2024年信息安全自查（二篇）

第3页共3页2024年信息安全自查一、公司始终重视信息安全及规章制度的构建。自运营以来，我们依据《____公司信息系统运行管理制度》《____公司计算机信息系统安全、保密管理规定》等内控制度，建立了全面的信息安全管理制度体系，包括安全策略、安全管理规定和操作规程等。我们设立了专门的安全组织，制定了人员安全管理、系统建设和运维的相关制度，并明确了各岗位的安全职责。同时，我们严格遵循监管机构的规定，实行严格的机房管理、外来人员管理和信息数据安全管理。此次自我审查工作分为三个阶段进行。首先，由行政人事部主导，全面梳理安全管理制度、设施、人员和岗位职责。其次，我们联合分公司各部门和中心支公司，共同讨论并补充现有制度的不足。最后，由信息检查小组再次审查整体信息安全工作，并纠正发现的错误。在审查过程中，我们注意到部分中支信息员对规定和通知的执行力度不足，对此，公司将实施更严格的管控措施和奖惩制度。大部分电脑已按总公司要求加入域管理，安装了网络版防病毒软件，并使用设备封锁非工作相关网站，有效降低了系统风险。然而，自查也发现分公司在执行力度上存在差距，部分中心支公司未实现域管理，对此，公司将再次发布文件，要求所有中支将电脑纳入域管理，以实现集中管理。三、为确保电子信息系统安全、稳定、可靠运行，我们的网络机房按照国家机房标准严格建设。分公司与总公司的网络采用联通SDH专线和电信SDH专线（互为备份）。机房内设备包括防火墙、交换机、上网行为管理设备、服务器、工控机等，配备有长效型UPS，目前设备运行状况良好。机房设有门锁、中央空调，由专业信息管理人员管理，确保每月清洁，每天现场巡视。公司的业务、财务和辅助系统采用B/S模式，数据集中在总公司服务器，系统界面友好，无需分公司维护。系统开发和维护由总公司控制，分公司仅拥有使用权限，但各省公司或中支可提出需求，总公司评审后视情况执行。系统账号权限实行分级管理，分公司权限有限，但可单独设置岗位权限和机构权限。系统运行正常，财务系统和业务系统可无缝实时对接，数据信息流转顺畅。四、在数据管理与灾备建设方面，业务数据由总公司统一存储，我公司仅存储部分数据（如呼叫中心数据）。我们采用双击备份加光盘存储方式备份数据，并在服务器故障时启用呼叫转移，确保呼叫中心系统的畅通。五、为确保系统稳定和网络畅通，我们要求信息管理人员24小时开机，随时处理突发情况并与总公司保持沟通。近期的演练显示，即使在人为断电情况下，UPS也能切换至后备电池供电，确保网络畅通至少____小时。在自查过程中，我们也识别出一些问题，包括员工信息安全意识不强、部分机构制度建设不完善或落实性差等。未来，我们将加强信息安全意识教育，提高员工的主动性和自觉性，加强制度建设和落实，完善应急预案，以确保信息安全管理工作的有序进行，并将全辖办公电脑全部纳入域管理。2024年信息安全自查（二）接到《河南省卫生计生委关于开展河南省卫生系统网络与信息安全督导检查工作的通知》后，我院管理层对此给予了高度关注，随即组织相关部门召开专门会议，深入研读文件，坚决执行其精神，充分理解网络与信息安全自查的紧迫性和重要性。我们按照文件指示，对各项内容进行了详尽的自我检查，现将自查结果报告如下：一、我院信息系统现状。目前，我院运行的系统包括HIS、EMR、LIS、PACS及心电图系统等五大核心系统，所有测试账户在系统上线后已彻底清除。各系统为特定用户分配了使用账户及初始密码，而超级账户的管理权则由信息科人员掌控。这五大系统自____年____月起逐步实施完成，具体承建商及使用人员如下：二、网络安全管理状况。医院管理层对网络安全管理极为重视，已成立由院领导任组长，各部门主要负责人组成的网络安全管理小组，信息科作为办公室，由____担任办公室主任。医院已制定并以正式公文形式发布了《医院信息安全管理制度》、《信息保密制度》、《网络安全管理制度与规则》、《互联网管理规章制度》等一系列制度，以确保各应用部门的网络安全。三、技术防护措施及安全风险评估。如表所示，我院已实施一系列技术防护措施，包括使用防病毒软件、防火墙、划分VLAN、数据库审计等。然而，我们也意识到存在一些不足，如缺乏入侵检测系统、备份系统等。这些待改进之处已列入信息科____年工作计划，并将在____年内在信息化领导小组的监督下尽快完善。四、信息安全等级保护执行情况。详细内容见原文，报告中已阐述了我院