《医院等保三级测评方案、网络信息安全等级保护测评方案.docx》由会员分享,可在线阅读,更多相关《医院等保三级测评方案、网络信息安全等级保护测评方案.docx(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、医院网络信息系统三级等保测评方案北京XX科技有限公司2019年8月目录第1章方案概述51.1 背景51.2 方案设计目标71.3 方案设计原则81.4 方案设计依据9第2章 信息系统定级情况12第3章安全需求分析133.1安全指标与需求分析13第4章信息安全体系框架设计16第5章管理体系整改方案175.1 安全制度制定解决方案175.1.1 策略结构描述175.1.2 安全制度制定205.1.3 满足指标215.2 安全制度管理解决方案211.1.1 安全制度发布211.1.2 安全制度修改与废止221.1.3 安全制度监督和检查221.1.4 安全制度管理流程231.1.5 满足指标265.
2、3 安全教育与培训解决方案275.3.1 信息安全培训的对象275.3.2 信息安全培训的内容285.3.3 信息安全培训的管理295.3.4 满足指标305.4 人员安全管理解决方案305.4.1 普通员安全管理305.4.2 安全岗位人员管理325.4.3 满足指标375.5 第三方人员安全管理解决方案375.5.1 第三方人员短期访问安全管理385.5.2 第三方人员长期访问安全管理395.5.3 第三方人员访问申请审批流程信息表415.5.4 第三方人员访问申请审批流程图425.5.5 满足指标425.6 系统建设安全管理解决方案435.6.1 系统安全建设审批流程435.6.2 项目
3、立项安全管理445.6.3 信息安全项目建设管理465.6.4 满足指标505.7 等级保护实施管理解决方案525.7.1 信息系统描述545.7.2 等级指标选择625.7.3 安全评估与自测评655.7.4 方案与规划705.7.5 建设整改725.7.6 运维775.7.7 满足指标805.8 软件开发安全管理解决方案805.8.1 软件安全需求管理815.8.2 软件设计安全管理825.8.3 软件开发过程安全管理875.8.4 软件维护安全管理895.8.5 软件管理的安全管理915.8.6 软件系统安全审计管理915.8.7 满足指标925.9 安全事件处置与应急解决方案935.9
4、.1 安全事件预警与分级935.9.2 安全事件处理985.9.3 安全事件通报1035.9.4 应急响应流程1045.9.5 应急预案的制定1055.9.6 满足指标1155.10 日常安全运维管理解决方案1165.10.1 运维管理1165.10.2 介质管理1185.10.3 恶意代码管理1195.10.4 变更管理管理1215.10.5 备份与恢复管理1225.10.6 设备管理管理1255.10.7 网络安全管理1295.10.8 系统安全管理1325.10.9 满足指标1355.11 安全组织机构设置解决方案1405.11.1 安全组织总体架构1405.11.2 满足指标1445.
5、12 安全沟通与合作解决方案1455.12.1 沟通与合作的分类1455.12.2 风险管理不同阶段中的沟通与合作1475.12.3 满足指标1485.13 定期风险评估解决方案1485.13.1 评估方式1495.13.2 评估内容1505.13.3 评估流程1515.13.4 满足152第6章 技术体系整改方案1546.1 总体部署说明1546.1.1 内网网络部署方案1546.1.2 外网网络部署方案1556.1.3 DMZ数据交换区域部署方案1576.2 边界访问控制解决方案1586.2.1 需求分析1586.2.3 方案效果1606.2.4 满足指标1626.3 边界入侵防御解决方案
6、1631.1.1 而求分析1631.1.2 方案设计1641.1.3 方案效果1671.1.4 满足指标1686.4 网关防病毒解决方案1696.4.1 而?1696.4.2 方案设计1706.4.3 方案效果1716.4.4 满足指标1726.5 网络安全审计解决方案1736.5.1 需求分析1736.5.2 方案设计1746.5.3 方案效果1816.5.4 满足指标1856.6 漏洞扫描解决方案1876.6.1 需求分析1876.6.2 方案设计1896.6.3 方案效果1936.6.4 满足指标1966.7 应用监控解决方案1986.7.1 需求分析1986.7.2 方案设计1986.
