《某医院信息系统等级保护安全建设整改方案.docx》由会员分享,可在线阅读,更多相关《某医院信息系统等级保护安全建设整改方案.docx(291页珍藏版)》请在三一办公上搜索。
1、某医院信息系统等级保护安全建设整改方案 XX医院信息系统等级保护安全建设整改方案2022年12月目 录1方案概述81.1背景81.2方案设计目标91.3方案设计原则91.4方案设计依据102现状分析122.1网络架构描述122.2信息系统定级情况132.3安全现状分析142.3.1安全管理现状142.3.2安全技术现状143安全需求分析293.1国家政策需求分析293.2安全指标与需求分析294信息安全体系框架设计315管理体系整改方案325.1安全制度制定解决方案325.1.1策略结构描述325.1.2安全制度制定355.1.3满足指标355.2安全制度管理解决方案365.2.1安全制度发布
2、365.2.2安全制度修改与废止365.2.3安全制度监督和检查375.2.4安全制度管理流程375.2.5满足指标405.3安全教育与培训解决方案415.3.1信息安全培训的对象415.3.2信息安全培训的内容425.3.3信息安全培训的管理435.3.4满足指标435.4人员安全管理解决方案445.4.1普通员工安全管理445.4.2安全岗位人员管理455.4.3满足指标495.5第三方人员安全管理解决方案505.5.1第三方人员短期访问安全管理505.5.2第三方人员长期访问安全管理515.5.3第三方人员访问申请审批流程信息表535.5.4第三方人员访问申请审批流程图545.5.5满足
3、指标545.6系统建设安全管理解决方案555.6.1系统安全建设审批流程555.6.2项目立项安全管理565.6.3信息安全项目建设管理575.6.4满足指标615.7等级保护实施管理解决方案625.7.1信息系统描述645.7.2等级指标选择695.7.3安全评估与自测评725.7.4方案与规划765.7.5建设整改785.7.6运维825.7.7测评准备855.7.8外部测评875.7.9满足指标885.8软件开发安全管理解决方案895.8.1软件安全需求管理895.8.2软件设计安全管理905.8.3软件开发过程安全管理935.8.4软件维护安全管理955.8.5软件管理的安全管理965
4、.8.6软件系统安全审计管理975.8.7满足指标975.9安全事件处置与应急解决方案985.9.1安全事件预警与分级985.9.2安全事件处理1025.9.3安全事件通报1065.9.4应急响应流程1075.9.5应急预案的制定1075.9.6满足指标1165.10日常安全运维管理解决方案1175.10.1运维管理1175.10.2介质管理1185.10.3恶意代码管理1195.10.4变更管理管理1205.10.5备份与恢复管理1215.10.6设备管理管理1245.10.7网络安全管理1275.10.8系统安全管理1295.10.9满足指标1315.11安全组织机构设置解决方案1365.
5、11.1安全组织总体架构1365.11.2满足指标1395.12安全沟通与合作解决方案1405.12.1沟通与合作的分类1405.12.2风险管理不同阶段中的沟通与合作1425.12.3满足指标1425.13定期风险评估解决方案1435.13.1评估方式1435.13.2评估内容1445.13.3评估流程1455.13.4满足指标1466技术体系整改方案1476.1总体部署说明1476.2边界访问控制解决方案1506.2.1需求分析1506.2.2方案设计1506.2.3方案效果1526.2.4满足指标1546.3边界入侵防御解决方案1556.3.1需求分析1556.3.2方案设计1566.3
6、.3方案效果1596.3.4满足指标1606.4网关防病毒解决方案1616.4.1需求分析1616.4.2方案设计1616.4.3方案效果1636.4.4满足指标1636.5网络安全检测解决方案1656.5.1需求分析1656.5.2方案设计1666.5.3方案效果1686.5.4满足指标1696.6网络安全审计解决方案1716.6.1需求分析1716.6.2方案设计1726.6.3方案效果1786.6.4满足指标1816.7WAF解决方案1836.7.1需求分析1836.7.2方案设计1846.7.3方案效果1856.7.4满足指标1866.8恶意代码防护解决方案1876.8.1需求分析18
7、76.8.2方案设计1886.8.3方案效果1906.8.4满足指标1926.9终端安全管理解决方案1936.9.1需求分析1936.9.2方案设计1946.9.3方案效果2026.9.4满足指标2056.10漏洞扫描解决方案2066.10.1需求分析2066.10.2方案设计2086.10.3方案效果2116.10.4满足指标2166.11应用监控解决方案2176.11.1需求分析2176.11.2方案设计2176.11.3方案效果2196.11.4满足指标2206.12数据备份与恢复解决方案2226.12.1需求分析2226.12.2方案设计2226.12.3满足指标2296.13PKI/
