版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、醫(yī)院信息化狀況調(diào)查表 填 表 人:職 務(wù):聯(lián)系電話:電子郵箱:填表時(shí)間:目錄第一部分被調(diào)查者基本情況41.醫(yī)院基本情況42.信息技術(shù)部門負(fù)責(zé)人基本情況4第二部分規(guī)范化與標(biāo)準(zhǔn)化41.標(biāo)準(zhǔn)體系42.信息編碼43.信息化水平5第三部分信息技術(shù)應(yīng)用狀況51.您覺得目前醫(yī)院運(yùn)營(yíng)的信息系統(tǒng)對(duì)醫(yī)院解決哪些問(wèn)題幫助最大52.您覺得應(yīng)用信息技術(shù)最應(yīng)解決的問(wèn)題是53.目前在推進(jìn)醫(yī)院信息化建設(shè)中哪些問(wèn)題是主要障礙54.信息化使用狀況55.信息技術(shù)應(yīng)用狀況66.信息系統(tǒng)集成狀況67.Internet/Intranet應(yīng)用狀況68.信息化使用安全狀況7第四部分等保三級(jí)基本要求81.物理安全82.網(wǎng)絡(luò)安全93.主機(jī)安全1
2、14.應(yīng)用安全125.數(shù)據(jù)安全與備份恢復(fù)146.安全管理制度147.安全管理機(jī)構(gòu)158.人員安全管理169.系統(tǒng)建設(shè)管理1710.系統(tǒng)運(yùn)維管理19第五部分基礎(chǔ)設(shè)施及硬件使用狀況231.機(jī)房及其他外周設(shè)施狀況232.網(wǎng)絡(luò)應(yīng)用狀況233.網(wǎng)絡(luò)設(shè)備使用狀況244.安全設(shè)備使用情況245.服務(wù)器設(shè)備使用狀況256.存儲(chǔ)設(shè)備使用情況267.終端機(jī)設(shè)備使用品牌(選填)268.終端機(jī)設(shè)備使用狀況(選填)269.打印機(jī)使用品牌(選填)27第六部分信息系統(tǒng)應(yīng)用狀況271.信息系統(tǒng)建設(shè)狀況272.數(shù)字化影像設(shè)備373.信息系統(tǒng)產(chǎn)品374.醫(yī)療集團(tuán)和區(qū)域衛(wèi)生信息化37第七部分信息技術(shù)外包狀況371.外包372.咨詢
3、38第八部分信息化建設(shè)障礙381.目前在推進(jìn)醫(yī)院信息化建設(shè)中哪些問(wèn)題是主要障礙?38第九部分信息系統(tǒng)建設(shè)投入狀況381.預(yù)算投入382.目前投入38第十部分2016年醫(yī)院能力建設(shè)項(xiàng)目建設(shè)情況391.資金到位情況392.資金使用情況39第十一部分醫(yī)院信息部門聯(lián)系人39第十二部分您的意見和建議393 / 38醫(yī)院信息化狀況調(diào)查(信息技術(shù)負(fù)責(zé)人填寫)填表說(shuō)明:本次調(diào)查所涉及的問(wèn)題用來(lái)反映您和您所在單位信息化相關(guān)狀態(tài)與數(shù)據(jù),需要填寫的部分請(qǐng)盡量書寫工整,易于識(shí)別,以保證數(shù)據(jù)轉(zhuǎn)錄時(shí)的正確性。第一部分 被調(diào)查者基本情況1. 醫(yī)院基本情況醫(yī)院名稱: 所在地: ?。ㄗ灾螀^(qū)、直轄市) 市(區(qū)) 1.1 醫(yī)院等級(jí)
4、:( )A.三級(jí)甲等B.三級(jí)乙等C.三級(jí)丙等 E. 二級(jí)甲等 F. 二級(jí)乙等 G. 二級(jí)丙等H.一級(jí)或其他 1.2 醫(yī)院編制床位數(shù)( );開放床位數(shù)( ) A.小于100 B.100-200 C.201-300 D.301-500 E.501-800F.801-1000 G. 1001-1500H.1501-2000 I. 2000-3000 J.3000以上1.3 醫(yī)院年度門診總?cè)舜危海?)A.小于5萬(wàn)B.5-10萬(wàn)C.10-50萬(wàn)D.50-100萬(wàn)E. 100萬(wàn)-200萬(wàn) F.200萬(wàn)-300萬(wàn)G.大于300萬(wàn)1.4 醫(yī)院年度出院總?cè)舜危海?)A.小于1000 B.1001-2000C.2
5、001-5000D.5001-10000E.10001-50000F.50000-80000G.大于800001.5 醫(yī)院年度總收入:( )A. 小于100萬(wàn) B.100-500萬(wàn) C. 500-1000萬(wàn) D. 1000-2500萬(wàn)E. 2500 -5000萬(wàn) F. 5000 -7500萬(wàn) G.7500萬(wàn)-1億 H.1 -3億I.3 -6億 J.6 -10億 K.10億-20億 L.20億-30億 M.30億-40億 N.40億-50億2. 信息技術(shù)部門負(fù)責(zé)人基本情況2.1 信息技術(shù)部門負(fù)責(zé)人目前的職稱是: ( )A正高級(jí)職稱B.副高級(jí)職稱C.中級(jí)職稱D.初級(jí)職稱E.無(wú)職稱 2.2 信息技術(shù)
6、部門負(fù)責(zé)人的最高畢業(yè)學(xué)歷或?qū)W位:( )A中專 B.大專C.大學(xué)本科或?qū)W士D.碩士E.博士F.博士后 2.3 信息技術(shù)部門負(fù)責(zé)人最高學(xué)歷的畢業(yè)專業(yè)是: ( )A.計(jì)算機(jī)及工科專業(yè)B.生物醫(yī)學(xué)工程C.醫(yī)學(xué)信息學(xué) D.圖書情報(bào)專業(yè)E.臨床醫(yī)學(xué)或相關(guān)專業(yè) F.基礎(chǔ)醫(yī)學(xué)或相關(guān)專業(yè)G.公共衛(wèi)生專業(yè)H.管理類專業(yè) Z.其它 第二部分 規(guī)范化與標(biāo)準(zhǔn)化1. 標(biāo)準(zhǔn)體系第五部分 醫(yī)院信息系統(tǒng)建設(shè)中已經(jīng)采用了哪些信息化標(biāo)準(zhǔn)體系多選 ( )A.ICD9B.ICD10 C.SNOMEDD.LOINCE.HL7F.DICOM3X.其它2. 信息編碼2.2.1 醫(yī)院信息系統(tǒng)中是否已經(jīng)采用了統(tǒng)一的信息編碼體系 (
