某医院信息系统等级保护安全建设整改方案20361.docx

《某医院信息系统等级保护安全建设整改方案20361.docx》由会员分享，可在线阅读，更多相关《某医院信息系统等级保护安全建设整改方案20361.docx（301页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、某医院信息系统等级保护安全建设整改方案 XX医院院信息系系统等级保护护安全建建设整改改方案2022年11月目 录1方案概概述81.1背背景81.2方方案设计计目标991.3方方案设计计原则991.4方方案设计计依据1102现状分分析1222.1网网络架构构描述1122.2信信息系统统定级情情况1332.3安安全现状状分析1142.3.1安全全管理现现状1442.3.2安全全技术现现状1443安全需需求分析析293.1国国家政策策需求分分析2993.2安安全指标标与需求求分析2294信息安安全体系系框架设设计3115管理体体系整改改方案3325.1安安全制度度制定解解决方案案325.1.1策略略

2、结构描描述3225.1.2安全全制度制制定3555.1.3满足足指标3355.2安安全制度度管理解解决方案案365.2.1安全全制度发发布3665.2.2安全全制度修修改与废废止3665.2.3安全全制度监监督和检检查3775.2.4安全全制度管管理流程程375.2.5满足足指标4405.3安安全教育育与培训训解决方方案4115.3.1信息息安全培培训的对对象4115.3.2信息息安全培培训的内内容4225.3.3信息息安全培培训的管管理4335.3.4满足足指标4435.4人人员安全全管理解解决方案案445.4.1普通通员工安安全管理理445.4.2安全全岗位人人员管理理455.4.3满足足

3、指标4495.5第第三方人人员安全全管理解解决方案案505.5.1第三三方人员员短期访访问安全全管理5505.5.2第三三方人员员长期访访问安全全管理5515.5.3第三三方人员员访问申申请审批批流程信信息表5535.5.4第三三方人员员访问申申请审批批流程图图545.5.5满足足指标5545.6系系统建设设安全管管理解决决方案5555.6.1系统统安全建建设审批批流程5555.6.2项目目立项安安全管理理565.6.3信息息安全项项目建设设管理5575.6.4满足足指标6615.7等等级保护护实施管管理解决决方案6625.7.1信息息系统描描述6445.7.2等级级指标选选择6995.7.3

4、安全全评估与与自测评评725.7.4方案案与规划划765.7.5建设设整改7785.7.6运维维825.7.7测评评准备8855.7.8外部部测评8875.7.9满足足指标8885.8软软件开发发安全管管理解决决方案8895.8.1软件件安全需需求管理理895.8.2软件件设计安安全管理理905.8.3软件件开发过过程安全全管理9935.8.4软件件维护安安全管理理955.8.5软件件管理的的安全管管理9665.8.6软件件系统安安全审计计管理9975.8.7满足足指标9975.9安安全事件件处置与与应急解解决方案案985.9.1安全全事件预预警与分分级9885.9.2安全全事件处处理1002

5、5.9.3安全全事件通通报10065.9.4应急急响应流流程10075.9.5应急急预案的的制定11075.9.6满足足指标11165.100日常安安全运维维管理解解决方案案11775.100.1运运维管理理11775.100.2介介质管理理11885.100.3恶恶意代码码管理11195.100.4变变更管理理管理11205.100.5备备份与恢恢复管理理12115.100.6设设备管理理管理11245.100.7网网络安全全管理11275.100.8系系统安全全管理11295.100.9满满足指标标13115.111安全组组织机构构设置解解决方案案13665.111.1安安全组织织总体架架

6、构13365.111.2满满足指标标13995.122安全沟沟通与合合作解决决方案11405.122.1沟沟通与合合作的分分类14405.122.2风风险管理理不同阶阶段中的的沟通与与合作11425.122.3满满足指标标14225.133定期风风险评估估解决方方案14435.133.1评评估方式式14335.133.2评评估内容容14445.133.3评评估流程程14555.133.4满满足指标标14666技术体体系整改改方案11476.1总总体部署署说明11476.2边边界访问问控制解解决方案案15006.2.1需求求分析11506.2.2方案案设计11506.2.3方案案效果11526.

