信息安全整改方案范文精选

为了认真贯彻落实国家《信息安全等级保护管理办法》和公安部《公安机关信息安全等级保护检查工作规范》，以及国家发改委、公安部、国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神，进一步加强信息安全等级保护管理工作的监督、检查、指导，确保国庆周年庆典活动顺利进行，按照省信息安全等级保护工作协调小组的统一部署，市重要信息系统等级保护工作小组决定于年8月中旬至12月底，在全市范围内组织“迎国庆、保稳定，深入开展全市重要信息系统安全等级保护管理专项活动”。具体方案如下：

一、工作目标

通过深入开展此次专项活动，确保全市重要信息系统能够全面进行准确定级和审核备案；全面组织等级测评和风险评估；全面开展监督检查和建设整改；全面落实管理制度和安全责任，努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标，不断提高重要信息系统安全防范能力和应急处置能力，为建国周年庆典活动创造一个良好的网络环境。

二、工作任务

（一）全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级，对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统，凡符合上级国家机关、企事业单位安全保护等级的，可不再重新定级和审核备案，否则均要重新定级和审核备案；对于尚未定级和审核备案的系统，都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中，安全保护等级确定为一级的信息系统，公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统，各信息系统运营使用单位要在公安机关办理审核备案手续，填写《信息安全等级保护备案表》，实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。

（二）全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求，全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上（其他尚未开展初次测评的系统应于年上半年完成）。

（三）全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等，全面组织开展安全等级保护监督检查和限期整改工作，其监督检查率应达到100%，限期整改率应达到80%以上。其他被定为二级（含二级）以下的信息系统，可由信息系统运营使用单位进行自查和整改。

三、工作步骤

【 摘 要 】 文章针对广州强力安全部门网络安全系统防护提出的一种网络安全系统设计构架；对其中的网络安全体系结构设计与实现进行了详细的分析；提出了安全体系结构模型和管理执行策略模型，并详述了其设计过程。把安全体系结构、安全策略管理的实现和网络安全的实现机制有机地结合在一起。

【 关键词 】 等级保护；信息系统；安全设计；安全实现

0 引言

强力安全部门等级化保护注重信息产品的安全性能和系统运行状态安全检测、评估和定级，更重要的是等级化保护是围绕信息系统安全保障全过程的一项基础性工作，是保障和促进信息化建设健康发展的一项基本制度。对于即将投入建设的信息系统，通过将等级化保护方法和安全体系方法有效结合，设计一套满足信息系统安全需要的体系方案，是系统化解决信息系统安全的一个非常有效方法。

1 设计基础

等级保护测评针对的是已经建设完成且运行中的系统。许多系统建设单位对系统建设中的信息安全不够重视或设计思路不佳，导致建设完成的系统存在“先天不足”。通过实施等级保护评测，评估信息系统和相应的安全等级保护标准的差距和所面临的安全风险。根据评测结果对系统进行技术类、管理类全方位整改，提高信息系统的安全性，达到国家和国际等级保护要求。然而，系统从上线运行至整改完成的一段时间内，长期暴露于安全缺陷的危险之中，而且用户并不知晓，使信息系统在一段时间内面临着极大的风险。针对这一问题，若信息系统在建设前先进行评估定级，依据该等级保护级别的标准指导系统建设，系统建设完成后便与国家信息安全技术标准要求“零差距”。与目前信息系统相比，上线运行时就不存在安全缺陷，有效地规避系统整改前所面临的风险。

在信息系统建设中，如何设计和实施一个安全、稳定可靠同时又兼顾成本的架构是至关重要的事。关于系统质量与成本的关系，业界有一个著名的“1:10:100”成本法则，即假设信息系统在建设初期设计时发现一项缺陷并加以弥补，仅需1元钱；如果此缺陷在系统建设中被发现，需要10元钱代价来弥补；如果此缺陷在系统上线后在运行中被发现近，则需要花费100倍甚至上千倍的代价来弥补。这个观点不难理解，根据经验，对运行中的信息系统进行整改不仅需要极大的成本支撑，甚至难以实现。如物理安全整改，涉及机房环境等基础设施的改造时，“伤筋动骨”且实施难度巨大；应用安全整改，在线的应用系统已经开发成型，如果涉及应用软件功能模块的增添或底层协议接口的改变，即便开发商支持，也将面临系统停运等重大影响和损失。如果信息系统的设计和建设始终参照等级保护标准，经过科学的安全设计和实施，信息系统建设完成后便足够“优秀”，不仅避免了目前信息系统普遍面临的安全整改难题，而且节约成本，是投资资本效能最大化。更重要的是，系统上线即达到等级保护标准技术要求，同时降低和消除了可能发生在物理、网络、应用和数据传输层面的安全威胁，从安全管理层面也大大降低了系统内部的脆弱性。如此一来，信息系统整体安全保障在设计、建设中逐一体现，良好的设计铸就了安全。

