導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全建設(shè)整改方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

隨著信息安全等級保護(hù)工作的不斷深化，已延伸到醫(yī)療衛(wèi)生行業(yè)。衛(wèi)計(jì)委要求三級醫(yī)院核心業(yè)務(wù)系統(tǒng)定級不低于第三級。本文結(jié)合醫(yī)院實(shí)際，介紹了醫(yī)院信息安全等級保護(hù)工作的建設(shè)，闡明了信息系統(tǒng)的定級、備案、整改、測評四個實(shí)施步驟，以供大家探討。

關(guān)鍵詞：

醫(yī)院信息安全；等級保護(hù)工作；等級測評

一、引言

隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用，信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下，推出了信息安全等級保護(hù)制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，公安部等四部委聯(lián)合了《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）。隨著等級保護(hù)工作的深入開展，原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[2011]85號），進(jìn)一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)工作，并對三級甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級作了要求，原則上不低于第三級。從《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》中可知信息安全等級保護(hù)對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統(tǒng)及其安全產(chǎn)品進(jìn)行等級劃分，并按等級對信息安全事件響應(yīng)[1]。

二、醫(yī)院信息安全等級保護(hù)工作實(shí)施步驟

2.1定級與備案[2]。

根據(jù)公安部信息安全等級保護(hù)評估中心編制的《信息安全等級保護(hù)政策培訓(xùn)教程》，有兩個定級要素決定了信息系統(tǒng)的安全保護(hù)等級，一個是等級保護(hù)對象受到破壞時所侵害的客體，另外一個是對客體造成侵害的程度。對于三級醫(yī)院，門診量與床位相對較多，影響范圍較廣，一旦信息系統(tǒng)遭到破壞，將會給患者造成生命財(cái)產(chǎn)損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認(rèn)同國家衛(wèi)計(jì)委對三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級的限制要求。在完成定級報告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機(jī)關(guān)辦理備案手續(xù)，在取得備案回執(zhí)后才算完成定級備案工作。我院已按照要求向我市公安局網(wǎng)安支隊(duì)，同時也是我市信息安全等級保護(hù)工作領(lǐng)導(dǎo)小組辦公室，提交了定級報告與備案表。

2.2安全建設(shè)與整改[3]。

在完成定級備案后，就要結(jié)合醫(yī)院實(shí)際，分析信息安全現(xiàn)狀，進(jìn)行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險評估。

了解等級保護(hù)基本要求?！缎畔⑾到y(tǒng)安全等級保護(hù)基本要求》分別從技術(shù)和管理兩方面提出了基本要求。基本技術(shù)要求包括五個方面：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全，主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品（包括硬件和軟件）及安全配置來實(shí)現(xiàn)；基本管理要求也包括五個方面：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對人員活動進(jìn)行約束控制，以期達(dá)到安全管理要求[4]。技術(shù)類安全要求按保護(hù)側(cè)重點(diǎn)進(jìn)一步劃分為三類：業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類）、通用安全保護(hù)類（G類）。如受條件限制，可以逐步完成三級等級保護(hù)，A類和S類有一類滿足即可，但G類必須達(dá)到三級，最嚴(yán)格的G3S3A3控制項(xiàng)共計(jì)136條[5]。醫(yī)院可以結(jié)合自身建設(shè)情況，選擇其中一個標(biāo)準(zhǔn)進(jìn)行差距分析。管理方面要求很嚴(yán)格，只有完成所有的154條控制項(xiàng)，達(dá)到管理G3的要求，才能完成三級等級保護(hù)要求。這需要我們逐條對照，發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞，找出與管理要求的差距。對于有條件的三甲醫(yī)院，可以先進(jìn)行風(fēng)險評估，通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險評估報告》。經(jīng)過與三級基本要求對照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機(jī)房雖有滅火器，但沒安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少，不能很好的應(yīng)對網(wǎng)絡(luò)入侵。在運(yùn)維管理方面，缺乏預(yù)警機(jī)制，無法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。

