前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全等級保護管理辦法范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安全等級保護管理辦法范文第1篇

關鍵詞：信息安全等級保護；機構管理；信息中心隨著《信息安全等級保護實施指南》和《信息安全等級保護管理辦法》等一系列文件頒布以來，醫(yī)院如何開展等級保護工作，確保信息安全，已經變成熱門話題。其中，負責醫(yī)院信息安全等級保護工作的組織管理機構，主要從管理層和用戶層對醫(yī)院信息安全等級保護進行管理建設。管理層的主要工作是制定醫(yī)院信息安全等級保護工作的管理辦法；用戶層的主要工作是依據(jù)管辦法要求，進行溝通合作以及運行監(jiān)控和審查檢查工作。

1信息安全機構管理目的

信息安全等級保護工作是解決信息安全問題的基本方法，而信息安全不僅靠物理安全、網絡安全、主機安全等具體技術上的實現(xiàn)，還需要建立健全的信息安全機構管理制度，貫徹信息安全工作和維持信息安全的建設成果，在技術和管理兩個維度下保障信息安全保護體系在持續(xù)的運營工作中發(fā)揮應有的信息安全保護作用[1]。

2信息安全機構管理思路

2.1加強安全管理建設是實現(xiàn)等級保護組織機構管理的基礎 醫(yī)院信息安全管理需要由醫(yī)院信息化領導機構協(xié)調進行。為了完成和強化信息安全的管理，需要建立相應的信息安全管理機構，這是醫(yī)院信息安全等級保護實施的必要條件[2]。同時，安全組織管理建設也是重要組成內容，包括健全組織體系，明確負責安全管理的主要領導、主管部門、技術支持部門和宣傳部門，制定系統(tǒng)安全保障方案，實施安全宣傳教育、安全監(jiān)管和安全服務等。

2.2相關管理辦法制定是規(guī)范等級保護組織機構管理的根本保證 醫(yī)院信息系統(tǒng)存在著來自社會環(huán)境、技術環(huán)境和物理自然環(huán)境的安全風險，其安全威脅無時無處不在。對于醫(yī)院信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術的安全產品來解決，而必須配合等級保護的信息系統(tǒng)安全保障體系，制定相關管理辦法，全方位綜合解決系統(tǒng)安全問題。

2.3定期審查監(jiān)控是實施等級保護組織機構管理的具體表現(xiàn) 根據(jù)醫(yī)院對于信息安全等級保護的要求，安全等級保護除重視技術解決方案外，更應明確定期審查、檢查和監(jiān)控的必要性。包括：指定專員定期對系統(tǒng)進行安全巡查，檢查的內容包含例如系統(tǒng)運行情況、系統(tǒng)漏洞確認、系統(tǒng)數(shù)據(jù)備份、現(xiàn)有安全技術措施有效性、安全配置與安全策略一致性、安全管理制度的執(zhí)行情況等等。

3信息安全機構管理措施

醫(yī)院信息安全管理體系依賴于信息安全等級保護管理建設的機構管理。根據(jù)醫(yī)院當前信息安全管理需要和機構管理特點，和信息安全等級保護管理所要求的系統(tǒng)建設管理、系統(tǒng)運維管理、安全管理機構、安全管理制度和人員安全管理，筆者從崗位設置、人員配備、授權、審批、審查和溝通交流等方面分析醫(yī)院信息管理機構建設，切實做到提升醫(yī)院信息等級保護管理的能力。

3.1崗位設置 信息中心內部根據(jù)崗位劃分不同，設置多個安全管理崗位包括系統(tǒng)管理員、網絡管理員、安全管理員、安全審計員崗位，各崗位人員應按照自己的崗位職責，落實本崗位的信息安全工作[3]。

以我院為例，我院信息安全管理工作由院領導負責指導和管理，同時成立了醫(yī)院級別的信息安全工作領導小組，由黨委書記擔任領導小組組長，由信息中心負責管理工作的具體落實，制定各信息系統(tǒng)相關崗位的崗位職責和工作標準并形成文件。

