等级保护自查(精选8篇)
随着我国信息网络事业的飞速发展,信息安全保障能力提到了一个新的高度,我厂信息安全以及信息安全等级保护工作就提到了日常议程上来了。围绕提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设的要求,一年来,我厂认真贯彻落实行业和公司的总体部署,在公司和企业信息化工作的统一部署下,按照突出重点、统筹规划,重点保障基础信息网络和重要信息系统安全的总体要求和原则,狠抓系统维护、培训和流程梳理,促进管理规范,提高系统运行效率。进一步完善企业新的运行机制条件下的信息化管理工作,促进企业信息安全管理工作目标的实现。特别是今年9月以来,我厂在总结以往工作的基础上,通过认真学习和领会《信息系统安全等级保护基本要求》精神,根据公司的统一部署,结合我厂的具体情况,认真梳理和开展了信息安全等级保护这项工作,取得一定成效。现简要总结汇报我厂2011开展信息安全等级保护工作情况。
一、企业开展信息安全等级保护主要工作回顾
1、加强宣传,增强认识,积极推进企业信息安全等级保护工作。为提高企业对信息安全等级保护这项工作的认识,我厂组织信息化管理部门和相关人员认真宣传学习了工业和信息化部文件,大家充分了解到开展定级等工作内容、要求和技术标。一是增强了大家对推行信息安全等级保护制度的重要性和必要性以及信息安全等级保护工作的认识。二是在总结过去工作经验的基础上,确定了将信息安全等级保护工作作为今年网络安全保障工作的一项重要任务来抓。三是采取一定措施,积极推进了公司和企业信息安全等级保护工作。从系统定级、定级评审、系统备案、测评整改、监督检查等五个阶段进行了一些有益的探索。并按照既定的工作目标和时限要求,确保等级保护定级工作保质保量完成。
2、对照要求,认真查找和消除企业信息安全等级保护工作中的差距。信息化管理部门和相关人员通过对照国家和行业有关信息安全等级保护工作文件相关规定和我厂实际,认真开展自查和总结。针对企业现状展开分析和讨论,寻找我厂开展信息安全等级保护这项工作的差距,理清工作思路,进一步确立了企业信息安全等级保护工作思路和目标。一是对企业信息安全总体情况进行了全面摸底,检查了企业信息安全管理、信息安全技术、和信息安全运维三个体系建设情况。二是对信息安全检查中发现的主要问题进行了及时整改,采取了相应的对策和措施。
3、落实组织,建立企业信息安全等级保护工作长效机制。我厂领导高度重视信息安全等级保护工作的开展。企业有关领导和相关信息安全职能部门充分认识到开展信息安全等级保护是保障全市政治稳定、经济发展和社会和谐的有效手段。为适应公司组织机构调整需要,提高企业信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,我厂及时调整了信息化工作领导机构,同时,成立了潞安容海电厂关于成立信息系统安全工作领导小组,进一步落实了信息系统安全工作责任。在落实企业信息安全等级保护工作目标责任基础上,一是重新梳理和调整了企业信息化队伍;二是建立健全了信息安全管理制度;三是落实和发挥了系统备份、安全巡检、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能;四是实现了集中安全管理控制,快速安全事件响应,高可信的安全防护;五是重申了对IT系统和产品开展入网前安全检查,消除安全隐患等几项具体措施。
4、总体规划,分步实施和落实信息安全策略。我厂信息安全规划坚持行业和政策实际,着眼于企业长远的发展目标,以及高新技术迅猛发展的需要,立足企业当前的基础和迫切需要解决的问题。信息安全规划主要是企业部署了网络硬件路由、防火墙和网络防毒墙。实施和应用了中心机房安全监控、火灾报警系统,瑞星网络版企业杀毒软件和上网行为管理系统。机房和综合楼办公楼实施了 UPS供电,建立了中心机房网络雷电防护体系。安全策略主要是针对网络进行了CISCO PIX515安全策略配置,企业内部网络采用了路由和VLAN技术;服务器采取用户和密码登录;各部门上网用户实行等级权限,采用帐户和密码登录方式进行单个PC管理。各个终端运维强调Windows补丁管理,并通过Windows安全策略向用户提供限制性的访问权限,有效地保护了windows机器。
另外,结合企业职业健康安全管理体系建设要求,对供电体系、雷电防护体系缺陷、计算机的安全保护,信息泄露、数据备份、病毒或黑客入侵等危险源进行了认真的辨识,对二级以上危险源都制订了预控措施,明确了各岗位的岗位职责并对相关职责抓好落实。目前,企业信息系统的安全正式纳入烟草行业安全管理信息系统管理,并着手规划建立健全信息安全技术和信息安全运维两个体系建设。
5、完善制度,建立和落实了信息安全保护责任制。自从2009年组建信息系统网络以来,我厂就先后制订并修改了各项信息安全相关制度,坚持对重大节日期间的信息安全保障工作进行专门部署。今年,我厂在加强内部信息化管理制度建设方面,将国家局行业卷烟生产经营决策管理系统五个操作文件纳入了企业贯标管理。另外,为加强企业网络安全与信息管理,适应行业改革与发展机制的需要,企业除执行国家、行业和公司有关信息网络管理法律法规和制度外,内部制订和修订了一系列规章制度(包括预案和管理办法)。这些制度的制订和修改遵循了相关流程,并形成了记录。目前已正式印发的制度主要包括:《计算机和网络信息系统管理办法》、《通信管理制度》、《网络与信息安全事件专项应急预案》、《潞安矿业(集团)公司容海热电厂计算机安全管理规定》、《通信突发事件应急处置专项预案》。制度下发以后,日常开展督导和制度执行力检查,促进信息安全保护责任的落实。
6、抓好人员培训和系统演练,促进企业重要信息系统日常信息安全保护工作落到实处。另外,在下半年的10月和11月,内部分两期采取模拟信息网络及中心机房突发事件、发生网络中断等突发事件,以训带练的形式开展了这两个应急预案的演练。由生技部牵头,安全科、生产(设备)、物资科等相关部门安排相关人员参加了这次预案的培训和演练。培训和演练取得了预期目的。
5、日常认真抓好信息安全检查和系统运维,促进信息安全管理和系统整治规范。为了营造良好的网络环境,保护自身信息的安全,我厂信息化主管部门结合信息技术支持与服务本职,突出工作重点,积极抓好网络安全管理,进一步使安全落到实处。
(一)、坚持日常信息系统运维检查。针对企业信息网络系统管理和因特网上病毒和欺骗木马程序(病毒)攻击猖獗现状,信息化主管部门日常组织开展了专业性和群众性的信息及安全检查,集中消除和治理安全隐患,杜绝各种信息安全事故发生。
(二)、定期开展信息系统管理制度执行情况检查。按照企业制度督察检查办法,信息化主管部门编制了《计算机网络系统管理办法检查表》,对照信息系统管理制度内容开展对各部门和各岗位以及重点部位、重点项目检查,形成检查记录。
