某医院信息系统等级保护安全建设整改方案v10

XX医院信息系统

等级保护平安建设整改方案

2024年3月

目录

1方案概述8

1.1背景8

1.2方案设计目标9

L3方案设计原那么9

1.4方案设计依据10

2现状分析11

2.1网络架构描述11

2.2信息系统定级情况12

2.3平安现状分析错误!未定义书签。

平安管理现状错误!未定义书签。

平安技术现状错误!未定义书签。

3平安需求分析14

3.1国家政策需求分析14

3.2平安指标与需求分析14

4信息平安体系框架设计16

5管理体系整改方案17

5.1平安制度制定解决方案17

策略结构描述17

平安制度制定19

满足指标20

5.2平安制度管理解决方案20

平安制度发布20

平安制度修改与废止21

平安制度监督和检查21

平安制度管理流程22

满足指标24

5.3平安教育与培训解决方案25

信息平安培训的对象25

信息平安培训的内容26

信息平安培训的管理27

满足指标27

5.4人员平安管理解决方案28

普通员工平安管理28

平安岗位人员管理29

满足指标33

5.5第三方人员平安管理解决方案34

第三方人员短期访问平安管理34

第二方人员长期访问平安管理45

第三方人员访问申请审批流程信息表37

第三方人员访问申请审批流程图37

满足指标37

5.6系统建设平安管理解决方案39

系统平安建设审批流程39

工程立项平安管理39

信息平安工程建设管理41

满足指标44

5.7等级保护实施管理解决方案46

信息系统描述46

等级指标选择49

平安评估与自测评49

方案与规划52

建设整改52

运维53

测评准备53

外部测评54

满足指标55

5.8软件开发平安管理解决方案56

软件平安需求管理56

软件设计平安管理57

软件开发过程平安管理60

软件维护平安管理63

软件管理的平安管理64

软件系统平安审计管理64

满足指标65

5.9平安事件处置与应急解决方案65

平安事件预警与分级65

平安事件处理69

平安事件通报73

应急响应流程74

应急预案的制定力

满足指标83

5.10日常平安运维管理解决方案84

运维管理84

介质管理85

恶意代码管理86

变更管理管理87

备份与恢复管理88

设备管理管理91

网络平安管理94

系统平安管理96

满足指标99

5.11平安组织机构设置解决方案103

平安组织总体架构103

满足指标106

5.12平安沟通与合作解决方案107

沟通与合作的分类107

风险管理不同阶段中的沟通与合作108

满足指标109

5.13定期风险评估解决方案109

评估方式110

评估内容110

评估流程111

满足指标112

6技术体系整改方案112

6.1总体部署说明112

6.2边界访问控制解决方案114

需求分析114

方案设计115

方案效果117

满足指标118

6.3边界入侵防御解决方案119

需求分析119

方案设计120

方案效果122

满足指标123

6.4网关防病毒解决方案124

需求分析124

方案设计124

方案效果125

满足指标126

6.5网络平安检测解决方案126

需求分析126

方案设计128

方案效果128

满足指标130

6.6网络平安审计解决方案131

需求分析131

方案设计132

方案效果137

满足指称140

6.7WAF解决方案141

需求分析141

方案设计142

方案效果143

满足指标144

6.8恶意代码防护解决方案144

需求分析144

方案设计145

方案效果147

满足指标149

6.9终端平安管理解决方案150

需求分析150

方案设计151

方案效果159

满足指标162

6.10漏洞扫描解决方案162

需求分析162

方案设计164

方案效果167

满足指标170

6.11应用监控解决方案170

需求分析。0

方案设计171

方案效果172

满足指标174

6.12数据备份与恢复解决方案174

需求分析174

方案设计175

满足指标181

6.13PKI/CA身份认证解决方案182

需求分析182

方案设计182

方案效果188

满足指标1XX

6.14平安加固解决方案190

平安加固范围及方法确定190

平安加固流程191

平安加固步骤191

平安加固内容192

采用平安操作系统197

采用平安数据库管理系统200

采用操作系统核心加固系统203

应用系统开发优化204

满足指标206

6.15平安管理中心解决方案214

需求分析214

方案设计215

方案效果227

满足指标229

7技术体系符合性分析229

7.1物理平安229

7.2网络平安232

7.3主机平安237

