安全管理體系總體設(shè)計(jì)方案

1、1安全管理體系總體設(shè)計(jì)方案1.1 安全組織結(jié)構(gòu)黑龍江省農(nóng)墾總局總醫(yī)院安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組、具體信息安全職能部門負(fù)責(zé)日常工作的組織模式，組織結(jié)構(gòu)圖如下所?。盒畔踩ぷ鹘M圖8-1安全組織結(jié)構(gòu)圖1.1.1 信息安全領(lǐng)導(dǎo)小組職責(zé)信息安全領(lǐng)導(dǎo)小組是由黑龍江省農(nóng)墾總局總醫(yī)院主管領(lǐng)導(dǎo)牽頭，各部門的負(fù)責(zé)人為組成成員的組織機(jī)構(gòu)，主要負(fù)責(zé)批準(zhǔn)黑龍江省農(nóng)墾總局總醫(yī)院安全策略、分配安全責(zé)任并協(xié)調(diào)安全策略能夠?qū)嵤?，確保安全管理工作有一個(gè)明確的方向，從管理和決策層角度對信息安全管理提供支持。信息安全領(lǐng)導(dǎo)小組的主要責(zé)任如下：（1） 確定網(wǎng)絡(luò)與信息安全工作的總體方向、目標(biāo)、總體原則和安全工作方

2、法；（2） 審查并批準(zhǔn)政府的信息安全策略和安全責(zé)任；（3） 分配和指導(dǎo)安全管理總體職責(zé)與工作；（四）在網(wǎng)絡(luò)與信息面臨重大安全風(fēng)險(xiǎn)時(shí)，監(jiān)督控制可能發(fā)生的重大變化；（五）對安全管理的重大更改事項(xiàng)（例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息系統(tǒng)更改等）進(jìn)行決策；（6） 指揮、協(xié)調(diào)、督促并審查重大安全事件的處理，并協(xié)調(diào)改進(jìn)措施；（7） 審核網(wǎng)絡(luò)安全建設(shè)和管理的重要活動(dòng)，如重要安全項(xiàng)目建設(shè)、重要的安全管理措施出臺等；（8） 定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。1.1.2 信息安全工作組職責(zé)信息安全工作組是信息安全工作的日常執(zhí)行機(jī)構(gòu)，內(nèi)設(shè)專職的安全管理組織和崗位，負(fù)責(zé)日常具體

3、安全工作的落實(shí)、組織和協(xié)調(diào)。信息安全工作組的主要職責(zé)如下：（1） 貫徹執(zhí)行和解釋信息安全領(lǐng)導(dǎo)小組的決議；（2） 貫徹執(zhí)行和解釋國家主管機(jī)構(gòu)下發(fā)的信息安全策略；（3） 負(fù)責(zé)組織和協(xié)調(diào)各類信息安全規(guī)劃、方案、實(shí)施、測試和驗(yàn)收評審會(huì)議；（4） 負(fù)責(zé)落實(shí)和執(zhí)行各類信息安全具體工作，并對具體落實(shí)情況進(jìn)行總結(jié)和匯報(bào)；（5） 負(fù)責(zé)內(nèi)外部組織和機(jī)構(gòu)的溝通、協(xié)調(diào)和合作工作；（6） 負(fù)責(zé)制定所有信息安全相關(guān)的管理制度和規(guī)范；（7） 負(fù)責(zé)針對信息安全相關(guān)的管理制度和規(guī)范具體落實(shí)工作進(jìn)行監(jiān)督、檢查、考核、指導(dǎo)及審批，例如現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。以上組織結(jié)構(gòu)和職責(zé)

