安全服務保障方案做好社保服務

由 故事會 分享時間：2024-04-29 19:51:12 加入收藏我要投稿點贊

確定目標是置頂工作方案的重要環節。在公司計劃開展某項工作的時候，我們需要為領導提供多種工作方案。方案書寫有哪些要求呢？我們怎樣才能寫好一篇方案呢？接下來小編就給大家介紹一下方案應該怎么去寫，我們一起來了解一下吧。

安全服務保障方案做好社保服務篇一

廣坪鎮建立鎮村居民健康檔案管理服務項目實施方案

為認真做好鎮村居民健康檔案建檔工作,根據衛生部《國家基本公共衛生服務規范》等有關要求，制定本方案。

一、項目目標

從2009年開始，為全鎮居民建立統一、科學和規范的健康檔案，并以健康檔案為載體，為居民提供連續、綜合、適宜、經濟有效的醫療衛生服務和健康管理。2011年，以老年人、慢性病人、孕產婦、兒童等為重點人群，以村為單位，居民健康檔案建檔率達到50%以上，電子檔案建檔率達到20%以上，合格率達到50%以上。

二、項目內容(一)建檔內容

1、根據上級要求，統一全縣城鄉居民健康檔案內容，實行規范化管理。

2、對重點管理人群(包括0-36個月兒童、孕產婦、65歲以上老年人、預防接種的重點人群、高血壓、ⅱ型糖尿病和重性精神疾病患者)建立相應的健康檔案。(二)建檔方式

通過門診接診、健康體檢、疾病篩查、入戶服務(訪視或調查)等方式，由衛生院組織和各村衛生室為居民建立健康檔案。共建、共享居民健康檔案，逐步實現連續、動態、系統化、電子化服務。(三)建檔要求

1、堅持循序漸進，從老年人、慢性病人、孕產婦和新生兒等重點人群起步，逐步擴展到一般人群。

2、堅持居民自愿與積極引導相結合，在服務中積極引導群眾主動建檔和利用健康檔案。

3、堅持規范建檔，確保健康檔案真實性、科學性、完整性、連續性和可用性。要建立“以人為中心”的健康管理模式，完整、規范的記錄居民健康問題及其處理過程，逐步體現從出生到死亡的整個生命過程以及相關衛生服務活動，保證健康信息動態、連續，使醫療衛生服務有證可循、系統完整。4.保證體檢結果真實有效。

三、實施計劃。

1.1月1日---4月30日，辦公室成員主要任務是對以前建立的健康檔案進行規范整理和更新以及新建檔案的整理。村醫負責配合健康檔案建檔工作，完成1000人份。

2.5月1日—9月30日，辦公室成員下村組織健康體檢和建檔工作，完成5000人份，并做好整理歸檔工作

四、項目組織與管理

(一)居民健康檔案管理科負責建立城鄉居民健康檔案，嚴格按照要求，規范建檔工作，并將健康檔案的建立與管理和重點人群的規范化管理緊密結合起來，真正發揮健康檔案的作用。

(1)為居民提供醫療、預防、保健、康復等服務時，要及時記錄、補充和完善相關健康檔案資料。通過多種渠道獲得居民的健康信息并及時記錄在案。

(2)在建檔同時，要加強居民健康檔案管理。建立居民健康檔案的調取、閱讀、記錄、存放等管理制度，提供必要的設施、設備，明確居民健康檔案管理相關責任人，做好檔案的管理工作，保證居民健康檔案的方便使用、長期保存，防止丟失。要認真做好居民健康信息的私密保護。

(3)按月匯總上報居民健康檔案的建檔進度，定期分析評估轄區居民健康狀況以及影響健康的危險因素，協助上級醫療、衛生、保健機構有針對性制訂疾病譜干預工作方案，使以預防為導向的衛生服務真正得到落實。

(二)村衛生室協助衛生院做好本村居民建檔對象基本信息的采集工作。

四、健康檔案建檔工作流程（見附件）

五、項目督導與考核

(一)督導與考核

衛生院加強對村衛生室健康檔案管理服務項目實施情況的監督檢查，全年開展督導檢查不少于4次，督導內容主要有項目組織管理、人員培訓、服務數量、服務質量、服務效果等，年終進行考核檢查。

(二)考核指標(1)健康檔案建檔率；(2)健康檔案合格率；(3)健康檔案使用率。

附件3：

為加強全鎮健康教育工作，為全體居民提供優質健康教育服務，根據衛生部《國家基本公共衛生服務規范》等有關要求，結合我鎮實際，制定本方案。

一、項目目標

建立健全全鎮健康教育服務網絡，提高鎮村醫療衛生單位健康教育人員專業技術服務水平，普及居民健康素養基本知識和技能，大力開展城鄉居民和重點人群的健康教育活動，提高全體居民健康水平。2011年全鎮居民基本衛生知識知曉率，達到90%以上。

二、項目內容

(一)開展健康教育宣傳主要內容

1、宣傳普及《中國公民健康素養—基本知識與技能》。

2、居民健康教育：開展合理營養、控制體重、加強鍛煉、應付緊張、改善睡眠、戒煙、限鹽、限酒、控制藥物依賴等可干預的健康危險因素基本知識健康教育。

3、重點人群健康教育：對青少年、婦女、老年人、殘疾人、0-36個月兒童父母等重點人群進行健康教育。

4、重點慢性病和傳染病健康教育：包括高血壓、糖尿病、冠心病、哮喘、乳腺癌和宮頸癌、結核病、肝炎、艾滋病、流感、手足口病和狂犬病等重點疾病健康教育。

5、公共衛生問題健康教育：包括突發公共衛生事件、食品衛生、飲水衛生、環境衛生、職業衛生等公共衛生問題健康教育。(二)制定健康教育工作計劃

健康教育科要制定健康教育的計劃，保證其可操作性。計劃應包括六個方面的具體內容：健康教育的內容、形式與時間、實施和質量控制方法、組織實施流程、人員安排、設備和材料準備、效果評價等。廣坪鎮健康教育服務項目實施方案

(三)發放健康教育資料

1、發放印刷資料，包括健康教育折頁、健康教育處方和健康手冊等。衛生院、村衛生室、要將健康教育資料放置在本單位的候診區、診室、咨詢臺等處，供居民免費索取。每個單位每年提供不少于12種內容的印刷資料。

2、播放音像資料，包括錄像帶、vcd、dvd等視聽傳播資料，正常應診時間，在門診候診區、健教室、觀察室、輸液室等場所內循環播放，每個單位每年播放音像資料不少于6種。(四)設置健康教育宣傳專欄

衛生院宣傳專欄不少于2個，村衛生室宣傳欄不少于1個，每個宣傳欄的面積不少于2平方米。宣傳欄一般設置在單位的戶外、健康教育室、候診室、輸液室或收費大廳的顯眼處，距地面1.5-1.6米高的位置。專欄應根據健康教育規律、季節、疾病流行情況、社會活動等及時更新，衛生院和村衛生室健康教育宣傳欄內容每季度更新不少于1次。(五)開展公眾健康咨詢活動

在各種衛生宣傳日、健康主題日、節假日，開展特定主題的健康教育宣傳活動和公眾健康咨詢活動，發放健康教育宣傳資料。衛生院每年公眾健康咨詢宣傳活動不少于6次。(六)舉辦健康知識講座

以普及居民健康素養基本知識技能和預防傳染病、慢性病、多發病為重點內容，以高血壓、糖尿病、結核病等慢性病、精神分裂癥患者及家屬、孕產婦、0-36個月兒童家長等為主要對象，定期舉辦健康知識講座，引導居民學習和掌握健康知識和必要的健康技能，促進轄區內居民的身心健康。衛生院每月舉辦健康知識講座不少于1次。

(七)建立健康教育工作資料檔案

村衛生室要有完整的健康教育活動記錄，應及時收集、整理、健康教育素材、活動記錄、工作總結、效果評價等資料，包括文字、圖片、影音文件等，并妥善保存，逐步建立完備的工作檔案、以便工作考核和效果評價,提高健康教育質量和水平。

(八)加強健康教育服務網絡建設

1、將健康教育列為衛生院、村衛生室的主要服務內容，列入目標管理和績效考核內容。

2、健康教育配備1名健康教育專業人員，村衛生室有專人負責健康教育工作，保證鎮村基層健康教育工作落到實處。

3、為保證健康教育活動正常開展，衛生院應設立健康教育室、健康教育宣傳專欄，并配備數碼相機、電視機、dvd機、投影儀等設備，村衛生室應設健康教育宣傳專欄，并配備必要的設備。(九)加強健康教育能力建設

1、開展健康教育專業人員培訓。主要培訓對象：村衛生室負責健康教育工作的衛生技術人員和相關醫務工作者，培訓內容主要包括：健康教育基本理論、內容、方法、技巧，健康教育基本設備的使用，健康教育效果評價等。專(兼)職人員每年至少接受上級健康教育專業機構培訓不少于8學時。

2、接受健康教育技術指導。邀請縣疾控中心婦幼保健、衛生監督機構和縣直醫療衛生單位提供現場技術指導，發現問題，及時整改。

3、積極與大眾媒體合作。主動邀請媒體參與健康教育活動，提高大眾健康教育宣傳活動效果。

三、項目組織與管理

衛生院負責項目實施的組織領導和考核檢查村衛生室負責向轄區居民提供基本公共衛生服務健康教育。

四、項目考核指標

1、發放健康教育印刷資料的種類和數量；

2、播放健康教育音像資料的種類、次數和時間；

3、健康教育宣傳欄設置和內容更新情況；

4、舉辦健康教育講座和健康教育咨詢活動的次數和參加人數。

附件4：

廣坪鎮預防接種服務項目實施方案

為做好我鎮預防接種工作，根據衛生部《國家基本公共衛生服務規范》等要求，結合我鎮實際，特制定本實施方案。

一、項目目標

通過預防接種項目實施，為全鎮所有0-6歲兒童提供安全、有效、免費、均等化的國家免疫規劃疫苗的預防接種服務，有效預防和控制疫苗針對傳染病，保護兒童身體健康。2011年全縣所有適齡兒童乙肝疫苗、卡介苗、脊灰減毒活疫苗、百白破疫苗、白破疫苗、麻疹類(麻風、麻腮、麻疹)疫苗接種率均達到95%以上，無細胞百白破疫苗、流腦疫苗(a群和a+c群)、乙型腦炎減毒活疫苗、甲肝減毒活疫苗接種率均達到90%以上。

二、項目內容

(一)及時為全鎮范圍內所有0-6歲適齡兒童(包括流動兒童、超生兒童和外地兒童)建立《預防接種證》、《預防接種卡》、信息錄入兒童免疫規劃信息平臺，并做好預防接種資料管理。

(二)根據國家免疫規劃疫苗免疫程序，確定受種對象，提供免費的國家免疫規劃疫苗接種服務，不得強行用二類疫苗代替一類疫苗，不得在對適齡兒童接種一類疫苗同時接種二類疫苗。

(三)加強流動兒童管理，開展0—6歲兒童主動搜索。做好流動人口的摸底調查工作，將流動人口兒童的預防接種與本地兒童同樣管理，不得以任何理由拒絕為流動人口兒童接種。各包片人員每季度對責任地段0—6歲兒童的接種情況進行核對，主動開展搜索、上門走訪，及時發現漏登、漏種兒童和流入流出兒童，并及時填寫接種通知單通知接種。

實行縣內出生兒童轉卡歸口管理制度，縣直各產科接種點(縣婦兒醫院除本院接種門診管理地段外)對本院出生的新生兒、各鎮衛生院接種門診對本院出生的非本轄區內的新生兒除規范做好卡介苗和首針乙肝疫苗接種外，要詳實填寫《兒童預防接種記錄卡》，每月5日前報送縣疾控中心免疫預防科，再由縣疾控中心分轉各屬地鎮場進行歸口規范管理。(四)規范接種工作。

1、接種工作人員在接種前應查驗兒童《預防接種證》和《預防接種卡》或電子檔案，核對受種者姓名、性別、出生日期及接種記錄，確定本次受種對象、接種疫苗的品種，并填寫知情同意書。

2、接種工作人員在實施接種前，應當告知受種者或者其監護人所接種疫苗的品種、作用、禁忌、不良反應以及注意事項，詢問受種者的健康狀況以及是否有

接種禁忌等，并如實記錄告知和詢問情況。

3、接種時的工作。接種工作人員在接種操作前再次查驗核對受種者姓名、預防接種證和本次接種的疫苗品種，核對無誤后嚴格按照《預防接種工作規范》規定的劑量、接種部位、安全注射等要求予以接種。

4、接種單位的工作人員，在接種期間要及時對每名受種兒童填寫《預防接種登記本》，必須填寫每個欄目。新生兒首劑乙肝疫苗接種單位要及時登記填寫《新生兒首劑乙肝疫苗和卡介苗接種登記卡(三聯單)》。

5、接種后的工作。告知兒童監護人，受種者在接種后應留在留觀室觀察30分鐘。接種后及時在《預防接種證》和《預防接種卡》上記錄所接種疫苗的年、月、日及批號并錄入國家免疫規劃信息平臺。與兒童監護人預約下次接種疫苗的種類、時間和地點。

6、接種單位要及時將接種信息錄入兒童預防接種信息管理系統，上傳疫苗、注射器和接種等數據，并做好備份，保持信息管理系統正常運行。

(五)做好異常反應的報告、調查、診斷和處理。如發現疑似預防接種異常反應，接種人員應及時診治，按照“常見的預防接種一般反應處置原則”進行處理，及時填寫相關記錄表，并向縣疾控中心報告?？h疾控中心和各接種單位按照《預防接種工作規范》等有關要求開展工作。

(六)做好資料上報。堅持使用常規免疫資料冊和年報資料冊，每月20日之前上報月資料冊，次年元月5日之前上報年報資料，嚴格實行接種率月報表逐級審核和分管領導簽字負責制度，并加蓋單位公章后上報。

