網(wǎng)絡(luò)與信息安全管理崗位

醫(yī)療機(jī)構(gòu)信息技術(shù)網(wǎng)絡(luò)與信息安全崗位指南本文件規(guī)定了醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)與信息安全崗位人員的能力種類、等級標(biāo)準(zhǔn)、崗位任職條件與效能評價(jià)。本文件適用于在醫(yī)療機(jī)構(gòu)從事信息技術(shù)人員的培養(yǎng)方向與崗位的設(shè)置。本文件適用于知南課堂講師或?qū)W員中從事醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)與信息安全運(yùn)維管理人員。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。關(guān)于深化工程技術(shù)人才職稱制度改革的指導(dǎo)意見（人社部發(fā)〔2019〕16號）全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行國衛(wèi)辦規(guī)劃發(fā)〔2018〕4號）信息技術(shù)安全技術(shù)信息安全事件管理指南（GB/T20985.1-2017）信息安全技術(shù)信息安全事件分類分級指南（GB/T20986-2023）信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T22239-2019）信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范（GB/T24363-2009）3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1醫(yī)療機(jī)構(gòu)Medicalinstitutions醫(yī)療機(jī)構(gòu)是指按照國務(wù)院頒布的醫(yī)療機(jī)構(gòu)管理?xiàng)l例的規(guī)定，經(jīng)登記取得醫(yī)療機(jī)構(gòu)執(zhí)業(yè)許可證，從事疾病診斷、治療活動的醫(yī)院、衛(wèi)生院、療養(yǎng)院、門診部、診所、衛(wèi)生所（室）以及急救站等機(jī)構(gòu)。[來源：國務(wù)院令第752號，2022年]3.2網(wǎng)絡(luò)與信息安全人員NetworkandInformationSecuritypersonnel指從事規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動時(shí)，遵照信息安全管理體系和標(biāo)準(zhǔn)工作，通過運(yùn)用各種安全產(chǎn)品和技術(shù)，進(jìn)行安全制度建設(shè)與安全技術(shù)規(guī)劃、日常維護(hù)管理、信息安全檢查與審計(jì)等的人員。本文件中的網(wǎng)絡(luò)與信息安全人員是指在醫(yī)療機(jī)構(gòu)內(nèi)從事的網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、信息安全、安全審計(jì)、應(yīng)用開發(fā)的專業(yè)技術(shù)人員。3.3能力Competence人們對自然探索、認(rèn)知、改造水平的度量，是完成任務(wù)或者達(dá)成目標(biāo)所體現(xiàn)出來的知識、技能及綜合素質(zhì)。能力總是和人完成一定的實(shí)踐相聯(lián)系在一起的。掌握和運(yùn)用知識技能所需的心理特征，達(dá)成一個(gè)目的所具備的條件和水平。3.4能力種類Competencetype完成相同的工作任務(wù)或者達(dá)成目標(biāo)所體現(xiàn)出來的能力。本文件中能力種類分為基礎(chǔ)能力、專業(yè)能力、綜合管理能力三類。3.5能力項(xiàng)Competenceitem完成一項(xiàng)任務(wù)或者達(dá)成目標(biāo)所體現(xiàn)出來的單項(xiàng)能力。本文件中用知識掌握與資格認(rèn)定來呈現(xiàn)某項(xiàng)能力。3.6能力等級Competencelevel通過考試、評審認(rèn)定所達(dá)到的等級。3.7崗位任職條件Postqualifications根據(jù)崗位的性質(zhì)、任務(wù)和要求，本文件中約定從事該崗位工作的人員所需具備的技術(shù)能力、業(yè)務(wù)水平和工作成效等方面要求。3.8效能評價(jià)Effectivenessevaluation效能評價(jià)是一個(gè)系統(tǒng)性的評估過程，旨在確定個(gè)人在特定工作中所具備的能力和潛力。本文件中的效能評價(jià)包括：運(yùn)維管理、安全管理、項(xiàng)目管理、技術(shù)研究與創(chuàng)新、團(tuán)隊(duì)建設(shè)與培訓(xùn)、用戶滿意度。