3.2人員配備 信息中心采用安全責任層層落實制，中心主任對醫(yī)院所有信息化相關系統(tǒng)負責，網絡工程師對醫(yī)院所有網絡建設及維護負責，系統(tǒng)工程師對醫(yī)院服務器、數(shù)據(jù)庫、存儲和信息系統(tǒng)負責，信息安全工程師對醫(yī)院網絡安全、信息安全、機房物理安全負責，安全審計工程師對所有人的信息安全工作進行監(jiān)督和審計，保證信息安全工作層層做實。

3.3授權和審批 醫(yī)院信息中心對于外部廠商人員的相關操作均需進行審批流程，通過軟件記錄其所有操作行為，并保存進檔。對于中心內部工作人員執(zhí)行嚴格的離崗流程，由所在部門主管負責回收本部門負責的相關權限，所有權限回收后方可辦理正常的離職手續(xù)。

信息中心對于客戶端操作系統(tǒng)權限、應用系統(tǒng)操作權限、數(shù)據(jù)庫操作權限進行分級控制。內網客戶端硬盤分區(qū)全部使用NTFS，管理員密碼由信息中心網絡組每月定時更換；對所有應用系統(tǒng)功能進行編號，對功能進行模塊化管理，并對模塊進行分級控制；同時，設置數(shù)據(jù)庫用戶，將不同應用的數(shù)據(jù)分別管理，賦予創(chuàng)建、修改、刪除表及表內數(shù)據(jù)權限。

3.4審查和檢查 醫(yī)院信息中心日常檢查由信息安全管理員進行，自檢內容包括終端安全自檢和軟件管理自檢，終端安全自檢包括檢查是否每臺計算機安裝防病毒軟件，病毒庫是否為最新版本，終端操作系統(tǒng)是否安裝最新補丁，是否設置6位以上口令；軟件管理自檢包括檢查軟件是否為正版軟件，軟件管理的各項記錄是否完整等。

構建信息安全綜合防護體系保證醫(yī)院各系統(tǒng)能夠長期穩(wěn)定安全運行，滿足了醫(yī)院不斷擴展的業(yè)務應用和管理需要。本文對信息安全機構管理的目的、思路和措施進行了詳細的分析闡述，對相關工作人員和機構具有一定的啟示意義。同時，通過梳理分析業(yè)務特點和管理流程，依據(jù)等級保護相關政策和標準，明確安全管理需求，筆者所在醫(yī)院信息管理中心整理并制定出符合醫(yī)院信息系統(tǒng)實際情況的一套信息安全管理體系文件，并在2012年公安局等級保護測評中被評為三級。

參考文獻：

[1]蘇丹.醫(yī)院信息系統(tǒng)安全與管理[J].中國信息界(e醫(yī)療),2013,(05):58-59.

安全等級保護管理辦法范文第2篇

關鍵詞：等級保護；信息安全；風險評估

中圖分類號：TP309 文獻標識碼：A文章編號：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

隨著信息化的快速發(fā)展，計算機網絡與信息技術在各個行業(yè)都得到了廣泛應用，對信息系統(tǒng)進行風險分析和等級評估，找出信息系統(tǒng)中存在的問題，對其進行控制和管理，己成為信息系統(tǒng)安全運行的重點。

一、信息系統(tǒng)安全

信息安全的發(fā)展大致為以下幾個階段，20世紀40-70年代，人們通過密碼技術解決通信保密，保證數(shù)據(jù)的保密性和完整性；到了70-90年代，為確保信息系統(tǒng)資產保密性、完整性和可用性的措施和控制，采取安全操作系統(tǒng)設計技術；90年代后，要求綜合通信安全和信息系統(tǒng)安全，確保信息在存儲、處理和傳輸過程中免受非授權的訪問，防止授權用戶的拒絕服務，以及包括檢測、記錄和對抗此類威脅的措施，代表是安全評估保障CC；今天，要保障信息和信息系統(tǒng)資產，保障組織機構使命的執(zhí)行，綜合技術、管理、過程、人員等，需要更加完善的管理機制和更加先進的技術，出臺的有BS7799/ISO17799管理文件[1]。

