信息系統(tǒng)安全檢查工作報(bào)告
信息系統(tǒng)安全檢查工作報(bào)告
鹽城市第一人民醫(yī)院信息科
為認(rèn)真貫徹落實(shí)辦公室《關(guān)于印發(fā)鹽城市政府信息系統(tǒng)安全檢查工作實(shí)施方案的通知》文件精神和要求,我科組織人員對(duì)全院范圍內(nèi)的信息系統(tǒng)進(jìn)行了一次全面的自查工作。現(xiàn)將自查情況報(bào)告如下:
一.信息安全狀況總體評(píng)價(jià):
1.領(lǐng)導(dǎo)重視,機(jī)構(gòu)健全。我院信息安全管理工作由分管信息科副院長(zhǎng)領(lǐng)導(dǎo),信息科負(fù)責(zé)具體執(zhí)行。
2.制定方案,加強(qiáng)檢查。我院使用信息系統(tǒng)作為辦公工具已有十余年的歷史,在信息安全管理方面已擁有一陣套完善規(guī)范合理的信息安全制度。為了保證我院應(yīng)用系統(tǒng)信息的安全、完整和保密,保證各應(yīng)用系統(tǒng)穩(wěn)定、高效運(yùn)行,我科制定了醫(yī)院信息中心信息安全管理制度制度、一院內(nèi)網(wǎng)防病毒制度、一院內(nèi)網(wǎng)防入侵制度、一院內(nèi)網(wǎng)接入安全制度、數(shù)據(jù)備份及服務(wù)器應(yīng)急方案等一系列信息安全規(guī)范和制度。
二.信息安全自查情況:
1.我院信息系統(tǒng)采取內(nèi)外網(wǎng)物理隔離的方式,從根本上了防止醫(yī)院業(yè)務(wù)信息系統(tǒng)遭到外部的攻擊和竊取,充分保護(hù)涉及醫(yī)院和患者核心利益信息的安全。
2.嚴(yán)格把關(guān)接入內(nèi)網(wǎng)信息流入口。我院所有內(nèi)網(wǎng)(除信息科)電腦一律拆除光驅(qū)軟驅(qū)等外接存儲(chǔ)設(shè)備,通過內(nèi)網(wǎng)管理系統(tǒng)對(duì)電腦USB存儲(chǔ)接口,無線網(wǎng)卡,上網(wǎng)卡等可能引入外部不安全數(shù)據(jù)的信息流入口進(jìn)行堵截。所有需要進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)一律在信息科確定其安全性后方能存入目標(biāo)信息終端。
3.按醫(yī)院各職能科室物理位置和業(yè)務(wù)需求,制定相應(yīng)的實(shí)用程序白名單,規(guī)范內(nèi)網(wǎng)電腦使用軟件的范圍,杜絕不安全軟件、病毒的啟動(dòng)和傳播。
4.按操作者的職務(wù)和專業(yè)分配使用醫(yī)院業(yè)務(wù)系統(tǒng)的權(quán)限。醫(yī)院的各工作人員只能獲取與其工作相關(guān)和與其職稱職務(wù)相關(guān)的信息,充分保護(hù)了醫(yī)院機(jī)密和患者隱私。
5.醫(yī)院信息終端采取準(zhǔn)入制度,各科室增加需院領(lǐng)導(dǎo)審批后才能實(shí)施。我科在所有網(wǎng)絡(luò)交換機(jī)上關(guān)閉不使用的端口,不加裝網(wǎng)絡(luò)跳線,在實(shí)際需要使用時(shí)打開指定位置的交換機(jī)端口、安裝網(wǎng)絡(luò)跳線。防止了擅自將自配電腦接入醫(yī)院局域網(wǎng)的情況發(fā)生,保證了信息科對(duì)于醫(yī)院業(yè)務(wù)內(nèi)網(wǎng)的有效控制。6.全院電腦安裝國(guó)產(chǎn)專業(yè)殺毒軟件和內(nèi)網(wǎng)控制系統(tǒng),并及時(shí)更新病毒庫和補(bǔ)丁庫,做到操作系統(tǒng)、應(yīng)用軟件、病毒防護(hù)軟件等的補(bǔ)丁及時(shí)升級(jí)。全院所有接入醫(yī)院業(yè)務(wù)內(nèi)網(wǎng)的電腦全部下達(dá)了程序白名單,外設(shè)黑名單等審計(jì)策略。
