安全管理體系總體設(shè)計(jì)方案

平安管理體系總體設(shè)計(jì)方案平安組織結(jié)構(gòu)黑龍江省農(nóng)墾總局總醫(yī)院平安管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息平安領(lǐng)導(dǎo)小組、具體信息平安職能部門負(fù)責(zé)日常工作的組織模式，組織結(jié)構(gòu)圖如下所示：圖8SEQ圖\*ARABIC\s11平安組織結(jié)構(gòu)圖信息平安領(lǐng)導(dǎo)小組職責(zé)信息平安領(lǐng)導(dǎo)小組是由黑龍江省農(nóng)墾總局總醫(yī)院主管領(lǐng)導(dǎo)牽頭，各部門的負(fù)責(zé)人為組成成員的組織機(jī)構(gòu)，主要負(fù)責(zé)批準(zhǔn)黑龍江省農(nóng)墾總局總醫(yī)院平安策略、分配平安責(zé)任并協(xié)調(diào)平安策略能夠?qū)嵤_保平安管理工作有一個(gè)明確的方向，從管理和決策層角度對(duì)信息平安管理提供支持。信息平安領(lǐng)導(dǎo)小組的主要責(zé)任如下：確定網(wǎng)絡(luò)與信息平安工作的總體方向、目標(biāo)、總體原那么和平安工作方法；審查并批準(zhǔn)政府的信息平安策略和平安責(zé)任；分配和指導(dǎo)平安管理總體職責(zé)與工作；在網(wǎng)絡(luò)與信息面臨重大平安風(fēng)險(xiǎn)時(shí)，監(jiān)督控制可能發(fā)生的重大變化；對(duì)平安管理的重大更改事項(xiàng)〔例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息系統(tǒng)更改等〕進(jìn)行決策；指揮、協(xié)調(diào)、催促并審查重大平安事件的處理，并協(xié)調(diào)改良措施；審核網(wǎng)絡(luò)平安建設(shè)和管理的重要活動(dòng)，如重要平安工程建設(shè)、重要的平安管理措施出臺(tái)等；定期組織相關(guān)部門和相關(guān)人員對(duì)平安管理制度體系的合理性和適用性進(jìn)行審定。信息平安工作組職責(zé)信息平安工作組是信息平安工作的日常執(zhí)行機(jī)構(gòu)，內(nèi)設(shè)專職的平安管理組織和崗位，負(fù)責(zé)日常具體平安工作的落實(shí)、組織和協(xié)調(diào)。信息平安工作組的主要職責(zé)如下：貫徹執(zhí)行和解釋信息平安領(lǐng)導(dǎo)小組的決議；貫徹執(zhí)行和解釋國家主管機(jī)構(gòu)下發(fā)的信息平安策略；負(fù)責(zé)組織和協(xié)調(diào)各類信息平安規(guī)劃、方案、實(shí)施、測試和驗(yàn)收評(píng)審會(huì)議；負(fù)責(zé)落實(shí)和執(zhí)行各類信息平安具體工作，并對(duì)具體落實(shí)情況進(jìn)行總結(jié)和匯報(bào)；負(fù)責(zé)內(nèi)外部組織和機(jī)構(gòu)的溝通、協(xié)調(diào)和合作工作；負(fù)責(zé)制定所有信息平安相關(guān)的管理制度和標(biāo)準(zhǔn)；負(fù)責(zé)針對(duì)信息平安相關(guān)的管理制度和標(biāo)準(zhǔn)具體落實(shí)工作進(jìn)行監(jiān)督、檢查、考核、指導(dǎo)及審批，例如現(xiàn)有平安技術(shù)措施的有效性、平安配置與平安策略的一致性、平安管理制度的執(zhí)行情況等。以上組織結(jié)構(gòu)和職責(zé)通過《信息平安組織職責(zé)體系》加以說明。信息平安崗位為了有效落實(shí)信息平安各項(xiàng)工作，黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)設(shè)立以下專職的平安崗位，負(fù)責(zé)平安工作的落實(shí)和執(zhí)行：信息平安工作組主管負(fù)責(zé)網(wǎng)絡(luò)與信息平安的日常整體協(xié)調(diào)、管理工作；負(fù)責(zé)組織人員制定信息平安管理制度，并對(duì)管理制度進(jìn)行推廣、培訓(xùn)和指導(dǎo)；負(fù)責(zé)重大平安事件的具體協(xié)調(diào)和溝通工作。