您的位置: 首页 » 法律资料网 » 法律法规 »

农业部办公厅关于开展农业部门网络与信息安全检查的通知

作者:法律资料网 时间:2024-03-29 20:51:37  浏览:9185   来源:法律资料网
下载地址: 点击此处下载

农业部办公厅关于开展农业部门网络与信息安全检查的通知

农业部办公厅


农业部办公厅关于开展农业部门网络与信息安全检查的通知

农办市[2012]16号


各省、自治区、直辖市(农牧、农村经济)、畜牧、农机、乡企、兽医、农垦、渔业厅(局、委、办),新疆生产建设兵团农业局,部机关各司局、直属各事业单位:

  近日,国务院办公厅、公安部等有关部门先后印发了《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函[2012]102号)、《公安部信息安全等级保护监督检查通知书》(公信安 检字[2012]001号)等文件并召开会议,要求各地区、各部门和有关重点行业抓紧部署开展网络与信息安全检查,全力保障网络与信息安全。对此,我部领导高度重视,专门批示有关部门要认真组织好网络安全检查工作。为切实做好农业部门网络与信息安全检查工作,现就有关工作通知如下:

  一、检查目的

  全面摸清各单位信息系统安全等级保护定级备案、等级测评、安全建设整改等工作部署和落实情况。深入排查信息系统中存在的安全隐患和薄弱环节,分析评估面临的安全威胁和风险,有针对性地采取防范对策和改进措施。切实加强网络与信息系统安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升,防止重大信息安全事件的发生,切实保障农业部门网络与信息安全。

  二、检查范围

  本次检查的范围是为各单位履行政府职能或自身工作运转提供支撑的信息系统,包括自行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统、邮件服务系统等。检查的重点是依托互联网运行的各类网站和信息安全等级保护级别在第三级(含)以上的重要网络和信息系统。

  涉及国家秘密的网络和信息系统按国家保密规定执行,不在本次检查范围之内。

  三、检查内容

  (一)信息安全责任制建立及落实情况

  检查是否明确了信息安全主管领导,并对信息安全工作做出批示和具体部署;是否指定了信息安全管理机构,制定了工作计划、工作方案、管理规章制度等;是否配备了信息安全工作人员,并认真开展各项工作;是否发生过因违反制度规定而发生信息安全事故,并对事故责任进行了追究。

  (二)日常安全管理制度建立及落实情况

  1.人员管理制度

  检查是否有岗位信息安全责任、人员离岗离职管理、外部人员访问管理等相关规定;系统管理员、网络管理员、信息安全员等重点岗位人员是否签订了安全保密协议;离岗离职人员信息系统访问权限是否及时终止;外部人员访问记录是否完整。

  2.资产管理制度

  检查是否有设备发放、使用、维修、维护和报废等相关规定;对应的实物,检查资产台账是否完整,实物是否符合;是否指定了专人负责资产管理工作。

  3.存储介质管理制度

  检查是否有介质领用、交回、维修、报废、销毁等相关规定;了解存储阵列、磁带库等大容量存储介质是否外联,外联时是否有安全防护措施,是否存在远程维护。

  4.运行维护管理制度

  检查运行维护管理制度等相关文件是否包含备份、应急、监控、审计、变更管理等相关内容;是否有运维操作手册;运行维护管理制度是否认真落实,相关记录是否完整。

  5.年度教育培训

  检查年度培训计划制定情况和培训记录(培训时间、培训内容、人员签到、培训讲师等内容),确认信息安全管理人员和技术人员培训内容中是否包含专业技能培训,机关工作人员培训内容中是否包含信息安全基本技能培训。

  (三)信息安全等级保护制度落实情况

  检查是否组织部署等级保护有关工作;是否制定发布等级保护政策文件、行业标准规范和管理制度等;所属信息系统是否全部完成信息系统定级和备案;安全保护等级第三级(含)以上的重要信息系统每年是否开展等级测评和安全建设整改;信息安全产品与服务的使用是否符合等级保护制度的规定(等级保护制度具体内容可登陆www.djbh.net网站查询)。