(三)、结合节假日和安全生产月、6S以及内部审核活动等开展信息网络安全专项检查。按照节假日和安全生产月、6S以及内部审核活动要求,开展网络设备全面检查和现场清理整顿工作,(1)是检查全厂各部门采用集线束对办公设备连线的整理规范状况;(2)是重点对两个机房以及各网络交换点场所的开关线路和周围杂物及时进行清理。对检查发现的问题,尤其是严重对网络系统造成安全隐患的项目立即下达通知整改,使问题消灭在萌芽状态,促进信息网络安全监督检查到位,安全记录真实规范。(3)是按照电力行业严格规范的总要求,对全厂网络的一些历史遗留问题和以往布线(电话线、有线、网线等)凸显瑕疵的地方,结合厂区布局的规范化,结合网络规范和6S管理要求,严格按相关标准进行了一次全面清理。
二、企业信息安全工作存在的问题是和改善工作意见或建议
1、企业在网络审计、安全设备统一管理、网站防篡改、行业数字证书(CA)认证等系统方面的建设工作未开展,建议公司加强企业信息安全技术体系建设这些方面给予特别支持和引导。另外,指导企业对信息系统备份措施的检查,包括检查的方法和内容。
2、公司对国家局行业生产经营决策管理系统的安全运维今年正式进行了部署,建议对每次巡检发现的问题能给予统一解决和处理。另外,指导企业开展网络和应用系统应急预案的编制和演练。
三、2012年企业信息安全工作重点
信息安全管理的对象是计算机网络和相关硬件系统以及在此系统上构架应用的软件和信息系统的决策规划、效能应用、系统安全、网络监察、个人上网等一切网络管理行为。而信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。为此,需要做好以下安全防范工作。
1、明确各层组织机构和人员的信息和信息网络安全责任,实现组织和人力上的安全保证;
2、组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;
3、规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施各系统配置和标准化设置,便于安全的维护和加固,实现基础管理上的安全保证;
4、除采用相应的物理防火墙和安全软件外,做好应急预案是确保万无一失的第一步,实现技术上的安全保证;
5、组织好本单位内的项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,实现规划和应用上的安全保证;
6、定期组织开展信息和网络安全检查活动。通过对现场检查和清理,系统的监管,促进网络现场规范,营造一个整洁、规范、安全、高效的网络和信息系统环境,实现环境上的安全保证。
信息安全等级保护是[1,2,3]指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级,第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
根据信息安全等级保护制度,等级保护工作主要分定级、备案、建设整改、等级测评和监督检查五个环节。
2 等级测评
等级测评是[4,5]指具有相关资质的、独立的第三方评测服务机构,受相关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,等级测评是信息安全等级保护实施中的一个重要环节。
2.1 等级测评内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
2.2 工作单元
工作单元是安全测评的基本工作单位,对应一组相对独立和完整的测评内容。工作单元由测评项、测评对象、测评方式、测评实施和结果判定组成,如图1所示。
测评项描述测评目的和测评内容,与信息安全等级保护要求的基本安全控制要求相一致。
测评方式是指测评人员依据测评目的和测评内容应选取的实施特定测评操作的方式方法,包括三种基本测评方式:访谈、检查和测试。
测评对象是测评实施过程中涉及到的信息系统的构成成分,是客观存在的人员、文档、机制或者设备等。测评实施是工作单元的主要组成部分,它是依据测评目的,针对具体测评内容开发出来的具体测评执行实施过程要求。
结果判定描述测评人员执行完测评实施过程,产生各种测评证据后,如何依据这些测评证据来判定被测系统是否满足测评项要求的方法和原则。
2.3 等级测评过程
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
2.4 等级测评结果的重要性和复杂性
等级测评是判定信息系统是否满足基本要求的方法。对于已经确定安全保护等级的系统是否满足对应等级的基本要求,是需要通过信息系统安全等级测评来进行判断的。另外,等级测评的结果也是国家信息安全监管部门依法行政管理的技术依据。
对于不同安全等级、不同类型的信息系统,在进行等级测评时基本要求中安全措施的选择是不同的,这就要求不同的等级测评过程和不同的测评结果判定方法,增加了评估的复杂性;即使对于一个信息系统,也需要在基本要求中从不同的技术类或管理类中选择非常多的安全措施,每一项安全措施都对应一个测评结果,最终的测评结果应由众多的单项测评结果综合而得,这个过程也是相当复杂的。
3 CAE模型中的等级测评
在信息系统的安全测评中,为了获得测评对象的评估结果,首先要开展测试,其方法是先对测评对象的安全空间域进行划分,形成安全子空间域;然后定义支撑形成安全子空间域安全子声明的安全因素;最后针对各安全因素收集安全证据。这个过程跟CAE模型中自上而下的分解过程是一致的。
而在进行评估时,依据自下向上的方式进行逐层评估,这个过程跟CAE模型的推理过程是一致的。
并且,CAE模型自身具有很强的层次性和结构性,采用该模型能够在一定程度上简化复杂的信息安全测评过程。
因此,CAE模型作为一种基于证据链的推理模型,描述了一个合理而有效的测评框架,且能够一定程度的简化信息安全测评过程。目前CAE模型已被广泛应用于信息安全及其测评过程中。文献[6]和文献[7]介绍了在信息安全保障中的CAE模型,并指出信息安全保障过程是符合CAE模型的证据推理结构的;文献[8]将CAE模型运用到信息安全风险评估中,得到一种有效的定量化的信息安全风险评估方法;文献[9,10]根据评估过程的实际需要在《信息系统安全保障评估框架》标准基础上建立了CAE模型证据推理链。
为了解决等级测评结果判决的复杂性,能够在众多的单项测评结果中条理清楚的得到最终的测评结果。我们将CAE模型引入到等级测评中,对等级测评的过程按照证据-论证-声明的结构进行体系化。
3.1 CAE模型
Claim Arguments and Evidence是表示联系安全论据组件的简单有效的标记法。
1) 安全证据(Evidence)
Evidence作为评估证据,是系统中可直接得到的,支持Claim或Subclaim的一致同意的既定事实,一般是可以从实际测评结果中得出的数据信息。在CAE模型中,Evidence位于模型底层,支撑着上层的Argument和Claim。
2) 安全论据(Argument)
多个Evidence经过某种测量和推理后能够形成某一类的Argument。Argument为连接Claim和Evidence的桥梁,Argument的作用是简明地解释Claim和Evidence之间关系,清晰地描述Claim是如何被证明的:
(1) 证据是如何被收集和解读的?
(2) 什么证据支持这个Claim?