二、信息安全等級保護

信息安全等級保護是指對信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中發(fā)生的信息安全事件等分等級響應、處置，對設備設施、運行環(huán)境、系統(tǒng)軟件以及網絡系統(tǒng)按等級管理。風險評估按照風險范疇中設定的相關準則進行評估計算，同時結合信息安全管理和等級保護要求來實施?，F(xiàn)在越來越注重將安全等級策略和風險評估技術相結合的辦法進行信息系統(tǒng)安全管理，國內2007年下發(fā)《信息安全等級保護管理辦法》，規(guī)范了信息安全等級保護的管理。ISO/IEC 27000是英國標準協(xié)會的一個關于信息安全管理的標準[2]。

三、等級保護劃分

完整正確地理解安全保護等級的安全要求，并合理地確定目標系統(tǒng)的保護等級，是將等級保護合理地運用于具體信息系統(tǒng)的重要前提[3]。國家計算機等級保護總體原則《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859）將我國信息系統(tǒng)安全等級分為5個級別，以第1級用戶自主保護級為基礎，各級逐漸增強。

第一級：用戶自主保護級，通過隔離用戶和數(shù)據(jù)，實施訪問控制，以免其他用戶對數(shù)據(jù)的非法讀寫和破壞。

第二級：系統(tǒng)審計保護級，使用機制來鑒別用戶身份，阻止非授權用戶訪問用戶身份鑒別數(shù)據(jù)。

第三級：安全標記保護級，提供有關安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述。

第四級：結構化保護級，將第三級的自主和強制訪問控制擴展到所有的主體和客體。加強鑒別機制，系統(tǒng)具有相當?shù)目節(jié)B透能力。

第五級：訪問驗證保護級，訪問監(jiān)控器仲裁主體對客體的全部訪問，具有極強的抗?jié)B透能力。

四、信息系統(tǒng)定級

為提高我國基礎信息網絡和重要信息系統(tǒng)的信息安全保護能力和水平，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統(tǒng)安全等級保護定級工作[4]，定級范圍包含：

1.電信、廣電行業(yè)的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯(lián)網信息服務單位、互聯(lián)網接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

2.鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通等重要信息系統(tǒng)。

3.市（地）級以上黨政機關的重要網站和辦公信息系統(tǒng)。

4.涉及國家秘密的信息系統(tǒng)。各行業(yè)根據(jù)行業(yè)特點指導本地區(qū)、本行業(yè)進行定級工作，保障行業(yè)內的信息系統(tǒng)安全。

五、等級保護在行業(yè)中應用

（一）等級保護在電力行業(yè)信息安全中的應用

國家電網公司承擔著為國家發(fā)展電力保障的基本使命，對電力系統(tǒng)的信息安全非常重視，已經把信息安全提升到電力生產安全的高度，并陸續(xù)下發(fā)了《關于網絡信息安全保障工作的指導意見》和《國家電網公司與信息安全管理暫行規(guī)定》。

（二）電信網安全防護體系研究及標準化進展

《國家信息化領導小組關于加強信息安全保障工作的意見》和《2006~2020年國家信息化發(fā)展戰(zhàn)略》的出臺，明確了我國信息安全保障工作的發(fā)展戰(zhàn)略[5]。文中也明確了“國家公用通信網”包括通常所指“基礎電信網絡”、“移動通信網”、“公用互聯(lián)網”和“衛(wèi)星通信網”等基礎電信網絡。將安全保障的工作落實到電信網絡，充分研究安全等級保護、安全風險評估以及災難備份及恢復三部分內容，將三部分工作有機結合，互為依托和補充，共同構成了電信網安全防護體系。

六、結束語

安全等級保護是指導信息系統(tǒng)安全防護工作的基礎管理原則，其核心內容是根據(jù)信息系統(tǒng)的重要程度進行安全等級劃分，并針對不同的等級，提出安全要求。我國信息安全等級保護正在不斷地完善中，相信信息保護工作會越做越好。

參考文獻：

[1]徐超漢.計算機信息安全管理[M].北京:電子工業(yè)出版社,2006,36-89

[2]ISO27001.信息安全管理標準[S].2005

[3]GB17859計算機信息系統(tǒng)安全保護等級劃分準則[S].1999

[4]關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知［EB/OL］.公信安[2007]861號,20070716.

