1、精選優質文檔-傾情為你奉上1 安全管理體系總體設計方案1.1 安全組織結構黑龍江省農墾總局總醫院安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式，組織結構圖如下所示：圖 81安全組織結構圖1.1.1 信息安全領導小組職責信息安全領導小組是由黑龍江省農墾總局總醫院主管領導牽頭，各部門的負責人為組成成員的組織機構，主要負責批準黑龍江省農墾總局總醫院安全策略、分配安全責任并協調安全策略能夠實施，確保安全管理工作有一個明確的方向，從管理和決策層角度對信息安全管理提供支持。信息安全領導小組的主要責任如下：(一) 確定網絡與信息安全工作的總體方向、目標、總體原

2、則和安全工作方法；(二) 審查并批準政府的信息安全策略和安全責任；(三) 分配和指導安全管理總體職責與工作；(四) 在網絡與信息面臨重大安全風險時，監督控制可能發生的重大變化；(五) 對安全管理的重大更改事項（例如：組織機構調整、關鍵人事變動、信息系統更改等）進行決策；(六) 指揮、協調、督促并審查重大安全事件的處理，并協調改進措施；(七) 審核網絡安全建設和管理的重要活動，如重要安全項目建設、重要的安全管理措施出臺等；(八) 定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。1.1.2 信息安全工作組職責信息安全工作組是信息安全工作的日常執行機構，內設專職的安全管理組織和

3、崗位，負責日常具體安全工作的落實、組織和協調。信息安全工作組的主要職責如下：（一） 貫徹執行和解釋信息安全領導小組的決議；（二） 貫徹執行和解釋國家主管機構下發的信息安全策略；（三） 負責組織和協調各類信息安全規劃、方案、實施、測試和驗收評審會議；（四） 負責落實和執行各類信息安全具體工作，并對具體落實情況進行總結和匯報；（五） 負責內外部組織和機構的溝通、協調和合作工作；（六） 負責制定所有信息安全相關的管理制度和規范；（七） 負責針對信息安全相關的管理制度和規范具體落實工作進行監督、檢查、考核、指導及審批，例如現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。

4、以上組織結構和職責通過信息安全組織職責體系加以說明。1.1.3 信息安全崗位為了有效落實信息安全各項工作，黑龍江省農墾總局總醫院應設立以下專職的安全崗位，負責安全工作的落實和執行：(一) 信息安全工作組主管1) 負責網絡與信息安全的日常整體協調、管理工作；2) 負責組織人員制定信息安全管理制度，并對管理制度進行推廣、培訓和指導；3) 負責重大安全事件的具體協調和溝通工作。(二) 安全管理員崗位1) 負責執行網絡與信息安全工作的日常協調、管理工作；2) 負責日常的安全監控管理，并對上報和發現的各類安全事件進行響應；3) 負責系統、網絡和應用安全管理的協調和技術指導；4) 負責安全管理平臺安全策略

5、制定，訪問控制策略審核；5) 負責組織安全管理制度的推廣和培訓工作；6) 負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。(三) 安全審計員崗位1) 負責安全管理制度落實情況的檢查、監督和指導；2) 負責安全策略執行情況的審核。(四) 系統管理員1) 負責系統安全穩定運行的日常管理工作；2) 負責保持系統的防病毒系統、補丁等保持最新，定期對系統進行安全加固，保持系統漏洞最小化。(五) 網絡管理員1) 負責網絡設備安全穩定運行的日常管理工作；2) 負責保持網絡設備的漏洞最小化，定期對系統進行安全加固；3) 負責保持網絡路由和交換策略與業務需求保護一致。黑龍江省農墾總局總

6、醫院應根據日常的運行維護和管理工作，設置物理環境管理 、數據庫管理、應用管理以及資產管理等崗位，這些崗位也應當包括安全職責，這些安全職責的具體內容通過信息安全管理崗位說明書落實。1.1.4 專家顧問與外部協作黑龍江省農墾總局總醫院應聘請專家和外部顧問成員，這些成員需要對信息安全或相關領域有豐富地知識和經驗，如安全技術、電子政務、等級保護或質量管理等。專家和外部顧問負責對信息安全重要問題的決策提供咨詢和建議。同時應加強與供應商、業界專家、專業的安全公司等安全組織的合作和溝通。1.2 安全管理制度1.2.1 安全管理制度體系黑龍江省農墾總局總醫院安全管理制度應建立信息安全方針、安全策略、安全管理制

7、度、安全技術規范以及流程的一套信息安全管理制度體系。圖 82安全管理策略體系圖1.2.1.1 安全方針和主策略最高方針，綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標以及指導原則，信息安全各個方面所應遵守的原則方法和指導性策略。1.2.1.2 安全管理制度和規范各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。技術標準和規范，包括各個安全等級區域網絡設備、主機操作系統和主要應用程序的應遵守的安全配置和管理的技術標準和規范。

8、技術標準和規范將作為各個網絡設備、主機操作系統和應用程序的安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準，不允許發生違背和沖突。本項目將為黑龍江省農墾總局總醫院編制如下安全管理制度和規范：l 安全方針l 安全策略l 安全管理組織體系職責l 內部人員安全管理規定l 外部人員安全管理規定l 等級保護安全管理規范l 風險評估管理規范l 軟件開發管理規定l IT外包管理規定l 工程安全管理規定l 產品采購安全管理規定l 服務商安全管理規定l 機房管理制度l 辦公環境安全管理規定l 資產安全管理制度l 設備安全管理規定l 介質安全管理規定l 運行維護安全管理規范l 網絡安全管理規定l 系

