统中的首营审核流程和记录。审核合格,才能采购,销售。相关信息到期,计算机自动提醒,过期锁定,支持资质更新功能。 6有效期进行自动跟踪和控制功能 有近效期预警及超过有效期自动锁定等功能,防止过期医疗器械销售。系统具有依据质量管理基础数据,对医疗器械有效期进行跟踪,实现近效期预警提示、超有效期自动锁定功能。 7 数据备份 操作计算机人员每日备份系统数据,使用移动硬盘完整备份当日数据。移动硬盘保存在办公室。随时可以恢复系统,防止数据丢失。
网络与信息系统安全自查报告 网络与信息系统安全自查报告 在当下这个社会中,报告与我们的生活紧密相连,报告中涉及到专业性术语要解释清楚。我们应当如何写报告呢?下面是为大家整理的网络与信息系统安全自查报告,供大家参考借鉴,希望可以帮助到有需要的朋友。 网络与信息系统安全自查报告1 根据《广电总局办公厅贯彻落实国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》文件精神,我台在青岛市文广新局的统一部署下,对本台网络与信息安全情况进行了自查,现汇报如下: 一、信息安全自查工作组织开展情况 1、成立了信息安全检查行动小组。由台长任组长,分管领导为副组长,相关科室负责人为组员的行动小组,负责对全台的重要信息系统的全面指挥、排查并填记有关报表、建档留存等。 2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、分析,提高了对全台网络与信息安全状况的掌控。 二、信息安全工作情况 1、8月6日完成信息系统的自查工作部署,并研究制定自查
实施方案,根据所承担的业务要求和网络边界安全性对硬盘播出系统、非线性编辑系统、xx有线电视传输系统进行全面的梳理并综合分析。 2、8月7日对硬盘播出系统、非线性编辑系统、xx有线电视传输系统进行了细致的自查工作。 系统安全自查基本情况 硬盘播出系统为实时性系统,对主要业务影响较高。目前拥有dell服务器5台、惠普服务器2台、cisco交换机2台,操作系统均采用windows系统,数据库采用sqlserver,灾备情况为数据级灾备,该系统不与互联网连接。 非线性编辑系统为非实时性系统,对主要业务影响较高。目前拥有dell服务器6台、华为交换机1台,网关采用 unix操作系统,数据库采用sqlserver,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用默认规则。 xx有线电视传输系统为实时性系统,对主要业务影响高,灾备情况为数据灾备,该系统不与互联网连接。 、安全管理自查情况 人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。 资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记
市对外经济合作局信息系统安全工作自查报告 市政府信息化工作办公室: 根据《XX市20XX年度政府信息系统安全检查实施工作方案》中“安全检查工作”的八项内容对我局信息系统进行自查,现将自查结果报告如下: 我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行。 一、基本情况 近年来,为保证信息化工作顺利开展,我局先后投入资金XX余万元,为各下属科室分别购置信息化工作办公电脑、办公软件系统和信息安全防护系统。同时,在每个科室确定一名信息管理人员,具体负责向局信息中心上传信息和对电脑的日常维护,截至目前,全局拥有信息化工作办公电脑XX台,信息员XX 名,其中,专职信息员XX名。 二、信息安全系统运行情况 一是强化领导、明晰责任分工。成立了由局长任组长,局党组成员及各科室负责人为成员的领导小组,领导小组下设了办公室,安排两名计算机知识丰富、责任心强的同志担任办公室成员,具体负责安全维护工作。健全的机构、明晰的人员分工为政府信
息系统安全运行奠定了坚实的基础。 二是积极建立健全信息发布体系。在信息收集上传过程中,由信息化工作领导小组办公室统一协调,各科室把信息统一上报至局秘书科,由局秘书科掌握上传密码的同志统一把信息上传发布,从而保证了信息上传的准确性、安全性。 三是不断加大信息安全工作。与XX有限公司签订了技术服务协议,定期对我局计算机进行维护和信息安全检查。 四是专门制订了信息化工作有关规章制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作。 五是积极安排计算机管理人员参加市委、市政府组织的计算机安全技术培训,有效地提高了信息技术人员的安全意识以及维护系统安全的能力,促进了我局信息网络系统正常运行。 六是及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。 三、存在不足 一是专业技术人员较少,信息系统安全方面可投入的力量有限。 二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
