醫(yī)院信息化安全建設項目管理體系建設方案

醫(yī)院信息化安全建設項目管理體系建設方案安全制度建設《信息系統(tǒng)安全等級保護基本要求》在管理制度、制定和發(fā)布、評審和修訂等三個方面對安全管理制度提出了要求。根據(jù)管理信息大區(qū)系統(tǒng)的實際情況，在信息安全領導小組的負責下，組織相關人員制定和發(fā)布信息安全工作的總體方針、政策，說明信息安全工作的總體目標、范圍、方針、原則和責任，并定期進行評審和修訂。對于管理制度的制定，也可以依托外部專業(yè)安全廠商的力量進行。管理制度方面的具體工作包括：制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；建立管理人員或操作人員執(zhí)行的日常管理操作規(guī)程；形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。安全管理制度應通過正式、有效的方式發(fā)布；每年由信息安全領導小組負責組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；進行定期或不定期對安全管理制度檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。安全制度管理框架如下：總體方針、策略總體方針、策略是綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標以及指導原則，信息安全各個方面所應遵守的原則方法和指導性策略。與其它部分的關系：所有其它部分都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背和抵觸。信息安全策略文件應得到信息系統(tǒng)項目管理者的批準，并以適當?shù)姆绞桨l(fā)布、傳達到所有員工。該文件應該闡明管理者對實行信息安全的承諾，并陳述組織管理信息安全的方法，它至少應該包括以下幾個部分：信息安全的定義，其總體目標和范圍，以及其作為信息共享的安全機制的重要性；申明支持信息安全目標和原則的管理意向；對組織有重大意義的安全策略、原則、標準和符合性要求的簡要說明；對信息安全管理的總體和具體責任的定義，包括匯報安全事故；提及支持安全策略的文件，如：特定信息系統(tǒng)的更加詳細的安全策略和程序，或用戶應該遵守的安全規(guī)定。技術標準和規(guī)范技術標準和規(guī)范，包括各個網(wǎng)絡設備、安全設備、主機操作系統(tǒng)和主要應用程序的應遵守的安全配置和管理的技術標準和規(guī)范。技術標準和規(guī)范將作為各個網(wǎng)絡設備、安全設備、主機操作系統(tǒng)和應用程序的安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準，不允許發(fā)生違背和沖突。與其它部分的關系：向上遵照最高方針。管理制度和規(guī)定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。此部分文檔較多。與其它部分的關系：向上遵照最高方針。組織機構和人員職責安全管理組織機構和人員的安全職責，包括的安全管理機構組織形式和運作方式，機構和人員的一般責任和具體責任。作為機構和員工具體工作時的具體職責依照，此部分必須具有可操作性，而且必須得到有效推行和實施。與其它部分的關系：從最高方針中延伸出來，其具體執(zhí)行和實施由管理規(guī)定、技術標準規(guī)范等來落實。制定和發(fā)布（1）安全管理制度制定安全管理制度的制定在信息系統(tǒng)安全保密工作部門的總體負責下統(tǒng)一制定，并由安全保密工作部門指定參與安全管理制度制定的具體人員。安全管理制度按照統(tǒng)一的格式標準要求制定，在制定過程中，編寫管理文檔說明安全管理制度的制定程序、格式要求及版本編號等內(nèi)容。組織相關人員對安全管理制度進行論證和評審，論證和評審方式包括召開評審會、函審、內(nèi)部審核等，并詳細記錄相關人員的評審意見。（2）安全管理制度發(fā)布安全管理制度經(jīng)過管理層的簽發(fā)后按照一定的流程以文件的方式發(fā)布，安全管理制度發(fā)布時注明適用和發(fā)布范圍以及版本表示，并詳細記錄安全管理制度的收發(fā)登記記錄。評審和修訂定期對安全管理制度進行評審，并由安全保密工作辦公室指定參與安全管理制度評審的具體人員。詳細制定安全管理制度評審的流程，記錄評審意見和結(jié)果。對存在不足或需要改進的安全管理制度進行合理適度的修訂，參與安全管理制度修訂的部門和人員由安全保密工作辦公室指定。詳細制定安全管理制度修訂的流程，記錄修訂意見和結(jié)果。當發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結(jié)構發(fā)生變更時，組織對安全管理制度進行檢查、審定和修訂。詳細合理分配每個制度文檔的相應負責人或負責部分，負責對明確需要修訂的制度文檔進行維護。