(七)做好疫苗、注射器及冷鏈管理。制訂和上報疫苗、注射器的使用計劃，確保有計劃的分發和使用，按照“先進先出，先短效后長效，按批次登記分發”的原則，避免浪費，尤其是卡介苗要通過預約集中定時接種。實行疫苗、注射器專人負責、專帳管理，完善領用手續。疫苗使用情況，各預防接種單位應每2個月向縣疾控中心上報一次；縣疾控中心每季度向各接種單位配送一次。各單位一類疫苗使用數，不得超過縣疾控中心分配計劃，對于超出使用計劃需追加疫苗的單位，需說明原因，向縣疾控中心申請追加疫苗報告，經審批后方可追加。冷鏈管理做好疫苗貯存、運輸和使用溫度記錄，對儲存疫苗的冰箱、冰柜須每日記錄2次溫度。

(八)繼續抓好gavi項目。做好新生兒乙肝疫苗免疫接種工作，提高新生兒乙肝疫苗全程接種率和首針及時率。繼續開展15歲以下兒童乙肝疫苗查漏補種工作，6月份完成第一階段1994-1995年出生兒童第三輪的補種工作，同時開展第二階段1996-1997年出生兒童的乙肝疫苗查漏補種工作。

(九)實施麻疹疫苗后續強化免疫。根據全省工作安排，9-10月開展麻疹后續強化免疫活動，目標人群為8月齡-4歲兒童。

(十)開展新入學(托)兒童接種證及補種工作。加強與教育部門溝通與協作，積極做好培訓與技術指導，協助教育部門和學校及時開展新入學(托)兒童接種證查驗工作，并及時做好疫苗補種。查驗和補種工作結束后，要及時上報各種統計報表。

(十一)強化狂犬病暴露規范化處置管理。加大對狂犬病監測力度，對狂犬病病例個案調查要及時上報；認真做好狂犬病暴露后規范處置工作，積極開展狂犬病抗體檢測，按時上報各種報表；嚴格執行新農合報償制度。嚴格掌握暴露分級原則，規范暴露后處置(傷口的正確處理，抗免/抗血清的正確使用，過敏反應的搶救等)，實行告知、簽字制度。

(十二)做好疾病監測。

1、afp監測。繼續加強afp病例報告和主動監測工作，提高病例報告、調查和隨訪及時率；抓好標本采集、送檢工作，提高合格采便率；加強督導檢查和主動監測，防止afp病例漏報現象的發生。縣疾控中心安排專人每旬到縣級哨點醫院主動搜索發現病例，各鎮衛生院發現15歲以下不明原因軟癱的病例要及時上報并及時采樣，全年完成3例以上afp病例監測任務。

2、按照《麻疹監測方案》的要求，充分利用國家疫情網絡直報系統，做好麻疹疑似病例報告、個案調查、標本采集和檢測工作；同時加強對麻疹易感人群聚集地的主動監測工作，杜絕疫情緩報、瞞報現象發生；繼續做好麻疹疑似病例血清標本的采集和檢測工作，對散發麻疹疑似病例的血清標本采集率要達到100%，暴發疫情采集10例以上，并及時送縣疾控中心。

3、流腦、乙腦、甲肝、麻腮、麻風等相關疾病的監測工作，做到早發現、早診斷、早報告、早期采集樣本，個案調查信息及時網絡直報，確保報告資料的完整性與及時性。

4、各接種門診應按照《湖北省兒童免疫效果監測實施方案(試行)》要求，積極開展免疫成功率監測，做好免疫效果的監測與評價。

三、項目組織與管理

衛生院負責項目的組織領導和考核檢查，預防接種科負責預防接種工作的具體實施。

四、項目督導與考核(一)督導與考核

衛生院組織對預防接種服務項目進行考核評估；對各村開展每季度不少于1次的業務檢查指導，每次檢查指導結束后向衛生院提供書面報告。業務檢查指導內容主要有項目開展情況，所有適齡兒童是否及時得到免費、安全、有效的國家免疫規劃疫苗的接種服務等。

(二)考核指標

1、建證(卡)率：適齡兒童建證(卡)率95%。

2、接種率：以村為單位，適齡兒童全部免疫規劃疫苗接種率達到90%以上。

附件5：

廣坪鎮傳染病報告與處理服務項目實施方案

為建立和完善我鎮醫療衛生機構傳染病監測報告與處理機制，規范實施傳染病報告與處理，根據衛生部《國家基本公共衛生服務規范》等有關要求，結合我鎮實際，制定本實施方案。

一、項目目標

依據《傳染病防治法》建立并完善各級醫療衛生機構傳染病監測報告與處理機制；各有關科室、村衛生室及各個體診所按規定程序報告傳染??；依法監管轄區傳染病信息，分析、處置傳染病疫情并指導醫療機構做好疫情處理，保障傳染病網絡直報系統正常運行。2011年，全鎮法定傳染病報告率、報告及時率、報告準確率、重點傳染病個案調查率均達到95%以上，暴發疫情調查處理率達100%。

二、項目內容

(一)傳染病報告機構

1、組織管理

各單位建立健全疫情報告管理工作領導小組，落實專職疫情報告管理人員，并持證上崗。

2、制度建設

各單位健全完善傳染病疫情報告管理制度、傳染病預檢分診制度、首診醫生疫情報告制度、門診日志登記制度、傳染病疫情漏報自查制度、傳染病疫情報告管理獎懲制度和住院部、檢驗科等疫情報告制度。

3、人員培訓

醫療衛生機構定期對本單位醫護人員進行傳染病防治知識、技能的培訓。鎮衛生院對轄區鄉村醫生每年進行傳染病防治知識、技能的培訓。各醫療衛生機構參加縣局及以上單位組織的培訓。

4、發現、登記

規范填寫門診日志、入/出院登記簿、x線室或化驗室檢測結果登記本，首診醫生在診療過程中發現傳染病病例、疑似病例時，按照要求填寫《中華人民共和國傳染病報告卡》。

5、疫情報告

(1)報告程序與方式

各單位必須使用傳染病疫情監測信息系統報告,《傳染病報告卡》按時間及病

種順序整理歸檔，作為本單位報告傳染病的依據。根據疫情，當懷疑有傳染病暴發流行的可能時，應及時向縣疾控中心和縣衛生局報告。

(2)報告時限

發現甲類傳染病和乙類傳染病中的肺炭疽、傳染性非典型肺炎、脊髓灰質炎、人感染高致病性禽流感及其他按甲類管理傳染病的病例或疑似病例時，或發現其他傳染病和不明原因疾病暴發時，應于2小時內將傳染病報告卡通過網絡報告。對其他乙、丙類傳染病病例、疑似病例和規定報告的傳染病病原攜帶者，在診斷后實行網絡直報的責任報告單位應于24小時內進行網絡報告。

(3)做好傳染病報告的訂正和補報工作

6、傳染病處理

(1)病例轉診。將病人及其病歷記錄復印件一并轉至具備相應救治能力的醫療機構。

(2)消毒處理。依照法律、法規的規定，對本單位內被傳染病病原體污染的場所、物品以及醫療廢物，實施消毒和無害化處置。

(3)病例隨訪。協助縣疾控中心做好重點管理傳染病居家病例的隨訪工作。

(4)密切接觸者管理。協助縣疾控中心查找密切接觸者，按照有關要求協助做好管理工作。

7、做好腸道傳染病防制

8.做好結核病人發現和督導工作

四、項目督導與考核

(一)督導與考核

衛生院對傳染病報告與處理項目組織進行自我評估；對全鎮村衛生室開展每季不少于1次的督導，內容主要為傳染病疫情報告率、傳染病疫情報告及時性、傳染病疫情報告準確率、疫情調查處理情況等。

(二)考核指標

1、傳染病疫情報告率＝網絡直報系統中的報告卡片數/登記傳染病病例數×100%。要求達到95%。

2、傳染病疫情報告及時率＝網絡直報及時的傳染病病例數/登記傳染病病例數×100%。要求達到95%。

3、傳染病疫情報告準確率95%。

4、疫情調查處理：重點傳染病個案調查率達到95%；暴發疫情調查處理率達100%。

附件6：

廣坪鎮0—36個月兒童健康管理服務項目實施方案

為做好我鎮0-36個月兒童保健服務，根據衛生部《國家基本公共衛生服務規范》等有關要求，結合我鎮實際，制定本實施方案。

一、項目目標

通過兒童保健項目實施，免費向全縣0-36個月兒童提供基本保健服務，提高兒童健康水平。2011年全鎮新生兒訪視率達到60%以上，兒童健康管理率95%以上，兒童系統管理率達到30%。兒童保健手冊發放率大于80%。

二、項目內容

(一)開展婦幼保健技術培訓。衛生院保健科負責村衛生室人員的培訓。

(二)免費提供兒童保健服務。按照衛生部基本公共衛生服務項目《0-36個月兒童健康管理規范》的規定，為常住人口中0～36個月兒童免費提供基本保健服務。包括：建立《兒童保健手冊》，新生兒訪視2次，嬰幼兒1歲以內4次基本保健服務，1～3歲每年2次基本保健服務，體弱兒專案管理等。

三)開展兒童生長發育監測和評價，做好低體重兒、早產、多雙胎或有出生缺陷兒童的管理

(四)加強兒童保健信息管理。村衛生室主動配合，摸清轄區內0-36個月兒童人數，完成本村0-36個月兒童信息統計，填寫《出生嬰兒花名冊》并上報到鎮衛生院。衛生院要全面掌握轄區內0-36個月兒童信息，按時上報報表.三、項目組織與管理

衛生院負責項目實施的組織領導、方案制定、監督檢查和績效考核等。保健科負責項目的具體工作的組織實施，并對村衛生室業務指導，包括人員培訓、技術指導、信息管理等。

四、項目督導與考核

(一)督導與考核

衛生院組織對0-36個月兒童健康管理服務項目實施情況進行自我評估，對各村開展每季度不少于1次的督導，內容主要有項目組織管理、人員培訓、服務數量、服務質量、信息管理、服務效果等。

(二)考核指標

1、新生兒訪視率；

2、兒童健康管理率；

3、兒童系統管理率。

附件7：

廣坪鎮孕產婦健康管理服務項目實施方案

為做好我鎮孕產婦健康管理服務工作，根據衛生部《國家基本公共衛生服務規范》等有關要求，結合我鎮實際，制定本實施方案。

一、項目目標

通過孕產婦保健項目實施，免費向全鎮孕產婦提供基本保健服務，提高婦女兒童健康水平。2011年全鎮孕產婦早孕建冊(卡)率30%以上，孕產婦系統管理率65%以上，產前健康管理率達到90%以上產后訪視率要求達到80%以上。孕期健康服務5次，產前健康管理率80%以上，葉酸服用率90%以上，產前篩查15%以上，產后訪視80%以上

二、項目內容

(一)開展婦幼保健技術培訓。保健科負責村衛生室婦幼保健技術人員的培訓。

(二)免費提供孕產婦保健服務。按照衛生部基本公共衛生服務項目《孕產婦保健服務規范》的規定，免費為全鎮孕產婦(常住人口)提供基本保健服務。包括：孕早期建立《孕產婦保健手冊》，孕期五次產前檢查和產后二次訪視服務，高危孕產婦專案管理等。

(四)加強孕產婦保健信息管理。村衛生室主動配合，摸清轄區內孕婦人數，完成轄區內孕婦信息統計，填寫《孕產婦花名冊》并上報到鎮衛生院。保健科要及時全面掌握轄區內孕產婦信息，每季度首月將《孕產婦花名冊》信息上報縣婦幼保健院。

三、項目組織與管理

衛生院負責項目實施的組織領導、方案制定、監督檢查和績效考核等。保健科負責項目的具體工作的組織實施，并對村衛生室進行業務指導，包括人員培訓、技術指導、信息管理等。

四、項目督導與考核

(一)督導與考核

衛生院組織對孕產婦健康管理服務項目實施情況進行考核評估，保健科對各村開展每季度不少于1次的業務指導，每次指導結束后向衛生院提供書面報告。業務指導內容主要有項目組織管理、人員培訓、服務數量、服務質量、服務效果等。

(二)考核指標(1)早孕建冊率；(2)產前健康管理率；

(3)產后訪視率。

附件8：

廣坪鎮慢性病管理服務項目實施方案

為建立健全我鎮慢性病管理系統，對城鄉居民的慢性病實施干預措施，減少主要健康危險因素暴露，有效預防和控制高血壓、糖尿病等慢性病，根據衛生部《國家基本公共衛生服務規范》等有關要求，結合我鎮實際情況，制定本方案。

一、項目目標

通過實施基本公共衛生服務慢性病管理項目，對城鄉居民的慢性病及相關危險因素實施干預措施，減少主要健康危險因素，有效預防和控制高血壓、糖尿病等慢性病。2011年，高血壓、糖尿病等慢性管理工作明顯加強，高血壓病人登記管理率達到90%以上。糖尿病人管理率50%。兩者規范管理率大于90%，血壓、血糖控制率大于10%。

二、項目內容

(一)高血壓患者管理

根據《高血壓患者管理服務規范》，對全縣35歲及以上高血壓患者進行規范管理。

1、高血壓篩查

發現途徑：對35歲及以上常住居民每年首診時測量血壓；健康體檢及高危人群篩查中測量血壓；通過宣傳教育讓患者主動與基層醫療機構聯系測量血壓；居民健康檔案建立過程中詢問血壓情況等。

