医院信息化安全建设项目管理体系建设方案

医院信息化安全建设项目管理体系建设方案安全制度建设《信息系统安全等级保护基本要求》在管理制度、制定和发布、评审和修订等三个方面对安全管理制度提出了要求。根据管理信息大区系统的实际情况，在信息安全领导小组的负责下，组织相关人员制定和发布信息安全工作的总体方针、政策，说明信息安全工作的总体目标、范围、方针、原则和责任，并定期进行评审和修订。对于管理制度的制定，也可以依托外部专业安全厂商的力量进行。管理制度方面的具体工作包括：制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；建立管理人员或操作人员执行的日常管理操作规程；形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。安全管理制度应通过正式、有效的方式发布；每年由信息安全领导小组负责组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；进行定期或不定期对安全管理制度检查和审定，对存在不足或需要改进的安全管理制度进行修订。安全制度管理框架如下：总体方针、策略总体方针、策略是纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。与其它部分的关系：所有其它部分都从最高方针引申出来，并遵照最高方针，不与之发生违背和抵触。信息安全策略文件应得到信息系统项目管理者的批准，并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺，并陈述组织管理信息安全的方法，它至少应该包括以下几个部分：信息安全的定义，其总体目标和范围，以及其作为信息共享的安全机制的重要性；申明支持信息安全目标和原则的管理意向；对组织有重大意义的安全策略、原则、标准和符合性要求的简要说明；对信息安全管理的总体和具体责任的定义，包括汇报安全事故；提及支持安全策略的文件，如：特定信息系统的更加详细的安全策略和程序，或用户应该遵守的安全规定。技术标准和规范技术标准和规范，包括各个网络设备、安全设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、安全设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。与其它部分的关系：向上遵照最高方针。管理制度和规定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。此部分文档较多。与其它部分的关系：向上遵照最高方针。组织机构和人员职责安全管理组织机构和人员的安全职责，包括的安全管理机构组织形式和运作方式，机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照，此部分必须具有可操作性，而且必须得到有效推行和实施。与其它部分的关系：从最高方针中延伸出来，其具体执行和实施由管理规定、技术标准规范等来落实。制定和发布（1）安全管理制度制定安全管理制度的制定在信息系统安全保密工作部门的总体负责下统一制定，并由安全保密工作部门指定参与安全管理制度制定的具体人员。安全管理制度按照统一的格式标准要求制定，在制定过程中，编写管理文档说明安全管理制度的制定程序、格式要求及版本编号等内容。组织相关人员对安全管理制度进行论证和评审，论证和评审方式包括召开评审会、函审、内部审核等，并详细记录相关人员的评审意见。（2）安全管理制度发布安全管理制度经过管理层的签发后按照一定的流程以文件的方式发布，安全管理制度发布时注明适用和发布范围以及版本表示，并详细记录安全管理制度的收发登记记录。评审和修订定期对安全管理制度进行评审，并由安全保密工作办公室指定参与安全管理制度评审的具体人员。详细制定安全管理制度评审的流程，记录评审意见和结果。对存在不足或需要改进的安全管理制度进行合理适度的修订，参与安全管理制度修订的部门和人员由安全保密工作办公室指定。详细制定安全管理制度修订的流程，记录修订意见和结果。当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时，组织对安全管理制度进行检查、审定和修订。详细合理分配每个制度文档的相应负责人或负责部分，负责对明确需要修订的制度文档进行维护。具体来说，信息系统项目建设中应至少考虑如下的管理制度建设：制定信息系统系统的信息安全工作总体方针、政策性文件和安全策略等；建立信息系统总体安全制度，并详细制定和各之间的信息访问和数据交换安全策略，并研究制定一套有效的安全应急计划；对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；对要求管理人员或操作人员执行的日常管理操作，建立操作规程，以规范操作行为，防止操作失误；由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。在安全保密工作办公室的负责下，组织相关人员制定；保证安全管理制度具有统一的格式风格，并进行版本控制；安全管理制度应经过管理层签发后按照一定的程序以文件形式发布；安全管理制度应注明发布范围，并对收发文进行登记；安全管理制度应注明密级，进行密级管理；定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全管理制度进行修订；当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时，应对安全管理制度进行检查、审定和修订；每个制度文档应有相应负责人或负责部门，负责对明确需要修订的制度文档的维护；评审和修订的操作范围应考虑安全管理制度的相应密级。安全管理机构 《信息系统安全等级保护基本要求》在岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面对安全管理机构提出了具体的要求。应该建立专门的安全职能部门，配备专门的安全管理人员，负责信息安全管理工作，同时对安全管理人员的活动进行指导。安全管理员还应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；并组织力量定期进行全省的安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；岗位设置1、设立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权的人员担任；2、设立专职的安全管理机构（即信息安全管理工作的职能部门），明确各部门职责分工；3、设立安全管理各个方面的负责人，设置工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位），明确各个岗位的职责分工。