2020年度信息安全持續(xù)改進(jìn)報(bào)告1、終端機(jī)的操作系統(tǒng)和應(yīng)用軟件更新不及時(shí)，存在安全漏洞，容易被黑客攻擊。2、終端機(jī)的殺毒軟件和防火墻設(shè)置不完善，無(wú)法有效防范病毒和網(wǎng)絡(luò)攻擊。二、制定計(jì)劃（O）（一）管理層面1、建立信息安全崗、服務(wù)器管理崗、系統(tǒng)管理崗等崗位區(qū)分，明確職責(zé)，加強(qiáng)分工合作，提高信息安全監(jiān)管效果。2、制定介質(zhì)管理制度，規(guī)范員工在工作中的數(shù)據(jù)交換行為，防止數(shù)據(jù)泄露和病毒傳播。3、加強(qiáng)信息安全培訓(xùn)教育，提高員工信息安全意識(shí)和技能。4、制定信息安全應(yīng)急預(yù)案，建立應(yīng)急響應(yīng)機(jī)制，提高員工應(yīng)對(duì)突發(fā)事件的能力。（二）信息系統(tǒng)物理環(huán)境層面1、對(duì)機(jī)房進(jìn)行改造升級(jí)，增加空間、完善監(jiān)控、UPS、消防等設(shè)施，滿足信息系統(tǒng)快速增長(zhǎng)的需求。2、對(duì)弱電井進(jìn)行改造升級(jí)，實(shí)現(xiàn)強(qiáng)電弱電分離，增加電源容量，規(guī)范線路布局，防止火災(zāi)和網(wǎng)絡(luò)環(huán)路。3、對(duì)辦公室終端進(jìn)行線路整理和電源改造，規(guī)范供電方式，消除火災(zāi)隱患。（三）終端機(jī)運(yùn)行環(huán)境方面1、制定終端機(jī)操作系統(tǒng)和應(yīng)用軟件更新計(jì)劃，及時(shí)更新補(bǔ)丁，修補(bǔ)安全漏洞。2、加強(qiáng)終端機(jī)殺毒軟件和防火墻設(shè)置，提高系統(tǒng)安全性。三、執(zhí)行計(jì)劃（C）（一）管理層面1、落實(shí)崗位職責(zé)，加強(qiáng)分工合作，提高信息安全監(jiān)管效果。2、制定介質(zhì)管理制度，加強(qiáng)員工培訓(xùn)，規(guī)范數(shù)據(jù)交換行為。3、組織信息安全應(yīng)急演練，提高員工應(yīng)對(duì)突發(fā)事件的能力。（二）信息系統(tǒng)物理環(huán)境層面1、對(duì)機(jī)房進(jìn)行改造升級(jí)，增加空間、完善監(jiān)控、UPS、消防等設(shè)施。2、對(duì)弱電井進(jìn)行改造升級(jí)，實(shí)現(xiàn)強(qiáng)電弱電分離，增加電源容量，規(guī)范線路布局。3、對(duì)辦公室終端進(jìn)行線路整理和電源改造，消除火災(zāi)隱患。（三）終端機(jī)運(yùn)行環(huán)境方面1、制定終端機(jī)操作系統(tǒng)和應(yīng)用軟件更新計(jì)劃，及時(shí)更新補(bǔ)丁，修補(bǔ)安全漏洞。2、加強(qiáng)終端機(jī)殺毒軟件和防火墻設(shè)置，提高系統(tǒng)安全性。四、檢查和評(píng)價(jià)（S）（一）管理層面1、定期檢查制度執(zhí)行情況，及時(shí)發(fā)現(xiàn)和糾正問(wèn)題。2、加強(qiáng)員工培訓(xùn)和應(yīng)急演練，提高員工信息安全意識(shí)和技能。（二）信息系統(tǒng)物理環(huán)境層面1、定期檢查機(jī)房、弱電井和辦公室終端的安全狀況，及時(shí)發(fā)現(xiàn)和糾正問(wèn)題。2、加強(qiáng)設(shè)備維護(hù)和管理，保障系統(tǒng)安全穩(wěn)定運(yùn)行。（三）終端機(jī)運(yùn)行環(huán)境方面1、定期檢查終端機(jī)的安全狀況，及時(shí)更新補(bǔ)丁和殺毒軟件。2、加強(qiáng)終端機(jī)的維護(hù)和管理，提高系統(tǒng)安全性和穩(wěn)定性。總之，中心將持續(xù)改進(jìn)網(wǎng)絡(luò)信息安全管理工作，加強(qiáng)監(jiān)管和培訓(xùn)，提高員工信息安全意識(shí)和技能，保障中心網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。1.目前防病毒、防入侵軟件授權(quán)數(shù)量有限，無(wú)法全面鋪開(kāi)，導(dǎo)致臨床終端上的殺毒軟件病毒庫(kù)不是最新的，防病毒、防入侵能力低。2.內(nèi)外網(wǎng)分離導(dǎo)致臨床終端電腦無(wú)法及時(shí)打補(bǔ)丁，存在安全漏洞。3.辦公電腦存在防火墻關(guān)閉，共享文件端口打開(kāi)，存在安全隱患。4.辦公終端電腦沒(méi)有部署介質(zhì)訪問(wèn)策略，無(wú)法辨別合法與非法的移動(dòng)介質(zhì)。5.