当前位置：文档库 › 三级医院信息安全等级保护要求

三级医院信息安全等级保护要求

十八、信息安全管理制度

十八、信息安全管理制度一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可，不得擅自拆装计算机硬件系统，若须拆装，则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用，未经授权不得使用。 5、医院计算机仅限于医院内部工作使用，原则上不许接入互联网。因工作需要接入互联网的，需书面向医务科提出申请，经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入，应立即断开网络，同时通知信息科技术人员负责处理。信息科应采取措施清除，并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件，尽量不在院内计算机上使用来历不明的移动存储工具。

二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许，不得擅自修改计算机中与网络有关的设置。 4、未经允许，不得私自添加、删除与医院网络有关的软件。 5、未经允许，不得进入医院网络或者使用医院网络资源。 6、未经允许，不得对医院网络功能进行删除、修改或者增加。 7、未经允许，不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。三、网络硬件的管理网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造

信息安全等级保护答案

一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全

等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应

医院信息安全通报制度

商丘市长征人民医院信息安全通报制度为保证我院计算机网络的正常运行和健康发展，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、和国家有关法律规定，结合我院实际情况，针对医院信息安全，特制定本规定。（一）医院局域网（院内网）信息安全制度一、医院局域网(院内网)的工作人员和连入院内网络的所有用户必须遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律、法规，严格执行本条例。二、院内网信息安全管理实施工作责任制和责任追究制。医院成立网络安全领导小组，院领导挂帅各部门主要负责人参与，建立健全医院的计算机网络安全管理制度，配备网络安全员，负责本部门内网络的信息安全管理工作。三、院内网的管理部门是信息管理中心，负责院内网的规划、建设、应用开发、运行维护与用户管理。保障网络信息、运行环境的安全;保障网络系统的正常及安全运行，用户上网采用工号登陆方式，上网操作人员须经信息管理中心考核合格后才能上网操作。四、院内网的信息安全监查工作由信息管理中心负责。院内网的所有工作人员和用户必须接受医院有关部门的监督检查，并对医院采取的必要措施给予配合。五、院内网的IP地址由信息管理中心统一管理，任何人不得盗用未经合法申请的IP地址入网。六、为了防止计算机病毒的侵入，凡接入院内网的工作站一律禁止使用软驱、光驱、移动硬盘、U盘等设备。如果要新安装必要的应用程序，必须事先向信息管理中心申请并同意后，由信息管理中心派专人在固定的机器上确保无病毒后再操作，同时做好操作记录。七、禁止自行安装任何软、硬件，禁止更改、删除任何系统文件、设置等，违反规定造成病毒传播、系统软(硬)件损坏，对整个网络造成堵塞、瘫痪等严重后果的，按情节轻重严肃处理。八、每台计算机必须安装防病毒软件，并定期对计算机进行查毒、杀毒，升级，落实预防措施。九、院内网的计算机一律不准上公共网络(Internet)，与公共网络严格物理隔离，以确保防止病毒的感染和扩散。十、在院内网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动;不允许在网络上发布不真实的信息或散布计算机病毒;不允许通过网络进入未经授权使用的计算机系统;不得以不真实身份使用网络资源;不得窃取他人帐号、口令使用网络资源。

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试考试形式：闭卷考试时间：120分钟一、单选题（每题分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（ c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B ）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（ D）（1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5）

B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部 5.下列说法中不正确的是（ A）B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表： access-list 1 permit access-list 2 permit 访问控制列表1和2，所控制的地址范围关系是：（ B ）A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中，以下（ B ）命令可以删除整个表中的数据，并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点（ C ）D A. 生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运

医院信息安全管理规定

医院信息安全管理规定 TPMK standardization office【 TPMK5AB- TPMK08- TPMK2C- TPMK18】

信息安全管理制度总则为加强我院计算机和网络的稳定，充分发挥医院计算机设备及网络的工作效率，保障医院计算机和网络的安全运行，特制定本管理规定。具体内容如下：计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可，不得擅自拆装计算机硬件系统，若须拆装，则通知网络管理技术人员进行。 3、计算机的软件安装和卸载工作必须由网络管理员进行。 4、计算机的使用必须由其合法授权者使用，未经授权不得使用。 5、医院计算机仅限于医院内部工作使用，原则上不许接入互联网。因工作需要接入互联网的，需书面向医务科提出申请，经签字批准后交网络管理员负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入，应立即断开网络，同时通知网络管理员负责处理。

