网络信息安全管理程序
网络信息安全管理程序
网络信息安全管理程序1. 引言网络信息安全管理程序是指为了保护组织的网络系统和信息资源免受未经授权的访问、使用、披露、破坏或干扰而采取的一系列措施和方法。
本文旨在介绍一个完整的网络信息安全管理程序,并对其各个环节进行详细阐述。
2. 管理流程网络信息安全管理程序包括以下几个主要环节:2.1 风险评估和分析在风险评估和分析环节,需要对组织的网络系统和信息资源进行全面的评估和分析,确定安全威胁、潜在漏洞和风险等级。
通过对网络系统和信息资源的现状进行调查和分析,可以识别出潜在的安全风险,并制定相应的对策和预防措施。
2.2 安全政策和控制制定在安全政策和控制制定环节,需要制定一系列安全政策和控制措施,包括访问控制、身份认证、数据加密、漏洞修复等。
安全政策和控制的制定需要考虑组织的实际情况和需求,以确保网络系统和信息资源的安全。
2.3 安全培训和意识提升在安全培训和意识提升环节,需要对组织内部的员工进行安全培训和意识提升,提高他们的网络信息安全意识和技能。
通过定期的安全培训和意识提升活动,可以使员工了解安全政策和控制措施,并掌握相应的安全技能。
2.4 安全监控和响应在安全监控和响应环节,需要建立安全监控机制,对网络系统和信息资源进行实时监控和检测。
一旦发现异常情况或安全事件,需要及时采取相应的响应措施,包括隔离、修复漏洞、恢复系统等,以保证网络系统和信息资源的安全。
2.5 安全审计和评估在安全审计和评估环节,需要定期对网络系统和信息资源进行安全审计和评估,评估其安全性和合规性。
通过安全审计和评估,可以发现和纠正潜在的安全问题和漏洞,以保证网络系统和信息资源的持续安全。
3. 实施步骤网络信息安全管理程序的实施步骤如下:3.1 确定组织的网络信息安全需求和目标,需要明确组织的网络信息安全需求和目标,包括保护数据的完整性、机密性和可用性,以及防止未经授权的访问和使用。
3.2 进行风险评估和分析,进行风险评估和分析,确定安全威胁、潜在漏洞和风险等级,以制定相应的对策和预防措施。
网络与信息安全管理办法7篇
网络与信息安全管理办法7篇网络与信息安全管理办法篇1为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。
一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。
二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。
(一)数据资源的安全保护。
网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。
数据资源安全保护的主要手段是数据备份,规定如下:1、办公室要做到数据必须每周一备份。
2、财务部要做到数据必须每日一备份3、一般用机部门要做到数据必须每周一备份。
4、系统软件和各种应用软件要采用光盘及时备份。
5、数据备份时必须登记以备检查,数据备份必须正确、可靠。
6、严格网络用户权限及用户名口令管理。
(二)硬件设备及机房的安全运行1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。
2、安装有保护接地线,必须保证接地电阻符合技术要求(接地电阻≤2ω,零地电压≤2v),避免因接地安装不良损坏设备。
3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、网络机房必须有防盗及防火措施。
5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。
(三)网络病毒的防治1、各服务器必须安装防病毒软件,上网电脑必须保证每台电脑要安装防病毒软件。
2、定期对网络系统进行病毒检查及清理。
3、所有u盘须检查确认无病毒后,方能上机使用。
4、严格控制外来u盘的使用,各部门使用外来u盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。
5、加强上网人员的职业道德教育,严禁在网上玩游戏,看于工作无关的网站,下载歌曲图片游戏等软件,一经发现将严肃处理。
网络信息安全管理制度(精选15篇)
网络信息安全管理制度(精选15篇)网络信息安全管理制度11.局域网由市公司信息中心统一管理。