7、7.3 方案效果2006.7.4 满足指标2026.8 安全管理中心解决方案2046.8.1 需求分析2046.8.2 方案设计2056.8.3 方案效果2216.8.4 满足指标2236.9 运维平台解决方案2246.9.!需求分析2246.9.2方案设计225第7章技术体系符合性分析4587.1 物理安全4587.2 网络安全4637.3 主机安全4707.4 应用安全4767.5 数据安全与备份恢复483第8章 方案整体部图和初步预算4858.1项目预算486第1章方案概述1.I背景医院是个信息和技术密集型的行业,其计算机网络是个完善 的办公网络系统,作为个现代化的医疗机构网络,除了要满
8、足高效 的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院 复杂的HIS、LIS、PACS等应用系统,要求网络必须能够满足数据、 语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种 高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医 院的网络系统连接着Internet、医保网和高校等,访问人员比较复 杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新 月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落, 它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息 网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算 机操作系统、网络协
9、议等安全技术上的漏洞和管理体制上的不严密, 都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速 信息传达的现代化医院,如果遭到致命攻击,会给社会造成多大的影 响。为了保障我国关键基础设施和信息的安全,结合我国的基本国情, 制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作 的基本制度、基本国策,促进信息化、维护国家信息安全的根本保障。而针对医疗卫生行业,卫生部于2011年11月分别发布卫生部办公 厅关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函 (2011) 1126号),卫生部关于印发卫生行业信息安全等级保护 作的指导意见的通知(卫办发(2011) 85号),8
10、5号文规定了主要 工作内容:1 .定级备案(规定了定级范围及级别)2 .建设与整改(规定了二级(含)以上系统需进行差距分析与整 改)3 .等级测评(规定了三级(含)以上需进行等保测评)4 .宣传培训(规定了各类卫生机构需进行信息安全培训,提高安 全意识)5 .监督检查(规定了信息化工作领导小组对各医疗机构等级保 护工作进行督导)全面开展等级保护建设,对医院特别是三级甲等医院的信息化建 设提出了更高的要求,其核心业务信息系统的建设应按照不低于等级 保护三级的标准进行。医院位是一所集医疗、科研、教学、预防、保健、康复于一体的 三级乙等综合性公立医院,是川北医学院教学医院,“住院医师规范 化培训基地
11、、全科医师培训基地、执业医师临床实践技能考核”医院,、 雁江区两级城镇职基本医疗保险、大病统筹、新农合医疗定点医院, 工伤保险、生育保险和太平洋、平安、中国人寿、泰康人寿等商业保 险医疗定点医院。是四川大学华西医院远程会诊、远程教学定点医院。医院先后被部、省、市、卫生行政主管部门表彰为“全国卫生 作先进集体”、“全国计划生育工作先进集体”、四川省文明医院”、 “四川省文明单位”、“最佳文明单位”等光荣称号。办院理念:突出中心,病人第一;奉献社会,服务第一;奋攀 登,发展第一。办院目标;一流的管理,一流的技术,一流的质量,一流的服务, 一流的环境。办院方针;科技兴院,质量立院,管理强院,从严治院
12、。办院办法;人尽其才,财尽其效,物尽其用,地尽其利。为了保障医院的医疗信息化业务的高效运行,以政策性信息安全 等级保护建设为指导,根据GB/T 22240-2008信息安全技术信息 系统安全等级保护定级指南和GB/T 22239-2008信息安全技术 信 息系统安全等级保护基本要求,进行三级实施保护的优化设计,让 医院的网络系统达到信息安全的三级等级保护要求。1.2 方案设计目标本次医院核心业务系统等级保护安全建设的主要目标是;按照等级保护要求,结合实际业务系统,对医院核心业务系统进 行充分调研及详细分析,将医院核心业务系统系统建设成为个及满 足业务需要,又符合等级保护三级系统要求的业务平台。
