《信息安全日常运维操作与管理制度》由会员分享,可在线阅读,更多相关《信息安全日常运维操作与管理制度(7页珍藏版)》请在金锄头文库上搜索。
1、信息安全日常运维操作与管理制度第一章 总则第一条 为加强医院信息安全日常运维管理工作,提高 运维操作的规范性和安全性,特制定本办法。第二条 本办法适用于医院各科室的信息安全管理工作第二章 范围第三条 为指导和规范信息安全日常运维操作和管理,本规定内容适用的范围:基础网络和信息系统安全运行的日常管理和维护; 应用系统数据的安全管理和维护; 硬件设备维护; 应用系统以及应用支撑平台的日常管理和维护等。第三章 职责第四条 由办公室负责医院数据安全运维管理、实施以及监督工作,其职责如下:负责应用系统的管理和维护工作,解决并记录应用系 统中的问题,按照权限分配表在应用系统中设置用户的权 限;负责服务器操
2、作系统的管理和维护工作,对服务器中 软件的安装及删除进行管理和记录;负责数据库的管理和维护工作,进行数据备份和恢复 测试,并对备份的存放介质进行管理;负责网络的管理和维护工作; 负责本单位内的信息安全管理工作; 负责机房的管理和维护工作; 负责系统文档的安全管理工作等。第四章 设备安全操作第五条 在对信息化系统中的各类设备进行操作时,应 严格按照具体应用需求进行。第六条 在进行操作前,应书面填写操作申请单,列明 操作所涉及的设备、对系统可能带来的影响以及相应的应对 措施,在得到院部审批后,方可进行操作。第七条 在进行操作前,应对设备当前配置或者数据进 行记录或者备份。第八条 操作完成后,应对本
3、次操作过程和操作结果进 行记录并提交办公室存档。第五章 终端日常使用管理第九条 在网络中的用户终端应严格按照要求进行操作 遵守内外网分离的要求,不得擅自修改 IP 地址、擅自卸载 桌面管理系统、杀毒软件等。应按照要求按时进行病毒扫描 和补丁升级。第十条 移动介质安全管理:1、移动介质不能在内、外网终端之间混用;2、在移动介质接入终端后应立即进行病毒扫描;3、使用移动介质拷贝重要数据完成后,应立即清除;4、涉及信息化系统的技术资料、安装介质等应由专人 进行妥善保管,借出使用时应登记并按要求准时归还。第六章 应用系统运行安全管理第十一条 对于各应用系统以及应用系统支撑平台的日 常运行情况要定期进行
4、记录、分析和汇报。各应用系统使用 科室对于发现的异常情况要及时通报办公室以便及时解决。第十二条 系统管理员负责应用系统的安装、维护和系 统及数据备份;根据应用系统的安全策略,负责应用系统的 用户权限设置以及系统安全配置。第十三条 应用系统维护和应急处理记录要求:1、设置“应用系统维护和应急处理记录”,系统管理员 记录系统的运行情况;2、对系统异常、系统故障的日期、现象、处理方法及 结果等应急处理进行记录;3、对应用系统的安装、设置更改、帐号变更、组变更、 备份等系统维护工作进行记录,以备查阅;4、对应用系统异常和系统故障的时间、现象、应急处 理方法及结果作详细的记录。第十四条 应用系统软件、资
5、料以及许可证的管理:1、必须对应用系统软件的介质、资料和许可证进行登记,并设专人负责保管;2、登记的内容应包括软件的名称和版本、软件出版商、 许可证类型和数量、介质的编号和数量、软件安装序列号、 手册名称和数量、购买日期等;3、应用系统软件和资料的借用,需要审批和借还登记手续;4、对重要应用系统软件介质和资料要进行复制,借用 时应提供复制品,以保护好原件及避免丢失。第十五条 应用系统配置的备份的管理1、系统管理员应对系统的配置参数及相关文件进行备 份;2、当配置发生变更时必须重新备份,以便系统故障时 能尽快恢复系统配置。第十六条 应用系统数据的备份的管理1、备份权限,备份介质都必须加以妥善保管
6、,防止非法访问;2、如果开发数据库中导入了数据库的数据,要确保为生产数据库所指定的安全规则也用于开发数据库中;3、制定备份策略,以高效备份与恢复为目标,与操作 系统备份结合,物理备份与导出相结合。第七章 系统数据的安全管理第十七条 根据应用系统数据的生命周期和重要性,分别设置合理的在线、近线、离线数据的存储、备份策略。第十八条 备份策略应形成书面材料由院部审核后存档 第十九条 当应用系统发生变化时,应及时评估其对数 据备份要求的影响,制订新的备份策略,经审核后存档。第二十条 备份的数据应定期检查,重要数据应在备份 后随机抽取进行恢复测试以保证备份数据的可用性;超过时 效的备份应在获得信息管理科
7、室的书面同意后及时格式化 或者销毁。第八章 系统运行平台的安全管理第二十一条 系统运行平台指的是支撑应用系统运行的 主机、操作系统以及数据库、中间件等平台软硬件。第二十二条 系统运行平台由办公室统一进行管理和维 护,主要内容包括:系统平台配置,登录 /操作审计、访问 端口限制、补丁更新、日志分析、数据备份、口令管理等。第九章 口令/密码/密钥安全管理要求第二十三条 应用系统管理员在系统中为每个用户设立 一个账户,其权限按照经单位负责人批准的应用系统用户 权限分配表和应用系统角色权限表中的描述设定。应 用系统的所有账户应符合统一口令策略的要求设置和更新 密码。第二十四条 服务器的操作系统中没有未
8、授权的登录账 号,确需保留的系统账号应有明确的管理人员。操作系统中 账户应符合医院统一口令策略的要求设置和更新密码。第二十五条 数据库中的所有账号应符合统一口令策略 的要求设置和更新密码。第二十六条 密码和密钥要求长度超过 8 位,要求信息 管理科室管理员做好密钥的产生、保存、分配、使用、废除、 归档和销毁工作。第十章 系统文档的安全管理第二十七条 信息化系统文档的管理由办公室统一进行 其职责包括:文档存档管理;文档更新管理;文档借阅管理; 文档销毁管理。第十一章 系统的安全监测第二十八条 系统的安全监测由办公室统一进行。其职责包括:1、依靠安全运维平台、网管软件、桌面管理系统等工 具,每周对
9、信息化系统进行监测,对于重点与核心部分内容 则每天进行监测;2、为每次监测填写监测记录;3、分析监测记录,找出系统可能存在的隐患并及时处 理等。第十二章 备份和恢复管理第二十九条 定期对信息系统的数据、软硬件的配置文 件进行备份。第三十条 根据应用系统数据的生命周期和重要性,分 别设置合理的在线、近线、离线数据的存储、备份策略。备 份策略应形成书面材料,交由办公室存档。第三十一条 网络服务器数据备份工作,系统备份每周 做一次。系统管理员在每周最后一个工作日,将应用服务器 的数据库文件做一次异机备份,数据保存一个季度。第三十二条 当应用系统发生变化时,应及时评估其对 数据备份要求的影响,制订新的备份策略,经审核后存档。第三十三条 备份的数据应定期检查,重要数据应在备 份后随机抽取进行恢复测试以保证备份数据的可用性;超过 时效的备份应在获得院部书面同意后及时格式化或者销毁。
