《医院网络安全管理规范.docx》由会员分享,可在线阅读,更多相关《医院网络安全管理规范.docx(8页珍藏版)》请在课桌文档上搜索。
1、医院网络安全运维规范1范围本文件确定了医院安全运维管理的基本要求,并规定了对象、安全事件处置和应急管理的基本内容。本文件适用对各级(二级甲等以上)医院安全运维工作的管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该口期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GBZT50348-2018安全技术防范技术标准GB/T22239-2019信息安全技术网络安全等级保护基本要求3术语和定义GBfT50348界定的术语和定义适用于木文件。4基本要求4 .1人员4.1.1 人员应具备从事安全运维服
2、务所必备的知识,应具有较为系统的内容体系和知识范围。4.1.2 应配备一定数量的系统管理员、审计管理员和安全管理员等。4.1.3 应配备专职安全管理员,不可兼任。4.1.4 应对各类人员进行安全意识教育和向位技能培训,并签订保密承诺书。4.1.5 应根据岗位需要,每年定期参与培训。5 .2机构4.2.1应建立由医院主要负责人牵头,各部门参与的安全管理组织。4.2.2应设定网络安全的管理部门,是医院内网络安全管理最终裁决部门。4.2.3管理部门应牵头制定网络安全的各项制度,建立网络安全使用的各项流程及责任。4.3 经费每年应有专门的安全管理的预算,用于日常安全与运维、专家咨询、安全等级评审等工作
3、。4.4 规划4.4.1对网络安全管理应制定有长期规划,包括实现目标、人员培养、经费投入、制度完善等工作。4.4.2应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划,内容应包含密码技术相关内容,并形成配套文件,4 .4.3应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。4.5制度应制定下列制度但不限于:安全策略管理制度;一一设备安全管理制度;一一机房安全管理制度;网络安全管理制度;一一密码使用管理制度;一一系统变更管理规定;一一数据备份恢复管理制度;一一介质管理制度;一一人事安全管理制度;一一员工培训管理程序;
4、一一办公区域安全管理制度;一一外部人员安全管理制度;一一产品采购管理制度;一一信息系统供应商管理制度;一信息系统招标管理制度;一一软件测试与验收管理制度;一一信息安全管理体系内审程序;一一安全审核和检查制度;一一应急预案管理制度;补丁管理程序;访问控制程序;一一信息资产管理办法。5 对象5.1 分类运维对象分为终端、网络、数据中心和物理环境。5.2终端5.2.1准入要求5应建立审批机制,有明确的申请人、审批人、时间、原因等信息。5应建立责任追究机制,避免随意对终端进行准入、准入信息填写不完整,导致难以追踪。5应建立退出机制,对长期不活动、报废的终端进行清理。5应建立逃生机制,出现网络故隙时,可
5、以快速取消准入机制,便于故隙定位。5.2.2配置管理5.2.2.1确立终端配置的目标对象和要求。对业务网内的智能入网终端进行登记。定期检查配置登记的结果。定期组织评审.5.2.3感染监控5.2.3.1应对网内感染、攻击进行监测,并确立终端感染的管理目标和要求。5.2.3.2应对感染事件进行分析、汇总、及时处理,并做好处理记录。5.2.3.3应定期检查终端感染事件的处理过程,并做好检查记录。5.2.3.4应定期组织评审,并根据执行情况,对管理目标和要求、制度、流程等进行改进。5.2.4安全管控5.2.4.1快速批量对无线网访问、内外网切换、文件访问、防火墙、策略、共享文件夹等安全设置。5.2.4
6、.2快速批量对业务、系统进行设置,设置过程和结果可追溯。5.2.4.3对终端主机进行定期杀毒,对长期无法杀毒的应进行跟踪处理。5.2.4.4定期核对、验证安装要求符合情况。5.2.5备份恢复管理5.2.5.1建立制度与流程,设立恢复时间要求,定期演练,对人员进行培训。5.2.5.2针对重要岗位,应做主机备份、系统备份,并定期演练。5.3网络5.3.1数据交换5应设立独立业务网络区域。5应设立独立的互联网访问区域,用于存放开通互联网访问的主机。5应通过中间业务逻辑层与业务网区域交换数据数据。5业务网区域与其他区域之间应设立防火墙,并定期对防火墙策略进行审核,应建立基于业务端口级别的策略。5应建立