  (四)应急处置及容灾备份情况

  检查是否制定了信息安全事件应急预案,并及时进行了修订和完善;是否定期组织开展预案实施演练,相关人员是否熟悉操作流程;是否建立了灾难备份和恢复措施,应急资源(技术支撑队伍、备机备件等)是否配备到位。

  四、检查方式

  本次检查按照“谁主管谁负责、谁运行谁负责”的原则,采取自查与抽查相结合、以自查为主的方式开展。

  (一)自查

  各单位要全面系统地检查所涉及网络与信息系统的安全情况,深入分析存在的隐患和问题。自查方式应以技术检测为主,可聘请经有关部门认定的网络安全测评机构,使用检测工具检测操作系统、数据库、网络设备、安全设备、应用系统等的端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。鼓励各单位组织专业技术力量,采取模拟攻击方式对系统进行渗透测试,检验系统防入侵、防攻击、防泄漏、防篡改等能力。

  (二)抽查

  1.部机关和直属事业单位。部市场司、办公厅、信息中心等有关单位将组成联合检查组,采取非破坏性攻击渗透测试、现场核查等方式,对部分单位网络与信息系统进行安全抽查,查找安全漏洞和隐患,评估安全防护能力,研究提出改进和加强安全保障的措施建议,并及时反馈有关单位。

  此外,公安部、工信部拟于近期派出检查组对国务院各部门开展网络安全工作抽查。

  2.各地农业部门。应由本单位网络安全监管部门牵头,会同本单位信息中心等有关单位,按照当地网络与信息安全协调小组及公安、工信等相关部门要求,认真组织开展信息网络安全抽查工作。对发现的问题要及时反馈有关单位,提出整改意见并督促落实。

  五、有关要求

  (一)边检查边整改

  各单位要切实做好整改工作,检查中发现问题要及时采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划及整改方案,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。

  (二)加强风险控制与保密管理

  在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。要对技术检测活动的安全风险进行评估,防止引入新的风险,并要求相关人员严格遵守操作规程。应对重要数据和配置进行备份,尽量避开业务高峰期进行技术检测。

  各单位要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的国家秘密和商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向其他单位透露。

  (三)认真做好总结

  各单位要对自查情况进行全面总结,认真撰写自查报告(参考格式见附件,可登陆www.scs.moa.gov.cn/tzgg下载)。自查报告须给出对本单位安全状况和安全防护能力的总体判断。填写检查情况报告表时,应避免出现漏项、错项、前后不一致等情况。要根据检查报告内容的敏感程度,确定报告密级并在报告首页明确标识。

  部机关和直属事业单位请于7月25日前将自查报告报送市场与经济信息司。

  各地农业部门请于7月25日前将自查报告通过电子邮件或传真报送农业部市场与经济信息司,同时抄报当地公安、工信等有关部门。

  联系单位:农业部市场与经济信息司

  联系人:徐佳男

  联系方式:010-5919150759192395(传真)

  E-mail:xujianan@agri.gov.cn

  附件:信息安全自查报告参考格式

  

                                    二〇一二年七月十七日

  

附件:

信息安全自查报告参考格式

  一、自查报告名称

  ×××(单位名称)信息安全自查报告

  二、自查报告组成

  自查报告包括主报告和报告表两部分。

  三、主报告内容要求

  (一)信息安全自查工作组织开展情况

  概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。

  (二)信息安全工作情况

  对照《通知》要求,逐项、详细描述本单位在安全管理、信息安全等级保护制度落实、应急处置与灾备等方面工作的检查结果。

  (三)自查发现的主要问题和面临的威胁分析

  1.发现的主要问题和薄弱环节

  2.面临的安全威胁与风险

  3.整体安全状况的基本判断

  (四)改进措施与整改效果

  1.改进措施

  2.整改效果

  (五)关于加强信息安全工作的意见和建议

  附表:1.信息系统定级备案情况汇总表

  2.未定级、撤销及变更备案信息系统情况表

  3.跨省全国联网信息系统基本情况调查表

  4.信息安全检查情况报告表

  附表1:

信息系统定级备案情况汇总表

   序号
信息系统所属单位名称
信息系统名称
安全保护等级











  附表2:

未定级、撤销及变更备案信息系统情况表

序号
信息系统所属单位名称
信息系统名称
拟定安全保护等级
系统状态

①新建系统②撤销系统③变更备案系统









  附表3:

跨省全国联网信息系统基本情况调查表

(部机关和直属事业单位填写)

序号
单位名称
信息系统名称
安全保护等级
部署模式
省级分支数量
省级分支等级
地市分支数量
地市分支等级
数据存储方式
备注








填表说明:1、本表统一按EXCEL格式填写,在表格内部不要合并单元格;2、“部署模式”分为:①部省两级部署②部省市三级部署;3、“省级分支等级”和“地市分支等级”如果不统一或未确定,可以填写拟确定的安全保护等级;4、“数据存储方式”分为:①分支系统存储数据②分支系统不存数据,有网络设备或前置设备等③分支系统不存数据,仅为终端;5、如有其他情况需要说明,请在备注栏内填写。


  附表4:

信息安全检查情况报告表

   单位名称:

基本情况
重要信息系统总数

(按实时性进行统计)
1.非实时运行的系统数量

2.实时运行的系统数量

(按服务对象进行统计)
1.面向社会公众提供服务的系统数量

2.不面向社会公众提供服务的系统数量

(按联网情况进行统计)
1.直接连接互联网的系统数量

2.同互联网强逻辑隔离的系统数量

3.与互联网物理隔离的系统数量

(按数据集中情况进行统计)
1.全国数据集中的系统数量

2.省级数据集中的系统数量

3.未进行数据集中的系统数量

(按灾备情况进行统计)
1.进行系统级灾备的系统数量

2.仅对数据进行灾备的系统数量

3.无灾备的系统数量

系统

构成情况
主要硬件和软件
服务器
路由器
交换机
防火墙
磁盘阵列
磁带库
操作系统
数据库

国内品牌数量(台/套)

国外品牌数量(台/套)

业务应用

软件系统
1.自主设计开发(不含二次开发)的数量

2.委托国内厂商开发的数量

委托国外厂商开发的数量

3.直接采购国内厂商产品的数量

直接采购国外厂商产品的数量

信息技术外包服务
服务商名称:
服务商性质:□国有□民营□外资

服务内容:

服务方式:□远程在线服务□现场服务

(如有更多,请另列表)


安全状况分析结果
信息系统对国外产品和服务的依赖程度
主要业务

对信息系统的依赖程度
信息系统

面临的安全威胁程度
信息系统

安全防护能力

信息系统名称













1.

2.

(如有更多,请另列表)




安全状况分析方法

  一、主要问题分析

  1.从安全管理和技术防护两个方面,对检查中发现的主要问题及薄弱环节逐一进行研究,深入分析问题产生的直接原因以及深层次的原因,研究提出相应的改进措施。

  2.从法律法规、政策制度、技术手段三个方面,分析制约本单位系统安全防护能力提高的主要因素,包括当前不适应安全管理工作或缺失的法律法规及政策制度,安全防护中缺少或严重不足的技术手段等,研究提出关于加强信息安全工作的意见和建议等。

  二、国外依赖度分析

  根据对主要软硬件设备和信息技术外包服务的检查情况,统计国外产品和服务所占的比例,分析系统对国外产品和服务的依赖程度,记录分析结果。

  系统对国外产品和服务的依赖程度按以下标准判定:

  1.高依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统无法运行。

  2.中依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够运行,但系统功能、性能等受较大影响。

  3.低依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够正常运转或受影响较小。

  三、主要威胁分析

  根据安全检测发现的漏洞和隐患,分析系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估系统总体安全状况。

