信息安全日常運(yùn)維操作與管理制度

信息安全日常運(yùn)維操作與管理制度

第一章總則

第一條為加強(qiáng)醫(yī)院信息安全日常運(yùn)維管理工作，提高

運(yùn)維操作的規(guī)范性和安全性，特制定本辦法。

第二條本辦法適用于醫(yī)院各科室的信息安全管理工作。

第二章范圍

第三條為指導(dǎo)和規(guī)范信息安全日常運(yùn)維操作和管理，

本規(guī)定內(nèi)容適用的范圍：

基礎(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行的日常管理和維護(hù)；

應(yīng)用系統(tǒng)數(shù)據(jù)的安全管理和維護(hù)；

硬件設(shè)備維護(hù)；

應(yīng)用系統(tǒng)以及應(yīng)用支撐平臺(tái)的日常管理和維護(hù)等。

第三章職責(zé)

第四條由辦公室負(fù)責(zé)醫(yī)院數(shù)據(jù)安全運(yùn)維管理、實(shí)施以

及監(jiān)督工作，其職責(zé)如下：

負(fù)責(zé)應(yīng)用系統(tǒng)的管理和維護(hù)工作，解決并記錄應(yīng)用系

統(tǒng)中的問題，按照權(quán)限分配表在應(yīng)用系統(tǒng)中設(shè)置用戶的權(quán)

限；

負(fù)責(zé)服務(wù)器操作系統(tǒng)的管理和維護(hù)工作，對(duì)服務(wù)器中

軟件的安裝及刪除進(jìn)行管理和記錄；

負(fù)責(zé)數(shù)據(jù)庫的管理和維護(hù)工作，進(jìn)行數(shù)據(jù)備份和恢復(fù)

測(cè)試，并對(duì)備份的存放介質(zhì)進(jìn)行管理；

負(fù)責(zé)網(wǎng)絡(luò)的管理和維護(hù)工作；

負(fù)責(zé)本單位內(nèi)的信息安全管理工作；

負(fù)責(zé)機(jī)房的管理和維護(hù)工作；

負(fù)責(zé)系統(tǒng)文檔的安全管理工作等。

第四章設(shè)備安全操作

第五條在對(duì)信息化系統(tǒng)中的各類設(shè)備進(jìn)行操作時(shí)，應(yīng)

嚴(yán)格按照具體應(yīng)用需求進(jìn)行。

第六條在進(jìn)行操作前，應(yīng)書面填寫操作申請(qǐng)單，列明

操作所涉及的設(shè)備、對(duì)系統(tǒng)可能帶來的影響以及相應(yīng)的應(yīng)對(duì)

措施，在得到院部審批后，方可進(jìn)行操作。

第七條在進(jìn)行操作前，應(yīng)對(duì)設(shè)備當(dāng)前配置或者數(shù)據(jù)進(jìn)

行記錄或者備份。

第八條操作完成后，應(yīng)對(duì)本次操作過程和操作結(jié)果進(jìn)

行記錄并提交辦公室存檔。

第五章終端日常使用管理

第九條在網(wǎng)絡(luò)中的用戶終端應(yīng)嚴(yán)格按照要求進(jìn)行操作,

遵守內(nèi)外網(wǎng)分離的要求，不得擅自修改IP地址、擅自卸載

桌面管理系統(tǒng)、殺毒軟件等。應(yīng)按照要求按時(shí)進(jìn)行病毒掃描

和補(bǔ)丁升級(jí)。

第十條移動(dòng)介質(zhì)安全管理：

1、移動(dòng)介質(zhì)不能在內(nèi)、外網(wǎng)終端之間混用;