3.9信息系統(tǒng)informationsystem由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。[GB/T20986-2023]3.10信息安全事件informationsecurityincident由于自然或者人為以及軟硬件本身缺陷或者故障的原因，對信息系統(tǒng)造成危害或?qū)ι鐣斐韶?fù)面影響的事件。3.11滲透測試penetration滲透測試是從一個(gè)攻擊者的角度來檢查和審核一個(gè)信息系統(tǒng)安全性的過程。通過信息收集、掃描、漏洞挖掘與驗(yàn)證等方法對目標(biāo)系統(tǒng)進(jìn)行測試，發(fā)現(xiàn)系統(tǒng)存在的安全風(fēng)險(xiǎn)。4能力種類、等級及標(biāo)準(zhǔn)4.1能力種類醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)與信息安全人員能力分為基礎(chǔ)能力、專業(yè)能力和綜合管理能力；能力標(biāo)準(zhǔn)分為6個(gè)能力項(xiàng)。圖1網(wǎng)絡(luò)與信息安全崗位能力表123456基礎(chǔ)能力計(jì)算機(jī)基礎(chǔ)網(wǎng)絡(luò)配置網(wǎng)絡(luò)與信息安全防護(hù)法律法規(guī)運(yùn)維檢測——專業(yè)能力————資源監(jiān)控與分配網(wǎng)絡(luò)與信息安全處置滲透測試網(wǎng)絡(luò)與信息安全運(yùn)維綜合管理能力——————網(wǎng)絡(luò)與信息安全規(guī)劃信息安全項(xiàng)目管理運(yùn)維分析與管理4.2能力等級網(wǎng)絡(luò)與信息安全管理分為五個(gè)專業(yè)技術(shù)崗位等級：技術(shù)員、網(wǎng)絡(luò)與信息安全管理員（助理工程師）、信息安全工程師（工程師）、網(wǎng)絡(luò)安全架構(gòu)師（高級工程師）、專家級網(wǎng)絡(luò)安全架構(gòu)師。4.3能力標(biāo)準(zhǔn)圖2崗位層級對應(yīng)的能力標(biāo)準(zhǔn)崗位層級能力要求信息安全技術(shù)員初步掌握網(wǎng)絡(luò)與信息安全的基礎(chǔ)理論和專業(yè)技術(shù)知識；能完成醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)信息安全相關(guān)的一般技術(shù)輔助性工作能力。網(wǎng)絡(luò)與信息安全管理員能夠運(yùn)用網(wǎng)絡(luò)與信息安全的基礎(chǔ)理論和專業(yè)技術(shù)知識；完成獨(dú)立醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)信息安全相關(guān)的一般性工作的實(shí)際能力。信息安全工程師熟悉網(wǎng)絡(luò)與信息安全崗位的法規(guī)和規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程和規(guī)定；具有運(yùn)用專業(yè)知識，解決醫(yī)療機(jī)構(gòu)內(nèi)較復(fù)雜的技術(shù)問題的能力，能夠指導(dǎo)下級網(wǎng)絡(luò)與信息安全崗位人員的工作和學(xué)習(xí)。網(wǎng)絡(luò)安全架構(gòu)師全面掌握網(wǎng)絡(luò)與信息安全崗位的相關(guān)理論知識，并在計(jì)算機(jī)通信、網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)信息安全及其產(chǎn)品等方面有深入的研究成果；具有主持或作為技術(shù)骨干參加計(jì)算機(jī)通信與信息安全及其產(chǎn)品的研究、設(shè)計(jì)、安裝、調(diào)試工作全過程的經(jīng)歷，能夠指導(dǎo)工程師的工作和學(xué)習(xí)。專家級網(wǎng)絡(luò)安全架構(gòu)師具有全面系統(tǒng)的網(wǎng)絡(luò)與信息安全崗位的專業(yè)理論和豐富的實(shí)踐經(jīng)驗(yàn)、科研水平、學(xué)術(shù)造詣高，得到業(yè)內(nèi)普遍認(rèn)可；具有引領(lǐng)本專業(yè)發(fā)展前沿水平的能力，能夠主持完成本專業(yè)領(lǐng)域重大項(xiàng)目，能夠解決重大技術(shù)問題或掌握關(guān)鍵核心技術(shù)，取得了顯著的經(jīng)濟(jì)效益和社會效益；具有較強(qiáng)的帶教能力。5崗位任職條件5.1信息安全技術(shù)員：能在信息科（處、中心）帶教老師的指導(dǎo)下，完成單體醫(yī)療機(jī)構(gòu)內(nèi)常見、簡單的網(wǎng)絡(luò)、設(shè)備、應(yīng)用等安全配置，并能完成系統(tǒng)安全事件巡檢記錄。