一、检查目的

通过开展信息安全检查工作，进一步落实信息安全责任，增强全员信息安全意识，认真查找突出问题和薄弱环节，全面排查安全隐患和安全漏洞，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。

二、检查范围

信息安全检查的范围包括县市区卫生局和市直医疗卫生单位。涉及国家秘密的信息系统安全检查，按照国家保密管理规定和标准执行。

三、检查内容

（一）信息安全管理情况

按照国家信息安全政策和标准规范要求，信息安全管理规章制度的建立健全及落实情况。重点检查信息安全主管领导、信息管理机构和工作人员履职情况，信息安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。

（二）技术防护情况

网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对部门或行业正常生产生活具有较大影响的重要网络与信息系统的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。

（三）应急工作情况

按照国家网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制。重点检查信息安全事件应急预案制订、修订情况，应急预案演练情况；应急技术支撑队伍、灾难备份与恢复措施建设情况，重大信息安全事件处置及查处情况等。

（四）安全教育培训情况

重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。

（五）安全问题整改情况

重点检查以往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。

四、检查方式

按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各县市区卫生局和市直医疗卫生单位组织自查为主。同时，市卫生局将会组织专业技术队伍对部分重点单位和重要系统进行安全抽查。

（一）安全自查

各县市区卫生局和市直医疗卫生单位统筹组织安排本地和本单位的信息安全自查工作，制定信息安全检查实施方案，印发检查部署文件，明确自查范围、责任单位、工作安排及工作要求等相关内容，并认真组织实施。自查工作完成后，各县、市（区）卫生局和市直医疗卫生单位要对本地卫生系统和本单位检查情况进行全面汇总、总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，撰写检查总结报告。

（二）安全抽查

1．抽查任务

市卫生局将组织专业技术队伍对部分县市区卫生局和市直医疗卫生单位进行抽查，抽查单位和时间另行通知。

2．抽点内容

(1)现场抽查内容。重点检查被抽查单位自查工作组织开展情况，2012年安全检查发现问题的整改情况，网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、存储等安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测，深入挖掘安全漏洞，采用人工方式对安全漏洞的可利用性进行验证，帮助排查安全隐患，分析评估安全风险。

(2)外部检测内容。通过互联网对被抽查的网站系统、业务系统等安全风险状况进行外部检测，包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等，验证被抽查系统安全防护措施的有效性。

五、时间安排

（一）自查时间安排

自查工作自本工作方案印发之日起启动，2013年9月23日结束。

（二）抽查时间安排

市卫生局牵头组织的抽查工作自9月23日起启动，9月30日前完成。

六、信息报送

（一）请各县市区卫生局和市直医疗卫生单位于2013年9月23日前向市卫生局上报检查总结报告，以及《地方／行业信息安全检查结果统计汇总表》（卫生局填报本地区卫生系统汇总后数据，医疗卫生单位填写本单位数据）、《信息安全检查结果统计表》和《政府部门信息安全管理工作自评估表（试行）》等相关材料。

（二）报送方式。报送材料纸质版至市卫生局办公室，电子版请通过省卫生厅集群办公OA系统发送至市卫生局。如填报内容涉密，请按照保密要求通过机要方式传送。

（三）在自查中发现重大安全隐患或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时，应及时向市卫生局和本地信息化管理部门报告。

七、有关工作要求

（一）加强领导，落实责任

各县市区卫生局和市直医疗卫生单位要把信息安全检查工作列入重要议事日程，加强组织领导，明确检查责任，建立并落实信息安全检查工作责任制，明确检查工作负责人、检查机构和检查人员，安排并落实检查工作经费，保证检查工作顺利进行。

（二）注重源头，深入检查

各县市区卫生局和市直医疗卫生单位要全面细致开展检查工作，注重采用技术检测等手段，深入查找安全问题和隐患。认真统计与填报数据，确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题，全面系统地分析研究解决，从源头上遏制和消除安全隐患。

（三）即查即改，确保成效

各县市区卫生局和市直医疗卫生单位对检查中发现的问题要及时整改，因条件不具备暂时不能整改的问题应采取临时防范措施，保证系统安全正常运行。各县市区卫生局应及时把检查中发现的问题通报给相关单位，督促相关单位组织风险研判、并落实整改措施，对于逾期未进行整改的单位将予以通报。

（四）密切配合，加强指导

各县市区卫生局应加强与同级信息化主管部门的沟通合作，组织专业技术队伍对检查工作进行技术咨询和指导，不断提高检查

工作的科学性和规范性。承担抽查任务的专业技术队伍和被抽查

单位应加强沟通，做好配合工作，保障信息安全抽查工作的顺利

开展。

（五）控制风险，强化保密

各县市区卫生局和市直医疗卫生单位要针对检查工作技术性强的特点，强化风险控制措施，周密制定应急预案，确保被检查信息系统的正常运行和重要数据安全。要高度重视保密工作，对检查中有关人员、相关文档和数据进行严格管理，确保检查数据和检查结果不被泄露。