网络安全等级测评报告篇1
【关键词】信息安全等级保护测评实施
1引言
医院信息化建设快速发展,信息系统应用深入到各个环节,信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LiS系统、检查paCS系统、体检系统等。保障重点信息系统的安全,规范信息安全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》,卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
2确定测评对象与等级
我院是一所二级甲等综合医院,日门诊人次1000人左右,住院日人次400余人。医院信息系统HiS、LiS、paCS、电子病历、体检等50余个系统无缝结合,信息双向交流。按照《信息系统安全等级保护定级指南》定级原理,确定医院信息业务系统的安全保护等级为第2级,其中业务信息安全保护等级为2级,系统服务安全保护等级为2级。
2.1招标比选测评公司
医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司,简单介绍医院信息化情况,其中有3家公司到现场进行调查,掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。
2.2测评实施
2.2.1准备阶段
医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》,确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研,提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的ip地址、网络互连设备的配置、网络安全设备的配置、安全文档等。
2.2.2测评主要内容
主要针对医院信息系统技术安全和安全管理两方面实施测评,其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
2.2.3测评方式与测评范围
测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈,了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试,检查系统的安全有效性。
整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。
医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵,终端使用了趋势网络版本防病毒产品,抵御恶意代码。开启系统审计日志,制定和实施有效安全管理制度,加强安全管理,降低系统安全风险。网络进行了有效的区域划分,区域之间通过访问控制列表实现安全控制,与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。
2.2.5差距分析与测评整改
通过测评,测评公司写出测评报告,提出整改建议。按照《信息系统安全等级保护基本要求》要求6,测评公司人员根据医院当前安全管理需要和管理特点,针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,从人员、制度、运作、规范等角度,进行全面的建设7,提供技术建设措施,落实等级保护制度的各项要求,就各类人员进行安全培训,提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。
2.2.6编制报告,成功备案
测评公司编制报告,上报市公安局备案成功,获得二级信息系统备案证书。二级信息系统,每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高,安全保护能力增强,有效保障信息化健康发展。
3结语
网络安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性,医院需要不断进行完善,加强管理,持续增加安全设备以保障医院数据安全有效,保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点,分期分批循序建设,保证医院各系统长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求8。
参考文献
[1]卫办发.〔2011〕85号,卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知,2011.
[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志,2005.
[3]王建英,陈文霞,胡雯,张鹏.医院信息安全分析及措施[J].中国病案,2013.
[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息,2013.
[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2006.
网络安全等级测评报告篇2
一、引言
随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字【2007】43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发【2011】85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。
从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应。
二、医院信息安全等级保护工作实施步骤
2.1定级与备案。根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。表1是根据定级要素制订的信息系统等级保护级别。
对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。
在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。
2.2安全建设与整改。在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。
2.2.1等保差距分析与风险评估。了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求。
技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(a类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,a类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3a3控制项共计136条.医院可以结合自身建设情况,选择其中一个标准进行差距分析。
管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。
对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。
经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络人侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。
2.2.2建设整改方案。根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。
整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区 域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。
整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。
我院整改方案是先由医院内部自查,再邀请等级测评#司进行预测评,结合医院实际最终形成的方案。网络技术义员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。
2.3开展等级保护测评。下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DiCp”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站(网站地址:djbh.net)进行核实。测评周期一般为1至2月,其测评流程如下。
2.3.1测评准备阶段。医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。
在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调査工作。
2.3.2测评方案编制阶段。测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。
2.3.3现场测评阶段。在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接人前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案、在对209条控制项进行测评后应进行结果确认,并将资料归还医院。
该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。
