方案具有明确的格式和内容规范,要求其具有很强的实践性和可操作性,避免抽象和假大空的内容,那么具体如何制定方案呢?下面是小编为大家整理的《医院安全等保建设方案》,供大家参考借鉴,希望可以帮助到有需要的朋友。
第一篇:医院安全等保建设方案
医院等保工作汇报
北安市第一人民医院
信息安全等级保护工作汇报
一、医院简介
北安市第一人民医院拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。
医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张 。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。
医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。 全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。
医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、 妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。
北安市第一人名医院拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具有国际水准的最先进的层流净化手术室共六个6 手术间,同时可开展胸、脑、腹、四肢、五官、妇科等高尖端手术。急诊科是黑龙江北部地区最大的急诊综合科室,科室有独立床位近30张,抢救设备齐全,实力雄厚,是我院“门神”级科室。我院拥有全区设备最先进功能最完善的烧伤病房和血液病房,发热门诊、检验科均按照国家级标准建设,为患者提供了方便、安全的就医环境 。
北安市第一人民医院领导班子带领广大职工勇于拼搏,锐意进取实现了医院的快速、稳定、健康发展,以改革创新的精神脚,踏实地的工作作风使社会效益和经济效益稳步增长,年收入突破亿元大关。医院的各项事业蓬勃发展,硕果累累,成绩斐然。
“以病人为中心,创建人民群众最满意医院”是北安市第一人民医院始终坚持的办院宗旨。医院人正以执着的医志、高尚的医德、精湛的医术和严谨的学风书写着辉煌的历史,为打造“国内知名、省内一流”医院的目标而努力奋斗!
二、加强领导
根据黑龙江省卫生计生委、黑龙江省公安厅、黑龙江省工信委《关于进一步开展好卫生计生行业信息安全等级保护工作的通知》医院高度重视信息系统的信息安全保护工作,成立信息安全领导小组,具体工作由网络中心承担,负责医院信息系统等级保护工作,并开展相关科室的监督指导,根据安排,医院自成立信息安全领导小组以来,就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时组织培训等方式,不断加强技术人员的培养,对网络中心增加专业技术人员,强化信息安全保护能力。
三、完善制度
为落实加强和改进互联网建设与管理,根据原卫生部《关于印发卫生行业信息安全等级保护工作的指导意见》(卫办发【2011】85号)的文件要求,我们对医院信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了《信息系统安全组织结构及管理制度》《信息人员安全管理制度》《信息系统管理制度》《信息安全组织机构设置》《信息安全组织机构管理制度》《系统运维管理制度》等制度及《物理安全技术措施建设》、《网络安全技术措施建设》、《主机安全技术措施建设》、《应用安全技术措施建设》、《数据安全技术措施建设》等措施。
四、信息等级安全保护基本情况
目前,医院已有HIS、院内办公网、农村合作医疗、城镇职工医保、城镇居民医保、铁路医保、低保等多个内部信息系统,根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。
在物理安全方面,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。 机房做到防水、防火、防静电处理,温湿度控制在要求的温湿度之间。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;在医院互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用虎纹远程管理软件,对终端进行工作行为、上网行为等管理,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;安装彩蝶ARP检测系统及局域网抓包工具,自部署起已多次成功检测出SQL注入,伪装IP地址,全网攻击,FTP匿名登录,探测主机地址漏洞等。 在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