2 方案总体设计

摘要：

随着信息安全等级保护工作的不断深化，已延伸到医疗卫生行业。卫计委要求三级医院核心业务系统定级不低于第三级。本文结合医院实际，介绍了医院信息安全等级保护工作的建设，阐明了信息系统的定级、备案、整改、测评四个实施步骤，以供大家探讨。

关键词：

医院信息安全；等级保护工作；等级测评

一、引言

随着我国信息化建设的快速发展与广泛应用，信息安全的重要性愈发突出。在国家重视信息安全的大背景下，推出了信息安全等级保护制度。为统一管理规范和技术标准，公安部等四部委联合了《信息安全等级保护管理办法》（公通字[2007]43号）。随着等级保护工作的深入开展，原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》（卫办发[2011]85号），进一步规范和指导了我国医疗卫生行业信息安全等级保护工作，并对三级甲等医院核心业务信息系统的安全等级作了要求，原则上不低于第三级。从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分，并按等级对信息安全事件响应[1]。

二、医院信息安全等级保护工作实施步骤

2.1定级与备案[2]。

【关键词】医院 电子档案管理 问题 措施

医院电子档案管理是当前我国电子档案管理工作中的关键技术。利用电子信息技术处理技术对医院内部工作人员和病人的档案进行集中电子化管理，改善了传统纸质档案管理工作的复杂性。也进一步的降低了医院档案管理中的不安全性。在其查阅和传递过程中更加节省了工作时间，提高了整体工作效率。由此能够看出，当前我国医院电子档案管理工作存在诸多好处。但是，在其管理过程中也存在管理问题，例如在其管理意识和管理安全性上均有不同程度的弊端。因此，需要进一步对其弊端分析，研究解决措施，才能够使我国医院电子档案管理工作系统、安全、有效的开展。

1 医院电子档案管理问题

1.1 医院内部人员电子档案管理意识不足

虽然当前我国医院内部普遍开始应用电子档案管理的工作，但是其员工还是存在管理意识不足的现象。其管理意识不足主要表现在员工不能够明确电子档案管理工作的内容及其重要性。根据中国数据统计网站中对医院电子档案管理应用比例进行调查，其应用普遍性高达90.23%。但是，进一步对其内部员工进行电子档案管理工作内容调查，其中有70%的员工不能够明确的将工作内容进行叙述，且认为电子档案管理工作是医院内部专业档案管理人员的工作，与个人无关。正是由于员工电子档案管理意识不足，才导致在推广和应用电子档案的工程中出现操作漏洞和安全漏洞。

1.2 电子档案管理技术的安全性不足

医院电子档案管理技术的安全性不足主要表现在其电子档案管理系统安全性和技术安全性两方面。其中在电子档案管理系统安全性上受到传统档案管理安全系统观念的影响。当前我国医院电子档案管理安全系统主要采用的是内部员工账户进入的方式。该种安全系统不能够保障电子档案在内部员工之间的安全性。而在其安全技术上仍然采用的是密码安全管理的方式，对整个医院电子档案管理系统的安全性进行保障。该种安全技术手段缺少针对性和保密性，在电子档案传递和借阅的过程中容易产生信息泄露的问题。因此，当前我国医院电子档案管理技术安全性不足。

1.3 电子档案储存完整性和长久性缺失

【摘要】安全管理信息系统是现代化安全管理中，安全信息综合处理的枢纽，是安全信息管理、安全决策的关键。通过建立以安技部门为信息处理中心、各危险岗位和各专业部门为终端的安全管理信息系统网络，从而由安全信息反馈来推进对隐患的不断检查、整改和监控，形成闭环管理，力求把安全管理从传统的事后追踪变为事前的预防控制，使安全管理工作逐步走向科学化、系统化和规范化，对提高目前安全管理水平具有实际意义。

【关键词】安全管理管理信息系统危险源辨识 AModernMethodforSafetyManagement——theSafetyManagementInformationSystem

WangJingyuZhangJinglinGuoYanli

NorthChinaInstituteofTechnology

AbstractAnewinformationsystemnetworkforsafetymanagementisestablishedtakingsafetydepartmentastheinformationprocessingcentreandindividualriskpostandspecialsectionasterminalstofromaclosedloopofthesafetymanagement.Inthisway,thesafetyinspection,andrectificationandreformcouldbecarriedoutuninterruptedly.

