收藏
下载资源

精品资料2022年收藏中联数据安全体系最终版V11.3

上传人:新** 文档编号:507870633 上传时间:2023-02-16 格式:DOC 页数:24 大小:1.15MB
返回 下载 相关 举报
精品资料2022年收藏中联数据安全体系最终版V11.3_第1页
第1页 / 共24页
精品资料2022年收藏中联数据安全体系最终版V11.3_第2页
第2页 / 共24页
精品资料2022年收藏中联数据安全体系最终版V11.3_第3页
第3页 / 共24页
精品资料2022年收藏中联数据安全体系最终版V11.3_第4页
第4页 / 共24页
精品资料2022年收藏中联数据安全体系最终版V11.3_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《精品资料2022年收藏中联数据安全体系最终版V11.3》由会员分享,可在线阅读,更多相关《精品资料2022年收藏中联数据安全体系最终版V11.3(24页珍藏版)》请在金锄头文库上搜索。

1、中联公司数据安全总纲体系第一章 总则一、目的随公司客户规模不断的增大,以及客户对于信息系统依赖程度越来越高,如果公司和客户对于数据安全还没有引起足够重视,一旦发生事故,将给客户带来巨大损失。比如一个年收入3亿的医院,在极端情况下停止营业一天,那么直接经济损失在100万左右,其它损失则无法估量。如果出现这样的情况,我们不能够免责,那么有很多可能的情况出现,也许公司将因赔偿而倒闭;或者经济上免于赔偿,但在声誉上肯也会破产。所以为了保护中联信息产业有限责任公司(以下简称中联公司)所承建医院信息系统数据安全,制定了本办法。二、目标本总纲体系围绕以下目标进行展开:1、 规范员工数据安全意识和操作;主要通

2、过管理规范加强对员工的安全意识教育,并在考核办法中明确。请参见第三章第二节。2、 对客户数据安全进行规范管理;主要通过对客户的商务规范和风险教育来说明,详见第三章第三节,第四章。3、 降低客户数据安全事故给公司带来的影响;主要通过规范员工操作行为和管理考核办法进行约束,这部分是本总纲体系的重要说明部分,请详见第三章第二节,第三章第三节;4、 为有价值的客户提供数据安全增值服务;在规范公司和客户的行为前提下,对标准服务行为进行描述,并对增值服务的操作规范进行约定,详见第四章第三节。三、适用范围本总纲体系适用范围为:中联公司在医院信息系统建设和维护中的所有过程。四、适用对象本办法适用于:1、 中联

3、公司所有从事技术工作员工;2、中联公司授权销售服务商(以下简称中联渠道);第二章 数据安全体系及定义一、数据安全体系1、 通过示意图可以得出要解决数据安全事故,必须从公司和客户两个环节进行约束和规范。2、 对于安全事故本身,公司进行分析和归纳,分别从行为规范,管理考核和执行措施等几方面进行完善。3、 在数据安全总纲体系中,对体系架构和管理措施进行了详细描述,而行为规范则是总纲体系的重要支撑,是公司规范要求的基础。4、 本总纲体系涉及到的相关管理办法和执行文档,请参见附录。二、相关定义1、数据安全通过制度、技术保障、产品和服务等方面的规范,确保客户在使用中联信息系统中数据的机密性、完整性、可用性

4、。 机密性:确保数据只允许被授权人员访问。例如数据库管理员账号密码的管理等。 完整性:确保数据及其处理的准确性和完整性。例如财务、药品数据等。 可用性:确保被客户能够在需要时获取数据。例如信息系统的高可用性。2、数据安全事故 因各种原因造成客户运行中断、数据丢失等的事故 因产品问题造成客户直接或间接经济损失的(如科室级模块不可用或使用缓慢); 因产品问题存在重大安全隐患,需要立即召回、返工的。3、数据安全事故责任划分指数据安全事故发生时,根据事故原因进行公司内部责任认定,以是否按数据安全操作规范为基准,满足以下任意一条内容为判断依据:A、 完全责任:1、未按照数据安全操作规范执行引起的事故2、