Argument支持Claim结构的建立,将高层次和较大的目标分解为一系列的小的Subclaim。
3) 安全声明/子声明(Claim/Subclaim)
多类Argument经过融合形成Subclaim或者最终的Claim,在安全测评中即评估结果。
每个Claim可以看作是一个命题,是一个对预期结果、度量目标的描述。一个典型的Claim具有如下特点:
(1) Claim应是有界限的;
(2) Claim不应是开放的;
(3) Claim应是可证明的。
在定义了CAE模型的三个要素后,就可以进行CAE模型的分解过程。CAE的分解过程就是从最顶层的Claim一直分解到由Evidence具体支持的Subclaim。简单的CAE模型结构如图2所示。
由图2可以得出,在分析系统的CAE结构时,采用由上而下的分析顺序,从顶层的最终结果开始,逐层进行C-A分解,根据不同的Subclaim分支,继续向下分解为一系列的Evidence。
而进行实际测评的时候,通常是由下而上的分析顺序,因为Evidence是可以直接测评得到的,有了Evidence的底层支持,我们才可以继续向上逐层进行评估分析,最终得到评估结果Claim。
3.2 等级测评的CAE建模
根据CAE的分解原则,在等级测评中,可以认为最终定级得到的等级为Claim,其对应的Argument即为安全技术测评和安全管理测评两个测评类的测评结果组合。依次往下,安全技术测评可以作为一个Subclaim,对应的Argument为物理安全、网络安全、主机安全、应用安全和数据安全五个测评层面的测评结果的组合;安全管理测评可以作为另外一个Subclaim,对应的Argument为安全管理机构和安全管理制度两个测评层面的测评结果的组合。每个测评层面都由众多的测评单元支持,而测评单元由测评项支持,按照分解原则,可将测评单元作为测评层面的Subclaim,测评项作为测评单元的Subclaim。在最低层次上,测评项作为最后一级的Subclaim由Evidence(优势证据)来直接支持。优势证据是多种不同测评方式的测评结果按照一定的推理方法得到的最终证据。图3给出了CAE下等级测评的一般模型。
下面通过对安全技术测评中物理安全的物理位置选择的三个测评项和物理访问控制的四个测评项进行CAE建模,验证该一般模型的有效性,假设通过各种测评方式得到的测评结果有3个,如图4所示。
对安全管理测评可以进行同样的操作,例如对安全管理机构的岗位设置的四个测评项进行CAE建模,假设通过各种测评方式得到的测评结果有3个,如图5所示。
由图4和图5可见,将等级测评代入CAE模型中后,能够清晰辨识实际系统的组合和传递的逻辑关系,按照一定的推理方法从3种不同测评方式得到的测评结果,我们就可以得到各项的测评结果。然后,根据CAE的层次结构,可以由各测评项的测评结果最终得到整体的测评结果。
一般认为等级测评的复杂性和困难度主要存在于测评指标的选择和测评结果的融合两个方面:
1) CAE建模后的测评指标选择
根据Claim的等级要求,可以得到其对应的Argument,即安全技术测评和安全管理测评的要求,基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全5个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个层面提出,每个层面都可以看作为一个Subclaim。根据信息系统的定级结果,对应指标层面级的每个Subclaim,都可以得到对应等级的S类、A类和G类的安全指标子项。将安全指标子项作为Subclaim,其对应的Argument即为具体测评项的组合。具体的测评项是最低一层的Subclaim,由优势证据来直接支持。
可以看出,使用CAE模型后,将等级—准则层—指标层—指标项—指标子项的5层测评指标选择体系简化为Claim—Argument两个层次。测评指标的选择即为确定一系列的Argument,当得到指标项的Argument后,即可得到其Subclaim(指标子项),测评指标的选择工作结束。
2) CAE建模后的测评结果融合
等级测评复杂性的另外一方面是等级测评结果的融合。首先,要将各种不同测评方式得到的不同测评结果进行融合,即由很多证据得到优势证据。优势证据即为指标子项的测评结果,指标子项的结果合成为指标项的结果,指标项的结果合成为指标层的结果,指标层的结果合成为准则层的结果,最后,准则层的结果合成为最终的测评结果。
使用CAE模型后,因为Argument包含了其下一层的Subclaim的所有指标及这些指标之间的关系,对于这一层的融合过程就可以直接在该Argument中进行。如图6所示的简单CAE模型。
假设Subclaim1到Subclaim5的结果已知,为了简单起见,我们分别设为1、0、1、1、1,由Argument里面包含的内容和逻辑关系可得Claim的结果应为1+0+1+1+1=4。
4 结 语
信息安全等级保护是国家提高信息安全保障能力和水平、保障和促进信息化建设健康发展的一项重要措施。而等级测评是信息安全等级保护实施中的一个重要环节。CAE模型中的分解和推理过程分别与信息安全测评中的安全因素收集和逐层评估过程是一致的,由于CAE模型具有很强的层次性和结构性,所以被广泛应用于复杂的信息安全测评过程中。本文将CAE模型应用到等级测评中,将复杂的测评过程分为Claim、Argument和Evidence三个环节,实际结果表明:等级测评的过程完全可以归纳入CAE模型中,其测评过程与CAE模型的推理过程是一致的;使用CAE模型可以结构化等级测评的过程,简化了测评指标的选择和测评结果的融合。本文结论进一步验证了等级测评的有效性和合理性。
摘要:CAE模型具有很强的层次性与结构性,被广泛用于复杂的信息安全测评过程中。采用CAE模型对等级测评的过程进行建模,将测评过程的多个层面简化为声明-论据-证据三种层次,并从测评指标的选择和测评结果的融合两个方面具体说明了CAE模型的作用。结果表明等级测评的过程完全可以归纳入CAE模型中,等级测评的过程与CAE模型的分解和推理过程是一致的,进一步验证了信息安全等级保护标准支持下的等级测评的有效性和合理性。
关键词:等级保护,等级测评,CAE
参考文献
[1]GB/T22239-2008信息系统安全等级保护基本要求[S].
[2]GB/T22240-2008信息系统安全等级保护定级指南[S].
[3]GB/T25058-2010信息系统安全等级保护实施指南[S].
[4]信息系统安全等级保护测评过程指南报批.
[5]信息系统安全等级保护测评准则报批.
[6]Nikolai Mansourov,Djenana Campara.System Assurance[M].Burl-ington,USA:Morgan Kaufmann Publishers,2011.
[7]Robin E Bloomfield,Sofia Guerra,Marcelo Masera,et al.AssuranceCases for Security[R].Washington DC,USA:Assurance Case Work-shop,2005.
[8]张雪芹,江常青,林家骏,等.基于符合性判定的CME信息系统安全风险评估模型[J].清华大学学报,2010,50(S1):66-71.
[9]徐萃华,林家骏,张雪芹.基于证据推理及评估用例的信息系统安全评估模型[J].华东理工大学学报,2010,36(6):818-824.
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
二0一一年十一月十五日
