网络安全管理机构，信息安全等级保护三级要求，安全管理机构多年测评经验分享

*本文作者：，本文属 原创奖励计划，未经许可禁止转载。

前言

作为一名从事多年信息安全的工作者，深深感觉到信息安全无小事，事事需尽心。安全防护不应该只防护外部攻击，更多的防护工作应该从内部出发，制定完善的安全管理制度，循序渐进的推进安全防护工作。企业信息安全建设工作可以从多个方面来建设与完善，我在这里就介绍信息安全等级保护的基本要求加上自己从事多年的安全工作经验，与各位共勉，干货在后面。

等级保护包含哪些方面

根据GB/-2008 《信息安全技术 信息系统安全等级保护基本要求》、GBT -2008 《信息安全技术 信息系统安全等级保护定级指南》、GB/T -2012 《信息安全技术 信息系统安全等级保护测评要求》等相关标准，将等级保护分为 ‘技术’ 和 ‘管理’ 两大模块网络安全管理机构，信息安全等级保护三级要求，安全管理机构多年测评经验分享，其中技术部分包含：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复共五个方面；管理部分包含：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理共五个方面，如下图所示：

本篇文章具体介绍在信息安全等级保护三级要求中–安全管理机构测评过程中的经验分享，安全管理机构有5个测评指标，分别是岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

如选图所示：

我将以测评方的角度来看待安全问题，下面开始干活。

安全管理机构具体测评1、岗位设置

a：应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。

测评经验： 此条测评项主要是检查客户有没有设立安全管理部门来具体负责信息安全工作，一般来说，政府单位会设立信息中心负责，并且会设置信息中心主任（一般就默认为安全主管），而在测评过程中发现，企业在这方面做的工作就不够，很多企业就只是有个兼职的部门来做这个事，而且没有相应的安全主管或安全负责人。我们在对这项进行测评的时候，要询问并记录安全管理责任部门、责任人、安全主管的具体名称，并要查看具体的岗位职责文件（有可能在任命文件中会提到）。

b：应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。

测评经验 ：这条就比较容易测评了，就访谈客户看看有没有设立安全管理员、网络管理员、系统管理员、数据库管理员、机房管理员等职位，并且应提供专门的任职职责文件。一般来说，既然标准都着重提出安全、系统、网络这三个管理员，所以我们也要着重看。值得注意的是，一是安全管理员必须是专职的，不能由任何其他管理员兼任；二是系统管理员和数据库管理员不能为同一自然人，这两点要特别注意。但在很多真实环境中，客户方往往都没有专门设立相应的管理员，特别是安全管理员，并且根本不会出什么文件来明确各管理员的职责考什么证赚钱多，本人遇到过的一个单位，整个安全部门就两个人，这种情况就是需要整改了。

c：应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。

测评经验 ：在这一条测评项中，我们要询问客户方是否成立了信息安全委员会或者领导小组，不能客户说成立了就成立了，我们应该要查看领导小组成立的正式文件，要查看这个文件中的组长和组员，要求文件中应有每个人的联系方式以及工作职责。值得注意的是：领导小组的组长应由企业一把手担任，虽然标准中没说必须，但在我国国情下（自行脑补国家信息安全领导小组组长），都应该由一把手来担任。

可以分享个真实的案例，我们当地的一家高校门户网站被入侵，首页发布了一些影响较大的言论，造成了一些影响，这种情况下，一把手当时是首当其冲的，所以我们测评过程中都是要求客户要由一把手来负责安全工作。

d：应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

测评经验：这一条中，我们要检查部门、岗位职责文件，查看部门职责是否覆盖物理、网络、系统安全等各个方面。岗位职责文件其实也可以查看招聘要求，招聘的时候一般就会说明此岗位的职责和需要的技能要求。一般我建议客户的整改方案是制作一份部门的职责的文件，里面全面描述部门职责、人员划分及职责的情况。

2、人员配备

a：应配备一定数量的系统管理员、网络管理员、安全管理员等。

测评经验： 这一条的测评方法就是询问客户系统管理员、网络管理员、安全管理员的配备数量，要求是至少1人及以上。但很多客户是达不到这种要求的，而我的建议整改是用兼职来代替，但兼职的注意事项就要参考1.b来实施了。

b：应配备专职安全管理员，不可兼任。

测评经验： 这一条就是要求客户的安全管理员是专岗专职的，不能由其他职位人员来兼任。如何验证是专岗专职呢，就查看岗位人员情况表。不过话说回来，很多单位都没有安全管理员……….

