СМК призвана обеспечить качество предоставляемых услуг и «настраивать» это качество на ожидания потребителей. При этом главная задача СМК — не контроль каждой отдельной услуги, а создание системы, которая позволит не допускать появление ошибок, приводящих к плохому качеству услуг. В результате создания необходимых условий СМК должна гарантировать соответствие выпускников университета требованиям государственных образовательных стандартов, пожеланиям и рекомендациям заинтересованных сторон. При должном функционировании СМК затраты на подготовку специалистов должны быть оптимальными. Область действия СМК компании «Многопрофильный медицинский центр» применяется к процессу оказания медицинской услуги. Требования данной инструкции обязательны для всех подразделений, должностных лиц и сотрудников медицинского центра. Политика информационной безопасности Правовой основой настоящей Политики являются: ?Конституция Российской Федерации; ?Гражданский и Уголовный кодексы; ?Кодекс об административных правонарушениях; ?законы, указы, постановления и другие нормативные документы действующего законодательства Российской Федерации; ?нормативные документы федерального и территориальных фондов обязательного медицинского страхования, министерств здравоохранения и социального развития, Федеральной службы страхового надзора и др.; ?нормативные и регламентирующие документы государственных органов Российской Федерации (ФСТЭК, ФСБ, Роскомнадзор и др.) –внутренние нормативно-методические и организационно-распорядительные документы Общества. Политика является методологической основой для: ?формирования и проведения единой политики в области информационной безопасности в АС; ?разработки стратегии информационной безопасности Общества, включая цели, задачи и комплекс мер по её практической реализации; ?принятия управленческих решений и разработки практических мер по воплощению политики информационной безопасности и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз информационной безопасности; ?координации деятельности структурных подразделений Общества при проведении работ по созданию, развитию и эксплуатации АС с соблюдением требований информационной безопасности; ?разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения информационной безопасности АС. Объекты информатизации АС включают: •технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование); •информационные ресурсы, в том числе содержащие сведения ограниченного распространения и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, массивах и базах данных; •программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение); •автоматизированные системы связи и передачи данных (средства телекоммуникации); •каналы связи, по которым передается информация (в том числе ограниченного распространения); •служебные помещения, в которых циркулирует информация (в том числе ограниченного распространения); •технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы–ВТСС), размещенные в помещениях, где обрабатывается информация, содержащая сведения ограниченного распространения. В документообороте АС присутствуют: •платежные поручения и другие расчетно-денежные документы; •отчеты (бухгалтерские, управленческие и др.); •сведения о выданных страховых медицинских полисах; •сведения о взаиморасчетах за пролеченных пациентов; •сведения о качестве оказанной медицинской помощи; •обобщенная информация и другие документы.
ВВЕДЕНИЕ 3 Выбор модели СМК 4 Документирование бизнес-процессов 5 Область действия 5 Политика информационной безопасности 5 Методология оценки и обработки рисков 9 Положение о применимости 11 План устранения рисков 16 Процедура управления документами 16 Процедура управления записями 21 Порядок внутреннего аудита 25 Порядок и устранение неисправностей 33 Определение ролей и обязанностей 36 Материально-технические ресурсы активов 49 Допустимое использование активов 55 Политика управления доступом 64 Процессы управления IT 68 Принципы разработки защищенной системы 68 Политика безопасности поставщика 77 Процедура управления инцидентами 79 Процедуры непрерывности бизнеса 80 Юридические, регулирующие и договорные требования 84
Для обеспечения корректной и надежной работы всех функционирующих компьютерных систем должны быть подготовлены документированные операционные процедуры. Документированные процедуры следует также подготавливать для работ, связанных с разработкой, сопровождением и тестированием новых систем. Процедуры должны включать в себя подробные корректные инструкции по выполнению каждого задания, в том числе (по необходимости) следующие пункты: а) корректное оперирование с файлами данных; б) требования к планированию выполнения заданий, включая взаимосвязи с другими системами, а также самое раннее и самое позднее время начала и окончания выполнения заданий; в) инструкции по обработке ошибок и других исключительных ситуаций, которые могут возникнуть во время выполнения заданий, в том числе ограничения на использование системных утилит; г) обращение за помощью к персоналу поддержки в случае возникновения технических и других проблем, связанных с эксплуатацией компьютерных систем; д) процедуры перезапуска и восстановления работоспособности систем, используемые в случае их отказа. Документированные процедуры должны быть также подготовлены для работ по обслуживанию систем, связанных с администрированием компьютеров и сетей, в том числе процедуры запуска и остановки серверов, резервное копирование данных, техническое обслуживание оборудования, управление компьютерными залами и обеспечение их защиты. Операционные процедуры должны рассматриваться как формальные документы, изменения в которые следует вносить только после их утверждения руководством, наделенным соответствующими полномочиями. Для обеспечения своевременного, эффективного и организованного реагирования на события, таящие угрозу безопасности, должны быть определены соответствующие управленческие обязанности и процедуры. Процедуры реагирования на события включают в себя все возможные типы инцидентов в системе безопасности и планирование мер по предотвращению и ослаблению последствий инцидентов в системе безопасности.