安全保卫管理
安全保卫管理范文第1篇
中国大陆地区保健食品安全性评价的依据为国家食品药品监督管理局2003年颁布的《保健食品检验与评价技术规范》。台湾地区健康食品的安全性评价试验须依“卫生署”公告的《健康食品安全评估方法》进行。两岸保健食品安全性评价分类及毒理学试验方法比较分析详见表2。从表2我们可以看出,两岸保健食品的安全性评价分类方法不太一致。台湾地区将健康食品安全性评价分为4个类别,主要将以往长期使用及制造加工的安全性作为考量标准,并将食用目的、方式、制造加工方法、流程、最终产品形式及摄入量等因素都纳入分类的考虑范畴。申请健康食品许可证时,由中国台湾“卫生署”初步对其安全性评价进行原则性分类。正式申请后,则由“卫生署健康食品审议委员会”审查决定安全性评价分类是否适当,检附资料是否充足并具有代表性。而大陆地区保健食品是根据所需进行的毒性试验方法将毒理学安全性评价程序分为4个阶段,分别为急性毒性试验、遗传毒性试验、亚慢性毒性试验和慢性毒性试验,并未像台湾地区那样进行原则性分类。在表2中,笔者根据大陆地区安全性评价程序中每个阶段所需进行的毒理学试验,也将其大致分成四大类。目前,大陆地区和台湾地区保健食品(健康食品)安全性毒理学评价大多数以第二类为主。另外,大陆地区和台湾地区的安全性毒理学试验方法也不太一致。台湾地区有6种,包括基因毒性试验、28d喂食试验、致畸试验、90d喂养试验、致癌性试验和繁殖试验等毒理学试验方法。大陆地区除了包含台湾地区的所有试验方法外,还增加了急性毒性试验和代谢试验,共8种。大陆地区的遗传毒性试验和30d喂养试验基本等同于台湾地区的基因毒性试验和28d喂食毒性试验。
2两岸保健食品保健功效评估比对研究
两岸保健食品已公告的保健功效及试验方法要求比较分析详见表3。从表3我们可以看出,台湾地区已公告的保健功效名称与大陆地区存在一定差异。台湾地区比大陆方面严谨、准确,且对各种保健功效作了专门说明,大陆地区保健食品则存在保健功效名称不规范、功能相近、功能定位不够准确或多个功能组合等现象。如:大陆地区称“缓解体力疲劳”,台湾地区称“抗疲劳”;大陆地区称“增强免疫力”,台湾地区称“调整免疫机能”;大陆地区称“减肥”,台湾地区称“不易形成体脂肪”。
在已公告的保健功效种类方面,台湾地区已公告的保健功效有13种,大陆地区有27种,其中两岸都批准的保健功效有11种。另外,大陆地区已批准的肠胃方面的保健功效共有4种,即调节肠道菌群、促进消化吸收、对胃粘膜损伤有辅助保护功能、通便功能,台湾地区虽然只有1种,即调整肠胃功能,却囊括了大陆上述的4种肠胃方面的保健功效。台湾地区还批准了牙齿保健功能、辅助调整过敏体质功能等2种保健功效,大陆地区则没有。大陆地区批准了辅助改善记忆功能、缓解视疲劳功能、促进排铅功能、清咽功能、改善睡眠功能、促进泌乳功能、提高缺氧耐受力功能、对辐射危害有辅助保护功能、改善生长发育功能、祛痤疮功能、祛黄褐斑功能、改善皮肤水分功能、改善皮肤油份功能等13种保健功效,台湾地区则没有。在保健功效评估的试验方法方面,台湾地区的大多数(11种,占85%)保健功效试验可从动物试验和人体试验中选择一种即可,护肝功能只要求进行动物试验,调节血压功效要求以人体试验为主,动物试验为辅。大陆地区的大多数(15种,占56%)保健功效试验要求动物试验和人体试验都必须进行,有7种(26%)只要求进行动物试验;有5种(18%)只要求进行人体试验。
3关于加强中国大陆地区保健食品安全卫生管理的建议
3.1抓紧相关标准的制修订目前,大陆地区保健食品安全卫生方面的标准数量极少,仅有50余项,且大部分是保健食品中成分的检测标准和安全性毒理学试验方法标准,缺乏基础通用标准、产品规格标准等。同时,部分国家标准、行业标准的标龄过长,如GB16740—1997《保健(功能)食品通用标准》、GB17405—1998《保健食品良好生产规范》,已不能适应保健食品产业的发展速度,亟需进行修订。因此,应抓紧保健食品相关技术标准的制修订工作,尤其是行业急需的、标龄过长的标准,从数量和质量上提高技术标准水平,不断完善保健食品技术标准体系。
安全保卫管理范文第2篇
