安全服务保障方案 做好社保服务(5篇)

确定目标是置顶工作方案的重要环节。在公司计划开展某项工作的时候，我们需要为领导提供多种工作方案。方案书写有哪些要求呢？我们怎样才能写好一篇方案呢？接下来小编就给大家介绍一下方案应该怎么去写，我们一起来了解一下吧。

安全服务保障方案 做好社保服务篇一

广坪镇建立镇村居民健康档案管理服务项目实施方案

为认真做好镇村居民健康档案建档工作,根据卫生部《国家基本公共卫生服务规范》等有关要求，制定本方案。

一、项目目标

从2009年开始，为全镇居民建立统一、科学和规范的健康档案，并以健康档案为载体，为居民提供连续、综合、适宜、经济有效的医疗卫生服务和健康管理。2011年，以老年人、慢性病人、孕产妇、儿童等为重点人群，以村为单位，居民健康档案建档率达到50%以上，电子档案建档率达到20%以上，合格率达到50%以上。

二、项目内容(一)建档内容

1、根据上级要求，统一全县城乡居民健康档案内容，实行规范化管理。

2、对重点管理人群(包括0-36个月儿童、孕产妇、65岁以上老年人、预防接种的重点人群、高血压、ⅱ型糖尿病和重性精神疾病患者)建立相应的健康档案。(二)建档方式

通过门诊接诊、健康体检、疾病筛查、入户服务(访视或调查)等方式，由卫生院组织和各村卫生室为居民建立健康档案。共建、共享居民健康档案，逐步实现连续、动态、系统化、电子化服务。(三)建档要求

1、坚持循序渐进，从老年人、慢性病人、孕产妇和新生儿等重点人群起步，逐步扩展到一般人群。

2、坚持居民自愿与积极引导相结合，在服务中积极引导群众主动建档和利用健康档案。

3、坚持规范建档，确保健康档案真实性、科学性、完整性、连续性和可用性。要建立“以人为中心”的健康管理模式，完整、规范的记录居民健康问题及其处理过程，逐步体现从出生到死亡的整个生命过程以及相关卫生服务活动，保证健康信息动态、连续，使医疗卫生服务有证可循、系统完整。4.保证体检结果真实有效。

三、实施计划。

1.1月1日---4月30日，办公室成员主要任务是对以前建立的健康档案进行规范整理和更新以及新建档案的整理。村医负责配合健康档案建档工作，完成1000人份。

2.5月1日—9月30日，办公室成员下村组织健康体检和建档工作，完成5000人份，并做好整理归档工作

四、项目组织与管理

(一)居民健康档案管理科负责建立城乡居民健康档案，严格按照要求，规范建档工作，并将健康档案的建立与管理和重点人群的规范化管理紧密结合起来，真正发挥健康档案的作用。

(1)为居民提供医疗、预防、保健、康复等服务时，要及时记录、补充和完善相关健康档案资料。通过多种渠道获得居民的健康信息并及时记录在案。

(2)在建档同时，要加强居民健康档案管理。建立居民健康档案的调取、阅读、记录、存放等管理制度，提供必要的设施、设备，明确居民健康档案管理相关责任人，做好档案的管理工作，保证居民健康档案的方便使用、长期保存，防止丢失。要认真做好居民健康信息的私密保护。

(3)按月汇总上报居民健康档案的建档进度，定期分析评估辖区居民健康状况以及影响健康的危险因素，协助上级医疗、卫生、保健机构有针对性制订疾病谱干预工作方案，使以预防为导向的卫生服务真正得到落实。

(二)村卫生室协助卫生院做好本村居民建档对象基本信息的采集工作。

四、健康档案建档工作流程（见附件）

五、项目督导与考核

(一)督导与考核

卫生院加强对村卫生室健康档案管理服务项目实施情况的监督检查，全年开展督导检查不少于4次，督导内容主要有项目组织管理、人员培训、服务数量、服务质量、服务效果等，年终进行考核检查。

(二)考核指标(1)健康档案建档率；(2)健康档案合格率；(3)健康档案使用率。

附件3：

为加强全镇健康教育工作，为全体居民提供优质健康教育服务，根据卫生部《国家基本公共卫生服务规范》等有关要求，结合我镇实际，制定本方案。

一、项目目标

建立健全全镇健康教育服务网络，提高镇村医疗卫生单位健康教育人员专业技术服务水平，普及居民健康素养基本知识和技能，大力开展城乡居民和重点人群的健康教育活动，提高全体居民健康水平。2011年全镇居民基本卫生知识知晓率，达到90%以上。

二、项目内容

(一)开展健康教育宣传主要内容

1、宣传普及《中国公民健康素养—基本知识与技能》。

2、居民健康教育：开展合理营养、控制体重、加强锻炼、应付紧张、改善睡眠、戒烟、限盐、限酒、控制药物依赖等可干预的健康危险因素基本知识健康教育。

3、重点人群健康教育：对青少年、妇女、老年人、残疾人、0-36个月儿童父母等重点人群进行健康教育。

4、重点慢性病和传染病健康教育：包括高血压、糖尿病、冠心病、哮喘、乳腺癌和宫颈癌、结核病、肝炎、艾滋病、流感、手足口病和狂犬病等重点疾病健康教育。

5、公共卫生问题健康教育：包括突发公共卫生事件、食品卫生、饮水卫生、环境卫生、职业卫生等公共卫生问题健康教育。(二)制定健康教育工作计划

健康教育科要制定健康教育的计划，保证其可操作性。计划应包括六个方面的具体内容：健康教育的内容、形式与时间、实施和质量控制方法、组织实施流程、人员安排、设备和材料准备、效果评价等。广坪镇健康教育服务项目实施方案

(三)发放健康教育资料

1、发放印刷资料，包括健康教育折页、健康教育处方和健康手册等。卫生院、村卫生室、要将健康教育资料放置在本单位的候诊区、诊室、咨询台等处，供居民免费索取。每个单位每年提供不少于12种内容的印刷资料。

2、播放音像资料，包括录像带、vcd、dvd等视听传播资料，正常应诊时间，在门诊候诊区、健教室、观察室、输液室等场所内循环播放，每个单位每年播放音像资料不少于6种。(四)设置健康教育宣传专栏

卫生院宣传专栏不少于2个，村卫生室宣传栏不少于1个，每个宣传栏的面积不少于2平方米。宣传栏一般设置在单位的户外、健康教育室、候诊室、输液室或收费大厅的显眼处，距地面1.5-1.6米高的位置。专栏应根据健康教育规律、季节、疾病流行情况、社会活动等及时更新，卫生院和村卫生室健康教育宣传栏内容每季度更新不少于1次。(五)开展公众健康咨询活动

在各种卫生宣传日、健康主题日、节假日，开展特定主题的健康教育宣传活动和公众健康咨询活动，发放健康教育宣传资料。卫生院每年公众健康咨询宣传活动不少于6次。(六)举办健康知识讲座

以普及居民健康素养基本知识技能和预防传染病、慢性病、多发病为重点内容，以高血压、糖尿病、结核病等慢性病、精神分裂症患者及家属、孕产妇、0-36个月儿童家长等为主要对象，定期举办健康知识讲座，引导居民学习和掌握健康知识和必要的健康技能，促进辖区内居民的身心健康。卫生院每月举办健康知识讲座不少于1次。

(七)建立健康教育工作资料档案

村卫生室要有完整的健康教育活动记录，应及时收集、整理、健康教育素材、活动记录、工作总结、效果评价等资料，包括文字、图片、影音文件等，并妥善保存，逐步建立完备的工作档案、以便工作考核和效果评价,提高健康教育质量和水平。

(八)加强健康教育服务网络建设

1、将健康教育列为卫生院、村卫生室的主要服务内容，列入目标管理和绩效考核内容。

2、健康教育配备1名健康教育专业人员，村卫生室有专人负责健康教育工作，保证镇村基层健康教育工作落到实处。

3、为保证健康教育活动正常开展，卫生院应设立健康教育室、健康教育宣传专栏，并配备数码相机、电视机、dvd机、投影仪等设备，村卫生室应设健康教育宣传专栏，并配备必要的设备。(九)加强健康教育能力建设

1、开展健康教育专业人员培训。主要培训对象：村卫生室负责健康教育工作的卫生技术人员和相关医务工作者，培训内容主要包括：健康教育基本理论、内容、方法、技巧，健康教育基本设备的使用，健康教育效果评价等。专(兼)职人员每年至少接受上级健康教育专业机构培训不少于8学时。

2、接受健康教育技术指导。邀请县疾控中心妇幼保健、卫生监督机构和县直医疗卫生单位提供现场技术指导，发现问题，及时整改。

3、积极与大众媒体合作。主动邀请媒体参与健康教育活动，提高大众健康教育宣传活动效果。

三、项目组织与管理

卫生院负责项目实施的组织领导和考核检查村卫生室负责向辖区居民提供基本公共卫生服务健康教育。

四、项目考核指标

1、发放健康教育印刷资料的种类和数量；

2、播放健康教育音像资料的种类、次数和时间；

3、健康教育宣传栏设置和内容更新情况；

4、举办健康教育讲座和健康教育咨询活动的次数和参加人数。

附件4：

广坪镇预防接种服务项目实施方案

为做好我镇预防接种工作，根据卫生部《国家基本公共卫生服务规范》等要求，结合我镇实际，特制定本实施方案。

一、项目目标

通过预防接种项目实施，为全镇所有0-6岁儿童提供安全、有效、免费、均等化的国家免疫规划疫苗的预防接种服务，有效预防和控制疫苗针对传染病，保护儿童身体健康。2011年全县所有适龄儿童乙肝疫苗、卡介苗、脊灰减毒活疫苗、百白破疫苗、白破疫苗、麻疹类(麻风、麻腮、麻疹)疫苗接种率均达到95%以上，无细胞百白破疫苗、流脑疫苗(a群和a+c群)、乙型脑炎减毒活疫苗、甲肝减毒活疫苗接种率均达到90%以上。

二、项目内容

(一)及时为全镇范围内所有0-6岁适龄儿童(包括流动儿童、超生儿童和外地儿童)建立《预防接种证》、《预防接种卡》、信息录入儿童免疫规划信息平台，并做好预防接种资料管理。

(二)根据国家免疫规划疫苗免疫程序，确定受种对象，提供免费的国家免疫规划疫苗接种服务，不得强行用二类疫苗代替一类疫苗，不得在对适龄儿童接种一类疫苗同时接种二类疫苗。

(三)加强流动儿童管理，开展0—6岁儿童主动搜索。做好流动人口的摸底调查工作，将流动人口儿童的预防接种与本地儿童同样管理，不得以任何理由拒绝为流动人口儿童接种。各包片人员每季度对责任地段0—6岁儿童的接种情况进行核对，主动开展搜索、上门走访，及时发现漏登、漏种儿童和流入流出儿童，并及时填写接种通知单通知接种。

实行县内出生儿童转卡归口管理制度，县直各产科接种点(县妇儿医院除本院接种门诊管理地段外)对本院出生的新生儿、各镇卫生院接种门诊对本院出生的非本辖区内的新生儿除规范做好卡介苗和首针乙肝疫苗接种外，要详实填写《儿童预防接种记录卡》，每月5日前报送县疾控中心免疫预防科，再由县疾控中心分转各属地镇场进行归口规范管理。(四)规范接种工作。

1、接种工作人员在接种前应查验儿童《预防接种证》和《预防接种卡》或电子档案，核对受种者姓名、性别、出生日期及接种记录，确定本次受种对象、接种疫苗的品种，并填写知情同意书。

2、接种工作人员在实施接种前，应当告知受种者或者其监护人所接种疫苗的品种、作用、禁忌、不良反应以及注意事项，询问受种者的健康状况以及是否有

接种禁忌等，并如实记录告知和询问情况。

3、接种时的工作。接种工作人员在接种操作前再次查验核对受种者姓名、预防接种证和本次接种的疫苗品种，核对无误后严格按照《预防接种工作规范》规定的剂量、接种部位、安全注射等要求予以接种。

4、接种单位的工作人员，在接种期间要及时对每名受种儿童填写《预防接种登记本》，必须填写每个栏目。新生儿首剂乙肝疫苗接种单位要及时登记填写《新生儿首剂乙肝疫苗和卡介苗接种登记卡(三联单)》。

5、接种后的工作。告知儿童监护人，受种者在接种后应留在留观室观察30分钟。接种后及时在《预防接种证》和《预防接种卡》上记录所接种疫苗的年、月、日及批号并录入国家免疫规划信息平台。与儿童监护人预约下次接种疫苗的种类、时间和地点。

6、接种单位要及时将接种信息录入儿童预防接种信息管理系统，上传疫苗、注射器和接种等数据，并做好备份，保持信息管理系统正常运行。

(五)做好异常反应的报告、调查、诊断和处理。如发现疑似预防接种异常反应，接种人员应及时诊治，按照“常见的预防接种一般反应处置原则”进行处理，及时填写相关记录表，并向县疾控中心报告。县疾控中心和各接种单位按照《预防接种工作规范》等有关要求开展工作。