2、在移動(dòng)介質(zhì)接入終端后應(yīng)立即進(jìn)行病毒掃描；

3、使用移動(dòng)介質(zhì)拷貝重要數(shù)據(jù)完成后，應(yīng)立即清除；

4、涉及信息化系統(tǒng)的技術(shù)資料、安裝介質(zhì)等應(yīng)由專人

進(jìn)行妥善保管，借出使用時(shí)應(yīng)登記并按要求準(zhǔn)時(shí)歸還。

第六章應(yīng)用系統(tǒng)運(yùn)行安全管理

第十一條對(duì)于各應(yīng)用系統(tǒng)以及應(yīng)用系統(tǒng)支撐平臺(tái)的日

常運(yùn)行情況要定期進(jìn)行記錄、分析和匯報(bào)。各應(yīng)用系統(tǒng)使用

科室對(duì)于發(fā)現(xiàn)的異常情況要及時(shí)通報(bào)辦公室以便及時(shí)解決。

第十二條系統(tǒng)管理員負(fù)責(zé)應(yīng)用系統(tǒng)的安裝、維護(hù)和系

統(tǒng)及數(shù)據(jù)備份；根據(jù)應(yīng)用系統(tǒng)的安全策略，負(fù)責(zé)應(yīng)用系統(tǒng)的

用戶權(quán)限設(shè)置以及系統(tǒng)安全配置。

第十三條應(yīng)用系統(tǒng)維護(hù)和應(yīng)急處理記錄要求：

1、設(shè)置“應(yīng)用系統(tǒng)維護(hù)和應(yīng)急處理記錄”，系統(tǒng)管理員

記錄系統(tǒng)的運(yùn)行情況；

2、對(duì)系統(tǒng)異常、系統(tǒng)故障的日期、現(xiàn)象、處理方法及

結(jié)果等應(yīng)急處理進(jìn)行記錄；

3、對(duì)應(yīng)用系統(tǒng)的安裝、設(shè)置更改、帳號(hào)變更、組變更、

備份等系統(tǒng)維護(hù)工作進(jìn)行記錄，以備查閱；

4、對(duì)應(yīng)用系統(tǒng)異常和系統(tǒng)故障的時(shí)間、現(xiàn)象、應(yīng)急處

理方法及結(jié)果作詳細(xì)的記錄。

第十四條應(yīng)用系統(tǒng)軟件、資料以及許可證的管理：

1、必須對(duì)應(yīng)用系統(tǒng)軟件的介質(zhì)、資料和許可證進(jìn)行登

記，并設(shè)專人負(fù)責(zé)保管;

2、登記的內(nèi)容應(yīng)包括軟件的名稱和版本、軟件出版商、

許可證類型和數(shù)量、介質(zhì)的編號(hào)和數(shù)量、軟件安裝序列號(hào)、

手冊(cè)名稱和數(shù)量、購買日期等；

3、應(yīng)用系統(tǒng)軟件和資料的借用，需要審批和借還登記

手續(xù)；

4、對(duì)重要應(yīng)用系統(tǒng)軟件介質(zhì)和資料要進(jìn)行復(fù)制，借用

時(shí)應(yīng)提供復(fù)制品，以保護(hù)好原件及避免丟失。

第十五條應(yīng)用系統(tǒng)配置的備份的管理

1、系統(tǒng)管理員應(yīng)對(duì)系統(tǒng)的配置參數(shù)及相關(guān)文件進(jìn)行備

份；

2、當(dāng)配置發(fā)生變更時(shí)必須重新備份，以便系統(tǒng)故障時(shí)

能盡快恢復(fù)系統(tǒng)配置。

第十六條應(yīng)用系統(tǒng)數(shù)據(jù)的備份的管理

1、備份權(quán)限，備份介質(zhì)都必須加以妥善保管，防止非

法訪問；

2、如果開發(fā)數(shù)據(jù)庫中導(dǎo)入了數(shù)據(jù)庫的數(shù)據(jù)，要確保為

生產(chǎn)數(shù)據(jù)庫所指定的安全規(guī)則也用于開發(fā)數(shù)據(jù)庫中；

3、制定備份策略，以高效備份與恢復(fù)為目標(biāo)，與操作

系統(tǒng)備份結(jié)合，物理備份與導(dǎo)出相結(jié)合。

第七章系統(tǒng)數(shù)據(jù)的安全管理

第十七條根據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)的生命周期和重要性，分

別設(shè)置合理的在線、近線、離線數(shù)據(jù)的存儲(chǔ)、備份策略。

第十八條備份策略應(yīng)形成書面材料由院部審核后存檔。

第十九條當(dāng)應(yīng)用系統(tǒng)發(fā)生變化時(shí)，應(yīng)及時(shí)評(píng)估其對(duì)數(shù)

