《信息科管理制度类》由会员分享,可在线阅读,更多相关《信息科管理制度类(52页珍藏版)》请在金锄头文库上搜索。
1、XXXXX法院计算机信息系统制度汇总xxxxx施院计算机中心编制2016年11月目录、户、.前言为加强XXXXXX院等级保护相关信息安全管理的建设,确保医院内计算机信息系统的运行安全、管理有序、措施有效,结合本系统、本单位实际,针对信息系统运行中的管理过程、管理要求、管理内容及信息系统、网络设备的使用和管理制定本制度。根据江苏省卫生厅相关规定,结合我院具体情况,XXXXXX院应用信息系统最高级别为二级。本制度制定依据为国家公安部等部门编写的信息系统安全等级保护基本要求(GBT22239-2008)、江苏省开展重要信息系统安全等级保护定级工作的实施意见(苏公通2007187号)、信息安全管理体系
2、要求(GB/T22080-2008)等文件规定。本制度适用于XXXXXX1院内应用信息系统的管理。第一章安全管理机构1 .安全组织结构及职责第一条系统组织结构图第二条系统营运负责人责任本系统主要由计算机中心负责维护,主机托管于计算机中心机房。负责人主要职责是:(一)及时部署相关系统的安全与维护工作,保证系统的正常运行和使用。(1) 掌握系统的基本使用情况;(2) 主持召开领导小组工作会议,对系统安全工作进行研究、部署;(3) 对系统安全,日常维护工作做出具体指示、提出明确意见和工作要求。(二)定期或根据省、市保密部门要求组织对医院各项安全保密工作落实情况的监督检查;(三)对系统使用方履行职责提
3、供保障:( 1) 对系统使用方提供相应服务,支持包括网络,业务平台等需求;( 2) 支持使用方安全保密开展工作;( 3) 对系统使用方履行保密工作职责进行监督、指导;( 4) 做好灾备工作,应付各种系统突发事件,降低损失。第三条系统使用方负责人责任对涉及本部门业务上保密业务的负有领导责任,主要职责是:(一)全面及时研究和部署本部门保密工作:( 1) 对本部门涉密和非涉密工作进行划分,掌握好本部门保密工作全面情况;( 2) 主持召开部门保密工作会议,对本部门保密工作进行研究、部署;( 3) 对本部门保密工作做出具体指示、提出明确意见和工作要求。(二)定期或根据省、市、医院保密部门要求组织对本部门
4、各项保密工作落实情况的监督检查;(三)对保密工作机构履行职责提供保障:( 1) 支持各业务部门开展工作;( 2) 支持专兼职保密工作人员开展工作;( 3) 对各业务部门履行保密工作职责进行监督、指导。(四)组织开展对新形势下保密工作热点、难点问题的调查研究。第四条安全保密管理员(一)负责涉密信息系统的日常安全保密管理工作,包括对用户账号权限管理以及安全保密设备管理和系统所产生日志的审查分析。(二)负责将系统权限分配策略与系统内的用户逐一对应,并最终形成文档化的用户权限列表。(三)监视系统运行情况的任务,完成对系统资源的各种非法访问的收集、记录,然后进行分析、处理,必要时还要将审计的异常事件及时
5、上报主管领导。2.人员分配及职责规定第一条总则为进一步加强信息网络的管理,保障信息系统安全、稳定运行。应设立系统管理员、网络管理员、安全审计员岗位,并定义各个工作岗位的职责。第二条系统管理员工作职责(一)负责系统的日常运行维护工作(二)确保涉密信息系统处于无故障运行的状态(三)能够进行网络、操作系统和业务应用系统的安装和维护工作,进行系统功能、实时性能监控和必要的状态检查( 四)定期备份数据,能够在系统中断、运行瘫痪的情况下,及时排除相应故障,避免或尽可能降低系统损失;( 五)对系统的运行情况进行分析,提供合理的扩容、改造建议,确保系统的可持续发展。第三条网络管理员工作职责( 一)协助网络主管
6、制定网络建设及网络发展规划,确保网络系统安全运行。( 二)负责公用网络实体(如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等)的维护和管理。(三)负责服务器和系统软件的安装、维护、调整及更新。(四)负责网络账号管理、资源分配、数据安全和系统安全。(五)监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通。(六)负责系统备份和网络数据备份。(七)保管网络拓扑图、网络接线表、设备规格及配置单,做好网络管理记录、网络运行记录、网络检修记录等网络资料,并纳入资料库。(八)每年对本部门网络的效能和各电脑性能进行评价,提出网络结构、网络技术和网络管理的改进措施。第四条安全审计员
7、工作职责(一)制定信息安全审计的范围和日程(二)管理具体的审计过程(三)分析审计结果并提出对信息安全管理体系的改进意见(四)召开审计启动会议和审计总结会议(五)向主管领导汇报审计的结果及建议(六)为相关人员提供审计培训。3.关于加强与外界的沟通合作说明第一条为加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,特规定定期或不定期召开协调会议,共同协作处理信息安全问题;第二条为加为促进更好的合作交流,规定加强与兄弟单位、公安机关、电信公司的合作与沟通;加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;第三条建立外联单位联系列表,包括外联单位名称、合作内容、联系
