工作总结是我们在工作过程中,获得的工作经验,通过工作总结的方式,我们可以更加了解自己的工作水平,了解自身的不足之处,从而明确自身的成长方向,一步步向着更好的目标前进。以下是小编整理的《等保工作总结范文》,希望对大家有所帮助。
第一篇:等保工作总结范文
医院等保工作汇报
北安市第一人民医院
信息安全等级保护工作汇报
一、医院简介
北安市第一人民医院拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。
医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张 。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。
医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。 全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。
医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、 妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。
北安市第一人名医院拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具有国际水准的最先进的层流净化手术室共六个6 手术间,同时可开展胸、脑、腹、四肢、五官、妇科等高尖端手术。急诊科是黑龙江北部地区最大的急诊综合科室,科室有独立床位近30张,抢救设备齐全,实力雄厚,是我院“门神”级科室。我院拥有全区设备最先进功能最完善的烧伤病房和血液病房,发热门诊、检验科均按照国家级标准建设,为患者提供了方便、安全的就医环境 。
北安市第一人民医院领导班子带领广大职工勇于拼搏,锐意进取实现了医院的快速、稳定、健康发展,以改革创新的精神脚,踏实地的工作作风使社会效益和经济效益稳步增长,年收入突破亿元大关。医院的各项事业蓬勃发展,硕果累累,成绩斐然。
“以病人为中心,创建人民群众最满意医院”是北安市第一人民医院始终坚持的办院宗旨。医院人正以执着的医志、高尚的医德、精湛的医术和严谨的学风书写着辉煌的历史,为打造“国内知名、省内一流”医院的目标而努力奋斗!
二、加强领导
根据黑龙江省卫生计生委、黑龙江省公安厅、黑龙江省工信委《关于进一步开展好卫生计生行业信息安全等级保护工作的通知》医院高度重视信息系统的信息安全保护工作,成立信息安全领导小组,具体工作由网络中心承担,负责医院信息系统等级保护工作,并开展相关科室的监督指导,根据安排,医院自成立信息安全领导小组以来,就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时组织培训等方式,不断加强技术人员的培养,对网络中心增加专业技术人员,强化信息安全保护能力。
三、完善制度
为落实加强和改进互联网建设与管理,根据原卫生部《关于印发卫生行业信息安全等级保护工作的指导意见》(卫办发【2011】85号)的文件要求,我们对医院信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了《信息系统安全组织结构及管理制度》《信息人员安全管理制度》《信息系统管理制度》《信息安全组织机构设置》《信息安全组织机构管理制度》《系统运维管理制度》等制度及《物理安全技术措施建设》、《网络安全技术措施建设》、《主机安全技术措施建设》、《应用安全技术措施建设》、《数据安全技术措施建设》等措施。
四、信息等级安全保护基本情况
目前,医院已有HIS、院内办公网、农村合作医疗、城镇职工医保、城镇居民医保、铁路医保、低保等多个内部信息系统,根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。
在物理安全方面,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。 机房做到防水、防火、防静电处理,温湿度控制在要求的温湿度之间。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;在医院互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用虎纹远程管理软件,对终端进行工作行为、上网行为等管理,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;安装彩蝶ARP检测系统及局域网抓包工具,自部署起已多次成功检测出SQL注入,伪装IP地址,全网攻击,FTP匿名登录,探测主机地址漏洞等。 在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
对于医院信息系统的不足,医院高度重视,在资金紧张等情况下,自筹300余万元,对系统进行改造,将在下半年投入200余万元将对医院信息系统软件升级改造。增加电子病历系统,检验科LIS系统,医学影像系统。硬件投入100余万元,增加服务器终端,网络设备等。
五、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,医院在该项工作上虽然取得一些进展,但是与上级主管部门要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
建议上级领导加强工作指导,通过多种方式的等级保护技术交流和培训,提高单位领导及员工的等级保护意识,进一步推进医院的信息系统等级保护工作。
第二篇:等保感谢信
一、感谢信
(一)感谢信的含义
感谢信是机关、团体、单位在获得有关方面和人员的关心、支持、帮助、慰问、馈赠后,向对方表示感谢的事务书信。
感谢信在公务活动及日常生活中使用较广泛。 (二)感谢信的结构和写法
感谢信据内容的不同可分为两类,一类是普发性感谢信,即对与本单位有过交往的众多单位表示谢意;另一类是专用感谢信,专为某事向某单位或个人表示感谢。两类感谢信拟稿的要求不同,前者内容要求概括些,使之适合所有的感谢对象;后者内容应写得具体些,使之适合个别感谢对象。一般所说的感谢信多为专用感谢信,其一般格式和写法如下: 1.标题。可直接以文种“感谢信”为标题,也可以由受文单位和文种组成标题,如“致广东省科技干部学院的感谢信”;还可由发文单位、受文单位及文种组成,如“中共中央致各民主党派中央、全国工商联的感谢信”。 2.称呼。在标题下隔行顶格写所感谢的单位名称或个人姓名。个人姓名后可写“同志”、“先生”、“小姐”等相应的尊称。 3.正文写感谢的内容。一般写以下两个方面: (1)简述事迹,说明效果。应交待清楚人物、事件、时间、地点、原因和结果,并扼要叙述在对方帮助下所产生的客观影响和社会效果。 (2)颂扬品德,表示决心。既表感激之情,也谈今后如何用实际行动向对方学习。
