一、組織管理和責(zé)任落實(shí)

1.領(lǐng)導(dǎo)小組組建。網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組健全，有網(wǎng)絡(luò)安全、數(shù)據(jù)安全管理工作領(lǐng)導(dǎo)小組的任命或授權(quán)文件；年內(nèi)未發(fā)生重大安全事件。

2.網(wǎng)絡(luò)信息安全管理制度落實(shí)情況。制定網(wǎng)絡(luò)安全日常、數(shù)據(jù)安全管理制度，規(guī)范網(wǎng)絡(luò)運(yùn)行維護(hù)和日常管理要求。信息化建設(shè)規(guī)劃中同步考慮和納入網(wǎng)絡(luò)安全、數(shù)據(jù)安全建設(shè)內(nèi)容。將網(wǎng)絡(luò)安全建設(shè)整改、運(yùn)行維護(hù)、日常管理、檢查評估等網(wǎng)絡(luò)安全、數(shù)據(jù)安全工作經(jīng)費(fèi)納入年度信息化工作預(yù)算。

3.網(wǎng)絡(luò)信息安全責(zé)任簽約工作。開展重點(diǎn)崗位人員網(wǎng)絡(luò)信息安全責(zé)任簽約工作。

二、網(wǎng)絡(luò)信息安全等級保護(hù)工作

1.定級備案與測評工作。定期開展網(wǎng)絡(luò)安全等級保護(hù)定級、備案、測評、安全建設(shè)整改等工作。針對等級保護(hù)三級信息系統(tǒng)提供核心設(shè)備冗余。

2.三員管理。系統(tǒng)管理、信息安全、審計(jì)分別有專人負(fù)責(zé)。

3.信息安全承諾簽訂工作。針對疾病預(yù)防控制重要信息系統(tǒng)，開展系統(tǒng)責(zé)任管理單位與下級使用單位的安全承諾責(zé)任簽約。

4.網(wǎng)絡(luò)信息安全檢查和培訓(xùn)。定期開展信息系統(tǒng)網(wǎng)絡(luò)安全檢查和安全培訓(xùn)。

5.服務(wù)商管理。與服務(wù)商開展保密協(xié)議簽訂。

6.云網(wǎng)平臺統(tǒng)一接入管理。具備本級應(yīng)用的云或平臺在部署區(qū)級疾控相關(guān)應(yīng)用系統(tǒng)后資源占用率不高于80%；使用電子政務(wù)外網(wǎng)和VPN虛擬專網(wǎng)接入各級各類醫(yī)療衛(wèi)生機(jī)構(gòu)；建立配置穩(wěn)定、溝通暢通的運(yùn)維團(tuán)隊(duì)。

三、終端和數(shù)據(jù)安全管理

1. 聯(lián)網(wǎng)計(jì)算機(jī)終端管理。終端設(shè)備安裝有查殺病毒軟件，對重要信息系統(tǒng)的終端電腦備案并實(shí)名制管理。及時(shí)開展終端和服務(wù)器補(bǔ)丁更新，關(guān)閉高危端口。

2．視頻會商終端管理。構(gòu)建和完善視頻會商相關(guān)的終端及音視頻網(wǎng)絡(luò)聯(lián)通基礎(chǔ)條件，確保有效接受國家和市級疾控機(jī)構(gòu)的遠(yuǎn)程視頻會商指導(dǎo)。

3.數(shù)據(jù)管理。對信息系統(tǒng)統(tǒng)一歸口管理。落實(shí)系統(tǒng)數(shù)據(jù)備份及恢復(fù)措施。完善信息系統(tǒng)的重要離線數(shù)據(jù)使用管理機(jī)制，落實(shí)臺賬使用審批管理。

四、信息系統(tǒng)用戶權(quán)限和編碼管理

1.用戶規(guī)范管理。按照相關(guān)申請審批流程開設(shè)賬戶，建立人員和賬號清單、人員權(quán)限清單。應(yīng)實(shí)名制管理“一人一賬戶”，禁止“多人一賬戶”，強(qiáng)化密碼管理，及時(shí)清理無人使用的賬戶。根據(jù)“最小、夠用”原則進(jìn)行用戶授權(quán)。

2.VPN虛擬專網(wǎng)接入管理。根據(jù)疾控專網(wǎng)管理要求開展VPN接入管理，規(guī)范操作規(guī)程，落實(shí)使用人員管理。全面加強(qiáng)VPN虛擬專網(wǎng)安全性，實(shí)現(xiàn)通信雙方的身份鑒別，通信過程中敏感數(shù)據(jù)的機(jī)密性、完整性保護(hù)。

3.標(biāo)準(zhǔn)編碼管理。按國家及本市的文件、通知和相關(guān)標(biāo)準(zhǔn)要求，規(guī)范區(qū)內(nèi)編碼核對、修改及質(zhì)控反饋流程，加強(qiáng)標(biāo)準(zhǔn)編碼的準(zhǔn)確性。

4.CA數(shù)字證書管理。CA數(shù)字證書進(jìn)行實(shí)名制規(guī)范化管理，“一人一證”，規(guī)范CA數(shù)字證書申請、使用、注銷的要求，并完善應(yīng)急保障相關(guān)機(jī)制。升級已發(fā)放的證書介質(zhì)及數(shù)字證書，完成符合國密算法的個(gè)人數(shù)字證書在傳染病相關(guān)重點(diǎn)業(yè)務(wù)系統(tǒng)中的部署使用。

5.培訓(xùn)與技術(shù)指導(dǎo)。按計(jì)劃開展本單位和下級用戶的培訓(xùn)和技術(shù)考核。

6.落實(shí)響應(yīng)。加強(qiáng)業(yè)務(wù)連續(xù)性管理并持續(xù)監(jiān)測。按照應(yīng)急預(yù)案，對發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行響應(yīng)和處置，報(bào)告上級部門。加強(qiáng)市區(qū)應(yīng)急聯(lián)動，及時(shí)處置并反饋。

轉(zhuǎn)載自-上海衛(wèi)健委官網(wǎng)