7、2.4满足足指标11546.3边边界入侵侵防御解解决方案案15556.3.1需求求分析11556.3.2方案案设计11566.3.3方案案效果11596.3.4满足足指标11606.4网网关防病病毒解决决方案11616.4.1需求求分析11616.4.2方案案设计11616.4.3方案案效果11636.4.4满足足指标11636.5网网络安全全检测解解决方案案16556.5.1需求求分析11656.5.2方案案设计11666.5.3方案案效果11686.5.4满足足指标11696.6网网络安全全审计解解决方案案17116.6.1需求求分析11716.6.2方案案设计11726.6.3方案案效果

8、11786.6.4满足足指标11816.7WWAF解解决方案案18336.7.1需求求分析11836.7.2方案案设计11846.7.3方案案效果11856.7.4满足足指标11866.8恶恶意代码码防护解解决方案案18776.8.1需求求分析11876.8.2方案案设计11886.8.3方案案效果11906.8.4满足足指标11926.9终终端安全全管理解解决方案案19336.9.1需求求分析11936.9.2方案案设计11946.9.3方案案效果22026.9.4满足足指标22056.100漏洞扫扫描解决决方案22066.100.1需需求分析析20666.100.2方方案设计计20886.

9、100.3方方案效果果21116.100.4满满足指标标21666.111应用监监控解决决方案22176.111.1需需求分析析21776.111.2方方案设计计21776.111.3方方案效果果21996.111.4满满足指标标22006.122数据备备份与恢恢复解决决方案22226.122.1需需求分析析22226.122.2方方案设计计22226.122.3满满足指标标22996.133PKII/CAA身份认认证解决决方案22316.133.1需需求分析析23116.133.2方方案设计计23116.133.3方方案效果果23776.133.4满满足指标标23776.144安全加加固解决

10、决方案22406.144.1安安全加固固范围及及方法确确定24406.144.2安安全加固固流程22406.144.3安安全加固固步骤22436.144.4安安全加固固内容22446.144.5采采用安全全操作系系统24496.144.6采采用安全全数据库库管理系系统25526.144.7采采用操作作系统核核心加固固系统22556.144.8应应用系统统开发优优化25566.144.9满满足指标标25886.155安全管管理中心心解决方方案26666.155.1需需求分析析26666.155.2方方案设计计26886.155.3方方案效果果28336.155.4满满足指标标28557技术体体系

11、符合合性分析析28777.1物物理安全全28777.2网网络安全全29007.3主主机安全全29447.4应应用安全全29887.5数数据安全全与备份份恢复33023001 方案概述述1.1 背景医院是一一个信息息和技术术密集型型的行业业，其计计算机网网络是一一个完善善的办公公网络系系统，作作为一个个现代化化的医疗疗机构网网络,除除了要满满足高效效的内部部自动化化办公需需求以外外,还应应对外界界的通讯讯保证畅畅通。结结合医院院复杂的的HISS、RIIS、PPACSS等应用用系统，要要求网络络必须能能够满足足数据、语语音、图图像等综综合业务务的传输输要求，所所以在这这样的网网络上应应运用多多种高

12、性性能设备备和先进进技术来来保证系系统的正正常运作作和稳定定的效率率。同时时医院的的网络系系统连接接着Innterrnett、医保保网和高高校等，访访问人员员比较复复杂，所所以如何何保证医医院网络络系统中中的数据据安全问问题尤为为重要。在在日新月月异的现现代化社社会进程程中，计计算机网网络几乎乎延伸到到了世界界每一个个角落，它它不停的的改变着着我们的的工作生生活方式式和思维维方式，但但是，计计算机信信息网络络安全的的脆弱性性和易受受攻击性性是不容容忽视的的。由于于网络设设备、计计算机操操作系统统、网络络协议等等安全技技术上的的漏洞和和管理体体制上的的不严密密，都会会使计算算机网络络受到威威胁。