7、 )說(shuō)明:統(tǒng)一的信息編碼體系指在醫(yī)療機(jī)構(gòu)的不同信息系統(tǒng)中使用了統(tǒng)一的編碼規(guī)則或使用了統(tǒng)一的編碼字典A.是的,全部采用B.部分采用C.完全沒(méi)有使用3. 信息化水平3.3.1 醫(yī)院決策的信息化水平 ( ) A采用人工智能專家系統(tǒng),進(jìn)入管理和醫(yī)療決策智能化B能開展數(shù)據(jù)分析處理,對(duì)各種決策方案優(yōu)選,為管理和醫(yī)療決策提供輔助支持C通過(guò)信息資源的開發(fā)利用,能為醫(yī)院的決策提供初步支持D醫(yī)院的信息資料基本沒(méi)有得到利用第三部分 信息技術(shù)應(yīng)用狀況1. 您覺得目前醫(yī)院運(yùn)營(yíng)的信息系統(tǒng)對(duì)醫(yī)院解決哪些問(wèn)題幫助最大請(qǐng)選擇5個(gè)選項(xiàng)按照優(yōu)先級(jí)從高到低排列( )A. 提高醫(yī)療質(zhì)量,保障醫(yī)療安全,降低醫(yī)療差錯(cuò)與意外B.提高病人滿意
8、度 C.提高臨床業(yè)務(wù)效率,支持醫(yī)院流程再造D.降低醫(yī)院運(yùn)營(yíng)成本,支持醫(yī)院經(jīng)營(yíng)成本核算E.適應(yīng)最佳的臨床實(shí)踐 F.支持醫(yī)療保險(xiǎn) G.滿足管理部門及相關(guān)法規(guī)要求H.減輕國(guó)家的醫(yī)療負(fù)擔(dān) I.滿足循證醫(yī)學(xué)需求J.提升醫(yī)院的競(jìng)爭(zhēng)力K.降低病人的醫(yī)療費(fèi)用 L.保護(hù)病人隱私2. 您覺得應(yīng)用信息技術(shù)最應(yīng)解決的問(wèn)題是 請(qǐng)選擇5個(gè)選項(xiàng)按照優(yōu)先級(jí)從高到低排列 ( ) A. 提高醫(yī)療質(zhì)量,保障醫(yī)療安全,降低醫(yī)療差錯(cuò)與意外B.提高病人滿意度 C.提高臨床業(yè)務(wù)效率,支持醫(yī)院流程再造D.降低醫(yī)院運(yùn)營(yíng)成本,支持醫(yī)院經(jīng)營(yíng)成本核算E.適應(yīng)最佳的臨床實(shí)踐 F.支持醫(yī)療保險(xiǎn) G.滿足管理部門及相關(guān)法規(guī)要求 H.減輕國(guó)家的醫(yī)療負(fù)擔(dān) I
9、.滿足循證醫(yī)學(xué)需求J.增強(qiáng)醫(yī)院的綜合競(jìng)爭(zhēng)實(shí)力K.降低病人的醫(yī)療費(fèi)用 L.保護(hù)病人隱私M. 簡(jiǎn)化工作程序,降低勞動(dòng)強(qiáng)度 N. 醫(yī)療手段的重大變革,服務(wù)方式的徹底改變 O. 醫(yī)院業(yè)務(wù)流程重組和組織結(jié)構(gòu)優(yōu)化 P.有效提高醫(yī)院決策水平 Q.在線醫(yī)療 R.遠(yuǎn)程醫(yī)療 S.數(shù)字醫(yī)療 T.智慧醫(yī)療 U.優(yōu)化就診流程,方便病人就醫(yī) V.規(guī)范管理,堵住漏洞 3. 目前在推進(jìn)醫(yī)院信息化建設(shè)中哪些問(wèn)題是主要障礙請(qǐng)選擇5個(gè)選項(xiàng)按照優(yōu)先級(jí)從高到低排列 ( ) A缺乏充分的信息化資金支持 B供應(yīng)商缺乏提供滿足需求產(chǎn)品與服務(wù)的能力C部門人力資源不足 D信息化的投資回報(bào)無(wú)法量化E缺乏臨床指導(dǎo) F難以達(dá)到最終用戶認(rèn)可度與使用要求
10、G缺乏院領(lǐng)導(dǎo)的支持 H缺乏戰(zhàn)略性的信息化規(guī)劃I信息化規(guī)劃的實(shí)施失敗 J缺乏法律或政策方面的支持K缺乏醫(yī)療信息化標(biāo)準(zhǔn) L其它 4. 信息化使用狀況4.1 醫(yī)院是否有分院或社區(qū)醫(yī)院,是否進(jìn)行了信息系統(tǒng)一體化: ( ) A. 無(wú) B. 有,但未進(jìn)行信息系統(tǒng)一體化 C. 有,已經(jīng)完成信息系統(tǒng)一體化D. 有,采用獨(dú)立系統(tǒng)通過(guò)媒介(磁盤、U盤等)進(jìn)行信息交換E.不知道4.2 醫(yī)院是否參與了區(qū)域衛(wèi)生信息化 ( ) A. 不知道什么是區(qū)域衛(wèi)生信息化B. 沒(méi)有參與區(qū)域衛(wèi)生信息化的計(jì)劃C. 不參與區(qū)域衛(wèi)生信息化 D. 已參與區(qū)域衛(wèi)生信息化 E.不知道4.3 醫(yī)院選用移動(dòng)終端設(shè)備時(shí)哪些因素是最重要的多選 請(qǐng)選擇5個(gè)
11、選項(xiàng)按照優(yōu)先級(jí)從高到低排列 ( ) A重量 B屏幕尺寸 C便攜式設(shè)計(jì) D電池持續(xù)時(shí)間 E酒精消毒F紫外線消毒 G臭氧消毒 H配備墻架、臺(tái)架 I價(jià)格J整體解決方案(包括軟件應(yīng)用) K軟件簡(jiǎn)單易用 L條碼掃描MRFID N照相功能 O. 抗摔/抗震能力 X. 其他 4.4 醫(yī)院主持和參與遠(yuǎn)程會(huì)診情況(院際會(huì)診) 次年,其中通過(guò)網(wǎng)絡(luò)進(jìn)行的有 次年。4.5 醫(yī)院進(jìn)行院內(nèi)會(huì)診情況 次年,其中通過(guò)網(wǎng)絡(luò)進(jìn)行的有 次年。5. 信息技術(shù)應(yīng)用狀況5.1 所用的醫(yī)院信息系統(tǒng)是: ( )A.自行開發(fā) B.委托開發(fā) C.合作開發(fā) D.購(gòu)買成品軟件5.2 目前醫(yī)院在用的操作系統(tǒng)軟件有多選( )A.DOSB. Window
12、sC. LinuxD. Unix E. MacOSX.其它Z.不知道5.3 目前醫(yī)院在用的數(shù)據(jù)庫(kù)產(chǎn)品有多選( )A.MSSQLB. OracleC. SybaseD.DB2E. MySQLF. FoxProG. CachH. InformixI. AccessX.其它Z.不知道5.4 醫(yī)院規(guī)劃在未來(lái)3年內(nèi)采用哪些新的信息技術(shù)多選( )A.高速以太網(wǎng)(100M)B.條碼技術(shù)C.VoIP(IP電話)D.語(yǔ)音識(shí)別技術(shù)E.無(wú)線網(wǎng)絡(luò)應(yīng)用F.RFID技術(shù)G.平板電腦 H.掌上電腦PDA或手持設(shè)備I.數(shù)據(jù)安全技術(shù) J.數(shù)據(jù)倉(cāng)庫(kù)K.電子商務(wù) eBusiness L.XML技術(shù)M.自動(dòng)預(yù)警與臨床提示 N.多系統(tǒng)
13、應(yīng)用界面集成 O. 云計(jì)算應(yīng)用P.中間件服務(wù)器Q.虛擬化 R.大數(shù)據(jù) S.物聯(lián)網(wǎng) X.其它 Z.不知道6. 信息系統(tǒng)集成狀況6.1 醫(yī)院在信息系統(tǒng)集成方面采用過(guò)哪些接口多選( )A.直接跨系統(tǒng)進(jìn)行數(shù)據(jù)表讀寫操作 B.使用中間數(shù)據(jù)表交換數(shù)據(jù) C.使用DLL、Open API、Proxy進(jìn)行接口 D.采用消息交換方式 E.使用界面嵌入集成F.使用集成平臺(tái)方式X.其它Y.未采用集成技術(shù) Z.不知道7. Internet/Intranet應(yīng)用狀況7.1 醫(yī)院互聯(lián)網(wǎng)接入方式多選( )A.VPN接入B.ADSL接入 C.ISDN接入 D.DDN專線接入E.Cable Modem接入F.教育網(wǎng)光纖接入 G.