近年来,我院党委在局党委的强力领导下,以深化医药卫生体制改革为主线,以创建全国文明诚信医院暨山东省医院等级评价工作为契机,团结带领全院广大干部职工,牢牢把握“质量与安全”工作核心,严格按照“山东省综合医院评价标准及实施细则”要求,开展了大量卓有成效的工作,为促进医院各项工作快速、健康、可持续发展,为践行“三好一满意”活动奠定了坚实基础,取得了良好的社会效益、经济效益、技术效益,得到了各级党委及社会各界的一致好评。现将医院等级评审自查情况汇报如下:院党委高度重视医院等级评审工作,从细节入手、于宏观调控,科学谋划,齐头并进、狠抓落实,为促进医院又好又快发展夯实基础。我院自1994年被山东省卫生厅评审为二级甲等综合医院以来,历届院领导及广大干部职工严格按照二级甲等综合医院管理标准,规范管理、狠抓落实,医院各项工作得以健康、可持续发展。自2008年以来,市卫生局连续三年组织了科学、严谨的医院等级评价督导检查,针对我院实际情况提出了科学、公正的意见与建议。我院党委高度重视局领导和专家组提出的中肯意见,每年均召开多次专题会议,从细节入手、于宏观调控,科学谋划、积极整改,齐头并进、狠抓落实,在依法执业,科学管理,医院病房调整、改扩建,高精尖设备购置,新综合病房楼建设,人才队伍培养、引进与储备,中层干部队伍建设,文化建设,内涵建设等各个方面均高标准、严要求、重实效,相继推出了优秀科主任、护士长量化赋分评比,优质护理示范病房评比、职工带薪休假等一系列卓有成效的新举措,为夯实二级甲等医院建设乃至申报三级医院夯实了坚实基础。进入2011年来,我院进一步将医院评价标准作为医院规范管理的科学依据,以“深入基层、服务群众”活动为载体,更加注重从提高医护人员的质量意识、规范管理意识和以人为本的服务意识着手,主要领导与职能部门管理人员,深入一线科室广泛开展调研活动,切实发现问题,有效解决问题。10月份庆祝医院建院60周年暨综合病房楼封顶仪式活动的成功举办,极大地激发了全院干部职工“爱院、兴院”的热情。1—10份医院各项管理指标及经济运行数据显示,2011年将又是一个经济效益与社会效益双丰收之年。2011年11月
10日市卫生局开展部署医院评审工作之后,我院立即召开党政联系会议专题研究、部署迎评工作,成立了以局副巡视员、党委书记、院长李宗宝为组长的管理评审工作领导小组和办公室及六个质量小组,按照山东省卫生厅综合医院评价标准及实施细则,逐条自查整改,督导落实。经过认真地准备与自我评估,认为目前条件成熟,经医院研究,正式向市卫生局提出医院等级评审申请。
二、依法执业,科学管理,不断提升医院综合水平依法执业,科学管理,(一)依法执业我院严格执行医疗卫生管理法律、法规和规章。《医疗机构执业许可证》合法有效,按时校验。法人、床位数或诊疗科目等注册事项发生变化及时变更。无擅自改变或加挂机构名称及诊疗中心名称。医院人员严格遵守医疗卫生管理法律、法规及规章,定期组织学习《执业医师法》《传染病防治法》《献血法》《医疗机构管理条例》《医、、、、疗事故处理条例》等法律、法规,每年大于两次。严格按照卫生行政部门核准的诊疗科目执业,无非卫生技术人员从事诊疗活动。建立健
全各项规章制度和岗位责任制。进一步加强了放射诊疗管理,对医院所开展的诊疗技术进行了建档管理,实行了新技术新项目审批管理制度。认真落实“两非”专项整治方案精神,坚决杜绝医务人员参与非法器官移植。各科室、专业名称规范,不存在科室、病区、诊室出租、转让现象。医疗广告审查规范,无违法、违纪行为的发生。
(二)组织机构和管理
1、我院管理组织机构设置合理,能够满足医院各项管理工作需要。行政人员占职工人数的比例小于20%。我院实行院长负责制,院级领导把主要精力用于医院管理工作,积极推进医院管理职业化进程。院级领导接受市级以上卫生行政部门组织的医院管理专业知识培训,了解和掌握国家有关卫生管理法律、法规和规章以及有关卫生政策。建立院、科两级管理责任制,落实奖惩制度。求真务实、科学规范的制定了医院十二五发展规划及2011年工作计划,并经职代会讨论通过。自2008年以来,建立推行“优秀科主任、护士长评选”,重奖各项技术比武中的获奖人员。
2、进一步完善与规范医疗质量管理、病案管理、应急管理、传染病管理、院感管理、药事管理、输血管理等医疗管理组织,定期召开管理会议。做到会前抓调研、会中抓效率、会后抓落实,确保求实效。
3、医院高度重视文化建设。多年来,我院始终坚持将文化建设作为“凝心聚力、提升素质”的重要抓手。注重将文化建设与日常工作相结合,老干部科多年坚 持定期组织走访、查体、旅游等活动,自2009年工会组织实行职工带薪休假外的“旅游假”,组织女职工才艺比赛等活动,设立工伤慰问金、发放职工结婚爱心基金。2010年我院工会被授予“全国模范职工之家”称号。进入2011年,我院以建院60周年为契机,成立了院庆工作领导小组及办公室,不断改善医院院
容院貌,设立了文化墙、改建了医院西门,悬挂庆祝条幅,营造了积极向上的医院氛围。整理档案资料编写《济南市第三人民医院院志》;征集组织稿件编写《风雨甲子如歌岁月》征文集;搜集、整理照片制作《济南市第三人民医院辉煌六十年》画册,组织全院职工千余人拍摄全家福合影;组织相关人员拍摄《信念走过六十年》专题记录片;组织院庆60周年图片展。
(三)人力资源管理
1、制订了与医院发展相适应的人才培养规划与人力资源配置方案,如《济南市第三人民医院博士研究生培养及引进暂行规定》。目前,医院卫生技术人员占全院总人数的83.7%;护理人员占卫生技术人员数的69%;护理人员:床位=0.79:1;病房护士:床位=0.46:1。
2、继续完善医学教育帐户专款专用制度,住院医师规范化培训人员网上注册、培训、报考、登记工作规范、齐全。
3、聘用人员结构、梯队合理。圆满完成了每轮次的职称聘任工作,做到无上访,无纠纷。目前各临床科室医生配备都能满足三级查房需求;卫生技术人员:床位=1.48:1。护士配置基本满足等级护理要求。重点学科主任均由副主任医师以上人员担任。制定、实施了人员培训计划,全面加强医师队伍建设。科主任护士长参加院内管理培训和法律知识培训率95%;医疗、护理、医院感染管理等部门主任接受相应管理和法律知识培训100%。积极推行“聘请客座教授扶持专业发展”工作。全方位加大青年医师、特别是合同制医师队伍的管理。定期召开“合同制”职工座谈会,听取大家意见、建议,不断提高奖金等福利待遇。同时加大对青年医师队伍的业务管理。近年来,随着我院的快速发展,每年都有大批青年医师进入到临床一线。如何切实有效提
高青年医师的培养质量,快速提升其独立工作的能力,不断强化整体素质的培育,是我们在新形势下所面临的“老问题、新考验”。医学是一门实践科学,转科是培养青年医师的有效实践形式,强化医师转科管理具有重要的现实意义和长远的战略意义。医院要求全院各级管理者和各级医师,特别是临床科室主任,务必以高度的责任感加强对青年医师的转科管理。通过建立规范、科学的转科培养管理机制,确保青年
医师队伍的快速成长。
(四)医疗与应急管理
1、医务科、护理部、门诊部等医疗管理职能部门,切实加强了对临床、医技、药学部门的质量管理、评价和监督工作,对急诊科、手术室、ICU等重点部位有专门监管制度。
2、医院有重大抢救、医疗意外、重大院内感染等医疗风险的预警机制和应急预案。各职能部门能及时、妥善处理医疗纠纷,协调医患关系。制定突发事件应急预案并组织演练。能承担突发公共卫生事件和灾害事故的紧急医疗救援任务。能及时、妥善处理医院内部发生的突发事件。
3、进一步建立完善了突发公共卫生事件应急处理与救治体系,制订了人员紧急替代制度、院内、外各种突发事件等应急预案。多年来,我院圆满完成了多起突发公共卫生事件和灾害事故的应急救治和大型活动的医疗保障任务,其快速反应、有效应对、规范处置的整体能力,得到了社会的认可,已成为我院的优质服务与业务品牌,受到了各级领导的高度评价。
(五)教学与科研管理