根據(jù)差距分析情況，結(jié)合醫(yī)院信息系統(tǒng)安全實(shí)際需求和建設(shè)目標(biāo)，著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面，滿足于臨床的實(shí)際需求，避免資金投入的浪費(fèi)、起不到實(shí)際效果。整改方案制訂應(yīng)遵循以下原則：安全技術(shù)和安全管理相結(jié)合，技術(shù)作保障，管理是更好的落實(shí)安全措施；從安全區(qū)域邊界、安全計(jì)算環(huán)境和安全通信網(wǎng)絡(luò)進(jìn)行三維防護(hù)，建立安全管理中心[6]。方案設(shè)計(jì)完成后，應(yīng)組織專家或經(jīng)過第三方測評機(jī)構(gòu)進(jìn)行評審，以保證方案的可用性。整改方案實(shí)施。實(shí)施過程中應(yīng)注意技術(shù)與管理相結(jié)合，并根據(jù)實(shí)際情況適當(dāng)調(diào)整安全措施，提高整體保護(hù)水平。我院整改方案是先由醫(yī)院內(nèi)部自查，再邀請等級測評公司進(jìn)行預(yù)測評，結(jié)合醫(yī)院實(shí)際最終形成的方案。網(wǎng)絡(luò)技術(shù)人員熟悉系統(tǒng)現(xiàn)狀，易于發(fā)現(xiàn)潛在安全威脅，所以醫(yī)院要先自查，對自身安全進(jìn)行全面了解。等級測評公司派專業(yè)安全人員進(jìn)駐醫(yī)院，經(jīng)過與醫(yī)院技術(shù)人員溝通，利用安全工具進(jìn)行測試，可以形成初步的整改報告，對我院安全整改具有指導(dǎo)意義。

2.3開展等級保護(hù)測評[7]。

下一步工作就是開展等級測評。在測評機(jī)構(gòu)的選擇上，首先要查看其是否具有“DICP”認(rèn)證，有沒有在當(dāng)?shù)毓膊块T進(jìn)行備案，還可以到中國信息安全等級保護(hù)網(wǎng)站進(jìn)行核實(shí)。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準(zhǔn)備階段。

醫(yī)院與測評機(jī)構(gòu)共同成立項(xiàng)目領(lǐng)導(dǎo)小組，制定工作任務(wù)與測評計(jì)劃等前期準(zhǔn)備工作。項(xiàng)目啟動前，為防止醫(yī)院信息泄露，還需要簽訂保密協(xié)議。項(xiàng)目啟動后，測評機(jī)構(gòu)要進(jìn)行前期調(diào)研，主要是了解醫(yī)院信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、設(shè)備運(yùn)行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況，然后再選擇相應(yīng)的測評工具和文檔。在測評準(zhǔn)備階段，主要是做好組織機(jī)構(gòu)建設(shè)工作，配合等級測評公司人員的調(diào)查工作。

2.3.2測評方案編制階段。

測評內(nèi)容主要由測評對象與測評指標(biāo)來確定。我院測評對象包含三級的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級的門戶網(wǎng)站。測評機(jī)構(gòu)要與醫(yī)院溝通，制定工具測試方法與測評指導(dǎo)書，編制測評方案。在此階段，主要工作由等級測評機(jī)構(gòu)來完成。

2.3.3現(xiàn)場測評階段。

在經(jīng)過實(shí)施準(zhǔn)備后，測評機(jī)構(gòu)要對上述控制項(xiàng)進(jìn)行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開展，測評工作應(yīng)盡量減少對業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時應(yīng)避免業(yè)務(wù)高峰期，可以選擇下班時間或晚上。為避免對現(xiàn)有業(yè)務(wù)造成影響，測評工具應(yīng)在接入前進(jìn)行測試，同時要做好應(yīng)急預(yù)案準(zhǔn)備，一旦影響醫(yī)院業(yè)務(wù)，應(yīng)立即啟動應(yīng)急預(yù)案[8]。在對209條控制項(xiàng)進(jìn)行測評后應(yīng)進(jìn)行結(jié)果確認(rèn)，并將資料歸還醫(yī)院。該階段是從真實(shí)情況中了解信息系統(tǒng)全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測評，還不能影響醫(yī)院業(yè)務(wù)開展，除非必要，不然安全測試工作必須在夜間進(jìn)行。

2.3.4報告編制階段。

通過判定測評單項(xiàng)，測評機(jī)構(gòu)對單項(xiàng)測評結(jié)果進(jìn)行整理，逐項(xiàng)分析，最終得出整體測評報告。測評報告包含了醫(yī)院信息安全存在的潛在威脅點(diǎn)、整改建議與最終測評結(jié)果[9]。對于公安機(jī)關(guān)來講，醫(yī)院能否通過等級測評的主要標(biāo)準(zhǔn)就是測評結(jié)果。因此，測評報告的結(jié)果至關(guān)重要。測評結(jié)果分為：不符合、部分符合、全部符合。有的測評機(jī)構(gòu)根據(jù)單項(xiàng)測評結(jié)果進(jìn)行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結(jié)果，需要醫(yī)院落實(shí)安全整改方案。

