醫(yī)療機(jī)構(gòu)信息技術(shù) 網(wǎng)絡(luò)與信息安全崗位指南

ICS03.180

CCSA18

YNCF

云南省計(jì)算機(jī)學(xué)會團(tuán)體標(biāo)準(zhǔn)

T/YNCFXXX—XXXX

醫(yī)療機(jī)構(gòu)信息技術(shù)

網(wǎng)絡(luò)與信息安全崗位指南

Informationtechnologypostsinmedicalinstitutions

NetworkandInformationSecuritypostguide

（征求意見稿）

（本草案完成時(shí)間：2023年12月1日）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

云南省計(jì)算機(jī)學(xué)會??發(fā)布

T/YNCFXXX—XXXX

醫(yī)療機(jī)構(gòu)信息技術(shù)

網(wǎng)絡(luò)與信息安全崗位指南

1范圍

本文件規(guī)定了醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)與信息安全崗位人員的能力種類、等級標(biāo)準(zhǔn)、崗位任職條件與效能評價(jià)。

本文件適用于在醫(yī)療機(jī)構(gòu)從事信息技術(shù)人員的培養(yǎng)方向與崗位的設(shè)置。

本文件適用于知南課堂講師或?qū)W員中從事醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)與信息安全運(yùn)維管理人員。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

關(guān)于深化工程技術(shù)人才職稱制度改革的指導(dǎo)意見（人社部發(fā)〔2019〕16號）

全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）（國衛(wèi)辦規(guī)劃發(fā)〔2018〕4號）

信息技術(shù)安全技術(shù)信息安全事件管理指南（GB/T20985.1-2017）

信息安全技術(shù)信息安全事件分類分級指南（GB/T20986-2023）

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T22239-2019）

信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范（GB/T24363-2009）

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

醫(yī)療機(jī)構(gòu)Medicalinstitutions

醫(yī)療機(jī)構(gòu)是指按照國務(wù)院頒布的醫(yī)療機(jī)構(gòu)管理?xiàng)l例的規(guī)定，經(jīng)登記取得醫(yī)療機(jī)構(gòu)執(zhí)業(yè)許可證，從事

疾病診斷、治療活動的醫(yī)院、衛(wèi)生院、療養(yǎng)院、門診部、診所、衛(wèi)生所（室）以及急救站等機(jī)構(gòu)。[來

源：國務(wù)院令第752號，2022年]

網(wǎng)絡(luò)與信息安全人員NetworkandInformationSecuritypersonnel

指從事規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動時(shí)，遵照信息安全管理體系和標(biāo)準(zhǔn)工

作，通過運(yùn)用各種安全產(chǎn)品和技術(shù)，進(jìn)行安全制度建設(shè)與安全技術(shù)規(guī)劃、日常維護(hù)管理、信息安全檢查

T/YNCFXXX—XXXX

與審計(jì)等的人員。本文件中的網(wǎng)絡(luò)與信息安全人員是指在醫(yī)療機(jī)構(gòu)內(nèi)從事的網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)庫、

網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、信息安全、安全審計(jì)、應(yīng)用開發(fā)的專業(yè)技術(shù)人員。

能力Competence

人們對自然探索、認(rèn)知、改造水平的度量，是完成任務(wù)或者達(dá)成目標(biāo)所體現(xiàn)出來的知識、技能及

綜合素質(zhì)。能力總是和人完成一定的實(shí)踐相聯(lián)系在一起的。掌握和運(yùn)用知識技能所需的心理特征，達(dá)成

一個(gè)目的所具備的條件和水平。

能力種類Competencetype

完成相同的工作任務(wù)或者達(dá)成目標(biāo)所體現(xiàn)出來的能力。本文件中能力種類分為基礎(chǔ)能力、專業(yè)能

力、綜合管理能力三類。

能力項(xiàng)Competenceitem

完成一項(xiàng)任務(wù)或者達(dá)成目標(biāo)所體現(xiàn)出來的單項(xiàng)能力。本文件中用知識掌握與資格認(rèn)定來呈現(xiàn)某項(xiàng)