加强医院内部安全保卫管理是创建“平安医院”,确保医院全面平稳发展的基础。在安全保卫的实践工作中,医院保卫部门应当宏观布局,确保安全保卫制度健全,管理机制完善,管理计划可行,并在日常工作中严格落实各项制度、计划,积极做好防范工作,确保医院医疗、教学、科研、生活秩序的顺利进行。
(一)安全保卫制度健全
制度是各项工作得以规范、顺利开展的基础。安全保卫制度的建立和完善能有效指导和规范各项实务工作的开展。在日常安全管理工作中,医院保卫部门应当结合实践经验,把工作要求、程序和内容融入到各项工作制度之中,做到用制度管理、指导工作,并在实践中不断地健全、完善制度,形成规范的工作流程及管理方式。
医院安全管理相关制度主要包括以下几类:
(1)治安安全相关制度:为确保医院治安安全,打击犯罪,指导安全管理工作的各项制度,如《医院安全管理规定》、《患者人身安全防护》、《社会治安综合管理委员会工作制度》等。
(2)消防安全相关制度:为确保医院消防安全,防患于未然,指导消防安全各项工作的制度,如《消防管理制度》、《火灾应对流程》、《火灾紧急疏散指南》等。
(3)各类应急预案:即紧急状态下应对各类突发事件的操作指南,如《火灾处置和疏散应急预案》、《突发恐怖事件应急处置预案》、《重大医疗纠纷应急处置预案》等。
(4)保卫工作相关制度:指导安全保卫工作的其他各项制度,如《失物招领制度》、《员工身份牌管理规定》、《院内建设工程安全管理制度》等。
医院只有建立健全的安保制度,才能指导保卫工作的顺利开展,才能有效维护医院正常医疗和工作秩序,预防违法犯罪和治安灾害事故的发生。
(二)安全管理机制完善
医院安全管理工作需牢固树立并积极贯彻“预防为主、防治结合”的原则,围绕创建“平安医院”这一目标,各安全管理部门各司其职,各负其责,推行全面安全管理。笔者根据多年的保卫工作实践,总结了从可以下几方面完善安全管理机制:
(1)层层落实安全工作责任制
医院要严格落实安全工作责任制,坚持“谁主管,谁负责”的原则,分级负责,分层管理,提高内部治安防范能力,全力维护良好的治安秩序。医院安全工作责任制即“医院主要领导负总责,分管领导具体负责,各部门各负其责”的责任机制。医院主要负责人为医院内部安全工作的第一责任人,承担领导责任。医院综治委在分管院领导的带领下,定期研究部署和检查落实安全管理工作,建立、完善内部安全工作责任制,与全院各部门层层签订安全责任书,明确责任。各部门主任为本部门的安全工作责任人,明确本部门的安全管理职责,在日常工作中落实本部门安全管理各项具体工作,消除安全隐患,在部门内逐级逐岗落实安全责任。由此,在全院范围内形成逐层管理负责,广大职工与群众人人参与,齐抓共管的良好氛围。
(2)日常安全工作机制规范
1)每周例会制度:
我院保卫部每周召集安保管理人员召开例会。通过实践发现,每周例会制度能有效传递信息,提高工作效率,促进医院安全管理工作的可持续发展。
每周例会制度具体形式即:每周保卫部管理人员、保安队伍骨干管理人员参加会议,总结并汇报上周工作情况,布置并落实下周各项工作任务,及时发现问题并提出改进措施与建议,及时协调解决问题。通过例会,保卫部可全面掌握医院安全管理工作最新进度,加强部门间、岗位间的工作联系与沟通,达到信息与资源共享,提高安全保卫管理队伍的整体工作效率。
2)安全检查制度:
安全工作重在防范于未然,安全隐患的排查整治是医院安全管理工作的重要组成部分。医院保卫部门应建立完善的安全检查制度,通过开展日常安全巡查、周查、月查、季度及年度大检查等多形式、多层次的安全检查,对医院内所有部位、设施有可能存在的安全隐患进行排查并监督落实整改。
消防安全隐患排查是安全检查的重中之重。消防检查至少每周一次,应从保安检查、保卫部检查、科室自查等多个层面开展,力求范围全覆盖、无死角,及时发现、排除所有存在的安全隐患。
安全检查要形成规范化的制度,检查情况应记录在案,根据检查结果实施改进,并做好医院设施设备的长期更新更换规划,降低存在的风险。安全检查应当经常性地开展,特别是重点要害部位必查,同时动员医院各部门开展安全隐患自查,群策群力,在全院范围内形成滚动摸排、持续整治、保障安全的长效机制。
3)突发事件预警机制:
医院内的安全突发事件主要是指突然发生的,造成或者可能造成严重社会危害,需要采取应急处置措施予以应对的事件、事故和灾害等。包括以下几类:
(1)社会安全事件:如恐怖袭击事件、群体性医闹纠纷、劫持、抢劫等暴力事件等。
(2)事故灾难:如火灾、爆炸、建筑物坍塌、电梯事故等。
(3)自然灾害:如台风、雪灾等自然灾害袭击。
防患于未然,预测和预警机制十分重要。医院应针对可能发生的公共安全突发事件,完善预测预警机制,针对存在的各种公共安全风险,开展安全隐患风险分析,做到早发现、早报告、早处置。
医院应当加强公共安全突发事件监测体系建设,建立突发事件及可疑事件的报告制度,对可能发生的突发事件,及时准确预报预警。医护人员等医院所有职工应当在日常工作中要提高对突发事件的敏感性,及时发现可能发生的突发事件和潜在隐患,及时收集各种信息并进行辨别分析,有效察觉潜伏的危机,并报告有关职能部门。各个门岗执勤人员密切关注出入口人流,发现人员群体性涌入或言行异常者以及其他可疑情况的,要持续追踪,并及时报告医院保卫部门。相关职能部门要做好自然灾害日常预警监测工作,发现自然灾害预警信号,及时提交应急领导小组决策。公共安全突发事件预测预警体系建设中,信息报送要求要快,预警信息的主要内容要尽量具体、明确。
通过预警机制的落实,及时执行应急预案及处置流程,对突发事件处理赢得主动权,有效开展各项应急处置工作,将事件造成的损害降到最低。
(三)制定切实可行的安全管理计划
要创建一个安全的有利于患者就医的环境,医院安全管理计划必不可少。医院保卫部门应通过收集安全相关数据并定期开展分析,在此基础上制定减少风险和改善患者服务环境的安全管理计划,以尽量避免医院员工、患者及来访者意外伤害的发生,增进部门负责人及员工的安全意识与防范能力。
医院安全管理计划的目标是确保所有病人、员工、学生、来访者和财产的安全得到保障。安全管理计划内容需包括医院内安全重点区域的分级设定、人员身份识别及人群准入分类制度、医院入口管理措施、安全隐患巡查制度、突发事件处理流程、员工培训等各项具体安全保卫措施的执行计划,并制定年度持续改进计划,列明年度需完成的安全管理工作项目及其具体的实施方法、时间安排等信息,计划要切实可行,通过计划的实施,不断改进医院安全工作。
参考文献:
[1]戎火泉.2005.医院安全保卫工作管理规范.南京:东南大学出版社
安全保卫管理范文第3篇
关键词:医疗机构 安全保卫工作 现状 措施
医疗机构是一个治病救人、救死扶伤的公共场所,要想保证患者安全就医以及医护人员能够顺利诊断、抢救患者,安全、安静是其必备的条件,然而在医疗事业不断改革深入的这种新形势下,目前医疗机构的安全保卫工作不容乐观,现对我国医疗机构的安全保卫工作进行分析。
1.医疗机构安全保卫工作的现状
1.1安全保卫工作人员素质不高
安全保卫人员是医疗机构安全保卫工作的关键人物,他们的素质好坏、水平高低直接影响着安全保卫工作。医疗机构的安全保卫工作人员绝大多数都是从其他岗位进行转岗而来的,受教育程度不是很高,素质也是参差不齐。有的工作人员在正式上岗之前,没有经过专业、系统的培训,在业务技能与综合素质方面,都很难满足当今医疗机构安全保卫工作的需求。医疗机构对于保卫人员的待遇普遍较低,工作人员的变动也比较频繁,有的工作人员责任心不强,对于工作规章制度的执行缺乏自律性和纪律性。
1.2医疗纠纷比较多
最近几年,我国医疗机构的纠纷案件是越来越多,在发生医疗事故纠纷之后,因为双方缺乏应有的理解与信任,导致增大分歧,有的患者及家属由于不够理智、冷静,经常会做出冲击医院以及毁坏公物、阻塞交通的行为,甚至有的时候会围攻、谩骂医疗机构的工作人员,这些行为已经是目前医疗机构安全保卫工作所引起重视的问题。
1.3医疗机构的人员流动性比较大,管理难度大
医疗机构是一个具有开放性的场所,由于存在有很多的不安全因素,给安全保卫工作带来了很大的难度,比如现金流量大、人员流动比较频繁,结构也比较复杂,所服务的对象具有不确定性等。一般情况下,就医人员会为了治病而准备大量的现金,因此会成为不法分子进行盗窃行骗的主要目标。在医疗机构这一特殊环境下,绝大多数的患者和家属都把精力主要放在了治疗疾病和照顾患者方面,忽略了治安防范意识,最终导致钱财、贵重物品的丢失;不法分子也正是抓住人们的这种心理,进行各种非法行为,这给医疗机构的安全保卫工作在管理上带来了很大的困难。医疗机构的安全保卫部门也重视工作力度,严密布防、积极巡逻,但是由于医疗机构所涉及的范围广泛,人员流动性大,时间长,给医疗机构的安全保卫工作带来了很大的挑战。