Keywords：SafetymanagementManagementinformationsystemRecognitionofrisksources

1前言

进入90年代，安全管理在企业中，越来越受到重视。在发达国家，各种现代化的安全管理方法应用得很普遍。由于他们的生产设备自动化程度很高，其安全管理多包含在整个企业管理系统之内。而在国内的一些企业，安全管理的方法多停留在宣传、教育、定期安全检查的水平上，并且多是在发生事故后才着手进行分析。这些管理手段落后、被动、反应慢，很难适应现代安全生产的要求。因此，迫切需要建立自己的、适合我国现有生产条件的安全管理方法。据此，笔者研制了安全管理信息系统，力求把安全管理从传统的事后追踪变为事前预防控制。

摘要：网络环境下，对排水档案信息的服务安全提出了新的要求，各排水相关单位应全面做好安全工作，从网络环境安全到信息存储和使用的安全，以及工作人员的安全工作意识。本文便就网络环境下，保证排水档案信息服务安全提出了几点建议。

关键词：网络环境；排水档案信息；工作流安全体系

中图分类号：C270．7 文献标识码：A 文章编号：1001-828X（2012）07-0-01

网络时代的到来，使得各行业的工作方式发生了根本变化。对于排水行业而言，对排水信息的日常归档和管理也已主要借助计算机来完成。网络环境的运行，对排水档案信息的整理、细化和储存，都带来了极大的方便，但凡事都具有两面性，在方便排水档案工作的同时，也对档案信息的安全服务提出了更高的考验。如何使网络环境下的排水档案信息更安全地服务于经济社会的发展以及生态环境的保护呢？

一、保证网络环境和硬件设施的安全

网络环境和硬件设施是排水档案信息存在的依附体。只有保证二者的安全，才能保证排水档案信息的安全。环境安全主要是指计算机等网络设施存放环境的安全，能确保网络资源的信号畅通，并处于良性运转状态。硬件设施安全是指计算机的各个部分都能正常使用，不会因故障而导致排水档案信息无法正常查找和使用。

二、保证网络资源的全面建设和安全管理

为保证排水信息能更有效地进行管理，并能在需要时随时查找到，可在排水行业内部根据区域或者单位建立起局域网，使局域范围内的排水档案信息实现资源共享，能在出现任何排水问题需要档案信息调度时，可以通过局域网站内部的查找，及时地拿到需要的资料，并尽快解决问题。局域网不仅可以极大方便工作，而且能通过信息输送，及时保证排水系统的安全隐患得到排查，保证一个城市或区域的用水安全，并能在洪涝灾害等特殊情况下，保证城市或一个区域的整体安全。局域网建好后，还应注意随时维护，并加强对网络资源的管理，能及时更改新的排水系统信息，及时行业内的最新动态，以利于相关工作人员的工作开展，利于整个行业工作的正常有序运作。同时，还应注意警惕病毒的入侵，防范恶意更改，加强对排水档案信息的安全管理。

1电子档案信息的特点及存在的风险

1.1对软硬件系统的依赖性

电子文件是按照确定的某种标准规则，记录在特定载体上的编码信息集合，需要特定的软硬件系统环境才能翻译阅读。脱离了这种特定环境，就根本无法看到电子文件的存在和记录的信息内容，所以电子文件对产生的标准规则及软硬件系统环境有极强的依赖性。随着信息技术的发展，原标准规则及计算机软硬件技术发展更新，就有可能导致原有电子档案信息无法读识。电子档案信息对软硬件系统的过度依赖性给今后的安全问题带来了很大的困难。

1.2存储的高密度性

电子信息的发展和数量，呈几何倍数增涨，海量的数据需要大容量的存储介质，随着记录技术的快速发展，数字信息由早期的纸带打孔到后来的磁带、磁盘再到现在的光盘等，存储密度不断提高。目前一块硬盘容量已达数个TB，一张蓝光光盘通过纳米级波长的蓝光激光光源及多层记录技术的应用，可以记录数百GB数据。光盘上构成0和1数据刻痕直径小于0.15μm，1张光盘可存数百万张打印在纸上的文字信息。电子档案的高密度，一方面对节约空间、拓展应用带来有利条件，另一方面却对电子档案的保护提出了严格的要求，任何一个小的失误或一条轻微的划痕都有可能导致数量巨大的档案信息遭到破坏。