(六)做好资料上报。坚持使用常规免疫资料册和年报资料册，每月20日之前上报月资料册，次年元月5日之前上报年报资料，严格实行接种率月报表逐级审核和分管领导签字负责制度，并加盖单位公章后上报。

(七)做好疫苗、注射器及冷链管理。制订和上报疫苗、注射器的使用计划，确保有计划的分发和使用，按照“先进先出，先短效后长效，按批次登记分发”的原则，避免浪费，尤其是卡介苗要通过预约集中定时接种。实行疫苗、注射器专人负责、专帐管理，完善领用手续。疫苗使用情况，各预防接种单位应每2个月向县疾控中心上报一次；县疾控中心每季度向各接种单位配送一次。各单位一类疫苗使用数，不得超过县疾控中心分配计划，对于超出使用计划需追加疫苗的单位，需说明原因，向县疾控中心申请追加疫苗报告，经审批后方可追加。冷链管理做好疫苗贮存、运输和使用温度记录，对储存疫苗的冰箱、冰柜须每日记录2次温度。

(八)继续抓好gavi项目。做好新生儿乙肝疫苗免疫接种工作，提高新生儿乙肝疫苗全程接种率和首针及时率。继续开展15岁以下儿童乙肝疫苗查漏补种工作，6月份完成第一阶段1994-1995年出生儿童第三轮的补种工作，同时开展第二阶段1996-1997年出生儿童的乙肝疫苗查漏补种工作。

(九)实施麻疹疫苗后续强化免疫。根据全省工作安排，9-10月开展麻疹后续强化免疫活动，目标人群为8月龄-4岁儿童。

(十)开展新入学(托)儿童接种证及补种工作。加强与教育部门沟通与协作，积极做好培训与技术指导，协助教育部门和学校及时开展新入学(托)儿童接种证查验工作，并及时做好疫苗补种。查验和补种工作结束后，要及时上报各种统计报表。

(十一)强化狂犬病暴露规范化处置管理。加大对狂犬病监测力度，对狂犬病病例个案调查要及时上报；认真做好狂犬病暴露后规范处置工作，积极开展狂犬病抗体检测，按时上报各种报表；严格执行新农合报偿制度。严格掌握暴露分级原则，规范暴露后处置(伤口的正确处理，抗免/抗血清的正确使用，过敏反应的抢救等)，实行告知、签字制度。

(十二)做好疾病监测。

1、afp监测。继续加强afp病例报告和主动监测工作，提高病例报告、调查和随访及时率；抓好标本采集、送检工作，提高合格采便率；加强督导检查和主动监测，防止afp病例漏报现象的发生。县疾控中心安排专人每旬到县级哨点医院主动搜索发现病例，各镇卫生院发现15岁以下不明原因软瘫的病例要及时上报并及时采样，全年完成3例以上afp病例监测任务。

2、按照《麻疹监测方案》的要求，充分利用国家疫情网络直报系统，做好麻疹疑似病例报告、个案调查、标本采集和检测工作；同时加强对麻疹易感人群聚集地的主动监测工作，杜绝疫情缓报、瞒报现象发生；继续做好麻疹疑似病例血清标本的采集和检测工作，对散发麻疹疑似病例的血清标本采集率要达到100%，暴发疫情采集10例以上，并及时送县疾控中心。

3、流脑、乙脑、甲肝、麻腮、麻风等相关疾病的监测工作，做到早发现、早诊断、早报告、早期采集样本，个案调查信息及时网络直报，确保报告资料的完整性与及时性。

4、各接种门诊应按照《湖北省儿童免疫效果监测实施方案(试行)》要求，积极开展免疫成功率监测，做好免疫效果的监测与评价。

三、项目组织与管理

卫生院负责项目的组织领导和考核检查，预防接种科负责预防接种工作的具体实施。

四、项目督导与考核(一)督导与考核

卫生院组织对预防接种服务项目进行考核评估；对各村开展每季度不少于1次的业务检查指导，每次检查指导结束后向卫生院提供书面报告。业务检查指导内容主要有项目开展情况，所有适龄儿童是否及时得到免费、安全、有效的国家免疫规划疫苗的接种服务等。

(二)考核指标

1、建证(卡)率：适龄儿童建证(卡)率95%。

2、接种率：以村为单位，适龄儿童全部免疫规划疫苗接种率达到90%以上。

附件5：

广坪镇传染病报告与处理服务项目实施方案

为建立和完善我镇医疗卫生机构传染病监测报告与处理机制，规范实施传染病报告与处理，根据卫生部《国家基本公共卫生服务规范》等有关要求，结合我镇实际，制定本实施方案。

一、项目目标

依据《传染病防治法》建立并完善各级医疗卫生机构传染病监测报告与处理机制；各有关科室、村卫生室及各个体诊所按规定程序报告传染病；依法监管辖区传染病信息，分析、处置传染病疫情并指导医疗机构做好疫情处理，保障传染病网络直报系统正常运行。2011年，全镇法定传染病报告率、报告及时率、报告准确率、重点传染病个案调查率均达到95%以上，暴发疫情调查处理率达100%。

二、项目内容

(一)传染病报告机构

1、组织管理

各单位建立健全疫情报告管理工作领导小组，落实专职疫情报告管理人员，并持证上岗。

2、制度建设

各单位健全完善传染病疫情报告管理制度、传染病预检分诊制度、首诊医生疫情报告制度、门诊日志登记制度、传染病疫情漏报自查制度、传染病疫情报告管理奖惩制度和住院部、检验科等疫情报告制度。

3、人员培训

医疗卫生机构定期对本单位医护人员进行传染病防治知识、技能的培训。镇卫生院对辖区乡村医生每年进行传染病防治知识、技能的培训。各医疗卫生机构参加县局及以上单位组织的培训。

4、发现、登记

规范填写门诊日志、入/出院登记簿、x线室或化验室检测结果登记本，首诊医生在诊疗过程中发现传染病病例、疑似病例时，按照要求填写《中华人民共和国传染病报告卡》。

5、疫情报告

(1)报告程序与方式

各单位必须使用传染病疫情监测信息系统报告,《传染病报告卡》按时间及病

种顺序整理归档，作为本单位报告传染病的依据。根据疫情，当怀疑有传染病暴发流行的可能时，应及时向县疾控中心和县卫生局报告。

(2)报告时限

发现甲类传染病和乙类传染病中的肺炭疽、传染性非典型肺炎、脊髓灰质炎、人感染高致病性禽流感及其他按甲类管理传染病的病例或疑似病例时，或发现其他传染病和不明原因疾病暴发时，应于2小时内将传染病报告卡通过网络报告。对其他乙、丙类传染病病例、疑似病例和规定报告的传染病病原携带者，在诊断后实行网络直报的责任报告单位应于24小时内进行网络报告。

(3)做好传染病报告的订正和补报工作

6、传染病处理

(1)病例转诊。将病人及其病历记录复印件一并转至具备相应救治能力的医疗机构。

(2)消毒处理。依照法律、法规的规定，对本单位内被传染病病原体污染的场所、物品以及医疗废物，实施消毒和无害化处置。

(3)病例随访。协助县疾控中心做好重点管理传染病居家病例的随访工作。

(4)密切接触者管理。协助县疾控中心查找密切接触者，按照有关要求协助做好管理工作。

7、做好肠道传染病防制

8.做好结核病人发现和督导工作

四、项目督导与考核

(一)督导与考核

卫生院对传染病报告与处理项目组织进行自我评估；对全镇村卫生室开展每季不少于1次的督导，内容主要为传染病疫情报告率、传染病疫情报告及时性、传染病疫情报告准确率、疫情调查处理情况等。

(二)考核指标

1、传染病疫情报告率＝网络直报系统中的报告卡片数/登记传染病病例数×100%。要求达到95%。

2、传染病疫情报告及时率＝网络直报及时的传染病病例数/登记传染病病例数×100%。要求达到95%。

3、传染病疫情报告准确率95%。

4、疫情调查处理：重点传染病个案调查率达到95%；暴发疫情调查处理率达100%。

附件6：

广坪镇0—36个月儿童健康管理服务项目实施方案

为做好我镇0-36个月儿童保健服务，根据卫生部《国家基本公共卫生服务规范》等有关要求，结合我镇实际，制定本实施方案。

一、项目目标

通过儿童保健项目实施，免费向全县0-36个月儿童提供基本保健服务，提高儿童健康水平。2011年全镇新生儿访视率达到60%以上，儿童健康管理率95%以上，儿童系统管理率达到30%。儿童保健手册发放率大于80%。

二、项目内容

(一)开展妇幼保健技术培训。卫生院保健科负责村卫生室人员的培训。

(二)免费提供儿童保健服务。按照卫生部基本公共卫生服务项目《0-36个月儿童健康管理规范》的规定，为常住人口中0～36个月儿童免费提供基本保健服务。包括：建立《儿童保健手册》，新生儿访视2次，婴幼儿1岁以内4次基本保健服务，1～3岁每年2次基本保健服务，体弱儿专案管理等。

三)开展儿童生长发育监测和评价，做好低体重儿、早产、多双胎或有出生缺陷儿童的管理

(四)加强儿童保健信息管理。村卫生室主动配合，摸清辖区内0-36个月儿童人数，完成本村0-36个月儿童信息统计，填写《出生婴儿花名册》并上报到镇卫生院。卫生院要全面掌握辖区内0-36个月儿童信息，按时上报报表.三、项目组织与管理

卫生院负责项目实施的组织领导、方案制定、监督检查和绩效考核等。保健科负责项目的具体工作的组织实施，并对村卫生室业务指导，包括人员培训、技术指导、信息管理等。

四、项目督导与考核

(一)督导与考核

卫生院组织对0-36个月儿童健康管理服务项目实施情况进行自我评估，对各村开展每季度不少于1次的督导，内容主要有项目组织管理、人员培训、服务数量、服务质量、信息管理、服务效果等。

(二)考核指标

1、新生儿访视率；

2、儿童健康管理率；

3、儿童系统管理率。

附件7：

广坪镇孕产妇健康管理服务项目实施方案

为做好我镇孕产妇健康管理服务工作，根据卫生部《国家基本公共卫生服务规范》等有关要求，结合我镇实际，制定本实施方案。

一、项目目标

通过孕产妇保健项目实施，免费向全镇孕产妇提供基本保健服务，提高妇女儿童健康水平。2011年全镇孕产妇早孕建册(卡)率30%以上，孕产妇系统管理率65%以上，产前健康管理率达到90%以上产后访视率要求达到80%以上。孕期健康服务5次，产前健康管理率80%以上，叶酸服用率90%以上，产前筛查15%以上，产后访视80%以上

二、项目内容

(一)开展妇幼保健技术培训。保健科负责村卫生室妇幼保健技术人员的培训。

(二)免费提供孕产妇保健服务。按照卫生部基本公共卫生服务项目《孕产妇保健服务规范》的规定，免费为全镇孕产妇(常住人口)提供基本保健服务。包括：孕早期建立《孕产妇保健手册》，孕期五次产前检查和产后二次访视服务，高危孕产妇专案管理等。

(四)加强孕产妇保健信息管理。村卫生室主动配合，摸清辖区内孕妇人数，完成辖区内孕妇信息统计，填写《孕产妇花名册》并上报到镇卫生院。保健科要及时全面掌握辖区内孕产妇信息，每季度首月将《孕产妇花名册》信息上报县妇幼保健院。

三、项目组织与管理

卫生院负责项目实施的组织领导、方案制定、监督检查和绩效考核等。保健科负责项目的具体工作的组织实施，并对村卫生室进行业务指导，包括人员培训、技术指导、信息管理等。

四、项目督导与考核

(一)督导与考核

卫生院组织对孕产妇健康管理服务项目实施情况进行考核评估，保健科对各村开展每季度不少于1次的业务指导，每次指导结束后向卫生院提供书面报告。业务指导内容主要有项目组织管理、人员培训、服务数量、服务质量、服务效果等。

(二)考核指标(1)早孕建册率；(2)产前健康管理率；

(3)产后访视率。

附件8：

广坪镇慢性病管理服务项目实施方案

为建立健全我镇慢性病管理系统，对城乡居民的慢性病实施干预措施，减少主要健康危险因素暴露，有效预防和控制高血压、糖尿病等慢性病，根据卫生部《国家基本公共卫生服务规范》等有关要求，结合我镇实际情况，制定本方案。

一、项目目标

通过实施基本公共卫生服务慢性病管理项目，对城乡居民的慢性病及相关危险因素实施干预措施，减少主要健康危险因素，有效预防和控制高血压、糖尿病等慢性病。2011年，高血压、糖尿病等慢性管理工作明显加强，高血压病人登记管理率达到90%以上。糖尿病人管理率50%。两者规范管理率大于90%，血压、血糖控制率大于10%。

二、项目内容

(一)高血压患者管理

根据《高血压患者管理服务规范》，对全县35岁及以上高血压患者进行规范管理。

1、高血压筛查

发现途径：对35岁及以上常住居民每年首诊时测量血压；健康体检及高危人群筛查中测量血压；通过宣传教育让患者主动与基层医疗机构联系测量血压；居民健康档案建立过程中询问血压情况等。