c：关键事务岗位应配备多人共同管理。

测评经验： 这一条的测评难点是在关键事务岗位的认定，很多客户是根本不会想到还有关键事务岗位这个条件的，所以我一般会给客户解释哪些可以认定为关键事务岗位，一般就是安全管理员、系统管理员、网络管理员、数据库管理员、机房管理员等，也可以包含其他的岗位，比如处理金钱的职位（和分为出纳与财务是一个道理）、前台敏感操作权限的职位等。关键事务岗位就要求必须是2人及以上了，或者互设为AB角。

3、授权和审批

a：应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。

测评经验：这条测评项的测评方法就是访谈安全主管，询问对哪些信息系统活动进行审批，审批的部门是何部门，审批人是何人。一般情况下客户都会有这些东西，但是不会很全面，这个时候我一般就建议客户先把一些重要的活动进行审批就行网络安全管理机构，包含但不限于物理访问、远程控制、权限授予与变更、系统接入、需求变更等。

b：应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。

测评经验：这一条说的比较清楚了，测评过程中至少要查看四份审批单：系统变更（包括权限变更、结构变更等）、重要操作（数据删除、权限变更、数据备份等）、物理访问（访问物理机房、访问办公环境中的敏感区域等）、系统接入（网络接入、远程控制、wifi接入等）。要查看这个审批流程中是否包含申请人、审核人、批准人，某些审批单也要查看授权的有效时间，因为遇到过授权日期已过，但授权账号还存在的情况，这是需要特别注意的。

c：应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。

测评经验：这条的测评方式是检查审批事项的记录，查看是否对审批事项、审批部门、审批人的变更进行评审；询问安全主管是否定期审查、更新审批项目，审查周期多长。为什么会有这一项测评，因为在实际环境中，特别是在大型企业中，往往部门很多，人员复杂，业务流程复杂，审批流程涉及人员多。存在某一人员离岗后还在使用以前的审批流程，就会导致越权操作，所以要定期审查审批事项。

d: 应记录审批过程并保存审批文档。

测评经验：这条就不用说了，随机抽查几份审批文档，看看是否与当时及当前的情况一致。

4、沟通和合作

a：应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题。

测评经验：这个测评比较简单，就查看下内部有没有在一起开过会，有没有一起处理过安全问题，这个只需要客户提供会议纪要或者处理安全问题的过程表就行了，时间上面不需要特别的要求。

b：应加强与兄弟单位、公安机关、电信公司的合作与沟通。

测评经验：这一条就不多说，默认符合，原因不好说，就自行理解吧。

c：应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。

测评经验：这条测评项其实也没什么好说的，如何算是符合呢，只要客户能提供与安全服务商签订的合作合同就行，像我们自身是测评单位，肯定也会与客户签订关于等保测评的合同，所以这条默认符合。

医院质量与安全管理，服务、关爱、医疗安全和质量是医院管理的核心

此文写于2016年9月，如今看来，此医院管理的核心同样适用。

近年来，热心投资医院者越来越多。很多人在讲医疗很挣钱，不少医院虽定位为民营非盈利医院，但投资者还是期待三年回报，五年太久，只争朝夕。不少医院靠虚假广告，到处游说争患者，与公立医院争资源，争取国家医保份额。总体看，这些医院都不成功。医疗是仁人、仁心、仁术，医院的核心是服务、关爱、医疗安全和质量。如果不重视这些，终难成功。

我试从和睦家医院(以下简称和睦家)的发展解读医院管理的核心内涵。和睦家发展至今已近20年考证含金量排行榜，已经不是外界以为的一家高费用、富人生孩子的医院。经过稳扎稳打，循序渐进，医疗服务已经涉及预防、治疗、急救和康复，且建成了联接社区、家庭的医疗服务体系。

和睦家定位明确，为民营营利性医院，有所为有所不为，致力于满足患者日益增加而公立医院目前不能满足的需求。不要国家医保投入，不去争抢公立医院资源，且又与公立医院成为合作伙伴。

