【正文】 16　11　8　25　32　62　40總計2144 信息安全體系框架設(shè)計XX醫(yī)院核心業(yè)務(wù)系統(tǒng)安全體系框架分為技術(shù)體系與管理管理體系兩部分。同時滿足《基本要求》中物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等方面技術(shù)指標(biāo)。5 管理體系整改方案 安全制度制定解決方案安全制度是指導(dǎo)XX醫(yī)院核心業(yè)務(wù)系統(tǒng)維護管理工作的基本依據(jù)，安全管理和維護管理人員必須認(rèn)真制定的制度，并根據(jù)工作實際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實施細(xì)則，做好安全維護管理工作。對人員的適用范圍包括所有與XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的相關(guān)工作人員，全部XX醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)容的維護人員，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時工，商務(wù)伙伴和使用XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的其他第三方。XX醫(yī)院核心業(yè)務(wù)系統(tǒng)應(yīng)該制定一套清晰的指導(dǎo)方針，并通過在組織內(nèi)對信息安全策略的發(fā)布和保持來證明對信息安全的支持與承諾。 最高方針最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。216。作為機構(gòu)和員工具體工作時的具體職責(zé)依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。216。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和應(yīng)用程序的安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。216。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。與其它部分的關(guān)系：向上遵照最高方針。用戶協(xié)議必須遵照管理規(guī)定和管理辦法，不與之發(fā)生違背。 安全操作流程操作流程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程和步驟，和相關(guān)注意事項。與其它部分的關(guān)系：向上遵照技術(shù)標(biāo)準(zhǔn)和規(guī)范、最高方針。 用戶協(xié)議用戶簽署的文檔和協(xié)議。作為員工或用戶對日常工作中的遵守安全規(guī)定的承諾，也作為安全違背時處罰的依據(jù)。216。 界定安全策略制度的制定權(quán)限l 公司網(wǎng)絡(luò)與信息安全管理小組負(fù)責(zé)制定公司層的安全策略，主要包括：公司信息安全體系、公司安全策略框架、公司信息安全方針、公司信息安全體系等級化標(biāo)準(zhǔn)、公司全局性安全技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范、公司全局性安全管理制度和規(guī)定、公司安全組織機構(gòu)和人員職責(zé)、公司層全局性用戶協(xié)議。216。l 對公司安全策略進行匯編時，須保留各安全策略的版本控制信息和密級標(biāo)識。編制制度體系說明文檔安全制度開發(fā) 安全制度管理解決方案安全制度制定后，對安全制度的管理工作十分重要，在對安全制度管理過程中，需要注意如下內(nèi)容： 安全制度發(fā)布l 安全策略須以正式文件的形式發(fā)布施行。l 部門層安全策略由各生產(chǎn)中心安全管理組織制訂，公司網(wǎng)絡(luò)與信息安全工作組審批、發(fā)布，同時要留存公司信息安全管理部門備案。l 安全策略發(fā)布后，如有必要，安全策略制定部門應(yīng)召集相關(guān)人員學(xué)習(xí)安全策略，詳細(xì)講解規(guī)章制度的內(nèi)容并解答疑問。l 簽署發(fā)布的規(guī)章制度必須標(biāo)明該規(guī)章制度的施行日期。對已不適用的信息安全制度或規(guī)定應(yīng)及時廢止。 l 當(dāng)現(xiàn)行安全策略有下列情形之一時，必須及時予以廢止：(一) 因有關(guān)信息安全制度或規(guī)定廢止，使該信息安全制度或規(guī)定失去依據(jù)，或與公司現(xiàn)行上層策略相抵觸；(二) 因已規(guī)定的事項已經(jīng)執(zhí)行完畢，沒有存在必要；(三) 已被新的規(guī)章制度所替代。