能力。

能力等級Competencelevel

通過考試、評審認(rèn)定所達(dá)到的等級。

崗位任職條件Postqualifications

根據(jù)崗位的性質(zhì)、任務(wù)和要求，本文件中約定從事該崗位工作的人員所需具備的技術(shù)能力、業(yè)務(wù)

水平和工作成效等方面要求。

效能評價(jià)Effectivenessevaluation

效能評價(jià)是一個(gè)系統(tǒng)性的評估過程，旨在確定個(gè)人在特定工作中所具備的能力和潛力。本文件中的

T/YNCFXXX—XXXX

效能評價(jià)包括：運(yùn)維管理、安全管理、項(xiàng)目管理、技術(shù)研究與創(chuàng)新、團(tuán)隊(duì)建設(shè)與培訓(xùn)、用戶滿意度。

信息系統(tǒng)informationsystem

由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)

行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。[GB/T20986-2023]

信息安全事件informationsecurityincident

由于自然或者人為以及軟硬件本身缺陷或者故障的原因，對信息系統(tǒng)造成危害或?qū)ι鐣斐韶?fù)面影

響的事件。

滲透測試penetration

滲透測試是從一個(gè)攻擊者的角度來檢查和審核一個(gè)信息系統(tǒng)安全性的過程。通過信息收集、掃描、

漏洞挖掘與驗(yàn)證等方法對目標(biāo)系統(tǒng)進(jìn)行測試，發(fā)現(xiàn)系統(tǒng)存在的安全風(fēng)險(xiǎn)。

4能力種類、等級及標(biāo)準(zhǔn)

能力種類

醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)與信息安全人員能力分為基礎(chǔ)能力、專業(yè)能力和綜合管理能力；能力標(biāo)準(zhǔn)分為6個(gè)

能力項(xiàng)。

圖1網(wǎng)絡(luò)與信息安全崗位能力表

能力項(xiàng)

能力類別

123456

計(jì)算機(jī)網(wǎng)絡(luò)與信息

基礎(chǔ)能力網(wǎng)絡(luò)配置法律法規(guī)運(yùn)維檢測——

基礎(chǔ)安全防護(hù)

網(wǎng)絡(luò)與信

資源監(jiān)控與網(wǎng)絡(luò)與信息安

專業(yè)能力————滲透測試息安全運(yùn)

分配全處置

維

網(wǎng)絡(luò)與信息信息安全項(xiàng)目運(yùn)維分析

綜合管理能力——————

安全規(guī)劃管理與管理

能力等級

網(wǎng)絡(luò)與信息安全管理分為五個(gè)專業(yè)技術(shù)崗位等級：技術(shù)員、網(wǎng)絡(luò)與信息安全管理員（助理工程師）、

T/YNCFXXX—XXXX

信息安全工程師（工程師）、網(wǎng)絡(luò)安全架構(gòu)師（高級工程師）、專家級網(wǎng)絡(luò)安全架構(gòu)師。

能力標(biāo)準(zhǔn)

圖2崗位層級對應(yīng)的能力標(biāo)準(zhǔn)

崗位層級能力要求

初步掌握網(wǎng)絡(luò)與信息安全的基礎(chǔ)理論和專業(yè)技術(shù)知識；能完成醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)信息安全

信息安全技術(shù)員

相關(guān)的一般技術(shù)輔助性工作能力。

網(wǎng)絡(luò)與信息安全能夠運(yùn)用網(wǎng)絡(luò)與信息安全的基礎(chǔ)理論和專業(yè)技術(shù)知識；完成獨(dú)立醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)信息安

管理員全相關(guān)的一般性工作的實(shí)際能力。

熟悉網(wǎng)絡(luò)與信息安全崗位的法規(guī)和規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程和規(guī)定；具有運(yùn)

信息安全工程師用專業(yè)知識，解決醫(yī)療機(jī)構(gòu)內(nèi)較復(fù)雜的技術(shù)問題的能力，能夠指導(dǎo)下級網(wǎng)絡(luò)與信息安

全崗位人員的工作和學(xué)習(xí)。

全面掌握網(wǎng)絡(luò)與信息安全崗位的相關(guān)理論知識，并在計(jì)算機(jī)通信、網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)信