13、建设套符合国家政策要求、覆盖全面、重点突出、持续运行的 信息安全保障体系,达到国内一流的信息安全保障水平,支撑和保障 信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的 各项内容,符合信息系统的业务特性和发展战略,满足医院信息安全 要求。1.3 方案设计原则“全面保障”原则:信息安全风险的控制需要多角度、多层次, 从各个环节入手,全面的保障。“整体规划,分步实施原则:对信息安全建设进行整体规划, 分步实施,逐步建立完善的信息安全体系。“同步规划、同步建设、同步运行”原则:安全建设应与业务系 统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给 业务系统带来危害。“适度安全”原
14、则:没有绝对的安全,安全和易用性是矛盾的, 需要做到适度安全,找到安全和易用性的平衡点。“内外并重”原则:安全工作需要做到内外并重,在防范外部威 胁的同时,加强规范内部人员行为和访问控制、监控和审计能力。“标准化”原则:管理要规范化、标准化,以保证在能源行业庞 大而多层次的组织体系中有效的控制风险。“技术与管理并重”原则:网络与信息安全不是单纯的技术问题, 需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安 全管理规章制度和操作规程,全面提高安全管理水平。1.4 方案设计依据本方案的设计主要依据以下等级保护政策: 公安部、国家保密局、国际密码管理局、国务院信息化工 作办公室联合转发的
15、关于信息安全等级保护工作的实施意见(公通字(2004) 66号) 公安部、国家保密局、国家密码管理局、国务院信息化工 作办公室制定的信息安全等级保护管理办法(公通字(2007) 43号) 公安部颁发的关于开展信息安全等级保护安全建设整改 工作的指导意见(公信安(2009) 1429号) 公安部关于推动信息安全等级保护测评体系建设和开展 等级测评工作的通知(公信安(2010) 303号) 本方案的设计主要依据如下等级保护标准: 信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008) 信息安全技术信息系统等级保护安全设计技术要求(GB/T 25070-2010)本方案还参考了如下
16、些政策和标准: 信息安全技术信息系统安全等级保护定级指南(GB/T 22240-2008) 信息安全技术信息系统安全等级保护实施指南 信息安全技术信息系统安全等级保护测评要求 信息安全技术信息系统安全等级保护测评过程指南 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息安全技术信息系统通用安全技术要求(GB/T20271-2006) 信息安全技术网络基础安全技术要求(GB/T20270-2006) 信息安全技术操作系统安全技术要求(GB/T20272-2006) 信息安全技术数据库管理系统安全技术要求(GB/T 20273-2006) 信息安全技术服务器技术要求(GB/T
17、21028-2007) 信息安全技术终端计算机系统安全等级技术要求(GA/T 671-2006) 信息安全技术信息系统安全管理要求(GB/T20269-2006) 信息安全技术信息系统安全工程管理要求(GB/T 20282-2006) GB/T 22080-2008/ISO/IEC 27001:2005信息技术安全技术 信息安全管理体系要求 IATF信息保障技术框架第2章信息系统定级情况医院核心业务系统是医院信息系统(Hospital Information System , HIS )和影像归档和通信系统(Picture Archiving and Communication Systems
18、, PACS)、实验室(检验科)信息系统 (Laboratory Information System, LIS) 目前已经完成系统定级,最终 确定医院核心业务信息系统安全保护等级为第三级。HIS系统是基于计算机网络、按照一定的应用目标和规则对医院 临床及管理业务信息进行采集、加工、存储、传输、检索和服务的人 机系统。整个网络主干千兆,百兆到桌面,为两层星型结构。该系统 承载着全院人、财、物的行政管理和有关门、急诊病人及住院病人的 医疗事务处理业务,主要包括门诊挂号、电子医嘱和处方、计价收费、 药房药库管理、住院病人管理、检验检查信息管理、病案管理、卫生 统计、物资和固定资产管理等二十几个紧密