7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件，尽量不在院内计算机上使用来历不明的移动存储工具。 8、未经部门领导批准，任何人不得改变网络拓扑结构，网络设备的布置和参数的配置。网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许，不得擅自修改计算机中与网络有关的设置。 4、未经允许，不得私自添加、删除与医院网络有关的软件。 5、未经允许，不得进入医院网络或者使用医院网络资源。 6、未经允许，不得对医院网络功能进行删除、修改或者增加。 7、未经允许，不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。网络硬件的管理网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。

信息安全等级保护工作汇报

XXX 信息安全等级保护工作汇报一、医院简介 XXX拥有66年发展历史，坐落于黑龙江北部中心城市北安市的城市中心，地处政治、经济、文化中心地带，交通便利，医院学科优势突出，专业特色明显，在市内外享有较高的声誉。医院总占地面积22599平方米，业务用房建筑面积25027平方米。医院在职职工664人，专业技术人员 557人，其中高级技术职称172 人，中级技术职称109人，床位400余张。设有内、外、妇、儿、五官等二十个临床科室，15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科，其中胸外科、脑外科是我院重点科室之一，胸外科是黑河地区该专业龙头科室，外科常规开展肺癌、脑外、食道癌等复杂手术，广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖，开创了历史先河，成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位，吸引了大量外院病人来我院检查，整合了各方优势资源。医院环境优美，整洁。目前，现已发展成为一所集医疗、康复、

保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院，“120”急救中心设在我院，同时担负着全市司法鉴定工作。医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠Ｘ光机、Ｃ型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、２４小时动态心电监测系统等先进设备百余台，抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备，精良的医疗设备为提高临床诊治水平提供了重要的保证。医院由门诊楼，病房楼，急救中心组成，住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理，所有病房均设有中央空调、独立卫生间，配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房，是我省北部地区成立较早发展最快的重症科室，设备实力和省级医院相聘美，从业人员都经过正规重症医学培训学习，成立后为北安市危重症治疗开辟了新的天地，危重症抢救成功率达到省级医院水平。具

(完整版)医院信息安全保护制度

古蔺县人民医院信息安全保护制度一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可，不得擅自拆装计算机硬件系统，若须拆装，则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用，未经授权不得使用。 5、医院计算机仅限于医院内部工作使用，原则上不许接入互联网。因工作需要接入互联网的，需书面向信息科提出申请。接入互联网的计算机必须安装正版的反病毒软件，并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入，应立即断开网络，同时通知信息科技术人员负责处理。信息科应采取措施清除，并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件，尽量不在院内计算机上使用来历不明的移动存储

工具。二、硬件安全管理 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造成的网络连接中断的，应根据其情节轻重予以处罚或赔偿。 3、未经允许，不得中断网络设备及设施的供电线路。因生产原因必须停电的，应提前通知网络管理人员。 4、不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特殊情况应提前通知网络管理人员，在得到允许后方可实施。三、软件及信息安全管理 1、计算机及外设所配软件及驱动程序交网络管理人员保管，以便统一维护和管理。 2、管理系统软件由网络管理人员按使用范围进行安装，其他任何人不得安装、复制、传播此类软件。 3、网络资源及网络信息的使用权限由网络管理人员按医院的有关规定予以分配，任何人不得擅自超越权限使用网络资源及网络信息。 4、网络的使用人员应妥善保管各自的密码及身份认证文件，不得将密码及身份认证文件交与他人使用。