2.医疗机构安全保卫工作的强化管理措施
2.1提高安全保卫工作人员的综合素质
要想加强医疗机构的安全保卫工作,我们必须要提高安全保卫工作人员的综合素质,加强思想道德教育,造就一支素质高、能力强的保卫队伍。加强对安全保卫工作人员的培训,从指导正确的仪容仪表开始,对保卫人员的业务、政治等进行综合的教育,另外,管理人员要时刻观察安全保卫工作人员的工作情况,及时发现问题,并针对所出现的问题,进行认真的分析和总结,采取科学、合理的措施给予解决,带动安全保卫工作人员综合素质的提高,进而确保医疗机构的安全保卫工作。
2.2妥善处理医疗纠纷
建立一个完整的、有效的医疗机构的规章制度,把岗位责任制作为核心内容,总结历年来经常发生的关于医疗事故的纠纷案件,采取相应的防范措施。在制定规章制度的时候,要切合实际,并要求医疗机构的所有工作人员严格执行,严格规范工作人员的医疗及护理技术,提高自己的专业水平,尽量降低误诊、误治等现象的出现,避免发生医疗纠纷。另外,要善于发现医疗机构中所存在的潜在问题,及时采取措施给予解决。在发生医疗纠纷的时候,医疗机构的领导要在一开始的时候就引起重视,及时与患者及家属进行积极的沟通,协商解决,避免扩大事态,尽量将医疗纠纷遏制在萌芽之中。
2.3加强技术防范设施建设
由于医疗机构存在着危险部位多、现金流量比较大、流动人员多等客观情况,因此,医疗机构需要根据自身的实际情况,加大医疗机构的防范设施的投入,合理扩大技防和物防设施的应用范围,将技防、物防以及人防有机的结合在一起,以提高医疗机构的安全保障能力。在平时常规的防范建设基础之上,针对医疗机构的治安情况和治安形势,科学、合理地部署技术防范力量。对于医疗机构中重点要害的部位,要安装红外线报警器或者是摄像头等防盗、防火监控装备,实时监控医疗机构的各种情况,提高医疗机构的安全防控能力。
2.4建立安全保卫工作的责任制度
医疗机构的安全保卫工作,如果只是一味的依靠号召的方式或者只依靠保卫部门去负责的话,将很难强化安全保卫的管理工作,因此,在必要的时候,我们应该将安全保卫工作与各个科室及各个工作人员责任制、经济利益、政治荣誉有机的结合起来,做好并落实宣传教育、安全检查及保卫制度等工作。
第一,落实宣传教育工作。安全保卫工作需要群众的支持,对群众及时进行安全教育以及法律法规的宣传,通过此种方法来增强人们群众的安全意识,进而使得医疗机构的安全保卫工作有了坚强的后盾。这种安全教育的宣传工作,仅仅依靠保卫部门是行不通的,需要国家、政府等各个机构的相互支持,共同管理,综合治理。
第二,全面落实安全检查工作。医疗机构安全保卫工作,非常有必要设立安全检查环节,以便于及时发现潜在的问题以及漏洞,对出现的各种问题与不足进行分析、研究,积极采取相应的整改措施,消除隐患,进而保证安全。安全检查工作必须要做到位:无论是平时还是节假日都要检查;无论是白天还是晚上都要检查;无论是领导还是工作人员都要检查,将普查与重点检查结合起来,进行全方位、多层次的检查,以确保安全保卫工作的稳定开展。
第三,落实安全保卫制度。根据公安机关的要求,结合安全保卫部门的实际情况,制定出科学、有效的安全保卫制度。值得注意的是,安全保卫制度要规范化、标准化,并且一定是要从医疗机构自身的特点出发,制定出一系列的各项规章制度,将其装订成册,公示出来,下发给各个部门,使全体的工作人员都能相互监督,使得安全保卫工作能够有章可循,有法可依,使得全体工作人员的行为更加规范,工作更有秩序。
3.总结
就目前医疗机构的现状以及未来发展趋势来看,安全保卫工作不容削减,只能加强,我们在加强安全保卫工作的同时,还要时刻关注社会形势的变化方向,及时调整管理方向与结构,使得安全保卫工作具有科学性、规范性、标准型以及长期性,以确保医疗事业的安全进行。
参考文献:
[1]钱敏才、马琼芳、季红英.构建医院安全文化的探索和实践[J].医院管理论坛,2010,(01).