1、我院于2007年12月被评为济宁医非隶属附属医院,目前承担着济宁医、山东省医学高等专科、济南卫校等院校的临床带教工作以及周边基层医院、卫生院的进修带教、乡镇卫生院全
科医师规范化培训、全科医生转岗培训等。
2、医院高度重视临床教学工作,成立了以院长为主任委员、各临床带教科室负责人为委员的教学管理委员会;设立内、外、妇、儿、五官、影像、护理七个教研室,并设有专职主任,各科室均设有兼职教学负责人。
3、每年定期召开医院教学工作会议,制订下一教学计划,部署教学任务,教学活动资料均由科教科、各教研室、临床科室三级存档。
4、教学师资队伍梯队合理,师资队伍符合临床教学编制要求,严格按照济宁医兼职教师评聘要求每两年聘任兼职教师一百余人。
5、医院成立了科学技术委员会,制订了2009-2012年科教科五年发展规划,规定各级人员科研目标,将科研管理与继续医学教育挂钩,有相关科研管理制度与奖励办法,设立专项科研基金。吸取先进科研管理经验,对申报立项课题、立项课题中期管理、项目经费匹配、项目资料存档等环节规范化管理,取得了较好的效果。医院每两年召开一次科技人才大会,表彰奖励在论文、科研、新技术项目中有突出成绩的业务技术人员。积极组织鉴定课题报奖,近三年来,我院共鉴定21项课题,均达国内领先或国际先进水平,先后有6项课题获山东省科技进步奖、济南市科技进步奖及山东中医药科学技术奖等。
6、自2002年始我院按照上级要
求开展继续医学教育工作,成立了医院继续医学教育委员会,制定了医院《继续医学教育实施方案》等文件并下发实施。每年初都根据医院实际情况制定相关的继续医学教育工作计划,经院继续医学教育委员会讨论审议后下发科室组织实施,每年底对照计划,认真总结经验找出不足,改正提高。
(六)卫生支农与妇幼卫生工作卫生支农与妇幼卫生工作
1、卫生支农工作。多年来,我院始终将卫生支农工作作为一项政治任务来抓,圆满地完成了上级交办的各项任务。严格按照省卫生厅、市卫生局《关于实施“卫生强基工程”的意见》精神,不断加大对商河龙桑寺卫生院、唐王白云分院及高新区、全福社区两个卫生服务中心的支持和帮扶力度,2010年5月与历城区董家卫生院建立合作医院进行对口帮扶。2011年又按照省卫生厅统一安排,与德州市平原县人民医院建立了对口帮扶关系,并务实开展工作。
2、妇幼卫生工作。按照《母婴保健法》等法律法规加强对妇幼各项工作的管理,各类报表均按历城妇保所要求进行专人、定时、准确纸(网)报;高危孕产妇管理率达100%。门诊高危孕妇专人登记建册,定期复诊,电话随访,定时月报。新生儿听筛率达99.6%,足筛99.6%。巩固爱婴医院成果,母乳喂养除个别乙肝母亲母乳中病毒含量高,不适合喂养,个别新生儿有异常需离开母亲治疗外(好转或治愈后进行母乳喂养),纯母乳喂养率达95%以上。
(七)信息管理
1、医院认真落实济南市医疗卫生单位信息化工作考核评估办法,成立了专门的信息化建设领导小组和专门的信息化建设管理机构,严格按照济南市卫生系统信息化建设规范的要求,开展我院的信息化建设工作。
2、为切实保证信息化建设的顺利进行,医院制定了包括《网络安全管理制度》《网络工作站管理制度》《数据备份工作制度》《计、、、算机安全保密制度》等一系列的管理制度,并且为了保证全院网络系统的正常运行,制定了切实可行的网络故障应给预案。在平时的维护工作中做到严格按规程工作,管理有日志,工作有记录。
3、我院自2004年开始使用医院信息管理系统(His系统),该 系统完全符合《医院信息系统基本功能规范》的要求。2010年11月开始使用实验室信息系统(lis系统);1998年开始引进清华同方的网络期刊检索系统,2009年9月对我院原有网站进行了改版,2008年5月建成并开始使用办公自动化(OA)系统。通过网络实现了信息的高度共享,提高了办公效率。另外我院还拥有一套远程视频继续医学教育系统。我院信息系统正在
进行升级,目前升级工作已接近尾声,电子病历、临床路径、和无线医护等系统的引进工作也正在进行,待升级工作结束后马上就会进入具体的实施阶段。
4、高度重视信息系统安全管理。2007年升级了数据存储系统,将原来的普通存储升级为全光纤磁盘阵列,并且引进了第三方的数据备份软件,进一步增强了数据存储的安全性,内网系统配备了网络版杀毒软件和硬件防火墙,为了加强网络的管理又引进了北信源的内网安全管理软件一套,外网管理方面购买了深信服公司的上网行为管理系统,实现了网络系统科学化、规范化的管理,同时也保证了网络系统的运行安全。
(八)财务管理
1、认真学习国家财经法律法规政策,严格执行《事业单位会计制度》及《医院财务会计制度》,按照国家有关规定,制订医院财务工作管理规范,合理组织医院收入、支出。
2、建立健全财务管理各项工作制度(包括财务科工作制度、稽核制度、固定资产管理制度、财务分析制度、会计内部监督制度、财产清查制度等),完善医院预算、决算管理规定,强化岗位责任制,进一步完善医院内部财务管理制度、内部审计制度、内部稽核制度,设有审计科专门机构负责内部审计工作,发挥有效监督作用。
3、建立有效的医院奖励与考核制度,设有经管办专门负责医院经济运营情况管理工作,核算科室收入支出,做好科室成本核算工作,与医院奖惩与考核制度相结合,充分调动和激动科室工作人员积极性。
4、严格实行国有资产动态管理制度,对国家资产的购进严格执行政府采购制度,对固定资产的处置、报废工作严格遵守财政局的相关报批制度。国资办设有专人负责全院国有资产管理,做到每年的固定资产清查制度,真正做到帐实相符。
5、规范经济决策程序,对国有资产购进、高值耗材、基建项目、大型医院设备购进实行严格的招标制度,按照合同合理购进使用。
6、实行医院重大事项集体讨论制、领导负责制和责任追究制,坚决杜决在重大事项上发生一言堂的现象。
(九)医院建设、设备、安全和后勤管理医院建设、设备、1、医院被确定为七大卫生区域中心之一,发展符合区域卫生规划和医疗机构设置规划。
2、医院建筑符合《综合医院建设标准》和《综合医院建筑设计规范》,布局体现“以人为本”,能够满足医疗服务流程需要。财务、药库、药房、档案室等部门均安装了电视监控系统,做到定期安检,并有记录。
3、设备、设施安全运转,有应急措施。电力、水、废弃物、通风设备、医疗气体等关键系统均有专人管理,定期检查维护,并有维修保养计划和记录。拥有济铁线、化肥厂双路供电系统。
4、器械管理制度齐全,职责明确,并有大型设备事故应急预案等相关管理制度;大型设备巡检、维护、保养到位,建有可行性分析表及配置许可证,档案完备;严格执行卫生耗材采购管理制度,一次性材料三证齐全。
5、保卫科具体负责实施安全管理程序,有应对火情、烟雾及其他紧急情况的应急预案。消防通道畅通,消防设施齐全,标志醒目,设有消防预警系统。有全院消防系统布局图,专人管理消防设施,有定期检查更换计划和记录。有火灾事故的应急预案并定期培训、演练,有演练记录;紧急状态时由总值班、保卫科负责外界联络工作。顺利完成公安部关于消防四个能力的检查。
6、后勤服务流程规范,物资配送及时。
根据《省妇幼保健机构管理评审办法》,我们按照《省妇幼保健机构管理评审实施细则》,逐条进行检查,现将自查情况报告如下:
一、机构管理
1、依法执业:我院严格执行医疗卫生管理法律法规和各项规章制度。一是按时校验《医疗机构执业许可证》。院内诊疗科目与襄樊市卫生局核准的科目一致。保健科室设有儿童保健科、妇女保健科和围产期保健科等三个一级科目;临床设有妇科、产科、儿科和外科;医技科室设有药剂科、检验科、手术室、功能科和放射科以及消毒供应科,各科配有相应的设备。我院目前开放床位120张。二是专业技术依法准入。我院依照《执业医师法》和《母婴保健法》等规定,严格专业技术人员资格准入,无超范围执业现象发生。此外,我院依法开展了THOCH和唐氏筛查、结扎手术及终止妊娠手术、助产技术服务以及新生儿疾病筛查、新生儿听力筛查、出生缺陷监测、预防艾滋病母婴传播等母婴保健技术服务。三是加强法律法规和规章的学习。我院将有关法律法规和各项规章制度、岗位责任制汇编成册,下发至每位职工,并经常组织职工进行培训,让广大职工熟知,在日常工作中认真执行。
