信息安全评估标准简介(通用7篇)
企业的网络环境和应用系统愈来愈复杂,每个企业都有这样的疑惑:自己的网络和应用系统有哪些安全漏洞?应该怎样解决?如何规划企业的安全建设?信息安全评估回答了这些问题。
什么是信息安全评估?
关于这个问题,由于每个人的理解不同,可能有不同的答案。但比较流行的一种看法是:信息安全评估是信息安全生命周期中的一个重要环节,是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析,并提出安全风险分析报告和改进建议书。
信息安全评估的作用
信息安全评估具有如下作用:
(1)明确企业信息系统的安全现状。进行信息安全评估后,可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状,从而明晰企业的安全需求。
(2)确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后,可以确定企业信息系统的主要安全风险,并让企业选择避免、降低、接受等风险处置措施。
(3)指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后,可以制定企业网络和系统的安全策略及安全解决方案,从而指导企业信息系统安全技术体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等)与管理体系(安全组织保证、安全管理制度及安全培训机制等)的建设。
主要的信息安全评估标准
信息安全评估标准是信息安全评估的行动指南。可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列)由美国国防部于1985年公布的,是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。信息技术安全评估标准(ITSEC,欧洲百皮书)是由法、英、荷、德欧洲四国90年代初联合发布的,它提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保证没有经过授权的用户、实体或进程无法窃取信息;完整性就是保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一;可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。ITSEC把可信计算机的概念提高到可信信息
技术的高度上来认识,对国际信息安全的研究、实施产生了深刻的影响。
信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。
ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义,并提出了以风险为核心的安全模型:企业的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁);威胁利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企业资产的暴露;资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露),会对资产的价值产生影响(包括直接和间接的影响);风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定;对企业信息系统安全风险的分析,就得出了系统的防护需求;根据防护需求的不同制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,并抗击威胁。该模型阐述了信息安全评估的思路,对企业的信息安全评估工作具有指导意义。
BS7799是英国的工业、政府和商业共同需求而发展的一个标准,它分两部分:第一部分为“信息安全管理事务准则”;第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用,并已成为国际标准ISO17799。BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议,并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。
AS/NZS 4360:1999是澳大利亚和新西兰联合开发的风险管理标准,第一版于1995年发布。在AS/NZS 4360:1999中,风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤。AS/NZS 4360:1999是风险管理的通用指南,它给出了一整套风险管理的流程,对信息安全风险评估具有指导作用。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)是可操作的关键威胁、资产和弱点评估方法和流程。OCTAVE首先强调的是O—可操作性,其次是C—关键系统,也就是说,它最注重可操作性,其次对关键性很关注。OCTAVE将信息安全风险评估过程分为三个阶段:阶段一,建立基于资产的威胁配置文件;阶段二,标识基础结构的弱点;阶段三,确定安全策略和计划。
国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等,这些指标涵盖了不同级别的安全要求。GB18336也是等同采用ISO 15408标准。
现有信息安全评估标准的局限性
风险分析的方法有定性分析、半定量分析和定量分析。现有的信息安全评估标准主要采用定性分析法对风险进行分析,即通常采取安全事件发生的概率来计算风险。然而,在安全评估过程中,评估人员常常面临的问题是:信息资产的重要性如何度量?资产如何分级?什么样的系统损失可能构成什么样的经济损失?如何构建技术体系和管理体系达到预定的安全等级?一个由病毒中断了的邮件系统,企业因此造成的经济损失和社会影响如何计算?如果黑客入侵,尽管没有造成较大的经济损失,但企业的名誉损失又该如何衡量?另外,对企业的管理人员而言:哪些风险在企业可承受的范围内?这些问题从不同角度决定了一个信息系统安全评估的结果。目前的信息安全评估标准都不能对这些问题进行定量分析,在没有一个统一的信息安全评估标准的情况下,各家专业评估公司大多数是凭借各自积累的经验来解决。因此,这就需要统一的信息安全评估标准的出台。
信息安全评估的市场前景
21世纪以来, 在我国信息化进程全面加快, 网络和信息系统的基础性、全局性作用日益增强的同时, 信息系统与互联网面临的风险也在不断加大。信息安全风险评估的迅速发展, 很大程度上满足了我国信息安全的需要。然而, 信息安全风险评估在国内才刚刚起步, 尚无有效的风险评估标准, 这给我国信息安全风险评估的实施设置了重大障碍, 因此对当前的信息安全风险评估标准进行深入的研究, 不仅有利于加快我国信息安全风险评估工作的步伐, 对于有效保证信息安全也有着及其重要的意义。
目前, 国际和国内比较重要的风险评估标准有:CC、GB/T 18336、BS7799、ISO/IEC 13335、OCTAVE方法、SSE-CMM、《信息安全风险评估指南》等。本文将主要的信息安全风险评估标准大体上分成了三类:技术类标准、管理类标准、评估方法类标准, 并在此基础上对相关标准进行了研究, 对其产生背景、相关内容、适用范围及异同等方面进行介绍和比较。
1 技术类标准
技术类标准主要包括信息安全产品和系统安全的安全性测评标准 (简称CC) 、GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》、系统安全工程能力成熟度模型 (简称SSE-CMM) 等标准。
1.1 CC与GB/T18336
CC, 即信息安全产品和系统安全的安全性测评标准。CC标准由六个国家 (美、加、英、法、德、荷) 于1996年提出, 并于1999年称为国际标准ISO/IEC 15408, 是目前国际上最通行的信息技术产品和系统安全性评估准则。
CC标准定义了评价信息技术产品和系统安全性的基本准则, 并把安全要求分为规范产品和系统安全行为的功能要求以及如何有效实施这些功能的保证要求。
CC标准采用类、族、组件层次结构化方式定义信息系统或技术产品的安全功能。每个功能类表示一个安全主题, 由类名、类介绍、一个或多个功能族组成, 族是在同一个安全主题下侧重面不同的安全功能, 功能组件由组件标识、组件依赖关系、一个或多个功能元素组成, 功能元素是不可拆分的最小安全功能模式。CC标准的安全保证要求则对安全保证级 (EAL) 进行了详细介绍。
CC是侧重于对系统和产品的技术指标的评估标准, 它不包括对信息安全管理、密码安全和物理安全方面的评测。CC标准目前已被多个国家接受, 用于对操作系统、防火墙等多种产品的安全性进行评估。
2001年, 我国将CC转化为国标GB/T 18336《信息技术安全技术信息技术安全性评估准则》。在信息安全风险评估工作中对系统和产品的技术指标的评估同样可以参照G B/T18336。因此, CC、ISO/IEC 15408、GB/T 18336实际是同一个标准, CC是最早的称谓, ISO/IEC 15408是正式的ISO标准, GB/T 18336则是我国等同采用ISO/IEC 15408之后的国标。
