信息系統(tǒng)安全檢查工作報告
信息系統(tǒng)安全檢查工作報告
鹽城市第一人民醫(yī)院信息科
為認真貫徹落實辦公室《關(guān)于印發(fā)鹽城市政府信息系統(tǒng)安全檢查工作實施方案的通知》文件精神和要求����,我科組織人員對全院范圍內(nèi)的信息系統(tǒng)進行了一次全面的自查工作�,F(xiàn)將自查情況報告如下:
一.信息安全狀況總體評價:
1.領(lǐng)導(dǎo)重視,機構(gòu)健全���。我院信息安全管理工作由分管信息科副院長領(lǐng)導(dǎo)����,信息科負責(zé)具體執(zhí)行��。
2.制定方案,加強檢查����。我院使用信息系統(tǒng)作為辦公工具已有十余年的歷史,在信息安全管理方面已擁有一陣套完善規(guī)范合理的信息安全制度����。為了保證我院應(yīng)用系統(tǒng)信息的安全、完整和保密�,保證各應(yīng)用系統(tǒng)穩(wěn)定、高效運行�,我科制定了醫(yī)院信息中心信息安全管理制度制度、一院內(nèi)網(wǎng)防病毒制度����、一院內(nèi)網(wǎng)防入侵制度、一院內(nèi)網(wǎng)接入安全制度���、數(shù)據(jù)備份及服務(wù)器應(yīng)急方案等一系列信息安全規(guī)范和制度����。
二.信息安全自查情況:
1.我院信息系統(tǒng)采取內(nèi)外網(wǎng)物理隔離的方式���,從根本上了防止醫(yī)院業(yè)務(wù)信息系統(tǒng)遭到外部的攻擊和竊取��,充分保護涉及醫(yī)院和患者核心利益信息的安全���。
2.嚴格把關(guān)接入內(nèi)網(wǎng)信息流入口�。我院所有內(nèi)網(wǎng)(除信息科)電腦一律拆除光驅(qū)軟驅(qū)等外接存儲設(shè)備����,通過內(nèi)網(wǎng)管理系統(tǒng)對電腦USB存儲接口,無線網(wǎng)卡��,上網(wǎng)卡等可能引入外部不安全數(shù)據(jù)的信息流入口進行堵截��。所有需要進入內(nèi)網(wǎng)的數(shù)據(jù)一律在信息科確定其安全性后方能存入目標信息終端�。
3.按醫(yī)院各職能科室物理位置和業(yè)務(wù)需求�,制定相應(yīng)的實用程序白名單,規(guī)范內(nèi)網(wǎng)電腦使用軟件的范圍,杜絕不安全軟件、病毒的啟動和傳播���。
4.按操作者的職務(wù)和專業(yè)分配使用醫(yī)院業(yè)務(wù)系統(tǒng)的權(quán)限。醫(yī)院的各工作人員只能獲取與其工作相關(guān)和與其職稱職務(wù)相關(guān)的信息,充分保護了醫(yī)院機密和患者隱私���。
5.醫(yī)院信息終端采取準入制度,各科室增加需院領(lǐng)導(dǎo)審批后才能實施���。我科在所有網(wǎng)絡(luò)交換機上關(guān)閉不使用的端口,不加裝網(wǎng)絡(luò)跳線�,在實際需要使用時打開指定位置的交換機端口、安裝網(wǎng)絡(luò)跳線��。防止了擅自將自配電腦接入醫(yī)院局域網(wǎng)的情況發(fā)生��,保證了信息科對于醫(yī)院業(yè)務(wù)內(nèi)網(wǎng)的有效控制���。6.全院電腦安裝國產(chǎn)專業(yè)殺毒軟件和內(nèi)網(wǎng)控制系統(tǒng)����,并及時更新病毒庫和補丁庫���,做到操作系統(tǒng)����、應(yīng)用軟件��、病毒防護軟件等的補丁及時升級����。全院所有接入醫(yī)院業(yè)務(wù)內(nèi)網(wǎng)的電腦全部下達了程序白名單,外設(shè)黑名單等審計策略。
7.建立了完善的信息設(shè)備安全監(jiān)控手段和值班制度����。我科定期對軟件進行測試,對檢測和用戶反應(yīng)的問題進行研究���,制定相應(yīng)的措施���,編寫相應(yīng)的補丁,并做好版本的備案���。對服務(wù)器����,殺毒軟件��,安全策略�,系統(tǒng)安全日志��,進行定期安全檢測保證其在安全的前提下����,確保數(shù)據(jù)傳輸和信息的安全度。
8.我科已經(jīng)做好各項準備工作��,對可能發(fā)生的各類信息安全事件做到心中有數(shù),進一步完善了信息安全應(yīng)急預(yù)案����,明確應(yīng)急處置流程,明確了應(yīng)急技術(shù)支撐隊伍���,把信息安全工作做深做細做在前面��。積極組織開展了應(yīng)急演練��,檢驗了應(yīng)急預(yù)案的可操作性���,提高了應(yīng)急處置能力。
三.檢查發(fā)現(xiàn)的主要問題及整改情況
(一)存在的只要問題及其原因
1.醫(yī)院工作人員較多�,信息安全意識總體水平較低,且層次不齊����。廣大醫(yī)務(wù)工作者工作繁忙,我科多次組織信息安全相關(guān)培訓(xùn)���,但收效甚為�。2.
