網(wǎng)絡(luò)信息安全管理程序

文件編號： 版本號：V1.0受控:生效日期： 分發(fā)號：XXXXXXX有限公司網(wǎng)絡(luò)信息安全管理程序編制： 日期：審核： 日期：批準(zhǔn)： 日期：

歷史修訂記錄更改單號版本修訂原因/內(nèi)容編寫人生效日期V1.0新發(fā)布印制份數(shù)分發(fā)部門/分發(fā)號口企業(yè)負(fù)責(zé)人/01口管理者代表/02口設(shè)計部/03口生產(chǎn)部/04口采購部/05口物流部/06口人力資源部/07口質(zhì)量管理部/08口客服部/09口財務(wù)部/10□研發(fā)部/111目的為了防止信息的泄密，避免嚴(yán)重災(zāi)難的發(fā)生，特制定此程序。2適用范圍包括但不限于計算機網(wǎng)絡(luò)、個人計算機、互聯(lián)網(wǎng)、郵件、電子文件和其他電子服務(wù)等相關(guān)設(shè)備、設(shè)施或資源。3術(shù)語和定義ePHI:電子受保護健康信息。IIHI:個人可識別健康信息。4職責(zé)與權(quán)限4.1信息安全負(fù)責(zé)人負(fù)責(zé)批準(zhǔn)《系統(tǒng)/軟件賬號申請單》；負(fù)責(zé)安全事件的確認(rèn)和處理。4.2客服部i.負(fù)責(zé)醫(yī)數(shù)聚系統(tǒng)的管理。4.3人力資源部負(fù)責(zé)硬件和移動設(shè)備的管理；負(fù)責(zé)釘釘、釘郵和微信的管理。4.4質(zhì)量管理部i.負(fù)責(zé)監(jiān)督網(wǎng)絡(luò)信息安全管理的執(zhí)行。4.5各部門i.負(fù)責(zé)按照網(wǎng)絡(luò)信息安全管理要求執(zhí)行。5程序5.1個人ePHI不論存儲媒介，包括但不限于：姓名、年齡、性別、病例、醫(yī)療數(shù)據(jù)；均需要采取措施，防止泄露。5.1.1員工獲得IIHI的程度應(yīng)基于員工的工作性質(zhì)及其相關(guān)的職責(zé)，員工可以訪問他們完成工作所需的所有IIHI，但不能獲得更多的訪問權(quán)限。5.1.2任何員工都不可獲得比其清除水平更高的IIHI水平。5.2硬件和移動設(shè)備的管理控制5.2.1硬件和移動設(shè)備包括但不限于：計算機、筆記本電腦、移動硬盤、U盤、光碟。5.2.2硬件和移動設(shè)備的領(lǐng)用5.2.2.1員工辦公用到的硬件和移動設(shè)備采取實名登記制，由人力資源部通過《硬件和移動設(shè)備領(lǐng)用登記表》做好登錄管理，并每年梳理一次，以保證信息的正確性。5.2.2.2當(dāng)員工領(lǐng)用新的硬件或移動設(shè)備后，應(yīng)第一時間設(shè)置使用密碼，密碼設(shè)置不可過于簡單，避免使用姓名、生日、簡單數(shù)字等，使用密碼只可自己知悉，不可告知其他同事，更不可記錄下存放在顯眼易獲取位置，當(dāng)員工察覺密碼存在泄漏、丟失、被獲取的可能時，一小時內(nèi)上報信息安全責(zé)任人知悉，由信息安全責(zé)任人按照《安全事件管理程序》執(zhí)行。為了防止密碼被獲知，人力資源部需監(jiān)督員工每半年更換一次使用密碼。5.2.2.3員工離崗超過五分鐘需對工位的硬件和移動設(shè)備進行保密操作，如拔出移動硬盤存放在帶鎖抽屜，啟動計算機的屏保功能等。保密操作如可以由設(shè)備自動執(zhí)行，人力資源部應(yīng)監(jiān)督員工提前設(shè)置好。5.2.2.4因員工離職、調(diào)崗等原因需要退回或變更硬件或移動設(shè)備時，退回或變更的硬件和移動設(shè)備，在使用前，由人力資源部對其進行使用痕跡的清除工作，并填寫記錄《硬件和移動設(shè)備使用痕跡清除記錄表》，質(zhì)量管理部監(jiān)督執(zhí)行情況。