网络安全建设整改方案范文

导语：如何才能写好一篇网络安全建设整改方案，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

随着信息安全等级保护工作的不断深化，已延伸到医疗卫生行业。卫计委要求三级医院核心业务系统定级不低于第三级。本文结合医院实际，介绍了医院信息安全等级保护工作的建设，阐明了信息系统的定级、备案、整改、测评四个实施步骤，以供大家探讨。

关键词：

医院信息安全；等级保护工作；等级测评

一、引言

随着我国信息化建设的快速发展与广泛应用，信息安全的重要性愈发突出。在国家重视信息安全的大背景下，推出了信息安全等级保护制度。为统一管理规范和技术标准，公安部等四部委联合了《信息安全等级保护管理办法》（公通字[2007]43号）。随着等级保护工作的深入开展，原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》（卫办发[2011]85号），进一步规范和指导了我国医疗卫生行业信息安全等级保护工作，并对三级甲等医院核心业务信息系统的安全等级作了要求，原则上不低于第三级。从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分，并按等级对信息安全事件响应[1]。

二、医院信息安全等级保护工作实施步骤

2.1定级与备案[2]。

根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》，有两个定级要素决定了信息系统的安全保护等级，一个是等级保护对象受到破坏时所侵害的客体，另外一个是对客体造成侵害的程度。对于三级医院，门诊量与床位相对较多，影响范围较广，一旦信息系统遭到破坏，将会给患者造成生命财产损失，对社会秩序带来重大影响。因此，从影响范围和侵害程度来看，我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。在完成定级报告编制工作后，填写备案表，并按属地化管理要求到市级公安机关办理备案手续，在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队，同时也是我市信息安全等级保护工作领导小组办公室，提交了定级报告与备案表。

2.2安全建设与整改[3]。

在完成定级备案后，就要结合医院实际，分析信息安全现状，进行合理规划与整改。

2.2.1等保差距分析与风险评估。

了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面：物理安全、网络安全、主机安全、应用安全和数据安全，主要是由在信息系统中使用的网络安全产品（包括硬件和软件）及安全配置来实现；基本管理要求也包括五个方面：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理，主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制，以期达到安全管理要求[4]。技术类安全要求按保护侧重点进一步划分为三类：业务信息安全类（S类）、系统服务安全类（A类）、通用安全保护类（G类）。如受条件限制，可以逐步完成三级等级保护，A类和S类有一类满足即可，但G类必须达到三级，最严格的G3S3A3控制项共计136条[5]。医院可以结合自身建设情况，选择其中一个标准进行差距分析。管理方面要求很严格，只有完成所有的154条控制项，达到管理G3的要求，才能完成三级等级保护要求。这需要我们逐条对照，发现医院安全管理中的不足与漏洞，找出与管理要求的差距。对于有条件的三甲医院，可以先进行风险评估，通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁，形成《风险评估报告》。经过与三级基本要求对照，我院还存在一定差距。比如：在物理环境安全方面，我院机房虽有灭火器，但没安装气体灭火装置。当前的安全设备产品较少，不能很好的应对网络入侵。在运维管理方面，缺乏预警机制，无法提前判断系统潜在威胁等。

2.2.2建设整改方案。

根据差距分析情况，结合医院信息系统安全实际需求和建设目标，着重于保证业务的连续性与数据隐私方面，满足于临床的实际需求，避免资金投入的浪费、起不到实际效果。整改方案制订应遵循以下原则：安全技术和安全管理相结合，技术作保障，管理是更好的落实安全措施；从安全区域边界、安全计算环境和安全通信网络进行三维防护，建立安全管理中心[6]。方案设计完成后，应组织专家或经过第三方测评机构进行评审，以保证方案的可用性。整改方案实施。实施过程中应注意技术与管理相结合，并根据实际情况适当调整安全措施，提高整体保护水平。我院整改方案是先由医院内部自查，再邀请等级测评公司进行预测评，结合医院实际最终形成的方案。网络技术人员熟悉系统现状，易于发现潜在安全威胁，所以医院要先自查，对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院，经过与医院技术人员沟通，利用安全工具进行测试，可以形成初步的整改报告，对我院安全整改具有指导意义。