对确诊的高血压患者进行登记管理，对高血压高危人群进行健康指导。

2、对确诊的高血压患者，镇卫生院和村卫生室每年要提供至少4次面对面随访，每次随访要询问病情、进行血压测量等检查和评估，对用药、饮食、运动、心理等进行健康指导。

3、高血压患者每年至少进行一次健康检查，可与随访相结合，内容包括血压、体重、空腹血糖，一般体格检查和视力、听力、活动能力的一般检查。

(二)2型糖尿病患者管理

根据《2型糖尿病患者管理服务规范》，对全县35岁及以上2型糖尿病患者进行规范管理。1、2型糖尿病筛查

发现途径：健康体检及高危人群筛查检测血糖；建议高危人群每年至少测量一次血糖；通过宣传教育让患者主动与镇卫生院联系；居民健康档案建立过程中询问。

对确诊的2型糖尿病患者进行登记管理，对糖尿病高危人群进行健康指导。

2、对确诊的2型糖尿病患者进行登记管理，镇卫生院每年要提供至少4次面对面随访，每次随访要询问病情、进行空腹血糖和血压测量等检查和评估，对用药、饮食、运动、心理等进行健康指导。3、2型糖尿病患者每年至少进行一次健康检查，可与随访相结合，内容包括：血压、体重、空腹血糖，一般体格检查和视力、听力、活动能力、足背动脉搏动等一般检查。

三、项目组织与管理

卫生院负责项目的组织领导、方案制定、人员培训、村卫生室考核检查等。村卫生室负责协助收集辖区内慢性病患者信息，告知服务内容，提供健康指导、随访等服务。

四、项目督导与考核(一)督导与考核

卫生院组织对村卫生室慢性病管理服务项目实施情况进行考核评估和自我评估，对各村开展每季不少于1次的督导，内容主要有项目组织管理、人员培训、服务数量、服务质量、服务效果等。

(二)考核指标

1、高血压患者健康管理率；

2、高血压患者规范管理率；

3、管理人群血压控制率；

4、糖尿病患者健康管理率；

5、糖尿病患者规范管理率；

6、管理人群血糖控制率。

附件9：

广坪镇老年人健康管理服务项目实施方案

为做好我镇老年人健康管理服务工作，根据卫生部《国家基本公共卫生服务规范》等有关要求，结合我镇实际，特制定本方案。

一、项目目标

通过实施老年人健康管理服务项目，对全镇65岁以上老年人进行健康危险因素调查和一般体格检查，提供疾病预防、自我保健及伤害预防、自救等健康指导，减少主要健康危险因素，有效预防和控制慢性病和伤害，逐步使老年人享有均等化的基本公共卫生服务。2011年，老年人健康登记管理率达到50%以上。体检表完成率大于95%

二、项目内容

(一)每年进行1次老年人健康管理。包括健康体检、健康咨询指导和干预等。

体格检查：包括血压、体重、皮肤、淋巴结、乳腺、心脏、肺部、腹部、四肢肌肉关节等体格检查以及视力、听力和活动能力的一般检查。

辅助检查：每年检查1次空腹血糖。

(二)健康生活方式和健康状况评估：包括吸烟、饮酒、体育锻炼、饮食、慢性疾病常见症状和既往所患疾病、治疗及目前用药情况。

(三)告知居民健康体检结果并进行相应干预。

1、对发现已确诊的高血压患者和2型糖尿病患者纳入相应的慢性病患者健康管理。

2、对存在危险因素且未纳入其他疾病管理的居民定期随访。

3、告知居民一年后进行下一次健康检查的时间。

(四)对所有老年人进行慢性病危险因素、流感疫苗接种知识、骨质疏松预防及防跌倒措施、意外伤害和自救等健康指导。

三、项目组织与管理

卫生院负责项目的组织领导、方案制定、组织培训、村卫生督导考核等。村卫生室负责协助收集辖区内老年人人口信息，告知服务内容，提供健康指导、随访等服务。

四、项目督导与考核

(一)督导与考核

卫生院组织对村卫生室健康管理服务项目进行考核评估和自我评估；对各村开展每季不少于1次的督导检查，督导内容主要有项目工作进度、辖区老年人接受健康管理情况、项目规范管理情况等。

(二)考核指标

1、老年人健康登记管理率；

2、健康体检表完整率。

附件10：

广坪镇重性精神疾病患者管理服务项目实施方案

为做好我镇重性精神病患者管理工作，逐步建立综合预防和控制重性精神病患者危险行为的有效机制，根据卫生部《国家基本公共卫生服务规范》等有关要求，结合我镇实际，制定本实施方案。

一、项目目标

力争用三年时间，基本建成覆盖全镇各村、功能完善的重性精神病患者管理系统。2011年以村为单位，已建档重性精神病患者管理率达到90%以上。

二、项目内容

(一)培训工作：负责对村级的培训工作。

(二)患者筛查：接受过重性精神病患者管理相关培训的专(兼)职人员收集患者的信息，做好初步筛查工作。

(三)建立健康档案：重性精神疾病(包括精神分裂症、分裂情感性精神障碍、偏执性精神病、双相障碍等)患者在纳入管理的时候，除需要原承担治疗任务的专业医疗机构提供疾病档案信息外，还应进行一次全面评估，检查患者的精神症状和躯体疾病，为符合诊断的患者建立健康档案。建档登记的内容包括患者及监护人姓名、联系方式等基本情况、患者精神疾病家族史、初次发病时间、既往诊断和治疗情况、既往主要症状、生活和劳动能力、目前症状、服药依从性、自知力、社会功能情况、康复措施、总体评价及后续治疗康复意见等。

(四)定期随访：对于纳入管理的患者，每年至少随访4次，每次随访的主要目的是提供精神卫生、用药和家庭护理等方面的信息，督导患者服药，防止复发，及时发现疾病复发或加重的征兆，给予相应处置或转诊，并进行紧急处理。对病情不稳定的患者，在现用药物基础上按规定剂量范围进行调整，必要时与原主管医生联系或转诊至上级医院；对伴有躯体疾病或严重药物不良反应，应将患者转至上级医院。

(五)健康教育、康复指导：加强宣传，对患者及其家属进行有针对性的健康教育和生活技能训练等方面的康复指导，对家属提供心理支持和帮助。

三、项目组织与管理

卫生院负责项目实施的组织领导、方案制定和考核检查等。各村卫生室负责

项目的具体执行，包括开展收集辖区内重性精神病患者人口信息、告知服务内容、人员筛查；开展督促服药、健康指导、随访等工作；及时将相关信息计入健康档案。

四、项目督导与考核

(一)督导与考核

卫生院加强对村卫生室重性精神疾病管理服务项目实施情况的监督检查，全年开展督导检查不少于4次，督导内容主要有项目计划制定、组织管理、人员培训、服务数量、服务质量、服务效果等，年终进行考核检查。

(二)考核指标

(1)重性精神疾病患者管理率；

(2)重性精神疾病患者显好率；

(3)重性精神疾病患者规范管理率。

安全服务保障方案 做好社保服务篇二

基本公共卫生服务项目实施方案

为贯彻《医药卫生体制改革近期重点实施方案》与《促进基本公共卫生服务均等化实施方案》等文件精神,促进基本公共卫生均等化,结合我乡实际,特制定“基本公共卫生服务项目实施方案”。

一、指导思想

以邓小平理论和“三个代表”重要思想为指导,全面落实科学发展观,坚持基本公共卫生服务公益性质,按照科学规范、量力而行、稳步推进、注重实效的思路,采取政府购买方式,为群众免费提供公平、有效、安全、方便的10项基本公共卫生服务,最大程度使城乡居民不得病、少得病,提高人民群众健康水平,不断推进城乡居民基本公共卫生服务实现均等化。

二、基本原则

(一)公开透明,公平公正。由政府向社会公开购买基本公共卫生服务项目,建立项目标准,实行服务效果考评,接受社会监督;坚持公平公正,经批准设臵的基层卫生机构能平等参与提供服务,城乡居民能平等享受基本公共卫生服务。

(二)权责明晰,权责一致。明晰政府、服务机构、居民享受基本公共卫生服务过程中的责任和权利,确保有效开展基本公共卫生服务。

(三)规范有序,激励促进。运用绩效考评、居民参与评

价等激励机制,保证社会效益最大化。

(四)以民为本,注重实效。充分体现方便群众、服务群众的民本理念,以居民享受良好的基本公共卫生服务为根本,最大限度地提高服务质量与效果。

三、主要内容和阶段目标

基本公共卫生服务包括以下10个项目:建立居民健康档案、健康教育、预防接种、传染病防治(艾滋病防治、结核病防治)、儿童保健、孕产妇保健、老年人保健、慢性病(高血压、糖尿病)防治、重性精神疾病管理、卫生监测工作。

基本公共卫生服务项目按承担项目单位不同分为两类:一类是可以直接由基层卫生机构承担的项目(以下简称基层项目),主要包括建立居民健康档案、健康教育、传染病防治、老年人保健、慢性病防治、重性精神疾病管理;一类是需由专业公共卫生机构承担的项目(以下简称专业项目),主要包括部分由专业公共卫生机构承担的预防接种、妇女保健、儿童保健。

疾病预防控制机构、妇幼保健机构主要是为基层卫生服务机构开展基本公共卫生工作提供技术支持,并加强对口业务指导、人员培训、质量控制、考核评估等。

(一)建立居民健康档案

以妇女、儿童、老年人、残疾人、慢性病人等人群为重点,为辖区常住人口建立统一、规范的居民健康档案,健康档

案主要信息包括居民基本信息、主要健康问题及卫生服务记录等，健康档案要及时更新。2010年居民健康档案建档率达到20%以上,2011年达到30%以上；重点人群居民健康档案建档率达到30%以上。

(二)健康教育

1、开展经常性健康教育活动。(1)基层医疗卫生服务机构向辖区居民提供健康处方、健康指导手册、折页等,每个机构每年提供不少于12种内容的印刷资料;(2)乡镇卫生院设臵健康教育宣传栏不少于2个；村卫生室设臵健康教育宣传栏不少于1个,每季度至少更新一次;(3)循环播放健康教育影像资料不少于6种;(4)利用主题宣传日或节假日,开展不少于6次的公众健康咨询活动并发放宣传资料；⑸乡镇卫生院每月至少举办一次健康知识讲座；村卫生室每两个月至少举办一次健康知识讲座。

2、对重点慢性病和传染病开展有针对性的健康教育。开展包括高血压、糖尿病、冠心病、哮喘、乳腺癌和宫颈癌等慢性病,以及艾滋病、结核病、肝炎、流感、霍乱、手足口病、水痘、流行性腮腺炎、流行性出血热等传染病健康教育和防病知识指导宣传工作。

3、对重点人群开展有针对性的健康教育。根据辖区不同重点人群(青少年、妇女、老年人、0-36个月儿童父母)开展有针对性的健康指导和健康教育,包括妇女保健知识、儿童保健知识、口腔保健知识、吸烟有害健康、免疫接种等。

4、2010年居民基本卫生知识知晓率达到60%以上,2011年达到70%以上。

(三)预防接种

1、免费向0-6岁适龄儿童提供12种一类疫苗接种服务,预防12种传染病。包括:乙肝疫苗、卡介苗、脊灰疫苗、百白破疫苗、白破疫苗、麻疹疫苗、甲肝疫苗、流脑疫苗、乙脑疫苗、麻风、麻腮疫苗等国家一类免疫规划疫苗。

2、组织做好免疫接种管理。建立适龄儿童预防接种卡、证、簿,保证安全注射和免疫信息化管理系统、疫苗冷链设施正常运行;配合疾病预防控制机构开展人群免疫水平监测和免疫接种效果监测。3、2011年 0—6岁儿童常规免疫接种率达到95%以上。

(四)传染病防治

1、开展辖区传染病监测,及时报告辖区内发现的法定报告传染病疫情。

2、做好病例转诊、本单位内消毒处理工作,协助专业公共卫生机构做好重点管理传染病居家病例的随访工作和密切接触者管理。

3、配合做好重点传染病防治管理。配合上级专业防治机构做好肺结核病例的规范化管理;配合上级专业防治机构开展艾滋病患者、病毒感染者的调查与随访,提供咨询。

(五)高血压、糖尿病等慢性病干预

1、开展高血压、糖尿病等重点慢性病患者的登记与健康指导。对35岁以上人群实行门诊首诊测血压;对确诊高血压和糖尿病患者进行登记管理,定期进行随访,每次随访要询问病情、进行体格检查及用药、饮食、运动、心理等健康指导；开展慢病预防教育和行为危险因素干预。

