某醫(yī)院信息系統(tǒng)等級保護安全建設(shè)整改方案v10

XX醫(yī)院信息系統(tǒng)

等級保護平安建設(shè)整改方案

2024年3月

目錄

1方案概述8

1.1背景8

1.2方案設(shè)計目標9

L3方案設(shè)計原那么9

1.4方案設(shè)計依據(jù)10

2現(xiàn)狀分析11

2.1網(wǎng)絡架構(gòu)描述11

2.2信息系統(tǒng)定級情況12

2.3平安現(xiàn)狀分析錯誤!未定義書簽。

平安管理現(xiàn)狀錯誤!未定義書簽。

平安技術(shù)現(xiàn)狀錯誤!未定義書簽。

3平安需求分析14

3.1國家政策需求分析14

3.2平安指標與需求分析14

4信息平安體系框架設(shè)計16

5管理體系整改方案17

5.1平安制度制定解決方案17

策略結(jié)構(gòu)描述17

平安制度制定19

滿足指標20

5.2平安制度管理解決方案20

平安制度發(fā)布20

平安制度修改與廢止21

平安制度監(jiān)督和檢查21

平安制度管理流程22

滿足指標24

5.3平安教育與培訓解決方案25

信息平安培訓的對象25

信息平安培訓的內(nèi)容26

信息平安培訓的管理27

滿足指標27

5.4人員平安管理解決方案28

普通員工平安管理28

平安崗位人員管理29

滿足指標33

5.5第三方人員平安管理解決方案34

第三方人員短期訪問平安管理34

第二方人員長期訪問平安管理45

第三方人員訪問申請審批流程信息表37

第三方人員訪問申請審批流程圖37

滿足指標37

5.6系統(tǒng)建設(shè)平安管理解決方案39

系統(tǒng)平安建設(shè)審批流程39

工程立項平安管理39

信息平安工程建設(shè)管理41

滿足指標44

5.7等級保護實施管理解決方案46

信息系統(tǒng)描述46

等級指標選擇49

平安評估與自測評49

方案與規(guī)劃52

建設(shè)整改52

運維53

測評準備53

外部測評54

滿足指標55

5.8軟件開發(fā)平安管理解決方案56

軟件平安需求管理56

軟件設(shè)計平安管理57

軟件開發(fā)過程平安管理60

軟件維護平安管理63

軟件管理的平安管理64

軟件系統(tǒng)平安審計管理64

滿足指標65

5.9平安事件處置與應急解決方案65

平安事件預警與分級65

平安事件處理69

平安事件通報73

應急響應流程74

應急預案的制定力

滿足指標83

5.10日常平安運維管理解決方案84

運維管理84

介質(zhì)管理85

惡意代碼管理86

變更管理管理87

備份與恢復管理88

設(shè)備管理管理91

網(wǎng)絡平安管理94

系統(tǒng)平安管理96

滿足指標99

5.11平安組織機構(gòu)設(shè)置解決方案103

平安組織總體架構(gòu)103

滿足指標106

5.12平安溝通與合作解決方案107

溝通與合作的分類107

風險管理不同階段中的溝通與合作108

滿足指標109

5.13定期風險評估解決方案109

評估方式110

評估內(nèi)容110

評估流程111

滿足指標112

6技術(shù)體系整改方案112

6.1總體部署說明112

6.2邊界訪問控制解決方案114

需求分析114

方案設(shè)計115

方案效果117

滿足指標118

6.3邊界入侵防御解決方案119

需求分析119

方案設(shè)計120

方案效果122

滿足指標123

6.4網(wǎng)關(guān)防病毒解決方案124

需求分析124

方案設(shè)計124

方案效果125

滿足指標126

6.5網(wǎng)絡平安檢測解決方案126

需求分析126

方案設(shè)計128

方案效果128

滿足指標130

6.6網(wǎng)絡平安審計解決方案131

需求分析131

方案設(shè)計132

方案效果137

滿足指稱140

6.7WAF解決方案141

需求分析141

方案設(shè)計142

方案效果143

滿足指標144

6.8惡意代碼防護解決方案144

需求分析144

方案設(shè)計145

方案效果147

滿足指標149

6.9終端平安管理解決方案150

需求分析150

方案設(shè)計151

方案效果159

滿足指標162

6.10漏洞掃描解決方案162

需求分析162

方案設(shè)計164

方案效果167

滿足指標170

6.11應用監(jiān)控解決方案170

需求分析。0

方案設(shè)計171

方案效果172

滿足指標174

6.12數(shù)據(jù)備份與恢復解決方案174

