【正文】 制訂信息安全管理制度和技術規(guī)范。同時作為信息安全組織組織的成員，其工作考核的一部分歸屬信息安全管理部門。各部門專、兼職安全管理員：負責本部門信息安全管理工作，是信息安全管理組織的成員。 安全崗位人員管理一、 安全崗位人員的管理考核專職安全管理員：專職負責信息安全管理工作，是信息安全管理部門的主要成員。具體培訓的內容及要求遵照《信息安全培訓及教育管理辦法》。對于不遵守公司信息安全管理制度和安全技術規(guī)范的員工，經查實后，由其所屬部門主管根據有關規(guī)定，報請人事行政部門對該員工進行處罰。n 由相關人員和該員工一起回顧其簽訂的保密協(xié)議，并使該員工明確所有保密事項，以及在離開公司后3年內不得披露、使用技術資料的規(guī)定。遵循“需要知道”原則，盡量避免由于不當或過于頻繁的調動，造成人員的權限過大的情況。n 如有必要，修改合同中有關條款和相應的保密條款或保密協(xié)議，并擬定新的雇傭合同，而且原合同中的保密條款或保密協(xié)議將繼續(xù)有效。二、 員工工作調動的安全管理由于業(yè)務工作的需要或其他原因，需要對員工進行崗位調動時，必須考慮以下安全事項：n 根據新崗位的需要，增加、刪除或修改該人員的計算機信息系統(tǒng)訪問權限，包括電子郵件系統(tǒng)、業(yè)務應用系統(tǒng)、網絡系統(tǒng)和其他計算機信息軟硬件系統(tǒng)。如有特殊情況，需要經公司主管安全的一級經理同意后，方可考慮錄用。培訓文檔管理　　 人員安全管理解決方案在安全管理的過程中，內部人員的安全管理作為安全管理的重中之重，內部人員安全是信息系統(tǒng)主要面臨的內部安全威脅，在對人員的管理中，需要重點考慮如下幾個方面的內容 普通員工安全管理一、 員工錄用安全管理員工錄用，除了應該遵守相關人事和勞動法律法規(guī)外，還必須考慮以下安全事項：n 除了嚴格考察該人員的業(yè)務技術水平和相關資質認證（相關計算機認證證書等）外，還必須考慮政治、社會和素質等多方面的因素。l 具體操作過程遵守公司人力資源部的相關培訓管理制度。 安全培訓的實施l 培訓的實施，建議由公司人力資源部負責。l 具體操作過程遵守公司人力資源部的相關培訓管理制度。l 涉及納入員工考核的培訓，需要公司人力資源部的確實，以及公司網絡與信息安全辦公室備案考核結果。 信息安全培訓的管理對于信息安全培訓的管理主要控制信息安全培訓的發(fā)起和實施，保證信息安全培訓的質量：216。216。216。216。216。216。 安全體系及安全職責分工培訓l 公司各級領導及員工明確了解公司信息安全體系，并明確各自在的安全職責，明確自身對維護保障公司系統(tǒng)正常、安全運行所需承擔的相關責任和義務。l 員工培訓方式應主要采取內部培訓的方式。216。 公司系統(tǒng)管理員l 公司系統(tǒng)管理員培訓目標是掌握各系統(tǒng)相關專業(yè)安全技術，協(xié)助公司和各部門信息安全管理人員維護和保障系統(tǒng)正常、安全運行。l 信息安全管理人員培訓方式可以采用聘請外部信息安全專業(yè)資格授證培訓、參加信息安全專業(yè)培訓、自學信息安全管理理論及技術 和 公司內部學習研討的方式。216。 管理層（決策層）l 管理層培訓目標是明確建立公司信息安全體系的迫切性和重要性，獲得公司管理層（決策層）有形的支持和承諾。制度制度管理規(guī)范，收發(fā)記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度評審和修訂a信息安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；定期審定的規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度評審和修訂b應定期或不定期對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。 公司級制度管理流程圖下圖給出公司級制度的管理流程供本次項目參考：公司級制度管理流程圖216。 公司信息安全工作組、領導小組審批部門信息安全組織/公司信息安全辦公室/公司信息安全工作組/工作信息安全領導小組4監(jiān)督和檢查167。 制定部門負責修改和廢止167。 公司級策略u 公司信息安全工作組審核u 公司信息安全領導小組審批u 公司信息安全辦公室發(fā)布167。 公司級信息安全策略由公司信息安全辦公室負責制定167。 制度管理流程信息表下表給出了制度管理流程表，供本次項目參考：流程名稱策略管理流程流程編碼OPT6流程負責人公司信息安全辦公室流程起點： 制定安全策略流程目的：規(guī)范公司以及各部門信息安全策略的制定、發(fā)布、修改、廢止、檢查和監(jiān)督落實，建立科學、嚴謹的信息安全策略管理體系。具體參照公司考核制度辦理。l 安全策略的貫徹落實情況，必須作為重要的考核項目，納入部門的綜合考評體系。l 為保障各項信息安全管理制度的貫徹落實，公司信息安全管理部門必須定期檢查安全策略的落實情況，信息安全管理制度的落實情況檢查是信息安全檢查工作的重要內容。同時公司信息安全管理部門備案。l 公司層安全策略的修改與廢止須經公司信息安全領導組織審批確認，公司信息安全管理部門備案。