1.2 SSE-CMM
SSE-CMM即系统安全工程能力成熟度模型, 它源于CMM (能力成熟度模型) 的思想和方法。2002年成为国际标准ISO/IEC 21827。
SSE-CMM模型描述了一个组织的系统安全工程过程必须包含的基本特性。它将信息系统安全工程分为3个部分:风险、工程和保证。风险过程用于识别被开发产品或系统的潜在危险;工程过程针对危险性所面临的问题与其他工程一起来确定和实施解决方案;保证过程用来建立解决方案的信息并向用户转达安全信任。
SSE-CMM由11个安全过程区PA, 主要由管理安全控制、评估安全风险、评估威胁、评估薄弱点等组成, 每一个过程区也包含了许多基本实施BP。BP是强制项目, 只有当所有性质完全实现后, 才说满足了这个过程区的要求。SSE-CMM模型本身并不是安全技术模型, 但因其在评估过程中利用了许多技术类BP, 故将其归入技术类评估标准。
SSE-CMM是偏向于对组织的系统安全工程能力的评估标准。SSE-CMM更适合作为评估工程实施组织 (例如安全服务提供商) 能力与资质的标准。我国国家信息安全测评认证中心在审核专业机构信息安全服务资质时, 基本上即依据SSE-C M M来审核并划分等级。
1.3 技术类标准比较
SSE-CMM、CC作为风险评估的技术标准, 两者之间既有共同点也有不同点。CC和SSE-CMM均侧重于对产品开发、系统集成等安全过程或产品本身的测试和评估, 但CC针对的是安全系统或安全产品的测评, 而SSE-CMM针对的是安全工程过程。同时, 两者虽然综合了国际上现有评测准则和技术标准的精华, 给出了框架和原则要求, 但两者均没有考虑到信息系统和操作环境交互时相互影响而引入的随即性与不确定性。两者也不涉及管理细节和信息安全的具体实现、算法和评估方法。
2 管理标准
管理类标准主要包括BS7799、《信息技术IT安全管理指南》 (ISO/IEC 13335) 、NIST-SP800-26等标准。
2.1 BS7799
BS7799是英国标准协会 (BSI) 于1995年针对信息安全管理而制定的标准, 主要提出了有效实施信息系统风险管理的建议, 并介绍了风险管理的方法和过程。该标准由BS7799-1:1999和BS7799-2:1999两部分构成。
第一部分:BS7799-1:1999是信息安全管理实施细则, 即对信息安全管理给出建议, 供实施或维护安全的人员使用, 同时也为实施信息安全风险评估的操作人员提供详细的审计对象。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础, 并为组织之间的交往提供信任。该部分包括十大管理领域, 三十六个执行目标, 一百二十七种控制方法。
第二部分:BS7799-2:1999则是信息安全管理体系的一套规范。其中详细说明了建立、实施、维护信息安全管理体系的要求, 以建立适合需要的信息安全管理体系。该部分同时给出了建立信息安全管理体系的相关步骤。
2.2 NIST-SP800-26标准
NIST-SP800-26标准, 由美国国家标准技术协会发布, 亦称为IT系统安全自我评估指南。该标准主要以各种调查问题的形式给出。调查表的问题按主要控制域分为3类: (1) 管理控制; (2) 运行控制; (3) 技术控制。在每个控制域内都有若干个主题;例如, 运行控制域内有人员安全、应急计划、事件响应等主题。调查表总共有17个主题, 每个主题均包含了与系统相关的关键要素以及安全控制目标和技术。
2.3 管理类标准比较
NIST-SP800-26与BS7799同属管理标准, 但两者之间并没有直接的联系。BS7799讨论的主题广泛, 但对每项内容的讨论都没有深入下去。虽然该标准也涉及某些技术领域, 但并未强调技术细节, 因而也就无法作为信息安全风险评估的依据。而NIST-SP800-26标准则从三大控制域的角度以调查表的形式给出了诸多问题, 该文件可以作为实施B S 7 7 9 9-2过程中一些关键任务的指导和参考, 是对BS7799标准很好的补充和细化。同时, 通过对该标准中的问题进行剪裁和补充, 可以作为对不太重要的组织或系统的进行评估依据。
3 评估方法类标准
评估方法类标准主要包括OCTAVE方法、AS/NZS 4360、《信息安全风险评估指南》等标准。
3.1 OCTAVE方法
1999年, OCTAVE方法由美国卡耐基·梅隆大学软件工程研究所下属的CERT协调中心发布。它从信息系统所属的组织本身出发, 考虑组织外部和内部两方面, 分析信息系统可能存在的威胁, 对组织的信息系统进行评估。它是一种综合的、系统的、与具体环境相关的、可操作性强的信息安全风险评估和风险管理方法。
OCTAVE由一系列的原则、属性和输出所定义。原则是体现评估性质的基本概念, 它定义形成评估过程的基本原则。属性指与众不同的评估性质, 即特征, 它既是定义OCTAVE的基本要素所需的, 也是描述评估过程、控制评估项目所需的。输出是评估过程必须取得的结果。OCTAVE将风险评估过程分为3个阶段9个环节:
阶段一:建立基于资产的威胁配置文件。
(1) 标识高层管理知识 (收集高层管理部门的观点) ;
(2) 标识业务区域知识 (收集业务区域管理部门的观点) ;
(3) 标识一般员工知识 (收集员工的观点) ;
(4) 建立威胁配置文件 (建立威胁列表文件) 。
阶段二:标识基础结构的弱点。
(1) 标识关键资产 (识别关键单元) ;
(2) 评估选定的资产 (评估选定的单元) 。
阶段三:确定安全策略和计划。
(1) 执行风险分析;
(2) 开发保护策略A (提出保护策略、风险降低计划和行动列表) ;
(3) 开发保护策略B (审核保护策略、风险降低计划和行动列表) 。
虽然O C T A V E方法的3个阶段、9个环节都按照先后次序进行了编号, 但在评估的过程中, 由于安全问题的复杂性和多边性, 可以在识别所有这些安全问题的过程中存在许多潜在的反馈循环, 故O C T A V E本质上是非线性的和迭代的。
O C T A V E使组织通过技术和组织两方面的手段理清关键的资产、威胁和弱点。O C T A V E的相关调查过程、调查内容等在我国的信息安全风险评估中是适用的, 但风险处理计划、控制等方面稍显不足。
3.2 信息安全风险评估指南
近年来, 我国也针对信息安全风险评估开展了相关工作, 制定了一系列的管理规范与指南, 其中包括2005年制定并开展了相关试点工作的《信息安全风险评估指南》 (以下简称《评估指南》) 。
《评估指南》分为三个部分:
第一部分:着重介绍了与风险评估中相关的术语、定义、风险评估的模型和流程。
第二部分:信息安全风险评估的实施过程。该部分围绕信息安全的关键要素, 依据风险评估的相关流程, 重点阐述了风险评估前的准备、资产识别、威胁识别、脆弱性识别、安全措施的控制、已有安全措施的确认、风险识别、风险结果记录等八个步骤。
第三部分:附录部分。主要给出了结构化、非结构化的风险计算公式, 并对信息安全风险评估的方法、工具、实施案例做了简单的说明。
《评估指南》是我国第一个关于信息安全风险评估的国家级指南, 是目前国内开展信息安全风险评估工作主要参考和依照的唯一规范。它适用于信息系统的使用单位进行自我风险评估以及风险评估机构对信息系统进行独立的风险评估。
3.3 评估方法比较
OCTAVE方法、《评估指南》均为评估方法, 其共同之处在于两者均为从风险评估相关实践而演化成的标准, 在风险评估实践中具有很强的可操作性, 三者均将风险评估的实践分成若干相类似的环节。不同之处在于OCTAVE方法的风险评估是在其所定义的相关原则的指引下, 围绕信息系统所属的组织展开的评估, 且评估过程中尤其重视可操作性。《评估指南》则是在借鉴国内外相关标准的基础上制定的更符合中国国情的风险评估标准, 其中明确给出了独特的风险计算公式, 并附有风险评估的实施案例等, 对于指导国内的信息安全风险评估工作有着重要意义。
4 结论
本文主要介绍了CC、GB/T18336、BS7799、SSE-CMM、ISO/IEC 13335、OCTAVE、《信息安全风险评估指南》等诸多国内外信息安全风险评估标准。鉴于目前国际国内标准的多样性与复杂性, 本文以各标准制定策略及目标的不同、标准中体现出的定性与定量的思想为指导, 对上述标准进行了适当的分类, 并在各分类中介绍了相关标准的主要内容, 最后对各标准之间的异同进行了总结, 指明了其在具体实践中的使用范围, 为国内组织在开展信息安全风险评估时选择适用的标准提供了参考依据。
摘要:信息安全风险评估不仅是有效保证信息安全的前提, 也是制定信息安全管理措施的依据之一。信息安全风险评估标准作为风险评估的基础与依据, 在评估过程中更是发挥着越来越重要的作用。通过将信息安全风险评估标准划分为管理类、技术类、评估方法类等三类标准, 并以标准制定的目标为依据在各类内进行标准的异同比较与分析, 以期能够更好的指导我国信息安全风险评估工作。
关键词:信息安全,风险评估,BS7799,OCTAVE
参考文献
[1]吴亚非, 李新友, 禄凯.信息安全风险评估[M].北京:清华大学出版社.2007.
