信息系統(tǒng)安全自查報(bào)告

信息系統(tǒng)安全自查報(bào)告一、自查情況1、安全制度落實(shí)情況:目前我院已制定了<網(wǎng)絡(luò)安全管理制度>、<計(jì)算機(jī)信息系統(tǒng)安全保密管理制度>、<涉密人員管理制度>等制度并嚴(yán)格執(zhí)行。信息管護(hù)人員負(fù)責(zé)信息系統(tǒng)安全管理，密碼管理，且規(guī)定嚴(yán)禁外泄。2、安全防范措施落實(shí)情況:(1)計(jì)算機(jī)經(jīng)過了信息系統(tǒng)安全技術(shù)檢查，并安裝了防火墻，同時(shí)配置安裝了專業(yè)殺毒軟件，加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。(2)禁止使用來歷不明或未經(jīng)殺毒的一切移動(dòng)存儲(chǔ)介質(zhì)。(3)在安裝殺毒軟件時(shí)采用國(guó)家主管部門批準(zhǔn)的查毒殺毒軟件適時(shí)查毒和殺毒，不使用來歷不明、未經(jīng)殺毒的軟件、軟盤、光盤、u盤等載體，不訪問非法網(wǎng)站，自覺嚴(yán)格控制和阻斷病毒來源。在單位外的u盤，不得攜帶到單位內(nèi)使用。(4)安裝了準(zhǔn)入準(zhǔn)出管理系統(tǒng)，對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過允許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。對(duì)外來終端接入醫(yī)院網(wǎng)絡(luò)必須進(jìn)行健康度審查，直至符合相關(guān)要求后，經(jīng)管理員審核才能接入醫(yī)院網(wǎng)絡(luò)。對(duì)接入互聯(lián)網(wǎng)的終端計(jì)算機(jī)采取控制措施，包括實(shí)名接入認(rèn)證、IP地址與MAC地址綁定等，定期對(duì)終端計(jì)算機(jī)進(jìn)行安全審計(jì)；規(guī)范化使用終端軟硬件，不得擅自更改軟硬件配置，不得擅自安裝軟件，嚴(yán)禁在計(jì)算機(jī)上安裝非法盜版軟件；監(jiān)控系統(tǒng)開啟服務(wù)與程序情況，關(guān)閉不必要的服務(wù)、端口、來賓組等，防止惡意程序后臺(tái)運(yùn)行，防止安裝過多應(yīng)用軟件及病毒、木馬程序的自運(yùn)行；加強(qiáng)網(wǎng)絡(luò)訪問控制，防止計(jì)算機(jī)進(jìn)行違規(guī)互聯(lián)，防止信息因共享等方式進(jìn)行違規(guī)流轉(zhuǎn)，防止木馬、病毒在信息系統(tǒng)內(nèi)大規(guī)模爆發(fā)。(5)安裝了防病毒系統(tǒng)、威肋預(yù)警系統(tǒng)，服務(wù)器安裝支持統(tǒng)一管理的防病毒軟件，及時(shí)更新軟件版本和病毒庫;整改配備威脅管理平臺(tái)和殺軟，主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品統(tǒng)一管理，且必須與終端殺毒軟件屬不同的安全庫；定期（如每半年年）進(jìn)行系統(tǒng)漏洞掃描，并根據(jù)掃描發(fā)現(xiàn)的漏洞開展整改工作，應(yīng)定期（如每月）對(duì)惡意代碼查殺結(jié)果進(jìn)行分析，對(duì)于查殺發(fā)現(xiàn)的病毒及其傳播、感染方式進(jìn)行通告，并出具分析報(bào)告，及時(shí)更新操作系統(tǒng)的安全補(bǔ)丁，更新前應(yīng)對(duì)補(bǔ)丁進(jìn)行測(cè)試，確認(rèn)其不影響操作系統(tǒng)的業(yè)務(wù)性能后，再安裝系統(tǒng)安全補(bǔ)丁。(6)安裝了數(shù)據(jù)庫審計(jì)系統(tǒng)（防統(tǒng)方）軟件， 審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；對(duì)醫(yī)院數(shù)據(jù)庫幾張重要的表格（統(tǒng)方）采取相應(yīng)的安全措施，降低國(guó)家省里衛(wèi)計(jì)委三令五聲的統(tǒng)方信息泄露事件。整改配備數(shù)據(jù)庫審計(jì)系統(tǒng)（反統(tǒng)方），對(duì)重要客戶端的審計(jì)和審計(jì)報(bào)表計(jì)記錄的保護(hù)。部署數(shù)據(jù)庫審計(jì)系統(tǒng)，賦予安全管理員審計(jì)系統(tǒng)管理權(quán)限，其中系統(tǒng)管理員無審計(jì)系統(tǒng)日志訪問權(quán)限，安全管理員無數(shù)據(jù)庫系統(tǒng)管理權(quán)限；(7)安裝了網(wǎng)閘隔離設(shè)備，醫(yī)院內(nèi)網(wǎng)與外網(wǎng)原本是物理上隔離，因部份數(shù)據(jù)需要內(nèi)外網(wǎng)進(jìn)行交互，采用專用三機(jī)統(tǒng)的安全網(wǎng)閘來實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)交互，保障安全。3、應(yīng)急響應(yīng)機(jī)制建設(shè)情況:(1)制定了初步應(yīng)急預(yù)案，并處于不斷完善階段。(2)對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行定期備份，以降低或消除各種災(zāi)難對(duì)正常工作的影響。4、信息技術(shù)產(chǎn)品應(yīng)用情況:使用防火墻、安全網(wǎng)閘與入侵檢測(cè)系統(tǒng)，有效保護(hù)信息系統(tǒng)安全。