信息安全職責(zé)參考

1、上海 X X 大學(xué)附屬 X X 醫(yī)院信息安全領(lǐng)導(dǎo)機構(gòu)組成與職責(zé)1. 總則1.1 目的為更好的實現(xiàn)對 X X 醫(yī)院信息系統(tǒng)的安全管理，促進(jìn)各項制度、措施的 落實，經(jīng)院領(lǐng)導(dǎo)研究決定成立以信息安全領(lǐng)導(dǎo)小組為管理機構(gòu)、信息安全 工作小組為執(zhí)行機構(gòu)的組織架構(gòu)，負(fù)責(zé)全院信息安全建設(shè)及防護(hù)。1.2 范圍本標(biāo)準(zhǔn)針對 X X 醫(yī)院信息安全組織建設(shè)相關(guān)事務(wù)，規(guī)定了組織框架和角 色責(zé)任，適用于 X X 醫(yī)院所有納入到信息安全管理體系范圍的組織和個 人。1.3 職責(zé)1. 信息安全工作小組負(fù)責(zé)起草、制定本標(biāo)準(zhǔn)，安全領(lǐng)導(dǎo)小組負(fù)責(zé)批準(zhǔn)、發(fā)布本 標(biāo)準(zhǔn)。2. 信息安全組織內(nèi)相關(guān)人員承擔(dān)本標(biāo)準(zhǔn)定義的相關(guān)角色，履行相應(yīng)的信息安全

2、管理職責(zé)。2. 信息安全組織架構(gòu)X X 醫(yī)院信息安全組織架構(gòu)如下：信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)組織信息化建設(shè)總體規(guī)劃和統(tǒng)籌安排，協(xié)調(diào)各科室與信息 化之間的關(guān)系。信息安全領(lǐng)導(dǎo)小組組長由院長兼任，副組長由副院長和信息中心主任 兼任。信息安全領(lǐng)導(dǎo)小組成員如下：信息安全領(lǐng)導(dǎo)小組下設(shè)信息安全工作小組，信息安全工作小組人員設(shè)置如下：信息安全工作小組組長：信息安全工作小組副組長：信息安全工作小組成員：3. 機構(gòu)和組織指責(zé)3.1 信息安全領(lǐng)導(dǎo)小組組長職責(zé)組長：負(fù)責(zé)信息化建設(shè)總體規(guī)劃、設(shè)計決策、項目決策、流程決策、人員調(diào)配決 策以及信息安全事故的應(yīng)急協(xié)調(diào)和指揮。副組長：負(fù)責(zé)具體項目規(guī)劃設(shè)計、人員召集、組織實施等工作，對

3、工程質(zhì)量負(fù) 責(zé)，并負(fù)責(zé)人員培訓(xùn)，流程制定，需求確認(rèn)，協(xié)助實施、安全事故應(yīng)急響應(yīng)等具體日 程和事務(wù)。3.2 信息安全領(lǐng)導(dǎo)小組具體職責(zé)(1) 負(fù)責(zé)審定信息安全建設(shè)與應(yīng)用總體規(guī)劃、經(jīng)費預(yù)算、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范及 相關(guān)政策措施。(2) 研究決定信息安全體系建設(shè)重大事項，監(jiān)督信息安全體系規(guī)劃的實施。(3) 及時解決項目建設(shè)過程中的決策問題，并對各項工作做出指示(4) 審批發(fā)布信息安全方針和管理體系。(5) 審批信息安全規(guī)劃和項目的批準(zhǔn)。(6) 提供信息安全資源保證。(7) 負(fù)責(zé)信息安全策略審核及推廣。(8) 建立與內(nèi)部 / 外部專家、權(quán)威機構(gòu)、合作伙伴、供應(yīng)商之間的溝通渠道。統(tǒng) 控制對外信息發(fā)布和通告。

4、3.3信息安全工作小組組長職責(zé)組長：直接對信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)，負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組宏觀策略和項目規(guī) 劃的落地執(zhí)行；在信息化領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，協(xié)調(diào)工作小組成員完成方案起草，流程 收集，需求匯總等工作；協(xié)調(diào)信息安全工作小組內(nèi)部人員的工作分配，人員管理等。副組長：協(xié)助信息安全工作小組組長完成宏觀策略和項目規(guī)劃的落地執(zhí)行，任命 信息安全角色和崗位，并明確各信息安全崗位的職責(zé)，組織并實施信息安全管理評 審，督促各成員統(tǒng)一協(xié)作，完成方案起草，流程收集，需求匯總等工作。3.4信息安全工作小組人員職責(zé)負(fù)責(zé)系統(tǒng)調(diào)試、日程維護(hù)、人員培訓(xùn)、人員組織、安全管理等具體工作。具體職責(zé)如下:(1) 負(fù)責(zé)信息安全體系建設(shè)具

