【信息安全】【管理制度】【制度體系】XXX系統(tǒng)安全管理制度

系統(tǒng)安全管理制度第一章總則第一條為加強(qiáng)單位系統(tǒng)管理工作，保障系統(tǒng)的規(guī)范化建設(shè)和安全穩(wěn)定運(yùn)行，制定本制度。第二條本制度所稱信息系統(tǒng)是指計(jì)算機(jī)業(yè)務(wù)系統(tǒng)及其支持系統(tǒng)。關(guān)鍵信息系統(tǒng)是指支撐重要業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)關(guān)系全醫(yī)院的權(quán)益和正常生產(chǎn)秩序，甚至關(guān)系到公民、法人和組織的信息系統(tǒng)。第三條信息安全管理工作的指導(dǎo)方針是預(yù)防為主、安全第一、依法辦事、綜合治理。預(yù)防為主是信息安全管理工作的基本方針。第四條本文件適用各類系統(tǒng)運(yùn)行管理。第二章系統(tǒng)規(guī)劃與立項(xiàng)的安全管理第五條計(jì)算機(jī)信息系統(tǒng)的規(guī)劃和建設(shè)應(yīng)同步做好系統(tǒng)安全保護(hù)工作，以確保系統(tǒng)安全目標(biāo)的實(shí)現(xiàn)。第六條計(jì)算機(jī)信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級(jí)要求相應(yīng)的安全機(jī)制，在安全防護(hù)方面應(yīng)符合下列基本安全要求：（一）采取必要的技術(shù)手段，建立嚴(yán)密的安全管理控制機(jī)制，保證數(shù)據(jù)信息在處理、存儲(chǔ)和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便的根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù)；（三）具有嚴(yán)格的用戶和密碼管理，能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán)，特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；（四）重要計(jì)算機(jī)信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序，具有身份識(shí)別和實(shí)體認(rèn)證功能。能夠自動(dòng)記錄操作人員的重要操作，具有防止抵賴機(jī)制；（五）涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。第七條重要計(jì)算機(jī)信息系統(tǒng)立項(xiàng)的安全管理實(shí)行審批制度。對(duì)項(xiàng)目管理部門初審合格的項(xiàng)目申報(bào)材料，XXX應(yīng)進(jìn)行安全性專項(xiàng)審查，提出審查意見后由項(xiàng)目管理部門最后審批。第八條項(xiàng)目申報(bào)材料在符合電子化項(xiàng)目管理規(guī)定有關(guān)要求的同時(shí)，還應(yīng)包括以下與信息系統(tǒng)安全有關(guān)的內(nèi)容：（一）業(yè)務(wù)主管部門對(duì)保證業(yè)務(wù)正常開展的安全需求；（二）系統(tǒng)的安全性指標(biāo)；#（三）系統(tǒng)運(yùn)行平臺(tái)的安全性要求；（四）系統(tǒng)采取的安全策略、安全保護(hù)措施及其安全功能設(shè)計(jì)；（五）涉密信息系統(tǒng)的申報(bào)還應(yīng)取得保密主管部門的同意。第九條對(duì)沒有通過XXX審查的項(xiàng)目，項(xiàng)目管理部門不得予以立項(xiàng)。第三章系統(tǒng)開發(fā)的安全管理第十條計(jì)算機(jī)信息系統(tǒng)的開發(fā)必須符合軟件工程規(guī)范，并在軟件開發(fā)的各階段按照安全管理目標(biāo)進(jìn)行管理和實(shí)施。第十一條計(jì)算機(jī)信息系統(tǒng)的開發(fā)人員或參加開發(fā)的協(xié)作單位應(yīng)經(jīng)過嚴(yán)格資格審查，并簽訂保密協(xié)議書，承諾其負(fù)有的安全保密責(zé)任和義務(wù)。第十二條計(jì)算機(jī)信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場(chǎng)應(yīng)當(dāng)與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離，測(cè)試數(shù)據(jù)不得直接使用生產(chǎn)環(huán)境數(shù)據(jù)。第十三條計(jì)算機(jī)信息系統(tǒng)開發(fā)完成后，開發(fā)人員或參加開發(fā)的外部單位應(yīng)及時(shí)移交程序源代碼及其相關(guān)技術(shù)文檔。第十四條計(jì)算機(jī)信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)不得進(jìn)行公開學(xué)術(shù)交流或發(fā)表。第十五條計(jì)算機(jī)信息系統(tǒng)軟件開發(fā)完成后，須提交業(yè)務(wù)部門進(jìn)行整體功能性測(cè)試；第十六條計(jì)算機(jī)信息系統(tǒng)軟件開發(fā)實(shí)行安全審計(jì)制度，由XXX牽頭組織安全審計(jì)。