对于医院信息系统的不足,医院高度重视,在资金紧张等情况下,自筹300余万元,对系统进行改造,将在下半年投入200余万元将对医院信息系统软件升级改造。增加电子病历系统,检验科LIS系统,医学影像系统。硬件投入100余万元,增加服务器终端,网络设备等。
五、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,医院在该项工作上虽然取得一些进展,但是与上级主管部门要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
建议上级领导加强工作指导,通过多种方式的等级保护技术交流和培训,提高单位领导及员工的等级保护意识,进一步推进医院的信息系统等级保护工作。
第二篇:医院开展作风建设安全生产方案
医院开展作风建设安全生产方案
根据上级卫生部门的指示精神,强化卫生系统安全管理和监督工作,有效遏制重特大事故的发生,保护广大人民群众的生命财产,保障深化医疗卫生体制改革的顺利进行,创造安全、和谐、稳定的就医环境,结合我院的实际情况,特制定本方案。
一、指导思想
全院广大职工要以中国特色社会主义理论和“三个代表”重要思想为指导,坚持科学发展观,充分认识继续深入开展“安全生产年”活动的重要性和必要性,要站在构建社会主义和谐社会的高度,牢固树立“安全发展”的理念,按照“谁主管、谁负责”的原则,逐级落实
安全管理责任制,坚决克服麻痹思想和侥幸心理,确保我院安全工作万无一失。
二、领导组织
逊克县人民医院特成立“安全生产年”活动领导小组
医疗安全组:
生产安全组:
三、总体要求
、认真落实各项安全工作责任制,所属各科室按照年初签定的责任状,层层落实到每个人,明确安全工作责任,加强内部安全管理,不断提高安全管理水平。
深入开展安全治理回头看活动,医院要组织人员,对人员集中的科室和场所、公众聚集和易燃易爆的场所或科室开展经常性的检查,清理老化和超负荷的供电线路和年久失修的用电设备,防火防盗设施及压力容器、压力管道、放射源、输血科等重点科室的安全管理,切实加强医疗质量安全管理,进一步规范诊疗行为,维护医疗秩序,使之达到
安全标准。那一世范文网
落实安全生产责任制,各科室要切实加强组织领导。科主任、护士长要担负起领导责任,及时研究解决遇到的实际问题和不安全隐患并及时向“安全生产年”领导小组汇报检查整治结果,医院“安全生产年”领导小组每月至少对全院检查一次,每个小组每周至少对全院检查一次,对重点科室和重点地段检查力度还要加大,对在短时间内难以整改的,要制定有效措施,加强监管,落实责任。要加大对安全生产的投入,落实安全生产资金,配备必要的安全生产设施和设备,提高技防水平。
多渠道做好安全宣传工作,努力提高全医院职工的安全意识。医院每年至少组织一次全员消防安全教育和培训,要建立完善信息报告制度。要加强节假日期间的值班、值宿工作,值班人员要提高警惕,坚守岗位,保证信息传递渠道畅通,各“安全生产年”领导小组成员要24小时手机开机,保证随叫随到。要
建立安全生产事故零报告制度,发生安全生产事故的,在第一时间开展应急处置工作,“安全生产年”领导小组下设办公室在总务科,负责组织协调全院的“安全生产年”的工作。
第三篇:加强医院安全防范系统建设实施方案(范文模版)
西中医发[2014] 号
关于印发《 中医医院
安全防范系统建设实施方案》的通知
各科室:
现将《实施方案》,印发给你们,请认真组织实施。
二0一四年五月月十四日
抄报:县卫生局 抄送:医院各领导 附件1
中医医院加强医院安全
防范系统建设活动实施方案
为进一步强化安全意识,落实安全管理工作职责,提高医院安全防范能力,维护医院正常秩序,改善医疗服务质量,降低医疗服务风险与纠纷事故发生率,最大限度地减少安全生产事故发生,保护医患双反合法权益,给医院营造“安全、和谐、稳定”的诊疗环境,结合国家卫生计生委、公安部联合下发的《关于加强医院安全防范系统建设的指导意见》,特制定本《实施方案》,请各科室认真组织学习并贯彻实施。
