2022年网络信息安全管理程序 .pdf

《2022年网络信息安全管理程序 .pdf》由会员分享，可在线阅读，更多相关《2022年网络信息安全管理程序 .pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXXXXXX有限公司网络信息安全管理程序编制：日期：审核：日期：批准：日期：受控：文件编号：版本号： V1.0生效日期: 分发号：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 6 页 - - - - - - - - - XXXXXXXX有限公司文件编号：网络信息安全管理程序版本： V1.0生效日期：_内部文件严禁外传1 / 5历史修订记录更改单号版本修订原因 /内容编写人生效日期V1.0新发布印制份数分发部门 /分发号企业负责人 /01管理者代表 /02设计部 /03

2、生产部 /04采购部 /05物流部 /06人力资源部 /07质量管理部 /08客服部 /09财务部 /10研发部 /11名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 6 页 - - - - - - - - - XXXXXXXX有限公司文件编号：网络信息安全管理程序版本： V1.0生效日期：_内部文件严禁外传2 / 51 目的为了防止信息的泄密，避免严重灾难的发生，特制定此程序。2 适用范围包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备

3、、设施或资源。3 术语和定义ePHI：电子受保护健康信息。IIHI ：个人可识别健康信息。4 职责与权限4.1 信息安全负责人i. 负责批准系统 /软件账号申请单；ii. 负责安全事件的确认和处理。4.2 客服部i. 负责医数聚系统的管理。4.3 人力资源部i. 负责硬件和移动设备的管理；ii. 负责钉钉、钉邮和微信的管理。4.4 质量管理部i. 负责监督网络信息安全管理的执行。4.5 各部门i. 负责按照网络信息安全管理要求执行。5 程序5.1 个人 ePHI 不论存储媒介，包括但不限于：姓名、年龄、性别、病例、医疗数据；均需要采取措施，防止泄露。5.1.1员工获得 IIHI 的程度应基于员

4、工的工作性质及其相关的职责，员工可以访问他们完成工作所需的所有IIHI ，但不能获得更多的访问权限。5.1.2任何员工都不可获得比其清除水平更高的IIHI 水平。5.2 硬件和移动设备的管理控制5.2.1硬件和移动设备包括但不限于：计算机、笔记本电脑、移动硬盘、U 盘、光碟。5.2.2硬件和移动设备的领用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 6 页 - - - - - - - - - XXXXXXXX有限公司文件编号：网络信息安全管理程序版本： V1.0生效日期

5、：_内部文件严禁外传3 / 55.2.2.1员工办公用到的硬件和移动设备采取实名登记制，由人力资源部通过硬件和移动设备领用登记表做好登录管理，并每年梳理一次，以保证信息的正确性。5.2.2.2当员工领用新的硬件或移动设备后，应第一时间设置使用密码，密码设置不可过于简单，避免使用姓名、生日、简单数字等，使用密码只可自己知悉，不可告知其他同事，更不可记录下存放在显眼易获取位置，当员工察觉密码存在泄漏、丢失、被获取的可能时，一小时内上报信息安全责任人知悉，由信息安全责任人按照安全事件管理程序执行。为了防止密码被获知，人力资源部需监督员工每半年更换一次使用密码。5.2.2.3员工离岗超过五分钟需对工位

6、的硬件和移动设备进行保密操作，如拔出移动硬盘存放在带锁抽屉，启动计算机的屏保功能等。保密操作如可以由设备自动执行，人力资源部应监督员工提前设置好。5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时，退回或变更的硬件和移动设备，在使用前，由人力资源部对其进行使用痕迹的清除工作，并填写记录硬件和移动设备使用痕迹清除记录表，质量管理部监督执行情况。5.2.3硬件和移动设备损坏需要维修时，以防信息的泄露不可将设备带出公司维修，需请专业人士上门维修，且全程需要有人员陪同在监控覆盖区域进行，对维修单位或个人按照业务伙伴的管理程序执行。5.3 系统/软件管理控制5.3.1我司现有涉及 PHI

7、 传输的系统 /软件：医数聚系统、钉钉、钉邮、微信。5.3.2医数聚系统由客服部负责管理，钉钉、钉邮、微信由人力资源部负责管理。5.3.3我司系统 /软件实行一人一账号的原则，个人账号不得相互借用，员工因工作需要需要登录系统 /软件时，需填写系统 /软件账号申请单，交部门负责人审核，信息安全责任人批准后，交给管理部门开通账号及相关权限，管理部门需建立系统/软件用户管理一览表，管理系统 /软件的使用人员及其权限相关信息，当员工离职、调岗时，管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。管理部门应不定期的对用户管理一览表进行信息确认，以确保其准确无误。5.3.4员工获得系统 /软件的

8、账号及初始密码后，需更改初始密码，密码的管理参见5.2.2.2。5.3.5为了确保信息传输在监控下进行， 相关部门和人员对外联络应使用公司提供的系统或软件账号进行。5.3.6与 ePHI 相关的信息传输， 尽可能在医数聚系统中完成， 如必须使用钉钉、 钉邮、微信等，应遵循文件的加密规定。5.3.7医数聚系统操作控制5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”，客服部需每季度名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 6 页 - - - - - -