14、光纖接入 H.無(wú)線方式接入X.其它接入方式 Y.未接入Z.不知道 7.2 醫(yī)院網(wǎng)站建設(shè)主要采用哪種方式( )A.自建自管B.自建托管C.代建D.尚未建X.其他7.3 醫(yī)院網(wǎng)站提供的主要互聯(lián)網(wǎng)服務(wù)多選( )A.對(duì)外宣傳與介紹B.網(wǎng)上醫(yī)療咨詢C.網(wǎng)上預(yù)約掛號(hào)D診療信息查詢 E.人力資源招聘F.在線健康評(píng)估 G.在線為患者提供安全的電子病歷服務(wù)H.B2B交易I.為員工提供遠(yuǎn)程辦公J.為醫(yī)生提供門戶應(yīng)用 K.參與區(qū)域衛(wèi)生信息化X.其它7.4 互聯(lián)網(wǎng)運(yùn)營(yíng)商 () A電信 B聯(lián)通 C移動(dòng) D其它7.5 互聯(lián)網(wǎng)接入帶寬 M,年租費(fèi)用: 萬(wàn)元 7.6 醫(yī)院網(wǎng)絡(luò)出口接入情況 Ainternet B電子政務(wù)網(wǎng) C
15、專網(wǎng) DVPN網(wǎng) 8. 信息化使用安全狀況8.1 醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案制定情況 ( ) A有完善的信息系統(tǒng)應(yīng)急預(yù)案B有預(yù)案,但不完善 C沒(méi)有預(yù)案 Z.不知道8.2 醫(yī)院是否制定了詳細(xì)的信息系統(tǒng)安全制度與措施 ( ) A有完善的制度和措施 B有制度措施但不完善C沒(méi)有 Z.不知道8.3 醫(yī)院是否有針對(duì)信息化系統(tǒng)的每年定期的故障模擬演練 ( )A每年都進(jìn)行定期的故障模擬演練 B有演練計(jì)劃但幾乎沒(méi)有執(zhí)行C沒(méi)有 Z.不知道8.4 醫(yī)院采用了哪些數(shù)據(jù)安全措施多選( )A.數(shù)據(jù)離線存儲(chǔ)B.數(shù)據(jù)冷備份 C.數(shù)據(jù)庫(kù)鏡像備份D.數(shù)據(jù)災(zāi)備 E.集中存儲(chǔ)異地鏡像備份F.數(shù)據(jù)加密G.數(shù)據(jù)庫(kù)行為審計(jì) H.數(shù)據(jù)電子簽名加密
16、 I.電子簽名公鑰密匙框架X.其它Y.未采用 Z.不知道8.5 醫(yī)院目前采用了哪些網(wǎng)絡(luò)安全措施多選( )A.域用戶管理模式B.防火墻設(shè)備C.防毒墻設(shè)備D.VPNVLAN劃分E.上網(wǎng)行為管理 F.入侵檢測(cè)(IDSIPS)G.漏洞掃描 H.web防火墻(WAF)I.隔離網(wǎng)扎X.其它Y.未采用 Z.不知道8.6 醫(yī)院操作系統(tǒng)級(jí)安全采用了哪些措施多選( )A.單機(jī)版反病毒軟件B.網(wǎng)絡(luò)版反病毒軟件C.軟件防火墻D.桌面管理軟件E.系統(tǒng)鏡像快速恢復(fù)X.其它Y.未采用Z.不知道8.7 醫(yī)院目前采用了哪種信息系統(tǒng)體系結(jié)構(gòu)安全措施多選( )A.主要應(yīng)用服務(wù)器采用雙機(jī)熱備 B.服務(wù)器集群C.容錯(cuò) D.容災(zāi) E.負(fù)
17、載均衡 F.雙活X.其它 Y.未采用 Z.不知道8.8 醫(yī)院目前應(yīng)用系統(tǒng)采用了哪些系統(tǒng)安全措施多選( )A.用戶權(quán)限控制B.多級(jí)授權(quán)密碼C.應(yīng)用系統(tǒng)級(jí)災(zāi)難恢復(fù)D.應(yīng)用系統(tǒng)用戶行為審計(jì)日志E.電子簽名公鑰密匙框架F.單點(diǎn)登陸G.生物信息識(shí)別技術(shù)(指紋、聲音、虹膜)X.其它Y.未采用Z.不知道第四部分 等保三級(jí)基本要求填表說(shuō)明:等保三級(jí)是國(guó)家“十二五規(guī)劃”信息化建設(shè)對(duì)三級(jí)甲等醫(yī)院的要求,請(qǐng)?jiān)谝韵逻x項(xiàng)中選擇“是”或者“否”1. 物理安全1.1 物理位置的選擇(G3)本項(xiàng)要求包括:a)機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi);( )b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)
18、備的下層或隔壁。( )1.2 物理訪問(wèn)控制(G3)本項(xiàng)要求包括:a)機(jī)房出入口應(yīng)安排專人值守,控制、鑒別和記錄進(jìn)入的人員;( )b)需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程,并限制和監(jiān)控其活動(dòng)范圍;( )c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理,區(qū)域和區(qū)域之間設(shè)置物理隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域;( )d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。( )1.3 防盜竊和防破壞(G3)本項(xiàng)要求包括:a)應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi);( )b)應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)記;( )c)應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;( )d)應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)
19、,存儲(chǔ)在介質(zhì)庫(kù)或檔案室中;( )e)應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng);( )f)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。( )1.4 防雷擊(G3)本項(xiàng)要求包括:a)機(jī)房建筑應(yīng)設(shè)置避雷裝置;( )b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷;( )c)機(jī)房應(yīng)設(shè)置交流電源地線。( )1.5 防火(G3)本項(xiàng)要求包括:a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火;( )b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料;( )c)機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。( )1.6 防水和防潮(G3)本項(xiàng)要求包括:a)水管安裝,不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下;( )b