8、CA身份认证解决方案2316.13.1需求分析2316.13.2方案设计2316.13.3方案效果2376.13.4满足指标2376.14安全加固解决方案2406.14.1安全加固范围及方法确定2406.14.2安全加固流程2406.14.3安全加固步骤2436.14.4安全加固内容2446.14.5采用安全操作系统2496.14.6采用安全数据库管理系统2526.14.7采用操作系统核心加固系统2556.14.8应用系统开发优化2566.14.9满足指标2586.15安全管理中心解决方案2666.15.1需求分析2666.15.2方案设计2686.15.3方案效果2836.15.4满足指标2
9、857技术体系符合性分析2877.1物理安全2877.2网络安全2907.3主机安全2947.4应用安全2987.5数据安全与备份恢复3022901 方案概述1.1 背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等,访问人员比较复
10、杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击,会给社会造成多大的影响。为了保障我国关键基础设施和信息的安全,结合我国的基本国情,制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策,促进信息化、维护国家信息安全的根本
11、保障。而针对医疗卫生行业,卫生部于2011年11月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函20111126号),卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185号),85号文规定了主要工作内容:1.定级备案(规定了定级范围及级别)2.建设与整改(规定了二级(含)以上系统需进行差距分析与整改)3.等级测评(规定了三级(含)以上需进行等保测评)4.宣传培训(规定了各类卫生机构需进行信息安全培训,提高安全意识)5. 监督检查(规定了信息化工作领导小组对各医疗机构等级保护工作进行督导)全面开展等级保护建设,对医院特别是三级甲等医院的信息
12、化建设提出了更高的要求,其核心业务信息系统的建设应按照不低于等级保护三级的标准进行。XX医院是北京市卫生局直属三级甲等医院、北京大学教学医院、中法友好合作医院、中国科学院心理研究所临床心理学教学医院、北京市心理危机研究与干预中心、北京市心理援助热线、世界卫生组织心理危机预防研究与培训合作中心、北京市专科医师培训基地、国家药物临床试验机构,作为北京三级甲等医疗机构,其核心HIS系统和EMR系统的正常运行至关重要,因此在信息安全建设过程中参照国家等级保护相关标准,利于医院自身进行安全体系化建设,并最终利于业务的开展。1.2 方案设计目标本次XX医院核心业务系统等级保护安全建设的主要目标是:按照等级
13、保护要求,结合实际业务系统,对XX医院核心业务系统进行充分调研及详细分析,将XX医院核心业务系统系统建设成为一个及满足业务需要,又符合等级保护三级系统要求的业务平台。建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系,达到国内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容,符合信息系统的业务特性和发展战略,满足XX医院信息安全要求。1.3 方案设计原则“全面保障”原则:信息安全风险的控制需要多角度、多层次,从各个环节入手,全面的保障。 “整体规划,分步实施”原则:对信息安全建设进行整体规划,分步实施,逐步建立完善的信
14、息安全体系。“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和访问控制、监控和审计能力。“标准化”原则:管理要规范化、标准化,以保证在能源行业庞大而多层次的组织体系中有效的控制风险。“技术与管理并重”原则:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全
15、面提高安全管理水平。1.4 方案设计依据本方案的设计主要依据以下等级保护政策:n 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息安全等级保护工作的实施意见(公通字200466号)n 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的信息安全等级保护管理办法(公通字200743号)n 公安部颁发的关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)n 公安部关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号)nn 本方案的设计主要依据如下等级保护标准:n 信息安全技术 信息系统安全等级保护基本
