網(wǎng)絡(luò)與信息安全管理制度(暫行)
第一章 總則
第一條 為保障XX公司(以下簡稱“XX”或“XX”)網(wǎng)絡(luò)與信息安全,切實加強網(wǎng)絡(luò)與信息安全管控,提高網(wǎng)絡(luò)與信息安全管理水平和防護能力,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國保守國家秘密法》等政策法規(guī)規(guī)定,結(jié)合XX實際,制定本制度。
第二條 本制度適用于XX部門、科室所有職工及使用單位網(wǎng)絡(luò)的所有人員。
第二章 網(wǎng)絡(luò)與信息安全管理機構(gòu)
第三條 設(shè)立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組,小組組長為XX,副組長為黨支部書記XX,組員為各科室負(fù)責(zé)人。
第四條 網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組主要職責(zé)如下:
(一)根據(jù)國家和衛(wèi)健委有關(guān)網(wǎng)絡(luò)與信息安全的政策、法律和法規(guī),制定XX網(wǎng)絡(luò)與信息安全總體規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)等。
(二)發(fā)揮集中統(tǒng)一領(lǐng)導(dǎo)作用,統(tǒng)籌領(lǐng)導(dǎo)XX網(wǎng)絡(luò)與信息安全相關(guān)工作。
(三)貫徹執(zhí)行上級單位、相關(guān)單位下發(fā)的網(wǎng)絡(luò)與信息安全文件要求及精神。
(四)協(xié)調(diào)、督促各科室、部門的網(wǎng)絡(luò)與信息安全工作,處理網(wǎng)絡(luò)與信息安全隱患,參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃,監(jiān)督安全措施的執(zhí)行。
(五)統(tǒng)籌領(lǐng)導(dǎo)處理網(wǎng)絡(luò)與信息安全事故,組織進行事件調(diào)查,評估安全事件的嚴(yán)重程度,負(fù)責(zé)網(wǎng)絡(luò)與信息安全事故的后續(xù)處理及防范措施等。
第五條 辦公室職責(zé)為按照國家、衛(wèi)健委及上級單位統(tǒng)一部署組織開展的網(wǎng)絡(luò)與信息安全工作,具體工作包括:
(一)保障網(wǎng)絡(luò)與信息系統(tǒng)安全運行。
(二)按照網(wǎng)絡(luò)與信息安全等級保護制度對XX網(wǎng)絡(luò)進行建設(shè)和整改工作。
(三)網(wǎng)絡(luò)與信息安全突發(fā)事件處置、應(yīng)對、整改。
(四)開展網(wǎng)絡(luò)與信息安全宣傳教育與培訓(xùn)。
(五)開展網(wǎng)絡(luò)與信息安全檢查與自查工作。
(六)負(fù)責(zé)XX網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的編制并組織測試和演練。
(七)開展其他網(wǎng)絡(luò)與信息安全工作。
第三章 網(wǎng)絡(luò)與信息安全管理
第六條 網(wǎng)絡(luò)與信息安全是指通過采取必要措施,防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。
第七條 辦公室負(fù)責(zé)對XX外網(wǎng)、內(nèi)網(wǎng)、專用網(wǎng)絡(luò)(以下統(tǒng)稱“網(wǎng)絡(luò)”)及設(shè)備和系統(tǒng)進行規(guī)劃、建設(shè)、統(tǒng)一管理、日常維護、安全保障等工作。
第八條 接入并利用XX網(wǎng)絡(luò)進行工作的人員,應(yīng)自覺遵守相關(guān)規(guī)章制度,建立良好的使用習(xí)慣,杜絕潛在的網(wǎng)絡(luò)與信息安全隱患和漏洞。
第九條 使用XX網(wǎng)絡(luò)必須遵守相關(guān)法律法規(guī),遵守公共秩序,尊重社會公德,不得利用網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密,不得侵犯國家、社會、集體的利益和公民的合法權(quán)益,不得從事違法犯罪活動。