對確診的高血壓患者進行登記管理，對高血壓高危人群進行健康指導。

2、對確診的高血壓患者，鎮衛生院和村衛生室每年要提供至少4次面對面隨訪，每次隨訪要詢問病情、進行血壓測量等檢查和評估，對用藥、飲食、運動、心理等進行健康指導。

3、高血壓患者每年至少進行一次健康檢查，可與隨訪相結合，內容包括血壓、體重、空腹血糖，一般體格檢查和視力、聽力、活動能力的一般檢查。

(二)2型糖尿病患者管理

根據《2型糖尿病患者管理服務規范》，對全縣35歲及以上2型糖尿病患者進行規范管理。1、2型糖尿病篩查

發現途徑：健康體檢及高危人群篩查檢測血糖；建議高危人群每年至少測量一次血糖；通過宣傳教育讓患者主動與鎮衛生院聯系；居民健康檔案建立過程中詢問。

對確診的2型糖尿病患者進行登記管理，對糖尿病高危人群進行健康指導。

2、對確診的2型糖尿病患者進行登記管理，鎮衛生院每年要提供至少4次面對面隨訪，每次隨訪要詢問病情、進行空腹血糖和血壓測量等檢查和評估，對用藥、飲食、運動、心理等進行健康指導。3、2型糖尿病患者每年至少進行一次健康檢查，可與隨訪相結合，內容包括：血壓、體重、空腹血糖，一般體格檢查和視力、聽力、活動能力、足背動脈搏動等一般檢查。

三、項目組織與管理

衛生院負責項目的組織領導、方案制定、人員培訓、村衛生室考核檢查等。村衛生室負責協助收集轄區內慢性病患者信息，告知服務內容，提供健康指導、隨訪等服務。

四、項目督導與考核(一)督導與考核

衛生院組織對村衛生室慢性病管理服務項目實施情況進行考核評估和自我評估，對各村開展每季不少于1次的督導，內容主要有項目組織管理、人員培訓、服務數量、服務質量、服務效果等。

(二)考核指標

1、高血壓患者健康管理率；

2、高血壓患者規范管理率；

3、管理人群血壓控制率；

4、糖尿病患者健康管理率；

5、糖尿病患者規范管理率；

6、管理人群血糖控制率。

附件9：

廣坪鎮老年人健康管理服務項目實施方案

為做好我鎮老年人健康管理服務工作，根據衛生部《國家基本公共衛生服務規范》等有關要求，結合我鎮實際，特制定本方案。

一、項目目標

通過實施老年人健康管理服務項目，對全鎮65歲以上老年人進行健康危險因素調查和一般體格檢查，提供疾病預防、自我保健及傷害預防、自救等健康指導，減少主要健康危險因素，有效預防和控制慢性病和傷害，逐步使老年人享有均等化的基本公共衛生服務。2011年，老年人健康登記管理率達到50%以上。體檢表完成率大于95%

二、項目內容

(一)每年進行1次老年人健康管理。包括健康體檢、健康咨詢指導和干預等。

體格檢查：包括血壓、體重、皮膚、淋巴結、乳腺、心臟、肺部、腹部、四肢肌肉關節等體格檢查以及視力、聽力和活動能力的一般檢查。

輔助檢查：每年檢查1次空腹血糖。

(二)健康生活方式和健康狀況評估：包括吸煙、飲酒、體育鍛煉、飲食、慢性疾病常見癥狀和既往所患疾病、治療及目前用藥情況。

(三)告知居民健康體檢結果并進行相應干預。

1、對發現已確診的高血壓患者和2型糖尿病患者納入相應的慢性病患者健康管理。

2、對存在危險因素且未納入其他疾病管理的居民定期隨訪。

3、告知居民一年后進行下一次健康檢查的時間。

(四)對所有老年人進行慢性病危險因素、流感疫苗接種知識、骨質疏松預防及防跌倒措施、意外傷害和自救等健康指導。

三、項目組織與管理

衛生院負責項目的組織領導、方案制定、組織培訓、村衛生督導考核等。村衛生室負責協助收集轄區內老年人人口信息，告知服務內容，提供健康指導、隨訪等服務。

四、項目督導與考核

(一)督導與考核

衛生院組織對村衛生室健康管理服務項目進行考核評估和自我評估；對各村開展每季不少于1次的督導檢查，督導內容主要有項目工作進度、轄區老年人接受健康管理情況、項目規范管理情況等。

(二)考核指標

1、老年人健康登記管理率；

2、健康體檢表完整率。

附件10：

廣坪鎮重性精神疾病患者管理服務項目實施方案

為做好我鎮重性精神病患者管理工作，逐步建立綜合預防和控制重性精神病患者危險行為的有效機制，根據衛生部《國家基本公共衛生服務規范》等有關要求，結合我鎮實際，制定本實施方案。

一、項目目標

力爭用三年時間，基本建成覆蓋全鎮各村、功能完善的重性精神病患者管理系統。2011年以村為單位，已建檔重性精神病患者管理率達到90%以上。

二、項目內容

(一)培訓工作：負責對村級的培訓工作。

(二)患者篩查：接受過重性精神病患者管理相關培訓的專(兼)職人員收集患者的信息，做好初步篩查工作。

(三)建立健康檔案：重性精神疾病(包括精神分裂癥、分裂情感性精神障礙、偏執性精神病、雙相障礙等)患者在納入管理的時候，除需要原承擔治療任務的專業醫療機構提供疾病檔案信息外，還應進行一次全面評估，檢查患者的精神癥狀和軀體疾病，為符合診斷的患者建立健康檔案。建檔登記的內容包括患者及監護人姓名、聯系方式等基本情況、患者精神疾病家族史、初次發病時間、既往診斷和治療情況、既往主要癥狀、生活和勞動能力、目前癥狀、服藥依從性、自知力、社會功能情況、康復措施、總體評價及后續治療康復意見等。

(四)定期隨訪：對于納入管理的患者，每年至少隨訪4次，每次隨訪的主要目的是提供精神衛生、用藥和家庭護理等方面的信息，督導患者服藥，防止復發，及時發現疾病復發或加重的征兆，給予相應處置或轉診，并進行緊急處理。對病情不穩定的患者，在現用藥物基礎上按規定劑量范圍進行調整，必要時與原主管醫生聯系或轉診至上級醫院；對伴有軀體疾病或嚴重藥物不良反應，應將患者轉至上級醫院。

(五)健康教育、康復指導：加強宣傳，對患者及其家屬進行有針對性的健康教育和生活技能訓練等方面的康復指導，對家屬提供心理支持和幫助。

三、項目組織與管理

衛生院負責項目實施的組織領導、方案制定和考核檢查等。各村衛生室負責

項目的具體執行，包括開展收集轄區內重性精神病患者人口信息、告知服務內容、人員篩查；開展督促服藥、健康指導、隨訪等工作；及時將相關信息計入健康檔案。

四、項目督導與考核

(一)督導與考核

衛生院加強對村衛生室重性精神疾病管理服務項目實施情況的監督檢查，全年開展督導檢查不少于4次，督導內容主要有項目計劃制定、組織管理、人員培訓、服務數量、服務質量、服務效果等，年終進行考核檢查。

(二)考核指標

(1)重性精神疾病患者管理率；

(2)重性精神疾病患者顯好率；

(3)重性精神疾病患者規范管理率。

安全服務保障方案做好社保服務篇二

基本公共衛生服務項目實施方案

為貫徹《醫藥衛生體制改革近期重點實施方案》與《促進基本公共衛生服務均等化實施方案》等文件精神,促進基本公共衛生均等化,結合我鄉實際,特制定“基本公共衛生服務項目實施方案”。

一、指導思想

以鄧小平理論和“三個代表”重要思想為指導,全面落實科學發展觀,堅持基本公共衛生服務公益性質,按照科學規范、量力而行、穩步推進、注重實效的思路,采取政府購買方式,為群眾免費提供公平、有效、安全、方便的10項基本公共衛生服務,最大程度使城鄉居民不得病、少得病,提高人民群眾健康水平,不斷推進城鄉居民基本公共衛生服務實現均等化。

二、基本原則

(一)公開透明,公平公正。由政府向社會公開購買基本公共衛生服務項目,建立項目標準,實行服務效果考評,接受社會監督;堅持公平公正,經批準設臵的基層衛生機構能平等參與提供服務,城鄉居民能平等享受基本公共衛生服務。

(二)權責明晰,權責一致。明晰政府、服務機構、居民享受基本公共衛生服務過程中的責任和權利,確保有效開展基本公共衛生服務。

(三)規范有序,激勵促進。運用績效考評、居民參與評

價等激勵機制,保證社會效益最大化。

(四)以民為本,注重實效。充分體現方便群眾、服務群眾的民本理念,以居民享受良好的基本公共衛生服務為根本,最大限度地提高服務質量與效果。

三、主要內容和階段目標

基本公共衛生服務包括以下10個項目:建立居民健康檔案、健康教育、預防接種、傳染病防治(艾滋病防治、結核病防治)、兒童保健、孕產婦保健、老年人保健、慢性病(高血壓、糖尿病)防治、重性精神疾病管理、衛生監測工作。

基本公共衛生服務項目按承擔項目單位不同分為兩類:一類是可以直接由基層衛生機構承擔的項目(以下簡稱基層項目),主要包括建立居民健康檔案、健康教育、傳染病防治、老年人保健、慢性病防治、重性精神疾病管理;一類是需由專業公共衛生機構承擔的項目(以下簡稱專業項目),主要包括部分由專業公共衛生機構承擔的預防接種、婦女保健、兒童保健。

疾病預防控制機構、婦幼保健機構主要是為基層衛生服務機構開展基本公共衛生工作提供技術支持,并加強對口業務指導、人員培訓、質量控制、考核評估等。

(一)建立居民健康檔案

以婦女、兒童、老年人、殘疾人、慢性病人等人群為重點,為轄區常住人口建立統一、規范的居民健康檔案,健康檔

案主要信息包括居民基本信息、主要健康問題及衛生服務記錄等，健康檔案要及時更新。2010年居民健康檔案建檔率達到20%以上,2011年達到30%以上；重點人群居民健康檔案建檔率達到30%以上。

(二)健康教育

1、開展經常性健康教育活動。(1)基層醫療衛生服務機構向轄區居民提供健康處方、健康指導手冊、折頁等,每個機構每年提供不少于12種內容的印刷資料;(2)鄉鎮衛生院設臵健康教育宣傳欄不少于2個；村衛生室設臵健康教育宣傳欄不少于1個,每季度至少更新一次;(3)循環播放健康教育影像資料不少于6種;(4)利用主題宣傳日或節假日,開展不少于6次的公眾健康咨詢活動并發放宣傳資料；⑸鄉鎮衛生院每月至少舉辦一次健康知識講座；村衛生室每兩個月至少舉辦一次健康知識講座。

2、對重點慢性病和傳染病開展有針對性的健康教育。開展包括高血壓、糖尿病、冠心病、哮喘、乳腺癌和宮頸癌等慢性病,以及艾滋病、結核病、肝炎、流感、霍亂、手足口病、水痘、流行性腮腺炎、流行性出血熱等傳染病健康教育和防病知識指導宣傳工作。

3、對重點人群開展有針對性的健康教育。根據轄區不同重點人群(青少年、婦女、老年人、0-36個月兒童父母)開展有針對性的健康指導和健康教育,包括婦女保健知識、兒童保健知識、口腔保健知識、吸煙有害健康、免疫接種等。

4、2010年居民基本衛生知識知曉率達到60%以上,2011年達到70%以上。

(三)預防接種

1、免費向0-6歲適齡兒童提供12種一類疫苗接種服務,預防12種傳染病。包括:乙肝疫苗、卡介苗、脊灰疫苗、百白破疫苗、白破疫苗、麻疹疫苗、甲肝疫苗、流腦疫苗、乙腦疫苗、麻風、麻腮疫苗等國家一類免疫規劃疫苗。

2、組織做好免疫接種管理。建立適齡兒童預防接種卡、證、簿,保證安全注射和免疫信息化管理系統、疫苗冷鏈設施正常運行;配合疾病預防控制機構開展人群免疫水平監測和免疫接種效果監測。3、2011年 0—6歲兒童常規免疫接種率達到95%以上。

(四)傳染病防治

1、開展轄區傳染病監測,及時報告轄區內發現的法定報告傳染病疫情。

2、做好病例轉診、本單位內消毒處理工作,協助專業公共衛生機構做好重點管理傳染病居家病例的隨訪工作和密切接觸者管理。

3、配合做好重點傳染病防治管理。配合上級專業防治機構做好肺結核病例的規范化管理;配合上級專業防治機構開展艾滋病患者、病毒感染者的調查與隨訪,提供咨詢。

(五)高血壓、糖尿病等慢性病干預

1、開展高血壓、糖尿病等重點慢性病患者的登記與健康指導。對35歲以上人群實行門診首診測血壓;對確診高血壓和糖尿病患者進行登記管理,定期進行隨訪,每次隨訪要詢問病情、進行體格檢查及用藥、飲食、運動、心理等健康指導；開展慢病預防教育和行為危險因素干預。

2、高血壓、糖尿病等慢性非傳染性疾病登記管理率2010年達到20%;2011年登記管理率達到30%。

(六)重性精神疾病管理

1、對轄區內已確診的重性精神疾病患者進行登記、建檔,在專業機構指導下對在家居住的重性精神疾病患者進行治療隨訪,提供咨詢服務、康復和治療指導。

2、重性精神疾病患者登記管理率2010年達到20%以上；2011年達到30%以上。

(七)兒童保健

1、為0-36個月嬰幼兒建立兒童保健手冊,開展新生兒訪視及兒童保健系統管理。新生兒訪視2次,兒童保健1歲以內4次,第2年和第3年每年2次。進行體格檢查和生長發育監測及評價,開展心理行為發育、母乳喂養、輔食添加、意外傷害預防、常見疾病防治等健康指導。

2、兒童保健系統管理率有明顯提高。2011年達到85%以上。

(八)孕產婦保健

1、為孕產婦建立保健手冊,開展5次孕期保健服務和2次產后訪視。進行一般體格檢查及孕期營養、心理等健康指導,了解產后恢復情況并對產后常見問題進行指導。

2、2010年孕產婦保健手冊建冊率達到60%以上，孕產婦保健管理覆蓋率達到50%以上，高危孕產婦保健管理率達到95%以上；2011年孕產婦保健管理覆蓋率達到85%以上。