5、體工作實施和推進(jìn)，與工作小組組長及時溝通并匯 報有關(guān)情況。(2) 負(fù)責(zé)與咨詢公司溝通協(xié)調(diào)項目實施情況以及項目在公司內(nèi)部的推進(jìn)和后續(xù)知 識轉(zhuǎn)移。(3) 負(fù)責(zé)安全管理體系的建立并監(jiān)督信息安全管理制度的執(zhí)行。(4) 對信息安全相關(guān)項目進(jìn)行規(guī)劃和監(jiān)督，確保信息安全風(fēng)險評估和管理工作能 夠落實。(5) 制定年度評審計劃，確定評審范圍和內(nèi)審內(nèi)容。(6) 負(fù)責(zé)信息安全策略、標(biāo)準(zhǔn)、流程和制度的編寫、審核及推廣。(7) 制定業(yè)務(wù)連續(xù)性計劃。(8) 建立與內(nèi)部/外部專家、權(quán)威機構(gòu)、利益伙伴之間的溝通渠道。統(tǒng)一控制對外 信息發(fā)布和通告。4. 附錄附1 ：信息安全組織相關(guān)人員信息表信息安全相關(guān)組織人員信息表角色姓名工

6、作部門職務(wù)聯(lián)系電話信息安全領(lǐng)導(dǎo)小組組長信息安全領(lǐng)導(dǎo)小組成員信息安全領(lǐng)導(dǎo)小組成員信息安全工作小組成員信息安全工作小組成員信息安全工作小組成員信息安全崗數(shù)據(jù)庫管理崗系統(tǒng)管理崗網(wǎng)絡(luò)管理崗文檔管理崗上海X X大學(xué)附屬X X醫(yī)院信息安全部門崗位職責(zé)說明1總則1.1目的為規(guī)范信息安全管理系統(tǒng)中各安全崗位的人員職責(zé)，特制訂本規(guī)范。1.2 范圍本規(guī)范適用于 X X 醫(yī)院信息中心各信息安全管理崗位和人員。1.3 職責(zé)信息中心主任負(fù)責(zé)分配、 協(xié)調(diào)各信息安全管理崗位的人員角色和日常工作， 各崗位 人員負(fù)責(zé)本崗位的日常信息安全管理。2 各安全管理崗位職責(zé)說明信息安全各管理崗由信息安全工作小組授權(quán)或指定，是X X 醫(yī)院

7、信息安全管理體系的具體執(zhí)行者，設(shè)有信息安全崗、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗、數(shù)據(jù)庫管理崗、文檔管 理崗。各崗位的人員組成參見 信息安全組織相關(guān)人員信息表 ，各崗位職責(zé)描述如下：2.1 信息安全崗信息安全崗是信息安全策略和相關(guān)事務(wù)的具體推動、執(zhí)行和實施者，是信息安全各 項任務(wù)的具體落實者。信息安全崗主要職責(zé)包括：(1) 網(wǎng)絡(luò)安全設(shè)備的日常運維管理，防護(hù)策略調(diào)整，訪問策略設(shè)置和調(diào)整。(2) 在信息安全工作小組確定的實施范圍內(nèi)， 具體推廣并落實各項策略要求和控制 措施。(3) 監(jiān)督推動安全策略和控制措施的落實， 負(fù)責(zé)信息安全意識提升和協(xié)助信息安全 事件的應(yīng)急處理。(4) 負(fù)責(zé)信息安全的日常工作，提供信息安

