度深圳市卫生和计生单位信息安全专项检查评分标准.docVIP

2015年度深圳市卫生和计生单位信息安全 专项检查评分标准  信息安全制度落实情况（共5分） 序号 指标 检查项 检查内容 评分指引 评分 备注 1 信息安全管理制度 信息安全制度制定及落实情况 检查以下各项信息安全管理制度及制度执行情况： a）信息安全管理机构成立情况； b）信息安全管理职能部门设置； c)信息安全管理人员配备； d)信息安全制度执行情况记录。 根据本年度等保测评报告制度管理部分，发现一项不符合，扣1分，扣完5分为止。 说明：本年度等保测评报告数据收集截止时间为10月30日，截止日期之前未收集到数据的该项不得分。 5 信息安全等级保护落实情况（共40分） 序号 指标 检查项 检查内容 评分指引 评分 备注 2 等级保护 等级保护定级及测评 单位所有信息系统的等级保护定级备案情况 1、本单位所有信息系统（含业务、办公、网站等信息系统）没有定级备案的，发现一个系统扣2分，扣完8分为止。 本项以公安部门出具的定级备案证书为准。 8 3 检查单位本年度所有二级以上信息系统等级测评情况。 单位所有二级及以上信息系统已完成测评，得15分； 单位所有二级及以上信息系统已完成测评50%及以上，得8分； 单位所有二级及以上信息系统已完成测评50%以下，得0分； 说明：以公安网监2015年出具的《结果通知书》为准，收集《结果通知书》截止时间为10月30日，截止日期之前未收集到数据的该项不得分。 15 4 等级保护 信息系统整改 根据2014年和2015年单位所有信息系统测评报告，检查整改情况。 2014年本单位信息系统测评结果为符合和基本符合的，得10分，或2014年本单位信息系统测评未通过的，且测评报告中不符合项已全部完成整改，得10分； 2014年本单位信息系统测评未通过的，不符合项整改完成50%及以上的，得6分；不符合项整改完成50%以下的，得2分；不符合项完全未整改的，不得分。 说明：以上检查以公安网监2015年出具的《结果通知书》和测评机构2015年出具的《测评报告》为评分依据。收集信息截止时间为10月30日，截止日期之前未收集到数据的该项不得分。 10 5 现状自查 《信息安全现状自查表》的上报情况 检查单位是否按时上报《信息安全现状自查表》。 1、《信息安全现状自查表》未在通知要求的日期前上报的，扣7分 7 安全防护措施落实情况（共30分） 序号 指标 检查项 检查内容 评分指引 评分 备注 6 安全防护措施 防病毒系统使用情况 检查计算机终端是否安装了防病毒系统及病毒代码更新情况。 三级医院抽查15台，二级医院抽查10台，一级医院抽查5台，公卫机构抽查5台。 计算机终端未安装防病毒软件的，发现一台扣2分，扣完为止； 计算机终端安装了防病毒软件，但防病毒代码未更新至最近一周，发现一台扣1分，扣完为止。 10 7 安全防护措施 弱口令 抽查计算机终端开机口令。 三级医院抽查15台，二级医院抽查10台，一级医院抽查5台，公卫机构抽查5台。 1、计算机终端开机存在弱口令（长度8位以下，非由大小写字母、数字、特殊字符的混合体组成）的，发现一台扣1分，扣完为止。 5 8 安全防护措施 网络安全审计措施 1、检查单位的网络安全审计措施；2、核查审计系统运行日志的保存情况。 联网单位有专用的网络安全审计设备或技术手段记录网络访问日志（含地址转换前的上网行为）； 访问日志可追溯到检查日期前60天，且访问日志没有一天以上的中断（系统正常维护停机或故障停机除外）； 只符合第一项，得3分； 以上两项都符合，得5分。 5 9 安全防护措施 信息系统安全防护 检查单位向互联网发布的信息系统（含网站）部署应用防火墙的情况。 所有向互联网发布的信息系统已受应用防火墙保护的，得4分； 所有向互联网发布的信息系统没有受应用防火墙保护的，得0分。 4 10 安全防护措施 检测单位向互联网发布的信息系统或网站 对单位向互联网发布的信息系统或网站进行应用层漏洞扫描和渗透测试。 向互联网访问的系统或网站被市党政机关联合检查组发现存在中高风险漏洞或被成功渗透的，扣6分。 说明：根据市2015年党政机关信息安全联合检查的公布结果为检查依据。 6 应急响应机制建设情况（共20分） 序号 指标 检查项 检查内容 评分指引 评分 备注 11 应急预案 应急预案的相应机制 检查单位的应急预案。 建立应急技术支援队伍，并制定了应急预案，本年度进行了1个及以上重要系统的完整演练并保存了相关记录（含数据备份恢复演练），并每年对应急预案进行审查或修订，得5分； 建立了应急技术支援队伍，并制定了应急预案，本年度进行了1个及以上重要系统的完整演练并保存了相关记录（含数据备份恢复演练），但年度内未对应急预案进行审查或修订，得4分； 建立了应急技术支援队伍，并制