中联公司数据安全体系

《中联公司数据安全体系》由会员分享，可在线阅读，更多相关《中联公司数据安全体系（24页珍藏版）》请在装配图网上搜索。

1、中联公司数据安全体系 第一章 总则 一、目的 随公司客户规模不断的增大，以及客户对于信息系统依赖程度越来越高，如果公司和客户对于数据安全还没有引起足够重视，一旦发生事故，将给客户带来巨大损失。比如一个年收入3亿的医院，在极端情况下停止营业一天，那么直接经济损失在100万左右，其它损失则无法估量。 如果出现这样的情况，我们不能够免责，那么有很多可能的情况出现，也许公司将因赔偿而倒闭；或者经济上免于赔偿，但在声誉上肯也会破产。 所以为了保护中联信息产业有限责任公司（以下简称中联公司）所承建医院信息系统数据安全，制定了本办法。 二、目标 本体系围绕以下目标进行展开： 1、 规范

2、员工数据安全意识和操作； 主要通过管理规范加强对员工的安全意识教育，并在考核办法中明确。请参见第三章第二节。 2、 对客户数据安全进行规范管理； 主要通过对客户的商务规范和风险教育来说明，详见第三章第三节，第四章。 3、 降低客户数据安全事故给公司带来的影响； 主要通过规范员工操作行为和管理考核办法进行约束，这部分是本体系的重要说明部分，请详见第三章第二节，第三章第三节； 4、 为有价值的客户提供数据安全增值服务； 在规范公司和客户的行为前提下，对标准服务行为进行描述，并对增值服务的操作规范进行约定，详见第四章第三节。 三、适用范围 本体系适用范围为： 中联公司在医院信息系

3、统建设和维护中的所有过程。 四、适用对象 本办法适用于： 1、 中联公司所有从事技术工作员工； 2、中联公司授权销售服务商（以下简称中联渠道）； 第二章 数据安全体系及定义 一、数据安全体系 1、 通过示意图可以得出要解决数据安全事故，必须从公司和客户两个环节进行约束和规范。 2、 对于安全事故本身，公司进行分析和归纳，分别从行为规范，管理考核和执行措施等几方面进行完善。 3、 在数据安全体系中，对体系架构和管理措施进行了详细描述，而行为规范则是体系的重要支撑，是公司规范要求的基础。 4、 本体系涉及到的相关管理办法和执行文档，请参见附录。 二、相关定义 1、

4、数据安全 通过制度、技术保障、产品和服务等方面的规范，确保客户在使用中联信息系统中数据的机密性、完整性、可用性。 Ø 机密性：确保数据只允许被授权人员访问。例如数据库管理员账号密码的管理等。 Ø 完整性：确保数据及其处理的准确性和完整性。例如财务、药品数据等。 Ø 可用性：确保被客户能够在需要时获取数据。例如信息系统的高可用性。 2、数据安全事故 Ø 因各种原因造成客户运行中断、数据丢失等的事故 Ø 因产品问题造成客户直接或间接经济损失的（如科室级模块不可用或使用缓慢）； Ø 因产品问题存在重大安全隐患，需要立即召回、返工的。 3、数据安全事故责任划分 指数据安全事故发生

5、时，根据事故原因进行公司内部责任认定,以是否按《数据安全操作规范》为基准，满足以下任意一条内容为判断依据： A、 完全责任： 1、未按照《数据安全操作规范》执行引起的事故 2、数据无法恢复；或系统停机2小时以上 3、已造成经济损失，损失金额大于5000元 B、 主要责任： 1、未按照《数据安全操作规范》执行引起的事故 2、虽有数据丢失，但关键业务数据能够恢复；或系统停机2小时以内 3、造成经济损失，但损失总金额低于5000元 C、 次要责任： 1、按照《数据安全操作规范》执行 2、数据安全事故由设备等环境因素造成或非产品功能造成 3、虽客户声明放弃责任追求，但实际损失额