l 部門層安全策略的修改與廢止須經(jīng)各部門信息安全維護組織及公司信息安全管理部門審批確認(rèn)。 安全制度監(jiān)督和檢查l 安全策略發(fā)布實施后，各部門應(yīng)就安全策略制度或規(guī)定的貫徹執(zhí)行，執(zhí)行中存在的問題以及對規(guī)章制度修改或廢止的意見建議等情況進行檢查、監(jiān)督，并將意見和建議及時反饋給制度的制定部門。l 信息安全檢查工作結(jié)束后，在起草檢查報告時，必須通報安全策略的落實情況，對執(zhí)行不力的行為必須提出整改意見，限期糾改，并繼續(xù)追蹤其落實情況。為安全策略落實做出顯著成績的部門或個人，應(yīng)給予表彰和獎勵；對違反規(guī)章制度造成嚴(yán)重后果的部門或個人，應(yīng)追究當(dāng)事人、相關(guān)單位及主管領(lǐng)導(dǎo)的責(zé)任。 安全制度管理流程216。流程終點：審議安全策略執(zhí)行步驟編號操作步驟操作描述操作崗位1策略制定167。 部門級信息安全策略由部門信息安全組織負(fù)責(zé)制定部門信息安全組織/公司信息安全辦公室2審核與發(fā)布167。 部門級策略u 公司信息安全辦公室審核u 公司信息安全工作組審批u 部門信息安全組織發(fā)布部門信息安全組織/公司信息安全辦公室/公司信息安全工作組/工作信息安全領(lǐng)導(dǎo)小組3修改與廢止167。 公司信息安全辦公室審核、備案167。 公司信息安全辦公室監(jiān)督、檢查公司信息安全辦公室流程輸入步驟編號輸入部門輸入內(nèi)容輸入標(biāo)準(zhǔn)載體名稱1部門信息安全組織策略（制度、標(biāo)準(zhǔn)、規(guī)范、運行維護計劃）完整策略文檔1公司信息安全辦公室策略（制度、標(biāo)準(zhǔn)、規(guī)范、運行維護計劃）完整策略文檔流程輸出步驟編號接收部門輸出內(nèi)容輸出標(biāo)準(zhǔn)載體名稱4信息安全辦公室策略審批、備案信息及時、準(zhǔn)確“信息安全平臺”使能器IT信息平臺“公司信息安全平臺”策略策略文檔216。 部門級制度管理流程圖下圖給出部門級制度管理流程圖供本次項目參考：部門級制度管理流程圖 滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作安全制度管理解決方案安全管理制度制定和發(fā)布a應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；專人制定的規(guī)定制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布b安全管理制度應(yīng)具有統(tǒng)一的格式，并進行版本控制；版本控制規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布c應(yīng)組織相關(guān)人員對制定的安全管理制度進行論證和審定；制度審定規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布d安全管理制度應(yīng)通過正式、有效的方式發(fā)布；制度發(fā)布規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布e安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。定期修訂的規(guī)定與記錄制度管理規(guī)定與記錄 安全教育與培訓(xùn)解決方案組織內(nèi)的人員安全意識決定了信息安全的管理水平，有必要定期的對所有人員進行全面的安全培訓(xùn)，提供信息系統(tǒng)使用人員和管理人員的安全技能與安全意識，在安全教育和培訓(xùn)過程中著重考慮如下幾個方面： 信息安全培訓(xùn)的對象信息安全培訓(xùn)工作需要分層次、分階段、循序漸進地進行，而且必須是能夠覆蓋全員的培訓(xùn)；分層次培訓(xùn)是指對不同層次的人員，如對管理層（包括決策層）、信息安全管理人員，系統(tǒng)管理員和員工開展有針對性和不同側(cè)重點的培訓(xùn)；分階段是指在信息安全管理體系的建立、實施和保持的不同階段，培訓(xùn)工作要有計劃地分步實施；信息安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進行，安全培訓(xùn)對象主要保護如下幾個類型的員工：216。l 管理層培訓(xùn)方式可以采用聘請外部信息安全培訓(xùn)、專業(yè)公司的技術(shù)專家和咨詢顧問以專題講座、研討會等形式。 