需求分析174

方案設(shè)計175

滿足指標181

6.13PKI/CA身份認證解決方案182

需求分析182

方案設(shè)計182

方案效果188

滿足指標1XX

6.14平安加固解決方案190

平安加固范圍及方法確定190

平安加固流程191

平安加固步驟191

平安加固內(nèi)容192

采用平安操作系統(tǒng)197

采用平安數(shù)據(jù)庫管理系統(tǒng)200

采用操作系統(tǒng)核心加固系統(tǒng)203

應用系統(tǒng)開發(fā)優(yōu)化204

滿足指標206

6.15平安管理中心解決方案214

需求分析214

方案設(shè)計215

方案效果227

滿足指標229

7技術(shù)體系符合性分析229

7.1物理平安229

7.2網(wǎng)絡平安232

7.3主機平安237

7.4應用平安241

7.5數(shù)據(jù)平安與備份恢復244

1方案概述

1.1背景

醫(yī)院是一個信息和技術(shù)密集型的行業(yè)，其計算機網(wǎng)絡是一個完善的辦公網(wǎng)絡

系統(tǒng)，作為一個現(xiàn)代化的醫(yī)療機構(gòu)網(wǎng)絡，除了要滿足高效的內(nèi)部自動化辦公需求

以外,還應對外界的通訊保證暢通。結(jié)合醫(yī)院復雜的HIS、RIS、PACS等應用系統(tǒng)，

要求網(wǎng)絡必須能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務的傳輸要求，所以在這樣的

網(wǎng)絡上應運用多種高性能設(shè)備和先進技術(shù)來保證系統(tǒng)的正常運作和穩(wěn)定的效率。

同時醫(yī)院的網(wǎng)絡系統(tǒng)連接著Internet、醫(yī)保網(wǎng)和高校等，訪問人員比擬復雜，

所以如何保證醫(yī)院網(wǎng)絡系統(tǒng)中的數(shù)據(jù)平安問題尤為重要。在日新月異的現(xiàn)代化社

會進程中，計算機網(wǎng)絡幾乎延伸到了世界每一個角落，它不停的改變著我們的工

作生活方式和思維方式，但是，計算機信息網(wǎng)絡平安的脆弱性和易受攻擊性是不

容無視的。由于網(wǎng)絡設(shè)備、計算機操作系統(tǒng)、網(wǎng)絡協(xié)議等平安技術(shù)上的漏洞和管

理體制上的不嚴密，都會使計算機網(wǎng)絡受到威脅。我們可以想象一下，對于一個

需要高速信息傳達的現(xiàn)代化醫(yī)院，如果遭到致命攻擊，會給社會造成多大的影響。

為了保障我國關(guān)鍵根底設(shè)施和信息的平安，結(jié)合我國的根本國情，制定了等

級保護制度。并將等級保護制度作為國家信息平安保障工作的根本制度、根本國

策，促進信息化、維護國家信息平安的根本保障。而針對醫(yī)療衛(wèi)生行.業(yè)，衛(wèi)生部

于20H年11月分別發(fā)布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息平安等級保

護工作的通知》［衛(wèi)辦綜函（2011）1126號），衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息

平安等級保護工作的指導意見》的通知（衛(wèi)辦發(fā)（2011）85號），85號文規(guī)定了

主要工作內(nèi)容：

1.定級備案（規(guī)定了定級范圍及級別）

2.建設(shè)與整改（規(guī)定了二級（含）以上系統(tǒng)需進行差距分析與整改）

3.等級測評（規(guī)定了三級（含）以上需進行等保測評）

4.宣傳培訓（規(guī)定了各類衛(wèi)生機構(gòu)需進行信息平安培訓，提高平安意識）

5.監(jiān)督檢查（規(guī)定了信息化工作領(lǐng)導小組對各醫(yī)療機構(gòu)等級保護工作進行

督導）

全面開展等級保護建設(shè)，對醫(yī)院特別是三級甲等醫(yī)院的信息化建設(shè)提出了更

高的要求，其核心業(yè)務信息系統(tǒng)的建設(shè)應按照不低于等級保護三級的標準進行。

XX醫(yī)院是北京市衛(wèi)生局直屬三級甲等醫(yī)院、北京大學教學醫(yī)院、中法友好

合作醫(yī)院、中國科學院心理研究所臨床心理學教學醫(yī)院、北京市心理危機研究與

干預中心、北京市心理援助熱線、世界衛(wèi)生組織心理危機預防研究與培訓合作中

心、北京市?？漆t(yī)師培訓基地、國家藥物臨床試驗機構(gòu)，作為北京三級甲等兵療

機構(gòu)，其核心HIS系統(tǒng)和EMR系統(tǒng)的正常運行至關(guān)重要，因此在信息平安建設(shè)

