信息科管理制度流程类.docx
- 文档编号:28735431
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:32
- 大小:52.96KB
信息科管理制度流程类.docx
《信息科管理制度流程类.docx》由会员分享,可在线阅读,更多相关《信息科管理制度流程类.docx(32页珍藏版)》请在冰豆网上搜索。
信息科管理制度流程类
XXXXXX医院
计算机信息系统制度汇总
XXXXXX医院计算机中心编制
2016年11月
前言
为加强XXXXXX医院等级保护相关信息安全管理的建设,确保医院内计算机信息系统的运行安全、管理有序、措施有效,结合本系统、本单位实际,针对信息系统运行中的管理过程、管理要求、管理内容及信息系统、网络设备的使用和管理制定本制度。
根据江苏省卫生厅相关规定,结合我院具体情况,XXXXXX医院应用信息系统最高级别为二级。
本制度制定依据为国家公安部等部门编写的《信息系统安全等级保护基本要求》(GBT22239-2008)、《江苏省开展重要信息系统安全等级保护定级工作的实施意见》(苏公通[2007]187号)、《信息安全管理体系要求》(GB/T22080-2008)等文件规定。
本制度适用于XXXXXX医院内应用信息系统的管理。
第一章安全管理机构
1.安全组织结构及职责
第一条系统组织结构图
第二条系统营运负责人责任
本系统主要由计算机中心负责维护,主机托管于计算机中心机房。
负责人主要职责是:
(一)及时部署相关系统的安全与维护工作,保证系统的正常运行和使用。
(1)掌握系统的基本使用情况;
(2)主持召开领导小组工作会议,对系统安全工作进行研究、部署;
(3)对系统安全,日常维护工作做出具体指示、提出明确意见和工作要求。
(二)定期或根据省、市保密部门要求组织对医院各项安全保密工作落实情况的监督检查;
(三)对系统使用方履行职责提供保障:
(1)对系统使用方提供相应服务,支持包括网络,业务平台等需求;
(2)支持使用方安全保密开展工作;
(3)对系统使用方履行保密工作职责进行监督、指导;
(4)做好灾备工作,应付各种系统突发事件,降低损失。
第三条系统使用方负责人责任
对涉及本部门业务上保密业务的负有领导责任,主要职责是:
(一)全面及时研究和部署本部门保密工作:
(1)对本部门涉密和非涉密工作进行划分,掌握好本部门保密工作全面情况;
(2)主持召开部门保密工作会议,对本部门保密工作进行研究、部署;
(3)对本部门保密工作做出具体指示、提出明确意见和工作要求。
(二)定期或根据省、市、医院保密部门要求组织对本部门各项保密工作落实情况的监督检查;
(三)对保密工作机构履行职责提供保障:
(1)支持各业务部门开展工作;
(2)支持专兼职保密工作人员开展工作;
(3)对各业务部门履行保密工作职责进行监督、指导。
(四)组织开展对新形势下保密工作热点、难点问题的调查研究。
第四条安全保密管理员
(一)负责涉密信息系统的日常安全保密管理工作,包括对用户账号权限管理以及安全保密设备管理和系统所产生日志的审查分析。
(二)负责将系统权限分配策略与系统内的用户逐一对应,并最终形成文档化的用户权限列表。
(三)监视系统运行情况的任务,完成对系统资源的各种非法访问的收集、记录,然后进行分析、处理,必要时还要将审计的异常事件及时上报主管领导。
2.
