信息安全等级保护制度

内蒙古自治区人民医院

信息安全等级保护制度

卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，我院按照卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发[2011]85号）、卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函[2011]1126号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）、内蒙古卫生厅做好卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（内卫信[2012]20号）、关于成立内蒙古自治区卫生信息系统安全等级保护工作领导小组的通知（内卫信字[2012]665号）、转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（内卫信字[2012]21号）、关于开展信息安全等级保护大检查工作的通知（内卫信字[2012]1号）等文件的精神，根据我院自身情况，制定了内蒙古自治区人民医院信息安全等级保护制度。

一、工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在我院全

信息安全等级保护

公安部公共信息网络安全监察局

(一)等级保护是什么 (二)等级保护做什么 (三)等级保护如何实施

法律和政策依据《中华人民共和国计算机信息系统安全保护条例》第二章安 中华人民共和国计算机信息系统安全保护条例》 全保护制度部分规定： 全保护制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全 计算机信息系统实行安全等级保护。 等级保护的具体办法，由公安部会同有关部门制定。” 等级保护的具体办法，由公安部会同有关部门制定。

《计算机信息系统安全保护等级划分准则》GB17859-1999(技 计算机信息系统安全保护等级划分准则》GB17859-1999 术法规)规定： :国家对信息系统实行五级保护。 国家对信息系统实行五级保护。

《国家信息化领导小组关于加强信息安全保障工作的意见》 国家信息化领导小组关于加强信息安全保障工作的意见》 重点强调：实行信息安全等级保护制度，重点保护基础信息网络和重要信息系 实行信息安全等级保护制度， 统。

一、等级保护是什么(一)等级保护基本概念：信息系统安全等级保护是指对信息安全实行等 等级保护基本概念： 级化保护和等级化管理

根据信息系统应用业务重要程度及其实际安全需求，实 行分级、分类、分

南京林业大学

信息安全等级保护工作检查总结材料 一、部署和组织实施情况 为加强我校信息系统等级保护工作的组织领导，扎实推进信息系统等级保护工作开展，预防和杜绝信息系统安全事件发生，确保信息系统安全，我校成立了网络与信息安全工作领导小组，并组织相关专业技术力量，全面负责信息系统安全管理工作。2011年6月份信息（网络）中心召开多次会议，学习、讨论《信息系统安全等级保护定级指南》等相关文件，组织开展我校信息安全等级保护工作，由各个信息系统的使用部门专人完成相应的信息系统定级工作。

二、定级备案情况

信息安全等级保护(二级)

备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统

信息安全等级保护培训试题集

一、法律法规

一、单选题

1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门

2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门

3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B)

A．经济价值 经济损失 B．重要程度 危害程度 C．经济价值 危害程度 D．重要程度 经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级 B．第二级 C．第三级 D．第四级

5．一般来说，二级信息系统，适用于（D）

A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息

信息安全等级保护培训试题集

一、法律法规

一、单选题

1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门

2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门

3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B)

A．经济价值 经济损失 B．重要程度 危害程度 C．经济价值 危害程度 D．重要程度 经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级 B．第二级 C．第三级 D．第四级

5．一般来说，二级信息系统，适用于（D）

A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。

B．适用于地市级以上国家

国家信息安全等级保护制度

一、 医疗卫生行业的信息化系统安全建设目标如下：

实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

二、 医疗卫生行业的信息化系统安全建设需求如下：需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

有信息系统安全措施和应急处理预案。信息系统运行稳定、安全，具有防

灾备份系统，实行网 络运行监控，有防病毒、防入侵措施。实行信息系统操作权限分级管理，信息安全采用身份认证、权限控制（包括数据库和运用系统）、病人数据使用控制、保障网络信息安全和保护病人隐私。有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。

三、 有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

1.有信息网络运行、设备管理和维护、技术文档管理记录。 2.有信息系统变更、发布、配置管理制度及相关记录。 3.有信息系统软件更新、增补记录。 4.有信息值班、交接班制度，

5.有完整的日常运维记录和值班记录，及时处置安全隐患。

6.有信息系统运行事件（如系统瘫痪）相关的应急预案并 组织

二甲医院实施国家信息安全等级保护制度

实施国家信息安全等级保护制度

1、 医疗卫生行业的信息化系统安全建设目标如下： 实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

2、 医疗卫生行业的信息化系统安全建设需求如下： 需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

 有信息系统安全措施和应急处理预案。  信息系统运行稳定、安全，具有防灾备份系统，实行网 络运行监控，有防  病毒、防入侵措施。  实行信息系统操作权限分级管理， 信息安全采用身份认 证、权限控制（包括数据库和运用系统）、病人数据 使用控制、保障网络信息安全和保护病人隐私。  有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。 

有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

 1有信息网络运行、 设备管理和维护、 技术文档管理

记录。 

2.有信息系统变更、发布、配置管理制度及相关记录。

二甲医院实施国家信息安全等级保护制度

 3.有信息系统软件更新、增补记录。 

4.有信息值班、交接班制度，

5.有完整的日常运维记录和

二甲医院实施国家信息安全等级保护制度

实施国家信息安全等级保护制度

1、 医疗卫生行业的信息化系统安全建设目标如下： 实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

2、 医疗卫生行业的信息化系统安全建设需求如下： 需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

 有信息系统安全措施和应急处理预案。  信息系统运行稳定、安全，具有防灾备份系统，实行网 络运行监控，有防  病毒、防入侵措施。  实行信息系统操作权限分级管理， 信息安全采用身份认 证、权限控制（包括数据库和运用系统）、病人数据 使用控制、保障网络信息安全和保护病人隐私。  有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。 

有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

 1有信息网络运行、 设备管理和维护、 技术文档管理

记录。 

2.有信息系统变更、发布、配置管理制度及相关记录。

二甲医院实施国家信息安全等级保护制度

 3.有信息系统软件更新、增补记录。 

4.有信息值班、交接班制度，

5.有完整的日常运维记录和

国家信息安全等级保护制度第三级要求

1 第三级基本要求

1.1技术要求 1.1.1 物理安全

1.1.1.1 物理位置的选择(G3) 本项要求包括:

a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

1.1.1.2 物理访问控制(G3) 本项要求包括:

a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;

c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安

装等过渡区域;

d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人

员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括:

a) 应将主要设备放置在机房内;

b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;

c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括:

a) 机房建筑应设