1、某医院信息系统等级保护安全建设整改方案 XX 医院信息系统等级保护安全建设整改方案2018 年 9 月某医院信息系统等级保护安全建设整改方案 I目 录1 方案概述 .81.1 背景 .81.2 方案设计目标 .91.3 方案设计原则 .91.4 方案设计依据 .102 现状分析 .122.1 网络架构描述 .122.2 信息系统定级情况 .132.3 安全现状分析 .142.3.1 安全管理现状 .142.3.2 安全技术现状 .143 安全需求分析 .293.1 国家政策需求分析 .293.2 安全指标与需求分析 .294 信息安全体系框架设计 315 管理体系整改方案 325.1 安全制度
2、制定解决方案 .325.1.1 策略结构描述 .325.1.2 安全制度制定 .355.1.3 满足指标 .355.2 安全制度管理解决方案 .365.2.1 安全制度发布 .365.2.2 安全制度修改与废止 .365.2.3 安全制度监督和检查 .375.2.4 安全制度管理流程 .375.2.5 满足指标 .40某医院信息系统等级保护安全建设整改方案 II5.3 安全教育与培训解决方案 .415.3.1 信息安全培训的对象 .415.3.2 信息安全培训的内容 .425.3.3 信息安全培训的管理 .435.3.4 满足指标 .435.4 人员安全管理解决方案 .445.4.1 普通员工
3、安全管理 .445.4.2 安全岗位人员管理 .455.4.3 满足指标 .495.5 第三方人员安全管理解决方案 .505.5.1 第三方人员短期访问安全管理 .505.5.2 第三方人员长期访问安全管理 .515.5.3 第三方人员访问申请审批流程信息表 .535.5.4 第三方人员访问申请审批流程图 .545.5.5 满足指标 .545.6 系统建设安全管理解决方案 .555.6.1 系统安全建设审批流程 .555.6.2 项目立项安全管理 .565.6.3 信息安全项目建设管理 .575.6.4 满足指标 .615.7 等级保护实施管理解决方案 .625.7.1 信息系统描述 .645
4、.7.2 等级指标选择 .695.7.3 安全评估与自测评 .725.7.4 方案与规划 .765.7.5 建设整改 .785.7.6 运维 .825.7.7 测评准备 .855.7.8 外部测评 .87某医院信息系统等级保护安全建设整改方案 III5.7.9 满足指标 .885.8 软件开发安全管理解决方案 .895.8.1 软件安全需求管理 .895.8.2 软件设计安全管理 .905.8.3 软件开发过程安全管理 .935.8.4 软件维护安全管理 .955.8.5 软件管理的安全管理 .965.8.6 软件系统安全审计管理 .975.8.7 满足指标 .975.9 安全事件处置与应急解
5、决方案 .985.9.1 安全事件预警与分级 .985.9.2 安全事件处理 .1025.9.3 安全事件通报 .1065.9.4 应急响应流程 .1075.9.5 应急预案的制定 .1075.9.6 满足指标 .1165.10 日常安全运维管理解决方案 .1175.10.1 运维管理 .1175.10.2 介质管理 .1185.10.3 恶意代码管理 .1195.10.4 变更管理管理 .1205.10.5 备份与恢复管理 .1215.10.6 设备管理管理 .1245.10.7 网络安全管理 .1275.10.8 系统安全管理 .1295.10.9 满足指标 .1315.11 安全组织机构
6、设置解决方案 .1365.11.1 安全组织总体架构 .1365.11.2 满足指标 .139某医院信息系统等级保护安全建设整改方案 IV5.12 安全沟通与合作解决方案 .1405.12.1 沟通与合作的分类 .1405.12.2 风险管理不同阶段中的沟通与合作 .1425.12.3 满足指标 .1425.13 定期风险评估解决方案 .1435.13.1 评估方式 .1435.13.2 评估内容 .1445.13.3 评估流程 .1455.13.4 满足指标 .1466 技术体系整改方案 1476.1 总体部署说明 .1476.2 边界访问控制解决方案 .1506.2.1 需求分析 .150
7、6.2.2 方案设计 .1506.2.3 方案效果 .1526.2.4 满足指标 .1546.3 边界入侵防御解决方案 .1556.3.1 需求分析 .1556.3.2 方案设计 .1566.3.3 方案效果 .1596.3.4 满足指标 .1606.4 网关防病毒解决方案 .1616.4.1 需求分析 .1616.4.2 方案设计 .1616.4.3 方案效果 .1636.4.4 满足指标 .1636.5 网络安全检测解决方案 .1656.5.1 需求分析 .1656.5.2 方案设计 .166某医院信息系统等级保护安全建设整改方案 V6.5.3 方案效果 .1686.5.4 满足指标 .1
