【正文】 ) 管理具體的審計過程(三) 分析審計結(jié)果并提出對信息安全管理體系的改進意見(四) 召開審計啟動會議和審計總結(jié)會議(五) 向主管領(lǐng)導(dǎo)匯報審計的結(jié)果及建議(六) 為相關(guān)人員提供審計培訓(xùn)。(五) 監(jiān)視網(wǎng)絡(luò)運行，調(diào)整網(wǎng)絡(luò)參數(shù)，調(diào)度網(wǎng)絡(luò)資源，保持網(wǎng)絡(luò)安全、穩(wěn)定、暢通。第三條 網(wǎng)絡(luò)管理員工作職責(zé)(一) 協(xié)助網(wǎng)絡(luò)主管制定網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)發(fā)展規(guī)劃，確保網(wǎng)絡(luò)系統(tǒng)安全運行。(三) 監(jiān)視系統(tǒng)運行情況的任務(wù)，完成對系統(tǒng)資源的各種非法訪問的收集、記錄，然后進行分析、處理，必要時還要將審計的異常事件及時上報主管領(lǐng)導(dǎo)。(二) 定期或根據(jù)省、市、醫(yī)院保密部門要求組織對本部門各項保密工作落實情況的監(jiān)督檢查；(三) 對保密工作機構(gòu)履行職責(zé)提供保障：（1） 支持各業(yè)務(wù)部門開展工作；（2） 支持專兼職保密工作人員開展工作；（3） 對各業(yè)務(wù)部門履行保密工作職責(zé)進行監(jiān)督、指導(dǎo)。負責(zé)人主要職責(zé)是：(一) 及時部署相關(guān)系統(tǒng)的安全與維護工作，保證系統(tǒng)的正常運行和使用。根據(jù)江蘇省衛(wèi)生廳相關(guān)規(guī)定，結(jié)合我院具體情況，XXXXXX醫(yī)院應(yīng)用信息系統(tǒng)最高級別為二級。本制度制定依據(jù)為國家公安部等部門編寫的《信息系統(tǒng)安全等級保護基本要求》（GBT 222392008）、《江蘇省開展重要信息系統(tǒng)安全等級保護定級工作的實施意見》（蘇公通［2007］187號）、《信息安全管理體系要求》（GB/T220802008）等文件規(guī)定。（1） 掌握系統(tǒng)的基本使用情況；（2） 主持召開領(lǐng)導(dǎo)小組工作會議，對系統(tǒng)安全工作進行研究、部署；（3） 對系統(tǒng)安全，日常維護工作做出具體指示、提出明確意見和工作要求。(四) 組織開展對新形勢下保密工作熱點、難點問題的調(diào)查研究。2. 人員分配及職責(zé)規(guī)定第一條 總則為進一步加強信息網(wǎng)絡(luò)的管理，保障信息系統(tǒng)安全、穩(wěn)定運行。(二) 負責(zé)公用網(wǎng)絡(luò)實體(如服務(wù)器、交換機、集線器、防火墻、網(wǎng)關(guān)、配線架、網(wǎng)線、接插件等)的維護和管理。(六) 負責(zé)系統(tǒng)備份和網(wǎng)絡(luò)數(shù)據(jù)備份。3. 關(guān)于加強與外界的溝通合作說明第一條 為加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，特規(guī)定定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題；第二條 為加為促進更好的合作交流，規(guī)定加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通；加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；第三條 建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；第四條 為加強信息安全建設(shè)，特聘請信息安全專家作為常年的安全顧問，參與安全規(guī)劃和安全評審等。 第三條 本文檔適用于計算機中心的信息技術(shù)人員的安全管理和指導(dǎo)，適用于指導(dǎo)計算機中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實施，適用于計算機中心安全管理體系中安全管理措施的選擇。第二條 信息系統(tǒng)安全總體目標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對外服務(wù)中斷和由此造成的系統(tǒng)運行事故。