網絡與信息安全委員會組織機構及工作職責

2023年12月18日發(作者：施工員簡歷)

網絡與信息安全委員會組織機構及工作職責

為了加強網絡與信息安全管理體系建設，有效及明確地

界定體系內的組織結構及成員的職責和義務，確保網絡與信 息安全管理體系能有效地推行，特制定本文件。

第一章 組織機構

第一條 本文件適用于遵義醫科大學附屬醫院信息系統所有信息安全管理體系范圍的部門和個人。

第二條 醫院網絡與信息安全委員會組織結構圖如下：

- 1 -

第二章 工作職責

第三條 網絡與信息安全委員會工作職責：

（一）負責協調網絡與信息安全管理體系的推行、資源

分配、重要決策并維持體系的運行，改善醫院信息系統的安 全管理流程，改進其應對網絡安全事件和保持業務持續性的 能力。

（二）直接參與網絡與信息安全管理、業務連續性計劃

改善的決策，以保護信息安全、保證業務可持續發展為主要 目標，落實網絡與信息安全、業務連續性管理方案，貫徹網絡與信息安全策略，確保網絡與信息安全管理體系的有效推行。

（三）監督網絡與信息安全管理體系的運作，審核網絡

安全策略的有效性和實用性，審批安全改善計劃，提供網絡 與信息安全資源保障。

（四）負責整個網絡與信息安全管理體系的制定、運行

及改善的評審工作。

第四條 網絡與信息安全工作小組工作職責：

（一）負責網絡與信息安全管理體系的具體建立、實施、 維護及改善工作。

（二）對信息安全工作進行規劃和執行，確保網絡與信

息安全風險評估和管理工作能夠落實。

（三）負責受理業務部門信息系統建設需求并提出安全

保障方案。

（四）負責信息安全管理和技術控制的選型設計、方案

- 2 -

評審及實施。

（五）負責信息安全策略、標準、流程和制度的編寫、審

核及推廣，負責具體執行和落實各項策略要求和控制措施。

（六）負責按照信息系統既定程序來響應并處理網絡與

信息安全事件。

（七）指定專人負責內部安全審核，實施獨立審核，確保信息安全管理體系各項控制及組成部分按照策略要求運行良好，確保信息安全管理體系的完整性、符合性和有效性。

（八）建立與內部/外部專家、權威機構、合作單位之間的溝通渠道。

第五條 安全管理員的工作職責：

（一）定期組織對網絡與信息安全管理制度進行檢查和

審定，對存在不足或需要改進的安全管理制度進行修訂。

（二）按照網絡安全策略協調相關人員具體實施網絡與

信息安全管理工作。

（三）負責向網絡與信息安全等級保護工作小組匯報醫

院信息安全現狀及信息安全整改建議。

（四）負責組織維護和完善網絡與信息安全保障體系，

并據此制定網絡與信息安全管理制度。

（五）參與醫院信息系統建設的方案論證，并提出網絡

與信息安全方面的相應建議。

（六）協調組織在醫院信息系統相關的工程驗收時，對網絡與信息安全方面的驗收測試方案進行審查并參與驗收。

（七）根據網絡與信息安全事件的處理情況和網絡與信

- 3 -

息安全檢測的結果，協調組織編制網絡與信息安全狀況相關 報告。

（八）指導和監督相關系統管理員及普通用戶與網絡信

息安全相關的工作。

（九）負責網絡安全和保密工作，密切關注計算機病毒

發展動態，提出切實可行的預防措施，謹防外帶存儲器和網 絡病毒侵襲；對服務器進行定期查毒殺毒，對系統漏洞打安全補丁，采取有效措施防止網絡破壞和攻擊。

第六條 網絡管理員的工作職責：

（一）負責維護本單位網絡主干通信設備，保證網絡通

信暢通。

（二）進行網絡的集中實時監控，對網絡的連通性、網 絡傳輸質量、路由器的路由表進行監控和檢查。

（三）獨自或協同維護商，對網絡設備進行安全配置，

修補已發現的漏洞。

（四）負責網絡管理規章制度的建立，幫助用戶解決使

用網絡的疑難問題。

（五）負責所管理網絡設備的用戶賬號管理，為不同的

用戶建立相應的賬號，根據對網絡設備安裝、配置、升級和管理的需要為用戶設置相應的級別，并對各個級別用戶能夠使用的命令進行限制。

（六）對網絡設備的用戶、口令的安全性進行管理，參

照相應規定，對網絡設備登錄用戶進行監測和分析。

（七）在所管理網絡設備上發現可能與網絡安全有關的

- 4 -

可疑現象時，及時向安全管理員通告，并協助安全管理員進 行問題診斷。

（八）對關鍵網絡配置文件實施備份操作。第七條 系統管理員的工作職責：

