三、全面梳理信息网络和系统,认真做好信息系统安全等级保护定级、备案工作
卫生行业各单位要按照“谁主管、谁负责;谁使用、谁负责”的原则,全面梳理本单位信息系统和信息网络,摸清底数,根据《
信息安全等级保护管理办法》、《
内蒙古自治区计算机信息系统安全保护办法》和《
卫生行业信息安全等级保护工作的指导意见》等有关规定和标准,按照“行业自主定级、聘请专家评审、主管部门审核、公安机关监督”的要求,准确确定信息系统安全保护等级,并于2012年6月30日前到所属盟市公安机关办理备案手续。其中,自治区级卫生部门、跨盟市或者全区统一联网运行的第二级(含)以上信息系统,应到自治区公安厅备案。对于已定级的信息系统由于定级不准、信息系统的结构、处理流程、服务内容等发生重大变化或者公安机关要求重新确定等级的,应重新开展定级备案工作。新建信息系统要在规划设计阶段确定系统安全保护等级,并在等级确定后30日内到公安机关备案。公安机关要及时受理备案,在收到备案材料之日起10个工作日内对报送备案的材料进行审查,对符合要求的出具备案证明。对定级不准确或者保护措施不符合技术规范的,要书面通知报送单位予以纠正。
四、开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系
卫生行业各单位要在信息系统定级备案工作基础上,按照开展信息安全等级保护安全建设整改工作的有关要求,组织开展等级保护安全建设整改工作。按照《信息系统安全等级保护基本要求》等有关标准,通过开展等级测评等方式,确定信息系统安全建设整改需求,对信息系统进行加固改造和完善,落实安全保护技术措施和安全管理制度,建立信息系统综合防护体系,提高网络和信息系统的整体保护能力。
卫生行业各单位要对本单位第二级(含)以上信息系统开展等级测评,查找发现信息系统的安全问题、漏洞和安全隐患并及时整改,年内完成对本单位第二级(含)以上信息系统的等级测评。并于2012年12月31日前将等级测评报告向公安机关及卫生行政部门备案。