13、我我们可以以想象一一下，对对于一个个需要高高速信息息传达的的现代化化医院，如如果遭到到致命攻攻击，会会给社会会造成多多大的影影响。为了保障障我国关关键基础础设施和和信息的的安全，结结合我国国的基本本国情，制制定了等等级保护护制度。并并将等级级保护制制度作为为国家信信息安全全保障工工作的基基本制度度、基本本国策，促促进信息息化、维维护国家家信息安安全的根根本保障障。而针针对医疗疗卫生行行业，卫卫生部于于20111年111月分分别发布布卫生生部办公公厅关于于全面开开展卫生生行业信信息安全全等级保保护工作作的通知知（卫卫办综函函2001111226号），卫卫生部关关于印发发卫生生行业信信息安全全等级

14、保保护工作作的指导导意见的的通知（卫卫办发220111855号），85号号文规定定了主要要工作内内容：1.定级级备案（规规定了定定级范围围及级别别）2.建设设与整改改（规定定了二级级（含）以以上系统统需进行行差距分分析与整整改）3.等级级测评（规规定了三三级（含含）以上上需进行行等保测测评）4.宣传传培训（规规定了各各类卫生生机构需需进行信信息安全全培训，提提高安全全意识）5. 监监督检查查（规定定了信息息化工作作领导小小组对各各医疗机机构等级级保护工工作进行行督导）全面开展展等级保保护建设设，对医医院特别别是三级级甲等医医院的信信息化建建设提出出了更高高的要求求，其核心心业务信信息系统统的建

15、设设应按照照不低于于等级保保护三级级的标准准进行。XX医院院是北京京市卫生生局直属属三级甲甲等医院院、北京京大学教教学医院院、中法法友好合合作医院院、中国国科学院院心理研研究所临临床心理理学教学学医院、北北京市心心理危机机研究与与干预中中心、北北京市心心理援助助热线、世世界卫生生组织心心理危机机预防研研究与培培训合作作中心、北北京市专专科医师师培训基基地、国国家药物物临床试试验机构构，作为北北京三级级甲等医医疗机构构，其核心心HISS系统和和EMRR系统的的正常运运行至关关重要，因因此在信信息安全全建设过过程中参参照国家家等级保保护相关关标准，利利于医院院自身进进行安全全体系化化建设，并并最终

16、利利于业务务的开展展。1.2 方案设计计目标本次XXX医院核核心业务务系统等等级保护护安全建建设的主主要目标标是：按照等级级保护要要求，结结合实际际业务系系统，对对XX医医院核心心业务系系统进行行充分调调研及详详细分析析，将XXX医院院核心业业务系统统系统建建设成为为一个及及满足业业务需要要，又符符合等级级保护三三级系统统要求的的业务平平台。建设一套套符合国国家政策策要求、覆盖全面、重点突出、持续运行的信息安全保障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容，符合信息系统的业务特性和发展战略，满足XX医院信息安全要求。1.

17、3 方案设计计原则“全面保保障”原则：信息安安全风险险的控制制需要多多角度、多多层次，从从各个环环节入手手，全面面的保障障。“整体规规划，分分步实施施”原则：对信息息安全建建设进行行整体规规划，分分步实施施，逐步步建立完完善的信信息安全全体系。“同步规规划、同同步建设设、同步步运行”原则：安全建建设应与与业务系系统同步步规划、同同步建设设、同步步运行，在在任何一一个环节节的疏忽忽都可能能给业务务系统带带来危害害。“适度安安全”原则：没有绝绝对的安安全，安安全和易易用性是是矛盾的的，需要要做到适适度安全全，找到到安全和和易用性性的平衡衡点。“内外并并重”原则：安全工工作需要要做到内内外并重重，在

18、防防范外部部威胁的的同时，加加强规范范内部人人员行为为和访问问控制、监监控和审审计能力力。“标准化化”原则：管理要要规范化化、标准准化，以以保证在在能源行行业庞大大而多层层次的组组织体系系中有效效的控制制风险。“技术与与管理并并重”原则：网络与与信息安安全不是是单纯的的技术问问题，需需要在采采用安全全技术和和产品的的同时，重重视安全全管理，不不断完善善各类安安全管理理规章制制度和操操作规程程，全面面提高安安全管理理水平。1.4 方案设计计依据本方案的的设计主主要依据据以下等等级保护护政策：n 公安部、国国家保密密局、国国际密码码管理局局、国务务院信息息化工作作办公室室联合转转发的关关于信息息安

