【信息安全】【管理制度】【制度体系】XXX系统安全管理制度.docxVIP

PAGE 5 系统安全管理制度 第一章 总则 第一条 为加强单位系统管理工作，保障系统的规范化建设和安全稳定运行，制定本制度。 第二条 本制度所称信息系统是指计算机业务系统及其支持系统。关键信息系统是指支撑重要业务，其信息安全和系统服务关系全医院的权益和正常生产秩序，甚至关系到公民、法人和组织的信息系统。 第三条 信息安全管理工作的指导方针是预防为主、安全第一、依法办事、综合治理。预防为主是信息安全管理工作的基本方针。 第四条 本文件适用各类系统运行管理。 第二章 系统规划与立项的安全管理 第五条 计算机信息系统的规划和建设应同步做好系统安全保护工作，以确保系统安全目标的实现。 第六条 计算机信息系统应采取与业务安全等级要求相应的安全机制，在安全防护方面应符合下列基本安全要求： （一）采取必要的技术手段，建立严密的安全管理控制机制，保证数据信息在处理、存储和传输过程中的完整性和安全性，防止数据信息被非法使用、修改和复制； （二）提供完整的数据备份和恢复功能，能方便的根据系统和数据的备份介质进行灾难恢复； （三）具有严格的用户和密码管理，能对不同级别的用户进行有限授权，特别应严格限制和分流特权用户的权限，防止非法用户的侵入和破坏； （四）重要计算机信息系统应设置审计监控程序，具有身份识别和实体认证功能。能够自动记录操作人员的重要操作，具有防止抵赖机制； （五）涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。 第七条 重要计算机信息系统立项的安全管理实行审批制度。对项目管理部门初审合格的项目申报材料，XXX应进行安全性专项审查，提出审查意见后由项目管理部门最后审批。 第八条 项目申报材料在符合电子化项目管理规定有关要求的同时，还应包括以下与信息系统安全有关的内容： （一）业务主管部门对保证业务正常开展的安全需求； （二）系统的安全性指标； （三）系统运行平台的安全性要求； （四）系统采取的安全策略、安全保护措施及其安全功能设计； （五）涉密信息系统的申报还应取得保密主管部门的同意。 第九条 对没有通过XXX审查的项目，项目管理部门不得予以立项。 第三章 系统开发的安全管理 第十条 计算机信息系统的开发必须符合软件工程规范，并在软件开发的各阶段按照安全管理目标进行管理和实施。 第十一条 计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查，并签订保密协议书，承诺其负有的安全保密责任和义务。 第十二条 计算机信息系统的开发环境和现场应当与生产环境和现场隔离，测试数据不得直接使用生产环境数据。 第十三条 计算机信息系统开发完成后，开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。 第十四条 计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。 第十五条 计算机信息系统软件开发完成后，须提交业务部门进行整体功能性测试； 第十六条 计算机信息系统软件开发实行安全审计制度，由XXX牵头组织安全审计。 第十七条 对计算机信息系统实行外包开发的，除了明确知识产权、保密、服务等责任外，还应对软件程序进行必要的代码检查和安全审计。 第四章 系统安全的评估与审批 第十八条 计算机信息系统投入运行前，应向XXX提出安全评估和审批申请，并报送下列材料： （一）系统的用途、总体结构及软硬件配置等基本情况； （二）关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明； （三）系统安全性测试提纲和测试报告。 第十九条 XXX应当对计算机信息系统主管部门报送的书面材料进行安全性测试、认证。 第二十条 对信息系统的安全评估应当包括以下内容： （一）系统的安全策略； （二）系统的安全措施； （三）系统安全功能的实现程度； （四）系统运行的稳定性、可靠性； （五）系统运行平台的安全可靠性。 第二十一条 XXX应对测试、认证的信息系统提出安全评估报告。 第二十二条 对符合安全运行要求的信息系统，方可投入运行。对不能保证安全运行的，经修改完善后另行申报评估。 第二十三条 对尚未经过安全审批但已经投入使用的计算机信息系统，XXX应要求其使用部门报送系统安全建设情况书面材料，并按照上述程序进行安全评估和审批。 第五章 系统使用与废止的安全管理 第二十四条 计算机信息系统投入使用时业务部门应当建立相应的操作规程和安全管理制度，以防止各类安全事故的发生。 第二十五条 计算机信息系统使用人员应严格按照操作规程和有关安全管理制度进行操作，保证系统安全运行。 第二十六条 对计算机信息系统在运行过程中出现的异常现象，以及有关安全制度在执行过程中出现的问题，操作人员有责任向部门领导报告。 第二十七条 计算机信息系统的使用部门应当加强对计算机系统运行环境的管理，加强对计算机病毒的防治，保