16、要求(GB/T 22239-2008)n 信息安全技术 信息系统等级保护安全设计技术要求(GB/T 25070-2010)本方案还参考了如下一些政策和标准:n 信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008)n 信息安全技术 信息系统安全等级保护实施指南n 信息安全技术 信息系统安全等级保护测评要求n 信息安全技术 信息系统安全等级保护测评过程指南n 计算机信息系统安全保护等级划分准则(GB 17859-1999)n 信息安全技术 信息系统通用安全技术要求(GB/T 20271-2006)n 信息安全技术 网络基础安全技术要求(GB/T 20270-2006)n 信
17、息安全技术 操作系统安全技术要求(GB/T 20272-2006)n 信息安全技术 数据库管理系统安全技术要求(GB/T 20273-2006)n 信息安全技术 服务器技术要求(GB/T 21028-2007)n 信息安全技术 终端计算机系统安全等级技术要求(GA/T 671-2006)n 信息安全技术 信息系统安全管理要求(GB/T 20269-2006)n 信息安全技术 信息系统安全工程管理要求(GB/T 20282-2006)n GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求n IATF信息保障技术框架2 现状分析2.1 网
18、络架构描述XX医院网络架构主要由终端安全域、安全设备运维区、互联网DMZ区、业务服务器区等安全域构成系统使用的安全产品清单:序号设备名称型号数量1防火墙XX22安全网关XX13入侵检测系统XX14漏洞扫描系统XX15补丁分发系统XX16信息安全综合审计监控系统XX17宽带信息安全(上网行为)管理系统XX18综合网络安全管理系统XX19互联网带宽管理系统XX110网络防病毒系统XX1已经部署的安全产品除网络防病毒系统外,其他产品均购置于四年前,无论从性能、功能上已经不能适应当今的安全要求,本次建设将予以更换。2.2 信息系统定级情况XX医院核心业务系统是医院信息系统(Hospital Infor
19、mation System ,HIS)和电子病历系统(Electronic Medical Record, EMR)。目前已经完成系统定级,最终确定北京XX医院核心业务信息系统安全保护等级为第三级。HIS系统由北京XX数字医疗系统有限公司研制开发,2002年11月开始分期实施到我院。由计算机网络中心负责组织实施、运行管理和维护工作。本系统是基于计算机网络、按照一定的应用目标和规则对医院临床及管理业务信息进行采集、加工、存储、传输、检索和服务的人机系统。整个网络主干千兆,百兆到桌面,为两层星型结构。该系统承载着全院人、财、物的行政管理和有关门、急诊病人及住院病人的医疗事务处理业务,主要包括门诊挂
20、号、电子医嘱和处方、计价收费、药房药库管理、住院病人管理、检验检查信息管理、病案管理、卫生统计、物资和固定资产管理等二十几个紧密耦合的子系统。各子系统必须协同运行,支持医院临床诊疗、科研教学、经营决策等方方面面的日常业务与管理工作,是一体化的信息系统。电子病历系统(Electronic Medical Record, EMR)以服务临床业务工作开展为核心,为全院医务人员、业务管理人员、院级领导提供流程化、信息化、自动化、智能化的临床业务综合管理平台。目前医院所使用的电子病历系统为2011年引进的,XX公司开发的C-S架构的结构化的电子病历系统(TP-EMR)。该系统基于.NET多层体系结构开发
21、平台,采用集中式数据库ORACLE 10G、分布式数据库ACCESS和XML技术相结合,完成临床数据的录入、传输、交换、存储和处理。目前电子病历系统的组织实施、管理维护、安全防护均由计算机中心管理。3 安全需求分析3.1 国家政策需求分析2007年公安部等四部委联合出台了信息安全等级保护管理办法,该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障
22、。2009年,在全国信息系统安全等级保护定级工作基础上,公安部又印发了关于开展信息安全等级保护安全建设整改工作的指导意见,开始部署开展信息系统等级保护安全建设整改工作。2009年下半年公安部组织各部委和各行业开展了信息安全等级保护安全建设整改工作的集中培训,明确了我国信息安全等级保护安全建设整改工作的工作目标、工作对象、工作内容和要求,并对具体的工作流程和工作方法提出了指导意见。要求各行业利用三年时间,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求。卫生部于2011年11月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工