2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、ip地址、帐号和使用权限,并记录归档。
3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。
登录时必须使用自己的帐号。
口令长度不得小于6位,必须是字母数字混合。
4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。
业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。
5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。
不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。
6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。
因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。
7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。
未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。
8.入网用户不得从事下列危害公司网络安全的活动:(1)未经允许,对公司网络及其功能进行删除、修改或增加;(2)未经允许,对公司网络中存储、处理或传输的`数据和应用程序进行删除、修改或增加;(3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。
9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信息中心将停止其入网使用权,并追究其相应的责任。
网络信息安全保护管理制度
一、总则为了加强本单位的网络信息安全保护工作,确保网络信息安全、稳定、可靠,依据《中华人民共和国网络安全法》、《中华人民共和国计算机信息网络国际互联网安全保护管理办法》等相关法律法规,特制定本制度。
二、适用范围本制度适用于本单位所有网络设备和信息系统,包括但不限于内部局域网、互联网接入、移动终端、云计算平台等。
三、组织架构1. 成立网络信息安全工作领导小组,负责统筹协调网络信息安全保护工作。
2. 设立网络信息安全管理部门,负责具体实施网络信息安全保护措施。
四、网络信息安全管理制度1. 网络设备管理(1)网络设备应定期检查、维护,确保设备正常运行。
(2)网络设备接入前,应进行安全检查,确保设备符合安全要求。
(3)网络设备应采用物理隔离、访问控制等措施,防止非法访问。
2. 系统安全管理(1)操作系统、数据库等关键系统应定期更新、打补丁,确保系统安全。
(2)关键系统应设置强密码策略,定期更换密码。
(3)关键系统应采取数据备份、恢复措施,防止数据丢失。
3. 数据安全管理(1)数据分类分级管理,根据数据敏感程度采取不同安全措施。
(2)重要数据应采取加密存储、传输等措施,确保数据安全。
(3)数据访问权限控制,防止非法访问、篡改数据。
4. 用户安全管理(1)用户应遵守网络安全法律法规,不得从事违法活动。
(2)用户应定期更换密码,不得使用弱密码。
(3)用户应接受网络安全培训,提高网络安全意识。
5. 安全事件处理(1)发现网络安全事件,应及时报告网络信息安全管理部门。
(2)网络信息安全管理部门应迅速采取措施,隔离、处理安全事件。
(3)对安全事件进行原因分析、总结,制定整改措施。
五、网络安全责任追究1. 对违反本制度,造成网络信息安全事件的责任人,将依法依规追究责任。
2. 对因工作失误导致网络信息安全事件的责任人,将进行严肃处理。
六、附则1. 本制度自发布之日起施行。
2. 本制度由网络信息安全管理部门负责解释。
3. 本制度如有与国家法律法规、政策相抵触之处,以国家法律法规、政策为准。
信息安全管理程序
信息安全管理程序
1 目的
为了引导企业充分利用计算机及信息系统规范交易行为, 提高信息系统的可靠性、 稳定性、
安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的