5.2.3硬件和移動設(shè)備損壞需要維修時，以防信息的泄露不可將設(shè)備帶出公司維修，需請專業(yè)人士上門維修，且全程需要有人員陪同在監(jiān)控覆蓋區(qū)域進行，對維修單位或個人按照《業(yè)務(wù)伙伴的管理程序》執(zhí)行。5.3系統(tǒng)/軟件管理控制5.3.1我司現(xiàn)有涉及PHI傳輸?shù)南到y(tǒng)/軟件：醫(yī)數(shù)聚系統(tǒng)、釘釘、釘郵、微信。5.3.2醫(yī)數(shù)聚系統(tǒng)由客服部負(fù)責(zé)管理，釘釘、釘郵、微信由人力資源部負(fù)責(zé)管理。5.3.3我司系統(tǒng)/軟件實行一人一賬號的原則，個人賬號不得相互借用，員工因工作需要需要登錄系統(tǒng)/軟件時，需填寫《系統(tǒng)/軟件賬號申請單》，交部門負(fù)責(zé)人審核，信息安全責(zé)任人批準(zhǔn)后，交給管理部門開通賬號及相關(guān)權(quán)限，管理部門需建立系統(tǒng)/軟件《用戶管理一覽表》管理系統(tǒng)/軟件的使用人員及其權(quán)限相關(guān)信息，當(dāng)員工離職、調(diào)崗時，管理部門需在收到信息的第一時間對該賬戶狀態(tài)或權(quán)限做變更處理。管理部門應(yīng)不定期的對《用戶管理一覽表》進行信息確認(rèn)，以確保其準(zhǔn)確無誤。5.3.4員工獲得系統(tǒng)/軟件的賬號及初始密碼后，需更改初始密碼，密碼的管理參見5.2.2.2。5.3.5為了確保信息傳輸在監(jiān)控下進行，相關(guān)部門和人員對外聯(lián)絡(luò)應(yīng)使用公司提供的系統(tǒng)或軟件賬號進行。5.3.6與ePHI相關(guān)的信息傳輸，盡可能在醫(yī)數(shù)聚系統(tǒng)中完成，如必須使用釘釘、釘郵、微信等，應(yīng)遵循文件的加密規(guī)定。5.3.7醫(yī)數(shù)聚系統(tǒng)操作控制5.3.7.1醫(yī)數(shù)聚系統(tǒng)中對每個訂單的處理都會形成“訂單操作記錄”，客服部需每季度隨機抽取十個當(dāng)季度訂單的操作記錄，每年隨機抽取二十個當(dāng)年訂單的操作記錄，確認(rèn)操作記錄中是否有異常操作，如：未經(jīng)授權(quán)的人進行了操作，同一個賬號三次以上進行相同的操作，同一賬號兩次以上進行了與工作無關(guān)的操作等，需記錄在《醫(yī)數(shù)聚系統(tǒng)操作記錄確認(rèn)表》中，報信息安全責(zé)任人審批，如出現(xiàn)涉及信息泄露的異常，按照《安全事件管理程序》執(zhí)行。5.3.7.2醫(yī)數(shù)聚系統(tǒng)登錄，員工不可將系統(tǒng)設(shè)置成自動登錄，超過三十分鐘無操作或離崗需退出登錄。5.4惡意軟件的管理5.4.1計算機在使用之前，人力資源部應(yīng)確認(rèn)網(wǎng)絡(luò)管理員，已進行了防惡意軟件攻擊相關(guān)處理，以確保所有設(shè)備和IT系統(tǒng)都具有惡意軟件防護功能。5.4.2如果在任何設(shè)備或IT系統(tǒng)上檢測到惡意軟件，發(fā)現(xiàn)人員應(yīng)立即告知信息安全責(zé)任人和網(wǎng)絡(luò)管理員，按照《安全事件管理程序》執(zhí)行。5.4.3員工只可在公司配備的設(shè)備上進行辦公，不可通過公用網(wǎng)絡(luò)/設(shè)備、自己的設(shè)備或任何其他形式登錄運行系統(tǒng)或軟件，更不可允許外部機構(gòu)、人員遠(yuǎn)程操作辦公設(shè)備。5.4.4當(dāng)員工必須在個人設(shè)備遠(yuǎn)程工作，員工需證明已在設(shè)備上安裝和運行惡意軟件防護，且工作完成后需清除相關(guān)的登錄痕跡，得到信息安全責(zé)任人的允許后才可進行相關(guān)工作。