19、耦合的子系统。各子系统 必须协同运行,支持医院临床诊疗、科研教学、经营决策等方方面面 的日常业务与管理工作,是一体化的信息系统。第3章安全需求分析3.1安全指标与需求分析医院核心业务系统的安全建设核心需求即满足等级保护的相关 要求,因此将以满足等级保护指标为目标。根据定级结果,整体按三 级来管理和建设。那么,可以确定需要满足的等级保护指标如下:单位级安全指标(三级)安全管理机构人员安全管理安全管理制度数据安全 及备份恢复网络安全物理安全系统运维管理系统建设管理控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量岗位设置4安全意识教 育和培训4管理制 度4备份和恢复4
20、安全审计4电磁防护3安全事件处置6安全方案设计5沟通和合作5人员考核3评审和 修订2数据保密性2边界完整性 检査2电供应4备份与恢复管 理5安全服务商选 择3人员配备3人员离岗3制定和 发布5数据完整性2恶意代码防 陋2防盗窃和防 破坏6变更管理4测试验收5审核和检査4人员录用4访问控制8防火3恶意代码防范 管理4产品采购和使 用4授权和审批4外部人员访 问管理2结构安全7防静电2环境管理4等级测评4入侵防范2防雷击3监控和安全管 理中心3工程实施3防水和防潮4介质管理6外包软件开发4温湿度控制1密码管理1系统备案3物理访问控 制4设备管理5系统定级4物理位置的 选择2网络安全管理8系统交付5
21、系统安全管理7自行软件开发 (5)0应急预案管理5资产管理4201611825326240总计214第4章信息安全体系框架设计医院核心业务系统安全体系框架分为技术体系与管理管理体系 两部分。其中:技术体系参考设计技术要求,分为计算环境安全、边界安 全、通信网络安全和安全管理中心四部分。同时满足基本 要求中物理安全、网络安全、主机安全、应用安全和数据 安全等方面技术指标。安全管理体系分为安全组织、安全策略、安全建设和安全运 维四部分。第5章管理体系整改方案5.1 安全制度制定解决方案安全制度是指导医院核心业务系统维护管理工作的基本依据,安全管理和 维护管理人员必须认真制定的制度,并根据工作实际情
22、况,制定并遵守相应 的安全标准、流程和安全制度实施细则,做好安全维护管理工作。安全制定的适用范围是医院核心业务系统拥有的、控制和管理的所有信息 系统、数据和网络环境,适用于属于医院核心业务系统范围内的所有部门。 对人员的适用范围包括所有与医院核心业务系统的各方面相关联的人员,它 适用于全部应用医院核心业务系统的相关工作人员,全部医院核心业务系统 范围内容的维护人员,集成商,软件开发商,产品提供商,顾问,临时, 商务伙伴和使用医院核心业务系统的其他第三方。安全策略体系建立的价值在于:推进信息安全管理体系的建立安全策略和制度体系的建设安全组织体系的建设a安全运作体系的建设规范信息安全规划、采购、建
23、设、维护和管理工作,推进信息安全的规 范化和制度化建设5.1.1策略结构描述信息安全策略为信息安全提供管理指导和支持。医院核心业务系统应该制 定一套清晰的指导方针,并通过在组织内对信息安全策略的发布和保持来证 明对信息安全的支持与承诺。策略系列文档结构图:最高方针最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信 息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的 原则方法和指导性策略。与其它部分的关系:所有其它部分都从最高方针引申出来,并遵照最高方针,不与之发生违背 和抵触。组织机构和人员职责安全管理组织机构和人员的安全职责,包括的安全管理机构组织形式和运 作方
24、式,机构和人员的一般责任和具体责任。作为机构和员工具体工作时的 具体职责依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。与其它部分的关系:从最高方针中延伸出来,其具体执行和实施由管理规定、技术标准规范、 操作流程和用户手册来落实。技术标准和规范技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序的应 遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络 设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全 管理和维护时必须遵照的标准,不允许发生违背和冲突。与其它部分的关系:向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。管理制度