正文是全文的主体,要善于组织材料,突出重点,写好主要事迹;要记叙详实,颂扬适度。其次表示向对方学习的态度和决心。如果感谢信是写给所感谢者的单位或新闻单位的,还可以写上建议对方单位给予表扬的建议。 4.敬语。按信函格式写上“此致”、“敬礼”一类敬语。 5.落款。在正文右下方写上写感谢信的单位名称或个人姓名,时间。 (三)感谢信写作应注意的问题
感谢的事项必须真实。字里行间所流露出的感激之情应是由衷的、真挚的。反对虚伪、应付、客套。
二、慰问信
(一)慰问信的含义
慰问信是机关、团体、单位向有关方面或个人表示安慰、问候、鼓励和致意的一种事务书信。它能体现组织的关怀、温暖,社会的爱心与支持,朋友、亲人间的深厚情谊,能给人以奋进的勇气、信心和力量。
慰问信以电讯的方式传送时,叫慰问电。 (二)慰问信的类型、结构和写法
慰问信从内容上看,一般可分为三种类型:一是对先进的慰问;二是对受难者的慰问;三是节日慰问;三类慰问信,其格式与感谢信基本相同,标题一般写“致??的慰问信”,也可只写“慰问信”三字。而称呼、敬语、落款的写法与感谢信一样。不同类型的慰问信正文略有一些区别: 1.慰问先进。正文内容主要是简述先进事迹及其意义,表示赞扬,并鼓励他们再接再厉,乘胜前进,争取更大的成绩。开头可用“欣闻??非常高兴,特表示祝贺并致以亲切的慰问”等语;中心段可写成绩是怎样取得的及有怎样的意义,并表示赞扬;最后勉励他们再接再厉,继续前进。 2.慰问受难者。正文内容主要对受难者表示同情和安慰,鼓励他们克服困难,勇往直前,夺取胜利。开头可用“惊悉??深表同情,并致以深切的慰问”等语;中心段着重写克服困难,战胜灾难的有利因素,如社会主义制度的优越性、安定团结的大环境、人民的大力支持等,鼓励他们努力奋斗,战胜眼前的困难;最后写自己(发信单位或个人)将为他们做贡献的决及行动(如捐款捐物等),并表示良好祝愿。 3.节日慰问。节日慰问信多是上级单位写给有关人员的,所以正文内容主要是强调节日意义,赞扬有关人员所取得的成绩或做出的贡献,并提出今后希望。开头概述节日意义及提出问候语;中心段赞扬有关人员所取得的成绩或所做的贡献,同时,联系当前的形势阐述责任和今后的任务;最后提出希望。 (三)写作慰问信应注意的问题
写慰问信感情要真挚,语气要诚恳,语言要富有感染力,使被慰问者从中得到慰藉与鼓励。
(四)慰问信与感谢信的异同
感谢信与慰问信都是书信体文书,即发送方式一样,为了庄重与快速,都可用电报。书写格式也一样。虽然慰问信和感谢信都有表扬的成分,但两者的区别
非常明显:一是内容侧重点不同,感谢信重在表示谢意,多讲对方对自己的帮助和支持,而慰问信则重在表示慰问,多讲对对方的勉励和激励;二是写作对象略有不同,感谢信可以是感谢单位的,也可以是感谢个人的,而慰问信则多是对某些单位、集体或群众表示慰问。
因此,感谢信和慰问信并不是随便使用的。只有在想感谢对方对自己的支持和帮助,或在对方取得了某方面的成绩或遭受了某些灾难想鼓励和安慰他们时,并且仅用口头方式又不足以表达心意,为郑重起见或为了加强宣传效果时,才使用这种文体。
感谢信和慰问信可以直接发给对方,也可以发给对方的上级单位,还可以利用新闻媒介进行传播。
三、贺信
(一)贺信的含义
贺信是机关、团体、单位向取得重大胜利,有突出成绩或喜庆之事的有关单位及人员表示祝贺或庆贺的一种礼仪文书。
现在,贺信已成为表彰、赞扬、庆贺对方在某个方面所做贡献的形式,有的还用来表示慰问和赞扬。在当前的经济建设中,如某个单位或某个人做出了巨大贡献,某单位召开了重要会议,某工程竣工,某科研项目成功,某项重大任务保质保量地提前完成,某重要人物的寿辰等,都可以使用贺信的形式表示祝贺。重要的贺信往往对广大群众有很大的激励和教育作用。
(二)贺信的结构和写法
贺信的基本结构包括以下几项: 1.标题。在第一行正中写上“贺信”二字。也可以在“贺信”前写上谁给谁的贺信以及被祝贺的事由。
2.称谓。顶格写接受贺信的单位或个人及称谓,后面加冒号。 3.正文。另起一行,空两格写贺信的内容。一般包括:对方取得的成绩和重大意义;表示热烈的祝贺和殷切的希望。如系会议要指出它的重要性;如系同级单位,除表示祝贺外,还应提出向对方学习的内容;如系下级单位给领导机关的贺信,除表示祝贺外,还应表示自己的决心和态度;如系给个人的贺信,应着重写明有供群众学习的品德和意义。 4.结尾。以祝愿词结尾,如“谨祝取得新的、更大的胜利”。如正文中“希望”内容写得详细具体,也可不用祝愿词结尾。在信的右下侧写明发信单位或个人名称及年、月、日。 (三)贺信写作的注意事项
1.感情真挚、浓烈,给人以鼓舞。 2.评价要适当而有新意,避免陈词滥调。行文规范,称谓合体。 3.文字简练,语言朴素。不堆砌华丽辞藻,不言过其实,不空喊口号。篇二:年终给保安的感谢信
感谢信
致:xx保安服务有限公司
由:xx公司
主题:对贵司保安在我司的年度表现表示感谢
一、 业绩说明 1. xx年x月x日,贵司保安队长接通报后立即与队员赶赴现场,及时将火势扑灭,有效保障我司生命财产安全 2. xx年9月,x队长到职后进行重新的整顿,保安室内桌面、窗台、卫生间天天整齐划一,窗明几净,队员恪尽职守,精神状态也更焕然一新,赢得我司上下好评如潮,每个月的检查中,保安室的评分均名列前茅,为整个所属的ehs部门倍感荣光 3. xx年12月1日23点,保安巡逻时发现消防泵冒烟,及时通知工程部值班人员,队员配合抽水持续3个小时,兢兢业业的工作态度及极强的行动力令我司上下都很感动 4. xx年1月,保安队长主动提出改善快递分发现状,购置快递架子及白板,在白板上写清楚包裹领取人的姓名,给我司员工带来极大便利,原本令我司员工心烦的快递领取难的问题迎刃而解,员工纷纷向我部门表达赞许之情。 5. xx年1月26日24点左右,保安巡逻发现危险化学品仓库前的水管冻裂,立即通知电工,及时将水情控制,避免了较大的水灾事故。
二、 感谢信
有一句话说得好,“在本位,尽本分”,这应该是每个人对自己工作最基本的要求。保安安保工作也不例外,我司盗窃行为频现,在监控等安防体系不太完善的条件下,贵司保安凭借自身的高度警觉及恪尽职守加强人防,数次及时的制止了我厂盗窃事件的发生,切实挽回了我厂的经济损失,维护了我厂的财产安全,这种忠于职守的精神,显得尤为可贵和值得学习,值得表扬和肯定,这种行为不仅体现保安人员的一种精神,更展现出xx集团、xx人的职业精神!
