安全管理體系總體設(shè)計方案

1、1 安全管理體系總體設(shè)計方案1.1 安全組織結(jié)構(gòu)黑龍江省農(nóng)墾總局總醫(yī)院安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組、具體信息安全職能部門負(fù)責(zé)日常工作的組織模式，組織結(jié)構(gòu)圖如下所示：圖 81安全組織結(jié)構(gòu)圖1.1.1 信息安全領(lǐng)導(dǎo)小組職責(zé)信息安全領(lǐng)導(dǎo)小組是由黑龍江省農(nóng)墾總局總醫(yī)院主管領(lǐng)導(dǎo)牽頭，各部門的負(fù)責(zé)人為組成成員的組織機(jī)構(gòu)，主要負(fù)責(zé)批準(zhǔn)黑龍江省農(nóng)墾總局總醫(yī)院安全策略、分配安全責(zé)任并協(xié)調(diào)安全策略能夠?qū)嵤?，確保安全管理工作有一個明確的方向，從管理和決策層角度對信息安全管理提供支持。信息安全領(lǐng)導(dǎo)小組的主要責(zé)任如下：(一) 確定網(wǎng)絡(luò)與信息安全工作的總體方向、目標(biāo)、總體原則和安全工作方法；(二)

2、審查并批準(zhǔn)政府的信息安全策略和安全責(zé)任；(三) 分配和指導(dǎo)安全管理總體職責(zé)與工作；(四) 在網(wǎng)絡(luò)與信息面臨重大安全風(fēng)險時，監(jiān)督控制可能發(fā)生的重大變化；(五) 對安全管理的重大更改事項（例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動、信息系統(tǒng)更改等）進(jìn)行決策；(六) 指揮、協(xié)調(diào)、督促并審查重大安全事件的處理，并協(xié)調(diào)改進(jìn)措施；(七) 審核網(wǎng)絡(luò)安全建設(shè)和管理的重要活動，如重要安全項目建設(shè)、重要的安全管理措施出臺等；(八) 定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。1.1.2 信息安全工作組職責(zé)信息安全工作組是信息安全工作的日常執(zhí)行機(jī)構(gòu)，內(nèi)設(shè)專職的安全管理組織和崗位，負(fù)責(zé)日常具體安全工作

3、的落實、組織和協(xié)調(diào)。信息安全工作組的主要職責(zé)如下：（一） 貫徹執(zhí)行和解釋信息安全領(lǐng)導(dǎo)小組的決議；（二） 貫徹執(zhí)行和解釋國家主管機(jī)構(gòu)下發(fā)的信息安全策略；（三） 負(fù)責(zé)組織和協(xié)調(diào)各類信息安全規(guī)劃、方案、實施、測試和驗收評審會議；（四） 負(fù)責(zé)落實和執(zhí)行各類信息安全具體工作，并對具體落實情況進(jìn)行總結(jié)和匯報；（五） 負(fù)責(zé)內(nèi)外部組織和機(jī)構(gòu)的溝通、協(xié)調(diào)和合作工作；（六） 負(fù)責(zé)制定所有信息安全相關(guān)的管理制度和規(guī)范；（七） 負(fù)責(zé)針對信息安全相關(guān)的管理制度和規(guī)范具體落實工作進(jìn)行監(jiān)督、檢查、考核、指導(dǎo)及審批，例如現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。以上組織結(jié)構(gòu)和職責(zé)通過信息

4、安全組織職責(zé)體系加以說明。1.1.3 信息安全崗位為了有效落實信息安全各項工作，黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)設(shè)立以下專職的安全崗位，負(fù)責(zé)安全工作的落實和執(zhí)行：(一) 信息安全工作組主管1) 負(fù)責(zé)網(wǎng)絡(luò)與信息安全的日常整體協(xié)調(diào)、管理工作；2) 負(fù)責(zé)組織人員制定信息安全管理制度，并對管理制度進(jìn)行推廣、培訓(xùn)和指導(dǎo)；3) 負(fù)責(zé)重大安全事件的具體協(xié)調(diào)和溝通工作。(二) 安全管理員崗位1) 負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)與信息安全工作的日常協(xié)調(diào)、管理工作；2) 負(fù)責(zé)日常的安全監(jiān)控管理，并對上報和發(fā)現(xiàn)的各類安全事件進(jìn)行響應(yīng)；3) 負(fù)責(zé)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用安全管理的協(xié)調(diào)和技術(shù)指導(dǎo)；4) 負(fù)責(zé)安全管理平臺安全策略制定，訪問控制策略審核；5