具體來說，信息系統(tǒng)項目建設中應至少考慮如下的管理制度建設：制定信息系統(tǒng)系統(tǒng)的信息安全工作總體方針、政策性文件和安全策略等；建立信息系統(tǒng)總體安全制度，并詳細制定和各之間的信息訪問和數(shù)據(jù)交換安全策略，并研究制定一套有效的安全應急計劃；對安全管理活動中的各類管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；對要求管理人員或操作人員執(zhí)行的日常管理操作，建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤；由安全管理職能部門定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。在安全保密工作辦公室的負責下，組織相關人員制定；保證安全管理制度具有統(tǒng)一的格式風格，并進行版本控制；安全管理制度應經(jīng)過管理層簽發(fā)后按照一定的程序以文件形式發(fā)布；安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記；安全管理制度應注明密級，進行密級管理；定期對安全管理制度進行評審和修訂，對存在不足或需要改進的安全管理制度進行修訂；當發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結(jié)構發(fā)生變更時，應對安全管理制度進行檢查、審定和修訂；每個制度文檔應有相應負責人或負責部門，負責對明確需要修訂的制度文檔的維護；評審和修訂的操作范圍應考慮安全管理制度的相應密級。安全管理機構 《信息系統(tǒng)安全等級保護基本要求》在崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查等方面對安全管理機構提出了具體的要求。應該建立專門的安全職能部門，配備專門的安全管理人員，負責信息安全管理工作，同時對安全管理人員的活動進行指導。安全管理員還應負責定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；并組織力量定期進行全省的安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報；崗位設置1、設立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權的人員擔任；2、設立專職的安全管理機構（即信息安全管理工作的職能部門），明確各部門職責分工；3、設立安全管理各個方面的負責人，設置工作崗位（如安全主管、安全管理各個方面的負責人、機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位），明確各個崗位的職責分工。人員配備1、對關鍵區(qū)域或部位的安全管理人員配備有一定條件要求（如中心機房的安全管理人員、關鍵服務器的安全管理人員等），對關鍵事務配備2人或2人以上共同管理，相互監(jiān)督和制約；2、配備專職的安全管理員；授權和審批1）對信息系統(tǒng)中的重要活動進行審批，審批部門是何部門，批準人是何人，審批活動是否得到授權；詢問是否定期審查、更新審批流程，審查周期多長；2）對重要活動的審批范圍包括哪些（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入，重要管理制度的制定和發(fā)布，人員的配備、培訓，產(chǎn)品的采購，外部人員的訪問、管理，與合作單位的合作項目等)；溝通和合作建立與外單位（公安機關、電信公司、兄弟單位、供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等），與組織機構內(nèi)其它部門之間及內(nèi)部各部門管理人員之間的溝通、合作機制；召開部門間協(xié)調(diào)會議，組織其它部門人員共同協(xié)助處理信息系統(tǒng)安全有關問題，安全管理機構內(nèi)部召開過安全工作會議部署安全工作的實施，參加會議的部門和人員，會議結(jié)果；信息安全領導小組或者安全管理委員會定期召開例會；聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規(guī)劃和安全評審等；審核和檢查定期對信息系統(tǒng)進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；定期進行全面安全檢查人員安全管理人員安全管理要求在人員的錄用、離崗、考核、培訓以及第三方人員管理上，都要考慮安全因素。應： 指定或授權專門的部門或人員負責人員錄用； 嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術技能進行考核； 與所有員工和第三方廠商、服務商簽署保密協(xié)議； 嚴格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權限； 定期對各個崗位的人員進行安全技能及安全認知的考核； 對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓； 對安全責任和懲戒措施進行書面規(guī)定并告知相關人員，對違反違背安全策略和規(guī)定的人員進行懲戒； 對外部人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等內(nèi)容應進行書面的規(guī)定，并按照規(guī)定執(zhí)行；系統(tǒng)建設管理《信息系統(tǒng)安全等級保護基本要求》在系統(tǒng)建設管理階段針對系統(tǒng)定級、安全方案設計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、安全測評、安全服務商選擇等等方面提出了具體的要求。