2.3.4报告编制阶段。通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。
2.4安全运维。我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照pDCa的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行。―
三、结语
网络安全等级测评报告篇3
一、指导思想
以“三个代表”重要思想和科学发展观为指导,全面履行政府社会管理和公共服务职责,加强食品药品监管设施和网络建设,完善安全技术标准体系,大力提高检测技术水平,创新监管机制,规范监管行为,提升监管能力和水平,保障公众饮食用药安全。
二、工作目标
经过五年的努力工作,全市食品药品监管体制和机制逐步完善,监管队伍素质全面提高,依法行政能力进一步提升;基础设施建设加强,技术装备进一步改善,食品药品安全标准建设和检测技术水平显著提高;食品药品生产经营秩序明显好转,生产、销售假冒伪劣食品药品的违法犯罪活动得到有效遏制,食品药品安全事故大幅减少。
——食品安全保障体系基本建立。全市食品安全信息监测覆盖面达到90%;市区和城镇批发市场、大型农贸市场和连锁超市的鲜活农产品的抽检质量安全合格率达到95%;重大食品安全事故处理率达到100%;食品召回覆盖面达到85%;食品生产企业专项检查覆盖面达到95%。
——药品安全监管水平明显提高。全市农村药品监督网覆盖率达到100%,农村药品供应网覆盖率保持在80%以上;市药品检验所对国家药品标准的独立全项检验能力达到95%。药品监督抽验覆盖面达到90%,药品、医疗器械举报投诉处理率达100%。药品不良反应监测(aDR)报告达到200份/百万人口;市、县(区)两级医疗器械不良反应事件监测网络覆盖率达到100%;重大药害事件处理率达到100%。
三、主要任务
(一)食品安全方面
1、加强食品安全监测。加强对重点地区“菜篮子”基地环境监测监控,建立农产品产地环境监测网点。规范食品质量市场准入制度,逐步推行食品质量安全市场可追溯制度,完善市场例行监测制度,在县城区以上城市批发市场、大型农贸市场和连锁超市建立鲜活农产品质量监测监控点。防控食物中毒事件和食源性疾病发生,完善我市食品污染物和食源性疾病监测网。加快无公害食品(农产品)、绿色食品基地建设。完善对经营者主动退市的管理机制,对肉制品、乳制品、饮料、粮食加工品及食用植物油等高风险食品开展食品召回工作。
2、提升食品安全检验检测水平。整合现有检测资源,加强市、县(区)产品质量检验机构食品质量安全检测能力建设,形成覆盖全市的食品质量安全检测体系与保障网络。积极争取上级支持,为县级配备快速检测车,为乡镇配备快速检测箱。推广餐饮业常见危害因素的检测技术,完善餐饮业10种常见化学性和生物污染因素的快速检测技术。逐步实施全市性的“从农田到餐桌”的食品安全统一抽验,提高全市食品质量安全水平和食品的市场竞争力。
3、构建食品安全信息体系。充分利用现有信息资源和基础设施,形成省、市、县三级食品安全信息网络;建立高性能、易管理、安全性强的食品安全动态信息数据库。以食品安全信息网络为基础,建立食品安全信息中心,对食品安全信息进行分类、筛选、综合分析和监测;对食品安全状况做出评价和预警,定期编写、全市或某一行业的食品安全状况报告。完善我市食品安全信息管理有关制度,加快建立食品安全信息统一制度,保证信息的准确性、规范性和统一性。
4、加强食品安全应急体系建设。健全完善《市重大食品安全事故应急预案》及相关配套制度,完善食品安全应急反应机制,建立部门之间相互配合、信息传递快速通畅、处置措施有力有效的食品安全快速反应联动机制。建立应急指挥决策体系、应急监测、报告和预警体系、应急检测技术支撑系统、应急队伍和物质保障体系,对重大食品安全事故应急处理工作实行统一领导和指挥。加强应急现场处置能力建设,培训应急处置专业人员,提升政府应急处置能力。健全食品安全事故查处机制,加大重大食品安全事故的督查督办力度,建立食品安全重大事故回访督查制度和食品安全重大事故责任追究制度。
5、建立食品安全评估评价体系。建立食品安全风险评估评价制度和体系,研究食品可能发生的危害后果及其严重性,以及危害发生的概率,并据此划分食品的风险等级,为政府决策提供依据。把食品安全评估评价工作与风险预警管理有机结合起来,逐步建立起科学的食品安全评价体系,为政府制订食品安全监管控制措施提供技术支持。
6、加强食品安全诚信体系建设。逐步建立食品安全诚信档案,推行食品安全诚信分类监管。建立食品企业红黑榜制度。继续做好食品安全信用体系建设试点工作,总结经验,及时推广,力争信用体系建设取得实效。开展诚信教育,提高食品从业人员的职业道德水准。充分发挥行业协会的作用,加强食品行业安全自律制度建设,强化食品生产经营者的食品安全意识。全面推行食品卫生监督量化分级管理,强化食品卫生许可和监督管理。
7、继续开展食品安全专项整治。严厉打击生产经营假冒伪劣食品行为,深入开展食品安全专项整治行动。完善食品安全区域监管责任制,进一步加强对食品企业的日常监管,探索农村小型食品生产加工、经营企业的有效监管模式,有效遏制使用非食品原料、滥用食品添加剂和无证照生产加工食品的违法行为。进一步加强食品市场监管力度,加大市场巡查力度,严格落实食品经营索证索票、购销台帐等制度,强化食品安全责任。重点打击制售掺杂使假,以次充好、商标侵权、不合格食品等违法行为,严查有毒有害食品,严把食品市场准入关。
8、全面提升农村食品安全保障能力。推动食品安全示范县建设。完善县、乡、村三级农村食品安全监管责任网、现代流通网和社会监督网,建立农村食品安全长效监管机制。完善对小作坊、小食杂店、小餐馆和“农家乐”的监管机制。建立农村家庭宴席卫生指导制度。完善中小学校及幼儿园食堂食品安全监督管理制度。实施农村食品质量准入、交易和退市的全过程监管。加强对城乡结合部和农村传统集会、庙会及商品展销交易等场所的食品安全监管,防止和及时处置群体性食物中毒事件。全面完成食品安全示范县创建目标任务,总结推广经验,发挥典型示范和带动作用,以食品安全示范县建设推动农村食品安全监管工作。
9、积极推进食品安全相关认证工作。完善无公害农产品认证和饲料产品质量认证制度,大力推进农产品产地认定和产品认证制度,积极开展有机食品、绿色食品等认证工作。推动农业投入品生产企业、农产品加工企业、农业生产过程开展管理体系认证。进一步规范认证后企业的自律行为,保证认证产品的质量安全水平和信誉。
10、开展食品安全宣传教育和培训活动。开展“食品安全进农村”、“食品安全进社区”、“食品安全进校园”活动,开展“绿色消费”理念和食品安全知识普及教育。每年5月份集中开展食品安全宣传月活动,加强食品安全法律法规、政策的宣传,普及食品安全基础知识,增强全社会食品安全意识,提高消费者的自我保护和参与监督能力。进一步完善食品安全培训体系,对政府管理人员、执法者、企业管理与工作人员、新闻工作者、消费者进行多形式、多途径的食品安全教育和培训。
(二)药品安全方面
11、提升药品生产质量监管水平。提高《药品生产质量管理规范(Gmp)》的实施水平,强化药品Gmp跟踪检查,切实提高监督检查的实效性、针对性;强化药品生产的动态监管,全面实施药品生产企业驻厂监督员制度、质量授权人制度,强化药品生产企业日常监督管理;建立企业诚信档案,促进企业自律;通过建立药品安全动态监管系统,实现药监部门对药品生产的实时监控,实现对全市特殊药品生产、经营单位特殊药品数量及流向的实时监控。加强中药源头监管,推行《中药材生产质量管理规范(Gap)》,保证中药材质量。
12、加强药品流通市场监管。进一步贯彻实施处方药与非处方药分类管理制度,配合医药体制改革,推动实施处方药与非处方药分类管理。加大对企业处方药与非处方药转换评价的指导力度。严格药品说明书、标签的审核工作,进一步加强对药品说明书和标签、包装管理。健全全市药品不良反应监测网络,规范药品不良反应的报告监测制度。加强药品不良反应监测机构建设,提高市、县两级药品不良反应监测能力。重点实现药品不良反应监测报表的标准化,加大对药品生产、经营企业的药品不良反应监测的监督管理力度,提高我市药品不良反应监测的质量。完善《药品经营质量管理规范(GSp)》认证管理办法及跟踪检查制度,强化GSp跟踪检查的针对性,实施《药品流通监督管理办法》,促进现代物流发展。建立和完善药物滥用监测网络及特殊药品监管网络,对特殊药品实现每一针、每一片流向的监管。建立品、流弊和滥用突发事件的监测报告和预警制度,完善品、依赖性和药物滥用潜力的评价方法和评价标准。
13、加强药品检验体系建设。加强药品检验基础设施建设,完成市食品药品检验所实验大楼建设。提升药品检验能力,完成计量认证复查和部分食品检验的扩项工作,使我市药品检验设施与能力达到全省先进水平。进一步推广快检技术,充分发挥药品快检车的作用。
14、规范医疗器械安全监管。实施医疗器械质量体系管理规范,逐步对第二、三类医疗器械生产企业实施医疗器械质量体系管理规范进行检查,促进生产企业达到规范要求。建立市、县(区)两级医疗器械不良事件监测网络。根据《医疗器械不良事件监测和再评价管理办法》和《医疗器械召回管理办法》,建立健全报告体系,强化企业的报告责任和义务。搭建上市后医疗器械风险效益评价的技术平台,建立预警、召回等制度。完善监督管理制度,切实加强对在用医疗器械的监督管理,提高在用医疗器械监管效率。
15、严厉打击制售假劣药械行为。重点查处涉及面广、影响大、公众反应强烈的制售假劣药品、医疗器械大案要案,提高监管工作效能。开展药品医疗器械产、供、用单位的专项整治和监督抽验,加强对中药材、中药饮片监管和对药品、医疗器械包装、标签、说明书的专项检查,继续开展对非药品冒充药品的检查和药品广告品种专项整治。积极发挥“药品快检车”的作用,建立起以“掌握信息、快速筛查、靶向抽验、目标检验”为目的的药品抽验模式,不断提高稽查工作效率,稳步提升药品、医疗器械质量监督抽验合格率。
