医院信息化安全建设项目管理体系建设方案.doc
《医院信息化安全建设项目管理体系建设方案.doc》由会员分享,可在线阅读,更多相关《医院信息化安全建设项目管理体系建设方案.doc(17页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、医院信息化安全建设项目管理体系建设方案1.1 安全制度建设信息系统安全等级保护基本要求在管理制度、制定和发布、评审和修订等三个方面对安全管理制度提出了要求。根据管理信息大区系统的实际情况,在信息安全领导小组的负责下,组织相关人员制定和发布信息安全工作的总体方针、政策,说明信息安全工作的总体目标、范围、方针、原则和责任,并定期进行评审和修订。对于管理制度的制定,也可以依托外部专业安全厂商的力量进行。管理制度方面的具体工作包括:l 制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;l 建立管理人员或操作人员执行的日常管理操作规程;l 形成由安全策略、管理制度
2、、操作规程等构成的全面的信息安全管理制度体系。l 安全管理制度应通过正式、有效的方式发布;l 每年由信息安全领导小组负责组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;l 进行定期或不定期对安全管理制度检查和审定,对存在不足或需要改进的安全管理制度进行修订。l 安全制度管理框架如下:1.1.1 总体方针、策略总体方针、策略是纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。与其它部分的关系:所有其它部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。信息安全策略文件应得到信
3、息系统项目管理者的批准,并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺,并陈述组织管理信息安全的方法,它至少应该包括以下几个部分:n 信息安全的定义,其总体目标和范围,以及其作为信息共享的安全机制的重要性;n 申明支持信息安全目标和原则的管理意向;n 对组织有重大意义的安全策略、原则、标准和符合性要求的简要说明;n 对信息安全管理的总体和具体责任的定义,包括汇报安全事故;n 提及支持安全策略的文件,如:特定信息系统的更加详细的安全策略和程序,或用户应该遵守的安全规定。1.1.1.1 技术标准和规范技术标准和规范,包括各个网络设备、安全设备、主机操作系统和主要应用程
4、序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、安全设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。与其它部分的关系:向上遵照最高方针。1.1.1.2 管理制度和规定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。此部分文档较多。与其它部分的关系:向上遵照最高方针。1.1.1.3 组织机构和人员职责安全管理组织机构和人员的安全职责,包括的安全管理机构组织形式
5、和运作方式,机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照,此部分必须具有可操作性,而且必须得到有效推行和实施。与其它部分的关系:从最高方针中延伸出来,其具体执行和实施由管理规定、技术标准规范等来落实。1.1.2 制定和发布(1)安全管理制度制定安全管理制度的制定在信息系统安全保密工作部门的总体负责下统一制定,并由安全保密工作部门指定参与安全管理制度制定的具体人员。安全管理制度按照统一的格式标准要求制定,在制定过程中,编写管理文档说明安全管理制度的制定程序、格式要求及版本编号等内容。组织相关人员对安全管理制度进行论证和评审,论证和评审方式包括召开评审会、函审、内部审核等
6、,并详细记录相关人员的评审意见。(2)安全管理制度发布安全管理制度经过管理层的签发后按照一定的流程以文件的方式发布,安全管理制度发布时注明适用和发布范围以及版本表示,并详细记录安全管理制度的收发登记记录。1.1.3 评审和修订定期对安全管理制度进行评审,并由安全保密工作办公室指定参与安全管理制度评审的具体人员。详细制定安全管理制度评审的流程,记录评审意见和结果。对存在不足或需要改进的安全管理制度进行合理适度的修订,参与安全管理制度修订的部门和人员由安全保密工作办公室指定。详细制定安全管理制度修订的流程,记录修订意见和结果。当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,组织对安
7、全管理制度进行检查、审定和修订。详细合理分配每个制度文档的相应负责人或负责部分,负责对明确需要修订的制度文档进行维护。具体来说,信息系统项目建设中应至少考虑如下的管理制度建设: 制定信息系统系统的信息安全工作总体方针、政策性文件和安全策略等; 建立信息系统总体安全制度,并详细制定和各之间的信息访问和数据交换安全策略,并研究制定一套有效的安全应急计划; 对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式; 对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误; 由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合
8、理性和适用性进行审定。在安全保密工作办公室的负责下,组织相关人员制定; 保证安全管理制度具有统一的格式风格,并进行版本控制; 安全管理制度应经过管理层签发后按照一定的程序以文件形式发布;安全管理制度应注明发布范围,并对收发文进行登记;安全管理制度应注明密级,进行密级管理;定期对安全管理制度进行评审和修订,对存在不足或需要改进的安全管理制度进行修订;当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,应对安全管理制度进行检查、审定和修订;每个制度文档应有相应负责人或负责部门,负责对明确需要修订的制度文档的维护;评审和修订的操作范围应考虑安全管理制度的相应密级。1.2 安全管理机构 信
9、息系统安全等级保护基本要求在岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面对安全管理机构提出了具体的要求。应该建立专门的安全职能部门,配备专门的安全管理人员,负责信息安全管理工作,同时对安全管理人员的活动进行指导。安全管理员还应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;并组织力量定期进行全省的安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;1.2.1 岗位设置1、设立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任
10、或授权的人员担任;2、设立专职的安全管理机构(即信息安全管理工作的职能部门),明确各部门职责分工;3、设立安全管理各个方面的负责人,设置工作岗位(如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位),明确各个岗位的职责分工。1.2.2 人员配备1、对关键区域或部位的安全管理人员配备有一定条件要求(如中心机房的安全管理人员、关键服务器的安全管理人员等),对关键事务配备2人或2人以上共同管理,相互监督和制约;2、配备专职的安全管理员;1.2.3 授权和审批1)对信息系统中的重要活动进行审批,审批部门是何部门,批准人是何人,审批活动是否得到授权;询问是否定
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 医院 信息化 安全 建设项目 管理体系 建设 方案
限制150内