信息传递渠道,根据国家有关法律法规和《企业内部控制规范》 2 范围
适用公司所有职能部门。 3 职责 3.1 信息中心:负责公司网络及计算机信息安全的管理与维护。
,制定本规范。
3.2 各部门:负责配合信息中心对计算机信息安全进行管理。
4 定义: 计算机信息系统:是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档
等的总称, 计算机包括个人电脑、服务器及防火墙等硬件设备 。
5 工作程序
流程
要求
使用表单 相关部门
信息系统及信息安全岗位包括:
网络及计算机管理:负责公司的网络安装及维
护、计算机硬件维护及软件维护, 应当注意对邮
件及其他重要信息数据的保护。
系统分析:系统分析需求,并得到业务部门负责人确
认。
开发及维护:软件工程师负责开发得到确认的业
务系统或对外包开发的信息系统进行维护, 同时
负责相关报表的开发。
岗位分工 与授权审 批
数据库管理:维护组织数据资源的安全性及完整 性,对数据库做好日备份及转移。 信息系统库管理: 在单独的信息系统库中存储暂 时不用的程序和文件, 并保留所有版本的数据和
系统开发和变更过程中不相容岗位 (或职责) 一
信息系统 开发、变 更与维护
控制
xx 公司:
般应包括:开发(或变更)审批、开发、系统上 线、监控。 系统访问过程中不相容岗位 (或职责) 一般应包 括:申请、审批、操作、监控。 企业计算机信息系统战略规划、重要信息系统政策 等重大事项应当经由董事会审批通过后, 方可实施 。 信息系统战略规划应当与企业业务目标保持一致。 信息系统使用部门应该参与信息系统战略规划、重 要信息系统政策等的制定 。 信息中心对计算机及信息系统实施归口管理,负责 信息系统开发、变更、运行、维护等工作。 财务部负责信息系统中各项业务账务处理的准确性 和及时性;财务电算化制度的制定;计划价格的确 定和修改;财务操作规定等。 生产、销售、仓储及其他部门(下称用户部门)应 当根据本部门在信息系统中的职能定位,参与信息 系统建设和管理,按照信息中心制定的管理标准、 规范、规章来操作、管理和运用信息系统。 计算机信息系统开发包括自行设计、外购调试和外 包合作开发。企业在开发信息系统时,充分考虑业 务和信息的集成性,优化流程,并将相应的处理规 则(交易权限)嵌入到系统程序中,以预防、检查、 纠正错误和舞弊行为, 确保企业业务活动的真实性、 合法性和效益性。 信息系统开发必须经过正式授权,企业应当进行详 细备案。 具体程序包括 : 用户部门提出需求; 归口管 理部门审核;企业负责人授权批准;系统分析人员 设计方案;程序员编写代码或外包等。 对于外包合作开发的项目,企业应当加强对外包第 三方的监控。 外购调试或外包合作开发等需要进行招投标的信息 系统开发项目,企业应当成立招投标小组,并保证 招投标小组的独立性。 在新系统上线前需要制定详细的信息系统上线计 划。对涉及新旧系统切换之情形,企业应当在上线 计划中明确系统回退计划,保证新系统一旦失效, 能够顺利回退到原来的系统状态。 新旧系统切换时,如涉及数据迁移,企业应当制定 详细的数据迁移计划。 用户部门应当积极参与数据迁移过程,对数据迁移
网络安全管理办法
网络安全管理办法第一章总则第一条为了规范网络安全管理,保护网络信息安全,维护国家安全和社会稳定,制定本办法。
第二章基本原则第二条网络安全管理应当坚持以下原则:(一)依法管理,依法维护网络安全;(二)综合治理,综合防范网络安全风险;(三)分级负责,各级部门和单位分工负责;(四)技术支撑,科技手段支持网络安全保障;(五)信息共享,加强网络安全情报交流;(六)责任追究,依法追究网络安全责任。
第三章网络安全管理体制第三条网络安全管理应当建立健全网络安全责任制,明确各级部门和单位的网络安全职责和权限。
第四章网络安全保障措施第四条网络安全保障措施包括以下内容:(一)网络安全防护措施:加强网络边界防护,建立安全的网络架构,加密通信,防范网络攻击和恶意程序入侵。
(二)信息安全管理措施:建立信息安全管理制度,确保信息的机密性、完整性和可用性,加强对敏感信息的保护。
(三)安全审计和监测措施:开展网络安全审计,监测网络安全事件,及时发现和处置安全漏洞和威胁。
(四)应急预案和响应措施:制定网络安全应急预案,建立快速响应机制,及时处置网络安全事件,防止扩大化。
(五)人员培训和意识提升措施:加强网络安全人员培训,提高员工的网络安全意识和技能。
