信息系统安全管理建设整改工作流程
将乐县医院信息安全建设工作过程中将充分考虑将乐县医院信息化发展战略的总体要求,与信息化建设的实际需求和信息安全风险的实际状况相结合,遵循国家的法律法规、技术标准和行业的有关规定并且具有明确的指导性和可实施性。并应配合将乐县通过沟通、培训、颁布、审核、调整等步骤进行安全策略的部署。通过策略的部署,建立完善将乐县医院信息安全管理体系,保证将乐县医院网络与信息安全水平和系统的建设和发展同步进行,避免因为网络与信息安全水平的滞后而影响将乐县医院信息化的整体发展。
同时,在等级保护指标体系的设计基础之上,为将乐县设计制定以策略为核心,管理体系、技术体系和运维体系共同支撑的整体信息安全保障体系。具体包括:
管理体系
安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效
17
用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。
技术体系
信息安全技术体系的作用是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。按照PDR2模型,系统信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:
防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。
检测:通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。
响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证,通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。安全技术模型如下图所示。
18
4.7.1 总体安全方针与安全策略
总体安全方针与安全策略是指导将乐县医院所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。本次项目中网神将协助将乐县医院确定安全管理体系的层次及建立方式,明确各层次在安全管理体系中的职责以及安全策略,建立具有高可操作性的考核体系,以加强安全策略及各项管理制度的可落实性。
我方为将乐县医院设计的总体安全方针与安全策略将具备以下特性:
? 安全策略紧紧围绕行业的发展战略,符合将乐县医院实际的信息安全需求,能保障与促
进信息化建设的顺利进行,避免理想化与不可操作性。
? 总体安全方针与安全策略中将明确阐述将乐县医院所有信息化建设项目在规划设计、开
发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。
? 安全策略在经过将乐县医院信息安全决策机构批准之后,将具备指导和规范信息安全工
作的效力。
? 安全策略中将规定其自身的时效性,当信息系统运行环境发生重大变化时,我方将协助
将乐县医院及时对总体安全策略进行必要的调整,并将调整后的策略提交将乐县医院信息安全决策机构批准。
4.7.2 安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中
19
规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
4.7.3 安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度; 建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
4.7.4 人员安全管理
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相关权限等措施。
只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
具体依据标准《基本要求》中人员安全管理,同时可以参照《信息系统安全管理要求》等。
20
相关推荐:
loading