安全等級保護管理辦法范文第3篇

一、工作目標

依據(jù)國家信息安全等級保護制度，遵循相關標準規(guī)范，在衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛(wèi)生行業(yè)信息安全防護能力、隱患發(fā)現(xiàn)能力、應急處置能力，為衛(wèi)生信息化健康發(fā)展提供可靠保障，全面維護公共利益、社會秩序和國家安全。

二、工作原則

（一）遵循標準，重點保護。遵循國家信息安全等級保護相關標準規(guī)范，結合衛(wèi)生行業(yè)信息系統(tǒng)特點，優(yōu)先保護重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點信息安全需求。

（二）行業(yè)指導，屬地管理。衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導、屬地管理。地方各級衛(wèi)生行政部門要按照國家信息安全等級保護制度有關要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導和管理工作。衛(wèi)生行業(yè)各單位要按照“誰主管、誰負責，誰運營、誰負責”的要求，落實信息安全責任。

（三）同步建設，動態(tài)完善。在信息系統(tǒng)規(guī)劃設計與建設過程中，同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務類型、應用范圍等條件改變導致安全需求發(fā)生變化時，應當重新調整信息系統(tǒng)安全保護等級，及時完善安全保障措施。

三、工作機制

地方各級衛(wèi)生行政部門承擔本地衛(wèi)生信息安全責任，信息化工作領導小組統(tǒng)籌組織本地衛(wèi)生信息安全等級保護工作。衛(wèi)生部信息化工作領導小組負責對全國衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調、監(jiān)督指導，并組織開展部機關信息安全等級保護工作。省級、地市級衛(wèi)生行政部門信息化工作領導小組負責對本地區(qū)衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調、監(jiān)督指導，并組織開展本單位信息安全等級保護工作。

衛(wèi)生部建立信息安全等級保護工作聯(lián)絡員機制，各省級衛(wèi)生行政部門應當設置信息安全等級保護工作聯(lián)絡員。聯(lián)絡員職責是落實國家信息安全等級保護工作的有關政策和技術標準，掌握本地區(qū)信息安全等級保護工作動態(tài)和總體情況，代表本地區(qū)與衛(wèi)生部及同級信息安全等級保護管理部門進行日常聯(lián)系和交流，協(xié)調落實本地區(qū)信息安全等級保護工作。

衛(wèi)生部和各省級衛(wèi)生行政部門應當分別建立信息安全技術專家委員會，參與信息系統(tǒng)定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛(wèi)生行業(yè)、公安機關及信息安全技術等專家。

四、工作任務

（一）定級備案。

1．衛(wèi)生行業(yè)各單位應當對本單位建設與運營的衛(wèi)生信息系統(tǒng)進行自查，對未定級、定級不準的信息系統(tǒng),應當按照《信息安全技術信息系統(tǒng)安全等級保護定級指南》開展定級工作。

國家信息安全等級保護制度將信息安全保護等級分為五級：第一級為自主保護級，第二級為指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級：

（1）衛(wèi)生統(tǒng)計網絡直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨省全國聯(lián)網運行的信息系統(tǒng)；

（2）國家、省、地市三級衛(wèi)生信息平臺，新農合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心；

（3）三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)；

（4）衛(wèi)生部網站系統(tǒng)；

（5）其他經過信息安全技術專家委員會評定為第三級以上（含第三級）的信息系統(tǒng)。

2.擬定為第三級以上（含第三級）的衛(wèi)生信息系統(tǒng)，應當經信息安全技術專家委員會論證、評審。

3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護等級后，對第二級以上（含第二級）信息系統(tǒng)，應當報屬地公安機關及衛(wèi)生行政部門備案?？缡∪珖?lián)網運行并由衛(wèi)生部定級的信息系統(tǒng)，由衛(wèi)生部報公安部備案；在各地運行、應用的分支系統(tǒng)，應當報屬地公安機關備案。