5、) 負(fù)責(zé)組織安全管理制度的推廣和培訓(xùn)工作；6) 負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。(三) 安全審計員崗位1) 負(fù)責(zé)安全管理制度落實情況的檢查、監(jiān)督和指導(dǎo)；2) 負(fù)責(zé)安全策略執(zhí)行情況的審核。(四) 系統(tǒng)管理員1) 負(fù)責(zé)系統(tǒng)安全穩(wěn)定運行的日常管理工作；2) 負(fù)責(zé)保持系統(tǒng)的防病毒系統(tǒng)、補(bǔ)丁等保持最新，定期對系統(tǒng)進(jìn)行安全加固，保持系統(tǒng)漏洞最小化。(五) 網(wǎng)絡(luò)管理員1) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備安全穩(wěn)定運行的日常管理工作；2) 負(fù)責(zé)保持網(wǎng)絡(luò)設(shè)備的漏洞最小化，定期對系統(tǒng)進(jìn)行安全加固；3) 負(fù)責(zé)保持網(wǎng)絡(luò)路由和交換策略與業(yè)務(wù)需求保護(hù)一致。黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)根據(jù)日常的運行維護(hù)和

6、管理工作，設(shè)置物理環(huán)境管理 、數(shù)據(jù)庫管理、應(yīng)用管理以及資產(chǎn)管理等崗位，這些崗位也應(yīng)當(dāng)包括安全職責(zé)，這些安全職責(zé)的具體內(nèi)容通過信息安全管理崗位說明書落實。1.1.4 專家顧問與外部協(xié)作黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)聘請專家和外部顧問成員，這些成員需要對信息安全或相關(guān)領(lǐng)域有豐富地知識和經(jīng)驗，如安全技術(shù)、電子政務(wù)、等級保護(hù)或質(zhì)量管理等。專家和外部顧問負(fù)責(zé)對信息安全重要問題的決策提供咨詢和建議。同時應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司等安全組織的合作和溝通。1.2 安全管理制度1.2.1 安全管理制度體系黑龍江省農(nóng)墾總局總醫(yī)院安全管理制度應(yīng)建立信息安全方針、安全策略、安全管理制度、安全技術(shù)規(guī)范以及流程的

7、一套信息安全管理制度體系。圖 82安全管理策略體系圖1.2.1.1 安全方針和主策略最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。1.2.1.2 安全管理制度和規(guī)范各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。技術(shù)標(biāo)準(zhǔn)和規(guī)范，包括各個安全等級區(qū)域網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個網(wǎng)

8、絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用程序的安裝、配置、采購、項目評審、日常安全管理和維護(hù)時必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。本項目將為黑龍江省農(nóng)墾總局總醫(yī)院編制如下安全管理制度和規(guī)范：l 安全方針l 安全策略l 安全管理組織體系職責(zé)l 內(nèi)部人員安全管理規(guī)定l 外部人員安全管理規(guī)定l 等級保護(hù)安全管理規(guī)范l 風(fēng)險評估管理規(guī)范l 軟件開發(fā)管理規(guī)定l IT外包管理規(guī)定l 工程安全管理規(guī)定l 產(chǎn)品采購安全管理規(guī)定l 服務(wù)商安全管理規(guī)定l 機(jī)房管理制度l 辦公環(huán)境安全管理規(guī)定l 資產(chǎn)安全管理制度l 設(shè)備安全管理規(guī)定l 介質(zhì)安全管理規(guī)定l 運行維護(hù)安全管理規(guī)范l 網(wǎng)絡(luò)安全管理規(guī)定l 系統(tǒng)安全管理規(guī)定l 防病毒安

9、全管理規(guī)定l 密碼使用管理制度l 變更管理制度l 備份與恢復(fù)管理規(guī)定l 安全事件管理制度l 應(yīng)急預(yù)案安全流程和操作規(guī)程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程、步驟和相關(guān)注意事項。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。1.2.1.3 安全流程和操作規(guī)程安全流程和操作規(guī)程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程和步驟，和相關(guān)注意事項。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。1.2.1.4 安全記錄單安全記錄單，落實安全流程和操作規(guī)程的具體表單，根據(jù)不同等級信息系統(tǒng)的要求可以通過不同方式的安全記錄單落實并在日常工作中具體

10、執(zhí)行。主要包括日常操作的記錄、工作記錄、流轉(zhuǎn)記錄以及審批記錄等。1.2.2 安全管理制度體系文件管理1.2.2.1 制定和發(fā)布管理安全策略系列文檔制定后，必須有效發(fā)布和執(zhí)行。發(fā)布和執(zhí)行過程中除了要得到管理層的大力支持和推動外，還必須要有合適的、可行的發(fā)布和推動手段，同時在發(fā)布和執(zhí)行前對每個人員都要做與其相關(guān)部分的充分培訓(xùn)，保證每個人員都知道和了解與其相關(guān)部分的內(nèi)容。安全策略在制定和發(fā)布過程中，應(yīng)當(dāng)實施以下安全管理：(一) 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；(二) 安全管理職能部門應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；(三) 安全管理制度應(yīng)通過正式、有效的方式發(fā)布；(四)