5、数据无法恢复;或系统停机2小时以上3、已造成经济损失,损失金额大于5000元B、 主要责任:1、未按照数据安全操作规范执行引起的事故2、虽有数据丢失,但关键业务数据能够恢复;或系统停机2小时以内3、造成经济损失,但损失总金额低于5000元C、 次要责任:1、按照数据安全操作规范执行2、数据安全事故由设备等环境因素造成或非产品功能造成3、虽客户声明放弃责任追求,但实际损失额高于1000元4、无法提供对于数据安全隐患已告知客户并得到确认的资料 D、 责任免除:1、按照数据安全操作规范执行2、数据安全事故由设备等环境因素造成或非产品功能造成3、特殊使用流程造成数据错误,仅限于当前客户4、客户声明放弃

6、责任追究,且实际损失额低于500元5、能提供对于数据安全隐患已告知客户并得到确认的资料或己方无过失的资料3、数据安全事故责任划分第三章 数据安全规范-公司级一、内容概括中联公司数据安全(公司级)规范是指公司内部执行的,所有员工都需要遵守的规范。公司级规范由管理规范和数据安全操作规范二部分组成,前者着重描述管理运行体系和方法;后者主要分为不同环节的规范操作,由员工和组织参照执行。二、数据安全管理规范数据安全管理规范,通过加强员工安全意识,培训,及管理考核三个方面说明。1、数据安全意识数据安全管理的核心工作在于不断加强员工安全意识,因此从入职、日常监督和事故风险教育各个阶段均进行执行。I、入职1、

7、员工在2011年01月01日后,新签或续签劳动合同时,必须同时签订中联公司保密协议,并取代原来签订的保密协议。新员工在入职签订劳动合同时,需同时签订数据安全和保密协议。2、中联公司保密协议数据安全和保密协议主要描述员工在入职期间对于数据安全和保密工作应承担的责任和义务。(详见-附录-协议-数据安全保密协议)3、此协议由技术支持部拟定审核,并由行政部负责与员工签订执行。注:中联公司保密协议为中联公司2011年颁布执行版本。(详见-附录-协议-中联公司保密协议)4、在职员工应于2010年8月31日前完成数据安全和保密协议签订,并取代原来签订的保密协议。II、日常监督1、 中联公司对于员工执行数据安

8、全操作规范效果的监督,分为直管和抽查两种形式2、 中联公司各部门对从事技术工作的员工执行数据安全操作规范效果监督,由各公司、部门自行规定和约束。3、 技术支持部每月对中联公司、中联渠道进行抽查,对于抽查不合格的当事人和直接部门负责人将进行按照规定进行考核。III、 通报当渠道用户发生数据安全事故,不管用户大小、是否公司存在责任,都需要邮件通报发送技术支持部说明情况,。并抄送给所在渠道所有人。反馈格式参见附件。当出现重大安全事故或主要责任安全事故,必须在2小时内进行电话通报。渠道通报反馈流程为:技术人员渠道部门主管渠道数据安全执行负责人(技术负责人)通报给技术支持部。1、 技术支持部负责数据安全

9、事故和不规范行为在中联公司内部通报。(详见第五章第二节)。2、培训1、 公司应对所有从事技术工作的员工应进行数据安全操作规范培训2、 培训部负责对中联公司渠道技术负责人进行数据安全操作规范培训,并组织考试;各部门从事技术工作员工的培训,由中联渠道技术负责人进行,并参加培训部统一组织的考试。3、 培训教案由培训部审定,试题由培训部不定期更新。4、 随着数据安全操作规范的更新,培训部每年至少组织一次考试。3、3、考核办法数据安全事故恢复规范3.2.3.1、恢复方案确认A、恢复方案:针对数据安全事故影响程度,而制定的一系列消除影响,恢复系统正常运行的措施和步骤集;B、恢复方案确认:为防止现场工程师对