6、高于1000元 4、无法提供对于数据安全隐患已告知客户并得到确认的资料 D、 责任免除： 1、按照《数据安全操作规范》执行 2、数据安全事故由设备等环境因素造成或非产品功能造成 3、特殊使用流程造成数据错误，仅限于当前客户 4、客户声明放弃责任追究，且实际损失额低于500元 5、能提供对于数据安全隐患已告知客户并得到确认的资料或己方无过失的资料 第三章 数据安全规范-公司级 一、内容概括 中联公司数据安全（公司级）规范是指公司内部执行的，所有员工都需要遵守的规范。 公司级规范由管理规范和《数据安全操作规范》二部分组成，前者着重描述管理运行体系和方法；后者主要分为不

7、同环节的规范操作，由员工和组织参照执行。 二、数据安全管理规范 数据安全管理规范，通过加强员工安全意识，培训，及管理考核三个方面说明。 1、数据安全意识 数据安全管理的核心工作在于不断加强员工安全意识，因此从入职、日常监督和事故风险教育各个阶段均进行执行。 I、入职 1、员工在2011年01月01日后，新签或续签劳动合同时，必须同时签订《中联公司保密协议》，并取代原来签订的《保密协议》。 2、《中联公司保密协议》主要描述员工在入职期间对于数据安全和保密工作应承担的责任和义务。 3、此协议由技术支持部拟定审核，并由行政部负责与员工签订执行。 注：《中联公司保密协议》为中联公司2

8、011年颁布执行版本。（详见-附录-协议-中联公司保密协议） II、日常监督 1、 中联公司对于员工执行《数据安全操作规范》效果的监督，分为直管和抽查两种形式 2、 中联公司各部门对从事技术工作的员工执行《数据安全操作规范》效果监督，由各公司、部门自行规定和约束。 3、 技术支持部每月对中联公司、中联渠道进行抽查，对于抽查不合格的当事人和直接部门负责人将进行按照规定进行考核。 III、 通报 1、 当渠道用户发生数据安全事故，不管用户大小、是否公司存在责任，都需要邮件发送技术支持部说明情况，并抄送给所在渠道所有人。反馈格式参见附件。当出现重大安全事故或主要责任安全事故，必须在2小时

9、内进行电话通报。 2、 渠道通报反馈流程为：技术人员——渠道部门主管——渠道数据安全执行负责人（技术负责人）——通报给技术支持部。 3、 技术支持部负责数据安全事故和不规范行为在中联公司内部通报。（详见第五章第二节）。 2、培训 1、 公司应对所有从事技术工作的员工应进行《数据安全操作规范》培训 2、 培训部负责对中联公司渠道技术负责人进行《数据安全操作规范》培训，并组织考试；各部门从事技术工作员工的培训，由中联渠道技术负责人进行，并参加培训部统一组织的考试。 3、 培训教案由培训部审定，试题由培训部不定期更新。 4、 随着《数据安全操作规范》的更新，培训部每年至少组织一次考试。

10、 3、数据安全事故恢复规范 3.2.3.1、恢复方案确认 A、恢复方案：针对数据安全事故影响程度，而制定的一系列消除影响，恢复系统正常运行的措施和步骤集； B、恢复方案确认：为防止现场工程师对数据安全事故应急处理能力不足给客户和公司带来后续的影响，需要将恢复方案由不同技术层级的专家进行确认的过程。 C、恢复方案确认层级： 客户级别 恢复方案 初审责任人 终审责任人 二甲及以上 技术负责人/服务部经理 技术支持部 二乙 片区经理/小组负责人/项目经理 渠道技术负责人 /渠道服务部经理 一级及以下 片区经理/小组负责人/项目经理 / 注：责任人标注为多人的，

11、有一人确认即可。 3.2.3.2、恢复过程记录 A、恢复过程记录：针对数据安全事故进行恢复的处理过程记录，主要分为处理记录和处理分析两个部分； 处理记录：仅对处理步骤和执行情况进行准确记录； 处理分析：对问题的原因进行分析，并将处理过程情况进行记录，以形成可以提交客户说明和内部总结的正式分析文档； B、恢复过程记录要求： 1、对所有客户的数据安全事故进行恢复，必须在1个工作日内完成《数据恢复处理记录》； 2、对二甲及以上客户，或增值服务中包含数据恢复服务的客户，在数据安全事故处理后3个工作日内，必须完成《数据库恢复技术报告》； 3、对于二乙及以下客户，在数据安全事故