(九)老年人保健

1、通過實施老年人健康管理服務項目,對城鄉老年人進行健康危險因素調查和一般體格檢查, 對老年人慢性病、骨質疏松、意外傷害等危險因素進行健康指導。提供疾病預防、自我保健及傷害預防、自救等健康指導,減少主要健康危險因素,有效預防和控制慢性病和傷害。

2、開展老年人保健工作,定期為65歲以上老年人做健康檢查, 老年人健康管理率2010年、2011年達到30%以上。

四、組織實施

(一)衛生行政部門。組織、指導、督促和支持轄區專業公共衛生機構和基層醫療衛生機構切實落實基本公共衛生服務項目,逐步完善基本公共衛生服務績效評價體系,加強對基本公共衛生服務的監督管理和績效評價。

(二)財政部門。制定專項資金管理辦法,加強專項資金管理,會同衛生行政部門開展基本公共衛生服務績效考核，最大限度發揮專項資金的使用效益。

(三)專業公共衛生機構。承擔基本公共衛生服務工作的項目評估、人員培訓、績效考核、質量監測和適宜技術推廣等業務指導和技術支持職能。通過調整機構公共衛生職能、健全服務網絡和嚴格服務質量管理等,加快建立專業公共衛生機構和基層醫療衛生機構分工協作關系。

(四)鄉(鎮)衛生院、村衛生室等基層衛生機構。作為基本公共衛生服務的實施主體,免費為全體居民提供基本公共衛生服務。堅持以健康管理為中心的服務理念和主動服務、上門服務以及醫療服務與預防保健相結合的服務模式,進一步調整完善公共衛生服務流程,配備設施設備、服務團隊和專職人員,健全內部績效評價制度,認真落實各項要求,確保基本公共衛生服務全覆蓋和公益性質以及服務均等化,積極發揮基本公共衛生服務的網底作用。

五、資金保障

(一)資金籌集。財政部門建立基本公共衛生服務專項資金,2009年基本公共衛生專項資金的籌集標準為人均15元,2010年達到人均18元，2011年達到人均20元。資金來源為中央財政下達的補助資金和市級、縣財政預算安排資金。

(二)資金分配。

1、基層項目資金。基層項目資金全部用于提供公共衛

生服務的鄉(鎮)衛生院和村衛生室。

2、專業項目資金。按照專業公共衛生機構所承擔的基本公共衛生服務項目和平均服務成本測算確定專業項目資金預算總額。專業項目資金全部用于提供基本公共衛生服務的專業公共衛生機構。

3、獎補資金。在基本公共衛生專項資金中安排部分資金,用于對承擔基本公共衛生服務的基層衛生機構的獎勵和補助以及開展績效考核工作的經費支出。

(三)資金撥付。按照激勵約束的原則,專項資金實行年初預撥、年終根據績效考核結果清算的撥付辦法?；鶎禹椖抠Y金、專業項目資金和獎補資金的補助辦法,由縣衛生行政部門與財政部門根據項目運行情況和籌資標準變化情況按調整。

六、工作要求

(一)加強組織領導,認真推進實施。衛生行政部門要切實加強對基本公共衛生服務的統一管理,將項目工作要求全面納入工作總體計劃之中,精心組織,妥善安排,全面組織實施?？h疾病預防控制機構、婦幼保健機構要牢固樹立指導實施基本公共衛生服務項目的責任意識,逐級成立項目技術指導組及辦事機構,充分發揮技術支撐作用,認真做好對項目工作的業務技術指導。鄉(鎮)衛生院、村衛生室要認真對照基本公共衛生服務項目的具體內容和要求,制定詳細的

實施方案,逐項抓好落實。

(二)嚴格資金管理,加強績效考核。縣財政部門和衛生行政部門負責制定全縣統一的基本公共衛生專項資金績效考核辦法?？h衛生行政部門和財政部門是基本公共衛生專項資金的績效考核的實施主體,對績效考核結果進行抽查。縣衛生行政部門和財政部門在每年11月15日前,完成鄉（鎮）衛生院和專業公共衛生機構提供基本公共衛生服務的績效考核,并上報市衛生行政部門和市財政部門。

(三)完善服務規范,確保服務質量。由縣衛生行政部門根據基層醫療衛生機構的服務能力和條件,研究制定和推廣健康教育、預防接種、兒童保健、孕產婦保健、老年保健及傳染病防治、慢性病管理等基本公共衛生服務項目工作方案,健全管理制度和工作流程,提高服務質量和管理水平。以重點人群和基層醫療衛生機構服務對象為切入點,逐步建立規范統一的居民健康檔案,積極推進健康檔案電子化管理,加強公共衛生信息管理。專業公共衛生機構和基層醫療衛生機構要改變服務方式,采取上門服務、主動服務和連續服務,不斷提高基本公共衛生服務的質量。

2011年3月10日

安全服務保障方案做好社保服務篇三

市人力資源和社保局年工作總結

市人力資源和社會保障局年工作總結

2023年，面對嚴峻復雜的經濟形勢，xx市人社局堅決貫徹市委、市政府的決策部署，扎實推進各項工作并取得了積極成效。全年全市城鎮新增就業14.8萬人，完成目標的140.8%；城鎮登記失業率2.12%，為全省最低。扶持自主創業11594人，實現帶動就業人數76117人；全市養老、醫療、失業、工傷、生育“五大保險”凈增繳費人數分別為7.59萬人、13.46萬人、16.21萬人、5.83萬人、16.92萬人；引進各類人才10萬人；新增高技能人才2.99萬人，均完成或超額完成目標任務。四項基本現代化指標中，城鄉基本養老、醫療、失業三項保險覆蓋率預計分別為98.2%、98%、98.7%，已提前達到基本現代化目標要求值；全市每萬勞動力高技能人才數達到583人，已達到目標值的97.2%。國家人社部尹蔚民部長親臨無錫考察，對我市人社工作取得的成績給予了充分肯定；市人社局獲得“國家技能人才培育突出貢獻獎”，成為全國人社系統優質服務窗口單位。

（一）奮力創先爭優，常規工作繼續保持在全省第一方陣

一是千方百計確保就業局勢穩定。針對階段性“招工難”問題，組織赴xx、xx、xx、xx、xx等地開展勞務對接，累計幫助重點企業招工近20萬人。繼續實施失業保險降低費率政策，全年惠及4萬多家企業，為企業和個人共減負5.4億元，有效穩定了就業崗位。大力扶持困難群體就業，“就業援助月”、“春風行動”期間，共舉辦了356場公益性招聘活動，提供崗位信息51.85萬個。實施促進高校畢業生就業創業八項實事，推進大學生實名制管理，落實大學生租房補貼政策，赴清華大學等重點高校延攬人才。我市積極服務企業用工和吸引大學生就業創業的做法，得到央視關注。

二是社會保障體系進一步完善。調整居民養老保險繳費水平和政府補貼標準，提高最低檔次到300元（原100元），增設1500元的最高繳費檔次。調整2023市區居民養老保險待遇標準，居民基礎養老金每人每月增加40元，為省內地市級城市最高。及時落實2023企業退休人員養老金調整工作，市區調整后平均水平為2033元/月（全市為1921.4元/月）。調整和提高醫保待遇水平，職工醫保和居民醫保政策范圍內住院費用基金支付比例分別達84%和72%。實施我市工傷康復管理辦法，實行新的康復費用結算辦法。

三是人才隊伍建設繼續加強。積極開展技能振興專項活動，研究制訂關于加強職業培訓促進就業的實施意見。先后在上海、深圳、香港舉辦“東方硅谷”人才政策宣傳推介會，新增國際國內頂尖人才、社會事業和中介服務領軍人才2人、33人、7人。新增國家級博士后科研工作站10家，列全省第一；省創新實踐基地8家，超額完成全年建站任務；全年共招收博士后31人。

四是人事管理服務更加規范。圍繞打造公務員招錄“陽光”品牌，抓好招錄計劃編制、政策制定公布、工作責任落實、面試工作組織四個環節，圓滿完成公務員招錄任務。組織事業單位申報參公管理工作如期上報。推進和深化事業單位人員聘用、崗位設置管理和公開招聘三項制度建設。軍轉安置工作圓滿完成。

五是勞資關系保持和諧穩定。密切關注宏觀經濟形勢對企業的影響，扎實做好10多家重點經營困難企業的勞資關系處理工作。積極學習貫徹新法新規，穩妥推進勞務派遣行政許可工作。鞏固勞動人事爭議處理“三方機制”和“五位一體”調解聯席會議機制。推進企業工資集體協商工作，及時出臺最低工資標準調整方案。全年全市12333咨詢服務電話來電總量229萬個（其中市本級214萬個），市權益服務中心全年受理各類來訪來電來信1.94萬件。

（二）致力創新突破，重點難點工作有力推進

一是大力吸引扶持大學生創業。制定出臺推進大學生創業園建設促進大學生創業的意見，新政策將扶持對象從原來的畢業2年內的大學生擴大到在校大學生和畢業5年內的大學生，從資金、場地、能力、服務四個方面予以優惠政策支持。以江南大學大學生創業園為依托，會同江南大學、廣電集團、xx區政府，推進創建國家級大學生創業園，經努力，創業園已成功被省廳評估認定為省級大學生創業園。二是全面實施城鄉居民大病保險制度。制定實施城鄉居民大病保險制度，在全省率先采取向商業保險機構購買大病保險方式，對參保人員個人負擔超過上一城鎮居民年人均可支配收入50%以上的部分（1.7萬元）給予保障，有效降低群眾大病費用負擔。

三是舉辦首屆無錫技能技工大賽。這是我市首次舉辦的全市性、綜合性的職業技能大賽，52個代表隊、500多名選手角逐14個職業（工種）“技能狀元”，其中9人摘得“無錫職工技能狀元”并享受市勞模待遇，14人摘得“無錫學生技能狀元”。期間同時開展技能成果展示、大師絕活表演、校企合作對接、高層論壇等活動，直接參與人數超過1萬人，在全社會營造了“崇尚技能、人才強企、創新發展”的良好氛圍。四是研究推進人力資源服務業發展。在廣泛調研的基礎上，研究制訂“關于大力發展人力資源服務業的意見”。利用市級公共人力資源服務機構的集聚效應，積極籌劃在xx區開展人力資源服務產業園建設，目前，規劃論證和招商引資工作正有序進行。

五是進一步規范事業單位公開招聘。經過科學論證、認真準備，首次集中組織市屬事業單位進行統一筆試和集中面試，招聘的規范性、公平性進一步得到保障，受到了社會各界的認可。

六是完成“兩場整合”歷史性任務。在沒有現成的成功樣本可以參照的情況下，以“科學整合資源、方便服務對象”為出發點，在合理確定職能定位的基礎上，將市人才市場和市職介中心合并，成立新的“市人力資源市場”，并對人力資源市場大樓進行重新劃分和改建，全力打造專業化、綜合性的一站式服務格局。目前，市場已實現機構、人員、場地“三到位”，這項工作在全省全國走在了前列。此外，還實現了原市勞動保障信息中心與人才信息中心的整合。

（三）著力追求人民滿意，“三個建設”得到全面加強

一是干部隊伍建設得到加強。進一步規范了市局干部人事管理制度。組織實施了市局25名機關干部和27名事業單位領導班子、中層干部調整工作。調整后，研究生以上學歷、碩士以上學位人員占機關中層干部的36.6%，新提任干部中94%具有基層工作經歷或多崗位鍛煉經歷。二是作風建設得到加強。以省市在九個部門開展“六位一體”民主評議政風行風和推進公共服務標準化工作為契機，全面查找人社部門在改善民生、服務市民方面存在的薄弱環節，并切實加以改進，促進了全系統作風轉變和效能提升，綜合評議成績位列全市第一，其中9個市（縣）區人社局中4個獲得第1名，2個獲得第2名，我市成為全省人社系統僅有的兩個獲得第一名的省轄市之一。

三是廉政建設得到加強。認真貫徹中央八項規定和省市委十項規定，落實黨風廉政建設責任制。協助市委巡察組做好各項組織協調工作，按期完成了各項工作任務。

與此同時，各市（縣）區人社工作創新發展、亮點紛呈。xx市凈增參保2.17萬人，以“五步五庫法”推進高校畢業生實名制就業管理，得到尹蔚民部長高度肯定；xx市“金保工程”順利上線運行，首次舉辦了綜合性的全市職業技能大賽；xx區新增博士后科研工作站2家，啟動實施了“1+10”服務制度，為重點企業提供專項服務600余次；xx區在9個部門試點機關人員績效考核考評管理系統，成立了勞動保障權益服務中心；xx區走進高校大力宣傳就業創業扶持政策，全面啟動五星級人力資源市場改造工程；xx區累計創建創業孵化基地、實訓基地已達58家，對優秀高技能人才、有培養貢獻的企業給予津貼資助；xx區城鎮失業人員再就業17641人，完成率294%，扎實推進公務員教育培訓，開辦“古運河大講堂”專題講座7期；xx區431名就業困難人員實現“宅就業”，57人實現“微創業”，同時開發社區靈活就業崗位3842個，幫助困難群體就業；新區新引進培育國家“千人計劃”人才14名，獲批省級人力資源服務產業園。

安全服務保障方案做好社保服務篇四

社保局作風建設實施方案

一、工作目標

以鄧小平理論和“三個代表”重要思想為指導，深入貫徹落實科學發展觀，全面貫徹中央、省、市、區有關會議精神，強化進位趕超意識、質量標準意識、自我約束意識，堅持走“工業支撐、商貿興區”的發展路子，以服務創業、富民興饒為主題，以服務重大產業項目建設為重點，以深化改革為動力，以打造最優創業環境為目標，以開展“建設五型機關、提高服務水平”主題實踐活動為載體，著力解決影響創業和發展機關作風方面存在的突出問題，努力建設學習型、服務型、創新型、務實型、廉潔型機關，進一步營造科學發展的良好環境，樹立