19、全等等级保护护工作的的实施意意见（公公通字220044666号）n 公安部部、国家家保密局局、国家家密码管管理局、国国务院信信息化工工作办公公室制定定的信信息安全全等级保保护管理理办法（公公通字200743号）n 公安部颁颁发的关关于开展展信息安安全等级级保护安安全建设设整改工工作的指指导意见见(公公信安20091429号)n 公安部关关于推动动信息安安全等级级保护测测评体系系建设和和开展等等级测评评工作的的通知（公公信安2010303号）nn 本方案的的设计主主要依据据如下等等级保护护标准：n 信息安安全技术术 信息息系统安安全等级级保护基基本要求求（GGB/TT 2222399-20008

20、）n 信息安安全技术术 信息息系统等等级保护护安全设设计技术术要求(GB/T 2250770-220100)本方案还还参考了了如下一一些政策策和标准准：n 信息安安全技术术信息系系统安全全等级保保护定级级指南(GB/T 22240-2008)n 信息安安全技术术信息系系统安全全等级保保护实施施指南n 信息安安全技术术信息系系统安全全等级保保护测评评要求n 信息安安全技术术信息系系统安全全等级保保护测评评过程指指南n 计算机机信息系系统安全全保护等等级划分分准则（GB 17859-1999）n 信息安安全技术术信息系系统通用用安全技技术要求求（GGB/TT 2002711-20006）n 信息安

21、安全技术术网络基基础安全全技术要要求（GB/T 20270-2006）n 信息安安全技术术操作系系统安全全技术要要求（GB/T 20272-2006）n 信息安安全技术术数据库库管理系系统安全全技术要要求（GB/T 20273-2006）n 信息安安全技术术服务器器技术要要求（GB/T 21028-2007）n 信息安安全技术术终端计计算机系系统安全全等级技技术要求求（GGA/TT 6771-220066）n 信息安安全技术术信息系系统安全全管理要要求（GB/T 20269-2006）n 信息安安全技术术信息系系统安全全工程管管理要求求（GGB/TT 2002822-20006）n GB/TT

22、 2220800-20008/ISOO/IEEC 2270001:220055信息息技术安安全技术术信息安安全管理理体系要要求n IATFF信息息保障技技术框架架2 现状分析析2.1 网络架构构描述XX医院院网络架架构主要要由终端端安全域域、安全全设备运运维区、互联网DMZ区、业务服务器区等安全域构成系统使用用的安全全产品清清单：序号设备名称称型号数量1防火墙XX22安全网关关XX13入侵检测测系统XX14漏洞扫描描系统XX15补丁分发发系统XX16信息安全全综合审审计监控控系统XX17宽带信息息安全（上上网行为为）管理理系统XX18综合网络络安全管管理系统统XX19互联网带带宽管理理系统XX

23、110网络防病病毒系统统XX1已经部署署的安全全产品除除网络防防病毒系系统外，其其他产品品均购置置于四年年前，无无论从性性能、功功能上已已经不能能适应当当今的安安全要求求，本次次建设将将予以更更换。2.2 信息系统统定级情况况XX医院院核心业业务系统统是医院院信息系系统（HHosppitaal IInfoormaatioon SSysttem ，HIIS）和和电子病病历系统统(Ellecttronnic Meddicaal RRecoord, EMMR)。目前已已经完成成系统定定级，最最终确定定北京XXX医院院核心业业务信息息系统安安全保护护等级为为第三级级。HIS系系统由北北京XXX数字医医