信息安全管理人員l 信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原理和相關(guān)技術(shù)、強化信息安全意識、支撐公司信息安全體系的建立、實施和保持。216。l 公司系統(tǒng)管理員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。 員工l 員工培訓(xùn)目標(biāo)是了解公司相關(guān)信息安全制度和技術(shù)規(guī)范，并安全、高效地使用公司信息系統(tǒng)。 信息安全培訓(xùn)的內(nèi)容信息安全培訓(xùn)的內(nèi)容主要包含如下幾個方面：216。l 培訓(xùn)應(yīng)采用長期，并覆蓋公司全員。 新員工入職安全培訓(xùn)新員工在正式上崗前，應(yīng)進行信息安全方面的培訓(xùn)，明確崗位所要求遵守的公司信息安全制度和技術(shù)規(guī)范。 員工安全技術(shù)教育針對公司系統(tǒng)的維護人員和管理員應(yīng)定期開展安全技術(shù)教育培訓(xùn)（每年至少一次），明確如何安全使用有關(guān)系統(tǒng)，包括各業(yè)務(wù)系統(tǒng)、主機操作系統(tǒng)、電子郵件系統(tǒng)、內(nèi)部網(wǎng)站以及普通計算機周邊硬件設(shè)備。 各項安全專業(yè)技術(shù)教育針對公司安全管理員和系統(tǒng)管理員應(yīng)定期開展由供應(yīng)商或廠家提供的專業(yè)安全技術(shù)培訓(xùn)，幫助相關(guān)安全管理人員和系統(tǒng)管理員了解掌握正確、安全地安裝、配置、維護系統(tǒng)。 安全專業(yè)資格認(rèn)證針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)實際情況，挑選公司信息安全管理及安全技術(shù)人員進行相關(guān)的認(rèn)證考試培訓(xùn)，并參加認(rèn)證考試，以提高公司安全管理人員對信息安全的管理理論和技術(shù)的水平。 信息安全內(nèi)部考核（含培訓(xùn)）針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)崗位不同，對員工進行相關(guān)的信息安全培訓(xùn)，并在培訓(xùn)后實行書面（開卷或閉卷）信息安全考核。 安全培訓(xùn)的發(fā)起l 公司及部門安全管理組織可根據(jù)自身安全管理的需要，發(fā)起相應(yīng)的安全培訓(xùn)計劃。l 新員工、公司全員的安全培訓(xùn)教育，納入公司人力資源部的整體培訓(xùn)計劃中。216。l 對專業(yè)性很強的培訓(xùn)，培訓(xùn)發(fā)起的各級安全培訓(xùn)組織負(fù)責(zé)。 滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作改進對象安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)a應(yīng)對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；培訓(xùn)教材與記錄　　安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)b應(yīng)對安全責(zé)任和懲戒措施進行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進行懲戒；處罰制度　　安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)c應(yīng)對定期安全教育和培訓(xùn)進行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)；配置制度與計劃　　安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)d應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。n 不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和“黑客”經(jīng)歷的人員。在簽訂勞動合同之外，必須簽訂《保密協(xié)議》，明確該人員應(yīng)嚴(yán)格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機密的要求以及違約責(zé)任等。n 如有必要，重新創(chuàng)建相關(guān)管理員賬號并修改其口令。n 與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。三、 員工離職的安全管理員工在離職時，必須遵守以下安全操作流程：n 刪除該員工的所有信息系統(tǒng)訪問賬號和權(quán)限，如有必要將重新創(chuàng)建有關(guān)管理員賬號和口令。