《医院信息安全工作总体规定.docx》由会员分享,可在线阅读,更多相关《医院信息安全工作总体规定.docx(8页珍藏版)》请在第壹文秘上搜索。
1、XX市XX医院信息安全工作总体规定第一章总则第一条为加强和规范XX市XX医院信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律法规规定,结合我单位工作实际,制定本规定。第二条本规定适用于XX市XX医院信息系统的安全保护总体方针、策略制定和规划方面的工作。第二章方针、目标和原则第三条XX市XX医院信息安全工作应坚持“积极预防、全面保障、动态管理、持续改进”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。第四条XX市XX医院信息安全工作的总体目标是确保信息系统持续、稳定、可靠运行和确
2、保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止数据丢失,防止系统对外服务中断和由此造成的系统运行事故。第五条信息安全工作的总体原则(一)需求导向原则根据其信息系统承载的业务,信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,平衡安全投入与效果。(二)领导负责原则一把手负总责,分管领导在职责范围内各负其责的信息安全管理。()全员参与原则信息系统所有相关人员须参与信息系统的安全管理,共同保障信息系统安全。(四)标准化原则按照信息安全等级保护相关标准的要求,采用管理和技术结合的方法,
3、实现信息安全目标。(五)同步实施原则新建信息系统时,应充分考虑信息化发展趋势,遵循信息化建设与信息安全建设同步规划、同步建设、同步实施的原则,确保信息化建设与信息安全建设同步进行。(六)管理与技术并重原则坚持积极防御和综合防范,全面提高信息系统安全防护能力,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。第三章总体安全策略第六条物理安全策略(一)机房和办公场地选择在具有防震、防风和防雨等能力的建筑内,机房场地避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。(二)机房出入口安排专人值守,重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
4、(三)需进入机房的来访人员经过申请和审批流程,并限制和监控其活动范围。(四)对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。(五)机房内部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防系统、防水监控系统、温湿度控制系统和UPS供电系统。第七条网络安全策略(一)保证主要网络设备的业务处理能力具备冗余空间,保证网络各个部分的带宽,以满足业务高峰期需要。(二)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。(三)应避免将重要网段部署在网络边界处且直接连
5、接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。(四)应在网络边界部署访问控制设备,根据实际安全需求设置访问控制策略启用访问控制功能。(五)对网络系统中的网络设备运行状况、网络流量、用户行为等进行审计,并对审计记录数据进行分析,生成审计报表,且保护审计数据。(六)能够对非授权联接行为进行检查,准确定出位置,并对其进行有效阻断。(七)在网络边界处监视攻击行为,记录发生的攻击行为。(八)在网络边界处监视,并维护恶意代码库的升级和检测系统的更新。(九)对登录网络设备的用户进行身份标识和鉴别,并设置身份标识和鉴别方式。第八条主机安全策略(一)对登录操作系统和数据库系统的用户进行身份标识和
6、鉴别,并设置身份标识和鉴别方式。(二)启用访问控制功能,设置访问控制策略,依据安全策略控制用户对资源的访问。()对服务器和重要客户端的重要用户行为、系统资源的异常使用和重要系统命令的使用等内容进行安全审计,并对审计记录数据进行分析,生成审计报表,且保护审计数据。(四)确保操作系统和数据库系统用户的鉴别信息,系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。(五)能够对重要服务器进行入侵的行为和对重要程序的完整性进行检测。(六)安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库,并支持恶意代码库的统一管理。第九条应用安全策略(一)提供专用的登
7、录控制模块对登录用户进行身份标识和鉴别,并设置身份标识和鉴别方式。(二)提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。(三)提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计,形成审计记录,并对审计记录数据进行分析,生成审计报表,且保护审计数据。(四)确保应用系统用户的鉴别信息,系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。(五)具有在请求的情况下为数据原发者或接收者提供数据原发、接收证据的功能。(六)应用系统须具有软件容错功能,提供数据有效性检验功能和自动保护功能。第十条数据安全策略(一)能够检测到系统管理数
8、据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。(二)采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性。(三)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放。第十一条安全管理制度(一)制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。(二)组织相关人员对制定的安全管理制度进行论证和审定。(三)定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。第十二条安全管理机构(一)设立信息安全管理工作的职能部门,设立安全主管
9、、安全管理各个方面的负责人岗位,并定义各负责人的职责。(二)配备一定数量的系统管理员、网络管理员、安全管理员等。(三)针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。(四)加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。(五)制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。第十三条人员安全管理(一)严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。(二
10、)严格规范人员离岗过程,及时终止离岗员工的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。(H)定期对各个岗位的人员进行安全技能及安全认知的考核,对关键岗位的人员进行全面、严格的安全审查和技能考核。(四)对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。(五)确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案。第十四条系统建设管理(一)明确信息系统的边界和安全保护等级,并组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。(二)根据信息系统的等级划分情况
11、,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件(三)制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程。(四)在测试验收前根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。(五)对已定级系统的相关备案材料报相应公安机关备案。(六)三级及三级以上信息系统运行过程中,至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改。第十五条系统运维管理(一)指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理。
12、(二)建立资产安全管理制度,对介质和设备的选型、采购、发放、领用、使用、维修、报废等方面规定,并严格执行制度规定。(三)建立监控和安全管理中心,对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理,形成记录并妥善保存。(四)建立网络、系统安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期、系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定,并严格执行相关规定。(五)建立恶意代码防范管理制度,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定,
13、并严格执行相关规定。(六)建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告。(七)在统一的应急预案框架下制定不同事件的应急预案,并定期对应急预案进行演练。第四章信息安全总体框架第十六条应在信息安全策略的指导下,通过构建安全管理、安全技术和安全运维三大体系,在既定方针目标的指引下,相互支撑,相互促进,构成实时、动态和持续改进的全生命周期防护体系。第十七条信息安全管理体系应参照信息安全技术信息系统安全管理要求(GB/T202692006)、信息安全技术信息系统安全工程管理要求(GBT20282-2006)和信息安全技术
14、信息系统安全等级保护基本要求(GB/T22239-2006)等标准规范,建立健全我单位信息安全管理制度体系。第十八条信息安全技术体系应参照信息安全技术信息系统安全等级保护基本要求(GB/T22239-2006)、信息安全技术信息系统等级保护安全设计技术要求(GB/T25070-2010)等标准规范,在云安全、物理安全、网络安全、主机安全、应用安全和数据安全方面,同步建设和优化信息安全设施,完善我单位信息安全技术体系。第十九条信息安全运维体系应根据信息安全技术信息系统安全等级保护基本要求(GB/T22239-2006)、信息技术安全技术信息安全事件管理指南(GB/Z209852007)和信息安全技术信息系统灾难恢复规范(GBT20988-2007)等标准规范,在信息化办公设备、网络系统、应用系统、主机系统、存储系统等方面完善我单位信息安全运维体系。第五章附则第二十条本规定由XX市XX医院负责解释。第二十一条本规定自发布之日起施行。