目前，系統(tǒng)定級、系統(tǒng)備案的工作已經(jīng)完成，新搭建的系統(tǒng)需要重新定級與備案。工程實施、測試驗收、系統(tǒng)交付等方面需要在產(chǎn)品購買后進行。而其他的一些方面，如自行軟件開發(fā)、外包軟件開發(fā)等，應根據(jù)具體情況制定相關管理規(guī)范和流程。在安全服務商選擇方面，我們建議的相關領導，選擇有實力，有信譽的專業(yè)安全服務廠商。系統(tǒng)運維管理《信息系統(tǒng)安全等級保護基本要求》在環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等方面提出了要求。應在現(xiàn)有的系統(tǒng)運維管理制度的基礎上，對照《信息系統(tǒng)安全等級保護基本要求》進行查漏補缺，以達到標準合規(guī)。環(huán)境管理建立網(wǎng)絡安全運維小組，組織實施對機房供配電、空調(diào)、溫濕度控制等設施，機房的出入，服務器的開關機等的日常維護管理；建立機房安全管理制度，明確相關安全管理規(guī)定；加強日常辦公環(huán)境的保密規(guī)定的宣貫、知會和管理。資產(chǎn)管理建立完善信息系統(tǒng)資產(chǎn)臺賬，包括資產(chǎn)責任部門、責任人、重要程度和位置等內(nèi)容；建立信息系統(tǒng)資產(chǎn)安全管理制度，明確相關管理規(guī)定；對重要資產(chǎn)進行分類標識，并采取相應的管理措施；建立信息分類與標識方法相關規(guī)定。介質(zhì)管理建立介質(zhì)管理制度，明確相關管理規(guī)定；對介質(zhì)的存放環(huán)境進行安全檢查，確保存儲環(huán)境由專人負責管理；對存儲介質(zhì)外出、傳輸、歸檔和查詢等嚴格履行手續(xù)，并作詳細記錄；對存儲介質(zhì)的使用過程、維修和銷毀加強管理，帶出的介質(zhì)采用技術手段進行內(nèi)容加密，對送出維修或銷毀的介質(zhì)中的敏感數(shù)據(jù)，采用有效技術手段進行徹底清除；介質(zhì)銷毀必須履行相關手續(xù)，不得擅自自行銷毀；某些用于數(shù)據(jù)備份的存儲介質(zhì)應按照有關要求進行異地存儲，異地存儲的環(huán)境和安全應和本地相同；重要存儲介質(zhì)中的數(shù)據(jù)和軟件通過技術手段采取加密存儲，并對介質(zhì)按存儲數(shù)據(jù)的重要程度進行分類標識管理。設備管理建立信息系統(tǒng)日常維護管理制度，明確管理部門和人員對信息系統(tǒng)相關的各種設備、線路進行維護管理，明確維護人員的職責；建立設備安全管理制度，明確軟硬件設備的選型、采購、發(fā)放和領用等過程的管理規(guī)范，明確設備的涉外維修和服務的審批，維修過程的監(jiān)督；建立軟硬件及配套設施日常維護管理制度，明確維護人員職責、涉外維修和服務審批、維修過程的監(jiān)督控制等；建立設備操作規(guī)程，規(guī)范操作行為；信息處理設備帶離原放置場所，必須履行審批手續(xù)。監(jiān)控管理和安全管理中心建立系統(tǒng)日常運行管理記錄并妥善保存；明確管理人員對監(jiān)測和報警記錄進行分析、評審，形成分析報告，對可疑行為采取合適的應對措施；通過集中安全管理平臺，實現(xiàn)對設備狀態(tài)、病毒防護、補丁升級、安全審計的統(tǒng)一管理。網(wǎng)絡安全管理建立網(wǎng)絡安全管理制度，明確管理人員的崗位職責，對安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出具體規(guī)定；網(wǎng)絡設備的軟件升級由管理人員及時更新，在更新前需對重要文件保存?zhèn)浞荩话凑沼嘘P制度定期由管理人員進行系統(tǒng)漏洞掃描，并采取措施及時修補；對設備的配置實現(xiàn)最小服務配置，配置文件定期進行離線備份；與外部系統(tǒng)的所有連接需得到授權和批準，采取技術手段控制和禁止非授權設備的接入，監(jiān)控違規(guī)外聯(lián)的相關行為。系統(tǒng)安全管理根據(jù)實際需求和安全分析，制定系統(tǒng)訪問控制策略；系統(tǒng)補丁在安裝前，需在測試環(huán)境進行測試通過，并對重要文件進行預先備份；建立系統(tǒng)安全管理制度，明確系統(tǒng)安全策略、安全配置、日志管理和日常操作流程的相關具體規(guī)定，明確管理人員的角色劃分、權限、責任和風險；建立系統(tǒng)操作手冊，依據(jù)操作手冊進行系統(tǒng)維護，對系統(tǒng)的維護詳細記錄操作日志，禁止未經(jīng)授權的操作行為；定期對系統(tǒng)運行日志和審計數(shù)據(jù)進行分析，發(fā)現(xiàn)異常及時上報并處理。惡意代碼防范管理加強對用戶的防病毒知識培訓；建立防病毒系統(tǒng)管理制度，明確管理員職責、防病毒系統(tǒng)日常管理、病毒庫升級、升級情況記錄、病毒分析處理、定期總結(jié)匯報等內(nèi)容；管理員定期檢查病毒庫升級情況并記錄，對防病毒系統(tǒng)、防病毒網(wǎng)關上截獲的病毒或惡意代碼進行及時分析處理，形成書面分析處理報告和總結(jié)匯報。密碼管理建立密碼使用管