第十條 嚴(yán)禁通過XX網(wǎng)絡(luò)進行傳播反動、暴力、淫穢內(nèi)容等違法行為,嚴(yán)禁利用XX網(wǎng)絡(luò)制作、復(fù)制、發(fā)布、傳播病毒、流氓軟件及進行其他影響網(wǎng)絡(luò)正常運行或影響其他用戶正?!な褂玫男袨?。
第十一條 在使用網(wǎng)絡(luò)與信息設(shè)備時應(yīng)保持清潔、安全、良好的工作環(huán)境,禁止在信息設(shè)備應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等損害設(shè)備的物品。
第十二條 所有網(wǎng)絡(luò)和信息設(shè)備未經(jīng)XX辦公室授權(quán)同意,嚴(yán)禁擅自拆、換任何零件、配件、外設(shè)。
第十三條 各科室負(fù)責(zé)人對本部門信息設(shè)備安全管理負(fù)責(zé)。
第四章 醫(yī)療系統(tǒng)及內(nèi)網(wǎng)安全管理
第十四條 接入內(nèi)網(wǎng)的設(shè)備和軟件,應(yīng)進行充分的安全評估和殺毒掃描,只允許經(jīng)過授權(quán)軟件運行。
第十五條 臨時接入內(nèi)網(wǎng)的設(shè)備在接入前須進行病毒查殺,并由負(fù)責(zé)信息安全的工作人員輔助執(zhí)行。
第十六條 內(nèi)網(wǎng)接入設(shè)備實行白名單制度,所有接入內(nèi)網(wǎng)的設(shè)備應(yīng)由辦公室進行授權(quán)備案。
第十七條 辦公室建立內(nèi)網(wǎng)系統(tǒng)配置清單,并進行配置審計。
第十八條 對重大配置變更應(yīng)制定變更計劃并進行影響分析,配置變更實施前進行嚴(yán)格安全測試。
第十九條 負(fù)責(zé)信息安全的工作人員密切關(guān)注重大安全漏洞及其補丁發(fā)布,發(fā)現(xiàn)漏洞及時上報辦公室,由辦公室統(tǒng)一指定和進行升級措施。
第二十條 接入內(nèi)部網(wǎng)絡(luò)的設(shè)備嚴(yán)禁使用橋接、雙網(wǎng)卡等方式直接接入互聯(lián)網(wǎng)。
第二十一條 對重要的業(yè)務(wù)數(shù)據(jù)、關(guān)鍵程序建立健全的本地和異地、自動和手動相配合的多重備份機制。定期檢查備份數(shù)據(jù)的完整性。
第二十二條 接入內(nèi)部網(wǎng)絡(luò)的設(shè)備嚴(yán)禁使用各類型的移動存儲設(shè)備,包括但不限于U盤、移動硬盤、軟盤、光盤等。因業(yè)務(wù)拓展需要時,應(yīng)由XX進行統(tǒng)一推送部署。
第二十三條 在使用醫(yī)療系統(tǒng)中,嚴(yán)格遵循一人一賬號的原則。個人賬號不得相互借用。
第二十四條 個人賬號在使用嚴(yán)禁使用空密碼或弱密碼,做好賬號密碼的保護工作,防止密碼泄露。
第二十五條 在使用醫(yī)療系統(tǒng)和內(nèi)網(wǎng)資源時做好安全工作,人員離機時及時注銷或退出登錄。專人專用電腦應(yīng)設(shè)立訪問密碼。
第五章 行政系統(tǒng)及外網(wǎng)安全管理
第二十六條 新增設(shè)備接入外網(wǎng),應(yīng)報辦公室進行備案。
第二十七條 工作人員在使用接入外網(wǎng)的設(shè)備時,應(yīng)做好基礎(chǔ)的安全防護工作。安裝防火墻和殺毒軟件并定期查殺病毒和修補漏洞。
第二十八條 禁止安裝與工作無關(guān)的軟件,禁止運行來源不明的軟件和程序。
第二十九條 禁止未經(jīng)授權(quán)私自通過外接路由器、USB網(wǎng)卡等方式建立無線網(wǎng)絡(luò)環(huán)境。
第三十條 因工作需要連接各類外來移動存儲設(shè)備時,應(yīng)進行病毒掃描等基礎(chǔ)安全防護工作。
第六章 網(wǎng)絡(luò)與信息安全事故管理
第三十一條 辦公室負(fù)責(zé)制定安全事件應(yīng)急響應(yīng)預(yù)案,當(dāng)遭受安全事故導(dǎo)致系統(tǒng)出現(xiàn)異?;蚬收蠒r,應(yīng)立即采取緊急防護措施,防止事態(tài)擴大,并上報衛(wèi)計局信息化主管部門,同時注意保護現(xiàn)場,以便進行調(diào)查取證。
