医院信息科文件评审及发布制度

1、医院信息科文件评审及发布制度文件编号XX-XX-002-V1.0版本2.0文件名称文件评审及发布制度制/修订时间2016.06制/修订人审核人1总那么目的为规范医院信息安全管理体系文件的制订、修订及评审，特制定本制度。范围本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维 护管理。职责由信息安全工作小组的主体部门信息科负责信息安全管理体系文件的维护，包括 制订、修订和评审，由信息安全领导小组负责体系文件的批准、发布和作废。2管理细那么体系文件生命周期流程否图1体系文件流程图体系文件筹划信息安全工作小组组织相关人员，根据信息安全技术信息系统安全等级保护 基本要求(GBT2223

2、9-2008)、信息安全技术信息系统安全管理要求(GBT 20269-2006)、OSO/IEC 27001： 2005信息安全管理体系的要求，结合实际的 职责和工作流程，筹划制定信息安全管理体系文件的架构，并形成医院信息安 全管理体系文件框架(以下简称“文件框架信息安全工作小组将制定的文件框架汇报给信息安全领导小组，信息安全领导小 组对文件框架进行审批确认。体系文件架构与编写信息安全工作小组根据审批后的文件框架及清单，负责组织编写各级文件。总策 略文件为信息安全方针与安全策略、信息安全领导机构组成与职责，它定 义了安全管理的基本原那么、基本方向、安全管理的组织框架和职责划分等。程序 规范类文

3、件主要包括人力资源安全管理程序、系统建设管理、物理与环境 安全管理等管理标准文件，主要规定了各个领域的安全管理的基本原那么和目标。 记录类文件主要是各个领域安全管理的过程文档，是整个安全管理体系有效执行 和落地的主要手段，也是安全管理体系的过程记录，可做为对外的信息安全质量 保证。其中总体策略类文件由信息安全领导小组署名，其他类文件由编写人署名。 编写完成的文档需先经过各相关部门的初审，然后由信息安全工作小组进行评审, 最后由信息安全领导小组进行批准定稿。评审记录表见制度文件评审记录表。体系文件标识及编写规范(1)文件的编码方式如下：“医院拼音首字母”+体系文件序号码-版本号-文件名称“体系文

4、件借鉴ISO/27001标准要求，分总体策略、程序规范、记录文件，各 类文件级别示意如下：1级文件总方针、总策略2级文件管理制度与操作规范3级文件记录、表单文件序号码由阿拉伯数字按从小到大顺序组成，整个安全管理体系文件统一编码。文件版本文件经过修改后需更换版本。使用1、2、3、4表示文件的版本，用0、1、2、 3表示修改的次数。(4)文件的每次修改，以修改次数来表示，当文件的大局部需修改或修改过了许 屡次时那么需要更换文件的版本。(5)文件不需要每次修改后重新发布，但如版本发生变化(如从verl .3变成ver2.0) 时需要重新发布。体系文件的评审信息安全工作小组应定期发起对体系文件的评审。

5、对体系文件的评审应至少每年 进行一次。评审流程如下：(1)信息安全工作小组发起对体系文件的评审申请，信息安全领导小组审核确认 后批准评审要求。信息安全工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。(3)各评审责任人根据时间计划，结合内部审核、管理评审、风险评估及日常记 录的结果，评估现有文件的有效性和充分性。如果确定文档有必要进行修改，应 填写制度文件修订记录。(4)如果修改的内容只涉及信息科，那么由信息安全工作小组组长进行审批，在审 批同意后，由文档评审责任人进行修改。(5)如果修改的内容涉及到信息科以外的部门，需要所有涉及部门的会签。会签 后，由文档评审责任人进行文档修改。(6)修改完毕之后，各责任人将制度文件评审记录和完善后的体系文件版本 一并报送信息安全工作小组，由信息安全工作小组进行标识和保存。(7)信息安全工作小组最终对评审结果向信息安全领导小组进行汇报。体系文件的作废(1)在体系文件的评审过程中，如果评审责任人认为文件应当作废，那么填写体 系文件作废申请表，由信息安全工作小组审批后，报信息安全领导小组进行审 批。(2)信息安全领导小组审批完成后，信息安全工作小组负责通知所有相关人员， 并对医院信