某医院信息系统等级保护安全建设整改方案v10.docx

XX医院信息系统等级保护安全建设整改方案2020年2月目 录1方案概述81.1背景81.2方案设计目标91.3方案设计原则91.4方案设计依据102现状分析122.1网络架构描述122.2信息系统定级情况132.3安全现状分析142.3.1安全管理现状142.3.2安全技术现状143安全需求分析293.1国家政策需求分析293.2安全指标与需求分析294信息安全体系框架设计315管理体系整改方案325.1安全制度制定解决方案325.1.1策略结构描述325.1.2安全制度制定355.1.3满足指标355.2安全制度管理解决方案365.2.1安全制度发布365.2.2安全制度修改与废止365.2.3安全制度监督和检查375.2.4安全制度管理流程375.2.5满足指标405.3安全教育与培训解决方案415.3.1信息安全培训的对象415.3.2信息安全培训的内容425.3.3信息安全培训的管理435.3.4满足指标435.4人员安全管理解决方案445.4.1普通员工安全管理445.4.2安全岗位人员管理455.4.3满足指标495.5第三方人员安全管理解决方案505.5.1第三方人员短期访问安全管理505.5.2第三方人员长期访问安全管理515.5.3第三方人员访问申请审批流程信息表535.5.4第三方人员访问申请审批流程图545.5.5满足指标545.6系统建设安全管理解决方案555.6.1系统安全建设审批流程555.6.2项目立项安全管理565.6.3信息安全项目建设管理575.6.4满足指标615.7等级保护实施管理解决方案625.7.1信息系统描述645.7.2等级指标选择695.7.3安全评估与自测评725.7.4方案与规划765.7.5建设整改785.7.6运维825.7.7测评准备855.7.8外部测评875.7.9满足指标885.8软件开发安全管理解决方案895.8.1软件安全需求管理895.8.2软件设计安全管理905.8.3软件开发过程安全管理935.8.4软件维护安全管理955.8.5软件管理的安全管理965.8.6软件系统安全审计管理975.8.7满足指标975.9安全事件处置与应急解决方案985.9.1安全事件预警与分级985.9.2安全事件处理1025.9.3安全事件通报1065.9.4应急响应流程1075.9.5应急预案的制定1075.9.6满足指标1165.10日常安全运维管理解决方案1175.10.1运维管理1175.10.2介质管理1185.10.3恶意代码管理1195.10.4变更管理管理1205.10.5备份与恢复管理1215.10.6设备管理管理1245.10.7网络安全管理1275.10.8系统安全管理1295.10.9满足指标1315.11安全组织机构设置解决方案1365.11.1安全组织总体架构1365.11.2满足指标1395.12安全沟通与合作解决方案1405.12.1沟通与合作的分类1405.12.2风险管理不同阶段中的沟通与合作1425.12.3满足指标1425.13定期风险评估解决方案1435.13.1评估方式1435.13.2评估内容1445.13.3评估流程1455.13.4满足指标1466技术体系整改方案1476.1总体部署说明1476.2边界访问控制解决方案1506.2.1需求分析1506.2.2方案设计1506.2.3方案效果1526.2.4满足指标1546.3边界入侵防御解决方案1556.3.1需求分析1556.3.2方案设计1566.3.3方案效果1596.3.4满足指标1606.4网关防病毒解决方案1616.4.1需求分析1616.4.2方案设计1616.4.3方案效果1636.4.4满足指标1636.5网络安全检测解决方案1656.5.1需求分析1656.5.2方案设计1666.5.3方案效果1686.5.4满足指标1696.6网络安全审计解决方案1716.6.1需求分析1716.6.2方案设计1726.6.3方案效果1786.6.4满足指标1816.7WAF解决方案1836.7.1需求分析1836.7.2方案设计1846.7.3方案效果1856.7.4满足指标1866.8恶意代码防护解决方案1876.8.1需求分析1876.8.2方案设计1886.8.3方案效果1906.8.4满足指标1926.9终端安全管理解决方案1936.9.1需求分析1936.9.2方案设计1946.9.3方案效果2026.9.4满足指标2056.10漏洞扫描解决方案2066.10.1需求分析2066.10.2方案设计2086.10.3方案效果2116.10.4满足指标2166.11应用监控解决方