過程中參照國家等級保護相關(guān)標準，利于醫(yī)院自身進行平安體系化建設(shè)，并最終

利于業(yè)務的開展C

1.2方案設(shè)計目標

本次XX醫(yī)院核心業(yè)務系統(tǒng)等級保護平安建設(shè)的主要目標是：

按照等級保護要求，結(jié)合實際業(yè)務系統(tǒng)，對XX醫(yī)院核心業(yè)務系統(tǒng)進行充分

調(diào)研及詳細分析，將XX醫(yī)院核心業(yè)務系統(tǒng)系統(tǒng)建設(shè)成為一個及滿足業(yè)務需要,

又符合等級保護三級系統(tǒng)要求的業(yè)務平臺。

建設(shè)一套符合國家政策要求、覆蓋全面、重點突出、持續(xù)運行的信息平安保

障體系，到達國內(nèi)一流的信息平安保障水平，支撐和保障信息系統(tǒng)和業(yè)務的平安

穩(wěn)定運行。該體系覆蓋信息系統(tǒng)平安所要求的各項內(nèi)容，符合信息系統(tǒng)的業(yè)務特

性和開展戰(zhàn)略，滿足XX醫(yī)院信息平安要求。

1.3方案設(shè)計原那么

“全面保障”原那么：信息平安風險的控制需要多角度、多層次，從各個環(huán)

節(jié)入手，全面的保障。

“整體規(guī)劃，分步實施"原那么：對信息平安建設(shè)進行整體規(guī)劃，分步實施，

逐步建立完善的信息平安體系。

“同步規(guī)劃、同步建設(shè)、同步運行"原那么：平安建設(shè)應與業(yè)務系統(tǒng)同步規(guī)

劃、同步建設(shè)、同步運行，在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務系統(tǒng)帶來危害。

“適度平安”原那么：沒有絕對的平安，平安和易用性是矛盾的，需要做到

適度平安，找到平安和易用性的平衡點。

“內(nèi)外并重”原那么：平安工作需要做到內(nèi)外并重，在防范外部威脅的同時，

加強標準內(nèi)部人員行為和訪問控制、監(jiān)控和審計能力。

“標準化”原那么：管理要標準化、標準化，以保證在能源行業(yè)龐大而多層

次的組織體系中有效的控制風險。

“技術(shù)與管理并重”原那么：網(wǎng)絡與信息平安不是單純的技術(shù)問題，需要在

采用平安技術(shù)和產(chǎn)品的同時，重視平安管理，不斷完善各類平安管理規(guī)章制度和

操作規(guī)程，全面提高平安管理水平。

1.4方案設(shè)計依據(jù)

本方案的設(shè)計主要依據(jù)以下等級保護政策：

■公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室

聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息平安等級保護工作的實施意見》(公通字(2004)

66號)

■公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室

制定的《信息平安等級保護管理方法》(公通字(2007)43號)

■公安部頒發(fā)的《關(guān)于開展信息平安等級保護平安建設(shè)整改工作的指

導意見》(公信安(2009)1429號)

■公安部《關(guān)于推動信息平安等級保護測評體系建設(shè)和開展等級測評

工作的通知》(公信安(2010)303號)

■本方案的設(shè)計主要依據(jù)如下等級保護標準：

■《信息平安技術(shù)信息系統(tǒng)平安等級保護根本要求》(GB/T22239-2008)

■《信息平安技術(shù)信息系統(tǒng)等級保護平安設(shè)計技術(shù)要求》(GB"

25070-2010)

本方案還參考了如下一些政策和標準:

■《信息平安技術(shù)信息系統(tǒng)平安等級保護定級指南》(GB/T

22240-2008)

■《信息平安技術(shù)信息系統(tǒng)平安等級保護實施指南》

■《信息平安技術(shù)信息系統(tǒng)平安等級保護測評要求》

■《信息平安技術(shù)信息系統(tǒng)平安等級保護測評過程指南》

■《計算機信息系統(tǒng)平安保護等級劃分準那么》(GB17859-1999)

■《信息平安技術(shù)信息系統(tǒng)通用平安技術(shù)要求》(GB/T20271-2006)

■《信息平安技術(shù)網(wǎng)絡根底平安技術(shù)要求》(GB/T20270-2006)

■《信息平安技術(shù)操作系統(tǒng)平安技術(shù)要求》(GB/T20272-2006)

■《信息平安技術(shù)數(shù)據(jù)庫管理系統(tǒng)平安技術(shù)要求》(GB/T20273-2006)

■《信息平安技術(shù)效勞器技術(shù)要求》(GB/T21028-2007)

■《信息平安技術(shù)終端計算機系統(tǒng)平安等級技術(shù)要求》(GAAT

671-2006)

■《信息平安技術(shù)信息系統(tǒng)平安管理要求》(GB/T20269-2006)

■《信息平安技術(shù)信息系統(tǒng)平安工程管理要求》(GB/T20282-2006)

■GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)平安技術(shù)信息平安

管理體系要求》

■1ATF《信息保障技術(shù)框架》

2現(xiàn)狀分析

2.1網(wǎng)絡架構(gòu)描述

XX醫(yī)院網(wǎng)絡架構(gòu)主要由終端平安域、平安設(shè)備運維區(qū)、互聯(lián)網(wǎng)DMZ區(qū)、

業(yè)務效勞器區(qū)等平安域構(gòu)成

系統(tǒng)使用的平安產(chǎn)品清單:

序號設(shè)備名稱型號數(shù)量

1防火墻XX2

2平安網(wǎng)關(guān)XX1

3入侵檢測系統(tǒng)XX1

4漏洞掃描系統(tǒng)XX1

5補丁分發(fā)系統(tǒng)XX1

6信息平安綜合審計監(jiān)控系統(tǒng)XX1

7寬帶信息平安(上網(wǎng)行為)管理系統(tǒng)XX1

8綜合網(wǎng)絡平安管理系統(tǒng)XX1

9互聯(lián)網(wǎng)帶寬管理系統(tǒng)XX1

10網(wǎng)絡防病毒系統(tǒng)XX1

已經(jīng)部署的平安產(chǎn)品除網(wǎng)絡防病毒系統(tǒng)外，其他產(chǎn)品均購置于四年前，無論

從性能、功能上已經(jīng)不能適應當今的平安要求，本次建設(shè)將予以更換。

2.2信息系統(tǒng)定級情況

XX醫(yī)院核心業(yè)務系統(tǒng)是醫(yī)院信息系統(tǒng)(HospitalInformationSystem,

HIS)和電子病歷系統(tǒng)(ElectronicMedicalRecord,EMR)。目前已經(jīng)完成系統(tǒng)定級，

最終確定北京XX醫(yī)院核心業(yè)務信息系統(tǒng)平安保護等級為第三級。

HTS系統(tǒng)由北京XX數(shù)字醫(yī)療系統(tǒng)研制開發(fā)，2002年11月開始分期實施到我

院。由計算機網(wǎng)絡中心負責組織實施、運行管理和維護工作。本系統(tǒng)是基于計算

機網(wǎng)絡、按照一定的應用目標和規(guī)那么對醫(yī)院臨床及管理業(yè)務信息進行采集、加

工、存儲、傳輸、檢索和效勞的人機系統(tǒng)。整個網(wǎng)絡主干千兆，百兆到桌面，為

兩層星型結(jié)構(gòu)。該系統(tǒng)承載著全院人、財、物的行政管理和有關(guān)門、急診病人及

住院病人的醫(yī)療事務處理業(yè)務，主要包括門診掛號、電子醫(yī)囑和處方、計價收費、

藥房藥庫管理、住院病人管理、檢驗檢查信息管理、病案管理、衛(wèi)生統(tǒng)計、物資

和固定資產(chǎn)管理等二十幾個緊密耦合的子系統(tǒng)。各子系統(tǒng)必須協(xié)同運行，支持醫(yī)

院臨床診療、科研教學、經(jīng)營決策等方方面面的日常業(yè)務與管理工作，是一體化

的信息系統(tǒng)。

電子病歷系統(tǒng)(ElectronicMedicalRecord,EMR)以效勞臨床業(yè)務工作開展

為核心，為全院醫(yī)務人員、業(yè)務管理人員、院級領(lǐng)導提供流程化、信息化、自動

化、智能化的臨床業(yè)務綜合管理平臺。目前醫(yī)院所使用的電子病歷系統(tǒng)為2011

年引進的，XX公司開發(fā)的C-S架構(gòu)的結(jié)構(gòu)化的電子病歷系統(tǒng)(TP-EMR)。該系統(tǒng)

基于.NET多層體系結(jié)構(gòu)開發(fā)平臺，采用集中式數(shù)據(jù)庫ORACLE10G,分布式數(shù)據(jù)

庫ACCESS和XML技術(shù)相結(jié)合，完成臨床數(shù)據(jù)的錄入、傳輸、交換、存儲和處理。

目前電子病歷系統(tǒng)的組織實施、管理維護、平安防護均由計算機中心管理。

3平安需求分析

3.1國家政策需求分析

2007年公安部等四部委聯(lián)合出臺了《信息平安等級保護管理方法》，該文件

是在開展信息系統(tǒng)平安等級保護根底調(diào)查工作和信息平安等級保護試點工作根

底上，由四部委共同會簽印發(fā)的重要管埋標準，主要內(nèi)容包括信息平安等級保護

制度的根本內(nèi)容、流程及工作要求，信息系統(tǒng)定級、備案、平安建設(shè)整改、等級

測評的實施與管理，信息平安產(chǎn)品和測評機構(gòu)選擇等，為開展信息平安等級保護

工作提供了標準保障。

2009年，在全國信息系統(tǒng)平安等級保護定級工作根底上，公安部乂印發(fā)了

《關(guān)于開展信息平安等級保護平安建設(shè)整改工作的指導意見》，開始部署開展信

息系統(tǒng)等級保護平安建設(shè)整改工作。2009年下半年公安部組織各部委和各行業(yè)

