中国疾病预防控制信息系统网络安全管理指南1.1 总则(1)为加强中国疾病预防控制信息系统网络(以下简称“中国疾控信息网”)的安全管理工作,根据国家信息安全的相关法律和法规,结合中国疾控信息网建设和运行的实际情况,制定本管理指南。(2)中国疾控信息网是指由中国疾病预防控制中心统一规划,以中国疾病预防控制中心为中心节点,专用于中国疾病预防控制信息系统使用的裸光纤、数字电路(SDH)、虚拟专网(VPN)等与互联网隔离(含逻辑隔离)的计算机信息网络的总称。(3)中国疾控信息网由国家-省(直属单位、挂靠单位)间网络和省级及省级以下网络两部分组成。本指南适用于各级各类建设、运维、接入和管理中国疾控信息网的单位(以下简称“接入单位”)。包括使用中国疾病预防控制中心相关重要信息系统的各省级疾病预防控制中心及中国疾病预防控制中心直属各单位、相关挂靠单位等接入单位。(4)中国疾控信息网遵循“统一规划、分级建设、协同运营”的原则,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,分级管理、责任到人。各级疾控信息网接入单位负责本级(本单位)疾控信息网安全管理工作。(5)省级及省级以下中国疾控信息网接入单位的中国疾控信息网管理,可由省级疾病预防控制中心根据本地区特点,遵照本指南制定本地区相关管理办法报中国疾病预防控制中心审核后执行,并在实际运行中不断完善。(6)在中国疾控信息网上运行的各业务应用系统的运维和管理部门参照本指南的相关条款另行制订专门的信息系统安全管理办法并执行。(7)各级中国疾控信息网接入单位在进行中数拆掘国疾控信息网规划、设计和建设时应同步做好安全保障,并落实好运行维护管理中的安全检查、等级测评和风险评估等经费。(8)任何单位和个人,不得利用中国疾控信息网从事危害国家利益、集体利益和公民合法权益的活动,不得危害中国疾控信息网的安全。(9)国家信息系统安全等级保护第三级相关标准和要求,均适用于中国疾控信息网的管理,并以国家标准为准。1.2机构与职责(1)中国疾控信息网安全管理工作实行领导负责制,各中国疾控信息网接入单位应落实一名主要领导负责网络安全工作。(2)中国疾病预防控制中心是中国疾控信息网的主管部门,负责中国疾控信息网的规划建设、技术支持指导和组织协调等工作。主要职责包括:①贯彻执行国家信息安全的相关法律和法御塌规,指导、协调和规范中国疾控信息网安全工作;②组织制定和修订中国疾控信息网安全总体规划、IP地址规划、安全策略、标准规范和各项管理制度;③接受上级网络安全主管部门指导,向有关部门报告中国疾控信息网网络安全重大事件;④组薯核织中国疾控信息网信息安全等级保护工作,组织开展信息安全自查、检查和风险评估,对全网安全运行状况进行分析、研判和通报;⑤负责国家级中国疾控信息网的网络与信息安全管理工作,与省级疾病预防控制中心、直属单位、挂靠单位共同管理国家-省(直属单位、挂靠单位)间的中国疾控信息网系统;⑥制定国家级中国疾控信息网安全应急预案,组织开展应急演练;⑦组织信息安全宣传、教育和培训。 (3)各省级疾病预防控制中心根据总体规划与要求分级建设省级及省级以下各级节点的中国疾控信息网。各省级疾病预防控制中心、中心直属单位、挂靠单位等中国疾控信息网节点应设立中国疾控信息网使用管理机构和管理岗位,指定专人负责承担中国疾控信息网的设备管理、用户管理、安全管理等方面的工作。(4)省级疾病预防控制中心需根据业务应用需求,及时升级和扩容省级及省级以下中国疾控信息网,提升稳定性与兼容性,满足各级各类用户的使用需求。在升级和扩容网络系统时,应遵循全国疾病预防控制系统IP地址规划,统一部署,确保互联互通。(5)各省级疾病预防控制中心、中心直属单位、挂靠单位应根据中国疾控信息网应用需求和网络安全现状,参照本指南第十条,制定适应本地区、本单位的中国疾控信息网维护管理制度。1.3网络安全管理(1)国家-省(直属单位、挂靠单位)间中国疾控信息网执行信息安全等级保护第三级的安全要求,包括物理层、链路层、网络层、传输层、会话层、表示层和应用层。(2)各级中国疾控信息网单位都要开展网络安全监控工作,及时发现、定位、分析、控制安全事件,定期向上一级管理部门汇报网络安全状况。加强安全审计工作,审计记录的保存时间不少于3个月。(3)各级中国疾控信息网单位都要加强终端安全管理,必须安装计算机防病毒系统并及时更新补丁。业务应用系统在接入中国疾控信息网前,应按照信息安全等级保护的要求,通过安全检查和风险评估。