案2176.11.1需求分析2176.11.2方案设计2176.11.3方案效果2196.11.4满足指标2206.12数据备份与恢复解决方案2226.12.1需求分析2226.12.2方案设计2226.12.3满足指标2296.13PKI/CA身份认证解决方案2316.13.1需求分析2316.13.2方案设计2316.13.3方案效果2376.13.4满足指标2376.14安全加固解决方案2406.14.1安全加固范围及方法确定2406.14.2安全加固流程2406.14.3安全加固步骤2436.14.4安全加固内容2446.14.5采用安全操作系统2496.14.6采用安全数据库管理系统2526.14.7采用操作系统核心加固系统2556.14.8应用系统开发优化2566.14.9满足指标2586.15安全管理中心解决方案2666.15.1需求分析2666.15.2方案设计2686.15.3方案效果2836.15.4满足指标2857技术体系符合性分析2877.1物理安全2877.2网络安全2907.3主机安全2947.4应用安全2987.5数据安全与备份恢复3021 方案概述1.1 背景医院是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统，要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等，访问人员比较复杂，所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思维方式，但是，计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密，都会使计算机网络受到威胁。我们可以想象一下，对于一个需要高速信息传达的现代化医院，如果遭到致命攻击，会给社会造成多大的影响。为了保障我国关键基础设施和信息的安全，结合我国的基本国情，制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策，促进信息化、维护国家信息安全的根本保障。而针对医疗卫生行业，卫生部于2011年11月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号），卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知（卫办发201185号），85号文规定了主要工作内容：1.定级备案（规定了定级范围及级别）2.建设与整改（规定了二级（含）以上系统需进行差距分析与整改）3.等级测评（规定了三级（含）以上需进行等保测评）4.宣传培训（规定了各类卫生机构需进行信息安全培训，提高安全意识）5. 监督检查（规定了信息化工作领导小组对各医疗机构等级保护工作进行督导）全面开展等级保护建设，对医院特别是三级甲等医院的信息化建设提出了更高的要求，其核心业务信息系统的建设应按照不低于等级保护三级的标准进行。XX医院是北京市卫生局直属三级甲等医院、北京大学教学医院、中法友好合作医院、中国科学院心理研究所临床心理学教学医院、北京市心理危机研究与干预中心、北京市心理援助热线、世界卫生组织心理危机预防研究与培训合作中心、北京市专科医师培训基地、国家药物临床试验机构，作为北京三级甲等医疗机构，其核心HIS系统和EMR系统的正常运行至关重要，因此在信息安全建设过程中参照国家等级保护相关标准，利于医院自身进行安全体系化建设，并最终利于业务的开展。1.2 方案设计目标本次XX医院核心业务系统等级保护安全建设的主要目标是：按照等级保护要求，结合实际业务系统，对XX医院核心业务系统进行充分调研及详细分析，将XX医院核心业务系统系统建设成为一个及满足业务需要，又符合等级保护三级系统要求的业务平台。建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容，符合信息系统的业务特性和发展战略，满足XX医院信息安全要求。1.3 方案设计原则“全面保障”原则：信息安全风险的控制需要多角度、多层次，从各个环节入手，全面的保障。 “整体规划，分步实施”原则：对信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。“同步规划、同步建设、同步运行”原则：安全建设应与业务系统同步规划、同步建设、同步运行，在任何一个环节的疏忽都可能给业务系统带来危害。“适度安全”原则：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。