范文无忧网上海 X X 大学附属 X X 医院
信息安全领导机构组成与职责
1. 总则
1.1 目的
为更好的实现对 X X 医院信息系统的安全管理,促进各项制度、措施的落实,经院领导研究决定成立以信息安全领导小组为管理机构、信息安全工作小组为执行机构的组织架构,负责全院信息安全建设及防护。
1.2 范围
本标准针对 X X 医院信息安全组织建设相关事务,规定了组织框架和角色责任,适用于 X X 医院所有纳入到信息安全管理体系范围的组织和个人。
1.3 职责
1. 信息安全工作小组负责起草、制定本标准,安全领导小组负责批准、发布本标准。
2. 信息安全组织内相关人员承担本标准定义的相关角色,履行相应的信息安全管理职责。
2. 信息安全组织架构
X X 医院信息安全组织架构如下:
信息安全领导小组负责组织信息化建设总体规划和统筹安排,协调各科室与信息化之间的关系。信息安全领导小组组长由院长兼任,副组长由副院长和信息中心主任兼任。
信息安全领导小组成员如下:。
信息安全领导小组下设信息安全工作小组,信息安全工作小组人员设置如下: 信息安全工作小组组长: 信息安全工作小组副组长: 信息安全工作小组成员:
3. 机构和组织指责
3.1 信息安全领导小组组长职责
组长:负责信息化建设总体规划、设计决策、项目决策、流程决策、人员调配决策以及信息安全事故的应急协调和指挥。
副组长:负责具体项目规划设计、人员召集、组织实施等工作,对工程质量负责,并负责人员培训,流程制定,需求确认,协助实施、安全事故应急响应等具体日程和事务。
3.2 信息安全领导小组具体职责
(1) 负责审定信息安全建设与应用总体规划、经费预算、技术标准、管理规范及相关政策措施。
(2) 研究决定信息安全体系建设重大事项,监督信息安全体系规划的实施。 (3) 及时解决项目建设过程中的决策问题,并对各项工作做出指示 (4) 审批发布信息安全方针和管理体系。 (5) 审批信息安全规划和项目的批准。 (6) 提供信息安全资源保证。 (7) 负责信息安全策略审核及推广。
(8) 建立与内部/外部专家、权威机构、合作伙伴、供应商之间的沟通渠道。统一控制对外信息发布和通告。
3.3 信息安全工作小组组长职责
组长:直接对信息安全领导小组负责,负责信息安全领导小组宏观策略和项目规划的落地执行;在信息化领导小组的领导下,协调工作小组成员完成方案起草,流程收集,需求汇总等工作;协调信息安全工作小组内部人员的工作分配,人员管理等。
副组长:协助信息安全工作小组组长完成宏观策略和项目规划的落地执行,任命信息安全角色和岗位,并明确各信息安全岗位的职责,组织并实施信息安全管理评审,督促各成员统一协作,完成方案起草,流程收集,需求汇总等工作。
3.4 信息安全工作小组人员职责
负责系统调试、日程维护、人员培训、人员组织、安全管理等具体工作。具体职责如下:
(1) 负责信息安全体系建设具体工作实施和推进,与工作小组组长及时沟通并汇报有关情况。
(2) 负责与咨询公司沟通协调项目实施情况以及项目在公司内部的推进和后续知识转移。
(3) 负责安全管理体系的建立并监督信息安全管理制度的执行。
(4) 对信息安全相关项目进行规划和监督,确保信息安全风险评估和管理工作能够落实。
(5) 制定年度评审计划,确定评审范围和内审内容。
(6) 负责信息安全策略、标准、流程和制度的编写、审核及推广。 (7) 制定业务连续性计划。
(8) 建立与内部/外部专家、权威机构、利益伙伴之间的沟通渠道。统一控制对外信息发布和通告。
4. 附录
附1:信息安全组织相关人员信息表
信息安全相关组织人员信息表
上海 X X 大学附属 X X 医院
信息安全部门岗位职责说明
1 总则
1.1 目的
为规范信息安全管理系统中各安全岗位的人员职责,特制订本规范。
1.2 范围
本规范适用于 X X 医院信息中心各信息安全管理岗位和人员。
1.3 职责