23、作的通知(卫办综函20111126号),卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185号)。要求医疗卫生行业全面开展等级保护建设。3.2 安全指标与需求分析XX医院核心业务系统的安全建设核心需求即满足等级保护的相关要求,因此将以满足等级保护指标为目标。根据定级结果,整体按三级来管理和建设。那么,可以确定需要满足的等级保护指标如下:单位级安全指标(三级)安全管理机构人员安全管理安全管理制度数据安全及备份恢复网络安全物理安全系统运维管理系统建设管理控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量岗位设置4安全意识教育和培训4管理制度4
24、备份和恢复4安全审计4电磁防护3安全事件处置6安全方案设计5沟通和合作5人员考核3评审和修订2数据保密性2边界完整性检查2电力供应4备份与恢复管理5安全服务商选择3人员配备3人员离岗3制定和发布5数据完整性2恶意代码防范2防盗窃和防破坏6变更管理4测试验收5审核和检查4人员录用4访问控制8防火3恶意代码防范管理4产品采购和使用4授权和审批4外部人员访问管理2结构安全7防静电2环境管理4等级测评4入侵防范2防雷击3监控和安全管理中心3工程实施3防水和防潮4介质管理6外包软件开发4温湿度控制1密码管理1系统备案3物理访问控制4设备管理5系统定级4物理位置的选择2网络安全管理8系统交付5系统安全管理
25、7自行软件开发(5)0应急预案管理5资产管理4201611825326240总计2144 信息安全体系框架设计XX医院核心业务系统安全体系框架分为技术体系与管理管理体系两部分。其中:l 技术体系参考设计技术要求,分为计算环境安全、边界安全、通信网络安全和安全管理中心四部分。同时满足基本要求中物理安全、网络安全、主机安全、应用安全和数据安全等方面技术指标。l 安全管理体系分为安全组织、安全策略、安全建设和安全运维四部分。5 管理体系整改方案5.1 安全制度制定解决方案安全制度是指导XX医院核心业务系统维护管理工作的基本依据,安全管理和维护管理人员必须认真制定的制度,并根据工作实际情况,制定并遵守
26、相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。安全制定的适用范围是XX医院核心业务系统拥有的、控制和管理的所有信息系统、数据和网络环境,适用于属于XX医院核心业务系统范围内的所有部门。对人员的适用范围包括所有与XX医院核心业务系统的各方面相关联的人员,它适用于全部应用XX医院核心业务系统的相关工作人员,全部XX医院核心业务系统范围内容的维护人员,集成商,软件开发商,产品提供商,顾问,临时工,商务伙伴和使用XX医院核心业务系统的其他第三方。安全策略体系建立的价值在于:l 推进信息安全管理体系的建立n 安全策略和制度体系的建设n 安全组织体系的建设n 安全运作体系的建设l 规范信息
27、安全规划、采购、建设、维护和管理工作,推进信息安全的规范化和制度化建设5.1.1 策略结构描述信息安全策略为信息安全提供管理指导和支持。XX医院核心业务系统应该制定一套清晰的指导方针,并通过在组织内对信息安全策略的发布和保持来证明对信息安全的支持与承诺。策略系列文档结构图: 最高方针最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。与其它部分的关系:所有其它部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。 组织机构和人员职责安全管理组织机构和人员的安全职责,包括的安全管理机构组
28、织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。与其它部分的关系:从最高方针中延伸出来,其具体执行和实施由管理规定、技术标准规范、操作流程和用户手册来落实。 技术标准和规范技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。与其它部分的关系:向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
29、管理制度和规定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。此部分文档较多。与其它部分的关系:向上遵照最高方针。向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。 安全操作流程操作流程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。与其它部分的关系:向上遵照技术标准和规范、最高方针。 用户协议用户签署的文档和协议。包括安全管理
