資陽某某人民醫(yī)院等保三級測評方案v1.0

./..資陽市第一人民醫(yī)院信息系統(tǒng)等級保護安全建設(shè)測評方案XX清華高科信息技術(shù)TIME\"yyyy年M月"2019年8月.目錄1方案概述61.1背景61.2方案設(shè)計目標(biāo)81.3方案設(shè)計原則81.4方案設(shè)計依據(jù)92信息系統(tǒng)定級情況113安全需求分析123.1安全指標(biāo)與需求分析124信息安全體系框架設(shè)計145管理體系整改方案155.1安全制度制定解決方案15策略結(jié)構(gòu)描述15安全制度制定18滿足指標(biāo)185.2安全制度管理解決方案19安全制度發(fā)布19安全制度修改與廢止19安全制度監(jiān)督和檢查20安全制度管理流程20滿足指標(biāo)235.3安全教育與培訓(xùn)解決方案24信息安全培訓(xùn)的對象24信息安全培訓(xùn)的內(nèi)容25信息安全培訓(xùn)的管理26滿足指標(biāo)265.4人員安全管理解決方案27普通員工安全管理27安全崗位人員管理28滿足指標(biāo)325.5第三方人員安全管理解決方案33第三方人員短期訪問安全管理33第三方人員長期訪問安全管理34第三方人員訪問申請審批流程信息表36第三方人員訪問申請審批流程圖37滿足指標(biāo)375.6系統(tǒng)建設(shè)安全管理解決方案38系統(tǒng)安全建設(shè)審批流程38項目立項安全管理39信息安全項目建設(shè)管理40滿足指標(biāo)445.7等級保護實施管理解決方案46信息系統(tǒng)描述48等級指標(biāo)選擇53安全評估與自測評56方案與規(guī)劃60建設(shè)整改62運維66滿足指標(biāo)695.8軟件開發(fā)安全管理解決方案70軟件安全需求管理70軟件設(shè)計安全管理71軟件開發(fā)過程安全管理74軟件維護安全管理76軟件管理的安全管理77軟件系統(tǒng)安全審計管理78滿足指標(biāo)785.9安全事件處置與應(yīng)急解決方案79安全事件預(yù)警與分級79安全事件處理83安全事件通報87應(yīng)急響應(yīng)流程88應(yīng)急預(yù)案的制定88滿足指標(biāo)975.10日常安全運維管理解決方案98運維管理98介質(zhì)管理100惡意代碼管理101變更管理管理102備份與恢復(fù)管理103設(shè)備管理管理105網(wǎng)絡(luò)安全管理108系統(tǒng)安全管理111滿足指標(biāo)1135.11安全組織機構(gòu)設(shè)置解決方案118安全組織總體架構(gòu)118滿足指標(biāo)1225.12安全溝通與合作解決方案123溝通與合作的分類123風(fēng)險管理不同階段中的溝通與合作125滿足指標(biāo)1255.13定期風(fēng)險評估解決方案126評估方式126評估內(nèi)容127評估流程128滿足指標(biāo)1296技術(shù)體系整改方案1306.1總體部署說明130內(nèi)網(wǎng)網(wǎng)絡(luò)部署方案130外網(wǎng)網(wǎng)絡(luò)部署方案131DMZ數(shù)據(jù)交換區(qū)域部署方案1326.2邊界訪問控制解決方案133需求分析133方案設(shè)計134方案效果135滿足指標(biāo)1376.3邊界入侵防御解決方案138需求分析138方案設(shè)計139方案效果141滿足指標(biāo)1426.4網(wǎng)關(guān)防病毒解決方案143需求分析143方案設(shè)計143方案效果145滿足指標(biāo)1456.5網(wǎng)絡(luò)安全審計解決方案146需求分析146方案設(shè)計147方案效果152滿足指標(biāo)1556.6漏洞掃描解決方案157需求分析157方案設(shè)計159方案效果162滿足指標(biāo)1646.7應(yīng)用監(jiān)控解決方案166需求分析166方案設(shè)計166方案效果168滿足指標(biāo)1696.8安全管理中心解決方案171需求分析171方案設(shè)計172方案效果184滿足指標(biāo)1867技術(shù)體系符合性分析1887.1物理安全1887.2網(wǎng)絡(luò)安全1917.3主機安全1957.4應(yīng)用安全1997.5數(shù)據(jù)安全與備份恢復(fù)2038方案整體部圖2048.1設(shè)備清單204.方案概述背景醫(yī)院是一個信息和技術(shù)密集型的行業(yè),其計算機網(wǎng)絡(luò)是一個完善的辦公網(wǎng)絡(luò)系統(tǒng),作為一個現(xiàn)代化的醫(yī)療機構(gòu)網(wǎng)絡(luò),除了要滿足高效的內(nèi)部自動化辦公需求以外,還應(yīng)對外界的通訊保證暢通。結(jié)合醫(yī)院復(fù)雜的HIS、LIS、PACS等應(yīng)用系統(tǒng),要求網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務(wù)的傳輸要求,所以在這樣的網(wǎng)絡(luò)上應(yīng)運用多種高性能設(shè)備和先進技術(shù)來保證系統(tǒng)的正常運作和穩(wěn)定的效率。同時醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著Internet、醫(yī)保網(wǎng)和高校等,訪問人員比較復(fù)雜,所以如何保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。在日新月異的現(xiàn)代化社會進程中,計算機網(wǎng)絡(luò)幾乎延伸到了世界每一個角落,它不停的改變著我們的工作生活方式和思維方式,但是,計算機信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計算機操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴(yán)密,都會使計算機網(wǎng)絡(luò)受到威脅。我們可以想象一下,對于一個需要高速信息傳達的現(xiàn)代化醫(yī)院,如果遭到致命攻擊,會給社會造成多大的影響。為了保障我國關(guān)鍵基礎(chǔ)設(shè)施和信息的安全,結(jié)合我國的基本國情,制定了等級保護制度。并將等級保護制度作為國家信息安全保障工作的基本制度、基本國策,促進信息化、維護國家信息安全的根本保障。而針對醫(yī)療衛(wèi)生行業(yè),衛(wèi)生部于20XX11月分別發(fā)布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》〔衛(wèi)辦綜函〔2011〕1126號,衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》的通知〔衛(wèi)辦發(fā)〔2011〕85號,85號文規(guī)定了主要工作內(nèi)容：1.定級備案〔規(guī)定了定級范圍及級別2.建設(shè)與整改〔規(guī)定了二級〔含以上系統(tǒng)需進行差距分析與整改3.等級測評〔規(guī)定了三級〔含以上需進行等保測評4.宣傳培訓(xùn)〔規(guī)定了各類衛(wèi)生機構(gòu)需進行信息安全培訓(xùn),提高安全意識5.監(jiān)督檢查〔規(guī)定了信息化工作領(lǐng)導(dǎo)小組對各醫(yī)療機構(gòu)等級保護工作進行督導(dǎo)全面開展等級保護建設(shè),對醫(yī)院特別是三級甲等醫(yī)院的信息化建設(shè)提出了更高的要求,其核心業(yè)務(wù)信息系統(tǒng)的建設(shè)應(yīng)按照不低于等級保護三級的標(biāo)準(zhǔn)進行。資陽市第一人民醫(yī)院位是一所集醫(yī)療、科研、教學(xué)、預(yù)防、保健、康復(fù)于一體的三級乙等綜合性公立醫(yī)院,是川北醫(yī)學(xué)院教學(xué)醫(yī)院,資陽市"住院醫(yī)師規(guī)范化培訓(xùn)基地、全科醫(yī)師培訓(xùn)基地、執(zhí)業(yè)醫(yī)師臨床實踐技能考核"醫(yī)院,資陽市、雁江區(qū)兩級城鎮(zhèn)職工基本醫(yī)療保險、大病統(tǒng)籌、新農(nóng)合醫(yī)療定點醫(yī)院,資陽市工傷保險、生育保險和太平洋、平安、中國人壽、泰康人壽等商業(yè)保險醫(yī)療定點醫(yī)院。是XX大學(xué)華西醫(yī)院遠(yuǎn)程會診、遠(yuǎn)程教學(xué)定點醫(yī)院。醫(yī)院先后被部、省、市、衛(wèi)生行政主管部門表彰為"全國衛(wèi)生工作先進集體"、"全國計劃生育工作先進集體"、"XX省文明醫(yī)院"、"XX省文明單位"、"資陽市最佳文明單位"等光榮稱號。辦院理念：突出中心,病人第一；奉獻社會,服務(wù)第一；奮力攀登,發(fā)展第一。辦院目標(biāo)：一流的管理,一流的技術(shù),一流的質(zhì)量,一流的服務(wù),一流的環(huán)境。辦院方針：科技興院,質(zhì)量立院,管理強院,從嚴(yán)治院。辦院辦法：人盡其才,財盡其效,物盡其用,地盡其利。為了保障資陽市第一人民醫(yī)院的醫(yī)療信息化業(yè)務(wù)的高效運行,以政策性信息安全等級保護建設(shè)為指導(dǎo),根據(jù)《GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》和《GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》,進行三級實施保護的優(yōu)化設(shè)計,讓資陽市第一人民醫(yī)院的網(wǎng)絡(luò)系統(tǒng)達到信息安全的三級等級保護要求。方案設(shè)計目標(biāo)本次資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)等級保護安全建設(shè)的主要目標(biāo)是：按照等級保護要求,結(jié)合實際業(yè)務(wù)系統(tǒng),對醫(yī)院核心業(yè)務(wù)系統(tǒng)進行充分調(diào)研及詳細(xì)分析,將醫(yī)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個及滿足業(yè)務(wù)需要,又符合等級保護三級系統(tǒng)要求的業(yè)務(wù)平臺。建設(shè)一套符合國家政策要求、覆蓋全面、重點突出、持續(xù)運行的信息安全保障體系,達到國內(nèi)一流的信息安全保障水平,支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運行。該體系覆蓋信息系統(tǒng)安全所要求的各項內(nèi)容,符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略,滿足醫(yī)院信息安全要求。方案設(shè)計原則"全面保障"原則：信息安全風(fēng)險的控制需要多角度、多層次,從各個環(huán)節(jié)入手,全面的保障。"整體規(guī)劃,分步實施"原則：對信息安全建設(shè)進行整體規(guī)劃,分步實施,逐步建立完善的信息安全體系。"同步規(guī)劃、同步建設(shè)、同步運行"原則：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行,在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。"適度安全"原則：沒有絕對的安全,安全和易用性是矛盾的,需要做到適度安全,找到安全和易用性的平衡點。"內(nèi)外并重"原則：安全工作需要做到內(nèi)外并重,在防范外部威脅的同時,加強規(guī)范內(nèi)部人員行為和訪問控制、監(jiān)控和審計能力。"