[2]科飞管理咨询公司.信息安全风险评估[M].北京:中国标准出版社.2005.
[3]范红, 冯登国, 吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社.2006.
[4]张建军, 孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社.2005.
[5]袁建军, 李京春, 岳俭.信息安全风险评估基础与实用技术[M].北京:国家信息技术安全研究中心, 2006.
一、食品安全标准工作
一是重点做好食品安全标准清理整合工作。2013年全面清理现行近5000项食品标准,2014年在标准清理结果基础上,全面启动食品安全国家标准整合工作。重点解决我国食用农产品质量安全标准、食品卫生标准、食品质量标准以及行业标准中强制执行内容存在的交叉、重复、矛盾的问题。为做好标准整合工作,我委加强组织领导,成立了以李斌主任为组长的整合工作领导小组,加强部门协调会商,解决标准整合中的重大政策性问题;制定《食品安全国家标准整合工作方案(2014年~2015年)》,明确了标准整合原则、方法和具体安排,落实标准整合项目工作任务;成立由37名相关学科领域权威专家组成的专家技术组,做好技术把关,由国家食品安全风险评估中心承担标准整合的日常技术工作。二是加快重点和缺失食品安全国家标准的制定、修订,完善食品安全国家标准体系。目前已制定公布新的食品安全国家标准429项。三是不断完善食品安全国家标准、地方标准管理和企业标准备案管理,组织编写了《食品安全国家标准工作程序手册》,拓宽公众参与和标准征求意见的渠道、方式,加强食品安全国家标准审评委员会组织管理,做好审评委员会换届工作。四是进一步加强食品安全国家标准跟踪评价。标准的生命在于执行。制定了《食品安全国家标准跟踪评价规范》,及时了解标准实施情况,组织起草了《食品安全国家标准跟踪评价技术指南》,加强对标准跟踪评价工作的组织管理和技术指导,推进标准的贯彻实施。
二、食品安全风险评估和新食品原料安全性审查
着力加强风险评估制度和组织机构建设,开展食品安全风险优先评估、应急评估、食物消费量调查,打牢食品安全标准的科学基础,为食品安全监管提供科学支撑。已经完成30多项优先评估和应急评估项目,2013以来相继在部分省份启动了居民食物消费量调查工作,系统研究中国人膳食暴露和消费结构。及时修订、完善新食品原料等安全性审查制度,加强源头把关,印发了《新食品原料安全性审查管理办法》,严格规范安全性审查的程序。制定食品安全相关产品评审专家管理办法,加强评审专家库及专家管理。2013年共审查通过了新食品原料18种,食品添加剂新品种37种,食品相关产品新品种8种。完成了食品包装材料清理工作,公布第三批258种食品包装材料用添加剂名单。
三、食品安全风险监测
会同相关部门,制定并组织实施国家年度风险监测计划。在2142个县区设置食品污染物监测点,2013年共监测42万件食品样品、涵盖307项各类监测指标,获得监测数据493万个。监测结果表明,我国食品安全形势总体稳定并不断向好,其中,乳制品、面粉等食品中真菌毒素和微生物等污染情况趋于好转,兽药滥用以及非法添加情况有所遏制;同时监测也发现了因环境污染、生产环节控制不严、以及违法使用非食用或禁用物质等导致的食品安全隐患。进一步加强食源性疾病防治,在全国设置食源性疾病监测哨点医院1600余家。全年共接到食源性疾病暴发事件报告1001起,救治患病人数14413人。监测显示,化学性因素引起的食源性疾病有下降趋势,致病性微生物仍然是主要病因,宾馆饭店、食堂等集体供餐场所是主要暴发场所。此外,误食有毒动植物和毒蘑菇中毒是主要致死原因。
健全食品安全风险监测体系,强化能力建设。加强国家食品安全风险评估中心分中心建设,在全国32个省级疾控中心加挂“国家食品安全风险监测(省级)中心”牌子,作为国家风险监测的省级核心技术机构,同时确定6家有条件的机构为“国家食品安全风险监测参比实验室”。启动地市级疾控机构风险监测设备配置项目,改善监测条件,加强人员培训和质量控制,不断提升监测水平和能力。
四、下一步工作安排
按照国务院2014年食品安全重点工作安排要求,重点做好以下工作:
(一)食品安全标准方面。一是落实食品安全标准整合方案,通过2014~2015两年的努力,使我国食品安全标准体系框架、原则与国际食品法典标准基本一致,主要食品安全指标设置和控制要求符合国际通行做法并适应中国膳食结构和食品产业国情。二是制定公布新的食用植物油、蜂蜜、粮食、包装饮用水、调味品等一批重点食品安全国家标准,进一步满足提高食品安全水平和产业发展需要。三是开展对《食品中污染物限量》、《食品添加剂使用标准》等重点标准的跟踪评价,掌握标准执行情况,分析标准执行中存在的问题,全面收集监管部门、行业、消费者等各方意见和建议,为标准修订提供依据。四是改进标准宣贯和服务工作。近期正在联合相关部门印发《关于加强食品安全标准宣传和实施工作的通知》,共同做好食品安全标准宣传教育,推动标准贯彻实施。同时,为方便各方查询和使用标准,开发了食品添加剂标准查询软件,将于近期在国家食品安全风险评估中心和我委网站开通启用。
(二)食品安全风险评估方面。一是强化评估工作的规范化建设,加强风险评估制度的顶层设计,完善配套工作规范。二是夯实评估科学基础,有计划推进食物消费量调查和总膳食研究、毒理学计划工作,加强数据共享机制建设和评估方法学研究。三是加强能力建设,继续细化年度风险评估计划的同时,着手制定我国2016~2020年国家食品安全风险评估规划。逐步建立以国家食品安全风险评估中心为龙头,部门、相关科研院所和地方具备能力的技术机构为支撑的食品安全风险评估体系。四是强化风险交流和科普性宣传,发挥风险评估结论在食品安全科普宣传中的引导作用。五是加强食品安全风险评估的国际交流,积极参与国际食品法典工作。
(三)食品安全风险监测方面。一是组织实施年度国家食品安全风险监测计划,加强对食品、食品添加剂、食品相关产品的全面监测。二是完善风险监测工作机制。修订《食品安全风险监测管理规定》,强化监测结果统一汇总分析,加强部门会商,为食品安全监管提供有力的技术支持。三是制定《食源性疾病管理办法》,完善全国食源性疾病监测与报告网络,及时通报重大食源性疾病信息,配合监管部门加强食源性疾病的源头控制。