(二)下一步工作打算
1.加強信息網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),使安全技術(shù)人員及時更新信息網(wǎng)絡(luò)安全管理知識�,提高相關(guān)管理及法律法規(guī)等的認識,不斷地加強信息網(wǎng)絡(luò)安全管理和技術(shù)防范水平�。
2.加大網(wǎng)絡(luò)安全設(shè)備的投入。
3.繼續(xù)加強對醫(yī)護人員��、行政后勤人員的安全意識教育��,提高做好信息安全工作的主動性和自覺性�。
4.切實增強信息安全制度的落實工作,定期不定期的對安全制度執(zhí)行情況進行檢查��,對于導(dǎo)致不良后果的責(zé)任人��,要嚴肅追究責(zé)任���,從而提高人員安全防護意識�。
5.是要以制度為根本�,在進一步完善信息安全制度的同時�,安排專人,完善設(shè)施���,密切監(jiān)測��,隨時隨地解決可能發(fā)生的信息系統(tǒng)安全事故�。
6.是要加大對線路、系統(tǒng)等的及時維護和保養(yǎng)���,加大更新力度��。
7.是要提高安全工作的現(xiàn)代化水平���,便于我們進一步加強對計算機信息系統(tǒng)安全的防范和信息系統(tǒng)安全工作。
四.對信息安全工作的意見和建議
擴展閱讀:《信息系統(tǒng)安全檢查工作報告》和《自查情況報告表》
信息系統(tǒng)安全檢查工作報告
一���、信息安全狀況總體評價
概述本單位信息安全工作情況����,與上一年度相比信息安全工作取得的新進展����,對本單位信息安全狀況的總體評價。
二����、信息安全自查情況
對照《信息系統(tǒng)安全自查情況報告表》要求,逐項描述本單位在信息安全組織管理��、日常信息安全管理、信息安全防護管理���、信息安全應(yīng)急管理��、信息安全教育培訓(xùn)��、信息安全檢查等方面開展的工作情況��。
三�、檢查發(fā)現(xiàn)的主要問題及整改情況(一)存在主要問題及其原因
描述本單位安全檢查特別是技術(shù)檢測發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)���,分析其存在原因����。
(二)下一步工作打算
針對檢查發(fā)現(xiàn)的問題提出整改計劃或整改措施����。四、對信息安全工作的意見和建議
對信息安全工作特別是信息安全檢查工作提出意見和建議�。
信息系統(tǒng)安全自查情況報告表
(得分:分)
一、單位基本情況(小計5分�,得分)單位名稱分管信息安全工作的領(lǐng)導(dǎo)(2分)信息安全責(zé)任處(科)室(1.5分)信息安全員(1.5分)姓名:職務(wù):名稱:負責(zé)人:職務(wù):電話:姓名:職務(wù):電話:二���、信息系統(tǒng)基本情況(小計13分��,得分)信息系統(tǒng)基本情況(3分)①信息系統(tǒng)總數(shù):1個②面向社會公眾提供服務(wù)的信息系統(tǒng)數(shù):1個③委托社會第三方進行日常運維管理的信息系統(tǒng)數(shù):個�,其中簽訂運維外包服務(wù)合同的信息系統(tǒng)數(shù):個互聯(lián)網(wǎng)接入口總數(shù):2個互聯(lián)網(wǎng)接入情況其中:□聯(lián)通接入口數(shù)量:1個接入帶寬:100兆(此項為統(tǒng)計項,不計分1)□電信接入口數(shù)量:2個接入帶寬:100兆□其他:接入口數(shù)量:個接入帶寬:兆系統(tǒng)定級情況第一級:個第二級:1個第三級:個(2分)系統(tǒng)安全測評情況(8分)三����、日常信息安全管理情況(小計8分,得分)人員管理1
