单位网络安全管理办法.docx

单位网络安全管理办法 第一章总则 为保证**县**医院网络系统安全、持续和稳健运行，根据国家相关法律以及相关文件要求，特制定本管理办法。 第二章组织机构与职责 信息科是网络建设和管理的执行机构。其职责是：为网络建设和发展制订整体规划；负责组织实施已经批准施行的网络建设计划；负责网络的运行维护管理；负责网络的运行畅通、设备的运行维护、信息数据的安全保密工作；负责对网络安全事件进行风险识别、评估、监测和出具相关报告材料。 第三章网络结构管理 各子网内的服务器、终端之间不允许跨网访问，各子网内的终端严禁混用及跨网访问，以提高网络管理平台数据的安全。 第四章网络安全管理 针对服务器应建立相应的日志服务器，历史记录保持时间不得低于6个月；重要服务器日志应建立日志备份机制。 任何人不得利用各种软件技术从事用户帐户及口令的侦听、盗用活动，不得使用任何非法手段获取他人信息。 服务器发生破坏案件，或遭到黑客攻击，如该案件影响到医院信息系统的正常运行，信息科负责突发事件应急处置工作并及时向上级汇报。 网络管理员定期对配置文件进行离线备份，在配置变更前、变更后分别对网络设备的配置文件进行备份。 第五章互联网上网管理 互联网出口必须部署防火墙等安全防护设备，接入互联网的电脑必须经过许可，并且安装防病毒、防火墙等安全防护软件。 接入互联网电脑严禁接入到办公网及通过移动介质拷贝文件至办公电脑和业务终端； 接入互联网电脑不得存储涉密文件和敏感信息。 任何人不得在上班时间玩网络游戏、聊天、浏览非法网站和下载软件、音乐、电影等。上网应当遵守有关法律、法规的规定，加强自律，开展文明、健康的上网活动。严禁利用单位网络传播病毒，危害网络安全；制作、下载、复制、查阅、发布、传播或以其他方式使用反动、淫秽色情等有害信息。 第六章安全加固及补丁管理 供应商和集成商需在服务期内及时为设备和系统安装操作系统、数据库、中间件等第三方软件的安全补丁，保证系统不出现CVE高风险漏洞。 供应商和集成商需在安全补丁安装前完成与设备或系统的兼容性测试。如果出现不能兼容的情况，供应商和集成商必须免费对现有程序、应用进行修改和升级，或者免费提供额外的安全措施，以保证安全性。 供应商和集成商在系统验收前，必须对系统进行安全加固，并提交加固报告。集成商必须保证提供的系统上不存在任何CVE高风险漏洞。如在验收后发现CVE高风险漏洞，集成商和厂商应立即免费进行升级和加固。 第七章日志审计管理 网络管理员应定期对运行日志、网络监控记录的日常维护和报警信息进行分析和处理。 第八章漏洞扫描管理 每季度至少进行一次漏洞扫描，对漏洞风险持续跟踪，在经过充分的验证测试后对必要的漏洞开展修补工作。 实施漏洞扫描或漏洞修补前，应对可能的风险进行评估和充分准备,如选择恰当时间，并做好数据备份和回退方案。 漏洞扫描或漏洞修补后应进行验证测试，以保证网络系统的正常运行。 第九章附则 本管理办法由信息科负责解释与修订。