“内外并重”原则：安全工作需要做到内外并重，在防范外部威胁的同时，加强规范内部人员行为和访问控制、监控和审计能力。“标准化”原则：管理要规范化、标准化，以保证在能源行业庞大而多层次的组织体系中有效的控制风险。“技术与管理并重”原则：网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。1.4 方案设计依据本方案的设计主要依据以下等级保护政策：n 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息安全等级保护工作的实施意见（公通字200466号）n 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的信息安全等级保护管理办法（公通字200743号）n 公安部颁发的关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)n 公安部关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）nn 本方案的设计主要依据如下等级保护标准：n 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）n 信息安全技术 信息系统等级保护安全设计技术要求(GB/T 25070-2010)本方案还参考了如下一些政策和标准：n 信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008)n 信息安全技术 信息系统安全等级保护实施指南n 信息安全技术 信息系统安全等级保护测评要求n 信息安全技术 信息系统安全等级保护测评过程指南n 计算机信息系统安全保护等级划分准则（GB 17859-1999）n 信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006）n 信息安全技术 网络基础安全技术要求（GB/T 20270-2006）n 信息安全技术 操作系统安全技术要求（GB/T 20272-2006）n 信息安全技术 数据库管理系统安全技术要求（GB/T 20273-2006）n 信息安全技术 服务器技术要求（GB/T 21028-2007）n 信息安全技术 终端计算机系统安全等级技术要求（GA/T 671-2006）n 信息安全技术 信息系统安全管理要求（GB/T 20269-2006）n 信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006）n GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求n IATF信息保障技术框架2 现状分析2.1 网络架构描述XX医院网络架构主要由终端安全域、安全设备运维区、互联网DMZ区、业务服务器区等安全域构成系统使用的安全产品清单：序号设备名称型号数量1防火墙XX22安全网关XX13入侵检测系统XX14漏洞扫描系统XX15补丁分发系统XX16信息安全综合审计监控系统XX17宽带信息安全（上网行为）管理系统XX18综合网络安全管理系统XX19互联网带宽管理系统XX110网络防病毒系统XX1已经部署的安全产品除网络防病毒系统外，其他产品均购置于四年前，无论从性能、功能上已经不能适应当今的安全要求，本次建设将予以更换。2.2 信息系统定级情况XX医院核心业务系统是医院信息系统（Hospital Information System ，HIS）和电子病历系统(Electronic Medical Record, EMR)。目前已经完成系统定级，最终确定北京XX医院核心业务信息系统安全保护等级为第三级。HIS系统由北京XX数字医疗系统有限公司研制开发，2002年11月开始分期实施到我院。由计算机网络中心负责组织实施、运行管理和维护工作。本系统是基于计算机网络、按照一定的应用目标和规则对医院临床及管理业务信息进行采集、加工、存储、传输、检索和服务的人机系统。整个网络主干千兆，百兆到桌面，为两层星型结构。该系统承载着全院人、财、物的行政管理和有关门、急诊病人及住院病人的医疗事务处理业务，主要包括门诊挂号、电子医嘱和处方、计价收费、药房药库管理、住院病人管理、检验检查信息管理、病案管理、卫生统计、物资和固定资产管理等二十几个紧密耦合的子系统。各子系统必须协同运行，支持医院临床诊疗、科研教学、经营决策等方方面面的日常业务与管理工作，是一体化的信息系统。电子病历系统(Electronic Medical Record, EMR)以服务临床业务工作开展为核心，为全院医务人员、业务管理人员、院级领导提供流程化、信息化、自动化、智能化的临床业务综合管理平台。