2.4安全運(yùn)維。

我們必須清醒地認(rèn)識到，實(shí)施安全等級保護(hù)是一項(xiàng)長期工作，它不僅要在信息化建設(shè)規(guī)劃中考慮，還要在日常運(yùn)維管理中重視，是不斷循環(huán)的過程。按照等級保護(hù)制度要求，信息系統(tǒng)等級保護(hù)級別定為三級的三甲醫(yī)院每年要自查一次，還要邀請測評機(jī)構(gòu)進(jìn)行測評并進(jìn)行整改，監(jiān)管部門每年要抽查一次。因此，醫(yī)院要按照PDCA的循環(huán)工作機(jī)制，不斷改進(jìn)安全技術(shù)與管理上，完善安全措施，更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行[10]。

三、結(jié)語

醫(yī)院信息安全工作是信息化建設(shè)的一部分，是一項(xiàng)長期的系統(tǒng)工程，需要分批分期的循序改建。還要結(jié)合醫(yī)院實(shí)際，考慮安全產(chǎn)品的實(shí)用性，不能盲目的進(jìn)行投資。醫(yī)院通過實(shí)施等級保護(hù)工作，可以有效增強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)整體安全性，有力保障醫(yī)院各項(xiàng)業(yè)務(wù)的持續(xù)開展，適應(yīng)醫(yī)院信息化不斷發(fā)展的需求。

作者：王磊 單位：蚌埠醫(yī)學(xué)院第二附屬醫(yī)院

參考文獻(xiàn)

[1]公安部,國家保密局,國家密碼管理局,國務(wù)院信息化辦公室文件.關(guān)于信息安全等級保護(hù)工作的實(shí)施意見（公通字[2004]66號）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[S],2008-06-19.

[5]魏世杰.醫(yī)院信息安全等級保護(hù)三級建設(shè)思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構(gòu)建醫(yī)院信息安全等級保護(hù)縱深防護(hù)體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級系統(tǒng)信息安全等級保護(hù)測評指標(biāo)體系研究[J].鐵路計(jì)算機(jī)應(yīng)用,2015,24(2):59-61.

篇2

(一)嚴(yán)格依法原則

案件信息公開工作規(guī)定與實(shí)施，嚴(yán)格依據(jù)《刑事訴訟法》、《人民檢察院刑事訴訟規(guī)則(試行)》、《中華人民共和國政府信息公開條例》、最高人民檢察院《關(guān)于在全國檢察機(jī)關(guān)實(shí)行“檢務(wù)公開”的決定》、《關(guān)于進(jìn)一步深化人民檢察院“檢務(wù)公開”的意見》等法律、法規(guī)、司法解釋和規(guī)范性文件，以及《最高人民檢察院黨組黨的群眾路線教育實(shí)踐活動整改方案》和高檢院《深化檢務(wù)公開制度改革試點(diǎn)工作方案》等相關(guān)文件的規(guī)定進(jìn)行。

(二)便民利民原則

公開方式上，堅(jiān)持主動公開和依申請公開相結(jié)合。對于人民群眾關(guān)注的有較大社會影響案件辦理進(jìn)展和結(jié)果，以及危害民生、侵害民利的典型案例等進(jìn)行主動公開;對依申請公開的案件信息應(yīng)當(dāng)“以公開為原則，不公開為例外”，充分保障人民群眾的知情權(quán)、參與權(quán)和監(jiān)督權(quán)。公開的途徑上，建立全天候、多途徑的案件信息公開系統(tǒng)，采用互聯(lián)網(wǎng)、電話、短信等多種方式公開。

(三)及時準(zhǔn)確原則

檢察機(jī)關(guān)案件信息公開系統(tǒng)的數(shù)據(jù)來源于全國檢察機(jī)關(guān)統(tǒng)一業(yè)務(wù)應(yīng)用系統(tǒng)(內(nèi)網(wǎng))數(shù)據(jù)庫。承辦人員辦理案件的同時，生成相關(guān)數(shù)據(jù)，由專人導(dǎo)出，每日更新，確保案件受理、訴訟階段變化、作出處理決定等流程信息能夠及時更新，保障查詢內(nèi)容的準(zhǔn)確、規(guī)范。公開的案件信息數(shù)據(jù)、終結(jié)性法律文書數(shù)據(jù)進(jìn)入案件信息公開系統(tǒng)后，不得擅自修改或刪除。

(四)安全原則

在案件信息公開工作中，必須確保網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)安全。科學(xué)設(shè)置系統(tǒng)數(shù)據(jù)導(dǎo)出篩選功能，確保不得公開的案件信息、終結(jié)性法律文書等數(shù)據(jù)不被導(dǎo)出。嚴(yán)格數(shù)據(jù)導(dǎo)出及更新工作管理，定期備份數(shù)據(jù)。系統(tǒng)應(yīng)當(dāng)實(shí)時記錄訪問及查詢情況，形成清單，供查詢及分析研判。在具備條件時，開展對訪問主體及訪問內(nèi)容的自動統(tǒng)計(jì)分析，研判關(guān)注熱點(diǎn)。加強(qiáng)檢察機(jī)關(guān)互聯(lián)網(wǎng)門戶網(wǎng)站網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)安全。