標(biāo)準(zhǔn)化"原則：管理要規(guī)范化、標(biāo)準(zhǔn)化,以保證在能源行業(yè)龐大而多層次的組織體系中有效的控制風(fēng)險。"技術(shù)與管理并重"原則：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題,需要在采用安全技術(shù)和產(chǎn)品的同時,重視安全管理,不斷完善各類安全管理規(guī)章制度和操作規(guī)程,全面提高安全管理水平。方案設(shè)計依據(jù)本方案的設(shè)計主要依據(jù)以下等級保護政策：公安部、國家保密局、國際密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級保護工作的實施意見》〔公通字〔2004〕66號公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定的《信息安全等級保護管理辦法》〔公通字〔2007〕43號公安部頒發(fā)的《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》<公信安〔2009〕1429號>公安部《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》〔公信安〔2010〕303號本方案的設(shè)計主要依據(jù)如下等級保護標(biāo)準(zhǔn)：《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》〔GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》<GB/T25070-2010>本方案還參考了如下一些政策和標(biāo)準(zhǔn)：《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》<GB/T22240-2008>《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》〔GB17859-1999《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》〔GB/T20271-2006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》〔GB/T20270-2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》〔GB/T20272-2006《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》〔GB/T20273-2006《信息安全技術(shù)服務(wù)器技術(shù)要求》〔GB/T21028-2007《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》〔GA/T671-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》〔GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》〔GB/T20282-2006GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》IATF《信息保障技術(shù)框架》信息系統(tǒng)定級情況資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)是醫(yī)院信息系統(tǒng)〔HospitalInformationSystem,HIS和影像歸檔和通信系統(tǒng)<PictureArchivingandCommunicationSystems,PACS>、實驗室〔檢驗科信息系統(tǒng)<LaboratoryInformationSystem,LIS>。目前已經(jīng)完成系統(tǒng)定級,最終確定資陽市第一人民醫(yī)院核心業(yè)務(wù)信息系統(tǒng)安全保護等級為第三級。HIS系統(tǒng)是基于計算機網(wǎng)絡(luò)、按照一定的應(yīng)用目標(biāo)和規(guī)則對醫(yī)院臨床及管理業(yè)務(wù)信息進行采集、加工、存儲、傳輸、檢索和服務(wù)的人機系統(tǒng)。整個網(wǎng)絡(luò)主干千兆,百兆到桌面,為兩層星型結(jié)構(gòu)。該系統(tǒng)承載著全院人、財、物的行政管理和有關(guān)門、急診病人及住院病人的醫(yī)療事務(wù)處理業(yè)務(wù),主要包括門診掛號、電子醫(yī)囑和處方、計價收費、藥房藥庫管理、住院病人管理、檢驗檢查信息管理、病案管理、衛(wèi)生統(tǒng)計、物資和固定資產(chǎn)管理等二十幾個緊密耦合的子系統(tǒng)。各子系統(tǒng)必須協(xié)同運行,支持醫(yī)院臨床診療、科研教學(xué)、經(jīng)營決策等方方面面的日常業(yè)務(wù)與管理工作,是一體化的信息系統(tǒng)。...安全需求分析安全指標(biāo)與需求分析資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)的安全建設(shè)核心需求即滿足等級保護的相關(guān)要求,因此將以滿足等級保護指標(biāo)為目標(biāo)。根據(jù)定級結(jié)果,整體按三級來管理和建設(shè)。那么,可以確定需要滿足的等級保護指標(biāo)如下：.單位級安全指標(biāo)〔三級安全管理機構(gòu)人員安全管理安全管理制度數(shù)據(jù)安全

及備份恢復(fù)網(wǎng)絡(luò)安全物理安全系統(tǒng)運維管理系統(tǒng)建設(shè)管理控制點數(shù)量控制點數(shù)量控制點數(shù)量控制點數(shù)量控制點數(shù)量控制點數(shù)量控制點數(shù)量控制點數(shù)量崗位設(shè)置4安全意識教育和培訓(xùn)4管理制度4備份和恢復(fù)4安全審計4電磁防護3安全事件處置6安全方案設(shè)計5溝通和合作5人員考核3評審和修訂2數(shù)據(jù)保密性2邊界完整性檢查2電力供應(yīng)4備份與恢復(fù)管理5安全服務(wù)商選擇3人員配備3人員離崗3制定和發(fā)布5數(shù)據(jù)完整性2惡意代碼防范2防盜竊和防破壞6變更管理4測試驗收5審核和檢查4人員錄用4訪問控制8防火3惡意代碼防范管理4產(chǎn)品采購和使用4授權(quán)和審批4外部人員訪問管理2結(jié)構(gòu)安全7防靜電2環(huán)境管理4等級測評4入侵防范2防雷擊3監(jiān)控和安全管理中心3工程實施3防水和防潮4介質(zhì)管理6外包軟件開發(fā)4溫濕度控制1密碼管理1系統(tǒng)備案3物理訪問控制4設(shè)備管理5系統(tǒng)定級4物理位置的選擇2網(wǎng)絡(luò)安全管理8系統(tǒng)交付5系統(tǒng)安全管理7自行軟件開發(fā)<5>0應(yīng)急預(yù)案管理5資產(chǎn)管理4201611825326240總計214...信息安全體系框架設(shè)計資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)安全體系框架分為技術(shù)體系與管理管理體系兩部分。其中：技術(shù)體系參考《設(shè)計技術(shù)要求》,分為計算環(huán)境安全、邊界安全、通信網(wǎng)絡(luò)安全和安全管理中心四部分。同時滿足《基本要求》中物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等方面技術(shù)指標(biāo)。安全管理體系分為安全組織、安全策略、安全建設(shè)和安全運維四部分。...管理體系整改方案安全制度制定解決方案安全制度是指導(dǎo)資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)維護管理工作的基本依據(jù),安全管理和維護管理人員必須認(rèn)真制定的制度,并根據(jù)工作實際情況,制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實施細(xì)則,做好安全維護管理工作。安全制定的適用范圍是資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)擁有的、控制和管理的所有信息系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境,適用于屬于資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)的所有部門。對人員的適用范圍包括所有與資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)的各方面相關(guān)聯(lián)的人員,它適用于全部應(yīng)用資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)的相關(guān)工作人員,全部醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)容的維護人員,集成商,軟件開發(fā)商,產(chǎn)品提供商,顧問,臨時工,商務(wù)伙伴和使用醫(yī)院核心業(yè)務(wù)系統(tǒng)的其他第三方。安全策略體系建立的價值在于：推進信息安全管理體系的建立安全策略和制度體系的建設(shè)安全組織體系的建設(shè)安全運作體系的建設(shè)規(guī)范信息安全規(guī)劃、采購、建設(shè)、維護和管理工作,推進信息安全的規(guī)范化和制度化建設(shè)策略結(jié)構(gòu)描述信息安全策略為信息安全提供管理指導(dǎo)和支持。資陽市醫(yī)院核心業(yè)務(wù)系統(tǒng)應(yīng)該制定一套清晰的指導(dǎo)方針,并通過在組織內(nèi)對信息安全策略的發(fā)布和保持來證明對信息安全的支持與承諾。策略系列文檔結(jié)構(gòu)圖：最高方針最高方針,綱領(lǐng)性的安全策略主文檔,陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則,信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。與其它部分的關(guān)系：所有其它部分都從最高方針引申出來,并遵照最高方針,不與之發(fā)生違背和抵觸。組織機構(gòu)和人員職責(zé)安全管理組織機構(gòu)和人員的安全職責(zé),包括的安全管理機構(gòu)組織形式和運作方式,機構(gòu)和人員的一般責(zé)任和具體責(zé)任。作為機構(gòu)和員工具體工作時的具體職責(zé)依照,此部分必須具有可操作性,而且必須得到有效推行和實施的。與其它部分的關(guān)系：從最高方針中延伸出來,其具體執(zhí)行和實施由管理規(guī)定、技術(shù)標(biāo)準(zhǔn)規(guī)范、操作流程和用戶手冊來落實。技術(shù)標(biāo)準(zhǔn)和規(guī)范技術(shù)標(biāo)準(zhǔn)和規(guī)范,包括各個網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和應(yīng)用程序的安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標(biāo)準(zhǔn),不允許發(fā)生違背和沖突。與其它部分的關(guān)系：向上遵照最高方針,向下延伸到安全操作流程,作為安全操作流程的依據(jù)。管理制度和規(guī)定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法,是必須具有可操作性,而且必須得到有效推行和實施的。