目前医院所使用的电子病历系统为2011年引进的，XX公司开发的C-S架构的结构化的电子病历系统(TP-EMR)。该系统基于.NET多层体系结构开发平台，采用集中式数据库ORACLE 10G、分布式数据库ACCESS和XML技术相结合，完成临床数据的录入、传输、交换、存储和处理。目前电子病历系统的组织实施、管理维护、安全防护均由计算机中心管理。3 安全需求分析3.1 国家政策需求分析2007年公安部等四部委联合出台了信息安全等级保护管理办法，该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，由四部委共同会签印发的重要管理规范，主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。2009年，在全国信息系统安全等级保护定级工作基础上，公安部又印发了关于开展信息安全等级保护安全建设整改工作的指导意见，开始部署开展信息系统等级保护安全建设整改工作。2009年下半年公安部组织各部委和各行业开展了信息安全等级保护安全建设整改工作的集中培训，明确了我国信息安全等级保护安全建设整改工作的工作目标、工作对象、工作内容和要求，并对具体的工作流程和工作方法提出了指导意见。要求各行业利用三年时间，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作，落实等级保护制度的各项要求。卫生部于2011年11月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号），卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知（卫办发201185号）。要求医疗卫生行业全面开展等级保护建设。3.2 安全指标与需求分析XX医院核心业务系统的安全建设核心需求即满足等级保护的相关要求，因此将以满足等级保护指标为目标。根据定级结果，整体按三级来管理和建设。那么，可以确定需要满足的等级保护指标如下：单位级安全指标（三级）安全管理机构人员安全管理安全管理制度数据安全及备份恢复网络安全物理安全系统运维管理系统建设管理控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量岗位设置4安全意识教育和培训4管理制度4备份和恢复4安全审计4电磁防护3安全事件处置6安全方案设计5沟通和合作5人员考核3评审和修订2数据保密性2边界完整性检查2电力供应4备份与恢复管理5安全服务商选择3人员配备3人员离岗3制定和发布5数据完整性2恶意代码防范2防盗窃和防破坏6变更管理4测试验收5审核和检查4人员录用4访问控制8防火3恶意代码防范管理4产品采购和使用4授权和审批4外部人员访问管理2结构安全7防静电2环境管理4等级测评4入侵防范2防雷击3监控和安全管理中心3工程实施3防水和防潮4介质管理6外包软件开发4温湿度控制1密码管理1系统备案3物理访问控制4设备管理5系统定级4物理位置的选择2网络安全管理8系统交付5系统安全管理7自行软件开发(5)0应急预案管理5资产管理4201611825326240总计2144 信息安全体系框架设计XX医院核心业务系统安全体系框架分为技术体系与管理管理体系两部分。其中：l 技术体系参考设计技术要求，分为计算环境安全、边界安全、通信网络安全和安全管理中心四部分。同时满足基本要求中物理安全、网络安全、主机安全、应用安全和数据安全等方面技术指标。l 安全管理体系分为安全组织、安全策略、安全建设和安全运维四部分。5 管理体系整改方案5.1 安全制度制定解决方案安全制度是指导XX医院核心业务系统维护管理工作的基本依据，安全管理和维护管理人员必须认真制定的制度，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全维护管理工作。安全制定的适用范围是XX医院核心业务系统拥有的、控制和管理的所有信息系统、数据和网络环境，适用于属于XX医院核心业务系统范围内的所有部门。对人员的适用范围包括所有与XX医院核心业务系统的各方面相关联的人员，它适用于全部应用XX医院核心业务系统的相关工作人员，全部XX医院核心业务系统范围内容的维护人员，集成商，软件开发商，产品提供商，顾问，临时工，商务伙伴和使用XX医院核心业务系统的其他第三方。安全策略体系建立的价值在于：l 推进信息安全管理体系的建立n 安全策略和制度体系的建设n 安全组织体系的建设n 安全运作体系的建设l 规范信息安全规划、采购、建设、维护和管理工作，推进信息安全的规范化和制度化建设5.1.1 策略结构描述信息安全策略为信息安全提供管理指导和支持。