（二）建設與整改。

1.對已確定安全保護等級的第二級以上（含第二級）衛(wèi)生信息系統(tǒng)，應當按照國家信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等國家標準，開展安全保護現(xiàn)狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。

2.根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結果，按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》、《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》等國家標準，制訂信息系統(tǒng)安全等級保護建設整改方案。第三級以上（含第三級）衛(wèi)生信息系統(tǒng)安全建設整改方案應當經信息安全技術專家委員會論證。

3.衛(wèi)生行業(yè)各單位應當按照信息系統(tǒng)安全建設整改方案，完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術防護體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。

（三）等級測評。

1.系統(tǒng)建設整改工作完成后，應當按照《信息安全等級保護管理辦法》要求，從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構，對第三級以上（含第三級）衛(wèi)生信息系統(tǒng)進行等級測評。

2.測評合格后，應當將測評報告報屬地公安機關及衛(wèi)生行政部門備案。

3.應當每年對第三級以上（含第三級）衛(wèi)生信息系統(tǒng)進行等級測評。對于重要部門的第二級信息系統(tǒng)，可參照上述要求進行等級測評。

（四）宣傳培訓。

1.各級衛(wèi)生行政部門信息化工作領導小組應當對本地區(qū)各級各類醫(yī)療衛(wèi)生機構開展等級保護政策和標準規(guī)范培訓，提高各單位信息安全管理人員的技術能力和管理水平。

2.衛(wèi)生行業(yè)各單位應當開展內部信息安全培訓，提升全員信息安全意識，規(guī)范信息安全操作行為，提高信息安全保障能力。

（五）監(jiān)督檢查。

1.衛(wèi)生部信息化工作領導小組負責督導檢查各地醫(yī)療衛(wèi)生機構信息安全等級保護工作落實情況，并督促部機關重要信息系統(tǒng)責任單位開展信息安全等級保護工作。

2.省級衛(wèi)生行政部門信息化工作領導小組負責督導檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況，并督促本單位開展信息安全等級保護工作。

3.省級衛(wèi)生行政部門信息化工作領導小組應當于每年年底，向衛(wèi)生部信息化工作領導小組報送本地區(qū)信息系統(tǒng)定級備案、建設整改、等級測評和自查等工作開展情況。

五、工作要求

（一）高度重視，加強領導。衛(wèi)生行業(yè)各單位要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫(yī)療衛(wèi)生機構正常運轉和社會穩(wěn)定的重要意義。各單位主要負責同志要負總責，分管負責同志要具體抓，明確職責與任務，突出重點，將信息安全等級保護工作列入重要議事日程和工作績效考核指標，一級抓一級，層層抓落實。

安全等級保護管理辦法范文第4篇

信息安全防護要考慮不同層次的問題。例如網絡平臺就需要擁有網絡節(jié)點之間的相互認證以及訪問控制；應用平臺則需要有針對各個用戶的認證以及訪問控制，這就需要保證每一個數(shù)據(jù)的傳輸?shù)耐暾院捅Ｃ苄裕斎灰残枰ＷC應用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有：

1.1信息安全等級保護

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定，及時在當?shù)毓矙C關進行備案，然后根據(jù)對應等級要求，組織好評測，然后開展針對性的防護，從而提供全面的保障。

1.2網絡分區(qū)和隔離

運用網絡設備和網絡安全設備將企業(yè)網絡劃分為若干個區(qū)域，通過在不同區(qū)域實施特定的安全策略實現(xiàn)對區(qū)域的防護，保證網絡及基礎設置穩(wěn)定正常，保障業(yè)務信息安全。

1.3終端安全防護

需要部署（實施）防病毒系統(tǒng)、上網行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網絡內的終端可以防御各種惡意代碼和病毒；可以對互聯(lián)網訪問行為監(jiān)管，為網絡的安全防護管理提供安全保障；可以自動下發(fā)操作系統(tǒng)補丁，提高終端的安全性。

2.構建信息安全防護體系

電力企業(yè)應充分利用已經成熟的信息安全理論成果，在此基礎上在設計出具有可操作性，能兼顧整體性，并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系，從而保障信息安全。