四、 對員工的安全審計網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及各生產(chǎn)中心安全管理組織定期組織對員工進行安全審計和監(jiān)督工作，并把審計和監(jiān)督結(jié)果報告抄送給該人員所屬部門主管，作為對該人員工作考核的依據(jù)之一。五、 對員工的安全培訓(xùn)及教育員工的安全培訓(xùn)及教育由公司網(wǎng)絡(luò)與信息安全辦公室及各部門安全管理組織統(tǒng)一計劃，公司人力資源部協(xié)助實施。員工的安全培訓(xùn)及教育成績，作為對該人員工作考核的依據(jù)之一。具體人員在網(wǎng)絡(luò)工程處，歸屬網(wǎng)絡(luò)工程處長管理，考核。人員編制在各部門，日常工作歸屬相應(yīng)部門來管理。（具體份額，人力資源部門和信息安全領(lǐng)導(dǎo)小組確定）二、 安全崗位人員的培訓(xùn)教育安全崗位的人員需要進行相關(guān)安全管理技能的專業(yè)培訓(xùn)及教育等工作，安全崗位人員的培訓(xùn)由信息安全管理部門牽頭負(fù)責(zé)，安全崗位人員的培訓(xùn)成績作為其相應(yīng)工作考核項之一。領(lǐng)導(dǎo)、組織信息安全管理制度和技術(shù)規(guī)范的具體實施。定期就信息安全管理的效果和有關(guān)重大問題及時向人民銀行信息安全管理部門匯報。負(fù)責(zé)實施和維護信息安全管理制度和技術(shù)規(guī)范。組織、領(lǐng)導(dǎo)對安全崗位人員的信息安全教育培訓(xùn)。安全技術(shù)大學(xué)本科以上學(xué)歷，計算機/信息安全專業(yè) 參與信息安全技術(shù)規(guī)范的制訂。 負(fù)責(zé)信息安全解決方案的評估檢查工作。 負(fù)責(zé)安全預(yù)警及安全審計工作。 領(lǐng)導(dǎo)、監(jiān)督、檢查各部門安全管理員的工作。技術(shù)支持處安全管理大學(xué)本科以上學(xué)歷，計算機/信息安全專業(yè)制訂技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范。負(fù)責(zé)落實外匯局信息安全在技術(shù)支持處的工作職責(zé)負(fù)責(zé)技術(shù)支持處建設(shè)項目及信息安全項目的方案編制，安全評估、安全檢查、實施等工作。定期就技術(shù)支持處信息安全管理的效果和有關(guān)重大問題及時向外匯局信息安全管理部門匯報。崗位名稱具體工作內(nèi)容系統(tǒng)規(guī)劃及建設(shè) 根據(jù)和各部門安全建設(shè)的要求，在規(guī)劃中提前考慮信息安全因素； 為系統(tǒng)建設(shè)提供安全功能開發(fā)和建設(shè)的指導(dǎo)； 在項目建設(shè)中同步考慮項目的信息安全因素，做好安全加固等保障工作； 為系統(tǒng)維護人員提供系統(tǒng)安全運行和維護的指導(dǎo)；系統(tǒng)維護 在項目規(guī)劃和建設(shè)階段提出信息安全方面的建議； 負(fù)責(zé)系統(tǒng)交維后的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等信息安全狀況的檢查和驗收； 負(fù)責(zé)系統(tǒng)設(shè)備的日常運行、安全維護和管理工作，保持系統(tǒng)處于良好的運行狀態(tài)；應(yīng)用維護 在應(yīng)用系統(tǒng)規(guī)劃和建設(shè)階段提出信息安全方面的建議； 負(fù)責(zé)系統(tǒng)交付后業(yè)務(wù)應(yīng)用系統(tǒng)信息安全狀況的檢查和驗收； 負(fù)責(zé)業(yè)務(wù)和應(yīng)用系統(tǒng)的日常運行、安全維護和管理工作，保持應(yīng)用系統(tǒng)處于良好的運行狀態(tài)；各省安全技術(shù)人員 嚴(yán)格遵循安全管理辦法的相關(guān)安全要求； 參加和配合外匯局及本部門的信息安全檢查工作。五、 安全崗位人員的安全控制在安全崗位人員錄用、審計、調(diào)動和解聘方面進行嚴(yán)格的安全控制，是保障信息安全組織體系的關(guān)鍵。 安全崗位人員的錄用對于安全崗位人員的錄用，除了應(yīng)該遵守相關(guān)人事和勞動法律法規(guī)外，還必須考慮以下安全事項：n 在嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證（相關(guān)計算機認(rèn)證證書等）的同時，必須考慮政治、社會和素質(zhì)等多方面的因素。如有特殊情況，需要經(jīng)主管安全的局長同意后，方