網絡安全建設整改方案范文

導語：如何才能寫好一篇網絡安全建設整改方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

隨著信息安全等級保護工作的不斷深化，已延伸到醫療衛生行業。衛計委要求三級醫院核心業務系統定級不低于第三級。本文結合醫院實際，介紹了醫院信息安全等級保護工作的建設，闡明了信息系統的定級、備案、整改、測評四個實施步驟，以供大家探討。

關鍵詞：

醫院信息安全；等級保護工作；等級測評

一、引言

隨著我國信息化建設的快速發展與廣泛應用，信息安全的重要性愈發突出。在國家重視信息安全的大背景下，推出了信息安全等級保護制度。為統一管理規范和技術標準，公安部等四部委聯合了《信息安全等級保護管理辦法》（公通字[2007]43號）。隨著等級保護工作的深入開展，原衛生部制定了《衛生行業信息安全等級保護工作的指導意見》（衛辦發[2011]85號），進一步規范和指導了我國醫療衛生行業信息安全等級保護工作，并對三級甲等醫院核心業務信息系統的安全等級作了要求，原則上不低于第三級。從《關于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統及其安全產品進行等級劃分，并按等級對信息安全事件響應[1]。

二、醫院信息安全等級保護工作實施步驟

2.1定級與備案[2]。

根據公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》，有兩個定級要素決定了信息系統的安全保護等級，一個是等級保護對象受到破壞時所侵害的客體，另外一個是對客體造成侵害的程度。對于三級醫院，門診量與床位相對較多，影響范圍較廣，一旦信息系統遭到破壞，將會給患者造成生命財產損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認同國家衛計委對三級甲等醫院的核心業務信息系統安全等級的限制要求。在完成定級報告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機關辦理備案手續，在取得備案回執后才算完成定級備案工作。我院已按照要求向我市公安局網安支隊，同時也是我市信息安全等級保護工作領導小組辦公室，提交了定級報告與備案表。

2.2安全建設與整改[3]。

在完成定級備案后，就要結合醫院實際，分析信息安全現狀，進行合理規劃與整改。

2.2.1等保差距分析與風險評估。

了解等級保護基本要求。《信息系統安全等級保護基本要求》分別從技術和管理兩方面提出了基本要求。基本技術要求包括五個方面：物理安全、網絡安全、主機安全、應用安全和數據安全，主要是由在信息系統中使用的網絡安全產品（包括硬件和軟件）及安全配置來實現；基本管理要求也包括五個方面：安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理，主要是根據相關政策、制度以及規范流程等方面對人員活動進行約束控制，以期達到安全管理要求[4]。技術類安全要求按保護側重點進一步劃分為三類：業務信息安全類（S類）、系統服務安全類（A類）、通用安全保護類（G類）。如受條件限制，可以逐步完成三級等級保護，A類和S類有一類滿足即可，但G類必須達到三級，最嚴格的G3S3A3控制項共計136條[5]。醫院可以結合自身建設情況，選擇其中一個標準進行差距分析。管理方面要求很嚴格，只有完成所有的154條控制項，達到管理G3的要求，才能完成三級等級保護要求。這需要我們逐條對照，發現醫院安全管理中的不足與漏洞，找出與管理要求的差距。對于有條件的三甲醫院，可以先進行風險評估，通過分析信息系統的資產現狀、安全脆弱性及潛在安全威脅，形成《風險評估報告》。經過與三級基本要求對照，我院還存在一定差距。比如：在物理環境安全方面，我院機房雖有滅火器，但沒安裝氣體滅火裝置。當前的安全設備產品較少，不能很好的應對網絡入侵。在運維管理方面，缺乏預警機制，無法提前判斷系統潛在威脅等。

2.2.2建設整改方案。

根據差距分析情況，結合醫院信息系統安全實際需求和建設目標，著重于保證業務的連續性與數據隱私方面，滿足于臨床的實際需求，避免資金投入的浪費、起不到實際效果。整改方案制訂應遵循以下原則：安全技術和安全管理相結合，技術作保障，管理是更好的落實安全措施；從安全區域邊界、安全計算環境和安全通信網絡進行三維防護，建立安全管理中心[6]。方案設計完成后，應組織專家或經過第三方測評機構進行評審，以保證方案的可用性。整改方案實施。實施過程中應注意技術與管理相結合，并根據實際情況適當調整安全措施，提高整體保護水平。我院整改方案是先由醫院內部自查，再邀請等級測評公司進行預測評，結合醫院實際最終形成的方案。網絡技術人員熟悉系統現狀，易于發現潛在安全威脅，所以醫院要先自查，對自身安全進行全面了解。等級測評公司派專業安全人員進駐醫院，經過與醫院技術人員溝通，利用安全工具進行測試，可以形成初步的整改報告，對我院安全整改具有指導意義。