7.建立了完善的信息設(shè)備安全監(jiān)控手段和值班制度。我科定期對(duì)軟件進(jìn)行測(cè)試,對(duì)檢測(cè)和用戶反應(yīng)的問題進(jìn)行研究,制定相應(yīng)的措施,編寫相應(yīng)的補(bǔ)丁,并做好版本的備案。對(duì)服務(wù)器,殺毒軟件,安全策略,系統(tǒng)安全日志,進(jìn)行定期安全檢測(cè)保證其在安全的前提下,確保數(shù)據(jù)傳輸和信息的安全度。
8.我科已經(jīng)做好各項(xiàng)準(zhǔn)備工作,對(duì)可能發(fā)生的各類信息安全事件做到心中有數(shù),進(jìn)一步完善了信息安全應(yīng)急預(yù)案,明確應(yīng)急處置流程,明確了應(yīng)急技術(shù)支撐隊(duì)伍,把信息安全工作做深做細(xì)做在前面。積極組織開展了應(yīng)急演練,檢驗(yàn)了應(yīng)急預(yù)案的可操作性,提高了應(yīng)急處置能力。
三.檢查發(fā)現(xiàn)的主要問題及整改情況
(一)存在的只要問題及其原因
1.醫(yī)院工作人員較多,信息安全意識(shí)總體水平較低,且層次不齊。廣大醫(yī)務(wù)工作者工作繁忙,我科多次組織信息安全相關(guān)培訓(xùn),但收效甚為。2.
(二)下一步工作打算
1.加強(qiáng)信息網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),使安全技術(shù)人員及時(shí)更新信息網(wǎng)絡(luò)安全管理知識(shí),提高相關(guān)管理及法律法規(guī)等的認(rèn)識(shí),不斷地加強(qiáng)信息網(wǎng)絡(luò)安全管理和技術(shù)防范水平。
2.加大網(wǎng)絡(luò)安全設(shè)備的投入。
3.繼續(xù)加強(qiáng)對(duì)醫(yī)護(hù)人員、行政后勤人員的安全意識(shí)教育,提高做好信息安全工作的主動(dòng)性和自覺性。
4.切實(shí)增強(qiáng)信息安全制度的落實(shí)工作,定期不定期的對(duì)安全制度執(zhí)行情況進(jìn)行檢查,對(duì)于導(dǎo)致不良后果的責(zé)任人,要嚴(yán)肅追究責(zé)任,從而提高人員安全防護(hù)意識(shí)。
5.是要以制度為根本,在進(jìn)一步完善信息安全制度的同時(shí),安排專人,完善設(shè)施,密切監(jiān)測(cè),隨時(shí)隨地解決可能發(fā)生的信息系統(tǒng)安全事故。
6.是要加大對(duì)線路、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng),加大更新力度。
7.是要提高安全工作的現(xiàn)代化水平,便于我們進(jìn)一步加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)安全的防范和信息系統(tǒng)安全工作。
四.對(duì)信息安全工作的意見和建議
擴(kuò)展閱讀:《信息系統(tǒng)安全檢查工作報(bào)告》和《自查情況報(bào)告表》
信息系統(tǒng)安全檢查工作報(bào)告
一、信息安全狀況總體評(píng)價(jià)
概述本單位信息安全工作情況,與上一年度相比信息安全工作取得的新進(jìn)展,對(duì)本單位信息安全狀況的總體評(píng)價(jià)。
二、信息安全自查情況
對(duì)照《信息系統(tǒng)安全自查情況報(bào)告表》要求,逐項(xiàng)描述本單位在信息安全組織管理、日常信息安全管理、信息安全防護(hù)管理、信息安全應(yīng)急管理、信息安全教育培訓(xùn)、信息安全檢查等方面開展的工作情況。
三、檢查發(fā)現(xiàn)的主要問題及整改情況(一)存在主要問題及其原因