機關“為民、務實、清廉”的良好形象。

二、主要內容

1、努力建設學習型機關。大力倡導學習之風，強化學習意識，完善學習制度，創新學習方式和效果，爭做學習型干部。認真組織廣大機關干部深入學習中國特色社會主義理論體系，學xxx省、市、區委關于科學發展的重大決策精神，牢固樹立科學發展觀。要引導黨員干部努力增強黨的意識、帶著責任學，增強實踐意識、聯系工作學，增強探索意識、帶著思考學，增強表率意識、領導干部帶頭學。要廣泛開展讀書活動，多渠道、多層次加強干部教育培訓。要本著“干什么學什么、缺什么補什么”的原則，加強崗位練兵和技能培訓，為創業服務。要按照科學理論武裝、具有世界眼光、善于把握規律、富有創新精神的要求，推進學習教育的科學化、制度化、規范化，不斷提高機關干部服務經濟建設的能力，依法行政的能力和服務創業、服務基層、服務群眾的能力，使全區機關成為學習型機關，領導班子成為學習型領導班子，機關干部成為學習型干部。要認真學習貫徹《廉政準則》，納入宣傳教育工作總體部署，列入黨組中心組學習和黨性黨風黨紀教育的重要內容。區效能辦將按照區委的總體要求和部署，研究制定區直機關建設學習型機關的指導意見，不斷總結學習經驗，推廣先進典型，適時召開全區機關學習型組織建設經驗交流會。

2、努力建設服務型機關。大力倡導服務之風，強化服務意識，完善服務機制，把握服務重點，爭做服務型干部。動員和組織機關干部走出機關，深入基層，深入群眾，積極宣傳、落實創業政策，營造創業氛圍和環境，幫助基層和群眾解決創業中的實際困難和問題。組織群眾就機關服務創業的意識、效率和質量等進行評議，廣泛聽取人大代表、政協委員、黨風廉政建設特邀監督員和基層群眾以及創業者對機關服務創業的意見建議，進一步找準并切實解決群眾

反映突出的問題，對損害創業者利益、擾亂市場秩序的行為和行政不作為、慢作為和亂作為情況進行明察暗訪、督促整改。

3、努力建設創新型機關。大力倡導創新之風，創新發展思路，創新工作機制，創新服務方式，工作敢于突破、敢于負責、敢于爭取，爭做創新型干部。要積極搶抓鄱陽湖生態經濟區建設這一歷史機遇，強化進位趕超意識，千方百計推進重大產業和重大項目建設，堅持走“工業支撐，商貿興區”的發展路子，大力實施趕超發展戰略，要通過創建創新型機關，鼓勵機關黨員干部立足本職創新、創業、創造，把黨員干部的思想統一到區委的重大決策部署上來，把行動統一到加快信州發展的新任務新要求上來，推動我區經濟社會更好更快的發展。

4、努力建設務實型機關。大力倡導務實之風，強化質量標準意識，自覺將高標準、嚴要求、上檔次、出精品滲

透到日常每一項工作中，落實到工作的每一個具體環節上。帶頭厲行節約，降低行政成本，以節約型機關建設帶動節約型社會建設，以厲行節約的黨風政風引領社會風氣。進一步完善有關工作機制體制，努力簡化機關行政審批工作程序；進一步改進文風會風，縮減會議和文件；深化文明創建，大力倡導文明節儉之風，使節電、節水、節油、節能成為機關和黨員干部的自覺行動。

5、努力建設廉潔型機關。大力開展“強化三種意識，推進科學發展觀”主題教育，強化自我約束意識，帶頭遵紀守法，嚴守各項紀律，廉潔自律，爭做廉潔型干部。抓好黨風廉政責任制落實，防止和克服平庸之風、庸俗之風、鉆營之風。嚴格遵守《廉政準則》各項規定，嚴格按照《廉政準則》提出的要求和規定，認真分析本部門本單位黨員領導干部廉潔從政方面存在的薄弱環節，進一步規范領導干部從政行為，著力解決涉及領導干部廉潔自律的突出問

題。加強黨紀條規和警示教育，積極開展廉政文化進機關活動。完善和健全制度，形成靠制度管權、靠制度辦事、靠制度管人的規范廉潔從政的機制。大力推進黨務、政務公開，確保權力陽光運行。加強監督檢查，對辦事拖沓、效能低下、有礙創業服務的人和事進行告誡和責任追究。

三、工作要求

1、加強組織領導。深化機關作風建設是全區“創業服務年”五項重點工作之一，是優化創業環境的載體。各部門、各單位要高度重視，加強領導，周密部署，精心組織，做到思想到位，組織到位，措施到位，切實抓好各項工作任務的落實。同時，要大力加強宣傳教育，報紙、廣播、電視、網絡等新聞媒體要發揮輿論導向作用，宣傳活動情況和工作經驗，對活動中涌現出的先進典型要及時宣傳報道，對負面典型事例要堅決予以曝光，大力營造“轉作風、提效能、優環境、促發展”的濃厚氛圍。

2、加強溝通配合。責任部門和配合部門之間要形成定期信息反饋和情況交流機制，及時通報工作情況，分析研究工作中出現的問題，提出解決辦法，推動工作順利進行。區效能辦要切實發揮好組織協調、督促檢查、信息反饋、具體指導的作用。領導小組成員單位要明確工作職責，加強協調配合，形成推動工作的合力，確保組織領導、參加人員、活動時間、活動成效“四落實”。那一世范文網:http://

3、注重統籌兼顧。各部門、各單位要把深化機關作風建設與鞏固擴大學習實踐科學發展觀活動成果結合起來，與“講黨性、重品行、作表率”活動結合起來，與“建設鄱陽湖生態經濟區、探索科學發展新路子”、“強化三種意識，推進科學發展”主題教育結合起來，尤其要與貫徹落實區委、區政府的決策部署和本單位的業務工作緊密結合起來，與體制機制和制度的改革創新結合起來，防止搞形式主義、走過場，確保深化全區

機關作風建設活動扎實開展，富有成效。

4、注重實際效果。正確處理加強作風建設與做好各項工作的關系，把作風建設融入到各項實際工作之中，統籌兼顧，合理安排，務求取得實效。要結合本部門本單位的實際，注意抓點帶面，分類指導。要力戒形式主義，不做表面文章。在活動內容上，采取統分結合；在組織方法上，注重靈活多樣，確?；顒禹樌七M。區效能辦將適時對全區深化機關作風建設情況進行明察暗訪，并及時通報督查結果。以作風建設活動的扎實開展推動各項工作的全面落實，以各項工作的實績來檢驗作風建設的成效。

安全服務保障方案做好社保服務篇五

xx市社保局2023年度信息安全服務項目

實施計劃

目錄一、二、項目概述...............................................................................................................................3 項目服務內容.......................................................................................................................4 2.1.風險評估...................................................................................................................4 2.2.設備安全加固...........................................................................................................5 2.3.安全管理體系建設...................................................................................................6 2.4.等級保護測評.........................................................................................................14 2.5.安全技術運維.........................................................................................................17 2.6.安全咨詢、宣傳培訓及安全專家服務..................................................................20 2.7.上級部門交辦的安全自查與整改工作資金概算..................................................20 2.8.通過部署安全配置審計、身份驗證令牌等手段，加強系統安全基線審計錯誤！未定義書簽。

2.9.安全證書服務.........................................................................錯誤！未定義書簽。2.10.建立安全運維體系..............................................................................................21 2.11.信息安全實時監控服務..........................................................錯誤！未定義書簽。2.12.網站和網辦安全服務..........................................................................................22 項目實施時間及成果文檔.................................................................................................34

三、

一、項目概述

經過多年建設xx社保中心已經初步建成完善的信息系統，為xx社保中心重要業務系統的有效開展提供了強有力的支撐。同時，信息系統的安全可靠運行是確保xx社保中心主營業務正常開展的必要條件。

在信息科技發展的同時，各種黑客手段、病毒技術、木馬技術也在飛速發展，信息安全問題在信息化的過程中也日益突出，xx社保中心的信息系統建設必須面對日益嚴峻的信息安全問題。盡管xx社保中心近幾年來通過持續的安全建設，形成了初步的單純依靠安全設備的安全防護體系。但從目前的國內外安全環境以及法律法規的角度來看，僅是單單依靠安全設備，是無法解決xx社保中心的整體信息安全防護需求的。必須引入綜合安全服務，結合專業的信息安全服務團隊，解決諸多安全設備無法直接解決的安全問題，共同形成確保業務系統安全、穩定運營的綜合安全保障措施。

因此，根據目前實際情況，xx社保中心需要引入以安全風險識別、安全風險控制、安全體系完善、日常安全運維、安全宣傳、安全培訓、網站安全監控、等級保護測評等主要內容的綜合信息安全服務保障，切實提高xx社保中心的信息安全保障能力。

二、項目服務內容

綜合安全服務要求包含風險評估、設備安全加固、安全管理體系建設、等級保護測評、安全技術運維、安全咨詢及宣傳培訓、上級部門交辦的安全自查和整改、通過部署安全配置審計身份驗證令牌等技術手段加強技術控制、安全服務證書、建立安全運維體系、信息安全實時監控服務、網站和網辦安全服務等內容，具體要求如下。2.1.風險評估

針對社保的物理機房環境、網絡結構、網絡服務、主機系統、中間件、數據庫系統、容災系統及數據存儲安全、應用系統、應用代碼、安全系統、安全相關人員、處理流程、安全管理制度、安全策略等對象進行評估，包括采用漏洞掃描、人工安全審計、滲透測試、代碼安全審計、客戶端測試等方法，深入且全面的掌握社保中心的安全現狀，為后續的持續安全改進提供科學、詳細的依據。主要內容包括：

? 建立安全風險模型：評估前建立安全風險模型，該模型必須包含但不限于以下要素：資產、影響、威脅、漏洞、安全控制、安全需求、安全風險，投標人應詳細描述其風險模型的各個要素及之間的關系，并包括對威脅、漏洞、風險的等級劃分標準。安全評估必須按照分層的原則，包括但不限于以下對象：物理環境、網絡結構、網絡服務、主機系統、數據、應用系統、安全系統、安全相關人員、處理流程、安全管理制度、安全策略等。? 信息資產評估：收集社保中心所有信息資產，包括所有的有形資產和無形資產，如服務器、網絡設備、存儲設備、應用軟件、數據、人員、管理等。并對所有資產根據關鍵安全要素進行賦值，為評估階段的風險計算和安全優化階段的風險控制提供依據。

? 安全審計：對社保中心的服務器和網絡設備進行安全審計。其中，服務器的安全審計包括操作系統安全（windows、linux、solaris、aix）審計和應用軟件（如數據庫、iis、apache、tomcat、weblogic）的安全審計。安全審計的每臺被審計設備也必須體現cia三要素包含的安全性、完整性、可用性。

? 漏洞掃描：漏洞掃描針社保中心的主要it設備（服務器，網絡設備，安全設備）得自身脆弱性進行安全評估。掃描內容包括端口掃描、系統掃描、漏洞掃描、數據庫等應用軟件掃描等，服務完成后應提供掃描報告，解決方案并對發現漏洞給予解決。

? 數據安全威脅分析：通過入侵檢測系統對社保中心信息安全所面臨的威脅進行細致分析，并給出報告。報告必須包括網絡事件協議類型統計及對比餅圖、事件危險級別統計及對比

餅圖、事件攻擊類型統計及對比餅圖、信息安全性綜合分析等。

? 網絡結構安全分析：為降低社保中心整體網絡安全風險、增強it內控的實效性、更清晰的評價和監控現有安全狀況，需要對網絡結構進行分析，并結合業務情況進行安全域的規劃設計。安全域設計需要對社保中心現有網絡按照等級分為域、區、單元三個級別，描述安全域劃分步驟及邊界防護原則，對現有網絡結構的每項不足之處提出可執行的措施，并在安全優化階段實施。

? 滲透測試服務：對所有業務應用系統進行滲透測試。

? 源代碼審核：針對用戶應用系統的白盒測試，主要目的是發現系統代碼層的安全問題，并提出解決方案。源代碼審核需要包括以下內容，且服務方需要形成源代碼審核模型圖：（1）審核業務流程中是否存在可被繞開的漏洞；（2）審核業務系統源代碼中是否有一般性的漏洞類型；

（3）審核業務系統源代碼中因需要開放給管理員或用戶而可能導致的隱蔽漏洞；（4）給出加固解決方案；

（5）對代碼中不符合安全規范的部分進行規范；（6）對今后代碼編寫的安全措施給出指導意見。（7）檢查出代碼中存在的安全漏洞。

? 綜合風險分析：在對社保中心信息體系的各個層次進行技術安全評估基礎上，綜合分析社保中心信息系統面臨的各方面威脅，依靠定量計算和定性分析結合的方式，計算出社保中心各方面的風險級別，并提出解決措施。

? 月度動態安全評估。結合每月的安全運維工作，隨時獲取信息系統安全要素的最新安全情況，監控社保中心信息系統的最新安全動態情況，并根據需要調整安全策略，確保應對最新的安全威脅。? 數據安全保護

對業務數據、數據庫系統提供實施保護技術服務，協助用戶對數據設計及數據庫漏洞進行分析整改，對敏感數據進行過濾規劃，對測試數據提供脫敏服務。

2.2.設備安全加固

安全整改加固工作對通過安全配置核查、漏洞掃描、滲透測試、策略分析等工作中發現的安全漏洞、安全弱點、安全風險，通過多方面的安全加固措施進行修補。特別對問題源頭進行整改與加固，以最大限度的降低風險。包括：

? 配置核查結果的服務器安全加固 ? 漏洞掃描的服務器安全加固 ? 網絡及安全設備的安全加固 ? 邊界安全策略的安全加固 ? 滲透測試安全核查結果的安全整改 ? 等級保護差距測評結果的安全整改加固 ? 等級保護驗收測評結果的安全整改加固 ? 代碼審計結果的協助性加固 ? 病毒庫升級