開展了信息平安等級保護平安建設(shè)整改工作的集中培訓，明確了我國信息平安等

級保護平安建設(shè)整改工作的工作目標、工作對象、工作內(nèi)容和要求，并對具體的

工作流程和工作方法提出了指導意見。要求各行業(yè)利用三年時間，通過組織開展

信息平安等級保護平安管理制度建設(shè)、技術(shù)措施建設(shè)和等級測評等三項重點工作,

落實等級保護制度的各項要求。

衛(wèi)生部于2011年11月分別發(fā)布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息

平安等級保護工作的通知》(衛(wèi)辦綜函(2011)1126號)，衛(wèi)生部關(guān)于印發(fā)《衛(wèi)

生行業(yè)信息平安等級保護工作的指導意見》的通知(衛(wèi)辦發(fā)(2011)85號)。要

求醫(yī)療衛(wèi)生行業(yè)全面開展等級保護建設(shè)。

3.2平安指標與需求分析

xx醫(yī)院核心業(yè)務系統(tǒng)的平安建設(shè)核心需求即滿足等級保護的相關(guān)要求，因

此將以滿足等級保護指標為目標。根據(jù)定級結(jié)果，整體按三級來管理和建設(shè)。那

么，可以確定需要滿足的等級保護指標如下：

單位級平安指標(三級)

數(shù)據(jù)平安

平安管理機構(gòu)人員平安管理平安管理制度網(wǎng)絡平安物理平安系統(tǒng)運維管理系統(tǒng)建設(shè)管理

及瞽份恢復

??6??iii■號;“1mrmEO數(shù)什

平安蠢設(shè)教管理制

慟位設(shè)置\\\爸份和恢復4平安審計4電磁防護3平安事件處置6平安方案設(shè)計5

育和培訓度

評審和邊界完整性備份與恢復管平安效勞商選

溝地來合作5人員考核32數(shù)據(jù)保密性22電力供給453

修訂檢衣理擇

制定和題就代碼防防盜竊和防

人另￡備3人力離崗35數(shù)據(jù)完里性226變更管理4洌試驗收5

發(fā)布范破壞

惡意代碼防范產(chǎn)品采購和使

審核承檢有4人員錄用4訪問控制3防火344

管理用

外都人員訪

授權(quán)和審批\2結(jié)構(gòu)平安7防熱電2環(huán)境管理，1等被測評\

問管理

海拽和平安管

入侵防范防部擊33工器噌施

2理中心3

防木和防潮4介質(zhì)管理e外包軟件開發(fā)4

溫濕度控制!密碼管理1系統(tǒng)備案3

物理訪問控

4設(shè)缶管理5系統(tǒng)定級\

制

物理位優(yōu)的

2網(wǎng)絡平安管理8系統(tǒng)交付5

選齊

自行軟件開發(fā)

系統(tǒng)平安管理70

(5)

應急預案管理5

資產(chǎn)管理4

201611825326240

總計214

4信息平安體系框架設(shè)計

xx醫(yī)院核心業(yè)務系統(tǒng)平安體系框架分為技術(shù)體系與管理管理體系兩局部。

其中：

?技術(shù)體系參考《設(shè)計技術(shù)要求》，分為計算環(huán)境平安、邊界平安、通信

網(wǎng)絡平安和平安管理中心四局部。同時滿足《根本要求》中物理平安、

網(wǎng)絡平安、主機平安、應用平安和數(shù)據(jù)平安等方面技術(shù)指標。

?平安管理體系分為平安組織、平安策略、平安建設(shè)和平安運維四局部。

5管理體系整改方案

5.1平安制度制定解決方案

平安制度是指導xx醫(yī)院核心業(yè)務系統(tǒng)維護管理工作的根本依據(jù)，平安管理和維護管

理人員必須認真制定的制度，并根據(jù)工作實際情況，制定并遵守相應的平安標準、流程和

平安制度實施細那么，做好平安維護管理工作。

平安制定的適用范圍是XX醫(yī)院核心業(yè)務系統(tǒng)捱有的、控制和管理的所有信息系統(tǒng)、

數(shù)據(jù)和網(wǎng)絡環(huán)境，適用于屬于XX醫(yī)院核心業(yè)務系統(tǒng)范圍內(nèi)的所有部門。對人員的適用范

圍包括所有與XX醫(yī)院核心業(yè)務系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應用XX醫(yī)院

核心業(yè)務系統(tǒng)的相關(guān)工作人員，全部XX醫(yī)院核心業(yè)務系統(tǒng)范圍內(nèi)容的維護人員，集成商，

軟件開發(fā)商，產(chǎn)品提供商，參謀，臨時工，商務伙伴和使用XX醫(yī)院核心業(yè)務系統(tǒng)的其他

第三方。

平安策略體系建立的價值在于：

?推進信息平安管理體系的建立

■平安策略和制度體系的建設(shè)

■平安組織體系的建設(shè)

■平安運作體系的建設(shè)