(四) 系統(tǒng)方法原則，按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)結(jié)合的方法提高實現(xiàn)安全保障的目標(biāo)的有效性和效率。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會影響。(九) 管理與技術(shù)并重原則，堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達到所要求的目標(biāo)。3. 信息安全總體安全策略第一條 物理安全策略(一) 機房必須選擇在經(jīng)過防震、防火、防雷擊驗收合格的辦公大樓內(nèi)部，機房的窗戶需要有防雨水滲透的能力。(五) 機房內(nèi)部必須劃分重要設(shè)備區(qū)、一般設(shè)備區(qū)、過渡區(qū)等區(qū)域，對不同區(qū)域分別進行管理，區(qū)域與區(qū)域之間進行物理隔離。(三) 整體網(wǎng)絡(luò)不能出現(xiàn)流量瓶頸，保證帶寬充足。(七) 網(wǎng)絡(luò)設(shè)備必須開啟日志審計功能。(四) 對服務(wù)器進行遠程管理時，必須采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。(八) 主機必須安裝防惡意代碼產(chǎn)品，并進行統(tǒng)一管理。(五) 應(yīng)用系統(tǒng)必須開啟登錄連接超時自動退出等措施。第五條 數(shù)據(jù)安全策略(一) 業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進行備份，以便發(fā)生問題時進行恢復(fù)。(五) 數(shù)據(jù)進行異地備份時，必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。第四條 流程制度的簽發(fā)：一般由分管領(lǐng)導(dǎo)簽發(fā)，有特別涉及到全校師生的，由副校長或相關(guān)領(lǐng)導(dǎo)簽發(fā)。第七條 流程制度的執(zhí)行：流程制度發(fā)布后，根據(jù)流程制度內(nèi)容由撰寫人或分管領(lǐng)導(dǎo)指定人員對發(fā)布的內(nèi)容進行培訓(xùn)，指導(dǎo)制度的執(zhí)行，由部門負責(zé)人、分管領(lǐng)導(dǎo)負責(zé)制度的執(zhí)行。人員安全包括內(nèi)部人員安全和外部人員安全。2. 關(guān)于安全意識教育和培訓(xùn)第一條 目的 為了規(guī)范醫(yī)院教工信息安全教育和培訓(xùn)工作，促進教工培訓(xùn)工作的日?；?、全員化、制度化，增強教工培訓(xùn)工作的效果，使教工培訓(xùn)工作發(fā)揮應(yīng)有的作用，特制定本制度。(二) 培訓(xùn)分類 結(jié)合XXXXXX醫(yī)院目前的實際情況，培訓(xùn)分為新員工培訓(xùn)和在職培訓(xùn)和兩大類。 在職培訓(xùn)中，屬于部門內(nèi)部特定的具體工作技能的培訓(xùn)，如邀請安全公司專家講座、討論會等形式，由信息中心安排實施； (三) 培訓(xùn)計劃的制訂 信息中心根據(jù)各部門及單位特定時期的具體情況，匯總、平衡、協(xié)調(diào)各部門的需求，制訂單位及各部門的年度信息安全培訓(xùn)計劃及各階段的具體實施方案。 4．2 各部門領(lǐng)導(dǎo)對下屬的培訓(xùn)負有責(zé)任并保證其下屬每季度至少能參加一次專業(yè)培訓(xùn)。(五) 培訓(xùn)記錄的保存每次安全教育和培訓(xùn)結(jié)束后，培訓(xùn)的組織者應(yīng)填寫《安全培訓(xùn)記錄報告表》，內(nèi)容包括培訓(xùn)的時間、地點、內(nèi)容、培訓(xùn)對象、培訓(xùn)效果等。(二) 采購會審、合同會簽制度物品采購，必須經(jīng)過有關(guān)部門參與，調(diào)研匯總各方意見，經(jīng)高管審核。（2） 加強學(xué)習(xí)，提高認(rèn)識，增強法治觀念。（6） ，廣泛掌握與采購業(yè)務(wù)相關(guān)的新設(shè)備及市場信息。