? 其它技術測試、評估發現問題的安全整改加固。

2.3.安全管理體系建設

根據各類安全標準要求，包括等級保護要求、社保行業要求，以及勞動保障信息中心內部信息系統運行對安全管理的需求，完善中心的安全管理體系。形成并落實信息安全策略、信息安全管理制度、信息安全操作規范等，提高中心安全運營的管理水平。具體制度要求如下：

五個方面包含的主要內容如下：

（1）安全管理機構：

? 設立信息安全管理工作的職能部門，設立安全主管人、安全管理各個方面的負責人，定義各負責人的職責；

? 設立系統管理人員、網絡管理人員、安全管理人員崗位，定義各個工作崗位的職責； ? 成立指導和管理信息安全工作的委員會或領導小組，其最高領導應由單位主管領導委任或授權；

? 制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。? 配備一定數量的系統管理人員、網絡管理人員和安全管理人員等； ? 配備專職安全管理人員，不可兼任；

? 關鍵區域或部位的安全管理人員應按照機要人員條件配備； ? 關鍵崗位應定期輪崗； ? 關鍵事務應配備多人共同管理；

? 授權審批部門及批準人，對關鍵活動進行審批；

? 列表說明須審批的事項、審批部門和可批準人；

? 建立各審批事項的審批程序，按照審批程序執行審批過程； ? 建立關鍵活動的雙重審批制度； ? 不再適用的權限應及時取消授權； ? 定期審查、更新需授權和審批的項目； ? 記錄授權過程并保存授權文檔；

? 加強各類管理人員和組織內部機構之間的合作與溝通，定期或不定期召開協調會議，共同協助處理信息安全問題；

? 信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議，協調安全工作的實施；

? 信息安全領導小組或者安全管理委員會定期召開例會，對信息安全工作進行指導、決策；

? 加強與兄弟單位、公安機關、電信公司的合作與溝通，以便在發生安全事件時能夠得到及時的支持；

? 加強與供應商、業界專家、專業的安全公司、安全組織的合作與溝通，獲取信息安全的最新發展動態，當發生緊急事件的時候能夠及時得到支持和幫助； ? 文件說明外聯單位、合作內容和聯系方式；

? 聘請信息安全專家，作為常年的安全顧問，指導信息安全建設，參與安全規劃和安全評審等；

? 由安全管理人員定期進行安全檢查，檢查內容包括用戶賬號情況、系統漏洞情況、系統審計情況等；

? 由安全管理部門組織相關人員定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等； ? 由安全管理部門組織相關人員定期分析、評審異常行為的審計記錄，發現可疑行為,形成審計分析報告，并采取必要的應對措施；

? 制定安全檢查表格實施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報；

? 制定安全審核和安全檢查制度規范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。

（2）安全管理制度：

? 制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

? 對安全管理活動中的各類管理內容建立安全管理制度，以規范安全管理活動，約束人員的行為方式；

? 對要求管理人員或操作人員執行的日常管理操作，建立操作規程，以規范操作行為，防止操作失誤；

? 形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系；

? 由安全管理職能部門定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。在信息安全領導小組的負責下，組織相關人員制定； ? 保證安全管理制度具有統一的格式風格，并進行版本控制； ? 組織相關人員對制定的安全管理進行論證和審定；

? 安全管理制度應經過管理層簽發后按照一定的程序以文件形式發布； ? 安全管理制度應注明發布范圍，并對收發文進行登記； ? 安全管理制度應注明密級，進行密級管理；

? 定期對安全管理制度進行評審和修訂，對存在不足或需要改進的安全管理制度進行修訂；

? 當發生重大安全事故、出現新的安全漏洞以及技術基礎結構發生變更時，應對安全管理制度進行檢查、審定和修訂；

? 每個制度文檔應有相應負責人或負責部門，負責對明確需要修訂的制度文檔的維護； ? 評審和修訂的操作范圍應考慮安全管理制度的相應密級。

（3）人員安全管理：

? 保證被錄用人具備基本的專業技術水平和安全管理知識； ? 對被錄用人聲明的身份、背景、專業資格和資質等進行審查； ? 對被錄用人所具備的技術技能進行考核； ? 對被錄用人說明其角色和職責； ? 簽署保密協議；

? 對從事關鍵崗位的人員應從內部人員選拔，并定期進行信用審查； ? 對從事關鍵崗位的人員應簽署崗位安全協議；

? 立即終止由于各種原因即將離崗的員工的所有訪問權限； ? 取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備；

? 經機構人事部門辦理嚴格的調離手續，并承諾調離后的保密義務后方可離開； ? 關鍵崗位的人員調離應按照機要人員的有關管理辦法進行； ? 對所有人員實施全面、嚴格的安全審查；

? 定期對各個崗位的人員進行安全技能及安全認知的考核； ? 對考核結果進行記錄并保存；

? 對違背安全策略和規定的人員進行懲戒； ? 對各類人員進行安全意識教育； ? 告知人員相關的安全責任和懲戒措施；

? 制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規程等進行培訓； ? 針對不同崗位制定不同培訓計劃；

? 對安全教育和培訓的情況和結果進行記錄并歸檔保存。

（4）系統運維管理：

系統定級-? 應明確信息系統劃分的方法； ? 應確定信息系統的安全保護等級；

? 應以書面的形式定義確定了安全保護等級的信息系統的屬性，包括使命、業務、網絡、硬件、軟件、數據、邊界、人員等； ? 應確保信息系統的定級結果經過相關部門的批準。安全方案設計-? 根據系統的安全級別選擇基本安全措施，依據風險評估的結果補充和調整安全措施； ? 以書面的形式描述對系統的安全保護要求和策略、安全措施等內容，形成系統的安全方案；

? 對安全方案進行細化，形成能指導安全系統建設和安全產品采購的詳細設計方案； ? 組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定；

? 確保安全設計方案必須經過批準，才能正式實施。產品采購-? 確保安全產品的使用符合國家的有關規定； ? 確保密碼產品的使用符合國家密碼主管部門的要求； ? 指定或授權專門的部門負責產品的采購；自行軟件開發-

? 開發環境與實際運行環境物理分開；

? 系統開發文檔由專人負責保管，系統開發文檔的使用受到控制； ? 提供軟件設計的相關文檔和使用指南；外包軟件開發-? 與軟件開發單位簽訂協議，明確知識產權的歸屬和安全方面的要求； ? 根據協議的要求檢測軟件質量；

? 在軟件安裝之前檢測軟件包中可能存在的惡意代碼； ? 要求開發單位提供軟件設計的相關文檔和使用指南；工程實施-? 與工程實施單位簽訂與安全相關的協議，約束工程實施單位的行為； ? 指定或授權專門的人員或部門負責工程實施過程的管理； ? 制定詳細的工程實施方案控制實施過程；測試驗收-? 對系統進行安全性測試驗收；

? 在測試驗收前根據設計方案或合同要求等制訂測試驗收方案，測試驗收過程中詳細記錄測試驗收結果，形成測試驗收報告；

? 組織相關部門和相關人員對系統測試驗收報告進行審定，沒有疑問后由雙方簽字。系統交付-? 明確系統的交接手續，并按照交接手續完成交接工作； ? 由系統建設方完成對委托建設方的運維技術人員的培訓；

? 由系統建設方提交系統建設過程中的文檔和指導用戶進行系統運行維護的文檔； ? 由系統建設方進行服務承諾，并提交服務承諾書，確保對系統運行維護的支持；

（5）安全運維管理：

環境管理-? 對機房供配電、空調、溫濕度控制等設施指定專人或專門的部門定期進行維護管理； ? 配備機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理； ? 建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環境安全等方面的管理作出規定；

? 應對機房來訪人員實行登記、備案管理，同時限制來訪人員的活動范圍；

? 加強對辦公環境的保密性管理，包括如工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區接待來訪人員等；

資產管理-? 建立資產安全管理制度，規定信息系統資產管理的責任人員或責任部門；

? 編制并保存與信息系統相關的資產、資產所屬關系、安全級別和所處位置等信息的資產清單；

? 根據資產的重要程度對資產進行定性賦值和標識管理，根據資產的價值選擇相應的管理措施。

介質管理-? 確保介質存放在安全的環境中，并對各類介質進行控制和保護，以防止被盜、被毀、被未授權的修改以及信息的非法泄漏；

? 介質的存儲、歸檔、登記和查詢記錄，并根據備份及存檔介質的目錄清單定期盤點； ? 對于需要送出維修或銷毀的介質，應首先清除介質中的敏感數據，防止信息的非法泄漏；

? 根據所承載數據和軟件的重要程度對介質進行分類和標識管理，并實行存儲環境專人管理。

設備管理-? 對信息系統相關的各種設備、線路等指定專人或專門的部門定期進行維護管理； ? 對信息系統的各種軟硬件設備的選型、采購、發放或領用等過程建立基于申報、審批和專人負責的管理規定；

? 對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用建進行規范化管理；

? 對帶離機房或辦公地點的信息處理設備進行控制；

? 按操作規程實現服務器的啟動/停止、加電/斷電等操作，加強對服務器操作的日志文件管理和監控管理，并對其定期進行檢查；

監控管理-? 進行主機運行監視，包括監視主機的cpu、硬盤、內存、網絡等資源的使用情況；網絡安全管理-? 指定專人對網絡進行管理，負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作；

? 根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對現有的重要文件進行備份；

? 進行網絡系統漏洞掃描，對發現的網絡系統安全漏洞進行及時的修補；

? 保證所有與外部系統的連接均應得到授權和批準；

? 建立網絡安全管理制度，對網絡安全配置、網絡用戶以及日志等方面作出規定； ? 對網絡設備的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求； ? 規定網絡審計日志的保存時間以便為可能的安全事件調查提供支持；系統安全管理-? 指定專人對系統進行管理，刪除或者禁用不使用的系統缺省賬戶；

? 制定系統安全管理制度，對系統安全配置、系統賬戶以及審計日志等方面作出規定； ? 對能夠使用系統工具的人員及數量進行限制和控制；

? 定期安裝系統的最新補丁程序，并根據廠家提供的可能危害計算機的漏洞進行及時修補，并在安裝系統補丁前對現有的重要文件進行備份；

? 根據業務需求和系統安全分析確定系統的訪問控制策略，系統訪問控制策略用于控制分配信息系統、文件及服務的訪問權限；

? 對系統賬戶進行分類管理，權限設定應當遵循最小授權要求；

? 對系統的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求； ? 規定系統審計日志的保存時間以便為可能的安全事件調查提供支持； ? 進行系統漏洞掃描，對發現的系統安全漏洞進行及時的修補；惡意代碼防范管理-? 提高所用用戶的防病毒意識，告知及時升級防病毒軟件；

? 在讀取移動存儲設備（如軟盤、移動硬盤、光盤）上的數據以及網絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網絡系統之前也要進行病毒檢查；

? 指定專人對網絡和主機的進行惡意代碼檢測并保存檢測記錄；

? 對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確管理規定；密碼管理-? 密碼算法和密鑰的使用應符合國家密碼管理規定。變更管理-? 確認系統中要發生的變更，并制定變更方案；

? 建立變更管理制度，重要系統變更前，管理人員應向主管領導申請，變更和變更方案經過評審、審批后方可實施變更；

? 系統變更情況應向所有相關人員通告；備份與恢復管理-? 識別需要定期備份的重要業務信息、系統數據及軟件系統等；

? 規定備份信息的備份方式（如增量備份或全備份等）、備份頻度（如每日或每周等）、存儲介質、保存期等；

? 根據數據的重要性和數據對系統運行的影響，制定數據的備份策略和恢復策略，備份策略應指明備份數據的放置場所、文件命名規則、介質替換頻率和將數據離站運輸的方法；

? 指定相應的負責人定期維護和檢查備份及冗余設備的狀況，確保需要接入系統時能夠正常運行；

? 根據備份方式，規定相應設備的安裝、配置和啟動的流程；安全事件處置-? 所有用戶均有責任報告自己發現的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；

? 制定安全事件報告和處置管理制度，規定安全事件的現場處理、事件報告和后期恢復的管理職責；

? 分析信息系統的類型、網絡連接特點和信息系統用戶特點，了解本系統和同類系統已發生的安全事件，識別本系統需要防止發生的安全事件，事件可能來自攻擊、錯誤、故障、事故或災難；

? 根據國家相關管理部門對計算機安全事件等級劃分方法，根據安全事件在本系統產生的影響，將本系統計算機安全事件進行等級劃分；

? 記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監督事態發展，采取措施避免安全事件發生；

應急預案管理-? 在統一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程和事后教育和培訓等內容；

? 對系統相關的人員進行培訓使之了解如何及何時使用應急預案中的控制手段及恢復策略，對應急預案的培訓至少每年舉辦一次；

2.4.等級保護測評

1、根據相關要求，對于等級保護2級和3級系統，一年進行一次差距評估，通過差距評估，獲取最新的安全薄弱環節，并通過后續工作進行安全整改建設；

2、對于未定級的系統，需進行定級備案，差距測評，安全整改等相關工作。根據等級保護標準以及廣東公安廳發文要求，等級保護主要建設流程如下：

? 等級保護建設目標

? 等級保護建設框架

信息系統等級保護建設整體流程框架圖如下:

等級保護評估是在信息系統定級以后,根據信息系統等保級別進行風險評估,找出與等保標準的差距,進行安全規劃設計,即完成等級保護整改方案。

? 等級保護評估流程

? 評估指標選擇

根據信息系統的安全等級，從等級保護基本要求的指標中選擇和組合評估用的安全指標，形成一套信息系統的評估指標，作為評估的依據；將具體評估對象和評估指標進行結合，形成評估使用的評估方案。

? 等級保護基本要求

《信息系統安全等級保護基本要求》規定了信息系統安全等級保護的基本要求，包括基本技術要求和基本管理要求，適用于不同安全等級的信息系統的安全保護。

技術類安全要求通常與信息系統提供的技術安全機制有關，通過在信息系統中部署軟硬件并正確的配置其安全功能來實現；管理類安全要求通常與信息系統中各種角色參與的活動有關，主要是通過控制各種角色的活動，從政策、制度、規范、流程以及記錄等方面做出規定來實現。不同安全等級的信息系統，其對業務信息的安全性要求和業務服務的連續性要求是有差異的；即使相同安全等級的信息系統，其對業務信息的安全性要求和業務服務的連續性要求也有差異。因此，對某一個定級后的信息系統的保護要求可以有多種組合。