20、)應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透;( )c)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;( )d)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。( )1.7 防靜電(G3)本項(xiàng)要求包括:a)主要設(shè)備應(yīng)采用必要的接地防靜電措施;( )b)機(jī)房應(yīng)采用防靜電地板。( )1.8 溫濕度控制(G3)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。( )1.9 電力供應(yīng)(A3)本項(xiàng)要求包括:a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備;( )b)應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求;( )c)應(yīng)設(shè)置冗
21、余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電;( )d)應(yīng)建立備用供電系統(tǒng)。( )1.10 電磁防護(hù)(S3)本項(xiàng)要求包括:a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾;( )b)電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾;( )c)應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。( )2. 網(wǎng)絡(luò)安全2.1 結(jié)構(gòu)安全(G3)本項(xiàng)要求包括:a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要;( )b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要;( )c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑;( )d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;( )e)應(yīng)根據(jù)各部門的工作職
22、能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段;( )f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;( )g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。( )2.2 訪問(wèn)控制(G3)本項(xiàng)要求包括:a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能;( )b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力,控制粒度為端口級(jí);( )c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、S
23、MTP、POP3等協(xié)議命令級(jí)的控制;( )d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接;( )e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);( )f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;( )g)應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn),控制粒度為單個(gè)用戶;( )h)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。( )2.3 安全審計(jì)(G3)本項(xiàng)要求包括:a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;( )b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;( )c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)
24、表;( )d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。( )2.4 邊界完整性檢查(S3)本項(xiàng)要求包括:a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷;( )b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷。( )2.5 入侵防范(G3)本項(xiàng)要求包括:a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等;( )b)當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。( )2.6
25、 惡意代碼防范(G3)本項(xiàng)要求包括:a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除;( )b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。( )2.7 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)本項(xiàng)要求包括:a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別;( )b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制;( )c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一;( )d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別;( )e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;( )f)應(yīng)具有登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施;( )g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí),
