安全管理體系總體設計方案

/平安管理體系總體設計方案平安組織結(jié)構(gòu)黑龍江省農(nóng)墾總局總醫(yī)院平安管理組織應形成由主管領(lǐng)導牽頭的信息平安領(lǐng)導小組、具體信息平安職能部門負責日常工作的組織模式，組織結(jié)構(gòu)圖如下所示：圖8SEQ圖\*ARABIC\s11平安組織結(jié)構(gòu)圖信息平安領(lǐng)導小組職責信息平安領(lǐng)導小組是由黑龍江省農(nóng)墾總局總醫(yī)院主管領(lǐng)導牽頭，各部門的負責人為組成成員的組織機構(gòu)，主要負責批準黑龍江省農(nóng)墾總局總醫(yī)院平安策略、安排平安責任并協(xié)調(diào)平安策略能夠?qū)嵤?，確保平安管理工作有一個明確的方向，從管理和決策層角度對信息平安管理供應支持。信息平安領(lǐng)導小組的主要責任如下：確定網(wǎng)絡和信息平安工作的總體方向、目標、總體原則和平安工作方法；審查并批準政府的信息平安策略和平安責任；安排和指導平安管理總體職責和工作；在網(wǎng)絡和信息面臨重大平安風險時，監(jiān)督限制可能發(fā)生的重大變更；對平安管理的重大更改事項（例如：組織機構(gòu)調(diào)整、關(guān)鍵人事變動、信息系統(tǒng)更改等）進行決策；指揮、協(xié)調(diào)、督促并審查重大平安事務的處理，并協(xié)調(diào)改進措施；審核網(wǎng)絡平安建設和管理的重要活動，如重要平安項目建設、重要的平安管理措施出臺等；定期組織相關(guān)部門和相關(guān)人員對平安管理制度體系的合理性和適用性進行審定。信息平安工作組職責信息平安工作組是信息平安工作的日常執(zhí)行機構(gòu)，內(nèi)設專職的平安管理組織和崗位，負責日常具體平安工作的落實、組織和協(xié)調(diào)。信息平安工作組的主要職責如下：貫徹執(zhí)行和說明信息平安領(lǐng)導小組的決議；貫徹執(zhí)行和說明國家主管機構(gòu)下發(fā)的信息平安策略；負責組織和協(xié)調(diào)各類信息平安規(guī)劃、方案、實施、測試和驗收評審會議；負責落實和執(zhí)行各類信息平安具體工作，并對具體落實狀況進行總結(jié)和匯報；負責內(nèi)外部組織和機構(gòu)的溝通、協(xié)調(diào)和合作工作；負責制定全部信息平安相關(guān)的管理制度和規(guī)范；負責針對信息平安相關(guān)的管理制度和規(guī)范具體落實工作進行監(jiān)督、檢查、考核、指導及審批，例如現(xiàn)有平安技術(shù)措施的有效性、平安配置和平安策略的一樣性、平安管理制度的執(zhí)行狀況等。以上組織結(jié)構(gòu)和職責通過《信息平安組織職責體系》加以說明。信息平安崗位為了有效落實信息平安各項工作，黑龍江省農(nóng)墾總局總醫(yī)院應設立以下專職的平安崗位，負責平安工作的落實和執(zhí)行：信息平安工作組主管負責網(wǎng)絡和信息平安的日常整體協(xié)調(diào)、管理工作；負責組織人員制定信息平安管理制度，并對管理制度進行推廣、培訓和指導；負責重大平安事務的具體協(xié)調(diào)和溝通工作。平安管理員崗位負責執(zhí)行網(wǎng)絡和信息平安工作的日常協(xié)調(diào)、管理工作；負責日常的平安監(jiān)控管理，并對上報和發(fā)覺的各類平安事務進行響應；負責系統(tǒng)、網(wǎng)絡和應用平安管理的協(xié)調(diào)和技術(shù)指導；負責平安管理平臺平安策略制定，訪問限制策略審核；負責組織平安管理制度的推廣和培訓工作；負責定期進行平安檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等狀況。平安審計員崗位負責平安管理制度落實狀況的檢查、監(jiān)督和指導；負責平安策略執(zhí)行狀況的審核。系統(tǒng)管理員負責系統(tǒng)平安穩(wěn)定運行的日常管理工作；負責保持系統(tǒng)的防病毒系統(tǒng)、補丁等保持最新，定期對系統(tǒng)進行平安加固，保持系統(tǒng)漏洞最小化。網(wǎng)絡管理員負責網(wǎng)絡設備平安穩(wěn)定運行的日常管理工作；負責保持網(wǎng)絡設備的漏洞最小化，定期對系統(tǒng)進行平安加固；負責保持網(wǎng)絡路由和交換策略和業(yè)務需求愛護一樣。