5.2網(wǎng)絡(luò)與信息安全管理員：能完成常見、簡單的網(wǎng)絡(luò)、設(shè)備、應(yīng)用等安全配置與防護(hù)。能獨(dú)立完成單體醫(yī)療機(jī)構(gòu)內(nèi)一般性網(wǎng)絡(luò)與信息安全項(xiàng)目方案規(guī)劃、設(shè)計(jì)的工作的能力，能處理本專業(yè)范圍內(nèi)一般性技術(shù)問題。能正確記錄、整理技術(shù)資料，撰寫相關(guān)的技術(shù)工作總結(jié)和調(diào)研報(bào)告；每年不低于24課時(shí)的專業(yè)技能學(xué)習(xí)，并取得一定效果。5.3信息安全工程師：能完成網(wǎng)絡(luò)、設(shè)備、應(yīng)用等安全配置與防護(hù)。能獨(dú)立完成單體醫(yī)療機(jī)構(gòu)整體的網(wǎng)絡(luò)與信息系統(tǒng)安全項(xiàng)目方案規(guī)劃、設(shè)計(jì)的能力；能總結(jié)在解決信息安全等復(fù)雜技術(shù)問題中所得到的經(jīng)驗(yàn)并形成實(shí)質(zhì)成果；每年有不低于24課時(shí)的專業(yè)技能學(xué)習(xí)，并取得良好效果，省級以上平臺公開學(xué)術(shù)分享1次；年度內(nèi)無工作失責(zé)、失誤導(dǎo)致的信息安全事件。5.4網(wǎng)絡(luò)安全架構(gòu)師：長期從事醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全工作，在信息安全工程師的基礎(chǔ)上取得重要成果并得到業(yè)內(nèi)專家認(rèn)可；在指導(dǎo)中青年學(xué)術(shù)技術(shù)骨干方面發(fā)揮重要作用，取得較高的社會效益或經(jīng)濟(jì)效益。每年不低于12課時(shí)的專業(yè)技能學(xué)習(xí)，省級以上平臺公開學(xué)術(shù)分享2次；上年度無工作失責(zé)、失誤導(dǎo)致的信息安全事件。5.5專家級網(wǎng)絡(luò)安全架構(gòu)師：長期從事醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全工作，有著較高的學(xué)術(shù)聲譽(yù)，能夠解決重大的網(wǎng)絡(luò)信息安全技術(shù)問題或掌握關(guān)鍵核心技術(shù)；取得重大理論研究成果或取得實(shí)踐創(chuàng)新性成果；在指導(dǎo)中青年學(xué)術(shù)技術(shù)骨干方面發(fā)揮突出作用，取得顯著的社會效益或經(jīng)濟(jì)效益。每年不低于6課時(shí)的專業(yè)技能學(xué)習(xí)，省級以上平臺公開學(xué)術(shù)分享2次；年度無工作失責(zé)、失誤導(dǎo)致的信息安全事件。6效能評價(jià)根據(jù)醫(yī)療機(jī)構(gòu)的具體情況和需求設(shè)置評價(jià)指標(biāo)的分值和權(quán)重，對醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)與信息安全崗位人員的工作效率與效果進(jìn)行全面評估?！粘＿\(yùn)維管理：評價(jià)網(wǎng)絡(luò)與信息安全崗位人員在日常網(wǎng)絡(luò)安全運(yùn)維與維護(hù)工作中的表現(xiàn)。包括故障處理、網(wǎng)絡(luò)安全配置、信息安全事件監(jiān)測等方面，以保證網(wǎng)絡(luò)安全性和可用性?！W(wǎng)絡(luò)與信息安全管理：評估網(wǎng)絡(luò)與信息安全崗位人員在涉及網(wǎng)絡(luò)與信息安全的政策法規(guī)執(zhí)行、等級保護(hù)重要信息系統(tǒng)備案、測評、監(jiān)督檢查情況。網(wǎng)絡(luò)與信息安全防護(hù)方面的知識和實(shí)踐能力，包括入侵檢測系統(tǒng)部署、滲透測試、安全運(yùn)維、漏洞監(jiān)測與加護(hù)、應(yīng)急響應(yīng)等，以確保醫(yī)院網(wǎng)絡(luò)信息安全?！W(wǎng)絡(luò)與信息安全項(xiàng)目管理：評估網(wǎng)絡(luò)與信息安全崗位人員在項(xiàng)目管理與協(xié)調(diào)方面的能力。包括項(xiàng)目進(jìn)度控制、資源調(diào)配、團(tuán)隊(duì)協(xié)作等，以提高工作效率和項(xiàng)目成功率。——技術(shù)研究與創(chuàng)新：評價(jià)網(wǎng)絡(luò)與信息安全崗位人員在技術(shù)研究與創(chuàng)新方面的能力。包括科研能力，學(xué)科水平和通過新技術(shù)應(yīng)用、業(yè)務(wù)管理的探索與實(shí)踐、推動網(wǎng)絡(luò)技術(shù)升級等所取得