一、总体要求
全面贯彻落实党的十八大和十八届三中全会精神,坚持以科学发展观为指导,高估树立“以人为本,以病人为中心”的服务理念,以创建“平安医院”活动为载体,按照“预防为主、安全第一”的原则,进一步加强医院安全防范系统建设,预防和减少发生在医院内部的案事件,及时消除医院安全隐患,有效维护正常诊疗秩序,创造良好的诊疗环境,促进中医药事业健康持续发展。
二、实施目标
(一)无医疗质量安全事件发生,实现医疗安全年。
(二)医疗安全不良事件发生率≤3‰,Ⅰ、Ⅱ级事件报告率100%。
(三)严格执行十五项核心制度,杜绝违反制度引起纠纷。
(四)患者满意率≥90%,杜绝因医德医风及服务态度引起的医疗纠纷。
(五)医疗设备完好率≥90%,杜绝因医疗设备故障而发生的不良事件。
(六)药品、耗材合格率100%,规范使用率100%,杜绝因药品、耗材质量及不规范使用引起的不良事件。
(七)门急诊病历规范书写率100%;丙级病案率0%;24小时出院病历回收率100%;无虚假诊断证明、死亡证明、出生医学证明、病假证明;杜绝因医疗文件书写问题引起纠纷。
(八)消毒灭菌合格率100%,无重大院感事件发生;医疗废物集中处理率100%,法定传染病报告率100%。
(九 )临床应用医疗技术、手术医师分级、分级分类处方权准入率100%,杜绝资质问题引起纠纷。
(十)医患沟通规范执行率100%,杜绝沟通不到位下进行有创操作、手术、输血、特殊检查、会诊、转院引起的医疗纠纷。
(十一)安全教育培训参加率100%,培训合格率100%。“三基”培训合格率100%。
(十二)医疗纠纷投诉首诉负责100%,纠纷规范、及时处理率100%。
三、主要内容 各科室(部门)结合自身工作特点,要以对患者和医院高度负责的态度,切实贯彻落实“安全第
一、预防为主、防治结合”的工作方针,落实各项安全措施,突出医疗、护理、消防、设备、设施、药品、感染等高危领域的监控治理,实施地毯式排查、铁腕式整治、围剿式消灭安全隐患。达到全员受教面与参与率100%、安全隐患排查面100%、隐患整治率100%。确保不发生医疗护理差(过)错、纠纷与安全责任事故以及严重违反行业作风的行为。
四、工作重点
按照国家卫计委下发文件《关于转发加强医院安全防范系统建设指导意见的通知》,认真做好安全隐患排查与整治工作。
(一)组织制度建设
我院根据安全防范系统建设健全组织领导机制,完善安全防范制度,并建立了应急处置机制,具体内容如下:
医务科:负责检查临床医技科室医务人员(含进修实习人员)独立执业情况,各项医疗技术操作规程,特别是重大医疗核心制度的执行情况,针对医疗质量缺陷,督促落实整改措施并完善记录,加强急诊急救、内外科、手术室等高风险科室医疗安全隐患排查与整改。
护理部:负责排查护理人员(含进修实习人员)独立执业情况,临床护理操作规范、“三查八对”执行与落实情况,加强临床科室、供应室护理人员服务、质量方面存在的问题、隐患、缺陷排查与整改,并完善各项记录。
感染科:负责对临床科室、供应室、手术室、胃镜室、产科、检验科、放射科、口腔科等重点科室的院内感染监控、医疗固体废物处置管理与放射源防护监测。
药械科:负责医疗设备的安全管理与隐患排查整改,确保设备正常运行,杜绝安全事故发生。加强药品进购、储存、出入库、使用、效期等环节的安全管理,特别是毒、麻、精、特殊化学药品,是否严格按照“五专”(专人管理、专柜加锁、专用账册、专用处方、专册登记)要求执行,针对性地开展药品不良反应监测,确保用药安全。
总务(保卫)科:负责院内秩序维护、突发事件处理、纠纷调处、物业安保服务等工作的管理协调,加强消防、设施安全检查,开展治安巡查,督促落实物业安保职责,排查各种隐患,有效维护医院正常秩序,防范消防、治安事故与群体性事件发生;负责各楼层门窗、外墙装饰、在建工程项目的安全隐患排查整改,检查配电房、发电机房、中央空调机房、中心供氧系统、电梯、锅炉、液氧罐等特种设施的安全管理与隐患排查整改,确保设备正常运行,杜绝安全事故发生;负责检查污水排放、废物处置操作规程落实执行情况,120车辆维护与安全管理,排查供水、供气存在的安全隐患,防范非医疗因素引发的意外事件发生。 人事科:负责督查劳动纪律、行业作风,受理调处纠纷投诉和核查严重违反行业作风的人和事,防范非技术性纠纷发生。
财务科:开展《医院财务管理制度》、《人员岗位职责》、财经纪律落实与执行情况检查,加强对票据、帐薄、现金的安全管理。
