信息系統(tǒng)安全自查報(bào)告

1、信息系統(tǒng)安全自查報(bào)告一、自查情況1、安全制度落實(shí)情況:目前我院已制定了網(wǎng)絡(luò)安全管理制度、計(jì)算機(jī)信息系統(tǒng)安全保密管理制度、涉密人員管理制度等制度并嚴(yán)格執(zhí)行。信息管護(hù)人員負(fù)責(zé)信息系統(tǒng)安全管理，密碼管理，且規(guī)定嚴(yán)禁外泄。2、安全防范措施落實(shí)情況:(1)計(jì)算機(jī)經(jīng)過(guò)了信息系統(tǒng)安全技術(shù)檢查，并安裝了防火墻，同時(shí)配置安裝了專業(yè)殺毒軟件，加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。(2)禁止使用來(lái)歷不明或未經(jīng)殺毒的一切移動(dòng)存儲(chǔ)介質(zhì)。(3)在安裝殺毒軟件時(shí)采用國(guó)家主管部門批準(zhǔn)的查毒殺毒軟件適時(shí)查毒和殺毒，不使用來(lái)歷不明、未經(jīng)殺毒的軟件、軟盤、光盤、u盤等載體，不訪問(wèn)非法網(wǎng)站，自覺(jué)嚴(yán)格控制和阻斷

2、病毒來(lái)源。在單位外的u盤，不得攜帶到單位內(nèi)使用。(4)安裝了準(zhǔn)入準(zhǔn)出管理系統(tǒng)，對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)允許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。對(duì)外來(lái)終端接入醫(yī)院網(wǎng)絡(luò)必須進(jìn)行健康度審查，直至符合相關(guān)要求后，經(jīng)管理員審核才能接入醫(yī)院網(wǎng)絡(luò)。對(duì)接入互聯(lián)網(wǎng)的終端計(jì)算機(jī)采取控制措施，包括實(shí)名接入認(rèn)證、IP地址與MAC地址綁定等，定期對(duì)終端計(jì)算機(jī)進(jìn)行安全審計(jì)；規(guī)范化使用終端軟硬件，不得擅自更改軟硬件配置，不得擅自安裝軟件，嚴(yán)禁在計(jì)算機(jī)上安裝非法盜版軟件；監(jiān)控系統(tǒng)開啟服務(wù)與程序情況，關(guān)閉不必要的服務(wù)、端口、來(lái)賓組等，防止惡意程序后臺(tái)運(yùn)行，防止安裝過(guò)多應(yīng)用軟件及病毒、木馬程序的自運(yùn)行；加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制，防止

3、計(jì)算機(jī)進(jìn)行違規(guī)互聯(lián)，防止信息因共享等方式進(jìn)行違規(guī)流轉(zhuǎn)，防止木馬、病毒在信息系統(tǒng)內(nèi)大規(guī)模爆發(fā)。（5）安裝了防病毒系統(tǒng)、威肋預(yù)警系統(tǒng)，服務(wù)器安裝支持統(tǒng)一管理的防病毒軟件，及時(shí)更新軟件版本和病毒庫(kù);整改配備威脅管理平臺(tái)和殺軟，主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品統(tǒng)一管理，且必須與終端殺毒軟件屬不同的安全庫(kù)；定期（如每半年年）進(jìn)行系統(tǒng)漏洞掃描，并根據(jù)掃描發(fā)現(xiàn)的漏洞開展整改工作，應(yīng)定期（如每月）對(duì)惡意代碼查殺結(jié)果進(jìn)行分析，對(duì)于查殺發(fā)現(xiàn)的病毒及其傳播、感染方式進(jìn)行通告，并出具分析報(bào)告，及時(shí)更新操作系統(tǒng)的安全補(bǔ)丁，更新前應(yīng)對(duì)補(bǔ)丁進(jìn)行測(cè)試，確認(rèn)其不影響操作系統(tǒng)的業(yè)務(wù)性能后，再安裝系統(tǒng)安全補(bǔ)丁。（6）安裝了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)（防統(tǒng)

4、方）軟件，審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；對(duì)醫(yī)院數(shù)據(jù)庫(kù)幾張重要的表格（統(tǒng)方）采取相應(yīng)的安全措施，降低國(guó)家省里衛(wèi)計(jì)委三令五聲的統(tǒng)方信息泄露事件。整改配備數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)（反統(tǒng)方），對(duì)重要客戶端的審計(jì)和審計(jì)報(bào)表計(jì)記錄的保護(hù)。部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，賦予安全管理員審計(jì)系統(tǒng)管理權(quán)限，其中系統(tǒng)管理員無(wú)審計(jì)系統(tǒng)日志訪問(wèn)權(quán)限，安全管理員無(wú)數(shù)據(jù)庫(kù)系統(tǒng)管理權(quán)限；（7）安裝了網(wǎng)閘隔離設(shè)備，醫(yī)院內(nèi)

5、網(wǎng)與外網(wǎng)原本是物理上隔離，因部份數(shù)據(jù)需要內(nèi)外網(wǎng)進(jìn)行交互，采用專用三機(jī)統(tǒng)的安全網(wǎng)閘來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)交互，保障安全。3、應(yīng)急響應(yīng)機(jī)制建設(shè)情況:(1)制定了初步應(yīng)急預(yù)案，并處于不斷完善階段。(2)對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行定期備份，以降低或消除各種災(zāi)難對(duì)正常工作的影響。4、信息技術(shù)產(chǎn)品應(yīng)用情況:使用防火墻、安全網(wǎng)閘與入侵檢測(cè)系統(tǒng)，有效保護(hù)信息系統(tǒng)安全。5、信息安全教育培訓(xùn)情況:(1)我院不斷加強(qiáng)對(duì)計(jì)算機(jī)使用者的安全培訓(xùn)工作，強(qiáng)化每一個(gè)使用者安全使用網(wǎng)絡(luò)的能力，提高安全防范意識(shí)，對(duì)每臺(tái)入網(wǎng)計(jì)算機(jī)的使用者、ip地址進(jìn)行登記造冊(cè)。(2)組織人員參加網(wǎng)絡(luò)安全員培訓(xùn)。增強(qiáng)內(nèi)部人員的信息安全防護(hù)意識(shí)，有效提高信息安全防

6、護(hù)能力。二、信息安全檢查發(fā)現(xiàn)的主要問(wèn)題及整改情況1、目前存在的問(wèn)題:(1)規(guī)章制度體系初步建立，但還不夠完善，未能覆蓋信息系統(tǒng)安全的所有方面。(2)不少信息系統(tǒng)使用人員安全意識(shí)不強(qiáng)，在管理上缺乏主動(dòng)性和自覺(jué)性。(3)網(wǎng)絡(luò)安全技術(shù)管理人員配備較少，信息系統(tǒng)安全方面投入的力量有限。2、整改措施:(1)再次檢查規(guī)章制度各個(gè)環(huán)節(jié)的安全策略與安全制度，并對(duì)其中不完善部分進(jìn)行重新修訂與修改，切實(shí)增強(qiáng)信息安全制度的落實(shí)工作，不定期對(duì)安全制度執(zhí)行情況進(jìn)行檢查。(2)繼續(xù)加強(qiáng)人員的安全意識(shí)教育，提高人員安全工作的主動(dòng)性和自覺(jué)性。(3)加大對(duì)線路、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng)，加大更新力度。提高安全工作的現(xiàn)代化水平，便于進(jìn)一步加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)安全的防范和信息系統(tǒng)安全工作。三、對(duì)信息安全