24、疗系统统有限公公司研制制开发，220022年111月开始始分期实实施到我我院。由由计算机机网络中中心负责责组织实实施、运运行管理理和维护护工作。本本系统是是基于计计算机网网络、按按照一定定的应用用目标和和规则对对医院临临床及管管理业务务信息进进行采集集、加工工、存储储、传输输、检索索和服务务的人机机系统。整整个网络络主干千千兆，百百兆到桌桌面，为为两层星星型结构构。该系系统承载载着全院院人、财财、物的的行政管管理和有有关门、急急诊病人人及住院院病人的的医疗事事务处理理业务，主主要包括括门诊挂挂号、电电子医嘱嘱和处方方、计价价收费、药药房药库库管理、住住院病人人管理、检检验检查查信息管管理、病病

25、案管理理、卫生生统计、物物资和固固定资产产管理等等二十几几个紧密密耦合的的子系统统。各子子系统必必须协同同运行，支支持医院院临床诊诊疗、科科研教学学、经营营决策等等方方面面面的日日常业务务与管理理工作，是是一体化化的信息息系统。电子病历历系统(Eleectrroniic MMediicall Reecorrd, EMRR)以服服务临床床业务工工作开展展为核心心，为全全院医务务人员、业业务管理理人员、院院级领导导提供流流程化、信信息化、自自动化、智智能化的的临床业业务综合合管理平平台。目目前医院院所使用用的电子子病历系系统为220111年引进进的，XXX公司司开发的的C-SS架构的的结构化化的电

26、子子病历系系统(TTP-EEMR)。该系系统基于于.NEET多层层体系结结构开发发平台，采采用集中中式数据据库ORRACLLE 110G、分分布式数数据库AACCEESS和和XMLL技术相相结合，完完成临床床数据的的录入、传传输、交交换、存存储和处处理。目目前电子子病历系系统的组组织实施施、管理理维护、安安全防护护均由计计算机中中心管理理。3 安全需求求分析3.1 国家政策策需求分分析20077年公安安部等四四部委联联合出台台了信信息安全全等级保保护管理理办法，该该文件是是在开展展信息系系统安全全等级保保护基础础调查工工作和信信息安全全等级保保护试点点工作基基础上，由由四部委委共同会会签印发发

27、的重要要管理规规范，主主要内容容包括信信息安全全等级保保护制度度的基本本内容、流流程及工工作要求求，信息息系统定定级、备备案、安安全建设设整改、等等级测评评的实施施与管理理，信息息安全产产品和测测评机构构选择等等，为开开展信息息安全等等级保护护工作提提供了规规范保障障。20099年，在在全国信信息系统统安全等等级保护护定级工工作基础础上，公公安部又又印发了了关于于开展信信息安全全等级保保护安全全建设整整改工作作的指导导意见，开开始部署署开展信信息系统统等级保保护安全全建设整整改工作作。20009年年下半年年公安部部组织各各部委和和各行业业开展了了信息安安全等级级保护安安全建设设整改工工作的集集

28、中培训训，明确确了我国国信息安安全等级级保护安安全建设设整改工工作的工工作目标标、工作作对象、工工作内容容和要求求，并对对具体的的工作流流程和工工作方法法提出了了指导意意见。要要求各行行业利用用三年时时间，通通过组织织开展信信息安全全等级保保护安全全管理制制度建设设、技术术措施建建设和等等级测评评等三项项重点工工作，落落实等级级保护制制度的各各项要求求。卫生部于于20111年111月分分别发布布卫生生部办公公厅关于于全面开开展卫生生行业信信息安全全等级保保护工作作的通知知（卫卫办综函函2001111226号），卫卫生部关关于印发发卫生生行业信信息安全全等级保保护工作作的指导导意见的的通知（卫卫

29、办发220111855号）。要要求医疗疗卫生行行业全面面开展等等级保护护建设。3.2 安全指标标与需求求分析XX医院院核心业业务系统统的安全建建设核心心需求即即满足等等级保护护的相关关要求，因因此将以以满足等等级保护护指标为为目标。根据定级结果，整体按三级来管理和建设。那么，可以确定需要满足的等级保护指标如下：单位级安安全指标标（三级级）安全管理理机构人员安全全管理安全管理理制度数据安全全及备份份恢复网络安全全物理安全全系统运维维管理系统建设设管理控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量岗位设置置4安全意识识教育和和培训4管理制度度4备份和恢恢复4安全审

