網(wǎng)絡(luò)信息安全管理程序

文件編號(hào)： 版本號(hào)：V1.0受控:生效日期： 分發(fā)號(hào)：XXXXXXX有限公司網(wǎng)絡(luò)信息安全管理程序編制： 日期：審核： 日期：批準(zhǔn)： 日期：

歷史修訂記錄更改單號(hào)版本修訂原因/內(nèi)容編寫人生效日期V1.0新發(fā)布印制份數(shù)分發(fā)部門/分發(fā)號(hào)口企業(yè)負(fù)責(zé)人/01口管理者代表/02口設(shè)計(jì)部/03口生產(chǎn)部/04口采購(gòu)部/05口物流部/06口人力資源部/07口質(zhì)量管理部/08口客服部/09口財(cái)務(wù)部/10□研發(fā)部/111目的為了防止信息的泄密，避免嚴(yán)重災(zāi)難的發(fā)生，特制定此程序。2適用范圍包括但不限于計(jì)算機(jī)網(wǎng)絡(luò)、個(gè)人計(jì)算機(jī)、互聯(lián)網(wǎng)、郵件、電子文件和其他電子服務(wù)等相關(guān)設(shè)備、設(shè)施或資源。3術(shù)語(yǔ)和定義ePHI:電子受保護(hù)健康信息。IIHI:個(gè)人可識(shí)別健康信息。4職責(zé)與權(quán)限4.1信息安全負(fù)責(zé)人負(fù)責(zé)批準(zhǔn)《系統(tǒng)/軟件賬號(hào)申請(qǐng)單》；負(fù)責(zé)安全事件的確認(rèn)和處理。4.2客服部i.負(fù)責(zé)醫(yī)數(shù)聚系統(tǒng)的管理。4.3人力資源部負(fù)責(zé)硬件和移動(dòng)設(shè)備的管理；負(fù)責(zé)釘釘、釘郵和微信的管理。4.4質(zhì)量管理部i.負(fù)責(zé)監(jiān)督網(wǎng)絡(luò)信息安全管理的執(zhí)行。4.5各部門i.負(fù)責(zé)按照網(wǎng)絡(luò)信息安全管理要求執(zhí)行。5程序5.1個(gè)人ePHI不論存儲(chǔ)媒介，包括但不限于：姓名、年齡、性別、病例、醫(yī)療數(shù)據(jù)；均需要采取措施，防止泄露。5.1.1員工獲得IIHI的程度應(yīng)基于員工的工作性質(zhì)及其相關(guān)的職責(zé)，員工可以訪問(wèn)他們完成工作所需的所有IIHI，但不能獲得更多的訪問(wèn)權(quán)限。5.1.2任何員工都不可獲得比其清除水平更高的IIHI水平。5.2硬件和移動(dòng)設(shè)備的管理控制5.2.1硬件和移動(dòng)設(shè)備包括但不限于：計(jì)算機(jī)、筆記本電腦、移動(dòng)硬盤、U盤、光碟。5.2.2硬件和移動(dòng)設(shè)備的領(lǐng)用5.2.2.1員工辦公用到的硬件和移動(dòng)設(shè)備采取實(shí)名登記制，由人力資源部通過(guò)《硬件和移動(dòng)設(shè)備領(lǐng)用登記表》做好登錄管理，并每年梳理一次，以保證信息的正確性。5.2.2.2當(dāng)員工領(lǐng)用新的硬件或移動(dòng)設(shè)備后，應(yīng)第一時(shí)間設(shè)置使用密碼，密碼設(shè)置不可過(guò)于簡(jiǎn)單，避免使用姓名、生日、簡(jiǎn)單數(shù)字等，使用密碼只可自己知悉，不可告知其他同事，更不可記錄下存放在顯眼易獲取位置，當(dāng)員工察覺(jué)密碼存在泄漏、丟失、被獲取的可能時(shí)，一小時(shí)內(nèi)上報(bào)信息安全責(zé)任人知悉，由信息安全責(zé)任人按照《安全事件管理程序》執(zhí)行。為了防止密碼被獲知，人力資源部需監(jiān)督員工每半年更換一次使用密碼。5.2.2.3員工離崗超過(guò)五分鐘需對(duì)工位的硬件和移動(dòng)設(shè)備進(jìn)行保密操作，如拔出移動(dòng)硬盤存放在帶鎖抽屜，啟動(dòng)計(jì)算機(jī)的屏保功能等。保密操作如可以由設(shè)備自動(dòng)執(zhí)行，人力資源部應(yīng)監(jiān)督員工提前設(shè)置好。5.2.2.4因員工離職、調(diào)崗等原因需要退回或變更硬件或移動(dòng)設(shè)備時(shí)，退回或變更的硬件和移動(dòng)設(shè)備，在使用前，由人力資源部對(duì)其進(jìn)行使用痕跡的清除工作，并填寫記錄《硬件和移動(dòng)設(shè)備使用痕跡清除記錄表》，質(zhì)量管理部監(jiān)督執(zhí)行情況。