26、應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽;( )h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。( )3. 主機(jī)安全3.1 身份鑒別(S3)本項(xiàng)要求包括:a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別;( )b)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;( )c)應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;( )d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽;( )e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。( )f)應(yīng)采用兩種或兩種以上組合的鑒
27、別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。( )3.2 訪問(wèn)控制(S3)本項(xiàng)要求包括:a)應(yīng)啟用訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn);( )b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;( )c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離;( )d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;( )e)應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶,避免共享帳戶的存在。( )f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記;( )g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作;( )3.3 安全審計(jì)(G3)本項(xiàng)要求包括:a)審計(jì)范圍應(yīng)覆蓋到服
28、務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶;( )b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;( )c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等;( ) d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;( )e)應(yīng)保護(hù)審計(jì)進(jìn)程,避免受到未預(yù)期的中斷;( )f)應(yīng)保護(hù)審計(jì)記錄,避免受到未預(yù)期的刪除、修改或覆蓋等。( )3.4 剩余信息保護(hù)(S3)本項(xiàng)要求包括:a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間,被釋放或再分配給其他用戶前得到完全清除,無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中;( )b)應(yīng)確保
29、系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前得到完全清除。( )3.5 入侵防范(G3)本項(xiàng)要求包括:a)應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警;( )b)應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè),并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施;( )c)操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。( )3.6 惡意代碼防范(G3)本項(xiàng)要求包括:a)應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù);( )
30、b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù);( )c)應(yīng)支持防惡意代碼的統(tǒng)一管理。( )3.7 資源控制(A3)本項(xiàng)要求包括:a)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;( )b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;( )c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;( )d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度;( )e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。( )4. 應(yīng)用安全4.1 身份鑒別(S3)本項(xiàng)要求包括:a)應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別; (
31、)b)應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別;( )c)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用;( )d)應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;( )e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。( )4.2 訪問(wèn)控制(S3)本項(xiàng)要求包括:a)應(yīng)提供訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn);( )b)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作;( )