據(jù)備份要求的影響，制訂新的備份策略，經(jīng)審核后存檔。

第二十條備份的數(shù)據(jù)應(yīng)定期檢查，重要數(shù)據(jù)應(yīng)在備份

后隨機(jī)抽取進(jìn)行恢復(fù)測(cè)試以保證備份數(shù)據(jù)的可用性；超過時(shí)

效的備份應(yīng)在獲得信息管理科室的書面同意后及時(shí)格式化

或者銷毀。

第八章系統(tǒng)運(yùn)行平臺(tái)的安全管理

第二十一條系統(tǒng)運(yùn)行平臺(tái)指的是支撐應(yīng)用系統(tǒng)運(yùn)行的

主機(jī)、操作系統(tǒng)以及數(shù)據(jù)庫、中間件等平臺(tái)軟硬件。

第二十二條系統(tǒng)運(yùn)行平臺(tái)由辦公室統(tǒng)一進(jìn)行管理和維

護(hù)，主要內(nèi)容包括：系統(tǒng)平臺(tái)配置，登錄/操作審計(jì)、訪問

端口限制、補(bǔ)丁更新、日志分析、數(shù)據(jù)備份、口令管理等。

第九章口令/密碼/密鑰安全管理要求

第二十三條應(yīng)用系統(tǒng)管理員在系統(tǒng)中為每個(gè)用戶設(shè)立

一個(gè)賬戶，其權(quán)限按照經(jīng)單位負(fù)責(zé)人批準(zhǔn)的《應(yīng)用系統(tǒng)用戶

權(quán)限分配表》和《應(yīng)用系統(tǒng)角色權(quán)限表》中的描述設(shè)定。應(yīng)

用系統(tǒng)的所有賬戶應(yīng)符合統(tǒng)一口令策略的要求設(shè)置和更新

密碼。

第二十四條服務(wù)器的操作系統(tǒng)中沒有未授權(quán)的登錄賬

號(hào)，確需保留的系統(tǒng)賬號(hào)應(yīng)有明確的管理人員。操作系統(tǒng)中

賬戶應(yīng)符合醫(yī)院統(tǒng)一口令策略的要求設(shè)置和更新密碼。

第二十五條數(shù)據(jù)庫中的所有賬號(hào)應(yīng)符合統(tǒng)一口令策略

的要求設(shè)置和更新密碼。

第二十六條密碼和密鑰要求長(zhǎng)度超過8位，要求信息

管理科室管理員做好密鑰的產(chǎn)生、保存、分配、使用、廢除、

歸檔和銷毀工作。

第十章系統(tǒng)文檔的安全管理

第二十七條信息化系統(tǒng)文檔的管理由辦公室統(tǒng)一進(jìn)行。

其職責(zé)包括：文檔存檔管理；文檔更新管理；文檔借閱管理；

文檔銷毀管理。

第十一章系統(tǒng)的安全監(jiān)測(cè)

第二十八條系統(tǒng)的安全監(jiān)測(cè)由辦公室統(tǒng)一進(jìn)行。其職

責(zé)包括：

1、依靠安全運(yùn)維平臺(tái)、網(wǎng)管軟件、桌面管理系統(tǒng)等工

具，每周對(duì)信息化系統(tǒng)進(jìn)行監(jiān)測(cè)，對(duì)于重點(diǎn)與核心部分內(nèi)容

則每天進(jìn)行監(jiān)測(cè)；

2、為每次監(jiān)測(cè)填寫監(jiān)測(cè)記錄；

3、分析監(jiān)測(cè)記錄，找出系統(tǒng)可能存在的隱患并及時(shí)處

理等。

第十二章備份和恢復(fù)管理

第二十九條定期對(duì)信息系統(tǒng)的數(shù)據(jù)、軟硬件的配置文

件進(jìn)行備份。

第三十條根據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)的生命周期和重要性，分

別設(shè)置合理的在線、近線、離線數(shù)據(jù)的存儲(chǔ)、備份策略。備

份策略應(yīng)形成書面材料，交由辦公室存檔。

第三十一條網(wǎng)絡(luò)服務(wù)器數(shù)據(jù)備份工作，系統(tǒng)備份每周

做一次。系統(tǒng)管理員在每周最后一個(gè)工作日，將應(yīng)用服務(wù)器

的數(shù)據(jù)庫文件做一次異