院办公室(信息中心):协助活动领导小组做好宣传发动、资料收集、总结验收与考核以及各科室(部门)协调工作。负责全院信息系统运行安全排查与整改,包括数据库维护、网络升级、用户权限控制、系统和数据安全、数据备份与灾难恢复、故障排除等,有保障信息真实性、准确性、安全性、保密性检查记录,对存在的问题,建立健全分析与整改措施。
(二)人防系统建设
1、加强保卫队伍建设。我院按照《企事业单位内部治安保卫条例》的规定设立专职保卫机构(保卫处),根据医院工作量、地域面积、建筑面积及所在地社会治安形势等实际情况,配备专职保卫人员和配备足够的保安员,确保安全防范力量满足工作需要。保安员数量遵循“就高不就低”原则,按照不低于在岗医务人员总数的3%或20张病床1名保安或日均门诊量的3%配备。专职保卫机构的设置和保卫人员、保安员的配备情况在当地派出所备案。
2、保卫、保安人员培训。我院正加强保卫人员和保安员的培训、管理,每年至少组织开展2次专门培训和考核培训内容包括必要的法律基础知识和一定的应急处理能力,根据岗位实际需要,掌握安全防范系统操作和维护技能,切实提高我院保卫人员、保安员的业务素质和工作水平。
3、守护巡察管理。我院建立了门卫制度,严格出入口的管理,加强对进出人员、车辆的检查,及时发现可疑情况,医院内发生案事件后,要立即报警,在保证自身安全的前提下对实施违法犯罪的人员进行堵截,防止其逃跑。我院供水、供电、供气、供热、供氧、“毒、麻、精、放”药(物)品、易燃易爆物品存放库房等重点要害部位、夜间值班科室都实施24小时值班守护制度,安排专人值守。
4、安全宣传教育。我院开展全方位、多形式的宣传教育工作,在医院出入口、门(急)诊、住院部、候诊区和缴费区等人员活动密集场所,张贴有关维护医院秩序的法律法规和文件,悬挂加强医院安全防范工作宣传标语。针对医务人员不同岗位,开展有针对性的安全防范教育,提高医务人员安全防范意识和技能。
五、工作要求
1、加强领导,落实责任。各科室主任、护士长、小组长为本科室安全隐患排查整治工作的第一责任人,在分管院长和各领导小组成员的具体指导下,切实实施好此次专项活动的各项工作。
2、扎实推进,注重实效。各科室应高度重视,严格按照《中医医院管理评价指南》、《自治区二级中医医院评分手册》、卫生法律法规、规章制度和操作规程以及此次活动工作重点要求进行排查和整治。
3、协调配合,畅通信息。各科室应加强工作联系,按照本方案要求,及时收集和反馈信息,分阶段报送此次活动开展情况材料。
4、严明纪律,奖惩兑现。各分管领导及小组成员,各科室主任、护士长、小组长必须按照职责分工抓好专项活动工作,严禁推诿塞责、应付从事、不负责任。我院安全生产活动领导小组办公室,将不定期组织相关人员到科室进行跟踪督查,并将此活动开展情况纳入科室“创建工作管理责任奖”(小组长以上人员)考核范畴。
六、安全措施
1.完善医疗安全责任制,使各科室(部门)和各级医务人员做到层层对医疗安全负责。
2.责任制应达到有责任目标、有实现目标的保障措施、有检查考核办法、有奖惩激励制度等要求。 3.与各科室签订医疗安全目标责任书。
七、组织领导 为切实搞好该项活动,确保活动取得实效,医院成立安全防范系统建设活动领导小组。
组 长:李军义 院长
副组长:许敏霞 支部书记、副院长
陈 坚 副院长
马立贵 副院长
成 员:曹丽萍 办公室主任
孟旭升 医务科主任
刘志敏 医务科副主任
宋继武 药械科主任
韩金兰 护理部主任
王晓荣 财务科主任
孟 宁 总务科主任
王红英 内儿科主任
苏保国 急诊科主任
马汉君 针康科主任
齐金军 外骨科主任
段彩梅 妇产科主任
马秀兰 功能科主任
张有智 检验科主任
杨森虎 麻醉科主任
领导小组下设办公室(院办公室内),由曹丽萍担任主任,负责草拟活动方案、宣传发动、工作协调、材料收集、验收考核和日常事务性工作。 领导小组职责:
组长:对此次活动负总责,组织召开专题会议、全面安排布署活动具体工作。
副组长按照各自工作分工,牵头履行职责并组织有关职能部门人员对分管联系科室实施考核督查工作。副院长、党支部书记许敏霞负责护理、预防保健、院感、医技科室的安全管理;副院长陈坚负责内儿科、外骨科片区的安全管理;副院长马立贵负责门诊部及急诊部门的安全管理;药械科主任负责药剂部门的安全;总务科主任负责保卫、后勤的安全管理;信息科王主任负责信息科室的安全管理。
各领导小组成员,按照“一岗双责”要求具体抓好落实。
第四篇:等保二级管理要求
1.