二、信息系统运营使用单位等级保护工作情况 1、单位信息安全等级保护工作的组织领导情况 重点包括:单位网络安全领导机构或信息安全等级保护工作领导机构成立情况;单位网络安全或信息安全等级保护工作的职责部门与具体职能情况;单位信息安全等级保护工作部署情况等。 结合我单位实际情况,成立了网络安全领导小组,由网络安全工作领导与日常巡视人员组成;安全小组职责部门为技术部,主要负责网络安全工作的领导、监督、实施等;我单位结合公司实际情况制定了安全等级保护相关的日程安排,定期或2、单位对信息安全等级保护工作的重视情况 重点包括:单位网络信息安全等级保护工作年度考核情况;单位组织开展网络安全自查情况;单位网络安全工作经费就是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。 我单位网络安全工作考核已纳入到年度考核指标;单位严格落实有关网络信息安全保密方面的各项规定,采取多种自查措施防范网络安全事故,总体上我单位网络信息安全工作做得比较扎实;单位严格落实网络安全经费预算,保证网络安全工作的经费投入,经费约占信息化建设经费的XX%。 3、单位网络安全责任追究制度执行情况 重点包括:就是否建立了单位网络安全责任追究制度?就是否依据责任追究制度对单位发生的网络事件进行追责等情况。 我单位建立了网络安全责任追究制度,主管领导负总责,具体管理人员负主责;本单位尚未发生网络安全事件。如遇网络安全事件,会依据责任追究制度对相关人员进行追责。 4、单位信息系统定级备案工作情况。 重点包括:单位信息系统就是否全部定级备案?单位系统调整就是否及时进行备案变更?单位新建信息系统就是否落实定级备案等工作。 我单位依据信息安全等级保护有关政策与标准,已于20XX年X月完成单位信息系统定级备案工作。 5、单位信息系统安全测评与安全建设整改工作情况 重点包括:单位信息系统安全检测与整改经费落实情况;单位信息系统恶意代码扫描、渗透性测试、等级测评与风险评估的安全检测情况;信息系统安全建设整改方案制定与实施情况;单位网络安全保护状况的了解掌握等情况。
网络安全自查报告 市委网络安全和信息化领导小组办公室: 为规范我单位计算机信息网络系统的安全管理工作,保证网信息系统的安全和推动精神文明建设,我单位成立了安全组织机构,建立健全了各项安全管理制度,加强了网络安全技术防范工作的力度,进一步强化了办公设备的使用管理,营造出了一个安全使用网络的办公环境。下面将详细情况汇报如下: 一、进一步调整、落实网络与信息安全领导小组成员及其分工,做到责任明确,具体到人。为进一步加强我局网络信息系统安全管理工作,我单位成立了由主要领导负责的、各科室负责人组成的计算机信息安全领导小组和工作小组,做到责任明确,具体到人。 二、进一步建立健全各项安全管理制度,做到有法可依,有章可循为保证计算机网络的正常运行与健康发展。认真对照《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》对网络安全进行严格的管理。我单位适时组织相关人员进行计算机安全技术培训,提高网络维护以及安全防护技能和意识,并定期进行网
络安全的全面检查,对存在的问题要及时进行纠正,消除安全隐患,有力地保障我单位统计信息网络正常运行。 三、我单位的技术防范措施主要从以下几个方面来做: 1、办公计算机:全部安装正版安全软件;已排查内网计算机全部切断外网连接;通过技术手段实时监控局域网内DDos、ARP等攻击;使用IP安全策略,禁用TCP和 UDP高危端口;及时修补各种系统、软件的补丁;实时针对高发、高危网络安全威胁,安装专杀补丁; 2、路由器管理:外网路由器的密码全部采用复杂密码,无线网络不对外广播,并且全部绑定客户端MAC地址,外部设备无法连接我单位任何路由器;全体工作人员的任何手机、计算机禁止安装“Wifi万能钥匙”等任何无线局域网破解软件; 3、http服务器:全部安装正版服务器操作系统、操作系统防火墙、网页系统防火墙;保持自动和手动补丁更新,安装智能漏洞检测系统,发现安全漏洞短信告警管理员;全面排查硬件防火墙安全隐患,发现高危漏洞及时采取相应解决方案; 4、微信公众号:公众号管理登录全部采用复杂密码组合,启用登录管理员微信端二维码验证;微信服务号接口共享http 服务器,采用与http服务器相同安全级别; 5、数据库管理:我单位已购置磁盘阵列,定期对服务器数据库以及关键数据进行备份,并存放于磁盘阵列中,磁盘阵列无外部网络访问,所有操作全部由内网计算机完成。
