安全管理体系总体设计方案(共10页).doc

《安全管理体系总体设计方案(共10页).doc》由会员分享，可在线阅读，更多相关《安全管理体系总体设计方案(共10页).doc（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上1 安全管理体系总体设计方案1.1 安全组织结构黑龙江省农垦总局总医院安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图如下所示：图 81安全组织结构图1.1.1 信息安全领导小组职责信息安全领导小组是由黑龙江省农垦总局总医院主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准黑龙江省农垦总局总医院安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下：(一) 确定网络与信息安全工作的总体方向、目标、总体原

2、则和安全工作方法；(二) 审查并批准政府的信息安全策略和安全责任；(三) 分配和指导安全管理总体职责与工作；(四) 在网络与信息面临重大安全风险时，监督控制可能发生的重大变化；(五) 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信息系统更改等）进行决策；(六) 指挥、协调、督促并审查重大安全事件的处理，并协调改进措施；(七) 审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安全管理措施出台等；(八) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1.1.2 信息安全工作组职责信息安全工作组是信息安全工作的日常执行机构，内设专职的安全管理组织和

3、岗位，负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下：（一） 贯彻执行和解释信息安全领导小组的决议；（二） 贯彻执行和解释国家主管机构下发的信息安全策略；（三） 负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议；（四） 负责落实和执行各类信息安全具体工作，并对具体落实情况进行总结和汇报；（五） 负责内外部组织和机构的沟通、协调和合作工作；（六） 负责制定所有信息安全相关的管理制度和规范；（七） 负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

4、以上组织结构和职责通过信息安全组织职责体系加以说明。1.1.3 信息安全岗位为了有效落实信息安全各项工作，黑龙江省农垦总局总医院应设立以下专职的安全岗位，负责安全工作的落实和执行：(一) 信息安全工作组主管1) 负责网络与信息安全的日常整体协调、管理工作；2) 负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和指导；3) 负责重大安全事件的具体协调和沟通工作。(二) 安全管理员岗位1) 负责执行网络与信息安全工作的日常协调、管理工作；2) 负责日常的安全监控管理，并对上报和发现的各类安全事件进行响应；3) 负责系统、网络和应用安全管理的协调和技术指导；4) 负责安全管理平台安全策略

5、制定，访问控制策略审核；5) 负责组织安全管理制度的推广和培训工作；6) 负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。(三) 安全审计员岗位1) 负责安全管理制度落实情况的检查、监督和指导；2) 负责安全策略执行情况的审核。(四) 系统管理员1) 负责系统安全稳定运行的日常管理工作；2) 负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行安全加固，保持系统漏洞最小化。(五) 网络管理员1) 负责网络设备安全稳定运行的日常管理工作；2) 负责保持网络设备的漏洞最小化，定期对系统进行安全加固；3) 负责保持网络路由和交换策略与业务需求保护一致。黑龙江省农垦总局总

6、医院应根据日常的运行维护和管理工作，设置物理环境管理 、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当包括安全职责，这些安全职责的具体内容通过信息安全管理岗位说明书落实。1.1.4 专家顾问与外部协作黑龙江省农垦总局总医院应聘请专家和外部顾问成员，这些成员需要对信息安全或相关领域有丰富地知识和经验，如安全技术、电子政务、等级保护或质量管理等。专家和外部顾问负责对信息安全重要问题的决策提供咨询和建议。同时应加强与供应商、业界专家、专业的安全公司等安全组织的合作和沟通。1.2 安全管理制度1.2.1 安全管理制度体系黑龙江省农垦总局总医院安全管理制度应建立信息安全方针、安全策略、安全管理制

7、度、安全技术规范以及流程的一套信息安全管理制度体系。图 82安全管理策略体系图1.2.1.1 安全方针和主策略最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。1.2.1.2 安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。技术标准和规范，包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。

8、技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。本项目将为黑龙江省农垦总局总医院编制如下安全管理制度和规范：l 安全方针l 安全策略l 安全管理组织体系职责l 内部人员安全管理规定l 外部人员安全管理规定l 等级保护安全管理规范l 风险评估管理规范l 软件开发管理规定l IT外包管理规定l 工程安全管理规定l 产品采购安全管理规定l 服务商安全管理规定l 机房管理制度l 办公环境安全管理规定l 资产安全管理制度l 设备安全管理规定l 介质安全管理规定l 运行维护安全管理规范l 网络安全管理规定l 系

9、统安全管理规定l 防病毒安全管理规定l 密码使用管理制度l 变更管理制度l 备份与恢复管理规定l 安全事件管理制度l 应急预案安全流程和操作规程，详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。1.2.1.3 安全流程和操作规程安全流程和操作规程，详细规定主要业务应用和事件处理的流程和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。1.2.1.4 安全记录单安全记录单，落实安全流程和操作规程的具体表单，根据不同等级信息系统的要求可以通过不同方式的安全记