第五章监督检查和责任追究第五条网络安全管理应当加强监督检查,发现问题及时纠正,严肃追究网络安全责任。
第六章附则第六条本办法自发布之日起施行。
以上是一个网络安全管理办法的基本框架,其中包括了总则、基本原则、网络安全管理体制、网络安全保障措施、监督检查和责任追究等内容。
具体的网络安全管理办法需要根据实际情况进行制定和完善,以确保网络安全的有效管理和保护。
在制定和执行网络安全管理办法时,应当依法管理,综合防范网络安全风险,建立健全的网络安全责任制,采取必要的网络安全保障措施,并加强监督检查,严肃追究网络安全责任。
只有通过科学的管理和有效的措施,才能够维护网络信息安全,保护国家和个人的利益。
网络信息安全管理程序
网络信息安全管理程序网络信息安全管理程序章节一:引言网络信息安全管理程序是指为确保网络信息系统的安全性和可靠性,保护网络信息系统中的数据和隐私,制定和实施的一系列管理措施。
本文档旨在规范网络信息安全管理的流程和要求,保障组织内部数据的安全和合规。
章节二:定义和术语⑴网络信息安全:指保护网络信息系统和网络信息资源免受未经授权的访问、使用、披露、破坏、修改、干扰和泄漏的能力。
⑵网络信息系统:指由多个网络节点和相关设备组成的网络系统,用于存储、处理和传输网络信息。
⑶数据安全:指对数据进行保护,防止其被恶意获取、篡改或泄露。
⑷隐私保护:指对用户的个人身份和隐私信息进行保护,确保其不被未经授权的使用和披露。
章节三:网络信息安全管理目标⑴保障网络信息系统的安全性和可靠性⑵防止未经授权的访问和信息泄露⑶确保数据的机密性、完整性和可用性⑷遵守相关的法律法规和标准章节四:网络信息系统规划⑴确定网络信息系统的边界和范围⑵确定网络信息系统的资产和风险评估⑶制定网络信息系统的安全策略和策略⑷设计网络信息系统的安全架构和拓扑章节五:访问控制管理⑴制定网络访问控制策略和规定⑵配置和管理用户账户和权限⑶管理远程访问和外部连接⑷监控和审计访问控制活动章节六:数据和隐私保护⑴制定数据分类和安全等级标准⑵实施数据加密和传输安全措施⑶控制数据的存储、处理和传输⑷管理用户的个人身份信息及隐私章节七:漏洞管理和应急响应⑴确定漏洞管理策略和流程⑵定期进行漏洞扫描和评估⑶制定应急响应计划和预案⑷处理安全事件和漏洞修复章节八:监控和审计⑴配置和管理网络安全设备和工具⑵监控网络流量和日志⑶进行安全事件的溯源和调查⑷进行定期的审计和评估章节九:培训和意识提升⑴为员工提供网络安全培训和教育⑵持续提高员工的安全意识和行为规范⑶举办网络安全活动和演练附件:附件一:网络信息系统边界图附件二:网络信息系统资产清单附件三:数据分类和安全等级标准法律名词及注释:⒈《网络安全法》:指中华人民共和国国家互联网信息办公室发布的《网络安全法》。
网络信息安全管理制度(通用20篇)
网络信息安全管理制度(通用20篇)网络信息安全管理制度(通用20篇)在生活中,我们可以接触到制度的地方越来越多,制度泛指以规则或运作模式,规范个体行动的一种社会结构。
下面是小编整理的关于网络信息安全管理制度的内容,欢迎阅读借鉴!网络信息安全管理制度(篇1)一、人员方面1.建立网络与信息安全应急领导小组;落实具体的安全管理人员。
以上人员要提供24小时有效、畅通的联系方式。
2.对安全管理人员进行基本培训,提高应急处理能力。
3.进行全员网络安全知识宣传教育,提高安全意识。
二、设备方面1.对电脑采取有效的安全防护措施(及时更新系统补丁,安装有效的防病毒软件等)。
2.强化无线网络设备的安全管理(设置有效的管理口令和连接口令,防止校园周边人员入侵网络;如果采用自动分配IP地址,可考虑进行Mac地址绑定)。
3.不用的信息系统及时关闭(如有些系统只是在开学、期末、某一阶段使用几天,寒暑假不使用的系统应当关闭);4.注意有关密码的工作并牢记密码,定期更改相关密码,注意密码的复杂度,至少8位以上,建议使用字母加数字加特殊符号的组合方式;5.修改默认密码,不能使用默认的统一密码;6.在信息系统正常部署完成后,应该修改系统后台调试期间的密码,不应该继续使用工程师调试系统时所使用的密码;7.正常工作日应该保证至少登录、浏览一次系统相关页面,及时发现有无被篡改等异常现象,特殊时间应增加检查频率;8.