江苏省卫生厅办公室关于加强网络与信息安全保障组织开展信息系统安全检查工作的通知
(苏卫办发〔2011〕8号)
各市卫生局,厅直各有关单位,各三级医院:
随着信息技术的深入应用,卫生信息化对于卫生事业发展的基础性、全局性作用日益显现,信息系统已成为各级医疗卫生机构提供服务和管理活动的重要支撑与保障。但同时,由于在信息化过程中普遍存在“重建设、重应用、轻安全”问题,我省医疗卫生领域的信息网络和信息系统安全还十分脆弱,信息安全事件时有发生。为加强我省卫生系统网络和信息安全,建立健全网络与信息安全事件预防和应急处置工作机制,保障正常的医疗卫生服务秩序,维护公共安全和社会稳定,现就有关要求通知如下:
一、做好重要信息系统安全等级保护定级
对信息系统分等级实行安全保护,是加强信息系统安全保障工作的一项重要措施,国家已就此制订发布了一系列管理规范和技术标准。此项工作由各级公安机关牵头,在2007年作过专门部署。各地、各单位要在全面调查现有信息系统状况、理清系统承载业务重要程度和受众规模基础上,分析梳理重要信息系统目录,依据《
信息安全等级保护管理办法》(公通字〔2007〕43号)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护实施指南》(见附件1)等规定和要求,对未实行定级备案的重要信息系统,抓紧完成定级备案工作;之前已做过备案的系统,如有重大变更亦需要重新定级备案。按照卫生部相关指导意见,省辖市级区域卫生信息平台、三级甲等医院和日均门诊量超过3000人次的其他三级医院的诊疗信息系统,要确定为三级以上安全等级,并采取相应的保护措施。
各市、各单位在完成重要信息系统安全等级保护定级评估后,要形成《定级报告》和《备案表》,向所在市公安局备案,同时报备我厅。《定级报告》模版和《备案表》表样见附件2。今后各地、各单位开展信息系统新项目建设,需要在可行性研究论证期间,即确定安全保护的等级,做到等保要求落实与系统建设同步,系统建成投入运行前必须进行等级保护备案。
二、制订网络与信息安全事件应急预案