16、继续整治药品、医疗器械广告。食品药品监管、工商、广电、新闻出版和宣传部门要密切配合,建立综合治理机制,重点整治未经审批擅自的品种、擅自篡改批准内容的品种和使用过期药品广告批准文号的品种。针对性地开展广告品种抽验,重点查处在大众媒体上的处方药、非药品宣传药品疗效的广告。
17、推进药品和医疗器械诚信体系建设。全面开展药品安全信用管理,积极推进企业诚信建设,在建立健全药品批发企业信用档案资料的基础上,全面启动药品零售企业信用档案资料的建立,认真贯彻实施好《市药品经营企业诚信建设安全信用分类管理实施意见》,开展药品经营企业信用等级评定活动。
18、深入推进农村药品监管网和供应网建设。大力发展农村药品配送网络和零售供应网点,通过政策引导、鼓励和支持合法药品经营企业集中配送进乡入村,鼓励批发企业向农村配送药品,鼓励连锁企业向农村延伸网点,建立符合要求的农村药店。强化农村药品协管员、信息员队伍建设,加强农村药品监管,向农民普及基本用药常识,建立起“运行良好、监管有效”的农村药品监督网络和供应网络,从源头、流通和使用等环节的监管来保障农村用药安全,实现农村药品监督网覆盖率达到100%,供应网覆盖率达到80%。
19、加强药品、医疗器械突发事件应急能力建设。建设市级药品、医疗器械不良事件应急处理指挥中心,加强应急指挥中心信息通讯、机动能力装备与建设,配备应急检验检测设备,提高应急信息报告、指挥、处置能力。加强市级药品、医疗器械不良事件应急处理培训演练基地建设,开展应急知识的技能培训,组织定期应急演练,提高应急处置能力。
20、推进药品、医疗器械监管信息化建设进程。加快推进信息化步伐,建立和完善市、县、乡(镇)三级药品监管信息网络及安全平台。积极推进药品监管信息化建设,创新监管手段。以药品批发企业和市区、县城药品零售企业为核心,建立电子信息网络平台,逐步推广到县城区和乡镇药店,实现监管信息资源共享、监管手段便捷,监管效益提升。
21、加快基础设施建设。要改善各级食品药品监管机构的办公和装备条件,建设办公业务用房,配备必要的执法装备。经过五年建设,全市食品药品监管系统行政执法机构的办公业务用房和执法装备基本满足执法需要。
四、保障措施
22、完善安全责任体系。按照“地方政府负总责,监管部门各负其责,企业作为第一责任人”的要求,建立健全食品药品安全责任体系。各级政府要加强组织领导,层层落实责任制和责任追究制,定期分析评估本地食品药品安全状况。各部门要密切配合,相互沟通协作,形成完整的监管链。积极推进信用体系建设,引导企业真正成为食品药品安全的第一责任人。生产经营企业要强化自律意识,建立健全企业责任制度和自律制度,完善内部管理,提高企业诚信度,积极履行和承担食品药品安全责任,做到分工明确、责任到人。
23、大力推进依法行政。严格执行食品药品安全法律法规,进一步深化行政审批制度改革,创新审批方式,规范审批程序,推进政务公开。建立食品药品监管重大决策听证、论证制度,加强行政复议。创新行政执法监督机制,加强行政执法监督,建立和完善责任追究制,提高行政监管效能。强化基层执法队伍的法律法规培训,提高队伍整体素质和依法行政的能力。
网络安全等级测评报告篇4
根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[200]27号)、《北京市政务与公共服务信息化工程建设管理办法》(市政府第67号令)、《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》(京办发[200]3号)以及其他有关法律、法规的规定,结合本市实际情况,现就本市党政机关开展网络与信息系统安全等级保护工作的有关要求通知如下:
一、充分认识开展安全等级保护工作的重要意义
为进一步提高信息安全保障能力和防护水平,维护国家安全、社会稳定,保障和促进信息化建设的健康发展,国务院在全面分析全国信息安全保障工作形势的基础上,针对存在问题,明确指示要抓紧建立信息安全等级保护制度,制定信息安全等级保护管理办法和技术指南,突出重点,切实保护好基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。国务院的指示对于加强信息安全保障工作十分重要,我市要认真贯彻执行。
开展安全等级保护工作就是依据网络与信息系统的重要程度和面临的安全风险等因素,综合平衡安全成本和风险,划分系统的安全等级,优化资源配置,进行建设和管理。
开展安全等级保护工作是关系到信息化建设全局的重要举措,是做好信息安全保障工作基本思路,是网络与信息系统基础设施建设的重要内容,是一个非静止、非僵化的系统工程。切实做好安全等级保护工作,建立安全等级保护制度,能够使我市的网络与信息系统防护水平从“独立运行、自主保护”的状况尽快过渡到“统一管理平台、统一安全标准”的阶段;能够有效地提高网络与信息系统安全建设的整体水平,增强使用效益;能够使信息安全与信息化建设协调发展,减少建设成本;重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;能够明确国家、法人和其他组织、公民的信息安全责任;能够有力推动信息安全产业发展,探索一套适应社会主义市场经济发展的信息安全发展模式。同时,开展安全等级保护工作也是加速首都现代化建设和成功举办2008年奥运会的迫切需要。
二、加强对安全等级保护工作的指导和管理
在北京市网络与信息安全协调小组的统一领导下,市信息办会同有关部门负责本市党政机关网络与信息系统安全等级保护的统筹规划、综合协调和监督检查,并对重要网络与信息系统的安全等级保护定期进行检查指导,并定期通报。
各区县信息化主管部门会同有关部门负责本区县党政机关网络与信息系统安全等级保护的统筹规划、综合协调和监督检查。
本市各级党政机关负责本单位网络与信息系统安全等级保护的组织实施。
涉及到国家秘密的网络与信息系统按照国家和本市有关保密规定执行。
北京市信息安全测评中心负责本市各级党政机关重要网络与信息系统实行安全等级保护过程中的检查评估和验收的安全测评。
各单位在自定级过程中,可以委托专业信息安全服务机构协助完成,市信息办将定期公布通过信息安全服务能力评估的机构目录。
三、开展安全等级保护工作的实施计划
本市各级党政机关网络与信息系统均要开展安全等级保护工作。新建和已建成但未正式运行的网络与信息系统要按照安全等级保护制度的有关要求进行建设;已经正式运行的网络与信息系统要按计划逐步纳入安全等级保护制度;网络与信息系统结构和功能等要素发生变化,要及时重新进行风险评估、安全定级和检测评估。各单位均应根据所核定的安全等级进行使用和管理。主要职责是:落实相应的管理制度和技术保护要求,组织管理人员和技术人员进行安全教育培训;适时进行安全应急预案的演练;定期组织自评估,保持系统良好的安全状态;认真履行信息安全等级管理职责,协助主管部门做好网络与信息系统的安全等级保护检查工作。
安全等级保护是一项基础性、长期性的工作,各单位均要将其作为一项重要内容纳入整个信息化建设过程的始终,切实抓好落实工作。在全市党政机关建立网络与信息系统的安全等级保护制度,计划用三年时间,分为四个步骤。
准备阶段:200年6月底完成。主要做好以下工作:明确主管部门、专业技术支撑单位和使用单位的职责、权利和义务,理顺关系,建立协调配合和管理的运行机制;依照国家有关法规,制定、完善安全等级保护工作的相关的配套文件;广泛开展宣传教育工作,组织培训,特别是对监管队伍和专业技术支撑单位人员的培训,在思想认识、政策理论、管理和技术等方面作好充足准备。
试行阶段:200年底前完成。在前期准备的基础上,全面展开建立安全等级保护制度的工作。工作内容包括:自定级、备案、建设整改、检查评估。其中,200年9月底前,各单位要完成自身网络与信息系统的自定级工作;200年10月底前,各单位要完成3级以上的网络与信息系统向市信息办备案工作;200年6月底前,各单位要完成对正在运行的3级以上的网络与信息系统的整改工作;200年12月底前,完成对本市部分重要网络与信息系统的检查评估工作。
完善阶段:200年12月底前完成。其中,200年6月底前完成本市党政机关开展安全等级保护的总结工作、相关配套文件的修订工作和信息安全测评基础设施能力建设工作;200年12月底前,完成本市重要网络与信息系统的检查评估工作。
正常阶段:200年开始,全市各级党政机关全面推行网络与信息系统安全等级保护制度,转入经常性工作。各单位每年应对其自身的网络与信息系统进行一次自评估;市信息办每两年对本市各级党政机关重要网络与信息系统进行一次检查评估。
各单位要认真执行安全等级保护的有关规定,认真落实安全等级保护制度,自觉接受主管部门的检查指导,切实做好信息安全保障工作。
四、坚决落实安全等级保护工作的各项措施
各单位要认真贯彻执行国家和本市关于信息化建设和信息安全保障工作的一系列指示、要求和规定,切实保证信息安全等级保护工作的顺利开展。
(一)各单位在立项前对其网络与信息系统进行风险评估,依据《北京市党政机关网络与信息系统安全定级指南》(见附件)自行确定安全等级。3级以上网络与信息系统应填写《北京市党政机关网络与信息信息安全定级备案(审查)表》,报市信息化主管部门审查。未经审查的,依据北京市人民政府第67号令《北京市政务与公共服务信息化工程建设管理办法》第八条规定,主管部门不予批准立项,财政部门不予拨款。
(二)在信息化项目预算时,各单位要按照等级保护的要求将安全等级保护的各项费用(风险评估、方案设计、工程实施、测评验收、工程监理等)列入项目预算;在网络与信息系统运行后,也要按照安全等级保护的要求将相关费用列入系统运行维护费。
(三)各单位的重要网络与信息系统在正式投入运行前应依据北京市人民政府第67号令《北京市政务与公共服务信息化工程建设管理办法》第十三条规定,经过安全测评认证,未经测评认证的,不得投入运行。