  1.系统面临的安全威胁程度按以下标准判定

  系统具有下述特征之一的,为高安全威胁:(1)连接互联网,采用远程在线方式进行运维或对国外产品和服务高度依赖;(2)跨地区联网运行或网络规模大、用户多,采用远程在线方式进行运维或对国外产品和服务高度依赖;(3)存在其他可能导致系统中断或系统运行受严重影响、大量敏感信息泄露等的威胁。

  系统具有下述特征之一的,为中安全威胁:(1)连接互联网,对国外产品和服务中度依赖;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务中度依赖;(3)存在其他可能导致系统运行受较大影响、敏感信息泄露等的威胁。

  系统具有下述特征之一的,为低安全威胁:(1)连接互联网,对国外产品和服务依赖度低;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务依赖度低;(3)存在其他可能导致系统运行受影响、信息泄露等的威胁。

  2.系统安全防护能力按以下标准判定

  安全防护能力高:经组织专业技术力量对系统进行攻击测试,不能通过互联网进入或控制系统。

  安全防护能力中:经组织专业技术力量对系统进行攻击测试,能够通过互联网进入或控制系统,但进入或控制系统的难度较高。

  安全防护能力低:经组织专业技术力量对系统进行攻击测试,能够轻易通过互联网进入或控制系统。


附件:
2012年农办市[2012]16号(X).CEB

http://www.moa.gov.cn/govpublic/SCYJJXXS/201207/t20120718_2793623.htm


下载地址: 点击此处下载

中国人民建设银行声像档案管理暂行办法

建设银行


中国人民建设银行声像档案管理暂行办法
建设银行



第一条 为加强建设银行声像档案管理,更好地开发利用建设银行声像档案信息资源,根据国家档案局有关规定,特制定本办法。
第二条 建设银行声像档案是各级建设银行在各项工作活动中形成的具有现实和历史使用价值的照片(底片、像片)、录音带、录像带、影片等声像材料。
第三条 声像档案收集范围
一、本级行召开的重要会议和举行重大活动的声像材料。
二、上级党政领导人视察本行工作,接见本行会议代表及有关人员的声像材料。
三、本级行重要外事活动的声像材料。
四、反映本级行开办新业务和取得工作成果的声像材料。
五、本级行领导在本行经办的重大建设项目开工、竣工验收、投产等活动中的声像材料。
六、本级行历届行级领导干部的照片。
七、本级行组织录制和拍摄的电视片、影片。
八、其他具有保存价值的声像材料。
第四条 归档要求
一、各类声像档案资料均应附有简明扼要的文字说明。并保持与同一事物其他载体档案(如文书档案)的联系性、一致性。文字说明应包括以下要素。
1.内容:声像资料所反映事件、事件的具体内容。
2.时间:事件发生或事物变化、产生的时间和制作时间。
3.地点:事件发生所在的具体地点。
4.人物:声像资料上所反映主要人物的姓名、身份。
5.背景:对揭示声像资料主题具有一定作用的背景。
6.制作者:声像资料制作单位和制作人。
编写文字说明,要综合运用上述要素,概括地指出声像资料所反映的全部信息,文字简洁,语言通顺,一般不超过200字。
二、录像带图像清晰,内容要完整,能够概要反映事物的全貌。
三、录音带的声音要清楚,一盒磁带不得录制两项内容。
四、底片与像片的影像相符。底片、像片、说明要齐全。
第五条 归档时间
声像档案应于形成后半个月内,由经办人或部门档案管理人员按归档要求整理,然后向本行档案部门移交,移交时填写声像档案移交表,一式两份,交接双方各持一份。照片档案归档时还应填写照片档案移交明细表,逐张注明归档照片的基本内容。
