医院网络如何实行标准化管理 .PDF

医院网络如何实行标准化管理 朱岁松 [中文摘要]：为实现网络管理的持续改进，确保网络故障、操作失误、安全风险等问题 不重复发生的一个关键步骤，就是引入 ISO9000、ISO27001、ITIL 等国际标准，制定网络管 理的标准流程。本文从安全制度、安全策略、网络文档等三个方面说明标准流程的内容。 [关键词]：网络管理 标准化 网络标准化管理的精髓是持续改进[1]。例如网络故障、操作失误、安全风险等问题，昨 天发生过的，不允许今天再发生；一个部门发生过的，不允许另一个部门再发生。确保问题 不再发生的关键，就是引入ISO9000、ISO27001、ITIL等国际标准，制定出标准作业流程。 流程的内容很广泛，包括安全制度、安全策略、网络文档、作业指导书、风险评估等许多方 [2] 面。本文从安全制度、安全策略、网络文档三个方面说明标准作业流程的内容 。 一、安全制度 建立健全安全管理制度，是安全管理的关键。规范化的安全管理，能够最大限度地遏制 或避免各种计算机危害，是保障计算机信息网络系统安全的最重要环节。安全管理制度分为 安全技术管理制度和安全事务管理制度两类： 1、安全事务管理制度 包括保密制度；人事管理制度，包括人员审查制度、安全培训制度、综合考评制度、人 员调离规定；环境安全保护制度，包括实体安全配置规定、设备维护专人制度、安全检查制 度、危险品管理制度等；计算中心出入管理制度；应急计划与备份；日志审计制度；安全保 护管理工作、经验、范例、事故、案件等安全事件报告制度等。 2 、安全技术管理制度 包括技术文件管理制度；操作规程；系统维护制度；电磁环境控制办法（防电磁干扰、 防信息泄露）；磁媒体安全管理、软件安全管理、数据库安全管理、输入输出控制等信息网 络系统人员操作制度；计算机病毒防治制度；网络安全控制制度等。 二、安全策略 1.物理安全策略 包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、 异常情况的追查等。 2.网络安全策略 包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、 安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。 3.数据加密策略 1 包括加密算法、适用范围、密钥交换和管理等。 4.数据备份策略 包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。 5.病毒防护策略 包括防病毒软件的安装、配置、对移动存储设备的使用、网络下载等作出的规定等。 6.系统安全策略 包括 WWW 访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策 略、个人桌面系统安全策略、其他业务相关系统安全策略等。 7.身份认证及授权策略 包括认证及授权机制、方式、审计记录等。 8.灾难恢复策略 包括负责人员、恢复机制、方式、归档管理、硬件、软件等。 9.事故处理、紧急响应策略 包括响应小组、联系方式、事故处理计划、控制过程等。 10.安全教育策略 包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。 11.口令管理策略 包括口令管理方式、口令设置规则、口令适应规则等。 12.补丁管理策略 包括系统补丁的更新、测试、安装等。 13.系统变更控制策略 包括设备、软件配置、控制措施、数据变更管理、一致性管理等。 14.商业伙伴、客户关系策略 包括合同条款安全策略、客户服务安全建议等。 15.复查审计策略 包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对 安全技术发展的跟踪等。 三、网络文档 网络文档的作用就是把网络的信息收集起来，提供给那些对网络不熟悉的人。一份详尽 的网络文档，能大大缩短查找问题和维护系统的时间，许多错误和混乱也可以避免。网络中 的移动、添加、删除和改动等工作会变得十分方便，对故障诊断、标准执行、员工培训、技 术支持和网络安全都会带来诸多好处。 1、对网络的描述 内容包括拓扑结构、网络体