供應(yīng)商為中間商時，應(yīng)調(diào)查其信譽、技術(shù)服務(wù)能力、資信和以往的服務(wù) 對象，供應(yīng)商的報價不能作為唯一決定的因素。外銷物品的采購，需求人員須使用OA中的項目采購申請流程，由各相關(guān)部門審批，對于毛利率小于8%的采購申請需要報請領(lǐng)導(dǎo)審批，最后交采購部門采購。信息中心負責(zé)合同條款的談判，付款申請、索賠、采購檔案的建立，市場信息的收集。（3） 付款程序信息中心根據(jù)付款計劃提出申請，走OA付款申請流程，各主管總裁簽字，后附付款明細單，交給財務(wù)部辦理付款手續(xù)。貨物出現(xiàn)質(zhì)量問題后，由使用部門或技術(shù)中心（外銷貨物）提出意見，報部門；領(lǐng)導(dǎo)，交信息中心處理。 （5） 審計監(jiān)督 采購全過程進行財務(wù)監(jiān)督和審計。對采購人員在采購過程發(fā)生的違犯廉潔制度的行為，將按醫(yī)院有關(guān)制度處理。第四條 內(nèi)容(一) 相關(guān)部門負責(zé)提出系統(tǒng)性軟件的開發(fā)需求，計算機中心部、專業(yè)化公司負責(zé)提出與其相關(guān)的應(yīng)用軟件的開發(fā)需求。(五) 軟件介質(zhì)、文檔資料由計算機中心部負責(zé)保管。(四) 計算機中心部對項目部提出軟件開發(fā)立項申請，包括軟件的管理功能、建立過程（引進、自主開發(fā)、委托開發(fā)）、預(yù)算資金。第二條 自主開發(fā) (一) 業(yè)務(wù)部門派專人或小組對本身的業(yè)務(wù)需求進行分析，搜集、整理全部原始資料，理清業(yè)務(wù)管理流程，在計算機中心部的指導(dǎo)下完成系統(tǒng)分析報告。(五) 計算機中心部將軟件交付用戶運行。(四) 計算機中心部測算進行軟件開發(fā)所需要的人力投入、時間投入，以“人年”為單位計算出工作量。(八) 計算機中心部匯總軟件的缺陷，由軟件開發(fā)商對軟件進行維護直至最終交付。(二) 項目部負責(zé)指導(dǎo)分包單位的安全文明施工實施細則的編制并監(jiān)督、檢查執(zhí)行情況。重要系統(tǒng)或設(shè)備的驗收應(yīng)通知相關(guān)部門人員到場。(二) 測試是對系統(tǒng)或設(shè)備的功能、性能等項目進行檢測。(三) 根據(jù)需要，新購系統(tǒng)或設(shè)備交使用部門試運行，試運行時間按照合同規(guī)定或同供貨商的協(xié)議進行。第一條 機房管理(一) 未經(jīng)允許，機房嚴(yán)禁閑雜及無關(guān)人員進入。(四) 機房內(nèi)的一切物品,未經(jīng)管理人員同意,不得隨意挪動、拆卸和帶出機房。(八) 愛護機器設(shè)備，嚴(yán)格按操作要求使用，注意保養(yǎng)。(三) 嚴(yán)禁攜帶易燃易爆品進入機房,因工作需要使用易燃物品時,應(yīng)嚴(yán)格執(zhí)行操作規(guī)程,用后必須放置于消防箱內(nèi)妥善保管。(六) 應(yīng)定期對機房供電線路及照明器具進行檢查,防止因線路老化短路造成的火災(zāi)。遇到緊急情況，應(yīng)及時上報。第四條 機房環(huán)境衛(wèi)生(一) 進入機房前要換工作鞋或穿鞋套。(四) 機房每周清潔一次，保持機房內(nèi)的機器、設(shè)備、器具等整齊清潔，在除塵時應(yīng)確保計算機設(shè)備的安全；保持一定的溫度和濕度，防止高溫和靜電破壞機器和其他相關(guān)設(shè)備。(二) 設(shè)備的登記：對單位新進的自用設(shè)備，設(shè)備管理部門首先進行檢查、確認(rèn)，然后對其編號，貼上設(shè)備標(biāo)簽，方能使用。設(shè)備管理部門應(yīng)及時進行故障排除，不能及時排除的故障應(yīng)給出說明。(七) 設(shè)備的使用：設(shè)備使用人員要愛護自已的設(shè)備，并保持設(shè)備的清潔，避免非法操作。設(shè)備管理部門負責(zé)具體處理廢品工作。如需送修，送修前必須將硬盤拆除并妥善保管，單位技術(shù)人員將其余部分送至有保密資質(zhì)的單位進行維修。4. 關(guān)于密碼管理第一條 機房的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的管理賬號密碼，由網(wǎng)絡(luò)管理員及部門負責(zé)人持有，實行密碼