第六条 声像档案的整理
档案部门对接收的声像档案材料应区别不同的载体进行必要的加工整理。
一、照片的整理
(一)底片应按形成的时间并结合拍摄内容编大流水号,底片号用铁笔刻写在胶片乳剂面右下角片边处,并按底片号顺序将底片装袋插入底片册保管。
(二)像片一般应按问题——时间或年代——问题进行分类。分类应保持前后一致,不能随意变动。
(三)在分类基础上组卷。每一卷内的像片都应按照排列顺序,逐张编写流水顺序号即照片号,并在文字说明部分,注明照片号及与其对应的底片号。卷内像片如与其他类档案有联系,则应填写参见号,格式为(档案类别)目录号——案卷号,例如:(文书)42—8,表示文书档案
第42号目录第8号案卷。
(四)编写照片说明一般应以像片的自然张为单位,遇有一组(若干张)联系密切的像片应加总说明。一组像片凡已加总说明的,其余像片应分别编写简要的分说明,并在分说明前注“*”符号。
(五)卷内目录应以同一内容的像片(单张或一组)为单元顺序填写,题名可以文字说明为基础提炼而成,字数一般不要超过50字,并应尽量保证基本要素内容完整,大照片应与同一内容的普通照片一同组卷,单独存放,并在卷内目录的备考栏内注明“大照片”。
(六)卷内备考表应放在案卷的最后一面,用于说明案卷内像片的整理、变动情况。
(七)案卷标题力求简明,要能概括卷内全部照片的基本主题。
(八)按照案卷的排列顺序填写照片档案案卷目录,并按要求入库妥善保管。
二、录音、录像、影片档案的整理
(一)档案部门应将接收的录音带、录像带、影片等声像资料,按照接收时间顺序以盘(盒)为单位分载体混年度编三个流水号即盒号,并分别填写登记目录。
(二)凡归档的录音、录像、影片档案,在盘(盒)外都应注明盒号、年底、内容简要等项目,以利查找利用。
第七条 声像档案的保管
一、保持适宜的温湿度。保存声像档案的适宜温湿度为:温度13%~22℃,相对湿度35%~55%。
二、具有防磁措施。避免接近带有磁性的物体。
三、保持清洁,防止灰尘。接触底片的人员应带洁净的手套操作,防止汗渍污染底片。
四、定期检查。对收藏的照片档案要每二年检查一次;长期保存的磁带应每6~12个月重绕一次,以释放磁带内部压力,对破损或变质的声像档案要及时修补、复制或作其他技术处理。
五、重要的录音、录像、影片档案归档时要进行备份,实行两套制保管。
第八条 各级行声像档案,应由本行档案部门集中统一管理,以确保声像档案的完整性、系统性。
第九条 各级行应根据本行条件购置相应的设备,为科学的保管声像档案创造良好的环境和条件。声像档案的装具,由各级行根据本行实际自行设计或按当地档案局要求执行。
第十条 声像档案的保管期限分为永久、长期二种,长期保管期限为16~50年。
第十一条 各级行应充分利用声像档案,为本行、本系统编辑图书、画册,举办各种展览以及其他方面的利用提供借阅、复制等服务。有条件的行,可购置必要的设备,提供播放、录制服务。
第十二条 声像档案的鉴定与销毁
声像档案的鉴定销毁工作,由档案部门和有关部门组成的鉴定小组负责,任何人不得擅自剔出、销毁声像档案。经鉴定准备销毁、消磁的声像档案,须由档案部门编制销毁清单,报本行办公室主任和分管档案工作的行长审批。审批人、制表人及监销人,均应在销毁清单上签字、盖章。

销毁声像档案的方式,有销毁实体和销毁信息两种,实体销毁即焚毁,信息销毁可采用消磁、改录的方法。
第十三条 本办法适用于各级建设银行。
第十四条 本办法由总行办公室负责解释。补充、修改时同。
第十五条 本办法自颁布之日起试行。



1994年3月12日

卫生部办公厅关于加强医疗美容服务监管的通知

卫生部办公厅


卫生部办公厅关于加强医疗美容服务监管的通知

卫办医管发〔2010〕 202号


各省、自治区、直辖市卫生厅局,新疆生产建设兵团卫生局:

改革开放以来,随着人民生活水平的不断提高,医疗美容行业取得了较大发展,对于满足人民群众日益增长的医疗美容需求起到了积极的作用。但是,由于多种原因,医疗美容行业存在着准入标准不高、人员素质偏低、质量管理不严等问题,部分地方医疗美容相关的医疗质量安全事件频发,甚至出现因接受医疗美容服务而导致死亡的严重事件。根据《执业医师法》、《医疗机构管理条例》、《医疗美容服务管理办法》,为规范医疗美容服务,提高医疗质量,保障医疗安全,现就加强医疗美容服务监管工作提出如下要求:

一、加强组织领导

各级卫生行政部门要进一步提高对于医疗美容服务监管工作重要性的认识,按照相关法律、法规的规定,切实加强对医疗美容服务监管工作的组织领导。对医疗美容机构的监管要做到“底数清、项目明、全公开、责任实”,调动社会各方面力量,加大医疗美容服务的监管工作力度。要指导各级各类开展医疗美容服务的医疗机构进一步提高依法执业的意识,加强人员培训,提高技术水平,严格按照相关法律、法规、规章、诊疗常规和技术操作规范开展医疗美容服务,严格执行医疗美容项目分级管理制度和医疗质量安全管理核心制度,确保医疗质量安全。

二、做好资质核查

各级卫生行政部门要按照《医疗美容服务管理办法》、《医疗美容机构、医疗美容科室基本标准(试行)》和《医疗美容项目分级目录》的要求,对辖区内取得《医疗机构执业许可证》的医疗美容机构和医疗机构内设医疗美容科室的名称、诊疗科目、人员、设备、医疗美容项目等基本准入资质情况进行核查,严把“准入关”。对于达不到基本标准条件的医疗美容机构或医疗机构内设医疗美容科室,应当依法坚决予以取缔。要对本辖区内开展医疗美容服务的医疗机构注册信息与我部医疗机构注册联网管理系统中的相关信息进行比对,有遗漏和错误的,要按照规定及时补充和修正。各省级卫生行政部门要在官方网站向社会公示医疗美容机构名单及备案的医疗美容项目等信息。

三、开展专项检查

各级卫生行政部门要在2011年3月15日前,组织开展医疗美容服务专项检查。按照“谁审批、谁监管、谁负责”的分级管理原则,有关地方卫生行政部门要积极发挥卫生监督机构的作用,对核发《医疗机构执业许可证》的医疗美容机构和医疗机构内设医疗美容科室的执业行为及主诊医师执业情况等进行全面检查。重点查处超出备案的医疗美容项目开展医疗美容服务、违法发布医疗美容广告、使用非卫生技术人员从事医疗卫生技术工作等违法行为。对于未经批准和篡改《医疗广告审查证明》内容发布违法医疗美容广告的医疗机构,要按照《医疗广告管理办法》严肃处理。

四、建立长效机制

各级卫生行政部门要建立医疗美容服务监管工作的长效机制,按照相关法律、法规、规章的要求,结合医疗机构校验、医疗机构不良执业行为记分等工作,建立医疗美容服务监管的长效机制。要加强对医疗美容服务的日常性监管,原则上每个校验周期内,至少组织一次对医疗美容机构和医疗机构内设医疗美容科室的执业行为、医疗质量等的现场监督检查,并将检查结果作为校验的重要依据。要加强对医疗美容相关医疗质量安全事件的调查处理工作,通过组织医疗损害鉴定等方法,明确事件相关责任,依法作出妥善处理。在开展医疗美容服务监管工作过程中,可以委托卫生监督机构承担具体执行工作,并注意发挥相关学会和协会的作用,引导建立行业自律机制。

请各省级卫生行政部门于2011年3月底前,统一将医疗美容专项检查情况书面报告及医疗美容服务专项检查结果报告表以纸质版和电子版形式同时上报我部医管司。我部将适时组织专家对部分省(区、市)医疗美容服务监管工作进行抽查。电子邮箱:mohygs@163.com



二〇一〇年十二月二十三日