l 當現(xiàn)行安全策略有下列情形之一時，須及時修改：(一) 當發(fā)生重大安全事件，暴露出安全策略存在漏洞和缺陷時；(二) 組織機構或生產系統(tǒng)進行重大調整和變更后；(三) 同一個事項在兩個規(guī)章制度中規(guī)定不一致；(四) 與上級部門的安全策略相抵觸；其它需要修改安全策略的情形。 安全制度修改與廢止l 須定期對安全策略進行評審，對其中不適用的或欠缺的條款，及時進行修改和補充。l 安全策略修訂后需要以正式文件的形式重新發(fā)布施行，修訂后的策略也需相應層次的管理部門審批。l 系統(tǒng)層安全策略由各系統(tǒng)管理員制訂、本中心安全管理員協(xié)助，本部門安全管理組織審批、發(fā)布，同時要留存公司信息安全管理部門備案。 l 公司層安全策略由公司網絡與信息安全工作組制訂，公司網絡與信息安全領導小組審批、發(fā)布。 滿足指標解決方案名稱控制類控制點指標名稱措施名稱改進動作安全制度制定解決方案安全管理制度管理制度a應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；制定安全方針安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度b應對安全管理活動中的各類管理內容建立安全管理制度；建立各類安全管理制度安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度c應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；建立各類操作規(guī)程安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度d應形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。 安全策略的制定要求l 公司安全策略中不得出現(xiàn)公司的涉密信息。l 各部門信息安全組織遵照公司下發(fā)的安全策略，結合本部門系統(tǒng)實際情況，制定和細化成適用于本部門的具體管理辦法、實施細則和操作規(guī)程等，不得與公司的規(guī)章制度相抵觸，并須報公司信息安全管理部門備案。 需要制定的策略文檔本項目中需要制定的策略文檔至少覆蓋以下方面：n 安全方針n 安全組織n 資產分類及控制n 人員安全n 物理和環(huán)境安全n 通信和運作管理n 系統(tǒng)訪問控制n 系統(tǒng)開發(fā)與維護n 安全事件處理n 業(yè)務連續(xù)性規(guī)劃n 符合性 安全制度制定安全制度的首要問題是需要對安全制度的制定，對于XX醫(yī)院核心業(yè)務系統(tǒng)公司在安全制度的制定的過程中，考慮如下內容：216。與其它部分的關系：向上遵照管理制定和規(guī)定、最高方針。包括安全管理人員、網絡和系統(tǒng)管理員的安全責任書、保密協(xié)議、安全使用承諾等等。216。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。216。向下延伸到用戶簽署的文檔和協(xié)議。此部分文檔較多。 管理制度和規(guī)定各類管理規(guī)定、管理辦法和暫行規(guī)定。與其它部分的關系：向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的依據。 技術標準和規(guī)范技術標準和規(guī)范，包括各個網絡設備、主機操作系統(tǒng)和主要應用程序的應遵守的安全配置和管理的技術標準和規(guī)范。與其它部分的關系：從最高方針中延伸出來，其具體執(zhí)行和實施由管理規(guī)定、技術標準規(guī)范、操作流程和用戶手冊來落實。 組織機構和人員職責安全管理組織機構和人員的安全職責，包括的安全管理機構組織形式和運作方式，機構和人員的一般責任和具體責任。與其它部分的關系：所有其它部分都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背和抵觸。策略系列文檔結構圖：216。安全策略體系建立的價值在于：l 推進信息安全管理體系的建立n 安全策略和制度體系的建設n 安全組織體系的建設n 安全運作體系的建設l 規(guī)范信息安全規(guī)劃、采購、建設、維護和管理工作，推進信息安全的規(guī)范化和制度化建設 策略結構描述信息安全策略為信息安全提供管理指導和支持。安全制定的適用范圍是XX醫(yī)院核心業(yè)務系統(tǒng)擁有的、控制和管理的所有信息系統(tǒng)、數據和網絡環(huán)境，適用于屬于XX醫(yī)院核心業(yè)務系統(tǒng)范圍內的所有部門。l 安全管理體系分為安全組織、安全策略、安全建設和安全運維四部分。其中：l 技術體系參考《設計技術要求》，分為計算環(huán)境安全、邊界安全、通信網絡安全和安全管理中心四部分。根據定級結果，整體按三級來管理和建設。要求醫(yī)療衛(wèi)生行業(yè)全面開展等級保護建設。要求各行業(yè)利用三年時間，通過組織開展信息安全等級保護安全管理制度建設、技術措施建設和等級測評等三項重點工作，落實等級保護制度的各項要求。