《安全管理体系总体设计方案.doc》由会员分享,可在线阅读,更多相关《安全管理体系总体设计方案.doc(13页珍藏版)》请在金锄头文库上搜索。
1、1 安全管理体系总体设计方案1.1 安全组织结构黑龙江省农垦总局总医院安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责平常工作的组织模式,组织结构图如下所示:图 81安全组织结构图1.1.1 信息安全领导小组职责信息安全领导小组是由黑龙江省农垦总局总医院主管领导牵头,各部门的负责人为组成成员的组织机构,重要负责批准黑龙江省农垦总局总医院安全策略、分派安全责任并协调安全策略可以实行,保证安全管理工作有一个明确的方向,从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的重要责任如下:(一) 拟定网络与信息安全工作的总体方向、目的、总体原则和安全工作方法;(二)
2、审查并批准政府的信息安全策略和安全责任;(三) 分派和指导安全管理总体职责与工作;(四) 在网络与信息面临重大安全风险时,监督控制也许发生的重大变化;(五) 对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信息系统更改等)进行决策;(六) 指挥、协调、督促并审查重大安全事件的解决,并协调改善措施;(七) 审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等;(八) 定期组织相关部门和相关人员对安全管理制度体系的合理性和合用性进行审定。1.1.2 信息安全工作组职责信息安全工作组是信息安全工作的平常执行机构,内设专职的安全管理组织和岗位,负责平常具体安全工作
3、的贯彻、组织和协调。信息安全工作组的重要职责如下:(一) 贯彻执行和解释信息安全领导小组的决议;(二) 贯彻执行和解释国家主管机构下发的信息安全策略;(三) 负责组织和协调各类信息安全规划、方案、实行、测试和验收评审会议;(四) 负责贯彻和执行各类信息安全具体工作,并对具体贯彻情况进行总结和报告;(五) 负责内外部组织和机构的沟通、协调和合作工作;(六) 负责制定所有信息安全相关的管理制度和规范;(七) 负责针对信息安全相关的管理制度和规范具体贯彻工作进行监督、检查、考核、指导及审批,例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。以上组织结构和职责通过信息
4、安全组织职责体系加以说明。1.1.3 信息安全岗位为了有效贯彻信息安全各项工作,黑龙江省农垦总局总医院应设立以下专职的安全岗位,负责安全工作的贯彻和执行:(一) 信息安全工作组主管1) 负责网络与信息安全的平常整体协调、管理工作;2) 负责组织人员制定信息安全管理制度,并对管理制度进行推广、培训和指导;3) 负责重大安全事件的具体协调和沟通工作。(二) 安全管理员岗位1) 负责执行网络与信息安全工作的平常协调、管理工作;2) 负责平常的安全监控管理,并对上报和发现的各类安全事件进行响应;3) 负责系统、网络和应用安全管理的协调和技术指导;4) 负责安全管理平台安全策略制定,访问控制策略审核;5
5、) 负责组织安全管理制度的推广和培训工作;6) 负责定期进行安全检查,检查内容涉及系统平常运营、系统漏洞和数据备份等情况。(三) 安全审计员岗位1) 负责安全管理制度贯彻情况的检查、监督和指导;2) 负责安全策略执行情况的审核。(四) 系统管理员1) 负责系统安全稳定运营的平常管理工作;2) 负责保持系统的防病毒系统、补丁等保持最新,定期对系统进行安全加固,保持系统漏洞最小化。(五) 网络管理员1) 负责网络设备安全稳定运营的平常管理工作;2) 负责保持网络设备的漏洞最小化,定期对系统进行安全加固;3) 负责保持网络路由和互换策略与业务需求保护一致。黑龙江省农垦总局总医院应根据平常的运营维护和
6、管理工作,设立物理环境管理 、数据库管理、应用管理以及资产管理等岗位,这些岗位也应当涉及安全职责,这些安全职责的具体内容通过信息安全管理岗位说明书贯彻。1.1.4 专家顾问与外部协作黑龙江省农垦总局总医院应聘请专家和外部顾问成员,这些成员需要对信息安全或相关领域有丰富地知识和经验,如安全技术、电子政务、等级保护或质量管理等。专家和外部顾问负责对信息安全重要问题的决策提供征询和建议。同时应加强与供应商、业界专家、专业的安全公司等安全组织的合作和沟通。1.2 安全管理制度1.2.1 安全管理制度体系黑龙江省农垦总局总医院安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的
7、一套信息安全管理制度体系。图 82安全管理策略体系图1.2.1.1 安全方针和主策略最高方针,大纲性的安全策略主文档,陈述本策略的目的、合用范围、信息安全的管理意图、支持目的以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。1.2.1.2 安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实行办法,是必须具有可操作性,并且必须得到有效推行和实行的。技术标准和规范,涉及各个安全等级区域网络设备、主机操作系统和重要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网
8、络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、平常安全管理和维护时必须遵照的标准,不允许发生违反和冲突。本项目将为黑龙江省农垦总局总医院编制如下安全管理制度和规范:l 安全方针l 安全策略l 安全管理组织体系职责l 内部人员安全管理规定l 外部人员安全管理规定l 等级保护安全管理规范l 风险评估管理规范l 软件开发管理规定l IT外包管理规定l 工程安全管理规定l 产品采购安全管理规定l 服务商安全管理规定l 机房管理制度l 办公环境安全管理规定l 资产安全管理制度l 设备安全管理规定l 介质安全管理规定l 运营维护安全管理规范l 网络安全管理规定l 系统安全管理规定l 防病毒安