二、案件管理信息公開系統(tǒng)之框架構(gòu)思

(一)整體框架設(shè)置

主要設(shè)置以下功能模塊:1．案件信息查詢模塊;2．重大案件信息互聯(lián)網(wǎng)模塊;3．終結(jié)性法律文書互聯(lián)網(wǎng)公開模塊;4．辯護(hù)與業(yè)務(wù)辦理模塊;5．控告申訴系統(tǒng)模塊;6．行賄犯罪檔案查詢系統(tǒng)模塊，等等。

(二)統(tǒng)一信息公開平臺設(shè)置

1．在檢查網(wǎng)站首頁設(shè)置所有功能模塊;2．開通互聯(lián)網(wǎng)、電話、短信、微信等信息查詢途徑;3．專人保證各功能模塊之間信息的一致性和互通性。

(三)內(nèi)、外網(wǎng)銜接設(shè)置

通過具體技術(shù)人員的配備，實(shí)現(xiàn)內(nèi)、外網(wǎng)各對應(yīng)業(yè)務(wù)功能與查詢功能的相互銜接，并確保相銜接內(nèi)容的及時性、準(zhǔn)確性、與完整性。如統(tǒng)一業(yè)務(wù)應(yīng)用系統(tǒng)中辯護(hù)人、訴訟人業(yè)務(wù)辦理功能與外網(wǎng)中辯護(hù)人、訴訟人查詢、業(yè)務(wù)辦理功能的銜接。

(四)監(jiān)督信息的整合

主動收集關(guān)注案件，并主動相關(guān)案件信息，接收民眾意見，實(shí)現(xiàn)信息的雙向流動。強(qiáng)化社會民眾對案件的評價功能，并及時進(jìn)行反饋。

三、案件信息公開面臨之困境

在對相關(guān)檢察機(jī)關(guān)案件信息公開征求意見稿進(jìn)行仔細(xì)研讀，并結(jié)合基層院案件管理部門實(shí)際工作分析，筆者發(fā)現(xiàn)以下信息公開工作實(shí)施過程中所存在的問題:

(一)基層院部分重大案件案情部署的公開恐將不利于案件審查、辦理、終結(jié)。重大案件案情的公布，為檢察院工作帶來了更大的難度，將公訴人置于訴訟中較為不利的地位，為案件的偵破與審結(jié)制造難關(guān)，為犯罪嫌疑人掙脫法網(wǎng)提供了便利條件。

(二)基層院案件管理部門人手不足，無法分出專人從事案件信息公開工作?；鶎釉喊讣芾聿块T一般配備三至四名工作人員，而案件管理部門所負(fù)職責(zé)繁雜，若全面開展全力投入信息公開工作則現(xiàn)有工作安排無法得到切實(shí)落實(shí)。

(三)基層院同時具有業(yè)務(wù)能力、案件管理能力、信息技術(shù)知識的人員匱乏。據(jù)初步調(diào)查，筆者所在基層院暫無同時具有業(yè)務(wù)能力、案件管理能力以及信息技術(shù)知識的干警，而根據(jù)信息公開系統(tǒng)相關(guān)草稿的落實(shí)要求，唯有同時具備此三項(xiàng)能力的工作人員才能保證信息公開工作的完整、有序、正確開展。

四、保障信息公開系統(tǒng)運(yùn)行之舉措

(一)由業(yè)務(wù)部門把關(guān)信息公開程度

高檢院要求將重大案件案情及終結(jié)性法律文書公開，并對信息公開的程度提出了具體明確的要求，而實(shí)踐中申請信息公開的權(quán)利主體對于信息公開程度的要求與高檢院的要求之間存在著矛盾。案管人員并非案件承辦人，對案件情況缺乏深入了解，對信息公開的程度也無法切實(shí)把握。因此，由業(yè)務(wù)部門承辦人負(fù)責(zé)并把關(guān)所承辦案件信息公開程度具有其必要性。

(二)規(guī)定案管部門必要人手?jǐn)?shù)量

目前基層院案件管理部門人員數(shù)量參差不齊，包含部門負(fù)責(zé)人在內(nèi)多則六人，少則三人。案管部門職能至少需要配備五名人員才能夠保證有專人負(fù)責(zé)信息公開業(yè)務(wù)?；鶎釉嚎刹扇∮蓸I(yè)務(wù)部門工作人員兼任案管部門工作人員的方式減輕案管部門工作壓力，同時亦能夠加強(qiáng)案管部門與其他業(yè)務(wù)部門之間的密切聯(lián)系。

(三)引入辦案經(jīng)驗(yàn)豐富的案管人才