此部分文檔較多。與其它部分的關(guān)系：向上遵照最高方針。向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定和管理辦法,不與之發(fā)生違背。安全操作流程操作流程,詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程和步驟,和相關(guān)注意事項。作為具體工作時的具體依照,此部分必須具有可操作性,而且必須得到有效推行和實施的。與其它部分的關(guān)系：向上遵照技術(shù)標(biāo)準(zhǔn)和規(guī)范、最高方針。用戶協(xié)議用戶簽署的文檔和協(xié)議。包括安全管理人員、網(wǎng)絡(luò)和系統(tǒng)管理員的安全責(zé)任書、保密協(xié)議、安全使用承諾等等。作為員工或用戶對日常工作中的遵守安全規(guī)定的承諾,也作為安全違背時處罰的依據(jù)。與其它部分的關(guān)系：向上遵照管理制定和規(guī)定、最高方針。需要制定的策略文檔本項目中需要制定的策略文檔至少覆蓋以下方面：安全方針安全組織資產(chǎn)分類及控制人員安全物理和環(huán)境安全通信和運作管理系統(tǒng)訪問控制系統(tǒng)開發(fā)與維護安全事件處理業(yè)務(wù)連續(xù)性規(guī)劃符合性安全制度制定安全制度的首要問題是需要對安全制度的制定,對于資陽市第一人民醫(yī)院核心業(yè)務(wù)系統(tǒng)公司在安全制度的制定的過程中,考慮如下內(nèi)容：界定安全策略制度的制定權(quán)限公司網(wǎng)絡(luò)與信息安全管理小組負(fù)責(zé)制定公司層的安全策略,主要包括：公司信息安全體系、公司安全策略框架、公司信息安全方針、公司信息安全體系等級化標(biāo)準(zhǔn)、公司全局性安全技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范、公司全局性安全管理制度和規(guī)定、公司安全組織機構(gòu)和人員職責(zé)、公司層全局性用戶協(xié)議。各部門信息安全組織遵照公司下發(fā)的安全策略,結(jié)合本部門系統(tǒng)實際情況,制定和細(xì)化成適用于本部門的具體管理辦法、實施細(xì)則和操作規(guī)程等,不得與公司的規(guī)章制度相抵觸,并須報公司信息安全管理部門備案。安全策略的制定要求公司安全策略中不得出現(xiàn)公司的涉密信息。對公司安全策略進行匯編時,須保留各安全策略的版本控制信息和密級標(biāo)識。滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作安全制度制定解決方案安全管理制度管理制度a應(yīng)制定信息安全工作的總體方針和安全策略,說明機構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；制定安全方針安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度b應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度；建立各類安全管理制度安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度c應(yīng)對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；建立各類操作規(guī)程安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度d應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。編制制度體系說明文檔安全制度開發(fā)安全制度管理解決方案安全制度制定后,對安全制度的管理工作十分重要,在對安全制度管理過程中,需要注意如下內(nèi)容：安全制度發(fā)布安全策略須以正式文件的形式發(fā)布施行。公司層安全策略由公司網(wǎng)絡(luò)與信息安全工作組制訂,公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組審批、發(fā)布。部門層安全策略由各生產(chǎn)中心安全管理組織制訂,公司網(wǎng)絡(luò)與信息安全工作組審批、發(fā)布,同時要留存公司信息安全管理部門備案。系統(tǒng)層安全策略由各系統(tǒng)管理員制訂、本中心安全管理員協(xié)助,本部門安全管理組織審批、發(fā)布,同時要留存公司信息安全管理部門備案。安全策略發(fā)布后,如有必要,安全策略制定部門應(yīng)召集相關(guān)人員學(xué)習(xí)安全策略,詳細(xì)講解規(guī)章制度的內(nèi)容并解答疑問。安全策略修訂后需要以正式文件的形式重新發(fā)布施行,修訂后的策略也需相應(yīng)層次的管理部門審批。簽署發(fā)布的規(guī)章制度必須標(biāo)明該規(guī)章制度的施行日期。安全制度修改與廢止須定期對安全策略進行評審,對其中不適用的或欠缺的條款,及時進行修改和補充。對已不適用的信息安全制度或規(guī)定應(yīng)及時廢止。當(dāng)現(xiàn)行安全策略有下列情形之一時,須及時修改：當(dāng)發(fā)生重大安全事件,暴露出安全策略存在漏洞和缺陷時；組織機構(gòu)或生產(chǎn)系統(tǒng)進行重大調(diào)整和變更后；同一個事項在兩個規(guī)章制度中規(guī)定不一致；與上級部門的安全策略相抵觸；其它需要修改安全策略的情形。當(dāng)現(xiàn)行安全策略有下列情形之一時,必須及時予以廢止：因有關(guān)信息安全制度或規(guī)定廢止,使該信息安全制度或規(guī)定失去依據(jù),或與公司現(xiàn)行上層策略相抵觸；因已規(guī)定的事項已經(jīng)執(zhí)行完畢,沒有存在必要；已被新的規(guī)章制度所替代。公司層安全策略的修改與廢止須經(jīng)公司信息安全領(lǐng)導(dǎo)組織審批確認(rèn),公司信息安全管理部門備案。部門層安全策略的修改與廢止須經(jīng)各部門信息安全維護組織及公司信息安全管理部門審批確認(rèn)。同時公司信息安全管理部門備案。安全制度監(jiān)督和檢查安全策略發(fā)布實施后,各部門應(yīng)就安全策略制度或規(guī)定的貫徹執(zhí)行,執(zhí)行中存在的問題以及對規(guī)章制度修改或廢止的意見建議等情況進行檢查、監(jiān)督,并將意見和建議及時反饋給制度的制定部門。為保障各項信息安全管理制度的貫徹落實,公司信息安全管理部門必須定期檢查安全策略的落實情況,信息安全管理制度的落實情況檢查是信息安全檢查工作的重要內(nèi)容。信息安全檢查工作結(jié)束后,在起草檢查報告時,必須通報安全策略的落實情況,對執(zhí)行不力的行為必須提出整改意見,限期糾改,并繼續(xù)追蹤其落實情況。安全策略的貫徹落實情況,必須作為重要的考核項目,納入部門的綜合考評體系。為安全策略落實做出顯著成績的部門或個人,應(yīng)給予表彰和獎勵；對違反規(guī)章制度造成嚴(yán)重后果的部門或個人,應(yīng)追究當(dāng)事人、相關(guān)單位及主管領(lǐng)導(dǎo)的責(zé)任。具體參照公司考核制度辦理。安全制度管理流程制度管理流程信息表下表給出了制度管理流程表,供本次項目參考：流程名稱策略管理流程流程編碼OPT-6流程負(fù)責(zé)人公司信息安全辦公室流程起點：制定安全策略流程目的：規(guī)范公司以及各部門信息安全策略的制定、發(fā)布、修改、廢止、檢查和監(jiān)督落實,建立科學(xué)、嚴(yán)謹(jǐn)?shù)男畔踩呗怨芾眢w系。流程終點：審議安全策略執(zhí)行步驟編號操作步驟操作描述操作崗位1策略制定公司級信息安全策略由公司信息安全辦公室負(fù)責(zé)制定部門級信息安全策略由部門信息安全組織負(fù)責(zé)制定部門信息安全組織/公司信息安全辦公室2審核與發(fā)布公司級策略公司信息安全工作組審核公司信息安全領(lǐng)導(dǎo)小組審批公司信息安全辦公室發(fā)布部門級策略公司信息安全辦公室審核公司信息安全工作組審批部門信息安全組織發(fā)布部門信息安全組織/公司信息安全辦公室/公司信息安全工作組/工作信息安全領(lǐng)導(dǎo)小組3修改與廢止制定部門負(fù)責(zé)修改和廢止公司信息安全辦公室審核、備案公司信息安全工作組、領(lǐng)導(dǎo)小組審批部門信息安全組織/公司信息安全辦公室/公司信息安全工作組/工作信息安全領(lǐng)導(dǎo)小組4監(jiān)督和檢查公司信息安全辦公室監(jiān)督、檢查公司信息安全辦公室流程輸入步驟編號輸入部門輸入內(nèi)容輸入標(biāo)準(zhǔn)載體名稱1部門信息安全組織策略〔制度、標(biāo)準(zhǔn)、規(guī)范、運行維護計劃完整策略文檔1公司信息安全辦公室策略〔制度、標(biāo)準(zhǔn)、規(guī)范、運行維護計劃完整策略文檔流程輸出步驟編號接收部門輸出內(nèi)容輸出標(biāo)準(zhǔn)載體名稱2、3、4信息安全辦公室策略審批、備案信息及時、準(zhǔn)確"信息安全平臺"使能器IT信息平臺"公司信息安全平臺"策略策略文檔公司級制度管理流程圖下圖給出公司級制度的管理流程供本次項目參考：公司級制度管理流程圖...部門級制度管理流程圖下圖給出部門級制度管理流程圖供本次項目參考：部門級制度管理流程圖滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作安全制度管理解決方案安全管理制度制定和發(fā)布a應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；專人制定的規(guī)定制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布b安全管理制度應(yīng)具有統(tǒng)一的格式,并進行版本控制；版本控制規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布c應(yīng)組織相關(guān)人員對制定的安全管理制度進行論證和審定；制度審定規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布d安全管理制度應(yīng)通過正式、有效的方式發(fā)布；制度發(fā)布規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布e安全管理制度應(yīng)注明發(fā)布范圍,并對收發(fā)文進行登記。制度制度管理規(guī)范,收發(fā)記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度評審和修訂a信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定；定期審定的規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度評審和修訂b應(yīng)定期或不定期對安全管理制度進行檢查和審定,對存在不足或需要改進的安全管理制度進行修訂。定期修訂的規(guī)定與記錄制度管理規(guī)定與記錄安全教育與培訓(xùn)解決方案組織內(nèi)的人員安全意識決定了信息安全的管理水平,有必要定期的對所有人員進行全面的安全培訓(xùn),提供信息系統(tǒng)使用人員和管理人員的安全技能與安全意識,在安全教育和培訓(xùn)過程中著重考慮如下幾個方面：信息安全培訓(xùn)的對象信息安全培訓(xùn)工作需要分層次、分階段、循序漸進地進行,而且必須是能夠覆蓋全員的培訓(xùn)；分層次培訓(xùn)是指對不同層次的人員,如對管理層〔包括決策層、信息安全管理人員,系統(tǒng)管理員和員工開展有針對性和不同側(cè)重點的培訓(xùn)；分階段是指在信息安全管理體系的建立、實施和保持的不同階段,培訓(xùn)工作要有計劃地分步實施；信息安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進行,安全培訓(xùn)對象主要保護如下幾個類型的員工：管理層〔決策層管理層培訓(xùn)目標(biāo)是明確建立公司信息安全體系的迫切性和重要性,獲得公司管理層〔決策層有形的支持和承諾。