5.2.3硬件和移動(dòng)設(shè)備損壞需要維修時(shí)，以防信息的泄露不可將設(shè)備帶出公司維修，需請(qǐng)專業(yè)人士上門維修，且全程需要有人員陪同在監(jiān)控覆蓋區(qū)域進(jìn)行，對(duì)維修單位或個(gè)人按照《業(yè)務(wù)伙伴的管理程序》執(zhí)行。5.3系統(tǒng)/軟件管理控制5.3.1我司現(xiàn)有涉及PHI傳輸?shù)南到y(tǒng)/軟件：醫(yī)數(shù)聚系統(tǒng)、釘釘、釘郵、微信。5.3.2醫(yī)數(shù)聚系統(tǒng)由客服部負(fù)責(zé)管理，釘釘、釘郵、微信由人力資源部負(fù)責(zé)管理。5.3.3我司系統(tǒng)/軟件實(shí)行一人一賬號(hào)的原則，個(gè)人賬號(hào)不得相互借用，員工因工作需要需要登錄系統(tǒng)/軟件時(shí)，需填寫《系統(tǒng)/軟件賬號(hào)申請(qǐng)單》，交部門負(fù)責(zé)人審核，信息安全責(zé)任人批準(zhǔn)后，交給管理部門開(kāi)通賬號(hào)及相關(guān)權(quán)限，管理部門需建立系統(tǒng)/軟件《用戶管理一覽表》管理系統(tǒng)/軟件的使用人員及其權(quán)限相關(guān)信息，當(dāng)員工離職、調(diào)崗時(shí)，管理部門需在收到信息的第一時(shí)間對(duì)該賬戶狀態(tài)或權(quán)限做變更處理。管理部門應(yīng)不定期的對(duì)《用戶管理一覽表》進(jìn)行信息確認(rèn)，以確保其準(zhǔn)確無(wú)誤。5.3.4員工獲得系統(tǒng)/軟件的賬號(hào)及初始密碼后，需更改初始密碼，密碼的管理參見(jiàn)5.2.2.2。5.3.5為了確保信息傳輸在監(jiān)控下進(jìn)行，相關(guān)部門和人員對(duì)外聯(lián)絡(luò)應(yīng)使用公司提供的系統(tǒng)或軟件賬號(hào)進(jìn)行。5.3.6與ePHI相關(guān)的信息傳輸，盡可能在醫(yī)數(shù)聚系統(tǒng)中完成，如必須使用釘釘、釘郵、微信等，應(yīng)遵循文件的加密規(guī)定。5.3.7醫(yī)數(shù)聚系統(tǒng)操作控制5.3.7.1醫(yī)數(shù)聚系統(tǒng)中對(duì)每個(gè)訂單的處理都會(huì)形成“訂單操作記錄”，客服部需每季度隨機(jī)抽取十個(gè)當(dāng)季度訂單的操作記錄，每年隨機(jī)抽取二十個(gè)當(dāng)年訂單的操作記錄，確認(rèn)操作記錄中是否有異常操作，如：未經(jīng)授權(quán)的人進(jìn)行了操作，同一個(gè)賬號(hào)三次以上進(jìn)行相同的操作，同一賬號(hào)兩次以上進(jìn)行了與工作無(wú)關(guān)的操作等，需記錄在《醫(yī)數(shù)聚系統(tǒng)操作記錄確認(rèn)表》中，報(bào)信息安全責(zé)任人審批，如出現(xiàn)涉及信息泄露的異常，按照《安全事件管理程序》執(zhí)行。5.3.7.2醫(yī)數(shù)聚系統(tǒng)登錄，員工不可將系統(tǒng)設(shè)置成自動(dòng)登錄，超過(guò)三十分鐘無(wú)操作或離崗需退出登錄。5.4惡意軟件的管理5.4.1計(jì)算機(jī)在使用之前，人力資源部應(yīng)確認(rèn)網(wǎng)絡(luò)管理員，已進(jìn)行了防惡意軟件攻擊相關(guān)處理，以確保所有設(shè)備和IT系統(tǒng)都具有惡意軟件防護(hù)功能。5.4.2如果在任何設(shè)備或IT系統(tǒng)上檢測(cè)到惡意軟件，發(fā)現(xiàn)人員應(yīng)立即告知信息安全責(zé)任人和網(wǎng)絡(luò)管理員，按照《安全事件管理程序》執(zhí)行。5.4.3員工只可在公司配備的設(shè)備上進(jìn)行辦公，不可通過(guò)公用網(wǎng)絡(luò)/設(shè)備、自己的設(shè)備或任何其他形式登錄運(yùn)行系統(tǒng)或軟件，更不可允許外部機(jī)構(gòu)、人員遠(yuǎn)程操作辦公設(shè)備。5.4.4當(dāng)員工必須在個(gè)人設(shè)備遠(yuǎn)程工作，員工需證明已在設(shè)備上安裝和運(yùn)行惡意軟件防護(hù)，且工作完成后需清除相關(guān)的登錄痕跡，得到信息安全責(zé)任人的允許后才可進(jìn)行相關(guān)工作。為了維護(hù)ePHI的安全，此種情況應(yīng)避免發(fā)生。