菏澤醫(yī)學(xué)?？茖W(xué)校信息安全管理制度匯編2016修訂

菏澤醫(yī)學(xué)?？茖W(xué)校

信息系統(tǒng)安全審計管理規(guī)定（試行）總則為進(jìn)一步加強和規(guī)范菏澤醫(yī)學(xué)?？茖W(xué)校信息系統(tǒng)安全審計管理工作，特制定本規(guī)定。本規(guī)定適用于菏澤醫(yī)學(xué)專科學(xué)校信息系統(tǒng)的安全審計管理。安全審計主要指記錄和跟蹤信息系統(tǒng)狀態(tài)變化，監(jiān)控、記錄對程序和文件的使用以及對文件的處理過程等。安全審計管理指利用信息系統(tǒng)審計方法，對信息系統(tǒng)進(jìn)行詳盡審計，對于發(fā)現(xiàn)的安全問題，及時通知安全管理員調(diào)整安全策略，從而達(dá)到降低安全風(fēng)險的目的。審計管理由安全審計員定期對信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備、應(yīng)用系統(tǒng)進(jìn)行安全審計，并形成審計記錄。信息系統(tǒng)日志內(nèi)容應(yīng)提供足夠的信息，以便確定事件的來源和結(jié)果，日志包括以下內(nèi)容：事件發(fā)生的時間、地點、類型、主體、客體和結(jié)果（成功或失?。┑?。信息系統(tǒng)日志存儲：（一）有充足的日志存儲空間，防止由于存儲空間不足造成日志丟失。（二）具有存儲空間閥值設(shè)置功能，當(dāng)存儲空間達(dá)到閥值時及時進(jìn)行告警。（三）審計系統(tǒng)出現(xiàn)異常時，保證存儲的日志不被破壞。（四）日志至少保存一年。（五）日志存儲空間將滿時，覆蓋最早存儲的日志數(shù)據(jù)或轉(zhuǎn)存日志數(shù)據(jù)。信息系統(tǒng)日志的查閱及保護(hù)：（一）安全審計員定期對日志進(jìn)行審查或分析，發(fā)現(xiàn)可疑行為及違規(guī)操作后采取相應(yīng)的措施，并及時報告。（二）提供對日志的統(tǒng)計、查詢功能，包括按時間范圍、主客體身份、行為類型等條件進(jìn)行檢索查詢。（三）安全審計員調(diào)閱、備份、刪除日志，必須進(jìn)行記錄。（四）對審計系統(tǒng)和審計信息進(jìn)行訪問控制，保證日志不被篡改、偽造和非授權(quán)刪除。附則本規(guī)定由菏澤醫(yī)學(xué)?？茖W(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解釋。本規(guī)定自發(fā)布之日起施行。菏澤醫(yī)學(xué)專科學(xué)校

第三方和外包安全管理規(guī)定（試行）總則為保證信息安全和業(yè)務(wù)持續(xù)性，確保第三方和外包交付的服務(wù)符合協(xié)議要求，制定本制度。本制度適用于管理為菏澤醫(yī)學(xué)?？茖W(xué)校（菏澤醫(yī)學(xué)專科學(xué)校）提供服務(wù)的第三方和外包的部門。與菏澤醫(yī)學(xué)?？茖W(xué)?；A(chǔ)設(shè)施和場所相關(guān)的系統(tǒng)，由行政管理部門與相關(guān)廠商簽訂服務(wù)協(xié)議，并監(jiān)督審核其提供的服務(wù)是否滿足要求。在項目實施過程中發(fā)生的與其他機(jī)構(gòu)的合作，由第三方或外包與技術(shù)部門負(fù)責(zé)簽訂協(xié)議，并監(jiān)督審核其提供的服務(wù)是否滿足要求。程序簽訂合同，規(guī)定雙方的相關(guān)義務(wù)；合作中如涉及菏澤醫(yī)學(xué)?？茖W(xué)校信息安全有關(guān)的業(yè)務(wù)、信息等，需簽訂《保密協(xié)議》，以防止信息的泄露。相關(guān)部門檢查第三方或外包交付的服務(wù)或者產(chǎn)品是否滿足協(xié)議規(guī)定。服務(wù)監(jiān)控和評審1）監(jiān)控產(chǎn)品或者服務(wù)的執(zhí)行效率以檢查對協(xié)議的符合度；2）評審第三方或外包提交的服務(wù)報告，管理部門負(fù)責(zé)保管第三方和外包的服務(wù)報告；3）評審第三方或外包審核跟蹤和關(guān)于交付服務(wù)的安全事件、操作問題、故障、失誤追蹤和破壞記錄；4）解決和管理所有識別的問題。服務(wù)變更由菏澤醫(yī)學(xué)?？茖W(xué)校提出的服務(wù)變更如下：1）如果需要對提供的現(xiàn)有服務(wù)進(jìn)行加強；2）新的應(yīng)用和系統(tǒng)的開發(fā)；3）解決信息安全事故和改進(jìn)安全的新的控制措施。由第三方和外包實施的變更如下：1）新技術(shù)的使用；2）新產(chǎn)品或者新版本的采用；3）服務(wù)設(shè)施物理位置的變更；4）提供商的變更。管理部門應(yīng)該考慮變更對業(yè)務(wù)系統(tǒng)的影響，進(jìn)行風(fēng)險再評估，及時更新相關(guān)協(xié)議和工作流程，對變更過程進(jìn)行管理并記錄。附則本規(guī)定由菏澤醫(yī)學(xué)?？茖W(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解釋。本規(guī)定自發(fā)布之日起施行。菏澤醫(yī)學(xué)專科學(xué)校2016年1月1日菏澤醫(yī)學(xué)?？茖W(xué)校