保安行业是一个普通而又特殊的行业,安全是保安工作的重中之重。巡查时,如果缺乏责任心、敷衍了事,就无法及时发现问题,更不会以实际行动去解决问题,因此责任心是安保工作的重要保证。有人曾这样说过:“责任通常分两种:一种如清茶,倒一杯是一杯,永远是被动;一种是啤酒,刚倒半杯,便已泡沫翻腾,永远是主动。”在保安安保工作中,只做清茶是不够的,我们要的是啤酒,时刻保持高度的警惕性和冷静的忧患意识,要主动地用强烈的责任心去为公司安全工作搭建一面防火墙,为我司的利益、员工的利益搭起一座巩固的桥梁。而在贵司汪经理、x队长带领下的现有团队恰如这杯啤酒,时刻保持“主动”状态,做在前想在前,对维护我司的生命财产安全、工作秩序做出了重大贡献,赢得我司上下高度评价及肯定。
鉴于本年度xx派驻团队对我司所做出的贡献,特写此感谢信,感谢xx集团对我司安保防卫工作所提供的大力支持和帮助,感谢xx保安公司二片区对于我司项目的重视,感谢项目保安团队为我司安保防卫工作做出的努力和奋斗。同时希望贵司能够一如既往的保持工作作风和职业精神,继往开来,发扬xx优良传统为我司xx年的安保防卫工作继续努力!
顺祝
商祺! xx公司
xx年1月29日篇三:保安感谢信
感谢信 xxx物业公司领导:你们好! 今天,我是怀着诚挚的谢意向你们表示感谢的,尤其是保安部门的xxx同志。
本周xxx,我去xxx小区为客户设计装修房屋,粗心把电脑放在了xxx,等我为客户设计完xxx,去拿电脑时,发现我心爱的电脑不见了,心想这下可完了,这个电脑是我花7000元刚买的,那可是我大半年的积蓄啊,你要知道做我们这种设计工作的,电脑是我们日常唯一的办公用品,没有了电脑我们就无法为客户设计图纸,就无法跟客户沟通交流,我们的业务工作也无法开展。另外,我的电脑上面还保存了重要的客户资料,和为其它客户设计的图纸,以及公司的一些重要业务信息,如果电脑遗失,说不定要给公司带来多大损失。就在我心急如焚之时,我想到了咱们小区的物业保安,我抱着一丝希望来到物业管理部,向他们叙述了我丢电脑的事情,谁知咱们的保安非常重视,当时就打电话联系其他人员帮忙一块寻找,他们询问小区中的居民,排查期间所有进出小区的人员,东奔西走,忙前忙后。最后在我几乎都绝望的时候,接到了咱们物业保安部打来的电话,说保安xxx同志在xxx找到了一台电脑,让我前去辨认并取回电脑,我真是非常感谢xxx同志及保安部热情的帮助。
在我的眼中,小区保安就是要做好本小区的站岗、巡逻、对外来车辆登记等本职工作,没有想到咱们的保安对待我们这种外部人员也如此热情,助人为乐、让我心存敬意,感激之情溢于言表。
他们的精神实在是令人感动,在此对全体保安部同志表示感谢!同时也深深为物业公司那种主动为人民服务的工作风气所感动! 谢谢!再一次向xxx同志表示感谢! 某某某 2012-07-10篇四:感谢信保安
尊敬的保安公司领导:
您们好! 感 谢 信
在这瑞雪飘飘的冬月,我们后石小学的全体师生,感谢贵公司领导有方,工作有力度!感谢您们为后石小学派来的保安孟广海和徐玉润,为学校师生安心工作和学习创造了稳定、和谐的人文环境,尤其为了学生们的安全认真负责,让我们倍受感激!