服务器上安装杀毒软件(保持升级到最新版),至少每周对操作系统进行一次病毒扫描检查、修补系统漏洞,检查用户数据是否有异常(例如增加了一些非管理员添加的用户),检查安装的软件是否有异常(例如出现了一些不是管理员安装的未知用途的程序);9.对上网信息(会发布在前台的文字、图片、音视频等),应该由两位以上工作人员仔细核对无误后,再发布到网站、系统中;10.对所有的上传信息,应该有敏感字、关键字过滤、特征码识别等检测;11.系统、网站的重要数据和数据,每学期定期做好有关数据的备份工作,包括本地备份和异地备份;12.有完善的运行日志和用户操作日志,并能记录源端口号;13.保证页面正常运行,不出现404错误等;14.加强电脑的使用管理(专人专管,谁用谁负责;电脑设置固定IP地址,并登记备案)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
历史修订记录
1 目的
为了防止信息的泄密,避免严重灾难的发生,特制定此程序。
2 适用范围
包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备、设施或资源。
3 术语和定义
ePHI:电子受保护健康信息。
IIHI:个人可识别健康信息。
4 职责与权限
4.1信息安全负责人
i.负责批准《系统/软件账号申请单》;
ii.负责安全事件的确认和处理。
4.2客服部
i.负责医数聚系统的管理。
4.3人力资源部
i.负责硬件和移动设备的管理;
ii.负责钉钉、钉邮和微信的管理。
4.4质量管理部
i.负责监督网络信息安全管理的执行。
4.5各部门
i.负责按照网络信息安全管理要求执行。
5 程序
5.1个人ePHI不论存储媒介,包括但不限于:姓名、年龄、性别、病例、医疗数据;
均需要采取措施,防止泄露。
5.1.1员工获得IIHI的程度应基于员工的工作性质及其相关的职责,员工可以访问他
们完成工作所需的所有IIHI,但不能获得更多的访问权限。
5.1.2任何员工都不可获得比其清除水平更高的IIHI水平。
5.2硬件和移动设备的管理控制
5.2.1硬件和移动设备包括但不限于:计算机、笔记本电脑、移动硬盘、U盘、光碟。
5.2.2硬件和移动设备的领用
5.2.2.1员工办公用到的硬件和移动设备采取实名登记制,由人力资源部通过《硬件
和移动设备领用登记表》做好登录管理,并每年梳理一次,以保证信息的正确性。
5.2.2.2当员工领用新的硬件或移动设备后,应第一时间设置使用密码,密码设置不
可过于简单,避免使用姓名、生日、简单数字等,使用密码只可自己知悉,不可告知其他同事,更不可记录下存放在显眼易获取位置,当员工察觉密码存在泄漏、丢失、被获取的可能时,一小时内上报信息安全责任人知悉,由信息安全责任人按照《安全事件管理程序》执行。
为了防止密码被获知,人力资源部需监督员工每半年更换一次使用密码。
5.2.2.3员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作,如拔出移动
硬盘存放在带锁抽屉,启动计算机的屏保功能等。
保密操作如可以由设备自动执行,人力资源部应监督员工提前设置好。
5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时,退回或变更的
硬件和移动设备,在使用前,由人力资源部对其进行使用痕迹的清除工作,并填写记录《硬件和移动设备使用痕迹清除记录表》,质量管理部监督执行情况。
5.2.3硬件和移动设备损坏需要维修时,以防信息的泄露不可将设备带出公司维修,
需请专业人士上门维修,且全程需要有人员陪同在监控覆盖区域进行,对维修单位或个人按照《业务伙伴的管理程序》执行。
5.3系统/软件管理控制
5.3.1我司现有涉及PHI传输的系统/软件:医数聚系统、钉钉、钉邮、微信。
5.3.2医数聚系统由客服部负责管理,钉钉、钉邮、微信由人力资源部负责管理。
5.3.3我司系统/软件实行一人一账号的原则,个人账号不得相互借用,员工因工作需
要需要登录系统/软件时,需填写《系统/软件账号申请单》,交部门负责人审核,信息安全责任人批准后,交给管理部门开通账号及相关权限,管理部门需建立系统/软件《用户管理一览表》,管理系统/软件的使用人员及其权限相关信息,当员工离职、调岗时,管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。
管理部门应不定期的对《用户管理一览表》进行信息确认,以确保其准确无误。