12、处理后，是否完成《数据库恢复技术报告》由所在渠道自行要求。 （文档见附录“ZLDS_O_10数据安全事故恢复过程记录”） 3.2.3.3、公司领导现场负责制 A、针对影响较大的数据安全事故，公司领导需及时到现场协调事故处理的制度； B、是危机公关的组成部分，主要在于客户情绪舒缓和现场情况的感受； C、现场负责制要求： 对于数据安全责任事故中，责任人需按照下表要求执行。 客户级别 系统中断使用时间（及以上） 责任人 现场回访时间 二甲及以上 2小时 渠道负责人 立刻 二乙 4小时 渠道负责人 1个工作日内 一级及以下 一天 渠道片区经理/项目经理

13、1周内 注：责任人到达现场后，可指定其他相关负责人到现场，在此不做约定。 4、考核办法 I、考核方式及机构 1、 技术支持部是员工遵守《数据安全操作规范》的执行和监督机构。 2、 《数据安全操作规范》中的商务规范环节，由技术支持支持部统一拟定标准，各单位、部门自行要求、监督员工执行。技术支持部每季度将对各单位、部门的商务环节过程文档抽查，并进行考核。 3、 《数据安全操作规范》中的操作规范环节，由培训部进行定期考试。 a) 某些特定操作规范可由培训部组织专场统一考试。如10.26升级规范。 b) 日常操作规范，由培训部在组织ZLCE考试时进行，每期每级考试的数据安全操作规范

14、试题为10分。 4、 技术支持部每月负责对《数据安全事故》进行分析，并进行通报与处罚。（详见第五章-持续改进与运维） 5、 本体系未提及的考核方式可由各单位、部门自行制定内部执行。 II、处罚与办法 1、 技术支持部每月负责进行数据安全事故通报与处罚。 2、 安全事故处考核办法为： 责任认定 考核办法（每次） 直接责任人 责任单位负责人 事故通报级别 说明 完全责任 2000元 5000元 公司内刊 客户会刊 1、责任单位负责人指各分子公司负责人，中联渠道总经理，中联信息总部各部门负责人。 2、完全责任事故如损失巨大，影响恶劣，则由中联公司总经理进行追加处罚

15、。 主要责任 1000元 1、1000元 2、直接责任人不明确，则处罚2000元 公司内刊 客户会刊 次要责任 500元 500元 公司内刊 责任免除 0元 0元 公司内刊 3、 数据安全操作规范考核办法为： 分类 考核要点 考核部门 被考核人 考核频度 考核方式 考核措施 责任人 责任单位负责人 商务规范 未按照规范提交相关文档，并由客户确认签字 分子公司服务部 部门员工 月度 检查 每项违规操作扣罚50元 无 未按照规范要求对用户确认的过程文档归档，或文档缺失 技术支持部 中联各分子公司 季度 抽查 无 每出现一

16、家用户的管理缺失，扣罚500元 操作规范 未按照操作规范执行，或未对需要公司内保存的资料进行归档 各分子公司服务部、研发中心、技术中心 部门员工 月度 检查 每项违规操作扣罚50元 无 未按照操作规范执行，或未对需要公司内保存的资料进行归档 技术支持部 中联各分子公司、研发中心、技术中心 季度 抽查 无 每出现一家用户的管理缺失，扣罚500元 培训与考试 未开展针对技术负责人的数据安全操作规范培训和考试 技术支持部 培训部 每年 检查 无 扣罚1000元 未组织针对所有员工的数据安全操作规范考试 技术支持部 培训部 每年 检查 无 扣

17、罚1000元 数据安全操作规范考试不及格 培训部 渠道技术负责人 每年 检查 扣罚500元 无 培训部 从事技术工作员工 每年 检查 扣罚200元 无 数据安全事故恢复 未按照要求对数据恢复方案提出/进行确认 技术支持部 中联各分子公司 发生时 检查 扣罚200元 扣罚500元 缺少恢复过程记录 技术支持部 中联各分子公司 发生时 检查 扣罚200元 扣罚500元 渠道领导违反现场负责制约定 技术支持部 中联分子公司负责人/相关负责人 发生时 检查 扣罚500元 扣罚1000元 事故通报 违反数据安全事故备案规范 技术