對基本要求進行選擇的過程：基本要求的選擇由信息系統的安全等級確定，基本要求包括技術

要求和管理要求。二級系統應該選擇

建議。

整改建議包括針對每項安全弱點的有效建議措施，以及從整個系統角度科學的、統籌安排改進措施，確保最小的投入達到整改目標。

2.5.安全技術運維

通過安全技術運維服務工作，充分發揮各類安全設備的價值，并通過專業技術人員的服務工作，完善整個安全技術保障工作。安全技術運維服務工作包括每周的安全設備日志分析與處理，針對所有it設備每月的漏洞掃描工作，針對網上辦事大廳業務、網站業務、醫保業務、社保業務、勞動就業業務等業務系統每季度的滲透測試工作，針對新業務系統、新系統模塊或新it設備的上線安全評估工作、針對信息系統的7*24小時應急響應服務工作、針對信息安全預案的修編及年度演練工作、針對設備自身脆弱性的定期安全修補工作等。

安全技術運維過程中，需要用到相關的安全工具。為保證安全工具的先進性，以及避免因為工具的使用而生產法律糾紛等，中標人需要承諾安全服務過程中提供符合要求的安全工具，產權仍屬于中標人。

★安全服務過程中提供使用的所有工具必須是國產產品。本項目使用的安全工具具體要求如下：

1、對招標人所有服務器操作系統、客戶端和網絡及安全設備進行安全漏洞掃描，采用的漏洞掃描工具應滿足以下要求：

(1)“綜合安全服務”實施團隊應具備多年的漏洞研究經驗，具備獨立漏洞發掘的能力；(2)可掃描的漏洞應不小于3600；

(3)★漏洞掃描工具支持對各種web應用系統的掃描，支持檢測sql注入漏洞、xss攻擊漏洞、cgi漏洞、網頁掛馬、關鍵字檢測、網站備案信息、敏感信息泄露等。提供產品截圖證明。

(4)★漏洞掃描工具支持對主流數據庫的識別與掃描，包括：oracle、sybase、sql server、db2、mysql等，能夠掃描的數據庫漏洞掃描方法不小于580種。提供產品截圖證明。(5)掃描報告中的漏洞應具備統一的cvss國際標準評分，以準確衡量漏洞的危險級別，為漏洞修補工作的優先級提供指導；

(6)產品具有中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》，要求為增強型，投標時提供證書復印件；

(7)★投標人必須承諾供貨時提供該產品針對本項目的原廠授權證明函（需加蓋原廠商公

章）。

2、對招標人it機房設備的

別合法終端，并基于此設定無線準入策略，通過射頻信號阻止非法ap、終端的接入。(7)無線入侵防御：支持無線掃描、欺騙、dos、破解等常見無線網絡攻擊行為的檢測、告警、阻斷功能，同時支持多種類型流氓ap的檢測與阻斷。提供產品截圖證明。(8)支持無線網絡拓撲識別和呈現。提供產品截圖證明。

(9)應滿足自身安全性需求，設備對外不可見，且不能介入用戶業務流程。

(10)★投標人必須承諾供貨時提供該產品針對本項目的原廠授權證明函（需加蓋原廠商公章）

4、對招標人四個機房及網絡系統進行實時安全監控，并結合安全威脅與安全脆弱性對全局安全風險進行預警，便于信息安全專家迅速在安全事件的萌芽狀態進行處理，消除安全隱患，確保網絡安全、平穩運行。安全態勢監控及預警平臺須至少滿足以下要求：

(1)具有《中國信息安全測評中心信息技術產品安全測評證書》— eal3，需提供證書復印件

(2)具有《計算機軟件著作權登記證書》，需提供證書復印件；(3)采用業界主流的b/s方式，不需要安裝客戶端；

(4)采用基于瀏覽器的用戶界面，至少支持ie與firefox。為了適應不同用途，用戶可以對界面顏色進行選擇調整；

(5)具備很強的擴展性，能夠方便的支持現有及未來的各類設備；對新設備的定制支持時間小于5個工作日；

(6)事件處理性能可以達到平均每秒15000條事件；

(7)簡單部署，無需安裝任何其他軟件和組件，用戶只需要安裝管理中心即可實現對全網資源的安全管理；

(8)在綜合展示界面中能夠顯示系統的基本管理信息，包括當前告警狀態、最近告警信息、資產告警排行、事件趨勢、監控對象概要信息等。提供產品截圖證明。；

(9)系統提供基于資產的拓撲視圖，可以顯示資產之間的邏輯連接關系。在資產拓撲上選擇每個資產節點，可查看每個資產的事件信息、告警信息、漏洞信息、風險信息，并且支持向下鉆取，直接進入事件列表、關聯告警列表。提供產品截圖證明；(10)支持多事件關聯，對不同來源的安全事件進行復雜的相關性分析；

(11)★投標人必須承諾供貨時提供該產品針對本項目的原廠授權證明函（需加蓋原廠商公章）。

5、針對招標人面臨的復雜安全局勢，避免當前基于特征匹配檢測技術的局限性，需要加強技

術手段檢測基于未知漏洞或可逃過檢測的已知漏洞觸發的攻擊、檢測未知木馬的行為、發現不可信的加密信道、apt攻擊等。提供的惡意代碼檢測系統至少滿足以下要求：

(1)系統硬件尺寸：2u上架設備。(2)千兆捕包電口（ge）≥ 6個。

(3)旁路部署。設備支持通過流量鏡像方式旁路部署的能力。

(4)0day攻擊檢測?？梢詫?day攻擊進行檢測，并在產品界面中中明確表明該攻擊是0day攻擊還是nday攻擊。提供產品截圖證明。

(5)未知惡意代碼檢測。具備對未知惡意代碼具備檢測能力，漏報率不高于10%(6)基于行為的攻擊檢測。具備通過分析攻擊行為對攻擊進行檢測的能力。

(7)支持apt攻擊行為記錄。支持對apt攻擊關鍵步驟的具體攻擊行為進行記錄的能力。提供產品截圖證明。

(8)可區分0day攻擊與nday攻擊?？梢悦鞔_區分出0day攻擊與nday攻擊，并在報警界面中進行展示。提供產品截圖證明。

(9)★產品具有中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》，投標時提供證書復印件。

(10)★投標人必須承諾供貨時提供該產品針對本項目的原廠授權證明函（需加蓋原廠商公章）。

2.6.安全咨詢、宣傳培訓及安全專家服務

1、通過各種安全咨詢服務，協助中心工作人員加強信息安全建設，提高整個信息系統運維過程中的安全可控性，協調各信息安全項目按質按量實施，確保中心信息安全建設不斷積累、逐步完善、達到更高的安全保障能力;

2、針對普通工作人員，進行安全宣傳。包括制作信息安全宣傳的flash屏幕保護等;

3、針對it工作人員，提供安全培訓。包括安全管理體系的設計、安全管理的執行，安全意識、安全知識等。針對普通工作人員，提供安全意識培訓。

4、提供2名安全專家5*8小時駐場服務（節假日除外）。2.7.上級部門交辦的安全自查與整改工作資金概算

根據上級部門具體安全要求，落實信息安全專項檢查整改，并提交相關安全整改報告。

? 單位上級部門交辦安全自查與整改

根據廣東省社會保險基金管理局、中華人民共和國人力資源和社會保障部等上級部門的安全要

求，落實信息安全專項檢查工作，包括重要業務系統安全檢測工作、重要業務系統安全掃描工作、重要業務系統基線檢查工作、重要業務系統應用安全檢查工作等，并針對各項檢查工作中發現的問題進行整改，提交相關安全整改報告等工作。

? 行業監管部門交辦安全自查與整改

根據行業監管部門的安全要求，落實各項信息安全防護工作。依據行業安全標準相關要求，及時進行各項安全自查與整改工作。如安全檢測工作、風險評估、安全管理體系評估等，并針對各項安全自查工作中發現的問題進行整改等。

? 其它監管部門交辦安全自查與整改

參照網監等監管部門的安全要求，依據信息系統等級保護等標準要求和電子政務安全要求，及時進行中心各項核心業務系統的安全自查與整改工作。如信息系統等級保護定級、信息系統等級保護測評、信息系統等級保護安全建設等工作的開展實施。2.8.建立安全運維體系

社保中心負責整個業務系統的運作，包括開發、實施、維護等，涉及的因素多、對象廣、流程復雜，對信息安全管理的要求較高，需要建立較為完善的信息安全管理體系并執行，才能發揮安全技術措施的效果，確保持續的整體安全保障能力。通過安全管理體系建設，在滿足等級保護三級安全管理的基礎上，實現以下層次化、體系化的安全管理建設內容。為社保中心建立四階文件組成的安全管理文件體系。

? 如果任何潛在的危險字符必須被作為輸入，需要確保執行了額外的控制。例如：輸出編碼、特定的安全 api等。部分常見的危險字符包括：<> “ ' %()& + ' ”。? 如果使用的標準驗證規則無法驗證下面的輸入，那么它們需要被單獨驗證：

? ? ? 驗證空字節(%00)；

驗證換行符(%0d, %0a, r, n)；

驗證路徑替代字符“點-點-斜杠”（../或..）。如果支持 utf-8 擴展字符集編碼，驗證替代字符： %c0%ae%c0%ae/(使用規范化驗證雙編碼或其他類型的編碼攻擊)。

輸出編碼

? 在可信系統（例如：服務器）上執行所有的編碼。

? 為每一種輸出編碼方法采用一個標準的、已通過測試的規則。通過語義輸出編碼方式，對所有返回到客戶端并來自于應用程序信任邊界之外的數據進行編碼。? 針對 sql、xml 和 ldap 查詢，語義凈化所有不可信數據的輸出。? 對于操作系統命令，凈化所有不可信數據輸出。

身份驗證和密碼管理

? 除了特定設為“公開”的內容以外，對所有的網頁和資源均要求身份驗證。? 所有的身份驗證過程必須在可信系統（例如：服務器）上執行。? 在任何可能的情況下，建立并使用標準的、已通過測試的身份驗證服務。? 為所有身份驗證控制使用一個集中實現的方法。

? 將身份驗證邏輯從被請求的資源中隔離開，并重定向到集中的身份驗證控制。

? 所有的身份驗證控制應當安全的處理未成功的身份驗證。所有的權限管理功能至少應當具有和主要身份驗證機制一樣的安全性。

? 如果應用程序管理的憑證被存儲，應當保證只保存通過使用強加密單向 salted 哈希算法得到的密碼，并且只有應用程序具有對保存密碼和密鑰的表/文件的寫權限（禁止使用 md5 算法，該算法不夠安全）。

? 密碼哈希必須在可信系統（例如：服務器）上執行。

? 只有當所有的數據輸入以后，才開始對身份驗證數據進行驗證，特別是對連續身份驗證機制。

? 身份驗證的失敗提示信息應當避免過于明確。例如：可以使用“用戶名和/或密碼錯誤”，而不要使用“用戶名錯誤”或者“密碼錯誤”。錯誤提示信息在顯示和源代碼中應保持一致。? 涉及敏感信息或功能的外部系統連接需要使用身份驗證。

? 用于訪問應用程序以外服務的身份驗證憑據信息應當加密，并存儲在一個可信系統（例如：服務器）中受到保護的地方。

? 只使用 http post 請求傳輸身份驗證的憑據信息。? 非臨時密碼只在加密連接中發送或作為加密的數據

? 通過規則加強密碼復雜度的要求（例如：要求使用字母、數字和/或特殊符號）。? 通過規則加強密碼長度要求。常用使用 8-16 個字符長度。? 輸入的密碼應當在用戶的屏幕上非明文顯示。

? 當連續多次登錄失敗后（例如：通常情況下是 5 次），應強制鎖定賬戶。賬戶鎖定的時間必須足夠長，以阻止暴力攻擊猜測登錄信息，但不能長到允許執行拒絕服務攻擊。? 密碼重設和更改操作需要類似于賬戶創建和身份驗證的同樣安全控制等級。

? 密碼重設問題應當支持盡可能隨機的提問（通過注冊賬號環節收集用戶填寫的提問信息）。? 如果使用基于郵件的密碼重設，只將臨時鏈接或密碼發送到預先注冊的郵件地址。? 臨時密碼和鏈接應當有一個短暫的有效期。? 當再次使用臨時密碼時，強制修改臨時密碼。? 阻止密碼重復使用。

? 密碼在被更改前應當至少使用了一天，以阻止密碼重用攻擊。

? 強制定期更改密碼。重要系統或賬號需要更頻繁的更改。更改時間周期必須進行明確。? 為密碼填寫框禁用“記住密碼”功能。

? 用戶賬號的上一次使用信息（成功或失?。斣谙乱淮纬晒Φ卿洉r向用戶報告。

? 執行監控以捕獲針對使用相同密碼的多用戶帳戶攻擊（例如：暴力破解）。當用戶名可以被攻擊者得到或被猜到時，該攻擊模式可以繞開標準的鎖死功能。? 更改所有廠商提供的默認用戶用戶名和密碼，或者禁用相關帳號。? 在執行關鍵操作以前，對用戶再次進行身份驗證。? 為高度敏感或重要的賬戶使用多因子身份驗證機制。

? 如果使用了

? 在身份驗證的時候，如果連接從 http 變為 https，則生成一個新的會話標識符。在應用程序中，推薦持續使用 https，而非在 http 和 https 之間轉換。

? 為服務器端的操作執行標準的會話管理。例如，通過在每個會話中使用強隨機令牌或參數來管理賬戶。該方法可以用來防止跨站點請求偽造攻擊。

? 通過在每個請求或每個會話中使用強隨機令牌或參數，為高度敏感或關鍵的操作提供標準的會話管理。

? 為在 tls 連接上傳輸的 cookie 設置“安全”屬性。將 cookie 設置為 httponly 屬性，除非在應用程序中明確要求了客戶端腳本程序讀取或者設置cookie 的值。