7.4应用平安241

7.5数据平安与备份恢复244

1方案概述

1.1背景

医院是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络

系统，作为一个现代化的医疗机构网络，除了要满足高效的内部自动化办公需求

以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统，

要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以在这样的

网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。

同时医院的网络系统连接着Internet、医保网和高校等，访问人员比拟复杂，

所以如何保证医院网络系统中的数据平安问题尤为重要。在日新月异的现代化社

会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工

作生活方式和思维方式，但是，计算机信息网络平安的脆弱性和易受攻击性是不

容无视的。由于网络设备、计算机操作系统、网络协议等平安技术上的漏洞和管

理体制上的不严密，都会使计算机网络受到威胁。我们可以想象一下，对于一个

需要高速信息传达的现代化医院，如果遭到致命攻击，会给社会造成多大的影响。

为了保障我国关键根底设施和信息的平安，结合我国的根本国情，制定了等

级保护制度。并将等级保护制度作为国家信息平安保障工作的根本制度、根本国

策，促进信息化、维护国家信息平安的根本保障。而针对医疗卫生行.业，卫生部

于20H年11月分别发布《卫生部办公厅关于全面开展卫生行业信息平安等级保

护工作的通知》［卫办综函（2011）1126号），卫生部关于印发《卫生行业信息

平安等级保护工作的指导意见》的通知（卫办发（2011）85号），85号文规定了

主要工作内容：

1.定级备案（规定了定级范围及级别）

2.建设与整改（规定了二级（含）以上系统需进行差距分析与整改）

3.等级测评（规定了三级（含）以上需进行等保测评）

4.宣传培训（规定了各类卫生机构需进行信息平安培训，提高平安意识）

5.监督检查（规定了信息化工作领导小组对各医疗机构等级保护工作进行

督导）

全面开展等级保护建设，对医院特别是三级甲等医院的信息化建设提出了更

高的要求，其核心业务信息系统的建设应按照不低于等级保护三级的标准进行。

XX医院是北京市卫生局直属三级甲等医院、北京大学教学医院、中法友好

合作医院、中国科学院心理研究所临床心理学教学医院、北京市心理危机研究与

干预中心、北京市心理援助热线、世界卫生组织心理危机预防研究与培训合作中

心、北京市专科医师培训基地、国家药物临床试验机构，作为北京三级甲等兵疗

机构，其核心HIS系统和EMR系统的正常运行至关重要，因此在信息平安建设

过程中参照国家等级保护相关标准，利于医院自身进行平安体系化建设，并最终

利于业务的开展C

1.2方案设计目标

本次XX医院核心业务系统等级保护平安建设的主要目标是：

按照等级保护要求，结合实际业务系统，对XX医院核心业务系统进行充分

调研及详细分析，将XX医院核心业务系统系统建设成为一个及满足业务需要,

又符合等级保护三级系统要求的业务平台。

建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息平安保

障体系，到达国内一流的信息平安保障水平，支撑和保障信息系统和业务的平安

稳定运行。该体系覆盖信息系统平安所要求的各项内容，符合信息系统的业务特

性和开展战略，满足XX医院信息平安要求。

1.3方案设计原那么

“全面保障”原那么：信息平安风险的控制需要多角度、多层次，从各个环

节入手，全面的保障。

“整体规划，分步实施"原那么：对信息平安建设进行整体规划，分步实施，

逐步建立完善的信息平安体系。

“同步规划、同步建设、同步运行"原那么：平安建设应与业务系统同步规

划、同步建设、同步运行，在任何一个环节的疏忽都可能给业务系统带来危害。

“适度平安”原那么：没有绝对的平安，平安和易用性是矛盾的，需要做到

适度平安，找到平安和易用性的平衡点。

“内外并重”原那么：平安工作需要做到内外并重，在防范外部威胁的同时，

加强标准内部人员行为和访问控制、监控和审计能力。

“标准化”原那么：管理要标准化、标准化，以保证在能源行业庞大而多层

次的组织体系中有效的控制风险。

“技术与管理并重”原那么：网络与信息平安不是单纯的技术问题，需要在

采用平安技术和产品的同时，重视平安管理，不断完善各类平安管理规章制度和

操作规程，全面提高平安管理水平。

1.4方案设计依据

本方案的设计主要依据以下等级保护政策：

■公安部、国家保密局、国际密码管理局、国务院信息化工作办公室

联合转发的《关于信息平安等级保护工作的实施意见》(公通字(2004)

