信息安全管理机构及岗位设置模板.doc

文件名称 上海市顾村镇小区卫生服务中心 信息安全管理机构及岗位设置 1 总则 1.1 目 为加强医院信息安全管理工作, 保障网络与信息系统正常运行, 依据相关法律、 法规及信息安全标准, 特制订本制度。 1.2 适用范围 本制度适适用于本院信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组, 领导小组组长由分管本院信息工作院长担任。领导小组是信息安全最高决议机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组职责关键包含: 1）依据国家和行业相关信息安全政策、 法律和法规, 同意医本院信息安全总体决议计划、 管理规范和技术标准; 2）确定本院信息安全各相关部门工作职责, 指导、 监督信息安全工作; 3）审定本院网络与信息系统安全应急策略及应急预案; 4）决定对应应急预案开启, 负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科责任人担任。 3.2信息安全工作组关键职责包含: 1）落实实施医院信息安全领导小组决议, 协调和规范医院信息安全工作; 2）依据信息安全领导小组工作布署, 对信息安全工作进行具体安排、 落实; 3）组织对信息安全工作制度和技术操作策略制订, 拟订信息安全总体计划, 制订近期和远期安全建设工作计划并监督实施; 4）负责协调、 督促各职能部门信息安全工作, 参与信息系统工程建设中安全计划, 监督安全方法实施; 5）组织信息安全工作检验, 分析信息安全总体情况, 提出分析汇报和安全风险防范对策; 6）采取对应应急方法, 组织协调相关人员排除系统故障, 恢复系统; 7）负责医院紧急信息安全事件汇报, 组织事件调查, 分析原因、 包含范围, 并评定安全事件严重程度, 提出信息安全事件防范方法; 8）立刻向信息安全工作领导小组和上级相关部门汇报信息安全事件。 9）组织信息安全知识培训和宣传工作。 10）每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基础要求 4.1 信息安全管理人员和专（兼）职信息安全技术人员应该政治可靠、 业务素质高、 遵纪遵法、 恪尽职守。 4.2信息安全管理人应有计算机专业工作三年以上经历, 含有专科以上学历。 4.3违反国家法律、 法规和行业规章受四处罚人员, 不得从事信息安全管理与技术工作。 5 信息安全人员管理 5.1 信息安全人员配置和变更情况, 应向分管院长汇报、 立案。 5.2 信息安全人员调离岗位, 必需严格办理调离手续, 承诺其调离后保密义务。 6 信息安全人员职责范围 6.1 信息安全人员应推行以下职责: 1）负责信息安全管理日常工作; 2）开展信息安全检验工作, 对关键岗位人员安全工作进行指导和监督; 3）负责维护和审查相关安全审计统计, 立刻发觉存在问题, 提出安全风险防范对策; 4）开展信息安全知识培训和宣传工作; 5）监控信息安全总体情况, 提出信息安全分析汇报; 6）立刻向信息安全工作领导小组和相关部门汇报信息安全事件。 6.2 信息安全人员在行使职责时, 确因工作需要, 经同意, 可了解包含信息系统机密信息。 6.3 信息安全人员发觉医院重大信息安全隐患, 有权向分管院长汇报。 6.4 信息安全人员发觉信息系统关键岗位人员使用不妥, 应立刻提议医院进行调整。 6.5 信息安全人员必需严格遵守国家相关法律、 法规和医院相关规章制度, 严守医院各类机密信息。 7 关键岗位人员管理 7.1 信息系统关键岗位人员, 是指与关键信息系统直接相关系统管理人员、 网络管理人员、 关键应用开发人员、 系统维护人员、 关键业务操作人员等岗位人员。 