1管理要求
1.1.1
安全管理制度
1.1.1.1
管理制度(G2)
本项要求包括:
a)
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
b)
应对安全管理活动中重要的管理内容建立安全管理制度;
c)
应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
1.1.1.
2制定和发布(G2)
本项要求包括:
a)
应指定或授权专门的部门或人员负责安全管理制度的制定;
b)
应组织相关人员对制定的安全管理制度进行论证和审定;
c)
应将安全管理制度以某种方式发布到相关人员手中。
1.1.1.
3评审和修订(G2)
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
1.1.2
安全管理机构
1.1.2.
1岗位设置(G2)
本项要求包括:
a)
应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
1.1.2.
2人员配备(G2)
本项要求包括:
a)
应配备一定数量的系统管理员、网络管理员、安全管理员等;
b)
安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
1.1.2.
3授权和审批(G2)
本项要求包括:
a)
应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;
b)
应针对关键活动建立审批流程,并由批准人签字确认。
1.1.2.
4沟通和合作(G2)
本项要求包括:
a)
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;
b)
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
1.1.2.
5审核和检查(G2)
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
1.1.
3人员安全管理
1.1.3.
1人员录用(G2)
本项要求包括:
a)
应指定或授权专门的部门或人员负责人员录用;
b)
应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;
c)
应与从事关键岗位的人员签署保密协议。
1.1.3.
2人员离岗(G2)
本项要求包括:
a)
应规范人员离岗过程,及时终止离岗员工的所有访问权限;
b)
应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
c)
应办理严格的调离手续。
1.1.3.
3人员考核(G2)
应定期对各个岗位的人员进行安全技能及安全认知的考核。
1.1.3.
4安全意识教育和培训(G2)
本项要求包括:
a)
应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)
应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)
应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
1.1.3.
5外部人员访问管理(G2)
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
1.1.
4系统建设管理
1.1.4.
1系统定级(G2)
本项要求包括:
a)
应明确信息系统的边界和安全保护等级;
b)
应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;
c)
应确保信息系统的定级结果经过相关部门的批准。
1.1.4.
2安全方案设计(G2)
本项要求包括:
a)
应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b)
应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;
c)
应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d)
应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
1.1.4.
3产品采购和使用(G2)
本项要求包括:
a)
应确保安全产品采购和使用符合国家的有关规定;
b)
应确保密码产品采购和使用符合国家密码主管部门的要求;
c)
应指定或授权专门的部门负责产品的采购。
1.1.4.
4自行软件开发(G2)
本项要求包括:
a)
应确保开发环境与实际运行环境物理分开;
b)
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c)
应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
1.1.4.
5外包软件开发(G2)
本项要求包括:
a)
应根据开发要求检测软件质量;
b)
应确保提供软件设计的相关文档和使用指南;
c)
应在软件安装之前检测软件包中可能存在的恶意代码;
d)
应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
1.1.4.6
工程实施(G2) 本项要求包括:
a)
应指定或授权专门的部门或人员负责工程实施过程的管理;
b)
应制定详细的工程实施方案,控制工程实施过程。
1.1.4.7
测试验收(G2)
本项要求包括:
a)
应对系统进行安全性测试验收;
b)
在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
c)
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
1.1.4.8
系统交付(G2)
本项要求包括:
a)
应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b)
应对负责系统运行维护的技术人员进行相应的技能培训;
c)
应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
1.1.4.9
安全服务商选择(G2)
本项要求包括:
a)
应确保安全服务商的选择符合国家的有关规定;
b)
应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)
应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。
1.1.
5系统运维管理
1.1.5.
1环境管理(G2)
本项要求包括:
a)
应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b)
应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c)
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d)
应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。
1.1.5.
2资产管理(G2)
本项要求包括:
a)
应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
b)
应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
1.1.5.
3介质管理(G2)
本项要求包括:
a)
应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
b)
应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点;
c)
应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏;
d)
应根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.1.5.
4设备管理(G2)
本项要求包括:
a)
应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b)
应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c)
应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; d)
应确保信息处理设备必须经过审批才能带离机房或办公地点。
1.1.5.
