信息安全日常運維操作與管理制度

信息安全日常運維操作與管理制度

第一章總則

第一條為加強醫(yī)院信息安全日常運維管理工作，提高

運維操作的規(guī)范性和安全性，特制定本辦法。

第二條本辦法適用于醫(yī)院各科室的信息安全管理工作。

第二章范圍

第三條為指導(dǎo)和規(guī)范信息安全日常運維操作和管理，

本規(guī)定內(nèi)容適用的范圍：

基礎(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)安全運行的日常管理和維護；

應(yīng)用系統(tǒng)數(shù)據(jù)的安全管理和維護；

硬件設(shè)備維護；

應(yīng)用系統(tǒng)以及應(yīng)用支撐平臺的日常管理和維護等。

第三章職責(zé)

第四條由辦公室負(fù)責(zé)醫(yī)院數(shù)據(jù)安全運維管理、實施以

及監(jiān)督工作，其職責(zé)如下：

負(fù)責(zé)應(yīng)用系統(tǒng)的管理和維護工作，解決并記錄應(yīng)用系

統(tǒng)中的問題，按照權(quán)限分配表在應(yīng)用系統(tǒng)中設(shè)置用戶的權(quán)

限；

負(fù)責(zé)服務(wù)器操作系統(tǒng)的管理和維護工作，對服務(wù)器中

軟件的安裝及刪除進行管理和記錄；

負(fù)責(zé)數(shù)據(jù)庫的管理和維護工作，進行數(shù)據(jù)備份和恢復(fù)

測試，并對備份的存放介質(zhì)進行管理；

負(fù)責(zé)網(wǎng)絡(luò)的管理和維護工作；

負(fù)責(zé)本單位內(nèi)的信息安全管理工作；

負(fù)責(zé)機房的管理和維護工作；

負(fù)責(zé)系統(tǒng)文檔的安全管理工作等。

第四章設(shè)備安全操作

第五條在對信息化系統(tǒng)中的各類設(shè)備進行操作時，應(yīng)

嚴(yán)格按照具體應(yīng)用需求進行。

第六條在進行操作前，應(yīng)書面填寫操作申請單，列明

操作所涉及的設(shè)備、對系統(tǒng)可能帶來的影響以及相應(yīng)的應(yīng)對

措施，在得到院部審批后，方可進行操作。

第七條在進行操作前，應(yīng)對設(shè)備當(dāng)前配置或者數(shù)據(jù)進

行記錄或者備份。

第八條操作完成后，應(yīng)對本次操作過程和操作結(jié)果進

行記錄并提交辦公室存檔。

第五章終端日常使用管理

第九條在網(wǎng)絡(luò)中的用戶終端應(yīng)嚴(yán)格按照要求進行操作,

遵守內(nèi)外網(wǎng)分離的要求，不得擅自修改IP地址、擅自卸載

桌面管理系統(tǒng)、殺毒軟件等。應(yīng)按照要求按時進行病毒掃描

和補丁升級。

第十條移動介質(zhì)安全管理：

1、移動介質(zhì)不能在內(nèi)、外網(wǎng)終端之間混用;

2、在移動介質(zhì)接入終端后應(yīng)立即進行病毒掃描；

3、使用移動介質(zhì)拷貝重要數(shù)據(jù)完成后，應(yīng)立即清除；

4、涉及信息化系統(tǒng)的技術(shù)資料、安裝介質(zhì)等應(yīng)由專人

進行妥善保管，借出使用時應(yīng)登記并按要求準(zhǔn)時歸還。

第六章應(yīng)用系統(tǒng)運行安全管理

第十一條對于各應(yīng)用系統(tǒng)以及應(yīng)用系統(tǒng)支撐平臺的日

常運行情況要定期進行記錄、分析和匯報。各應(yīng)用系統(tǒng)使用

科室對于發(fā)現(xiàn)的異常情況要及時通報辦公室以便及時解決。

第十二條系統(tǒng)管理員負(fù)責(zé)應(yīng)用系統(tǒng)的安裝、維護和系

統(tǒng)及數(shù)據(jù)備份；根據(jù)應(yīng)用系統(tǒng)的安全策略，負(fù)責(zé)應(yīng)用系統(tǒng)的

用戶權(quán)限設(shè)置以及系統(tǒng)安全配置。

第十三條應(yīng)用系統(tǒng)維護和應(yīng)急處理記錄要求：

1、設(shè)置“應(yīng)用系統(tǒng)維護和應(yīng)急處理記錄”，系統(tǒng)管理員

記錄系統(tǒng)的運行情況；

2、對系統(tǒng)異常、系統(tǒng)故障的日期、現(xiàn)象、處理方法及

結(jié)果等應(yīng)急處理進行記錄；

3、對應(yīng)用系統(tǒng)的安裝、設(shè)置更改、帳號變更、組變更、

備份等系統(tǒng)維護工作進行記錄，以備查閱；

4、對應(yīng)用系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應(yīng)急處

理方法及結(jié)果作詳細(xì)的記錄。

第十四條應(yīng)用系統(tǒng)軟件、資料以及許可證的管理：

1、必須對應(yīng)用系統(tǒng)軟件的介質(zhì)、資料和許可證進行登

記，并設(shè)專人負(fù)責(zé)保管;