8、696.6 网络安全审计解决方案 .1716.6.1 需求分析 .1716.6.2 方案设计 .1726.6.3 方案效果 .1786.6.4 满足指标 .1816.7 WAF 解决方案 1836.7.1 需求分析 .1836.7.2 方案设计 .1846.7.3 方案效果 .1856.7.4 满足指标 .1866.8 恶意代码防护解决方案 .1876.8.1 需求分析 .1876.8.2 方案设计 .1886.8.3 方案效果 .1906.8.4 满足指标 .1926.9 终端安全管理解决方案 .1936.9.1 需求分析 .1936.9.2 方案设计 .1946.9.3 方案效果 .202
9、6.9.4 满足指标 .2056.10 漏洞扫描解决方案 .2066.10.1 需求分析 .2066.10.2 方案设计 .2086.10.3 方案效果 .2116.10.4 满足指标 .2166.11 应用监控解决方案 .2176.11.1 需求分析 .217某医院信息系统等级保护安全建设整改方案 VI6.11.2 方案设计 .2176.11.3 方案效果 .2196.11.4 满足指标 .2206.12 数据备份与恢复解决方案 .2226.12.1 需求分析 .2226.12.2 方案设计 .2226.12.3 满足指标 .2296.13 PKI/CA 身份认证解决方案 .2316.13.
10、1 需求分析 .2316.13.2 方案设计 .2316.13.3 方案效果 .2376.13.4 满足指标 .2376.14 安全加固解决方案 .2406.14.1 安全加固范围及方法确定 .2406.14.2 安全加固流程 .2406.14.3 安全加固步骤 .2436.14.4 安全加固内容 .2446.14.5 采用安全操作系统 .2496.14.6 采用安全数据库管理系统 .2526.14.7 采用操作系统核心加固系统 .2556.14.8 应用系统开发优化 .2566.14.9 满足指标 .2586.15 安全管理中心解决方案 .2666.15.1 需求分析 .2666.15.2
11、方案设计 .2686.15.3 方案效果 .2836.15.4 满足指标 .2857 技术体系符合性分析 2877.1 物理安全 .287某医院信息系统等级保护安全建设整改方案 VII7.2 网络安全 .2907.3 主机安全 .2947.4 应用安全 .2987.5 数据安全与备份恢复 .302某医院信息系统等级保护安全建设整改方案 81 方案概述1.1 背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的 HIS、RIS、PACS 等应用系统,要求网络必须能
12、够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着 Internet、医保网和高校等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击
13、,会给社会造成多大的影响。为了保障我国关键基础设施和信息的安全,结合我国的基本国情,制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策,促进信息化、维护国家信息安全的根本保障。而针对医疗卫生行业,卫生部于 2011 年 11 月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知 (卫办综函20111126 号) ,卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185 号) ,85号文规定了主要工作内容:1.定级备案(规定了定级范围及级别)2.建设与整改(规定了二级(含)以上系统需进行差距分析与整改)3.等级测评(规定了三级
14、(含)以上需进行等保测评)4.宣传培训(规定了各类卫生机构需进行信息安全培训,提高安全意识)某医院信息系统等级保护安全建设整改方案 95. 监督检查(规定了信息化工作领导小组对各医疗机构等级保护工作进行督导)全面开展等级保护建设,对医院特别是三级甲等医院的信息化建设提出了更高的要求,其核心业务信息系统的建设应按照不低于等级保护三级的标准进行。XX 医院是北京市卫生局直属三级甲等医院、北京大学教学医院、中法友好合作医院、中国科学院心理研究所临床心理学教学医院、北京市心理危机研究与干预中心、北京市心理援助热线、世界卫生组织心理危机预防研究与培训合作中心、北京市专科医师培训基地、国家药物临床试验机构
15、,作为北京三级甲等医疗机构,其核心 HIS 系统和 EMR 系统的正常运行至关重要,因此在信息安全建设过程中参照国家等级保护相关标准,利于医院自身进行安全体系化建设,并最终利于业务的开展。1.2 方案设计目标本次 XX 医院核心业务系统等级保护安全建设的主要目标是:按照等级保护要求,结合实际业务系统,对 XX 医院核心业务系统进行充分调研及详细分析,将 XX 医院核心业务系统系统建设成为一个及满足业务需要,又符合等级保护三级系统要求的业务平台。建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系,达到国内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。该体系