人员配备1、对关键区域或部位的安全管理人员配备有一定条件要求（如中心机房的安全管理人员、关键服务器的安全管理人员等），对关键事务配备2人或2人以上共同管理，相互监督和制约；2、配备专职的安全管理员；授权和审批1）对信息系统中的重要活动进行审批，审批部门是何部门，批准人是何人，审批活动是否得到授权；询问是否定期审查、更新审批流程，审查周期多长；2）对重要活动的审批范围包括哪些（如系统变更、重要操作、物理访问和系统接入，重要管理制度的制定和发布，人员的配备、培训，产品的采购，外部人员的访问、管理，与合作单位的合作项目等)；沟通和合作建立与外单位（公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等），与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制；召开部门间协调会议，组织其它部门人员共同协助处理信息系统安全有关问题，安全管理机构内部召开过安全工作会议部署安全工作的实施，参加会议的部门和人员，会议结果；信息安全领导小组或者安全管理委员会定期召开例会；聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等；审核和检查定期对信息系统进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；定期进行全面安全检查人员安全管理人员安全管理要求在人员的录用、离岗、考核、培训以及第三方人员管理上，都要考虑安全因素。应： 指定或授权专门的部门或人员负责人员录用； 严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核； 与所有员工和第三方厂商、服务商签署保密协议； 严格规范人员离岗过程，及时终止离岗员工的所有访问权限； 定期对各个岗位的人员进行安全技能及安全认知的考核； 对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； 对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒； 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行；系统建设管理《信息系统安全等级保护基本要求》在系统建设管理阶段针对系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全测评、安全服务商选择等等方面提出了具体的要求。目前，系统定级、系统备案的工作已经完成，新搭建的系统需要重新定级与备案。工程实施、测试验收、系统交付等方面需要在产品购买后进行。而其他的一些方面，如自行软件开发、外包软件开发等，应根据具体情况制定相关管理规范和流程。在安全服务商选择方面，我们建议的相关领导，选择有实力，有信誉的专业安全服务厂商。系统运维管理《信息系统安全等级保护基本要求》在环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面提出了要求。应在现有的系统运维管理制度的基础上，对照《信息系统安全等级保护基本要求》进行查漏补缺，以达到标准合规。环境管理建立网络安全运维小组，组织实施对机房供配电、空调、温湿度控制等设施，机房的出入，服务器的开关机等的日常维护管理；建立机房安全管理制度，明确相关安全管理规定；加强日常办公环境的保密规定的宣贯、知会和管理。资产管理建立完善信息系统资产台账，包括资产责任部门、责任人、重要程度和位置等内容；建立信息系统资产安全管理制度，明确相关管理规定；对重要资产进行分类标识，并采取相应的管理措施；建立信息分类与标识方法相关规定。介质管理建立介质管理制度，明确相关管理规定；对介质的存放环境进行安全检查，确保存储环境由专人负责管理；对存储介质外出、传输、归档和查询等严格履行手续，并作详细记录；对存储介质的使用过程、维修和销毁加强管理，带出的介质采用技术手段进行内容加密，对送出维修或销毁的介质中的敏感数据，采用有效技术手段进行彻底清除；介质销毁必须履行相关手续，不得擅自自行销毁；某些用于数据备份的存储介质应按照有关要求进行异地存储，异地存储的环境和安全应和本地相同；重要存储介质中的数据和软件通过技术手段采取加密存储，并对介质按存储数据的重要程度进行分类标识管理。设备管理建立信息系统日常维护管理制度，明确管理部门和人员对信息系统相关的各种设备、线路进行维护管理，明确维护人员的职责；建立设备安全管理制度，明确软硬件设备的选型、采购、发放和领用等过程的管理规范，明确设备的涉外维修和服务的审批，维修过程的监督；建立软硬件及配套设施日常维护管理制度，明确维护人员职责、涉外维修和服务审批、维修过程的监督控制等；建立设备操作规程，规范操作行为；信息处理设备带离原放置场所，必须履行审批手续。监控管理和安全管理中心建立系统日常运行管理记录并妥善保存；明确管理人员对监测和报警记录进行分析、评审，形成分析报告，对可疑行为采取合适的应对措施；通过集中安全管理平台，实现对设备状态、病毒防护、补丁升级、安全审计的统一管理。网络安全管理建立网络安全管理制度，明确管理人员的岗位职责，对安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出具体规定；网络设备的软件升级由管理人员及时更新，在更新前需对重要文件保存备份；按照有关制度定期由管理人员进行系统漏洞扫描，并采取措施及时修补；对设备的配置实现最小服务配置，配置文件定期进行离线备份；与外部系统的所有连接需得到授权和批准，采取技术手段控制和禁止非授权设备的接入，监控违规外联的相关行为。系统安全管理根据实际需求和安全分析，制定系统访问控制策略；系统补丁在安装前，需在测试环境进行测试通过，并对重要文件进行预先备份；建立系统安全管理制度，明确系统安全策略、安全配置、日志管理和日常操作流程的相关具体规定，明确管理人员的角色划分、权限、责任和风险；建立系统操作手册，依据操作手册进行系统维护，对系统的维护详细记录操作日志，禁止未经授权的操作行为；定期对系统运行日志和审计数据进行分析，发现异常及时上报并处理。恶意代码防范管理加强对用户的防病毒知识培训；建立防病毒系统管理制度，明确管理员职责、防病毒系统日常管理、病毒库升级、升级情况记录、病毒分析处理、定期总结汇报等内容；管理员定期检查病毒库升级情况并记录，对防病毒系统、防病毒网关上截获的病毒或恶意代码进行及时分析处理，形成书面分析处理报告和总结汇报。密码管理建立密码使用管