管理層培訓(xùn)方式可以采用聘請外部信息安全培訓(xùn)、專業(yè)公司的技術(shù)專家和咨詢顧問以專題講座、研討會等形式。信息安全管理人員信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原理和相關(guān)技術(shù)、強化信息安全意識、支撐公司信息安全體系的建立、實施和保持。信息安全管理人員培訓(xùn)方式可以采用聘請外部信息安全專業(yè)資格授證培訓(xùn)、參加信息安全專業(yè)培訓(xùn)、自學(xué)信息安全管理理論及技術(shù)和公司內(nèi)部學(xué)習(xí)研討的方式。公司系統(tǒng)管理員公司系統(tǒng)管理員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)安全技術(shù),協(xié)助公司和各部門信息安全管理人員維護和保障系統(tǒng)正常、安全運行。公司系統(tǒng)管理員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。員工員工培訓(xùn)目標(biāo)是了解公司相關(guān)信息安全制度和技術(shù)規(guī)范,并安全、高效地使用公司信息系統(tǒng)。員工培訓(xùn)方式應(yīng)主要采取內(nèi)部培訓(xùn)的方式。信息安全培訓(xùn)的內(nèi)容信息安全培訓(xùn)的內(nèi)容主要包含如下幾個方面：安全體系及安全職責(zé)分工培訓(xùn)公司各級領(lǐng)導(dǎo)及員工明確了解公司信息安全體系,并明確各自在的安全職責(zé),明確自身對維護保障公司系統(tǒng)正常、安全運行所需承擔(dān)的相關(guān)責(zé)任和義務(wù)。培訓(xùn)應(yīng)采用長期,并覆蓋公司全員。新員工入職安全培訓(xùn)新員工在正式上崗前,應(yīng)進行信息安全方面的培訓(xùn),明確崗位所要求遵守的公司信息安全制度和技術(shù)規(guī)范。員工安全技術(shù)教育針對公司系統(tǒng)的維護人員和管理員應(yīng)定期開展安全技術(shù)教育培訓(xùn)〔每年至少一次,明確如何安全使用有關(guān)系統(tǒng),包括各業(yè)務(wù)系統(tǒng)、主機操作系統(tǒng)、電子郵件系統(tǒng)、內(nèi)部網(wǎng)站以及普通計算機周邊硬件設(shè)備。各項安全專業(yè)技術(shù)教育針對公司安全管理員和系統(tǒng)管理員應(yīng)定期開展由供應(yīng)商或廠家提供的專業(yè)安全技術(shù)培訓(xùn),幫助相關(guān)安全管理人員和系統(tǒng)管理員了解掌握正確、安全地安裝、配置、維護系統(tǒng)。安全專業(yè)資格認(rèn)證針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)實際情況,挑選公司信息安全管理及安全技術(shù)人員進行相關(guān)的認(rèn)證考試培訓(xùn),并參加認(rèn)證考試,以提高公司安全管理人員對信息安全的管理理論和技術(shù)的水平。信息安全內(nèi)部考核〔含培訓(xùn)針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)崗位不同,對員工進行相關(guān)的信息安全培訓(xùn),并在培訓(xùn)后實行書面〔開卷或閉卷信息安全考核。信息安全培訓(xùn)的管理對于信息安全培訓(xùn)的管理主要控制信息安全培訓(xùn)的發(fā)起和實施,保證信息安全培訓(xùn)的質(zhì)量：安全培訓(xùn)的發(fā)起公司及部門安全管理組織可根據(jù)自身安全管理的需要,發(fā)起相應(yīng)的安全培訓(xùn)計劃。涉及納入員工考核的培訓(xùn),需要公司人力資源部的確實,以及公司網(wǎng)絡(luò)與信息安全辦公室備案考核結(jié)果。新員工、公司全員的安全培訓(xùn)教育,納入公司人力資源部的整體培訓(xùn)計劃中。具體操作過程遵守公司人力資源部的相關(guān)培訓(xùn)管理制度。安全培訓(xùn)的實施培訓(xùn)的實施,建議由公司人力資源部負(fù)責(zé)。對專業(yè)性很強的培訓(xùn),培訓(xùn)發(fā)起的各級安全培訓(xùn)組織負(fù)責(zé)。具體操作過程遵守公司人力資源部的相關(guān)培訓(xùn)管理制度。滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作改進對象安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)a應(yīng)對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；培訓(xùn)教材與記錄安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)b應(yīng)對安全責(zé)任和懲戒措施進行書面規(guī)定并告知相關(guān)人員,對違反違背安全策略和規(guī)定的人員進行懲戒；處罰制度安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)c應(yīng)對定期安全教育和培訓(xùn)進行書面規(guī)定,針對不同崗位制定不同的培訓(xùn)計劃,對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)；配置制度與計劃安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)d應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。培訓(xùn)文檔管理人員安全管理解決方案在安全管理的過程中,內(nèi)部人員的安全管理作為安全管理的重中之重,內(nèi)部人員安全是信息系統(tǒng)主要面臨的內(nèi)部安全威脅,在對人員的管理中,需要重點考慮如下幾個方面的內(nèi)容普通員工安全管理員工錄用安全管理員工錄用,除了應(yīng)該遵守相關(guān)人事和勞動法律法規(guī)外,還必須考慮以下安全事項：除了嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證〔相關(guān)計算機認(rèn)證證書等外,還必須考慮政治、社會和素質(zhì)等多方面的因素。不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和"黑客"經(jīng)歷的人員。如有特殊情況,需要經(jīng)公司主管安全的一級經(jīng)理同意后,方可考慮錄用。在簽訂勞動合同之外,必須簽訂《保密協(xié)議》,明確該人員應(yīng)嚴(yán)格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機密的要求以及違約責(zé)任等。員工工作調(diào)動的安全管理由于業(yè)務(wù)工作的需要或其他原因,需要對員工進行崗位調(diào)動時,必須考慮以下安全事項：根據(jù)新崗位的需要,增加、刪除或修改該人員的計算機信息系統(tǒng)訪問權(quán)限,包括電子郵件系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和其他計算機信息軟硬件系統(tǒng)。如有必要,重新創(chuàng)建相關(guān)管理員賬號并修改其口令。如有必要,修改合同中有關(guān)條款和相應(yīng)的保密條款或保密協(xié)議,并擬定新的雇傭合同,而且原合同中的保密條款或保密協(xié)議將繼續(xù)有效。與原崗位有關(guān)的所有資料文件,包括其軟硬拷貝都需要移交,不允許私自帶走。遵循"需要知道"原則,盡量避免由于不當(dāng)或過于頻繁的調(diào)動,造成人員的權(quán)限過大的情況。員工離職的安全管理員工在離職時,必須遵守以下安全操作流程：刪除該員工的所有信息系統(tǒng)訪問賬號和權(quán)限,如有必要將重新創(chuàng)建有關(guān)管理員賬號和口令。由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議,并使該員工明確所有保密事項,以及在離開公司后3年內(nèi)不得披露、使用技術(shù)資料的規(guī)定。對員工的安全審計網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及各生產(chǎn)中心安全管理組織定期組織對員工進行安全審計和監(jiān)督工作,并把審計和監(jiān)督結(jié)果報告抄送給該人員所屬部門主管,作為對該人員工作考核的依據(jù)之一。對于不遵守公司信息安全管理制度和安全技術(shù)規(guī)范的員工,經(jīng)查實后,由其所屬部門主管根據(jù)有關(guān)規(guī)定,報請人事行政部門對該員工進行處罰。對員工的安全培訓(xùn)及教育員工的安全培訓(xùn)及教育由公司網(wǎng)絡(luò)與信息安全辦公室及各部門安全管理組織統(tǒng)一計劃,公司人力資源部協(xié)助實施。具體培訓(xùn)的內(nèi)容及要求遵照《信息安全培訓(xùn)及教育管理辦法》。員工的安全培訓(xùn)及教育成績,作為對該人員工作考核的依據(jù)之一。安全崗位人員管理安全崗位人員的管理考核專職安全管理員：專職負(fù)責(zé)信息安全管理工作,是信息安全管理部門的主要成員。具體人員在網(wǎng)絡(luò)工程處,歸屬網(wǎng)絡(luò)工程處長管理,考核。各部門專、兼職安全管理員：負(fù)責(zé)本部門信息安全管理工作,是信息安全管理組織的成員。人員編制在各部門,日常工作歸屬相應(yīng)部門來管理。同時作為信息安全組織組織的成員,其工作考核的一部分歸屬信息安全管理部門。〔具體份額,人力資源部門和信息安全領(lǐng)導(dǎo)小組確定安全崗位人員的培訓(xùn)教育安全崗位的人員需要進行相關(guān)安全管理技能的專業(yè)培訓(xùn)及教育等工作,安全崗位人員的培訓(xùn)由信息安全管理部門牽頭負(fù)責(zé),安全崗位人員的培訓(xùn)成績作為其相應(yīng)工作考核項之一。安全崗位人員職責(zé)崗位名稱崗位技能要求具體工作內(nèi)容信息安全主管大學(xué)本科以上學(xué)歷,計算機通信；信息安全專業(yè)1、制訂信息安全管理制度和技術(shù)規(guī)范。2、領(lǐng)導(dǎo)、組織信息安全管理制度和技術(shù)規(guī)范的具體實施。3、監(jiān)督、檢查信息安全管理工作。4、定期就信息安全管理的效果和有關(guān)重大問題及時向人民銀行信息安全管理部門匯報。安全管理大學(xué)本科以上學(xué)歷,計算機/信息安全專業(yè)1、參與信息安全管理制度的制訂。2、負(fù)責(zé)實施和維護信息安全管理制度和技術(shù)規(guī)范。3、負(fù)責(zé)監(jiān)督、檢查信息安全工作情況,負(fù)責(zé)對各部門信息安全考核及各部門安全管理員的工作考核。4、組織、領(lǐng)導(dǎo)對安全崗位人員的信息安全教育培訓(xùn)。5、定期向信息安全主管匯報總體及各部門信息安全的工作情況。安全技術(shù)大學(xué)本科以上學(xué)歷,計算機/信息安全專業(yè)參與信息安全技術(shù)規(guī)范的制訂。負(fù)責(zé)實施和維護信息安全管理制度和技術(shù)規(guī)范。負(fù)責(zé)信息安全解決方案的評估檢查工作。