学校附近由于动迁改造,每天过往数十辆大货车,道路坑洼不平,施工设备如:起重机、吊车等支架在师生上学的必经之路,严重危及师生人身安全,给学校安全工作带来了隐患。孟广海和徐玉润两位保安责任心强、任劳任怨负责学生入、退校行走安全。他们每天早来晚走,风雪无阻,不计得失,甘于奉献,工作兢兢业业。尤其值得一提的是,孟广海保安每天早上乘第一趟车来到学校,清扫操场上的卫生;每当下雪时,他们和老师一起参加扫雪,他们出色的工作和表现得到全校师生及家长的认可,为师生的安全保驾护航,被称为“最可爱的人”。
溪湖区后石小学 2013年1月8日篇五:首保养感谢信
感 谢 信
感谢您到广州本田汽车骏鸣特约销售服务店接受首次保养,并衷心感谢您对本店的信赖和支持。
首次保养后,若您的汽车在行驶过程中出现任何问题,请及时与本店联系,以便本店能及时为您提供热情周到的服务。
当您的汽车每行驶5,000 km或6个月(以先到期限者为准)请您持《保修手册》到本店接受5,000 km定期保养,保养后本店将在您的汽车《保修手册》第10页上填写定期保养记录并盖上店章,此章是确保您的汽车在保修有效期内具备保修资格的必要条件。
为了能更好地对您的汽车进行跟踪服务,当您的地址或电话号码变更后,请及时与本店联系,本店电脑将记录下您的最新个人信息,并为您提供热情周到的售后服务。
第三篇:等保服务内容及报价;
一、信息安全等级保护服务流程及内容;信息安全等级保护服务分为定级备案咨询、安全建设规;1.定级备案咨询阶段:通过定级对象分析、定级要素;2.安全建设规划阶段:协助建设单位按照同步规划、;3.安全等级现状测评阶段:详实调研业务系统,了解;4.信息系统安全整改咨询阶段:依据脆弱性评估结果;5.信息安全等级测评阶段:实施等级测评,以满足国;等保
等保服务内容及报价
一、信息安全等级保护服务流程及内容
信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:
1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。 4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1 定级备案咨询 1.1 工作内容 (1)系统梳理
网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、边界防火墙、IDS等。
服务信息调查:通过对服务信息的调查,确定系统服务对象。 系统边界调查:通过对系统边界的调查,确定各子系统边界情况。 (2)定级对象分析
业务类型分析:通过对业务类型的分析,确定各系统的重要性。 管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。 (3)定级要素分析
业务信息分析:通过以上调查与分析,明确业务信息(系统数据)被破坏后受侵害的客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全)和侵害程度。
系统服务分析:通过以上调查与分析,明确系统被破坏或者中断服务后受侵害的客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全)和侵害程度。
综合分析:通过对业务信息分析与系统服务分析,分别确定其安全等级 确定等级:取业务信息安全等级与系统服务安全等级中最高的为整个系统安全等级。
(4)撰写定级报告
撰写定级报告:通过以上调查与分析,撰写系统定级报告,包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等。
(5)协助定级备案
协助填写备案表:协助业主完成系统安全等级保护备案表的填写。 协助评审审批:协助业主组织召开系统定级结果评审会,协助业主完成整个定级审批过程。
1.2 交付成果 信息系统安全等级保护定级报告 信息系统定级备案表 2 安全建设规划 2.1 工作内容
根据等级化安全保障体系的设计思路,等级保护的安全建设规划包括以下内容:
1. 安全域设计:根据系统定级情况,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
2. 确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
3. 安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;物理安全、网络安全、服务器安全等安全技术设计,安全管理制度规划与设计。
通过如上内容的规划,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
2.2 交付成果
信息系统安全等级保护建设规划方案 3 安全等级现状测评
为确保信息系统的安全保护措施符合相应安全等级的基本安全要求,需要实施安全等级现状测评,以提出合理、有效的安全整改建议,为信息系统制定信息安全规划和决策提供依据。
测评机构将指导系统运维方开展安全评估工作,简要了解系统现有安全保障措施与国家信息安全等级保护等级标准要求之间的差距,制定信息安全规划方案;同时检查系统在技术层面存在的脆弱性漏洞,为后续安全加固工作奠定基础。
3.1 等级保护差距分析
按照等级保护实施要求,信息系统应该具备相应等级的安全防护能力,部署相应的安全设备,制定相应的安全管理机构、制度、岗位等。
差距分析就是依据等级保护技术标准和管理规范,比较分析信息系统安全防护能力与等级要求之间的差距。为等级化体系设计提供依据。
3.1.1 工作内容
差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。具体内容为:
1、技术差距检测:
(1)物理安全:针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。主要包含:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。
(2)网络安全:对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。主要包含:结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。
(3)主机安全:评估信息系统的主机系统安全保障情况。主要包含:身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。
(4)应用安全:对信息系统进行应用安全符合性调查。主要包含:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。
(5)数据安全:评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。
2、管理差距检测:
(1)安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
(2)安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
