信息安全管理机构及岗位设置

文件名称:上海市顾村镇社区卫生服务中心管理制度1/7文件名称上海市顾村镇社区卫生服务中心信息安全管理机构及岗位设置1总则1.1目的为加强医院信息安全管理工作，保障网络与信息系统的正常运行，依据有关法律、法规及信息安全标准，特制定本制度。1.2适用范围本制度适用于本院的信息安全组织机构和人员职责管理。2信息安全领导小组2.1本院成立信息安全领导小组，领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。2.2信息安全领导小组下设信息安全工作组。2.3信息安全领导小组的职责主要包括：1）根据国家和行业有关信息安全的政策、法律和法规，批准医本院信息安全总体决策规划、管理规范和技术标准；2）确定本院信息安全各有关部门工作职责，指导、监督信息安全工作；3）审定本院网络与信息系统的安全应急策略及应急预案；4）决定相应应急预案的启动，负责现场指挥。3信息安全工作组3.1信息安全工作组组长由医院信息科负责人担任。3.2信息安全工作组的主要职责包括：文件名称:上海市顾村镇社区卫生服务中心管理制度2/71）贯彻执行医院信息安全领导小组的决议，协调和规范医院信息安全工作；2）根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；3）组织对信息安全工作制度和技术操作策略的制定，拟订信息安全总体规划，制定近期和远期的安全建设工作计划并监督执行；4）负责协调、督促各职能部门的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；5）组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；6）采取相应应急措施，组织协调相关人员排除系统故障，恢复系统；7）负责医院的紧急信息安全事件报告，组织事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；8）及时向信息安全工作领导小组和上级有关部门报告信息安全事件。9）组织信息安全知识的培训和宣传工作。10）每年组织对信息安全应急预案进行测试和演练。4信息安全人员基本要求4.1信息安全管理人员和专（兼）职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。文件名称:上海市顾村镇社区卫生服务中心管理制度3/74.2信息安全管理人应有计算机专业工作三年以上经历，具备专科以上学历。4.3违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理与技术工作。5信息安全人员管理5.1信息安全人员的配备和变更情况，应向分管院长报告、备案。5.2信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。6信息安全人员职责范围6.1信息安全人员应履行以下职责：1）负责信息安全管理的日常工作；2）开展信息安全检查工作，对重要岗位人员安全工作进行指导和监督；3）负责维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策；4）开展信息安全知识的培训和宣传工作；5）监控信息安全总体状况，提出信息安全分析报告；6）及时向信息安全工作领导小组和有关部门报告信息安全事件。6.2信息安全人员在行使职责时，确因工作需要，经批准，可了解涉及信息系统的机密信息。6.3信息安全人员发现医院重大信息安全隐患，有权向分管院长文件名称:上海市顾村镇社区卫生服务中心管理制度4/7报告。6.4信息安全人员发现信息系统重要岗位人员使用不当，应及时建议医院进行调整。6.5信息安全人员必须严格遵守国家有关法律、法规和医院有关规章制度，严守医院各类机密信息。7重要岗位人员管理7.1信息系统重要岗位人员，是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。7.2重要信息系统，是指涉及本院诊疗、财务、人事、管理等核心业务且有保密要求的信息系统。7.3重要岗位人员上岗前必须经本院人事部门进行政治素质审查，业务部门进行业务技能考核，工作经历和工作经验考查等，合格者方可上岗。7.4重要岗位人员有责任保护信息系统的秘密，并以签署保密协议的方式作出安全承诺。7.5重要岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则，系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员，系统开发人员原则上不应兼任系统管理员。7.6对重要岗位人员应实行定期考查制度，重要岗位人员应定期接受安全培训，加强自身安全意识和风险防范意识。7.7重要岗位人员调离岗位，必须严格办理调离手续，承诺其调文件名称:上海市顾村镇社区卫生服务中心管理制度5/7离后的保密义务。涉及本院业务保密信息的重要岗位人员调离，必须进行离岗审计，在规定的脱密期后，方可调离。7.8重要岗位人员离岗后，必须即刻更换操作密码或注销用户。8重要岗位安全责任8.1系统管理人员安全责任:1）负责系统的运行管理，实施系统安全运行细则；2）严格用户权限管理，维护系统安全正常运行；3）认真记录系统安全事项，及时向信息安全人员报告安全事件；4）对进行系统操作的其他人员予以安全监督。8.2网络管理员安全责任：1）负责网络的运行管理，实施网络安全策略和安全运行细则；2）安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；3）监控网络关键设备、网络端口、网络物理线路、防范黑客入侵，及时向信息安全人员报告安全事件；4）对操作网络管理功能的其他人员进行安全监督。8.3系统开发员安全责任1）系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现；2）系统投入运行前，应完整移交系统源代码和相关涉密资料；3）不得对系统设置“后门”；4）对系统核心技术保密。文件名称:上海市顾村镇社区卫生服务中心管理制度6/78.4系统维护员安全责任1）负责系统维护，及时解除系统故障，确保系统正常运行；2）不得擅自改变系统功能；3）不得安装与系统无关的其他计算机程序；4）维护过程中，发现安全漏洞应及时报告信息安全人员。业务操作员安全责任5）严格执行系统操作规程和运行安全管理制度；6）不得向他人提供自己的操作密码；7）及时向系统管理员报告系统各种异常事件。8.5各重要岗位人员必须严格遵守保密法规和有关信息安全管理规定。8.6安全管理员应为专职，不得兼任；关键五岗位应配备多人共同管理。9第三方人员管理9.1第三方人员包括软件开发商、硬件供应商、系统集成商、设备维护商和服务提供商，以及实习学生和临时工作人员。9.2应对第三方人员的物理访问和逻辑访问实施访问控制，根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。9.3第三方人员的现场工作或远程维护工作内容应在合同中明确规定，如工作涉及机密或秘密信息内容，应要求其签署保密协议。9.4一般情况下第三方人员的现场工作，如数据库、系统、漏洞文件名称:上海市顾村镇社区卫生服务中心管理制度7/7扫描、入侵检测以及其他软件的安装等，不允许接入自带的设备。9.5第三方人员的现场工作应在医院信息中心有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权，其操作应受到审计。9.6第三方人员工作结束后，应及时清除有关账户、过程记录等信息。10培训与教育10.1信息安全人员应定期参加下列信息安全知识和技能的培训：1）信息安全法律法规及行业规章制度的培训；2）信息安全基本知识的培训；3）信息安全专门技能的培训。10.2信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。10.3应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训，培养信息安全意识。上海市顾村镇社区卫生服务中心2016年1月