网络与信息安全委员会组织机构及工作职责

2023年12月18日发(作者：施工员简历)

网络与信息安全委员会组织机构及工作职责

为了加强网络与信息安全管理体系建设，有效及明确地

界定体系内的组织结构及成员的职责和义务，确保网络与信 息安全管理体系能有效地推行，特制定本文件。

第一章 组织机构

第一条 本文件适用于遵义医科大学附属医院信息系统所有信息安全管理体系范围的部门和个人。

第二条 医院网络与信息安全委员会组织结构图如下：

- 1 -

第二章 工作职责

第三条 网络与信息安全委员会工作职责：

（一）负责协调网络与信息安全管理体系的推行、资源

分配、重要决策并维持体系的运行，改善医院信息系统的安 全管理流程，改进其应对网络安全事件和保持业务持续性的 能力。

（二）直接参与网络与信息安全管理、业务连续性计划

改善的决策，以保护信息安全、保证业务可持续发展为主要 目标，落实网络与信息安全、业务连续性管理方案，贯彻网络与信息安全策略，确保网络与信息安全管理体系的有效推行。

（三）监督网络与信息安全管理体系的运作，审核网络

安全策略的有效性和实用性，审批安全改善计划，提供网络 与信息安全资源保障。

（四）负责整个网络与信息安全管理体系的制定、运行

及改善的评审工作。

第四条 网络与信息安全工作小组工作职责：

（一）负责网络与信息安全管理体系的具体建立、实施、 维护及改善工作。

（二）对信息安全工作进行规划和执行，确保网络与信

息安全风险评估和管理工作能够落实。

（三）负责受理业务部门信息系统建设需求并提出安全

保障方案。

（四）负责信息安全管理和技术控制的选型设计、方案

- 2 -

评审及实施。

（五）负责信息安全策略、标准、流程和制度的编写、审

核及推广，负责具体执行和落实各项策略要求和控制措施。

（六）负责按照信息系统既定程序来响应并处理网络与

信息安全事件。

（七）指定专人负责内部安全审核，实施独立审核，确保信息安全管理体系各项控制及组成部分按照策略要求运行良好，确保信息安全管理体系的完整性、符合性和有效性。

（八）建立与内部/外部专家、权威机构、合作单位之间的沟通渠道。

第五条 安全管理员的工作职责：

（一）定期组织对网络与信息安全管理制度进行检查和

审定，对存在不足或需要改进的安全管理制度进行修订。

（二）按照网络安全策略协调相关人员具体实施网络与

信息安全管理工作。

（三）负责向网络与信息安全等级保护工作小组汇报医

院信息安全现状及信息安全整改建议。

（四）负责组织维护和完善网络与信息安全保障体系，

并据此制定网络与信息安全管理制度。

（五）参与医院信息系统建设的方案论证，并提出网络

与信息安全方面的相应建议。

（六）协调组织在医院信息系统相关的工程验收时，对网络与信息安全方面的验收测试方案进行审查并参与验收。

（七）根据网络与信息安全事件的处理情况和网络与信

- 3 -

息安全检测的结果，协调组织编制网络与信息安全状况相关 报告。

（八）指导和监督相关系统管理员及普通用户与网络信

息安全相关的工作。

（九）负责网络安全和保密工作，密切关注计算机病毒

发展动态，提出切实可行的预防措施，谨防外带存储器和网 络病毒侵袭；对服务器进行定期查毒杀毒，对系统漏洞打安全补丁，采取有效措施防止网络破坏和攻击。

第六条 网络管理员的工作职责：

（一）负责维护本单位网络主干通信设备，保证网络通

信畅通。

（二）进行网络的集中实时监控，对网络的连通性、网 络传输质量、路由器的路由表进行监控和检查。

（三）独自或协同维护商，对网络设备进行安全配置，

修补已发现的漏洞。

（四）负责网络管理规章制度的建立，帮助用户解决使

用网络的疑难问题。

（五）负责所管理网络设备的用户账号管理，为不同的

用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制。

（六）对网络设备的用户、口令的安全性进行管理，参

照相应规定，对网络设备登录用户进行监测和分析。

（七）在所管理网络设备上发现可能与网络安全有关的

- 4 -

可疑现象时，及时向安全管理员通告，并协助安全管理员进 行问题诊断。

（八）对关键网络配置文件实施备份操作。第七条 系统管理员的工作职责：