8、全支持服務(wù)，配合完成信息安全相關(guān)項 目，并引導(dǎo)、推廣和監(jiān)督執(zhí)行安全策略。(5) 為信息安全工作小組制定安全指標(biāo)和采集數(shù)據(jù)提供支持， 進(jìn)行內(nèi)審資料和數(shù)據(jù) 的提取。(6) 協(xié)助信息安全工作小組制定業(yè)務(wù)連續(xù)性計劃，提供各種參數(shù)依據(jù)。2.2 數(shù)據(jù)庫管理崗數(shù)據(jù)庫管理崗主要負(fù)責(zé)醫(yī)院各信息系統(tǒng)配套的數(shù)據(jù)庫管理工作，主要職責(zé)包括：(1) 全面負(fù)責(zé)數(shù)據(jù)庫系統(tǒng)的管理工作，保證其安全、可靠、正常運行。(2) 負(fù)責(zé)信息中心數(shù)據(jù)庫服務(wù)器的管理工作，做好服務(wù)器的運行記錄，當(dāng) 服務(wù)器出現(xiàn)故障時，迅速會同相關(guān)人員一同解決。(3) 負(fù)責(zé)數(shù)據(jù)庫系統(tǒng)的建設(shè)，做好服務(wù)器的維護(hù)、數(shù)據(jù)庫軟件的安裝、數(shù) 據(jù)庫的建立工作，定期對數(shù)據(jù)進(jìn)行備份

9、。(4) 負(fù)責(zé)數(shù)據(jù)庫服務(wù)器的安全防范管理工作。(5) 協(xié)助軟件開發(fā)人員完成數(shù)據(jù)庫軟件開發(fā)所需的各類數(shù)據(jù)庫的信息。2.3 系統(tǒng)管理崗系統(tǒng)管理崗主要負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的日常運維和管理，主要職責(zé)如下：(1) 提供業(yè)務(wù)系統(tǒng)運行保障，維持業(yè)務(wù)系統(tǒng)穩(wěn)定、正常運轉(zhuǎn)，及時解決業(yè)務(wù)系統(tǒng)運 行故障，確保用戶能安全高效的使用業(yè)務(wù)系統(tǒng)；(2) 做好服務(wù)器配置、安裝和改動記錄，定期查看系統(tǒng)運行日志，并將系統(tǒng)故障、 可疑日志及時上報安全管理員。(3) 定期對業(yè)務(wù)系統(tǒng)服務(wù)器硬盤進(jìn)行整理，清除緩存或垃圾文件。(4) 嚴(yán)格按照信息安全賬號管理規(guī)范，管理業(yè)務(wù)系統(tǒng)用戶賬號，劃分賬號角色和權(quán) 限，及時刪除廢棄用戶，監(jiān)督用戶設(shè)置賬號強口令

10、。(5) 按照病毒防護(hù)管理程序，負(fù)責(zé)對業(yè)務(wù)系統(tǒng)服務(wù)器安裝防病毒軟件，并及時升級 病毒定義文件。定期對服務(wù)器進(jìn)行全面的病毒檢測查殺。對檢測出的病毒要做 病毒記錄，并及時上報安全管理員。(6) 采用多種形式，進(jìn)行系統(tǒng)重要數(shù)據(jù)的定期自動備份或手工備份，保證系統(tǒng)數(shù)據(jù) 安全。(7) 與業(yè)務(wù)經(jīng)辦人員接口，按照相關(guān)安全管理規(guī)范，負(fù)責(zé)系統(tǒng)變更需求的響應(yīng)和處 理。2.4 網(wǎng)絡(luò)管理崗網(wǎng)絡(luò)管理崗主要負(fù)責(zé)網(wǎng)絡(luò)平臺的日常運維和管理，主要職責(zé)如下：(1) 負(fù)責(zé) X X 醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)的安裝、 配置、 管理和維護(hù)工作， 為內(nèi)部 網(wǎng)的安全運行提供技術(shù)保障。(2) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的配置調(diào)整、更改，人員網(wǎng)絡(luò)接入處理。(3) 依據(jù)VPN安全管理規(guī)定，負(fù)責(zé) VPN鏈路的運行維護(hù)，VPN賬號的 審核、發(fā)放、注銷。(4) 定期查看網(wǎng)絡(luò)設(shè)備運行日志， 并將可疑日志及時上報安全管理員2.5 文檔管理崗文檔管理崗主要負(fù)責(zé)信息安全管理體系制度文件的評審記錄、授權(quán)修訂、過程文檔 的歸類整理，過程記錄。具體職責(zé)如下：(1) 貫徹執(zhí)行信息安全管理體系方針、政策，接受信息中心監(jiān)督及檢查，