医院网络安全管理规范.pdfVIP

医院网络安全运维规范

1范围

本文件确定了医院安全运维管理的基本要求，并规定了对象、安全事件处置和应急管理的基

本内容。

本文件适用对各级（二级甲等以上）医院安全运维工作的管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引

用文件，仅该口期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修

改单）适用于本文件。

GBZT50348-2018安全技术防范技术标准

GB/T22239-2019信息安全技术网络安全等级保护基本要求

3术语和定义

GBfT50348界定的术语和定义适用于木文件。

4基本要求

4.1人员

4.1.1人员应具备从事安全运维服务所必备的知识，应具有较为系统的内容体系和知识范围。

4.1.2应配备一定数量的系统管理员、审计管理员和安全管理员等。

4.1.3应配备专职安全管理员，不可兼任。

4.1.4应对各类人员进行安全意识教育和向位技能培训，并签订保密承诺书。

4.1.5应根据岗位需要，每年定期参与培训。

5.2机构

4.2.1应建立由医院主要负责人牵头，各部门参与的安全管理组织。

4.2.2应设定网络安全的管理部门，是医院内网络安全管理最终裁决部门。

4.2.3管理部门应牵头制定网络安全的各项制度，建立网络安全使用的各项流程及责任。

4.3经费

每年应有专门的安全管理的预算，用于日常安全与运维、专家咨询、安全等级评审等工作。

4.4规划

4.4.1对网络安全管理应制定有长期规划，包括实现目标、人员培养、经费投入、制度完善等工

作。

4.4.2应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划,内容应

包含密码技术相关内容，并形成配套文件,

4.4.3应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论

证和审定，经过批准后才能正式实施。

4.5制度

应制定下列制度但不限于：

——安全策略管理制度；

一一设备安全管理制度；

一一机房安全管理制度；

——网络安全管理制度；

一一密码使用管理制度；

一一系统变更管理规定；

一一数据备份恢复管理制度；

一一介质管理制度；

一一人事安全管理制度；

一一员工培训管理程序；

一一办公区域安全管理制度；

一一外部人员安全管理制度；

一一产品采购管理制度；

一一信息系统供应商管理制度；

一信息系统招标管理制度；

一一软件测试与验收管理制度；

一一信息安全管理体系内审程序；

一一安全审核和检查制度；

一一应急预案管理制度；

补丁管理程序；

访问控制程序；

一一信息资产管理办法。

5对象

5.1分类

运维对象分为终端、网络、数据中心和物理环境。

5.2终端

5.2.1准入要求

5应建立审批机制，有明确的申请人、审批人、时间、原因等信息。

5应建立责任追究机制，避免随意对终端进行准入、准入信息填写不完整，导致难以追踪。

5应建立退出机制，对长期不活动、报废的终端进行清理。

5应建立逃生机制，出现网络故隙时，可以快速取消准入机制，便于故隙定位。

5.2.2配置管理

5.2.2.1确立终端配置的目标对象和要求。

对业务网内的智能入网终端进行登记。

定期检查配置登记的结果。

定期组织评审.

5.2.3感染监控

5.2.3.1应对网内感染、攻击进行监测，并确立终端感染的管理目标和要求。

5.2.3.2应对感染事件进行分析、汇总、及时处理，并做好处理记录。

5.2.3.3应定期检查终端感染事件的处理过程，并做好检查记录。

5.2.3.4应定期组织评审，并根据执行情况，对管理目标和要求、制度、流程等进行改进。

5.2.4安全管控

5.2.4.1快速批量对无线网访问、内外网切换、文件访问、防火墙、策略、共享文件夹等

安全设置。

5.2.4.2快速批量对业务、系统进行设置，设置过程和结果可追溯。

5.2.4.3对终端主机进行定期杀毒，对长期无法杀毒的应进行跟踪处理。

5.2.4.4定期核对、验证安装要求符合情况。

5.2.5备份恢复管理

5.2.5.1建立制度与流程，设立恢复时间要求，定期演练，对人员进行培训。

5.2.5.2针对重要岗位，应做主机备份、系统备份，并定期演练。

5.3网络

5.3.1数据交换

5应