息安全及其產(chǎn)品等方面有深入的研究成果；具有主持或作為技術(shù)骨干參加計(jì)算機(jī)通信

網(wǎng)絡(luò)安全架構(gòu)師

與信息安全及其產(chǎn)品的研究、設(shè)計(jì)、安裝、調(diào)試工作全過程的經(jīng)歷，能夠指導(dǎo)工程師

的工作和學(xué)習(xí)。

具有全面系統(tǒng)的網(wǎng)絡(luò)與信息安全崗位的專業(yè)理論和豐富的實(shí)踐經(jīng)驗(yàn)、科研水平、學(xué)術(shù)

專家級造詣高，得到業(yè)內(nèi)普遍認(rèn)可；具有引領(lǐng)本專業(yè)發(fā)展前沿水平的能力，能夠主持完成本

網(wǎng)絡(luò)安全架構(gòu)師專業(yè)領(lǐng)域重大項(xiàng)目，能夠解決重大技術(shù)問題或掌握關(guān)鍵核心技術(shù)，取得了顯著的經(jīng)濟(jì)

效益和社會效益；具有較強(qiáng)的帶教能力。

5崗位任職條件

5.1信息安全技術(shù)員：能在信息科（處、中心）帶教老師的指導(dǎo)下，完成單體醫(yī)療機(jī)構(gòu)內(nèi)常見、簡單的

網(wǎng)絡(luò)、設(shè)備、應(yīng)用等安全配置，并能完成系統(tǒng)安全事件巡檢記錄。

5.2網(wǎng)絡(luò)與信息安全管理員：能完成常見、簡單的網(wǎng)絡(luò)、設(shè)備、應(yīng)用等安全配置與防護(hù)。能獨(dú)立完成單

體醫(yī)療機(jī)構(gòu)內(nèi)一般性網(wǎng)絡(luò)與信息安全項(xiàng)目方案規(guī)劃、設(shè)計(jì)的工作的能力，能處理本專業(yè)范圍內(nèi)一般性技

術(shù)問題。能正確記錄、整理技術(shù)資料，撰寫相關(guān)的技術(shù)工作總結(jié)和調(diào)研報(bào)告；每年不低于24課時(shí)的專

業(yè)技能學(xué)習(xí)，并取得一定效果。

T/YNCFXXX—XXXX

5.3信息安全工程師：能完成網(wǎng)絡(luò)、設(shè)備、應(yīng)用等安全配置與防護(hù)。能獨(dú)立完成單體醫(yī)療機(jī)構(gòu)整體的網(wǎng)

絡(luò)與信息系統(tǒng)安全項(xiàng)目方案規(guī)劃、設(shè)計(jì)的能力；能總結(jié)在解決信息安全等復(fù)雜技術(shù)問題中所得到的經(jīng)驗(yàn)

并形成實(shí)質(zhì)成果；每年有不低于24課時(shí)的專業(yè)技能學(xué)習(xí)，并取得良好效果，省級以上平臺公開學(xué)術(shù)分

享1次；年度內(nèi)無工作失責(zé)、失誤導(dǎo)致的信息安全事件。

5.4網(wǎng)絡(luò)安全架構(gòu)師：長期從事醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全工作，在信息安全工程師的基礎(chǔ)上取得重要

成果并得到業(yè)內(nèi)專家認(rèn)可；在指導(dǎo)中青年學(xué)術(shù)技術(shù)骨干方面發(fā)揮重要作用，取得較高的社會效益或經(jīng)濟(jì)

效益。每年不低于12課時(shí)的專業(yè)技能學(xué)習(xí)，省級以上平臺公開學(xué)術(shù)分享2次；上年度無工作失責(zé)、失

誤導(dǎo)致的信息安全事件。

5.5專家級網(wǎng)絡(luò)安全架構(gòu)師：長期從事醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全工作，有著較高的學(xué)術(shù)聲譽(yù)，能夠解

決重大的網(wǎng)絡(luò)信息安全技術(shù)問題或掌握關(guān)鍵核心技術(shù)；取得重大理論研究成果或取得實(shí)踐創(chuàng)新性成果；