医院等级保护

医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全，2011年底，卫生部先后下达85号通知和1126号通知，要求全国卫生行业各单位全面开展信息安全等级保护工作，于2015年12月30日前完成等保建设整改并通过等级测评。 2007 年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕，2008 年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级，哪些系统是核心业务信息系统则由各地区自己定义，比如上海最终规定的核心业务信息系统是HIS、 LIS和RIS。图1医院网络现状（如图1所示）医院的网络根据承载业务的不同可划分为内网、外网和设备网，其中：内网即医院的医务生产网，承载所有业务应用系统，包括大家熟知的HIS、PACS、LIS等系统；外网即与Internet相联的网络，承载的业务包括邮件、OA等；设备网是一张新兴的网，承载IP化的智能化弱电系统，包括：公共广播、门禁、楼控、安防视频监控等。各医院实际网络建设模式会有不同。传统的是内外网物理隔离，但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接，如医保、公共卫生、新农合、银行等；但这些连接都是内网与内网通过专线连接，且通过前置机进行数据访问。

医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯，如果不特别说明，上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务，如无线查房、无线护理、无线补液等；有的医院无线网不仅承载内网业务，还会提供与外网相关的业务，如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统，所以作为有线网络的有效补充，无线网络也应是三级安全等保检查中的一部分。如前所述，大部分地区规定的核心业务信息系统都是内网业务，即三级安全等保只与医院的内网业务系统相关，而对于内外网物理隔离的工作场景，与传统的以防范Internet业务为主的安全解决方案明显不同。一、安全等保的测评对象 GB/T 22239-2008中的三级安全等保标准共290项内容，由技术（136项）和管理（154项）2部分组成；技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点，以提高系统的安全性为目的，各地的等保测评机构会进行标准的补充。医院的信息系统有几十种，除了明确定级为三级的核心业务信息系统，其它业务系统如何处理？拿上海为例，HIS、LIS和RIS定级为三级信息系统，那么这3 个系统之外的如EMR、临床路径系统等如何考虑？实际上等保的第一项工作即是给本单位信息系统分类定级，根据系统重要性的不同，进行不同级别的定级。如果某个系统与核心业务系统同样重要，可另外定为三级；其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。对于二级或三级的业务信息系统，其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。二、安全等保网络安全解读作为安全等保的重要组成部分，网络安全因其分散、覆盖面广的特点，是等保评测的重点，也是医院信息安全的难点。在等保三级标准内容中，网络安全共分为7部分，共33条： l 结构安全——7条要求，对整体网络架构、带宽和设备性能提出了管理要求； l 网络访问控制——8条要求，对网络边界控制防范、边界连接的控制提出了管理要求； l 安全审计—— 4条要求，对包括设备、事件和用户等目标的日志系统提出管理要求； l 边界完整性检查——2条要求，对接入规范和防内网外联提出了管理要求；

信息安全等级保护培训试题集

信息安全等级保护培训试题集一、法律法规一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A．经济价值经济损失 B．重要程度危害程度 C．经济价值危害程度 D．重要程度经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A．第一级 B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 6．信息系统建设完成后，（A）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A．二级以上 B．三级以上

评审标准对照医院信息安全等级保护制度

**医院落实国家信息安全等级保护制度的具体措施一、信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。二、工作目标信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上，按照国家有关规定和标准规范要求，开展信息安全等级保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。三、工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重

的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。我院依据《国家信息安全等级保护度（二级）》，落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术施。四、等级划分《信息安全等级保护信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

信息安全等级保护答案

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分） 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务正确答案：B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分） A、 3 B、 4 C、 5 D、 6 正确答案：C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。（2.0分） A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门正确答案：D 4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级正确答案：D 5 对国家安全造成特别严重损害,定义为几级（2.0分） A、第二级 B、第三级 C、第四级 D、第五级正确答案：D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。（2.0分） A.二级及以上 B.三级及以上 C.四级及以上 D.五级正确答案：B

7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。（2.0分） A、教育部 B、国防部 C、安全部 D、公安部正确答案：B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。（2.0分） A、7 B、8 C、 6 D、 5 正确答案：D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级正确答案：A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。（2.0分） A、安全定级 B、安全评估 C、安全规划 D、安全实施正确答案：A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) （2.0分） A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》正确答案：B 12 从系统服务安全角度反映的信息系统安全保护等级称（2.0分） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级正确答案：C