2、组织机构管理:
(1)合理设臵组织机构。我院建立了健全的职代会,定期召开职工代表大会,决定单位重大事项;健全了院务公开和财务公开制度,各项工作有院领导分管;独立设有医务科、保健部、护理部、信息科、健教科、人事科和后勤科,各科制定有明确的职责。
(2)实行院科两级管理责任制。市卫生局每年对院长制定有目标责任制,实行院长负责制,明确了科主任(护士长)是各科室管理的第一责任人,定期进行考核,严格执行奖惩制度。
(3)制定有中长期发展规划。我院制定有切实可行的中长期发展规划和工作计划,并有组织实施的措施和实施记录。
3、人力资源管理:我院制定有人力资源配臵方案、卫生技术人员培养和梯队建设制度、业务培训制度和初中级专业技术人员轮流进修制度,并有执行这些制度的记录。卫生技术人员配备合理,全部实行岗位职务聘任制和评聘分离制。
4、科研管理:院内制订了科研管理制度和科研计划,并有两项科研成果获枣阳市级科技进步奖。
5、医疗、医技、药事、输血管理:成立了医疗质量管理、病案管理、药事管理、医院感染管理和输血管理等五个委员会,制订有相应的工作制度和工作职责,定期召开会议,研究部署质量和安全改进工作;制订有重大抢救、医疗意外、重大院内感染等医疗风险的预警机制和应急预案;建立了纠纷接待、登记、调查和处理机制。
6、应急管理:我院制定有突发事件应急预案,成立承担紧急医疗救援任务的科室,负责各项急救的协调处理。
7、信息系统:信息科专门负责院内信息资料的收集、整理和分析及上报。定期进行检查,及时进行整改。
8、财务管理:我院严格执行《会计法》、《医院会计制度》、《医院财务制度》和《事业单位会计核算制度》,一切财务收支、核算工作都纳入财务科统一管理。会计档案做到专人管理、专柜和专室保存;各种会计账目(账簿)设臵完整、科学、合理、规范。每季度对财务收支进行分析,严格按照收支预算执行,认真执行院科两级奖金核算分配制度。
9、建设、设备和后勤保障管理:房屋建设和装修都体现了“以病人为中心”的服务理念,病房建有卫生间和淋浴设施,布局合理,采光好;大型设备购进实行招投标,健全保养维修制度;后勤服务做到“三下”,确保全院“三通”。
二、保健质量管理与持续改进
1、保健质量管理:(1)认真组织实施规划。我们按照妇幼卫生发展规划,编制每年工作计划,指导基层逐项进行落实,确保各项指标任务的完成;定期开展调查,及时进行分析,为上级决策提供科学依据;定期召开例会,进行培训,规范儿童和孕产妇保健系统管理;开展孕产妇和围产儿死亡评审活动,找出干预对策,努力控制孕产妇和围产儿死亡率。(2)加强基层指导。制定有基层指导计划,指导内容包括产科质量建设、孕产妇和儿童保健系统管理、妇女病查治、母乳喂养技术指导等,做到指导有记录,检查有结果,有反馈意见。
2、妇女保健质量与持续改进:妇女保健业务主要开展有围产期保健、高危妊娠管理、妇女病查治、更年期保健、乳腺保健、产前筛查、新生儿疾病筛查和计划生育咨询指导等,业务用房达150㎡。
3、儿童保健质量与持续改进:目前,我院儿保科业务用房总面积为90㎡,开展了儿童保健系统管理、托幼机构卫生保健管理、儿童营养监测、微量元素测定、智力测验、预防接种、铅污染防治、眼保健、口腔保健、听力保健等,配齐了相应的设备,按照技术规范进行管理。
4、妇幼卫生信息管理:我院固定1人专门从事妇幼卫生信息工作,负责信息资料收集、上报。全市建立了市、镇、村三级网络,各级建立有插卡式的儿童和孕产妇系统管理一览表,原始资料登记齐全。同时,每年在全市范围内开展补漏调查,加强质量控制。
5、健康教育:我院配备有电视机、影碟机等健教器材。每月定期开办孕妇学校二期、家长学校一期,“六一”前举办健美儿表彰活动和婴幼儿爬行比赛。此外,还组织上街宣传,发放健教资料。
五、医疗保健服务
1、尊重患者知情选择权,维护患者合法权益。一是我院开设有普通门诊和专家门诊,全部免挂号费;住院部设有单人间和双人间,供病人选择。二是在手术、麻醉、输血、孕妇HIV抗体检测、大型检查等诊疗过程中,征求病人及其家属意见,签署书面知情同意书,随病历长期保存。三是建立医患沟通制度和投诉接待处理制度,定期收集病人对我院服务的意见,主动与病人进行沟通,建立和谐的医患关系。
2、改进服务方式和医德医风,规范诊疗服务行为。(1)廉洁行医。制定了医德医风奖惩制度和廉洁行医制度,医务人员无收受红包、物品和有价证券行为,无收受药品、医疗设备回扣现象。(2)实行首诊负责制。建立了责任追究制度,严禁推诿病人现象发生。(3)落实服务监督措施。定期召开公休会,组织病人或家属座谈,虚心听取意见,及时进行改进。聘请社会监督员,发放征求意见表,查找医疗服务中存在的问题,便于进一步改进服务质量,规范诊疗服务行为。
寨卫发„2010‟75号
关于迎接乡镇卫生院等级评审
工作的自查报告
区卫生局:
按照甘肃省卫生厅2010年6月修订的《甘肃省乡镇卫生
院等级评审标准》文件精神,我院组织相关人员进行了周密仔细的自查自评工作,现将自查结果汇报如下:
一、基本情况
寨河中心卫生院位于寨河回族乡瓦赵村梨园街1号,全
乡12个行政村,75个合作社,15040人,居住较为分散,西接西阳、大秦乡,北靠宁夏彭阳县的红河乡,东临草峰镇、香莲乡,周边辐射1.5万人口。医院创建于1954年,经过56年的风雨历程,现已发展成为一所集预防保健、基本医疗服-1-
务、区域卫生管理为一体的非营利性规范化乡镇卫生院。
医院占地面积3200㎡,业务用房面积1500㎡,固定资
产83.7万元,现有专业技术人员13名,其中执业医师1名,执业助理医师4名,党员3名.设置床位17张,拥有B超、全
自动十二导心电图机等先进医疗设备20台件,设有内、妇、儿、中医4个临床科室和公共卫生、妇幼保健、药剂、护理、功能检查、财务5个辅助科室,承担着本乡及周边乡镇近3
万余人的基本医疗保健服务。年门诊人次1万人,住院人次
300人,为保障人民群众健康,服务当地经济建设发挥了重要
作用,曾多次荣获“全区卫生工作先进单位”“市精神文明建
设先进单位”称号。
今年,我院紧紧围绕“预防为主抓公卫,中西并重提质量,规范服务求精细,创先争优促发展”这一主线,突出“创先
争优,模范带动,加快建设北塬一流乡卫生院”这一争创目标,坚持以病人为中心,以医疗质量和安全为核心,认真开展“医
疗质量管理年”活动,促进医疗服务精细化,推动全乡医疗卫
生事业又好又快发展。我院根据全年工作安排,结合创先争
优活动,致力争取住院综合楼项目立项和“三进三建”人才
科室建设,大力实施“三名工程”和“护理示范工程”,积极
创建“百姓放心医院”,努力解决群众看病难、看病贵的问题,实现人人享有基本健康服务的目标。人才科室建设已着于落
实,目前已有两名医师分别在市一院、市二院进修神经内科
和妇产科,年底结束,随着住院综合楼项目的立项建设,我院将建成规范的公共卫生科和妇外科,设置中医科和中医诊
疗室,广泛推广中医适宜技术和妇幼保健服务,推进9项公
共卫生服务的全面落实,更好的保障人民群众身心健康。
二、存在问题
主要表现在以下几个方面:一是基本医疗条件有待进一
步加强,需补入一批必需的医疗设施;二是妇外科力量薄弱,能开展的业务较少,中医执业医师少,中医科建设滞后;三
是医院管理水平不高,经营粗放,离精细化要求尚远;四是
医疗质量控制活动机制和成效不灵,需进一步加强。
三、自查分值
经逐项逐条例进行自查扣分,自评总分值867分。
四、申报等级
按照评审分值,可申报一级甲等卫生院。
五、整改措施
