2015年度深圳市卫生和计生单位信息安全专项检查评分标准.docVIP

2015年度深圳市卫生和计生单位信息安全 专项检查评分标准 信息安全制度落实情况（共5分） 序号 指标 检查项 检查内容 评分指引，发现扣，扣为止。指引 等级保护 等级保护定级及测评 单位所有信息系统的等级保护定级备案情况 1、本单位所有信息系统（含0分； 说明：以公安网监2015年出具的《结果通知书》为准，收集《结果通知书》截止时间为10月30日，截止日期之前未收集到数据的该项不得分。 15 4 等级保护 信息系统整改 根据2014年和2015年单位所有信息系统测评报告，检查整改情况。 2014年本单位信息系统测评结果为符合和基本符合的，得10分，或2014年本单位信息系统测评未通过的，且测评报告中不符合项已全部完成整改，得10分； 2014年本单位信息系统测评未通过的，不符合项整改完成50%及以上的，得6分；不符合项整改完成50%以下的，得2分；不符合项完全未整改的，不得分。 说明：以上检查以公安网监2015年出具的《结果通知书》和测评机构2015年出具的《测评报告》为评分依据。收集信息截止时间为10月30日，截止日期之前未收集到数据的该项不得分。 10 5 现状自查 《信息安全现状自查表》的上报情况 检查单位是否按时上报《信息安全现状自查表》。 1、《信息安全现状自查表》未在通知要求的日期前上报的，扣7分 7 安全防护措施落实情况（共30分） 序号 指标 检查项 检查内容 评分指引 评分 备注 6 安全防护措施 防病毒系统使用情况 检查计算机终端是否安装了防病毒系统及病毒代码更新情况。 三级医院抽查15台，二级医院抽查10台，一级医院抽查5台，公卫机构抽查5台。 计算机终端未安装防病毒软件的，发现一台扣2分，扣完为止； 计算机终端安装了防病毒软件，但防病毒代码未更新至最近一周，发现一台扣1分，扣完为止。 10 7 安全防护措施 弱口令 抽查计算机终端开机口令。 三级医院抽查15台，二级医院抽查10台，一级医院抽查5台，公卫机构抽查5台。 1、计算机终端开机存在弱口令（长度8位以下，非由大小写、数字、特殊字符的混合体组成扣 5 8 安全防护措施 网络安全审计措施 1、检查单位的网络安全审计措施；2、核查审计系统运行日志的保存情况。 联网单位有专用的网络安全审计设备或技术手段记录网络访问日志（含地址转换前的上网行为）单位信息系统网站对单位信息系统网站进行应用层漏洞扫描 应急响应机制建设情况（共20分） 序号 指标 检查项 检查内容 评分指引 评分 备注 11 应急预案 应急预案的相应机制 检查单位的应急预案。 建立应急技术支援队伍，并制定了应急预案重要系统的完整保存了相关对预案进行审查或应急预案重要系统的完整保存了相关未对预案进行审查或应急预案应急预案得；单位安全事件发生一扣 安全教育培训情况（共5分） 序号 指标 检查项 检查内容 评分指引 评分 备注 14 信息安全教育培训 信息安全教育培训记录 检查单位信息安全全员培训的记录。 1、2015年至少开展一次全体工作人员的信息安全知识培训，并提交培训记录（培训记录必须包括培训时间、地点、参加培训人员签到表、应培训人数、参加培训人数、职位、培训内容、参加培训最高领导等信息），得5分。 说明：本项检查以等保测评报告为参考标准，在测评报告中不能体现的，以上报的培训记录或现场查看证据作为补充。 5 注：评分项共计100分。 信息安全专项检查得分 = 适用的评分项得分/适用的评分项总分×100% 第 6 页 共 6 页