10、录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。1.2.2 安全管理制度体系文件管理1.2.2.1 制定和发布管理安全策略系列文档制定后，必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外，还必须要有合适的、可行的发布和推动手段，同时在发布和执行前对每个人员都要做与其相关部分的充分培训，保证每个人员都知道和了解与其相关部分的内容。安全策略在制定和发布过程中，应当实施以下安全管理：(一) 安全管理制度应具有统一的格式，并进行版本控制；(二) 安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定；(三) 安全管理制度应通过正

11、式、有效的方式发布；(四) 安全管理制度应注明发布范围，并对收发文进行登记。必须要注意到这是一个长期、艰苦的工作，需要付出艰苦的努力，而且由于牵扯到许多部门和绝大多数员工，可能需要改变工作方式和流程，所以推行起来的阻力会相当大；同时安全策略本身存在的缺陷，包括不切实可行，太过复杂和繁琐，部分规定有缺欠等，都会导致整体策略难以落实。1.2.2.2 评审和修订管理信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审，并确定其有效执行期限。同时应指定信息安全职能部门每年审视安全策略系列文档，具体检查内容包括：(一) 信息安全策略中的主要更新；(二) 信息安全标准中的主要更新。信息安全标准不

12、需要全部更新，可以仅对因变更而受影响的部分进行更新；如果必要，可以使用年度审视更新流程对信息安全标准做一次全面更新。(三) 安全管理组织机构和人员的安全职责的主要更新；(四) 操作流程的主要更新；(五) 各类管理规定、管理办法和暂行规定的主要更新；(六) 用户协议的主要更新；等等。通过信息安全策略管理规定落实以上相关内容。1.3 人员安全管理黑龙江省农垦总局总医院在人员安全管理方面，可以通过对于人员录用、调动、离岗、考核、培训教育和第三方人员安全几个方面，落实信息安全等级保护三级基本要求的内容，其中内部人员的管理归纳形成人力资源安全管理的具体安全要求，外部人员的管理归纳形成第三方人员安全管理的

13、具体安全要求。具体如下图所示：图 83人员安全管理框架图1.3.1 内部人员安全管理人力资源安全管理主要是指针对内部人员的安全管理，从人员的录用、调用、离岗和考核等各个方面提出针对信息安全的相关管理要求，具体管理要求包括：(一) 录用前l 人员在录用过程中要签署保密协议；l 应当进行严格的安全背景审核和权限审查；l 关键岗位人员应当进行特殊的安全审核、权限管理和保密管理，签署安全协议；(二) 工作期间l 所有人员根据其岗位职责的不同，应定期进行安全培训和教育；l 所有人员应根据黑龙江省农垦总局总医院的安全管理制度规范和约束安全操作行为；l 定期对各个岗位的人员进行不同侧面的安全认知和安全技能考

14、核，作为人员是否适合当前岗位的参考；l 对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒。(三) 调离岗l 应严格规范人员离岗过程，及时终止离岗员工的所有访问权限，应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；l 关键岗位人员应在调离岗期间签署保密承诺书。1.3.2 外部人员安全管理外部人员通常是指软件开发商，硬件供应商，系统集成商，设备维护商，和服务提供商，实习生，临时工等非内部人员。外部人员在访问时可以分成物理访问和信息访问，具体如下：l 物理访问，如对办公室、机房的物理访问；l 信息访问，如对信息系统、主机、网络设备、数据库的访问。对于实

15、际访问的外部人员，按照访问的时间长短和访问的性质，可以分为临时来访的外部人员，和非临时来访的外部人员两种，具体如下：l 临时来访的外部人员，指因业务洽谈、参观、交流、提供短期和不频繁的技术支持服务而临时来访的外部组织或个人。l 非临时来访的外部人员，指因从事合作开发、参与项目工程、提供技术支持、售后服务、服务外包或顾问服务等，办公和工作的外部组织或个人。对于这两种短期和长期的实际物理和信息访问，应规定不同的安全管理要求，负责接待的部门和接待人对外部人员来访的安全负责，并对访问机房等敏感区域持谨慎态度。具体管理要求应包括：(一) 遵守黑龙江省农垦总局总医院的各项信息安全标准和管理规定；(二) 必须签署保密协议，必须签署安全承诺协议，或在合同中规定相关的内容；(三) 对其维护目标的安全配置要求，必须符合相应的网络设备、主机、操作系统、数据库和通用应用程序等黑龙江省农垦总局总医院的安全配置标准文档中相应规定；(四) 申请访问权限时，必须阐明其申请理由、访问方式、要求权限、访问时间和地点等内容，黑龙江省农垦总局总医院的安全管理人员需要核实其申请访问权限的必要性和访问方式，评估其可能带来的安全风险，尽可能采取一些措施来降低风险。在风险可接受的情况下，才批准其访问权限的申请，并尽可能不给超级用户权限。通过外部人员安全管理规定落实以上相关内容。专心-专注-专业