66号)

■公安部、国家保密局、国家密码管理局、国务院信息化工作办公室

制定的《信息平安等级保护管理方法》(公通字(2007)43号)

■公安部颁发的《关于开展信息平安等级保护平安建设整改工作的指

导意见》(公信安(2009)1429号)

■公安部《关于推动信息平安等级保护测评体系建设和开展等级测评

工作的通知》(公信安(2010)303号)

■本方案的设计主要依据如下等级保护标准：

■《信息平安技术信息系统平安等级保护根本要求》(GB/T22239-2008)

■《信息平安技术信息系统等级保护平安设计技术要求》(GB"

25070-2010)

本方案还参考了如下一些政策和标准:

■《信息平安技术信息系统平安等级保护定级指南》(GB/T

22240-2008)

■《信息平安技术信息系统平安等级保护实施指南》

■《信息平安技术信息系统平安等级保护测评要求》

■《信息平安技术信息系统平安等级保护测评过程指南》

■《计算机信息系统平安保护等级划分准那么》(GB17859-1999)

■《信息平安技术信息系统通用平安技术要求》(GB/T20271-2006)

■《信息平安技术网络根底平安技术要求》(GB/T20270-2006)

■《信息平安技术操作系统平安技术要求》(GB/T20272-2006)

■《信息平安技术数据库管理系统平安技术要求》(GB/T20273-2006)

■《信息平安技术效劳器技术要求》(GB/T21028-2007)

■《信息平安技术终端计算机系统平安等级技术要求》(GAAT

671-2006)

■《信息平安技术信息系统平安管理要求》(GB/T20269-2006)

■《信息平安技术信息系统平安工程管理要求》(GB/T20282-2006)

■GB/T22080-2008/ISO/IEC27001:2005《信息技术平安技术信息平安

管理体系要求》

■1ATF《信息保障技术框架》

2现状分析

2.1网络架构描述

XX医院网络架构主要由终端平安域、平安设备运维区、互联网DMZ区、

业务效劳器区等平安域构成

系统使用的平安产品清单:

序号设备名称型号数量

1防火墙XX2

2平安网关XX1

3入侵检测系统XX1

4漏洞扫描系统XX1

5补丁分发系统XX1

6信息平安综合审计监控系统XX1

7宽带信息平安(上网行为)管理系统XX1

8综合网络平安管理系统XX1

9互联网带宽管理系统XX1

10网络防病毒系统XX1

已经部署的平安产品除网络防病毒系统外，其他产品均购置于四年前，无论

从性能、功能上已经不能适应当今的平安要求，本次建设将予以更换。

2.2信息系统定级情况

XX医院核心业务系统是医院信息系统(HospitalInformationSystem,

HIS)和电子病历系统(ElectronicMedicalRecord,EMR)。目前已经完成系统定级，

最终确定北京XX医院核心业务信息系统平安保护等级为第三级。

HTS系统由北京XX数字医疗系统研制开发，2002年11月开始分期实施到我

院。由计算机网络中心负责组织实施、运行管理和维护工作。本系统是基于计算

机网络、按照一定的应用目标和规那么对医院临床及管理业务信息进行采集、加

工、存储、传输、检索和效劳的人机系统。整个网络主干千兆，百兆到桌面，为

两层星型结构。该系统承载着全院人、财、物的行政管理和有关门、急诊病人及

住院病人的医疗事务处理业务，主要包括门诊挂号、电子医嘱和处方、计价收费、

药房药库管理、住院病人管理、检验检查信息管理、病案管理、卫生统计、物资

和固定资产管理等二十几个紧密耦合的子系统。各子系统必须协同运行，支持医

院临床诊疗、科研教学、经营决策等方方面面的日常业务与管理工作，是一体化

的信息系统。

电子病历系统(ElectronicMedicalRecord,EMR)以效劳临床业务工作开展

为核心，为全院医务人员、业务管理人员、院级领导提供流程化、信息化、自动

化、智能化的临床业务综合管理平台。目前医院所使用的电子病历系统为2011

年引进的，XX公司开发的C-S架构的结构化的电子病历系统(TP-EMR)。该系统

基于.NET多层体系结构开发平台，采用集中式数据库ORACLE10G,分布式数据

库ACCESS和XML技术相结合，完成临床数据的录入、传输、交换、存储和处理。

目前电子病历系统的组织实施、管理维护、平安防护均由计算机中心管理。

3平安需求分析

3.1国家政策需求分析

2007年公安部等四部委联合出台了《信息平安等级保护管理方法》，该文件

是在开展信息系统平安等级保护根底调查工作和信息平安等级保护试点工作根

底上，由四部委共同会签印发的重要管埋标准，主要内容包括信息平安等级保护

制度的根本内容、流程及工作要求，信息系统定级、备案、平安建设整改、等级

测评的实施与管理，信息平安产品和测评机构选择等，为开展信息平安等级保护

工作提供了标准保障。

2009年，在全国信息系统平安等级保护定级工作根底上，公安部乂印发了

《关于开展信息平安等级保护平安建设整改工作的指导意见》，开始部署开展信

息系统等级保护平安建设整改工作。2009年下半年公安部组织各部委和各行业

开展了信息平安等级保护平安建设整改工作的集中培训，明确了我国信息平安等

级保护平安建设整改工作的工作目标、工作对象、工作内容和要求，并对具体的

工作流程和工作方法提出了指导意见。要求各行业利用三年时间，通过组织开展

信息平安等级保护平安管理制度建设、技术措施建设和等级测评等三项重点工作,

落实等级保护制度的各项要求。

卫生部于2011年11月分别发布《卫生部办公厅关于全面开展卫生行业信息

平安等级保护工作的通知》(卫办综函(2011)1126号)，卫生部关于印发《卫

生行业信息平安等级保护工作的指导意见》的通知(卫办发(2011)85号)。要

求医疗卫生行业全面开展等级保护建设。

3.2平安指标与需求分析

xx医院核心业务系统的平安建设核心需求即满足等级保护的相关要求，因

此将以满足等级保护指标为目标。根据定级结果，整体按三级来管理和建设。那

么，可以确定需要满足的等级保护指标如下：

单位级平安指标(三级)

数据平安

平安管理机构人员平安管理平安管理制度网络平安物理平安系统运维管理系统建设管理

及瞽份恢复

・・6・»iii■号;“1mrmEO数什

平安蠢设教管理制

恸位设置\\\爸份和恢复4平安审计4电磁防护3平安事件处置6平安方案设计5

育和培训度

评审和边界完整性备份与恢复管平安效劳商选

沟地来合作5人员考核32数据保密性22电力供给453

修订检衣理择

制定和题就代码防防盗窃和防

人另£备3人力离岗35数据完里性226变更管理4洌试验收5

发布范破坏

恶意代码防范产品采购和使

审核承检有4人员录用4访问控制3防火344

管理用

外都人员访

授权和审批\2结构平安7防热电2环境管理，1等被测评\

问管理

海拽和平安管

入侵防范防部击33工器噌施

2理中心3

防木和防潮4介质管理e外包软件开发4

温湿度控制!密码管理1系统备案3

物理访问控

4设缶管理5系统定级\

制

物理位优的

2网络平安管理8系统交付5

选齐

自行软件开发

系统平安管理70

(5)

