中联公司数据安全体系汇.docVIP

中联公司数据安全体系 第一章 总则 一、目的 随公司客户规模不断的增大，以及客户对于信息系统依赖程度越来越高，如果公司和客户对于数据安全还没有引起足够重视，一旦发生事故，将给客户带来巨大损失。比如一个年收入3亿的医院，在极端情况下停止营业一天，那么直接经济损失在100万左右，其它损失则无法估量。 如果出现这样的情况，我们不能够免责，那么有很多可能的情况出现，也许公司将因赔偿而倒闭；或者经济上免于赔偿，但在声誉上肯也会破产。 所以为了保护中联信息产业有限责任公司（以下简称中联公司）所承建医院信息系统数据安全，制定了本办法。 二、目标 本体系围绕以下目标进行展开： 规范员工数据安全意识和操作； 主要通过管理规范加强对员工的安全意识教育，并在考核办法中明确。请参见第三章第二节。 对客户数据安全进行规范管理； 主要通过对客户的商务规范和风险教育来说明，详见第三章第三节，第四章。 降低客户数据安全事故给公司带来的影响； 主要通过规范员工操作行为和管理考核办法进行约束，这部分是本体系的重要说明部分，请详见第三章第二节，第三章第三节； 为有价值的客户提供数据安全增值服务； 在规范公司和客户的行为前提下，对标准服务行为进行描述，并对增值服务的操作规范进行约定，详见第四章第三节。 三、适用范围 本体系适用范围为： 中联公司在医院信息系统建设和维护中的所有过程。 四、适用对象 本办法适用于： 中联公司所有从事技术工作员工； 2、中联公司授权销售服务商（以下简称中联渠道）； 第二章 数据安全体系及定义 一、数据安全体系 通过示意图可以得出要解决数据安全事故，必须从公司和客户两个环节进行约束和规范。 对于安全事故本身，公司进行分析和归纳，分别从行为规范，管理考核和执行措施等几方面进行完善。 在数据安全体系中，对体系架构和管理措施进行了详细描述，而行为规范则是体系的重要支撑，是公司规范要求的基础。 本体系涉及到的相关管理办法和执行文档，请参见附录。 二、相关定义 1、数据安全 通过制度、技术保障、产品和服务等方面的规范，确保客户在使用中联信息系统中数据的机密性、完整性、可用性。 机密性：确保数据只允许被授权人员访问。例如数据库管理员账号密码的管理等。 完整性：确保数据及其处理的准确性和完整性。例如财务、药品数据等。 可用性：确保被客户能够在需要时获取数据。例如信息系统的高可用性。 2、数据安全事故 因各种原因造成客户运行中断、数据丢失等的事故 因产品问题造成客户直接或间接经济损失的（如科室级模块不可用或使用缓慢）； 因产品问题存在重大安全隐患，需要立即召回、返工的。 3、数据安全事故责任划分 指数据安全事故发生时，根据事故原因进行公司内部责任认定,以是否按《数据安全操作规范》为基准，满足以下任意一条内容为判断依据： 完全责任： 1、未按照《数据安全操作规范》执行引起的事故 2、数据无法恢复；或系统停机2小时以上 3、已造成经济损失，损失金额大于5000元 主要责任： 1、未按照《数据安全操作规范》执行引起的事故 2、虽有数据丢失，但关键业务数据能够恢复；或系统停机2小时以内 3、造成经济损失，但损失总金额低于5000元 次要责任： 1、按照《数据安全操作规范》执行 2、数据安全事故由设备等环境因素造成或非产品功能造成 3、虽客户声明放弃责任追求，但实际损失额高于1000元 4、无法提供对于数据安全隐患已告知客户并得到确认的资料 责任免除： 1、按照《数据安全操作规范》执行 2、数据安全事故由设备等环境因素造成或非产品功能造成 3、特殊使用流程造成数据错误，仅限于当前客户 4、客户声明放弃责任追究，且实际损失额低于500元 5、能提供对于数据安全隐患已告知客户并得到确认的资料或己方无过失的资料 第三章 数据安全规范-公司级 一、内容概括 中联公司数据安全（公司级）规范是指公司内部执行的，所有员工都需要遵守的规范。 公司级规范由管理规范和《数据安全操作规范》二部分组成，前者着重描述管理运行体系和方法；后者主要分为不同环节的规范操作，由员工和组织参照执行。 二、数据安全管理规范 数据安全管理规范，通过加强员工安全意识，培训，及管理考核三个方面说明。 1、数据安全意识 数据安全管理的核心工作在于不断加强员工安全意识，因此从入职、日常监督和事故风险教育各个阶段均进行执行。 I、入职 1、员工在2011年01月01日后，新签或续签劳动合同时，必须同时签订《中联公司必威体育官网网址协议》，并取代原来签订的《必威体育官网网址协议》。 2、《中联公司必威体育官网网址协议》主要描述员工在入职期间对于数据安全和必威体育官网网址工作应承担的责任和义务。 3、此协议由技术支持部拟定审核，并由行政部负责与员工签订执行。 注：《中联公司必威体育官网网址协议》为中联公司2011年颁布执行版本。（详见-附录-协议-中联公司必威体育官网网址协议）