2、高血压、糖尿病等慢性非传染性疾病登记管理率2010年达到20%;2011年登记管理率达到30%。

(六)重性精神疾病管理

1、对辖区内已确诊的重性精神疾病患者进行登记、建档,在专业机构指导下对在家居住的重性精神疾病患者进行治疗随访,提供咨询服务、康复和治疗指导。

2、重性精神疾病患者登记管理率2010年达到20%以上；2011年达到30%以上。

(七)儿童保健

1、为0-36个月婴幼儿建立儿童保健手册,开展新生儿访视及儿童保健系统管理。新生儿访视2次,儿童保健1岁以内4次,第2年和第3年每年2次。进行体格检查和生长发育监测及评价,开展心理行为发育、母乳喂养、辅食添加、意外伤害预防、常见疾病防治等健康指导。

2、儿童保健系统管理率有明显提高。2011年达到85%以上。

(八)孕产妇保健

1、为孕产妇建立保健手册,开展5次孕期保健服务和2次产后访视。进行一般体格检查及孕期营养、心理等健康指导,了解产后恢复情况并对产后常见问题进行指导。

2、2010年孕产妇保健手册建册率达到60%以上，孕产妇保健管理覆盖率达到50%以上，高危孕产妇保健管理率达到95%以上；2011年孕产妇保健管理覆盖率达到85%以上。

(九)老年人保健

1、通过实施老年人健康管理服务项目,对城乡老年人进行健康危险因素调查和一般体格检查, 对老年人慢性病、骨质疏松、意外伤害等危险因素进行健康指导。提供疾病预防、自我保健及伤害预防、自救等健康指导,减少主要健康危险因素,有效预防和控制慢性病和伤害。

2、开展老年人保健工作,定期为65岁以上老年人做健康检查, 老年人健康管理率2010年、2011年达到30%以上。

四、组织实施

(一)卫生行政部门。组织、指导、督促和支持辖区专业公共卫生机构和基层医疗卫生机构切实落实基本公共卫生服务项目,逐步完善基本公共卫生服务绩效评价体系,加强对基本公共卫生服务的监督管理和绩效评价。

(二)财政部门。制定专项资金管理办法,加强专项资金管理,会同卫生行政部门开展基本公共卫生服务绩效考核，最大限度发挥专项资金的使用效益。

(三)专业公共卫生机构。承担基本公共卫生服务工作的项目评估、人员培训、绩效考核、质量监测和适宜技术推广等业务指导和技术支持职能。通过调整机构公共卫生职能、健全服务网络和严格服务质量管理等,加快建立专业公共卫生机构和基层医疗卫生机构分工协作关系。

(四)乡(镇)卫生院、村卫生室等基层卫生机构。作为基本公共卫生服务的实施主体,免费为全体居民提供基本公共卫生服务。坚持以健康管理为中心的服务理念和主动服务、上门服务以及医疗服务与预防保健相结合的服务模式,进一步调整完善公共卫生服务流程,配备设施设备、服务团队和专职人员,健全内部绩效评价制度,认真落实各项要求,确保基本公共卫生服务全覆盖和公益性质以及服务均等化,积极发挥基本公共卫生服务的网底作用。

五、资金保障

(一)资金筹集。财政部门建立基本公共卫生服务专项资金,2009年基本公共卫生专项资金的筹集标准为人均15元,2010年达到人均18元，2011年达到人均20元。资金来源为中央财政下达的补助资金和市级、县财政预算安排资金。

(二)资金分配。

1、基层项目资金。基层项目资金全部用于提供公共卫

生服务的乡(镇)卫生院和村卫生室。

2、专业项目资金。按照专业公共卫生机构所承担的基本公共卫生服务项目和平均服务成本测算确定专业项目资金预算总额。专业项目资金全部用于提供基本公共卫生服务的专业公共卫生机构。

3、奖补资金。在基本公共卫生专项资金中安排部分资金,用于对承担基本公共卫生服务的基层卫生机构的奖励和补助以及开展绩效考核工作的经费支出。

(三)资金拨付。按照激励约束的原则,专项资金实行年初预拨、年终根据绩效考核结果清算的拨付办法。基层项目资金、专业项目资金和奖补资金的补助办法,由县卫生行政部门与财政部门根据项目运行情况和筹资标准变化情况按调整。

六、工作要求

(一)加强组织领导,认真推进实施。卫生行政部门要切实加强对基本公共卫生服务的统一管理,将项目工作要求全面纳入工作总体计划之中,精心组织,妥善安排,全面组织实施。县疾病预防控制机构、妇幼保健机构要牢固树立指导实施基本公共卫生服务项目的责任意识,逐级成立项目技术指导组及办事机构,充分发挥技术支撑作用,认真做好对项目工作的业务技术指导。乡(镇)卫生院、村卫生室要认真对照基本公共卫生服务项目的具体内容和要求,制定详细的

实施方案,逐项抓好落实。

(二)严格资金管理,加强绩效考核。县财政部门和卫生行政部门负责制定全县统一的基本公共卫生专项资金绩效考核办法。县卫生行政部门和财政部门是基本公共卫生专项资金的绩效考核的实施主体,对绩效考核结果进行抽查。县卫生行政部门和财政部门在每年11月15日前,完成乡（镇）卫生院和专业公共卫生机构提供基本公共卫生服务的绩效考核,并上报市卫生行政部门和市财政部门。

(三)完善服务规范,确保服务质量。由县卫生行政部门根据基层医疗卫生机构的服务能力和条件,研究制定和推广健康教育、预防接种、儿童保健、孕产妇保健、老年保健及传染病防治、慢性病管理等基本公共卫生服务项目工作方案,健全管理制度和工作流程,提高服务质量和管理水平。以重点人群和基层医疗卫生机构服务对象为切入点,逐步建立规范统一的居民健康档案,积极推进健康档案电子化管理,加强公共卫生信息管理。专业公共卫生机构和基层医疗卫生机构要改变服务方式,采取上门服务、主动服务和连续服务,不断提高基本公共卫生服务的质量。

2011年3月10日

安全服务保障方案 做好社保服务篇三

市人力资源和社保局年工作总结

市人力资源和社会保障局年工作总结

2013年，面对严峻复杂的经济形势，xx市人社局坚决贯彻市委、市政府的决策部署，扎实推进各项工作并取得了积极成效。全年全市城镇新增就业14.8万人，完成目标的140.8%；城镇登记失业率2.12%，为全省最低。扶持自主创业11594人，实现带动就业人数76117人；全市养老、医疗、失业、工伤、生育“五大保险”净增缴费人数分别为7.59万人、13.46万人、16.21万人、5.83万人、16.92万人；引进各类人才10万人；新增高技能人才2.99万人，均完成或超额完成目标任务。四项基本现代化指标中，城乡基本养老、医疗、失业三项保险覆盖率预计分别为98.2%、98%、98.7%，已提前达到基本现代化目标要求值；全市每万劳动力高技能人才数达到583人，已达到目标值的97.2%。国家人社部尹蔚民部长亲临无锡考察，对我市人社工作取得的成绩给予了充分肯定；市人社局获得“国家技能人才培育突出贡献奖”，成为全国人社系统优质服务窗口单位。

2013年，面对严峻复杂的经济形势，xx市人社局坚决贯彻市委、市政府的决策部署，扎实推进各项工作并取得了积极成效。全年全市城镇新增就业14.8万人，完成目标的140.8%；城镇登记失业率2.12%，为全省最低。扶持自主创业11594人，实现带动就业人数76117人；全市养老、医疗、失业、工伤、生育“五大保险”净增缴费人数分别为7.59万人、13.46万人、16.21万人、5.83万人、16.92万人；引进各类人才10万人；新增高技能人才2.99万人，均完成或超额完成目标任务。四项基本现代化指标中，城乡基本养老、医疗、失业三项保险覆盖率预计分别为98.2%、98%、98.7%，已提前达到基本现代化目标要求值；全市每万劳动力高技能人才数达到583人，已达到目标值的97.2%。国家人社部尹蔚民部长亲临无锡考察，对我市人社工作取得的成绩给予了充分肯定；市人社局获得“国家技能人才培育突出贡献奖”，成为全国人社系统优质服务窗口单位。

（一）奋力创先争优，常规工作继续保持在全省第一方阵

一是千方百计确保就业局势稳定。针对阶段性“招工难”问题，组织赴xx、xx、xx、xx、xx等地开展劳务对接，累计帮助重点企业招工近20万人。继续实施失业保险降低费率政策，全年惠及4万多家企业，为企业和个人共减负5.4亿元，有效稳定了就业岗位。大力扶持困难群体就业，“就业援助月”、“春风行动”期间，共举办了356场公益性招聘活动，提供岗位信息51.85万个。实施促进高校毕业生就业创业八项实事，推进大学生实名制管理，落实大学生租房补贴政策，赴清华大学等重点高校延揽人才。我市积极服务企业用工和吸引大学生就业创业的做法，得到央视关注。

二是社会保障体系进一步完善。调整居民养老保险缴费水平和政府补贴标准，提高最低档次到300元（原100元），增设1500元的最高缴费档次。调整2013市区居民养老保险待遇标准，居民基础养老金每人每月增加40元，为省内地市级城市最高。及时落实2013企业退休人员养老金调整工作，市区调整后平均水平为2033元/月（全市为1921.4元/月）。调整和提高医保待遇水平，职工医保和居民医保政策范围内住院费用基金支付比例分别达84%和72%。实施我市工伤康复管理办法，实行新的康复费用结算办法。

三是人才队伍建设继续加强。积极开展技能振兴专项活动，研究制订关于加强职业培训促进就业的实施意见。先后在上海、深圳、香港举办“东方硅谷”人才政策宣传推介会，新增国际国内顶尖人才、社会事业和中介服务领军人才2人、33人、7人。新增国家级博士后科研工作站10家，列全省第一；省创新实践基地8家，超额完成全年建站任务；全年共招收博士后31人。

四是人事管理服务更加规范。围绕打造公务员招录“阳光”品牌，抓好招录计划编制、政策制定公布、工作责任落实、面试工作组织四个环节，圆满完成公务员招录任务。组织事业单位申报参公管理工作如期上报。推进和深化事业单位人员聘用、岗位设置管理和公开招聘三项制度建设。军转安置工作圆满完成。

五是劳资关系保持和谐稳定。密切关注宏观经济形势对企业的影响，扎实做好10多家重点经营困难企业的劳资关系处理工作。积极学习贯彻新法新规，稳妥推进劳务派遣行政许可工作。巩固劳动人事争议处理“三方机制”和“五位一体”调解联席会议机制。推进企业工资集体协商工作，及时出台最低工资标准调整方案。全年全市12333咨询服务电话来电总量229万个（其中市本级214万个），市权益服务中心全年受理各类来访来电来信1.94万件。

（二）致力创新突破，重点难点工作有力推进

一是大力吸引扶持大学生创业。制定出台推进大学生创业园建设促进大学生创业的意见，新政策将扶持对象从原来的毕业2年内的大学生扩大到在校大学生和毕业5年内的大学生，从资金、场地、能力、服务四个方面予以优惠政策支持。以江南大学大学生创业园为依托，会同江南大学、广电集团、xx区政府，推进创建国家级大学生创业园，经努力，创业园已成功被省厅评估认定为省级大学生创业园。二是全面实施城乡居民大病保险制度。制定实施城乡居民大病保险制度，在全省率先采取向商业保险机构购买大病保险方式，对参保人员个人负担超过上一城镇居民年人均可支配收入50%以上的部分（1.7万元）给予保障，有效降低群众大病费用负担。

三是举办首届无锡技能技工大赛。这是我市首次举办的全市性、综合性的职业技能大赛，52个代表队、500多名选手角逐14个职业（工种）“技能状元”，其中9人摘得“无锡职工技能状元”并享受市劳模待遇，14人摘得“无锡学生技能状元”。期间同时开展技能成果展示、大师绝活表演、校企合作对接、高层论坛等活动，直接参与人数超过1万人，在全社会营造了“崇尚技能、人才强企、创新发展”的良好氛围。四是研究推进人力资源服务业发展。在广泛调研的基础上，研究制订“关于大力发展人力资源服务业的意见”。利用市级公共人力资源服务机构的集聚效应，积极筹划在xx区开展人力资源服务产业园建设，目前，规划论证和招商引资工作正有序进行。

五是进一步规范事业单位公开招聘。经过科学论证、认真准备，首次集中组织市属事业单位进行统一笔试和集中面试，招聘的规范性、公平性进一步得到保障，受到了社会各界的认可。

六是完成“两场整合”历史性任务。在没有现成的成功样本可以参照的情况下，以“科学整合资源、方便服务对象”为出发点，在合理确定职能定位的基础上，将市人才市场和市职介中心合并，成立新的“市人力资源市场”，并对人力资源市场大楼进行重新划分和改建，全力打造专业化、综合性的一站式服务格局。目前，市场已实现机构、人员、场地“三到位”，这项工作在全省全国走在了前列。此外，还实现了原市劳动保障信息中心与人才信息中心的整合。

（三）着力追求人民满意，“三个建设”得到全面加强

一是干部队伍建设得到加强。进一步规范了市局干部人事管理制度。组织实施了市局25名机关干部和27名事业单位领导班子、中层干部调整工作。调整后，研究生以上学历、硕士以上学位人员占机关中层干部的36.6%，新提任干部中94%具有基层工作经历或多岗位锻炼经历。二是作风建设得到加强。以省市在九个部门开展“六位一体”民主评议政风行风和推进公共服务标准化工作为契机，全面查找人社部门在改善民生、服务市民方面存在的薄弱环节，并切实加以改进，促进了全系统作风转变和效能提升，综合评议成绩位列全市第一，其中9个市（县）区人社局中4个获得第1名，2个获得第2名，我市成为全省人社系统仅有的两个获得第一名的省辖市之一。

