安全管理标准体系总体设计专项方案.doc

《安全管理标准体系总体设计专项方案.doc》由会员分享，可在线阅读，更多相关《安全管理标准体系总体设计专项方案.doc（11页珍藏版）》请在咨信网上搜索。

1 安全管理体系总体设计方案 1.1 安全组织构造 黑龙江省农垦总局总医院安全管理组织应形成由主管领导牵头信息安全领导小组、详细信息安全职能部门负责寻常工作组织模式，组织构造图如下所示： 图 81安全组织构造图 1.1.1 信息安全领导小组职责 信息安全领导小组是由黑龙江省农垦总局总医院主管领导牵头，各部门负责人为构成成员组织机构，重要负责批准黑龙江省农垦总局总医院安全方略、分派安全责任并协调安全方略可以实行，保证安全管理工作有一种明确方向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组重要责任如下： (一) 拟定网络与信息安全工作总体方向、目的、总体原则和安全工作办法； (二) 审查并批准政府信息安全方略和安全责任； (三) 分派和指引安全管理总体职责与工作； (四) 在网络与信息面临重大安全风险时，监督控制也许发生重大变化； (五) 对安全管理重大更改事项（例如：组织机构调节、核心人事变动、信息系统更改等）进行决策； (六) 指挥、协调、督促并审查重大安全事件解决，并协调改进办法； (七) 审核网络安全建设和管理重要活动，如重要安全项目建设、重要安全管理办法出台等； (八) 定期组织有关部门和有关人员对安全管理制度体系合理性和合用性进行审定。 1.1.2 信息安全工作组职责 信息安全工作组是信息安全工作寻常执行机构，内设专职安全管理组织和岗位，负责寻常详细安全工作贯彻、组织和协调。信息安全工作组重要职责如下： （一） 贯彻执行和解释信息安全领导小组决策； （二） 贯彻执行和解释国家主管机构下发信息安全方略； （三） 负责组织和协调各类信息安全规划、方案、实行、测试和验收评审会议； （四） 负责贯彻和执行各类信息安全详细工作，并对详细贯彻状况进行总结和报告； （五） 负责内外部组织和机构沟通、协调和合伙工作； （六） 负责制定所有信息安全有关管理制度和规范； （七） 负责针对信息安全有关管理制度和规范详细贯彻工作进行监督、检查、考核、指引及审批，例如既有安全技术办法有效性、安全配备与安全方略一致性、安全管理制度执行状况等。 以上组织构造和职责通过《信息安全组织职责体系》加以阐明。 1.1.3 信息安全岗位 为了有效贯彻信息安全各项工作，黑龙江省农垦总局总医院应设立如下专职安全岗位，负责安全工作贯彻和执行： (一) 信息安全工作组主管 1) 负责网络与信息安全寻常整体协调、管理工作； 2) 负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和指引； 3) 负责重大安全事件详细协调和沟通工作。 (二) 安全管理员岗位 1) 负责执行网络与信息安全工作寻常协调、管理工作； 2) 负责寻常安全监控管理，并对上报和发现各类安全事件进行响应； 3) 负责系统、网络和应用安全管理协调和技术指引； 4) 负责安全管理平台安全方略制定，访问控制方略审核； 5) 负责组织安全管理制度推广和培训工作； 6) 负责定期进行安全检查，检查内容涉及系统寻常运营、系统漏洞和数据备份等状况。 (三) 安全审计员岗位 1) 负责安全管理制度贯彻状况检查、监督和指引； 2) 负责安全方略执行状况审核。 (四) 系统管理员 1) 负责系统安全稳定运营寻常管理工作； 2) 负责保持系统防病毒系统、补丁等保持最新，定期对系统进行安全加固，保持系统漏洞最小化。 (五) 网络管理员 1) 负责网络设备安全稳定运营寻常管理工作； 2) 负责保持网络设备漏洞最小化，定期对系统进行安全加固； 3) 负责保持网络路由和互换方略与业务需求保护一致。 