2.1建立科學合理的信息安全策略體系

信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規(guī)范和多方面的細則，所涉及的基本要素包括信息管理和信息技術這兩方面，其覆蓋了信息系統(tǒng)的網絡層面、物理層面、系統(tǒng)層面以及應用層面這四大層面。

2.2建設先進可靠的信息安全技術防護體系

結合電力企業(yè)的特點，在企業(yè)內部形成分區(qū)、分域、分級、分層的網絡環(huán)境，然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區(qū)域邊界防護。通過統(tǒng)一規(guī)劃，解決系統(tǒng)之間、系統(tǒng)內部網段間邊界不清晰，訪問控制措施薄弱的問題，對不同等級保護的業(yè)務系統(tǒng)分級防護，避免安全要求低的業(yè)務系統(tǒng)的威脅影響到安全要求高的業(yè)務系統(tǒng)，實現(xiàn)全方位的技術安全防護。同時，還要結合信息機房物流防護、網絡準入控制、補丁管理、PKI基礎設施、病毒防護、數(shù)據(jù)庫安全防護、終端安全管理和電子文檔安全防護等細化的措施，形成覆蓋企業(yè)全領域的技術防護體系。

2.3設置責權統(tǒng)一的信息安全組織體系

在企業(yè)內部設置網絡與信息安全領導機構和工作機構，按照“誰主管誰負責，誰運營誰負責”原則，實行統(tǒng)一領導、分級管理。信息安全領導機構由決策層組成，工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門，包含安全管理員、系統(tǒng)管理員、網絡管理員和應用管理員，并分配相關安全責任，使信息安全在組織內得以有效管理。

2.4構建全面完善的信息安全管理體系

對于電力企業(yè)的信息安全防范來說，單純的使用技術手段是遠遠不夠的，只有配合管理才能提供有效運營的保障。

2.4.1用制度保證信息安全

企業(yè)要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件，指明信息安全的發(fā)展方向，為信息安全提供管理指導和支持；安全管理辦法是對信息安全各方面內容進行管理的方法總述；安全管理流程是在信息安全管理辦法的基礎上描述各控制流程；安全規(guī)范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素，人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現(xiàn)企業(yè)工作人員的規(guī)范管理，明確員工信息安全責任和義務，避免人為風險。

2.4.3建設時就考慮信息安全

在網絡和應用系統(tǒng)建設時，就從生命周期的各階段統(tǒng)籌考慮信息安全，遵照信息安全和信息化建設“三同步”原則，即“同步規(guī)劃、同步建設、同步投入運行”。

2.4.4實施信息安全運行保障

主要是以資產管理為基礎，風險管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應功能，構建動態(tài)的可信安全運行保障。同時，還需要不斷完善應急預案，做好預案演練，可以對信息安全事件進行及時的應急響應和處置。

3.總結

安全等級保護管理辦法范文第5篇

信息安全等級保護建設背景

信息安全等級保護制度是我們國家在國民經濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度。實行信息安全等級保護制度，能夠充分調動國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理，對促進我國信息安全的發(fā)展將起到重要推動作用。

2011年，原衛(wèi)生部了《關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函〔2011〕1126號）。針對醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（衛(wèi)發(fā)辦〔2011〕85號）要求三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)信息安全等級保護定級不低于第三級，并且要求2015年12月30日前完成信息安全等級保護建設整改工作，并通過等級測評。

醫(yī)療行業(yè)面臨的主要風險

1.醫(yī)療行業(yè)特點

隨著我國醫(yī)療衛(wèi)生事業(yè)的迅速發(fā)展，醫(yī)學科學的不斷進步，醫(yī)藥衛(wèi)生事業(yè)體制改革的逐步深入，醫(yī)院生存和發(fā)展的外部環(huán)境和內部機制都發(fā)生了很大的變化。當今計算機信息和網絡通信技術的深入發(fā)展為提高醫(yī)院管理水平創(chuàng)造了良好的條件，醫(yī)院信息化建設也因此逐漸在我國各級醫(yī)院中迅猛發(fā)展。目前醫(yī)療行業(yè)信息化有如下特點：系統(tǒng)運行連續(xù)性要求高，要求7×24小時不間斷服務；網絡間斷時間不允許超過2小時；信息高度集成，所有信息需要集中使用；異構系統(tǒng)多，系統(tǒng)復雜度高；系統(tǒng)間接口復雜，涉及廠家多；系統(tǒng)內存儲資料價值較高，存儲著醫(yī)院大量運用數(shù)據(jù)，其中包含大量患者隱私；存儲的數(shù)據(jù)內容本身具備法律效力；核心網絡采用網絡物理隔離。

