标准规范下载简介
DB34/T 4304-2022 医院网络安全管理规范.pdfICS35.040 CCS L 80
DB34/T43042022
Specificationforhospitalcybersecuriymanagement
精选案例--通风与空调工程施工方案(44个)--02安徽省市场监督管理局发布
DB34/T 4304—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由安徽省公安厅提出并归口。 本文件起草单位:安徽医科大学第一附属医院、安徽医科大学第二附属医院、安徽省公安厅网络安 全保卫总队、安徽省卫生健康委员会信息中心、中国科学技术大学第一附属医院(安徽省立医院)、皖 南医学院弋矶山医院、蚌埠医学院第一附属医院、芜湖市第二人民医院、安徽国康网络安全测评有限公 司、安徽溯源电子科技有限公司、安徽中医药大学第一附属医院、安徽省公共卫生临床中心、安徽医科 大学、皖南医学院、合肥市公安局科技信息化支队、安徽医科大学附属安庆第一人民医院、宁国市公安 局、太和县人民医院、上海安翼保信息技术服务有限公司、安徽上下数据科技有限公司、安徽安恒数智 信息技术有限公司、绿盟科技集团股份有限公司、三六零数字安全科技集团有限公司、深信服科技股份 有限公司、北京华誉维诚技术服务有限公司。 本文件主要起草人:周典、柴培钰、冯响林、徐红兵、杨波、葛伟、陶敏、徐兵、黄煜、汪涛、刘 冬、杨爱民、张文雅、偶德俊、沈沛、史寿乐、黄盈中、张业睿、胡红雨、孙一鸣、徐礼理、张文修、 张肠、黄电、郭伟、陈宗明、余福生、方成成、吕芳炉、陶晓东、马守宽、王彬、李善智、郑传统、戴 博文、温长健。
DB34/T 4304—2022
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB50348安全技术防范技术标准
4.1.1 应建立由医院主要负责人牵头,各部门参与的网络安全管理组织。 4.1.2应设定网络安全的管理部门,负责医院网络安全管理最终裁决。 4.1.3管理部门应牵头制定网络安全的各项制度,明确网络安全使用的各项流程及责任,
4.2.1应具备从事网络安全运维服务所必备的知识和技能。
4.2.1应具备从事网络安全运维服务所必备的知识和技能。 4.2.2应配备必备的系统管理员、审计管理员和网络安全管理员等
DB34/T4304—2022
4.2.3应配备专职安全管理员,不可兼任。
4.2.3应配备专职安全管理员,不可兼任。 4.2.4 应对各类人员进行网络安全意识教育和岗位技能培训,并签订保密承诺书。
每年应有专门的网络安全管理的经费预
4.4.1对网络安全管理应制定规划,包括目标实现、人员培养、经费投入、制度完善等。 4.4.2应根据保护对象制定安全整体规划,应包含密码技术等相关内容,并形成配套文件。 4.4.3应组织相关部门和有关安全专家对安全整体规划及其配套文件进行论证,经过批准后方可实施
包括但不限于: 安全策略管理制度; 设备安全管理制度; 机房安全管理制度; 密码使用管理制度; 系统变更管理规定; 数据备份恢复管理制度; 一人事安全管理制度; 一员工培训管理程序; 办公区域安全管理制度; 产品采购管理制度; 信息系统供应商管理制度; 软件测试与验收管理制度; 信息安全管理体系内审程序; 安全审核和检查制度; 一应急预案管理制度; 一补丁管理程序; 访问控制程序; 信息资产管理办法。
5.2.1.1应建立审批机制,有明确的申请人、审批人、时间、原因等信息。 5.2.1.2应建立责任追究机制,对终端的准入的申请、审核、批准等信息进行溯源 5.2.1.3应建立退出机制,对长期不活动、报废的终端进行清理。
5.2.1.4应建立逃生机制,出现网络故障时,可以快速取消准入
DB34/T 4304—2022
5.2.2.1明确终端配置的目标对象和要求。 5.2.2.2对业务网内的智能入网终端等配置进行登记。 5.2.2.3定期检查配置登记的结果。 5.2.2.4定期组织评审。
5.2.4.1应支持快速批量对无线网访问、内外网切换、文件访问、防火墙、策略、共享文件夹等进行 安全设置。 5.2.4.2应支持快速批量对业务、系统进行设置,设置过程和结果可追溯。 5.2.4.3对终端主机进行定期杀毒,对长期无法杀毒的应进行跟踪处理。 5.2.4.4定期核对、验证安装情况