11、 安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。必須要注意到這是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到許多部門和絕大多數(shù)員工，可能需要改變工作方式和流程，所以推行起來的阻力會相當(dāng)大；同時安全策略本身存在的缺陷，包括不切實可行，太過復(fù)雜和繁瑣，部分規(guī)定有缺欠等，都會導(dǎo)致整體策略難以落實。1.2.2.2 評審和修訂管理信息安全領(lǐng)導(dǎo)小組應(yīng)組織相關(guān)人員對于信息安全策略體系文件進(jìn)行評審，并確定其有效執(zhí)行期限。同時應(yīng)指定信息安全職能部門每年審視安全策略系列文檔，具體檢查內(nèi)容包括：(一) 信息安全策略中的主要更新；(二) 信息安全標(biāo)準(zhǔn)中的主要更新。信息安全標(biāo)準(zhǔn)不需要全部更新，可以僅對因變

12、更而受影響的部分進(jìn)行更新；如果必要，可以使用年度審視更新流程對信息安全標(biāo)準(zhǔn)做一次全面更新。(三) 安全管理組織機(jī)構(gòu)和人員的安全職責(zé)的主要更新；(四) 操作流程的主要更新；(五) 各類管理規(guī)定、管理辦法和暫行規(guī)定的主要更新；(六) 用戶協(xié)議的主要更新；等等。通過信息安全策略管理規(guī)定落實以上相關(guān)內(nèi)容。1.3 人員安全管理黑龍江省農(nóng)墾總局總醫(yī)院在人員安全管理方面，可以通過對于人員錄用、調(diào)動、離崗、考核、培訓(xùn)教育和第三方人員安全幾個方面，落實信息安全等級保護(hù)三級基本要求的內(nèi)容，其中內(nèi)部人員的管理歸納形成人力資源安全管理的具體安全要求，外部人員的管理歸納形成第三方人員安全管理的具體安全要求。具體如下圖所

13、示：圖 83人員安全管理框架圖1.3.1 內(nèi)部人員安全管理人力資源安全管理主要是指針對內(nèi)部人員的安全管理，從人員的錄用、調(diào)用、離崗和考核等各個方面提出針對信息安全的相關(guān)管理要求，具體管理要求包括：(一) 錄用前l(fā) 人員在錄用過程中要簽署保密協(xié)議；l 應(yīng)當(dāng)進(jìn)行嚴(yán)格的安全背景審核和權(quán)限審查；l 關(guān)鍵崗位人員應(yīng)當(dāng)進(jìn)行特殊的安全審核、權(quán)限管理和保密管理，簽署安全協(xié)議；(二) 工作期間l 所有人員根據(jù)其崗位職責(zé)的不同，應(yīng)定期進(jìn)行安全培訓(xùn)和教育；l 所有人員應(yīng)根據(jù)黑龍江省農(nóng)墾總局總醫(yī)院的安全管理制度規(guī)范和約束安全操作行為；l 定期對各個崗位的人員進(jìn)行不同側(cè)面的安全認(rèn)知和安全技能考核，作為人員是否適合當(dāng)前崗

14、位的參考；l 對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。(三) 調(diào)離崗l 應(yīng)嚴(yán)格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限，應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；l 關(guān)鍵崗位人員應(yīng)在調(diào)離崗期間簽署保密承諾書。1.3.2 外部人員安全管理外部人員通常是指軟件開發(fā)商，硬件供應(yīng)商，系統(tǒng)集成商，設(shè)備維護(hù)商，和服務(wù)提供商，實習(xí)生，臨時工等非內(nèi)部人員。外部人員在訪問時可以分成物理訪問和信息訪問，具體如下：l 物理訪問，如對辦公室、機(jī)房的物理訪問；l 信息訪問，如對信息系統(tǒng)、主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的訪問。對于實際訪問的外部人員，按照訪問

15、的時間長短和訪問的性質(zhì)，可以分為臨時來訪的外部人員，和非臨時來訪的外部人員兩種，具體如下：l 臨時來訪的外部人員，指因業(yè)務(wù)洽談、參觀、交流、提供短期和不頻繁的技術(shù)支持服務(wù)而臨時來訪的外部組織或個人。l 非臨時來訪的外部人員，指因從事合作開發(fā)、參與項目工程、提供技術(shù)支持、售后服務(wù)、服務(wù)外包或顧問服務(wù)等，辦公和工作的外部組織或個人。對于這兩種短期和長期的實際物理和信息訪問，應(yīng)規(guī)定不同的安全管理要求，負(fù)責(zé)接待的部門和接待人對外部人員來訪的安全負(fù)責(zé)，并對訪問機(jī)房等敏感區(qū)域持謹(jǐn)慎態(tài)度。具體管理要求應(yīng)包括：(一) 遵守黑龍江省農(nóng)墾總局總醫(yī)院的各項信息安全標(biāo)準(zhǔn)和管理規(guī)定；(二) 必須簽署保密協(xié)議，必須簽署安全承諾協(xié)議，或在合同中規(guī)定相關(guān)的內(nèi)容；(三) 對其維護(hù)目標(biāo)的安全配置要求，必須