(四)北京信息安全测评中心在测评过程中必须坚持客观公正、实事求是的原则,出具真实的测评报告,市信息办对安全等级保护测评活动进行监督管理,对违反上述原则,出具虚假报告等行为的将追究有关领导和责任人的责任;情节严重构成犯罪的,由有关部门追究其法律责任。
(五)专业信息安全服务机构为本市各级党政机关提供信息安全服务应符合国家和本市的有关规定,北京信息安全测评中心应定期了解为本市各级党政机关提供信息安全服务机构的有关情况、征求用户意见,对有问题的单位提出建议和警告,问题严重的应取消其信息安全服务能力等级证书并予以公布。
(六)市信息办加强对安全等级保护工作的指导和监督检查。对违反有关规定的,要及时进行纠正;情节严重并造成重大损失的,由其上级主管部门依照有关规定追究单位负责人和有关人员的行政责任。构成犯罪的,由有关部门追究其法律责任。
五、切实加强对安全等级保护工作的组织领导
网络安全等级测评报告篇5
为贯彻落实关于网络安全的重要讲话精神、党中央关于网络安全的决策部署、重要网络安全工作安排部署以及《网络安全法》。今年以来,我单位大力推进单位网络网络安全建设,压实网络安全工作任务,严格主体责任追究,提升网络安全理念,防范化解单位网络安全风险、设备失效风险以及网络链路中断风险,全力保障单位网络安全稳定运行。
一、强化组织领导,健全制度建设
为贯彻落实国家关于网络安全相关工作的部署要求。一是中心建立了网络安全工作领导小组,传达和学习和党中央关于网络安全的重要指示精神,贯彻落实上级部门关于网络安全工作的决策部署,加强单位网络安全工作领导,制定《防范化解网络风险工作方案》落实网络安全工作责任,压实防范化解相关工作任务及计划,组织开展应急演练。二是为加强单位网络网络安全管理规范化,进一步保障单位网络安全,对所制定的单位网络相关管理制度及应急预案从提高网络安全性、规范化人员安全操作及处置流程可行有效等方面进行修订完善,规范化单位网络的安全管理。
二、加强安全建设,提升安全理念
(一)加强网络安全监测能力建设
在单位网络核心机房测试部署入侵检测系统、流量探针、漏洞扫描及日志服务器等安全监测分析设备。通过设备对电子单位网络进行监测,及时对安全隐患或安全事件进行预警及处置。
(二)提升单位网络整体网络安全防护能力。推进单位网络平台工程建设,提升电子单位网络核心机房网络、系统及安全设备,动环,消防,UpS供电及空调等各设备支撑能力,切实降低机房各设备失效概率,进而保障电子单位网络核心机房的安全稳定运行。
(三)提升单位网络网络链路健壮性冗余性。一是加快推进单位网络链路升级改造项目建设,建设安全态势感知系统,升级主用链路带宽,提升电子单位网络网络链路主用链路的健壮性;二是加快推进电子单位网络备用链路建设,使电子单位网络链路具备冗余性,降低单位网络网络链路中断风险。
(四)加强人员安全教育培训。为着力提升单位网络人员安全管理水平及专业技术知识能力,一是组织单位网络管理部门相关专业技术人员到全国各地多次参加网络安全相关培训,学习国家相关安全标准、安全防护理念以及了解现今安全形势与安全技术。二是通过邀请专业厂商到单位以授课以及技术交流等形式向单位全体专业技术人员进行网络安全培训,提升中心全体人员的安全防范意识及能力。
(五)提升信息安全共享机制。与上级主管部门形成单位网络安全信息共享机制,组建安全通报工作联系群,对于所发现的安全隐患及安全漏洞及时通告预警,对于发生的安全事件进行联动处置。
(六)完善上报机制。对单位网络安全情况每月向省委网信办进行汇报,发现安全风险或出现安全事件及时向省委网信办汇报,在重大活动期间每日以零报告机制进行安全情况汇报。
三、积极处置网络安全事件,防范化解网络安全风险
通过监测数据协助处置了多起网络攻击事件,在事件处置过程中,组织技术力量及时准确封堵源头,有效遏制事件影响的发展趋势,对事件进行持续跟踪监测,直至事件彻底解决,所有事件均未造成重大影响,保障了单位网络安全稳定。
四、保障节假日期间单位网络稳定运行
在各节假日前组织对单位网络系统进行安全检查、漏洞扫描及渗透测试,并进行安全加固;对单位网络核心机房空调、消防、UpS供电等设施设备运行情况进行检查,确保机房各设施设备正常运行;组织对单位网络网络链路进行检查,确保网络链路运行情况正常;下发自查通知至各办公室,要求对各自终端进行安全自查,提升单位网络整体安全性、联动处置安全事件的能力及有效性。在节假日期间,组织进行24小时现场值守和应急值守工作,并加强巡查巡检及网络监测力度,全力保障节假日期间的单位网络网络安全、机房安全、链路安全,对突发事件能够随时进行应急响应。保障单位网络在新在节假日期间安全稳定运行,0安全事件发生。
网络安全等级测评报告篇6
一、背景
2004年我市传染病网络直报系统上线运行,全市传染病疫情报告工作进入崭新阶段。截至2008年底,我市疾病监测信息系统运行良好,疫情报告质量不断提高。全市疫情报告组织机构健全,管理制度完善,大部分县(区)硬件设施配置符合国家规范要求,疫情网络运行稳定,大疫情报告和各专病报告系统工作正常,并能对日常数据进行有效地分析与反馈。2008年,全市网络直报综合质量指标全面达标,居全省第一,其中网络直报报告及时率99.9%,审核及时率99.98%,江西省“零”报告系统日平均执行率99%,全年无重卡,网络直报单位运转率达100%。
2009年是我市传染病实现网络直报的第六年,为了进一步巩固成绩,及时发现网络直报工作各环节存在的问题,使全市传染病疫情报告管理更加规范科学、及时有效,市卫生局拟组织开展全市范围内传染病疫情网络直报质量督导检查,特制定本方案。
二、目的
通过现场督导检查,了解基层网络直报实际工作现状及存在问题,进一步明确网络直报工作重点,为进一步提升我市传染病疫情网络直报质量提供科学依据。
三、依据
《中华人民共和国传染病防治法》(2004年8月28日)
《突发公共卫生事件应急条例》(2003年5月9日)
《突发公共卫生事件与传染病监测信息报告管理办法》(2003年11月7日卫生部第37号部长令)
《传染病信息报告管理规范》(2006年6月2日)
《国家突发公共卫生事件相关信息报告管理工作规范(试行)》(2006年1月1日)
《医疗机构传染病预检分诊管理办法》(卫生部第41号部长令)
《传染病监测信息网络直报工作与技术指南》(2005试行版)
《南昌市传染病监测与突发公共卫生事件相关信息报告管理程序》(2009年修改版)
四、检查对象
全市各县(区)、开发区(新区)卫生行政部门、疾病预防控制中心、各级各类医疗机构。
五、检查方式及范围
(一)检查方式
由市卫生局组织市、县疾控中心有关专业人员对辖区各类机构进行抽查。
(二)检查范围
本次现场督导检查内容主要针对2009年开展,部分内容将涉及2008年(见本方案有关规定)。
被检查的单位主要有:各县(区)卫生行政部门、疾控机构、省级综合医院、市级医院、县(区)综合医院为必检单位,另随机抽取乡镇卫生院或社区卫生服务中心1家,每一县(区)总检查单位不少于4家。
六、检查内容
(一)卫生行政部门
1.本辖区传染病网络直报系统建设和完善情况。
2.是否为辖区传染病网络直报系统的正常运行及提高疫情报告质量提供必要经费保障条件。
是否下拨用于传染病网络直报、设备更新维护、传染病疫情报告相关技术培训、督导检查等专项工作经费(要求有拨付手续或正式文件)。
3.2008年度是否组织开展对辖区医疗卫生机构传染病网络直报工作质量的督导检查,有无表彰奖励及处罚(要求有方案、记录及总结)。
4.是否对辖区医疗机构诊疗记录登记进行统一要求与规范,包括门诊日志、出入院登记簿、放射科及检验科登记簿等登记项目统一设置及规范使用,发文并进行现场督导检查(要求制定下发的正式文件及现场督导检查记录)。
对各级卫生行政部门的检查结果均记录于附表1-1。
(二)疾病预防控制机构
1.辖区传染病网络直报信息监测管理工作
1.1建立对异常监控信息的快速反应流程
动态监视本辖区报告传染病疫情信息,及时完成报告卡的审核、查重等各项工作;重点建立对异常监控信息的快速反应流程,包括对异常信息快速确认、处理应对等环节,以书面监控记录及相关的检查核实报告为准。异常信息主要包括甲类及按甲类管理的传染病疫情、可能的传染病暴发与流行、不明原因肺炎以及本地罕见传染病或其它不明原因发病、死亡等。
1.2传染病网络直报质量管理
(1)定期或不定期对辖区传染病零缺报情况、报告及时性、审核及时性、重复报告等质量进行检查核实与综合评价,查找原因并提出改进措施(以文字资料为准)。
(2)传染病网络直报质量综合指数率,以传染病直报系统最近一个月的评价数据为准。
1.3传染病监测资料分析利用与反馈
(1)是否开展传染病监测资料日、周、月、年周期分析;当发生传染病暴发流行或其它突发公共卫生事件时,是否开展相关的流行病学分析或专题分析报告。
(2)是否及时将常规各项分析报告向辖区报告单位进行反馈(以实际可查的反馈形式为准,如正式发文或网络直报系统反馈)。
2.传染病网络直报质量督导检查开展情况
2008年度是否开展医疗卫生机构传染病报告与管理工作检查与评估,对医院传染病报告管理质量进行督导检查。要求有方案、检查原始记录、发现的主要问题及提出改进措施与建议等总结文件。针对所发现的问题是否开展二次督导检查,以文字资料为准。
2008年度是否开展与传染病网络直报有关的专题调研,要求有调研方案及总结等文档记录。
2008年度是否对同级、下级医疗卫生机构进行技术指导。对下级在传染病报告、管理工作中遇到的技术问题及时给予解决或答复,对在实际工作中发现的问题,及时指出并督促整改。要求以电话或其它书面记录为准。
3.培训下一级专业技术人员情况
培训下一级专业技术人员情况。本年度对传染病信息报告管理规范、监测资料分析利用、网络直报系统数据统计规则等业务技术培训工作开展情况,包括对下一级疾病预防控制机构以及属地医疗机构相关人员。要求有相关资料和培训会议文档记录。请注重培训知识与内容的更新,要求及时将卫生部下发的有关文件进行培训落实。
4.网络直报设备配置
网络直报专用台式电脑及笔记本电脑(带无线上网卡)各一台、激光打印机、疫情专用电话。