安全保卫管理范文第4篇
公文是文书档案的前身,文书档案由公文转化而来。可以说公文制发的怎样,不仅仅决定公文本身的质量,同时,也影响日后档案的质量,决定了档案工作规范化、标准化的质量问题。因此,我们在公文制发中必须要注意解决好规范化、标准化问题,以提高档案实体质量,为档案工作实施规范化、标准化管理打下牢固的工作基础。首先公文用纸质量要好,幅面尺寸规格要统一、规范、标准,符合国家的有关规定。排版形式为横写横排,左侧装订。二要注意检查制发公文是否履行了签发手续,是否符合审批权限,公文标题是否准确,主送单位和抄送单位准不准,落款是否与公文一致,有无日期等。三是公文字迹要牢固清晰。不论是草拟公文,缮印公文,还是做出的各种记录、报表、签字、批注等,都不应使用容易褪色的笔种、墨水和纸张,以保证字迹鲜明、清晰,有利于日后长久保管利用。四是使用文种要合理,拟制格式要规范,行文不要滥用简称和使用不规范的字,以利于日后标准化、现代化检索手段的实施应用。
二、实施“以我为主”的立卷归档原则是推进档案工作规范化、标准化的关键环节
相近公文的重复与立卷组合的无序是阻碍档案工作实现规范化、标准化的最大问题。实现档案工作规范化、标准化的根本目标就是要实现档案保管利用价值的最大化和案卷完整化、检索利用便捷化。而“以我为主”的立卷归档工作则是解决问题、实现目标的关键性工作。“以我为主”的立卷归档原则,即归档的文件要以本单位形成的文件为主的原则,不仅是在我国文书立卷归档工作实践中形成并坚持下来的一条原则,而且还是推进档案工作规范化、标准化,乃至现代化的一个重要原则。它要求我们在实际工作中,在严格执行国务院办公厅《不归档文件销毁办法》的基础上,要注意解决好三个问题:一是要准确把握文件立卷归档的时效性,完成现行文件阶段任务的,才能予以立卷或归档,而没有完成的,则不能立卷或归档,否则,将会给档案管理造成无序和混乱。二是明确立卷归档的重点和进行合理的立卷分工。资料室人员分工明确每个环节、每类资料都专人把关、专人管理。要在“以我为主"原则指导下确立立卷归档的重点,在实际工作中要注意区分文件与资料,特别是要注意区分在内容、形式和作用等方面都具有很多相似之处的文件资料之别,具体问题具体分析,以减少档案管理中的重复度和信息冗余度,提高档案利用的效率和效果。三是在坚持贯彻“以我为主”归档原则的前提下,要注意有效地维护全宗的完整性。在归档工作中既要掌握重点,分清主次,把住全宗的入口关,使不该归档文件不致混入,同时,又要注意防止应归档文件的散失。特别是在立卷中,要把同类并具有内在联系的文件材料组在一个卷内,保持同一问题的完整性,反映同一问题的全部处理过程及来龙去脉,从而在提高档案利用价值的同时,使立卷归档后所形成的档案既完整,又不庞杂,为档案的规范化、标准化管理奠定坚实的工作基础。
三、提高案卷质量是推进档案工作规范化、标准化的可靠保证
不断深化的工作实践证明,案卷材料收集的是否完整是决定和影响档案价值的因素,而立卷方法问题与案卷装订质量问题则可能是决定和影响档案工作规范化、标准化的操作性因素。因此,在推进档案工作规范化、标准化的进程中,我们必须一方面要注意解决好立卷方法问题,以有利于档案标准化管理中的分类和检索,另一方面,要注意解决好案卷装订质量问题,以有利于档案规范化管理。
这就要求我们要从基础抓起,从以下几方面入手:
1.做好档案的保管期限与保密期限的区分工作
确定保管期限的原则是,正确分析和鉴别档案内容的现实作用和历史作用,根据本机关工作的需要和为国家积累历史文化财富的需要,全面确定档案的保存价值,准确地判定档案的保管期限。而保密期限是根据国家秘密事项在一定时间内,如被泄露,将对国家的安全和利益造成的危害来确定的,它表示该国家秘密事项在其确定的期限内,受国家有关保密法律、法规的保护,产生法律效力的时限。《国家秘密保密期限的规定》中规定:除有特殊规定外,绝密级事项不超过30年,机密级事项不超过20年,秘密级事项不超过10年。保密期限在一年及一年以上的以年计,在一年以内的以月计。这里所说的“特殊规定”是指制定保密范围的中央、国家机关可以规定有关保密范围中某类事项的保密期限为“长期”。对规定为“长期”的国家秘密事项,在授权机关作出解密前,其他机关、单位应当对其采取长期的保密措施,不得擅自决定解密和随意对外提供。