25、和规定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各 个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和 实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。此部分 文档较多。与其它部分的关系:向上遵照最高方针。向下延伸到用户签署的文档和协议。用户协议必须遵 照管理规定和管理办法,不与之发生违背。安全操作流程操作流程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意 事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得 到有效推行和实施的。与其它部分的关系:向上遵照技术标准和规范、最高方针。用户协议用户签署的文档和协议。包括安全管理
26、人员、网络和系统管理员的安全责 任书、保密协议、安全使用承诺等等。作为员或用户对日常工作中的遵守 安全规定的承诺,也作为安全违背时处罚的依据。与其它部分的关系:向上遵照管理制定和规定、最高方针。需要制定的策略文档本项目中需要制定的策略文档至少覆盖以下方面:B安全方针B安全组织 资产分类及控制B人员安全 物理和环境安全 通信和运作管理 系统访问控制 系统开发与维护 安全事件处理 业务连续性规划 符合性1.1.2 安全制度制定安全制度的首要问题是需要对安全制度的制定,对于医院核心业务系统 公司在安全制度的制定的过程中,考虑如下内容:界定安全策略制度的制定权限 公司网络与信息安全管理小组负责制定公司
27、层的安全策略,主要包括: 公司信息安全体系、公司安全策略框架、公司信息安全方针公司信息 安全体系等级化标准、公司全局性安全技术标准和技术规范、公司全局 性安全管理制度和规定、公司安全组织机构和人员职责、公司层全局性 用户协议。 各部门信息安全组织遵照公司下发的安全策略,结合本部门系统实际情 况,制定和细化成适用于本部门的具体管理办法、实施细则和操作规程等,不得与公司的规章制度相抵触,并须报公司信息安全管理部门备案。安全策略的制定要求 公司安全策略中不得出现公司的涉密信息。 对公司安全策略进行汇编时,须保留各安全策略的版本控制信息和密级标识。1.1.3 满足指标解决方案名 称控制类控制点指标名称
28、措施名称改进动作安全制度制 定解决方案安全管理 制度管理制度a应制定信息安全工作的总体 方针和安全策略,说明机构 安全工作的总体目标、范围、 原则和安全框架等;制定安全 方针安全制度开发安全制度制 定解决方案安全管理 制度管理制度b应对安全管理活动中的各类 管理内容建立安全管理制 度:建立各类 安全管理 制度安全制度开发安全制度制 定解决方案安全管理 制度管理制度c应对要求管理人员或操作人 员执行的日常管理操作建立 操作规程:建立各类 操作规程安全制度开发安全制度制 定解决方案安全管理 制度管理制度d应形成由安全策略、管理制 度、操作规程等构成的全面 的信息安全管理制度体系。编制制度 体系说明
29、 文档安全制度开发5.2 安全制度管理解决方案安全制度制定后,对安全制度的管理工作十分重要,在对安全制度管理 过程中,需要注意如下内容:5.3 .!安全制度发布 安全策略须以正式文件的形式发布施行。 公司层安全策略由公司网络与信息安全工作组制订,公司网络与信息安 全领导小组审批、发布。 部门层安全策略由各生产中心安全管理组织制订,公司网络与信息安全 工作组审批、发布,同时要留存公司信息安全管理部门备案。 系统层安全策略由各系统管理员制订、本中心安全管理员协助,本部门 安全管理组织审批、发布,同时要留存公司信息安全管理部门备案。 安全策略发布后,如有必要,安全策略制定部门应召集相关人员学习安全策
30、略,详细讲解规章制度的内容并解答疑问安全策略修订后需要以正式文件的形式重新发布施行,修订后的策略也 需相应层次的管理部门审批。签署发布的规章制度必须标明该规章制度的施行日期。5.2.2 安全制度修改与废止 须定期对安全策略进行评审,对其中不适用的或欠缺的条款,及时进行 修改和补充。对已不适用的信息安全制度或规定应及时废止。 当现行安全策略有下列情形之一时,须及时修改:(一)当发生重大安全事件,暴露出安全策略存在漏洞和缺陷时;(二)组织机构或生产系统进行重大调整和变更后;(三)同一个事项在两个规章制度中规定不一致;(四)与上级部门的安全策略相抵触;其它需要修改安全策略的情形。 当现行安全策略有下
