信息系统安全管理策略.docx

信息系统安全管理策略 第一章 总则 第一条 本策略为**县**医院各项信息安全工作提供依据和指导。 第二条**县**医院信息安全工作由信息化建设领导小组牵头，信息科具体组织，各部门分块负责，全员参与，专人管理。 第三条**县**医院信息安全工作以风险管理为基础，在安全、效率和成本之间始终坚持“安全第一”的原则。 第二章 信息安全组织及职责 第四条**县**医院信息化建设领导小组 （一）统筹领导**县**医院信息安全工作，指导信息科负责的重大的信息安全工作； （二）审查和核准信息安全策略及制度； （三）审核批准重大的信息安全活动； （四）审核批准对信息安全事故的处置意见。 第五条信息科 （一）负责组织**县**医院信息安全工作； （二）负责制定**县**医院信息安全管理制度、技术规定、应急预案等，并督促执行； *县**医院内各系统安全的检查和防护，及时处置安全风险； （四）负责对计算机病毒感染的预防、检测和清除，定期维护计算机软件和数据、对重要信息定期进行检查和备份； （五）负责信息安全事故的处置； （六）负责组织信息安全培训和宣传。 第六条 信息安全责任 **县**医院其他部门主要负责人是信息安全第一责任人，负责本部门所有与信息安全相关的活动。其他部门信息安全联络员负责配合信息安全相关的检查、管理、上报及其他需协调的工作。 第七条信息科必须与接触**县**医院敏感信息和核心技术资料的第三方签署保密协议，并与在**县**医院工作的第三方人员签署个人保密协议。 第三章 安全风险管理 第八条 定期对操作系统、数据库系统、网络系统、应用系统等进行漏洞识别与分析，对系统中所存在的高风险漏洞按照流程进行处置。 第九条 每年至少进行一次全面的风险评估，以确定是否存在新的威胁或薄弱点，并分析是否需要增加新的安全控制措施。 第十条 当发生以下情况时需及时进行风险评估工作： （一）当发生重大信息安全事件时； （二）当信息系统发生重大变更时； （三）信息化建设领导小组确定必要时。 第十一条 针对风险评估结果制定风险控制措施及实施计划。风险整改后，应再次进行评估，以确保风险得到正确规避。 第四章 资产安全管理 第十二条 信息资产是指有业务价值的实物或者虚拟的事物。 第十三条 各部门应识别与信息生命周期有关的资产，形成资产清单，及时更新，并指定资产所有人，资产所有人负责资产的维护与安全，对资产进行安全等级划分。 第十四条 资产管理 （一）对所管理的资产必须明确说明使用、发布、复制、存储、传输、销毁的过程并记录； （二）资产所有人负责信息的授权，资产只能授权给工作必须的人员； （三）信息的获取应该遵照工作需要原则、受控审批的原则，严禁未经批准的私下获取行为；在对外提供任何可能涉及**县**医院信息的资料、数据、信息之前，不管提供的对象是上级管理部门，还是第三方，都必须事先经过资产所有人的审批许可； （四）未经批准，严禁泄露信息系统的安全控制机制。对外公布的信息必须经过审批，不得在公开媒体上发布、谈论和传播**县**医院的数据和信息； （五）必须采用**县**医院批准的销毁方式销毁信息。 第五章 人员安全管理 第十五条 聘用条款和保密协议 （一）信息科聘用人员的聘用条款应明确信息安全责任； （二）所有信息安全相关人员需与**县**医院签订保密协议及岗位责任协议，明确各岗位安全职责。 第十六条 人员审查 （一）对相关信息化供应商以及工作人员应按照相关法律法规和对应的业务要求进行安全资格审查； （二）必须对进入关键岗位的职工进行资格审查和技能考核。 第十七条 定期组织干部职工以及相关第三方人员学习信息安全知识，进行安全意识、安全态势培训。 第十八条 人员离职时应及时收回所有涉及**县**医院业务内容的资料、数据、信息，立即取消所有访问信息系统的权限。 第十九条 人员调离其他单位，需提交调离申请，经相关领导审批后进行工作交接，并对**县**医院有关所有信息进行保密，如若发现泄密，需承担相关的法律责任。 第六章 物理和环境安全 第二十条 场地安全 （一）信息科应根据国家相关标准以及工作性质划分相应的安全级别，并建立相应的准入控制措施； （二）所有受控区域必须指定信息安全管理责任人。 （三）应建立外来人员访问机制，确保只有授权人员才允许进入受控区域。 （四）应建立受控区域安全操作规程，需要避免在受控区域进行不受监督的工作。 第二十一条 设备安全 （一）将设备放置到相应级别控制区域； （二）建立防盗、报警、环境监控等保护措施； （三）应保护设备使其免于支持性设施（电、温湿度、通信）失效而引起设备故障。 （四）采用专业技术人员对设备进行维护，确保其持续的可用性和完整性。 （五）设备、信息或软件在授权之前不宜带出受控区域。 第二十二条 环境安全 （一）办公室环境需满足正