4、通過信息安全組織職責(zé)體系加以說明。1.1.3 信息安全崗位為了有效落實(shí)信息安全各項(xiàng)工作，黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)設(shè)立以下專職的安全崗位，負(fù)責(zé)安全工作的落實(shí)和執(zhí)行：(一)信息安全工作組主管1) 負(fù)責(zé)網(wǎng)絡(luò)與信息安全的日常整體協(xié)調(diào)、管理工作；2) 負(fù)責(zé)組織人員制定信息安全管理制度，并對管理制度進(jìn)行推廣、培訓(xùn)和指導(dǎo)；3) 負(fù)責(zé)重大安全事件的具體協(xié)調(diào)和溝通工作。(2) 安全管理員崗位1) 負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)與信息安全工作的日常協(xié)調(diào)、管理工作；2) 負(fù)責(zé)日常的安全監(jiān)控管理，并對上報(bào)和發(fā)現(xiàn)的各類安全事件進(jìn)行響應(yīng)；3) 負(fù)責(zé)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用安全管理的協(xié)調(diào)和技術(shù)指導(dǎo)；4) 負(fù)責(zé)安全管理平臺安全策略制定，訪問控制策略審

5、核；5) 負(fù)責(zé)組織安全管理制度的推廣和培訓(xùn)工作；6) 負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。(3) 安全審計(jì)員崗位1) 負(fù)責(zé)安全管理制度落實(shí)情況的檢查、監(jiān)督和指導(dǎo)；2) 負(fù)責(zé)安全策略執(zhí)行情況的審核。(四)系統(tǒng)管理員1) 負(fù)責(zé)系統(tǒng)安全穩(wěn)定運(yùn)行的日常管理工作；2) 負(fù)責(zé)保持系統(tǒng)的防病毒系統(tǒng)、補(bǔ)丁等保持最新，定期對系統(tǒng)進(jìn)行安全加固，保持系統(tǒng)漏洞最小化。(五)網(wǎng)絡(luò)管理員1) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備安全穩(wěn)定運(yùn)行的日常管理工作；2) 負(fù)責(zé)保持網(wǎng)絡(luò)設(shè)備的漏洞最小化，定期對系統(tǒng)進(jìn)行安全加固；3) 負(fù)責(zé)保持網(wǎng)絡(luò)路由和交換策略與業(yè)務(wù)需求保護(hù)一致。黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)根據(jù)日常的運(yùn)行維護(hù)

6、和管理工作，設(shè)置物理環(huán)境管理、數(shù)據(jù)庫管理、應(yīng)用管理以及資產(chǎn)管理等崗位，這些崗位也應(yīng)當(dāng)包括安全職責(zé)，這些安全職責(zé)的具體內(nèi)容通過信息安全管理崗位說明書落實(shí)1.1.4專家顧問與外部協(xié)作黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)聘請專家和外部顧問成員，這些成員需要對信息安全或相關(guān)領(lǐng)域有豐富地知識和經(jīng)驗(yàn)，如安全技術(shù)、電子政務(wù)、等級保護(hù)或質(zhì)量管理等。專家和外部顧問負(fù)責(zé)對信息安全重要問題的決策提供咨詢和建議。同時(shí)應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司等安全組織的合作和溝通。1.2 安全管理制度1.2.1 安全管理制度體系黑龍江省農(nóng)墾總局總醫(yī)院安全管理制度應(yīng)建立信息安全方針、安全策略、安全管理制度、安全技術(shù)規(guī)范以及流程的一套

7、信息安全管理制度體系。圖8-2安全管理策略體系圖1.2.1.1 安全方針和主策略最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。1.2.1.2 安全管理制度和規(guī)范各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法，是必須具有可操作性，而且必須得到有效推行和實(shí)施的。技術(shù)標(biāo)準(zhǔn)和規(guī)范，包括各個(gè)安全等級區(qū)域網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個(gè)網(wǎng)絡(luò)設(shè)