三是廉政建设得到加强。认真贯彻中央八项规定和省市委十项规定，落实党风廉政建设责任制。协助市委巡察组做好各项组织协调工作，按期完成了各项工作任务。

与此同时，各市（县）区人社工作创新发展、亮点纷呈。xx市净增参保2.17万人，以“五步五库法”推进高校毕业生实名制就业管理，得到尹蔚民部长高度肯定；xx市“金保工程”顺利上线运行，首次举办了综合性的全市职业技能大赛；xx区新增博士后科研工作站2家，启动实施了“1+10”服务制度，为重点企业提供专项服务600余次；xx区在9个部门试点机关人员绩效考核考评管理系统，成立了劳动保障权益服务中心；xx区走进高校大力宣传就业创业扶持政策，全面启动五星级人力资源市场改造工程；xx区累计创建创业孵化基地、实训基地已达58家，对优秀高技能人才、有培养贡献的企业给予津贴资助；xx区城镇失业人员再就业17641人，完成率294%，扎实推进公务员教育培训，开办“古运河大讲堂”专题讲座7期；xx区431名就业困难人员实现“宅就业”，57人实现“微创业”，同时开发社区灵活就业岗位3842个，帮助困难群体就业；新区新引进培育国家“千人计划”人才14名，获批省级人力资源服务产业园。

安全服务保障方案 做好社保服务篇四

社保局作风建设实施方案

社保局作风建设实施方案

一、工作目标

以邓小平理论和“三个代表”重要思想为指导，深入贯彻落实科学发展观，全面贯彻中央、省、市、区有关会议精神，强化进位赶超意识、质量标准意识、自我约束意识，坚持走“工业支撑、商贸兴区”的发展路子，以服务创业、富民兴饶为主题，以服务重大产业项目建设为重点，以深化改革为动力，以打造最优创业环境为目标，以开展“建设五型机关、提高服务水平”主题实践活动为载体，着力解决影响创业和发展机关作风方面存在的突出问题，努力建设学习型、服务型、创新型、务实型、廉洁型机关，进一步营造科学发展的良好环境，树立

机关“为民、务实、清廉”的良好形象。

二、主要内容

1、努力建设学习型机关。大力倡导学习之风，强化学习意识，完善学习制度，创新学习方式和效果，争做学习型干部。认真组织广大机关干部深入学习中国特色社会主义理论体系，学xxx省、市、区委关于科学发展的重大决策精神，牢固树立科学发展观。要引导党员干部努力增强党的意识、带着责任学，增强实践意识、联系工作学，增强探索意识、带着思考学，增强表率意识、领导干部带头学。要广泛开展读书活动，多渠道、多层次加强干部教育培训。要本着“干什么学什么、缺什么补什么”的原则，加强岗位练兵和技能培训，为创业服务。要按照科学理论武装、具有世界眼光、善于把握规律、富有创新精神的要求，推进学习教育的科学化、制度化、规范化，不断提高机关干部服务经济建设的能力，依法行政的能力和服务创业、服务基层、服务群众的能力，使全区机关成为学习型机关，领导班子成为学习型领导班子，机关干部成为学习型干部。要认真学习贯彻《廉政准则》，纳入宣传教育工作总体部署，列入党组中心组学习和党性党风党纪教育的重要内容。区效能办将按照区委的总体要求和部署，研究制定区直机关建设学习型机关的指导意见，不断总结学习经验，推广先进典型，适时召开全区机关学习型组织建设经验交流会。

2、努力建设服务型机关。大力倡导服务之风，强化服务意识，完善服务机制，把握服务重点，争做服务型干部。动员和组织机关干部走出机关，深入基层，深入群众，积极宣传、落实创业政策，营造创业氛围和环境，帮助基层和群众解决创业中的实际困难和问题。组织群众就机关服务创业的意识、效率和质量等进行评议，广泛听取人大代表、政协委员、党风廉政建设特邀监督员和基层群众以及创业者对机关服务创业的意见建议，进一步找准并切实解决群众

反映突出的问题，对损害创业者利益、扰乱市场秩序的行为和行政不作为、慢作为和乱作为情况进行明察暗访、督促整改。

3、努力建设创新型机关。大力倡导创新之风，创新发展思路，创新工作机制，创新服务方式，工作敢于突破、敢于负责、敢于争取，争做创新型干部。要积极抢抓鄱阳湖生态经济区建设这一历史机遇，强化进位赶超意识，千方百计推进重大产业和重大项目建设，坚持走“工业支撑，商贸兴区”的发展路子，大力实施赶超发展战略，要通过创建创新型机关，鼓励机关党员干部立足本职创新、创业、创造，把党员干部的思想统一到区委的重大决策部署上来，把行动统一到加快信州发展的新任务新要求上来，推动我区经济社会更好更快的发展。

4、努力建设务实型机关。大力倡导务实之风，强化质量标准意识，自觉将高标准、严要求、上档次、出精品渗

透到日常每一项工作中，落实到工作的每一个具体环节上。带头厉行节约，降低行政成本，以节约型机关建设带动节约型社会建设，以厉行节约的党风政风引领社会风气。进一步完善有关工作机制体制，努力简化机关行政审批工作程序；进一步改进文风会风，缩减会议和文件；深化文明创建，大力倡导文明节俭之风，使节电、节水、节油、节能成为机关和党员干部的自觉行动。

5、努力建设廉洁型机关。大力开展“强化三种意识，推进科学发展观”主题教育，强化自我约束意识，带头遵纪守法，严守各项纪律，廉洁自律，争做廉洁型干部。抓好党风廉政责任制落实，防止和克服平庸之风、庸俗之风、钻营之风。严格遵守《廉政准则》各项规定，严格按照《廉政准则》提出的要求和规定，认真分析本部门本单位党员领导干部廉洁从政方面存在的薄弱环节，进一步规范领导干部从政行为，着力解决涉及领导干部廉洁自律的突出问

题。加强党纪条规和警示教育，积极开展廉政文化进机关活动。完善和健全制度，形成靠制度管权、靠制度办事、靠制度管人的规范廉洁从政的机制。大力推进党务、政务公开，确保权力阳光运行。加强监督检查，对办事拖沓、效能低下、有碍创业服务的人和事进行告诫和责任追究。

三、工作要求

1、加强组织领导。深化机关作风建设是全区“创业服务年”五项重点工作之一，是优化创业环境的载体。各部门、各单位要高度重视，加强领导，周密部署，精心组织，做到思想到位，组织到位，措施到位，切实抓好各项工作任务的落实。同时，要大力加强宣传教育，报纸、广播、电视、网络等新闻媒体要发挥舆论导向作用，宣传活动情况和工作经验，对活动中涌现出的先进典型要及时宣传报道，对负面典型事例要坚决予以曝光，大力营造“转作风、提效能、优环境、促发展”的浓厚氛围。

2、加强沟通配合。责任部门和配合部门之间要形成定期信息反馈和情况交流机制，及时通报工作情况，分析研究工作中出现的问题，提出解决办法，推动工作顺利进行。区效能办要切实发挥好组织协调、督促检查、信息反馈、具体指导的作用。领导小组成员单位要明确工作职责，加强协调配合，形成推动工作的合力，确保组织领导、参加人员、活动时间、活动成效“四落实”。那一世范文网:http://

3、注重统筹兼顾。各部门、各单位要把深化机关作风建设与巩固扩大学习实践科学发展观活动成果结合起来，与“讲党性、重品行、作表率”活动结合起来，与“建设鄱阳湖生态经济区、探索科学发展新路子”、“强化三种意识，推进科学发展”主题教育结合起来，尤其要与贯彻落实区委、区政府的决策部署和本单位的业务工作紧密结合起来，与体制机制和制度的改革创新结合起来，防止搞形式主义、走过场，确保深化全区

机关作风建设活动扎实开展，富有成效。

4、注重实际效果。正确处理加强作风建设与做好各项工作的关系，把作风建设融入到各项实际工作之中，统筹兼顾，合理安排，务求取得实效。要结合本部门本单位的实际，注意抓点带面，分类指导。要力戒形式主义，不做表面文章。在活动内容上，采取统分结合；在组织方法上，注重灵活多样，确保活动顺利推进。区效能办将适时对全区深化机关作风建设情况进行明察暗访，并及时通报督查结果。以作风建设活动的扎实开展推动各项工作的全面落实，以各项工作的实绩来检验作风建设的成效。

安全服务保障方案 做好社保服务篇五

xx市社保局2015年度信息安全服务项目

实施计划

目 录一、二、项目概述...............................................................................................................................3 项目服务内容.......................................................................................................................4 2.1.风险评估...................................................................................................................4 2.2.设备安全加固...........................................................................................................5 2.3.安全管理体系建设...................................................................................................6 2.4.等级保护测评.........................................................................................................14 2.5.安全技术运维.........................................................................................................17 2.6.安全咨询、宣传培训及安全专家服务..................................................................20 2.7.上级部门交办的安全自查与整改工作资金概算..................................................20 2.8.通过部署安全配置审计、身份验证令牌等手段，加强系统安全基线审计错误！未定义书签。

2.9.安全证书服务.........................................................................错误！未定义书签。2.10.建立安全运维体系..............................................................................................21 2.11.信息安全实时监控服务..........................................................错误！未定义书签。2.12.网站和网办安全服务..........................................................................................22 项目实施时间及成果文档.................................................................................................34

三、

一、项目概述

经过多年建设xx社保中心已经初步建成完善的信息系统，为xx社保中心重要业务系统的有效开展提供了强有力的支撑。同时，信息系统的安全可靠运行是确保xx社保中心主营业务正常开展的必要条件。

在信息科技发展的同时，各种黑客手段、病毒技术、木马技术也在飞速发展，信息安全问题在信息化的过程中也日益突出，xx社保中心的信息系统建设必须面对日益严峻的信息安全问题。尽管xx社保中心近几年来通过持续的安全建设，形成了初步的单纯依靠安全设备的安全防护体系。但从目前的国内外安全环境以及法律法规的角度来看，仅是单单依靠安全设备，是无法解决xx社保中心的整体信息安全防护需求的。必须引入综合安全服务，结合专业的信息安全服务团队，解决诸多安全设备无法直接解决的安全问题，共同形成确保业务系统安全、稳定运营的综合安全保障措施。

因此，根据目前实际情况，xx社保中心需要引入以安全风险识别、安全风险控制、安全体系完善、日常安全运维、安全宣传、安全培训、网站安全监控、等级保护测评等主要内容的综合信息安全服务保障，切实提高xx社保中心的信息安全保障能力。

二、项目服务内容

综合安全服务要求包含风险评估、设备安全加固、安全管理体系建设、等级保护测评、安全技术运维、安全咨询及宣传培训、上级部门交办的安全自查和整改、通过部署安全配置审计身份验证令牌等技术手段加强技术控制、安全服务证书、建立安全运维体系、信息安全实时监控服务、网站和网办安全服务等内容，具体要求如下。2.1.风险评估

针对社保的物理机房环境、网络结构、网络服务、主机系统、中间件、数据库系统、容灾系统及数据存储安全、应用系统、应用代码、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等对象进行评估，包括采用漏洞扫描、人工安全审计、渗透测试、代码安全审计、客户端测试等方法，深入且全面的掌握社保中心的安全现状，为后续的持续安全改进提供科学、详细的依据。主要内容包括：

 建立安全风险模型：评估前建立安全风险模型，该模型必须包含但不限于以下要素：资产、影响、威胁、漏洞、安全控制、安全需求、安全风险，投标人应详细描述其风险模型的各个要素及之间的关系，并包括对威胁、漏洞、风险的等级划分标准。安全评估必须按照分层的原则，包括但不限于以下对象：物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等。 信息资产评估：收集社保中心所有信息资产，包括所有的有形资产和无形资产，如服务器、网络设备、存储设备、应用软件、数据、人员、管理等。并对所有资产根据关键安全要素进行赋值，为评估阶段的风险计算和安全优化阶段的风险控制提供依据。

 安全审计：对社保中心的服务器和网络设备进行安全审计。其中，服务器的安全审计包括操作系统安全（windows、linux、solaris、aix）审计和应用软件（如数据库、iis、apache、tomcat、weblogic）的安全审计。安全审计的每台被审计设备也必须体现cia三要素包含的安全性、完整性、可用性。

 漏洞扫描：漏洞扫描针社保中心的主要it设备（服务器，网络设备，安全设备）得自身脆弱性进行安全评估。扫描内容包括端口扫描、系统扫描、漏洞扫描、数据库等应用软件扫描等，服务完成后应提供扫描报告，解决方案并对发现漏洞给予解决。

