各医疗卫生单位:
为做好 2021 年度全市卫生健康行业网络安全工作及重要时期网络安全保障工作,落实网络安全工作责任制要求,进一步提升网络与信息安全保护水平,全面提高信息系统安全防护水平与应急处置能力。现就相关工作要求如下:
一、总体要求
根据《中华人民共和国网络安全法》和《信息安全等级保护管理办法》等法律规定,认真做好网络安全等级保护工作,按照“谁主管谁负责”及属地管理原则,明确网络安全工作责任,确保做好网络安全保障工作;各单位要加强网络安全保障力度,切实做好网络安全突发事件的防范和应急处理工作,进一步提高预防和控制网络安全事件的能力和水平,确保不发生重大网络安全事件;配合做好年度网络安全检查工作,对检查发现的问题及时整改,同时做好网络安全培训、竞赛、宣传等工作。
二、重点任务
(一)积极参与“网安 2021”行动
为防范化解网络安全风险,提升网络安全综合防护能力,做好庆祝中国共产党成立 100 周年等重要时期网络安全保障工作,确保不发生重特大网络安全事件,省卫健委和苏州市委网信办于2021 年 4 月起组织实施“网安 2021”行动。各单位根据文件要求,认真贯彻落实“责任制督查”专项行动和“规范化检查”专项行动。
(二)重要时期网络安全保障建党 100 周年及国庆期间,各单位要求加强网络安全监测、信息收集及分析研判,及时预警可能的问题和隐患。加强应急值班值守,保持通信联络畅通,及时发现和处置网络安全事件。严格落实每日网络安全情况报告制度,根据上级要求报送安全情况。
(三)卫生健康行业网络安全应急演练
苏州市卫健委将组织网络安全检查服务机构,对苏州大市范围内卫生健康系统信息化资产进行抽查评估并开展模拟渗透攻击测试。对攻破的网站进行留痕,检测卫生健康系统各单位网络安全日常管理及应急反应能力。请各单位高度重视、做好准备,在发现问题后的第一时间启动应急预案进行处置。
各单位要通过应急演练,锻炼网络安全应急队伍,积累有效应对网络安全攻击和威胁的经验,锤炼应急响应能力,进一步完善优化网络安全应急体系,为卫生健康信息化发展提供良好的网络安全支撑。
(四)卫生健康行业网络安全检查深入贯彻落实《网络安全法》和等级保护 2.0 的总要求,紧紧围绕维护网络安全的总目标,以关键信息基础设施、重要信息系统、大数据、互联网资产和重点区域、重点部位的公共场所 LED电子显示屏系统等为重点检查对象,通过自查自评、现场检查、技术检测、跟踪督办、复核复测相结合的方式,摸清全市卫生健康行业关键信息基础设施、重要信息系统、大数据、互联网资产的网络安全保护状况,检测排查并督促整改网络安全漏洞隐患、风险和突出问题,不断提升卫生健康行业的网络安全防护意识和综合防护水平,切实加强网络安全监测预警、信息通报和应急处置能力,坚决防范发生重大网络安全事件事故。自 2021 年 4 月下旬至 5 月底开展全市卫生健康行业网络安全检查工作,本次网络安全检查采用自查与技术检测检查相结合方式,同步进行;其中 4 月 20 日到 23 日进行远程扫描,4 月 25 日至 5 月 14 日进行现场检查,在现场检查前要完成自查工作。网络信息安全检查方案和现场检查时间安排见附件 1、附件 2。
(五)卫生健康行业网络安全培训、竞赛为落实《网络安全法》、网络安全工作责任制及网络信息安全等级保护制度,切实增强全市卫生健康行业网络与信息安全意识与防护能力,我委将不定期开展网络与信息安全专题培训。组织参加第四届苏州市卫生健康行业网络安全知识技能竞赛等活动。
三、工作要求
1.各单位要严格落实党委(党组)网络安全工作责任制要求,强化网络安全知识、理念、技术及防范措施的宣传引导,为卫生健康行业营造良好的网络安全环境。
2.各单位要求落实网络安全主体责任,及时开展资产普查并动态管理,发现安全漏洞并及时整改,借助技术手段强化问题和整改力度。我委将对检查中发现漏洞较多,整改不到位的单位进行重点通报。
附件:
1.2021 年常熟市卫健系统网络信息安全检查方案
2.2021 年常熟市卫健系统网络信息安全现场检查时间安排
常熟市卫生健康委员会
2021 年 4 月 23 日