2、登記的內(nèi)容應(yīng)包括軟件的名稱和版本、軟件出版商、

許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、

手冊名稱和數(shù)量、購買日期等；

3、應(yīng)用系統(tǒng)軟件和資料的借用，需要審批和借還登記

手續(xù)；

4、對重要應(yīng)用系統(tǒng)軟件介質(zhì)和資料要進行復(fù)制，借用

時應(yīng)提供復(fù)制品，以保護好原件及避免丟失。

第十五條應(yīng)用系統(tǒng)配置的備份的管理

1、系統(tǒng)管理員應(yīng)對系統(tǒng)的配置參數(shù)及相關(guān)文件進行備

份；

2、當(dāng)配置發(fā)生變更時必須重新備份，以便系統(tǒng)故障時

能盡快恢復(fù)系統(tǒng)配置。

第十六條應(yīng)用系統(tǒng)數(shù)據(jù)的備份的管理

1、備份權(quán)限，備份介質(zhì)都必須加以妥善保管，防止非

法訪問；

2、如果開發(fā)數(shù)據(jù)庫中導(dǎo)入了數(shù)據(jù)庫的數(shù)據(jù)，要確保為

生產(chǎn)數(shù)據(jù)庫所指定的安全規(guī)則也用于開發(fā)數(shù)據(jù)庫中；

3、制定備份策略，以高效備份與恢復(fù)為目標(biāo)，與操作

系統(tǒng)備份結(jié)合，物理備份與導(dǎo)出相結(jié)合。

第七章系統(tǒng)數(shù)據(jù)的安全管理

第十七條根據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)的生命周期和重要性，分

別設(shè)置合理的在線、近線、離線數(shù)據(jù)的存儲、備份策略。

第十八條備份策略應(yīng)形成書面材料由院部審核后存檔。

第十九條當(dāng)應(yīng)用系統(tǒng)發(fā)生變化時，應(yīng)及時評估其對數(shù)

據(jù)備份要求的影響，制訂新的備份策略，經(jīng)審核后存檔。

第二十條備份的數(shù)據(jù)應(yīng)定期檢查，重要數(shù)據(jù)應(yīng)在備份

后隨機抽取進行恢復(fù)測試以保證備份數(shù)據(jù)的可用性；超過時

效的備份應(yīng)在獲得信息管理科室的書面同意后及時格式化

或者銷毀。

第八章系統(tǒng)運行平臺的安全管理

第二十一條系統(tǒng)運行平臺指的是支撐應(yīng)用系統(tǒng)運行的

主機、操作系統(tǒng)以及數(shù)據(jù)庫、中間件等平臺軟硬件。

第二十二條系統(tǒng)運行平臺由辦公室統(tǒng)一進行管理和維

護，主要內(nèi)容包括：系統(tǒng)平臺配置，登錄/操作審計、訪問

端口限制、補丁更新、日志分析、數(shù)據(jù)備份、口令管理等。

第九章口令/密碼/密鑰安全管理要求

第二十三條應(yīng)用系統(tǒng)管理員在系統(tǒng)中為每個用戶設(shè)立

一個賬戶，其權(quán)限按照經(jīng)單位負(fù)責(zé)人批準(zhǔn)的《應(yīng)用系統(tǒng)用戶

權(quán)限分配表》和《應(yīng)用系統(tǒng)角色權(quán)限表》中的描述設(shè)定。應(yīng)

用系統(tǒng)的所有賬戶應(yīng)符合統(tǒng)一口令策略的要求設(shè)置和更新

密碼。

第二十四條服務(wù)器的操作系統(tǒng)中沒有未授權(quán)的登錄賬

號，確需保留的系統(tǒng)賬號應(yīng)有明確的管理人員。操作系統(tǒng)中

賬戶應(yīng)符合醫(yī)院統(tǒng)一口令策略的要求設(shè)置和更新密碼。

第二十五條數(shù)據(jù)庫中的所有賬號應(yīng)符合統(tǒng)一口令策略

的要求設(shè)置和更新密碼。

第二十六條密碼和密鑰要求長度超過8位，要求信息

管理科室管理員做好密鑰的產(chǎn)生、保存、分配、使用、廢除、

歸檔和銷毀工作。

第十章系統(tǒng)文檔的安全管理

第二十七條信息化系統(tǒng)文檔的管理由辦公室統(tǒng)一進行。

其職責(zé)包括：文檔存檔管理；文檔更新管理；文檔借閱管理；

文檔銷毀管理。

第十一章系統(tǒng)的安全監(jiān)測

第二十八條系統(tǒng)的安全監(jiān)測由辦公室統(tǒng)一進行。其職

責(zé)包括：

1、依靠安全運維平臺、網(wǎng)管軟件、桌面管理系統(tǒng)等工

具，每周對信息化系統(tǒng)進行監(jiān)測，對于重點與核心部分內(nèi)容

則每天進行監(jiān)測；

2、為每次監(jiān)測填寫監(jiān)測記錄；

3、分析監(jiān)測記錄，找出系統(tǒng)可能存在的隱患并及時處

理等。

第十二章備份和恢復(fù)管理

第二十九條定期對信息系統(tǒng)的數(shù)據(jù)、軟硬件的配置文

件進行備份。

第三十條根據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)的生命周期和重要性，分

別設(shè)置合理的在線、近線、離線數(shù)據(jù)的存儲、備份策略。備

份策略應(yīng)形成書面材料，交由辦公室存檔。

第三十一條網(wǎng)絡(luò)服務(wù)器數(shù)據(jù)備份工作，系統(tǒng)備份每周

做一次。系統(tǒng)管理員在每周最后一個工作日，將應(yīng)用服務(wù)器

的數(shù)據(jù)庫文件做一次異