logo资料库

信息安全管理制度.doc

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.04M 资料格式:doc 举报 版权申诉
第1页 / 共8页
第2页 / 共8页
第3页 / 共8页
第4页 / 共8页
第5页 / 共8页
第6页 / 共8页
第7页 / 共8页
第8页 / 共8页
资料共8页,全文预览结束
    第一章 总则
    第二章 职责
    第三章 信息安全策略的基本要求
    第四章 信息系统物理和环境安全管理
    第五章 信息系统资产管理
    第六章 网络与通信安全管理
    第七章 信息系统供应商安全管理
    第九章 附则
    信息安全管理制度 第一章 总则 第一条 为保证信息系统安全可靠稳定运行,降低或阻止人 为或自然因素从物理层面对信息系统的保密性、完整性、可用性 带来的安全威胁,结合单位及行业实际,特制定本制度。 第二条 本制度适用于本单位的信息系统安全管理。 第二章 职责 第三条 相关科室、单位职责: 一、 规划信息科 (一) 负责组织和协调信息系统安全管理工作; (二) 负责建立信息系统网络成员单位间的网络访问规 则;对局内本部信息系统网络终端的网络准入进行管理; (三) 对局内互联网上网行为进行管理; 二、 各科室 (一) 负责本科室信息安全管理工作。 (二) 配合和协助业务主管科室相关制度建设,落实 日常管理工作。 三、 市属各医疗卫生单位 (一) 负责组织和协调本单位信息安全管理工作。 - 2 -
    (二) 对本单位建设的信息系统制定专项运维管理办 法,明确信息系统安全管理要求,报中卫市卫生与计生委信 息科备案。 第三章 信息安全策略的基本要求 第四条 信息系统安全管理应遵循以下七个原则: 一、 规范定级原则; 二、 依法行政原则; 三、 以人为本原则; 四、 注重效费比原则; 五、 全面防范、突出重点原 则;六、 系统、动态原则; 七、 特殊安全管理原则。 第五条 信息科应会同保密工作人员应根据业务需求和相关 法律法规,组织制定信息安全策略。 第六条 信息安全策略主要包括以下内容: 一、 信息网络与信息系统必须在建设过程中进行安全风 险评估,并根据评估结果制定安全策略; 二、 对已投入运行且已建立安全体系的系统定期进行漏 洞扫描,以便及时发现系统的安全漏洞; 三、 对安全体系的各种日志(如入侵检测日志等)审计 结果进行研究,以便及时发现系统的安全漏洞; - 3 -
    四、 定期分析信息系统的安全风险及漏洞、分析当前黑 客非常入侵的特点,及时调整安全策略; 五、 制定人力资源、物理环境、访问控制、操作、备 份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第七条 根据“谁主管、谁负责”的原则,局内建立信息安 全分级责任制,各层级落实信息系统安全责任。 第四章 信息系统物理和环境安全管理 第八条 信息系统物理安全指为了保证信息系统安全可靠运 行,不致受到人为或自然因素的危害,而对计算机设备、设施 (包括机房建筑、供电、空调)、环境、系统等采取适当的安全 措施。 第九条 信息科应采取切实可行的物理防护手段或技术措施 对物理周边、物理入口、办公及生产区域等进行安全控制,防止 无关人员未授权物理访问、损坏和干扰。 第十条 信息科应加强对信息系统机房及配线间的安全管 理,要求如下: 一、 工作人员需经授权,方能且只能进入中心机房的授 权工作区;确因工作需要,需进入非授权工作区时,需由该授权 工作区人员陪同;做好机房出入登记。 - 4 -
    二、 工作人员必须严格按照规定操作,未经批准不得超 越自己职权范围以外的操作;操作结束时,必须退出已进入的操 作画面;最后离开工作区域的人员应将门关闭。 三、 非授权人员严禁操作中心机房 UPS、专用空调、监 控、消防及 UPS 供配电设备设施。 四、 未经授权,任何人员不得擅自拷贝数据和文件等资 料。 五、 严禁将易燃、易爆、强磁性物品带入中心机房;严 禁在机房内吸烟。 六、 发生意外情况应立即采取应急措施,并及时向有关 科室和领导报告。 第五章 信息系统资产管理 第十一条 信息科应对信息和信息系统设备设施等相关资产 建立台帐清单,并定期对其进行盘点清查。 第十二条 各相关科室应加强信息设备安装、调试、维护、 维修、报废等环节的管理工作,防止因信息设备丢失、损坏、失 窃以及资产报废处置不当引起的信息泄露。 第六章 网络与通信安全管理 第十三条 信息科采取必要的技术手段和管理措施,加强对 网络和通信安全的管理,保障内外信息传递安全。网络安全管理 包含网络访问控制、安全机制、网络服务、网络隔离等,要定期 - 5 -