对各级疾控中心的检查结果均记录于附表1-2。
(三)医疗机构
1.传染病报告管理工作开展情况
(1)门诊日志、出入院登记使用
门诊日志、出入院登记本设置及规范使用情况。根据卫生部1996年印发的《全市法定传染病医院报告管理检查与居民回顾性调查方案》相关要求以及医疗机构诊疗登记的有关规定,门诊日志至少要包括就诊日期、姓名、性别、年龄、职业、现住址、病名(初步诊断)、发病日期、初诊或复诊9项基本内容。门诊日志应由临床医生填写,病名项目应填写诊断的病名,不能填写症状;出入院登记至少包括姓名、性别、年龄、职业、现住址、入院日期、入院诊断、出院日期、出院诊断、转归情况(是否死亡、死亡原因、死亡日期等)10项基本内容。
检查方法:现场查看感染科、急诊、内科、儿科、皮肤科、住院部等与诊疗传染病有关科室的门诊日志、出入院病人登记本,检查门诊日志、出入院登记本项目是否齐全、填写是否规范,有无漏登和缺项。
(2)检验科室、影像诊断科室登记及反馈机制
检验科室登记项目应包括送检科室或医生、病人姓名、年龄、检验结果、检验日期。
影像诊断科室(含放射科、B超室等)检查登记应包括开单科室、检查日期、病人姓名、年龄、检查结果。
检验科室、影像诊断科室是否建立了异常化验结果必须返回送检医生或科室的反馈机制(包括门诊和住院)。
检查方法:查阅检验科室、影像诊断科室登记(包括检验室、放射科、B超室电子登记系统),检查项目是否齐全、登记是否完整;反馈机制以反馈记录或医生签字为准。
(3)医院内传染病疫情分析、通报及处理机制
院内指定有关科室及专人负责本院传染病报告数据的常规分析,分析不同时期医院接诊的主要传染病,并将分析结果在院内及时通报。
院内应制定对可能的传染病暴发事件、聚集性症候群等异常情况的处理机制与流程。
检查方法:现场查阅相关分析文档及反馈记录、相关的机制与流程。
(4)开展传染病报告管理院内自查
确定医院传染病报告管理工作自查组成员(含分管院长及各临床科室主任等)、周期、自查内容(是否报告、及时报告率)及奖惩等。发现漏报、不及时报告等方面问题时,能够提出针对性处理及整改措施。
检查方法:现场查阅有关自查记录、整改文档及总结(自查组成员签字)。
(5)传染病报告设备
医院传染病信息报告管理科室拥有网络直报设备(包括网络直报专用计算机、上网设备、报告专用电话或传真机),操作系统齐全(有防病毒软件),并有专人负责管理网络直报密码。
检查方法:现场查看、查阅相关记录、直报人员进行现场操作。
2.定期开展传染病报告管理专业培训与考核
医院应定期组织临床医生、新进人员开展关于《传染病防治法》、《传染病信息报告管理规范》等的专业培训,注重培训内容的更新,及时学习卫生部下发有关传染病诊断、报告、防治管理方面的文件。并注意对培训结果进行考核。
检查方法:现场查看、查阅相关培训、考核文档。
3.传染病报告质量抽查
评价指标包括:传染病报告率、传染病及时报告率、纸质报告卡填写信息准确率、完整率、纸质报告卡填写与网络报告信息一致率。
检查方法:查阅2008-2009年度检查当月门诊日志、出入院登记本记录,核实传染病报告情况;复印传染病报告卡,核实纸质报告卡填写信息的准确性、完整性以及与网络直报信息的一致性。
要求:
①县级及以上医疗机构从内、儿、感染等科的门诊日志及出入院登记本中随机抽查法定传染病病例15例(门诊病例10例,住院病例5例),乡镇级医疗机构抽取5例。若该单位本年度相关记录中,未查到1例法定传染病,请注明门诊量,并注意查明相关原因。
②病例分布应注意包括本年度不同月份的病例,抽查的相同病种不能超过50%。
③病种:仅抽查急性传染病,应注意抽查呼吸道、肠道、虫媒及自然疫源性、血源及性传播传染病等不同传播途径传染病,如麻疹、流脑、霍乱、细菌性痢疾、伤寒副伤寒、疟疾、乙脑、流行性出血热、甲型肝炎、手足口病、流行性腮腺炎、流行性出血性结膜炎等。不含肺结核、乙肝、梅毒、淋病、丙肝。
④住院病例需查阅病案资料,填写病例的发病日期、诊断日期。
⑤复印10份纸质传染病报告卡,从抽查的15例传染病中查找,不足则另行补充,对补充纸质卡片的要求同上。乡镇卫生院复印5份。
对医疗机构的检查结果分别记录于附表1-3、附表1-4。
七、组织与实施
(一)人员安排
本次督导检查分设3个组,每组3人,组长由市疾控中心有关人员担任,组员由市、县(区)疾控中心专家组成。
(二)日程安排
本次督导检查时间初步定于2009年4月13-17日,督导组成员统一培训时间为4月10日上午。各县(区)的行程安排如下表(可结合具体情况进行调整)。
检查日期检查单位检查人员
4月13日进贤县姜小仙、吴景文、李芳、青山湖1人
安义县符艳、胡茂红、东湖区1人
南昌县李辉、涂正波、新建县1人
4月14日新建县姜小仙、吴景文、李芳、青山湖1人
湾里区符艳、胡茂红、东湖区1人
青云谱区李辉、涂正波、新建县1人
4月15日东湖区姜小仙、吴景文、李芳、青山湖1人
西湖区符艳、胡茂红、东湖区1人
青山湖区李辉、涂正波、新建县1人
4月16-17日省一、省精、省肿瘤、省血站、市九院、
省中医院、高新区姜小仙、吴景文、李芳、青山湖1人
省二、市一、省儿童、省人民、市血站、洪都中医院、红谷滩新区符艳、胡茂红、东湖区1人
省四院、省妇保、省胸院、市二院、市三院、省皮院、市男科、经开区李辉、涂正波、新建县1人
(三)工作程序
1、到达县(区)卫生局,简要介绍检查方案,明确检查任务及日程安排,听取自查工作汇报;
2、到有关医疗机构现场进行检查,并撰写意见书进行反馈;
3、到县(区)疾控机构进行检查,并就检查组对该区检查意见与建议集中反馈,由组长负责,分管传染病网络直报的领导、科室负责人参加。
(四)备查资料
1.卫生行政部门提供资料清单
(1)本年度用于传染病网络直报、培训、督导检查等相关工作专项经费的拨付手续或正式文件。
(2)本年度组织开展的辖区医疗卫生机构传染病报告质量监督检查正式文件、方案、表彰奖励及处罚记录。
(3)制定下发关于规范医疗机构各种临床诊疗登记的相关文件及督导记录。
(4)辖区部分传染病疫情原稿。
2.疾病预防控制机构提供资料清单
(1)对辖区传染病网络直报数据实时监控记录及异常监测事件反应处理记录。
(2)对辖区医疗机构开展传染病网络报告质量督导检查工作记录、总结。
(3)对辖区医疗机构开展传染病报告管理相关培训的工作记录、总结。
(4)各类传染病监测数据质量评价及分析利用报告。
3.医疗机构检查
(1)院内关于传染病暴发或流行、可疑聚集性症候群、不明原因肺炎或不明原因疾病发病、死亡等异常事件的处理机制与流程的文档及相关记录。
(2)院内传染病疫情常规分析、通报有关记录。
(3)院内传染病报告管理自查工作记录。
(4)传染病报告管理专业技术培训考核等有关记录。
(5)本年度内、儿、感染等科的门诊日志及出入院登记本。
(6)走访检验科、放射科等临床辅助科室,检查登记本及结果反馈流程。
(7)抽查网络直报人员现场操作演示。
(8)调查内、儿、感染等科室医务人员5名传染病疫情报告知识知晓情况。见附件2。
(五)结果反馈
本次督导检查现场结果由督导组成员以《现场指导意见书》予以反馈;综合评估报告由市卫生局以书面督导评估报告形式予以通报。本次督导检查结果将纳入全市疾病控制工作年终考核评比内容。
附件1
南昌市传染病网络直报质量督导检查及评分表
表1-1卫生行政部门工作督导检查用表
单位名称:
县(区)卫生局
单位级别:1地市级2县区级
检查内容检查项目满分评分原则得分
1.2009年度下拨用于法定传染病监测报告与管理的专项工作经费(要有拨付手续或正式文件)(40分)1.1专项工作经费:①无②有20分①否:0分;②是:满分
1.2如有,专项经费总额:【
】万元,占疾病预防控制经费总额的比例:【】%20分①5%以下:(实际比例/5)*满分;②5%及以上:满分
2.2008年度组织开展传染病报告监测报告与管理的专项工作经费(要有拨付手续或正式文件)(40分)2.1检查方案:①无②有8分①无:0分;②有:满分
2.2参与检查:①无②有8分①无:0分;②有:满分
2.3检查总结:①无②有8分①无:0分;②有:满分
2.4表彰和奖励:①无②有8分①无:0分;②有:满分
2.5处罚:①无②有8分①无:0分;②有:满分
3.统一规范辖区医疗机构门诊日志、出入院登记簿、放射科及检验科登记簿登记项目的设置及使用(20分)3.1制定下发正式文件:①否②是10分①否:0分;②是:10分
3.2组织开展对实际执行效果的督导检查:①否②是10分①否:0分;②是:10分
检查单位领导:
检查人:
检查时间:
表1-2疾病预防控制中心工作督导检查用表
被检查单位领导
检查人
检查时间
附表1-3各级医疗机构工作督导检查用表
被检查单位领导
检查人
检查时间
表1-4
县/区
乡镇
医院/卫生院法定传染病报告质量检查登记表
序号科室
类型
(1)患者
姓名
(2)性别(3)年龄(4)职业(5)疾病
名称
(6)病例
分类
(7)发病日期
(8)诊断日期(9)是否
录入(10)是否
及时
录入
(11)报告卡填写是否完整(12)报告卡填写是否准确(13)报告卡信息与网络报告信息是否一致(14)备注
(15)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
注:①科室类型包括:①内科门诊②儿科门诊③感染科门诊④急诊⑤腹泻病门诊⑥肝炎门诊⑦住院部内科⑧住院部儿科⑨住院部传染科⑩其它,请注明(如呼内、消化内科)
②住院病例的发病日期、诊断日期的信息需查看患者住院病案
被检查单位负责人
检查员签名
检查日期:
年月日
附件2
医务人员传染病报告知识知晓情况调查表
单位名称:
县(区)
医院
科
单位级别:1地市级2县区级
1、最新版的《中华人民共和国传染病防治法》修订通过后,于
年
月日开始施行。(10分)
2、法定传染病分三类,其中甲类传染病
种,乙类传染病
种,丙类
种。(10分)
3、责任报告单位和责任疫情报告人发现甲类传染病、