16、覆盖信息系统安全所要求的各项内容,符合信息系统的业务特性和发展战略,满足 XX 医院信息安全要求。1.3 方案设计原则“全面保障”原则:信息安全风险的控制需要多角度、多层次,从各个环节入手,全面的保障。某医院信息系统等级保护安全建设整改方案 10“整体规划,分步实施”原则:对信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。“内外并重”原则:安全工作
17、需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和访问控制、监控和审计能力。“标准化”原则:管理要规范化、标准化,以保证在能源行业庞大而多层次的组织体系中有效的控制风险。“技术与管理并重”原则:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。1.4 方案设计依据本方案的设计主要依据以下等级保护政策: 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息安全等级保护工作的实施意见 (公通字200466 号) 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制
18、定的信息安全等级保护管理办法 (公通字200743 号) 公安部颁发的关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429 号) 公安部关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 (公信安2010303 号)某医院信息系统等级保护安全建设整改方案 11 本方案的设计主要依据如下等级保护标准: 信息安全技术 信息系统安全等级保护基本要求 (GB/T 22239-2008) 信息安全技术 信息系统等级保护安全设计技术要求(GB/T 25070-2010)本方案还参考了如下一些政策和标准: 信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-20
19、08) 信息安全技术 信息系统安全等级保护实施指南 信息安全技术 信息系统安全等级保护测评要求 信息安全技术 信息系统安全等级保护测评过程指南 计算机信息系统安全保护等级划分准则 (GB 17859-1999 ) 信息安全技术 信息系统通用安全技术要求 (GB/T 20271-2006) 信息安全技术 网络基础安全技术要求 (GB/T 20270-2006) 信息安全技术 操作系统安全技术要求 (GB/T 20272-2006) 信息安全技术 数据库管理系统安全技术要求 (GB/T 20273-2006) 信息安全技术 服务器技术要求 (GB/T 21028-2007) 信息安全技术 终端计算
20、机系统安全等级技术要求 (GA/T 671-2006) 信息安全技术 信息系统安全管理要求 (GB/T 20269-2006) 信息安全技术 信息系统安全工程管理要求 (GB/T 20282-2006)某医院信息系统等级保护安全建设整改方案 12 GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求 IATF信息保障技术框架某医院信息系统等级保护安全建设整改方案 132 现状分析2.1 网络架构描述XX 医院网络架构主要由终端安全域、安全设备运维区、互联网 DMZ 区、业务服务器区等安全域构成系统使用的安全产品清单:序号 设备名称 型号
21、 数量1 防火墙 XX 22 安全网关 XX 13 入侵检测系统 XX 14 漏洞扫描系统 XX 15 补丁分发系统 XX 16 信息安全综合审计监控系统 XX 17宽带信息安全(上网行为)管理系统 XX 18 综合网络安全管理系统 XX 19 互联网带宽管理系统 XX 110 网络防病毒系统 XX 1已经部署的安全产品除网络防病毒系统外,其他产品均购置于四年前,无论从性能、功能上已经不能适应当今的安全要求,本次建设将予以更换。2.2 信息系统定级情况XX 医院核心业务系统是医院信息系统(Hospital Information System 某医院信息系统等级保护安全建设整改方案 14,HI
22、S)和电子病历系统(Electronic Medical Record, EMR)。目前已经完成系统定级,最终确定北京 XX 医院核心业务信息系统安全保护等级为第三级。HIS 系统由北京 XX 数字医疗系统有限公司研制开发,2002 年 11 月开始分期实施到我院。由计算机网络中心负责组织实施、运行管理和维护工作。本系统是基于计算机网络、按照一定的应用目标和规则对医院临床及管理业务信息进行采集、加工、存储、传输、检索和服务的人机系统。整个网络主干千兆,百兆到桌面,为两层星型结构。该系统承载着全院人、财、物的行政管理和有关门、急诊病人及住院病人的医疗事务处理业务,主要包括门诊挂号、电子医嘱和处方