8、人和联系方式等信息;第四条为加强信息安全建设,特聘请信息安全专家作为常年的安全顾问,参与安全规划和安全评审等。第二章安全管理制度1 .信息安全工作总则第一条为加强和规范XXXXX施院及附属单位信息系统安全工作,提高计算机中心信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求特制定本文档。第二条本文档的目的是为计算机中心信息系统安全管理提供一个总体的策略性架构文件,该文件将指导计算机中心信息系统的安全管理体系的建立。安全管理体系的建立是为计算机中心信息系统的安全管理工作提供参照,以实现中心统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到
9、位,保障网络通信畅通和业务系统的正常运营。第三条本文档适用于计算机中心的信息技术人员的安全管理和指导,适用于指导计算机中心信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于计算机中心安全管理体系中安全管理措施的选择。第四条引用标准及参考文件,本文档的编制参照了以下国家、中心的标准和文件。中华人民共和国计算机信息系统安全保护条例关于信息安全等级保护建设的实施指导意见信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全管理要求信息系统等级保护安全建设技术方案设计要求关于开展信息安全等级保护安全建设整改工作的指导意见2 .信息安全方针和目标第一条计算机中心信息系统安全坚持“安
10、全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。第二条信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。第三条信息安全工作的总体原则如下:(一)基于安全需求原则,组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能
11、受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。(二)主要领导负责原则,主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。(三)全员参与原则,信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。(四)系统方法原则,按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法提高实现安全保障的目标
12、的有效性和效率。(五)持续改进原则。安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。(六)依法管理原则,信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。(七)分权和授权原则,对特定职能或责任领域的管理功能实施分离、独立审计
13、等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体如用户、管理员、进程、应用或系统,仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。(八)选用成熟技术原则,成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。(九)管理与技术并重原则,坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。(十)自保护和国家监管结合原则,对信息系统安全实行自保护和国家保护相结合。组织机
14、构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障医院信息安全。第四条在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。3.信息安全总体安全策略第一条物理安全策略(一)机房必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力。(二)机房的位置不能是大楼的地下室、一楼房间或是大楼的顶层,机房的正上方不能是用水量大的房间。(三)机房出入口必须有专人值守,对工作人员进行登记。(
15、四)进入机房的工作人员必须由安全管理员或机房管理员全程陪同。(五)机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离。(六)机房内部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPStt电系统和电磁屏蔽设备。第二条网络安全策略(一)网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发等系统。(二)网络设备除接入交换机之外,必须进行双机热备,除接入交换机链接工作终端的线路外,其他线路必须进行双线冗余。(三)整体网络不能出现流量瓶颈,保证带宽充足。(四)各部门必须划分不同网段的IP地址。(五)划分网络带宽,突出优先级。(六)网络边界处必须部署防火墙、IPS等安全设备。(七)网络设备必须开启日志审计功能。第三条主机安全策略(一)登录操作系统和数据库系统的用户必须进行身份标识和鉴别。(二)操作系统和数据库系统管理用户身份标识不能出现同名用户,口令应有复杂度要求