31、列情形之一时,必须及时予以废止:(一)因有关信息安全制度或规定废止,使该信息安全制度或规定失 去依据,或与公司现行上层策略相抵触;(二)因已规定的事项已经执行完毕,没有存在必要;(三)已被新的规章制度所替代。 公司层安全策略的修改与废止须经公司信息安全领导组织审批确认,公 司信息安全管理部门备案。 部门层安全策略的修改与废止须经各部门信息安全维护组织及公司信 息安全管理部门审批确认。同时公司信息安全管理部门备案。5.2.3 安全制度监督和检查 安全策略发布实施后,各部门应就安全策略制度或规定的贯彻执行,执 行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检 查、监督,并将意见和建议及
32、时反馈给制度的制定部门。 为保障各项信息安全管理制度的贯彻落实,公司信息安全管理部门必须 定期检查安全策略的落实情况,信息安全管理制度的落实情况检查是信 息安全检查工作的重要内容。 信息安全检查工作结束后,在起草检查报告时,必须通报安全策略的落 实情况,对执行不力的行为必须提出整改意见,限期纠改,并继续追踪 其落实情况。 安全策略的贯彻落实情况,必须作为重要的考核项目,纳入部门的综合 考评体系。为安全策略落实做出显著成绩的部门或个人,应给予表彰和奖励;对违 反规章制度造成严重后果的部门或个人,应追究当事人、相关单位及主管领 导的责任。具体参照公司考核制度办理。5.2.4 安全制度管理流程制度管
33、理流程信息表下表给出了制度管理流程表,供本次项目参考:流程名称策略管理流程流程编码OPT-6流程负责人公司信息安全办公室流程起点: 制定安全策略流程目的:规范公司以及各部门信息 安全策略的制定、发布、修改、废止、检 查和监督落实,建立科学、严谨的信息安 全策略管理体系。流程终点:审议安全策略执行步骤 编号操作 步骤操作描述操作岗位1策略制定 公司级信息安全策略由公司 信息安全办公室负责制定, 部门级信息安全策略由部门 信息安全组织负责制定部门信息安全组织/公司信息安全办公室2审核 与发布, 公司级策略 公司信息安全工作组审核 公司信息安全领导小组 审批 公司信息安全办公室发 布, 部门级策略
34、公司信息安全办公室审核 公司信息安全工作组审批 部门信息安全组织发布部门信息安全组织/公司信息安全办公室/公司信息安全工作组/工作 信息安全领导小组3修改 与废止.制定部门负责修改和废止公司信息安全办公室审核、备 案公司信息安全工作组、领导小 组审批部门信息安全组织/公司信息安全办公室/公司信息安全工作组/工作 信息安全领导小组4监督和检i4r公司信息安全办公室监督、检 查公司信息安全办公室流程 输入步骤编号输入部门输入内容输入标准载体名称1部门信息 安全组织策略(制度、标 准、规范、运行维护 计划)完整策略文档1公司信息 安全办公室策略(制度、标 准、规范、运行维护 计划)完整策略文档流程
35、输出步骤编号接收部门输出内容输出标准载体名称2、3、4信息安全 办公室策略审批、备案 信息及时、准确“信息安全 平台”使能器IT信息平台“公司信息安全平台”策略策略文档公司级制度管理流程图下图给出公司级制度的管理流程供本次项目参考:公司级策略管理流程制定审核与发布修改与废止监督和检查 eH 科史或辿缸6制定公司信息安全日修改,儷止信息 安全策略定期检査安全策 略执行情况提出修改,废止安全策 略的申请和内容H曲器审批审议安全策略执 行公司级制度管理流程图清华高科信息技术有限公司资阳市第一人民医院等保三级建设整改方案部门级制度管理流程图下图给出部门级制度管理流程图供本次项目参考:部门级策略管理流程
36、制定审核与发布、修改与废止,监督和检查、制定信县安全 策略壽三制 張,嶼四二龜发布提出修改,废止安全策略的申语和内容修改废止信息 安全策略;ffl *H布亲亚妇而布格,明廻吁定期检査安全策 略执行情况审核审议安全策略执 行部门级制度管理流程图5.2.5 满足指标解决方 案名称控制类控制点指标名称措施名称改进动作安全制度管 理解决方案安全管理 制度制定和发 布a应指定或授权专门的部门或 人员负责安全管理制度的制 定:专人制定 的规定制度管理规定 与记录安全制度管 理解决方案安全管理 制度制定和发 布b安全管理制度应具有统的 格式,并进行版本控制:版本控制 规定与记 录制度管理规定 与记录安全制度
37、管 理解决方案安全管理 制度制定和发 布c应组织相关人员对制定的安 全管理制度进行论证和审 定:制度审定 规定与记 录制度管理规定 与记录安全制度管 理解决方案安全管理 制度制定和发 布d安全管理制度应通过正式、 有效的方式发布:制度发布 规定与记 录制度管理规定 与记录安全制度管 理解决方案安全管理 制度制定和发 布e安全管理制度应注明发布范 围,并对收发文进行登记。制度制度 管理规范, 收发记录制度管理规定 与记录安全制度管 理解决方案安全管理 制度评审和修订a信息安全领导小组应负责定 期组织相关部门和相关人员 对安全管理制度体系的合理 性和适用性进行审定:定期审定 的规定与 记录制度管理
