2024年信息安全自查（二篇）

第3頁共3頁2024年信息安全自查一、公司始終重視信息安全及規(guī)章制度的構(gòu)建。自運(yùn)營以來，我們依據(jù)《____公司信息系統(tǒng)運(yùn)行管理制度》《____公司計算機(jī)信息系統(tǒng)安全、保密管理規(guī)定》等內(nèi)控制度，建立了全面的信息安全管理制度體系，包括安全策略、安全管理規(guī)定和操作規(guī)程等。我們設(shè)立了專門的安全組織，制定了人員安全管理、系統(tǒng)建設(shè)和運(yùn)維的相關(guān)制度，并明確了各崗位的安全職責(zé)。同時，我們嚴(yán)格遵循監(jiān)管機(jī)構(gòu)的規(guī)定，實行嚴(yán)格的機(jī)房管理、外來人員管理和信息數(shù)據(jù)安全管理。此次自我審查工作分為三個階段進(jìn)行。首先，由行政人事部主導(dǎo)，全面梳理安全管理制度、設(shè)施、人員和崗位職責(zé)。其次，我們聯(lián)合分公司各部門和中心支公司，共同討論并補(bǔ)充現(xiàn)有制度的不足。最后，由信息檢查小組再次審查整體信息安全工作，并糾正發(fā)現(xiàn)的錯誤。在審查過程中，我們注意到部分中支信息員對規(guī)定和通知的執(zhí)行力度不足，對此，公司將實施更嚴(yán)格的管控措施和獎懲制度。大部分電腦已按總公司要求加入域管理，安裝了網(wǎng)絡(luò)版防病毒軟件，并使用設(shè)備封鎖非工作相關(guān)網(wǎng)站，有效降低了系統(tǒng)風(fēng)險。然而，自查也發(fā)現(xiàn)分公司在執(zhí)行力度上存在差距，部分中心支公司未實現(xiàn)域管理，對此，公司將再次發(fā)布文件，要求所有中支將電腦納入域管理，以實現(xiàn)集中管理。三、為確保電子信息系統(tǒng)安全、穩(wěn)定、可靠運(yùn)行，我們的網(wǎng)絡(luò)機(jī)房按照國家機(jī)房標(biāo)準(zhǔn)嚴(yán)格建設(shè)。分公司與總公司的網(wǎng)絡(luò)采用聯(lián)通SDH專線和電信SDH專線（互為備份）。機(jī)房內(nèi)設(shè)備包括防火墻、交換機(jī)、上網(wǎng)行為管理設(shè)備、服務(wù)器、工控機(jī)等，配備有長效型UPS，目前設(shè)備運(yùn)行狀況良好。機(jī)房設(shè)有門鎖、中央空調(diào)，由專業(yè)信息管理人員管理，確保每月清潔，每天現(xiàn)場巡視。公司的業(yè)務(wù)、財務(wù)和輔助系統(tǒng)采用B/S模式，數(shù)據(jù)集中在總公司服務(wù)器，系統(tǒng)界面友好，無需分公司維護(hù)。系統(tǒng)開發(fā)和維護(hù)由總公司控制，分公司僅擁有使用權(quán)限，但各省公司或中支可提出需求，總公司評審后視情況執(zhí)行。系統(tǒng)賬號權(quán)限實行分級管理，分公司權(quán)限有限，但可單獨(dú)設(shè)置崗位權(quán)限和機(jī)構(gòu)權(quán)限。系統(tǒng)運(yùn)行正常，財務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)可無縫實時對接，數(shù)據(jù)信息流轉(zhuǎn)順暢。四、在數(shù)據(jù)管理與災(zāi)備建設(shè)方面，業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一存儲，我公司僅存儲部分?jǐn)?shù)據(jù)（如呼叫中心數(shù)據(jù)）。我們采用雙擊備份加光盤存儲方式備份數(shù)據(jù)，并在服務(wù)器故障時啟用呼叫轉(zhuǎn)移，確保呼叫中心系統(tǒng)的暢通。五、為確保系統(tǒng)穩(wěn)定和網(wǎng)絡(luò)暢通，我們要求信息管理人員24小時開機(jī)，隨時處理突發(fā)情況并與總公司保持溝通。近期的演練顯示，即使在人為斷電情況下，UPS也能切換至后備電池供電，確保網(wǎng)絡(luò)暢通至少____小時。在自查過程中，我們也識別出一些問題，包括員工信息安全意識不強(qiáng)、部分機(jī)構(gòu)制度建設(shè)不完善或落實性差等。未來，我們將加強(qiáng)信息安全意識教育，提高員工的主動性和自覺性，加強(qiáng)制度建設(shè)和落實，完善應(yīng)急預(yù)案，以確保信息安全管理工作的有序進(jìn)行，并將全轄辦公電腦全部納入域管理。2024年信息安全自查（二）接到《河南省衛(wèi)生計生委關(guān)于開展河南省衛(wèi)生系統(tǒng)網(wǎng)絡(luò)與信息安全督導(dǎo)檢查工作的通知》后，我院管理層對此給予了高度關(guān)注，隨即組織相關(guān)部門召開專門會議，深入研讀文件，堅決執(zhí)行其精神，充分理解網(wǎng)絡(luò)與信息安全自查的緊迫性和重要性。我們按照文件指示，對各項內(nèi)容進(jìn)行了詳盡的自我檢查，現(xiàn)將自查結(jié)果報告如下：一、我院信息系統(tǒng)現(xiàn)狀。目前，我院運(yùn)行的系統(tǒng)包括HIS、EMR、LIS、PACS及心電圖系統(tǒng)等五大核心系統(tǒng)，所有測試賬戶在系統(tǒng)上線后已徹底清除。各系統(tǒng)為特定用戶分配了使用賬戶及初始密碼，而超級賬戶的管理權(quán)則由信息科人員掌控。這五大系統(tǒng)自____年____月起逐步實施完成，具體承建商及使用人員如下：二、網(wǎng)絡(luò)安全管理狀況。醫(yī)院管理層對網(wǎng)絡(luò)安全管理極為重視，已成立由院領(lǐng)導(dǎo)任組長，各部門主要負(fù)責(zé)人組成的網(wǎng)絡(luò)安全管理小組，信息科作為辦公室，由____擔(dān)任辦公室主任。醫(yī)院已制定并以正式公文形式發(fā)布了《醫(yī)院信息安全管理制度》、《信息保密制度》、《網(wǎng)絡(luò)安全管理制度與規(guī)則》、《互聯(lián)網(wǎng)管理規(guī)章制度》等一系列制度，以確保各應(yīng)用部門的網(wǎng)絡(luò)安全。三、技術(shù)防護(hù)措施及安全風(fēng)險評估。如表所示，我院已實施一系列技術(shù)防護(hù)措施，包括使用防病毒軟件、防火墻、劃分VLAN、數(shù)據(jù)庫審計等。然而，我們也意識到存在一些不足，如缺乏入侵檢測系統(tǒng)、備份系統(tǒng)等。這些待改進(jìn)之處已列入信息科____年工作計劃，并將在____年內(nèi)在信息化領(lǐng)導(dǎo)小組的監(jiān)督下盡快完善。四、信息安全等級保護(hù)執(zhí)行情況。詳細(xì)內(nèi)容見原文，報告中已闡述了我院