网络与信息安全管理岗位

医疗机构信息技术网络与信息安全岗位指南本文件规定了医疗机构网络与信息安全岗位人员的能力种类、等级标准、岗位任职条件与效能评价。本文件适用于在医疗机构从事信息技术人员的培养方向与岗位的设置。本文件适用于知南课堂讲师或学员中从事医疗机构网络与信息安全运维管理人员。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。关于深化工程技术人才职称制度改革的指导意见（人社部发〔2019〕16号）全国医院信息化建设标准与规范（试行国卫办规划发〔2018〕4号）信息技术安全技术信息安全事件管理指南（GB/T20985.1-2017）信息安全技术信息安全事件分类分级指南（GB/T20986-2023）信息安全技术网络安全等级保护基本要求（GB/T22239-2019）信息安全技术信息安全应急响应计划规范（GB/T24363-2009）3术语和定义下列术语和定义适用于本文件。3.1医疗机构Medicalinstitutions医疗机构是指按照国务院颁布的医疗机构管理条例的规定，经登记取得医疗机构执业许可证，从事疾病诊断、治疗活动的医院、卫生院、疗养院、门诊部、诊所、卫生所（室）以及急救站等机构。[来源：国务院令第752号，2022年]3.2网络与信息安全人员NetworkandInformationSecuritypersonnel指从事规划、监督、控制网络资源的使用和网络的各种活动时，遵照信息安全管理体系和标准工作，通过运用各种安全产品和技术，进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计等的人员。本文件中的网络与信息安全人员是指在医疗机构内从事的网络操作系统、网络数据库、网络设备、网络管理、网络安全、信息安全、安全审计、应用开发的专业技术人员。3.3能力Competence人们对自然探索、认知、改造水平的度量，是完成任务或者达成目标所体现出来的知识、技能及综合素质。能力总是和人完成一定的实践相联系在一起的。掌握和运用知识技能所需的心理特征，达成一个目的所具备的条件和水平。3.4能力种类Competencetype完成相同的工作任务或者达成目标所体现出来的能力。本文件中能力种类分为基础能力、专业能力、综合管理能力三类。3.5能力项Competenceitem完成一项任务或者达成目标所体现出来的单项能力。本文件中用知识掌握与资格认定来呈现某项能力。3.6能力等级Competencelevel通过考试、评审认定所达到的等级。3.7岗位任职条件Postqualifications根据岗位的性质、任务和要求，本文件中约定从事该岗位工作的人员所需具备的技术能力、业务水平和工作成效等方面要求。3.8效能评价Effectivenessevaluation效能评价是一个系统性的评估过程，旨在确定个人在特定工作中所具备的能力和潜力。本文件中的效能评价包括：运维管理、安全管理、项目管理、技术研究与创新、团队建设与培训、用户满意度。3.9信息系统informationsystem由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[GB/T20986-2023]3.10信息安全事件informationsecurityincident由于自然或者人为以及软硬件本身缺陷或者故障的原因，对信息系统造成危害或对社会造成负面影响的事件。3.11渗透测试penetration渗透测试是从一个攻击者的角度来检查和审核一个信息系统安全性的过程。通过信息收集、扫描、漏洞挖掘与验证等方法对目标系统进行测试，发现系统存在的安全风险。4能力种类、等级及标准4.1能力种类医疗机构网络与信息安全人员能力分为基础能力、专业能力和综合管理能力；能力标准分为6个能力项。图1网络与信息安全岗位能力表123456基础能力计算机基础网络配置网络与信息安全防护法律法规运维检测——专业能力————资源监控与分配网络与信息安全处置渗透测试网络与信息安全运维综合管理能力——————网络与信息安全规划信息安全项目管理运维分析与管理4.2能力等级网络与信息安全管理分为五个专业技术岗位等级：技术员、网络与信息安全管理员（助理工程师）、信息安全工程师（工程师）、网络安全架构师（高级工程师）、专家级网络安全架构师。