一、营业场所安全(15分)
检查方法:实地检查营业场所物防技防设施、营业场所周边状况,检查录像回放质量。
(一)物防设施(8分)扣分项总和为19分,权重0.42。
1、二层以下窗户未安装金属防护栏或未采取相应防护措施(如安装具有防弹、防爆功能的透明防护屏障和入侵探测装置等)的扣0.5分;
4、场所外有围墙但未安装防止爬越的障碍物或周界报警装置的扣0.5分;主要检查围墙高度和防爬障碍物。
6、现金出纳柜台未采用砖石或钢筋混凝土结构(因楼面承重等原因经公安机关主管部门批准采用其他建筑方式的除外),柜台高度低于800mm、宽度小于500mm的扣3分;主要检查柜台长宽。
9、现金业务柜台的台面设置或收银槽长、宽、高不符合要求的扣0.5分;收银槽长30宽20高15。
10、营业场所未建卫生设施的扣0.5分;(高月路无)
11、未配备自动应急照明设备或自动应急照明设备失灵的扣0.5分;现场测试。
12、未配备自卫器材的扣0.5分。要检查灭火枪的使用情况。
(二)技防设施(7分)扣分项总和为17.5分,权重0.4。
1、监控设备(独秀、营业部为二级)
(1)二级以上风险营业场所与外界相通的出入口未安装视频监控装置的扣1分;
(2)二级以上风险营业场所现金业务区未安装监控装置的扣3分;
(3)二级以上风险营业场所非现金业务区未安装监控装置,不能实时监视营业室内人员活动情况的扣1分;
(4)二级以上风险营业场所现金业务区视频监控系统不能实时监视、记录现金支付交易全过程,回放图像不能清晰显示柜员操作和客户脸部特征的扣2分;
(5)二级以上风险营业场所出入口视频监控系统的回放图像不能清晰分辨出入大门人员体貌特征的扣1分;
(6)录像资料保存不到30天的扣2分。
2、报警及其他技防设施
(1)具备与公安110报警服务台报警联网条件尚未安装与公安机关110联网的紧急报警装置的扣3分;检查“110”和总行联网监控报警按钮。
(2)现金业务区未安装2路以上(含2路)独立防区的紧急报警装置的扣2分;
三、自助设备、自助银行安全(15分)
检查方法:实地检查自助设备、自助银行物防技防设施建设情况,检查监控录像回放质量等。
(一)自助设备安全(6分)扣分项总和为8分,权重0.75。
1、未安装报警装置(在行大堂式除外)或不能对撬盗和破坏事件进行探测报警的扣0.5分;
2、视频监控装置不能对交易时客户的正面图像、进/出钞和现金装填过程的图像进行实时录像的,每存在一项扣0.5分;
3、回放图像不能清晰辨别客户的面部特征、进/出钞过程、现金装填过程操作人员活动情况的,每存在一项扣0.5分;
五、消防安全(10分)扣分项总和为14分,权重0.71。
检查方法:实地检查消防设施,查看相关资料,询问有关人员。
10.5分;
2扣1分;
40.5分;
70.5分;
9、不能保证消防设施、灭火器材完好有效的扣1分;灭火器的有效期和是否空罐。
11扣1分;
130.5分;
14、未制定灭火和应急疏散预案并定期组织演练的扣1分;
151分;
八、案件防范(10分)扣分项总和为15.5分,权重0.65。
检查方法:听取汇报,查看相关资料。
12次的扣0.5分;
6、未执行身份证联网核查制度或无相关真伪识别装置的扣0.5分;
7的扣1分;
9、未及时向员工开展案例警示教育的扣0.5分;查是否学习了案件通报。
10、不严格执行有关业务操作安全的各项规章制度、各项业务操作程序不规范的扣1分。
九、安全保卫基础工作(10分)扣分项总和为22分,权重0.45。检查方法:听取汇报,调阅资料,询问有关人员。
1、单位负责人未定期召开会议研究安全保卫工作,查找安全防范工作隐患并研究解决问题,(重点查)的扣2分;
5、未建立保卫工作考核、评比和奖惩机制的扣2分;
6、未开展安全检查、考核、评比工作,奖罚不分明的扣1分;
72分;
81分;值班、守库、枪弹交接、押运、消防、查岗、出入门管理、金库门钥匙管理、安全设施管理、监控设备管理、ATM机管理、款项(箱)交接管理等各项安全防范规章制度,91分;防抢、防盗、防火预案
100.5分;元月份签订。
11、0.5分;安全员日志及安全检查记录簿。
14、员工不能熟练操作本岗位所需掌握的自卫器材和消防器材扣的0.5分;
15、员工不了解安全防范制度的扣0.5分;
(试行)
根据《中华人民共和国消防法》和《国务院关于进一步加强消防工作的意见》及公安部《机关、团体、企业、事业单位消防安全管理规定》,为进一步提高全省社会单位的消防安全管理水平,建立“安全自查、隐患自除、责任自负、接受监督”的消防工作机制,最大限度地减少火灾事故发生,制定本办法。
一、适用范围
本标准适用于本省各机关、团体、企业、事业单位(含个体工商户)开展消防安全自查评估以及中介机构开展消防安全评估工作。
二、评估标准
根据各单位消防安全应具备的条件和项目的重要程度,将其分为A、B、C三类,其中A类为必须具备项,B类为重要项,C类为一般项。A类项存有任意一项不合格的,直接判定该单位消防安全不合格;B类项有十项(含十项)以上不合格的,判定该单位消防安全不合格;C类项有十二项(含十二项)以上不合格的,判定该单位消防安全不合格。
(一)消防许可手续标准
1、新建、改建、扩建及建筑内装修工程施工前依法办理《建筑工程消防设计审核意见书》(A类);
2、经消防审核的建筑工程竣工后依法办理《建筑工程消防验收意见书》(A类);
3、公众聚集场所开业前依法办理《消防安全检查意见书》(A类);
4、自动消防设施经技术测试合格,并取得《建筑消防设施技术测试报告》(B类);
5、防雷防静电检测合格,并取得相应的检测报告(B类);
6、设有自动消防设施的单位应与火灾自动报警控制中心进行联网(C类);
7、易燃易爆单位、人员密集场所应办理《火灾公众责任保险》(C类)。
(二)消防安全制度体系建立标准
建立消防安全教育、培训、防火巡查、检查、安全疏散设施管理、消防(控制室)值班、消防设施、器材维护管理、火灾隐患整改、用火、用电安全管理、易燃易爆危险物品和场所防火防爆、专职和义务消防队的组织管理、灭火和应急疏散预案演练、燃气和电气设备的检查和管理(包括防雷、防静电)、消防安全工作考评和奖惩等制度,并严格落实(C类)。