8、備、主機(jī)操作系統(tǒng)和應(yīng)用程序的安裝、配置、采購、項(xiàng)目評審、日常安全管理和維護(hù)時(shí)必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。本項(xiàng)目將為黑龍江省農(nóng)墾總局總醫(yī)院編制如下安全管理制度和規(guī)范：安全方針安全策略安全管理組織體系職責(zé)內(nèi)部人員安全管理規(guī)定外部人員安全管理規(guī)定等級保護(hù)安全管理規(guī)范風(fēng)險(xiǎn)評估管理規(guī)范軟件開發(fā)管理規(guī)定IT外包管理規(guī)定工程安全管理規(guī)定產(chǎn)品采購安全管理規(guī)定服務(wù)商安全管理規(guī)定機(jī)房管理制度辦公環(huán)境安全管理規(guī)定資產(chǎn)安全管理制度設(shè)備安全管理規(guī)定介質(zhì)安全管理規(guī)定運(yùn)行維護(hù)安全管理規(guī)范網(wǎng)絡(luò)安全管理規(guī)定系統(tǒng)安全管理規(guī)定防病毒安全管理規(guī)定密碼使用管理制度變更管理制度備份與恢復(fù)管理規(guī)定安全事件管理制度應(yīng)急預(yù)案安全流程

9、和操作規(guī)程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程、步驟和相關(guān)注意事項(xiàng)。作為具體工作時(shí)的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實(shí)施的。1.2.1.3 安全流程和操作規(guī)程安全流程和操作規(guī)程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程和步驟，和相關(guān)注意事項(xiàng)。作為具體工作時(shí)的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實(shí)施的。1.2.1.4 安全記錄單安全記錄單，落實(shí)安全流程和操作規(guī)程的具體表單，根據(jù)不同等級信息系統(tǒng)的要求可以通過不同方式的安全記錄單落實(shí)并在日常工作中具體執(zhí)行。主要包括日常操作的記錄、工作記錄、流轉(zhuǎn)記錄以及審批記錄等。1.2.2 安全管理制度體系文件管理1.2.

10、2.1 制定和發(fā)布管理安全策略系列文檔制定后，必須有效發(fā)布和執(zhí)行。發(fā)布和執(zhí)行過程中除了要得到管理層的大力支持和推動(dòng)外，還必須要有合適的、可行的發(fā)布和推動(dòng)手段，同時(shí)在發(fā)布和執(zhí)行前對每個(gè)人員都要做與其相關(guān)部分的充分培訓(xùn)，保證每個(gè)人員都知道和了解與其相關(guān)部分的內(nèi)容。安全策略在制定和發(fā)布過程中，應(yīng)當(dāng)實(shí)施以下安全管理：（1） 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；（2） 安全管理職能部門應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；（3） 安全管理制度應(yīng)通過正式、有效的方式發(fā)布；（四）安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。必須要注意到這是一個(gè)長期、艱苦的工作，需要付出艱苦的努力，而

11、且由于牽扯到許多部門和絕大多數(shù)員工，可能需要改變工作方式和流程，所以推行起來的阻力會(huì)相當(dāng)大；同時(shí)安全策略本身存在的缺陷，包括不切實(shí)可行，太過復(fù)雜和繁瑣，部分規(guī)定有缺欠等，都會(huì)導(dǎo)致整體策略難以落實(shí)。1.2.2.2 評審和修訂管理信息安全領(lǐng)導(dǎo)小組應(yīng)組織相關(guān)人員對于信息安全策略體系文件進(jìn)行評審，并確定其有效執(zhí)行期限。同時(shí)應(yīng)指定信息安全職能部門每年審視安全策略系列文檔，具體檢查內(nèi)容包括：（1） 信息安全策略中的主要更新；（2） 信息安全標(biāo)準(zhǔn)中的主要更新。信息安全標(biāo)準(zhǔn)不需要全部更新，可以僅對因變更而受影響的部分進(jìn)行更新；如果必要，可以使用年度審視更新流程對信息安全標(biāo)準(zhǔn)做一次全面更新。（3） 安全管理組織