2.注重档案情况的变化
档案在保管过程中,其密级不是一成不变的,而是随着时间的推移和文件贯彻的情况变化的。基本变化是升密、降密、解密。其中升密是极少数的,也是暂时的;大多数的、总的趋势是降密,直至解密。其变化原因有三:一是保密范围的变化;二是密级文件作用的变化原来的密级文件指导作用与现在工作不相适应,已失去了指导作用,为此立档单位废掉了此类文件,密级自然消除了;三是保密时限的变化。原馆室所存档案文件,只标有密级而没有保密时限,多数都是超期服役。
3.做好档案密级的调整工作 要贯彻落实《保密法》以及1991年国家保密局、国家档案局联合制发的《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》的精神,在广泛宣传、提高认识、大力协调的基础上,重点解决好两个问题:一要严格执行解密划控的时间标准、有关内容标准及保密规范标准,做到有法必依,执法必严,违法必纠。二要主动接受保密部门对调密工作的监督指导,齐心协力搞好档案文件的清查鉴定。严格划清密与非密的界限,确定哪些档案能开放利用,哪些限制在一定范围内利用,哪些还不能提供利用,为今后进一步搞好规范化、标准化和档案建设奠定基础。
要建立起法制的新秩序。对档案的变化调整,不仅要立足于当前的实际工作,还要着眼于长远。历史的经验教训告诉我们,以往关于档案保密的制度还不健全,适应不了《保密法》的要求,需要完善增加新的内容。为了适应档案调密工作制度化、正规化的需要,应建立以下三个制度:1)建立划定密期制度,以便届满自行解密;2)建立调密通知单制度,对保密期间提前解密或发生升降变化的密级文件,要下发通知单告知档案馆、室,以便衔接工作,及时掌握,适时变动;3)建立档案接收标准制度,加强档案的规范化建设。
4.正确处理好档案保密与利用的关系
安全保卫管理范文第5篇
两个发展阶段
卫生监督中心信息安全等级保护工作大致经历了两个发展阶段。
启动与探索阶段(2007年~2008年):2007年12月,原卫生部组织专家组对部直属机关报送的信息安全等级保护定级情况进行了评审。卫生监督中心的卫生监督信息报告系统和卫生行政许可受理评审系统确定为第三级保护,卫生监督中心网站确定为第二级保护。卫生监督中心在了解了信息安全等级保护制度的同时,启动了信息安全等级保护相关工作。为摸清信息安全隐患,2008年卫生监督中心聘请了具有信息安全相关资质的信息安全咨询公司对等保涉及的信息系统进行了信息安全测评,并制定了相应的整改方案。由于2008年信息安全整改资金等原因,未开展相关整改工作。
发展阶段(2009年至今):本着统筹考虑、分布实施的原则,在实施部级卫生监督信息系统建设项目之初就参照等级保护有关要求规划和设计业务应用系统及其运行环境,同时积极开展等级保护备案等工作。在部级项目二期中,专项对信息安全进行加固。并每年邀请公安部信息安全等级保护评估中心,对卫生监督中心的第三级保护系统进行了安全等级测评。
截至目前,卫生监督中心共有3个信息安全等级保护第三级的信息系统,4个信息安全等级保护第二级的信息系统。
信息安全技术体系
卫生监督信息系统信息安全技术体系建设,严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。
1.物理安全
卫生监督中心现有南北两个机房,机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统,南机房部署等级保护第二级信息系统,实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求,机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段,有效地保证了机房的物理安全。
2.网络安全