针对自查寻找出来的问题和薄弱环节,对号入座、创造
条件、逐项改进,使之完全达到一级甲等乡镇卫生院的评审
标准,顺利通过专家组评审。
附件1:甘肃省乡镇卫生院等级评审申请表
附表2:寨河乡卫生院医疗机构执业许可证副本
二0一0年十月三十日
主题词:乡镇卫生院等级评审自查报告
报送区卫生局办公室
“堵漏洞、做高墙、防外攻, 防不胜防。而等级保护政策的推行是现在信息安全保障的主要环节。”中国工程院院士沈昌祥这样概括目前信息安全的基本状况。这种安全现状使信息安全等级的实施应运而生。
1. 实施等级保护的重要性和意义
等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作, 可以有效地解决我国信息安全面临的威胁和存在的主要问题, 充分体现“适度安全、保护重点”的目的, 将有限的财力、物力、人力投入到重要信息系统安全保护中, 按标准建设安全保护措施, 建立安全保护制度, 落实安全责任, 可以有效地保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全, 有效地提高我国信息安全保障工作的整体水平。
2. 等级保护政策体系和标准体系发展历程
等级保护政策体系的发展始于1994年, 迄今已有16年的发展历程, 从“计算机信息系统实行安全等级保护”这个总体要求到“定级、备案、安全建设整改、等级测评、监督检查”这些具体工作环节。
在法律法规方面, 1994年, 国务院颁布的《中华人民共和国计算机信息系统安全保护条例》 (147号令) 规定, “计算机信息系统实行安全等级保护, 安全等级的划分标准和安全等级保护的具体办法, 由公安部会同有关部门制定”, 要求实行安全等级保护。2003年, 中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号文件) 明确指出, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度, 制定信息安全等级保护的管理办法和技术指南”。
在147号令、27号文的支撑下, 2004年9月15日, 由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》 (66号文件) , 明确实施等级保护的基本做法。在66号文支撑下, 2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》 (43号文件) , 规范了信息安全等级保护的管理。在43号文基础上又出台了相关文件 (即公通字【2007】861号、公信安【2007】1360号、公信安【2009】1429号、公信安【2010】303号和公信安【2008】736号) , 这些文件都对应等级保护的五个规定动作:定级、备案、安全建设整改、等级测评、安全检查 (监督检查) , 支撑等级保护各环节的工作。
在法律法规和有关部委文件的支撑下, 信息安全等级保护标准也有了比较系统的发展, 并覆盖了等保工作的各个阶段。
《计算机信息系统安全保护等级划分准则》 (GB17859-1999) 。该标准是强制性国家标准, 是等级保护的基础性标准, 为相关标准的制定起到了基础性作用。
《信息系统安全等级保护定级指南》 (GB/T22240-2008) 。该标准规定了定级的依据、对象、流程和方法以及等级变更等内容, 用于指导开展信息系统定级工作。
《信息系统安全等级保护基本要求》 (GB/T22239-2008) 。该标准以《计算机信息系统安全保护等级划分准则》为基础研究制定, 提出了各级信息系统应当具备的安全保护能力, 并从技术和管理两方面提出了相应的措施。
《信息系统安全等级保护测评要求》 (报批稿) 。该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容, 用于规范和指导测评人员如何开展等级测评工作。
《信息系统安全等级保护测评过程指南》 (报批稿) 。该标准阐述了信息系统等级测评的测评过程, 明确了等级测评的工作任务、分析方法以及工作结果等, 包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动, 用于规范测评机构的等级测评过程。
3. 等级保护主要工作内容
等级保护工作主要分为五个环节:定级、备案、建设整改、等级测评和监督检查。
3.1 信息系统定级
定级是信息安全等级保护的首要环节, 可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等, 确定信息安全保护的重点。
定级工作一般流程包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。
等级保护定级对象的一般包括:起支撑、传输作用的信息网络 (包括定级要素和方法:专网、内网、外网、网管系统) ;用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统;各单位网站。
根据对信息系统受到破坏后对客体造成的危害程度, 《信息安全等级保护管理办法》将信息系统的安全保护等级分为五级 (见表1) 。
※在实际定级工作中, 可以参考公安部推荐的系统定级实例进行信息系统定级。
3.2 信息系统备案
系统定级后, 二级以上信息系统需要到所在地区的市级以上公安机关网络安全保卫部门办理备案手续。根据备案单位隶属关系的不同, 其备案机关也有所不同。
隶属于中央的在京单位, 跨省或者全国统一联网运行并由主管部门统一定级的信息系统, 由主管部门向公安部备案;其他信息系统向北京市公安局备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统, 应当向当地设区的市级以上公安机关备案。
※系统定级除了参考上面的实例外还需要注意信息系统的等级不随行政级别的降低而降低;新建系统在设计阶段应确定等级, 同步规划、同步设计、同步实施安全保护技术措施和管理措施。
各部委统一定级信息系统在各地的分支系统, 即使是上级主管部门定级的, 也要到当地公安网络安全保卫部门备案。
3.3 信息系统安全建设、整改
系统完成定级、备案后, 其安全保护措施不一定达到了对应的安全保护级别, 对未达到相应安全保护级别的信息系统要及时进行安全整改, 安全建设整改是信息安全等级保护工作落实的关键, 通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力, 从而提高我国基础网络和重要信息系统整体防护能力。
开展信息系统安全建设、整改的工作主要有以下几个方面:
1.制定安全建设整改工作规划, 对安全建设整改工作进行总体部署;
2.开展信息系统安全现状分析, 从管理和技术两方面确定安全建设整改需求;
3.确定安全保护策略, 制定信息系统安全建设整改方案;
4.开展信息系统安全建设整改工作, 建立并落实安全管理制度, 落实安全责任制, 建设安全设施, 落实安全措施;
5.开展安全自查和等级测评, 及时发现问题并进一步整改。
3.4 信息安全等级保护测评
等级测评工作的主体是第三方测评机构, 工作目的是检验和评价信息系统的安全建设整改工作的成效, 判断安全保护能力是否达到相关要求。等级测评是评价信息系统安全保护状况的重要方法, 也是等级保护工作的重要环节之一。中国软件评测中心依据多年的测评实践经验, 对信息系统安全等级保护测评工作做解读。
在开展信息系统安全建设整改之前, 可以通过等级测评进行信息系统安全现状分析, 明确信息系统安全建设整改的需求, 制定安全建设整改方案。