5.3.4员工获得系统/软件的账号及初始密码后,需更改初始密码,密码的管理参见
5.2.2.2。
5.3.5为了确保信息传输在监控下进行,相关部门和人员对外联络应使用公司提供的系
统或软件账号进行。
5.3.6与ePHI相关的信息传输,尽可能在医数聚系统中完成,如必须使用钉钉、钉邮、
微信等,应遵循文件的加密规定。
5.3.7医数聚系统操作控制
5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”,客服部需每季度
随机抽取十个当季度订单的操作记录,每年随机抽取二十个当年订单的操作
记录,确认操作记录中是否有异常操作,如:未经授权的人进行了操作,同
一个账号三次以上进行相同的操作,同一账号两次以上进行了与工作无关的
操作等,需记录在《医数聚系统操作记录确认表》中,报信息安全责任人审
批,如出现涉及信息泄露的异常,按照《安全事件管理程序》执行。
5.3.7.2医数聚系统登录,员工不可将系统设置成自动登录,超过三十分钟无操作或
离岗需退出登录。
5.4恶意软件的管理
5.4.1计算机在使用之前,人力资源部应确认网络管理员,已进行了防恶意软件攻击相
关处理,以确保所有设备和IT系统都具有恶意软件防护功能。
5.4.2如果在任何设备或IT系统上检测到恶意软件,发现人员应立即告知信息安全责
任人和网络管理员,按照《安全事件管理程序》执行。
5.4.3员工只可在公司配备的设备上进行办公,不可通过公用网络/设备、自己的设备
或任何其他形式登录运行系统或软件,更不可允许外部机构、人员远程操作办公设备。
5.4.4当员工必须在个人设备远程工作,员工需证明已在设备上安装和运行恶意软件防
护,且工作完成后需清除相关的登录痕迹,得到信息安全责任人的允许后才可进行相关工作。
为了维护ePHI的安全,此种情况应避免发生。
5.4.5员工在使用设备时,不可访问不明网站的内容,不可随意从网上下载与工作无关
的软件,以免将病毒软件带到我司网络系统中,如需下载软件,需在我司认可的系统上或要求网络管理员帮忙下载。
5.4.6对不明来历的邮件不要查看或尝试打开,直接删除,以避免设备感染病毒或木
马。
5.4.7需要将外来设备接入到我司内网时,需进行充分的安全评估和杀毒扫描,只允
许经过查杀的设备运行。
5.5数据备份和存储管理
5.5.1数据备份由网络管理员负责,通过《数据备份信息表》每周做增量备份,每月
做完整备份,半年一次对数据进行恢复试验,以确保备份数据的安全可用、可靠。
根据数据增长量,应定期对过期数据进行压缩或迁移、清理处理。
5.5.2数据库需要做修改前,应及时备份数据,确保丢失或误操作时,可以及时修复
或恢复。
5.5.3为了防止数据丢失,医数聚系统的备份数据需异地存储,通过专柜由专人上锁
保管。
5.5.4网络管理员应定期对服务器进行检查,主要查看文件是否有损坏,CPU和内存
资源占用情况,客户端登录和访问数据库是否正常等,检查需记录在《服务器
检查记录表》中。
5.5.5网络管理员应严格遵守保密制度,绝对保密数据管理员口令,当其他人对服务
器进行操作时,要亲自在场并做好详细记录,如有第二者知道口令时要及时更
换口令。
5.6文件加密和解密的管理
5.6.1我司电脑均采用了加密管理,文档资料需要外传,需提交解密申请,经部门负
责人批准解密后,再行外传。
5.6.2只有各部门负责人有对加密文件解密的权限,当发生人事变动时,人力资源部
需确认此项权限也随之取消或增加。
5.6.3各部门负责人需要保管好自己解密权限的账号,不可告知其他人,账号只有在
使用时登录,使用后确定退出,以防解密权限被乱用,当发觉解密账号被盗用,
需通知人力资源部和网络管理员按照《安全事件管理程序》执行。
5.7数据和应用程序关键性分析
5.7.1由质量管理部组织各责任部门对现有存储数据和应用程序的关键性进行评估,
确认各数据和应用程序的等级,以及确定每项数据和每个应用程序的重要程度,以便确定数据备份,灾难恢复的优先级,和/或紧急行动计划,评估需形成记录
《数据和应用程序关键性一览表》;
5.8网络和信息安全事故按照《安全事件管理程序》执行。
5.9记录的保存
5.9.1以上过程中形成的记录,由各使用部门自行保存,或每年汇总后交质量管理部
保存,记录长期保存。
6 相关文件
•**** 安全事件管理程序
•****业务伙伴的管理程序
7 记录。