描述本單位安全檢查特別是技術(shù)檢測(cè)發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié),分析其存在原因。
(二)下一步工作打算
針對(duì)檢查發(fā)現(xiàn)的問題提出整改計(jì)劃或整改措施。四、對(duì)信息安全工作的意見和建議
對(duì)信息安全工作特別是信息安全檢查工作提出意見和建議。
信息系統(tǒng)安全自查情況報(bào)告表
(得分:分)
一、單位基本情況(小計(jì)5分,得分)單位名稱分管信息安全工作的領(lǐng)導(dǎo)(2分)信息安全責(zé)任處(科)室(1.5分)信息安全員(1.5分)姓名:職務(wù):名稱:負(fù)責(zé)人:職務(wù):電話:姓名:職務(wù):電話:二、信息系統(tǒng)基本情況(小計(jì)13分,得分)信息系統(tǒng)基本情況(3分)①信息系統(tǒng)總數(shù):1個(gè)②面向社會(huì)公眾提供服務(wù)的信息系統(tǒng)數(shù):1個(gè)③委托社會(huì)第三方進(jìn)行日常運(yùn)維管理的信息系統(tǒng)數(shù):個(gè),其中簽訂運(yùn)維外包服務(wù)合同的信息系統(tǒng)數(shù):個(gè)互聯(lián)網(wǎng)接入口總數(shù):2個(gè)互聯(lián)網(wǎng)接入情況其中:□聯(lián)通接入口數(shù)量:1個(gè)接入帶寬:100兆(此項(xiàng)為統(tǒng)計(jì)項(xiàng),不計(jì)分1)□電信接入口數(shù)量:2個(gè)接入帶寬:100兆□其他:接入口數(shù)量:個(gè)接入帶寬:兆系統(tǒng)定級(jí)情況第一級(jí):個(gè)第二級(jí):1個(gè)第三級(jí):個(gè)(2分)系統(tǒng)安全測(cè)評(píng)情況(8分)三、日常信息安全管理情況(小計(jì)8分,得分)人員管理1
第四級(jí):個(gè)第五級(jí):個(gè)未定級(jí):個(gè)最近2年開展安全測(cè)評(píng)(含風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng))系統(tǒng)數(shù):0個(gè)①崗位信息安全和保密責(zé)任制度:□已建立□未建立本報(bào)告表未列明分值的選項(xiàng)均為統(tǒng)計(jì)調(diào)查項(xiàng),不設(shè)分值,不計(jì)入總分。
(5分)②重要崗位人員信息安全和保密協(xié)議:□全部簽訂□部分簽訂□均未簽訂③人員離崗離職安全管理規(guī)定:□已制定□未制定④外部人員訪問機(jī)房等重要區(qū)域管理制度:□已建立□未建立①信息安全設(shè)備運(yùn)維管理:□已明確專人負(fù)責(zé)□未明確□定期進(jìn)行配置檢查、日志審計(jì)等□未進(jìn)行②設(shè)備維修維護(hù)和報(bào)廢銷毀管理:□已建立管理制度,且維修維護(hù)和報(bào)廢銷毀記錄完整□已建立管理制度,但維修維護(hù)和報(bào)廢銷毀記錄不完整□尚未建立管理制度資產(chǎn)管理(3分)四、信息安全防護(hù)管理情況(小計(jì)37分,得分)網(wǎng)絡(luò)邊界防護(hù)管理(6分)①網(wǎng)絡(luò)區(qū)域劃分是否合理:□合理□不合理②安全防護(hù)設(shè)備策略:□使用默認(rèn)配置□根據(jù)應(yīng)用自主配置③互聯(lián)網(wǎng)訪問控制:□有訪問控制措施□無訪問控制措施④互聯(lián)網(wǎng)訪問日志:□留存日志□未留存日志①服務(wù)器安全防護(hù):□已關(guān)閉不必要的應(yīng)用、服務(wù)、端口□未關(guān)閉□帳戶口令滿足8位,包含數(shù)字、字母或符號(hào)□不滿足□定期更新帳戶口令□未能定期更新□定期進(jìn)行漏洞掃描、病毒木馬檢測(cè)□未進(jìn)行信息系統(tǒng)安全管理(6分)②網(wǎng)絡(luò)設(shè)備防護(hù):□安全策略配置有效□無效□帳戶口令滿足8位,包含數(shù)字、字母或符號(hào)□不滿足□定期更新帳戶口令□未能定期更新□定期進(jìn)行漏洞掃描、病毒木馬檢測(cè)□未進(jìn)行③信息安全設(shè)備部署及使用:□已部署有防病毒、防火墻、入侵檢測(cè)、安全審計(jì)等功能的設(shè)備□未部署□安全策略配置有效□無效