XX医院核心业务系统应该制定一套清晰的指导方针，并通过在组织内对信息安全策略的发布和保持来证明对信息安全的支持与承诺。策略系列文档结构图： 最高方针最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。与其它部分的关系：所有其它部分都从最高方针引申出来，并遵照最高方针，不与之发生违背和抵触。 组织机构和人员职责安全管理组织机构和人员的安全职责，包括的安全管理机构组织形式和运作方式，机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。与其它部分的关系：从最高方针中延伸出来，其具体执行和实施由管理规定、技术标准规范、操作流程和用户手册来落实。 技术标准和规范技术标准和规范，包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。与其它部分的关系：向上遵照最高方针，向下延伸到安全操作流程，作为安全操作流程的依据。 管理制度和规定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。此部分文档较多。与其它部分的关系：向上遵照最高方针。向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法，不与之发生违背。 安全操作流程操作流程，详细规定主要业务应用和事件处理的流程和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。与其它部分的关系：向上遵照技术标准和规范、最高方针。 用户协议用户签署的文档和协议。包括安全管理人员、网络和系统管理员的安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中的遵守安全规定的承诺，也作为安全违背时处罚的依据。与其它部分的关系：向上遵照管理制定和规定、最高方针。 需要制定的策略文档本项目中需要制定的策略文档至少覆盖以下方面：n 安全方针n 安全组织n 资产分类及控制n 人员安全n 物理和环境安全n 通信和运作管理n 系统访问控制n 系统开发与维护n 安全事件处理n 业务连续性规划n 符合性5.1.2 安全制度制定安全制度的首要问题是需要对安全制度的制定，对于XX医院核心业务系统公司在安全制度的制定的过程中，考虑如下内容： 界定安全策略制度的制定权限l 公司网络与信息安全管理小组负责制定公司层的安全策略，主要包括：公司信息安全体系、公司安全策略框架、公司信息安全方针、公司信息安全体系等级化标准、公司全局性安全技术标准和技术规范、公司全局性安全管理制度和规定、公司安全组织机构和人员职责、公司层全局性用户协议。l 各部门信息安全组织遵照公司下发的安全策略，结合本部门系统实际情况，制定和细化成适用于本部门的具体管理办法、实施细则和操作规程等，不得与公司的规章制度相抵触，并须报公司信息安全管理部门备案。 安全策略的制定要求l 公司安全策略中不得出现公司的涉密信息。l 对公司安全策略进行汇编时，须保留各安全策略的版本控制信息和密级标识。5.1.3 满足指标解决方案名称控制类控制点指标名称措施名称改进动作安全制度制定解决方案安全管理制度管理制度a应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；制定安全方针安全制度开发安全制度制定解决方案安全管理制度管理制度b应对安全管理活动中的各类管理内容建立安全管理制度；建立各类安全管理制度安全制度开发安全制度制定解决方案安全管理制度管理制度c应对要求管理人员或操作人员执行的日常管理操作建立操作规程；建立各类操作规程安全制度开发安全制度制定解决方案安全管理制度管理制度d应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。编制制度体系说明文档安全制度开发5.2 安全制度管理解决方案安全制度制定后，对安全制度的管理工作十分重要，在对安全制度管理过程中，需要注意如下内容：5.2.1 安全制度发布l 安全策略须以正式文件的形式发布施行。 l 公司层安全策略由公司网络与信息安全工作组制订，公司网络与信息安全领导小组审批、发布。l 部门层安全策略由各生产中心安全管理组织制订，公司网络与信息安全工作组审批、发布，同时要留存公司信息安全管理部门备案。l 系统层安全策略由各系统管理员制订、本中心安全管理员协助，本部门安全管理组织审批、发布，同时要留存公司信息安全管理部门备案。