12、機(jī)構(gòu)和人員的安全職責(zé)的主要更新；（四）操作流程的主要更新；（五）各類管理規(guī)定、管理辦法和暫行規(guī)定的主要更新；（六）用戶協(xié)議的主要更新；等等。通過信息安全策略管理規(guī)定落實(shí)以上相關(guān)內(nèi)容。1.3 人員安全管理黑龍江省農(nóng)墾總局總醫(yī)院在人員安全管理方面，可以通過對于人員錄用、調(diào)動(dòng)、離崗、考核、培訓(xùn)教育和第三方人員安全幾個(gè)方面，落實(shí)信息安全等級保護(hù)三級基本要求的內(nèi)容，其中內(nèi)部人員的管理歸納形成人力資源安全管理的具體安全要求，外部人員的管理歸納形成第三方人員安全管理的具體安全要求。具體如下圖所示：人員安全管理人員錄用人員調(diào)動(dòng)安全審核-安全審核保密-/保密、權(quán)限培訓(xùn)和教育iJ-人員考核人員離崗安全審核一保密、

13、權(quán)限第三方人員安全管理圖示圖8-3人員安全管理框架圖1.3.1 內(nèi)部人員安全管理人力資源安全管理主要是指針對內(nèi)部人員的安全管理，從人員的錄用、調(diào)用、離崗和考核等各個(gè)方面提出針對信息安全的相關(guān)管理要求，具體管理要求包括：（一）錄用前人員在錄用過程中要簽署保密協(xié)議；應(yīng)當(dāng)進(jìn)行嚴(yán)格的安全背景審核和權(quán)限審查；關(guān)鍵崗位人員應(yīng)當(dāng)進(jìn)行特殊的安全審核、權(quán)限管理和保密管理，簽署安全協(xié)議；（二）工作期間所有人員根據(jù)其崗位職責(zé)的不同，應(yīng)定期進(jìn)行安全培訓(xùn)和教育；所有人員應(yīng)根據(jù)黑龍江省農(nóng)墾總局總醫(yī)院的安全管理制度規(guī)范和約束安全操作行為；定期對各個(gè)崗位的人員進(jìn)行不同側(cè)面的安全認(rèn)知和安全技能考核，作為人員是否適合當(dāng)前崗位的參

14、考；對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。（三）調(diào)離崗應(yīng)嚴(yán)格規(guī)范人員離崗過程，及時(shí)終止離崗員工的所有訪問權(quán)限，應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；關(guān)鍵崗位人員應(yīng)在調(diào)離崗期間簽署保密承諾書。1.3.2 外部人員安全管理外部人員通常是指軟件開發(fā)商，硬件供應(yīng)商，系統(tǒng)集成商，設(shè)備維護(hù)商，和服務(wù)提供商，實(shí)習(xí)生，臨時(shí)工等非內(nèi)部人員。外部人員在訪問時(shí)可以分成物理訪問和信息訪問，具體如下：物理訪問，如對辦公室、機(jī)房的物理訪問；信息訪問，如對信息系統(tǒng)、主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的訪問。對于實(shí)際訪問的外部人員，按照訪問的時(shí)間長短和訪問的性質(zhì)，可以

15、分為臨時(shí)來訪的外部人員，和非臨時(shí)來訪的外部人員兩種，具體如下：臨時(shí)來訪的外部人員，指因業(yè)務(wù)洽談、參觀、交流、提供短期和不頻繁的技術(shù)支持服務(wù)而臨時(shí)來訪的外部組織或個(gè)人。非臨時(shí)來訪的外部人員，指因從事合作開發(fā)、參與項(xiàng)目工程、提供技術(shù)支持、售后服務(wù)、服務(wù)外包或顧問服務(wù)等，辦公和工作的外部組織或個(gè)人。對于這兩種短期和長期的實(shí)際物理和信息訪問，應(yīng)規(guī)定不同的安全管理要求，負(fù)責(zé)接待的部門和接待人對外部人員來訪的安全負(fù)責(zé)，并對訪問機(jī)房等敏感區(qū)域持謹(jǐn)慎態(tài)度。具體管理要求應(yīng)包括：（1） 遵守黑龍江省農(nóng)墾總局總醫(yī)院的各項(xiàng)信息安全標(biāo)準(zhǔn)和管理規(guī)定；（2） 必須簽署保密協(xié)議，必須簽署安全承諾協(xié)議，或在合同中規(guī)定相關(guān)的內(nèi)容；（三）