(三)单位员工素质标准
1、所有员工要懂得本岗位的火灾危险性,懂得预防火灾措施,懂得火灾的扑救方法,懂得火场逃生方法;会报火警,会使用灭火器材,会扑救初期火灾,会组织人员疏散(B类);
2、消防控制室值班人员要熟悉和掌握消防控制室设备的功能及操作规程,按照规定测试自动消防设施的功能,保障消防控制室设备的正常运行(B类);
3、重点工种人员要熟练掌握岗位操作规程,做到持证上岗,无违章行为(B类);
4、消防安全责任人和消防安全管理人要熟悉岗位消防安全职责(B类);
5、专兼职消防管理人员要具备相应的消防专业知识,了解掌握有关消防法律法规,能够及时发现火灾隐患和违法行为(B类)。
(四)建筑消防安全布局及建筑防火标准
1、单位或场所符合城市消防安全布局要求(A类);
2、单位内部的总平面布局合理(B类);
3、与周围建筑的防火间距符合规范要求(B类);
4、消防车通道的设置符合要求(B类);
5、消防扑救面符合规范要求(B类);
6、建筑物的耐火等级与使用性质相符(A类);
7、建筑的防爆泄压设施和面积符合有关规范要求(B类);
8、防火分区划分符合规范要求(B类);
9、防烟分区划分符合规范要求(B类);
10、消防供电负荷等级符合要求(B类);
11、消防水源能满足火灾延续时间内的消防用水量要求(B类);
12、在设有车间或者仓库的建筑物内,不得设置员工集体宿舍(B类)。
(五)建筑消防设施标准
1、按照规范要求设置火灾自动报警系统、自动灭火系统、防排烟系统和消火栓系统(A类);
2、消防控制室设置符合要求(B类);
3、消防控制室控制设备运行正常,并能显示系统工作状态(A类);
4、消防专用电话和消防应急广播设置合理,并保持完好有效(B类);
5、火灾探测器和手动报警按钮设置合理,并保持完好有效(B类);
6、消防控制设备主备电切换正常(B类);
7、消防设施联动运行正常(A类);
8、消防控制室应设可直接报警的外线电话(C类);
9、自动灭火系统设备组件设置合理,运行正常(B类);
10、泡沫液、气体灭火剂要按期进行检测(B类);
11、消火栓位置设置合理,压力、数量符合要求(B类);
12、水泵结合器设置合理,数量符合要求(B类);
13、消防泵房设置合理,符合规范要求(B类);
14、通风空调及防排烟系统各组件设置符合规范要求,且运行正常(B类);
15、防火卷帘、防火门的设置符合规范要求(B类)。
(六)消防疏散标准
1、疏散楼梯、走道和安全出口的数量符合规范要求(A类);
2、应急照明和安全疏散指示标志设置符合规范要求(B类);
3、疏散用门应采用平开门,并向疏散方向开启,不得采用推拉门、卷帘门、吊门、转门(A类);
4、疏散走道、疏散楼梯和安全出口的最小净宽度应符合规范要求(B类);
5、疏散走道至安全出口的直线距离应符合规范要求(B类);
6、疏散通道、安全出口保持畅通,禁止占用、堵塞疏散通道和楼梯间(B类);
7、人员密集场所在使用和营业期间疏散出口、安全出口的门禁止锁闭(B类);
8、封闭楼梯间、防烟楼梯间的防火门及闭门器完好,有效(B类)。
(七)内装修标准
装修材料分为不燃材料(A级)、难燃材料(B1级)、可燃材料(B2级)、易燃材料(B3级)。
1、除地下建筑外,无窗房间的内部装修材料的燃烧性能等级,除A级外,应在规定的基础上提高一级(B类);
2、图书室、资料室、档案室和存放文物的房间,其顶棚、墙面应采用A级装修材料,地面应采用不低于B1级的装修材料(B类);
3、大中型电子计算机房、中央控制室、电话总机房等放置特殊贵重设备的房间,其顶棚和墙面应采用A级装修材料,地面及其他装修应采用不低于B1级的装修材料(B类);
4、消防水泵房、排烟机房、固定灭火系统钢瓶间、配电室、变压器室、通风和空调机房等,其内部所有装修均应采用A级装修材料(B类);
5、建筑物内设有上下层相连通的中庭、走马廊、开敞楼梯、自动扶梯时,其连通部位的顶棚、墙面应采用A级装修材料,其他部位应采用不低于B1级的装修材料(B类);
6、无自然采光楼梯间、封闭楼梯间、防烟楼梯间及其前室的顶棚、墙面和地面均应采用A级装修材料(B类);
7、防烟分区的挡烟垂壁,其装修材料应采用A级装修材料(B类);
8、建筑内部的变形缝(包括沉降缝、伸缩缝、抗震缝等)两侧的基层应采用A级材料,表面装修应采用不低于B1级的装修材料(B类);
9、建筑内部的配电箱不应直接安装在低于B1级的装修材料上(B类);
10、照明灯具的高温部位,当靠近非A级装修材料时,应采取隔热、散热等防火保护措施;灯饰所用材料的燃烧性能等级不应低于B1级(B类);
11、地上建筑的水平疏散走道和安全出口的门厅,其顶棚装饰材料应采用A级装修材料,其他部位应采用不低于B1级的装修材料(B类);
12、建筑内部消火栓的门不应被装饰物遮掩,消火栓门四周的装修材料颜色应与消火栓门的颜色有明显区别。内部装修不应遮挡消防设施、疏散指示标志及安全出口,并不应妨碍消防设施和疏散走道的正常使用(B类);
13、建筑物内的厨房,其顶棚、墙面、地面均应采用A级装修材料(B类);
14、经常使用明火器具的餐厅、科研试验室,装修材料的燃烧性能等级,除A级外,应在规定的基础上提高一级(B类);
15、歌舞娱乐放映游艺场所设置在一、二级耐火等级建筑的四层及四层以上时,室内装修的顶棚材料应采用A级装修材料,其它部位应采用不低于B1级的装修材料;当设置在地下一层时,室内装修的顶棚、墙面材料应采用A级装修材料,其它部位应采用不低于B1级的装修材料(B类);
16、地下民用建筑的疏散走道和安全出口的门厅,其顶棚、墙面和地面的装修材料应采用A级装修材料(B类);
17、地下商场、地下展览厅的售货柜台、固定货架、展览台等,应采用A级装修材料(B类);
18、装有贵重机器、仪器的厂房或房间,其顶棚和墙面应采用A级装修材料;地面和其他部位应采用不低于B1级的装修材料(B类);
19、当厂房中房间的地面为架空地板时,其地面装修材料的燃烧性能等级不应低于B1级(B类);
20、其他部位装修要符合规范要求(B类)。