30、计计4电磁防护护3安全事件件处置6安全方案案设计5沟通和合合作5人员考核核3评审和修修订2数据保密密性2边界完整整性检查查2电力供应应4备份与恢恢复管理理5安全服务务商选择择3人员配备备3人员离岗岗3制定和发发布5数据完整整性2恶意代码码防范2防盗窃和和防破坏坏6变更管理理4测试验收收5审核和检检查4人员录用用4访问控制制8防火3恶意代码码防范管管理4产品采购购和使用用4授权和审审批4外部人员员访问管管理2结构安全全7防静电2环境管理理4等级测评评4入侵防范范2防雷击3监控和安安全管理理中心3工程实施施3防水和防防潮4介质管理理6外包软件件开发4温湿度控控制1密码管理理1系统备案案3物理访问问

31、控制4设备管理理5系统定级级4物理位置置的选择择2网络安全全管理8系统交付付5系统安全全管理7自行软件件开发(5)0应急预案案管理5资产管理理4201611825326240总计2144 信息安全全体系框框架设计计XX医院院核心业业务系统统安全体体系框架架分为技技术体系系与管理理管理体体系两部部分。其其中：l 技术体系系参考设设计技术术要求，分为计算环境安全、边界安全、通信网络安全和安全管理中心四部分。同时满足基本要求中物理安全、网络安全、主机安全、应用安全和数据安全等方面技术指标。l 安全管理理体系分分为安全全组织、安安全策略略、安全全建设和和安全运运维四部部分。5 管理体系系整改方方案5.

32、1 安全制度度制定解解决方案案安全制度度是指导导XX医医院核心心业务系系统维护护管理工工作的基基本依据据，安全全管理和和维护管管理人员员必须认认真制定定的制度度，并根根据工作作实际情情况，制制定并遵遵守相应应的安全全标准、流流程和安安全制度度实施细细则，做做好安全全维护管管理工作作。安全制定定的适用用范围是是XX医医院核心心业务系系统拥有有的、控控制和管管理的所所有信息息系统、数数据和网网络环境境，适用用于属于于XX医医院核心心业务系系统范围围内的所所有部门门。对人人员的适适用范围围包括所所有与XXX医院院核心业业务系统统的各方方面相关关联的人人员，它它适用于于全部应应用XXX医院核核心业务务

33、系统的的相关工工作人员员，全部部XX医医院核心心业务系系统范围围内容的的维护人人员，集集成商，软软件开发发商，产产品提供供商，顾顾问，临临时工，商商务伙伴伴和使用用XX医医院核心心业务系系统的其其他第三三方。安全策略略体系建建立的价价值在于于：l 推进信息息安全管管理体系系的建立立n 安全策略略和制度度体系的的建设n 安全组织织体系的的建设n 安全运作作体系的的建设l 规范信息息安全规规划、采采购、建建设、维维护和管管理工作作，推进进信息安安全的规规范化和和制度化化建设5.1.1 策略结构构描述信息安全全策略为为信息安安全提供供管理指指导和支支持。XXX医院院核心业业务系统统应该制制定一套套清

34、晰的的指导方方针，并并通过在在组织内内对信息息安全策策略的发发布和保保持来证证明对信信息安全全的支持持与承诺诺。策略系列列文档结结构图： 最高方针针最高方针针，纲领领性的安安全策略略主文档档，陈述述本策略略的目的的、适用用范围、信信息安全全的管理理意图、支支持目标标以及指指导原则则，信息息安全各各个方面面所应遵遵守的原原则方法法和指导导性策略略。与其它部部分的关关系：所有其它它部分都都从最高高方针引引申出来来，并遵遵照最高高方针，不不与之发发生违背背和抵触触。 组织机构构和人员员职责安全管理理组织机机构和人人员的安安全职责责，包括括的安全全管理机机构组织织形式和和运作方方式，机机构和人人员的一