9、全管理规定l 密码使用管理制度l 变更管理制度l 备份与恢复管理规定l 安全事件管理制度l 应急预案安全流程和操作规程,具体规定重要业务应用和事件解决的流程、环节和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,并且必须得到有效推行和实行的。1.2.1.3 安全流程和操作规程安全流程和操作规程,具体规定重要业务应用和事件解决的流程和环节,和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,并且必须得到有效推行和实行的。1.2.1.4 安全记录单安全记录单,贯彻安全流程和操作规程的具体表单,根据不同等级信息系统的规定可以通过不同方式的安全记录单贯彻并在平常工作中具体
10、执行。重要涉及平常操作的记录、工作记录、流转记录以及审批记录等。1.2.2 安全管理制度体系文献管理1.2.2.1 制定和发布管理安全策略系列文档制定后,必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外,还必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关部分的充足培训,保证每个人员都知道和了解与其相关部分的内容。安全策略在制定和发布过程中,应当实行以下安全管理:(一) 安全管理制度应具有统一的格式,并进行版本控制;(二) 安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定;(三) 安全管理制度应通过正式、有效的方式发布;(四)
11、 安全管理制度应注明发布范围,并对收发文进行登记。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,并且由于牵扯到许多部门和绝大多数员工,也许需要改变工作方式和流程,所以推行起来的阻力会相称大;同时安全策略自身存在的缺陷,涉及不切实可行,太过复杂和繁琐,部分规定有缺欠等,都会导致整体策略难以贯彻。1.2.2.2 评审和修订管理信息安全领导小组应组织相关人员对于信息安全策略体系文献进行评审,并拟定其有效执行期限。同时应指定信息安全职能部门每年审阅安全策略系列文档,具体检查内容涉及:(一) 信息安全策略中的重要更新;(二) 信息安全标准中的重要更新。信息安全标准不需要所有更新,可以仅对因变
12、更而受影响的部分进行更新;假如必要,可以使用年度审阅更新流程对信息安全标准做一次全面更新。(三) 安全管理组织机构和人员的安全职责的重要更新;(四) 操作流程的重要更新;(五) 各类管理规定、管理办法和暂行规定的重要更新;(六) 用户协议的重要更新;等等。通过信息安全策略管理规定贯彻以上相关内容。1.3 人员安全管理黑龙江省农垦总局总医院在人员安全管理方面,可以通过对于人员录用、调动、离岗、考核、培训教育和第三方人员安全几个方面,贯彻信息安全等级保护三级基本规定的内容,其中内部人员的管理归纳形成人力资源安全管理的具体安全规定,外部人员的管理归纳形成第三方人员安全管理的具体安全规定。具体如下图所
13、示:图 83人员安全管理框架图1.3.1 内部人员安全管理人力资源安全管理重要是指针对内部人员的安全管理,从人员的录用、调用、离岗和考核等各个方面提出针对信息安全的相关管理规定,具体管理规定涉及:(一) 录用前l 人员在录用过程中要签署保密协议;l 应当进行严格的安全背景审核和权限审查;l 关键岗位人员应当进行特殊的安全审核、权限管理和保密管理,签署安全协议;(二) 工作期间l 所有人员根据其岗位职责的不同,应定期进行安全培训和教育;l 所有人员应根据黑龙江省农垦总局总医院的安全管理制度规范和约束安全操作行为;l 定期对各个岗位的人员进行不同侧面的安全认知和安全技能考核,作为人员是否适合当前岗
14、位的参考;l 对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违反安全策略和规定的人员进行惩戒。(三) 调离岗l 应严格规范人员离岗过程,及时终止离岗员工的所有访问权限,应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;l 关键岗位人员应在调离岗期间签署保密承诺书。1.3.2 外部人员安全管理外部人员通常是指软件开发商,硬件供应商,系统集成商,设备维护商,和服务提供商,实习生,临时工等非内部人员。外部人员在访问时可以提成物理访问和信息访问,具体如下:l 物理访问,如对办公室、机房的物理访问;l 信息访问,如对信息系统、主机、网络设备、数据库的访问。对于实际访问的外部人员,按照访问
15、的时间长短和访问的性质,可以分为临时来访的外部人员,和非临时来访的外部人员两种,具体如下:l 临时来访的外部人员,指因业务洽谈、参观、交流、提供短期和不频繁的技术支持服务而临时来访的外部组织或个人。l 非临时来访的外部人员,指因从事合作开发、参与项目工程、提供技术支持、售后服务、服务外包或顾问服务等,办公和工作的外部组织或个人。对于这两种短期和长期的实际物理和信息访问,应规定不同的安全管理规定,负责接待的部门和接待人对外部人员来访的安全负责,并对访问机房等敏感区域持谨慎态度。具体管理规定应涉及:(一) 遵守黑龙江省农垦总局总医院的各项信息安全标准和管理规定;(二) 必须签署保密协议,必须签署安全承诺协议,或在协议中规定相关的内容;(三) 对其维护目的的安全配置规定,必须符合相应的网络设备、主机、操作系统、数据库和通用应用程序等黑龙江省农垦总局总医院的安全配置标准文档中相应规定;(四) 申请访问权限时,必须阐明其申请理由、访问方式、规定权限、访问时间和地点等内容,黑龙江省农垦总局总医院的安全管理人员需要核算其申请访问权限的必要性和访问方式,评估其也许带来的安全风险,尽也许采用一些措施来减少风险。在风险可接受的情
