医院信息系统安全检查规定.docx

XX市XX医院信息系统安全检查规定第一章总则第一条为加强和规范XX市XX医院信息系统安全监督检查工作，保障信息系统安全稳定运行，根据国家信息安全等级保护有关规定和我单位信息系统安全有关管理规定制定本规定。第二条本规定适用于我单位信息系统建设、使用和运维管理中安全监督检查工作。第三条网络安全和信息化领导小组办公室负责组织监督检查工作：人员管理、教育培训等相关检查由信息科具体执行；安全技术相关检查由信息科具体执行。第二章实施细则第四条检查内容主要包括信息系统安全技术措施有效性和安全管理制度执行情况。第五条专项检查应填写检查登记表，检查结果汇总后报信息科，发现问题及时整改。第六条定期对系统进行安全性能检测，确保系统安全稳定运行。第七条系统安全性能检测由系统管理员、安全管理员和安全审计员共同完成。第八条检查人员应利用漏洞扫描等工具对整个系统进行安全检查，对网络系统、应用系统、主机系统、用户终端进行安全分析，发现漏洞或安全隐患及时整改。第九条及时记录安全检查和整改操作情况。（一）网络设备、服务器安全性能检查由网络管理员负责，安全设备安全性能检查由安全管理员负责，并根据检查情况填写网络系统安全性能检测表、系统安全漏洞检测记录表、主机和存储安全性能检查表。（二）应用系统安全性能检测由应用系统管理员负责，并根据检测情况填写应用系统安全性能检测表。（三）用户终端安全检测由终端设备管理员负责，并根据检测情况填写终端安全性能检测表。第十条安全管理员定期汇总各类安全性能检测表和整改情况，形成系统安全性能检测汇总表后上报我单位领导。第三章附则第十一条本规定由XX市XX医院负责解释。第十二条本规定自发布之口起施行。附件：1.系统安全漏洞检测记录表2 .网络系统安全性能检测表3 .应用系统安全性能检测表4 .主机和存储安全性能检测表5 .终端安全性能检测表6 .系统安全性能检测汇总表系统安全漏洞检测记录表扫描日期操作人员扫描部门漏洞主机IP漏洞类型备注注：“漏洞类型填写漏洞的具体类型，例如：冲击波漏洞、空连接漏洞、数据库漏洞、弱口令等。应用系统安全性能检测表检测人系统名称检测时间设备类型检测内容检测结果备注应用系统运行状态是否正常用户口令是否有效是否划分三员用户权限划分是否符合最小授权原则访问控制策略是否有效非合规用户是否及时注销用户增加、删除是否有记录用户重鉴别策略是否有效是否有未处理报警日志主机和存储安全性能检测表检测人检测时间设备类型检测内容检测结果备注主机和存储运行状态是否正常登陆口令是否满足要求是否设置登录失败处理策略系统补丁是否更新防病毒软件是否更新是否有隐藏进程、异常监听等无用服务端口是否已关闭是否存在多余账户是否保存日志并定期审查是否有未处理报警日志终端安全性能检测表检测人检测时间设备类型检测内容检测结果备注终端是否有非法外联痕迹（内网）是否有敏感信息（外网）是否设置登录失败处理策略是否有恶意软件或病毒操作系统口令是否满足要求操作系统补丁是否更新重要终端是否设置审计策略防病毒软件是否更新是否有隐藏进程、异常监听等是否有未处理报警日志检测内容（可附表）检测情况检查人签字：年月日信息科意见领导签字年月日整改情况签字时间备注：