5.4.5員工在使用設(shè)備時(shí)，不可訪問(wèn)不明網(wǎng)站的內(nèi)容，不可隨意從網(wǎng)上下載與工作無(wú)關(guān)的軟件，以免將病毒軟件帶到我司網(wǎng)絡(luò)系統(tǒng)中，如需下載軟件，需在我司認(rèn)可的系統(tǒng)上或要求網(wǎng)絡(luò)管理員幫忙下載。5.4.6對(duì)不明來(lái)歷的郵件不要查看或嘗試打開(kāi)，直接刪除，以避免設(shè)備感染病毒或木馬。5.4.7需要將外來(lái)設(shè)備接入到我司內(nèi)網(wǎng)時(shí)，需進(jìn)行充分的安全評(píng)估和殺毒掃描，只允許經(jīng)過(guò)查殺的設(shè)備運(yùn)行。5.5數(shù)據(jù)備份和存儲(chǔ)管理5.5.1數(shù)據(jù)備份由網(wǎng)絡(luò)管理員負(fù)責(zé)，通過(guò)《數(shù)據(jù)備份信息表》每周做增量備份，每月做完整備份，半年一次對(duì)數(shù)據(jù)進(jìn)行恢復(fù)試驗(yàn)，以確保備份數(shù)據(jù)的安全可用、可靠。根據(jù)數(shù)據(jù)增長(zhǎng)量，應(yīng)定期對(duì)過(guò)期數(shù)據(jù)進(jìn)行壓縮或遷移、清理處理。5.5.2數(shù)據(jù)庫(kù)需要做修改前，應(yīng)及時(shí)備份數(shù)據(jù)，確保丟失或誤操作時(shí)，可以及時(shí)修復(fù)或恢復(fù)。5.5.3為了防止數(shù)據(jù)丟失，醫(yī)數(shù)聚系統(tǒng)的備份數(shù)據(jù)需異地存儲(chǔ)，通過(guò)專柜由專人上鎖保管。5.5.4網(wǎng)絡(luò)管理員應(yīng)定期對(duì)服務(wù)器進(jìn)行檢查，主要查看文件是否有損壞，CPU和內(nèi)存資源占用情況，客戶端登錄和訪問(wèn)數(shù)據(jù)庫(kù)是否正常等，檢查需記錄在《服務(wù)器文件編XXXXXXXX有限公司文件編網(wǎng)絡(luò)信息安全管理程序版本:網(wǎng)絡(luò)信息安全管理程序版本:V1.0生效日期：檢查記錄表》中。5.5.5網(wǎng)絡(luò)管理員應(yīng)嚴(yán)格遵守保密制度，絕對(duì)保密數(shù)據(jù)管理員口令，當(dāng)其他人對(duì)服務(wù)器進(jìn)行操作時(shí)，要親自在場(chǎng)并做好詳細(xì)記錄，如有第二者知道口令時(shí)要及時(shí)更換口令。5.6文件加密和解密的管理5.6.1我司電腦均采用了加密管理，文檔資料需要外傳，需提交解密申請(qǐng)，經(jīng)部門負(fù)責(zé)人批準(zhǔn)解密后，再行外傳。5.6.2只有各部門負(fù)責(zé)人有對(duì)加密文件解密的權(quán)限，當(dāng)發(fā)生人事變動(dòng)時(shí)，人力資源部需確認(rèn)此項(xiàng)權(quán)限也隨之取消或增加。5.6.3各部門負(fù)責(zé)人需要保管好自己解密權(quán)限的賬號(hào)，不可告知其他人，賬號(hào)只有在使用時(shí)登錄，使用后確定退出，以防解密權(quán)限被亂用，當(dāng)發(fā)覺(jué)解密賬號(hào)被盜用，需通知人力資源部和網(wǎng)絡(luò)管理員按照《安全事件管理程序》執(zhí)行。5.7數(shù)據(jù)和應(yīng)用程序關(guān)鍵性分析5.7.1由質(zhì)量管理部組織各責(zé)任部門對(duì)現(xiàn)有存儲(chǔ)數(shù)據(jù)和應(yīng)用程序的關(guān)鍵性進(jìn)行評(píng)估，確認(rèn)各數(shù)據(jù)和應(yīng)用程序的等級(jí)，以及確定每項(xiàng)數(shù)據(jù)和每個(gè)應(yīng)用程序的重要程度,以便確定數(shù)據(jù)備份，災(zāi)難恢復(fù)的優(yōu)先級(jí)，和/或緊急行動(dòng)計(jì)劃，評(píng)估需形成記錄《數(shù)據(jù)和應(yīng)用程序關(guān)鍵性一覽表》；5.8網(wǎng)絡(luò)和信息安全事故按照《安全事件管理程序》執(zhí)行。5.9記錄的保存5.9.1以上過(guò)程中形成的記錄，由各使用部門自行保存，或每年匯總后交質(zhì)量管理部保存，記錄長(zhǎng)期保存。6相關(guān)文件****安全事件管理程序**