和乙类传染病中的
、
、
、
的病人或疑似病人时,或发现其他传染病和不明原因疾病暴发时,应以最快的通讯方式(电话、传真)向当地县级疾病预防控制机构报告,并于小时内将传染病报告卡通过网络报告;未实行网络直报的责任报告单位应于小时内以最快的通讯方式(电话、传真)向当地县级疾病预防控制机构报告,并于小时内寄送出传染病报告卡。对其他乙、丙类传染病病人、疑似病人和规定报告的传染病病原携带者在诊断后,实行网络直报的责任报告单位应于小时内进行网络报告;未实行网络直报的责任报告单位应于小时内寄送出传染病报告卡。(30分)
4、手足口病为
传染病。(10分)
a、甲类;B、乙类;C、丙类;D、未纳入法定传染病
5、请列出以下传染病病种:(20分)
甲类(2种):
乙类(5种):
丙类(3种):
6、当一个患者同时患两种传染病时,应填写几张传染病报告卡?(10分)
a、1张B、2张C、两者皆可
网络安全等级测评报告篇7
随着对网络审计研究的开展,网络审计的定义也开始见诸于各刊物。要研究网络审计理论和实务,就需要给其明确定义,如笔者曾见于杂志的一种定义是"网络审计算机网络技术应用于审计工作中,以提高住处资源共享性,强化审计工作质量,提高审计工作效率。"笔者认为,这一定义仅仅是从审计主体角度出发,有失偏颇。网络审计是基于网络环境下的审计技术与网络技术的结合。
它表现在两个方面:
(一)从审计客体的角度来说,网络审计是建立在网络基础上的对被审单位在一定时期内的全部或一部分经济活动,特别是正在发展中的电子商务、网络会计进行审计的计算机系统。
(二)从审计主体的角度说,网络审计是建立在网络基础上的辅助审计的信息系统。
因此,从广义上讲,笔者认为,网络审计是审计人员运用计算机网络技术对基于网络环境下运作的企业的经济活动和会计信息系统所进行的审计活动,是计算机审计发展的高级阶段,它包含以上两部分内容。
二、网络审计的特点
internet作为网络经济的基础,极大地改变了传统的财会工作方式和审计工作方式。电子商务、网络财务的兴起,改变了审计工作的环境。同时,由于网络技术本身所具有的特点,使得网络审计呈现出传统审计无法比拟的优越性。网络审计的主要特点有:
(一)审计信息收集即时化、网络化。在被审企业实现网络化管理环境下,有关企业经济活动的信息从终端进入后,转化为电磁信号,通过网络系统,实现对凭证、账簿、财务报表的即时更新。外防火墙,使用wed服务器收集所需要的信息。另外审计单位从被审单位外部收集审计信息也可通过这一途径。如利用internet收发电子邮件进行函证或在许可范围内登陆第三方网站收集所需信息。
(二)审计信息加工智能化。由于计算机和网络所具备的强大的信息处理能力,以及在internet条件下,凭证、账簿等纸质载体的消失,传统意义上的查账(如检查、核对、分析性复核等)已无存在的必要。主要的审计工作转向审计企业财务状况及其经营过程所取得成果的数字的形成过程。即在实质性测试中,重点应放在对企业网络财务信息系统的测试上。
(三)审计信息的传递网络化。由于网络具有高度的信息共享性、实时性和动态性,在审计日常工作中,所有的审计工作程序包括审计信息的收集、审计证据的获得,审计测试、审计结论的形成以及审计报告的披露均可在网络上进行。
三、网络审计的模式
从审计主体的角度来说,网络审计是建立在网络基础丰的辅助审计信息系统,作为审计工作的辅助手段,将计算机技术、网络技术、现代通信技术等应用于审计本身的工作中,建立审计信息及辅助审计的网络系统。对此,本文不作专门论述,而仅从审计客体的角度出发,对被审单位网络系统的审计模式作一探讨。
(一)对企业的内部控制进行审计
研究与评价被审单位的内部控制是现代审计的重要特征。电子商务、网络财务的发展,要求会计系统数据进一步开放和共享,这恰恰使得企业网络系统的安全面临严峻的考验。由于internet用户使用的是公用通讯线路,网络黑客可能会利用网络及安全管理的漏洞窥探用户口令或电子账号篡改数据库内容,窃取资产,或者利用网络传播计算机病毒以破坏会计信息系统,甚至摧毁网络节点。因此,网络内部控制的审计除应满足于一般意义上的内部控制目标外,与之不同的是,网络信息系统的安全性,成为网络内部控制审计的要点。
《国际审计准则》第20号和我国《独立审计具体准则》第20号,者把计算机会计内部控制分为一般控制和应用控制两大类。这种分类在逻辑上缺乏考究,因此笔者在这里沿用另外一种分类,即把内部控制分为管理制度控制和程序系统控制。
1.在对网络单位的管理制度测试时,主要包括企业实施网络财务的规章制度是否健全、合理及执行情况,系统管理员同操作员的职权是否分离,密码是否各自保存等。
2.评价会计软件(网络财务软件)的系统控制的安全程度、业务流程是否合理,有无自动识别错误功能,有无对操作的人员控制和时间控制。由于风格具有极强的开放性,对网络系统安全的审计尤为重要,需要具有此方面技术的专家进行评定。企业对网络的安全性可采取一系列的方法,如防火墙技术、电子密钥技术、入侵检测系统等专门技术进行防范。
审计人员可采取综合评定打分的方法,通过确立评分标准体系,评定等级来确定此方面的可靠性。对网络信息系统的评价可概括为以下五个方面;(1)网络系统的安全性;(2)企业资产的安全性;(3)内部控制的有效性及效益性;(4)数据资料的准确性及完整性;(5)网络系统的外部监察。
(二)实质性测试
审计人员在对企业的内部控制进行评定的基础上,找出企业内部控制存在的弱点,从而确定实质性测试的重点和范围。网络审计中,实质性测试的手段和方法已经出现了很大的改变,传统的审计方法已经无法满足于网络审计的需要。
1.测试时间的改变:电子化、网络化的发展,一方面可以使会计报表、财务报告实时生成,缩短会计报表编送时限;另一方面又可以使审计人员随时完成必要的审计测试,实现审计的实时追踪。因此,审计由以前的事中、事后审计变为全年性的实时跟踪审计,实现动态化审计。同时,由于信息传递的网络化,审计人员通过与被审单位达成协议后,经身份验证,通过网络共享被审单位信息系统资源来进行审查,取代了原来的就地审计。
2.测试方法的改变:在传统审计中,Cpa为获取审计证据通常采用的方法包括检查、监盘、观察、查询及函证、计算和分析性复核等审计程序。而在网络审计中,除了对存货的实地监盘之外,其余的审计方法可通过计算机网络,如通过电子邮件进行函证,利用专用软件对会计数据进行比较、分析等,大大节省了时间和人力资源。在网络审计中,由于企业的会计信息系统从交易信息进入到即时更新财务报告,大多通过网络系统自动、实时生成,对数据本身的验算已显得并不重要,而对系统的整体测试,以验证其内部程序是否存在问题变得更重要。系统测试作为网络审计中的一种重要方法,依审计目的不同既可用于内控测试,又可用于实质性测试,因此,笔者在这里介绍系统测试的一种方法:虚拟数据测试法。
网络安全等级测评报告篇8
上网行为管理的巨大金矿吸引了多家厂商的角逐。然而,自网康科技2004年提出“上网行为管理”理念以来,上网行为管理的物理特性、功能特性、增值特性和性能指标等等,业界并没有形成统一定论,这在一定程度上影响了用户的选型和应用。
上网行为管理终于有了行业标准
2011年,作为上网行为管理的市场领导者,网康科技联合工业和信息化部中国软件评测中心,根据中国国家标准化管理委员会、中华人民共和国公安部的相关测试标准,对上网行为管理设备进行了综合、全面的权威测试,最终确定了上网行为管理的统一技术指标。
这是上网行为管理自出现以来,第一份部级权威测试报告。它不仅系统定义了上网行为管理的技术指标、功能指标、性能指标、测试指标,而且对上网行为管理的可靠性、可管理性、可维护性提出了示范性的要求,成为上网行为管理业界名副其实的行业标准。
从测试结果来看,网康科技的众多测试指标,尤其是其上网行为管理产品nS-iCG的可管理性、可靠性、可维护性等均领先于同类产品;网康的网页识别率和网页访问控制审计水平等均创造了业界新高,同时网康独创的商业智能分析(Bi)系统与上网行为管理相结合,以量化的指数形式呈现用户关心的经营和管理信息,将上网行为管理引入了智能化时代,更是树立了业界的新标准。
国内最大的URL库和最快的实时更新
上网行为管理的核心技术之一就是网页分类库和更新技术,网康科技一直保持着国内URL库的最高标准――超过20000万条的URL网页分类库,平均每天300万条的更新频率,而传统厂商最高只能达到两周的更新频率。
100%网页识别率
根据中国软件评测中心的测试,在对娱乐类、色情类、黑客类等网站的随机上千条访问中,网康均达到100%的正确识别,无一遗漏。而传统厂商一般只有60%-70%的网页识别率。
另外,网康上网行为管理独有的网页分类云技术,可以在第一时间将未识别网页回传至分类云,快速分类后再下发更新到全部终端,确保以最快的速度识别所有的动态新增网页(如一些企业私有网站等);通过网址、标题、正文关键字的联合过滤,能够应对内容不断更新的动态网页(如新浪、搜狐、腾讯等微博)。
国内最大的应用协议库
对于上网行为管理产品来说,只有具备了完善的应用协议库,才能减少对应用的误识别、漏识别。应用协议库涵盖的应用种类以及应用协议库的更新时间,都成为应用控制最先关心的问题。网康上网行为管理涵盖30多类近800种应用协议,能够识别并精细控制所有的主流应用。
可管理性pK传统厂商
网康上网行为管理具备丰富的集中管理方式:专线集中管理、拨号集中管理、策略集中统一下发、远程点对点管理、多机日志汇总分析、批量升级软件版本、批量升级URL库、批量升级应用协议库等。而传统厂商一般只能实现策略配置功能。
可靠性pK传统厂商
作为网络主干线路上的串行产品,Bypass功能是考查一款产品安全性最重要的因素。网康上网行为管理支持多重Bypass保障:断电Bypass、软件Bypass、面板按钮Bypass、软件按钮Bypass,以充分应对复杂的网络环境,保护网络不中断。而传统厂商一般只具备1-2种Bypass。
商业智能引领上网行为管理发展方向
