山东省肿瘤医院网络中心信息安全管理规范
山东省肿瘤医院网络中心信息安全管理规范
一、 组织机构
1、 信息安全管理机构
(1) 要求
=656; 组建山东省肿瘤医院网络中心的信息安全管理机构,该机构应由网络中心的领导、
负责具体工作的网络、安全管理人员组成,责任到人,具有领导信息安全工作、制
定安全策略、监督管理等职能。
(2) 内容
=656; 组建信息安全管理机构及其机构组成,人员设置,并文件化;
=656; 组建的信息安全管理机构有明确的信息安全管理职能(包括物理安全管理、身份鉴
别管理、访问控制管理、安全审计管理、安全教育与培训等) ;
=656; 组建的信息安全管理机构是自上而下,分级负责的。
2、 信息安全管理人员
(1) 要求
=656; 信息安全管理机构中的安全管理人员应分权负责,以限制具有超级权限的人员存在。
(2) 内容
=656; 信息安全管理机构中的管理人员分权负责,系统管理员、安全管理员、安全审计员
等分别都是由不同的人员担任;
=656; 各种设备与系统由相关的管理责任人,具有信息资产清单,并明文规定责任人的职
责,责任人对其管理的设备及责任清楚。
二、 人员安全
人员安全主要包括工作岗位风险分级、人员审查、人员工作合同终止、人员调动、工作
协议和条款、第三方人员安全以及人员处罚等几个方面。
1、 工作岗位风险分级
(1) 要求
=656; 对工作岗位进行风险分级,并制定针对在各级岗位工作的人员审查机制;
=656; 定期复核和修订不同工作岗位的风险分级。
(2) 内容
=656; 制定并实施工作岗位风险分级的制度;
=656; 定期复核、修订工作岗位的风险分级。
2、 人员审查
(1) 要求
=656; 结合自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素,对工
作人员、合作者、第三方人员进行人员背景审查;
=656; 在授权之前对需要访问信息和信息系统的人员进行审查;
=656; 制定人员审查流程,流程应描述进行人员审查的方式和限制条件,如规定谁有资格进
行审查,在何时,通过什么方式,因为什么原因来进行审查等等。
(2) 内容
=656; 制定有关人员背景审查的制度和流程,并依此进行人员审查、核实工作。
3、 人员工作合同终止
(1) 要求
=656; 当人员工作合同终止时,应终止人员对信息系统的访问,并确保其归还所拥有与组织
相关的资产;
=656; 制定员工注册和注销流程,来授予和撤销员工对信息系统和服务的访问权限。
(2) 内容
=656; 明确规定和指派职责,以处理人员工作合同终止事宜;
=656; 及时移除或封堵工作合同终止的人员对信息和信息处理系统的访问权限, 包括物理和
逻辑访问;
=656; 及时更改工作合同终止人员所知晓的账户密码。
4、 人员调动
(1) 要求
=656; 当工作人员被重新分配或调动到单位其它工作岗位时, 应复查信息系统和设施的访问
授权,并采取适当的措施(如重新发放身份卡,关闭原有账户的同时创建新账户, 更
改系统的访问授权等) 。
(2) 内容
=656; 对人员调动采取适当的安全措施。
5、 工作协议和条款
(1) 要求
=656; 在对需要访问信息和信息系统的人员进行访问授权之前, 签署适当的工作协议和条款
(如,保密协议、按规定进行使用的协议、行为规范等) 。
(2) 内容
=656; 制定和签署相关的工作协议和条款。
6、 第三方人员安全
(1) 要求
=656; 建立针对第三方人员(如服务机构、合作方、信息系统开发商、信息技术服务、应
用系统外包、网络和安全管理等)的安全要求,并不断监督其遵从安全要求的情况
以确保足够安全。
(2) 内容
=656; 明确第三方参与的业务过程对信息和信息处理设施带来的风险,并采取适当的控制
措施;
=656; 同第三方签订的安全协议中,覆盖第三方在访问、处理、通信、管理组织信息或信
息处理设施、增加产品或服务等活动中所有相关的安全要求,并清晰定义了其安全
角色和责任。
7、 人员处罚
(1) 要求
=656; 建立正规的程序,处罚或制裁未遵守信息安全策略和流程的员工。
(2) 内容
=656; 在信息安全策略和程序文档中制定了关于人员处罚的相关程序。
三、 安全意识和培训
安全意识和培训的目标是确保用户清楚信息安全威胁和利害关系。在安全程序、设备和
信息系统的使用过程中培训工作人员,使工作人员有良好的安全意识,以降低可能的安全风
险。
安全意识和培训涉及以下内容:安全意识、安全培训、安全培训记录。
1、 安全意识
(1) 要求
=656; 根据信息系统的特定安全要求,制定具有针对性的安全意识培训内容,确保所有人员
(包括领导和普通工作人员) 在被授权访问信息系统之前进行了基本的信息安全意识
培训,并且定期进行培训。
(2) 内容
=656; 相关人员具备基本的信息安全意识。
2、 安全培训
(1) 要求
=656; 制定安全培训计划,并且定期按照计划进行培训;
=656; 确定每个工作人员在信息系统中的安全角色和职责,将这些角色和职责文档化,在
工作人员被授权访问系统之前提供适合的信息系统安全培训;
=656; 依据自身的特定要求和工作人员授权访问的信息系统的不同,制定针对性较强的安
全培训内容。
(2) 内容
=656; 根据安全培训计划和安全培训教材以及工作人员的安全角色和职责制定针对性较强
的信息安全培训;
=656; 根据安全培训记录并结合安全培训计划,在适当的时间,对相关各类人员进行了必
要的信息安全培训。
3、 安全培训记录
(1) 要求
=656; 记录并监督工作人员的信息系统安全培训过程,包括一些基本安全意识和安全技能
培训,并应形成相关的培训记录。
(2) 内容
=656; 有相应的安全培训记录。