?標準信息平安規(guī)劃、采購、建設(shè)、維護和管理工作，推進信息平安的標準化和制度

化建設(shè)策略結(jié)構(gòu)描述

信息平安策略為信息平安提供管理指導和支持。XX醫(yī)院核心業(yè)務系統(tǒng)應該制定一套清

晰的指導方針，并通過在組織內(nèi)對信息平安策略的發(fā)布和保持來證明對信息平安的支持與

承諾。

策略系列文檔結(jié)構(gòu)圖：

＞最高方針

最高方針，綱領(lǐng)性的平安策略主文檔，陳述本策略的目的、適用范圍、信息平安的管

理意圖、支持目標以及指導原那么，信息平安各個方面所應遵守的原那么方法和指導性策

略。

與其它局部的關(guān)系：

所有其它局部都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背和抵觸。

＞如織機構(gòu)和人員職責

平安管理組織機構(gòu)和人員的平安職責，包括的平安管理機構(gòu)組織形式和運作方式，機

構(gòu)和人員的一般責任和具體責任。作為機構(gòu)和員工具體工作時的具體職責依照，此局部必

須具有可操作性，而且必須得到有效推行和實施的。

與其它局部的關(guān)系：

從最高方針中延伸出來，其具體執(zhí)行和實施由管理規(guī)定、技術(shù)標準標準、操作流程和

用戶手冊來落實。

＞技術(shù)標準和標準

技術(shù)標準和標準，包括各個網(wǎng)絡設(shè)備、主機操作系統(tǒng)和主要應用程序的應遵守的平安

配置和管理的技術(shù)標準和標準。技術(shù)標準和標準將作為各個網(wǎng)絡設(shè)備、主機操作系統(tǒng)和應

用程序的安裝、配置、采購、工程評審、日常平安管理和維護時必須遵照的標準，不允許

發(fā)生違背和沖突。

與其它局部的關(guān)系：

向上遵照最高方針，向下延伸到平安操作流程，作為平安操作流程的依據(jù)。

＞管理制度和規(guī)定

各類管理規(guī)定、管理方法和暫行規(guī)定。從平安策略主文檔中規(guī)定的平安各個方面所應

遵守的原那么方法和指導性策略引出的具體管理規(guī)定、管理方法和實施方法，是必須具有

可操作性，而且必須得到有效推行和實施的。此局部文檔較多。

與其它局部的關(guān)系：

向上遵照最高方針。向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定

和管理方法，不與之發(fā)生違背。

＞平安操作流程

操作流程，詳細規(guī)定主要業(yè)務應用和事件處理的流程和步驟，和相關(guān)考前須知。作為

具體工作時的具體依照，此局部必須具有可操作性，而且必須得到有效推行和實施的。

與其它局部的關(guān)系：

向上遵照技術(shù)標準和標準、最高方針。

＞用戶協(xié)議

用戶簽署的文檔和協(xié)議。包括平安管理人員、網(wǎng)絡和系統(tǒng)管理員的平安責仟書、保密

協(xié)議、平安使用承諾等等。作為員工或用戶對日常工作中的遵守平安規(guī)定的承諾，也作為

平安違背時處分的依據(jù)。

與其它局部的關(guān)系：

向上遵照管理制定和規(guī)定、最高方針。

＞需要制定的策略文檔

本工程中需要制定的策略文檔至少覆蓋以下方面：

■平安方針

■平安組織

■資產(chǎn)分類及控制

■人員平安

■物理和環(huán)境平安

■通信和運作管理

■系統(tǒng)訪問控制

■系統(tǒng)開發(fā)與維護

■平安事件處理

■業(yè)務連續(xù)性規(guī)劃

■符合性

5.1.2平安制度制定

平安制度的首要問題是需要對平安制度的制定，對于XX醫(yī)院核心業(yè)務系統(tǒng)公司在平

安制度的制定的過程中，考慮如下內(nèi)容：

＞界定平安策略制度的制定權(quán)限

?公司網(wǎng)絡與信息平安管理小組負責制定公司層的平安策略，主耍包括：公司信息平

安體系、公司平安策略框架、公司信息平安方針、公司信息平安體系等級化標準、

公司全局性平安技術(shù)標準和技術(shù)標準、公司全局性平安管理制度和規(guī)定、公司平安

組織機構(gòu)和人員職責、公司層全局性用戶協(xié)議。

?各部門信息平安組織遵照公司下發(fā)的平安策略，結(jié)合本部門系統(tǒng)實際情況，制定和

細化成適用于本部門的具體管理方法、實施細那么和操作規(guī)程等，不得與公司的規(guī)

章制度相抵觸，井須報公司信息平安管理部門備案。

＞平安策略的制定要求

?公司平安策略中不得出現(xiàn)公司的涉密信息。

?對公司平安策略進行匯編時，須保存各平安策略的版本控制信息和密級標識。

5.1.3滿足指標

解決方案名

控制類控制點指標名稱措施名稱改良動作

稱

應制定信息平安工作的總體

平安制度制平安管理方針和平安策略，說明機構(gòu)制定平安

管理削度a平安制度開發(fā)