l 安全策略发布后，如有必要，安全策略制定部门应召集相关人员学习安全策略，详细讲解规章制度的内容并解答疑问。l 安全策略修订后需要以正式文件的形式重新发布施行，修订后的策略也需相应层次的管理部门审批。l 签署发布的规章制度必须标明该规章制度的施行日期。5.2.2 安全制度修改与废止l 须定期对安全策略进行评审，对其中不适用的或欠缺的条款，及时进行修改和补充。对已不适用的信息安全制度或规定应及时废止。l 当现行安全策略有下列情形之一时，须及时修改：(一) 当发生重大安全事件，暴露出安全策略存在漏洞和缺陷时；(二) 组织机构或生产系统进行重大调整和变更后；(三) 同一个事项在两个规章制度中规定不一致；(四) 与上级部门的安全策略相抵触；其它需要修改安全策略的情形。 l 当现行安全策略有下列情形之一时，必须及时予以废止：(一) 因有关信息安全制度或规定废止，使该信息安全制度或规定失去依据，或与公司现行上层策略相抵触；(二) 因已规定的事项已经执行完毕，没有存在必要；(三) 已被新的规章制度所替代。l 公司层安全策略的修改与废止须经公司信息安全领导组织审批确认，公司信息安全管理部门备案。l 部门层安全策略的修改与废止须经各部门信息安全维护组织及公司信息安全管理部门审批确认。同时公司信息安全管理部门备案。5.2.3 安全制度监督和检查l 安全策略发布实施后，各部门应就安全策略制度或规定的贯彻执行，执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督，并将意见和建议及时反馈给制度的制定部门。l 为保障各项信息安全管理制度的贯彻落实，公司信息安全管理部门必须定期检查安全策略的落实情况，信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。l 信息安全检查工作结束后，在起草检查报告时，必须通报安全策略的落实情况，对执行不力的行为必须提出整改意见，限期纠改，并继续追踪其落实情况。l 安全策略的贯彻落实情况，必须作为重要的考核项目，纳入部门的综合考评体系。为安全策略落实做出显著成绩的部门或个人，应给予表彰和奖励；对违反规章制度造成严重后果的部门或个人，应追究当事人、相关单位及主管领导的责任。具体参照公司考核制度办理。5.2.4 安全制度管理流程 制度管理流程信息表下表给出了制度管理流程表，供本次项目参考：流程名称策略管理流程流程编码OPT-6流程负责人公司信息安全办公室流程起点： 制定安全策略流程目的：规范公司以及各部门信息安全策略的制定、发布、修改、废止、检查和监督落实，建立科学、严谨的信息安全策略管理体系。流程终点：审议安全策略执行步骤编号操作步骤操作描述操作岗位1策略制定 公司级信息安全策略由公司信息安全办公室负责制定 部门级信息安全策略由部门信息安全组织负责制定部门信息安全组织/公司信息安全办公室2审核与发布 公司级策略u 公司信息安全工作组审核u 公司信息安全领导小组审批u 公司信息安全办公室发布 部门级策略u 公司信息安全办公室审核u 公司信息安全工作组审批u 部门信息安全组织发布部门信息安全组织/公司信息安全办公室/公司信息安全工作组/工作信息安全领导小组3修改与废止 制定部门负责修改和废止 公司信息安全办公室审核、备案 公司信息安全工作组、领导小组审批部门信息安全组织/公司信息安全办公室/公司信息安全工作组/工作信息安全领导小组4监督和检查 公司信息安全办公室监督、检查公司信息安全办公室流程输入步骤编号输入部门输入内容输入标准载体名称1部门信息安全组织策略（制度、标准、规范、运行维护计划）完整策略文档1公司信息安全办公室策略（制度、标准、规范、运行维护计划）完整策略文档流程输出步骤编号接收部门输出内容输出标准载体名称2、3、4信息安全办公室策略审批、备案信息及时、准确“信息安全平台”使能器IT信息平台“公司信息安全平台”策略策略文档 公司级制度管理流程图下图给出公司级制度的管理流程供本次项目参考：公司级制度管理流程图 部门级制度管理流程图下图给出部门级制度管理流程图供本次项目参考：部门级制度管理流程图5.2.5 满足指标解决方案名称控制类控制点指标名称措施名称改进动作安全制度管理解决方案安全管理制度制定和发布a应指定或授权专门的部门或人员负责安全管理制度的制定；专人制定的规定制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布b安全管理制度应具有统一的格式，并进行版本控制；版本控制规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布c应组织相关人员对制定的安全管理制度进行论证和审定；制度审定规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布d安全管理制度应通过正式、有效的方式发布；制度发布规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度制定和发布e安全管理制度应注明发布范围，并对收发文进行登记。