網(wǎng)站域名:_______________IP地址:_____________是否申請(qǐng)中文域名:□是_______________□否①網(wǎng)站是否備案:□是□否門戶網(wǎng)站管理(3分)②門戶網(wǎng)站賬戶安全管理:□已清理無關(guān)帳戶□未清理□無空口令、弱口令和默認(rèn)口令□有③清理網(wǎng)站臨時(shí)文件、關(guān)閉網(wǎng)站目錄遍歷功能等情況:口已清理口未清理④門戶網(wǎng)站信息發(fā)布管理:□已建立審核制度,且審核記錄完整□已建立審核制度,但審核記錄不完整□尚未建立審核制度①電子郵件功能(□開設(shè)□未開設(shè))□已作清理,僅限本部門或有關(guān)人員使用□未作清理□有技術(shù)措施用于控制和管理口令強(qiáng)度□無技術(shù)措施其他應(yīng)用管理(4分)□無空口令、弱口令和默認(rèn)口令□有②留言板功能(□開設(shè)□未開設(shè))□留言內(nèi)容經(jīng)審核后發(fā)布□未經(jīng)審核即可發(fā)布③論壇功能(□開設(shè)□未開設(shè))□已備案2□未備案□論壇內(nèi)容經(jīng)審核后發(fā)布□未經(jīng)審核即可發(fā)布④博客功能(□開設(shè)□未開設(shè))□已作清理,僅限本部門或有關(guān)人員使用□未作清理□博客內(nèi)容經(jīng)審核后發(fā)布□未經(jīng)審核即可發(fā)布門戶網(wǎng)站應(yīng)用管理(15分)日常安全保障(8分)根據(jù)《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》,擬開展電子論壇等電子公告服務(wù)的,應(yīng)當(dāng)向所在地電信管理機(jī)構(gòu)進(jìn)行
專項(xiàng)備案。
2①終端計(jì)算機(jī)安全管理方式:□使用統(tǒng)一平臺(tái)對(duì)終端計(jì)算機(jī)進(jìn)行集中管理□用戶分散管理②帳戶口令管理:□無空口令、弱口令和默認(rèn)口令□有終端計(jì)算機(jī)安全管理(6分)③接入互聯(lián)網(wǎng)安全控制措施:□有控制措施(如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等)□無控制措施④漏洞掃描、木馬檢測(cè):□定期進(jìn)行□未進(jìn)行⑤在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況:□不存在□存在⑥是否存在使用非涉密計(jì)算機(jī)處理涉密信息情況:□不存在□存在①移動(dòng)存儲(chǔ)設(shè)備管理方式:存儲(chǔ)設(shè)備安全管理(4分)□集中管理,統(tǒng)一登記、配發(fā)、收回、維修、報(bào)廢、銷毀□未采取集中管理相關(guān)措施②在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況:□不存在□存在五、信息安全應(yīng)急管理情況(小計(jì)10分,得分)應(yīng)急預(yù)案制定及備案情況(5分)應(yīng)急技術(shù)支援隊(duì)伍(1分)信息安全應(yīng)急演練(2分)信息安全備份(2分)①重要數(shù)據(jù):□備份□未備份②重要信息系統(tǒng):□備份□未備份③容災(zāi)備份服務(wù):□位于境內(nèi)□位于境外□無六、信息技術(shù)產(chǎn)品使用情況(小計(jì)5分,得分)□本年度已開展□本年度未開展□本單位自身力量□外部專業(yè)機(jī)構(gòu)□未明確□已備案□已制定但未備案□未制定