(3)人员安全管理:评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。 (4)系统建设管理:评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
(5)系统运维管理:评估系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
3、等级保护差距分析:
基于技术、管理层面的标准合规性检测结果,根据国家等级保护标准,结合行业规范,针对标准的每项具体要求,从微观角度展开,深入分析信息系统与相应等级要求之间的差距,并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价,确认信息系统的整体安全防护能力有无缺失,是否能够对抗相应等级的安全威胁,为安全规划设计提供依据。
3.1.2 交付成果
信息系统等级保护差距分析报告 3.2 脆弱性检测
脆弱性(弱点)是指可能为许多目的所利用的系统某些方面,包括系统弱点、安全漏洞和实现的缺陷等。为识别和分析信息系统所存在的脆弱性,确认需要实施安全加固与调优的事项,将首先进行脆弱性检测工作,从网络层、主机层和应用层三个方面进行检测,本次脆弱性检测的主要内容是漏洞扫描和系统配置检查。
3.2.1 工作内容 系统脆弱性检测涉及三个层面工作内容,包含整体的网络架构分析,服务器、网络与安全设备的配置检查,以及漏洞扫描检测工作。具体内容如下:
1、网络架构分析:
进行网络架构分析的目的是查找需要对网络结构实施优化的事项,具体内容 如下:;(1)网络现状识别:涉及应用系统和用户分布,安全;(2)网络安全分析:从网络的整体架构进行考虑,紧;
2、设备配置检查:;检查系统相关服务器、交换机与安全设备的配置策略,;(1)服务器手工检查:检查服务器操作系统、数据库;(2)网络设备手工检查:检测交换机或路由器的Vl;(3)安全设备手工检查:获取防火墙的访问控制策略;
3、漏洞扫描检测:;借助专业化漏
如下:
(1)网络现状识别:涉及应用系统和用户分布,安全域划分,区域边界之间所采取的访问控制措施,网络带宽需求及现状,对数据流向的安全控制,设备链路冗余设计,对网络带宽的管控措施,远程访问通信链路的加密,各区域内所采取的入侵检测,安全审计措施,网络出口所采取的入侵防范、病毒过滤、垃圾邮件过滤措施、终端用户接入认证等内容。
(2)网络安全分析:从网络的整体架构进行考虑,紧密结合业务应用现状,识别重要信息系统部署和用户所在网络区域的分布情况,分析网络设计布局的合理性,是否存在单点隐患,确认链路带宽是否满足业务要求,检查产品设备老化问题,确认设备性能是否满足要求,分析网络区域边界是否定义清晰,安全域划分是否合理,服务器、终端接入是否安全,各类安全设备的部署是否到位等。
2、设备配置检查:
检查系统相关服务器、交换机与安全设备的配置策略,具体内容如下: (1)服务器手工检查:检查服务器操作系统、数据库和中间件的开放服务及端口、账户设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况;
(2)网络设备手工检查:检测交换机或路由器的Vlan划分、路由表配置、访问控制列表ACL、IP和MAC地址绑定情况、设备登录认证方式、口令设置等配置项;
(3)安全设备手工检查:获取防火墙的访问控制策略、以透明还是路由方式部署、NAT地址转换、网络连接数限制等信息,检查入侵检测、安全审计设备的审计策略配置、特征库版本情况等。
3、漏洞扫描检测:
借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描,发现配置上存在的弱点,作为对手工检查工作所获取数据的补充,同时也是制定安全加固方案的重要依据。
3.2.2 交付成果
信息系统脆弱性评估报告 3.3 渗透测试
通过模拟黑客对信息系统进行渗透测试,发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。 3.3.1 工作内容
针对信息系统的渗透测试将采取两种类型:
第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其他类型的渗透测试更能说明漏洞的严重性;
第二类型:内网渗透测试,通过接入内部网络发起内部攻击,主要针对信息系统的后台管理系统进行测试。
3.3.2 交付成果 信息系统渗透测试报告 3.4 源代码测评
源代码安全测试对所提供的源代码采用工具进行安全扫描,分析和软件安全风险管理,并给出安全问题审计结果,安全问题描述和推荐修复建议。
3.4.1 工作内容
依据CVE(Common Vulnerabilities & Exposures)安全漏洞库、设备及软件厂商公布的漏洞,根据测试用例对信息系统的源代码进行安全扫描,对安全漏洞进行识别,给出整改建议
3.4.2 交付成果
信息系统源代码测试报告 4 信息系统安全整改咨询 信息系统安全整改包含3方面工作内容:首先测评机构将指导系统运维方针对脆弱性检测和渗透测试所发现的技术层面的安全隐患进行整改,其次以等级保护对应等级的管理要求为依据建立健全信息安全管理制度,最后依照信息系统安
全规划方案指导信息系统优化和完善信息系统安全防护措施,并对系统安全整改情况进行跟踪和效果评价,为后续开展的等级测评工作奠定良好基础。
4.1 安全加固与优化
根据前期脆弱性评估、渗透测试结果,结合信息系统的业务需求,对信息系统相关设备进行安全策略加强、调优等,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平。
4.1.1 工作内容
根据前期对信息系统进行的调研、评估与测评结果,以脆弱性评估报告和渗透测试报告为依据,根据网络安全特殊需求和业务流程制定安全加固方案,在不影响当前业务开展的前提下,对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强,及时消除因安全漏洞被恶意攻击者利用从而引发的风险。
根据信息系统网络现状,本次项目安全加固对象分为四类,即信息系统内的操作系统、数据库、中间件以及网络与安全设备。
4.1.2 交付成果
信息系统安全加固与优化方案 4.2 等级保护制度建设 以等级保护差距分析结果为依据,依照安全保障体系设计所提及的建设内容,按照等级保护标准要求,制定等级保护管理体系框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单;测评机构从结合信息系统实际业务流程的原则出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足各系统相应保护等级的安全管理要求。
4.2.1 工作内容
制定和完善与信息系统的安全保护等级相适应的配套管理制度,制度相关内容如下:
(1)安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
(2)安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保管理制度的适用性。
(3)人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
(4)系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