32、c)應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限;( )d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。( )e)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能;( )f)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作;( )4.3 安全審計(jì)(G3)本項(xiàng)要求包括:a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì);( )b)應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程,無(wú)法刪除、修改或覆蓋審計(jì)記錄;( )c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等;( )d)應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)
33、報(bào)表的功能。( )4.4 剩余信息保護(hù)(S3)本項(xiàng)要求包括:a)應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除,無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中;( )b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。( )4.5 通信完整性(S3)應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。( )4.6 通信保密性(S3)本項(xiàng)要求包括:a)在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證;( )b)應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。( )4.7 抗抵賴(G3)本項(xiàng)要求包括:a)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)
34、原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能;( )b)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。( )4.8 軟件容錯(cuò)(A3)本項(xiàng)要求包括:a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求;( )b)應(yīng)提供自動(dòng)保護(hù)功能,當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài),保證系統(tǒng)能夠進(jìn)行恢復(fù)。( )4.9 資源控制(A3)本項(xiàng)要求包括:a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;( )b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;( )c)應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制;( )d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間
35、段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制;( )e)應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額;( )f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警;( )g)應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能,并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí),根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。( )5. 數(shù)據(jù)安全與備份恢復(fù)5.1 數(shù)據(jù)完整性(S3)本項(xiàng)要求包括:a)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施;( )b)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必
36、要的恢復(fù)措施。( )5.2 數(shù)據(jù)保密性(S3)本項(xiàng)要求包括:a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性;( )b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。( )5.3 備份和恢復(fù)(A3)本項(xiàng)要求包括:a)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場(chǎng)外存放;( )b)應(yīng)提供異地?cái)?shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地;( )c)應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障;( )d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。( )6. 安全管
37、理制度6.1 管理制度(G3)本項(xiàng)要求包括:a)應(yīng)制定信息安全工作的總體方針和安全策略,說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;( )b)應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度;( )c)應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程;( )d)應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。( )6.2 制定和發(fā)布(G3)本項(xiàng)要求包括:a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定;( )b)安全管理制度應(yīng)具有統(tǒng)一的格式,并進(jìn)行版本控制;( )c)應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定;( )d)安全管理制度應(yīng)通過(guò)正式