---------------------------------------------------------------范文最新推荐------------------------------------------------------ 信息系统安全检查的自查情况报告 根据**市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[2018]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下: 一、自查情况 (一)安全制度落实情况 1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。 2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。 3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。 (二)安全防范措施落实情况 1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。 2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。 3、网络终端没有违规上国际互联网及其他的信息网的现象,没有 1 / 11
安装无线网络等。 4、安装了针对移动存储设备的专业杀毒软件。 (三)应急响应机制建设情况 1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。 2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。 3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。 (四)信息技术产品和服务国产化情况 1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。 2、公文处理软件具体使用金山软件的wps系统。 3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。 (五)安全教育培训情况 1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。 2、安全小组组织了一次对基本的信息安全常识的学习活动。 二、自查中发现的不足和整改意见 根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。 1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
网络与信息系统安全自查总结报告 根据《广电总局办公厅贯彻落实国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》文件精神,我台在青岛市文广新局的统一部署下,对本台网络与信息安全情况进行了自查,现汇报如下: 一、信息安全自查工作组织开展情况 1、成立了信息安全检查行动小组。由台长任组长,分管领导为副组长,相关科室负责人为组员的行动小组,负责对全台的重要信息系统的全面指挥、排查并填记有关报表、建档留存等。 2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、分析,提高了对全台网络与信息安全状况的掌控。 二、信息安全工作情况 1、8月6日完成信息系统的自查工作部署,并研究制定自查实施方案,根据所承担的业务要求和网络边界安全性对硬盘播出系统、非线性编辑系统、xx有线电视传输系统进行全面的梳理并综合分析。 2、8月7日对硬盘播出系统、非线性编辑系统、xx有线电视传输系统进行了细致的自查工作。 (1)系统安全自查基本情况 硬盘播出系统为实时性系统,对主要业务影响较高。目前拥有dell服务器5台、惠普服务器2台、cisco交换机2台,操作系统均采用windows系统,数据库采用sqlserver,灾备情况为数据级灾备,