5.2.5备份恢复管理
2.5.1建立制度与流程,确定备份恢复时间,定期演练。 2.5.2针对重要系统,应做用户终端系统备份、数据库备份、服务器系统备份,并定期演练
5.3.1.1应设立独立业务网络区域。 5.3.1.2应设立独立的互联网访问区域,用于存放开通互联网访问的主机。 5.3.1.3应通过中间业务逻辑层与业务网区域交换数据。 5.3.1.4业务网区域与其他区域之间应设立防火墙,并定期对防火墙策略进行审核,应建立基于业务 端口级别的策略。 5.3.1.5应建立业务网区域与其他区域的文件安全传输管理渠道,对文件保存设定期限,定期审核
DB34/T43042022
5.3.4.1应明确巡检的目标与要求,包括巡检范围、种类、检查项等。 5.3.4.2应明确巡检责任人,定期自动生成固定巡检任务,任务有明确的截止时间。 5.3.4.3应对巡检结果检查、评估,对存在的问题进行整改,并保存整改记录。 5.3.4.4应根据巡检执行情况,定期对巡检目标与要求,巡检流程进行改进,并保存记录
5.3.5.1应建立变更分类分级要求,包括不同分类、分级变更的应急方式、审核流程、执行方式。 5.3.5.2应明确变更责任人,审批人,执行人,相关通知人。 5.3.5.3应有明确的备用方案,包括变更的作用、失败产生的影响、备用预案的作用,应对预案进行 测试。 5.3.5.4变更过程应做好记录。 5.3.5.5应有变更后的检查方案,明确方案负责人
5.3.6备用与演练要求
5.4.1.1应建立基于业务、对象种类的配置的管理目标与要求,包括信息完整率、准确率等要求 5.4.1.2应建立配置数据库,运维对象应有明确的运维责任人。 5.4.1.3配置管理范围,应涵盖与业务相关的服务、操作系统以及所需的存储、计算等资源。 5.4.1.4定期对配置执行现场核验,并根据结果对记录进行更新。 5.4.1.5应定期对配置信息的准确性、目标符合情况进行评估,分析存在的问题,并进行记录 5.4.1.6定期对配置管理的制度、目标、流程、记录进行评审、改进。
应符合5.2.3的要求,
应符合5.2.3的要求。
DB34/T 4304—2022
5.4.4.1应定期组织对风险点进行分析,并建立巡检的目标与要求,包括巡检范围、种类、检查项等。 5.4.4.2应明确巡检责任人,定期自动生成固定巡检任务,任务有明确的截止时间。 5.4.4.3巡检任务里,应明确具体巡检对象,并可以对每个巡检对象设立独立的巡检项。 5.4.4.4应对巡检结果检查、评估,对存在的问题进行整改,并保存整改记录。 5.4.4.5应根据巡检执行情况,定期对巡检目标与要求,巡检流程进行改进,并保存记录,
5.4.5.1应建立基于业务的变更分类分级,建立不同分类、分级变更的响应流程。 5.4.5.2应明确变更责任人、审批人、执行人和相关通知人。 5.4.5.3应有明细的变更步骤,每个步骤有专门的负责人。 5.4.5.4应有明确的针对变更回撤方案,应对预案、回撤方案进行测试。 5.4.5.5变更过程应做好记录。 5.4.5.6应有变更后的检查方案,明确方案负责人
5.4.6备用与演练管理
5.1.2应建立配置数据库JC/T 2126.7-2012标准下载,应明确责任人。 5.1.3应定期对配置执行现场核验,并根据结果对记录进行更新。 5.1.4应定期对配置信息的准确性、目标符合情况进行评估,并记录。 5.1.5应定期对配置管理的制度、目标、流程、记录进行评审、改进,
DB34/T43042022
5.5.3.1针对不同类型的人员,应建立机房进出管理目标与要求。 5.5.3.2应对人员进出情况进行记录,建立审批流程。 5.5.3.3定期对人员进出情况进行审查,并记录所存在的问题 5.5.3.4根据存在的问题,对管理目标与审批流程进行改进
5.5.4.1应列出存在的故障隐患,并制定相应备用方案,并定期演练。
GB 55019-2021:建筑与市政工程无障碍通用规范(带书签).pdf6.1.3.1单体评价
应制定专家与用户评价管理制度与流程,包括但不限于: 应制定专家、用户评价流程,应确定专家与用户评价的范围、内容、方式; 制定专家与用户评价信息的采集、汇总、分析要求; 专家与用户负面评价的核实、评估、处置、反馈、跟踪验证要求; 专家与用户评价记录的保存要求。