23、、计价收费、药房药库管理、住院病人管理、检验检查信息管理、病案管理、卫生统计、物资和固定资产管理等二十几个紧密耦合的子系统。各子系统必须协同运行,支持医院临床诊疗、科研教学、经营决策等方方面面的日常业务与管理工作,是一体化的信息系统。电子病历系统(Electronic Medical Record, EMR)以服务临床业务工作开展为核心,为全院医务人员、业务管理人员、院级领导提供流程化、信息化、自动化、智能化的临床业务综合管理平台。目前医院所使用的电子病历系统为2011 年引进的,XX 公司开发的 C-S 架构的结构化的电子病历系统(TP-EMR)。该系统基于.NET 多层体系结构开发平台,采
24、用集中式数据库 ORACLE 10G、分布式数据库 ACCESS 和 XML 技术相结合,完成临床数据的录入、传输、交换、存储和处理。目前电子病历系统的组织实施、管理维护、安全防护均由计算机中心管理。某医院信息系统等级保护安全建设整改方案 153 安全需求分析3.1 国家政策需求分析2007 年公安部等四部委联合出台了信息安全等级保护管理办法 ,该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机
25、构选择等,为开展信息安全等级保护工作提供了规范保障。2009 年,在全国信息系统安全等级保护定级工作基础上,公安部又印发了关于开展信息安全等级保护安全建设整改工作的指导意见 ,开始部署开展信息系统等级保护安全建设整改工作。2009 年下半年公安部组织各部委和各行业开展了信息安全等级保护安全建设整改工作的集中培训,明确了我国信息安全等级保护安全建设整改工作的工作目标、工作对象、工作内容和要求,并对具体的工作流程和工作方法提出了指导意见。要求各行业利用三年时间,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求。卫生部于 2011 年 1
26、1 月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知 (卫办综函20111126 号) ,卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185 号)。要求医疗卫生行业全面开展等级保护建设。3.2 安全指标与需求分析XX 医院核心业务系统的安全建设核心需求即满足等级保护的相关要求,因此将以满足等级保护指标为目标。根据定级结果,整体按三级来管理和建设。那么,可以确定需要满足的等级保护指标如下:某医院信息系统等级保护安全建设整改方案 16单位级安全指标(三级)安全管理机构 人员安全管理 安全管理制度 数据安全及备份恢复 网络安全 物理安全 系统运维管理
27、系统建设管理控制点 数量 控制点 数量 控制点 数量 控制点 数量 控制点 数量 控制点 数量 控制点 数量 控制点 数量岗位设置 4 安全意识教育和培训 4 管理制度 4 备份和恢复 4 安全审计 4 电磁防护 3 安全事件处置 6 安全方案设计 5沟通和合作 5 人员考核 3 评审和修订 2 数据保密性 2 边界完整性检查 2 电力供应 4 备份与恢复管理 5 安全服务商选择 3人员配备 3 人员离岗 3 制定和发布 5 数据完整性 2 恶意代码防范 2 防盗窃和防破坏 6 变更管理 4 测试验收 5审核和检查 4 人员录用 4 访问控制 8 防火 3 恶意代码防范管理 4 产品采购和使用
28、 4授权和审批 4 外部人员访问管理 2 结构安全 7 防静电 2 环境管理 4 等级测评 4入侵防范 2 防雷击 3 监控和安全管理中心 3 工程实施 3防水和防潮 4 介质管理 6 外包软件开发 4温湿度控制 1 密码管理 1 系统备案 3物理访问控制 4 设备管理 5 系统定级 4物理位置的选择 2 网络安全管理 8 系统交付 5系统安全管理 7 自行软件开发(5) 0应急预案管理 5 资产管理 4 20 16 11 8 25 32 62 40总计 214某医院信息系统等级保护安全建设整改方案 174 信息安全体系框架设计XX 医院核心业务系统安全体系框架分为技术体系与管理管理体系两部分
29、。其中: 技术体系参考设计技术要求 ,分为计算环境安全、边界安全、通信网络安全和安全管理中心四部分。同时满足基本要求中物理安全、网络安全、主机安全、应用安全和数据安全等方面技术指标。 安全管理体系分为安全组织、安全策略、安全建设和安全运维四部分。某医院信息系统等级保护安全建设整改方案 185 管理体系整改方案5.1 安全制度制定解决方案安全制度是指导 XX 医院核心业务系统维护管理工作的基本依据,安全管理和维护管理人员必须认真制定的制度,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。安全制定的适用范围是 XX 医院核心业务系统拥有的、控制和管理的所