人员分配及职责规定
第一条总则
为进一步加强信息网络的管理,保障信息系统安全、稳定运行。
应设立系统管理员、网络管理员、安全审计员岗位,并定义各个工作岗位的职责。
第二条系统管理员工作职责
(一)负责系统的日常运行维护工作
(二)确保涉密信息系统处于无故障运行的状态
(三)能够进行网络、操作系统和业务应用系统的安装和维护工作,进行系统功能、实时性能监控和必要的状态检查
(四)定期备份数据,能够在系统中断、运行瘫痪的情况下,及时排除相应故障,避免或尽可能降低系统损失;
(五)对系统的运行情况进行分析,提供合理的扩容、改造建议,确保系统的可持续发展。
第三条网络管理员工作职责
(一)协助网络主管制定网络建设及网络发展规划,确保网络系统安全运行。
(二)负责公用网络实体(如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等)的维护和管理。
(三)负责服务器和系统软件的安装、维护、调整及更新。
(四)负责网络账号管理、资源分配、数据安全和系统安全。
(五)监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通。
(六)负责系统备份和网络数据备份。
(七)保管网络拓扑图、网络接线表、设备规格及配置单,做好网络管理记录、网络运行记录、网络检修记录等网络资料,并纳入资料库。
(八)每年对本部门网络的效能和各电脑性能进行评价,提出网络结构、网络技术和网络管理的改进措施。
第四条安全审计员工作职责
(一)制定信息安全审计的范围和日程
(二)管理具体的审计过程
(三)分析审计结果并提出对信息安全管理体系的改进意见
(四)召开审计启动会议和审计总结会议
(五)向主管领导汇报审计的结果及建议
(六)为相关人员提供审计培训。
3.
关于加强与外界的沟通合作说明
第一条为加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,特规定定期或不定期召开协调会议,共同协作处理信息安全问题;
第二条为加为促进更好的合作交流,规定加强与兄弟单位、公安机关、电信公司的合作与沟通;加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;
第三条建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
第四条为加强信息安全建设,特聘请信息安全专家作为常年的安全顾问,参与安全规划和安全评审等。
第二章安全管理制度
1.信息安全工作总则
第一条为加强和规范XXXXXX医院及附属单位信息系统安全工作,提高计算机中心信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求特制定本文档。
第二条本文档的目的是为计算机中心信息系统安全管理提供一个总体的策略性架构文件,该文件将指导计算机中心信息系统的安全管理体系的建立。
安全管理体系的建立是为计算机中心信息系统的安全管理工作提供参照,以实现中心统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。
第三条本文档适用于计算机中心的信息技术人员的安全管理和指导,适用于指导计算机中心信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于计算机中心安全管理体系中安全管理措施的选择。
第四条引用标准及参考文件,本文档的编制参照了以下国家、中心的标准和文件。
《中华人民共和国计算机信息系统安全保护条例》
《关于信息安全等级保护建设的实施指导意见》
《信息安全技术信息系统安全等级保护基本要求》
《信息安全技术信息系统安全管理要求》
《信息系统等级保护安全建设技术方案设计要求》
《关于开展信息安全等级保护安全建设整改工作的指导意见》
2.
信息安全方针和目标
第一条计算机中心信息系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。
依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。
第二条信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。
第三条信息安全工作的总体原则如下:
(一)基于安全需求原则,组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。
(二)主要领导负责原则,主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。
(三)全员参与原则,信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
(四)系统方法原则,按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法提高实现安全保障的目标的有效性和效率。
(五)持续改进原则。
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
(六)依法管理原则,信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。
对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。
(七)分权和授权原则,对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。
任何实体如用户、管理员、进程、应用或系统,仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(八)选用成熟技术原则,成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
(九)管理与技术并重原则,坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
(一十)自保护和国家监管结合原则,对信息系统安全实行自保护和国家保护相结合。
组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障医院信息安全。
第四条在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
3.