该系统不与互联网连接。 非线性编辑系统为非实时性系统,对主要业务影响较高。目前拥有dell服务器6台、华为交换机1台,网关采用 unix操作系统,数据库采用sqlserver,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用默认规则。 xx有线电视传输系统为实时性系统,对主要业务影响高,灾备情况为数据灾备,该系统不与互联网连接。 (2)、安全管理自查情况 人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。 资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。 存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。 (3)、网络与信息安全培训情况 制定了《xx市广播电视台信息安全培训计划》,XX年上半年组织信息安全教育培训2次,接受信息安全培训人数40人,站单位中人数的20%。组织信息安全管理和技术人员参加专业培训4次。 ---来源网络整理,仅供参考
1HIS系统(医院管理信息系统) 通常包括门诊挂号,收费,财务,药房药库管理等,为医院各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换等能力的平台。主要目标是支持医院的行政管理与事务处理业务,减轻事务处理人员劳动强度,辅助医院管理,辅助高层领导决策,提高医院工作效率。 总体结构包括:(1)临床诊疗部分:(2)药品管理部分(3)经济管理部分:门急诊挂号系统,门急诊划价收费系统,住院病人入、出、转管理系统,病人住院收费系统,物资管理系统,设备管理子系统,财务管理与经济核算管理系统;(4)综合管理与统计分析部分(5)外部接口部分。 2LIS系统(实验室(检验科)信息系统) 主要用来处理大信息量的检验工作,不仅是自动接收检验数据,打印检验报告,系统保存检验信息的工具,而且可根据实验室的需要实现智能辅助功能。 主要功能模块: (1)检验工作站:是LIS最大的应用模块,是检验技师的主要工作平台。负责日常数据处理工作,包括标本采集,标本数据接收,数据处理,报告审核,报告发布,报告查询等日常功能。 (2)医生工作站:主要用于病人信息浏览、历史数据比较、历史数据查询等功能。 (3)护士工作站:具有标本接收、生成回执、条码打印、标本分发、报告单查询、打印等功能。 (4)审核工作站:主要的功能是漏费管理的稽查,包括仪器日志查询分析、急诊体检特批等特殊号码的发放及使用情况查询与审核、正常收费信息的管理等功能。该功能可以有效控制人情检查和私收费现象。 (5)血库管理:具有血液的出入库管理,包括报废、返回血站等的处理。输
血管理,包括申请单管理、输血常规管理、配血管理、发血管理等功能。 (6)试剂管理子系统:具有试剂入库、试剂出库、试剂报损、采购定单、库存报警、出入库查询等功能。 (7)主任管理工作站:主要用于员工工作监察、财务趋势分析等。 3PACS系统(影像归档和通信系统) 它是应用在医院影像科室的系统,主要任务就是把日常产生的各种医学影像(包括核磁,CT,超声,各种X光机,各种红外仪、显微仪等设备产生的图像)通过各种接口(模拟,DICOM,网络)以数字化的方式海量保存起来,当需要的时候能够很快的调回使用,同时增加一些辅助诊断管理功能。 结构层次:从物理层次结构上,可以分为网络用户层、接入层、核心层、资源提供层。从应用层次结构上,可以分为MINI-PACS、科室级PACS、全院级PACS。 4RIS系统(放射科信息系统) 是医院重要的医学影像学信息系统之一,它与PACS系统共同构成医学影像学的信息化环境。放射科信息系统是基于医院影像科室工作流程的任务执行过程管理的计算机信息系统,主要实现医学影像学检验工作流程的计算机网络化控制、管理和医学图文信息的共享,并在此基础上实现远程医疗。RIS的核心是网络上的数据共享。 功能模块:(1)预约模块,(2)检查模块,(3)报告模块,(4)查询模块,(5)统计模块,(6)管理模块。 5HRP(医院资源规划) HRP是ERP思想和技术在医院的成功运用,是医院整体运行管理的统一高效、互联互通、信息共享的系统化医院资源管理平台,是医院实现“人财物”、“医教研”、“护药技”管理科学化、规范化、精细化的支撑环境。HRP建立面向合