应急预案管理5

资产管理4

201611825326240

总计214

4信息平安体系框架设计

xx医院核心业务系统平安体系框架分为技术体系与管理管理体系两局部。

其中：

•技术体系参考《设计技术要求》，分为计算环境平安、边界平安、通信

网络平安和平安管理中心四局部。同时满足《根本要求》中物理平安、

网络平安、主机平安、应用平安和数据平安等方面技术指标。

•平安管理体系分为平安组织、平安策略、平安建设和平安运维四局部。

5管理体系整改方案

5.1平安制度制定解决方案

平安制度是指导xx医院核心业务系统维护管理工作的根本依据，平安管理和维护管

理人员必须认真制定的制度，并根据工作实际情况，制定并遵守相应的平安标准、流程和

平安制度实施细那么，做好平安维护管理工作。

平安制定的适用范围是XX医院核心业务系统捱有的、控制和管理的所有信息系统、

数据和网络环境，适用于属于XX医院核心业务系统范围内的所有部门。对人员的适用范

围包括所有与XX医院核心业务系统的各方面相关联的人员，它适用于全部应用XX医院

核心业务系统的相关工作人员，全部XX医院核心业务系统范围内容的维护人员，集成商，

软件开发商，产品提供商，参谋，临时工，商务伙伴和使用XX医院核心业务系统的其他

第三方。

平安策略体系建立的价值在于：

•推进信息平安管理体系的建立

■平安策略和制度体系的建设

■平安组织体系的建设

■平安运作体系的建设

•标准信息平安规划、采购、建设、维护和管理工作，推进信息平安的标准化和制度

化建设策略结构描述

信息平安策略为信息平安提供管理指导和支持。XX医院核心业务系统应该制定一套清

晰的指导方针，并通过在组织内对信息平安策略的发布和保持来证明对信息平安的支持与

承诺。

策略系列文档结构图：

＞最高方针

最高方针，纲领性的平安策略主文档，陈述本策略的目的、适用范围、信息平安的管

理意图、支持目标以及指导原那么，信息平安各个方面所应遵守的原那么方法和指导性策

略。

与其它局部的关系：

所有其它局部都从最高方针引申出来，并遵照最高方针，不与之发生违背和抵触。

＞如织机构和人员职责

平安管理组织机构和人员的平安职责，包括的平安管理机构组织形式和运作方式，机

构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照，此局部必

须具有可操作性，而且必须得到有效推行和实施的。

与其它局部的关系：

从最高方针中延伸出来，其具体执行和实施由管理规定、技术标准标准、操作流程和

用户手册来落实。

＞技术标准和标准

技术标准和标准，包括各个网络设备、主机操作系统和主要应用程序的应遵守的平安

配置和管理的技术标准和标准。技术标准和标准将作为各个网络设备、主机操作系统和应

用程序的安装、配置、采购、工程评审、日常平安管理和维护时必须遵照的标准，不允许

发生违背和冲突。

与其它局部的关系：

向上遵照最高方针，向下延伸到平安操作流程，作为平安操作流程的依据。

＞管理制度和规定

各类管理规定、管理方法和暂行规定。从平安策略主文档中规定的平安各个方面所应

遵守的原那么方法和指导性策略引出的具体管理规定、管理方法和实施方法，是必须具有

可操作性，而且必须得到有效推行和实施的。此局部文档较多。

与其它局部的关系：

向上遵照最高方针。向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定

和管理方法，不与之发生违背。

＞平安操作流程

操作流程，详细规定主要业务应用和事件处理的流程和步骤，和相关考前须知。作为

具体工作时的具体依照，此局部必须具有可操作性，而且必须得到有效推行和实施的。

与其它局部的关系：

向上遵照技术标准和标准、最高方针。

＞用户协议

用户签署的文档和协议。包括平安管理人员、网络和系统管理员的平安责仟书、保密

协议、平安使用承诺等等。作为员工或用户对日常工作中的遵守平安规定的承诺，也作为

平安违背时处分的依据。

与其它局部的关系：

向上遵照管理制定和规定、最高方针。

＞需要制定的策略文档

本工程中需要制定的策略文档至少覆盖以下方面：

■平安方针

■平安组织

■资产分类及控制

■人员平安

■物理和环境平安

■通信和运作管理

■系统访问控制

■系统开发与维护

■平安事件处理

■业务连续性规划

■符合性

5.1.2平安制度制定

平安制度的首要问题是需要对平安制度的制定，对于XX医院核心业务系统公司在平

安制度的制定的过程中，考虑如下内容：