2.信息系統(tǒng)的威脅來源

信息系統(tǒng)的威脅來源主要可以分為兩個方面，一個是環(huán)境因素造成的威脅，另一個方面是人為因素造成的威脅，而人為因素所帶來的損失往往是不可估量的。

在環(huán)境因素方面，威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環(huán)境危害或自然災害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。

在人員因素方面又可以分為有意和無意兩種情況，對于有意而為之的人，通常指惡意造成破壞的人，懷不滿情緒的或有預謀的內部人員對信息系統(tǒng)進行惡意破壞，采用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取利益。而外部人員也可以利用信息系統(tǒng)的脆弱性，對網絡或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。對于無意的情況來說，通常指管理人員沒有意識到問題或者沒有盡心盡責的工作。例如，內部人員由于缺乏責任心，或者由于不關心或不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓、專業(yè)技能不足、不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊。

3.信息系統(tǒng)負面影響

醫(yī)院內部的信息系統(tǒng)如果受到威脅、入侵或被破壞等，會給國家、醫(yī)院以及人民的利益帶來嚴重的影響。

系統(tǒng)如果出現(xiàn)宕機的現(xiàn)象，首先會造成患者情緒激動，耽誤治療流程，甚至會威脅到患者生命的安危。其次會造成門診業(yè)務人員、主治醫(yī)生、護士等工作人員的工作慌亂，甚至成為情緒激動患者的放矢對象。門診辦主任、主管院領導、醫(yī)院院長電話問詢，信息中心則會電話不斷、手忙腳亂。醫(yī)院業(yè)務停頓，從經濟上受損失，而媒體也會曝光醫(yī)院，使得醫(yī)院信譽受損。

如果醫(yī)院信息系統(tǒng)的內部信息丟失，則會造成員工信息被公開、患者信息泄露等風險。例如，據(jù)《勞動報》報道，一名負責開發(fā)、維護市衛(wèi)生局出生系統(tǒng)數(shù)據(jù)庫的技術部經理利用工作之便，在2011年至2012年4月期間，每月兩次非法進入該院數(shù)據(jù)庫，偷偷下載新生兒出生信息并進行販賣，累計達到了10萬條，給醫(yī)療衛(wèi)生行業(yè)帶來了嚴重的負面影響。

信息安全等級保護建設體系

由于醫(yī)院信息系統(tǒng)復雜的特點、面臨的威脅及產生負面影響的嚴重性，醫(yī)院開展信息安全等級保護建設工作就尤為重要，急需一套適合醫(yī)院的等級保護安全防御體系。

信息安全等級保護體系主要包括技術與管理兩方面，在安全技術方面包括：物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全；在安全管理方面包括：安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。這10個方面里每一項都有若干控制項，順利通過測評至少要達到控制項的80%以上（表1）。

如表1所示，控制項中G表示基本要求類，三級必須達到G3標準；S表示業(yè)務信息安全類，A表示系統(tǒng)服務保證類，三級標準中S與A任選一項達到三級即可。

根據(jù)信息安全等級保護標準，我院主要建設經驗如下：

1.信息安全技術

（1）物理安全：數(shù)據(jù)中心機房是物理安全的核心，機房的裝修工程、動力配電系統(tǒng)、空調新風系統(tǒng)、消防系統(tǒng)、綜合布線系統(tǒng)等均需按照A級機房標準進行建設。此外，日常的管理工作也尤為重要，在物理權限控制方面應配備門禁系統(tǒng)，并且應做到兩種或兩種以上的身份識別機制，如指紋加密碼或IC卡加密碼等。環(huán)境監(jiān)控方面除了每天定時的人員巡檢還應在機房及各設備間部署監(jiān)控系統(tǒng)，利用傳感器監(jiān)控溫濕度、漏水、電壓、設備狀態(tài)等信息，一旦發(fā)生異常通過短信及時告知機房管理人員。

