____________________________
郑州市第一人民医院信息系统
安全巡检方案
____________________________
第一条 目的:为保障郑州市第一人民医院信息系统的安全,编写了针对于郑州市第一人民医院信息系统安全巡检方案,有效指导安全扫描与检查、安全配置和设备入网安全工作的开展,提高业务系统支撑平台的安全运行保障能力。
第二条 范围:本方案是以基线检查的形式开展巡检工作,主要针对信息中心管辖的业务支撑网的主机、数据库、中间件、网络设备、安全设备、终端等IT设备和管理制度的基线检查。
第三条 原则:
(一) “合规性”原则:安全基线应符合国家法律法规和指南、上级主管单位的管理规范和要求、最新的安全技术规范。
(二) 安全基线管理工作遵循 “谁主管,谁负责;谁运营,谁负责;谁使用,谁负责”原则。
第四条 参考标准与规范
《ISO/IEC 27001:2005信息安全管理体系要求》
《ISO/IEC 27002:2005信息安全管理实用规则》
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)
《信息安全技术信息系统安全等级保护实施指南》(GB/T 28449-2012)
第五条 信息系统安全基线实施原则
(一) 服务最小化原则:IT设备提供的各种服务必须依据业务需求进行启用,与业务需求无关的服务必须关闭,特殊情况,必须申请例外配置。
(二) “遵从性”原则:国家相关法律法规、医院相关技术规范,须遵照执行。
第六条 IT设备与系统安全基线内容
(一) 帐号管理:各主机、数据库、网络设备、安全设备等帐号安全配置;
(二) 口令管理:各主机、数据库、网络设备、安全设备等口令安全配置;
(三) 远程管理:各主机、数据库、网络设备、安全设备等远程管理协议、端口、以及维护策略安全配置;
(四) 补丁管理:各主机、数据库、网络设备、安全设备等补丁安全配置;
(五) 病毒木马:各主机、数据库、网络设备、安全设备防病毒配置情况;
(六) 日志审计:各IT设备与系统日志配置、收集、审计等;
(七) 安全配置:各IT设备与系统安全增加配置;
(八) 远程接入、终端接入的管理制度、审批流程,以及远程接入的权限控制策略。
(九) 网络互联申请及审批流程、设备资源统计情况、安全域管理办法及拓扑划分情况。
(一十) 信息资产清单,信息资产的入网、退网的流程。
(一十一) 新系统上线前安全漏洞扫描、风险评估等报告、新系统上线前安全审批记录。
第七条 详细基线检查内容见附件。
本文来源:https://www.2haoxitong.net/k/doc/b186aff8a5e9856a5712609c.html
文档为doc格式