（一）协同维护商对操作系统依据相关安全规范进行安

全配置，修补已发现的漏洞。

（二）所有操作系统安全补丁，在确保不影响系统运行

后要及时安装。

（三）负责所有主机系统的用户账号管理，对系统中所

有用户进行登记，对操作系统的用户、口令的安全性进行管 理。

（四）监控系统运行状况，对发现异常和故障情况及时

上报。

（五）在所管理主机系统上发现可能与网络安全有关的

可疑现象时，及时向安全管理员报告，并协助安全管理员进 行问题的诊断。

（六）负责系统的运行管理，实施系统安全运行细则。

第八条 开发管理员的工作职责：

（一）配合安全管理部门制订安全开发操作流程，并认

真执行。

（二）在需求分析与设计阶段要充分考虑安全需求，包

括认证、用户权限控制、操作审计、加密等技术措施。

（三）在编码阶段，负责安全代码的规范编写，对外包

开发软件的源代码进行安全检测。

- 5 -

（四）负责与所属外包人员签署保密协议，并定期检查

外包人员的工作情况。

（五）系统投入使用前，完整移交系统相关的安全策略

等资料。

（六）不对系统设置“后门”，对系统核心技术保密。第九条 资产管理员的工作职责：

（一）负责信息系统资产库的维护。

（二）负责信息系统设备出入库、维修等管理。

（三）负责信息系统存储介质的管理。第十条 数据库管理员的工作职责:

（一）负责应用系统数据库的正常稳定运行。

（二）负责数据备份策略的制定和数据定期备份。

（三）负责系统数据库的日常巡查巡检及数据优化。

第十一条 机房管理员的工作职责:

（一）负责机房日常运维管理，实时监控机房温度、湿 度，保证机房环境正常，定期维护、保养设备，以保证网络 系统设备的良好状态。

（二）负责机房设备上架管理工作，设备上架按照有关

管理规定执行。

（三）保持信息机房的清洁、肃静和良好的秩序，进入

信息机房必须更换拖鞋、消除静电。

（四）对核心交换机、服务器、不间断电源等设备运行 状态进行实时监控，当网络设备出现故障时应及时汇报，在 领导的统一组织协调下进行故障排除。

- 6 -

（五）对发生的各种故障情况，以及设备维修、维护情

况进行详细记载备案。

（六）严禁烟火，爱护公物，谨慎操作，注意安全。

第十二条 门户网站管理员的工作职责:

（一）协同维护商，负责维护本单位门户网站访问畅通。

（二）进行网络的集中实时监控；对网络的连通性进行

检测；对网络传输质量进行监测；对路由器的路由表进行监控和检查。

（三）协同维护商，对网络设备进行安全配置，修补已

发现的漏洞。

（四）负责网络管理规章制度的建立，帮助用户解决使

用网络的疑难问题。

（五）负责所管理网络设备的用户账号管理，为不同的

用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制。

（六）对网络设备的用户、口令的安全性进行管理，参

照相应规定；对网络设备登录用户进行监测和分析。

（七）在所管理网络设备上发现可能与网络安全有关的

可疑现象时，及时向信息安全管理员通告，并协助信息安全管理员进行问题的诊断。

（八）对网站应用关键网络配置文件实施备份操作。

（九）负责网络安全和保密工作，密切关注计算机病毒

发展动态，提出切实可行的预防措施，谨防外带存储器和网

- 7 -

络病毒侵袭；对服务器进行定期查毒杀毒，对系统漏洞打安 全补丁，采取有效措施防止网络破坏和攻击。

第十三条 网络与信息安全工作小组需要定期向网络与信息安全委员会反映网络与信息安全管理体系的运作情况。

第十四条 网络与信息安全委员会审阅网络与信息安全

工作小组提交的报告，针对网络与信息安全管理体系运作的 情况以及可能出现的问题，进行讨论并做出决策。

第十五条 网络与信息安全工作小组根据网络与信息安全委员会决策的结果，进行具体的实施计划工作，组织安排相关人员开展实施。

第三章 附则

第十六条 为了保证本文件的时效性、可用性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第十七条 本制度由医院网络与信息安全委员会负责制定、解释和修改。由医院网络与信息安全委员会讨论通过，

发布执行。

第十八条 本文件自发布之日起执行。

- 8 -