信息中心主任负责分配、协调各信息安全管理岗位的人员角色和日常工作,各岗位人员负责本岗位的日常信息安全管理。
2 各安全管理岗位职责说明
信息安全各管理岗由信息安全工作小组授权或指定,是 X X 医院信息安全管理体系的具体执行者,设有信息安全岗、系统管理岗、网络管理岗、数据库管理岗、文档管理岗。各岗位的人员组成参见《信息安全组织相关人员信息表》,各岗位职责描述如下:
2.1 信息安全岗
信息安全岗是信息安全策略和相关事务的具体推动、执行和实施者,是信息安全各项任务的具体落实者。信息安全岗主要职责包括:
(1) 网络安全设备的日常运维管理,防护策略调整,访问策略设置和调整。 (2) 在信息安全工作小组确定的实施范围内,具体推广并落实各项策略要求和控制
措施。
(3) 监督推动安全策略和控制措施的落实,负责信息安全意识提升和协助信息安全
事件的应急处理。
(4) 负责信息安全的日常工作,提供信息安全支持服务,配合完成信息安全相关项
目,并引导、推广和监督执行安全策略。
(5) 为信息安全工作小组制定安全指标和采集数据提供支持,进行内审资料和数据
的提取。
(6) 协助信息安全工作小组制定业务连续性计划,提供各种参数依据。
2.2 数据库管理岗
数据库管理岗主要负责医院各信息系统配套的数据库管理工作,主要职责包括:
(1) 全面负责数据库系统的管理工作,保证其安全、可靠、正常运行。 (2) 负责信息中心数据库服务器的管理工作,做好服务器的运行记录,当
服务器出现故障时,迅速会同相关人员一同解决。
(3) 负责数据库系统的建设,做好服务器的维护、数据库软件的安装、数
据库的建立工作,定期对数据进行备份。 (4) 负责数据库服务器的安全防范管理工作。
(5) 协助软件开发人员完成数据库软件开发所需的各类数据库的信息。
2.3 系统管理岗
系统管理岗主要负责各业务系统的日常运维和管理,主要职责如下:
(1) 提供业务系统运行保障,维持业务系统稳定、正常运转,及时解决业务系统运
行故障,确保用户能安全高效的使用业务系统;
(2) 做好服务器配置、安装和改动记录,定期查看系统运行日志,并将系统故障、
可疑日志及时上报安全管理员。
(3) 定期对业务系统服务器硬盘进行整理,清除缓存或垃圾文件。
(4) 严格按照信息安全账号管理规范,管理业务系统用户账号,划分账号角色和权
限,及时删除废弃用户,监督用户设置账号强口令。
(5) 按照病毒防护管理程序,负责对业务系统服务器安装防病毒软件,并及时升级
病毒定义文件。定期对服务器进行全面的病毒检测查杀。对检测出的病毒要做病毒记录,并及时上报安全管理员。
(6) 采用多种形式,进行系统重要数据的定期自动备份或手工备份,保证系统数据
安全。
(7) 与业务经办人员接口,按照相关安全管理规范,负责系统变更需求的响应和处
理。
2.4 网络管理岗
网络管理岗主要负责网络平台的日常运维和管理,主要职责如下:
(1) 负责 X X 医院业务网络的安装、配置、管理和维护工作,为内部
网的安全运行提供技术保障。
(2) 负责网络设备的配置调整、更改,人员网络接入处理。 (3) 依据VPN安全管理规定,负责VPN链路的运行维护,VPN账号的
审核、发放、注销。
(4) 定期查看网络设备运行日志,并将可疑日志及时上报安全管理员。
2.5 文档管理岗
文档管理岗主要负责信息安全管理体系制度文件的评审记录、授权修订、过程文档的归类整理,过程记录。具体职责如下:
(1) 贯彻执行信息安全管理体系方针、政策,接受信息中心监督及检查,推动管理
体系逐步标准化、系统化、规范化。
(2) 负责管理体系过程文档的收集、整理、归档和保管工作。
(3) 积极主动地收集各科室、岗位的过程文档,认真验收并办理好移交手续。 (4) 将收集过程文档系统整理、编排、根据各管理模块分类归档。
(5) 做好管理体系文件保密工作,不得将体系文件与配套的过程文档未经批准私自
泄露给第三方。