信息安全总体安全策略
第一条物理安全策略
(一)机房必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力。
(二)机房的位置不能是大楼的地下室、一楼房间或是大楼的顶层,机房的正上方不能是用水量大的房间。
(三)机房出入口必须有专人值守,对工作人员进行登记。
(四)进入机房的工作人员必须由安全管理员或机房管理员全程陪同。
(五)机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离。
(六)机房内部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。
第二条网络安全策略
(一)网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发等系统。
(二)网络设备除接入交换机之外,必须进行双机热备,除接入交换机链接工作终端的线路外,其他线路必须进行双线冗余。
(三)整体网络不能出现流量瓶颈,保证带宽充足。
(四)各部门必须划分不同网段的IP地址。
(五)划分网络带宽,突出优先级。
(六)网络边界处必须部署防火墙、IPS等安全设备。
(七)网络设备必须开启日志审计功能。
第三条主机安全策略
(一)登录操作系统和数据库系统的用户必须进行身份标识和鉴别。
(二)操作系统和数据库系统管理用户身份标识不能出现同名用户,口令应有复杂度要求并定期更换。
(三)操作系统和数据库系统必须启用登录失败处理功能。
(四)对服务器进行远程管理时,必须采取必要措施,防止鉴别信息在网络传输过程中被窃听。
(五)为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性,不能出重名情况。
(六)操作系统和数据库必须及时删除多余的、过期的账户,避免共享账户的存在。
(七)主机必须开启日志审计功能。
(八)主机必须安装防恶意代码产品,并进行统一管理。
第四条应用安全策略
(一)应用系统必须在登录时要求输入用户名和口令。
(二)登录应用系统必须进行两种或两种以上的复合身份验证如用户名口令+Ukey或用户名口令+IP与MAC地址绑定方式
(三)应用系统中设置的用户都必须是唯一用户,不能名称相同且不能出现多人使用同一账户的情况。
(四)应用系统必须开启登录失败处理功能。
(五)应用系统必须开启登录连接超时自动退出等措施。
(六)应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
(七)应用系统必须开启日志审计功能。
(八)应用系统存储用户信息的设备在销毁、修理或转其他用途时,必须清楚内部存储的信息。
第五条数据安全策略
(一)业务应用数据和设备配置文档都必须进行备份,以便发生问题时进行恢复。
(二)数据备份至其他设备上时,必须使用专门的备份通道,保证数据传输的完整性。
(三)数据本机备份时应检测其完整性。
(四)数据备份时必须使用专业的备份设备和工具,在数据传输和数据存储时,都必须是加密传输和存储。
(五)数据进行异地备份时,必须利用通信网络将关键数据定时批量传送至备用场地。
4.
关于制度发布审核说明
第一条流程制度的编辑:
由制度发起部门、制度发起人撰写。
第二条流程制度的讨论:
流程制度编辑完成后由相关部门就所编辑的制度的内容进行讨论。
第三条流程制度的复核:
由分管领导(部门负责人或分管领导)复核。
第四条流程制度的签发:
一般由分管领导签发,有特别涉及到全校师生的,由副校长或相关领导签发。
第五条流程制度的备案:
流程制度经过撰写、复核、签发通过后,制度编辑人需将制度的电子版本发于主管部门并备案。
第六条流程制度的发布:
由主管部门根据发布范围发布到相应的部门或在医院网站上发布。
同时,将制度发布以邮件形式通知全体人员或者发布范围内的人员。
第七条流程制度的执行:
流程制度发布后,根据流程制度内容由撰写人或分管领导指定人员对发布的内容进行培训,指导制度的执行,由部门负责人、分管领导负责制度的执行。
第八条流程制度的执行的监督与评估:
由校纪委对流程制度的执行情况进行监督并评估流程制度的执行情况。
第三章人员安全管理
1.关于人员录用管理规范
总则对系统造成事故的直接原因,一是设备的不安全状态,二是人员的不安全行为。
根据事故统计,人为因素导致的事故占80%以上,因此,要确保生产安全必须控制人员的不安全行为。
人员安全包括内部人员安全和外部人员安全。
内部人员安全包括录用员工时对员工的身份背景核实,人员离岗过程的严格规范,及时终止离岗员工的所有访问权限,以及人员考核和人员培训。
外部人员安全包括外部人员访问受控区域时能有效的控制其活动范围,当发现外部人员违反规定时能及时发现并阻止。
第一条XXXXXX医院人员录用由人事部门负责;
第二条严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;
第三条录用人员签署保密协议;
第四条从事关键岗位的人员需从内部人员中选拔,并签署岗位安全协议。
2.