平安管理員崗位負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)與信息平安工作的日常協(xié)調(diào)、管理工作；負(fù)責(zé)日常的平安監(jiān)控管理，并對(duì)上報(bào)和發(fā)現(xiàn)的各類平安事件進(jìn)行響應(yīng)；負(fù)責(zé)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用平安管理的協(xié)調(diào)和技術(shù)指導(dǎo)；負(fù)責(zé)平安管理平臺(tái)平安策略制定，訪問控制策略審核；負(fù)責(zé)組織平安管理制度的推廣和培訓(xùn)工作；負(fù)責(zé)定期進(jìn)行平安檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。平安審計(jì)員崗位負(fù)責(zé)平安管理制度落實(shí)情況的檢查、監(jiān)督和指導(dǎo)；負(fù)責(zé)平安策略執(zhí)行情況的審核。系統(tǒng)管理員負(fù)責(zé)系統(tǒng)平安穩(wěn)定運(yùn)行的日常管理工作；負(fù)責(zé)保持系統(tǒng)的防病毒系統(tǒng)、補(bǔ)丁等保持最新，定期對(duì)系統(tǒng)進(jìn)行平安加固，保持系統(tǒng)漏洞最小化。網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)設(shè)備平安穩(wěn)定運(yùn)行的日常管理工作；負(fù)責(zé)保持網(wǎng)絡(luò)設(shè)備的漏洞最小化，定期對(duì)系統(tǒng)進(jìn)行平安加固；負(fù)責(zé)保持網(wǎng)絡(luò)路由和交換策略與業(yè)務(wù)需求保護(hù)一致。黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)根據(jù)日常的運(yùn)行維護(hù)和管理工作，設(shè)置物理環(huán)境管理、數(shù)據(jù)庫管理、應(yīng)用管理以及資產(chǎn)管理等崗位，這些崗位也應(yīng)當(dāng)包括平安職責(zé)，這些平安職責(zé)的具體內(nèi)容通過《信息平安管理崗位說明書》落實(shí)。專家參謀與外部協(xié)作黑龍江省農(nóng)墾總局總醫(yī)院應(yīng)聘請(qǐng)專家和外部參謀成員，這些成員需要對(duì)信息平安或相關(guān)領(lǐng)域有豐富地知識(shí)和經(jīng)驗(yàn)，如平安技術(shù)、電子政務(wù)、等級(jí)保護(hù)或質(zhì)量管理等。專家和外部參謀負(fù)責(zé)對(duì)信息平安重要問題的決策提供咨詢和建議。同時(shí)應(yīng)加強(qiáng)與供給商、業(yè)界專家、專業(yè)的平安公司等平安組織的合作和溝通。平安管理制度平安管理制度體系黑龍江省農(nóng)墾總局總醫(yī)院平安管理制度應(yīng)建立信息平安方針、平安策略、平安管理制度、平安技術(shù)標(biāo)準(zhǔn)以及流程的一套信息平安管理制度體系。圖8SEQ圖\*ARABIC\s12平安管理策略體系圖平安方針和主策略最高方針，綱領(lǐng)性的平安策略主文檔，陳述本策略的目的、適用范圍、信息平安的管理意圖、支持目標(biāo)以及指導(dǎo)原那么，信息平安各個(gè)方面所應(yīng)遵守的原那么方法和指導(dǎo)性策略。平安管理制度和標(biāo)準(zhǔn)各類管理規(guī)定、管理方法和暫行規(guī)定。從平安策略主文檔中規(guī)定的平安各個(gè)方面所應(yīng)遵守的原那么方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理方法和實(shí)施方法，是必須具有可操作性，而且必須得到有效推行和實(shí)施的。技術(shù)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)，包括各個(gè)平安等級(jí)區(qū)域網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的平安配置和管理的技術(shù)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)。