負(fù)責(zé)監(jiān)督、檢查信息系統(tǒng)安全運行情況〔保密性、完整性和可用性。負(fù)責(zé)安全預(yù)警及安全審計工作。負(fù)責(zé)安全事件監(jiān)控及重大安全事件響應(yīng)。領(lǐng)導(dǎo)、監(jiān)督、檢查各部門安全管理員的工作。8、負(fù)責(zé)信息安全技術(shù)的跟蹤及研究工作。技術(shù)支持處安全管理大學(xué)本科以上學(xué)歷,計算機/信息安全專業(yè)1、制訂技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范。2、組織技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范的具體實施。3、負(fù)責(zé)落實外匯局信息安全在技術(shù)支持處的工作職責(zé)4、負(fù)責(zé)技術(shù)支持處建設(shè)項目及信息安全項目的方案編制,安全評估、安全檢查、實施等工作。5、監(jiān)督、檢查技術(shù)支持處信息系統(tǒng)安全運行情況〔保密性、完整性和可用性。6、定期就技術(shù)支持處信息安全管理的效果和有關(guān)重大問題及時向外匯局信息安全管理部門匯報。與信息安全相關(guān)崗位人員安全職責(zé)信息安全工作涉及各方面的人員,下表明確和信息安全相關(guān)的崗位人員的安全職責(zé)要求。崗位名稱具體工作內(nèi)容系統(tǒng)規(guī)劃及建設(shè)根據(jù)和各部門安全建設(shè)的要求,在規(guī)劃中提前考慮信息安全因素；為系統(tǒng)建設(shè)提供安全功能開發(fā)和建設(shè)的指導(dǎo)；在項目建設(shè)中同步考慮項目的信息安全因素,做好安全加固等保障工作；為系統(tǒng)維護人員提供系統(tǒng)安全運行和維護的指導(dǎo)；系統(tǒng)維護在項目規(guī)劃和建設(shè)階段提出信息安全方面的建議；負(fù)責(zé)系統(tǒng)交維后的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等信息安全狀況的檢查和驗收；負(fù)責(zé)系統(tǒng)設(shè)備的日常運行、安全維護和管理工作,保持系統(tǒng)處于良好的運行狀態(tài)；應(yīng)用維護在應(yīng)用系統(tǒng)規(guī)劃和建設(shè)階段提出信息安全方面的建議；負(fù)責(zé)系統(tǒng)交付后業(yè)務(wù)應(yīng)用系統(tǒng)信息安全狀況的檢查和驗收；負(fù)責(zé)業(yè)務(wù)和應(yīng)用系統(tǒng)的日常運行、安全維護和管理工作,保持應(yīng)用系統(tǒng)處于良好的運行狀態(tài)；各省安全技術(shù)人員嚴(yán)格遵循安全管理辦法的相關(guān)安全要求；參加和配合外匯局及本部門的信息安全檢查工作。員工安全配合信息安全管理員做好個人用機的安全檢查和安全加固工作；嚴(yán)格遵循安全管理規(guī)定及技術(shù)規(guī)范等相關(guān)安全要求；配合外匯局及部門的信息安全檢查工作。安全崗位人員的安全控制在安全崗位人員錄用、審計、調(diào)動和解聘方面進行嚴(yán)格的安全控制,是保障信息安全組織體系的關(guān)鍵。安全崗位人員的錄用對于安全崗位人員的錄用,除了應(yīng)該遵守相關(guān)人事和勞動法律法規(guī)外,還必須考慮以下安全事項：在嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證〔相關(guān)計算機認(rèn)證證書等的同時,必須考慮政治、社會和素質(zhì)等多方面的因素。不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和"黑客"經(jīng)歷的人員。如有特殊情況,需要經(jīng)主管安全的局長同意后,方可考慮錄用。在簽訂勞動合同之外,必須簽訂《保密協(xié)議》,明確該人員應(yīng)嚴(yán)格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機密的要求以及違約責(zé)任等。安全崗位人員的審計外匯局定期進行安全工作檢查,內(nèi)容包括對安全崗位人員的審計,同時安全檢查的結(jié)果作為安全崗位人員的工作考核的依據(jù)之一。安全崗位人員的調(diào)動由于業(yè)務(wù)工作的需要或其他原因,需要對安全崗位人員進行崗位調(diào)動時,必須考慮以下安全事項：根據(jù)新崗位的需要,增加、刪除或修改該人員的信息系統(tǒng)訪問權(quán)限。如有必要,修改保密協(xié)議,并擬定新的雇傭合同,而且原合同中的保密協(xié)議將繼續(xù)有效。與原崗位有關(guān)的所有資料文件,包括其軟硬拷貝都需要移交,不允許私自帶走。遵循"需要知道"原則,盡量避免由于不當(dāng)或過于頻繁的調(diào)動,造成人員的權(quán)限過大的情況。安全崗位人員的離職安全崗位人員在離職時,必須遵守以下安全操作流程：刪除該員工的所有信息系統(tǒng)訪問賬號和權(quán)限,如有必要將重新創(chuàng)建有關(guān)管理員賬號和口令。由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議,并使該員工明確所有保密事項,以及在離開外匯局后3年內(nèi)不得披露、使用外匯局的技術(shù)資料的規(guī)定。關(guān)于信息安全的獎勵及考核員工安全管理由各部門專、兼職安全管理員具體進行操作,把執(zhí)行情況向本部門安全管理組織,及公司網(wǎng)絡(luò)與信息安全辦公室匯報,并由公司網(wǎng)絡(luò)與信息安全辦公室直接呈報給公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組作為公司各部門年度目標(biāo)責(zé)任制考核的內(nèi)容之一。對執(zhí)行制度好、信息安全工作成績顯著的部門和個人,將給與表彰和適當(dāng)獎勵；對違反公司安全管理制度、信息安全工作存在不足和隱患的部門、營業(yè)廳,由公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組發(fā)出書面整改通知,限期整改；對刻意不執(zhí)行公司安全管理制度、漠視信息安全工作和存在安全隱患而沒有及時整改的,以至造成重大安全事故和案件的,將追究其部門主要負(fù)責(zé)人和直接責(zé)任者的責(zé)任,并按公司有關(guān)考核管理辦法予以處理,構(gòu)成犯罪的,將依法追究其刑事責(zé)任。滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作改進對象人員安全管理解決方案人員安全管理人員錄用a應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；人員錄用管理部門說明人員安全管理解決方案人員安全管理人員錄用b應(yīng)嚴(yán)格規(guī)范人員錄用過程,對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查,對其所具有的技術(shù)技能進行考核；人員錄用管理制度人員安全管理解決方案人員安全管理人員錄用c應(yīng)簽署保密協(xié)議；保密協(xié)議人員安全管理解決方案人員安全管理人員錄用d應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。簽署崗位安全協(xié)議人員安全管理解決方案人員安全管理人員離崗a應(yīng)嚴(yán)格規(guī)范人員離崗過程,及時終止離崗員工的所有訪問權(quán)限；離崗權(quán)限中止記錄人員安全管理解決方案人員安全管理人員離崗b應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備；離職繳回記錄人員安全管理解決方案人員安全管理人員離崗c應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。離崗保密規(guī)定人員安全管理解決方案人員安全管理人員考核a應(yīng)定期對各個崗位的人員進行安全技能及安全認(rèn)知的考核；技能考核問卷與記錄人員安全管理解決方案人員安全管理人員考核b應(yīng)對關(guān)鍵崗位的人員進行全面、嚴(yán)格的安全審查和技能考核；關(guān)鍵崗位考核問卷與記錄人員安全管理解決方案人員安全管理人員考核c應(yīng)對考核結(jié)果進行記錄并保存。記錄文檔管理第三方人員安全管理解決方案在信息系統(tǒng)使用過程中,除開內(nèi)部員工,還有第三方人員,第三方人員主要包含如下角色：第三方人員包括為公司提供服務(wù)的軟件開發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè)備維護商和服務(wù)提供商等非本公司人員；第三方人員管理的范疇包括臨時第三方人員和長期第三方人員；臨時第三方人員指因業(yè)務(wù)洽談、技術(shù)交流、提供短期和不頻繁的技術(shù)支持服務(wù)而臨時來訪的第三方人員；長期第三方人員指因從事合作開發(fā)、參與項目工程、提供技術(shù)支持或顧問服務(wù),必須在一定時間內(nèi)在公司內(nèi)部辦公的第三方人員；接待人是指公司與來訪第三方的相關(guān)部門派出的,負(fù)責(zé)接待和管理第三方人員的員工。而第三方人員帶來的風(fēng)險如下：第三方人員訪問公司的方式包括現(xiàn)場訪問和遠(yuǎn)程網(wǎng)絡(luò)訪問,第三方人員帶來的安全風(fēng)險必須定期評估,防范以下安全風(fēng)險：第三方人員物理訪問帶來的設(shè)備、資料盜竊；第三方人員誤操作導(dǎo)致各種軟硬件故障；第三方人員的資料、信息外傳導(dǎo)致泄密；第三方人員對業(yè)務(wù)系統(tǒng)的濫用和越權(quán)訪問；第三方人員給主機系統(tǒng)、軟件留下后門；第三方人員對系統(tǒng)的惡意攻擊。第三方人員短期訪問安全管理物理安全第三方人員現(xiàn)場訪問需要遵從公司物理安全的管理制度,具體物理安全的負(fù)責(zé)部門是行政部。要求如下：第三方人員進出公司均需登記,遵照公司物理安全管理制度執(zhí)行。工作時間內(nèi)機房必須有當(dāng)班、值班人員,對第三方人員進入機房內(nèi)部一律進行登記。重要機房實行安全保衛(wèi)管理,對第三方人員進入機房需要接待員工所屬三級經(jīng)理的同意,同時在本部門內(nèi)部進行登記。網(wǎng)絡(luò)訪問安全第三方人員現(xiàn)場訪問公司網(wǎng)絡(luò)原則上不允許。如果必須,需要第三方人員及接待人員遵守如下安全要求：臨時接入公司辦公網(wǎng)絡(luò)的第三方人員,需要公司接待人員的同意,一旦發(fā)生并經(jīng)核實其起因是第三方人員引起的安全事件,相關(guān)責(zé)任由公司接待人員負(fù)責(zé)。臨時接入公司生產(chǎn)網(wǎng)絡(luò)的第三方人員,需要公司接待人員所屬三級經(jīng)理的同意,同時在本部門內(nèi)部進行登記。一旦發(fā)生并經(jīng)核實其起因是第三方人員引起的安全事件,相關(guān)責(zé)任由公司接待人員及所屬三級經(jīng)理負(fù)責(zé)。第三方人員遠(yuǎn)程訪問公司網(wǎng)絡(luò)原則上不允許。如果必須,需要第三方人員及接待人員遵守如下安全要求：臨時遠(yuǎn)程訪問公司網(wǎng)絡(luò)的第三方人員,需要公司接待人員所屬三級經(jīng)理的同意,并在本部門內(nèi)部進行登記。一旦發(fā)生并經(jīng)核實其起因是第三方人員引起的安全事件,相關(guān)責(zé)任由公司接待人員及所屬三級經(jīng)理負(fù)責(zé)。