7、业务网区域与其他区域的文件安全传输管理渠道,对文件保存一定期限,定期审核。5.3.2配置要求5应建立配置的管理目标与要求,涵盖对所有网络区域。5.3.2.2应建立包括基本信息、维保信息、线路关系、位置信息、相关负责人及其的配置数据库,并有明确责任人。5.3.2.3应定期对配置执行现场核验工作,并根据结果对记录进行更新。5.3.2.4应定期对配置信息的准确性、目标符合情况进行评估,并进行记录;5.3.2.5应定期对配置管理的制度、目标、流程、记录进行评审、改进。5.3.3资源监控5应对网络设备的运行占用资源进行监控,至少包括内存、CPU、速率、丢包率等信息。5监控方式、信息采集方式应采用安全可行
8、方式,如设置SNMP3,采用SSH方式连接。5应制定监控的目标和要求,包括监控参数与指标,报警事件的处理流程与响应速度。5应定期检查资源监控的目标符合度,有监控遗漏的检测方式,并进行修正。5应定期对报警事件的完成情况进行检查,并进行记录、分析。5应定期对监控目标和要求进行评估、改进。5.3.4人工巡检5应建立巡检的目标与要求,包括巡检范围、种类、检查项等。5应有明确巡检责任人,宜定期自动生成固定巡检任务,任务有明确的截止时间。5应对巡检结果检查、评估,对存在的问题进行整改,并保存整改记录。5应根据巡检执行情况,定期对巡检目标与要求,巡检流程进行改进,并保存记录。5.3.5变更要求5应建立变更分
9、类分级要求,包括不同分类、分级变更的应急方式、工作流程、审核流程、执行方式。5应明确变更责任人,审批人,执行人,相关通知人。5应有明确的备用方案,变更的作用,失败产生的影响,备用预案的作用,应对预案进行测试。5应有明细的变更步骤。5变更过程应做好记录,如所有操作指令的记录。5应有变更后的检查方案,应对检查方案进行讨论,明确方案负责人。5.3.6备用与演练要求5应列出存在的故障隐患,并制定相应备用恢复方案,并定期演练。5应根据网络重要性,对关键交换、路由设备建立不同的重要级别。5根据重要级别,建立不同的备用方式,建立恢复目标与要求,并制定恢复管理流程。5建立变更分级管理,包括应急响应流程、申请审
10、核流程、执行流程等。5应定期对故障处理事件、演练结果进行评审,并对相应的流程、方案进行改进,并留下记录。5.4数据中心5.4.1配置要求5应建立基于业务、对象种类的配置的管理目标与要求,包括信息完整率、准确率等要求。5应建立配置数据库,运维对象应有明确德运维责任人。5配置管理范围,应涵盖与业务相关的服务、操作系统以及所需的存储、计算等资源。5定期对配置执行现场核验工作,并根据结果对记录进行更新。5应定期对配置信息的准确性、目标符合情况进行评估,分析存在的问题,并进行记录。5定期对配置管理的制度、目标、流程、记录进行评审、改进。5.4.2资源监控5应建立监控管理目标与要求,包括监控参数与指标,报
11、警事件的处理流程与响应速度。5应定期检查资源监控的目标符合度,有监控遗漏的检测方式,并进行修正。5应定期对报警事件的完成情况进行检查,并进行记录、分析。5应定期对监控目标和要求进行评估、改进。5.4.3感染监控应符合5.2.3的要求。5.4.4巡检管理5应定期组织对风险点进行分析,并建立巡检的目标与要求,包括巡检范围、种类、检查项等。5应有明确巡检责任人,宜定期自动生成固定巡检任务,任务有明确的截止时间。5巡检任务里,应明确具体检查对象,并可以对每个巡检对象设立独立的巡检项。5应对巡检结果检查、评估,对存在的问题进行整改,并保存整改记录。5应根据巡检执行情况,定期对巡检目标与要求,巡检流程进行
12、改进,并保存记录。5.4.5变更管理5.4.4.1应建立基于业务的变更分类分级,建立不同分类、分级变更的应急响应流程。5.4.4.2应明确变更责任人、审批人、执行人和相关通知人。5.4.4.3应有明细的变更步骤,每个步骤有专门的负责人。5.4.4.4应有明确的针对变更回撤方案,应对预案、回撤方案进行测试。5.4.4.5变更过程应做好记录。5.4.4.6应有变更后的检查方案,应对检查方案进行讨论,明确方案负责人。5.4.5备用与演练管理5应列出存在的故障隐患,并制定相应备用恢复方案,并定期演练。5应根据业务重要性,对关键服务、操作系统、设备等建立不同的重要级别。5应根据重要级别,建立不同的备用方