第四級:個第五級:個未定級:個最近2年開展安全測評(含風(fēng)險評估���、等級測評)系統(tǒng)數(shù):0個①崗位信息安全和保密責(zé)任制度:□已建立□未建立本報告表未列明分值的選項均為統(tǒng)計調(diào)查項��,不設(shè)分值���,不計入總分。
(5分)②重要崗位人員信息安全和保密協(xié)議:□全部簽訂□部分簽訂□均未簽訂③人員離崗離職安全管理規(guī)定:□已制定□未制定④外部人員訪問機房等重要區(qū)域管理制度:□已建立□未建立①信息安全設(shè)備運維管理:□已明確專人負責(zé)□未明確□定期進行配置檢查�、日志審計等□未進行②設(shè)備維修維護和報廢銷毀管理:□已建立管理制度,且維修維護和報廢銷毀記錄完整□已建立管理制度��,但維修維護和報廢銷毀記錄不完整□尚未建立管理制度資產(chǎn)管理(3分)四����、信息安全防護管理情況(小計37分,得分)網(wǎng)絡(luò)邊界防護管理(6分)①網(wǎng)絡(luò)區(qū)域劃分是否合理:□合理□不合理②安全防護設(shè)備策略:□使用默認配置□根據(jù)應(yīng)用自主配置③互聯(lián)網(wǎng)訪問控制:□有訪問控制措施□無訪問控制措施④互聯(lián)網(wǎng)訪問日志:□留存日志□未留存日志①服務(wù)器安全防護:□已關(guān)閉不必要的應(yīng)用��、服務(wù)、端口□未關(guān)閉□帳戶口令滿足8位�,包含數(shù)字、字母或符號□不滿足□定期更新帳戶口令□未能定期更新□定期進行漏洞掃描�、病毒木馬檢測□未進行信息系統(tǒng)安全管理(6分)②網(wǎng)絡(luò)設(shè)備防護:□安全策略配置有效□無效□帳戶口令滿足8位,包含數(shù)字�、字母或符號□不滿足□定期更新帳戶口令□未能定期更新□定期進行漏洞掃描、病毒木馬檢測□未進行③信息安全設(shè)備部署及使用:□已部署有防病毒����、防火墻、入侵檢測����、安全審計等功能的設(shè)備□未部署□安全策略配置有效□無效
網(wǎng)站域名:_______________IP地址:_____________是否申請中文域名:□是_______________□否①網(wǎng)站是否備案:□是□否門戶網(wǎng)站管理(3分)②門戶網(wǎng)站賬戶安全管理:□已清理無關(guān)帳戶□未清理□無空口令、弱口令和默認口令□有③清理網(wǎng)站臨時文件��、關(guān)閉網(wǎng)站目錄遍歷功能等情況:口已清理口未清理④門戶網(wǎng)站信息發(fā)布管理:□已建立審核制度�,且審核記錄完整□已建立審核制度,但審核記錄不完整□尚未建立審核制度①電子郵件功能(□開設(shè)□未開設(shè))□已作清理���,僅限本部門或有關(guān)人員使用□未作清理□有技術(shù)措施用于控制和管理口令強度□無技術(shù)措施其他應(yīng)用管理(4分)□無空口令����、弱口令和默認口令□有②留言板功能(□開設(shè)□未開設(shè))□留言內(nèi)容經(jīng)審核后發(fā)布□未經(jīng)審核即可發(fā)布③論壇功能(□開設(shè)□未開設(shè))□已備案2□未備案□論壇內(nèi)容經(jīng)審核后發(fā)布□未經(jīng)審核即可發(fā)布④博客功能(□開設(shè)□未開設(shè))□已作清理����,僅限本部門或有關(guān)人員使用□未作清理□博客內(nèi)容經(jīng)審核后發(fā)布□未經(jīng)審核即可發(fā)布門戶網(wǎng)站應(yīng)用管理(15分)日常安全保障(8分)根據(jù)《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》,擬開展電子論壇等電子公告服務(wù)的���,應(yīng)當向所在地電信管理機構(gòu)進行
專項備案����。
2