1.3信息与载体之间的可分离性

传统档案是固化在某种载体上，不能分离，称之为档案实体，有明显的原始性特征，不易被复制加工。而电子档案，虽然依赖于软硬环境，但按一定的规则可以非常轻易地被复制、更改，传输，可以做到迅速而不留任何痕迹。因此电子档案的原始性、真实性、凭证作用就受到威胁和质疑。这种信息与载体之间的可分离性，给电子档案信息的安全提出了前所未有的挑战，档案管理人员不仅要保护电子档案实体不受破坏，同时也要保护信息内容不被人为篡改。

2档案信息的保护目标

[摘 要]随着科学技术的飞速发展，人类社会进入了信息时代，数字化、网络化作为信息时代的主要特征，给社会发展的各个领域带来了深刻的影响，档案信息化管理势在必行。本文分析了档案信息化的定义，档案信息化管理的必要性，阐述了档案信息化面临的主要问题，并提出了相应的策略。

[关键词]档案信息化；高校档案管理；电子档案

由于社会信息化的发展，社会对档案信息资源的需求日益增长，利用方式也发生着巨大变化。如何满足社会需求、提供有效的档案信息服务，加快档案信息化建设的步伐是必由之路。

一、档案信息化概述

档案信息化就是在档案管理活动中全面应用现代信息、网络技术，对档案信息资源进行配置、管理、开发和提供利用服务的过程。具体地讲，就是依托现代数据库技术，网络技术等信息技术原理，采用计算机、扫描仪等信息设备，按照一定的技术标准和规范对档案文献进行加工、整理，使之以数字化的形式有效地组织起来，并且能够方便、有效地提供给人们利用的过程。

档案信息化可以从以下几方面理解：一要实现档案信息的数字化；二要实现档案信息接收、传递、存储和提供利用的一体化；三要实现档案信息资源的共享；四要引发档案管理模式的变革。

二、高校档案管理的作用与档案信息化管理的必要性

（一）高校档案管理的作用

【摘要】伴随着社会的不断发展，各个行业所形成的档案也在不断增多，同时档案本身的使用价值也在不断提高。为了更好的确保档案信息的使用效率，电子档案开放利用逐渐成为档案管理的常态，但是因为开放性特点，信息安全问题显得越加明显。对此，本文详细分析电子档案开放利用中信息安全保障存在的问题与对策。

【关键词】电子档案；开放利用；信息安全保障；问题与对策

引言

电子档案是一种基于数字化技术所建立的一种信息管理平台，在档案管理工作中应用数字化的技术与平台，不仅可以提高信息数据的使用效率，还可以让档案管理本身更加安全、有效。因为档案开放利用的现象，许多档案的查询便利性得到提升，但是其安全保障也遭受了一定的影响。对此，探讨电子档案开放利用中信息安全保障存在的问题与对策具备显著意义。

1电子档案开放利用中信息安全保障存在的问题

1.1电子档案信息安全问题

网络安全是电子档案信息安全的基本前提和保障，基于网络的电子档案信息安全管理的要求前提必然是网络本身的安全性，电子档案的信息安全可以从以下三个方面实现直接体现：①电子档案信息的长效性，数字档案对于网络的依赖性较为明显，如果网络发生故障，则电子档案内的信息也会随之遭受影响，想要确保电子档案信息的长效性，就务必提升网络的维护力度以及安全程度[1]；②电子档案的完整性。电子档案的信息主要是储存在网络当中，所以在遭受病毒和黑客攻击的情况下，会导致电子档案内的信息完整性遭受破坏，出现被篡改、删除的安全问题；③电子档案信息的真实性。电子档案在开放利用的过程中遭受篡改的可能性较高，因为任何的档案使用者都有可能按照自身的思维去改变和决定档案当中的信息内容，这也是开放性利用的环境下电子档案信息安全的主要问题。