4.3能力标准图2岗位层级对应的能力标准岗位层级能力要求信息安全技术员初步掌握网络与信息安全的基础理论和专业技术知识；能完成医疗机构网络信息安全相关的一般技术辅助性工作能力。网络与信息安全管理员能够运用网络与信息安全的基础理论和专业技术知识；完成独立医疗机构网络信息安全相关的一般性工作的实际能力。信息安全工程师熟悉网络与信息安全岗位的法规和规章制度、技术标准、规范、规程和规定；具有运用专业知识，解决医疗机构内较复杂的技术问题的能力，能够指导下级网络与信息安全岗位人员的工作和学习。网络安全架构师全面掌握网络与信息安全岗位的相关理论知识，并在计算机通信、网络技术、网络信息安全及其产品等方面有深入的研究成果；具有主持或作为技术骨干参加计算机通信与信息安全及其产品的研究、设计、安装、调试工作全过程的经历，能够指导工程师的工作和学习。专家级网络安全架构师具有全面系统的网络与信息安全岗位的专业理论和丰富的实践经验、科研水平、学术造诣高，得到业内普遍认可；具有引领本专业发展前沿水平的能力，能够主持完成本专业领域重大项目，能够解决重大技术问题或掌握关键核心技术，取得了显著的经济效益和社会效益；具有较强的带教能力。5岗位任职条件5.1信息安全技术员：能在信息科（处、中心）带教老师的指导下，完成单体医疗机构内常见、简单的网络、设备、应用等安全配置，并能完成系统安全事件巡检记录。5.2网络与信息安全管理员：能完成常见、简单的网络、设备、应用等安全配置与防护。能独立完成单体医疗机构内一般性网络与信息安全项目方案规划、设计的工作的能力，能处理本专业范围内一般性技术问题。能正确记录、整理技术资料，撰写相关的技术工作总结和调研报告；每年不低于24课时的专业技能学习，并取得一定效果。5.3信息安全工程师：能完成网络、设备、应用等安全配置与防护。能独立完成单体医疗机构整体的网络与信息系统安全项目方案规划、设计的能力；能总结在解决信息安全等复杂技术问题中所得到的经验并形成实质成果；每年有不低于24课时的专业技能学习，并取得良好效果，省级以上平台公开学术分享1次；年度内无工作失责、失误导致的信息安全事件。5.4网络安全架构师：长期从事医疗机构的网络与信息安全工作，在信息安全工程师的基础上取得重要成果并得到业内专家认可；在指导中青年学术技术骨干方面发挥重要作用，取得较高的社会效益或经济效益。每年不低于12课时的专业技能学习，省级以上平台公开学术分享2次；上年度无工作失责、失误导致的信息安全事件。5.5专家级网络安全架构师：长期从事医疗机构的网络与信息安全工作，有着较高的学术声誉，能够解决重大的网络信息安全技术问题或掌握关键核心技术；取得重大理论研究成果或取得实践创新性成果；在指导中青年学术技术骨干方面发挥突出作用，取得显著的社会效益或经济效益。每年不低于6课时的专业技能学习，省级以上平台公开学术分享2次；年度无工作失责、失误导致的信息安全事件。6效能评价根据医疗机构的具体情况和需求设置评价指标的分值和权重，对医疗机构网络与信息安全岗位人员的工作效率与效果进行全面评估。——日常运维管理：评价网络与信息安全岗位人员在日常网络安全运维与维护工作中的表现。包括故障处理、网络安全配置、信息安全事件监测等方面，以保证网络安全性和可用性。——网络与信息安全管理：评估网络与信息安全岗位人员在涉及网络与信息安全的政策法规执行、等级保护重要信息系统备案、测评、监督检查情况。网络与信息安全防护方面的知识和实践能力，包括入侵检测系统部署、渗透测试、安全运维、漏洞监测与加护、应急响应等，以确保医院网络信息安全。——网络与信息安全项目管理：评估网络与信息安全岗位人员在项目管理与协调方面的能力。包括项目进度控制、资源调配、团队协作等，以提高工作效率和项目成功率。——技术研究与创新：评价网络与信息安全岗位人员在技术研究与创新方面的能力。包括科研能力，学科水平和通过新技术应用、业务管理的探索与实践、推动网络技术升级等所取得