一、組織管理和責任落實

1.領導小組組建。網絡安全與信息化領導小組健全，有網絡安全、數據安全管理工作領導小組的任命或授權文件；年內未發生重大安全事件。

2.網絡信息安全管理制度落實情況。制定網絡安全日常、數據安全管理制度，規范網絡運行維護和日常管理要求。信息化建設規劃中同步考慮和納入網絡安全、數據安全建設內容。將網絡安全建設整改、運行維護、日常管理、檢查評估等網絡安全、數據安全工作經費納入年度信息化工作預算。

3.網絡信息安全責任簽約工作。開展重點崗位人員網絡信息安全責任簽約工作。

二、網絡信息安全等級保護工作

1.定級備案與測評工作。定期開展網絡安全等級保護定級、備案、測評、安全建設整改等工作。針對等級保護三級信息系統提供核心設備冗余。

2.三員管理。系統管理、信息安全、審計分別有專人負責。

3.信息安全承諾簽訂工作。針對疾病預防控制重要信息系統，開展系統責任管理單位與下級使用單位的安全承諾責任簽約。

4.網絡信息安全檢查和培訓。定期開展信息系統網絡安全檢查和安全培訓。

5.服務商管理。與服務商開展保密協議簽訂。

6.云網平臺統一接入管理。具備本級應用的云或平臺在部署區級疾控相關應用系統后資源占用率不高于80%；使用電子政務外網和VPN虛擬專網接入各級各類醫療衛生機構；建立配置穩定、溝通暢通的運維團隊。

三、終端和數據安全管理

1. 聯網計算機終端管理。終端設備安裝有查殺病毒軟件，對重要信息系統的終端電腦備案并實名制管理。及時開展終端和服務器補丁更新，關閉高危端口。

2．視頻會商終端管理。構建和完善視頻會商相關的終端及音視頻網絡聯通基礎條件，確保有效接受國家和市級疾控機構的遠程視頻會商指導。

3.數據管理。對信息系統統一歸口管理。落實系統數據備份及恢復措施。完善信息系統的重要離線數據使用管理機制，落實臺賬使用審批管理。

四、信息系統用戶權限和編碼管理

1.用戶規范管理。按照相關申請審批流程開設賬戶，建立人員和賬號清單、人員權限清單。應實名制管理“一人一賬戶”，禁止“多人一賬戶”，強化密碼管理，及時清理無人使用的賬戶。根據“最小、夠用”原則進行用戶授權。

2.VPN虛擬專網接入管理。根據疾控專網管理要求開展VPN接入管理，規范操作規程，落實使用人員管理。全面加強VPN虛擬專網安全性，實現通信雙方的身份鑒別，通信過程中敏感數據的機密性、完整性保護。

3.標準編碼管理。按國家及本市的文件、通知和相關標準要求，規范區內編碼核對、修改及質控反饋流程，加強標準編碼的準確性。

4.CA數字證書管理。CA數字證書進行實名制規范化管理，“一人一證”，規范CA數字證書申請、使用、注銷的要求，并完善應急保障相關機制。升級已發放的證書介質及數字證書，完成符合國密算法的個人數字證書在傳染病相關重點業務系統中的部署使用。

5.培訓與技術指導。按計劃開展本單位和下級用戶的培訓和技術考核。

6.落實響應。加強業務連續性管理并持續監測。按照應急預案，對發生的網絡安全事件進行響應和處置，報告上級部門。加強市區應急聯動，及時處置并反饋。

轉載自-上海衛健委官網