①終端計算機安全管理方式:□使用統(tǒng)一平臺對終端計算機進行集中管理□用戶分散管理②帳戶口令管理:□無空口令���、弱口令和默認口令□有終端計算機安全管理(6分)③接入互聯(lián)網(wǎng)安全控制措施:□有控制措施(如實名接入��、綁定計算機IP和MAC地址等)□無控制措施④漏洞掃描����、木馬檢測:□定期進行□未進行⑤在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況:□不存在□存在⑥是否存在使用非涉密計算機處理涉密信息情況:□不存在□存在①移動存儲設(shè)備管理方式:存儲設(shè)備安全管理(4分)□集中管理�,統(tǒng)一登記、配發(fā)���、收回��、維修��、報廢��、銷毀□未采取集中管理相關(guān)措施②在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況:□不存在□存在五����、信息安全應(yīng)急管理情況(小計10分,得分)應(yīng)急預(yù)案制定及備案情況(5分)應(yīng)急技術(shù)支援隊伍(1分)信息安全應(yīng)急演練(2分)信息安全備份(2分)①重要數(shù)據(jù):□備份□未備份②重要信息系統(tǒng):□備份□未備份③容災(zāi)備份服務(wù):□位于境內(nèi)□位于境外□無六��、信息技術(shù)產(chǎn)品使用情況(小計5分��,得分)□本年度已開展□本年度未開展□本單位自身力量□外部專業(yè)機構(gòu)□未明確□已備案□已制定但未備案□未制定
服務(wù)器終端計算機網(wǎng)絡(luò)設(shè)備總臺數(shù):�,其中國產(chǎn)臺數(shù):使用國產(chǎn)CPU的服務(wù)器臺數(shù):總臺數(shù):,其中國產(chǎn)臺數(shù):總臺數(shù):���,其中國產(chǎn)臺數(shù):①服務(wù)器操作系統(tǒng)情況:安裝Windows操作系統(tǒng)的服務(wù)器臺數(shù):安裝Linux操作系統(tǒng)的服務(wù)器臺數(shù):安裝其他操作系統(tǒng)的服務(wù)器臺數(shù):②終端計算機操作系統(tǒng)情況:安裝Windows操作系統(tǒng)的計算機臺數(shù):安裝Linux操作系統(tǒng)的計算機臺數(shù):安裝其他操作系統(tǒng)的計算機臺數(shù):總套數(shù):�,其中國產(chǎn)套數(shù):①安裝國產(chǎn)防病毒產(chǎn)品的終端計算機臺數(shù):(含筆記本)使用國產(chǎn)CPU的計算機臺數(shù):操作系統(tǒng)數(shù)據(jù)庫信息安全設(shè)備②防火墻(不含終端軟件防火墻)臺數(shù):其中國產(chǎn)防火墻的臺數(shù):新購信息安全產(chǎn)品強制性認證情況3(5分)201*年新購信息安全產(chǎn)品通過國家認證的臺(套)數(shù):�,占新購信息安全產(chǎn)品總數(shù)的百分比為:七、信息安全教育培訓(xùn)情況(小計5分��,得分)參加培訓(xùn)情況□本年度是否派員參加信息安全相關(guān)業(yè)務(wù)培訓(xùn)����,人次數(shù):,(1.5分)組織培訓(xùn)情況(1.5分)參訓(xùn)人員比例(2分)培訓(xùn)部門名稱□本年度是否組織開展信息安全教育培訓(xùn)�,次數(shù):本年度參加信息安全教育培訓(xùn)的人員占總?cè)藬?shù)比例為:八、信息安全檢查情況(小計12分,得分)信息安全檢查工作情況(8分)檢查工作和經(jīng)費落實情況:□已落實□未落實檢查工作方案制定情況:□已制定□未制定安全保密和風(fēng)險控制措施:□已采取□未采取