镇卫生院医院信息安全管理制度

镇卫生院医院信息安全管理制度一、计算机设备管理制度 1计算机的使用者要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经医院信息部门负责人批准。 3严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑管理人员(68681)报告，不允许私自处理或找非本单位技求人员进行维修及操作。二、操作员安全管理制度（一）操作代码（工号）是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置；（二）系统管理操作代码的设置与管理 1、系统管理操作代码必须经过医院授权取得。 2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护； 3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授杈； 4、系统管理员不得使用他人操作代码进行业务操作； 5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码； (三) 一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位，应及时报告系统管理员注销或者更改其代码权限。 4、操作员不得在不同电脑上同时登陆医院操作系统（特殊情况除外）。在不使用医院系统的时候务必及时退出（下线）。三、密码与权限管理制度 1密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码包括用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码（医院信息系统的密码是没有分别设置的）。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串。 2密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。 3有关密码授权工作人员调离岗位，有关部门负责人须指定等人接替并对密码立即进行修改或删除用户，同时在“密码管理登记簿”中登记。 4运行维护部门需指定专人( 68681)负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。 5营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体（包括软盘、光盘、移动硬盘等）。 6．机房与工作站区严禁吸烟、吃东西（特别是液体食物）、会客、聊天等。不得进行与业

医院信息安全等级保护制度

医院信息安全等级保护制度一、用户管理制度： 1、信息科不得向任何人透漏员工的账号和密码。 2、医院员工对本人账号和密码必须遵守以下规定：（1）新员工凭人事科报到单，到信息科配置账号和密码；员工离院时：到信息科注销账号和密码；人事科凭信息科“已注消账号和密码”的依据同意员工调出或离院；财务科凭信息科“已注消账号和密码”的依据结付相关费用。（2）员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上，并每隔60天定期修改密码，对有疑问的密码应及时修改。（3）任何人员不得使用他人的账号和密码，也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员，并在离开终端时及时退出计算机系统。（4）密码可以是字母与数字的组合。二、系统操作分级管理制度 1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分，以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。 2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为信息科主任与服务器管理员。所能操作

人员仅限于服务器最高权限的管理员。采取统一入口管理。对于一些重大操作，必须有文字记录。 3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为信息科主任与信息科工作人员。对于一些重大操作，必须有文字记录。 4、三级设备为安装在各使用部门的电脑，密码由相关科室设备负责人自行保管。 5、对于设备具体分级细则，在遵循以上原则的情况下，细节由信息科内部协商判断而制定。 6、对于密码，数据泄露，造成业务中断，或相关私密数据泄露。将临时通过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后上报医院存档。三.网络运行监控、防病毒、防入侵、桌面管理措施 1、为了保护我院数据与网络的安全，保证网络的正常运行，促进网络更好的应用和发展，制定本制度。 2、利用防火墙将内部网络、Internet外部网络、DMZ 服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信。 3、利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全。 4、利用防火墙对来自外网的服务请求进行控制，使非

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试考试形式：闭卷考试时间：120分钟一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D）（1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

安全等级保护2级和3级等保要求

二级、三级等级保护要求比较一、技术要求技术要求项二级等保三级等保物理位置的选择1）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； 2）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁； 3）机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。物理访问控制1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； 2）应批准进入机房的来访人员，限制和监控其活动范围。 1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； 2）应批准进入机房的来访人员，限制和监控其活动范围； 3）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域； 4）应对重要区域配置电子门禁系统，鉴别和记录进入的人员身份并监控其活动。物理安全防盗窃和防破坏1）应将主要设备放置在物理受限的范围内； 2）应对设备或主要部件进行固定，并设置明显的不易除去的标记； 3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； 4）应对介质分类标识，存储在介质库或档案室中； 5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 1）应将主要设备放置在物理受限的范围内； 2）应对设备或主要部件进行固定，并设置明显的无法除去的标记； 3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； 4）应对介质分类标识，存储在介质库或档案室中； 5）设备或存储介质携带出工作环境时，应受到监控和内容加密； 6）应利用光、电等技术设置机房的防盗报警系统，以防进入机房的盗窃和破坏行为； 7）应对机房设置监控报警系统。