13、式,建立恢复目标与要求,并制定恢复执行流程、响应要求。5应定期都会恢复执行流程进行演练,并对比目标与要求,进行评价、记录。5应定期对故障处理事件、演练结果进行评审,并对相应的流程、方案进行改进,并留下记录。5.5物理环境5.5.1配置登记5应对机房运行的主要环境要求建立数据库,明确管理目标与要求,包括信息完整率、准确率等。5应建立配置数据库,应有明确责任人。5应定期对配置执行现场核验工作,并根据结果对记录进行更新。5应定期对配置信息的准确性、目标符合情况进行评估,分析存在的问题,并进行记录。5应定期对配置管理的制度、目标、流程、记录进行评审、改进。5.5.2环境监控5应建立监控管理目标与要求,
14、包括事件的处理流程与响应速度等要求。5应建立报警事件的响应流程,明确责任组织与人员。5应定期对报警事件的完成情况进行检查,并进行记录、评价。5应根据报警、巡检事件的处理与评价,定期对监控目标和要求进行评估、改进。机房进出5针对不同类型的人员,应建立机房进出管理目标与要求。5应对人员进出情况进行记录,建立审批流程。5定期对人员进出情况进行审查,并记录所存在的问题。5根据存在的问题,对管理目标与审批流程进行改进。5.5.4备用与演练5应列出存在的故障隐患,并制定相应备用恢复方案,并定期演练。5应对于电源、空调,应有冗余措施。5建立恢复目标与要求,并制定恢复执行流程、响应要求。5应定期演练,并做好记
15、录。5应定期对故隙处理事件、演练结果进行评审,并留下记录。6安全事件处置6.1分级6.1.1四级安全事件影响医院管理流程的系统:指保隙医院正常运营,不涉及医院诊疗活动的信息系统。6.1.2三级安全事件影响医院运行流程的系统:指涉及医院诊疗活动,一旦出现故障会影响医院日常运行流程,但可以通过应急措施保障患者就医需求不受影响的信息系统。6.1.3二级安全事件影响医护诊疗流程的系统:指涉及医患诊疗业务,一旦出现故障会严重影响医患诊疗业务流程正常运转的信息系统。6.1.4一级安全事件影响患者生命安全的系统:指涉及患者抢救,一旦出现故障会影响患者生命安全保障的信息系统。6.2安全事件处置流程及要求6.2
16、.1接收6.2.1.1设立接收保修、报警、安全事件的服务台组织、成员,明确负责人,定期排班。6.2.1.2应建立不同级别事件的受理与分配的制度与流程,设定专人负责事件请求的处理,应熟悉医院诊疗流程,熟悉诊疗相关法律,识别事件分类与定级。6.2.1.3定期对事件受理人员进行各类业务常见问题的培训。6.2.2执行6.2.2.1事件执行过程中,应及时对事件处理过程进行记录与反馈,对事件的影响变化做出及时记录。6.2.2.2事件的处理过程中要根据不同级别事件制定明确的上报流程与期限管理要求,包括及时处理期限、完成期限等,并能及时提醒相关人员。6.2.2.3事件完成结果要有规范性要求,应有总结,宜与知识
17、库关联。6.2.3评价6.2.3.1单体评价医院信息技术服务质量管理组织应制定专家与用户评价管理制度与流程,至少应包括:a)应制定专家、用户评价流程,应确定专家与用户评价的范围、内容、方式;b)制定专家与用户评价信息的采集、汇总、分析要求;c)专家与用户负面评价的核实、评估、处置、反馈、跟踪验证要求;d)专家与用户评价记录的保存要求。6.2.3.2阶段回顾性评价医院信息技术服务质量管理组织应制定服务评审与改进管理制度与流程,至少应包括:a)应制定不同事件评审的范围、内容、频度、方式;b)应明确事件的评审要求,应包括服务评价的要求;c)评审结果应包括与目标的差距分析、原因分析与改进建议。6.3沟
18、通协同管理6.61接收6.3.1.1有多种沟通渠道,包括电话、即时通讯、网站、电子邮箱等,根据不同级别的事件制定不同的通知策略。6.3.1.2应设立总服务台处理咨询、报修、投诉等事件。6.3.2执行6对事件的处理要及时记录进展情况,同时应及时共享、反馈给相关人员。6应建立与使用部门、软硬件供应商的快速信息化沟通、协同渠道,实现快速发布与反馈。6应定期对使用部门进行调研,了解需求和问题。6.3.3评价6. 3.3.1应针对不同级别的事件,建立沟通协同管理目标,包括衡量目标的指标与参数。7. 3.3.2定期评价、评审协同管理制度与流程,并进行改进。8. 应急管理8.1 应规定统一的应急预案框架,包括启动预案的条件、明确预案要达到的目标、应急组织构成、应急资源保隙、事后教育和培训等内容。8.2 应定期对应急预案相关的人员进行培训,并定期进行应急预案的演练。8.3 应结合演练结果,应急事件处理流程,定期对原有的应急预案、人员、组织等重新评估,修订完善。参考文献1中华人民共和国网络安全法(中华人民共和国第卜二届全国人民代表大会常务委员会第二十四次会议)。2GBfT22239-2019信息安全技术网络安全等级保护基本要求。3GBZT25058-2019信息安全技术网络安全等级保护实施指南。