2.3开展等级保护测评[7]。

下一步工作就是开展等级测评。在测评机构的选择上，首先要查看其是否具有“DICP”认证，有没有在当地公安部门进行备案，还可以到中国信息安全等级保护网站进行核实。测评周期一般为1至2月，其测评流程如下。

2.3.1测评准备阶段。

医院与测评机构共同成立项目领导小组，制定工作任务与测评计划等前期准备工作。项目启动前，为防止医院信息泄露，还需要签订保密协议。项目启动后，测评机构要进行前期调研，主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况，然后再选择相应的测评工具和文档。在测评准备阶段，主要是做好组织机构建设工作，配合等级测评公司人员的调查工作。

2.3.2测评方案编制阶段。

测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通，制定工具测试方法与测评指导书，编制测评方案。在此阶段，主要工作由等级测评机构来完成。

2.3.3现场测评阶段。

在经过实施准备后，测评机构要对上述控制项进行逐一测评，大约需要1至2周，需要信息科人员密切配合与注意。为保障医院业务正常开展，测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期，可以选择下班时间或晚上。为避免对现有业务造成影响，测评工具应在接入前进行测试，同时要做好应急预案准备，一旦影响医院业务，应立即启动应急预案[8]。在对209条控制项进行测评后应进行结果确认，并将资料归还医院。该阶段是从真实情况中了解信息系统全面具体的主要工作，也是技术人员比较辛苦的阶段。除了要密切配合测评，还不能影响医院业务开展，除非必要，不然安全测试工作必须在夜间进行。

2.3.4报告编制阶段。

通过判定测评单项，测评机构对单项测评结果进行整理，逐项分析，最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲，医院能否通过等级测评的主要标准就是测评结果。因此，测评报告的结果至关重要。测评结果分为：不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分，最后给出总分，以分值来判定是否通过测评。为得到理想测评结果，需要医院落实安全整改方案。

2.4安全运维。

我们必须清醒地认识到，实施安全等级保护是一项长期工作，它不仅要在信息化建设规划中考虑，还要在日常运维管理中重视，是不断循环的过程。按照等级保护制度要求，信息系统等级保护级别定为三级的三甲医院每年要自查一次，还要邀请测评机构进行测评并进行整改，监管部门每年要抽查一次。因此，医院要按照PDCA的循环工作机制，不断改进安全技术与管理上，完善安全措施，更好地保障医院信息系统持续稳定运行[10]。

三、结语

医院信息安全工作是信息化建设的一部分，是一项长期的系统工程，需要分批分期的循序改建。还要结合医院实际，考虑安全产品的实用性，不能盲目的进行投资。医院通过实施等级保护工作，可以有效增强网络与信息系统整体安全性，有力保障医院各项业务的持续开展，适应医院信息化不断发展的需求。

作者：王磊 单位：蚌埠医学院第二附属医院

参考文献

[1]公安部,国家保密局,国家密码管理局,国务院信息化办公室文件.关于信息安全等级保护工作的实施意见（公通字[2004]66号）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技术信息系统安全等级保护定级指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技术信息系统安全等级保护实施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技术信息系统安全等级保护基本要求[S],2008-06-19.

[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播,2013,5(99):208-209.

[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S],2012-06-29.

[8]姚红磊,杨文.三级系统信息安全等级保护测评指标体系研究[J].铁路计算机应用,2015,24(2):59-61.

篇2

(一)严格依法原则

案件信息公开工作规定与实施，严格依据《刑事诉讼法》、《人民检察院刑事诉讼规则(试行)》、《中华人民共和国政府信息公开条例》、最高人民检察院《关于在全国检察机关实行“检务公开”的决定》、《关于进一步深化人民检察院“检务公开”的意见》等法律、法规、司法解释和规范性文件，以及《最高人民检察院党组党的群众路线教育实践活动整改方案》和高检院《深化检务公开制度改革试点工作方案》等相关文件的规定进行。

(二)便民利民原则

公开方式上，坚持主动公开和依申请公开相结合。对于人民群众关注的有较大社会影响案件办理进展和结果，以及危害民生、侵害民利的典型案例等进行主动公开;对依申请公开的案件信息应当“以公开为原则，不公开为例外”，充分保障人民群众的知情权、参与权和监督权。公开的途径上，建立全天候、多途径的案件信息公开系统，采用互联网、电话、短信等多种方式公开。