38、、有效的方式發(fā)布;( )e)安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。( )6.3 評(píng)審和修訂(G3)本項(xiàng)要求包括:a)信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定;( )b)應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定,對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。( )7. 安全管理機(jī)構(gòu)7.1 崗位設(shè)置(G3)本項(xiàng)要求包括:a)應(yīng)設(shè)立信息安全管理工作的職能部門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);( )b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé);( )c)應(yīng)成立指導(dǎo)和管理信息安全
39、工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán);( )d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。( )7.2 人員配備(G3)本項(xiàng)要求包括:a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等;( )b)應(yīng)配備專職安全管理員,不可兼任;( )c)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。( )7.3 授權(quán)和審批(G3)本項(xiàng)要求包括:a)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等;( )b)應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過(guò)程,對(duì)重要活動(dòng)建立逐級(jí)審批制度;( )c)應(yīng)定期審查審批事項(xiàng),及時(shí)更新
40、需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息;( )d)應(yīng)記錄審批過(guò)程并保存審批文檔。( )7.4 溝通和合作(G3)本項(xiàng)要求包括:a)應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通,定期或不定期召開協(xié)調(diào)會(huì)議,共同協(xié)作處理信息安全問(wèn)題; ( )b)應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通;( )c)應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通;( )d)應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息;( )e)應(yīng)聘請(qǐng)信息安全專家作為常年的安全顧問(wèn),指導(dǎo)信息安全建設(shè),參與安全規(guī)劃和安全評(píng)審等。( )7.5 審核和檢
41、查(G3)本項(xiàng)要求包括:a)安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況;( )b)應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等;( )c)應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告,并對(duì)安全檢查結(jié)果進(jìn)行通報(bào);( )d)應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。( )8. 人員安全管理8.1 人員錄用(G3)本項(xiàng)要求包括:a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;( )b)應(yīng)嚴(yán)格規(guī)范人
42、員錄用過(guò)程,對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行考核;( )c)應(yīng)簽署保密協(xié)議;( )d)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。( )8.2 人員離崗(G3)本項(xiàng)要求包括:a)應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程,及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限;( )b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;( )c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。( )8.3 人員考核(G3)本項(xiàng)要求包括:a)應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核;( )b)應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考
43、核;( )c)應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。( )8.4 安全意識(shí)教育和培訓(xùn)(G3)本項(xiàng)要求包括:a)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);( )b)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員,對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒; ( )c)應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn);( )d)應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。( )8.5 外部人員訪問(wèn)管理(G3)本項(xiàng)要求包括:a)應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書面申請(qǐng),批準(zhǔn)后由專人全程陪同或監(jiān)督,并登記備案;( )b)對(duì)