35、一般责任任和具体体责任。作作为机构构和员工工具体工工作时的的具体职职责依照照，此部部分必须须具有可可操作性性，而且且必须得得到有效效推行和和实施的的。与其它部部分的关关系：从最高方方针中延延伸出来来，其具具体执行行和实施施由管理理规定、技技术标准准规范、操操作流程程和用户户手册来来落实。 技术标准准和规范范技术标准准和规范范，包括括各个网网络设备备、主机机操作系系统和主主要应用用程序的的应遵守守的安全全配置和和管理的的技术标标准和规规范。技技术标准准和规范范将作为为各个网网络设备备、主机机操作系系统和应应用程序序的安装装、配置置、采购购、项目目评审、日日常安全全管理和和维护时时必须遵遵照的标标

36、准，不不允许发发生违背背和冲突突。与其它部部分的关关系：向上遵照照最高方方针，向向下延伸伸到安全全操作流流程，作作为安全全操作流流程的依依据。 管理制度度和规定定各类管理理规定、管管理办法法和暂行行规定。从从安全策策略主文文档中规规定的安安全各个个方面所所应遵守守的原则则方法和和指导性性策略引引出的具具体管理理规定、管管理办法法和实施施办法，是是必须具具有可操操作性，而而且必须须得到有有效推行行和实施施的。此此部分文文档较多多。与其它部部分的关关系：向上遵照照最高方方针。向向下延伸伸到用户户签署的的文档和和协议。用用户协议议必须遵遵照管理理规定和和管理办办法，不不与之发发生违背背。 安全操作作

37、流程操作流程程，详细细规定主主要业务务应用和和事件处处理的流流程和步步骤，和和相关注注意事项项。作为为具体工工作时的的具体依依照，此此部分必必须具有有可操作作性，而而且必须须得到有有效推行行和实施施的。与其它部部分的关关系：向上遵照照技术标标准和规规范、最最高方针针。 用户协议议用户签署署的文档档和协议议。包括括安全管管理人员员、网络络和系统统管理员员的安全全责任书书、保密密协议、安安全使用用承诺等等等。作作为员工工或用户户对日常常工作中中的遵守守安全规规定的承承诺，也也作为安安全违背背时处罚罚的依据据。与其它部部分的关关系：向上遵照照管理制制定和规规定、最最高方针针。 需要制定定的策略略文档

38、本项目中中需要制制定的策策略文档档至少覆覆盖以下下方面：n 安全方针针n 安全组织织n 资产分类类及控制制n 人员安全全n 物理和环环境安全全n 通信和运运作管理理n 系统访问问控制n 系统开发发与维护护n 安全事件件处理n 业务连续续性规划划n 符合性5.1.2 安全制度度制定安全制度度的首要要问题是是需要对对安全制制度的制制定，对对于XXX医院核核心业务务系统公公司在安安全制度度的制定定的过程程中，考考虑如下下内容： 界定安全全策略制制度的制制定权限限l 公司网络络与信息息安全管管理小组组负责制制定公司司层的安安全策略略，主要要包括：公司信信息安全全体系、公公司安全全策略框框架、公公司信息

39、息安全方方针、公公司信息息安全体体系等级级化标准准、公司司全局性性安全技技术标准准和技术术规范、公公司全局局性安全全管理制制度和规规定、公公司安全全组织机机构和人人员职责责、公司司层全局局性用户户协议。l 各部门信信息安全全组织遵遵照公司司下发的的安全策策略，结结合本部部门系统统实际情情况，制制定和细细化成适适用于本本部门的的具体管管理办法法、实施施细则和和操作规规程等，不不得与公公司的规规章制度度相抵触触，并须须报公司司信息安安全管理理部门备备案。 安全策略略的制定定要求l 公司安全全策略中中不得出出现公司司的涉密密信息。l 对公司安安全策略略进行汇汇编时，须保留各安全策略的版本控制信息和密