網(wǎng)絡(luò)信息安全責(zé)任追究制度（試行）總則為進(jìn)一步加強和規(guī)范菏澤醫(yī)學(xué)?？茖W(xué)校信息系統(tǒng)安全責(zé)任管理工作，特制定本規(guī)定。本規(guī)定適用于菏澤醫(yī)學(xué)?？茖W(xué)校信息系統(tǒng)的安全責(zé)任管理。責(zé)任追究網(wǎng)絡(luò)中心為菏澤醫(yī)學(xué)專科學(xué)校網(wǎng)絡(luò)日常管理機(jī)構(gòu)，對信息網(wǎng)站的建立和信息安全具有管理權(quán)。網(wǎng)絡(luò)中心負(fù)責(zé)全局網(wǎng)絡(luò)的規(guī)劃、建設(shè)、應(yīng)用開發(fā)、運行維護(hù)與用戶管理。網(wǎng)絡(luò)信息安全管理實施工作責(zé)任制和責(zé)任追究制。菏澤醫(yī)學(xué)專科學(xué)校成立網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組，各處室（單位）主要負(fù)責(zé)人為本單位的網(wǎng)絡(luò)信息安全責(zé)任人，負(fù)責(zé)本處室（單位）內(nèi)網(wǎng)絡(luò)的信息安全管理工作。實行信息發(fā)布責(zé)任追究制度，所報送的一切信息必須是符合中華人民共和國法規(guī)，真實有效的。凡因虛假、反動、色情等內(nèi)容而引起的一切后果均由報送者承擔(dān)，如屬個人因素影響信息發(fā)布工作，將追究責(zé)任。各處室（單位）應(yīng)設(shè)立專（兼）職網(wǎng)絡(luò)信息安全管理員，負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作。（一）網(wǎng)絡(luò)管理員應(yīng)定期更換管理員密碼，及時注銷無效用戶；及時發(fā)現(xiàn)并處理網(wǎng)絡(luò)安全問題。（二）不允許單位以外人員單獨接觸計算機(jī)網(wǎng)絡(luò)系統(tǒng)資源。（三）各用戶要加強安全保密意識，注意個人ID及密碼的保密，不得與他人共用系統(tǒng)的賬號。各處室（單位）應(yīng)結(jié)合保密要求，制訂計算機(jī)安全保密管理的具體措施，堅持“誰主管、誰主辦、誰負(fù)責(zé)”的原則，各處室（單位）屬于業(yè)務(wù)工作范圍的信息，發(fā)布時參考《門戶網(wǎng)站管理辦法》。對于違反本規(guī)定的入網(wǎng)單位和個人用戶，由網(wǎng)絡(luò)中心給予警告、停止有關(guān)單機(jī)入網(wǎng)等處理。情節(jié)嚴(yán)重的，依照局有關(guān)規(guī)定及相關(guān)法律、法規(guī)進(jìn)行處理；如觸犯國家有關(guān)法律、法規(guī)者，移交公安、司法部門處理。違反本規(guī)定，給國家、集體或者他人財產(chǎn)造成損失的，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任。附則本規(guī)定由菏澤醫(yī)學(xué)?？茖W(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解釋。本規(guī)定自發(fā)布之日起施行。菏澤醫(yī)學(xué)專科學(xué)校2016年1月1日菏澤醫(yī)學(xué)?？茖W(xué)校