5、信息安全教育培訓(xùn)情況:(1)我院不斷加強(qiáng)對(duì)計(jì)算機(jī)使用者的安全培訓(xùn)工作，強(qiáng)化每一個(gè)使用者安全使用網(wǎng)絡(luò)的能力，提高安全防范意識(shí)，對(duì)每臺(tái)入網(wǎng)計(jì)算機(jī)的使用者、ip地址進(jìn)行登記造冊(cè)。(2)組織人員參加網(wǎng)絡(luò)安全員培訓(xùn)。增強(qiáng)內(nèi)部人員的信息安全防護(hù)意識(shí)，有效提高信息安全防護(hù)能力。二、信息安全檢查發(fā)現(xiàn)的主要問題及整改情況1、目前存在的問題:(1)規(guī)章制度體系初步建立，但還不夠完善，未能覆蓋信息系統(tǒng)安全的所有方面。(2)不少信息系統(tǒng)使用人員安全意識(shí)不強(qiáng)，在管理上缺乏主動(dòng)性和自覺性。(3)網(wǎng)絡(luò)安全技術(shù)管理人員配備較少，信息系統(tǒng)安全方面投入的力量有限。2、整改措施:(1)再次檢查規(guī)章制度各個(gè)環(huán)節(jié)的安全策略與安全制度，并對(duì)其中不完善部分進(jìn)行重新修訂與修改，切實(shí)增強(qiáng)信息安全制度的落實(shí)工作，不定期對(duì)安全制度執(zhí)行情況進(jìn)行檢查。(2)繼續(xù)加強(qiáng)人員的安全意識(shí)教育，提高人員安全工作的主動(dòng)性和自覺性。(3)加大對(duì)線路、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng)，加大更新力度。提高安全工作的現(xiàn)代化水平，便于進(jìn)一步加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)安全的防范和信息系統(tǒng)安全工作。三、對(duì)信息安全檢查工作的意見和建議1、加強(qiáng)信息網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn)，使安全技術(shù)人員及時(shí)更新信息網(wǎng)絡(luò)安全管理知識(shí)。2、加強(qiáng)人員的信息安全意識(shí)，不斷地加強(qiáng)信息系統(tǒng)安全管理和技術(shù)防范水平。3、增加安全管理的經(jīng)費(fèi)。其中專業(yè)理論知識(shí)內(nèi)容包括：保安理論知識(shí)、消防業(yè)務(wù)知識(shí)、職業(yè)道德、法律常識(shí)、保安禮儀、救護(hù)知識(shí)。作技能訓(xùn)練內(nèi)容包括：崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二．培訓(xùn)的及要求培訓(xùn)目的安全生產(chǎn)目標(biāo)責(zé)任書為了進(jìn)一步落實(shí)安全生產(chǎn)責(zé)任制，做到“責(zé)、權(quán)、利”相結(jié)合，根據(jù)我公司2015年度安全生產(chǎn)目標(biāo)的內(nèi)容，現(xiàn)與財(cái)務(wù)部簽訂如下安全生產(chǎn)目標(biāo)：一、目標(biāo)值：1、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。2、現(xiàn)金安全保管，不發(fā)生盜竊事故。3、每月足額提取安全生產(chǎn)費(fèi)用，保障安全生產(chǎn)投入資金的到位。4、安全培訓(xùn)合格率為100%。二、本單位安全工作上必須做到以下內(nèi)容：1、對(duì)本單位的安全生產(chǎn)負(fù)直接領(lǐng)導(dǎo)責(zé)任，必須模范遵守公司的各項(xiàng)安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴(yán)格履行本人的安全職責(zé)，確保安全責(zé)任制在本單位全面落實(shí)，并全力支持安全工作。2、保證公司各項(xiàng)安全管理制度和管理辦法在本單位內(nèi)全面實(shí)施，并自覺接受公司安全部門的監(jiān)督和管理。3、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當(dāng)“安全與交貨期、質(zhì)量”發(fā)生矛盾時(shí)，堅(jiān)持安全第一的原則。4、參加生產(chǎn)碰頭會(huì)時(shí)，首先匯報(bào)本單位的安全生產(chǎn)情況和安全問題落實(shí)情況；在安排本單位生產(chǎn)任務(wù)時(shí)，必須安排安全工作內(nèi)容，并寫入記錄。5、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。6、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。7、以身作則，不違章指揮、不違章操作。對(duì)發(fā)現(xiàn)的各類違章現(xiàn)象負(fù)有查禁的責(zé)任，同時(shí)要予以查處。8、虛心接受員工提出的問題，杜絕不接受或盲目指揮；9、發(fā)生事故，應(yīng)立即報(bào)告主管領(lǐng)導(dǎo)，按照“四不放過”的原則召開事故分析會(huì)，提出整改措施和對(duì)責(zé)任者的處理意見，并填寫事故登記表，嚴(yán)禁隱瞞不報(bào)或降低對(duì)責(zé)任者的處罰標(biāo)準(zhǔn)。10、必須按規(guī)定對(duì)單