医疗器械计算机信息管理系统基本情况介绍和功能说明 况: (一)、质量管理基础数据管理模块 1、供货单位数据管理模块 (1).首营企业资质录入、审核、审批 由业务员收集整理供应商资质,在KSOA系统中填写“首营企业审批表”,由业务部负责人、质管部负责人、质量负责人进行系统审批。系统电子层签流程完成后由质量管理员将资料存档并在系统中维护供应商业务委托人信息后方可进行医疗器械的采购业务。 (2).供应商更新与维护 当供货单位资质信息发生变更时,质量管理员根据业务人员递交的供货单位资质变更材料及时在KSOA系统中进行资料变更登记的动态信息的维护。 (3).质量控制功能:供应商任意一个资质过期或者超经营范围系统都能够自动拦截,自动锁定该供货企业不能采购,制作采购订单时能够准确提供拦截原因。 2.购货单位数据管理模块 (1).购货单位资质录入、审核、审批 由业务员收集整理购货单位资质,在KSOA系统中填写“客户资质登记表”,由医疗器械经营部负责人、质管部负责人、质量负责人进行系统审批。系统电子层签流程完成后由质量管理员将资料存档,并在系统中维护购货单位业务委托人信息后方可进行医疗器械的采购业务。 (2).购货单位更新与维护 当购货单位资质信息发生变更时,质量管理员根据业务人员递交的购货单位资质变更材料及时在KSOA系统中进行客户资料更新登记的动态信息的维护。 (3).质量控制功能 购货单位任意一个资质过期系统能够自动拦截相关过期信息,自动锁定该销售企业不能销售,制作销售订单时能够准确提示拦截原因。 3.首营品种资料数据管理模块 (1).首营品种录入、审核、审批 业务员负责收集首营品种资料,包括:产品注册证及附件、备案证明等在KSOA系统内进行填写“首营品种审批表”;由医疗器械经营部负责人、质管部负责人、质量负责人进行系统审批。系统电子层签流程完成后由质量管理员进行信息的下发,并将资料存档方可进行首营品种的采购业务。 (2).商品资料更新与维护 当器械资质信息发生变更时,质量管理员根据业务人员递交的资质变更材料及时在KSOA系统中进行商品资料更新登记的动态信息的维护。 (3).质量控制功能: ①、设定商品类别与经营范围匹配,能够实现与供应商及客户的经营范围相对应,能够自动拦截超经营范围业务。 ②、设定储存类别,根据设定入库时自动存放于不同的库区。 (二)、采购管理 1、采购业务模块 (1)、采购订单制订、审核:采购员在KSOA系统中制作采购订单后,经医疗器械经营部长审核采购订单,自动生成采购记录。 (2)、采购环节质量控制 ①、采购订单的实现受控于质量管理基础数据库,经营范围、产品类别、合法资质自动识别与控制。
医院信息安全自查报告 医院信息安全自查报告 医院信息安全自查报告【一】 为进一步加强我院信息系统的安全管理,强化信息安全和保密意识,提高信息安全保障水平,按照省卫计委《关于省卫生系统网络与信息安全督导检查工作的通知》文件要求,我院领导高度重视,成立专项管理组织机构,召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由主管院长负责安排、协调相关检查部门、监督检查项目,建立健全医院网络安全保密责任制和有关规章制度,严格落实有关网络信息安全保密方面的各项规定,并针对全院各科室的网络信息安全情况进行了专项检查,现将自查情况汇报如下: 一、医院网络建设基本情况 我院信息管理系统于年月由科技有限公司对医院信息管理系统进行升级。升级后的前台维护由本院技术人员负责,后台维护及以外事故处理由科技有限责任公司技术人员负责。 二、自查工作情况 1、机房安全检查。机房安全主要包括:消防安全、用电安全、硬件安全、软件维护安全、门窗安全和防雷安全等方面安全。医院信息系统服务器机房严格按照机房标准建设,工作人员坚持每天定点巡查。系统服务器、多口交换机、路由器都有UPS电源保护,可以保证
在断电3个小时情况下,设备可以运行正常,不至于因突然断电致设备损坏。 2、局域网络安全检查。主要包括网络结构、密码管理、IP管理、存储介质管理等;HIS系统的操作员,每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行谁使用、谁管理、谁负责的管理制度。院内局域网均施XXX行固定IP地址,由医院统一分配、管理,无法私自添加新IP,未经分配的IP 无法连接到院内局域网。我院局域网内所有计算机USB接口施行完全封闭,有效地避免了因外接介质而引起中毒或泄密的发生。 3、数据库安全管理。我院对数据安全性采取以下措施: 将数据库中需要保护的部分与其他部分相隔。 采用授权规则,如账户、口令和权限控制等访问控制方法。 数据库账户密码专人管理、专人维护。 数据库用户每6个月必须修改一次密码。 服务器采取虚拟化进行安全管理,当当前服务器出现问题时,及时切换到另一台服务器,确保客户端业务正常运行。 三、应急处置 我院HIS系统服务器运行安全、稳定,并配备了大型UPS电源,可以保证在大面积断电情况下,服务器可运行六小时左右。我院的HIS 系统刚刚升级上线不久,服务器未发生过长宕机时间,但医院仍然制定了应急处臵预案,并对收费操作员和护士进行了培训,如果医院出现大面积、长时间停电情况,HIS系统无法正常运行,将临时开始手工收费、记账、发药,以确保诊疗活动能够正常、有序地进行,待到HIS 系统恢复正常工作时,再补打发票、补记收费项目。