定解決方案制度平安工作的總體目標、范圍、方針

原那么和平安框架等：

應對平安管理活動中的各類建立各類

平安制度制平安管理

管理制度b管理內(nèi)容建立平安管理制平安管理平安制度開發(fā)

定解決方案制度

度：制度

應對要求管理人員或操作人

平安制度制平安管建立各類

管理制度c員執(zhí)行的日常管理操作建立平安制度開發(fā)

定解決方案制度操作規(guī)程

操作規(guī)程：

應形成由平安策略、管理制編制制度

平安制度制平安管理

管理制度d度、操作規(guī)程等構(gòu)成的全面體系說明平安制度開發(fā)

定解決方案制度

的信息平安管理制度體系。文檔

5.2平安制度管理解決方案

平安制度制定后，對平安制度的管理工作十分重要，在對平安制度管理過程中，需要

注意如下內(nèi)容：

5.2.1平安制度發(fā)布

?平安策略須以正式文件的形式發(fā)布施行。

?公司層平安策略由公司網(wǎng)絡與信息平安工作組制訂，公司網(wǎng)絡與信息平安領(lǐng)導小組

審批、發(fā)布。

?部門層平安策略由各生產(chǎn)中心平安管理組織制訂，公司網(wǎng)絡與信息平安工作組審批、

發(fā)布，同時要留存公司信息平安管理部門備案。

?系統(tǒng)層平安策略由各系統(tǒng)管理員制訂、本中心平安管理員協(xié)助，本部門平安管理組

織審批、發(fā)布，同時要留存公司信息平安管理部門備案。

?平安策略發(fā)布后，如有必要，平安策略制定部門應召集相關(guān)人員學習平安策略，詳

細講解規(guī)章制度的內(nèi)容并解答疑問。

?平安策略修訂后需要以正式文件的形式重新發(fā)布施行，修訂后的策略也需相應層次

的管理部門審批。

?簽署發(fā)布的規(guī)章制度必須標明該規(guī)章制度的施行日期。

5.2.2平安制度修改與廢止

?須定期對平安策略進行評審，對其中不適用的或欠缺的條款，及時進行修改和補充。

對已不適用的信息平安制度或規(guī)定應及時廢止。

?當現(xiàn)行平安策略有以下情形之一時，須及時修改：

（一）當發(fā)生重大平安事件，暴露出平安策略存在漏洞和缺陷時；

（二）組織機構(gòu)或生產(chǎn)系統(tǒng)進行重大調(diào)整和變更后；

（三）同一個事項在兩個規(guī)章制度中規(guī)定不一致：

（四）與上級部門的平安策略相抵觸；

其它需要修改平安策略的情形。

?當現(xiàn)行平安策略有以下情形之一時，必須及時予以廢止：

（一）因有關(guān)信息平安制度或規(guī)定廢止，使該信息平安制度或規(guī)定失去依據(jù)，或

與公司現(xiàn)行上層策略相抵觸；

（二）因已規(guī)定的事項已經(jīng)執(zhí)行完畢，沒有存在必要；

（三）已被新的規(guī)章制度所替代。

?公司層平安策略的修改與廢止須經(jīng)公司信息平安領(lǐng)導組織審批確認，公司信息平安

管理部門備案。

?部門層平安策略的修改與廢止須經(jīng)各部門信息平安維護組織及公司信息平安管理

部門審批確認。同時公司信息平安管理部門備案。

5.2.3平安制度監(jiān)督和檢查

?平安策略發(fā)布實施后，各部門應就平安策略制度或規(guī)定的貫徹執(zhí)行，執(zhí)行中存在的

問題以及對規(guī)章制度修改或廢止的意見建議等情況進行檢查、監(jiān)督，并將意見和建

議及時反響給制度的制定部門。

?為保障各項信息平安管理制度的貫徹落實，公司信息平安管理部門必須定期檢查平

安策略的落實情況，信息平安管理制度的落實情況檢查是信息平安檢查工作的重要

內(nèi)容。

?信息平安檢查工作結(jié)束后，在起草檢查報告時，必須通報平安策略的落實情況，對

執(zhí)行不力的行為必須提出整改意見，限期糾改，并繼續(xù)追蹤其落實情況。

?平安策略的貫徹落實情況，必須作為重要的考核工程，納入部門的綜合考評體系。

為平安策略落實做出顯著成績的部門或個人，應給予表彰和獎勵；對違反規(guī)章制度造

成嚴重后果的部門或個人，應追究當事人、相關(guān)單位及主管領(lǐng)導的責任。具體參照公司考

核制度辦理。

5.2.4平安制度管理流程

＞制度管理流程信息表

下表給出了制度管理流程表，供本次工程參考:

流程名稱策略管理流程流程編碼OPT-6流程負責人公司信息平安辦公室

流程起點：流程目的：標準公司以及各部門信息流程終點：審議平安策略執(zhí)行

制定平安策略平安策略的制定、發(fā)布、修改、廢止、檢

查和監(jiān)督落實，建立科學、嚴謹?shù)男畔⑵?/p>

安策略管理體系。

步驟操作操作描述操作崗位

編號步驟

1策略■公司級信息平安策略由公司部門信息平安組織/公司信息平安辦公室

信息平安辦公室負責制定

制定■部門級信息平安策略由部門

信息平安組織負責制定

2審核■公司級策略部門信息平安組織/公司信息平安辦公室/公司信息平安工作組/工作

?公司信息平安工作組審

與發(fā)布核信息平安領(lǐng)導小氣

?公司信息平安領(lǐng)導小組

審批

?公司信息平安辦公室發(fā)

布

■部門級策略

?公司信息平安辦公室審

核

?公司信息平安工作組審

批

?部門信息平安組織發(fā)布

3修改■制定部門負責修改和廢止部門信息平安組織/公司信息平安辦公室/公司信息平安工作組/工作

■公司信息平安辦公室審核、備

與廢止案信息平安領(lǐng)導小組

■公司信息平安工作組、領(lǐng)導小

組審批

4監(jiān)督和檢■公司信息平安辦公室監(jiān)督、檢公司信息平安辦公室

查

查

步驟編號輸入部門輸入內(nèi)容輸入標準載體名稱

流程1部門信息策略（制度、標完整策略文檔

輸入平安組織準、標準、運行維護

方案）

1公司信息策略（制度、標完整策略文檔

平安辦公室準、標準、運行維護

方案）

步驟編號接收部門輸出內(nèi)容輸出標準載體名稱

流程

、、信息平安策略審批、備案及時、準確“信息平安

輸出234

辦公室信息平臺”

IT

使能器信息平臺“公司信息平安平臺”

策略策略文檔

>公司級制度管理流程圖

以下圖給出公司級制度的管理流程供本次工程參考:

〈公司級策略管理流程〉

制定>審核與發(fā)布修改與廢止監(jiān)督和檢查

6憚

提出修改/廢止安全策

點制定公司信息安全發(fā)布修改或止信息

馬的中謂和內(nèi)薜1

安生策略I

G

楓

W定期檢查安全策

亞

SH略執(zhí)行情況

F

玄

奪

第

由

'

F四

S

公司級制度管理流程圖

＞部門級制度管理流程圖

以下圖給出部門級制度管理流程圖供本次工程參考:

〈部門級策略管理流程》

制定審核與發(fā)布修改與廢止監(jiān)督和檢查

.X

汨

迪

二制定部門存縣安全釉修改喝1交44修改，廢止

策略略S中調(diào)和內(nèi)咨

說

比

邵

X

瑞定期楊臺安全第

題

玄路執(zhí)行儕花

迎

勺

區(qū)

玄

理

叁

審議女全策略執(zhí)

安審批

題

/行

四H

叵

1

部門級制度管理流程圖

5.2.5滿足指標

解決方

控制類控制點指標名稱措施名稱改良動作

案名稱

應指定或授權(quán)專門的部門或

平安制度管平安管理制定和發(fā)專人制定制度管理規(guī)定

a人員負責平安管理制度的制

理解決方案制度布的規(guī)定與記錄

定：

版本控制

平安制度管平安管理制定和發(fā)平安管理制度應具有統(tǒng)一的制度管理規(guī)定

b規(guī)定與記

理解決方案制度布格式，并進行版本控物；與記錄

錄

應組織相關(guān)人員對制定的平制度審定

平安制度管平安管理制定和發(fā)制度管理規(guī)定

c安管理制度進行論證和審規(guī)定與記

理解決方案制度布與記錄

定：錄

制度發(fā)布

平安制度管平安管理制定和發(fā)平安管理制度應通過正式、制度管理規(guī)定

d規(guī)定與記

理解決方案制度布有效的方式發(fā)布：與記錄

錄

制度制度

平安制度管平安管理制定和發(fā)平安管理制度應注明發(fā)布范制度管理規(guī)定

e管理標準，

理解決方案制度布圍，并對收發(fā)文進行登記。與記錄

收發(fā)記錄

信息平安領(lǐng)導小組應負賁定

定期審定

平安制度管平安管理評審和修期組織相關(guān)部門和相關(guān)人員制度管理規(guī)定

a的規(guī)定與

理解決方案制度訂對平安管理制度體系的合理與記錄

記錄

性和適用性進行審定：

應定期或不定期對平安管理

定期修訂

平安制度管平安管理評審和修制度進行檢查和審定，對存制度管理規(guī)定

b的規(guī)定與

理解決方案制度訂在缺乏或需要改良的平安管與記錄

記錄