服務(wù)器終端計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備總臺(tái)數(shù):,其中國(guó)產(chǎn)臺(tái)數(shù):使用國(guó)產(chǎn)CPU的服務(wù)器臺(tái)數(shù):總臺(tái)數(shù):,其中國(guó)產(chǎn)臺(tái)數(shù):總臺(tái)數(shù):,其中國(guó)產(chǎn)臺(tái)數(shù):①服務(wù)器操作系統(tǒng)情況:安裝Windows操作系統(tǒng)的服務(wù)器臺(tái)數(shù):安裝Linux操作系統(tǒng)的服務(wù)器臺(tái)數(shù):安裝其他操作系統(tǒng)的服務(wù)器臺(tái)數(shù):②終端計(jì)算機(jī)操作系統(tǒng)情況:安裝Windows操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù):安裝Linux操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù):安裝其他操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù):總套數(shù):,其中國(guó)產(chǎn)套數(shù):①安裝國(guó)產(chǎn)防病毒產(chǎn)品的終端計(jì)算機(jī)臺(tái)數(shù):(含筆記本)使用國(guó)產(chǎn)CPU的計(jì)算機(jī)臺(tái)數(shù):操作系統(tǒng)數(shù)據(jù)庫信息安全設(shè)備②防火墻(不含終端軟件防火墻)臺(tái)數(shù):其中國(guó)產(chǎn)防火墻的臺(tái)數(shù):新購(gòu)信息安全產(chǎn)品強(qiáng)制性認(rèn)證情況3(5分)201*年新購(gòu)信息安全產(chǎn)品通過國(guó)家認(rèn)證的臺(tái)(套)數(shù):,占新購(gòu)信息安全產(chǎn)品總數(shù)的百分比為:七、信息安全教育培訓(xùn)情況(小計(jì)5分,得分)參加培訓(xùn)情況□本年度是否派員參加信息安全相關(guān)業(yè)務(wù)培訓(xùn),人次數(shù):,(1.5分)組織培訓(xùn)情況(1.5分)參訓(xùn)人員比例(2分)培訓(xùn)部門名稱□本年度是否組織開展信息安全教育培訓(xùn),次數(shù):本年度參加信息安全教育培訓(xùn)的人員占總?cè)藬?shù)比例為:八、信息安全檢查情況(小計(jì)12分,得分)信息安全檢查工作情況(8分)檢查工作和經(jīng)費(fèi)落實(shí)情況:□已落實(shí)□未落實(shí)檢查工作方案制定情況:□已制定□未制定安全保密和風(fēng)險(xiǎn)控制措施:□已采取□未采取
組織開展技術(shù)檢測(cè)情況:□已開展□未開展九、信息安全經(jīng)費(fèi)預(yù)算投入情況(小計(jì)5分,得分)經(jīng)費(fèi)預(yù)算(2分)實(shí)際經(jīng)費(fèi)投入(3分)本年度信息安全經(jīng)費(fèi)預(yù)算額:萬元本年度信息安全經(jīng)費(fèi)實(shí)際投入額:萬元十、本年度信息安全事件情況①進(jìn)行過病毒木馬等惡意代碼檢測(cè)的服務(wù)器臺(tái)數(shù):3病毒木馬等其中感染惡意代碼的服務(wù)器臺(tái)數(shù):0惡意代碼4②進(jìn)行過病毒木馬等惡意代碼檢測(cè)的終端計(jì)算機(jī)臺(tái)數(shù):22檢測(cè)結(jié)果其中感染惡意代碼的終端計(jì)算機(jī)臺(tái)數(shù):3①進(jìn)行過漏洞掃描的服務(wù)器臺(tái)數(shù):___4_____,其中存在漏洞的服務(wù)器臺(tái)數(shù):____0____,存在高風(fēng)險(xiǎn)漏洞5的服務(wù)器臺(tái)數(shù):___0_____漏洞檢測(cè)②進(jìn)行過漏洞掃描的終端計(jì)算機(jī)臺(tái)數(shù):___40___,其中存在漏洞結(jié)果的終端計(jì)算機(jī)臺(tái)數(shù):___2___,存在高風(fēng)險(xiǎn)漏洞的終端計(jì)算機(jī)臺(tái)數(shù):門戶網(wǎng)站受攻擊本單位入侵檢測(cè)設(shè)備檢測(cè)到的門戶網(wǎng)站受攻擊次數(shù):情況本年度安全技術(shù)檢測(cè)結(jié)果本年度信息安網(wǎng)頁被篡改門戶網(wǎng)站網(wǎng)頁被篡改(含內(nèi)嵌惡意代碼)次數(shù):情況全事件統(tǒng)計(jì)①使用非涉密終端計(jì)算機(jī)處理涉密信息事件數(shù):設(shè)備違規(guī)②終端計(jì)算機(jī)在非涉密系統(tǒng)和涉密系統(tǒng)間混用事件數(shù):使用情況③移動(dòng)存儲(chǔ)介質(zhì)在非涉密系統(tǒng)和涉密系統(tǒng)間交叉使用事件數(shù):十一、信息技術(shù)外包服務(wù)機(jī)構(gòu)情況機(jī)構(gòu)名稱外包服務(wù)機(jī)構(gòu)1服務(wù)內(nèi)容6□國(guó)有□民營(yíng)□外資機(jī)構(gòu)性質(zhì)本表所稱惡意代碼,是指病毒木馬等具有避開安全保護(hù)措施、竊取他人信息、損害他人計(jì)算機(jī)及信息系統(tǒng)資源、對(duì)他人計(jì)算機(jī)及信息系統(tǒng)實(shí)施遠(yuǎn)程控制等功能的代碼或程序。
5本表所稱高風(fēng)險(xiǎn)漏洞,是指計(jì)算機(jī)硬件、軟件或信息系統(tǒng)中存在的嚴(yán)重安全缺陷,利用這些缺陷可完全控制或部分控制計(jì)算機(jī)及信息系統(tǒng),對(duì)計(jì)算機(jī)及信息系統(tǒng)實(shí)施攻擊、破壞、信息竊取等行為。
6服務(wù)內(nèi)容主要包括:系統(tǒng)集成、系統(tǒng)運(yùn)維、風(fēng)險(xiǎn)評(píng)估、安全檢測(cè)、安全加固、應(yīng)急支持、數(shù)據(jù)存儲(chǔ)等。
4外包服務(wù)合同□已簽訂□未簽訂信息安全和保密協(xié)議□已簽訂□未簽訂信息安全管理體系認(rèn)證情況機(jī)構(gòu)名稱機(jī)構(gòu)性質(zhì)□已通過認(rèn)證認(rèn)證機(jī)構(gòu):□未通過認(rèn)證□國(guó)有□民營(yíng)□外資服務(wù)內(nèi)容外包服務(wù)機(jī)構(gòu)2外包服務(wù)合同□已簽訂□未簽訂信息安全和保密協(xié)議□已簽訂□未簽訂信息安全管理體系認(rèn)證情況□已通過認(rèn)證認(rèn)證機(jī)構(gòu):□未通過認(rèn)證(如有2個(gè)以上外包機(jī)構(gòu),每個(gè)機(jī)構(gòu)均應(yīng)填寫,可另附頁)
填表人:_____________部門/職別:_______________電話:_______________
友情提示:本文中關(guān)于《信息系統(tǒng)安全檢查工作報(bào)告》給出的范例僅供您參考拓展思維使用,信息系統(tǒng)安全檢查工作報(bào)告:該篇文章建議您自主創(chuàng)作。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問題,請(qǐng)聯(lián)系我們及時(shí)刪除。