臨時遠(yuǎn)程訪問公司網(wǎng)絡(luò)的第三方人員在訪問過程中,公司接待人員應(yīng)能夠確定其訪問的內(nèi)容；在訪問結(jié)束后,公司接待人員應(yīng)及時關(guān)閉或敦促相關(guān)技術(shù)負(fù)責(zé)人員關(guān)閉臨時訪問的通路,并在本部門內(nèi)部記錄訪問結(jié)束時間。第三方人員長期訪問安全管理物理安全第三方人員現(xiàn)場訪問,需要遵照公司物理安全的管理制度執(zhí)行,具體物理安全的負(fù)責(zé)部門是行政部。要求如下：遵守公司物理安全管理制度,在公司安全保衛(wèi)部門辦理第三方人員進出證件,證件表明訪問時間段及接待部門。工作時間內(nèi)機房必須有當(dāng)班值班人員,對進入機房內(nèi)部的第三方人員一律進行登記。重要機房實行安全保衛(wèi)管理,對第三方人員進入機房需要接待員工所屬三級經(jīng)理的同意,同時在本部門內(nèi)部進行登記。第三方人員均應(yīng)遵從機房管理人員的管理。網(wǎng)絡(luò)訪問安全第三方人員現(xiàn)場長期訪問公司網(wǎng)絡(luò),除第三方人員遵守公司的安全管理制度及規(guī)范之外,第三方人員及接待人員還必須遵守如下安全要求：長期訪問公司網(wǎng)絡(luò)的第三方人員需要簽署相關(guān)《第三方人員安全保密協(xié)議》,承諾遵守公司安全制度及規(guī)范。需要公司辦公網(wǎng)管理部門相關(guān)工作負(fù)責(zé)人審批確認(rèn),詳細(xì)內(nèi)容參見《辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問申請審批流程》。在長期訪問終止后,接待人通知辦公網(wǎng)管理部門相關(guān)工作人員,工作人員備案并作相應(yīng)安全評估、檢查工作。第三方人員在訪問公司網(wǎng)絡(luò)期間如違反公司安全管理制度,除根據(jù)保密協(xié)議及相關(guān)公司安全管理制度進行處罰以外,公司接待人及所屬部門也應(yīng)承擔(dān)責(zé)任。第三方人員長期遠(yuǎn)程訪問公司網(wǎng)絡(luò)原則上不允許。如果必須,需要第三方人員及接待人員遵守如下安全要求：需要簽署相關(guān)《第三方人員安全保密協(xié)議》,承諾遵守公司安全制度及規(guī)范。需要公司辦公網(wǎng)管理部門〔計費業(yè)務(wù)中心相關(guān)工作人員審批確認(rèn),詳細(xì)參見《辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問申請審批流程》。在長期訪問終止后,接待人通知辦公網(wǎng)管理部門相關(guān)工作人員,工作人員備案并作相應(yīng)安全評估、檢查工作。第三方人員在訪問公司網(wǎng)絡(luò)期間如違反公司安全管理制度,除根據(jù)保密協(xié)議及相關(guān)公司安全管理制度進行處罰以外,公司接待人及所屬部門也應(yīng)承擔(dān)責(zé)任。第三方人員訪問申請審批流程信息表流程名稱：辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問申請審批流程流程編碼OPT-7流程負(fù)責(zé)人：公司網(wǎng)絡(luò)與信息安全辦公室流程起點：第三方訪問申請流程目的：第三方人員長期訪問公司網(wǎng)絡(luò)流程終點：訪問終止步驟編號操作步驟操作描述操作崗位1訪問申請接待人根據(jù)第三方人員實際需要提出長期訪問公司網(wǎng)絡(luò)的申請接待人2審批訪問申請接待人所屬三級經(jīng)理審批申請審批后,報公司IT服務(wù)部門主管辦公網(wǎng)絡(luò)環(huán)境的管理員備案接待人所屬三級經(jīng)理/計費業(yè)務(wù)中心主管辦公網(wǎng)絡(luò)安全管理員3注銷訪問申請第三方人員訪問結(jié)束,接待人終止訪問申請,通報公司IT服務(wù)部門主管辦公網(wǎng)絡(luò)環(huán)境的安全管理員接待人4審計、檢查第三方人員訪問公司IT服務(wù)部門主管辦公網(wǎng)絡(luò)環(huán)境的安全管理員如有必要,對訪問環(huán)境進行審計及安全檢察；發(fā)現(xiàn)問題,通報所屬接待人三級經(jīng)理；同時根據(jù)考核管理辦法,對接待人及所屬部門進行考核結(jié)果備案計費業(yè)務(wù)中心主管辦公網(wǎng)絡(luò)安全管理員/三級經(jīng)理流程輸入步驟編號輸入部門輸入內(nèi)容輸入標(biāo)準(zhǔn)載體名稱1接待人申請表適用流程輸出步驟編號接收部門輸出內(nèi)容輸出標(biāo)準(zhǔn)載體名稱4公司IT服務(wù)部門主管辦公網(wǎng)絡(luò)安全管理員第三方人員長期網(wǎng)絡(luò)訪問備案反映實際問題使能器IT信息平臺表單《第三方人員網(wǎng)絡(luò)訪問申請表》第三方人員訪問申請審批流程圖第三方人員訪問申請審批流程圖滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作改進對象第三方人員安全管理解決方案人員安全管理外部人員訪問管理a應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請,批準(zhǔn)后由專人全程陪同或監(jiān)督,并登記備案；外部訪問制度與記錄第三方人員安全管理解決方案人員安全管理外部人員訪問管理b對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進行書面的規(guī)定,并按照規(guī)定執(zhí)行。外部訪問制度...系統(tǒng)建設(shè)安全管理解決方案對信息系統(tǒng)的安全管理需要貫穿到信息系統(tǒng)整個生命周期中去,在系統(tǒng)審批、建設(shè)、使用等過程需要對其安全管理,在對系統(tǒng)建設(shè)的安全管理需要考慮如下幾個方面：系統(tǒng)安全建設(shè)審批流程信息系統(tǒng)建設(shè)的審批流程如下圖所示：信息系統(tǒng)安全建設(shè)審批流程圖信息系統(tǒng)安全建設(shè)流程如下：各業(yè)務(wù)生產(chǎn)部門在進行項目建設(shè)前,首先向計劃建設(shè)部提出項目申報,項目申報中要提交《項目安全建設(shè)申請表》、《項目需求書》和《項目可行性分析報告》,申請表中要包括建設(shè)項目的安全威脅分析、系統(tǒng)脆弱性分析、影響分析、風(fēng)險分析和系統(tǒng)安全需求分析；計劃建設(shè)部會根據(jù)申報內(nèi)容,把技術(shù)方案提交公司網(wǎng)絡(luò)部進行技術(shù)可行性分析；公司網(wǎng)絡(luò)部會綜合公司的總體安全狀況、網(wǎng)絡(luò)狀況和業(yè)務(wù)系統(tǒng)接入規(guī)范中的相關(guān)內(nèi)容進行整體分析,并在5個工作日內(nèi)給出項目是否可行的意見和辦法；如果項目不可行,各業(yè)務(wù)系統(tǒng)需要根據(jù)公司網(wǎng)絡(luò)部給出的意見和辦法進行方案設(shè)計的修改,重新提出申請；如果項目可行,則項目建設(shè)安全審批通過,在沒有其他因素影響的情況下,項目可以進入實施和驗收階段；在項目實施和驗收階段,網(wǎng)絡(luò)部對于安全建設(shè)部分進行跟蹤和監(jiān)督；審批流程結(jié)束。項目立項安全管理安全要求各職能管理部門、各直屬單位在進行TCP/核心業(yè)務(wù)系統(tǒng)和系統(tǒng)建設(shè)項目立項申請過程中,應(yīng)由公司信息安全辦公室對項目提出安全建議；根據(jù)公司項目立項中的項目立項申請、立項論證、立項評估和立項審批四個程序,都應(yīng)結(jié)合公司各類的安全技術(shù)規(guī)范；各職能管理部門、各直屬單位進行項目立項申請時,在提交《項目立項建議書》等相關(guān)資料中應(yīng)增加以下安全方面的資料：系統(tǒng)安全需求分析說明書；系統(tǒng)安全功能說明書；系統(tǒng)中采用的安全設(shè)備以及性能指標(biāo)參數(shù)。對提交立項申請的項目,在進行項目立項論證和評估的過程中,應(yīng)包括項目安全建設(shè)的論證和評估；通過項目安全建設(shè)的立項論證和評估,可作為計劃建設(shè)部審批項目立項的重要依據(jù)之一。評估和論證安全管理各職能管理部門、各直屬單位進行項目立項申請前,在進行項目規(guī)劃和設(shè)計的過程中,應(yīng)參照公司各安全技術(shù)規(guī)范中的相關(guān)技術(shù)要求進行安全建設(shè)；項目安全性論證對項目的安全需求分析、安全功能說明、安全設(shè)備、性能指標(biāo)以及技術(shù)方案的技術(shù)可行性進行總體分析和審計；項目立項論證和評估過程中,公司信息安全辦公室負(fù)責(zé)IT項目安全性建設(shè)的技術(shù)部分論證和評估；在提交項目立項申請時,應(yīng)在技術(shù)方案中增加安全方面的說明和文檔,內(nèi)容包括：根據(jù)公司安全規(guī)范中的要求,系統(tǒng)在建設(shè)過程中進行安全部署的說明；根據(jù)公司安全規(guī)范中的要求,系統(tǒng)在建設(shè)過程中無法實現(xiàn)的安全部署的說明和論證；系統(tǒng)在建設(shè)過程中具體的安全功能以及安全功能的實現(xiàn)方法和技術(shù)；系統(tǒng)在建設(shè)過程中所采用的安全設(shè)備的品牌、型號、性能指標(biāo)說明以及對于業(yè)務(wù)系統(tǒng)的影響分析。IT項目安全性的論證和評估主要關(guān)注以下方面的內(nèi)容：IT項目建設(shè)中網(wǎng)絡(luò)規(guī)劃中安全域的劃分、網(wǎng)絡(luò)冗余、網(wǎng)絡(luò)傳輸安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)邊界安全、遠(yuǎn)程訪問安全；IT項目建設(shè)中系統(tǒng)的性能、容量以及系統(tǒng)和業(yè)務(wù)的兼容性；IT項目建設(shè)中應(yīng)用系統(tǒng)中身份驗證、角色訪問控制、數(shù)據(jù)加密、備份、日志審計等安全功能；IT項目建設(shè)中應(yīng)用系統(tǒng)是否有后門、漏洞和不安全的隱患。信息安全項目建設(shè)管理項目建設(shè)管理的總體安全要求項目建設(shè)的生命周期與周期的子階段；項目管理生命周期項目管理生命周期的子階段項目申報需求分析總體方案設(shè)計項目審批和立項項目實施概要設(shè)計、詳細(xì)設(shè)計、系統(tǒng)實施項目驗收和投產(chǎn)項目驗收在項目的申報、審批、立項、實施、驗收等關(guān)鍵環(huán)節(jié)中,職能部門必須依照規(guī)定的職能行使職權(quán),在接到業(yè)務(wù)生產(chǎn)部門申請的情況下,規(guī)定的時限內(nèi)完成各個環(huán)節(jié)的安全管理行為,否則須承擔(dān)相應(yīng)的行政責(zé)任。項目申報安全管理《業(yè)務(wù)需求書》除了描述系統(tǒng)業(yè)務(wù)需求之外,還須進行系統(tǒng)的安全性需求分析,至少包括以下信息安全方面的內(nèi)容：安全威脅分析報告系統(tǒng)脆弱性分析報告影響分析報告風(fēng)險分析報告系統(tǒng)安全需求報告在《可性性分析報告》中須包括以下信息安全方面的內(nèi)容：項目目標(biāo)、主要內(nèi)容與關(guān)鍵技術(shù)：增加項目的總體安全目標(biāo),并在主要內(nèi)容后面增加針對前面分析出的安全需求所提出的相應(yīng)安全對策,每個安全需求都至少對應(yīng)一個安全對策,安全對策的強度根據(jù)相應(yīng)資產(chǎn)的重要性來選擇；項目采用的技術(shù)路線或者技術(shù)方案：增加描述如何從技術(shù)、運作、組織以及制度四個方面來實現(xiàn)所有的安全對策,并形成安全方案；項目的承建單位及人員情況介紹：增加項目各承擔(dān)單位的信息安全方面的資質(zhì)和經(jīng)驗介紹,并增加介紹項目主要參與人員的信息安全背景；項目安全管理：增加項目建設(shè)中的安全管理模式、安全組織結(jié)構(gòu)、人員的安全職責(zé)、建設(shè)實施中的安全操作程序和相應(yīng)安全管理要求；成本效益分析：對安全方案進行成本-效益分析。