黑龍江省農(nóng)墾總局總醫(yī)院應依據(jù)日常的運行維護和管理工作，設置物理環(huán)境管理、數(shù)據(jù)庫管理、應用管理以及資產(chǎn)管理等崗位，這些崗位也應當包括平安職責，這些平安職責的具體內(nèi)容通過《信息平安管理崗位說明書》落實。專家顧問和外部協(xié)作黑龍江省農(nóng)墾總局總醫(yī)院應聘請專家和外部顧問成員，這些成員須要對信息平安或相關(guān)領(lǐng)域有豐富地學問和閱歷，如平安技術(shù)、電子政務、等級愛護或質(zhì)量管理等。專家和外部顧問負責對信息平安重要問題的決策供應詢問和建議。同時應加強和供應商、業(yè)界專家、專業(yè)的平安公司等平安組織的合作和溝通。平安管理制度平安管理制度體系黑龍江省農(nóng)墾總局總醫(yī)院平安管理制度應建立信息平安方針、平安策略、平安管理制度、平安技術(shù)規(guī)范以及流程的一套信息平安管理制度體系。圖8SEQ圖\*ARABIC\s12平安管理策略體系圖平安方針和主策略最高方針，綱領(lǐng)性的平安策略主文檔，陳述本策略的目的、適用范圍、信息平安的管理意圖、支持目標以及指導原則，信息平安各個方面所應遵守的原則方法和指導性策略。平安管理制度和規(guī)范各類管理規(guī)定、管理方法和暫行規(guī)定。從平安策略主文檔中規(guī)定的平安各個方面所應遵守的原則方法和指導性策略引出的具體管理規(guī)定、管理方法和實施方法，是必需具有可操作性，而且必需得到有效推行和實施的。技術(shù)標準和規(guī)范，包括各個平安等級區(qū)域網(wǎng)絡設備、主機操作系統(tǒng)和主要應用程序的應遵守的平安配置和管理的技術(shù)標準和規(guī)范。技術(shù)標準和規(guī)范將作為各個網(wǎng)絡設備、主機操作系統(tǒng)和應用程序的安裝、配置、選購 、項目評審、日常平安管理和維護時必需遵照的標準，不允許發(fā)生違反和沖突。本項目將為黑龍江省農(nóng)墾總局總醫(yī)院編制如下平安管理制度和規(guī)范：平安方針平安策略平安管理組織體系職責內(nèi)部人員平安管理規(guī)定外部人員平安管理規(guī)定等級愛護平安管理規(guī)范風險評估管理規(guī)范軟件開發(fā)管理規(guī)定IT外包管理規(guī)定工程平安管理規(guī)定產(chǎn)品選購 平安管理規(guī)定服務商平安管理規(guī)定機房管理制度辦公環(huán)境平安管理規(guī)定資產(chǎn)平安管理制度設備平安管理規(guī)定介質(zhì)平安管理規(guī)定運行維護平安管理規(guī)范網(wǎng)絡平安管理規(guī)定系統(tǒng)平安管理規(guī)定防病毒平安管理規(guī)定密碼運用管理制度變更管理制度備份和復原管理規(guī)定平安事務管理制度應急預案平安流程和操作規(guī)程，具體規(guī)定主要業(yè)務應用和事務處理的流程、步驟和相關(guān)留意事項。作為具體工作時的具體依照，此部分必需具有可操作性，而且必需得到有效推行和實施的。平安流程和操作規(guī)程平安流程和操作規(guī)程，具體規(guī)定主要業(yè)務應用和事務處理的流程和步驟，和相關(guān)留意事項。作為具體工作時的具體依照，此部分必需具有可操作性，而且必需得到有效推行和實施的。平安記錄單平安記錄單，落實平安流程和操作規(guī)程的具體表單，依據(jù)不同等級信息系統(tǒng)的要求可以通過不同方式的平安記錄單落實并在日常工作中具體執(zhí)行。主要包括日常操作的記錄、工作記錄、流轉(zhuǎn)記錄以及審批記錄等。平安管理制度體系文件管理制定和發(fā)布管理平安策略系列文檔制定后，必需有效發(fā)布和執(zhí)行。發(fā)布和執(zhí)行過程中除了要得到管理層的大力支持和推動外，還必須要有合適的、可行的發(fā)布和推動手段，同時在發(fā)布和執(zhí)行前對每個人員都要做和其相關(guān)部分的充分培訓，保證每個人員都知道和了解和其相關(guān)部分的內(nèi)容。