天衣无缝
作者天衣无缝2022-02-14 15:15
工程师, 杭州市中医院

通过等保2.0分析我们系统的脆弱性:安全管理制度篇

字数 1435阅读 955评论 1赞 6

没有规矩不成方圆,安全的工作中没有管理制度,也不能支撑起庞大的技术体系,很多技术的问题、缺陷需要靠制度去完善、充实。

通过等保2.0分析我们系统的脆弱性:安全管理制度篇

1 、 安全策略

a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。

2、管理制度

a) 应对安全管理活动中的各类管理内容建立安全管理制度;
b) 应对管理人员或操作人员执行的日常管理操作建立操作规程;
c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

3、制定和发布

a) 应指定或授权专门的部门或人员负责安全管理制度的制定;
b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。

4、评审和修订

a)应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
从 2020 年开始,我逐渐开始补充医院安全相关的管理制度,通过前一年的时间我大致了解了医疗行业的安全要点、安全问题、安全难点。医疗行业长期以来的安全以防统方、防病毒为核心(所在地市的市属医院),看似只有两点,如果光盯着这两个内容,没有延伸思考,其实也挺简单,只要上一套防统方软件和杀毒软件即可,我喜欢思考安全风险的连贯性、整体性,从我的角度去考虑其实对准入、漏洞、 USB 接口、无线、服务器、网络等方面的管控不足都有可能产生统方和病毒的风险,并且还有一点是不可控因素,那就是人,一直以来都有说人其实是最大的安全风险,我也有同样的看法,所有的漏洞都需要有人去利用,不仅仅是外部的人,还有内部的人,我接触着医院各式各样的基础架构设施,也掌握着最高权限,其实医院管理这块的人都是网络安全风险最大的人之一,每当有新的安全软硬件测试时,我都会考虑到怎么防范自身可能产生的问题,我所做的高风险操作如何阻断、操作日志如何记录等,如果连我们自己的问题都没办法解决的安全设备,那如何去解决外人产生的问题。

在技术的道路上我犯过很多错误,说到底还是缺少了规范的约束,对技术的憧憬和求知,以及大量繁忙工作中的失误,造成了这些问题的发生,自身犯过的错和别人犯过的错都能成为自己成长道路上宝贵的财富,也是我建立管理制度的基础。一份管理制度,讲明其目的、管理范围、明细条款、违反惩罚等,信息科作为医院的行政科室,制定的网络安全管理制度应是面向全院,那大部分都是医护人员,医护人员承担着医院主要的业务工作,在繁忙的工作中以医院网络安全管理制度来保护他们,并且尽量不给他们的工作带来不便,还要以最合理的成本来解决上述问题,我觉得是我们工作中最难的。我看了大部分医院的网络安全管理制度制定其实都属于拟稿阶段,缺少和临床、行政的工作磨合沟通,缺少与时俱进的版本修订,缺少分级分类的规范提纲,缺少医院领导的商议和确定,其实一个制度出台要花费不少的时间,我在前单位,见过一个制度一年了还没有正式出台,和多个同级、下级部门商议确认,商议的是我们的制度在业务流程中是否会影响发展、减少收入、增加成本、增加人力等等,属实不易,有机会想看看大医院或者别的类似行业如何在制度的制定、发布、评审、修订等阶段做到卓有成效。

相关阅读:

通过等保2.0分析我们系统的脆弱性:安全物理环境篇
通过等保2.0分析我们系统的脆弱性:安全通信网络篇
通过等保2.0分析我们系统的脆弱性:安全计算环境篇
通过等保2.0分析我们系统的脆弱性:安全区域边界篇
通过等保2.0分析我们系统的脆弱性:安全管理中心篇

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

6

添加新评论1 条评论

yl989yl989数据库系统工程师, 天水市
2022-02-17 08:05
很实用,写到点子上了!
Ctrl+Enter 发表

本文隶属于专栏

最佳实践
不同的领域,都有先行者,实践者,用他们的最佳实践来加速更多企业的建设项目落地。

作者其他文章

相关文章

相关问题

相关资料