信息安全管理機(jī)構(gòu)及崗位設(shè)置

文件名稱:上海市顧村鎮(zhèn)社區(qū)衛(wèi)生服務(wù)中心管理制度PAGE5/7文件名稱上海市顧村鎮(zhèn)社區(qū)衛(wèi)生服務(wù)中心信息安全管理機(jī)構(gòu)及崗位設(shè)置1總則1.1目的為加強(qiáng)醫(yī)院信息安全管理工作，保障網(wǎng)絡(luò)與信息系統(tǒng)的正常運(yùn)行，依據(jù)有關(guān)法律、法規(guī)及信息安全標(biāo)準(zhǔn)，特制定本制度。1.2適用范圍本制度適用于本院的信息安全組織機(jī)構(gòu)和人員職責(zé)管理。2信息安全領(lǐng)導(dǎo)小組2.1本院成立信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組組長由分管本院信息工作的院長擔(dān)任。領(lǐng)導(dǎo)小組是信息安全的最高決策機(jī)構(gòu)。2.2信息安全領(lǐng)導(dǎo)小組下設(shè)信息安全工作組。2.3信息安全領(lǐng)導(dǎo)小組的職責(zé)主要包括：1）根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)醫(yī)本院信息安全總體決策規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)；2）確定本院信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作；3）審定本院網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案；4）決定相應(yīng)應(yīng)急預(yù)案的啟動，負(fù)責(zé)現(xiàn)場指揮。3信息安全工作組3.1信息安全工作組組長由醫(yī)院信息科負(fù)責(zé)人擔(dān)任。3.2信息安全工作組的主要職責(zé)包括：1）貫徹執(zhí)行醫(yī)院信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范醫(yī)院信息安全工作；2）根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進(jìn)行具體安排、落實；3）組織對信息安全工作制度和技術(shù)操作策略的制定，擬訂信息安全總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃并監(jiān)督執(zhí)行；4）負(fù)責(zé)協(xié)調(diào)、督促各職能部門的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；5）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風(fēng)險的防范對策；6）采取相應(yīng)應(yīng)急措施，組織協(xié)調(diào)相關(guān)人員排除系統(tǒng)故障，恢復(fù)系統(tǒng)；7）負(fù)責(zé)醫(yī)院的緊急信息安全事件報告，組織事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；8）及時向信息安全工作領(lǐng)導(dǎo)小組和上級有關(guān)部門報告信息安全事件。9）組織信息安全知識的培訓(xùn)和宣傳工作。10）每年組織對信息安全應(yīng)急預(yù)案進(jìn)行測試和演練。4信息安全人員基本要求4.1信息安全管理人員和專（兼）職信息安全技術(shù)人員應(yīng)當(dāng)政治可靠、業(yè)務(wù)素質(zhì)高、遵紀(jì)守法、恪盡職守。8.4系統(tǒng)維護(hù)員安全責(zé)任1）負(fù)責(zé)系統(tǒng)維護(hù)，及時解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行；2）不得擅自改變系統(tǒng)功能；3）不得安裝與系統(tǒng)無關(guān)的其他計算機(jī)程序；4）維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告信息安全人員。業(yè)務(wù)操作員安全責(zé)任5）嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理制度；6）不得向他人提供自己的操作密碼；7）及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件。8.5各重要崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。8.6安全管理員應(yīng)為專職，不得兼任；關(guān)鍵五崗位應(yīng)配備多人共同管理。9第三方人員管理9.1第三方人員包括軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商和服務(wù)提供商，以及實習(xí)學(xué)生和臨時工作人員。9.2應(yīng)對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。9.3第三方人員的現(xiàn)場工作或遠(yuǎn)程維護(hù)工作內(nèi)容應(yīng)在合同中明確規(guī)定，如工作涉及機(jī)密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。9.4一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞掃描、入侵檢測以及其他軟件的安裝等，不允許接入自帶的設(shè)備。9.5第三方人員的現(xiàn)場工作應(yīng)在醫(yī)院信息中心有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其操作應(yīng)受到審計。9.6第三方人員工作結(jié)束后，應(yīng)及時清除有關(guān)賬戶、過程記錄等信息。10培訓(xùn)與教育10.1信息安全人員應(yīng)定期參加下列信息安全知識和技能的培訓(xùn)：1）信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)；2）信息安全基本知識的培訓(xùn)；3）信息安全專門技能的培訓(xùn)。10.2信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教