38、规定 与记录安全制度管 理解决方案安全管理 制度评审和修 订b应定期或不定期对安全管理 制度进行检查和审定,对存 在不足或需要改进的安全管 理制度进行修订。定期修订 的规定与 记录制度管理规定 与记录265.3安全教育与培训解决方案组织内的人员安全意识决定了信息安全的管理水平,有必要定期 的对所有人员进行全面的安全培训,提供信息系统使用人员和管理人 员的安全技能与安全意识,在安全教育和培训过程中着重考虑如下几 个方面:5.3.1 信息安全培训的对象信息安全培训工作需要分层次、分阶段、循序渐进地进行,而且 必须是能够覆盖全员的培训;分层次培训是指对不同层次的人员,如 对管理层(包括决策层)、信息
39、安全管理人员,系统管理员和员开 展有针对性和不同侧重点的培训;分阶段是指在信息安全管理体系的 建立、实施和保持的不同阶段,培训工作要有计划地分步实施;信息 安全培训要采用内部和外部结合的方式进行,安全培训对象主要保护 如下几个类型的员:管理层(决策层) 管理层培训目标是明确建立公司信息安全体系的迫切性和重 要性,获得公司管理层(决策层)有形的支持和承诺。 管理层培训方式可以采用聘请外部信息安全培训、专业公司的 技术专家和咨询顾问以专题讲座、研讨会等形式。信息安全管理人员 信息安全管理人员培训目标是理解及掌握信息安全原理和相 关技术、强化信息安全意识、支撑公司信息安全体系的建立、 实施和保持。
40、信息安全管理人员培训方式可以采用聘请外部信息安全专业 资格授证培训、参加信息安全专业培训、自学信息安全管理理 论及技术和公司内部学习研讨的方式。公司系统管理员 公司系统管理员培训目标是掌握各系统相关专业安全技术,协 助公司和各部门信息安全管理人员维护和保障系统正常、安全 运行。 公司系统管理员培训方式可以采用外部和内部相结合的培训 以及自学的方式。员 员培训目标是了解公司相关信息安全制度和技术规范,并安 全、高效地使用公司信息系统。 员培训方式应主要采取内部培训的方式。5.3.2 信息安全培训的内容信息安全培训的内容主要包含如下几个方面:安全体系及安全职责分工培训公司各级领导及员明确了解公司信
41、息安全体系,并明确各自 在的安全职责,明确自身对维护保障公司系统正常、安全运行 所需承担的相关责任和义务。培训应采用长期,并覆盖公司全员。新员入职安全培训新员在正式上岗前,应进行信息安全方面的培训,明确岗位所 要求遵守的公司信息安全制度和技术规范。员安全技术教育针对公司系统的维护人员和管理员应定期开展安全技术教育培训(每年至少次),明确如何安全使用有关系统,包括各业务系统、 主机操作系统、电子邮件系统、内部网站以及普通计算机周边硬件设 备。各项安全专业技术教育针对公司安全管理员和系统管理员应定期开展由供应商或厂家 提供的专业安全技术培训,帮助相关安全管理人员和系统管理员了解 掌握正确、安全地安
42、装、配置、维护系统。安全专业资格认证针对公司安全管理员和系统管理员应根据实际情况,挑选公司信 息安全管理及安全技术人员进行相关的认证考试培训,并参加认证考 试,以提高公司安全管理人员对信息安全的管理理论和技术的水平。 信息安全内部考核(含培训)针对公司安全管理员和系统管理员应根据岗位不同,对员进行 相关的信息安全培训,并在培训后实行书面(开卷或闭卷)信息安全 考核。5.3.3 信息安全培训的管理对于信息安全培训的管理主要控制信息安全培训的发起和实施, 保证信息安全培训的质量:安全培训的发起 公司及部门安全管理组织可根据自身安全管理的需要,发起相 应的安全培训计划。 涉及纳入员考核的培训,需要公
43、司人力资源部的确实,以及 公司网络与信息安全办公室备案考核结果。 新员、公司全员的安全培训教育,纳入公司人力资源部的整体培训计划中。 具体操作过程遵守公司人力资源部的相关培训管理制度。安全培训的实施 培训的实施,建议由公司人力资源部负责。 对专业性很强的培训,培训发起的各级安全培训组织负责。 具体操作过程遵守公司人力资源部的相关培训管理制度。5.3.4满足指标解决方 案名称控制类控制点指标名称措施名称改进动作改进对象安全教育与 培训解决方 案人员安全 管理安全意识 教育和培训a应对各类人员进行安全意识 教育、岗位技能培训和相关 安全技术培训:培训教材 与记录安全教育与 培训解决方 案人员安全 管理安全意识 教育和培训b应对安全责任和惩