PDF《江苏省卫生计生信息系统》

1 江苏省卫生计生信息系统 安全等级保护工作指南 江苏省卫生和计划生育委员会 二一六年三月

2 目录

第一章 前言.

4 1.1 编写目的.4 1.2 信息安全等级保护概念

4 1.3 适用范围.4 1.4 规范性引用文件.4 1.5 基本原则.5

第二章 工作流程与职责.7 2.1 等级保护实施基本工作流程

7 2.2 工作职责.9 2.3 工作机制.10 2.3.1 组织机制

10 2.3.2 沟通机制

11 2.3.3 专家指导机制.11 2.3.4 监督机制

11 2.4 安全等级保护工作与信息系统生命周期的关系

11

第三章 定级备案.13 3.1 定级备案工作流程.13 3.1.1 确定定级对象.13 3.1.2 确定受侵害的客体与侵害程度.15 3.1.3 信息系统安全保护等级初步确定.17 3.1.4 定级报告的编写.18 3.1.5 定级结果审核和批准.18

第四章 建设与整改.20 4.1 安全规划设计.20 4.1.1 工作内容

20 4.1.2 安全需求分析.21 4.1.3 安全建设规划.22 4.2 安全建设与整改.23 4.2.1 工作内容

23 4.2.2 安全方案详细设计.24 4.2.3 安全详细设计方案实施.25

第五章 等级测评.26 5.1 工作内容.26

3 5.2 测评申请.28 5.3 测评准备.29 5.4 现场测评.29 5.5 测评反馈.30 5.6 测评结果备案.31

第六章 安全运维.32 6.1 工作内容.32 6.2 运行管理和控制.33 6.3 变更管理和控制.33 6.4 安全状态监控.34 6.5 安全事件处置和应急预案

35

第七章 监督检查.36 7.1 工作内容.36 7.2 等级保护工作现状分析

37 7.3 改进方案制定和实施

37 7.4 检查考核.39

第八章 系统终止.40 8.1 工作内容.40 8.2 信息转移、暂存或清除

40 8.3 设备迁移或废弃.41 8.4 存储介质的清除或销毁

42 附件 1:信息系统安全等级保护定级报告模版

43 附件 2:定级备案表

46 附件 3:第二级保护信息系统自查内容参考模板

52 附件 4:信息系统等级保护工作自查报告模板

59 附件 5:信息安全等级保护管理制度

61 4

第一章 前言1.1 编写目的 为进一步贯彻落实国家信息安全等级保护制度,规范开展江苏省卫生计生信息 系统安全等级保护工作,提高行业信息化水平和信息安全保障能力,特编制《江苏 省卫生计生信息系统安全等级保护工作指南》 ,指导开展全行业信息系统安全等级 保护工作. 1.2 信息安全等级保护概念 信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息、公开 信息以及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统 中使用的信息安全产品按等级进行管理,对信息系统中发生的信息安全事件分等级 响应和处置. 1.3 适用范围 本指南适用于江苏省卫生计生行业的信息安全等级保护工作,包括各级卫生计 生行政管理机构,以及所属各类公共卫生服务机构、医疗机构和计划生育服务机构 的非涉密信息系统的安全等级保护.涉密信息系统应根据国家保密局要求,遵循国 家涉密信息系统分级保护制度进行安全防护工作. 1.4 规范性引用文件

1、信息安全等级保护管理办法(公通字[2007]43 号)

2、信息系统安全等级保护实施指南 (GB/T 25058-2010)

3、计算机信息系统安全等级保护划分准则 (GB 17859-1999)

4、信息系统安全保护等级定级指南 (GB/T 22240-2008)

5

5、信息系统安全等级保护基本要求 (GB/T 22239-2008)

6、信息系统通用安全技术要求 (GB/T 20271-2006)