(八)灭火器材配置及电气防火防爆标准
1、灭火器的配置类型与该场所的火灾种类必须相符(B类);
2、灭火器不宜设置在潮湿或强腐蚀性的地点和超出其使用温度范围的地点,应设置在位置明显和便于取用的地点,且不得影响安全疏散,灭火器箱不得上锁(B类);
3、灭火器配置的规格和数量要符合规范要求(B类);
4、一个计算单元内配置的灭火器数量不得少于2具,每个设置点的灭火器数量不宜多于5具(C类);
5、灭火器有压力不足或损坏情况的要及时进行维修更换(B类);
6、其他灭火器材应按有关规范要求配置(B类);
7、消防用电设备应采用专用的供电回路,当生产、生活用电被切断时,应仍能保证消防用电(A类);
8、消防用电设备的配电线路应满足火灾时连续供电的需要,其敷设应符合有关规定(B类);
9、消防用电的配电线路不应装设漏电切断保护装置,消防水泵、防排烟风机等重要消防设备不宜装设过负荷保护(B类);
10、架空线路不得跨越易燃易爆物品库、有爆炸危险的场所、易燃可燃液体储罐、可燃助燃气体储罐和易燃材料堆场,且距离应符合规范要求(B类);
11、配电线路敷设在有可燃物的闷顶内时,应采取穿金属管等防火保护措施;敷设在有可燃物的吊顶内时,宜采取穿金属管、采用封闭式金属线槽或难燃材料的塑料管等防火保护措施(B类);
12、电器设备安装要符合有关规定,并严禁超负荷(B类);
13、电气线路严禁出现接触不良及绝缘老化等现象(B类);
14、具有爆炸危险的场所必须选用相应的防爆电气设备(A类)。
三、评估方法
(一)人员组成:
1、单位自评由本单位消防安全责任人或消防安全管理人负责,组织专(兼)职消防人员参加,成立消防安全自查评估小组;
2、具有消防评估资质的中介机构开展评估时评估人员不得少于3人。
(二)评估程序
1、由自查评估小组按照《消防安全自查评估表》逐项进行检查,并如实填写检查情况。
2、检查结束后,评估小组负责人要组织参评人员按照实际情况认真填写《自查评估结论》,并判定单位或农村、社区消防安全是否合格,经评估人员签字后留存备查。
3、对自查评估中发现的火灾隐患和问题,自评单位要按照火灾隐患整改程序,明确整改部门、人员,落实整改资金,并及时将隐患情况及整改措施上报当地公安消防机构或派出所。
4、隐患整改完毕后,报请当地公安消防机构或派出所复核。
四、奖惩
凡是自查评估工作成绩突出的单位和个人,由当地公安消防机构提请当地人民政府给予表扬和奖励。
对不主动参加评估或自查评估走了过场且又不具备消防安全条件的单位,由当地公安消防机构或提请当地人民政府和有关部门依法予以严厉查处。
2011年第四届全国大学生信息安全竞赛,由教育部高教司和工信部信息安全协调司指导,由教育部高等学校信息安全类专业教学指导委员会主办,由国防科学技术大学承办。
全国大学生信息安全竞赛(以下简称竞赛)是一项全国性大学生科技活动,目的在于宣传信息安全知识;培养大学生的创新精神、团队合作意识;扩大大学生的科学视野,提高大学生的创新设计能力、综合设计能力和信息安全意识;促进高等学校信息安全专业课程体系、教学内容和方法的改革;吸引广大大学生踊跃参加课外科技活动,为培养、选拔、推荐优秀信息安全专业人才创造条件。
竞赛自2008年起,每年举行一届,每届历时四个月,分初赛和决赛。2008年的全国大学生信息安全竞赛,由成都电子科技大学主办,有来自全国54所高校的258支队伍报名参加大赛,最终有73件作品入选决赛,10件作品获一等奖,12件作品获二等奖。
2009年的全国大学生信息安全竞赛,由北京邮电大学主办,成都信息工程学院和北京交通大学协办,有来自全国85所高校的572支队伍报名参加大赛,最终有108件作品入选决赛,12件作品获一等奖,24件作品获二等奖,48件作品获三等奖,31件作品获得优胜奖。
2010年第三届全国大学生信息安全竞赛由哈尔滨工业大学承办,由哈尔滨工程大学协办,共有来自全国几十所高校的514支队伍报名参赛。进入初赛482支队伍,最终有110支竞赛队进入决赛。其中,12件作品获一等奖,25件作品获二等奖,50件作品获三等奖,23件作品获得优胜奖。
信息化建设,标准化同行。妇幼卫生信息化以及信息化建设中信息标准的重要性之前已有另文叙述[1,2],本文重点阐述加强信息标准研究与评估指导工作,对于新时期我国妇幼卫生信息化建设的重要意义以及发展规划。
1 建立信息标准研究与评估指导长效机制的必要性
1.1 是新时期妇幼保健管理与服务模式改革发展的要求
科学规范的管理是实现可持续发展的重要基础,信息化工作是现代社会实现科学规范管理和提供优质服务的物质保证和必要手段。信息化成效取决于科学、成熟、规范的管理模式,而管理模式会随着社会发展和市场需求的不断进步而随之转变,以适应新形势要求,不论管理模式还是信息技术,其先进性都是就一个历史阶段而言的,是相对的,所以信息化建设与管理模式的改革和进步是相辅相成的,信息化建设必须坚持长期进行和不断发展完善。标准化是信息化的客观要求,信息标准是用于指导信息化的,随着信息化的发展,信息标准也需要不断完善和拓展。信息标准是相对的,这是信息标准与其他非信息标准的一个很大区别。当前,我国妇幼卫生工作尚处在卫生体制改革进程中,妇幼保健机构规范化建设正在蓬勃开展,妇幼保健管理与服务模式需要继续规范和优化完善,妇幼卫生信息化建设才刚刚起步,信息标准化工作应得到高度重视,并且还有很长的路要走。
1.2 是现代妇幼保健服务区域协同化特性的要求
我国妇幼卫生工作坚持“以保健为中心,指导基层为重点,保健与临床相结合”的发展方针,妇幼保健服务通过“点(临床干预)”与“面(预防保健)”的结合而贯穿于妇女儿童的整个生命周期,包括婚前保健、孕前保健、孕产期保健、儿童保健、青春期保健、育龄妇女非生育期保健、更、老年期保健以及妇女儿童健康问题的各个方面,妇幼卫生工作不仅是一个长期、连续、动态的过程,在整个服务过程中还涉及与许多相关部门的交叉配合与协作。