 数据安全威胁分析：通过入侵检测系统对社保中心信息安全所面临的威胁进行细致分析，并给出报告。报告必须包括网络事件协议类型统计及对比饼图、事件危险级别统计及对比

饼图、事件攻击类型统计及对比饼图、信息安全性综合分析等。

 网络结构安全分析：为降低社保中心整体网络安全风险、增强it内控的实效性、更清晰的评价和监控现有安全状况，需要对网络结构进行分析，并结合业务情况进行安全域的规划设计。安全域设计需要对社保中心现有网络按照等级分为域、区、单元三个级别，描述安全域划分步骤及边界防护原则，对现有网络结构的每项不足之处提出可执行的措施，并在安全优化阶段实施。

 渗透测试服务：对所有业务应用系统进行渗透测试。

 源代码审核：针对用户应用系统的白盒测试，主要目的是发现系统代码层的安全问题，并提出解决方案。源代码审核需要包括以下内容，且服务方需要形成源代码审核模型图：（1）审核业务流程中是否存在可被绕开的漏洞；（2）审核业务系统源代码中是否有一般性的漏洞类型；

（3）审核业务系统源代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞；（4）给出加固解决方案；

（5）对代码中不符合安全规范的部分进行规范；（6）对今后代码编写的安全措施给出指导意见。（7）检查出代码中存在的安全漏洞。

 综合风险分析：在对社保中心信息体系的各个层次进行技术安全评估基础上，综合分析社保中心信息系统面临的各方面威胁，依靠定量计算和定性分析结合的方式，计算出社保中心各方面的风险级别，并提出解决措施。

 月度动态安全评估。结合每月的安全运维工作，随时获取信息系统安全要素的最新安全情况，监控社保中心信息系统的最新安全动态情况，并根据需要调整安全策略，确保应对最新的安全威胁。 数据安全保护

对业务数据、数据库系统提供实施保护技术服务，协助用户对数据设计及数据库漏洞进行分析整改，对敏感数据进行过滤规划，对测试数据提供脱敏服务。

2.2.设备安全加固

安全整改加固工作对通过安全配置核查、漏洞扫描、渗透测试、策略分析等工作中发现的安全漏洞、安全弱点、安全风险，通过多方面的安全加固措施进行修补。特别对问题源头进行整改与加固，以最大限度的降低风险。包括：

 配置核查结果的服务器安全加固  漏洞扫描的服务器安全加固  网络及安全设备的安全加固  边界安全策略的安全加固  渗透测试安全核查结果的安全整改  等级保护差距测评结果的安全整改加固  等级保护验收测评结果的安全整改加固  代码审计结果的协助性加固  病毒库升级

 其它技术测试、评估发现问题的安全整改加固。

2.3.安全管理体系建设

根据各类安全标准要求，包括等级保护要求、社保行业要求，以及劳动保障信息中心内部信息系统运行对安全管理的需求，完善中心的安全管理体系。形成并落实信息安全策略、信息安全管理制度、信息安全操作规范等，提高中心安全运营的管理水平。具体制度要求如下：

五个方面包含的主要内容如下：

（1）安全管理机构：

 设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；

 设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；  成立指导和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权；

 制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 配备一定数量的系统管理人员、网络管理人员和安全管理人员等；  配备专职安全管理人员，不可兼任；

 关键区域或部位的安全管理人员应按照机要人员条件配备；  关键岗位应定期轮岗；  关键事务应配备多人共同管理；

 授权审批部门及批准人，对关键活动进行审批；

 列表说明须审批的事项、审批部门和可批准人；

 建立各审批事项的审批程序，按照审批程序执行审批过程；  建立关键活动的双重审批制度；  不再适用的权限应及时取消授权；  定期审查、更新需授权和审批的项目；  记录授权过程并保存授权文档；

 加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；

 信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施；

 信息安全领导小组或者安全管理委员会定期召开例会，对信息安全工作进行指导、决策；

 加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持；

 加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，获取信息安全的最新发展动态，当发生紧急事件的时候能够及时得到支持和帮助；  文件说明外联单位、合作内容和联系方式；

 聘请信息安全专家，作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等；

 由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等；

 由安全管理部门组织相关人员定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；  由安全管理部门组织相关人员定期分析、评审异常行为的审计记录，发现可疑行为,形成审计分析报告，并采取必要的应对措施；

 制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；

 制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。

（2）安全管理制度：

 制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；

 对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；

 对要求管理人员或操作人员执行的日常管理操作，建立操作规程，以规范操作行为，防止操作失误；

 形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系；

 由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。在信息安全领导小组的负责下，组织相关人员制定；  保证安全管理制度具有统一的格式风格，并进行版本控制；  组织相关人员对制定的安全管理进行论证和审定；

 安全管理制度应经过管理层签发后按照一定的程序以文件形式发布；  安全管理制度应注明发布范围，并对收发文进行登记；  安全管理制度应注明密级，进行密级管理；

 定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全管理制度进行修订；

 当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时，应对安全管理制度进行检查、审定和修订；

 每个制度文档应有相应负责人或负责部门，负责对明确需要修订的制度文档的维护；  评审和修订的操作范围应考虑安全管理制度的相应密级。

（3）人员安全管理：

 保证被录用人具备基本的专业技术水平和安全管理知识；  对被录用人声明的身份、背景、专业资格和资质等进行审查；  对被录用人所具备的技术技能进行考核；  对被录用人说明其角色和职责；  签署保密协议；

 对从事关键岗位的人员应从内部人员选拔，并定期进行信用审查；  对从事关键岗位的人员应签署岗位安全协议；

 立即终止由于各种原因即将离岗的员工的所有访问权限；  取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

 经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开；  关键岗位的人员调离应按照机要人员的有关管理办法进行；  对所有人员实施全面、严格的安全审查；

 定期对各个岗位的人员进行安全技能及安全认知的考核；  对考核结果进行记录并保存；

 对违背安全策略和规定的人员进行惩戒；  对各类人员进行安全意识教育；  告知人员相关的安全责任和惩戒措施；

 制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训；  针对不同岗位制定不同培训计划；

 对安全教育和培训的情况和结果进行记录并归档保存。

（4）系统运维管理：

系统定级- 应明确信息系统划分的方法；  应确定信息系统的安全保护等级；

 应以书面的形式定义确定了安全保护等级的信息系统的属性，包括使命、业务、网络、硬件、软件、数据、边界、人员等；  应确保信息系统的定级结果经过相关部门的批准。安全方案设计- 根据系统的安全级别选择基本安全措施，依据风险评估的结果补充和调整安全措施；  以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，形成系统的安全方案；

 对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详细设计方案；  组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定；

 确保安全设计方案必须经过批准，才能正式实施。产品采购- 确保安全产品的使用符合国家的有关规定；  确保密码产品的使用符合国家密码主管部门的要求；  指定或授权专门的部门负责产品的采购； 自行软件开发-

 开发环境与实际运行环境物理分开；

 系统开发文档由专人负责保管，系统开发文档的使用受到控制；  提供软件设计的相关文档和使用指南； 外包软件开发- 与软件开发单位签订协议，明确知识产权的归属和安全方面的要求；  根据协议的要求检测软件质量；

 在软件安装之前检测软件包中可能存在的恶意代码；  要求开发单位提供软件设计的相关文档和使用指南； 工程实施- 与工程实施单位签订与安全相关的协议，约束工程实施单位的行为；  指定或授权专门的人员或部门负责工程实施过程的管理；  制定详细的工程实施方案控制实施过程； 测试验收- 对系统进行安全性测试验收；

 在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告；

 组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。系统交付- 明确系统的交接手续，并按照交接手续完成交接工作；  由系统建设方完成对委托建设方的运维技术人员的培训；

 由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档；  由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运行维护的支持；

（5）安全运维管理：

环境管理- 对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理；  配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理；  建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；

 应对机房来访人员实行登记、备案管理，同时限制来访人员的活动范围；

 加强对办公环境的保密性管理，包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等；

资产管理- 建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门；

 编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单；

 根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价值选择相应的管理措施。

介质管理- 确保介质存放在安全的环境中，并对各类介质进行控制和保护，以防止被盗、被毁、被未授权的修改以及信息的非法泄漏；

 介质的存储、归档、登记和查询记录，并根据备份及存档介质的目录清单定期盘点；  对于需要送出维修或销毁的介质，应首先清除介质中的敏感数据，防止信息的非法泄漏；

 根据所承载数据和软件的重要程度对介质进行分类和标识管理，并实行存储环境专人管理。

设备管理- 对信息系统相关的各种设备、线路等指定专人或专门的部门定期进行维护管理；  对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定；

 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用建进行规范化管理；

 对带离机房或办公地点的信息处理设备进行控制；

 按操作规程实现服务器的启动/停止、加电/断电等操作，加强对服务器操作的日志文件管理和监控管理，并对其定期进行检查；

监控管理- 进行主机运行监视，包括监视主机的cpu、硬盘、内存、网络等资源的使用情况； 网络安全管理- 指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；

 根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；

 进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；

 保证所有与外部系统的连接均应得到授权和批准；

 建立网络安全管理制度，对网络安全配置、网络用户以及日志等方面作出规定；  对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求；  规定网络审计日志的保存时间以便为可能的安全事件调查提供支持； 系统安全管理- 指定专人对系统进行管理，删除或者禁用不使用的系统缺省账户；

 制定系统安全管理制度，对系统安全配置、系统账户以及审计日志等方面作出规定；  对能够使用系统工具的人员及数量进行限制和控制；

 定期安装系统的最新补丁程序，并根据厂家提供的可能危害计算机的漏洞进行及时修补，并在安装系统补丁前对现有的重要文件进行备份；

 根据业务需求和系统安全分析确定系统的访问控制策略，系统访问控制策略用于控制分配信息系统、文件及服务的访问权限；

 对系统账户进行分类管理，权限设定应当遵循最小授权要求；

 对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求；  规定系统审计日志的保存时间以便为可能的安全事件调查提供支持；  进行系统漏洞扫描，对发现的系统安全漏洞进行及时的修补； 恶意代码防范管理- 提高所用用户的防病毒意识，告知及时升级防病毒软件；

 在读取移动存储设备（如软盘、移动硬盘、光盘）上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也要进行病毒检查；

 指定专人对网络和主机的进行恶意代码检测并保存检测记录；

 对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定； 密码管理- 密码算法和密钥的使用应符合国家密码管理规定。变更管理- 确认系统中要发生的变更，并制定变更方案；

 建立变更管理制度，重要系统变更前，管理人员应向主管领导申请，变更和变更方案经过评审、审批后方可实施变更；

 系统变更情况应向所有相关人员通告； 备份与恢复管理- 识别需要定期备份的重要业务信息、系统数据及软件系统等；

 规定备份信息的备份方式（如增量备份或全备份等）、备份频度（如每日或每周等）、存储介质、保存期等；

 根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法；

 指定相应的负责人定期维护和检查备份及冗余设备的状况，确保需要接入系统时能够正常运行；

 根据备份方式，规定相应设备的安装、配置和启动的流程； 安全事件处置- 所有用户均有责任报告自己发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；

 制定安全事件报告和处置管理制度，规定安全事件的现场处理、事件报告和后期恢复的管理职责；

 分析信息系统的类型、网络连接特点和信息系统用户特点，了解本系统和同类系统已发生的安全事件，识别本系统需要防止发生的安全事件，事件可能来自攻击、错误、故障、事故或灾难；

 根据国家相关管理部门对计算机安全事件等级划分方法，根据安全事件在本系统产生的影响，将本系统计算机安全事件进行等级划分；

 记录并保存所有报告的安全弱点和可疑事件，分析事件原因，监督事态发展，采取措施避免安全事件发生；

应急预案管理- 在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容；

 对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略，对应急预案的培训至少每年举办一次；

2.4.等级保护测评

1、根据相关要求，对于等级保护2级和3级系统，一年进行一次差距评估，通过差距评估，获取最新的安全薄弱环节，并通过后续工作进行安全整改建设；

2、对于未定级的系统，需进行定级备案，差距测评，安全整改等相关工作。根据等级保护标准以及广东公安厅发文要求，等级保护主要建设流程如下：

 等级保护建设目标

 等级保护建设框架

信息系统等级保护建设整体流程框架图如下:

等级保护评估是在信息系统定级以后,根据信息系统等保级别进行风险评估,找出与等保标准的差距,进行安全规划设计,即完成等级保护整改方案。

 等级保护评估流程

 评估指标选择

根据信息系统的安全等级，从等级保护基本要求的指标中选择和组合评估用的安全指标，形成一套信息系统的评估指标，作为评估的依据；将具体评估对象和评估指标进行结合，形成评估使用的评估方案。

 等级保护基本要求

《信息系统安全等级保护基本要求》规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级的信息系统的安全保护。

技术类安全要求通常与信息系统提供的技术安全机制有关，通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。不同安全等级的信息系统，其对业务信息的安全性要求和业务服务的连续性要求是有差异的；即使相同安全等级的信息系统，其对业务信息的安全性要求和业务服务的连续性要求也有差异。因此，对某一个定级后的信息系统的保护要求可以有多种组合。