18、支持部 中联各分子公司 发生时 抽查 无 每事故未备案，扣罚应承担扣罚的5倍，即1000元~10000元 未对事故进行通报，或要素失真 总经理 技术支持部 月度 检查 扣罚200元/每次 扣罚500元/每次 其他 未对操作规范中需要进行定期技术支持的部分进行处理 总经理 技术支持部 月度 检查 扣罚100元/每未处理客户 扣罚500元/每次 未对数据安全操作规范进行抽查 总经理 技术支持部 季度 检查 扣罚200元/每次 无 4、 中联各子分公司在各自管理办法中可以自行规定针对执行《数据安全操作规范》的条款，但不得和数据安全体系相违背。

19、 5、 各被考核人可以就考核结果向考核部门负责人提出质疑，并可以向中联公司总经理提出最终的仲裁。 三、数据安全操作规范 从商务操作规范和技术操作规范2方面，对常见操作和处理方式进行规范，是所有从事技术工作员工必须遵守的行为守则。 3.3.1、商务规范 3.3.1.1实施阶段 是指在实施阶段，涉及到与用户确认和告知的数据安全确认文档。 3.3.1.1.1环境确认和风险告知 1、 项目进场5个工作日内，实施人员必须对医院生产环境进行检查了解，根据检查情况，对数据安全进行评估，存在风险的，告知院方，并提供改进措施，双方对《进场环境确认书》确认签字； 2、 项目进场5个工作日内，实施人

20、员必须对基本的数据安全风险，进行告知院方，双方对《数据安全风险告知书》确认签字； 3、 在实施阶段，实施人员临时发现存在数据安全隐患的事件，告知院方，并提供改进措施，双方对《临时数据安全风险告知书》确认签字。 3.3.1.1.2数据安全评估与防范 在系统验收时，实施人员必须对生产环境进行数据安全评估，内容是服务器环境（系统配置、数据库配置、数据备份）、其它支持环境等信息的评估，双方对《数据安全评估确认书》确认签字，并作为验收报告备案文档。 3.3.1.1.3简易流程 简易流程是相对于规范流程而言，主要是指项目协议的签署。一个完整的项目，从进场到验收，需要签署《进场环境确认书》，《数

21、据安全风险告知书》，《临时数据安全风险告知书》，《信息中心职责和应急预案》（二级以上用户渠道自行判断是否签署），《用户日常数据安全检查表》，《数据安全评估确认书》6个协议文档，但对于小用户（一级及以下用户），由于本身医院规模小，管理简单，签署这么多协议不太现实，所以综合考虑，只需要签署《数据安全风险告知书》，《用户日常数据安全检查表》，《用户数据安全确认函》3个文档。 3.3.1.1.4文件归档 1、 在实施阶段，针对数据安全方面，要求归档的文档有《进场环境确认书》、《数据安全风险告知书》、《临时数据安全风险告知书》、《数据安全评估确认书》； 2、 这些文档必须经公司与医院双方代表签字加

22、盖公章，一式两份、双方各执一份保存； 3、 公司保留的这份文档，在实施期间由项目经理统一保管，实施验收完成后，统一交回各自渠道分子公司，由渠道服务部技术负责人或实施主管统一归档，以备待查； 4、 需要考核抽查的文档见下表。 规范流程： 按照《体系》要求，在项目实施阶段需要签署的数据安全协议 签署协议 签署时间 适用范围 性质 《进场环境确认书》 如果是项目要求5个进场5个工作日内，售后要求首先签署 二级及以上 必选 《数据安全风险告知书》 如果是项目要求5个进场5个工作日内，售后要求首先签署 二级及以上 必选 《临时数据安全风险告知书》 临时发现存在数据安全