技術(shù)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)將作為各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用程序的安裝、配置、采購、工程評(píng)審、日常平安管理和維護(hù)時(shí)必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。本工程將為黑龍江省農(nóng)墾總局總醫(yī)院編制如下平安管理制度和標(biāo)準(zhǔn)：平安方針平安策略平安管理組織體系職責(zé)內(nèi)部人員平安管理規(guī)定外部人員平安管理規(guī)定等級(jí)保護(hù)平安管理標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估管理標(biāo)準(zhǔn)軟件開發(fā)管理規(guī)定IT外包管理規(guī)定工程平安管理規(guī)定產(chǎn)品采購平安管理規(guī)定效勞商平安管理規(guī)定機(jī)房管理制度辦公環(huán)境平安管理規(guī)定資產(chǎn)平安管理制度設(shè)備平安管理規(guī)定介質(zhì)平安管理規(guī)定運(yùn)行維護(hù)平安管理標(biāo)準(zhǔn)網(wǎng)絡(luò)平安管理規(guī)定系統(tǒng)平安管理規(guī)定防病毒平安管理規(guī)定密碼使用管理制度變更管理制度備份與恢復(fù)管理規(guī)定平安事件管理制度應(yīng)急預(yù)案平安流程和操作規(guī)程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程、步驟和相關(guān)考前須知。作為具體工作時(shí)的具體依照，此局部必須具有可操作性，而且必須得到有效推行和實(shí)施的。平安流程和操作規(guī)程平安流程和操作規(guī)程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程和步驟，和相關(guān)考前須知。作為具體工作時(shí)的具體依照，此局部必須具有可操作性，而且必須得到有效推行和實(shí)施的。平安記錄單平安記錄單，落實(shí)平安流程和操作規(guī)程的具體表單，根據(jù)不同等級(jí)信息系統(tǒng)的要求可以通過不同方式的平安記錄單落實(shí)并在日常工作中具體執(zhí)行。主要包括日常操作的記錄、工作記錄、流轉(zhuǎn)記錄以及審批記錄等。平安管理制度體系文件管理制定和發(fā)布管理平安策略系列文檔制定后，必須有效發(fā)布和執(zhí)行。發(fā)布和執(zhí)行過程中除了要得到管理層的大力支持和推動(dòng)外，還必須要有適宜的、可行的發(fā)布和推動(dòng)手段，同時(shí)在發(fā)布和執(zhí)行前對(duì)每個(gè)人員都要做與其相關(guān)局部的充分培訓(xùn)，保證每個(gè)人員都知道和了解與其相關(guān)局部的內(nèi)容。平安策略在制定和發(fā)布過程中，應(yīng)當(dāng)實(shí)施以下平安管理：平安管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；平安管理職能部門應(yīng)組織相關(guān)人員對(duì)制定的平安管理制度進(jìn)行論證和審定；平安管理制度應(yīng)通過正式、有效的方式發(fā)布；平安管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。必須要注意到這是一個(gè)長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到許多部門和絕大多數(shù)員工，可能需要改變工作方式和流程，所以推行起來的阻力會(huì)相當(dāng)大；同時(shí)平安策略本身存在的缺陷，包括不切實(shí)可行，太過復(fù)雜和繁瑣，局部規(guī)定有缺欠等，都會(huì)導(dǎo)致整體策略難以落實(shí)。評(píng)審和修訂管理信息平安領(lǐng)導(dǎo)小組應(yīng)組織相關(guān)人員對(duì)于信息平安策略體系文件進(jìn)行評(píng)審，并確定其有效執(zhí)行期限。同時(shí)應(yīng)指定信息平安職能部門每年審視平安策略系列文檔，具體檢查內(nèi)容包括：信息平安策略中的主要更新；信息平安標(biāo)準(zhǔn)中的主要更新。