(三)及时准确原则

检察机关案件信息公开系统的数据来源于全国检察机关统一业务应用系统(内网)数据库。承办人员办理案件的同时，生成相关数据，由专人导出，每日更新，确保案件受理、诉讼阶段变化、作出处理决定等流程信息能够及时更新，保障查询内容的准确、规范。公开的案件信息数据、终结性法律文书数据进入案件信息公开系统后，不得擅自修改或删除。

(四)安全原则

在案件信息公开工作中，必须确保网络安全、系统安全和数据安全。科学设置系统数据导出筛选功能，确保不得公开的案件信息、终结性法律文书等数据不被导出。严格数据导出及更新工作管理，定期备份数据。系统应当实时记录访问及查询情况，形成清单，供查询及分析研判。在具备条件时，开展对访问主体及访问内容的自动统计分析，研判关注热点。加强检察机关互联网门户网站网络安全建设，确保网络安全、系统安全和数据安全。

二、案件管理信息公开系统之框架构思

(一)整体框架设置

主要设置以下功能模块:1．案件信息查询模块;2．重大案件信息互联网模块;3．终结性法律文书互联网公开模块;4．辩护与业务办理模块;5．控告申诉系统模块;6．行贿犯罪档案查询系统模块，等等。

(二)统一信息公开平台设置

1．在检查网站首页设置所有功能模块;2．开通互联网、电话、短信、微信等信息查询途径;3．专人保证各功能模块之间信息的一致性和互通性。

(三)内、外网衔接设置

通过具体技术人员的配备，实现内、外网各对应业务功能与查询功能的相互衔接，并确保相衔接内容的及时性、准确性、与完整性。如统一业务应用系统中辩护人、诉讼人业务办理功能与外网中辩护人、诉讼人查询、业务办理功能的衔接。

(四)监督信息的整合

主动收集关注案件，并主动相关案件信息，接收民众意见，实现信息的双向流动。强化社会民众对案件的评价功能，并及时进行反馈。

三、案件信息公开面临之困境

在对相关检察机关案件信息公开征求意见稿进行仔细研读，并结合基层院案件管理部门实际工作分析，笔者发现以下信息公开工作实施过程中所存在的问题:

(一)基层院部分重大案件案情部署的公开恐将不利于案件审查、办理、终结。重大案件案情的公布，为检察院工作带来了更大的难度，将公诉人置于诉讼中较为不利的地位，为案件的侦破与审结制造难关，为犯罪嫌疑人挣脱法网提供了便利条件。

(二)基层院案件管理部门人手不足，无法分出专人从事案件信息公开工作。基层院案件管理部门一般配备三至四名工作人员，而案件管理部门所负职责繁杂，若全面开展全力投入信息公开工作则现有工作安排无法得到切实落实。

(三)基层院同时具有业务能力、案件管理能力、信息技术知识的人员匮乏。据初步调查，笔者所在基层院暂无同时具有业务能力、案件管理能力以及信息技术知识的干警，而根据信息公开系统相关草稿的落实要求，唯有同时具备此三项能力的工作人员才能保证信息公开工作的完整、有序、正确开展。

四、保障信息公开系统运行之举措

(一)由业务部门把关信息公开程度

高检院要求将重大案件案情及终结性法律文书公开，并对信息公开的程度提出了具体明确的要求，而实践中申请信息公开的权利主体对于信息公开程度的要求与高检院的要求之间存在着矛盾。案管人员并非案件承办人，对案件情况缺乏深入了解，对信息公开的程度也无法切实把握。因此，由业务部门承办人负责并把关所承办案件信息公开程度具有其必要性。

(二)规定案管部门必要人手数量

目前基层院案件管理部门人员数量参差不齐，包含部门负责人在内多则六人，少则三人。案管部门职能至少需要配备五名人员才能够保证有专人负责信息公开业务。基层院可采取由业务部门工作人员兼任案管部门工作人员的方式减轻案管部门工作压力，同时亦能够加强案管部门与其他业务部门之间的密切联系。

(三)引入办案经验丰富的案管人才