第十七條對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)行外包開發(fā)的，除了明確知識(shí)產(chǎn)權(quán)、保密、服務(wù)等責(zé)任外，還應(yīng)對(duì)軟件程序進(jìn)行必要的代碼檢查和安全審計(jì)。第四章系統(tǒng)安全的評(píng)估與審批第十八條計(jì)算機(jī)信息系統(tǒng)投入運(yùn)行前，應(yīng)向XXX提出安全評(píng)估和審批申請(qǐng)，并報(bào)送下列材料：（一）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；（二）關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說明；（三）系統(tǒng)安全性測(cè)試提綱和測(cè)試報(bào)告。第十九條XXX應(yīng)當(dāng)對(duì)計(jì)算機(jī)信息系統(tǒng)主管部門報(bào)送的書面材料進(jìn)行安全性測(cè)試、認(rèn)證。第二十條對(duì)信息系統(tǒng)的安全評(píng)估應(yīng)當(dāng)包括以下內(nèi)容：（一）系統(tǒng)的安全策略；（二）系統(tǒng)的安全措施；（三）系統(tǒng)安全功能的實(shí)現(xiàn)程度；（四）系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性；（五）系統(tǒng)運(yùn)行平臺(tái)的安全可靠性。第二^一條XXX應(yīng)對(duì)測(cè)試、認(rèn)證的信息系統(tǒng)提出安全評(píng)估報(bào)告。第二十二條對(duì)符合安全運(yùn)行要求的信息系統(tǒng)，方可投入運(yùn)行。對(duì)不能保證安全運(yùn)行的，經(jīng)修改完善后另行申報(bào)評(píng)估。第二十三條對(duì)尚未經(jīng)過安全審批但已經(jīng)投入使用的計(jì)算機(jī)信息系統(tǒng)，XXX應(yīng)要求其使用部門報(bào)送系統(tǒng)安全建設(shè)情況書面材料，并按照上述程序進(jìn)行安全評(píng)估和審批。第五章系統(tǒng)使用與廢止的安全管理第二十四條計(jì)算機(jī)信息系統(tǒng)投入使用時(shí)業(yè)務(wù)部門應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。第二十五條計(jì)算機(jī)信息系統(tǒng)使用人員應(yīng)嚴(yán)格按照操作規(guī)程和有關(guān)安全管理制度進(jìn)行操作，保證系統(tǒng)安全運(yùn)行。第二十六條對(duì)計(jì)算機(jī)信息系統(tǒng)在運(yùn)行過程中出現(xiàn)的異?，F(xiàn)象，以及有關(guān)安全制度在執(zhí)行過程中出現(xiàn)的問題，操作人員有責(zé)任向部門領(lǐng)導(dǎo)報(bào)告。第二十七條計(jì)算機(jī)信息系統(tǒng)的使用部門應(yīng)當(dāng)加強(qiáng)對(duì)計(jì)算機(jī)系統(tǒng)運(yùn)行環(huán)境的管理，加強(qiáng)對(duì)計(jì)算機(jī)病毒的防治，保證系統(tǒng)安全運(yùn)行。第二十八條計(jì)算機(jī)信息系統(tǒng)的使用部門應(yīng)當(dāng)嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級(jí)用戶對(duì)數(shù)據(jù)的訪問權(quán)限。第二十九條計(jì)算機(jī)信息系統(tǒng)應(yīng)定期進(jìn)行數(shù)據(jù)備份，對(duì)備份介質(zhì)應(yīng)按有關(guān)規(guī)定指定專人妥善保管，重要業(yè)務(wù)系統(tǒng)的備份介質(zhì)必須異地保存。第三十條重要計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)制定信息安全保護(hù)的應(yīng)急計(jì)劃，保證業(yè)務(wù)的不間斷運(yùn)行。第三十一條重要計(jì)算機(jī)信息系統(tǒng)應(yīng)嚴(yán)格執(zhí)行保密管理的有關(guān)規(guī)定，確保國(guó)家秘密的安全。第三十二條對(duì)計(jì)算機(jī)信息系統(tǒng)使用部門及有關(guān)操作人員報(bào)告的安全問題，XXX應(yīng)當(dāng)認(rèn)真受理并及時(shí)反饋處理意見。第三十三條計(jì)算機(jī)信息系統(tǒng)的廢止實(shí)行備案制度，退出使用應(yīng)向XXX報(bào)告并備案。第三十四條對(duì)廢止的計(jì)算機(jī)信息系統(tǒng)，在業(yè)務(wù)規(guī)定的保存期限內(nèi)應(yīng)當(dāng)對(duì)軟硬件和數(shù)據(jù)備份媒體妥善加以保管。超過保存期限后需要銷毀的，由XXX負(fù)責(zé)監(jiān)督，檔案室予以不可恢復(fù)性銷毀。第五章系統(tǒng)運(yùn)行安全管理第一節(jié)系統(tǒng)安全運(yùn)行基本要求第三十五條計(jì)算機(jī)信息系統(tǒng)的使用部門應(yīng)建立《系統(tǒng)運(yùn)行維護(hù)日志》，記錄運(yùn)行和維護(hù)過程中的事件、處理過程和處理結(jié)果等信息。第三十六條計(jì)算機(jī)信息系統(tǒng)的運(yùn)行場(chǎng)所應(yīng)滿足相應(yīng)的安全等級(jí)要求。