(5)系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
4.2.2 交付成果 信息系统安全管理制度 5 信息安全等级测评
信息系统安全等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。信息系统安全等级测评主要检测和评估信息系统在安全技术、
安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保整改措施符合相应安全等级的基本要求。
5.1 测评内容
针对信息系统的安全等级测评的内容如下: (1)按照《信息系统安全等级保护测评要求》,从以下方面进行等级测评: 技术安全测评:包括物理安全、网络安全、主机安全、数据安全、应用安全;
管理安全测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;
综合测评:包括安全控制间安全测评、层面间安全测评、区域间安全测评、系统结构安全测评。
(2)对每个保护类的子项给出测评结果并分别提出改进建议; (3)按照整改结果进行复测,出具等级测评报告。 5.2 交付成果
信息系统等级测评报告
二、信息安全等级保护服务报价;等级保护按照运行的业务进行定级,不同业务可以定不;按照10个业务系统计算,进行定级备案、建设规划、;10个三级系统:;预估总价=34.78+9×3.55=66.73万;预估总价=20.77+9×2.1=39.67万元;预估总价=34.78+4×3.55+5×2.1=;附件:;三级系统报价;二级系统报价;
二、信息安全等级保护服务报价
等级保护按照运行的业务进行定级,不同业务可以定不同保护等级,根据基础网络、管理制度复用原则进行多个业务系统报价(三级、二级系统报价明细见附件)。 按照10个业务系统计算,进行定级备案、建设规划、安全测评、整改咨询、等级测评报告等5项服务,预估报价如下:
10个三级系统:
预估总价=34.78+9×3.55=66.73万元 10个二级系统:
预估总价=20.77+9×2.1=39.67万元 5个三级系统5个二级系统: 预估总价=34.78+4×3.55+5×2.1=59.48万元
第四篇:等保测评项目管理制度
等级保护测评项目管理制度 一、目的 为有效保障等级保护测评中心的测评质量,防止发生质量异常,提升效率,确保质量满足客户需求,特制定本制度。
二、职责 等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系,由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制:
Ø 质量主管:
1) 全面领导等保测评中心的质量管理工作,监督执行有关等保测评中心须遵循的各种政策、法律法规,并传达法律法规对测评工作的重要性;
2) 确保质量部开展工作所需的各种资源;
3) 审批质量部发展的中长期计划和年度计划;
4) 主持重大质量问题的申诉,对等保测评中心的质量和质量管理工作全面负责;
5) 质量手册(方针、目标等)的发布者;
6) 负责贯彻执行等保测评中心应遵循的各种法律、法规及标准;
7) 负责主持制定质量方针、质量目标,并确保质量管理体系得以完善和有效运行;
8) 主持质量管理体系的策划、建立,并完善实现等保测评中心质量方针、质量目标所必须的组织机构,确保质量部各类人员的职责和权限得到规定与沟通;
9) 主持管理评审和质量工作会,定期向等保测评中心主任汇报质量体系运行情况,提出改进的建议;
10) 负责质量问题和质量事故的申诉处理以及质量奖惩工作,签发质量管理体系程序文件和质量规章制度文件;
11) 制订质量部发展的中长期计划和年度计划,注重计划的准确性、可操作性,把质量工作计划纳入年度计划;
12) 负责组织对《等级测评报告》进行评估活动,并批准签发《等级测评报告》;
13) 根据等保测评项目的论证签订等级保护测评合同,并批准等级保护测评总体计划;
14) 调研分析对设备供应单位质量保证能力,确定供应设备能满足工作需要;
15) 落实质量部的保密制度和保密防范措施,对人员的安全保密培训情况;
16) 负责与质量体系有关事宜的外部联络。
Ø 质量部 1) 履行企业法人代表赋予的职责;
2) 贯彻执行等保测评中心应遵循的各种法律、法规及标准;
3) 贯彻、执行质量方针、质量目标;
4) 主持等级保护测评项目的论证,组织《等级测评方案》的评审;
5) 管理并监督等级保护测评中心测评人员按国家有关保密规定保守相关秘密;
6) 统筹安排等保测评中心资源,确保每项测评工作顺利完成;
7) 制定等级保护测评中心测评人员技术培训计划,确保计划能与预期的任务相适应;
8) 确保等保测评中心专用设备的准确度,指定专人负责设备运输、存放、使用、维护的管理;
9) 负责组织设备的验收、入库、保管、标识工作;
10) 在技术上负责系统测评的正确性,负责审核等保测评中心《等级测评报告》,并可以受测评中心主任委托批准《等级测评报告》。
三、工作程序 1、测评中心开展的等级保护测评项目,严格按照《质量管理体系文件》要求和国家《信息系统安全等级保护测评过程指南》和《信息系统安全等级保护测评要求 》等规范文件进行,严格遵循ISO9001:2000质量管理体系规范管理。
2、对测评的质量评价采用优秀、良好、一般、差四级评定,见下表。
质量要素 优秀 良好 一般 差 进度(非测评组长可控因素除外) 按时完成。
未按时完成,进度变更控制良好,延期在计划工期的10%之内。
未按时完成,延期在计划工期的25%内。
未按时完成,进度变更控制差,延期计划工期的25%以上。
测评成果 及时提交完备的测评成果,文档材料规范。
及时提交关键的测评成果,文档材料规范,得到质量主管认可。
提交关键的测评成果,延期不超过2天,文档材料不规范,但基本得到质量主管认可。
拖延提交测评成果超过一周,文档材料严重不规范,缺少关键内容。
用户反馈 《工作确认单》,表明服务规范,用户满意。
《工作确认单》表明服务流程完成,用户认可。
《工作确认单》,或用户主动反映现场测评存在缺陷,经核查属实。
《工作确认单》,或测评客户投诉,后果对测评产生严重影响,经核查属实。
3、质量评定的方法 质量主管根据上述三项服务考察要素的质量评定结果,综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例:如果进度等级为优,测评成果等级为良,用户反馈等级为优,则综合质量等级为良。
4、质量改进 质量评价后,对存在的不合格或潜在的不合格,质量主管将向测评组长提交《测评质量审核报告》,测评组长对报告上的不合格项或潜在的不合格项进行确认,测评组长填写《纠正预防措施报告》,采取相应的纠正和预防措施,质量主管根据《纠正预防措施报告》上的整改时间,进行跟踪验证改进措施的效果,直到合格为止。
四、等保测评质量管理体系 1.总要求:
1.1 依据ISO 9001:2000质量管理体系的要求,对测评中心等级保护测评项目的测评过程进行控制,表明本中心有能力稳定地提供满足被测评单位的测评要求,并通过对质量管理体系的有效运用,包括持续改进和纠正预防不合格的发生而保证测评质量。
1.2 实施质量管理体系,测评中心做到:
Ø 测评中心质量管理体系所需过程主要有:客户服务体系的建立、测评设备的管理、测评活动的开展、验收评审、文档管理等过程,并对各过程进行监视、测量和控制管理,测评项目的质量控制有关过程参见“质量管理体系过程图” 见附件;