辦公終端電腦沒(méi)有安裝防數(shù)據(jù)泄露軟件，無(wú)法有效防止數(shù)據(jù)的泄露。人員方面：1.信息安全意識(shí)淡薄。2.電腦沒(méi)有設(shè)置開(kāi)機(jī)密碼，無(wú)屏保密碼，下班離開(kāi)后電腦不關(guān)機(jī)。3.存在私自搭建WIFI情況。4.私自安裝未經(jīng)允許的軟件。成立改進(jìn)小組：謝XX：統(tǒng)籌規(guī)劃、組織會(huì)議、人員分工。邢XX：策劃執(zhí)行、標(biāo)準(zhǔn)化流程。孫XX：現(xiàn)狀調(diào)查、數(shù)據(jù)收集、結(jié)果分析、持續(xù)改進(jìn)。趙XX：實(shí)施和監(jiān)控。明確流程和規(guī)范：1.根據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)。2.評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)中心造成的影響。3.分類(lèi)列出可能的風(fēng)險(xiǎn)點(diǎn)和風(fēng)險(xiǎn)要素，制定相應(yīng)的安全需求和措施。4.制定應(yīng)急預(yù)案，并定期演練。根本原因分析：根據(jù)GB/T1.1-2009《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，結(jié)合我中心實(shí)際網(wǎng)絡(luò)信息系統(tǒng)環(huán)境，欲提升我中心網(wǎng)絡(luò)信息系統(tǒng)安全健壯性，需從以下幾個(gè)方面著手：1.加強(qiáng)網(wǎng)絡(luò)安全管理，建立信息安全管理制度。2.完善網(wǎng)絡(luò)安全技術(shù)措施，包括防火墻、入侵檢測(cè)、數(shù)據(jù)加密等。3.加強(qiáng)對(duì)信息安全人員的培訓(xùn)和管理，提高信息安全意識(shí)和能力。方案選擇：1.成立信息安全領(lǐng)導(dǎo)小組，明確小組成員工作職責(zé)。2.制定相關(guān)制度，從管理層面落實(shí)信息安全。3.做好信息安全應(yīng)急演練。4.機(jī)房搬遷。5.弱電井改造。6.終端線路整改。7.在上線部署防病毒、防入侵系統(tǒng)和防數(shù)據(jù)泄露系統(tǒng)方面，可以有效提高信息安全水平。8.實(shí)施全中心統(tǒng)一共享文件服務(wù)器，可以杜絕科室自建共享文件夾，進(jìn)一步加強(qiáng)信息安全。9.做好員工信息安全培訓(xùn)，提高員工安全意識(shí)，規(guī)范員工操作，對(duì)于信息安全的保障也有著重要的作用。六、計(jì)劃階段（P）信息安全整改任務(wù)分解表詳見(jiàn)附件一。七、實(shí)施階段（D）1.在管理層面，中心黨委會(huì)通過(guò)《信息安全崗位與職責(zé)規(guī)定》和《介質(zhì)管理制度》，并開(kāi)始執(zhí)行。2.在主干網(wǎng)絡(luò)方面，信息科實(shí)施計(jì)劃新機(jī)房搬遷，并成功完成。3.在接入層方面，信息科聯(lián)合后勤保障科制定工作區(qū)強(qiáng)弱電線路改造計(jì)劃，并完成工作區(qū)線路的整改。4.在操作系統(tǒng)方面，信息科采購(gòu)了防病毒、防入侵系統(tǒng)，并實(shí)現(xiàn)了補(bǔ)丁的及時(shí)更新、病毒庫(kù)的在線升級(jí)和介質(zhì)的管理，同時(shí)對(duì)操作系統(tǒng)的防火墻打開(kāi)，關(guān)閉不必要的共享端口。5.在人員方面，中心組織全中心工作人員參與信息安全講座，并督導(dǎo)全中心制作自己科室的信息系統(tǒng)故障應(yīng)急演練。八、檢查階段（C）各項(xiàng)安全措施都是有效的、防范和降低了信息安全事件的發(fā)生。但有些措施（如：完全的內(nèi)外網(wǎng)隔離，445端口的關(guān)閉，全中心應(yīng)急演練的知曉率）由于種種原因，未能如期完成。九、鞏固成績(jī)，形成標(biāo)準(zhǔn)化（A）（一）分析總結(jié)1.中心制定和完善了一批安全管理制度，以規(guī)范在信息安全方面的操作。2.通過(guò)信息系統(tǒng)故障應(yīng)急演練，提高了員工的信息安全意識(shí)，但仍有部分員工不熟悉。3.新機(jī)房的搬遷實(shí)現(xiàn)了未來(lái)10年信息化增長(zhǎng)的服務(wù)器需求。4.弱電井的改造提高了匯聚層交換機(jī)的抗風(fēng)險(xiǎn)能力，但由于物理環(huán)境的制約，有些弱電井可擴(kuò)展性不高。5.防病毒和防入侵系統(tǒng)的上線提高了終端抗病毒的能力，但占用了系統(tǒng)資源，降低了臨床終端工作站的使