关于安全意识教育和培训
第一条目的
为了规范医院教工信息安全教育和培训工作,促进教工培训工作的日常化、全员化、制度化,增强教工培训工作的效果,使教工培训工作发挥应有的作用,特制定本制度。
第二条适用范围
XXXXXX医院所有教工人员。
第三条职责
本制度自公布之日起实施,由XXXXXX医院信息中心负责解释与修订。
第四条要求
(一)培训目的
帮助员工学习信息安全知识,满足XXXXXX医院信息安全的要求,适应信息化安全不断发展的需求。
(二)培训分类
2.1结合XXXXXX医院目前的实际情况,培训分为新员工培训和在职培训和两大类。
2.2新员工培训是专门针对新进员工举办的,旨在帮助新进员工了解单位信息安全情况、尽快适应工作要求的培训。
2.3在职培训指不脱离工作岗位,在工作中接受的培训。
旨在提高员工信息安全技能和综合素质,满足单位信息安全不断发展的需求。
2.4在职培训中,属于部门内部特定的具体工作技能的培训,如邀请安全公司专家讲座、讨论会等形式,由信息中心安排实施;
(三)培训计划的制订
3.1信息中心根据各部门及单位特定时期的具体情况,汇总、平衡、协调各部门的需求,制订单位及各部门的年度信息安全培训计划及各阶段的具体实施方案。
3.2培训计划可以根据实际情况的变化而加以适当的修正与调整。
培训计划的修正与调整须经领导批准,信息中心执行。
(四)培训实施
4.1各部门领导每季度至少参加一次信息安全培训。
4.2各部门领导对下属的培训负有责任并保证其下属每季度至少能参加一次专业培训。
4.3信息中心根据实际情况可组织实施安全培训,也可指定某部门负责组织实施,所涉及部门必须予以配合并执行。
4.4信息中心提前一个星期公布培训课程,培训地点、培训讲师及参训人员。
有关参训人员必须及时到达培训地点参加培训,不得无故缺席。
(五)培训记录的保存
每次安全教育和培训结束后,培训的组织者应填写《安全培训记录报告表》,内容包括培训的时间、地点、内容、培训对象、培训效果等。
第四章系统建设管理
1.关于产品采购和使用
第一条总则
(一)为规范单位采购工作,特制定本制度。
(二)本制度适用于单位各项信息安全产品采购。
第二条采购原则
(一)严格执行询议价程序
物品采购,必须有三家以上供应商提供报价,在权衡质量、价格、交货时间、售后服务、资信、客户群等因素的基础上进行综合评估,并与供应商进一步议定最终价格,临时性应急购买的物品除外。
(二)采购会审、合同会签制度
物品采购,必须经过有关部门参与,调研汇总各方意见,经高管审核。
(三)职责分离
采购人员不得参与货物和服务的验收,采购货物质量、数量、交货等问题的解决,应由信息中心根据合同要求及有关标准与供应商协商完成
(四)一致性原则
采购人员采购的物品或服务必须与采购单所列要求规格、型号、数量相一致。
在市场条件不能满足采购部门要求或成本过高的情况下,及时反馈信息供申请部门更改采购单作参考。
(五)廉洁制度
所有采购人员必须做到:
(1)自觉维护企业利益,努力提高采购质量,降低采购成本。
(2)加强学习,提高认识,增强法治观念。
(3)廉洁自律,不能向供应商伸手。
(4)严格按采购制度和程序办事,自觉接受监督。
(5)工作认真仔细,不出差错,不因自身工作失误给医院造成损失。
(6)2.5.6努力学习业务,广泛掌握与采购业务相关的新设备及市场信息。
(六)采购程序
(1)供应商的选择
供应商必须证照齐全,具有相关资质。
对于经常使用的商品或服务,信息中心应较全面地了解掌握供应商的管理状况、质量控制、运输、售后服务等方面的情况,建立供应商档案,做好记录,对供应商定期进行评估和审计。
在选择供应商时,必须进行询议价程序和综合评估。
供应商为中间商时,应调查其信誉、技术服务能力、资信和以往的服务对象,供应商的报价不能作为唯一决定的因素。
为确保供应渠道的畅通,防止意外情况的发生,应有两家或两家以上供应商作为后备供应商或在其间进行交互采购。