23、隐患时 二级及以上 可选 《信息中心职责和应急预案》 系统验收时 二级及以上，渠道根据情况自行判断是否签署 可选 《用户日常数据安全检查表》 系统正式运行时 二级及以上 必选 《数据安全评估确认书》 系统验收时/系统环境变更时 二级及以上 必选 简易流程： 针对一级及以下的用户，为简化协议签署而制定的简易的流程 签署协议 签署时间 适用范围 性质 《数据安全风险告知书》 如果是项目要求5个进场5个工作日内，售后要求首先签署 一级及以下 必选 《临时数据安全风险告知书》 临时发现存在数据安全隐患时 一级及以下 可选 《用户日常数据

24、安全检查表》 系统正式运行时 一级及以下 必选 《用户数据安全确认函》 系统验收时/系统环境变更时 一级及以下 必选 注：当二级及以上客户系统环境变更时（如新购服务器、阵列或安装DG、RAC等产品），需要重新签订《数据安全评估确认书》，并归档。 3.3.1.2售后阶段 在售后阶段，技术支持人员临时发现存在数据安全隐患的事件，告知院方，并提供改进措施，双方对《临时数据安全风险告知书》确认签字。 相关文档的保存规范，参照3.3.1.1.4文件归档部分要求完成。 3.3.2、操作规范 3.3.2.1实施规范 实施阶段，实施人员的数据安全操作规范。 3.3.2.1.1备

25、份与恢复 在实施阶段进行数据备份/恢复时,必须遵守以下操作规范（但不限于此）： 1、 服务端产品安装完成时，必须设置有效的本地和异地数据备份； 2、 根据客户业务规模，服务器环境，选择不同的备份和恢复方式，参照3.3.3.技术操作规范《备份与恢复规范》执行； 3、 如遇更换服务器的情况，必须先对临时服务器或者在用服务器进行切换时点的数据备份，再将数据恢复到新服务器上； 3.3.2.1.2数据更新 主要指批量更新在用数据表字段值、执行修正脚本操作，时实施人员必须遵守的操作规范（但不限于此）： 1、 由于实施工作需要，实施人员在执行数据修正脚本操作时，如重算药品库存表数据，必须遵循《

26、修正脚本执行规范》执行。 2、 具体修正脚本执行规范，参照3.3.3.技术操作规范《脚本执行规范》执行。 3.3.2.1.3报表维护 报表维护操作规范，是指为防止实施人员在进行报表维护时，由于误操作，引起报表无法打印或者打印错误，造成窗口业务受到影响，所制定的操作规范。在实施阶段，实施人员进行报表维护时，必须遵守以下操作规范（但不限于此）： 1、 在对“已发布”报表进行修改或导入覆盖操作前，必须先做备份； 2、 对于窗口业务报表，如收费发票无法打印或金额不正确，导致实际业务无法继续，实施人员应该马上做出报表调整； 3、 对于财务统计报表、药品单据报表格式或金额不对，应该在业务不繁忙

27、的情况下修改； 4、 涉及到数据更新的报表，如报表数据源内调用了‘涉及数据更新的函数’，必须先在测试环境中测试，确认无误后，方能在正式环境中使用； 3.3.2.1.4接口开发与维护规范 在实施阶段，进行接口开发和维护时，如医保接口、LIS、PACS等接口，必须遵守相关规范，具体内容参照3.3.3.技术操作规范《接口开发与维护规范》执行。 3.3.1.1.5用户授权与角色 用户授权规范，是指为防止实施人员在进行用户（角色）授权时，由于授权失误，引起操作员对不属于其工作范围内的数据进行破坏，且造成损失，所制定的操作规范。实施阶段，实施人员进行用户（角色）授权时，必须遵守以下操作规范：

28、1、 进行用户（角色）授权时，必须与院方确认，院方确认《用户授权确认单》； 2、 系统启用前，实施人员给院方提交一份《系统授权用户（岗位）清单》,经院方签字认可。 3.3.2.2售后规范 售后阶段，技术支持人员应遵循的数据安全操作规范。如无特殊说明请参照3.3.3技术操作规范执行。 3.3.3技术操作规范 本章节所列规范为所有技术人员，在技术支持的过程中，在执行相关对应操作时需要严格遵守的规范。 1、ZLDS_O_1快速构建ZLHIS应急环境； 2、ZLDS_O_2获取AWR报告； 3、ZLDS_O_3数据库定期备份规范； 4、ZLDS_O_4临时备份规范； 5