第三十二條 辦公室負(fù)責(zé)網(wǎng)絡(luò)與信息安全事故應(yīng)急預(yù)案的編制,并組織演練。
第三十三條 網(wǎng)絡(luò)與信息安全事故概念:
(一)普通網(wǎng)絡(luò)與信息安全事故
1. 網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生24小時內(nèi)故障癱瘓;
2. 安全事故影響范圍僅限部分科室和部分設(shè)備;
3. 安全事故得到及時遏制和處理,未發(fā)生蔓延;
4. 安全事故沒有造成數(shù)據(jù)丟失和泄密,沒有造成經(jīng)濟損失;
5. 安全事故沒有對醫(yī)療活動造成明顯影響。
(二)嚴(yán)重網(wǎng)絡(luò)與信息安全事故
1. 網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生24小時以上48小時以內(nèi)故障和癱瘓。
2. 安全事故影響范圍包含單位大部分科室和設(shè)備;
3. 安全事故沒有及時遏制和處理,但未蔓延;
4. 安全事故沒有造成數(shù)據(jù)丟失和泄密,沒有造成經(jīng)濟損失;
5. 安全事故對醫(yī)療活動造成一定影響,但在可控范圍內(nèi)。
6. 沒有發(fā)生不利于單位的輿情信息。
(三)重大網(wǎng)絡(luò)與信息安全事故
1. 網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生48小時以上的故障和癱瘓。
2. 信息系統(tǒng)受到較大面積病毒感染和滲透、攻擊。
3. 安全事故沒有及時遏制和處理,發(fā)生蔓延;
4. 安全事故造成數(shù)據(jù)丟失和泄密,造成經(jīng)濟損失;
5. 安全事故對醫(yī)療活動造成了影響,患者及群眾發(fā)生不滿情緒;
6. 縣級以上新聞媒體進行報道,發(fā)生了負(fù)面輿情。
第三十四條 出現(xiàn)網(wǎng)絡(luò)與信息安全事件時,發(fā)現(xiàn)者及時上報科室負(fù)責(zé)人和辦公室,做到及時、全面、準(zhǔn)確報送,不得瞞報、緩報、謊報網(wǎng)絡(luò)與信息安全情況。
第三十五條 出現(xiàn)嚴(yán)重或重大網(wǎng)絡(luò)與信息安全事故時,辦公室應(yīng)及時上報衛(wèi)計局信息系統(tǒng)負(fù)責(zé)人員。
第三十六條 發(fā)生網(wǎng)絡(luò)與信息安全事故時,網(wǎng)絡(luò)與信息安全小組應(yīng)及時對故障進行排查、處理,第一時間阻止事故發(fā)生蔓延。若無法處理,應(yīng)立即聯(lián)系軟件服務(wù)商或聯(lián)系衛(wèi)計局信息系統(tǒng)負(fù)責(zé)人員尋求協(xié)助處理。
第三十七條 嚴(yán)重和重大網(wǎng)絡(luò)與信息安全處理流程:(轉(zhuǎn)下頁)
第七章 網(wǎng)絡(luò)與信息安全教育與管理
第三十八條 員工入職后應(yīng)參加辦公室組織的網(wǎng)絡(luò)與信息安全培訓(xùn),以提升其網(wǎng)絡(luò)與信息安全意識及技術(shù)水平。
第三十九條 辦公室不定期對各科室和員工的網(wǎng)絡(luò)與信息安全防護行為進行考核評估,對發(fā)現(xiàn)具有安全隱患的行為,應(yīng)限期監(jiān)督整改。
第四十條 具有內(nèi)網(wǎng)及醫(yī)療系統(tǒng)操作權(quán)限的員工離職時,需由相關(guān)科室向辦公室提交《HIS系統(tǒng)修改申請單》,及時終止離職員工對醫(yī)療系統(tǒng)的所有訪問權(quán)限。
第四十一條 員工離職時應(yīng)返還屬于XX的全部信息設(shè)備,不得在離職時以任何形式帶走任何信息。
第八章 法律責(zé)任
第四十二條 對于違反本管理制度的科室及個人,造成重大影響和損失的,XX將視情節(jié)嚴(yán)重程度給予處理;構(gòu)成違法犯罪行為的,依法報警并移送司法機關(guān)處理。
第九章 附則
第四十三條 本制度由辦公室負(fù)責(zé)解釋,自印發(fā)之日起執(zhí)行。
如沒特殊注明,文章均為艾思易歐原創(chuàng),轉(zhuǎn)載請注明來自 http://88674.com.cn/news/544.html