信息化安全教育和培训管理办法.docxVIP

信息化安全教育和培训管理办法 第一章总则 为规范**县**医院信息安全培训及教育工作，对干部职工进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练，确保**县**医院信息安全策略、规章制度和技术规范的顺利执行，特制定本管理规定。 第二章信息安全培训要求 信息安全培训工作需要分层次、分阶段、循序渐进地进行，而且必须是能够覆盖全员的培训。 应制定完善的《培训计划》，计划应包含培训方式、培训类别、培训内容、培训费用等信息，并且需要相关领导对培训计划进行审批。 分层次培训是指对不同层次的人员，如对管理层、信息安全管理人员，信息安全联络员和普通干部开展有针对性和不同侧重点的培训。 分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段，培训工作要有计划地分步实施；信息安全培训要采用内部和外部结合的方式进行。 管理层培训 管理层培训目标是明确建立信息安全体系的重要性，获得管理层的支持和承诺。 管理层培训方式可以采用聘请外部信息安全培训、专业技术专家和咨询顾问以专题讲座、研讨会等形式。 信息安全管理人员培训 信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑信息安全体系的建立、实施和保持。 信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术和内部学习研讨的方式。 信息安全联络员培训 信息安全联络员培训目标是掌握各系统相关专业安全技术，协助维护和保障系统正常、安全运行。 信息安全联络员培训方式可以采用外部和内部相结合的培训以及自学的方式。 普通干部培训 普通干部培训目标是了解相关信息安全制度和技术规范，并安全、高效地使用信息系统。 普通干部培训方式应主要采取内部培训的方式。 第三章信息安全培训内容 各级领导及职工应明确了解信息安全体系，并明确各自的安全职责，明确自身对维护保障系统正常、安全运行所需承担的相关责任和义务。 针对业务需求进行相应安全意识培训，提高员工的安全意识和防范能力。 针对系统的维护人员和管理员应定期开展安全技术教育培训（每年至少一次），明确如何安全使用有关业务系统及普通计算机周边硬件设备。 第四章信息安全培训管理 信息安全培训发起： 信息安全培训教育，纳入**县**医院的整体培训计划中。 具体操作过程遵守**县**医院的相关培训管理制度。 信息安全培训实施： 信息安全培训的实施，主要由信息科负责组织和考核。 对专业性很强的安全培训，由信息科负责聘请外部专家进行安全培训。 具体操作过程遵守相关培训管理制度。 信息安全培训过程中，要做好《培训签到表》，并将参与培训人员整理、备案。 第五章附则 本管理办法由信息科负责解释与修订。 外来人员安全访问管理办法 第一章总则 为了规范第三方用户访问**县**医院内部信息系统时的行为，保护**县**医院网络与信息系统安全，特制定本管理办法。 第二章来访人员出入管理 第三方人员进入**县**医院所属单位及其建筑物，应遵守**县**医院相关安保制度。 未经**县**医院特别许可，第三方人员不得在信息科内摄影、拍照。 **县**医院干部职工要遵守相关安全保密规定，禁止与第三方人员谈论与其工作无关的内容。 第三章机房出入管理 除以下情况外，不得引领和允许第三方人员访问机房等重要区域： **县**医院领导批准的参观活动； 必要的仪器设备现场安装、维修、调测； 第三方因业务需要进入上述区域的其它情形。 第四章网络访问管理 **县**医院信息安全管理人员有义务向第三方人员说明网络接入安全要求。 第三方人员不允许私自连接医院网络。如果必要，必须提出申请，征得信息科允许后方可接入。第三方人员连接网络要进行相应登记备案，并签订网络使用安全协议。 长期使用内部网络的第三方人员的计算机必须接受**县**医院的统一客户端管理，包括客户端管理软件的安装、安全策略的配置等。 第三方人员如果需要访问网络资源，须提前明确申请要访问资源的类型、范围和方式，以便管理员进行审批，并提供相应的访问权限和访问方法。 第三方人员操作服务器或网络设备，必须使用临时帐号，使用之后由相应的管理人员及时清除；对于长期在**县**医院工作的技术支持、顾问、服务人员，如果需要长期操作服务器或网络设备，管理人员应该为第三方人员创建单独的帐号。 **县**医院有权对第三方人员在医院内部网络的活动进行检查、审计和监控。 第三方人员的计算机要求安装有防病毒软件，不得携带有木马、病毒等破坏性程序。 第三方人员不准使用**县**医院网络从事同工作无关的网络活动。 第三方人员不准在**县**医院网络内部通过拨号或其它手段直接建立到其它网络的物理链路。 第五章附则 本管理办法由信息科负责解释与修订。