7.2 关键信息系统, 是指包含本院诊疗、 财务、 人事、 管理等关键业务且有保密要求信息系统。 7.3 关键岗位人员上岗前必需经本院人事部门进行政治素质审查, 业务部门进行业务技能考评, 工作经历和工作经验考查等, 合格者方可上岗。 7.4 关键岗位人员有责任保护信息系统秘密, 并以签署保密协议方法作出安全承诺。 7.5 关键岗位人员上岗必需实施“权限分散、 不得交叉覆盖”标准, 系统管理人员、 网络管理人员、 系统开发人员、 系统维护人员不得兼任业务操作员, 系统开发人员标准上不应兼任系统管理员。 7.6 对关键岗位人员应实施定时考查制度, 关键岗位人员应定时接收安全培训, 加强本身安全意识和风险防范意识。 7.7 关键岗位人员调离岗位, 必需严格办理调离手续, 承诺其调离后保密义务。包含本院业务保密信息关键岗位人员调离, 必需进行离岗审计, 在要求脱密期后, 方可调离。 7.8 关键岗位人员离岗后, 必需立即更换操作密码或注销用户。 8 关键岗位安全责任 8.1 系统管理人员安全责任: 1）负责系统运行管理, 实施系统安全运行细则; 2）严格用户权限管理, 维护系统安全正常运行; 3）认真统计系统安全事项, 立刻向信息安全人员汇报安全事件; 4）对进行系统操作其她人员给予安全监督。 8.2 网络管理员安全责任: 1）负责网络运行管理, 实施网络安全策略和安全运行细则; 2）安全配置网络参数, 严格控制网络用户访问权限, 维护网络安全正常运行; 3）监控网络关键设备、 网络端口、 网络物理线路、 防范黑客入侵, 立刻向信息安全人员汇报安全事件; 4）对操作网络管理功效其她人员进行安全监督。 8.3 系统开发员安全责任 1）系统开发建设中, 应严格实施系统安全策略, 确保系统安全功效正确实现; 2）系统投入运行前, 应完整移交系统源代码和相关涉密资料; 3）不得对系统设置“后门”; 4）对系统关键技术保密。 8.4 系统维护员安全责任 1）负责系统维护, 立刻解除系统故障, 确保系统正常运行; 2）不得私自改变系统功效; 3）不得安装与系统无关其她计算机程序; 4）维护过程中, 发觉安全漏洞应立刻汇报信息安全人员。 业务操作员安全责任 5）严格实施系统操作规程和运行安全管理制度; 6）不得向她人提供自己操作密码; 7）立刻向系统管理员汇报系统多种异常事件。 8.5 各关键岗位人员必需严格遵守保密法规和相关信息安全管理要求。 8.6 安全管理员应为专职, 不得兼任; 关键五岗位应配置多人共同管理。 9 第三方人员管理 9.1 第三方人员包含软件开发商、 硬件供给商、 系统集成商、 设备维护商和服务提供商, 以及实习学生和临时工作人员。 9.2 应对第三方人员物理访问和逻辑访问实施访问控制, 依据其在系统中完成工作时间、 性质、 范围、 内容等方面需要给予最低授权。 9.3 第三方人员现场工作或远程维护工作内容应在协议中明确要求, 如工作包含机密或秘密信息内容, 应要求其签署保密协议。 9.4 通常情况下第三方人员现场工作, 如数据库、 系统、 漏洞扫描、 入侵检测以及其她软件安装等, 不许可接入自带设备。 9.5 第三方人员现场工作应在医院信息中心相关人员陪同和监督下完成。第三方人员自带设备接入信息系统应得到尤其授权, 其操作应受到审计。 9.6 第三方人职员作结束后, 应立刻清除相关账户、 过程统计等信息。 10 培训与教育 10.1 信息安全人员应定时参与下列信息安全知识和技能培训: 1）信息安全法律法规及行业规章制度培训; 2）信息安全基础知识培训; 3）信息安全专门技能培训。 10.2 信息安全人员应定时接收政治思想教育、 职业道德教育和安全保密教育。 10.3 应对全部使用计算机人员定时进行基础信息安全知识和技能培训, 培养信息安全意识。 上海市顾村镇小区卫生服务中心 1月