29、、ZLDS_O_5数据库调整； 6、ZLDS_O_6脚本执行规范； 7、ZLDS_O_7接口开发与维护规范； 8、ZLDS_O_8ZLHIS升级标准流程； 9、ZLDS_O_9用户授权与角色；（包含用户授权确认单，岗位授权确认单及生产报表工具） 第四章 数据安全规范-客户级 一、内容概括 中联公司数据安全（客户级）规范主要为了说明公司和客户在系统运营过程中应承担的责任和义务。 客户级规范由客户应提供的规范和公司应提供的服务二部分组成，前者着重描述客户应执行的规范；后者主要将公司提供服务进行分型，提倡为价值客户提供有价值的服务。 二、医院客户规范 1、在与客户签订合

30、同时，需明确告知客户信息系统的重要性，并要求客户应建立其相应的应急预案。 2、在与客户签订信息系统维护协议时，需明确告知客户应指派专人对信息安全情况进行自查，并保存留档。对于客户信息管理人员工作疏忽造成的数据安全，中联公司将不承担责任，但有义务配合客户进行数据安全事故的处理。 3、再与客户签订软件合同或信息系统维护协议时，均应明确告知客户，为了配合双方工作交接，并尽到公司应尽的告知责任，客户有义务配合中联公司对相关文档进行签字确认，并存档。 4、技术支持部提供上述合同、协议中相关描述，以及应急预案模板。（见附录二、5） 5、中联各分子公司违反此规范，参照第三章2.3节进行考核与处罚。

31、 三、公司服务规范 1、服务分型 I、标准服务 中联公司将对所有客户提供标准基础服务，基础服务的包含两层含义： Ø 售后服务合同中与用户约定的技术服务项目，不再单独收取费用； Ø 中联体系产品的技术服务，不包括基础平台及接口产品的服务； 我们认定的标准服务项目包括，渠道可以根据实际情况进行增减： 编号 项目 说明 技术服务标准 A01 产品升级 包括中联正式发布产品与SP产品的升级 A02 数据修正 修复因为中联产品BUG引起的数据错误、不完整等问题 A03 技术咨询 接受用户提出的中联产品功能、操作方式的咨询；并有义务提供公司发布的产品手册、帮助

32、文档等。 A04 报表调整 标准和自定义报表的格式、性能、数据源的调整。但不包括新增报表 A05 用户巡检 一定周期安排用户巡访，系统收集和解决中联产品使用过程中的问题，并将新的需求提交总公司相关部门。 中联公司需向列入重点客户名录的用户，增加提供增值服务-数据安全巡访服务（详见第四章3.2节），并按照规范执行，接受考核。（详见第三章2.3节）。 II、增值服务 中联公司可以向客户销售已包装分型完成的增值服务，但需要具备相应的技术服务能力。增值服务包含两层含义： Ø 超出售后服务合同约定范围的服务项目，一般情况下需要独立签订销售合同，并形成独立的销售收入； Ø

33、 不属于中联产品的标准产品服务，主要包括支撑环境、政策适应、应用价值提升三个方面的内容。 我们目前可开展的增值服务项目如下： 编号 项目 说明 技术服务标准 B01 Oracle数据库升级 1.Oracle发行版的升级，如9i到10g的升级； 2.Oracle　补丁集服务，如果10.2.0.3到10.2.0.4升级 B02 Oracle灾难恢复 数据库无法正常打开，不能继续提供服务情况下的数据库修复服务。 B03 Oracle性能调整 为数据库系统提供全面的性能调整服务；包括参数调整、SQL调整、硬件调整等内容。 B04 数据迁移 将数据迁移到不

34、同的主机。如Ｗindows到Linux环境的迁移、单实例环境到RAC环境的迁移 B05 Oracle RAC安装 包括安装、配置Oracle RAC、将数据迁移到RAC环境、初步的性能调整等内容 B06 Oracle Data Guard安装 安装与配置Oracle Data Guard，实现数据库的实时备份。 B07 自定义报表制作 新增自定义报表，满足客户的业务需要 B08 产品接口 为第三方的程序提供中联产品的数据接口 B09 产品定制服务 为了适应新的地方政策要求、行业规范提出的特殊需求等原因对产品进行定制修改或新开发某些功能模块