2.3開展等級保護測評[7]。

下一步工作就是開展等級測評。在測評機構的選擇上，首先要查看其是否具有“DICP”認證，有沒有在當地公安部門進行備案，還可以到中國信息安全等級保護網站進行核實。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準備階段。

醫院與測評機構共同成立項目領導小組，制定工作任務與測評計劃等前期準備工作。項目啟動前，為防止醫院信息泄露，還需要簽訂保密協議。項目啟動后，測評機構要進行前期調研，主要是了解醫院信息系統的拓撲結構、設備運行狀況、信息系統應用情況及安全管理等情況，然后再選擇相應的測評工具和文檔。在測評準備階段，主要是做好組織機構建設工作，配合等級測評公司人員的調查工作。

2.3.2測評方案編制階段。

測評內容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫院信息系統、基礎網絡和二級的門戶網站。測評機構要與醫院溝通，制定工具測試方法與測評指導書，編制測評方案。在此階段，主要工作由等級測評機構來完成。

2.3.3現場測評階段。

在經過實施準備后，測評機構要對上述控制項進行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫院業務正常開展，測評工作應盡量減少對業務工作的沖擊。當需要占用服務器和網絡資源時應避免業務高峰期，可以選擇下班時間或晚上。為避免對現有業務造成影響，測評工具應在接入前進行測試，同時要做好應急預案準備，一旦影響醫院業務，應立即啟動應急預案[8]。在對209條控制項進行測評后應進行結果確認，并將資料歸還醫院。該階段是從真實情況中了解信息系統全面具體的主要工作，也是技術人員比較辛苦的階段。除了要密切配合測評，還不能影響醫院業務開展，除非必要，不然安全測試工作必須在夜間進行。

2.3.4報告編制階段。

通過判定測評單項，測評機構對單項測評結果進行整理，逐項分析，最終得出整體測評報告。測評報告包含了醫院信息安全存在的潛在威脅點、整改建議與最終測評結果[9]。對于公安機關來講，醫院能否通過等級測評的主要標準就是測評結果。因此，測評報告的結果至關重要。測評結果分為：不符合、部分符合、全部符合。有的測評機構根據單項測評結果進行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結果，需要醫院落實安全整改方案。

2.4安全運維。

我們必須清醒地認識到，實施安全等級保護是一項長期工作，它不僅要在信息化建設規劃中考慮，還要在日常運維管理中重視，是不斷循環的過程。按照等級保護制度要求，信息系統等級保護級別定為三級的三甲醫院每年要自查一次，還要邀請測評機構進行測評并進行整改，監管部門每年要抽查一次。因此，醫院要按照PDCA的循環工作機制，不斷改進安全技術與管理上，完善安全措施，更好地保障醫院信息系統持續穩定運行[10]。

三、結語

醫院信息安全工作是信息化建設的一部分，是一項長期的系統工程，需要分批分期的循序改建。還要結合醫院實際，考慮安全產品的實用性，不能盲目的進行投資。醫院通過實施等級保護工作，可以有效增強網絡與信息系統整體安全性，有力保障醫院各項業務的持續開展，適應醫院信息化不斷發展的需求。

作者：王磊 單位：蚌埠醫學院第二附屬醫院

參考文獻

[1]公安部,國家保密局,國家密碼管理局,國務院信息化辦公室文件.關于信息安全等級保護工作的實施意見（公通字[2004]66號）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術信息系統安全等級保護定級指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術信息系統安全等級保護實施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術信息系統安全等級保護基本要求[S],2008-06-19.

[5]魏世杰.醫院信息安全等級保護三級建設思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構建醫院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術信息系統安全等級保護測評過程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級系統信息安全等級保護測評指標體系研究[J].鐵路計算機應用,2015,24(2):59-61.