組織開展技術(shù)檢測情況:□已開展□未開展九�、信息安全經(jīng)費預(yù)算投入情況(小計5分,得分)經(jīng)費預(yù)算(2分)實際經(jīng)費投入(3分)本年度信息安全經(jīng)費預(yù)算額:萬元本年度信息安全經(jīng)費實際投入額:萬元十��、本年度信息安全事件情況①進行過病毒木馬等惡意代碼檢測的服務(wù)器臺數(shù):3病毒木馬等其中感染惡意代碼的服務(wù)器臺數(shù):0惡意代碼4②進行過病毒木馬等惡意代碼檢測的終端計算機臺數(shù):22檢測結(jié)果其中感染惡意代碼的終端計算機臺數(shù):3①進行過漏洞掃描的服務(wù)器臺數(shù):___4_____����,其中存在漏洞的服務(wù)器臺數(shù):____0____,存在高風(fēng)險漏洞5的服務(wù)器臺數(shù):___0_____漏洞檢測②進行過漏洞掃描的終端計算機臺數(shù):___40___,其中存在漏洞結(jié)果的終端計算機臺數(shù):___2___,存在高風(fēng)險漏洞的終端計算機臺數(shù):門戶網(wǎng)站受攻擊本單位入侵檢測設(shè)備檢測到的門戶網(wǎng)站受攻擊次數(shù):情況本年度安全技術(shù)檢測結(jié)果本年度信息安網(wǎng)頁被篡改門戶網(wǎng)站網(wǎng)頁被篡改(含內(nèi)嵌惡意代碼)次數(shù):情況全事件統(tǒng)計①使用非涉密終端計算機處理涉密信息事件數(shù):設(shè)備違規(guī)②終端計算機在非涉密系統(tǒng)和涉密系統(tǒng)間混用事件數(shù):使用情況③移動存儲介質(zhì)在非涉密系統(tǒng)和涉密系統(tǒng)間交叉使用事件數(shù):十一���、信息技術(shù)外包服務(wù)機構(gòu)情況機構(gòu)名稱外包服務(wù)機構(gòu)1服務(wù)內(nèi)容6□國有□民營□外資機構(gòu)性質(zhì)本表所稱惡意代碼��,是指病毒木馬等具有避開安全保護措施���、竊取他人信息、損害他人計算機及信息系統(tǒng)資源��、對他人計算機及信息系統(tǒng)實施遠程控制等功能的代碼或程序���。
5
本表所稱高風(fēng)險漏洞���,是指計算機硬件、軟件或信息系統(tǒng)中存在的嚴重安全缺陷�,利用這些缺陷可完全控制或部分控制計算機及信息系統(tǒng),對計算機及信息系統(tǒng)實施攻擊、破壞����、信息竊取等行為。
6
服務(wù)內(nèi)容主要包括:系統(tǒng)集成����、系統(tǒng)運維、風(fēng)險評估���、安全檢測���、安全加固、應(yīng)急支持�、數(shù)據(jù)存儲等。
4
外包服務(wù)合同□已簽訂□未簽訂信息安全和保密協(xié)議□已簽訂□未簽訂信息安全管理體系認證情況機構(gòu)名稱機構(gòu)性質(zhì)□已通過認證認證機構(gòu):□未通過認證□國有□民營□外資服務(wù)內(nèi)容外包服務(wù)機構(gòu)2外包服務(wù)合同□已簽訂□未簽訂信息安全和保密協(xié)議□已簽訂□未簽訂信息安全管理體系認證情況□已通過認證認證機構(gòu):□未通過認證(如有2個以上外包機構(gòu)��,每個機構(gòu)均應(yīng)填寫��,可另附頁)
填表人:_____________部門/職別:_______________電話:_______________
友情提示:本文中關(guān)于《信息系統(tǒng)安全檢查工作報告》給出的范例僅供您參考拓展思維使用���,信息系統(tǒng)安全檢查工作報告:該篇文章建議您自主創(chuàng)作����。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問題���,請聯(lián)系我們及時刪除���。
《
信息系統(tǒng)安全檢查工作報告》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址:http://www.seogis.com/gongwen/591137.html