在网络愈加发达的今天,很多企业的业务和办公环境都和互联网紧密关联,从海量的用户数据中挖掘出有价值的信息,为企业管理决策提供有力的支撑将是上网行为管理产品的发展趋势,而上网行为管理产品也将从一个网络设备逐步升级为企业管理助手。
传统上网行为管理都具备日志统计功能,但只是记录用户上网行为的日志数据,并不能从海量数据中进行分析提取,并形成直观可视的量化报告,从而帮助企业分析员工的工作效率、离职风险等。
网络安全等级测评报告篇9
[关键词]安全开发;生命周期;软件工程
[中图分类号]tp311.5[文献标识码]a[文章编号]1673-0194(2013)07-0065-03
1968年nato(北大西洋公约组织,northatlantictreatyorganization)在德国的加米施(garmish)召开的计算机科学会议,是一次划时代的会议,正是这次会议诞生了“软件工程”。它不仅有效缓解了当时日益突出的“软件危机”,同时为其后软件生产的辉煌奠定了坚实的理论基础。然而,在网络高速发展的今天,传统的软件工程实践已无法实现安全的软件开发。只有引进新的开发机制,不断改进传统的软件工程过程,才能生产出更为安全可靠的软件产品。
1软件工程基本概念
计算机软件:与计算机操作有关的程序、规程、规则及任何与之有关的文档及数据。它由两部分组成:一是机器可执行的程序及有关数据;二是机器不可执行的,与软件开发、运行、维护、使用和培训有关的文档。
软件危机:在计算机软件开发和维护过程中所遇到的一系列严重问题。20世纪60年代末至20世纪70年代初的软件开发,主要依赖个人的“才艺”,而软件功能的需求越来越强,造成软件质量(通用性、可移植性)差、维护困难。在一定时间内,人的智力和体力已无法承受。简单增加开发人员已不能成比例地提高软件开发能力。为开发和维护软件而支付的费用已占到设备成本的40%~75%,开发大型软件一再延时,因此而产生了“软件危机”。
软件工程:用工程、数学的原则和科学的方法,研制与维护计算机软件的有关技术及管理方法。它由方法、工具和过程3部分组成。软件工程方法是完成软件工程项目的技术手段,它支持项目计划与估算、系统与软件需求分析、软件设计、编码、测试与维护。软件工程使用的软件工具自动或半自动地支持软件的开发和管理,支持各种软件文档的生成。软件工程的过程贯穿于软件开发的各个环节,管理者要对软件开发的质量、进度、成本进行评估、管理和控制,包括人员组织、计划跟踪与控制、成本估算、质量保证、配置管理等。
软件生命周期:软件产品从形成概念开始,经过开发、使用和维护,直到最后退役的全过程。它包括软件定义、软件开发、软件使用与维护3个主要部分。对应软件生命周期的软件开发模型是经典的瀑布模型(如图1所示)。它提供了软件开发的基本框架,有利于大型软件开发过程中人员的组织、管理,有利于软件开发方法和工具的研究与使用,从而提高大型软件项目开发的质量和效率。
2网络系统面临的威胁
网络时代的互联互通给我们带来了前所未有的体验与便捷,无纸化办公、电子商务、网络通信等,正融入我们的日常生活与工作的各个领域。大量有价值的、敏感的数据存储与流动,使得利益驱使下的犯罪充斥于网络社会。早在1995年,安全专家clark和davis就定义了网络犯罪成本效益比率:
mbpb>ocpocmpapc
mb——攻击者的货币收益;
pb——攻击者的心理收益;
ocp——实施犯罪的成本;
ocm——攻击者的定罪成本;
pa——攻击者被缉拿和逮捕的可能性;
pc——攻击者被定罪的可能性。
当不等式的左边大于右边时,意味着实施攻击的收益大于成本,犯罪即可能发生。
一方面,如前所述,随着应用的普及,用户必然会存储、处理大量有价值的数据,使得不等式的左边对攻击者来说是“堆放金钱的地方”,其值(mb)会愈来愈大;另一方面,攻击者被发现和追捕的可能性(pa)微乎其微,同时,网络上黑客工具汗牛充栋、唾手可得,实施攻击无需掌握高难的技术,使得犯罪成本(ocp)愈来愈小。这样,使得不等式左边远远大于其右边,导致网络系统始终受到严重威胁。
据国家互联网应急中心(cncert)的《2011年中国互联网网络安全报告》披露:
2011年境内木马或僵尸程序控制服务器ip数量为253684个,木马或僵尸程序受控主机ip数量为8895123个。
2011年境内
篡改网站数量累计为36612个。
2011年4-12月监测到境内12513个网站被植入网站后门,其中政府网站1167个。
2011年国家信息安全漏洞共享平台(cnvd)共收集整理并公开信息安全漏洞5547个,其中,高危漏洞2164个。
2011年,cncert共接收国内外报告网络安全事件15366起。
2011年3-12月监测到仿冒境内银行网站的域名有3841个;仿冒境内银行网站的服务器ip有667个。
《cncert互联网安全威胁报告》2012年11月的月报称,仅在1个月内:境内感染网络病毒的终端数为近466万个。境内被篡改网站数量为8253个,其中被篡改政府网站数量为658个;境内被植入后门的网站数量为5462个,其中政府网站有294个;针对境内网站的仿冒页面数量为6399个。
国家信息安全漏洞共享平台(cnvd)收集整理信息系统安全漏洞729个,其中,高危漏洞231个,可被利用来实施远程攻击的漏洞有686个。
据《瑞星2012年中国信息安全综合报告》称:
2012年1月至12月,瑞星“云安全”系统共截获新增病毒样本1181万余个。
2012年1月至12月,瑞星“云安全”系统截获挂马网站516万个(以网页个数统计)。
2012年1月至12月,瑞星共截获钓鱼网站597万个(以url计算),瑞星拦截挂马网站攻击的总数总计5097万次。
360安全中心的研究数据显示:
2012年1月至6月,国内日均约2835.3万台电脑遭到木马病毒等恶意程序攻击。
2012年上半年,360安全卫士共截获新增钓鱼网站350149家(以host计算),拦截钓鱼网站访问量更是高达21.7亿次。
2012年上半年,360安全卫士平均每月截获46.3万个挂马网页(以url计算),拦截挂马网页访问量419万次。
从以上的数据分析可知,网络攻击真实存在,网络犯罪令人触目惊心,在攻击者的定罪成本(ocm)和攻击者被定罪的可能性(pc)不变的条件下,我们只有在采用技术的手段同时,增大ocp以减少网络攻击犯罪。
3基于安全的软件开发生命周期
为了应对日益严重的网络犯罪,我们必须更新与完善软件工程的方法、工具和过程。
设计高质量的软件和良好的安全系统,加大攻击者实施攻击的犯罪成本。引进软件安全开发生命周期(securitydevelopmentlifecycle,sdl)是目前最有效的手段之一。sdl由13个阶段构成(如图2所示),其目的一是减少软件中安全漏洞与隐私问题的数量,二是降低残留漏洞的严重性。
(1)教育和意识。通过对设计师、开发人员、测试工程师、文档专员等每一个与软件开发有关的人员进行系统、持续的安全培训与考试,结合阅读安全书籍、发表安全文章等手段进行综合度量,让所有参与软件开发的工作人员牢固树立安全意识、夯实安全基础。
(2)项目启动。该阶段的主要工作是组建安全团队、配置bug跟踪管理数据库并建立bug标准。
(3)定义并遵从设计最佳实践。采用安全设计原则(经济机制、默认失效保护、完全中介、公开设计、权限分离、最小特权、最少公共机制、心理可接受度),枚举软件受攻击面的构成,有效降低受攻击面。
(4)产品风险评估。该阶段完成两个方面的任务:一是进行软件安全风险评估,二是对软件涉及的隐私影响进行分级。安全风险评估一般以问卷调查的形式开展,涉及的问题主要包括:安装问题、受攻击面问题、移动代码问题、安全特性相关问题、常规问题等。隐私影响通常分成3级。1级为最高,当处理敏感数据,如收集用户个人信息、不间断监控用户行为等情况发生时定义为1级。产品风险评估的目的是确定在开发软件时需要投入多大的资源。
(5)风险分析。通过威胁建模,系统地挖掘应用中的威胁,对每种威胁的风险进行分级并决定适当的消减措施。
(6)创建安全文档、工具及客户最佳实践。该阶段完成更为安全的文档的创建和安全工具的开发。所谓更为安全的文档就是充分纳入了安全信息的文档,这些文档包括:①安装文档;②主线产品使用文档;③帮助文档;④开发人员文档。安全工具,一般是小巧的工具,如生成器、向导等,主要目的是帮助用户更为方便且安全地配置系统和使用软件。
(7)安全编码策略。在代码开发和分析时必须遵从的策略:①使用最新版本编译器与支持工具;②使用编译器内置防御特性
;③使用源代码分析工具;④切勿使用违禁函数;⑤减少潜在可被利用的编码结构或设计;⑥使用安全编码检查清单。
(8)安全测试策略。测试阶段要求必须进行:①模糊测试;②渗透测试;③运行时验证;④重审威胁模型;⑤重估受攻击面。
(9)安全推进活动。通过代码评审,捕获安全bug、分类,并在工作完成时修复它。
(10)最终安全评审。在产品交付给客户之前所进行的最终安全评审,一般由安全团队组织进行,其主要任务是:①与产品开发团队协调;②对威胁模型进行评审;③对未修复的安全bug进行评审;④对工具有效性验证;⑤签署对产品是否可给客户的意见。
(11)安全响应规划。由于无法实现软件产品的绝对安全,必须制订相应的安全响应规划,即制订处置预案。该预案一般包括:①接收漏洞报告;②评估与分级;③创建修复;④多级测试;⑤安全更新等。该过程由安全团队与开发团队共同完成。
(12)产品。以cd、dvd或网络下载等方式产品。
(13)安全响应执行。该阶段的工作就是一旦有新的安全漏洞报告,即启动在第11阶段制订的安全响应预案。
与软件产品本身一样,其开发方法也是一个动态的变化过程。再安全的方法也要由人来执行,保障软件安全没有一劳永逸的办法,即使sdl也在不断地改进和更新。像传统的软件工程带来了软件产业的繁荣一样,不断完善的、基于软件安全开发生命周期的软件工程,必将给软件产业带来质的提升与飞跃。
主要参考文献
[1]齐治昌,谭庆平,宁洪.软件工程[m].北京:高等教育出版社,2001.