5网络安全管理(G2)
本项要求包括:
a)
应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b)
应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c)
应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d)
应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
e)
应对网络设备的配置文件进行定期备份;
f)
应保证所有与外部系统的连接均得到授权和批准。
1.1.5.6
系统安全管理(G2)
本项要求包括:
a)
应根据业务需求和系统安全分析确定系统的访问控制策略;
b)
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c)
应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d)
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;
e)
应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;
f)
应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
1.1.5.7
恶意代码防范管理(G2)
本项要求包括: a)
应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;
b)
应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c)
应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。
1.1.5.8
密码管理(G2)
应使用符合国家密码管理规定的密码技术和产品。
1.1.5.9
变更管理(G2)
本项要求包括:
a)
应确认系统中要发生的重要变更,并制定相应的变更方案;
b)
系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
1.1.5.10
备份与恢复管理(G2)
本项要求包括:
a)
应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)
应规定备份信息的备份方式、备份频度、存储介质、保存期等;
c)
应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。
1.1.5.1
1安全事件处置(G2)
本项要求包括:
a)
应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b)
应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c)
应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; d)
应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
1.1.5.12 应急预案管理(G2)
本项要求包括:
a)
应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b)
应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。
第五篇:等保服务内容及报价;
一、信息安全等级保护服务流程及内容;信息安全等级保护服务分为定级备案咨询、安全建设规;1.定级备案咨询阶段:通过定级对象分析、定级要素;2.安全建设规划阶段:协助建设单位按照同步规划、;3.安全等级现状测评阶段:详实调研业务系统,了解;4.信息系统安全整改咨询阶段:依据脆弱性评估结果;5.信息安全等级测评阶段:实施等级测评,以满足国;等保
等保服务内容及报价
一、信息安全等级保护服务流程及内容
信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:
1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。 4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1 定级备案咨询 1.1 工作内容 (1)系统梳理
网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、边界防火墙、IDS等。
服务信息调查:通过对服务信息的调查,确定系统服务对象。 系统边界调查:通过对系统边界的调查,确定各子系统边界情况。 (2)定级对象分析
业务类型分析:通过对业务类型的分析,确定各系统的重要性。 管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。 (3)定级要素分析
业务信息分析:通过以上调查与分析,明确业务信息(系统数据)被破坏后受侵害的客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全)和侵害程度。
系统服务分析:通过以上调查与分析,明确系统被破坏或者中断服务后受侵害的客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全)和侵害程度。
综合分析:通过对业务信息分析与系统服务分析,分别确定其安全等级 确定等级:取业务信息安全等级与系统服务安全等级中最高的为整个系统安全等级。
(4)撰写定级报告
撰写定级报告:通过以上调查与分析,撰写系统定级报告,包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等。
(5)协助定级备案
协助填写备案表:协助业主完成系统安全等级保护备案表的填写。 协助评审审批:协助业主组织召开系统定级结果评审会,协助业主完成整个定级审批过程。
1.2 交付成果 信息系统安全等级保护定级报告 信息系统定级备案表 2 安全建设规划 2.1 工作内容
根据等级化安全保障体系的设计思路,等级保护的安全建设规划包括以下内容:
1. 安全域设计:根据系统定级情况,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