篇2

(一)嚴格依法原則

案件信息公開工作規定與實施，嚴格依據《刑事訴訟法》、《人民檢察院刑事訴訟規則(試行)》、《中華人民共和國政府信息公開條例》、最高人民檢察院《關于在全國檢察機關實行“檢務公開”的決定》、《關于進一步深化人民檢察院“檢務公開”的意見》等法律、法規、司法解釋和規范性文件，以及《最高人民檢察院黨組黨的群眾路線教育實踐活動整改方案》和高檢院《深化檢務公開制度改革試點工作方案》等相關文件的規定進行。

(二)便民利民原則

公開方式上，堅持主動公開和依申請公開相結合。對于人民群眾關注的有較大社會影響案件辦理進展和結果，以及危害民生、侵害民利的典型案例等進行主動公開;對依申請公開的案件信息應當“以公開為原則，不公開為例外”，充分保障人民群眾的知情權、參與權和監督權。公開的途徑上，建立全天候、多途徑的案件信息公開系統，采用互聯網、電話、短信等多種方式公開。

(三)及時準確原則

檢察機關案件信息公開系統的數據來源于全國檢察機關統一業務應用系統(內網)數據庫。承辦人員辦理案件的同時，生成相關數據，由專人導出，每日更新，確保案件受理、訴訟階段變化、作出處理決定等流程信息能夠及時更新，保障查詢內容的準確、規范。公開的案件信息數據、終結性法律文書數據進入案件信息公開系統后，不得擅自修改或刪除。

(四)安全原則

在案件信息公開工作中，必須確保網絡安全、系統安全和數據安全。科學設置系統數據導出篩選功能，確保不得公開的案件信息、終結性法律文書等數據不被導出。嚴格數據導出及更新工作管理，定期備份數據。系統應當實時記錄訪問及查詢情況，形成清單，供查詢及分析研判。在具備條件時，開展對訪問主體及訪問內容的自動統計分析，研判關注熱點。加強檢察機關互聯網門戶網站網絡安全建設，確保網絡安全、系統安全和數據安全。

二、案件管理信息公開系統之框架構思

(一)整體框架設置

主要設置以下功能模塊:1．案件信息查詢模塊;2．重大案件信息互聯網模塊;3．終結性法律文書互聯網公開模塊;4．辯護與業務辦理模塊;5．控告申訴系統模塊;6．行賄犯罪檔案查詢系統模塊，等等。

(二)統一信息公開平臺設置

1．在檢查網站首頁設置所有功能模塊;2．開通互聯網、電話、短信、微信等信息查詢途徑;3．專人保證各功能模塊之間信息的一致性和互通性。

(三)內、外網銜接設置

通過具體技術人員的配備，實現內、外網各對應業務功能與查詢功能的相互銜接，并確保相銜接內容的及時性、準確性、與完整性。如統一業務應用系統中辯護人、訴訟人業務辦理功能與外網中辯護人、訴訟人查詢、業務辦理功能的銜接。

(四)監督信息的整合

主動收集關注案件，并主動相關案件信息，接收民眾意見，實現信息的雙向流動。強化社會民眾對案件的評價功能，并及時進行反饋。

三、案件信息公開面臨之困境

在對相關檢察機關案件信息公開征求意見稿進行仔細研讀，并結合基層院案件管理部門實際工作分析，筆者發現以下信息公開工作實施過程中所存在的問題:

(一)基層院部分重大案件案情部署的公開恐將不利于案件審查、辦理、終結。重大案件案情的公布，為檢察院工作帶來了更大的難度，將公訴人置于訴訟中較為不利的地位，為案件的偵破與審結制造難關，為犯罪嫌疑人掙脫法網提供了便利條件。

(二)基層院案件管理部門人手不足，無法分出專人從事案件信息公開工作。基層院案件管理部門一般配備三至四名工作人員，而案件管理部門所負職責繁雜，若全面開展全力投入信息公開工作則現有工作安排無法得到切實落實。

(三)基層院同時具有業務能力、案件管理能力、信息技術知識的人員匱乏。據初步調查，筆者所在基層院暫無同時具有業務能力、案件管理能力以及信息技術知識的干警，而根據信息公開系統相關草稿的落實要求，唯有同時具備此三項能力的工作人員才能保證信息公開工作的完整、有序、正確開展。

四、保障信息公開系統運行之舉措

(一)由業務部門把關信息公開程度

高檢院要求將重大案件案情及終結性法律文書公開，并對信息公開的程度提出了具體明確的要求，而實踐中申請信息公開的權利主體對于信息公開程度的要求與高檢院的要求之間存在著矛盾。案管人員并非案件承辦人，對案件情況缺乏深入了解，對信息公開的程度也無法切實把握。因此，由業務部門承辦人負責并把關所承辦案件信息公開程度具有其必要性。

(二)規定案管部門必要人手數量

目前基層院案件管理部門人員數量參差不齊，包含部門負責人在內多則六人，少則三人。案管部門職能至少需要配備五名人員才能夠保證有專人負責信息公開業務。基層院可采取由業務部門工作人員兼任案管部門工作人員的方式減輕案管部門工作壓力，同時亦能夠加強案管部門與其他業務部門之間的密切聯系。

(三)引入辦案經驗豐富的案管人才