    对重要网络设备运行情况进行安全检查,发现隐患及时上报或整 改,并做好记录;定期备份重要网络和通信设备配置文件,确保 发生故障时能及时恢复网络运行,保证网络的可用性。第十四条 加强互联网安全管理,具体要求如下: 一、 互联网与内部网络必须有相关的逻辑隔离,涉及国 家秘密的信息不得通过互联网传输。 二、 不得访问有关黑客网站,不得下载、安装黑客软 件。 三、 局内员工访问互连网,必须遵守《中华人民共和国 计算机信息网络国际联网管理暂行规定》等规定,不得利用国际 互连网从事损害国家、局内及他人利益的活动。 第七章 信息系统供应商安全管理 第十五条 中卫市卫生和计划生育局对信息系统供应商实施 安全管理。信息系统供应商包括设备类供应商、技术类供应商、 咨询服务类供应商、或者是以上几类的任意组合。 第十六条 信息系统实施过程中,信息科应与供应商签订安 全保密协议,明确信息安全要求。 第十七条 信息科应对供应商服务全过程进行监视和控制。 第八章 信息安全事件管理 第十八条 信息安全事件指导致信息资产丢失和损坏,影响 信息系统正常工作甚至业务中断的事件。主要有: - 6 -
    一、 信息系统软硬件故障; 二、 网络通信系统故障; 三、 机房供配电系统故障 ; 四、 系统感染计算机病毒 ; 五、 信息系统遭水灾、火灾、雷击 ; 六、 信息网络遭遇入侵或攻击; 七、 信息系统内的敏感数据失窃、泄露; 八、 信息设备损坏、滥用或失窃 ; 九、 信息被非法访问、使用及篡改; 十、 违背信息安全策略规定的其他事项。 第十九条 信息安全事件管理包括组织机构、职责和规程的 建立,信息安全事态及信息安全弱点的报告和评估,信息安全事 件的应急处理等。 一、 各市属医疗卫生单位应建立信息安全事件管理机构 和应急预案,信息科负责处置信息安全事件,针对各类信息安全 事件应分别制定相应的应急预案,开展必要的知识、技能、意识 等培训。适时组织相关人员开展应急演练。 二、 开展信息安全事态及信息安全弱点报告和评估。信 息系统安全管理和维护人员应加强对网络信息系统日常检查维 护,了解外部信息安全变化,充分掌握信息安全事态,及时发现 和消除危及系统安全的各类安全隐患。当发现险情时,应立即报 - 7 -
    告信息安全事件处置责任科室。完成信息安全事件处理后,应及 时进行评估和改进,避免再次发生,并做好记录。 三、 各医疗卫生单位进行信息安全事件应急处理,要求 如下: (一)当信息系统出现险情时,维护人员和各级应急救援人 员应正确履行应急预案所赋的职责和执行信息安全事件处置责任 科室下达的指令。 (二)在发生网络与信息安全事件后,信息科应尽最大可能 迅速收集事件相关信息,鉴别事件性质,确定事件来源,弄清事 件范围和评估事件带来的影响和损害。 (三) 安全事件进行最初的应急处置以后应及时采取行 动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要 确保应急处置措施对涉及的相关业务影响最小。 (四) 安全事件被抑制之后,通过对有关事件或行为的分 析结果,找出其根源,明确相应的补救措施并彻底清除。 (五) 在确保安全事件解决后,要及时清理系统、恢复数 据、程序、服务恢复工作应避免出现误操作导致数据丢失。 (六) 信息安全事件发生时,应及时向局机关汇报,并及 时报告处置工作进展情况。事件处置中要作好完整的过程记录, 保存各相关系统日志直至处置工作结束。 (七) 系统恢复运行后,信息科应对事件造成的损失、事 件处理流程和应急预案进行评估。对响应流程、预案提出修改意 - 8 -
    见、总结事件处理的经验和教训,撰写“信息安全事件处理报 告”。同时确定是否需要上报该事件及其处理过程,需要上报的 应及时准备相关材料,属于重大事件或存在违法犯罪行为的第一 时间向公安机关网络监察科室报案。 第九章 附则 第二十条 本制度由中卫市卫生和计划生育局负责解释。 第二十一条 本制度自下发之日起执行。 - 9 -
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料