方案論證和審批安全管理安全性論證對項目的安全需求分析、安全對策以及總體安全方案進行成本-效益、合理性、可行性和有效性分析；項目方案報計劃建設(shè)部或財務(wù)部進行項目可行性審計；項目技術(shù)方案需網(wǎng)絡(luò)部進行技術(shù)可行性審計；項目最終批準(zhǔn)由計劃建設(shè)部或財務(wù)部和網(wǎng)絡(luò)部共同批準(zhǔn)備方可立項；在項目立項后,《項目任務(wù)書》的以下條目中須增加相應(yīng)的信息安全方面的內(nèi)容：項目的管理模式、組織結(jié)構(gòu)和責(zé)任：增加項目建設(shè)中的安全管理模式、安全組織結(jié)構(gòu)以及人員的安全職責(zé)；項目實施的基本程序和相應(yīng)的管理要求：增加項目建設(shè)實施中的安全操作程序和相應(yīng)安全管理要求；項目設(shè)計目標(biāo)、主要內(nèi)容和關(guān)鍵技術(shù)：增加總體安全目標(biāo)、安全對策以及用于實現(xiàn)安全對策的總體安全方案；項目實現(xiàn)功能和性能指標(biāo)：增加描述系統(tǒng)擁有的具體安全功能以及安全功能的強度；項目驗收考核指標(biāo)：增加安全性測試和考核指標(biāo)。項目實施方案和實施過程安全管理項目實施階段包括3個子階段：概要設(shè)計、詳細(xì)設(shè)計和項目實施,本階段的主要工作由項目開發(fā)承擔(dān)單位來完成,項目審批單位負(fù)責(zé)監(jiān)督工作。概要設(shè)計子階段的安全要求,《概要設(shè)計說明書》中包括以下信息安全要求：按子系統(tǒng)來描述系統(tǒng)的安全體系結(jié)構(gòu)；描述每一個子系統(tǒng)所提供的安全功能；標(biāo)識所要求的任何基礎(chǔ)性的硬件、固件或軟件,和在這些硬件、固件或軟件中實現(xiàn)的支持性保護機制提供的功能表示；標(biāo)識子系統(tǒng)的所有接口,并說明哪些接口是外部可見的；子系統(tǒng)所有接口的用途與使用方法,并適當(dāng)提供影響、例外情況和錯誤消息的細(xì)節(jié)；確證子系統(tǒng)〔不論是開發(fā)的,還是買來的的安全功能指標(biāo)滿足系統(tǒng)安全需求。詳細(xì)設(shè)計子階段的安全要求,《詳細(xì)設(shè)計說明書》中至少要包括以下信息安全內(nèi)容：詳細(xì)設(shè)計中須提出相應(yīng)的具體安全方案,標(biāo)明實現(xiàn)的安全功能,并檢查其技術(shù)原理；對系統(tǒng)層面上的和模塊層面上的安全設(shè)計進行審查；完成安全測試和評估要求〔通常包括完整的系統(tǒng)的、軟件的、硬件的安全測試方案,至少是相關(guān)測試程序的一個草案；確認(rèn)各模塊的設(shè)計,以及模塊間的接口設(shè)計能滿足系統(tǒng)層面的安全要求。項目實施子階段的安全要求如下：更新系統(tǒng)安全威脅評估,預(yù)測系統(tǒng)的使用壽命；找出并描述實現(xiàn)安全方案后系統(tǒng)和模塊的安全要求和限制,以及相關(guān)的系統(tǒng)驗證機制及檢查方法；完善系統(tǒng)的運行程序和全生命期支持的安全計劃,如密鑰的分發(fā)等；在《系統(tǒng)集成操作手冊》中,制定安全集成的操作程序；在《系統(tǒng)修改操作手冊》中,制定系統(tǒng)修改的安全操作程序；對項目參與人員進行信息安全意識培訓(xùn)；項目建設(shè)部門參加項目建設(shè)的安全管理和技術(shù)人員,要進行安全職責(zé)檢查。在概要設(shè)計、詳細(xì)設(shè)計和項目實施三個階段,公司信息安全管理部門〔網(wǎng)絡(luò)部、投資建設(shè)管理部門〔計劃建設(shè)部或財務(wù)部根據(jù)項目建設(shè)方案和相關(guān)項目文檔,定期和不定期對項目質(zhì)量、項目進度、項目階段性成果進行審查。項目驗收安全管理項目驗收到須得到公司信息安全管理部門〔網(wǎng)絡(luò)部、投資建設(shè)管理部門〔計劃建設(shè)部或財務(wù)部和項目業(yè)務(wù)生產(chǎn)部門共同確認(rèn)簽字驗收；項目須達到項目任務(wù)書中制定的總體安全目標(biāo)和安全指標(biāo),實現(xiàn)全部安全功能；采用技術(shù)須符合國家、電信行業(yè)安全技術(shù)標(biāo)準(zhǔn)及規(guī)范；項目建設(shè)過程中的各種文檔資料須規(guī)范、齊全；驗收報告中有項目設(shè)計總體安全目標(biāo)及主要內(nèi)容；驗收報告中有項目采用的關(guān)鍵安全技術(shù)內(nèi)容；驗收報告中有驗收專家組中的安全專家及安全驗收評價意見。滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作改進對象系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計a應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施,并依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；等級保護方案系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計b應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計劃；安全規(guī)劃與計劃系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計c應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案,并形成配套文件；安全體系配套文檔系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計d應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實施；評審記錄系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計e應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。調(diào)整說明系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理產(chǎn)品采購和使用a應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；產(chǎn)品采購符合說明系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理產(chǎn)品采購和使用b應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；密碼符合說明系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理產(chǎn)品采購和使用c應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購；采購授權(quán)說明系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理產(chǎn)品采購和使用d應(yīng)預(yù)先對產(chǎn)品進行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。選項測試說明與記錄系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理工程實施a應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理；工程負(fù)責(zé)部門說明系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理工程實施b應(yīng)制定詳細(xì)的工程實施方案控制實施過程,并要求工程實施單位能正式地執(zhí)行安全工程過程；工程實施方案與過程記錄系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理工程實施c應(yīng)制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準(zhǔn)則。工程實施管理制度系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測試驗收a應(yīng)委托公正的第三方測試單位對系統(tǒng)進行安全性測試,并出具安全性測試報告；第三方安全性測試報告系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測試驗收b在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案,在測試驗收過程中應(yīng)詳細(xì)記錄測試驗收結(jié)果,并形成測試驗收報告；測試驗收方案,測試驗收報告系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測試驗收c應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則進行書面規(guī)定；系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則制度系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測試驗收d應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理,并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；測試驗收負(fù)責(zé)部門說明系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測試驗收e應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定,并簽字確認(rèn)。測試驗收評審記錄系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付a應(yīng)制定詳細(xì)的系統(tǒng)交付清單,并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點；系統(tǒng)交付清單與記錄系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付b應(yīng)對負(fù)責(zé)系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)；維護技能培訓(xùn)記錄系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付c應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔；系統(tǒng)建設(shè)過程文檔和維護文檔系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付d應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進行書面規(guī)定；系統(tǒng)交付的控制方法和人員行為準(zhǔn)則制度系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付e應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作,并按照管理規(guī)定的要求完成系統(tǒng)交付工作。