在指導(dǎo)中青年學(xué)術(shù)技術(shù)骨干方面發(fā)揮突出作用，取得顯著的社會效益或經(jīng)濟(jì)效益。每年不低于6課時(shí)的

專業(yè)技能學(xué)習(xí)，省級以上平臺公開學(xué)術(shù)分享2次；年度無工作失責(zé)、失誤導(dǎo)致的信息安全事件。

6效能評價(jià)

根據(jù)醫(yī)療機(jī)構(gòu)的具體情況和需求設(shè)置評價(jià)指標(biāo)的分值和權(quán)重，對醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)與信息安全崗位人員

的工作效率與效果進(jìn)行全面評估。

——日常運(yùn)維管理：評價(jià)網(wǎng)絡(luò)與信息安全崗位人員在日常網(wǎng)絡(luò)安全運(yùn)維與維護(hù)工作中的表現(xiàn)。包

括故障處理、網(wǎng)絡(luò)安全配置、信息安全事件監(jiān)測等方面，以保證網(wǎng)絡(luò)安全性和可用性。

——網(wǎng)絡(luò)與信息安全管理：評估網(wǎng)絡(luò)與信息安全崗位人員在涉及網(wǎng)絡(luò)與信息安全的政策法規(guī)執(zhí)行、

等級保護(hù)重要信息系統(tǒng)備案、測評、監(jiān)督檢查情況。網(wǎng)絡(luò)與信息安全防護(hù)方面的知識和實(shí)踐

能力，包括入侵檢測系統(tǒng)部署、滲透測試、安全運(yùn)維、漏洞監(jiān)測與加護(hù)、應(yīng)急響應(yīng)等，以確

保醫(yī)院網(wǎng)絡(luò)信息安全。

——網(wǎng)絡(luò)與信息安全項(xiàng)目管理：評估網(wǎng)絡(luò)與信息安全崗位人員在項(xiàng)目管理與協(xié)調(diào)方面的能力。包

括項(xiàng)目進(jìn)度控制、資源調(diào)配、團(tuán)隊(duì)協(xié)作等，以提高工作效率和項(xiàng)目成功率。

T/YNCFXXX—XXXX

——技術(shù)研究與創(chuàng)新：評價(jià)網(wǎng)絡(luò)與信息安全崗位人員在技術(shù)研究與創(chuàng)新方面的能力。包括科研能

力，學(xué)科水平和通過新技術(shù)應(yīng)用、業(yè)務(wù)管理的探索與實(shí)踐、推動網(wǎng)絡(luò)技術(shù)升級等所取得的業(yè)

務(wù)成效。

——團(tuán)隊(duì)建設(shè)與培訓(xùn)：網(wǎng)絡(luò)與信息安全崗位人員在團(tuán)隊(duì)建設(shè)與培訓(xùn)方面的作用。包括團(tuán)隊(duì)人員能

力提升、知識分享、技能傳承等。

——用戶滿意度：醫(yī)療機(jī)構(gòu)內(nèi)各部門及患者對網(wǎng)絡(luò)通信服務(wù)的評價(jià)。包括網(wǎng)絡(luò)管理崗位人員在滿

足用戶需求和提升服務(wù)質(zhì)量方面的表現(xiàn)。

綜合以上評價(jià)，針對評估結(jié)果，制定相應(yīng)的培訓(xùn)和提升計(jì)劃，促使網(wǎng)絡(luò)管理崗位人員不斷提高自

身能力，滿足網(wǎng)絡(luò)管理人員服務(wù)機(jī)構(gòu)自身的網(wǎng)絡(luò)建設(shè)與管理需求。

T/YNCFXXX—XXXX

參考文獻(xiàn)

【1】《中華人民共和國網(wǎng)絡(luò)安全法》（全國人大常委會2016年11月7日）

【2】《關(guān)于深化工程技術(shù)人才職稱制度改革的指導(dǎo)意見》（人社部發(fā)〔2019〕16號）

【3】《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）》（國衛(wèi)辦規(guī)劃發(fā)〔2018〕4號）

【4】《計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格（水平）考試暫行規(guī)定》（國人部發(fā)〔2003〕39號）

【5】《工程技術(shù)人員職務(wù)試行條例