Ø 在“质量管理体系过程图”中可看到测评过程的顺序及相互的关联;
Ø 质量主管通过质量目标的测量和监控对质量管理体系的各过程进行监控和管理,并分析过程的有效性。技术主管决定所需要的技术标准及方法,以确保等保测评的相关过程可达到有效作业及控制。
Ø 各部门按要求确保所需要的资讯容易获取,从而支持测评过程的实施及监控;
Ø 通过质量方针、质量目标及各部门的分解目标的达成状况,测量、监控及分析这些过程,并且执行所需要的测量、监视活动,以证实这些过程的成果及今后的持续改进;
Ø 质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程,组织进行持续改进。
2.文件要求:
2.1 各部门按国家/国际标准要求实施相关文件要求,并作好相关质量记录。
2.2 质量管理体系的范围:测评中心按等级保护测评相关法规和技术标准的要求进行等级保护测评服务 。包括ISO9001:2000质量管理体系的全过程、全要素。
2.3 文件控制:测评过程中产生的各类文档和记录应指定管理部按质量管理体系的要求加以管理控制。质量体系文件的架构见“质量体系文件架构图”,并建立文件目录。每一份规范化程序文件的制定包括以下内容:
Ø 测评过程产生的各类文件和记录定稿前得到测评中心主任审批,确保其适宜性、充分性;
Ø 质量管理体系文件在每年的管理评审时进行适宜性、有效性评审,确定是否需要更新,体系文件更新后要重新进行审核,并再次批准;
Ø 文件的版本、修订状态在文件中有标识,文件更改标识体现在修订状态上,文件更改按《文档管理制度》进行;
Ø 确保使用场所具有适宜版本的有效文件,便于使用;
Ø 确保文件保持清晰、完好,易于阅读、识别、调阅及追溯;
Ø 确保外来文件原稿已作标识,并控制其分发;
特别关注国家、行业的标准和管理文件的最新版本的收集和管理、发放;
Ø 预防作废文件被误用,假如因任何目的需保存以备用时,则应作出适当鉴别(加盖作废章、保留章),并加以控制。
3.记录控制:
3.1 测评中心各部门执行《等级保护测评项目质量监督管理制度》对质量管理体系所需的质量记录予以控制,并保持、维护有效的质量记录,以证明符合各项要求及质量管理体系得到有效运行。
3.2 测评中心建立的《等级保护测评项目质量监督管理制度》规定了质量记录的鉴别、储存、调阅、保护、保存期限及作废处理办法和程序。
4.测评过程的质量监督管理:
测评中心测评部负责对等保测评项目的被测系统的详细情况进行分析,为实施测评做好文档及测试工具,从而完成测评项目的测评准备过程活动;
进入测评实施过程活动后测评部部负责开发与被测信息系统相适应的测评内容及实施方法,为测评实施提供最基本的文档和指导方案;
在测评实施过程活动中,按照测评方案的总体要求,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题;
最后进入分析与报告编制过程,综合评价被测信息系统保护状况,并形成测评报告文本。整个测评活动应与质量管理体系的其他要求相一致,质量部需同步对测评活动的以下各项目进行监督管理:
4.1 根据被测评单位要求/相关的质检规范、国标、法律法规要求,技术工程部确定有关工程的质量目标及要求;
4.2 市场部接到客户的等级保护测评需求,将信息传递到测评部、管理部, 测评部编制《项目计划书》,全面满足被测评单位要求。具体的过程和相互关系参见《质量管理体系过程图》中的描述;
4.3 根据等级保护测评相关法规和技术标准的要求针对测评过程,策划并实施各项验证、确认、访谈、检验等测评活动,留下相关的记录。
4.4 对各项测评过程及测评验收提供所需的记录,规划结果必须以测评报告的形式输出。
4.5 对测评活中输入输入的各类作业指导书、记录表单、报告及选取的测评设备必须进行评审,确保其准确和稳定。并做相应的验证及分析。
Ø 输入包括:功能和性能的要求;
适用的法律法规要求;
成熟的作业指导书;
Ø 对所有的输入进行评审:确保输入是充分的,适宜的,要求不可自相矛盾,完整,清楚;
Ø 保证测评活动中的各类输出记录的完整性和准确性;
Ø 质量部针对测评输入进行验证,并在放行前得到测评中心主任和被测评单位批准;
Ø 质量部针对测评输出(如测评记录和测评报告)进行评审,并由测评中心主任审批后方可提交客户;
Ø 质量部对选取的测评设备进行校验,确保设备的可靠性和检测数据准确性;
五、系统集成建设和服务提供的控制 测评中心依通过以下方式来对测评过程进行质量控制:
1.测评部提供可以说明测评有关特性的信息(测评方案、项目计划书等),对测评的重要节点进行重点控制;
2.向现场测评活动提供各类作业指导书,给出更为详细的测评规范和方法,指导现场测评;
3.测评部选取测评活动所需要的测评设备种类及数量,并对测评设备进行适宜的维护,确保设备的运行能力。
4.在现场测评过程中,质量部对测评设备的运行以及测评输出的数据进行监督管理,确保在现场测评过程中不断的测量及监控测评设备检测过程的变化,为调整和修正这些变化提供保证;
5.对测评的重要特性形成的过程执行监控和测量活动,通过对现场测评师,测评设备,测评方法都进行监控,保证测评质量满足要求;
6.测评部按照预先与被测评单位商定的验收时间,执行规定的测评结果交付活动;
未通过质量部评审合格或不满足测评要求的测评项目不得放行。
7.被测评单位资产:测评过程中有被测评单位提供的场地、终端设备、用户的知识产权的保护,包括系统需求、图样等都是客户资产,进场前与客户进行验证确认,明确其状态,并在现场测评活动中加以保护,发生损坏及时向客户报告,必要时予以修复或赔偿。
六、测评设备的质量管理 测评中心管理部负责维护、保养测评中心现有测评设备,建立《测评设备清单》,《编制保养计划》,《设备履历卡》,《维修记录》,确保测评设备的运行正常、测评数据准确。
测评部协助管理部对测评设备进行日常保养,包括测设备的版本升级、校对和维修。当发现测评设备不符合要求时,对以往的测量结果进行有效性的评价和记录,对该设备和任何受影响的测评项目采取补救措施。校准和验证结果的记录应予以保持。
质量部对测评设备的日常保养进行监督管理,对各项文档记录进行审核后由管理部存档。
七、质量方针和质量总目标 1.质量方针:技术先进、诚信服务、用户至上。
2.质量总目标:
Ø 等级保护测评方案评审一次成功;
Ø 测评质量目标:等级保护测评报告评审一次成功;
Ø 顾客满意率:≥95%。
Ø 等级保护测评报告准时交付率:≥80%。
3.宣贯方式:通过会议、质量手册、培训等方式确保传递到测评中心的每一位员工,总质量目标分解到各部门。
4.质量目标分解 Ø 管理部:培训计划完成率98%;
文件资料管理失误次数每年度小于3次。
Ø 市场部:客户服务体系完成98%;
合同评审率100%。
Ø 研究部:测评方案、作业指导书研究完成100%。
Ø 测评部:测评方案一次成功;
测评报告一次成功;
测评过程各节点质量控制100%符合等保测评技术标准;
准时交付率80%;
客户满意度95%。
Ø 质量部:质量管理体系完成100%;
测评项目质量监督完成100%。