信息平安標(biāo)準(zhǔn)不需要全部更新，可以僅對(duì)因變更而受影響的局部進(jìn)行更新；如果必要，可以使用年度審視／更新流程對(duì)信息平安標(biāo)準(zhǔn)做一次全面更新。平安管理組織機(jī)構(gòu)和人員的平安職責(zé)的主要更新；操作流程的主要更新；各類管理規(guī)定、管理方法和暫行規(guī)定的主要更新；用戶協(xié)議的主要更新；等等。通過《信息平安策略管理規(guī)定》落實(shí)以上相關(guān)內(nèi)容。人員平安管理黑龍江省農(nóng)墾總局總醫(yī)院在人員平安管理方面，可以通過對(duì)于人員錄用、調(diào)動(dòng)、離崗、考核、培訓(xùn)教育和第三方人員平安幾個(gè)方面，落實(shí)信息平安等級(jí)保護(hù)三級(jí)根本要求的內(nèi)容，其中內(nèi)部人員的管理歸納形成人力資源平安管理的具體平安要求，外部人員的管理歸納形成第三方人員平安管理的具體平安要求。具體如下列圖所示：圖8SEQ圖\*ARABIC\s13人員平安管理框架圖內(nèi)部人員平安管理人力資源平安管理主要是指針對(duì)內(nèi)部人員的平安管理，從人員的錄用、調(diào)用、離崗和考核等各個(gè)方面提出針對(duì)信息平安的相關(guān)管理要求，具體管理要求包括：錄用前人員在錄用過程中要簽署保密協(xié)議；應(yīng)當(dāng)進(jìn)行嚴(yán)格的平安背景審核和權(quán)限審查；關(guān)鍵崗位人員應(yīng)當(dāng)進(jìn)行特殊的平安審核、權(quán)限管理和保密管理，簽署平安協(xié)議；工作期間所有人員根據(jù)其崗位職責(zé)的不同，應(yīng)定期進(jìn)行平安培訓(xùn)和教育；所有人員應(yīng)根據(jù)黑龍江省農(nóng)墾總局總醫(yī)院的平安管理制度標(biāo)準(zhǔn)和約束平安操作行為；定期對(duì)各個(gè)崗位的人員進(jìn)行不同側(cè)面的平安認(rèn)知和平安技能考核，作為人員是否適合當(dāng)前崗位的參考；對(duì)平安責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背平安策略和規(guī)定的人員進(jìn)行懲戒。調(diào)離崗應(yīng)嚴(yán)格標(biāo)準(zhǔn)人員離崗過程，及時(shí)終止離崗員工的所有訪問權(quán)限，應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；關(guān)鍵崗位人員應(yīng)在調(diào)離崗期間簽署保密承諾書。外部人員平安管理外部人員通常是指軟件開發(fā)商，硬件供給商，系統(tǒng)集成商，設(shè)備維護(hù)商，和效勞提供商，實(shí)習(xí)生，臨時(shí)工等非內(nèi)部人員。外部人員在訪問時(shí)可以分成物理訪問和信息訪問，具體如下：物理訪問，如對(duì)辦公室、機(jī)房的物理訪問；信息訪問，如對(duì)信息系統(tǒng)、主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的訪問。對(duì)于實(shí)際訪問的外部人員，按照訪問的時(shí)間長短和訪問的性質(zhì)，可以分為臨時(shí)來訪的外部人員，和非臨時(shí)來訪的外部人員兩種，具體如下：臨時(shí)來訪的外部人員，指因業(yè)務(wù)洽談、參觀、交流、提供短期和不頻繁的技術(shù)支持效勞而臨時(shí)來訪的外部組織或個(gè)人。非臨時(shí)來訪的外部人員，指因從事合作開發(fā)、參與工程工程、提供技術(shù)支持、售后效勞、效勞外包或參謀效勞等，辦公和工作的外部組織或個(gè)人。對(duì)于這兩種短期和長期的實(shí)際物理和信息訪問，應(yīng)規(guī)定不同的平安管理要求，負(fù)責(zé)接待的部門和接待人對(duì)外部人員來訪的平安負(fù)責(zé)，并對(duì)訪問機(jī)房等敏感區(qū)域持謹(jǐn)慎態(tài)度。具體管理要求應(yīng)包括：遵守黑龍江省農(nóng)墾總局總醫(yī)院的各項(xiàng)信息平安標(biāo)準(zhǔn)和管理規(guī)定；必須簽署保密協(xié)議，必須簽署平安承諾協(xié)議，或在合同中規(guī)定相關(guān)的內(nèi)容；對(duì)其維護(hù)目標(biāo)的平安配置要求，