信息安全日常运维操作与管理制度

信息安全日常运维操作与管理制度

第一章总则

第一条为加强医院信息安全日常运维管理工作，提高

运维操作的规范性和安全性，特制定本办法。

第二条本办法适用于医院各科室的信息安全管理工作。

第二章范围

第三条为指导和规范信息安全日常运维操作和管理，

本规定内容适用的范围：

基础网络和信息系统安全运行的日常管理和维护；

应用系统数据的安全管理和维护；

硬件设备维护；

应用系统以及应用支撑平台的日常管理和维护等。

第三章职责

第四条由办公室负责医院数据安全运维管理、实施以

及监督工作，其职责如下：

负责应用系统的管理和维护工作，解决并记录应用系

统中的问题，按照权限分配表在应用系统中设置用户的权

限；

负责服务器操作系统的管理和维护工作，对服务器中

软件的安装及删除进行管理和记录；

负责数据库的管理和维护工作，进行数据备份和恢复

测试，并对备份的存放介质进行管理；

负责网络的管理和维护工作；

负责本单位内的信息安全管理工作；

负责机房的管理和维护工作；

负责系统文档的安全管理工作等。

第四章设备安全操作

第五条在对信息化系统中的各类设备进行操作时，应

严格按照具体应用需求进行。

第六条在进行操作前，应书面填写操作申请单，列明

操作所涉及的设备、对系统可能带来的影响以及相应的应对

措施，在得到院部审批后，方可进行操作。

第七条在进行操作前，应对设备当前配置或者数据进

行记录或者备份。

第八条操作完成后，应对本次操作过程和操作结果进

行记录并提交办公室存档。

第五章终端日常使用管理

第九条在网络中的用户终端应严格按照要求进行操作,

遵守内外网分离的要求，不得擅自修改IP地址、擅自卸载

桌面管理系统、杀毒软件等。应按照要求按时进行病毒扫描

和补丁升级。

第十条移动介质安全管理：

1、移动介质不能在内、外网终端之间混用;

2、在移动介质接入终端后应立即进行病毒扫描；

3、使用移动介质拷贝重要数据完成后，应立即清除；

4、涉及信息化系统的技术资料、安装介质等应由专人

进行妥善保管，借出使用时应登记并按要求准时归还。

第六章应用系统运行安全管理

第十一条对于各应用系统以及应用系统支撑平台的日

常运行情况要定期进行记录、分析和汇报。各应用系统使用

科室对于发现的异常情况要及时通报办公室以便及时解决。

第十二条系统管理员负责应用系统的安装、维护和系

统及数据备份；根据应用系统的安全策略，负责应用系统的

用户权限设置以及系统安全配置。

第十三条应用系统维护和应急处理记录要求：

1、设置“应用系统维护和应急处理记录”，系统管理员

记录系统的运行情况；

2、对系统异常、系统故障的日期、现象、处理方法及

结果等应急处理进行记录；

3、对应用系统的安装、设置更改、帐号变更、组变更、

备份等系统维护工作进行记录，以备查阅；

4、对应用系统异常和系统故障的时间、现象、应急处

理方法及结果作详细的记录。

第十四条应用系统软件、资料以及许可证的管理：

1、必须对应用系统软件的介质、资料和许可证进行登

记，并设专人负责保管;

2、登记的内容应包括软件的名称和版本、软件出版商、

许可证类型和数量、介质的编号和数量、软件安装序列号、

手册名称和数量、购买日期等；

3、应用系统软件和资料的借用，需要审批和借还登记

手续；

4、对重要应用系统软件介质和资料要进行复制，借用

时应提供复制品，以保护好原件及避免丢失。

第十五条应用系统配置的备份的管理

1、系统管理员应对系统的配置参数及相关文件进行备

份；

2、当配置发生变更时必须重新备份，以便系统故障时

能尽快恢复系统配置。

第十六条应用系统数据的备份的管理

1、备份权限，备份介质都必须加以妥善保管，防止非

法访问；

2、如果开发数据库中导入了数据库的数据，要确保为

生产数据库所指定的安全规则也用于开发数据库中；

3、制定备份策略，以高效备份与恢复为目标，与操作

系统备份结合，物理备份与导出相结合。

第七章系统数据的安全管理

第十七条根据应用系统数据的生命周期和重要性，分

别设置合理的在线、近线、离线数据的存储、备份策略。

第十八条备份策略应形成书面材料由院部审核后存档。

第十九条当应用系统发生变化时，应及时评估其对数

据备份要求的影响，制订新的备份策略，经审核后存档。

第二十条备份的数据应定期检查，重要数据应在备份

后随机抽取进行恢复测试以保证备份数据的可用性；超过时

效的备份应在获得信息管理科室的书面同意后及时格式化

或者销毁。

第八章系统运行平台的安全管理

第二十一条系统运行平台指的是支撑应用系统运行的

主机、操作系统以及数据库、中间件等平台软硬件。

第二十二条系统运行平台由办公室统一进行管理和维

护，主要内容包括：系统平台配置，登录/操作审计、访问

端口限制、补丁更新、日志分析、数据备份、口令管理等。

第九章口令/密码/密钥安全管理要求

第二十三条应用系统管理员在系统中为每个用户设立

一个账户，其权限按照经单位负责人批准的《应用系统用户

权限分配表》和《应用系统角色权限表》中的描述设定。应

用系统的所有账户应符合统一口令策略的要求设置和更新

密码。

第二十四条服务器的操作系统中没有未授权的登录账

号，确需保留的系统账号应有明确的管理人员。操作系统中

账户应符合医院统一口令策略的要求设置和更新密码。

第二十五条数据库中的所有账号应符合统一口令策略

的要求设置和更新密码。

第二十六条密码和密钥要求长度超过8位，要求信息

管理科室管理员做好密钥的产生、保存、分配、使用、废除、

归档和销毁工作。

第十章系统文档的安全管理

第二十七条信息化系统文档的管理由办公室统一进行。

其职责包括：文档存档管理；文档更新管理；文档借阅管理；

文档销毁管理。

第十一章系统的安全监测

第二十八条系统的安全监测由办公室统一进行。其职

责包括：

1、依靠安全运维平台、网管软件、桌面管理系统等工

具，每周对信息化系统进行监测，对于重点与核心部分内容

则每天进行监测；

2、为每次监测填写监测记录；

3、分析监测记录，找出系统可能存在的隐患并及时处

理等。

第十二章备份和恢复管理

第二十九条定期对信息系统的数据、软硬件的配置文

件进行备份。

第三十条根据应用系统数据的生命周期和重要性，分

别设置合理的在线、近线、离线数据的存储、备份策略。备

份策略应形成书面材料，交由办公室存档。

第三十一条网络服务器数据备份工作，系统备份每周

做一次。系统管理员在每周最后一个工作日，将应用服务器

的数据库文件做一次异