医院网络信息安全管理制度

医院网络信息安全管理制度一、为了保证医院网络的正常运行，保护医院网络系统的安全和网络用户的使用权益，特制定本安全管理制度。二、本管理制度所称的医院网络系统是指在医院信息系统中，由计算机及配套设施构成的，按照医院网络信息系统的应用目标和规定，对数据进行采集、加工、存储、传输、检索等处理的人机系统。三、医院网络系统安全管理是通过实施身份认证、访问控制与授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和与之相配套的管理制度，保障网络主机及配套设备、设施的安全，网络运行环境的安全，从而达到保障计算机网络系统安全运行和信息安全的目的。四、信息科负责医院计算机网络系统的安全管理工作，确保对计算机网络系统安全管理的有效性。五、计算机网络系统的建设和应用应遵守上级主管部门颁发的行政法规、用户手册和其他相关规定。六、计算机网络系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限的划分和设置由信息科负责制定和实施。 (注释：以下为身份认证) 七、计算机入网运行必须经信息科批准备案，分配IP地址后，方可接入网络。八、要对重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理，严格控制设备存取及加密，未经允许严禁外来盘片带入机房对服务器进行安装等，不准将机器设备和数据带出机房。九、未办理入网手续，任何单位和个人不得非法私自将计算机接入医院网络，不得以不真实身份使用网络资源，不得窃取他人账号、口令使用网络资源，不得盗用未经合法申请的IP地址入网。未经信息科允许，任何单位或个人不得擅自接纳网络用户。 (注释：以下为访问控制与授权管理) 十、应根据网络主机不同的安全级别采取相应的访问控制、数据保护、保密监控管理和系统安全等技术措施。十一、信息科定期对网上用户的访问及授权情况进行检查，及时发现和限制非法用户和非授权访问。

信息安全等级测评师(初级技术)简答题

1、《基本要求》，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。 2、在主机测试前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？答：至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。 3、《基本要求》中，对于三级信息系统，网络安全层面应采取哪些安全技术措施？画出图并进行描述（不考虑安全加固）。答：网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。 4、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计内容是什么？答：1、巨型、大型、中型、小型、微型计算机及单片机。 2、Windows，Linux,Sun Solaris,IBM AIX,HP-UX等等。 3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。 4、a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 b、审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他

与审计相关的信息。 c、应能够根据记录数据进行分析，并生成审计报表。 d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。 5、数据库常见威胁有哪些？针对于工具测试需要注意哪些内容？答：（1）非授权访问、特权提升、SQL注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。（2）工具测试接入测试设备前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认。对于测试过程中可能造成的对目标系统的网络流量及主机性能等等方面的影响（例如口令探测可能会造成的账号锁定等情况），要事先告知被测系统相关人员。对于测试过程中的关键步骤、重要证据，要及时利用抓图等取证工具进行取证。对于测试过程中出现的异常情况（服务器出现故障、网络中断等等）要及时记录。测试结束后，需要被测方人员确认被测系统状态正常并签字后离场。 6、规划工具测试接入点原则是什么？答：1、由低级别系统向高级别系统探测； 2、同一系统同等重要程度功能区域之间要相互探测； 3、由较低重要程度区域向较高重要程度区域探测； 4、由外联接口向系统内部探测； 5、跨网络隔离设备（包括网络设备和安全设备）要分段探测； 7、采取什么措施可以帮助检测到入侵行为？答：部署IDS/IPS，使用主机防火墙（软件）、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。 8、请根据《基本要求》中对于主机的相关要求，按照你的理解，写出由问题可能导致的安全风险，并给出相应的解决方案。或给出一张（主机测评）检查表，有8条不符合项目，请结合等级保护要求，及你的理解，描述存在的风险，并给出解决建议。答：