35、 技术支持部根据渠道技术申请内容对该渠道进行增值服务技术能力评估，如不能达标则取消资格，并由技术支持部进行直管，由此带来的成本及损益由渠道自行承担。 2、案例通报 为不断培养用户在信息安全方面的意识和危机感，公司定期以《用户快讯》的形式，将客户数据安全事故向定向客户进行通报警示。 此项工作由《中联快讯》编辑部负责执行，并遵循《中联快讯编辑发行规范》。（详见第五章第三节） 第五章 持续改进与运维 一、安全事故分析 技术支持部负责每月对中联公司客户的数据安全事故进行分析，并提交分析报告。 技术支持部负责分析数据安全事故中，由操作不规范引起的事件，并将行为规范到《数据安

36、全操作规范》中。 技术支持部每月选出有代表性的数据安全事故，整理成安全案例，提交到《中联快讯》编辑部，通过内刊和客户会刊的形式进行提高安全意识的警示。 《中联快讯》编辑部负责维护《中联快讯编辑发行规范》并参照执行。 二、通报与处罚 技术支持部是数据安全事故的内部通报与处罚机构。 技术支持部每月对数据安全事故以处罚通知单的形式，向财务部和《中联快讯》编辑部提交，并直接通知到各责任单位。 技术支持部每月对违反数据安全操作的责任单位，以邮件形式直接进行处罚，并通知财务部和各责任单位。 相关绩效考核标准，详见第三章2.3节。 第六章 附则 1、本体系涉及相关制度、规范责任划分表

37、： 编号 分类 名称 作用及内容 维护部门 考核部门 执行人（所有技术员工） 1 公司级规范 数据安全和保密协议 描述员工对于数据安全应承担的责任和义务，用于加强意识 技术支持部 行政部 中联公司 2 数据安全操作规范 1、数据安全体系中最重要的部分，规范员工的数据安全操作； 2、从商务和操作上对日常行为进行规范 3、配套相关的与客户交互的确认环节 技术支持部 培训部、技术支持部 中联公司 3 客户级规范 客户应做工作规范 1、用于规范客户应做工作的说明 2、明确客户在系统运行中承担的责任和义务 3、减轻服务风险 4、例如各类确认书和协

38、议 技术支持部 技术支持部 中联公司、中联渠道 4 中联服务分型 1、明确对所有客户应提供的标准服务 2、明确目前可以提供的客户可选增值服务，包含数据安全巡访 技术支持部 技术支持部 中联公司、中联渠道 5 中联快讯编辑发行规范 1、信息共享 2、通过案例教育客户并加深危机感 中联快讯编辑部 无 中联公司、中联渠道 2、本体系由中联信息技术支持部进行维护。 3、本体系自发布之日起执行。 附 录 一、 协议 1、中联公司保密协议 二、商务规范 1、ZLDS_B_1进场环境确认书。 2、ZLDS_B_2数据安全风险告知书。

39、 3、ZLDS_B_3临时数据安全风险告知书。 4、ZLDS_B_4数据安全评估确认书。 5、ZLDS_B_5信息中心职责和应急预案模板(二级及以上用户渠道渠道自行判断)。 6、ZLDS_B_6用户日常数据安全检查表 7、ZLDS_B_7用户数据安全确认函 8、ZLDS_B_8数据安全通报格式 三、技术规范 1、ZLDS_O_1快速构建ZLHIS应急环境； 2、ZLDS_O_2获取AWR报告； 3、ZLDS_O_3数据库定期备份规范； 4、ZLDS_O_4临时备份规范； 5、ZLDS_O_5数据库调整； 6、ZLDS_O_6脚本执行规范； 7、ZLDS_O_7接口开发与维护规范； 8、ZLDS_O_8ZLHIS升级规范； 9、ZLDS_O_9用户授权与角色； 10、ZLDS_O_10数据安全事故恢复过程记录； 24