為了維護ePHI的安全，此種情況應(yīng)避免發(fā)生。5.4.5員工在使用設(shè)備時，不可訪問不明網(wǎng)站的內(nèi)容，不可隨意從網(wǎng)上下載與工作無關(guān)的軟件，以免將病毒軟件帶到我司網(wǎng)絡(luò)系統(tǒng)中，如需下載軟件，需在我司認(rèn)可的系統(tǒng)上或要求網(wǎng)絡(luò)管理員幫忙下載。5.4.6對不明來歷的郵件不要查看或嘗試打開，直接刪除，以避免設(shè)備感染病毒或木馬。5.4.7需要將外來設(shè)備接入到我司內(nèi)網(wǎng)時，需進行充分的安全評估和殺毒掃描，只允許經(jīng)過查殺的設(shè)備運行。5.5數(shù)據(jù)備份和存儲管理5.5.1數(shù)據(jù)備份由網(wǎng)絡(luò)管理員負(fù)責(zé)，通過《數(shù)據(jù)備份信息表》每周做增量備份，每月做完整備份，半年一次對數(shù)據(jù)進行恢復(fù)試驗，以確保備份數(shù)據(jù)的安全可用、可靠。根據(jù)數(shù)據(jù)增長量，應(yīng)定期對過期數(shù)據(jù)進行壓縮或遷移、清理處理。5.5.2數(shù)據(jù)庫需要做修改前，應(yīng)及時備份數(shù)據(jù)，確保丟失或誤操作時，可以及時修復(fù)或恢復(fù)。5.5.3為了防止數(shù)據(jù)丟失，醫(yī)數(shù)聚系統(tǒng)的備份數(shù)據(jù)需異地存儲，通過專柜由專人上鎖保管。5.5.4網(wǎng)絡(luò)管理員應(yīng)定期對服務(wù)器進行檢查，主要查看文件是否有損壞，CPU和內(nèi)存資源占用情況，客戶端登錄和訪問數(shù)據(jù)庫是否正常等，檢查需記錄在《服務(wù)器文件編XXXXXXXX有限公司文件編網(wǎng)絡(luò)信息安全管理程序版本:網(wǎng)絡(luò)信息安全管理程序版本:V1.0生效日期：檢查記錄表》中。5.5.5網(wǎng)絡(luò)管理員應(yīng)嚴(yán)格遵守保密制度，絕對保密數(shù)據(jù)管理員口令，當(dāng)其他人對服務(wù)器進行操作時，要親自在場并做好詳細(xì)記錄，如有第二者知道口令時要及時更換口令。5.6文件加密和解密的管理5.6.1我司電腦均采用了加密管理，文檔資料需要外傳，需提交解密申請，經(jīng)部門負(fù)責(zé)人批準(zhǔn)解密后，再行外傳。5.6.2只有各部門負(fù)責(zé)人有對加密文件解密的權(quán)限，當(dāng)發(fā)生人事變動時，人力資源部需確認(rèn)此項權(quán)限也隨之取消或增加。5.6.3各部門負(fù)責(zé)人需要保管好自己解密權(quán)限的賬號，不可告知其他人，賬號只有在使用時登錄，使用后確定退出，以防解密權(quán)限被亂用，當(dāng)發(fā)覺解密賬號被盜用，需通知人力資源部和網(wǎng)絡(luò)管理員按照《安全事件管理程序》執(zhí)行。5.7數(shù)據(jù)和應(yīng)用程序關(guān)鍵性分析5.7.1由質(zhì)量管理部組織各責(zé)任部門對現(xiàn)有存儲數(shù)據(jù)和應(yīng)用程序的關(guān)鍵性進行評估，確認(rèn)各數(shù)據(jù)和應(yīng)用程序的等級，以及確定每項數(shù)據(jù)和每個應(yīng)用程序的重要程度,以便確定數(shù)據(jù)備份，災(zāi)難恢復(fù)的優(yōu)先級，和/或緊急行動計劃，評估需形成記錄《數(shù)據(jù)和應(yīng)用程序關(guān)鍵性一覽表》；5.8網(wǎng)絡(luò)和信息安全事故按照《安全事件管理程序》執(zhí)行。5.9記錄的保存5.9.1以上過程中形成的記錄，由各使用部門自行保存，或每年匯總后交質(zhì)量管理部保存，記錄長期保存。6相關(guān)文件****安全事件管理程序**