交付負(fù)責(zé)部門說明系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全服務(wù)商選擇a應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；服務(wù)商選擇說明系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全服務(wù)商選擇b應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任；服務(wù)商責(zé)任協(xié)議系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全服務(wù)商選擇c應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾,必要的與其簽訂服務(wù)合同。服務(wù)承諾說明或合同等級保護實施管理解決方案等級保護作為信息系統(tǒng)設(shè)計、建設(shè)、運維的基礎(chǔ),在對信息系統(tǒng)的安全管理過程中需要考慮等級保護要求,根據(jù)我們的經(jīng)驗,等級保護解決方案分為如下9個階段：系統(tǒng)與資產(chǎn)調(diào)查系統(tǒng)定級等級指標(biāo)選擇安全評估方案與規(guī)劃建設(shè)整改安全運維測評準(zhǔn)備外部測評各階段的流程圖如下：等級保護流程圖信息系統(tǒng)描述信息系統(tǒng)描述是開始等級保護實施流程的第一步,主要工作是調(diào)查和描述信息系統(tǒng)以及系統(tǒng)內(nèi)信息資產(chǎn)。準(zhǔn)確的描述是正確的安全保護的基礎(chǔ),在進行保護之前,我們需要從安全角度,正確和完整的描述信息系統(tǒng)的安全特性和安全要求,在此之前,需要描述之所以產(chǎn)生這些安全特性和要求的背景信息,即信息系統(tǒng)的業(yè)務(wù)情況,使用情況和所處的環(huán)境。對于咨詢服務(wù)來說,為了設(shè)計后續(xù)的安全保護系統(tǒng)的有的放矢,需要設(shè)計描述組織全部和單個信息系統(tǒng)的信息系統(tǒng)框架,作為后續(xù)安全體系的保護對象。1、主流程圖如下：2、單系統(tǒng)詳細(xì)描述流程圖如下：信息系統(tǒng)框架設(shè)計流程如下：信息系統(tǒng)框架分類信息系統(tǒng)框架分類的原理與主要原則如下：系統(tǒng)功能和應(yīng)用相似性原則區(qū)域的劃分要以服務(wù)業(yè)務(wù)應(yīng)用為基本原則,根據(jù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。管理組織或模式統(tǒng)一性不同的管理組織,行政級別和管理模式資產(chǎn)價值相似性原則同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相近的資產(chǎn)價值,重要業(yè)務(wù)應(yīng)用與一般的應(yīng)用分成不同區(qū)域。安全要求相似性原則在信息安全的三個基本屬性方面,同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的機密性要求、完整性要求和可用性要求。威脅相似性原則同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)處在相似的風(fēng)險環(huán)境中,面臨相似的威脅。系統(tǒng)安全框架描述根據(jù)上述原則,形成的常用的框架分類模版如下：按管理機構(gòu),決定不同的安全管理體系按系統(tǒng)所處的組織結(jié)構(gòu)級別,如政府行業(yè)的中央/總部級、省級、地市級、縣區(qū)級等；公司的集團公司,子公司,分公司,孫公司等按管理部門,如銀行的科技部,運維中心,或電子商務(wù)中心等；電信的計費,運維,IT支撐等不同部門所處地理位置和不同的機房和物理位置,決定物理環(huán)境不同按業(yè)務(wù)功能類型,決定不同的業(yè)務(wù)安全特性業(yè)務(wù)功能類型：對外部用戶提供服務(wù)的對外業(yè)務(wù)系統(tǒng),可細(xì)分為不同的業(yè)務(wù)類型對內(nèi)部用戶內(nèi)部辦公和管理系統(tǒng),可細(xì)分提供承載、支撐和管理作用的支持系統(tǒng),如網(wǎng)絡(luò)承載平臺、網(wǎng)管系統(tǒng)、安全系統(tǒng)等根據(jù)不同的業(yè)務(wù)特性,也可能形成的不同的網(wǎng)絡(luò)區(qū)域業(yè)務(wù)、管理等原因形成的網(wǎng)絡(luò)結(jié)構(gòu),可根據(jù)行業(yè)特性細(xì)分。如電信分為有線網(wǎng),無線網(wǎng),傳輸網(wǎng),互聯(lián)網(wǎng),DCN等按照安全特性形成的安全域按照安全要求特性形成的網(wǎng)絡(luò)結(jié)構(gòu),如保密內(nèi)網(wǎng)〔物理隔離,業(yè)務(wù)專網(wǎng)〔邏輯隔離,外網(wǎng)〔互聯(lián)網(wǎng)。按安全等級形成的安全域,如四級安全域,三級,二級,一級等。按系統(tǒng)服務(wù)和使用對象,即目標(biāo)用戶〔使用者帶來的威脅不同社會公眾或公眾用戶機構(gòu)內(nèi)部人員,包括業(yè)務(wù)人員,辦公人員等特定單位或合作伙伴信息系統(tǒng)框架逐級劃分方法與過程規(guī)模龐大的系統(tǒng),多個層次逐級確定劃分標(biāo)準(zhǔn),進行劃分第一層次的劃分標(biāo)準(zhǔn)即為關(guān)鍵,決定了主要安全管理模式和防護模式,將形成不同的管理子體系根據(jù)實際的系統(tǒng)情況和管理模式,可以選用行政級別、服務(wù)對象、功能類型、網(wǎng)絡(luò)區(qū)域等要素,進行綜合考慮,確定一個劃分標(biāo)準(zhǔn)復(fù)雜系統(tǒng),建議同時選用多個要素：綜合考慮后確定一個切合實際、可行的劃分標(biāo)準(zhǔn),如以某1個或2個要素為主要劃分標(biāo)準(zhǔn),其余為輔。一直劃到定級的系統(tǒng)級系統(tǒng)內(nèi)部可以按照子系統(tǒng)或安全域繼續(xù)劃分等級指標(biāo)選擇等級指標(biāo)選擇的作用是根據(jù)上面描述的系統(tǒng)和資產(chǎn),根據(jù)相應(yīng)的級別,安全要求分析和威脅分析,挑選或設(shè)計相應(yīng)的指標(biāo)體系,作為后續(xù)評估、方案和建設(shè)的指導(dǎo)指標(biāo)。后續(xù)的這些工作的目標(biāo)就是完成這些指標(biāo),才可以說具備的測評的條件了。此部分簡單流程是根據(jù)系統(tǒng)級別直接產(chǎn)生缺省指標(biāo),復(fù)雜流程為設(shè)計與定制指標(biāo)體系。通用的流程圖：對于復(fù)雜大系統(tǒng),在此設(shè)計安全體系框架,并設(shè)計附屬的指標(biāo)。安全評估與自測評第三方服務(wù)人員進行安全評估首先確定需要評估的對象及系統(tǒng)〔繼承信息系統(tǒng)描述階段的結(jié)果,選擇系統(tǒng)所關(guān)聯(lián)的具體資產(chǎn)以明確評估范圍。然后確認(rèn)軟件內(nèi)設(shè)或自定義的安全指標(biāo),如安全指標(biāo)要修改需返回體系指標(biāo)階段進行調(diào)整。軟件輸出與系統(tǒng)關(guān)聯(lián)的安全評估指標(biāo)清單。根據(jù)安全評估指標(biāo)清單結(jié)合資產(chǎn)類型及數(shù)量自動輸出資產(chǎn)級安全配置清單。資產(chǎn)安全配置清單需關(guān)聯(lián)到每個資產(chǎn)。安全評估方案需專業(yè)安全服務(wù)人員按照軟件提供模板自行填寫,方案中涉及評估范圍、評估指標(biāo)及評估內(nèi)容和方法等內(nèi)容；還需明確評估時間計劃以及人員安排、注意事項等。安全評估checklist是軟件根據(jù)評估指標(biāo)及資產(chǎn)類型自動輸出每個資產(chǎn)和各方面細(xì)粒度的檢查表格。安全評估指資產(chǎn)或網(wǎng)絡(luò)系統(tǒng)在硬件、軟件、協(xié)議設(shè)計和實現(xiàn)、系統(tǒng)采取的安全策略存在的不足和缺陷〔現(xiàn)狀與指標(biāo)的差異。弱點存在的直接后果就是允許非法或非授權(quán)用戶獲取或提高訪問權(quán)限,從而給攻擊者以可乘之機破壞網(wǎng)絡(luò)系統(tǒng)。對于我們標(biāo)準(zhǔn)任務(wù)的弱點評估內(nèi)容實質(zhì)上就是指標(biāo)所涵蓋的所有內(nèi)容,分為技術(shù)與管理2個方面,具體分類如下：管理方面〔單位級：物理、安全制度、安全組織、安全人員、安全策略等技術(shù)方面〔系統(tǒng)級：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、中間件、數(shù)據(jù)庫、終端等工作方法就是按照指標(biāo)中的每一項內(nèi)容進行檢查,看看是否符合要求。最終給用戶呈現(xiàn)出的是有多少個指標(biāo)不符合。這里需要注明的是指標(biāo)項中并不直接寫明需要考察的具體數(shù)據(jù)?！仓笜?biāo)項類似于考試的提綱,比如考試提綱上只告訴考哪個知識點但不會告訴考哪道題。但我們在評估過程中提供具體考察項目〔具體的試題的模板。評估的數(shù)據(jù)結(jié)果是風(fēng)險評估工作的重要數(shù)據(jù),依據(jù)這個數(shù)據(jù)來給判別后邊的風(fēng)險分析結(jié)果及整改建議?！怖纾褐挥星宄覀兛荚嚂r錯了多少題,錯了哪些題；才能出考試的成績,才能有針對性的去改正。工作方法主要是采用工具掃描、滲透測試、人工檢查、現(xiàn)場勘查、人員訪談、文檔審閱、綜合分析等。人工檢查針對服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、中間件、應(yīng)用程序、數(shù)據(jù)庫安全配置及安全現(xiàn)狀的檢查。首先進行檢查時打開檢查列表,檢查列表里會詳細(xì)描述檢查的內(nèi)容及檢查方法并提供結(jié)果的選擇,例如針對WINDOWS2003服務(wù)器的密碼策略檢查：工具掃描針對服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、中間件、應(yīng)用程序、數(shù)據(jù)庫安全漏洞的檢查。工具掃描工作首先需要把需要進行掃描的資產(chǎn)IP地址列出,然后導(dǎo)入掃描工具中進行掃描,掃描結(jié)果將形成報告。掃描報告由掃描器自動生成。滲透測試針對業(yè)務(wù)系統(tǒng)模擬黑客攻擊進行檢查,主要關(guān)注應(yīng)用層的安全漏洞和安全配置問題。如：sql注入、跨站腳本、代碼漏洞等。人員訪談針對負(fù)責(zé)、使用信息系統(tǒng)的各類人員進行訪談,訪談內(nèi)容也是以表格的方式呈現(xiàn)。首先進行訪談時打開訪談列表,訪談列表里