2. 确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
3. 安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;物理安全、网络安全、服务器安全等安全技术设计,安全管理制度规划与设计。
通过如上内容的规划,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
2.2 交付成果
信息系统安全等级保护建设规划方案 3 安全等级现状测评
为确保信息系统的安全保护措施符合相应安全等级的基本安全要求,需要实施安全等级现状测评,以提出合理、有效的安全整改建议,为信息系统制定信息安全规划和决策提供依据。
测评机构将指导系统运维方开展安全评估工作,简要了解系统现有安全保障措施与国家信息安全等级保护等级标准要求之间的差距,制定信息安全规划方案;同时检查系统在技术层面存在的脆弱性漏洞,为后续安全加固工作奠定基础。
3.1 等级保护差距分析
按照等级保护实施要求,信息系统应该具备相应等级的安全防护能力,部署相应的安全设备,制定相应的安全管理机构、制度、岗位等。
差距分析就是依据等级保护技术标准和管理规范,比较分析信息系统安全防护能力与等级要求之间的差距。为等级化体系设计提供依据。
3.1.1 工作内容
差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。具体内容为:
1、技术差距检测:
(1)物理安全:针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。主要包含:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。
(2)网络安全:对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。主要包含:结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。
(3)主机安全:评估信息系统的主机系统安全保障情况。主要包含:身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。
(4)应用安全:对信息系统进行应用安全符合性调查。主要包含:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。
(5)数据安全:评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。
2、管理差距检测:
(1)安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
(2)安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
(3)人员安全管理:评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。 (4)系统建设管理:评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
(5)系统运维管理:评估系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
3、等级保护差距分析:
基于技术、管理层面的标准合规性检测结果,根据国家等级保护标准,结合行业规范,针对标准的每项具体要求,从微观角度展开,深入分析信息系统与相应等级要求之间的差距,并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价,确认信息系统的整体安全防护能力有无缺失,是否能够对抗相应等级的安全威胁,为安全规划设计提供依据。
3.1.2 交付成果
信息系统等级保护差距分析报告 3.2 脆弱性检测
脆弱性(弱点)是指可能为许多目的所利用的系统某些方面,包括系统弱点、安全漏洞和实现的缺陷等。为识别和分析信息系统所存在的脆弱性,确认需要实施安全加固与调优的事项,将首先进行脆弱性检测工作,从网络层、主机层和应用层三个方面进行检测,本次脆弱性检测的主要内容是漏洞扫描和系统配置检查。
3.2.1 工作内容 系统脆弱性检测涉及三个层面工作内容,包含整体的网络架构分析,服务器、网络与安全设备的配置检查,以及漏洞扫描检测工作。具体内容如下:
1、网络架构分析:
进行网络架构分析的目的是查找需要对网络结构实施优化的事项,具体内容 如下:;(1)网络现状识别:涉及应用系统和用户分布,安全;(2)网络安全分析:从网络的整体架构进行考虑,紧;
2、设备配置检查:;检查系统相关服务器、交换机与安全设备的配置策略,;(1)服务器手工检查:检查服务器操作系统、数据库;(2)网络设备手工检查:检测交换机或路由器的Vl;(3)安全设备手工检查:获取防火墙的访问控制策略;
3、漏洞扫描检测:;借助专业化漏
如下:
(1)网络现状识别:涉及应用系统和用户分布,安全域划分,区域边界之间所采取的访问控制措施,网络带宽需求及现状,对数据流向的安全控制,设备链路冗余设计,对网络带宽的管控措施,远程访问通信链路的加密,各区域内所采取的入侵检测,安全审计措施,网络出口所采取的入侵防范、病毒过滤、垃圾邮件过滤措施、终端用户接入认证等内容。
(2)网络安全分析:从网络的整体架构进行考虑,紧密结合业务应用现状,识别重要信息系统部署和用户所在网络区域的分布情况,分析网络设计布局的合理性,是否存在单点隐患,确认链路带宽是否满足业务要求,检查产品设备老化问题,确认设备性能是否满足要求,分析网络区域边界是否定义清晰,安全域划分是否合理,服务器、终端接入是否安全,各类安全设备的部署是否到位等。
2、设备配置检查:
检查系统相关服务器、交换机与安全设备的配置策略,具体内容如下: (1)服务器手工检查:检查服务器操作系统、数据库和中间件的开放服务及端口、账户设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况;
(2)网络设备手工检查:检测交换机或路由器的Vlan划分、路由表配置、访问控制列表ACL、IP和MAC地址绑定情况、设备登录认证方式、口令设置等配置项;
(3)安全设备手工检查:获取防火墙的访问控制策略、以透明还是路由方式部署、NAT地址转换、网络连接数限制等信息,检查入侵检测、安全审计设备的审计策略配置、特征库版本情况等。