訪問控制

? 只使用可信系統對象（例如：服務器端會話對象）以做出訪問授權的控制。? 使用一個單獨的全站點功能組件以檢查訪問授權。

? 安全的處理訪問控制失敗的操作。如果應用程序無法訪問其安全配置信息，則拒絕所有的訪問。

? 在每個請求中加強授權控制。包括：服務器端腳本產生的請求、“includes”、來自ajax 及flash 等客戶端技術的請求。

? 將有特權的邏輯從其他應用程序代碼中隔離開。

? 限制只有授權的用戶才能訪問文件或其他資源，包括那些應用程序外部的直接控制。? 限制只有授權的用戶才能訪問受保護的 url。? 限制只有授權的用戶才能訪問受保護的功能。? 限制只有授權的用戶才能訪問直接對象引用。? 限制只有授權的用戶才能訪問服務。? 限制只有授權的用戶才能訪問應用程序數據。

? 限制通過使用訪問控制來訪問用戶、數據屬性和策略信息。? 限制只有授權的用戶才能訪問與安全相關的配置信息。

? 服務器端執行的訪問控制規則和表示層實施的訪問控制規則必須匹配。

? 如果狀態數據必須存儲在客戶端，使用加密算法，并在服務器端檢查完整性以捕獲狀態的

改變。

? 強制應用程序邏輯流程遵照業務規則。

? 限制單一用戶或設備在一段時間內可以執行的事務數量，以預防自動化攻擊。

? 僅使用“referer”頭作為補償性質的檢查，但不能通過“referer”頭單獨用來進行身份驗證檢查，防止被偽造。

? 如果長時間的身份驗證會話被允許，周期性的重新驗證用戶的身份，以確保他們的權限沒有改變。如果發生改變，注銷該用戶，并強制他們重新執行身份驗證。

? 執行帳戶審計，并將沒有使用的帳號強制失效（例如：在用戶密碼過期后的 30 天以內）。? 應用程序必須支持帳戶失效，并在帳戶停止使用時終止會話（例如：角色、職務狀況、業務處理的改變等）。

? 服務帳戶，或連接到或來自外部系統的帳號，應當只有盡可能小的權限。

? 建立一個“訪問控制策略”以明確一個應用程序的業務規則、數據類型和身份驗證的標準或處理流程，確保訪問可以被恰當的提供和控制。這包括了為數據和系統資源確定訪問需求。

加密規范

? 所有用于保護來自應用程序用戶秘密信息的加密功能都必須在一個可信系統（例如：服務器）上執行。

? 保護主要秘密信息免受未授權的訪問。? 安全的處理加密模塊失敗的操作。

? 為防范對隨機數據的猜測攻擊，應當使用加密模塊中已驗證的隨機數生成器生成所有的隨機數、隨機文件名、隨機 guid 和隨機字符串等。

? 建立并使用相關的政策和流程以實現加、解密的密鑰管理。

錯誤處理和日志

? 不要在錯誤響應中泄露敏感信息，包括：系統的詳細信息、會話標識符或帳號信息等。使用錯誤處理以避免顯示調試或系統跟蹤信息。

? 使用通用的錯誤消息并使用定制的錯誤頁面。

? 應用程序應當處理應用程序錯誤，并且不依賴服務器配置。? 當錯誤條件發生時，適當的清空分配的內存。

? 在默認情況下，應當拒絕訪問與安全控制相關聯的錯誤處理邏輯。? 所有的日志記錄控制應當在可信系統（例如：服務器）上執行。? 日志記錄控制應當支持記錄特定安全事件的成功及失敗操作。? 確保日志記錄包含了重要的日志事件數據。

? 確保日志記錄中包含的不可信數據，不會在查看界面或者軟件時以代碼的形式被執行。? 限制只有授權的用戶才能訪問日志。

? 不要在日志中保存敏感信息。包括：不必要的系統詳細信息、會話標識符或密碼。? 確保一個執行日志查詢分析機制的存在。? 記錄所有失敗的輸入驗證。

? 記錄所有的身份驗證嘗試，特別是失敗的驗證。? 記錄所有失敗的訪問控制。

? 記錄明顯的修改事件，包括對于狀態數據非期待的修改。? 記錄連接無效或者已過期的會話令牌嘗試。? 記錄所有的系統例外信息。

? 記錄所有的管理功能行為，包括對于安全配置設置的更改。? 記錄所有失敗的后端 tls 鏈接。? 記錄加密模塊的錯誤。

? 使用加密哈希功能以驗證日志記錄的完整性。

數據保護

? 授予最低權限，以限制用戶只能訪問為完成任務所需要的功能、數據和系統信息。? 保護所有存放在服務器上緩存的或臨時拷貝的敏感數據，以避免非授權的訪問，并在上述數據不再需要時被盡快清除。

? 需要加密存儲的高度機密信息。例如，身份驗證的驗證數據。? 保護服務器端的源代碼不被用戶下載。

? 不要在客戶端上以明文形式或其它非加密模式保存密碼、連接字符串或其他敏感信息。這包括嵌入在不安全的環境中：如adobe flash 或者已編譯的代碼。? 刪除用戶可訪問頁面中的注釋，以防止泄露后臺系統或者其它敏感信息。? 刪除不需要的應用程序和系統文檔，這些可能向攻擊者泄露有用的信息。? 不要在 http get 請求參數中包含敏感信息。

? 禁止表單中的自動填充功能。表單中可能包含敏感信息，包括身份驗證信息。? 禁止客戶端緩存網頁，網頁中可能包含敏感信息。

? 應用程序應當支持，當數據不再需要的時候，刪除敏感信息。

? 為存儲在服務器中的敏感信息提供恰當的訪問控制。這包括緩存的數據、臨時文件以及只允許特定系統用戶訪問的數據。

通信安全

? 為所有敏感信息采用加密傳輸。其中應該包括使用 tls 對連接的保護，以及支持對敏感文件或非基于 http 連接的不連續加密。

? tls 證書應當是有效的，有正確且未過期的域名，并且在需要時，可以和中間證書一起安裝。

? 沒有成功的 tls 連接不應當后退成為一個不安全的連接。

? 為所有要求身份驗證的訪問內容和其它所有的敏感信息提供 tls 連接。? 為包含敏感信息或功能、且連接到外部系統的連接使用 tls。? 使用配置合理的單一標準 tls 連接。? 為所有的連接明確字符編碼。

? 當鏈接到外部站點時，過濾來自 http referer 中包含敏感信息的參數。

系統配置

? 確保服務器、框架和系統部件采用了最新版本。

? 確保服務器、框架和系統部件安裝了當前使用版本的所有補丁。? 關閉目錄列表功能。

? 將 web 服務器、進程和服務的賬戶限制為盡可能低的權限。? 當例外發生時，安全的進行錯誤處理。? 移除所有不需要的功能和文件。

? 在部署前，移除測試代碼和產品不需要的功能。

? 將不進行對外檢索的路徑目錄放在一個隔離的父目錄里，以防止目錄結構在文檔中暴露。在文檔中“禁止”整個父目錄，而不是對每個單獨目錄的“禁止”。? 明確應用程序采用哪種 http 方法：get 或 post，以及是否需要在應用程序不同網頁中以不同的方式進行處理。

? 禁用不需要的 http 方法，例如 webdav 擴展。如果需要使用一個擴展的 http 方法以支持文件處理，則使用經過驗證的身份驗證機制。

? 如果 web 服務器支持 http1.0 和 1.1，確保以相似的方式對它們進行配置，或者確保明確它們之間可能存在差異（例如：處理擴展的 http 方法）。

? 移除在 http 相應報頭中有關 os、web 服務版本和應用程序框架的相關信息。? 應用程序存儲的安全配置信息應當可以以可讀的形式輸出，以支持審計。? 將開發環境從生產網絡隔離開，僅提供給授權的開發和測試團隊訪問。? 使用一個軟件變更管理系統，以管理和記錄在開發和測試中代碼的主要變更。

數據庫安全

? 使用強類型的參數化查詢方法。

? 使用輸入驗證和輸出編碼，并確保處理了元字符。如果失敗，則不執行數據庫命令。? 確保變量是強類型的。

? 當應用程序訪問數據庫時，應使用盡可能最低的權限。? 為數據庫訪問使用安全憑證。

? 連接字符串不應當在應用程序中硬編碼。連接字符串應當存儲在一個可信服務器的獨立配置文件中，并且應當被加密。

? 使用存儲過程以實現抽象訪問數據，并允許對數據庫中表的刪除權限。? 盡可能地快速關閉數據庫連接。

? 刪除或者修改所有默認的數據庫管理員密碼。使用強密碼或者使用多因子身份驗證。? 關閉所有不必要的數據庫功能（例如：不必要的存儲過程或服務、應用程序包、僅最小化安裝需要的功能和選項等）。

? 刪除廠商提供的不必要的默認信息（例如：數據庫模式示例）。? 禁用任何不業務不需要的默認帳戶。

? 應用程序應當以不同的憑證為每個信任的角色（例如：用戶、只讀用戶、訪問用戶、管理員）連接數據庫

文件管理

? 不要把用戶提交的數據直接傳送給任何動態調用功能。? 在允許上傳文檔之前進行身份驗證。? 只允許上傳滿足業務需要的相關文檔類型。

? 通過檢查文件報頭信息，驗證上傳文檔是否是所期待的類型。只驗證文件類型擴展是不夠安全的。

? 不要把文件保存在與應用程序相同的 web 環境中。文件應當保存在內容服務器或者數據庫中。

? 防止或限制上傳任意可能被 web 服務器解析的文件。? 關閉在文件上傳目錄的運行權限。

? 當引用已有文件時，使用一個白名單記錄允許的文件名和類型。驗證傳遞的參數值，如果與預期的值不匹配，則拒絕使用，或者使用默認的硬編碼文件值代替。

? 不要將用戶提交的數據傳遞到動態重定向中。如果必須允許使用，那么重定向應當只接受通過驗證的相對路徑 url。

? 不要傳遞目錄或文件路徑，使用預先設置路徑列表中的匹配索引值。? 禁止將絕對文件路徑傳遞給客戶。? 確保應用程序文件和資源是只讀的。

? 對用戶上傳的文件執行安全檢查。例如：采取病毒掃描等措施。

內存管理

? 對不可信數據進行輸入和輸出控制。

? 重復確認緩存空間的大小是否和指定的大小一樣。

? 當使用允許多字節拷貝的函數時，如果目的緩存容量和源緩存容量相等，需要留意字符串沒有 null 終止。如果在循環中調用函數時，檢查緩存大小，以確保不會出現超出分配空間大小的危險。

? 在將輸入字符串傳遞給拷貝和連接函數前，將所有輸入的字符串縮短到合理的長度。? 關閉資源時需要注意，不要依賴垃圾回收機制（例如：連接對象、文檔處理等）。? 在可能的情況下，使用不可執行的堆棧。? 避免使用已知有漏洞的函數。

? 當方法結束時和在所有的退出節點時，正確地清空所分配的內存。

通用編碼規范

? 為常用的任務使用已測試且已認可的托管代碼，而非創建新的非托管代碼。

? 使用特定任務的內置 api 以執行操作系統的任務。不允許應用程序直接將代碼發送給操作系統，特別是通過使用應用程序初始的命令 shell。

? 使用校驗和或哈希值驗證編譯后的代碼、庫文件、可執行文件和配置文件的完整性。? 使用死鎖來防止多個同時發送的請求，或使用一個同步機制防止競態條件。? 在同時發生不恰當的訪問時，保護共享的變量和資源。

? 在聲明時或在

后盡快關閉所提升的權限。

? 通過了解使用的編程語言的底層表達式以及它們是如何進行數學計算，從而避免計算錯誤。密切注意字節大小依賴、精確度、有無符合、截尾操作、轉換、字節之間的組合，以及對于編程語言底層表達式如何處理非常大或者非常小的數。? 不要將用戶提供的數據傳遞給任何動態運行的功能。? 限制用戶生成新代碼或更改現有代碼。

? 審核所有從屬的應用程序、三、項目實施時間及成果文檔

風險評估工作計劃2023年10月—2023年3月進行，通過風險評估服務，形成以下成果文檔：

? 信息資產評估報告 ? 安全審計報報告 ? 漏洞掃描報告 ? 安全威脅分析報告 ? 網絡安全整改設計方案 ? 滲透測試報告 ? 源代碼安全審核報告 ? 綜合風險評估報告 ? 月度動態安全評估報告 ? 數據安全保護報告

安全設備加固工作計劃2023年5月—2023年2月進行，通過設備安全加固服務，將形成以下成果文檔：

? 安全加固方案 ? 服務器安全加固報告 ? 網絡及安全設備安全加固報告 ? 邊界安全策略安全加固報告 ? 滲透測試安全整改報告 ? 等級保護安全整改加固報告 ? 代碼審計協助性加固報告 ? 病毒庫升級報告

? 其它技術測試、評估發現問題的安全整改加固報告。

安全制度建設服務計劃2023年6月—2023年3月進行，通過安全制度建設服務，形成一套信息安全管理體系文件：

等級保護測評工作計劃2023年2月—2023年3月進行，完成等級保護測評后，形成以下主要成果文檔：

? 信息系統等級保護定級報告、備案證 ? 等級保護測評方案 ? 等級保護測評報告 ? 等級保護安全整改方案

安全技術運維服務計劃2023年5月—2023年3月，完成安全技術運維服務后，形成以下主要成果文檔：

? 安全設備日志分析與處理報告（每周一份）? 漏洞掃描報告（每月一份）? 滲透測試報告（每季度一份）? 無線網絡安全檢測報告（每周一份）? 上線安全評估報告（按需提供）? 應急響應服務（按需提供）

? 信息安全預案、信息安全預案年度演練報告 ? 安全修補方案、安全修補報告