網(wǎng)絡(luò)與信息安全信息通報制度（試行）總則為規(guī)范菏澤醫(yī)學(xué)?？茖W(xué)校網(wǎng)絡(luò)與信息安全信息通報管理工作，及時做好相應(yīng)的安全防范措施，降低信息安全事件的發(fā)生概率，減少信息安全事件帶來的損失和影響，特制定本制度。菏澤醫(yī)學(xué)?？茖W(xué)校各處室（單位）網(wǎng)絡(luò)與信息安全信息的通報，適合本制度。制度中所稱的安全信息除了包括已發(fā)生的和正在發(fā)生的安全事件的信息，還包括可預(yù)見的將來可能發(fā)生的安全事件的信息。網(wǎng)絡(luò)與信息安全通報管理為加強菏澤醫(yī)學(xué)?？茖W(xué)校網(wǎng)絡(luò)與信息系統(tǒng)安全信息共享和統(tǒng)一協(xié)調(diào)行動，按照“統(tǒng)一領(lǐng)導(dǎo)、歸口負(fù)責(zé)”的原則，由信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)網(wǎng)絡(luò)與信息安全信息通報工作的組織、指導(dǎo)和協(xié)調(diào)，并確定承擔(dān)本單位網(wǎng)絡(luò)與信息安全信息通報工作的職能部門、負(fù)責(zé)人和聯(lián)絡(luò)員。菏澤醫(yī)學(xué)專科學(xué)校網(wǎng)絡(luò)與信息安全信息通報采用下管一級辦法實行，上級單位負(fù)責(zé)將相關(guān)的安全信息通報給下一級單位，如遇到一些特別重大安全事件或特別緊急的安全預(yù)警，可連級或跨級通報。各單位還有責(zé)任向當(dāng)?shù)卣W(wǎng)絡(luò)與信息安全管理部門進(jìn)行通報。通報可采取例行通報、緊急通報兩種方式進(jìn)行。例行通報為定期方式，適用于對安全信息的匯總分析，每月一次，在安全事件多發(fā)地區(qū)及多發(fā)時期可根據(jù)實際調(diào)整為每半月一次或每星期一次。緊急通報為不定期方式，適用于對突發(fā)的安全事件或重大安全預(yù)警信息的發(fā)布，對具有緊急和有重要指導(dǎo)作用的安全信息應(yīng)在當(dāng)天內(nèi)完成通報。菏澤醫(yī)學(xué)專科學(xué)校信息系統(tǒng)應(yīng)在充分利用現(xiàn)有資源基礎(chǔ)上建立本單位信息通報網(wǎng)絡(luò)系統(tǒng)和技術(shù)平臺，確定安全信息通報渠道和聯(lián)系方式，可采用口頭、電話、網(wǎng)絡(luò)電子公告、郵件、傳真或公文等多種形式，在遇到重要安全信息需要通報時，應(yīng)在最短時間內(nèi)采取最有效的辦法通知各有關(guān)單位。安全事件發(fā)生通報內(nèi)容包括事件的性質(zhì)、類型、影響范圍、影響程度、發(fā)生時間、持續(xù)時間、事件定級，以及目前已經(jīng)采取的響應(yīng)措施和實際效果。安全事件預(yù)警通報內(nèi)容包括可能發(fā)生的事件的性質(zhì)、類型、影響效果、影響程度、可能爆發(fā)的時間，以及可采用的措施等。在收到上級單位的安全信息通報或下級單位重大安全事件報告時，應(yīng)立即對所收到的通報或報告的安全信息進(jìn)行分析判斷、匯總歸納整理，并根據(jù)所收到的內(nèi)容對本級稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行有針對性的整改通報。對一些涉及到保密內(nèi)容的安全信息通報，應(yīng)嚴(yán)格按照有關(guān)保密管理規(guī)定執(zhí)行。對發(fā)生重大信息安全事件或安全預(yù)警事件沒有及時進(jìn)行通報的，特別是故意瞞報、緩報、謊報的應(yīng)追究相關(guān)單位、相關(guān)責(zé)任人的相應(yīng)行政責(zé)任，可處以批評、警告、嚴(yán)重警告、記過等處分。附則本規(guī)定由菏澤醫(yī)學(xué)?？茖W(xué)校信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)解釋。本規(guī)定自發(fā)布之日起施行。菏澤醫(yī)學(xué)?？茖W(xué)校2016年1月1日附件網(wǎng)絡(luò)安全事件統(tǒng)計表序號事件名稱發(fā)生時間責(zé)任人事件描述處理結(jié)果安全事件處置報告單發(fā)現(xiàn)事件的時間：