2009年，在全國信息系統(tǒng)安全等級保護定級工作基礎上，公安部又印發(fā)了《關于開展信息安全等級保護安全建設整改工作的指導意見》，開始部署開展信息系統(tǒng)等級保護安全建設整改工作。目前電子病歷系統(tǒng)的組織實施、管理維護、安全防護均由計算機中心管理。目前醫(yī)院所使用的電子病歷系統(tǒng)為2011年引進的，XX公司開發(fā)的CS架構的結構化的電子病歷系統(tǒng)(TPEMR)。各子系統(tǒng)必須協(xié)同運行，支持醫(yī)院臨床診療、科研教學、經營決策等方方面面的日常業(yè)務與管理工作，是一體化的信息系統(tǒng)。整個網絡主干千兆，百兆到桌面，為兩層星型結構。由計算機網絡中心負責組織實施、運行管理和維護工作。目前已經完成系統(tǒng)定級，最終確定北京XX醫(yī)院核心業(yè)務信息系統(tǒng)安全保護等級為第三級。 方案設計依據本方案的設計主要依據以下等級保護政策：n 公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室聯(lián)合轉發(fā)的《關于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）n 公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的《信息安全等級保護管理辦法》（公通字〔2007〕43號）n 公安部頒發(fā)的《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)n 公安部《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安〔2010〕303號）nn 本方案的設計主要依據如下等級保護標準：n 《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GB/T 222392008）n 《信息安全技術 信息系統(tǒng)等級保護安全設計技術要求》(GB/T 250702010)本方案還參考了如下一些政策和標準：n 《信息安全技術 信息系統(tǒng)安全等級保護定級指南》(GB/T 222402008)n 《信息安全技術 信息系統(tǒng)安全等級保護實施指南》n 《信息安全技術 信息系統(tǒng)安全等級保護測評要求》n 《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》n 《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 178591999）n 《信息安全技術 信息系統(tǒng)通用安全技術要求》（GB/T 202712006）n 《信息安全技術 網絡基礎安全技術要求》（GB/T 202702006）n 《信息安全技術 操作系統(tǒng)安全技術要求》（GB/T 202722006）n 《信息安全技術 數據庫管理系統(tǒng)安全技術要求》（GB/T 202732006）n 《信息安全技術 服務器技術要求》（GB/T 210282007）n 《信息安全技術 終端計算機系統(tǒng)安全等級技術要求》（GA/T 6712006）n 《信息安全技術 信息系統(tǒng)安全管理要求》（GB/T 202692006）n 《信息安全技術 信息系統(tǒng)安全工程管理要求》（GB/T 202822006）n GB/T 220802008/ISO/IEC 27001:2005《信息技術 安全技術 信息安全管理體系 要求》n IATF《信息保障技術框架》2 現(xiàn)狀分析 網絡架構描述XX醫(yī)院網絡架構主要由終端安全域、安全設備運維區(qū)、互聯(lián)網DMZ區(qū)、業(yè)務服務器區(qū)等安全域構成系統(tǒng)使用的安全產品清單：序號設備名稱型號數量1防火墻XX22安全網關XX13入侵檢測系統(tǒng)XX14漏洞掃描系統(tǒng)XX15補丁分發(fā)系統(tǒng)XX16信息安全綜合審計監(jiān)控系統(tǒng)XX17寬帶信息安全（上網行為）管理系統(tǒng)XX18綜合網絡安全管理系統(tǒng)XX19互聯(lián)網帶寬管理系統(tǒng)XX110網絡防病毒系統(tǒng)XX1已經部署的安全產品除網絡防病毒系統(tǒng)外，其他產品均購置于四年前，無論從性能、功能上已經不能適應當今的安全要求，本次建設將予以更換。“標準化”原則：管理要規(guī)范化、標準化，以保證在能源行業(yè)龐大而多層次的組織體系中有效的控制風險?！斑m度安全”原則：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點。 “整體規(guī)劃，分步實施”原則：對信息安全建設進行整體規(guī)劃，分步實施，逐步建立完善的信息安全體系。該體系覆蓋信息系統(tǒng)安全所要求的各項內容，符合信息系統(tǒng)的業(yè)務特性和發(fā)展戰(zhàn)略，滿足XX醫(yī)院信息安全要求。 方案設計目標本次XX醫(yī)院核心業(yè)務系統(tǒng)等級保護安全建設的主要目標是：