(4)各级中国疾控信息网单位都应组织制定本级中国疾控信息网网络与信息安全应急预案并定期开展应急演练。1.4接入管理(1)中国疾控信息网以中国疾病预防控制中心为中心节点,各省疾病预防控制中心、中心直属单位等二级机构直连中国疾病预防控制中心节点。省级疾病预防控制中心至少需要有两条或两条以上的线路到中心节点。(2)各省疾病预防控制中心、直属单位等二级机构应保证与其业务应用相适应的网络带宽,原则上各级到中心的主线路不低于50M独享,确需与单位上网共享时,需要适当增加总带宽,并保留足够带宽。(3)中国疾病预防控制中心负责建设的信息安全等级保护三级的信息系统,须使用中国疾控信息网接入。(4)中国疾病预防控制中心负责国家级用户的中国疾控信息网接入管理,各省级疾病预防控制中心负责省级及省级以下各级接入单位的中国疾控信息网接入管理。(5)各省级疾病预防控制中心可根据本地区特点,进一步细化省级及省级以下中国疾控信息网的接入审批制度,并严格执行。(6)使用基于互联网的虚拟专网接入,在每次用户登录系统时,需要采用受中国疾病预防控制中心或省级疾病预防控制中心安全管理中心控制的口令、数字证书、实名手机短信以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。用户口令密码需要符合复杂度要求。中国疾控信息网的接入终端, 使用客户端方式启动虚拟专网后禁止同时访问互联网资源。1.5运行维护(1)中国疾病预防控制中心负责国家-省(中心直属单位、挂靠单位)间中国疾控信息网的设备配置实施与调整。各单位在维护国家-省(直属单位、挂靠单位)间中国疾控信息网的设备时,应至少提前2个工作日,书面或通过协同办公系统告知中国疾病预防控制中心及各相关单位,未经许可不得擅自更改国家-省(中心直属单位、挂靠单位)间中国疾控信息网的设备配置。中国疾病预防控制中心在维护国家-省(中心直属单位、挂靠单位)间中国疾控信息网的设备时,涉及影响省级疾病预防控制中心(中心直属单位、挂靠单位)访问中国疾控信息网的,应提前2个工作日,书面或通过协同办公告知各相关单位。遇有紧急情况调整或中断处理时,应在处理后及时告知,事后完成相关登记。(2)省级及省级以下各级接入单位的中国疾控信息网的接入设备与线路状况监控由各省级疾病预防控制中心负责。(3)国家-省(直属单位、挂靠单位)间中国疾控信息网要求不间断运行。各级中国疾控信息网单位应采取切实可行的措施及时处理各类告警和故障。(4)中国疾控信息网各接入单位应当按照信息系统安全等级保护三级的要求,负责组织在本级中国疾控信息网开展定期或不定期的网络与信息安全自查与风险评估,配合上级单位做好本级中国疾控信息网的信息安全检查和风险评估工作。(5)加强各级中国疾控信息网单位人员的信息安全教育,增强其信息安全意识。定期对从事信息安全工作人员开展专业技术培训,提高信息安全技能。(6)建立信息安全考核机制,定期对各级中国疾控信息网接入单位开展信息安全考核,重点考核信息安全等级保护涉及的信息安全风险评估、安全测评、安全应急预案管理等工作落实情况。¥5.9百度文库VIP限时优惠现在开通,立享6亿+VIP内容立即获取中国疾病预防控制信息系统网络安全管理指南中国疾病预防控制信息系统网络安全管理指南1.1 总则(1)为加强中国疾病预防控制信息系统网络(以下简称“中国疾控信息网”)的安全管理工作,根据国家信息安全的相关法律和法规,结合中国疾控信息网建设和运行的实际情况,制定本管理指南。(2)中国疾控信息网是指由中国疾病预防控制中心统一规划,以中国疾病预防控制中心为中心节点,专用于中国疾病预防控制信息系统使用的裸光纤、数字电路(SDH)、虚拟专网(VPN)等与互联网隔离(含逻辑隔离)的计算机信息网络的总称。第 1 页(3)中国疾控信息网由国家-省(直属单位、挂靠单位)间网络和省级及省级以下网络两部分组成。本指南适用于各级各类建设、运维、接入和管理中国疾控信息网的单位(以下简称“接入单位”)。包括使用中国疾病预防控制中心相关重要信息系统的各省级疾病预防控制中心及中国疾病预防控制中心直属各单位、相关挂靠单位等接入单位。(4)中国疾控信息网遵循“统一规划、分级建设、协同运营”的原则,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,分级管理、责任到人。各级疾控信息网接入单位负责本级(本单位)疾控信息网安全管理工作。
标签:信息系统