3、漏洞扫描检测:
借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描,发现配置上存在的弱点,作为对手工检查工作所获取数据的补充,同时也是制定安全加固方案的重要依据。
3.2.2 交付成果
信息系统脆弱性评估报告 3.3 渗透测试
通过模拟黑客对信息系统进行渗透测试,发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。 3.3.1 工作内容
针对信息系统的渗透测试将采取两种类型:
第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其他类型的渗透测试更能说明漏洞的严重性;
第二类型:内网渗透测试,通过接入内部网络发起内部攻击,主要针对信息系统的后台管理系统进行测试。
3.3.2 交付成果 信息系统渗透测试报告 3.4 源代码测评
源代码安全测试对所提供的源代码采用工具进行安全扫描,分析和软件安全风险管理,并给出安全问题审计结果,安全问题描述和推荐修复建议。
3.4.1 工作内容
依据CVE(Common Vulnerabilities & Exposures)安全漏洞库、设备及软件厂商公布的漏洞,根据测试用例对信息系统的源代码进行安全扫描,对安全漏洞进行识别,给出整改建议
3.4.2 交付成果
信息系统源代码测试报告 4 信息系统安全整改咨询 信息系统安全整改包含3方面工作内容:首先测评机构将指导系统运维方针对脆弱性检测和渗透测试所发现的技术层面的安全隐患进行整改,其次以等级保护对应等级的管理要求为依据建立健全信息安全管理制度,最后依照信息系统安
全规划方案指导信息系统优化和完善信息系统安全防护措施,并对系统安全整改情况进行跟踪和效果评价,为后续开展的等级测评工作奠定良好基础。
4.1 安全加固与优化
根据前期脆弱性评估、渗透测试结果,结合信息系统的业务需求,对信息系统相关设备进行安全策略加强、调优等,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平。
4.1.1 工作内容
根据前期对信息系统进行的调研、评估与测评结果,以脆弱性评估报告和渗透测试报告为依据,根据网络安全特殊需求和业务流程制定安全加固方案,在不影响当前业务开展的前提下,对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强,及时消除因安全漏洞被恶意攻击者利用从而引发的风险。
根据信息系统网络现状,本次项目安全加固对象分为四类,即信息系统内的操作系统、数据库、中间件以及网络与安全设备。
4.1.2 交付成果
信息系统安全加固与优化方案 4.2 等级保护制度建设 以等级保护差距分析结果为依据,依照安全保障体系设计所提及的建设内容,按照等级保护标准要求,制定等级保护管理体系框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单;测评机构从结合信息系统实际业务流程的原则出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足各系统相应保护等级的安全管理要求。
4.2.1 工作内容
制定和完善与信息系统的安全保护等级相适应的配套管理制度,制度相关内容如下:
(1)安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
(2)安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保管理制度的适用性。
(3)人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
(4)系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
(5)系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
4.2.2 交付成果 信息系统安全管理制度 5 信息安全等级测评
信息系统安全等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。信息系统安全等级测评主要检测和评估信息系统在安全技术、
安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保整改措施符合相应安全等级的基本要求。
5.1 测评内容
针对信息系统的安全等级测评的内容如下: (1)按照《信息系统安全等级保护测评要求》,从以下方面进行等级测评: 技术安全测评:包括物理安全、网络安全、主机安全、数据安全、应用安全;
管理安全测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;
综合测评:包括安全控制间安全测评、层面间安全测评、区域间安全测评、系统结构安全测评。
(2)对每个保护类的子项给出测评结果并分别提出改进建议; (3)按照整改结果进行复测,出具等级测评报告。 5.2 交付成果
信息系统等级测评报告
二、信息安全等级保护服务报价;等级保护按照运行的业务进行定级,不同业务可以定不;按照10个业务系统计算,进行定级备案、建设规划、;10个三级系统:;预估总价=34.78+9×3.55=66.73万;预估总价=20.77+9×2.1=39.67万元;预估总价=34.78+4×3.55+5×2.1=;附件:;三级系统报价;二级系统报价;
二、信息安全等级保护服务报价
等级保护按照运行的业务进行定级,不同业务可以定不同保护等级,根据基础网络、管理制度复用原则进行多个业务系统报价(三级、二级系统报价明细见附件)。 按照10个业务系统计算,进行定级备案、建设规划、安全测评、整改咨询、等级测评报告等5项服务,预估报价如下:
10个三级系统:
预估总价=34.78+9×3.55=66.73万元 10个二级系统:
预估总价=20.77+9×2.1=39.67万元 5个三级系统5个二级系统: 预估总价=34.78+4×3.55+5×2.1=59.48万元
【医院安全等保建设方案】相关文章:
医院安全等保方案07-26
等保整改与安全建设方案04-09
安全等保三级建设方案10-04
二级等保整改建设方案11-11
医院等保整改情况汇报05-08
电视台等保方案范文06-08
清廉医院建设方案04-21
清廉医院建设方案07-11
医院行风建设方案07-26