黑龙江省农垦总局总医院应依照寻常运营维护和管理工作，设立物理环境管理 、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当涉及安全职责，这些安全职责详细内容通过《信息安全管理岗位阐明书》贯彻。 1.1.4 专家顾问与外部协作 黑龙江省农垦总局总医院应聘请专家和外部顾问成员，这些成员需要对信息安全或有关领域有丰富地知识和经验，如安全技术、电子政务、级别保护或质量管理等。专家和外部顾问负责对信息安全重要问题决策提供征询和建议。同步应加强与供应商、业界专家、专业安全公司等安全组织合伙和沟通。 1.2 安全管理制度 1.2.1 安全管理制度体系 黑龙江省农垦总局总医院安全管理制度应建立信息安全方针、安全方略、安全管理制度、安全技术规范以及流程一套信息安全管理制度体系。 图 82安全管理方略体系图 1.2.1.1 安全方针和主方略 最高方针，大纲性安全方略主文档，陈述本方略目、合用范畴、信息安全管理意图、支持目的以及指引原则，信息安全各个方面所应遵守原则办法和指引性方略。 1.2.1.2 安全管理制度和规范 各类管理规定、管理办法和暂行规定。从安全方略主文档中规定安全各个方面所应遵守原则办法和指引性方略引出详细管理规定、管理办法和实行办法，是必要具备可操作性，并且必要得到有效履行和实行。 技术原则和规范，涉及各个安全级别区域网络设备、主机操作系统和重要应用程序应遵守安全配备和管理技术原则和规范。技术原则和规范将作为各个网络设备、主机操作系统和应用程序安装、配备、采购、项目评审、寻常安全管理和维护时必要遵循原则，不容许发生违背和冲突。本项目将为黑龙江省农垦总局总医院编制如下安全管理制度和规范： l 安全方针 l 安全方略 l 安全管理组织体系职责 l 内部人员安全管理规定 l 外部人员安全管理规定 l 级别保护安全管理规范 l 风险评估管理规范 l 软件开发管理规定 l IT外包管理规定 l 工程安全管理规定 l 产品采购安全管理规定 l 服务商安全管理规定 l 机房管理制度 l 办公环境安全管理规定 l 资产安全管理制度 l 设备安全管理规定 l 介质安全管理规定 l 运营维护安全管理规范 l 网络安全管理规定 l 系统安全管理规定 l 防病毒安全管理规定 l 密码使用管理制度 l 变更管理制度 l 备份与恢复管理规定 l 安全事件管理制度 l 应急预案 安全流程和操作规程，详细规定重要业务应用和事件解决流程、环节和有关注意事项。作为详细工作时详细依照，此某些必要具备可操作性，并且必要得到有效履行和实行。 1.2.1.3 安全流程和操作规程 安全流程和操作规程，详细规定重要业务应用和事件解决流程和环节，和有关注意事项。作为详细工作时详细依照，此某些必要具备可操作性，并且必要得到有效履行和实行。 1.2.1.4 安全记录单 安全记录单，贯彻安全流程和操作规程详细表单，依照不同级别信息系统规定可以通过不同方式安全记录单贯彻并在寻常工作中详细执行。重要涉及寻常操作记录、工作记录、流转记录以及审批记录等。 1.2.2 安全管理制度体系文献管理 1.2.2.1 制定和发布管理 安全方略系列文档制定后，必要有效发布和执行。发布和执行过程中除了要得到管理层大力支持和推动外，还必要要有适当、可行发布和推动手段，同步在发布和执行前对每个人员都要做与其有关某些充分培训，保证每个人员都懂得和理解与其有关某些内容。 安全方略在制定和发布过程中，应当实行如下安全管理： (一) 安全管理制度应具备统一格式，并进行版本控制； (二) 安全管理职能部门应组织有关人员对制定安全管理制度进行论证和审定； (三) 安全管理制度应通过正式、有效方式发布； (四) 安全管理制度应注明发布范畴，并对收发文进行登记。 必要要注意到这是一种长期、艰难工作，需要付出艰难努力，并且由于牵扯到许多部门和绝大多数员工，也许需要变化工作方式和流程，因此履行起来阻力会相称大；同步安全方略自身存在缺陷，涉及不切实可行，太过复杂和繁琐，某些规定有缺欠等，都会导致整体方略难以贯彻。 