9、統安全管理規定l 防病毒安全管理規定l 密碼使用管理制度l 變更管理制度l 備份與恢復管理規定l 安全事件管理制度l 應急預案安全流程和操作規程，詳細規定主要業務應用和事件處理的流程、步驟和相關注意事項。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。1.2.1.3 安全流程和操作規程安全流程和操作規程，詳細規定主要業務應用和事件處理的流程和步驟，和相關注意事項。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。1.2.1.4 安全記錄單安全記錄單，落實安全流程和操作規程的具體表單，根據不同等級信息系統的要求可以通過不同方式的安全記

10、錄單落實并在日常工作中具體執行。主要包括日常操作的記錄、工作記錄、流轉記錄以及審批記錄等。1.2.2 安全管理制度體系文件管理1.2.2.1 制定和發布管理安全策略系列文檔制定后，必須有效發布和執行。發布和執行過程中除了要得到管理層的大力支持和推動外，還必須要有合適的、可行的發布和推動手段，同時在發布和執行前對每個人員都要做與其相關部分的充分培訓，保證每個人員都知道和了解與其相關部分的內容。安全策略在制定和發布過程中，應當實施以下安全管理：(一) 安全管理制度應具有統一的格式，并進行版本控制；(二) 安全管理職能部門應組織相關人員對制定的安全管理制度進行論證和審定；(三) 安全管理制度應通過正

11、式、有效的方式發布；(四) 安全管理制度應注明發布范圍，并對收發文進行登記。必須要注意到這是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到許多部門和絕大多數員工，可能需要改變工作方式和流程，所以推行起來的阻力會相當大；同時安全策略本身存在的缺陷，包括不切實可行，太過復雜和繁瑣，部分規定有缺欠等，都會導致整體策略難以落實。1.2.2.2 評審和修訂管理信息安全領導小組應組織相關人員對于信息安全策略體系文件進行評審，并確定其有效執行期限。同時應指定信息安全職能部門每年審視安全策略系列文檔，具體檢查內容包括：(一) 信息安全策略中的主要更新；(二) 信息安全標準中的主要更新。信息安全標準不

12、需要全部更新，可以僅對因變更而受影響的部分進行更新；如果必要，可以使用年度審視更新流程對信息安全標準做一次全面更新。(三) 安全管理組織機構和人員的安全職責的主要更新；(四) 操作流程的主要更新；(五) 各類管理規定、管理辦法和暫行規定的主要更新；(六) 用戶協議的主要更新；等等。通過信息安全策略管理規定落實以上相關內容。1.3 人員安全管理黑龍江省農墾總局總醫院在人員安全管理方面，可以通過對于人員錄用、調動、離崗、考核、培訓教育和第三方人員安全幾個方面，落實信息安全等級保護三級基本要求的內容，其中內部人員的管理歸納形成人力資源安全管理的具體安全要求，外部人員的管理歸納形成第三方人員安全管理的

13、具體安全要求。具體如下圖所示：圖 83人員安全管理框架圖1.3.1 內部人員安全管理人力資源安全管理主要是指針對內部人員的安全管理，從人員的錄用、調用、離崗和考核等各個方面提出針對信息安全的相關管理要求，具體管理要求包括：(一) 錄用前l 人員在錄用過程中要簽署保密協議；l 應當進行嚴格的安全背景審核和權限審查；l 關鍵崗位人員應當進行特殊的安全審核、權限管理和保密管理，簽署安全協議；(二) 工作期間l 所有人員根據其崗位職責的不同，應定期進行安全培訓和教育；l 所有人員應根據黑龍江省農墾總局總醫院的安全管理制度規范和約束安全操作行為；l 定期對各個崗位的人員進行不同側面的安全認知和安全技能考

14、核，作為人員是否適合當前崗位的參考；l 對安全責任和懲戒措施進行書面規定并告知相關人員，對違反違背安全策略和規定的人員進行懲戒。(三) 調離崗l 應嚴格規范人員離崗過程，及時終止離崗員工的所有訪問權限，應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備；l 關鍵崗位人員應在調離崗期間簽署保密承諾書。1.3.2 外部人員安全管理外部人員通常是指軟件開發商，硬件供應商，系統集成商，設備維護商，和服務提供商，實習生，臨時工等非內部人員。外部人員在訪問時可以分成物理訪問和信息訪問，具體如下：l 物理訪問，如對辦公室、機房的物理訪問；l 信息訪問，如對信息系統、主機、網絡設備、數據庫的訪問。對于實

15、際訪問的外部人員，按照訪問的時間長短和訪問的性質，可以分為臨時來訪的外部人員，和非臨時來訪的外部人員兩種，具體如下：l 臨時來訪的外部人員，指因業務洽談、參觀、交流、提供短期和不頻繁的技術支持服務而臨時來訪的外部組織或個人。l 非臨時來訪的外部人員，指因從事合作開發、參與項目工程、提供技術支持、售后服務、服務外包或顧問服務等，辦公和工作的外部組織或個人。對于這兩種短期和長期的實際物理和信息訪問，應規定不同的安全管理要求，負責接待的部門和接待人對外部人員來訪的安全負責，并對訪問機房等敏感區域持謹慎態度。具體管理要求應包括：(一) 遵守黑龍江省農墾總局總醫院的各項信息安全標準和管理規定；(二) 必須簽署保密協議，必須簽署安全承諾協議，或在合同中規定相關的內容；(三) 對其維護目標的