网络安全等级测评报告篇10
尤其乡镇卫生院在adr报告和监测工作方面存在着诸多问题,有的单位至今还是一片空白,
如何做好农村药品不良反应监测工作,是一个亟待解决的问题。
一、存在的问题及原因分析
(一)对药品不良反应报告的宣传力度不够,认识不足由于药品不良反应发生机制复杂,医生或患者判定不良反应存在着一定难度,加之adr监测工作开展较晚,宣传力度不够,社会各界对药品不良反应工作缺乏正确认识,特别是大多数基层医疗机构,adr报告和监测工作仍是一个新生事物,单位负责人、医护人员甚至包括有些药剂人员对adr产生的危害性了解不够,没有引起足够重视。有的认为,不良反应是用药过程中出现的正常现象,不必大惊小怪,没必要投入人力物力去开展这项工作,对上级的要求也是敷衍了事,得过且过;还有的认为,药品不良反应是药品质量有问题或临床用药错误所致,怕影响单位的名誉和经济效益,以致不敢或不愿积极主动地搜集、分析、上报本单位发生的药品不良反应。而对于药品经营企业来说,他们怕影响产品的销售及企业形象,很少将患者的反馈意见或知道的不良反应上报。
(二)不良反应报告的网络建设体系不完善,机制不健全由于我们食品药品监督管理部门的组建时间不长,实行县乡村三级监测网络建设还在不断完善阶段,加上目前我们的报告制度仍是自愿报告,所以对报告的主体缺乏约束力,药品不良反应监测工作的开展面临着较大的阻力。诸如村级卫生所在药品不良反应报表方面还存在着一定的死角,虽然在“两网”布点过程中,已经逐家把药品不良反应/事件报告表发给各村所,村医按照要求发现可疑药品及时记录到报告表中,但有的村所地处偏远,个别村所连电话都没有,无法与我局及时沟通,造成中间环节脱钩,一套科学有序的报告程序还没有运转开来。
(三)开展工作流于形式,报表缺乏客观性和科学性药品不良反应搜集、分析、判断、填报工作是一件很严肃的事情,来不得半点虚假。药品不良反应由于其发生机制和影响因素异常复杂,一些可疑的不良反应更需要渊博的医药学知识和丰富的临床试验相结合,经过认真的因果分析评价才能做出结论。许多基层医疗机构囿于相关知识的缺乏和工作态度的不端正,有些药品不良反应出现后,不去认真细致地搜集分析判断,而是较随意地填一些缺乏客观性科学性的报表,或者多一事不如少一事,有的每月末零报表
,有的甚至干脆就不填,更谈不上上报。
(四)未配备相应专职或兼职技术人员《药品不良反应报告和监测管理办法》明确规定,开展adr监测的单位应配备专职或兼职技术人员。adr报告和监测工作是一项专业性很强的工作,需要专业基础扎实的人员来承担。大多数基层医疗机构领导对此不够重视,将adr报告和监测工作当作一般的事务性工作,让一些非专业人员或对相关知识一知半解的人员从事兼职。随着adr监测工作开展广度和深度的增加,这些人员难以完成这一使命。
二、监管的对策及思考
(一)加强宣传,提高认识我认为在adr监测工作更多的表现在宣传上。结合我县的实际,首先,对各从药单位负责人进行宣传。我们可以通过举办培训班,认真讲解《药品不良反应报告和监测管理办法》,若发现与用药有关的不良反应应详细记录、调查、分析、评价、处理,并及时准确地填写《药品不良反应/事件报告表》,通过培训,让他们了解到,药品不良反应的危害性和监测报告的重要性,提高他们的认识,引起他们的重视,让他们认识到药品不良反应报告和监测是一项体现社会效益的工作,应该得到重视和支持;其次,对医院、诊所的医生、护士进行宣传。在医院的例会上,每次抽出一点时间,认真学习《药品不良反应报告和监测管理办法》,通过学习了解到,药品不良反应不是药品质量问题,药品不良反应报告的内容和统计资料是加强药品监督管理、指导合理用药的依据,不作为医疗事故、医疗诉讼和处理药品质量事故的依据,这在概念上非常清楚,在一定程度上消除了这些人员的疑虑。
(二)搭建网络,健全机构为了确保药品不良反应信息的收集和上报,根据我县的实际情况,建议建立全县药品不良反应监测信息收集、传递网络。即以县局为最高级、乡镇卫生院为中间级、村级卫生所为最初级的三级信息收集、传递网络,并出台相应的管理制度,该网络如正常运行,将全面促进adr监测工作的开展,发挥重要作用,收到切实效果。adr信息的收集、传递将实现层级上报、层级监督,形成链条。具体做法为村级诊所将发现的可能与用药有关的不良反应“传递”到乡镇卫生院,乡镇卫生院将本乡镇内收集的药品不良反应信息汇总后”传递”到县局,最后由县局向市局上报;县局将上级局反馈下来的药品不良反应信息再由高向低进行“传递”,最后通过最低级的村级诊所向广大农民宣传上级局或转发的药品不良反应信息,提高农民用药安全的认识和自我保护的意识。该网络作为现有农村食品药品监管网络的有利补充,能够使农村药品监管网络内涵更丰富、形式更合理,农村药品不良反应信息收集传递网络将得以不断扩大,进而使广大农民用药安全更加有保障。
(三)加强学习,培养专业人才由于adr报告和监测工作是一项技术性、政策性很强的工作,科学客观地分析和评价收到的adr信息是做好这项工作的根本,而adr的确认又是一个复杂的过程,需要进行全面客观科学的分析与评价,这就更需要既拥有有丰富知识又有强烈责任心的人才来担当重任,因此大力培养相关的专业部门人才责无旁贷。可以通过对医疗机构adr报告和监测工作进行监督检查,强化基层医疗机构adr报告和监测意识,增强其责任感、印发adr相关知识资料、培训班以及鼓励自学等方面进行着重培养。
(四)提高临床药学水平,把药品不良反应与合理用药、药品分类管理结合起来药品不良反应监测与推进药品分类管理密不可分,通过对药品不良反应信息的宣传突出药品分类管理的重大意义,强化凭处方购买和使用处方药,在执业医师或执业药师指导下使用非处方药的意识。而合理用药与药品不良反应相辅相成,医疗机构要把药品不良反应报告与临床日常病历记录结合起来,发挥执业药师的作用,开展药师用药干预,加强合理用药咨询;药品经营企业要通过正确介绍药品的性能、用途、禁忌、不良反应和注意事项等内容,向医生和患者提供药品安全性方面的资料,提醒购药者注意药品不良反应的危害性,告知防范措施和报告制度。