44、外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定,并按照規(guī)定執(zhí)行。( )9. 系統(tǒng)建設(shè)管理9.1 系統(tǒng)定級(jí)(G3)本項(xiàng)要求包括:a)應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí); ( )b)應(yīng)以書面的形式說(shuō)明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由;( )c)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定;( )d)應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)。( )9.2 安全方案設(shè)計(jì)(G3) 本項(xiàng)要求包括:a)應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施,并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;( )b)應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)
45、劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃;( )c)應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案,并形成配套文件;( )d)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過(guò)批準(zhǔn)后,才能正式實(shí)施;( )e)應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。( )9.3 產(chǎn)品采購(gòu)和使用(G3)本項(xiàng)要求包括:a)應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的
46、有關(guān)規(guī)定;( )b)應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求;( )c)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu); ( )d)應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。( )9.4 自行軟件開發(fā)(G3)本項(xiàng)要求包括:a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開,開發(fā)人員和測(cè)試人員分離,測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制;( )b)應(yīng)制定軟件開發(fā)管理制度,明確說(shuō)明開發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則;( )c)應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼;( )d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管;( )e)應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。( )9.5 外包軟件開發(fā)(G3)本項(xiàng)要求包括:a)應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量;( )b)應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼;( )c)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;( )d)應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。( )9.6 工程實(shí)施(G3)本項(xiàng)要求包括:a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理;( )b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程,并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程;( )c)應(yīng)制定工程實(shí)施方面的管理制度,明確說(shuō)明實(shí)施過(guò)程的控制方
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 在鄉(xiāng)村實(shí)習(xí)證明模板(6篇)
- 公司法務(wù)基礎(chǔ)知識(shí)題庫(kù)單選題100道及答案解析
- 語(yǔ)文統(tǒng)編版(2024)一年級(jí)上冊(cè)識(shí)字4.日月山川 教案
- 《學(xué)前兒童衛(wèi)生保健》 教案 12 項(xiàng)目二:學(xué)前兒童意外事故的急救1
- 第2章 第5節(jié) 營(yíng)養(yǎng)學(xué)基礎(chǔ)課件
- 學(xué)校傳染病控制課件
- 2024-2025學(xué)年專題10.3 物體的浮沉條件及應(yīng)用-八年級(jí)物理人教版(下冊(cè))含答案
- 2024屆山西省太原市第四十八中學(xué)高三下學(xué)期3月線上教學(xué)數(shù)學(xué)試題檢測(cè)試題卷二
- 第3章 圓的基本性質(zhì) 浙教版數(shù)學(xué)九年級(jí)上冊(cè)章末訓(xùn)練題(含答案)
- 招考《彎道跑》說(shuō)課稿
- 浙江省9+1高中聯(lián)盟2022-2023學(xué)年高一上學(xué)期11月期中化學(xué)試題 含解析
- 人教版七年級(jí)數(shù)學(xué)上學(xué)期《1.4-有理數(shù)的乘除法》同步練習(xí)卷
- 《中醫(yī)基礎(chǔ)理論》課程教案
- 北師大版生物八年級(jí)上冊(cè) 第20章 第1節(jié) 遺傳和變異現(xiàn)象(1)(教案)
- 2024年移動(dòng)網(wǎng)格長(zhǎng)認(rèn)證考試題庫(kù)大全及答案
- 2024-2030年中國(guó)機(jī)械計(jì)數(shù)器行業(yè)應(yīng)用動(dòng)態(tài)與發(fā)展前景預(yù)測(cè)報(bào)告
- 湖南省湘楚名校聯(lián)考2024-2025學(xué)年高三上學(xué)期8月月考英語(yǔ)試題
- 2024年交通運(yùn)輸行政執(zhí)法資格考試試題
- 承包蟹塘合同
- 小學(xué)思政課《愛國(guó)主義教育》
- 服務(wù)器設(shè)備到貨驗(yàn)收
評(píng)論
0/150
提交評(píng)論