30、人员、网络和系统管理员的安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中的遵守安全规定的承诺,也作为安全违背时处罚的依据。与其它部分的关系:向上遵照管理制定和规定、最高方针。 需要制定的策略文档本项目中需要制定的策略文档至少覆盖以下方面:n 安全方针n 安全组织n 资产分类及控制n 人员安全n 物理和环境安全n 通信和运作管理n 系统访问控制n 系统开发与维护n 安全事件处理n 业务连续性规划n 符合性5.1.2 安全制度制定安全制度的首要问题是需要对安全制度的制定,对于XX医院核心业务系统公司在安全制度的制定的过程中,考虑如下内容: 界定安全策略制度的制定权限l 公司网络与
31、信息安全管理小组负责制定公司层的安全策略,主要包括:公司信息安全体系、公司安全策略框架、公司信息安全方针、公司信息安全体系等级化标准、公司全局性安全技术标准和技术规范、公司全局性安全管理制度和规定、公司安全组织机构和人员职责、公司层全局性用户协议。l 各部门信息安全组织遵照公司下发的安全策略,结合本部门系统实际情况,制定和细化成适用于本部门的具体管理办法、实施细则和操作规程等,不得与公司的规章制度相抵触,并须报公司信息安全管理部门备案。 安全策略的制定要求l 公司安全策略中不得出现公司的涉密信息。l 对公司安全策略进行汇编时,须保留各安全策略的版本控制信息和密级标识。5.1.3 满足指标解决方
32、案名称控制类控制点指标名称措施名称改进动作安全制度制定解决方案安全管理制度管理制度a应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;制定安全方针安全制度开发安全制度制定解决方案安全管理制度管理制度b应对安全管理活动中的各类管理内容建立安全管理制度;建立各类安全管理制度安全制度开发安全制度制定解决方案安全管理制度管理制度c应对要求管理人员或操作人员执行的日常管理操作建立操作规程;建立各类操作规程安全制度开发安全制度制定解决方案安全管理制度管理制度d应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。编制制度体系说明文档安全制度开发5
33、.2 安全制度管理解决方案安全制度制定后,对安全制度的管理工作十分重要,在对安全制度管理过程中,需要注意如下内容:5.2.1 安全制度发布l 安全策略须以正式文件的形式发布施行。 l 公司层安全策略由公司网络与信息安全工作组制订,公司网络与信息安全领导小组审批、发布。l 部门层安全策略由各生产中心安全管理组织制订,公司网络与信息安全工作组审批、发布,同时要留存公司信息安全管理部门备案。l 系统层安全策略由各系统管理员制订、本中心安全管理员协助,本部门安全管理组织审批、发布,同时要留存公司信息安全管理部门备案。l 安全策略发布后,如有必要,安全策略制定部门应召集相关人员学习安全策略,详细讲解规章
34、制度的内容并解答疑问。l 安全策略修订后需要以正式文件的形式重新发布施行,修订后的策略也需相应层次的管理部门审批。l 签署发布的规章制度必须标明该规章制度的施行日期。5.2.2 安全制度修改与废止l 须定期对安全策略进行评审,对其中不适用的或欠缺的条款,及时进行修改和补充。对已不适用的信息安全制度或规定应及时废止。l 当现行安全策略有下列情形之一时,须及时修改:(一) 当发生重大安全事件,暴露出安全策略存在漏洞和缺陷时;(二) 组织机构或生产系统进行重大调整和变更后;(三) 同一个事项在两个规章制度中规定不一致;(四) 与上级部门的安全策略相抵触;其它需要修改安全策略的情形。 l 当现行安全策
35、略有下列情形之一时,必须及时予以废止:(一) 因有关信息安全制度或规定废止,使该信息安全制度或规定失去依据,或与公司现行上层策略相抵触;(二) 因已规定的事项已经执行完毕,没有存在必要;(三) 已被新的规章制度所替代。l 公司层安全策略的修改与废止须经公司信息安全领导组织审批确认,公司信息安全管理部门备案。l 部门层安全策略的修改与废止须经各部门信息安全维护组织及公司信息安全管理部门审批确认。同时公司信息安全管理部门备案。5.2.3 安全制度监督和检查l 安全策略发布实施后,各部门应就安全策略制度或规定的贯彻执行,执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督,并将意见
36、和建议及时反馈给制度的制定部门。l 为保障各项信息安全管理制度的贯彻落实,公司信息安全管理部门必须定期检查安全策略的落实情况,信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。l 信息安全检查工作结束后,在起草检查报告时,必须通报安全策略的落实情况,对执行不力的行为必须提出整改意见,限期纠改,并继续追踪其落实情况。l 安全策略的贯彻落实情况,必须作为重要的考核项目,纳入部门的综合考评体系。为安全策略落实做出显著成绩的部门或个人,应给予表彰和奖励;对违反规章制度造成严重后果的部门或个人,应追究当事人、相关单位及主管领导的责任。具体参照公司考核制度办理。5.2.4 安全制度管理流程 制度