2003年重症急性呼吸综合征(SARS)之后，我受聘担任上海同济大学医学院院长。2004年，我曾应邀出席和睦家在上海举办的社区医院发展全科医学的研讨会议。当时，大医院正在争先恐后地购买大型医疗设备，开展新技术。我当时对和睦家在京沪发展全科、社区和家庭医疗颇为不解。后来才恍然大悟，欧美国家在华工作居住的人，患了感冒、头疼等常见病，以他们的就医习惯一定会到社区医院看全科，根本不可能去公立大医院在拥挤不堪的急诊室静脉滴注抗生素。和睦家准确找到目标客户的需求，这也正是公立医院当时无法满足的。在北京，和睦家也布局了多家小型诊所。这是医院准确的定位。

2012年前，我国心脏康复仍处于低谷，全国开展心脏康复的公立医院屈指可数，大多难以为继、举步维艰。我为了探索心脏康复模式，考察过多家医疗机构。当时和睦家盘仲莹院长和李碧青董事长邀请我前往参观，介绍和睦家建立了最现代化的康复医院，包括心脏康复。为了心脏康复事业，我走进和睦家，并组建了心内、外科和预防康复一体化的心脏中心。

北京和睦家医院二号楼西侧外墙上有4个主题词，我特别喜欢，即”，Care，，” (服务、关爱、医疗安全和质量)。这正是我学医从医50余年来深刻理解的办好医院的4个核心。我到和睦家这几年，体会到这不仅是口号，更是追求与行动。和睦家建立了严格的JCI管理体系，从制度和管理上保证上述理念的实现，通过持续的评估不断改进落实。

医院来了急性心脏病或创伤的患者医院质量与安全管理，医生的职责就是争分夺秒救死扶伤，面对急症患者不需要也不允许先收费后救命。患者有无医保，费用补偿机制由医院管理部门负责，无需医生操心费力。医生的收入不与科室收入挂钩，评价医生的首要指标是会不会看病，能不能解决患者问题。对于科研和SCI鼓励而不强求。对于不必要的检查，医院有行之有效的拒付机制，医疗检测要通过医保机构审批。这能够有效减少不必要的检查，从制度上规范医疗资源的合理应用。

医院的管理水平体现在每个细节。我常讲，看一个医院的厕所和电梯就能知道医院的管理水平。厕所不干净、电梯拥挤不堪，医院管理水平肯定不会高。和睦家的厕所干净，备卫生纸，厕所(包括男厕所)从未见过烟头；电梯井然有序；无论暴雨大雪，医院地面总保持清洁。进入医院没人会大声说话，大嗓门的人也都自觉压低声音，医院始终保持安静。我很喜欢4层两座楼之间玻璃的连接走廊，也是雾霾天我空闲时走万步路的场所。一端是我的诊室，另一端是我的Mini 。走廊的功能是方便往返转送患者，风雨无碍。走廊两侧玻璃墙上悬挂着24幅照片，内容是发生在医院的真人真事，显示一天里每个小时医护人员和管理者为患者服务的感人场面。

和睦家的医生来自世界各地，其中美国和中国各占40%。代表医生的白大衣只有医生可以穿。护士有专门设计的职业服装。护士绝大部分是中国人，多数有海外工作经历，英语都很流利。医院备有小语种的志愿者，为了满足相应患者的需求。医院还为中国残障青年提供了一些工作机会。医院有一些帮扶贫困患者的慈善基金医院质量与安全管理，服务、关爱、医疗安全和质量是医院管理的核心，如球星马布里近来设置的针对贫困儿童的基金会，基金还支持了凌峰教授云南丽江的孤儿学校。

我在和睦家做了患者调查。患者中不乏有经济实力的人，选择和睦家的理由第一是就医环境，第二是服务。现在有越来越多的外地患者来和睦家找我看病，不少人并不富裕。我问他们为什么不去我执业的两家公立医院，回答是挂不到号，而和睦家可明确告诉预约专家的具体时间，另外在公立医院无法与医生充分地交流病情。

以上我从几个细节介绍了和睦家的管理情况。我们应该借鉴其成功经验，努力构建以患者为中心，体现服务、关爱、医疗安全和质量的医疗体系。