30、有信息系统、数据和网络环境,适用于属于 XX 医院核心业务系统范围内的所有部门。对人员的适用范围包括所有与 XX 医院核心业务系统的各方面相关联的人员,它适用于全部应用 XX 医院核心业务系统的相关工作人员,全部 XX 医院核心业务系统范围内容的维护人员,集成商,软件开发商,产品提供商,顾问,临时工,商务伙伴和使用 XX 医院核心业务系统的其他第三方。安全策略体系建立的价值在于: 推进信息安全管理体系的建立 安全策略和制度体系的建设 安全组织体系的建设 安全运作体系的建设 规范信息安全规划、采购、建设、维护和管理工作,推进信息安全的规范化和制度化建设5.1.1 策略结构描述信息安全策略为信息安
31、全提供管理指导和支持。XX 医院核心业务系统应该制定一套清晰的指导方针,并通过在组织内对信息安全策略的发布和保持来证明对信息安全的支持与承诺。策略系列文档结构图:某医院信息系统等级保护安全建设整改方案 19 最高方针最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。与其它部分的关系:所有其它部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。 组织机构和人员职责安全管理组织机构和人员的安全职责,包括的安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工具体
32、工作时的具体职责依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。与其它部分的关系:从最高方针中延伸出来,其具体执行和实施由管理规定、技术标准规范、操作流程和用户手册来落实。 技术标准和规范技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。某医院信息系统等级保护安全建设整改方案 20与其它部分的关系:向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。 管理制度和规定各类管理规
33、定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。此部分文档较多。与其它部分的关系:向上遵照最高方针。向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。 安全操作流程操作流程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。与其它部分的关系:向上遵照技术标准和规范、最高方针。 用户协议用户签署的文档和协议。包括安全管理人员、网络和系统管理员的
34、安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中的遵守安全规定的承诺,也作为安全违背时处罚的依据。与其它部分的关系:向上遵照管理制定和规定、最高方针。 需要制定的策略文档本项目中需要制定的策略文档至少覆盖以下方面: 安全方针 安全组织 资产分类及控制 人员安全 物理和环境安全某医院信息系统等级保护安全建设整改方案 21 通信和运作管理 系统访问控制 系统开发与维护 安全事件处理 业务连续性规划 符合性5.1.2 安全制度制定安全制度的首要问题是需要对安全制度的制定,对于 XX 医院核心业务系统公司在安全制度的制定的过程中,考虑如下内容: 界定安全策略制度的制定权限 公司网络与
35、信息安全管理小组负责制定公司层的安全策略,主要包括:公司信息安全体系、公司安全策略框架、公司信息安全方针、公司信息安全体系等级化标准、公司全局性安全技术标准和技术规范、公司全局性安全管理制度和规定、公司安全组织机构和人员职责、公司层全局性用户协议。 各部门信息安全组织遵照公司下发的安全策略,结合本部门系统实际情况,制定和细化成适用于本部门的具体管理办法、实施细则和操作规程等,不得与公司的规章制度相抵触,并须报公司信息安全管理部门备案。 安全策略的制定要求 公司安全策略中不得出现公司的涉密信息。 对公司安全策略进行汇编时,须保留各安全策略的版本控制信息和密级标识。5.1.3 满足指标解决方案名称
36、 控制类 控制点 指标名称 措施名称 改进动作安全制度制定解决方案安全管理制度 管理制度 a应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;制定安全方针 安全制度开发安全制度制定解决方案安全管理制度 管理制度 b应对安全管理活动中的各类管理内容建立安全管理制度;建立各类安全管理制度安全制度开发安全制度制定解决方案安全管理制度 管理制度 c应对要求管理人员或操作人员执行的日常管理操作建立操作规程;建立各类操作规程 安全制度开发安全制度制定解决方案安全管理制度 管理制度 d应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。编制制度体