对基本要求进行选择的过程：基本要求的选择由信息系统的安全等级确定，基本要求包括技术

要求和管理要求。二级系统应该选择

建议。

整改建议包括针对每项安全弱点的有效建议措施，以及从整个系统角度科学的、统筹安排改进措施，确保最小的投入达到整改目标。

2.5.安全技术运维

通过安全技术运维服务工作，充分发挥各类安全设备的价值，并通过专业技术人员的服务工作，完善整个安全技术保障工作。安全技术运维服务工作包括每周的安全设备日志分析与处理，针对所有it设备每月的漏洞扫描工作，针对网上办事大厅业务、网站业务、医保业务、社保业务、劳动就业业务等业务系统每季度的渗透测试工作，针对新业务系统、新系统模块或新it设备的上线安全评估工作、针对信息系统的7*24小时应急响应服务工作、针对信息安全预案的修编及年度演练工作、针对设备自身脆弱性的定期安全修补工作等。

安全技术运维过程中，需要用到相关的安全工具。为保证安全工具的先进性，以及避免因为工具的使用而生产法律纠纷等，中标人需要承诺安全服务过程中提供符合要求的安全工具，产权仍属于中标人。

★安全服务过程中提供使用的所有工具必须是国产产品。本项目使用的安全工具具体要求如下：

1、对招标人所有服务器操作系统、客户端和网络及安全设备进行安全漏洞扫描，采用的漏洞扫描工具应满足以下要求：

(1)“综合安全服务”实施团队应具备多年的漏洞研究经验，具备独立漏洞发掘的能力；(2)可扫描的漏洞应不小于3600；

(3)★漏洞扫描工具支持对各种web应用系统的扫描，支持检测sql注入漏洞、xss攻击漏洞、cgi漏洞、网页挂马、关键字检测、网站备案信息、敏感信息泄露等。提供产品截图证明。

(4)★漏洞扫描工具支持对主流数据库的识别与扫描，包括：oracle、sybase、sql server、db2、mysql等，能够扫描的数据库漏洞扫描方法不小于580种。提供产品截图证明。(5)扫描报告中的漏洞应具备统一的cvss国际标准评分，以准确衡量漏洞的危险级别，为漏洞修补工作的优先级提供指导；

(6)产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》，要求为增强型，投标时提供证书复印件；

(7)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函（需加盖原厂商公

章）。

2、对招标人it机房设备的

别合法终端，并基于此设定无线准入策略，通过射频信号阻止非法ap、终端的接入。(7)无线入侵防御：支持无线扫描、欺骗、dos、破解等常见无线网络攻击行为的检测、告警、阻断功能，同时支持多种类型流氓ap的检测与阻断。提供产品截图证明。(8)支持无线网络拓扑识别和呈现。提供产品截图证明。

(9)应满足自身安全性需求，设备对外不可见，且不能介入用户业务流程。

(10)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函（需加盖原厂商公章）

4、对招标人四个机房及网络系统进行实时安全监控，并结合安全威胁与安全脆弱性对全局安全风险进行预警，便于信息安全专家迅速在安全事件的萌芽状态进行处理，消除安全隐患，确保网络安全、平稳运行。安全态势监控及预警平台须至少满足以下要求：

(1)具有《中国信息安全测评中心信息技术产品安全测评证书》— eal3，需提供证书复印件

(2)具有《计算机软件著作权登记证书》，需提供证书复印件；(3)采用业界主流的b/s方式，不需要安装客户端；

(4)采用基于浏览器的用户界面，至少支持ie与firefox。为了适应不同用途，用户可以对界面颜色进行选择调整；

(5)具备很强的扩展性，能够方便的支持现有及未来的各类设备；对新设备的定制支持时间小于5个工作日；

(6)事件处理性能可以达到平均每秒15000条事件；

(7)简单部署，无需安装任何其他软件和组件，用户只需要安装管理中心即可实现对全网资源的安全管理；

(8)在综合展示界面中能够显示系统的基本管理信息，包括当前告警状态、最近告警信息、资产告警排行、事件趋势、监控对象概要信息等。提供产品截图证明。；

(9)系统提供基于资产的拓扑视图，可以显示资产之间的逻辑连接关系。在资产拓扑上选择每个资产节点，可查看每个资产的事件信息、告警信息、漏洞信息、风险信息，并且支持向下钻取，直接进入事件列表、关联告警列表。提供产品截图证明；(10)支持多事件关联，对不同来源的安全事件进行复杂的相关性分析；

(11)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函（需加盖原厂商公章）。

5、针对招标人面临的复杂安全局势，避免当前基于特征匹配检测技术的局限性，需要加强技

术手段检测基于未知漏洞或可逃过检测的已知漏洞触发的攻击、检测未知木马的行为、发现不可信的加密信道、apt攻击等。提供的恶意代码检测系统至少满足以下要求：

(1)系统硬件尺寸：2u上架设备。(2)千兆捕包电口（ge）≥ 6个。

(3)旁路部署。设备支持通过流量镜像方式旁路部署的能力。

(4)0day攻击检测。可以对0day攻击进行检测，并在产品界面中中明确表明该攻击是0day攻击还是nday攻击。提供产品截图证明。

(5)未知恶意代码检测。具备对未知恶意代码具备检测能力，漏报率不高于10%(6)基于行为的攻击检测。具备通过分析攻击行为对攻击进行检测的能力。

(7)支持apt攻击行为记录。支持对apt攻击关键步骤的具体攻击行为进行记录的能力。提供产品截图证明。

(8)可区分0day攻击与nday攻击。可以明确区分出0day攻击与nday攻击，并在报警界面中进行展示。提供产品截图证明。

(9)★产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》，投标时提供证书复印件。

(10)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函（需加盖原厂商公章）。

2.6.安全咨询、宣传培训及安全专家服务

1、通过各种安全咨询服务，协助中心工作人员加强信息安全建设，提高整个信息系统运维过程中的安全可控性，协调各信息安全项目按质按量实施，确保中心信息安全建设不断积累、逐步完善、达到更高的安全保障能力;

2、针对普通工作人员，进行安全宣传。包括制作信息安全宣传的flash屏幕保护等;

3、针对it工作人员，提供安全培训。包括安全管理体系的设计、安全管理的执行，安全意识、安全知识等。针对普通工作人员，提供安全意识培训。

4、提供2名安全专家5*8小时驻场服务（节假日除外）。2.7.上级部门交办的安全自查与整改工作资金概算

根据上级部门具体安全要求，落实信息安全专项检查整改，并提交相关安全整改报告。

 单位上级部门交办安全自查与整改

根据广东省社会保险基金管理局、中华人民共和国人力资源和社会保障部等上级部门的安全要

求，落实信息安全专项检查工作，包括重要业务系统安全检测工作、重要业务系统安全扫描工作、重要业务系统基线检查工作、重要业务系统应用安全检查工作等，并针对各项检查工作中发现的问题进行整改，提交相关安全整改报告等工作。

 行业监管部门交办安全自查与整改

根据行业监管部门的安全要求，落实各项信息安全防护工作。依据行业安全标准相关要求，及时进行各项安全自查与整改工作。如安全检测工作、风险评估、安全管理体系评估等，并针对各项安全自查工作中发现的问题进行整改等。

 其它监管部门交办安全自查与整改

参照网监等监管部门的安全要求，依据信息系统等级保护等标准要求和电子政务安全要求，及时进行中心各项核心业务系统的安全自查与整改工作。如信息系统等级保护定级、信息系统等级保护测评、信息系统等级保护安全建设等工作的开展实施。2.8.建立安全运维体系

社保中心负责整个业务系统的运作，包括开发、实施、维护等，涉及的因素多、对象广、流程复杂，对信息安全管理的要求较高，需要建立较为完善的信息安全管理体系并执行，才能发挥安全技术措施的效果，确保持续的整体安全保障能力。通过安全管理体系建设，在满足等级保护三级安全管理的基础上，实现以下层次化、体系化的安全管理建设内容。为社保中心建立四阶文件组成的安全管理文件体系。

 如果任何潜在的危险字符必须被作为输入，需要确保执行了额外的控制。例如：输出编码、特定的安全 api等。部分常见的危险字符包括：<> “ ' %()& + ' ”。 如果使用的标准验证规则无法验证下面的输入，那么它们需要被单独验证：

   验证空字节(%00)；

验证换行符(%0d, %0a, r, n)；

验证路径替代字符“点-点-斜杠”（../或..）。如果支持 utf-8 扩展字符集编码，验证替代字符： %c0%ae%c0%ae/(使用规范化验证双编码或其他类型的编码攻击)。

输出编码

 在可信系统（例如：服务器）上执行所有的编码。

 为每一种输出编码方法采用一个标准的、已通过测试的规则。通过语义输出编码方式，对所有返回到客户端并来自于应用程序信任边界之外的数据进行编码。 针对 sql、xml 和 ldap 查询，语义净化所有不可信数据的输出。 对于操作系统命令，净化所有不可信数据输出。

身份验证和密码管理

 除了特定设为“公开”的内容以外，对所有的网页和资源均要求身份验证。 所有的身份验证过程必须在可信系统（例如：服务器）上执行。 在任何可能的情况下，建立并使用标准的、已通过测试的身份验证服务。 为所有身份验证控制使用一个集中实现的方法。

 将身份验证逻辑从被请求的资源中隔离开，并重定向到集中的身份验证控制。

 所有的身份验证控制应当安全的处理未成功的身份验证。所有的权限管理功能至少应当具有和主要身份验证机制一样的安全性。

 如果应用程序管理的凭证被存储，应当保证只保存通过使用强加密单向 salted 哈希算法得到的密码，并且只有应用程序具有对保存密码和密钥的表/文件的写权限（禁止使用 md5 算法，该算法不够安全）。

 密码哈希必须在可信系统（例如：服务器）上执行。

 只有当所有的数据输入以后，才开始对身份验证数据进行验证，特别是对连续身份验证机制。

 身份验证的失败提示信息应当避免过于明确。例如：可以使用“用户名和/或密码错误”，而不要使用“用户名错误”或者“密码错误”。错误提示信息在显示和源代码中应保持一致。 涉及敏感信息或功能的外部系统连接需要使用身份验证。

 用于访问应用程序以外服务的身份验证凭据信息应当加密，并存储在一个可信系统（例如：服务器）中受到保护的地方。

 只使用 http post 请求传输身份验证的凭据信息。 非临时密码只在加密连接中发送或作为加密的数据

 通过规则加强密码复杂度的要求（例如：要求使用字母、数字和/或特殊符号）。 通过规则加强密码长度要求。常用使用 8-16 个字符长度。 输入的密码应当在用户的屏幕上非明文显示。

 当连续多次登录失败后（例如：通常情况下是 5 次），应强制锁定账户。账户锁定的时间必须足够长，以阻止暴力攻击猜测登录信息，但不能长到允许执行拒绝服务攻击。 密码重设和更改操作需要类似于账户创建和身份验证的同样安全控制等级。

 密码重设问题应当支持尽可能随机的提问（通过注册账号环节收集用户填写的提问信息）。 如果使用基于邮件的密码重设，只将临时链接或密码发送到预先注册的邮件地址。 临时密码和链接应当有一个短暂的有效期。 当再次使用临时密码时，强制修改临时密码。 阻止密码重复使用。

 密码在被更改前应当至少使用了一天，以阻止密码重用攻击。

 强制定期更改密码。重要系统或账号需要更频繁的更改。更改时间周期必须进行明确。 为密码填写框禁用“记住密码”功能。

 用户账号的上一次使用信息（成功或失败）应当在下一次成功登录时向用户报告。

 执行监控以捕获针对使用相同密码的多用户帐户攻击（例如：暴力破解）。当用户名可以被攻击者得到或被猜到时，该攻击模式可以绕开标准的锁死功能。 更改所有厂商提供的默认用户用户名和密码，或者禁用相关帐号。 在执行关键操作以前，对用户再次进行身份验证。 为高度敏感或重要的账户使用多因子身份验证机制。

 如果使用了

 在身份验证的时候，如果连接从 http 变为 https，则生成一个新的会话标识符。在应用程序中，推荐持续使用 https，而非在 http 和 https 之间转换。

 为服务器端的操作执行标准的会话管理。例如，通过在每个会话中使用强随机令牌或参数来管理账户。该方法可以用来防止跨站点请求伪造攻击。

 通过在每个请求或每个会话中使用强随机令牌或参数，为高度敏感或关键的操作提供标准的会话管理。

 为在 tls 连接上传输的 cookie 设置“安全”属性。将 cookie 设置为 httponly 属性，除非在应用程序中明确要求了客户端脚本程序读取或者设置cookie 的值。

访问控制

 只使用可信系统对象（例如：服务器端会话对象）以做出访问授权的控制。 使用一个单独的全站点功能组件以检查访问授权。

 安全的处理访问控制失败的操作。如果应用程序无法访问其安全配置信息，则拒绝所有的访问。

 在每个请求中加强授权控制。包括：服务器端脚本产生的请求、“includes”、来自ajax 及flash 等客户端技术的请求。

 将有特权的逻辑从其他应用程序代码中隔离开。

 限制只有授权的用户才能访问文件或其他资源，包括那些应用程序外部的直接控制。 限制只有授权的用户才能访问受保护的 url。 限制只有授权的用户才能访问受保护的功能。 限制只有授权的用户才能访问直接对象引用。 限制只有授权的用户才能访问服务。 限制只有授权的用户才能访问应用程序数据。