妇女儿童的健康保障问题在整个生命阶段中涉及到各级各类、不同地理区域的医疗卫生保健部门,如临床医院、疾控中心、社区卫生服务中心等;卫生系统外的其他与人相关的管理服务部门,如人口计生委、托幼园(所)以及公安户籍部门、民政部门等。可见,妇幼卫生工作和妇幼卫生信息化都不是孤立的,其显著特点就是区域化和协同化,这种区域化和协同化也体现在妇幼保健系统内部的横向和纵向协作。因此,决定了妇幼保健信息系统必须和许多外部信息系统实现跨系统、跨部门、跨地域的数据交换和信息共享。妇幼卫生信息化这种区域协同化特性,尤其需要国家信息标准的支撑和规范化指导,并且妇幼卫生信息标准化工作还必须长期保持与相关领域信息化的协同发展,否则就会相互影响,形成信息孤岛。
1.3 是全国妇幼卫生信息管理现代化发展和规范化建设的要求
妇幼卫生信息管理是妇幼卫生工作的重要组成部分,对妇幼卫生工作起着评价、监督指导和科学决策的重要作用。随着科学技术发展和现代信息技术的进步,妇幼卫生信息管理工作正在逐步走向现代化。目前,许多省、市已经实现了妇幼卫生统计报表和三网监测信息的网络报告,部分发达城市还通过全面推行妇幼卫生信息化建设,将过去以年报统计和三网监测等管理需求为主要内容的妇幼卫生信息管理工作,转变为以保健服务对象为核心、基于保健服务过程跟踪管理的个案化、网络化的服务型管理模式,提高了工作效率和服务水平,及时有效的信息也满足了科学决策的需要。还有更多省、市正在立项实施妇幼卫生信息化建设,并且信息化应用水平逐年提高,由过去的单机版运行逐步向网络直报和区域化联网管理过渡。2007年起国家级三网监测工作以及联合国人口基金第6周期项目、全国预防艾滋病母婴传播阻断项目等也纷纷开始实施网络直报,近年来全国范围的妇幼卫生信息化建设已显露出雨后春笋之势。
但此时我们应该清醒地看到,由于以前对信息化基础能力建设的重视不够,使得我国妇幼卫生信息化建设起步较晚,妇幼保健行业的信息化严重滞后于医院、疾病控制、社区卫生以及计划生育、公安户籍管理等相关领域信息化的发展,而且至今为止各级各类妇幼卫生信息网络建设项目各自为政,缺少全国性的统一规划和业务指导,更缺乏相关部门的配合与协调,新的信息孤岛不断涌现。由于各地妇幼卫生信息网络建设一般都以市或省为基本区域单元,单项工程投入至少以百万、千万计,涉及面广,任何失误和偏差都容易造成极大的人力、物力和资源的损失。信息化快速发展与规范化管理缺位的矛盾日益突出。
来之不易的妇幼卫生信息化建设不能再走以往医院信息化标准不一、管理混乱的老路,要站在全国一盘棋的高度,摒弃本位主义,齐心研究和积极应用国家信息标准,要确保新建的各级各类妇幼保健信息系统均建立在“网络互联和信息共享”的基础上,否则就是再大的投入、再好的技术也会造就信息孤岛,使大量宝贵的数据变成信息垃圾。为了保障当前全国妇幼卫生信息化工作的健康发展,促进区域卫生信息化建设和相关领域的配合与协作,迫切需要及时建立国家级常规的信息标准研究与评估指导组织体系以及相应的工作机制,给予必要的经费、人力和项目支持,加强全国妇幼卫生信息资源的科学管理、开发整合和共享利用,加强基层业务指导,尽快将“各自为政”扭转为“统筹规划”,在统一标准的基本前提下,引导妇幼卫生信息化建设科学、健康发展。
1.4 是妇幼卫生信息标准与信息化管理学科建设的要求
卫生信息管理在医学领域属于边缘学科,涉及医学、管理、数学、信息技术等多学科知识的交叉,其理论体系需要不断的研究深化。随着医疗卫生信息化的发展,国内一些医学院校已经将卫生信息管理设立为一个专业学科,培养复合型人才,专门从事卫生信息化建设和管理研究工作,但是其教学内容以及研究方向与目前卫生信息化实践之间还存在较大脱节,知识体系尚不成熟。妇幼卫生信息领域系统没有开展信息标准和信息化的研究,也没有前人的著作或者经验可以学习借鉴,大学的教材也仅停留在基本的信息技术知识以及卫生统计工具软件使用方法等,各级妇幼卫生信息人员只能在实际工作中边摸索、边学习。随着我国妇幼卫生事业的现代化发展,妇幼卫生信息化工作提升到重要的议事日程,各级妇幼保健机构对既熟悉妇幼保健业务又掌握现代信息技术的复合型人才的需求日益迫切,同时也迫切需要科学、规范的业务指导。
近年来,国家妇幼保健中心在其负责的国家妇幼卫生信息标准研制项目中,已经将卫生信息标准知识的宣传推广以及信息化技能培训和教材编制工作纳入到项目计划,每年都拿出专项经费举办妇幼卫生信息标准与信息化管理知识的国家级继续医学教育培训班,经常组织省间互访活动和现场经验交流会,并支持部分城市建设妇幼卫生信息化典型示范,这些工作无疑对当前全国各级妇幼卫生信息化建设工作起到了很大的推动作用。同时,通过开展项目工作也培养锻炼出了一批妇幼卫生信息管理人才,出台了一系列国家信息标准和业务管理规范,并获得了卫生部科技成果和有关科技奖项,为开展后续工作奠定了基础,积累了丰富的经验。
妇幼卫生信息标准和信息化管理的研究任务,既需要长期针对妇幼卫生信息自身标准和信息化方法的不断研究深化、完善和拓展,也需要长期不断地研究掌握其他相关领域的信息标准和信息化进展,以满足妇幼卫生信息化持续发展的需要。根据新时期信息化战略地位的发展要求,当前十分有必要、也有很好的基础,将妇幼卫生信息标准研究与信息化管理工作由目前的阶段性项目工作转变为常规业务工作,培养专门人才,按照全国卫生信息化发展规划的总体要求,长期、系统地组织开展我国妇幼卫生信息化领域的各项政策、规划、标准、方法等研究制定工作,并承担起对基层信息化工作的常规指导、评估管理和教育培训任务。
2 我国妇幼卫生信息标准研究的进展
我国在妇幼卫生信息标准领域开展系统化研制始于2003年。2003年冬春之际,由于SARS的严重侵害,建立健全我国公共卫生信息系统和突发公共卫生事件应急机制工作,得到了党和政府乃至全社会的高度关注和支持,中国疾病预防控制中心妇幼保健中心作为刚刚成立不到6个月的国家级妇幼保健业务指导中心,及时参与了国家公共卫生信息系统建设工作。按照卫生部的统一部署,并结合当时全国妇幼卫生信息化基础十分薄弱、基层建设迫切需要国家标准指导的实际状况,国家妇幼保健中心信息管理部于2003年6月开始进行基础调研和可行性论证,于2004年5月正式组织启动了“中国妇幼保健信息系统标准体系研制”项目。该项目旨在研究和建立一套符合中国国情、满足基层妇幼保健服务和管理需要的妇幼保健信息系统标准体系,用于指导全国妇幼卫生信息化建设,促进国家卫生信息资源的统一规划和共享,并为卫生部制定国家卫生信息标准体系提供基本依据。