（2）網絡安全：按照等級保護思路進行安全域的劃分，將不同級別的信息系統(tǒng)通過防火墻和網閘進行隔離，根據(jù)每個安全域的特點設定不同的安全策略。服務器安全域制定細粒度訪問控制列表，僅開放必要的端口，并在旁路架設網絡流量審計設備和入侵檢測系統(tǒng)，對所有流量進行記錄及審計，能夠及時發(fā)現(xiàn)攻擊行為；客戶端安全域制定網絡準入和非法外聯(lián)策略，禁止未經授權的計算機隨意接入醫(yī)院網絡，并且通過管理軟件和網閘控制內網的計算機隨意訪問外網或互聯(lián)網；架設安全管理域，該區(qū)域主要用于對網絡設備、服務器、安全設備的管理，并集中收集設備的日志，及時通過分析日志發(fā)現(xiàn)安全隱患。

（3）安全：服務器進行統(tǒng)一安全策略的制定，部署網絡版殺毒系統(tǒng)、補丁分發(fā)系統(tǒng)、入侵防范系統(tǒng)等，并結合服務器承載的業(yè)務特點制定詳細的資源控制列表，按照最小授權原則，授予最低資源訪問權限。

（4）應用安全：部署數(shù)據(jù)庫審計系統(tǒng)，對所有流經數(shù)據(jù)庫的網絡流量進行數(shù)據(jù)分析，制定審計策略，發(fā)生違規(guī)數(shù)據(jù)操作及時通過短信報給安全審計人員；同時部署CA數(shù)字簽名系統(tǒng)，醫(yī)生通過USBKEY進行系統(tǒng)登錄，并對其所有操作進行數(shù)字簽名，有效保證了應用系統(tǒng)的安全性及數(shù)據(jù)的不可抵賴性。

（5）數(shù)據(jù)安全：利用專業(yè)的數(shù)據(jù)備份軟件在異地部署數(shù)據(jù)備份中心，對各系統(tǒng)數(shù)據(jù)庫和文件繼續(xù)高頻率集中加密備份，并且應至少六個月進行一次數(shù)據(jù)還原演練，保證在出現(xiàn)問題是可以有效進行恢復。

2.信息安全管理

（1）安全管理制度：從醫(yī)院層面制定信息安全管理制度，對信息安全制度進行重新整理修改，規(guī)定信息安全的各方面應遵守的原則、方法和指導策略，指定具體管理規(guī)定、處罰措施。制度應具備可操作性，同時應由專人負責隨時進行修正，并由信息安全領導小組進行評審，最終進行。

（2）安全管理機構：組織建立信息安全工作領導小組，設置信息安全管理崗位，設立獨立的系統(tǒng)管理員、網絡管理員、安全管理員、安全審計員等崗位，制定各崗位的工作職責，與各崗位相關人員簽署保密協(xié)議。同時制定溝通協(xié)作機制，內部定期組織會議進行信息安全工作部署，外部每日向公安局上報備案信息系統(tǒng)的安全情況，與數(shù)據(jù)庫、存儲、網絡設備、安全設備等廠商簽署協(xié)議，提供所有設備的備機備件，每月進行設備巡檢，并要求在發(fā)生緊急事件時及時到場提供技術支持。

（3）人員安全管理：在人員錄用方面，嚴格審查人員的背景、身份，并簽署保密協(xié)議，人員離崗時執(zhí)行離崗流程，各部門主管負責回收本部門負責的相關權限，所有權限回收后方可辦理離職手續(xù)。同時定期對人員進行相關培訓，每周進行一次內部培訓，每年進行兩次外部培訓。對于外部廠商人員，其對設備的相關操作均需進行審批流程，并通過技術手段記錄所有操作行為，做好操作記錄，并不定期進行行為審計。