37、管理流程信息表下表给出了制度管理流程表,供本次项目参考:流程名称策略管理流程流程编码OPT-6流程负责人公司信息安全办公室流程起点: 制定安全策略流程目的:规范公司以及各部门信息安全策略的制定、发布、修改、废止、检查和监督落实,建立科学、严谨的信息安全策略管理体系。流程终点:审议安全策略执行步骤编号操作步骤操作描述操作岗位1策略制定 公司级信息安全策略由公司信息安全办公室负责制定 部门级信息安全策略由部门信息安全组织负责制定部门信息安全组织/公司信息安全办公室2审核与发布 公司级策略u 公司信息安全工作组审核u 公司信息安全领导小组审批u 公司信息安全办公室发布 部门级策略u 公司信息安全办公
38、室审核u 公司信息安全工作组审批u 部门信息安全组织发布部门信息安全组织/公司信息安全办公室/公司信息安全工作组/工作信息安全领导小组3修改与废止 制定部门负责修改和废止 公司信息安全办公室审核、备案 公司信息安全工作组、领导小组审批部门信息安全组织/公司信息安全办公室/公司信息安全工作组/工作信息安全领导小组4监督和检查 公司信息安全办公室监督、检查公司信息安全办公室流程输入步骤编号输入部门输入内容输入标准载体名称1部门信息安全组织策略(制度、标准、规范、运行维护计划)完整策略文档1公司信息安全办公室策略(制度、标准、规范、运行维护计划)完整策略文档流程输出步骤编号接收部门输出内容输出标准载
39、体名称2、3、4信息安全办公室策略审批、备案信息及时、准确“信息安全平台”使能器IT信息平台“公司信息安全平台”策略策略文档 公司级制度管理流程图下图给出公司级制度的管理流程供本次项目参考:公司级制度管理流程图 部门级制度管理流程图下图给出部门级制度管理流程图供本次项目参考:部门级制度管理流程图5.2.5 满足指标解决方案名称控制类控制点指标名称措施名称改进动作安全制度管理解决方案安全管理制度制定和发布a应指定或授权专门的部门或人员负责安全管理制度的制定;专人制定的规定制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布b安全管理制度应具有统一的格式,并进行版本控制;版本控制规定与记录
40、制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布c应组织相关人员对制定的安全管理制度进行论证和审定;制度审定规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布d安全管理制度应通过正式、有效的方式发布;制度发布规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布e安全管理制度应注明发布范围,并对收发文进行登记。制度制度管理规范,收发记录制度管理规定与记录安全制度管理解决方案安全管理制度评审和修订a信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;定期审定的规定与记录制度管理规定与记录安全制度管理解决方案安
41、全管理制度评审和修订b应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。定期修订的规定与记录制度管理规定与记录5.3 安全教育与培训解决方案组织内的人员安全意识决定了信息安全的管理水平,有必要定期的对所有人员进行全面的安全培训,提供信息系统使用人员和管理人员的安全技能与安全意识,在安全教育和培训过程中着重考虑如下几个方面:5.3.1 信息安全培训的对象信息安全培训工作需要分层次、分阶段、循序渐进地进行,而且必须是能够覆盖全员的培训;分层次培训是指对不同层次的人员,如对管理层(包括决策层)、信息安全管理人员,系统管理员和员工开展有针对性和不同侧重点的培训;分
42、阶段是指在信息安全管理体系的建立、实施和保持的不同阶段,培训工作要有计划地分步实施;信息安全培训要采用内部和外部结合的方式进行,安全培训对象主要保护如下几个类型的员工: 管理层(决策层)l 管理层培训目标是明确建立公司信息安全体系的迫切性和重要性,获得公司管理层(决策层)有形的支持和承诺。l 管理层培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。 信息安全管理人员l 信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。l 信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术 和 公司内部学习研讨的方式。 公司系统管理员l 公司系统管理员培训目标是掌握各系统相关专业安全技术,协助公司和各部门信息安全管理人员维护和保障系统正常、