＞界定平安策略制度的制定权限

•公司网络与信息平安管理小组负责制定公司层的平安策略，主耍包括：公司信息平

安体系、公司平安策略框架、公司信息平安方针、公司信息平安体系等级化标准、

公司全局性平安技术标准和技术标准、公司全局性平安管理制度和规定、公司平安

组织机构和人员职责、公司层全局性用户协议。

•各部门信息平安组织遵照公司下发的平安策略，结合本部门系统实际情况，制定和

细化成适用于本部门的具体管理方法、实施细那么和操作规程等，不得与公司的规

章制度相抵触，井须报公司信息平安管理部门备案。

＞平安策略的制定要求

•公司平安策略中不得出现公司的涉密信息。

•对公司平安策略进行汇编时，须保存各平安策略的版本控制信息和密级标识。

5.1.3满足指标

解决方案名

控制类控制点指标名称措施名称改良动作

称

应制定信息平安工作的总体

平安制度制平安管理方针和平安策略，说明机构制定平安

管理削度a平安制度开发

定解决方案制度平安工作的总体目标、范围、方针

原那么和平安框架等：

应对平安管理活动中的各类建立各类

平安制度制平安管理

管理制度b管理内容建立平安管理制平安管理平安制度开发

定解决方案制度

度：制度

应对要求管理人员或操作人

平安制度制平安管建立各类

管理制度c员执行的日常管理操作建立平安制度开发

定解决方案制度操作规程

操作规程：

应形成由平安策略、管理制编制制度

平安制度制平安管理

管理制度d度、操作规程等构成的全面体系说明平安制度开发

定解决方案制度

的信息平安管理制度体系。文档

5.2平安制度管理解决方案

平安制度制定后，对平安制度的管理工作十分重要，在对平安制度管理过程中，需要

注意如下内容：

5.2.1平安制度发布

•平安策略须以正式文件的形式发布施行。

•公司层平安策略由公司网络与信息平安工作组制订，公司网络与信息平安领导小组

审批、发布。

•部门层平安策略由各生产中心平安管理组织制订，公司网络与信息平安工作组审批、

发布，同时要留存公司信息平安管理部门备案。

•系统层平安策略由各系统管理员制订、本中心平安管理员协助，本部门平安管理组

织审批、发布，同时要留存公司信息平安管理部门备案。

•平安策略发布后，如有必要，平安策略制定部门应召集相关人员学习平安策略，详

细讲解规章制度的内容并解答疑问。

•平安策略修订后需要以正式文件的形式重新发布施行，修订后的策略也需相应层次

的管理部门审批。

•签署发布的规章制度必须标明该规章制度的施行日期。

5.2.2平安制度修改与废止

•须定期对平安策略进行评审，对其中不适用的或欠缺的条款，及时进行修改和补充。

对已不适用的信息平安制度或规定应及时废止。

•当现行平安策略有以下情形之一时，须及时修改：

（一）当发生重大平安事件，暴露出平安策略存在漏洞和缺陷时；

（二）组织机构或生产系统进行重大调整和变更后；

（三）同一个事项在两个规章制度中规定不一致：

（四）与上级部门的平安策略相抵触；

其它需要修改平安策略的情形。

•当现行平安策略有以下情形之一时，必须及时予以废止：

（一）因有关信息平安制度或规定废止，使该信息平安制度或规定失去依据，或

与公司现行上层策略相抵触；

（二）因已规定的事项已经执行完毕，没有存在必要；

（三）已被新的规章制度所替代。

•公司层平安策略的修改与废止须经公司信息平安领导组织审批确认，公司信息平安

管理部门备案。

•部门层平安策略的修改与废止须经各部门信息平安维护组织及公司信息平安管理

部门审批确认。同时公司信息平安管理部门备案。

5.2.3平安制度监督和检查

•平安策略发布实施后，各部门应就平安策略制度或规定的贯彻执行，执行中存在的

问题以及对规章制度修改或废止的意见建议等情况进行检查、监督，并将意见和建

议及时反响给制度的制定部门。

•为保障各项信息平安管理制度的贯彻落实，公司信息平安管理部门必须定期检查平

安策略的落实情况，信息平安管理制度的落实情况检查是信息平安检查工作的重要

内容。

•信息平安检查工作结束后，在起草检查报告时，必须通报平安策略的落实情况，对

执行不力的行为必须提出整改意见，限期纠改，并继续追踪其落实情况。

•平安策略的贯彻落实情况，必须作为重要的考核工程，纳入部门的综合考评体系。

为平安策略落实做出显著成绩的部门或个人，应给予表彰和奖励；对违反规章制度造

成严重后果的部门或个人，应追究当事人、相关单位及主管领导的责任。具体参照公司考

核制度办理。

5.2.4平安制度管理流程

＞制度管理流程信息表

下表给出了制度管理流程表，供本次工程参考:

流程名称策略管理流程流程编码OPT-6流程负责人公司信息平安办公室

流程起点：流程目的：标准公司以及各部门信息流程终点：审议平安策略执行

制定平安策略平安策略的制定、发布、修改、废止、检

查和监督落实，建立科学、严谨的信息平

安策略管理体系。

步骤操作操作描述操作岗位

编号步骤

1策略■公司级信息平安策略由公司部门信息平安组织/公司信息平安办公室

信息平安办公室负责制定

制定■部门级信息平安策略由部门

信息平安组织负责制定

2审核■公司级策略部门信息平安组织/公司信息平安办公室/公司信息平安工作组/工作

♦公司信息平安工作组审

与发布核信息平安领导小气

♦公司信息平安领导小组

审批

♦公司信息平安办公室发

布

■部门级策略

♦公司信息平安办公室审

核

♦公司信息平安工作组审

批

♦部门信息平安组织发布

3修改■制定部门负责修改和废止部门信息平安组织/公司信息平安办公室/公司信息平安工作组/工作

■公司信息平安办公室审核、备

与废止案信息平安领导小组

■公司信息平安工作组、领导小

组审批

4监督和检■公司信息平安办公室监督、检公司信息平安办公室

查

查

步骤编号输入部门输入内容输入标准载体名称

流程1部门信息策略（制度、标完整策略文档

输入平安组织准、标准、运行维护

方案）

1公司信息策略（制度、标完整策略文档

平安办公室准、标准、运行维护

方案）

步骤编号接收部门输出内容输出标准载体名称

流程

、、信息平安策略审批、备案及时、准确“信息平安

输出234

办公室信息平台”

IT

使能器信息平台“公司信息平安平台”

策略策略文档

>公司级制度管理流程图

以下图给出公司级制度的管理流程供本次工程参考:

〈公司级策略管理流程〉

制定>审核与发布修改与废止监督和检查

6惮

提出修改/废止安全策

点制定公司信息安全发布修改或止信息

马的中谓和内薜1

安生策略I

G

枫

W定期检查安全策

亚

SH略执行情况

F

玄

夺

第

由

'

F四

S

公司级制度管理流程图

＞部门级制度管理流程图

以下图给出部门级制度管理流程图供本次工程参考:

〈部门级策略管理流程》

制定审核与发布修改与废止监督和检查

.X

汨

迪

二制定部门存县安全釉修改喝1交44修改，废止

策略略S中调和内咨

说

比

邵

X

瑞定期杨台安全第

题

玄路执行侪花

迎

勺

区

玄

理

叁

审议女全策略执

安审批

题

/行

四H

叵

1

部门级制度管理流程图

5.2.5满足指标

解决方

控制类控制点指标名称措施名称改良动作

案名称

应指定或授权专门的部门或

平安制度管平安管理制定和发专人制定制度管理规定

a人员负责平安管理制度的制

理解决方案制度布的规定与记录

定：

版本控制

平安制度管平安管理制定和发平安管理制度应具有统一的制度管理规定

b规定与记

理解决方案制度布格式，并进行版本控物；与记录

录

应组织相关人员对制定的平制度审定

平安制度管平安管理制定和发制度管理规定

c安管理制度进行论证和审规定与记

理解决方案制度布与记录

定：录

制度发布

平安制度管平安管理制定和发平安管理制度应通过正式、制度管理规定

d规定与记

理解决方案制度布有效的方式发布：与记录

录

制度制度

平安制度管平安管理制定和发平安管理制度应注明发布范制度管理规定

e管理标准，

理解决方案制度布围，并对收发文进行登记。与记录

收发记录

信息平安领导小组应负贲定

定期审定

平安制度管平安管理评审和修期组织相关部门和相关人员制度管理规定

a的规定与

理解决方案制度订对平安管理制度体系的合理与记录

记录

性和适用性进行审定：

应定期或不定期对平安管理

定期修订

平安制度管平安管理评审和修制度进行检查和审定，对存制度管理规定

b的规定与

理解决方案制度订在缺乏或需要改良的平安管与记录

记录