制度制度管理规范，收发记录制度管理规定与记录安全制度管理解决方案安全管理制度评审和修订a信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；定期审定的规定与记录制度管理规定与记录安全制度管理解决方案安全管理制度评审和修订b应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。定期修订的规定与记录制度管理规定与记录5.3 安全教育与培训解决方案组织内的人员安全意识决定了信息安全的管理水平，有必要定期的对所有人员进行全面的安全培训，提供信息系统使用人员和管理人员的安全技能与安全意识，在安全教育和培训过程中着重考虑如下几个方面：5.3.1 信息安全培训的对象信息安全培训工作需要分层次、分阶段、循序渐进地进行，而且必须是能够覆盖全员的培训；分层次培训是指对不同层次的人员，如对管理层（包括决策层）、信息安全管理人员，系统管理员和员工开展有针对性和不同侧重点的培训；分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段，培训工作要有计划地分步实施；信息安全培训要采用内部和外部结合的方式进行，安全培训对象主要保护如下几个类型的员工： 管理层（决策层）l 管理层培训目标是明确建立公司信息安全体系的迫切性和重要性，获得公司管理层（决策层）有形的支持和承诺。l 管理层培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。 信息安全管理人员l 信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。l 信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术 和 公司内部学习研讨的方式。 公司系统管理员l 公司系统管理员培训目标是掌握各系统相关专业安全技术，协助公司和各部门信息安全管理人员维护和保障系统正常、安全运行。l 公司系统管理员培训方式可以采用外部和内部相结合的培训以及自学的方式。 员工l 员工培训目标是了解公司相关信息安全制度和技术规范，并安全、高效地使用公司信息系统。l 员工培训方式应主要采取内部培训的方式。5.3.2 信息安全培训的内容信息安全培训的内容主要包含如下几个方面： 安全体系及安全职责分工培训l 公司各级领导及员工明确了解公司信息安全体系，并明确各自在的安全职责，明确自身对维护保障公司系统正常、安全运行所需承担的相关责任和义务。l 培训应采用长期，并覆盖公司全员。 新员工入职安全培训新员工在正式上岗前，应进行信息安全方面的培训，明确岗位所要求遵守的公司信息安全制度和技术规范。 员工安全技术教育针对公司系统的维护人员和管理员应定期开展安全技术教育培训（每年至少一次），明确如何安全使用有关系统，包括各业务系统、主机操作系统、电子邮件系统、内部网站以及普通计算机周边硬件设备。 各项安全专业技术教育针对公司安全管理员和系统管理员应定期开展由供应商或厂家提供的专业安全技术培训，帮助相关安全管理人员和系统管理员了解掌握正确、安全地安装、配置、维护系统。 安全专业资格认证针对公司安全管理员和系统管理员应根据实际情况，挑选公司信息安全管理及安全技术人员进行相关的认证考试培训，并参加认证考试，以提高公司安全管理人员对信息安全的管理理论和技术的水平。 信息安全内部考核（含培训）针对公司安全管理员和系统管理员应根据岗位不同，对员工进行相关的信息安全培训，并在培训后实行书面（开卷或闭卷）信息安全考核。5.3.3 信息安全培训的管理对于信息安全培训的管理主要控制信息安全培训的发起和实施，保证信息安全培训的质量： 安全培训的发起l 公司及部门安全管理组织可根据自身安全管理的需要，发起相应的安全培训计划。l 涉及纳入员工考核的培训，需要公司人力资源部的确实，以及公司网络与信息安全办公室备案考核结果。l 新员工、公司全员的安全培训教育，纳入公司人力资源部的整体培训计划中。l 具体操作过程遵守公司人力资源部的相关培训管理制度。 安全培训的实施l 培训的实施，建议由公司人力资源部负责。l 对专业性很强的培训，培训发起的各级安全培训组织负责。l 具体操作过程遵守公司人力资源部的相关培训管理制度。