没有规矩不成方圆，安全的工作中没有管理制度，也不能支撑起庞大的技术体系，很多技术的问题、缺陷需要靠制度去完善、充实。

通过等保2.0分析我们系统的脆弱性：安全管理制度篇

1 、 安全策略

a）应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。

2、管理制度

a) 应对安全管理活动中的各类管理内容建立安全管理制度；
b) 应对管理人员或操作人员执行的日常管理操作建立操作规程；
c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

3、制定和发布

a) 应指定或授权专门的部门或人员负责安全管理制度的制定；
b) 安全管理制度应通过正式、有效的方式发布，并进行版本控制。

4、评审和修订

a）应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。
从 2020 年开始，我逐渐开始补充医院安全相关的管理制度，通过前一年的时间我大致了解了医疗行业的安全要点、安全问题、安全难点。医疗行业长期以来的安全以防统方、防病毒为核心（所在地市的市属医院），看似只有两点，如果光盯着这两个内容，没有延伸思考，其实也挺简单，只要上一套防统方软件和杀毒软件即可，我喜欢思考安全风险的连贯性、整体性，从我的角度去考虑其实对准入、漏洞、 USB 接口、无线、服务器、网络等方面的管控不足都有可能产生统方和病毒的风险，并且还有一点是不可控因素，那就是人，一直以来都有说人其实是最大的安全风险，我也有同样的看法，所有的漏洞都需要有人去利用，不仅仅是外部的人，还有内部的人，我接触着医院各式各样的基础架构设施，也掌握着最高权限，其实医院管理这块的人都是网络安全风险最大的人之一，每当有新的安全软硬件测试时，我都会考虑到怎么防范自身可能产生的问题，我所做的高风险操作如何阻断、操作日志如何记录等，如果连我们自己的问题都没办法解决的安全设备，那如何去解决外人产生的问题。

在技术的道路上我犯过很多错误，说到底还是缺少了规范的约束，对技术的憧憬和求知，以及大量繁忙工作中的失误，造成了这些问题的发生，自身犯过的错和别人犯过的错都能成为自己成长道路上宝贵的财富，也是我建立管理制度的基础。一份管理制度，讲明其目的、管理范围、明细条款、违反惩罚等，信息科作为医院的行政科室，制定的网络安全管理制度应是面向全院，那大部分都是医护人员，医护人员承担着医院主要的业务工作，在繁忙的工作中以医院网络安全管理制度来保护他们，并且尽量不给他们的工作带来不便，还要以最合理的成本来解决上述问题，我觉得是我们工作中最难的。我看了大部分医院的网络安全管理制度制定其实都属于拟稿阶段，缺少和临床、行政的工作磨合沟通，缺少与时俱进的版本修订，缺少分级分类的规范提纲，缺少医院领导的商议和确定，其实一个制度出台要花费不少的时间，我在前单位，见过一个制度一年了还没有正式出台，和多个同级、下级部门商议确认，商议的是我们的制度在业务流程中是否会影响发展、减少收入、增加成本、增加人力等等，属实不易，有机会想看看大医院或者别的类似行业如何在制度的制定、发布、评审、修订等阶段做到卓有成效。

相关阅读：

通过等保2.0分析我们系统的脆弱性：安全物理环境篇
通过等保2.0分析我们系统的脆弱性：安全通信网络篇
通过等保2.0分析我们系统的脆弱性：安全计算环境篇
通过等保2.0分析我们系统的脆弱性：安全区域边界篇
通过等保2.0分析我们系统的脆弱性：安全管理中心篇