八、质量文件的修订 测评中心测评项目质量监督管理制度依据ISO9001:2000质量管理体系的要求,结合等级保护测评相关法规和技术标准编制而成。测评中心质量部每年年底前至少重新校正一次,并参照以往质量管理实际情况检查各项标准及规范的合理性,进行修订。 质量管理体系产品实现的过程图 市场部 测评部 质量部 测评部 质量部 管理部 质量部 客户要求 测评设计 验证 输出 输入 评审 确认 编写测评方案 前期调查 作业指导书 测评设备的选用 方案评审 客户确认 测评计划 作业指导书 设备校对 现场测评 报告评审 编写测评报告 满意度衡量及售后服务 Y 客户 N 顾客抱怨 原因分析,纠正措施,预防不合规的再发生,质量改进活动 改进措施实施的验证,结果确认,PDCA
第五篇:医院信息化安全等保解决方案(本站推荐)
医院信息化安全等保解决方案
发布日期:2014-03-10 浏览次数:408
一、行业背景与需求
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求:
■ 2012年5月30日前完成本单位信息系统的定级备案工作;
■ 根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案;
■ 2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议三级甲等医院的核心业务信息系统安全保护等级原则上不低于三级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内三甲医院定级要求,大部分省(市)定级要求如下:
二、迪普解决之道
为帮助三甲医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为三甲医院提供融合化的等级保护解决方案。 ■ 整体思路
医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承载着HIS、LIS、PACS等医院三级信息系统,外网主要承载医院OA、网站、mail等二级信息系统。《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。
网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:
■ 方案描述 医院内网信息安全等级保护方案设计,如下图所示:
图1 首先,将医院内网分为多个安全区域,数据中心区、终端接入区、安全管理区、灾备中心与外联区域。 根据不同的业务系统与安全区域划分VLAN,在每个区域边界部署DPtech FW1000防火墙,根据访问需求配置安全访问控制策略。对于重要区域边界部署(数据中心前端与外联区域边界)IPS2000入侵防御系统 /UTM2000统一威胁管理系统/DPX8000深度业务交换网关,对应用层攻击进行检测与在线防御,并在线过滤网络病毒、恶意代码;
内网终端部署DPtech TAC终端接入控制系统,对内网接入终端进行准入控制、状态评估与终端行为审计,对内部终端通过多网卡、代理等方式的非法外联行为进行阻断;
在数据中心区域中旁路部署DPtech UAG3000审计网关,与TAC系统进行联动,实现用户、IP、数据库操作的三层业务日志关联,能够帮助发现医院HIS系统存在的滥用、误用、恶意使用的行为;
数据中心部署DPtech ADX3000应用交付产品,实现重要业务系统负载均衡,在确保重要业务系统可靠性的同时,优化业务系统的服务能力;
在安全管理区部署DPtech UMC统一管理中心与DPtech Scanner1000漏洞扫描系统,为安全管理提供必要的技术手段,并集中收集、存储数据库审计日志、内网终端行为审计日志、防火墙与IPS业务日志等。
医院外网信息安全等级保护方案计设,如下图所示: 图2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。
对外服务器区前端部署DPtech FW1000防火墙,对服务器访问行为进行控制,并同时部署DPtech
WAF3000 Web应用防火墙,对医院门户网站进行重点防护,针对WEB攻击漏洞进行全面检测和加固,防止网站被攻击与篡改;
互联网边界部署DPtech FW1000防火墙、DPtechIPS2000入侵防御系统,构成2-7层的安全防护体系,实现远程数据加密,防止非授权访问,检测与阻断应用层攻击,并防御蠕虫、病毒、木马等网络攻击;
部署DPtech UAG3000审计及流控网关,对外网用户的上网行为进行控制,合理分配带宽,并对上网行为进行审计;
部署DPtech TAC终端接入控制系统,对外网接入终端进行准入控制、状态评估与终端行为审计,防止非法终端与不安全终端接入网络,检测外网终端的安全漏洞,结合第三方补丁服务器修复漏洞,并对外网终端的网络使用行为、桌面使用行为进行管控;
在安全管理区部署DPtech UMC统一管理中心,对安全设备进行集中管理。
方案设计参考标准
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008信息安全技术信息系统安全等级保护实施指南 GB/T 20271-2006 信息安全技术信息系统安全通用技术要求 GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架 GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型 GA/T 709-2007信息安全技术信息系统安全等级保护基本配置
信息安全技术信息系统等级保护安全建设技术方案设计规范
信息安全技术信息系统等级保护安全设计技术要求
信息安全技术信息系统安全等级保护测评要求 ……
三、为什么选择迪普
迪普科技“医院信息系统等级保护解决方案”依据国家信息安全等级保护相关政策标准与卫生行业的相关标准与要求,结合医院信息化安全实际需求进行设计,可全面提升医院信息安全防护能力与安全管理能力。主要具备以下特点: ■ 合规性
本方案全面依据《定级指南》、《基本要求》等相关标准,结合迪普科技丰富的等级保护建设经验,充分理解《信息系统安全等级保护测评要求》,对其中的每一项要求均有相关的产品功能、安全策略与之对应(除非网络产品涉及的要求外),采用本方案的医院信息化系统可充分满足国家与医疗行业等保建设要求。 ■ 融合化
医院信息化安全防护需求多样化,主要关注数据库审计、终端安全管理、边界安全防护、网站系统防护、互联网上网行为管理、重要业务系统备份几个方面。迪普科技专注于网络安全与应用交付领域,针对多样化的需求可提供全方位的产品与解决方案,全面提升医院信息化系统的安全性、可用性、可靠性。 ■ 高可靠
医院信息化系统与医疗业务息息相关,业务系统的可靠性、连续性要求占首位,安全建设不能增加额外的故障点。迪普科技安全与优化类产品广泛运用于电信运营商行业,具备电信级可靠性,同时支持业内领先的“静默备份”、“虚拟化”等双机备份技术,对于重要的HIS系统、数据库等可提供硬件负载均衡产品实现智能备份,从而全面提升医院信息化系统的可靠性。 ■ 易管理
医院信息化管理工作繁重,传统的安全解决方案往往大幅增加安全管理工作的难度,迪普科技以UMC统一管理中心为核心的安全管理解决方案,实现安全设备的统一管理,设备状态集中监控,安全策略集中下发,对海量安全日志进行集中采集、分析、关联、汇聚和统一处理,实时输出分析报告,帮助管理员及时对网络安全状况进行分析,其可视化展现的方式极大的降低了网络管理复杂度。