（一）協同維護商對操作系統依據相關安全規范進行安

全配置，修補已發現的漏洞。

（二）所有操作系統安全補丁，在確保不影響系統運行

后要及時安裝。

（三）負責所有主機系統的用戶賬號管理，對系統中所

有用戶進行登記，對操作系統的用戶、口令的安全性進行管 理。

（四）監控系統運行狀況，對發現異常和故障情況及時

上報。

（五）在所管理主機系統上發現可能與網絡安全有關的

可疑現象時，及時向安全管理員報告，并協助安全管理員進 行問題的診斷。

（六）負責系統的運行管理，實施系統安全運行細則。

第八條 開發管理員的工作職責：

（一）配合安全管理部門制訂安全開發操作流程，并認

真執行。

（二）在需求分析與設計階段要充分考慮安全需求，包

括認證、用戶權限控制、操作審計、加密等技術措施。

（三）在編碼階段，負責安全代碼的規范編寫，對外包

開發軟件的源代碼進行安全檢測。

- 5 -

（四）負責與所屬外包人員簽署保密協議，并定期檢查

外包人員的工作情況。

（五）系統投入使用前，完整移交系統相關的安全策略

等資料。

（六）不對系統設置“后門”，對系統核心技術保密。第九條 資產管理員的工作職責：

（一）負責信息系統資產庫的維護。

（二）負責信息系統設備出入庫、維修等管理。

（三）負責信息系統存儲介質的管理。第十條 數據庫管理員的工作職責:

（一）負責應用系統數據庫的正常穩定運行。

（二）負責數據備份策略的制定和數據定期備份。

（三）負責系統數據庫的日常巡查巡檢及數據優化。

第十一條 機房管理員的工作職責:

（一）負責機房日常運維管理，實時監控機房溫度、濕 度，保證機房環境正常，定期維護、保養設備，以保證網絡 系統設備的良好狀態。

（二）負責機房設備上架管理工作，設備上架按照有關

管理規定執行。

（三）保持信息機房的清潔、肅靜和良好的秩序，進入

信息機房必須更換拖鞋、消除靜電。

（四）對核心交換機、服務器、不間斷電源等設備運行 狀態進行實時監控，當網絡設備出現故障時應及時匯報，在 領導的統一組織協調下進行故障排除。

- 6 -

（五）對發生的各種故障情況，以及設備維修、維護情

況進行詳細記載備案。

（六）嚴禁煙火，愛護公物，謹慎操作，注意安全。

第十二條 門戶網站管理員的工作職責:

（一）協同維護商，負責維護本單位門戶網站訪問暢通。

（二）進行網絡的集中實時監控；對網絡的連通性進行

檢測；對網絡傳輸質量進行監測；對路由器的路由表進行監控和檢查。

（三）協同維護商，對網絡設備進行安全配置，修補已

發現的漏洞。

（四）負責網絡管理規章制度的建立，幫助用戶解決使

用網絡的疑難問題。

（五）負責所管理網絡設備的用戶賬號管理，為不同的

用戶建立相應的賬號，根據對網絡設備安裝、配置、升級和管理的需要為用戶設置相應的級別，并對各個級別用戶能夠使用的命令進行限制。

（六）對網絡設備的用戶、口令的安全性進行管理，參

照相應規定；對網絡設備登錄用戶進行監測和分析。

（七）在所管理網絡設備上發現可能與網絡安全有關的

可疑現象時，及時向信息安全管理員通告，并協助信息安全管理員進行問題的診斷。

（八）對網站應用關鍵網絡配置文件實施備份操作。

（九）負責網絡安全和保密工作，密切關注計算機病毒

發展動態，提出切實可行的預防措施，謹防外帶存儲器和網

- 7 -

絡病毒侵襲；對服務器進行定期查毒殺毒，對系統漏洞打安 全補丁，采取有效措施防止網絡破壞和攻擊。

第十三條 網絡與信息安全工作小組需要定期向網絡與信息安全委員會反映網絡與信息安全管理體系的運作情況。

第十四條 網絡與信息安全委員會審閱網絡與信息安全

工作小組提交的報告，針對網絡與信息安全管理體系運作的 情況以及可能出現的問題，進行討論并做出決策。

第十五條 網絡與信息安全工作小組根據網絡與信息安全委員會決策的結果，進行具體的實施計劃工作，組織安排相關人員開展實施。

第三章 附則

第十六條 為了保證本文件的時效性、可用性，必須根據相關審核規定進行評審和修訂，修訂后重新發布。

第十七條 本制度由醫院網絡與信息安全委員會負責制定、解釋和修改。由醫院網絡與信息安全委員會討論通過，

發布執行。

第十八條 本文件自發布之日起執行。

- 8 -