10、数据安全事故应急处理能力不足给客户和公司带来后续的影响,需要将恢复方案由不同技术层级的专家进行确认的过程。C、恢复方案确认层级:客户级别恢复方案初审责任人终审责任人二甲及以上技术负责人/服务部经理技术支持部二乙片区经理/小组负责人/项目经理渠道技术负责人/渠道服务部经理一级及以下片区经理/小组负责人/项目经理/注:责任人标注为多人的,有一人确认即可。3.2.3.2、恢复过程记录A、恢复过程记录:针对数据安全事故进行恢复的处理过程记录,主要分为处理记录和处理分析两个部分;处理记录:仅对处理步骤和执行情况进行准确记录;处理分析:对问题的原因进行分析,并将处理过程情况进行记录,以形成可以提交客户说明

11、和内部总结的正式分析文档;B、恢复过程记录要求: 1、对所有客户的数据安全事故进行恢复,必须在1个工作日内完成数据恢复处理记录;2、对二甲及以上客户,或增值服务中包含数据恢复服务的客户,在数据安全事故处理后3个工作日内,必须完成数据库恢复技术报告;3、对于二乙及以下客户,在数据安全事故处理后,是否完成数据库恢复技术报告由所在渠道自行要求。 (文档见附录“ZLDS_O_10数据安全事故恢复过程记录”)3.2.3.3、公司领导现场负责制A、针对影响较大的数据安全事故,公司领导需及时到现场协调事故处理的制度;B、是危机公关的组成部分,主要在于客户情绪舒缓和现场情况的感受;C、现场负责制要求:对于数据

12、安全责任事故中,责任人需按照下表要求执行。客户级别系统中断使用时间(及以上)责任人现场回访时间二甲及以上2小时渠道负责人立刻二乙4小时渠道负责人1个工作日内一级及以下一天渠道片区经理/项目经理1周内注:责任人到达现场后,可指定其他相关负责人到现场,在此不做约定。4、考核办法I、考核方式及机构1、 技术支持部是员工遵守数据安全操作规范的执行和监督机构。2、 数据安全操作规范中的商务规范环节,由技术支持支持部统一拟定标准,各单位、部门自行要求、监督员工执行。技术支持部每季度将对各单位、部门的商务环节过程文档抽查,并进行考核。3、 数据安全操作规范中的操作规范环节,由培训部进行定期考试。a) 某些特

13、定操作规范可由培训部组织专场统一考试。如10.26升级规范。b) 日常操作规范,由培训部在组织ZLCE考试时进行,每期每级考试的数据安全操作规范试题为10分。4、 技术支持部每月负责对数据安全事故进行分析,并进行同通报与处罚。(详见第五章-持续改进与运维)5、 本总纲体系未提及的考核方式可由各单位、部门自行制定内部执行。II、处罚与办法1、 技术支持部每月负责进行数据安全事故通报与处罚。2、 安全事故处考核办法为:责任认定考核办法(每次)直接责任人责任单位负责人事故通报级别说明完全责任2000元5000元公司内刊客户会刊1、责任单位负责人指各分子公司负责人,中联渠道总经理,中联信息总部各部门负

14、责人。2、完全责任事故如损失巨大,影响恶劣,则由中联公司总经理进行追加处罚。主要责任1000元1、1000元2、直接责任人不明确,则处罚2000元公司内刊客户会刊次要责任500元500元公司内刊责任免除0元0元公司内刊3、 数据安全操作规范考核办法为:分类考核要点考核部门被考核人考核频度考核方式考核措施责任人责任单位负责人商务规范未按照规范提交相关文档,并由客户确认签字分子公司服务部部门员工月度检查每项违规操作扣罚50元无未按照规范要求对用户确认的过程文档归档,或文档缺失技术支持部中联各分子公司季度抽查无每出现一家用户的管理缺失,扣罚500元操作规范未按照操作规范执行,或未对需要公司内保存的资料进行归档各分子公司服务部、研发中心、技术中心部门员工月度检查每项违规操作扣罚50元无未按照操作规范执行,或未对需要公司内保存的资料进行归档技术支持部中联各分子公司、研发中心、技术中心季度抽查无每出现一家用户的管理缺失,扣罚500元培训与考试未开展针对技术负责人的数据安全操作规范培训和考试技术支持部培训部每年检查无扣罚1000元未组织针对所有员工的数据安全操作规范考试技术支持部培训部每年检查无扣罚1000元数据安全操作规范考试不及格培训部渠道技术负责人每年检查扣罚500元无

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号