主干网络链路均采用双链路连接,关键网络、安全设备均采用双机冗余方式,避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护,各网络区域之间采用防火墙进行区域隔离,在对外服务区部署了入侵检测系统,在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统,对网络行为进行监控和记录。在安全管理区部署安全管理系统,实现设备日志的统一收集及分析。
3.主机安全
所有服务器和管理终端配置了密码安全策略;禁止用户远程管理,管理用户必须进入机房通过KVM进行本地管理;所有服务器和管理终端进行了补丁更新,删除了多余账户,关闭了不必要的端口和服务;所有服务器和管理终端开启了安全审计功能;通过对数据库的安全配置,实现管理用户和特权用户的分离,并实现最小授权要求。
4.应用安全
卫生监督中心7个应用系统均完成了定级备案,并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署,保证了系统的高可用性,同时建立了安全审计功能模块,记录登录日志、业务操作日志、系统操作日志3种日志,并实现查询和审计统计功能,配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。
5.数据安全及备份恢复
卫生监督信息报告系统数据库服务器使用了双机热备,应用服务器采用多机负载均衡,每天本地备份,保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份,无论是软件还是硬件问题,都可以及时准确地进行恢复并正常提供服务。同时,卫生监督中心在云南建立了异地数据备份中心,每天进行增量备份,每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试,保证备份的有效性。
信息安全管理体系
在开展信息安全等级保护工作中,我们深刻体会到,信息安全工作“三分靠技术,七分靠管理”。为保证信息安全等级保护工作顺利进行,参考ISO/IEC 27001《信息安全管理体系要求》,卫生监督中心建立了符合实际工作情况的信息安全管理制度体系,明确了“统一领导,技管并重;预防为主,责权分明;重点防护,适度安全”的安全方针,涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。
卫生监督中心建立了较为完善的信息安全责任制,设立了信息安全领导小组,领导小组组长由卫生监督中心主任担任,成员由卫生监督中心有关处室负责人组成,信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位,分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员,并建立了信息安全岗位责任制度。
此外,卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订,确保信息安全工作落到实处。
信息安全运维体系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等级保护有关要求指导信息安全运维实践。
卫生监督中心结合实际情况,编制了《部级卫生监督信息系统运行维护工作规范》,从运行维护流程、资源管理和环境管理三个方面进行了规范,将安全运维理念落到实处。
运维人员在实际工作中,严格按照工作规范要求。利用卫生监督中心OA系统,建立了统一的服务台,实现了事件、问题的全流程闭环管理(即:发现问题、登记问题、解决问题、解决反馈、解决确认)。年均处理信息安全事件近百件,将信息安全问题消灭在萌芽阶段,有效地保证了信息系统稳定运行,保证了卫生监督中心信息安全目标和方针的实现。
信息安全等级保护实践经验
1.规范管理,细化流程
卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设,为部级卫生监督信息系统运维管理工作中安全管理提供了重要指导。
部级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验,不仅合理调配了运维管理人员,落实了运维管理组织机构和岗位职责,而且细化了运维管理流程,形成了“二级三线”的运维处理机制。
2.循序渐进,持续完善