(2)采购程序
固定资产及其他零星物品的申请,由各使用部门报人力资源行政部统一申请。
使用OA中固定资产采购申请流程,由各相关部门审批,对于一定数额的固定资产申请需要报请领导审批,最后交采购部门采购。
外销物品的采购,需求人员须使用OA中的项目采购申请流程,由各相关部门审批,对于毛利率小于8%的采购申请需要报请领导审批,最后交采购部门采购。
项目采购申请中如果没有填写项目编号/合同编号,应退回。
采购询价、综合评估、会签合同,由采购部门协调技术中心、财务及使用部门共同完成,报主管领导审批。
技术中心、使用部门负责采购物品的适用性,财务部门负责预算控制、价格调查、合同付款条款的审核,法律部门负责合同风险条款的审查。
信息中心负责合同条款的谈判,付款申请、索赔、采购档案的建立,市场信息的收集。
同时,与供方和生产厂联系货物接送的时间、方式、到货情况、质量反馈及确认售后服务事宜。
采购过程中发生变化时,销售部/需求部门出具采购变更申请,由主管领导签字确认后交信息中心执行。
技术中心、人力资源行政部负责接收报告的出具。
(3)付款程序
信息中心根据付款计划提出申请,走OA付款申请流程,各主管总裁签字,后附付款明细单,交给财务部办理付款手续。
无论汇款还是支票要求复印存档。
发票:
付款时必须索要发票,核对发票内容是否和合同一致,并填写发票明细单,将蓝绿两联分别放在一起,蓝联粘在一起、签字后交给财务部核销。
(4)违约处理
货物出现延期后,信息中心及时通知销售、技术中心及相关部门。
货物出现质量问题后,由使用部门或技术中心(外销货物)提出意见,报部门;领导,交信息中心处理。
信息中心接到意见后,将情况上报主管副总裁,并按投诉做紧急处理,将情况发邮件并书面报给供应商,要求供应商换货或退货。
信息中心与供应商协商不成的,或造成损失的,由财务部核算损失,信息中心负责追索。
追索不成,由法院裁决。
(5)审计监督
采购全过程进行财务监督和审计。
在采购询价、议价、合同签订、合同执行和采购结算过程中,除有业务部门、销售及相关领导参与外,财务部门要全程参与。
财务部门主要负责价格的核查及审计。
采购人员要自觉接受审计及针对采购活动的监督和质询。
对采购人员在采购过程发生的违犯廉洁制度的行为,将按医院有关制度处理。
2.
软件开发管理制度
第一条目的
为规范XXXXXX医院项目部范围内计算机软件的开发过程,保证软件开发的必要性、系统性、及时性,合理配置软件资源,提高现代化管理水平,特制定本制度。
第二条适用范围
适用于XXXXXX医院应用系统项目部范围内各个部门在实现业务管理、教学管理中的所有计算机软件系统的建立。
第三条相关文件及定义
(一)软件:
计算机程序(介质)+文档
(二)开发:
计算机软件的建立过程,分为引进(购进)、自主开发、委托开发三种方式。
第四条内容
(一)相关部门负责提出系统性软件的开发需求,计算机中心部、专业化公司负责提出与其相关的应用软件的开发需求。
(二)项目部主管信息管理的领导负责审批软件开发的需求。
(三)软件的建立过程由计算机中心部负责,并负责软件的系统性维护工作。
(四)业务部门负责相关软件的运行工作。
(五)软件介质、文档资料由计算机中心部负责保管。
第五章工作流程
(一)根据相关部门信息化的整体需求,计算机中心部提出系统建设的软件需求;根据自身业务管理的需要,各个业务部门向计算机中心部提出与其相关的软件开发需求。
(二)计算机中心部对软件需求进行分析,确定软件开发的必要性、可行性。
(三)计算机中心部与业务部门协同完成市场调查,确定各个业务型应用软件的建立方式。
(四)计算机中心部对项目部提出软件开发立项申请,包括软件的管理功能、建立过程(引进、自主开发、委托开发)、预算资金。
3.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 管理制度 流程