 限制通过使用访问控制来访问用户、数据属性和策略信息。 限制只有授权的用户才能访问与安全相关的配置信息。

 服务器端执行的访问控制规则和表示层实施的访问控制规则必须匹配。

 如果状态数据必须存储在客户端，使用加密算法，并在服务器端检查完整性以捕获状态的

改变。

 强制应用程序逻辑流程遵照业务规则。

 限制单一用户或设备在一段时间内可以执行的事务数量，以预防自动化攻击。

 仅使用“referer”头作为补偿性质的检查，但不能通过“referer”头单独用来进行身份验证检查，防止被伪造。

 如果长时间的身份验证会话被允许，周期性的重新验证用户的身份，以确保他们的权限没有改变。如果发生改变，注销该用户，并强制他们重新执行身份验证。

 执行帐户审计，并将没有使用的帐号强制失效（例如：在用户密码过期后的 30 天以内）。 应用程序必须支持帐户失效，并在帐户停止使用时终止会话（例如：角色、职务状况、业务处理的改变等）。

 服务帐户，或连接到或来自外部系统的帐号，应当只有尽可能小的权限。

 建立一个“访问控制策略”以明确一个应用程序的业务规则、数据类型和身份验证的标准或处理流程，确保访问可以被恰当的提供和控制。这包括了为数据和系统资源确定访问需求。

加密规范

 所有用于保护来自应用程序用户秘密信息的加密功能都必须在一个可信系统（例如：服务器）上执行。

 保护主要秘密信息免受未授权的访问。 安全的处理加密模块失败的操作。

 为防范对随机数据的猜测攻击，应当使用加密模块中已验证的随机数生成器生成所有的随机数、随机文件名、随机 guid 和随机字符串等。

 建立并使用相关的政策和流程以实现加、解密的密钥管理。

错误处理和日志

 不要在错误响应中泄露敏感信息，包括：系统的详细信息、会话标识符或帐号信息等。使用错误处理以避免显示调试或系统跟踪信息。

 使用通用的错误消息并使用定制的错误页面。

 应用程序应当处理应用程序错误，并且不依赖服务器配置。 当错误条件发生时，适当的清空分配的内存。

 在默认情况下，应当拒绝访问与安全控制相关联的错误处理逻辑。 所有的日志记录控制应当在可信系统（例如：服务器）上执行。 日志记录控制应当支持记录特定安全事件的成功及失败操作。 确保日志记录包含了重要的日志事件数据。

 确保日志记录中包含的不可信数据，不会在查看界面或者软件时以代码的形式被执行。 限制只有授权的用户才能访问日志。

 不要在日志中保存敏感信息。包括：不必要的系统详细信息、会话标识符或密码。 确保一个执行日志查询分析机制的存在。 记录所有失败的输入验证。

 记录所有的身份验证尝试，特别是失败的验证。 记录所有失败的访问控制。

 记录明显的修改事件，包括对于状态数据非期待的修改。 记录连接无效或者已过期的会话令牌尝试。 记录所有的系统例外信息。

 记录所有的管理功能行为，包括对于安全配置设置的更改。 记录所有失败的后端 tls 链接。 记录加密模块的错误。

 使用加密哈希功能以验证日志记录的完整性。

数据保护

 授予最低权限，以限制用户只能访问为完成任务所需要的功能、数据和系统信息。 保护所有存放在服务器上缓存的或临时拷贝的敏感数据，以避免非授权的访问，并在上述数据不再需要时被尽快清除。

 需要加密存储的高度机密信息。例如，身份验证的验证数据。 保护服务器端的源代码不被用户下载。

 不要在客户端上以明文形式或其它非加密模式保存密码、连接字符串或其他敏感信息。这包括嵌入在不安全的环境中：如adobe flash 或者已编译的代码。 删除用户可访问页面中的注释，以防止泄露后台系统或者其它敏感信息。 删除不需要的应用程序和系统文档，这些可能向攻击者泄露有用的信息。 不要在 http get 请求参数中包含敏感信息。

 禁止表单中的自动填充功能。表单中可能包含敏感信息，包括身份验证信息。 禁止客户端缓存网页，网页中可能包含敏感信息。

 应用程序应当支持，当数据不再需要的时候，删除敏感信息。

 为存储在服务器中的敏感信息提供恰当的访问控制。这包括缓存的数据、临时文件以及只允许特定系统用户访问的数据。

通信安全

 为所有敏感信息采用加密传输。其中应该包括使用 tls 对连接的保护，以及支持对敏感文件或非基于 http 连接的不连续加密。

 tls 证书应当是有效的，有正确且未过期的域名，并且在需要时，可以和中间证书一起安装。

 没有成功的 tls 连接不应当后退成为一个不安全的连接。

 为所有要求身份验证的访问内容和其它所有的敏感信息提供 tls 连接。 为包含敏感信息或功能、且连接到外部系统的连接使用 tls。 使用配置合理的单一标准 tls 连接。 为所有的连接明确字符编码。

 当链接到外部站点时，过滤来自 http referer 中包含敏感信息的参数。

系统配置

 确保服务器、框架和系统部件采用了最新版本。

 确保服务器、框架和系统部件安装了当前使用版本的所有补丁。 关闭目录列表功能。

 将 web 服务器、进程和服务的账户限制为尽可能低的权限。 当例外发生时，安全的进行错误处理。 移除所有不需要的功能和文件。

 在部署前，移除测试代码和产品不需要的功能。

 将不进行对外检索的路径目录放在一个隔离的父目录里，以防止目录结构在 文档中暴露。在 文档中“禁止”整个父目录，而不是对每个单独目录的“禁止”。 明确应用程序采用哪种 http 方法：get 或 post，以及是否需要在应用程序不同网页中以不同的方式进行处理。

 禁用不需要的 http 方法，例如 webdav 扩展。如果需要使用一个扩展的 http 方法以支持文件处理，则使用经过验证的身份验证机制。

 如果 web 服务器支持 http1.0 和 1.1，确保以相似的方式对它们进行配置，或者确保明确它们之间可能存在差异（例如：处理扩展的 http 方法）。

 移除在 http 相应报头中有关 os、web 服务版本和应用程序框架的相关信息。 应用程序存储的安全配置信息应当可以以可读的形式输出，以支持审计。 将开发环境从生产网络隔离开，仅提供给授权的开发和测试团队访问。 使用一个软件变更管理系统，以管理和记录在开发和测试中代码的主要变更。

数据库安全

 使用强类型的参数化查询方法。

 使用输入验证和输出编码，并确保处理了元字符。如果失败，则不执行数据库命令。 确保变量是强类型的。

 当应用程序访问数据库时，应使用尽可能最低的权限。 为数据库访问使用安全凭证。

 连接字符串不应当在应用程序中硬编码。连接字符串应当存储在一个可信服务器的独立配置文件中，并且应当被加密。

 使用存储过程以实现抽象访问数据，并允许对数据库中表的删除权限。 尽可能地快速关闭数据库连接。

 删除或者修改所有默认的数据库管理员密码。使用强密码或者使用多因子身份验证。 关闭所有不必要的数据库功能（例如：不必要的存储过程或服务、应用程序包、仅最小化安装需要的功能和选项等）。

 删除厂商提供的不必要的默认信息（例如：数据库模式示例）。 禁用任何不业务不需要的默认帐户。

 应用程序应当以不同的凭证为每个信任的角色（例如：用户、只读用户、访问用户、管理员）连接数据库

文件管理

 不要把用户提交的数据直接传送给任何动态调用功能。 在允许上传文档之前进行身份验证。 只允许上传满足业务需要的相关文档类型。

 通过检查文件报头信息，验证上传文档是否是所期待的类型。只验证文件类型扩展是不够安全的。

 不要把文件保存在与应用程序相同的 web 环境中。文件应当保存在内容服务器或者数据库中。

 防止或限制上传任意可能被 web 服务器解析的文件。 关闭在文件上传目录的运行权限。

 当引用已有文件时，使用一个白名单记录允许的文件名和类型。验证传递的参数值，如果与预期的值不匹配，则拒绝使用，或者使用默认的硬编码文件值代替。

 不要将用户提交的数据传递到动态重定向中。如果必须允许使用，那么重定向应当只接受通过验证的相对路径 url。

 不要传递目录或文件路径，使用预先设置路径列表中的匹配索引值。 禁止将绝对文件路径传递给客户。 确保应用程序文件和资源是只读的。

 对用户上传的文件执行安全检查。例如：采取病毒扫描等措施。

内存管理

 对不可信数据进行输入和输出控制。

 重复确认缓存空间的大小是否和指定的大小一样。

 当使用允许多字节拷贝的函数时，如果目的缓存容量和源缓存容量相等，需要留意字符串没有 null 终止。如果在循环中调用函数时，检查缓存大小，以确保不会出现超出分配空间大小的危险。

 在将输入字符串传递给拷贝和连接函数前，将所有输入的字符串缩短到合理的长度。 关闭资源时需要注意，不要依赖垃圾回收机制（例如：连接对象、文档处理等）。 在可能的情况下，使用不可执行的堆栈。 避免使用已知有漏洞的函数。

 当方法结束时和在所有的退出节点时，正确地清空所分配的内存。

通用编码规范

 为常用的任务使用已测试且已认可的托管代码，而非创建新的非托管代码。

 使用特定任务的内置 api 以执行操作系统的任务。不允许应用程序直接将代码发送给操作系统，特别是通过使用应用程序初始的命令 shell。

 使用校验和或哈希值验证编译后的代码、库文件、可执行文件和配置文件的完整性。 使用死锁来防止多个同时发送的请求，或使用一个同步机制防止竞态条件。 在同时发生不恰当的访问时，保护共享的变量和资源。

 在声明时或在

后尽快关闭所提升的权限。

 通过了解使用的编程语言的底层表达式以及它们是如何进行数学计算，从而避免计算错误。密切注意字节大小依赖、精确度、有无符合、截尾操作、转换、字节之间的组合，以及对于编程语言底层表达式如何处理非常大或者非常小的数。 不要将用户提供的数据传递给任何动态运行的功能。 限制用户生成新代码或更改现有代码。

 审核所有从属的应用程序、三、项目实施时间及成果文档

风险评估工作计划2015年10月—2016年3月进行，通过风险评估服务，形成以下成果文档：

 信息资产评估报告  安全审计报报告  漏洞扫描报告  安全威胁分析报告  网络安全整改设计方案  渗透测试报告  源代码安全审核报告  综合风险评估报告  月度动态安全评估报告  数据安全保护报告

安全设备加固工作计划2015年5月—2016年2月进行，通过设备安全加固服务，将形成以下成果文档：

 安全加固方案  服务器安全加固报告  网络及安全设备安全加固报告  边界安全策略安全加固报告  渗透测试安全整改报告  等级保护安全整改加固报告  代码审计协助性加固报告  病毒库升级报告

 其它技术测试、评估发现问题的安全整改加固报告。

安全制度建设服务计划2015年6月—2016年3月进行，通过安全制度建设服务，形成一套信息安全管理体系文件：

等级保护测评工作计划2016年2月—2016年3月进行，完成等级保护测评后，形成以下主要成果文档：

 信息系统等级保护定级报告、备案证  等级保护测评方案  等级保护测评报告  等级保护安全整改方案

安全技术运维服务计划2015年5月—2016年3月，完成安全技术运维服务后，形成以下主要成果文档：

 安全设备日志分析与处理报告（每周一份） 漏洞扫描报告（每月一份） 渗透测试报告（每季度一份） 无线网络安全检测报告（每周一份） 上线安全评估报告（按需提供） 应急响应服务（按需提供）

 信息安全预案、信息安全预案年度演练报告  安全修补方案、安全修补报告

安全宣传工作计划计划2015年11月—2016年3月进行，完成安全咨询、宣传培训及安全专家服务后，形成以下主要成果文档：  安全咨询方案（按需提供）

 安全宣传材料

上级部门交办的安全自查与整改工作时间，按需提供。完成上级部门交办的安全自查与整改工作服务后，形成以下主要成果文档：  信息安全自查报告（按需提供） 信息安全整改报告（按需提供）

建立安全运维体系工作，计划2015年11月—2016年3月进行。通过建立安全运维体系服务后，形成以下主要成果文档：  总体安全策略、方针

 安全管理机构管理制度、检查表、记录表单（按需提供） 安全管理制度管理制度、检查表、记录表单（按需提供） 人员安全管理管理制度、检查表、记录表单（按需提供） 系统建设管理管理制度、检查表、记录表单（按需提供） 系统运维管理管理制度、检查表、记录表单（按需提供）

网站和网办服务，计划2015年11月—2016年1月进行，通过网站和网办安全服务后，形成以下主要成果文档：  源代码安全审计报告（每个三级系统一份）