37、系说明文档安全制度开发某医院信息系统等级保护安全建设整改方案 225.2 安全制度管理解决方案安全制度制定后,对安全制度的管理工作十分重要,在对安全制度管理过程中,需要注意如下内容:5.2.1 安全制度发布 安全策略须以正式文件的形式发布施行。 公司层安全策略由公司网络与信息安全工作组制订,公司网络与信息安全领导小组审批、发布。 部门层安全策略由各生产中心安全管理组织制订,公司网络与信息安全工作组审批、发布,同时要留存公司信息安全管理部门备案。 系统层安全策略由各系统管理员制订、本中心安全管理员协助,本部门安全管理组织审批、发布,同时要留存公司信息安全管理部门备案。 安全策略发布后,如有必要,
38、安全策略制定部门应召集相关人员学习安全策略,详细讲解规章制度的内容并解答疑问。 安全策略修订后需要以正式文件的形式重新发布施行,修订后的策略也需相应层次的管理部门审批。 签署发布的规章制度必须标明该规章制度的施行日期。5.2.2 安全制度修改与废止 须定期对安全策略进行评审,对其中不适用的或欠缺的条款,及时进行修改和补充。对已不适用的信息安全制度或规定应及时废止。 当现行安全策略有下列情形之一时,须及时修改:(一) 当发生重大安全事件,暴露出安全策略存在漏洞和缺陷时;(二) 组织机构或生产系统进行重大调整和变更后;(三) 同一个事项在两个规章制度中规定不一致;(四) 与上级部门的安全策略相抵触
39、;其它需要修改安全策略的情形。 当现行安全策略有下列情形之一时,必须及时予以废止:(一) 因有关信息安全制度或规定废止,使该信息安全制度或规定失去依据,或与公司现行上层策略相抵触;(二) 因已规定的事项已经执行 完毕,没有存在必要;某医院信息系统等级保护安全建设整改方案 23(三) 已被新的规章制度所替代。 公司层安全策略的修改与废止须经公司信息安全领导组织审批确认,公司信息安全管理部门备案。 部门层安全策略的修改与废止须经各部门信息安全维护组织及公司信息安全管理部门审批确认。同时公司信息安全管理部门备案。5.2.3 安全制度监督和检查 安全策略发布实施后,各部门应就安全策略制度或规定的贯彻执
40、行,执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督,并将意见和建议及时反馈给制度的制定部门。 为保障各项信息安全管理制度的贯彻落实,公司信息安全管理部门必须定期检查安全策略的落实情况,信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。 信息安全检查工作结束后,在起草检查报告时,必须通报安全策略的落实情况,对执行不力的行为必须提出整改意见,限期纠改,并继续追踪其落实情况。 安全策略的贯彻落实情况,必须作为重要的考核项目,纳入部门的综合考评体系。为安全策略落实做出显著成绩的部门或个人,应给予表彰和奖励;对违反规章制度造成严重后果的部门或个人,应追究当事人、相关单位
41、及主管领导的责任。具体参照公司考核制度办理。5.2.4 安全制度管理流程 制度管理流程信息表下表给出了制度管理流程表,供本次项目参考:流程名称 策略管理流程 流程编码 OPT-6 流程负责人 公司信息安全办公室流程起点:制定安全策略流程目的:规范公司以及各部门信息安全策略的制定、发布、修改、废止、检查和监督落实,建立科学、严谨的信息安全策略管理体系。流程终点:审议安全策略执行步骤编号操作步骤操作描述 操作岗位某医院信息系统等级保护安全建设整改方案 241 策略制定 公司级信息安全策略由公司信息安全办公室负责制定 部门级信息安全策略由部门信息安全组织负责制定部门信息安全组织/公司信息安全办公室2
42、 审核与发布 公司级策略 公司信息安全工作组审核 公司信息安全领导小组审批 公司信息安全办公室发布 部门级策略 公司信息安全办公室审核 公司信息安全工作组审批 部门信息安全组织发布部门信息安全组织/公司信息安全办公室/公司信息安全工作组/工作信息安全领导小组3 修改与废止 制定部门负责修改和废止 公司信息安全办公室审核、备案 公司信息安全工作组、领导小组审批部门信息安全组织/公司信息安全办公室/公司信息安全工作组/工作信息安全领导小组4 监督和检查 公司信息安全办公室监督、检查 公司信息安全办公室步骤编号 输入部门 输入内容 输入标准 载体名称1 部门信息安全组织策略(制度、标准、规范、运行维
43、护计划)完整 策略文档流程输入1 公司信息安全办公室策略(制度、标准、规范、运行维护计划)完整 策略文档步骤编号 接收部门 输出内容 输出标准 载体名称流程输出 2、3、4 信息安全办公室策略审批、备案信息及时、准确 “信息安全平台 ”IT信息平台 “公司信息安全平台”使能器策略 策略文档 公司级制度管理流程图下图给出公司级制度的管理流程供本次项目参考:某医院信息系统等级保护安全建设整改方案 25修改 与废止审核 与发布 监督 和检查制定公司信息安全领导小组公司信息安全工作组公司信息安全办公室是是是是提出修 改 / 废止安全策略的申请和内 容审核同意审批同意 同意发布同意定期检查安全策略执行情