第三十七條計(jì)算機(jī)信息系統(tǒng)應(yīng)配備必要的計(jì)算機(jī)病毒防范工具。第三十八條重要計(jì)算機(jī)信息系統(tǒng)應(yīng)配備必要的備份設(shè)備和設(shè)施。第三十九條信息安全員經(jīng)XXX批準(zhǔn)，可對(duì)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估，網(wǎng)絡(luò)管理人員須對(duì)檢測(cè)、掃描和評(píng)估的過程給予協(xié)助和監(jiān)督。未經(jīng)XXX批準(zhǔn)，嚴(yán)禁以外的單位和個(gè)人對(duì)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)和掃描。檢測(cè)或掃描結(jié)束后，需對(duì)結(jié)果進(jìn)行記錄，由操作人員及陪同人員簽字，并編寫《系統(tǒng)漏洞掃描報(bào)告》。第二節(jié)系統(tǒng)數(shù)據(jù)的安全管理第四十條XXX應(yīng)按規(guī)定進(jìn)行數(shù)據(jù)備份，并檢查備份介質(zhì)的有效性。第四十一條應(yīng)對(duì)備份介質(zhì)（磁帶、磁盤、光盤、紙介質(zhì)等）統(tǒng)一編號(hào)，并標(biāo)明備份日期、密級(jí)及保密期限。第四十二條應(yīng)對(duì)備份介質(zhì)妥善保管，特別重要的應(yīng)異地存放，并定期進(jìn)行檢查，確保數(shù)據(jù)的完整性、可用性。第四十三條應(yīng)建立備份介質(zhì)的銷毀審批登記制度，并采取相應(yīng)的安全銷毀措施。第四十四條重要計(jì)算機(jī)信息系統(tǒng)所用計(jì)算機(jī)設(shè)備的維修，應(yīng)保證數(shù)據(jù)信息的完整性和安全性。在維修過程中不得泄露涉密數(shù)據(jù)信息。第四十五條重要計(jì)算機(jī)信息系統(tǒng)使用的計(jì)算機(jī)設(shè)備更換或報(bào)廢時(shí)，應(yīng)徹底清除相關(guān)業(yè)務(wù)信息，并拆除所有相關(guān)的涉密配件，由使用部門登記封存。第三節(jié)系統(tǒng)運(yùn)行平臺(tái)的安全管理第四十六條系統(tǒng)管理人員應(yīng)合理配置操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安全審計(jì)功能以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。第四十七條系統(tǒng)管理人員應(yīng)屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入第四十八條系統(tǒng)管理人員應(yīng)及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞。第四十九條系統(tǒng)管理人員應(yīng)啟用系統(tǒng)提供的審計(jì)功能，監(jiān)測(cè)系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況。第五十條系統(tǒng)管理人員不得泄露操作系統(tǒng)、數(shù)據(jù)庫(kù)的系統(tǒng)管理員賬號(hào)、密碼。第五十一條聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)，必須按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍進(jìn)行設(shè)置，非系統(tǒng)管理人員不得修改。第四節(jié)口令密碼、密鑰安全管理第五十二條計(jì)算機(jī)信息系統(tǒng)關(guān)鍵人員的口令密碼編制應(yīng)具有一定的復(fù)雜性，對(duì)記錄密碼的載體應(yīng)嚴(yán)格管理，確保其物理安全。第五十三條計(jì)算機(jī)信息系統(tǒng)關(guān)鍵崗位人員的口令密碼，應(yīng)定期或不定期進(jìn)行更換，獨(dú)享使用，不得泄露。第五十四條應(yīng)用密鑰保障信息安全時(shí)，對(duì)所用密鑰生命周期的全過程（產(chǎn)生、存儲(chǔ)、分配、使用、廢除、歸檔、銷毀）應(yīng)實(shí)施嚴(yán)格的安全保密管理。第五十五條密鑰必須作為絕密數(shù)據(jù)由專人保管。密鑰必須通過機(jī)要渠道傳遞或采用加密通信方式網(wǎng)內(nèi)分配。第五十六條密鑰必須定期更換，對(duì)已泄漏或懷疑泄漏的密鑰必須及時(shí)廢除。舊密鑰必須安全歸檔，并在安全管理負(fù)責(zé)人的嚴(yán)格監(jiān)督下，由管理責(zé)任人定期銷毀。第五十七條密鑰備份是針對(duì)主要密碼設(shè)備和保密工作人員的意外事件而采取的必要措施，密鑰副本的保存必須是物理安全的。必須有在緊急情況下銷毀密鑰的手段和措施，以防密鑰丟失。第五節(jié)系統(tǒng)文檔安全管理第五十八條網(wǎng)絡(luò)參數(shù)配置文檔、重要計(jì)算機(jī)信息系統(tǒng)詳細(xì)開發(fā)資料及其源程序等核心技術(shù)文檔，由XXX嚴(yán)格管理。第五十九條系統(tǒng)核心技術(shù)文檔資料的外借應(yīng)有審批手續(xù)和記錄，借閱人不得轉(zhuǎn)借給他人不得復(fù)制、泄露和引用具體內(nèi)容。第六節(jié)系統(tǒng)的安全監(jiān)