1.2.2.2 评审和修订管理 信息安全领导小组应组织有关人员对于信息安全方略体系文献进行评审，并拟定其有效执行期限。同步应指定信息安全职能部门每年审视安全方略系列文档，详细检查内容涉及： (一) 信息安全方略中重要更新； (二) 信息安全原则中重要更新。信息安全原则不需要所有更新，可以仅对因变更而受影响某些进行更新；如果必要，可以使用年度审视／更新流程对信息安全原则做一次全面更新。 (三) 安全管理组织机构和人员安全职责重要更新； (四) 操作流程重要更新； (五) 各类管理规定、管理办法和暂行规定重要更新； (六) 顾客合同重要更新；等等。 通过《信息安全方略管理规定》贯彻以上有关内容。 1.3 人员安全管理 黑龙江省农垦总局总医院在人员安全管理方面，可以通过对于人员录取、调动、离岗、考核、培训教诲和第三方人员安全几种方面，贯彻信息安全级别保护三级基本规定内容，其中内部人员管理归纳形成人力资源安全管理详细安全规定，外部人员管理归纳形成第三方人员安全管理详细安全规定。详细如下图所示： 图 83人员安全管理框架图 1.3.1 内部人员安全管理 人力资源安全管理重要是指针对内部人员安全管理，从人员录取、调用、离岗和考核等各个方面提出针对信息安全有关管理规定，详细管理规定涉及： (一) 录取前 l 人员在录取过程中要订立保密合同； l 应当进行严格安全背景审核和权限审查； l 核心岗位人员应当进行特殊安全审核、权限管理和保密管理，订立安全合同； (二) 工作期间 l 所有人员依照其岗位职责不同，应定期进行安全培训和教诲； l 所有人员应依照黑龙江省农垦总局总医院安全管理制度规范和约束安全操作行为； l 定期对各个岗位人员进行不同侧面安全认知和安全技能考核，作为人员与否适合当前岗位参照； l 对安全责任和惩戒办法进行书面规定并告知有关人员，对违背违背安全方略和规定人员进行惩戒。 (三) 调离岗 l 应严格规范人员离岗过程，及时终结离岗员工所有访问权限，应取回各种身份证件、钥匙、徽章等以及机构提供软硬件设备； l 核心岗位人员应在调离岗期间订立保密承诺书。 1.3.2 外部人员安全管理 外部人员普通是指软件开发商，硬件供应商，系统集成商，设备维护商，和服务提供商，实习生，暂时工等非内部人员。外部人员在访问时可以提成物理访问和信息访问，详细如下： l 物理访问，如对办公室、机房物理访问； l 信息访问，如对信息系统、主机、网络设备、数据库访问。 对于实际访问外部人员，按照访问时间长短和访问性质，可以分为暂时来访外部人员，和非暂时来访外部人员两种，详细如下： l 暂时来访外部人员，指因业务洽谈、参观、交流、提供短期和不频繁技术支持服务而暂时来访外部组织或个人。 l 非暂时来访外部人员，指因从事合伙开发、参加项目工程、提供技术支持、售后服务、服务外包或顾问服务等，办公和工作外部组织或个人。 对于这两种短期和长期实际物理和信息访问，应规定不同安全管理规定，负责接待部门和接待人对外部人员来访安全负责，并对访问机房等敏感区域持谨慎态度。详细管理规定应涉及： (一) 遵守黑龙江省农垦总局总医院各项信息安全原则和管理规定； (二) 必要订立保密合同，必要订立安全承诺合同，或在合同中规定有关内容； (三) 对其维护目的安全配备规定，必要符合相应网络设备、主机、操作系统、数据库和通用应用程序等黑龙江省农垦总局总医院安全配备原则文档中相应规定； (四) 申请访问权限时，必要阐明其申请理由、访问方式、规定权限、访问时间和地点等内容，黑龙江省农垦总局总医院安全管理人员需要核算其申请访问权限必要性和访问方式，评估其也许带来安全风险，尽量采用某些办法来减少风险。在风险可接受状况下，才批准其访问权限申请，并尽量不给超级顾客权限。 通过《外部人员安全管理规定》贯彻以上有关内容。