9、 - - - XXXXXXXX有限公司文件编号：网络信息安全管理程序版本： V1.0生效日期：_内部文件严禁外传4 / 5随机抽取十个当季度订单的操作记录，每年随机抽取二十个当年订单的操作记录，确认操作记录中是否有异常操作，如：未经授权的人进行了操作，同一个账号三次以上进行相同的操作，同一账号两次以上进行了与工作无关的操作等，需记录在医数聚系统操作记录确认表中，报信息安全责任人审批，如出现涉及信息泄露的异常，按照安全事件管理程序执行。5.3.7.2医数聚系统登录，员工不可将系统设置成自动登录，超过三十分钟无操作或离岗需退出登录。5.4 恶意软件的管理5.4.1计算机在使用之前， 人力资源部应确

10、认网络管理员， 已进行了防恶意软件攻击相关处理，以确保所有设备和IT 系统都具有恶意软件防护功能。5.4.2如果在任何设备或IT 系统上检测到恶意软件，发现人员应立即告知信息安全责任人和网络管理员，按照安全事件管理程序执行。5.4.3员工只可在公司配备的设备上进行办公，不可通过公用网络/设备、自己的设备或任何其他形式登录运行系统或软件，更不可允许外部机构、人员远程操作办公设备。5.4.4当员工必须在个人设备远程工作， 员工需证明已在设备上安装和运行恶意软件防护，且工作完成后需清除相关的登录痕迹，得到信息安全责任人的允许后才可进行相关工作。为了维护ePHI 的安全，此种情况应避免发生。5.4.5

11、员工在使用设备时， 不可访问不明网站的内容， 不可随意从网上下载与工作无关的软件，以免将病毒软件带到我司网络系统中，如需下载软件，需在我司认可的系统上或要求网络管理员帮忙下载。5.4.6对不明来历的邮件不要查看或尝试打开，直接删除，以避免设备感染病毒或木马。5.4.7需要将外来设备接入到我司内网时，需进行充分的安全评估和杀毒扫描，只允许经过查杀的设备运行。5.5 数据备份和存储管理5.5.1数据备份由网络管理员负责，通过数据备份信息表每周做增量备份，每月做完整备份，半年一次对数据进行恢复试验，以确保备份数据的安全可用、可靠。根据数据增长量，应定期对过期数据进行压缩或迁移、清理处理。5.5.2数

12、据库需要做修改前，应及时备份数据，确保丢失或误操作时，可以及时修复或恢复。5.5.3 为了防止数据丢失，医数聚系统的备份数据需异地存储，通过专柜由专人上锁保管。5.5.4网络管理员应定期对服务器进行检查，主要查看文件是否有损坏， CPU 和内存资源占用情况，客户端登录和访问数据库是否正常等，检查需记录在服务器名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 6 页 - - - - - - - - - XXXXXXXX有限公司文件编号：网络信息安全管理程序版本： V1.0生效

13、日期：_内部文件严禁外传5 / 5检查记录表中。5.5.5网络管理员应严格遵守保密制度，绝对保密数据管理员口令，当其他人对服务器进行操作时，要亲自在场并做好详细记录，如有第二者知道口令时要及时更换口令。5.6 文件加密和解密的管理5.6.1我司电脑均采用了加密管理，文档资料需要外传，需提交解密申请，经部门负责人批准解密后，再行外传。5.6.2只有各部门负责人有对加密文件解密的权限，当发生人事变动时，人力资源部需确认此项权限也随之取消或增加。5.6.3各部门负责人需要保管好自己解密权限的账号，不可告知其他人，账号只有在使用时登录，使用后确定退出， 以防解密权限被乱用， 当发觉解密账号被盗用，需通

14、知人力资源部和网络管理员按照安全事件管理程序执行。5.7 数据和应用程序关键性分析5.7.1 由质量管理部组织各责任部门对现有存储数据和应用程序的关键性进行评估，确认各数据和应用程序的等级，以及确定每项数据和每个应用程序的重要程度，以便确定数据备份，灾难恢复的优先级，和/或紧急行动计划，评估需形成记录数据和应用程序关键性一览表 ；5.8 网络和信息安全事故按照安全事件管理程序执行。5.9 记录的保存5.9.1以上过程中形成的记录，由各使用部门自行保存，或每年汇总后交质量管理部保存，记录长期保存。6 相关文件?* 安全事件管理程序?* 业务伙伴的管理程序7 记录名称编码硬件和移动设备领用登记表RQP35-01硬件和移动设备使用痕迹清除记录表RQP35-02系统/软件账号申请单RQP35-03用户管理一览表RQP35-04医数聚系统操作记录确认表RQP35-05数据备份信息表RQP35-06服务器检查记录表RQP35-07数据和应用程序关键性一览表RQP35-08名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 6 页 - - - - - - - - -