40、级标识。5.1.3 满足指标标解决方案案名称控制类控制点指标名称称措施名称称改进动作作安全制度度制定解解决方案案安全管理理制度管理制度度a应制定信信息安全全工作的的总体方方针和安安全策略略，说明明机构安安全工作作的总体体目标、范范围、原原则和安安全框架架等；制定安全全方针安全制度度开发安全制度度制定解解决方案案安全管理理制度管理制度度b应对安全全管理活活动中的的各类管管理内容容建立安安全管理理制度；建立各类类安全管管理制度度安全制度度开发安全制度度制定解解决方案案安全管理理制度管理制度度c应对要求求管理人人员或操操作人员员执行的的日常管管理操作作建立操操作规程程；建立各类类操作规规程安全制度度

41、开发安全制度度制定解解决方案案安全管理理制度管理制度度d应形成由由安全策策略、管管理制度度、操作作规程等等构成的的全面的的信息安安全管理理制度体体系。编制制度度体系说说明文档档安全制度度开发5.2 安全制度度管理解解决方案案安全制度度制定后后，对安安全制度度的管理理工作十十分重要要，在对对安全制制度管理理过程中中，需要要注意如如下内容容：5.2.1 安全制度度发布l 安全策略略须以正正式文件件的形式式发布施施行。 l 公司层安安全策略略由公司司网络与与信息安安全工作作组制订订，公司司网络与与信息安安全领导导小组审审批、发发布。l 部门层安安全策略略由各生生产中心心安全管管理组织织制订，公公司网

42、络络与信息息安全工工作组审审批、发发布，同同时要留留存公司司信息安安全管理理部门备备案。l 系统层安安全策略略由各系系统管理理员制订订、本中中心安全全管理员员协助，本本部门安安全管理理组织审审批、发发布，同同时要留留存公司司信息安安全管理理部门备备案。l 安全策略略发布后后，如有有必要，安安全策略略制定部部门应召召集相关关人员学学习安全全策略，详详细讲解解规章制制度的内内容并解解答疑问问。l 安全策略略修订后后需要以以正式文文件的形形式重新新发布施施行，修修订后的的策略也也需相应应层次的的管理部部门审批批。l 签署发布布的规章章制度必必须标明明该规章章制度的的施行日日期。5.2.2 安全制度度

43、修改与与废止l 须定期对对安全策策略进行行评审，对对其中不不适用的的或欠缺缺的条款款，及时时进行修修改和补补充。对对已不适适用的信信息安全全制度或或规定应应及时废废止。l 当现行安安全策略略有下列列情形之之一时，须及时修改：(一) 当发生重重大安全全事件，暴暴露出安安全策略略存在漏漏洞和缺缺陷时；(二) 组织机构构或生产产系统进进行重大大调整和和变更后后；(三) 同一个事事项在两两个规章章制度中中规定不不一致；(四) 与上级部部门的安安全策略略相抵触触；其它需要要修改安安全策略略的情形形。 l 当现行安安全策略略有下列列情形之之一时，必必须及时时予以废废止：(一) 因有关信信息安全全制度或或规

44、定废废止，使使该信息息安全制制度或规规定失去去依据，或或与公司司现行上上层策略略相抵触触；(二) 因已规定定的事项项已经执执行完毕毕，没有有存在必必要；(三) 已被新的的规章制制度所替替代。l 公司层安安全策略略的修改改与废止止须经公公司信息息安全领领导组织织审批确确认，公公司信息息安全管管理部门门备案。l 部门层安安全策略略的修改改与废止止须经各各部门信信息安全全维护组组织及公公司信息息安全管管理部门门审批确确认。同同时公司司信息安安全管理理部门备备案。5.2.3 安全制度度监督和和检查l 安全策略略发布实实施后，各各部门应应就安全全策略制制度或规规定的贯贯彻执行行，执行行中存在在的问题题以及对对规章制制度修改改或废止止的意见见建议等等情况进进行检查查、监督督，并将将意见和和建议及及时反馈馈给制度度的制定定部门。l 为保障各各项信息息安全管管理制度度的贯彻彻落实，公公司信息息安全管管理部门门必须定定期检查查安全策策略的落落实情况况，信息息安全管管理制度度的落实实情况检检查是信信息安全全检查工工作的重重要内容容。l 信息安全全检查工工