1.2影响电子档案信息安全的主要因素

1档案管理工作者信息安全素质现状

1.1信息化管理意识淡薄。科技的飞速发展，带来的是计算机、网络技术的普及。现如今，网络技术已经被广泛应用到档案管理领域，这几乎从根本上改变了传统的档案管理方法和手段，过去单一的纸质档案管理模式，逐步地演变成纸质档案管理和电子档案管理齐头并进的管理模式，其中网络化管理方向发展明显，但是档案管理者的工作意识及思想观念依旧很落后，认为现代信息设备只是传统管理方式的小补充，传统的管理模式依然存在。很多的档案工作者信息化意识淡薄或者认识较浅，并没有认识到电子文件已经成为我国重要的战略信息资源，甚至意识不到网络环境下档案信息网络安全的重要性和迫切性。若在具体的工作中遇到网络信息安全风险时，大多数的档案管理者表现出的是无所适从，对于网络信息安全风险的预防、发现和应对没有一点儿经验可谈，档案管理工作者整体缺乏必要的信息化管理意识。

1.2信息化管理专业基础知识较薄弱。信息技术的日新月异，在客观上要求档案管理工作者要及时地更新自己的技能方法，以免被淘汰。现在的档案管理工作者本身只是一群具备基本档案管理知识的人群，他们不能等同于信息技术专业人员，而且自身缺乏必要的信息安全意识，大部分的档案管理者几乎意识不到自己在信息安全技能上存在的问题。现实的环境中强制性的专业水平提升制度极度缺乏，定期的培训机制严重匮乏，档案管理者的信息安全能力和实际的工作要求处于脱节状态。整个档案信息管理队伍呈现出年轻的档案管理者缺乏档案管理知识、老的档案管理者虽掌握了档案管理知识却对信息技术能力毫无培养的状态，甚至很多具备档案管理知识和信息安全能力的年轻档案管理者，会因待遇、职称、工作前景等问题改行，使得整体信息技术水平偏低的档案部门更加缺乏掌握信息技术的人才。

1.3信息化管理制度不够健全。当下，我国对档案管理工作者的准入制度（档案管理工作者从业资格制度等）并未展开全面的实施，对新进档案管理工作者的计算机能力、信息安全素质等方面的基本素质如何，几乎一无所知，各级档案部门选拔培养档案干部时缺乏明显的专业指向性，只是依靠主管机关、主管领导对调入人员各项素质要求的掌握。那些从事档案管理工作时间较长的老同志，他们的现代信息技术能力严重缺乏，其信息安全素质低下。同时，有关信息安全技能方面的考核内容，在档案工作者技术职级晋升的各项考试中体现并不明显，部分人事管理部门缺乏提高和激发档案工作者自身信息安全素质的主动性和激励机制。

2提高档案工作者信息安全素质的对策

2.1加强对档案管理工作者敏锐感和责任感的培养。在现今网络技术环境下，传统的纸质档案已经逐步地被各种新领域、新门类、新载体档案部分掩盖，档案管理工作者原本的素质已经不能满足当下工作的实际需要。在实际的档案管理工作中，工作人员要认识到档案事业向前发展的不可逆转性和必要性，作为从事基础性档案管理工作的人员需要认识到这一点，学会将工作的着力点延伸到未来，坚持“以服务促管理，以管理完善服务”的原则。

2.2加强档案管理专业技能培训的力度。从根本上加强对全体档案管理工作者信息安全素质教育的培训力度，可以从档案管理知识和信息安全技术能力两个方面着手培训，即分别根据档案管理知识和信息安全技术能力的不同进行相关的专业技能培训。与此同时，还要按照档案管理工作者在工作岗位、工作职责、承担任务上的差异展开具体的培训事宜，培训的差异主要体现在培训时间、培训内容和考核方式与内容上面。档案管理工作者对信息安全技术的掌握并不是最终目的，是要以这些为工作手段，最终提高我国整体的信息档案管理质量。

2.3进一步完善档案信息管理制度。现在，我国的档案信息管理制度处于基础阶段，颁布的涉及信息安全的标准和规定中，几乎没有直接和档案管理工作者信息安全素质要求相关的内容，现实工作中遇到的实际问题得不到针对性和规范性的解决，因此我国档案管理工作者信息安全素质现状无法从根本上得到改变。现在根据我国档案信息管理制度的现状，完善和健全档案信息安全的标准和规定，以及完善档案管理工作者的准入制度是很有必要的，同时还要根据我国档案管理工作的实际情况，为档案管理队伍选拔一批具有较高综合信息素质水平的人员。在档案工作者专业技术职务调整的政策规定中，纳入信息素质考核的内容，各级职称考试当中必须要包括信息安全素质方面的内容，这样对档案管理工作者学习档案信息管理内容的积极性和主动性，会起到一个很好的引导和监督。