平安策略在制定和發(fā)布過程中，應當實施以下平安管理：平安管理制度應具有統(tǒng)一的格式，并進行版本限制；平安管理職能部門應組織相關(guān)人員對制定的平安管理制度進行論證和審定；平安管理制度應通過正式、有效的方式發(fā)布；平安管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。必須要留意到這是一個長期、艱苦的工作，須要付出艱苦的努力，而且由于牽扯到很多部門和絕大多數(shù)員工，可能須要變更工作方式和流程，所以推行起來的阻力會相當大；同時平安策略本身存在的缺陷，包括不切實可行，太過困難和繁瑣，部分規(guī)定有缺欠等，都會導致整體策略難以落實。評審和修訂管理信息平安領(lǐng)導小組應組織相關(guān)人員對于信息平安策略體系文件進行評審，并確定其有效執(zhí)行期限。同時應指定信息平安職能部門每年諦視平安策略系列文檔，具體檢查內(nèi)容包括：信息平安策略中的主要更新；信息平安標準中的主要更新。信息平安標準不須要全部更新，可以僅對因變更而受影響的部分進行更新；假如必要，可以運用年度諦視／更新流程對信息平安標準做一次全面更新。平安管理組織機構(gòu)和人員的平安職責的主要更新；操作流程的主要更新；各類管理規(guī)定、管理方法和暫行規(guī)定的主要更新；用戶協(xié)議的主要更新；等等。通過《信息平安策略管理規(guī)定》落實以上相關(guān)內(nèi)容。人員平安管理黑龍江省農(nóng)墾總局總醫(yī)院在人員平安管理方面，可以通過對于人員錄用、調(diào)動、離崗、考核、培訓教化和第三方人員平安幾個方面，落實信息平安等級愛護三級基本要求的內(nèi)容，其中內(nèi)部人員的管理歸納形成人力資源平安管理的具體平安要求，外部人員的管理歸納形成第三方人員平安管理的具體平安要求。具體如下圖所示：圖8SEQ圖\*ARABIC\s13人員平安管理框架圖內(nèi)部人員平安管理人力資源平安管理主要是指針對內(nèi)部人員的平安管理，從人員的錄用、調(diào)用、離崗和考核等各個方面提出針對信息平安的相關(guān)管理要求，具體管理要求包括：錄用前人員在錄用過程中要簽署保密協(xié)議；應當進行嚴格的平安背景審核和權(quán)限審查；關(guān)鍵崗位人員應當進行特別的平安審核、權(quán)限管理和保密管理，簽署平安協(xié)議；工作期間全部人員依據(jù)其崗位職責的不同，應定期進行平安培訓和教化；全部人員應依據(jù)黑龍江省農(nóng)墾總局總醫(yī)院的平安管理制度規(guī)范和約束平安操作行為；定期對各個崗位的人員進行不同側(cè)面的平安認知和平安技能考核，作為人員是否適合當前崗位的參考；對平安責任和懲戒措施進行書面規(guī)定并告知相關(guān)人員，對違反違反平安策略和規(guī)定的人員進行懲戒。調(diào)離崗應嚴格規(guī)范人員離崗過程，剛好終止離崗員工的全部訪問權(quán)限，應取回各種身份證件、鑰匙、徽章等以及機構(gòu)供應的軟硬件設備；關(guān)鍵崗位人員應在調(diào)離崗期間簽署保密承諾書。外部人員平安管理外部人員通常是指軟件開發(fā)商，硬件供應商，系統(tǒng)集成商，設備維護商，和服務供應商，實習生，臨時工等非內(nèi)部人員。外部人員在訪問時可以分成物理訪問和信息訪問，具體如下：物理訪問，如對辦公室、機房的物理訪問；信息訪問，如對信息系統(tǒng)、主機、網(wǎng)絡設備、數(shù)據(jù)庫的訪問。對于實際訪問的外部人員，依據(jù)訪問的時間長短和訪問的性質(zhì)，可以分為臨時來訪的外部人員，和非臨時來訪的外部人員兩種，具體如下：臨時來訪的外部人員，指因業(yè)務洽談、參觀、溝通、供應短期和不常見的技術(shù)支持服務而臨時來訪的外部組織或個人。非臨時來訪的外部人員，指因從事合作開發(fā)、參和項目工程、供應技術(shù)支持、售后服務、服務外包或顧問服務等，辦公和工作的外部組織或個人。對于這兩種短期和長期的實際物理和信息訪問，應規(guī)定不同的平安管理要求，負責接待的部門和接待人對外部人員來訪的平安負責，并對訪問機房等敏感區(qū)域持謹慎看法。具體管理要求應包括：遵守黑龍江省農(nóng)墾總局總醫(yī)院的各項信息平安標準和管理規(guī)定；必需簽署保密協(xié)議，必需簽署平安承諾協(xié)議，或在合同中規(guī)定相關(guān)的內(nèi)容；對其維護目標的平安配置要求，