信息系统安全建设整改后, 按照《管理办法》的要求进行等级测评, 经测评未达到安全保护要求的, 要根据测评报告中的改进建议, 制定整改方案并进一步进行整改。等级测评是评价信息系统安全保护状况的重要方法, 也是等级保护工作的重要环节之一, 测评结果可作为向监管机构提交的等级测评报告。
对已定级的信息系统的测评要求是四级信息系统要每半年开展一次等级测评, 三级信息系统要每年开展一次等级测评, 对于重要部门的二级信息系统, 可以参照三级、四级系统的要求或自身的安全需求开展相应的等级测评。
3.5 监督检查
监督检查工作的主体是信息安全职能管理部门, 通过定期的监督、检查和指导, 保障重要信息系统安全保护能力不断提高。
监督检查包括备案单位的定期自查、行业主管部门的督导检查和公安机关的监督检查三类。
备案单位应按照《管理办法》的相关要求, 对等级保护工作落实情况进行自查, 掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等, 及时发现安全隐患和存在的突出问题, 有针对性地采取技术和管理措施。
行业主管部门要建立督导检查制度, 组织制定本行业、本部门的信息安全等级保护检查工作规范, 定期组织对本行业、本部门等级保护工作开展情况进行检查, 督促落实信息安全等级保护制度。
公安机关依据信息安全等级保护管理规范, 监督检查运营使用单位开展等级保护工作, 定期对三级以上的信息系统进行安全检查。
4. 等级保护目前的发展状态
目前重要信息系统定级工作已基本完成, 计划2010年底前完成测评体系建设, 并完成30%第三级 (含) 以上信息系统的测评工作, 2011年底前完成第三级 (含) 以上信息系统的测评工作, 2012年底之前完成第三级 (含) 以上信息系统的安全建设整改工作。
在公安部的指导下, 在浙江、广东、河南、重庆四个省和国家电监会等重要行业已开展等级测评体系的试点工作。测评试点工作在机构建设、人员培养、标准检验方面已积累了较为成熟的经验, 为进一步全面开展等级测评工作奠定了基础。
为规范等级测评活动, 加强对测评机构及测评人员的管理, 公安部网络安全保卫局出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》 (公信安【2010】303号) 。
该文件规定测评机构通过申请、受理、初审、能力评估、专家审核、推荐、公布等申请流程成为全国信息安全等级保护推荐的测评机构。
申请过程中, 测评机构的测评人员需要通过公安部信息安全等级保护评估中心的培训、考试, 成绩合格者成为信息安全等级测评师。
测评机构的审核推荐制确保了测评机构的水平和能力符合要求, 有利于等级测评机构的规范化、制度化建设, 为等级测评工作的顺利开展提供政策支持。
近期, 包括中国软件评测中心在内的一批有较强实力的信息安全测评机构即将成为全国信息安全等级保护推荐的测评机构。
在为客户提供等级测评服务的过程中, 公安部将对人员持证上岗、项目规范收费、签订保密协议等做出了严格规定, 等级保护测评工作已经规范、有序地逐步开展起来。
5. 总结
等级保护实施过程中, 公安机关作为牵头部门, 网络安全保卫局、地方公安局和网监部门作为等级保护工作的行政管理部门, 监督、检查、指导等级保护的各项工作。
【关键词】 等级保护 电子政务 应用
近几年我国电子政务高速发展,同时安全防护问题日益凸显,黑客入侵、信息泄露等危害信息安全事件频发,这严重影响到国民经济和社会信息化的健康发展,应依据电子政务等级保护这一信息安全系统规范对这些安全问题进行认真分析和研究,探讨应对策略和实施等级保护的方式。综合平衡成本和风险,优化信息安全资源的配置,从而对高效、安全防护的方法进行应用和部署,最终实现提高电子政务信息安全保障能力和水平,维护国家安全、社会稳定和公共利益的目标。
一、电子政务等级保护
1、电子政务。电子政务实际上就是政务信息化,运用先进的信息技术打破原来政府各个部门之间的界限,将电子政务网络延伸到省、市、县以及乡镇之中,建设一个电子化的虚拟政府,这可以方便政府办公,提高政府公信力,让公众一起来监督政府的工作;还可以进行网络服务,建设服务型政府,利用电子政务改变行政的管理方式,达到优化政府业务处理流程的目的,从而提高政府的办事效率,保证民情、社会热点信息、经济运行信息以及城市运行管理信息能够及时的上传到信息系统中。
2、等级保护。等级保护是电子政务中至关重要的一种保障方式,在国家经济和社会信息化的发展道路上,提高了信息的安全保障能力和水平,能够在最大限度上维护国家的信息安全。等级保护的核心思路就是等级化,根据电子政务在国家安全、社会稳定、经济安全以及公共利益等方面的重要程度进行划分,同时,结合网络系统面临的安全问题、系统要求和成本开销等因素,划分成不一样的安全保护等级,从而采用相应的安全保护方法,来保证信息或信息系统的保密性和完整性。其主要分为管理层面和技术层面。前者的主要工作是制定电子政务信息安全等级保护的管理方法、基本安全要求以及对电子政务等级保护工作的管理等方面,还可分为安全管理机构、人员安全管理、系统建设管理和系统运维管理。后者的工作主要就是依照管理层的要求对电子政务系统进行网络安全、应用安全、主机安全以及数据安全的确认,然后,确定系统要采取的保障措施,接着就是进行系统的安全设计和建设,最后进行监控和改进。
二、等级保护的技术应用
等级保护的基本原理是按照电子政务系统的使命、目标和重要程度,对系统的保护程度进行划分,设计合理的安全保护措施。
1、基础设施安全。基础设施指为电子政务业务应用提供可靠安全系统服务的一组工程设施,其中有物理机房、设备设施和场地环境等等。可以分为两类:数据中心机房、机房环境;其中要保障数据中心机房的安全,首先要做到机房访问控制,也就是进入机房的人员一定要经过申请或审批,监督访问者,记录进出时间,并且仅允许他们访问已授权的目标;其次在机房重要的区域需要配置电子门禁系统,用来控制、鉴别和记录进入的人员。然后机房环境的安全问题要注意机房的门、墙壁和天花板,以及装修应当参照电子信息系统机房设计的相关标准进行实施;并且要安装防雷系统和防雷的保安器;安装精密空调;电源线路和通信线路隔离铺设,避免发生故障,最后一定要安装机房环境监护系统。
2、通信网络安全。首先要保证网络结构的安全,依照业务系统服务的重要次序来分配带宽的优先级,比如网络拥塞的时候要优先保障重要业务数据流。所以,应当根据各部门的工作职能、重要性和业务流程等重要的因素进行划分。若是重要的业务系统及数据,其网段就不能直接与外部进行连接,要单独划分区域,注意要与其他网段隔离开。其次,网络安全审计主要是用来监控和记录网络中的各类操作的,并检测网络中是否存在现有的或潜在的威胁。这时要安装网络入侵检测系统和网络审计系统,从而保障通信网络的安全。最后要想保证通信的完整性和保密性,一定要利用安全隧道,然后进行认证以及访问权限的控制,从而保障政务网络互联安全、移动办公安全、重点区域的边界防护安全。
3、计算机环境安全。第一,要统一身份管理和授予管理系统。第二,对主机入侵防范要布置漏洞扫描系统,进行系统安全的监测。第三,要防范主机的恶意代码。终端主机和服务器上都要部署防病毒系统,将系统扼杀在源头上。同时,不但要制定防病毒策略,还要及时的更新升级病毒库。第四,一定要保证数据的完整性和保密性。要想检验存储的信息是否具有完整性和保密性,可以采用校验码技术、密码检验函数、消息鉴别码等相关技术。
【等级保护自查】推荐阅读:
信息系统等级保护报告05-29
信息安全等级保护规范06-28
信息安全等级保护实务07-27
如何理解信息安全等级保护与分级保护07-03
卫生院创建等级卫生院自查报告06-03
安全自查自纠保护09-20
环境保护执法自查情况汇报10-10
风险等级评估标准06-23
等级医院创建方案06-24
防爆等级划分标准07-04