44、况审 批审议安全策略执行结束制定公 司信息安全策略审核修改/ 废 止 信 息安全策略否否否否公司级制度管理流程图某医院信息系统等级保护安全建设整改方案 26 部门级制度管理流程图下图给出部门级制度管理流程图供本次项目参考:监督 和检查修改 与废止制定 审核 与发布公司信息安全工作组公司信息安全办公室各部门信息安全组织制定部 门信息安全策略审核同意审 批同意发布是是提出修 改 / 废止安全策略的申请和内 容审核同意审批同意修改/ 废 止 信 息安全策略是是定期检查安全策略执行情况审议安全策略执行结束否否否否部门级制度管理流程图5.2.5 满足指标解决方案名称 控制类 控制点 指标名称 措施名称
45、改进动作安全制度管理解决方案安全管理制度制定和发布 a应指定或授权专门的部门或人员负责安全管理制度的制定;专人制定的规定制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布 b安全管理制度应具有统一的格式,并进行版本控制;版本控制规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布 c应组织相关人员对制定的安全管理制度进行论证和审定;制度审定规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布 d安全管理制度应通过正式、有效的方式发布;制度发布规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布 e安全管理制度应注明发布范围,并对收
46、发文进行登记。制度制度管理规范,收发记录制度管理规定与记录安全制度管理解决方案安全管理制度评审和修订 a信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;定期审定的规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度评审和修订 b应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。定期修订的规定与记录制度管理规定与记录某医院信息系统等级保护安全建设整改方案 275.3 安全教育与培训解决方案组织内的人员安全意识决定了信息安全的管理水平,有必要定期的对所有人员进行全面的安全培训,提供信息系统使用人员和管理人员的
47、安全技能与安全意识,在安全教育和培训过程中着重考虑如下几个方面:5.3.1 信息安全培训的对象信息安全培训工作需要分层次、分阶段、循序渐进地进行,而且必须是能够覆盖全员的培训;分层次培训是指对不同层次的人员,如对管理层(包括决策层) 、信息安全管理人员,系统管理员和员工开展有针对性和不同侧重点的培训;分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段,培训工作要有计划地分步实施;信息安全培训要采用内部和外部结合的方式进行,安全培训对象主要保护如下几个类型的员工: 管理层(决策层) 管理层培训目标是明确建立公司信息安全体系的迫切性和重要性,获得公司管理层(决策层)有形的支持和承诺。 管理层
48、培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。 信息安全管理人员 信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。 信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术 和 公司内部学习研讨的方式。 公司系统管理员 公司系统管理员培训目标是掌握各系统相关专业安全技术,协助公司和各部门信息安全管理人员维护和保障系统正常、安全运行。 公司系统管理员培训方式可以采用外部和内部相结合的培训以及自学的方式。某医院信息系统等级保护
49、安全建设整改方案 28 员工 员工培训目标是了解公司相关信息安全制度和技术规范,并安全、高效地使用公司信息系统。 员工培训方式应主要采取内部培训的方式。5.3.2 信息安全培训的内容信息安全培训的内容主要包含如下几个方面: 安全体系及安全职责分工培训 公司各级领导及员工明确了解公司信息安全体系,并明确各自在的安全职责,明确自身对维护保障公司系统正常、安全运行所需承担的相关责任和义务。 培训应采用长期,并覆盖公司全员。 新员工入职安全培训新员工在正式上岗前,应进行信息安全方面的培训,明确岗位所要求遵守的公司信息安全制度和技术规范。 员工安全技术教育针对公司系统的维护人员和管理员应定期开展安全技术教育培训(每年至少一次) ,明确如何安全使用有关系统,包括各业务系统、主机操作系统、电