5.3.4 满足指标解决方案名称控制类控制点指标名称措施名称改进动作改进对象安全教育与培训解决方案人员安全管理安全意识教育和培训a应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；培训教材与记录安全教育与培训解决方案人员安全管理安全意识教育和培训b应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；处罚制度安全教育与培训解决方案人员安全管理安全意识教育和培训c应对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训；配置制度与计划安全教育与培训解决方案人员安全管理安全意识教育和培训d应对安全教育和培训的情况和结果进行记录并归档保存。培训文档管理5.4 人员安全管理解决方案在安全管理的过程中，内部人员的安全管理作为安全管理的重中之重，内部人员安全是信息系统主要面临的内部安全威胁，在对人员的管理中，需要重点考虑如下几个方面的内容5.4.1 普通员工安全管理一、 员工录用安全管理员工录用，除了应该遵守相关人事和劳动法律法规外，还必须考虑以下安全事项：n 除了严格考察该人员的业务技术水平和相关资质认证（相关计算机认证证书等）外，还必须考虑政治、社会和素质等多方面的因素。n 不考虑录用有犯罪前科、重大行政处分纪录和“黑客”经历的人员。如有特殊情况，需要经公司主管安全的一级经理同意后，方可考虑录用。在签订劳动合同之外，必须签订保密协议，明确该人员应严格遵守的相关安全管理制度、安全技术规范和保守商业机密的要求以及违约责任等。二、 员工工作调动的安全管理由于业务工作的需要或其他原因，需要对员工进行岗位调动时，必须考虑以下安全事项：n 根据新岗位的需要，增加、删除或修改该人员的计算机信息系统访问权限，包括电子邮件系统、业务应用系统、网络系统和其他计算机信息软硬件系统。n 如有必要，重新创建相关管理员账号并修改其口令。n 如有必要，修改合同中有关条款和相应的保密条款或保密协议，并拟定新的雇佣合同，而且原合同中的保密条款或保密协议将继续有效。n 与原岗位有关的所有资料文件，包括其软硬拷贝都需要移交，不允许私自带走。遵循“需要知道”原则，尽量避免由于不当或过于频繁的调动，造成人员的权限过大的情况。三、 员工离职的安全管理员工在离职时，必须遵守以下安全操作流程：n 删除该员工的所有信息系统访问账号和权限，如有必要将重新创建有关管理员账号和口令。n 由相关人员和该员工一起回顾其签订的保密协议，并使该员工明确所有保密事项，以及在离开公司后3年内不得披露、使用技术资料的规定。四、 对员工的安全审计网络与信息安全领导小组及各生产中心安全管理组织定期组织对员工进行安全审计和监督工作，并把审计和监督结果报告抄送给该人员所属部门主管，作为对该人员工作考核的依据之一。对于不遵守公司信息安全管理制度和安全技术规范的员工，经查实后，由其所属部门主管根据有关规定，报请人事行政部门对该员工进行处罚。五、 对员工的安全培训及教育员工的安全培训及教育由公司网络与信息安全办公室及各部门安全管理组织统一计划，公司人力资源部协助实施。具体培训的内容及要求遵照信息安全培训及教育管理办法。员工的安全培训及教育成绩，作为对该人员工作考核的依据之一。5.4.2 安全岗位人员管理一、 安全岗位人员的管理考核专职安全管理员：专职负责信息安全管理工作，是信息安全管理部门的主要成员。具体人员在网络工程处，归属网络工程处长管理，考核。各部门专、兼职安全管理员：负责本部门信息安全管理工作，是信息安全管理组织的成员。人员编制在各部门，日常工作归属相应部门来管理。同时作为信息安全组织组织的成员，其工作考核的一部分归属信息安全管理部门。（具体份额，人力资源部门和信息安全领导小组确定）二、 安全岗位人员的培训教育安全岗位的人员需要进行相关安全管理技能的专业培训及教育等工作，安全岗位人员的培训由信息安全管理部门牵头负责，安全岗位人员的培训成绩作为其相应工作考核项之一。三、 安全岗位人员职责岗位名称岗位技能要求具体工作内容信息安全主管大学本科以上学历，计算机通信；信息安全专业1、制订信息安全管理制度和技术规范。2、领导、组织信息安全管理制度和技术规范的具体实施。3、监督、检查信息安全管理工作。4、定期就信息安全管理的效果和有关重大问题及时向人民银行信息安全管理部门汇报。安全管理大学本科以上学历，计算机/信息安全专业1、参与信息安全管理制度的制订。2、负责实施和维护信息安全管理制度和技术规范。3、负责监督、检查信息安全工作情况，负责对各部门信息安全考核及各部门安全管理员的工作考核。4、组织、领导对安全岗位人员的信息安全教育培训。5、定期向信息安全