项目工作得到了全国各省、市妇幼保健机构和卫生行政部门的普遍关注和支持,其中,北京、天津、重庆等18个省、市妇幼保健机构直接参与了项目第一周期的各项课题研究和试点应用工作。2年半中项目组在全国范围内开展了大量的基础调研和协同研究工作,多次举办全国性项目培训班,并进行省间互访活动,形成了全国上下共同学习、研究和协同开展信息化和信息标准化建设的热潮。2004年9月,基于国家妇幼保健中心所承担的重要工作,卫生部批准增设中国卫生信息学会妇幼保健信息专业委员会,挂靠国家妇幼保健中心,学会的成立对项目研究工作和学术交流活动的开展发挥了十分重要的促进作用。至2006年年底,项目组基本完成了《中国妇幼保健信息系统标准》的研制任务。
《中国妇幼保健信息系统标准》包括3项内容:(1)《妇幼保健信息系统基本功能规范》:根据国家级妇幼卫生信息管理的基本要求,对妇幼保健信息系统进行明确定义,并在此基础上对妇幼保健信息系统及其各子系统的设计目标、基本功能要求、系统运行要求、数据标准化以及系统建设与实施等各项内容提出规范化的技术和管理要求。(2)《妇幼保健信息系统基本数据集标准》:根据《妇幼保健信息系统基本功能规范》中提出的妇幼保健信息系统各子系统基本功能要求,主要从满足国家级妇幼卫生信息管理基本要求的角度,对各子系统所必须采集的数据内容提出规范化的要求,并制定相应的数据元和代码标准。(3)《妇幼保健信息系统网络支撑平台技术指南》:根据《妇幼保健信息系统基本功能规范》和《妇幼保健信息系统基本数据集标准》的基本要求,从满足妇幼保健信息系统开发与运行管理的角度,对妇幼保健信息系统运行所需的网络支撑平台,从平台总体框架、结构和功能、技术平台的选择、系统集成、数据库平台和信息安全体系等主要方面,提出规范化和建议性的技术解决方案。
2007年2月9日,卫生部科教司在北京召开了中国妇幼保健信息系统标准研究课题成果鉴定会,卫生部信息中心、总后卫生部信息中心、信息产业部信息中心、中国疾病预防控制中心、解放军总医院、北京大学医学院和华中科技大学同济医学院的有关领导、专家出席了成果鉴定会,《中国妇幼保健信息系统标准》研究成果经鉴定达到国际先进水平。专家们一致认为:该项研究成果首次较完整地制定了我国妇幼保健领域的基础信息标准和技术规范,初步提出了中国妇幼保健信息系统标准的基本体系;所制定的国家《妇幼保健信息系统基本功能规范》、《妇幼保健信息系统基本数据集标准》、《妇幼保健信息系统网络支撑平台技术指南》等3项技术标准,可作为妇幼保健信息系统设计开发应遵循的基本要求,是指导和评价各地妇幼保健信息系统建设和运行管理的基本标准;项目成果具有重要的社会和经济价值,填补了我国妇幼卫生信息标准研究领域的空白。
2007年4月卫生部信息办发文并通过卫生部网站全文公示《中国妇幼保健信息系统标准》。同年11月《中国妇幼保健信息系统标准》科技成果荣获卫生部首届中华预防医学会科学技术奖。
3 发展规划
3.1 目标
建立我国妇幼卫生领域长期稳定的妇幼卫生信息标准研究、监督指导和评估认证组织体系,加强对全国各级妇幼卫生信息化工作的常规指导,使国家卫生信息标准得到各级卫生行政部门及妇幼保健机构的高度重视和应用推广,并随着国家卫生体制改革和医学模式的转变而不断优化、完善和扩展。
3.2 主要任务
(1)建立国家级妇幼卫生信息标准研究、监督指导和评估认证组织体系;(2)指导建立全国妇幼卫生信息化建设示范点;(3)组织开展国家卫生信息标准的广泛宣传、培训和学术交流。
3.3 主要措施
为积极推进上述目标和任务的实现,在卫生部统筹规划和领导下,国家妇幼保健中心和中国卫生信息学会妇幼保健信息专业委员会于2007年4月继续组织开展了“中国妇幼保健信息系统标准体系研制”第二周期(2007—2010年)项目,并在2007年度首先开展了如下几项活动:
3.3.1 组织制定《国家妇幼保健信息系统标准化和规范化评估办法》。
在北京等11个省、市妇幼保健机构共同参与下,2007年年底首先完成了《国家妇幼保健信息系统标准化与规范化评估办法》的制定,在此基础上初步构建国家级妇幼卫生信息标准研究、监督指导和评估认证组织体系的基本框架以及相应的工作机制,并首先用于对部分试点项目的评估,待标准评估机制完善成熟后,将尽快开展对全国范围各类妇幼保健信息系统产品的国家级标准化评估,以及对各级妇幼卫生信息化工作的规范化评估,逐步强化妇幼卫生信息化工作的行业规范化管理,促进国家卫生信息资源的统一规划和共享利用,引导和帮助IT企业参与信息标准化工作。
3.3.2 指导建立全国妇幼卫生信息化建设示范点。
2006年、2007年连续2个年度,武汉、苏州、厦门3市参加了国家妇幼保健中心开展的“创建城市妇幼保健信息网络系统建设示范平台”项目工作。按照理论结合实践的原则,依据新的国家妇幼保健信息系统标准和管理规范,各试点单位按照项目要求,对其在建的妇幼保健信息网络系统实施必要的标准化改造和规范化建设,使之能最终通过国家级信息标准化和规范化水平测试与评估,从而创建为首批“全国城市妇幼卫生信息化建设示范点”,发挥“以点带面”的示范作用。2008年还将适当扩大到省级和边远地区的妇幼卫生信息化示范点建设。
3.3.3 建设“中国妇幼卫生信息标准研究与管理”官方网站。
为支持国家级妇幼卫生信息标准研究、监督指导和评估认证组织体系工作的开展,2007年年底前计划建设开通“中国妇幼卫生信息标准研究与管理”官方网站,以加强标准工作的社会宣传、学术交流与合作,及时发布最新的国家卫生信息标准及相关政策法规、工作动态、地方建设成就、评估认证结果等,并提供标准查询、著录、下载和论坛等功能。
参考文献
[1]汤学军.城市妇幼保健信息系统建设的可行性分析和系统规划[J].湖北预防医学杂志,2003,14(5):60.
【信息安全评估标准简介】推荐阅读:
信息安全服务评估报告09-24
信息安全国家职业标准09-29
信息安全技术标准试题和答案07-24
电力信息化与信息安全06-08
信息安全团队06-05
信息安全试题06-27
0836信息安全07-24
信息安全技术09-27
信息安全策略集06-08
信息安全的论文07-11
