醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全管理制度

醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全管理制度為了保證醫(yī)院網(wǎng)絡(luò)的正常運行，保護醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全和網(wǎng)絡(luò)用戶的使用權(quán)益，特制定本安全管理制度。本管理制度所稱的醫(yī)院網(wǎng)絡(luò)系統(tǒng)是指在醫(yī)院信息系統(tǒng)中，由計算機及配套設(shè)施構(gòu)成的人機系統(tǒng)，按照醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用目標(biāo)和規(guī)定，對數(shù)據(jù)進行采集、加工、存儲、傳輸、檢索等處理。醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全管理是通過實施身份認(rèn)證、訪問控制與授權(quán)管理、數(shù)據(jù)備份和災(zāi)備系統(tǒng)、安全分域及邊界防護、防病毒系統(tǒng)、入侵檢測、補丁管理、郵件安全網(wǎng)關(guān)、遠(yuǎn)程接入等安全技術(shù)和與之相配套的管理制度，保障網(wǎng)絡(luò)主機及配套設(shè)備、設(shè)施的安全，網(wǎng)絡(luò)運行環(huán)境的安全，從而達到保障計算機網(wǎng)絡(luò)系統(tǒng)安全運行和信息安全的目的。信息科負(fù)責(zé)醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)的安全管理工作，確保對計算機網(wǎng)絡(luò)系統(tǒng)安全管理的有效性。計算機網(wǎng)絡(luò)系統(tǒng)的建設(shè)和應(yīng)用應(yīng)遵守上級主管部門頒發(fā)的行政法規(guī)、用戶手冊和其他相關(guān)規(guī)定。計算機網(wǎng)絡(luò)系統(tǒng)實行安全等級保護和用戶使用權(quán)限劃分。安全等級和用戶使用權(quán)限的劃分和設(shè)置由信息科負(fù)責(zé)制定和實施。計算機入網(wǎng)運行必須經(jīng)信息科批準(zhǔn)備案，分配IP地址后，方可接入網(wǎng)絡(luò)。要對重要主機的用戶名、開機口令、應(yīng)用口令和數(shù)據(jù)庫口令實施重點管理，嚴(yán)格控制設(shè)備存取及加密，未經(jīng)允許嚴(yán)禁外來盤片帶入機房對服務(wù)器進行安裝等，不準(zhǔn)將機器設(shè)備和數(shù)據(jù)帶出機房。未辦理入網(wǎng)手續(xù)，任何單位和個人不得非法私自將計算機接入醫(yī)院網(wǎng)絡(luò)，不得以不真實身份使用網(wǎng)絡(luò)資源，不得竊取他人賬號、口令使用網(wǎng)絡(luò)資源，不得盜用未經(jīng)合法申請的IP地址入網(wǎng)。未經(jīng)信息科允許，任何單位或個人不得擅自接納網(wǎng)絡(luò)用戶。第十條要根據(jù)網(wǎng)絡(luò)主機的安全級別，采取相應(yīng)的技術(shù)措施，包括訪問控制、數(shù)據(jù)保護、保密監(jiān)控管理和系統(tǒng)安全等方面。第十一條要定期對網(wǎng)上用戶的訪問和授權(quán)情況進行檢查，及時發(fā)現(xiàn)和限制非法用戶和非授權(quán)訪問。第十二條要按照要求進行數(shù)據(jù)備份，包括日備份、月備份和年備份，并嚴(yán)格按照操作規(guī)程進行備份工作，確保備份數(shù)據(jù)的完整和準(zhǔn)確性。同時，要做好備份數(shù)據(jù)的審核工作，并記錄備份數(shù)據(jù)的相關(guān)信息。在導(dǎo)出、導(dǎo)入數(shù)據(jù)時，也要確保數(shù)據(jù)的完整和準(zhǔn)確，并做好審核工作和相應(yīng)記錄。(注釋：以下為安全分域及邊界防護)第十三條要加強邊界安全的防護，根據(jù)安全區(qū)域劃分情況明確需要進行安全防護的邊界，并實施有效的訪問控制策略和機制。第十四條應(yīng)在網(wǎng)絡(luò)系統(tǒng)或安全域邊界的關(guān)鍵點采用嚴(yán)格的安全防護機制，如嚴(yán)格的登錄/鏈接控制、高性能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等。同時，要實施必要的邊界訪問和違規(guī)外聯(lián)的審計和控制。(注釋：以下為入侵檢測)第十六條應(yīng)采用必要的手段，如入侵檢測系統(tǒng)、日志分析、網(wǎng)絡(luò)取證分析等，對系統(tǒng)內(nèi)的安全事件進行監(jiān)控，檢測攻擊行為并發(fā)現(xiàn)系統(tǒng)內(nèi)非授權(quán)使用情況。第十七條要禁止系統(tǒng)內(nèi)用戶進行非授權(quán)的外部鏈接，如自動撥號、違規(guī)鏈接和無線上網(wǎng)。(注釋：以下為防病毒系統(tǒng))第十八條要部署有效的網(wǎng)絡(luò)病毒防范軟件系統(tǒng)和相應(yīng)的網(wǎng)絡(luò)病毒防范管理辦法，以有效防范計算機網(wǎng)絡(luò)病毒。第十九條要制定文檔化的明確的計算機病毒和惡意代碼防護策略，并確保策略有效實施規(guī)章制度。第二十條應(yīng)在系統(tǒng)內(nèi)關(guān)鍵的入口點以及各工作站、服務(wù)器和移動計算機設(shè)備上采取計算機病毒和惡意代碼防護措施。(注釋：以下為備份和恢復(fù))第二十一條要制定文檔化的信息系統(tǒng)備份和恢復(fù)的策略，建立健全備份和恢復(fù)的管理制度和操作規(guī)程。備份是關(guān)鍵業(yè)務(wù)數(shù)據(jù)、設(shè)備和電源的備份。對于重要信息系統(tǒng)的關(guān)鍵設(shè)施，如服務(wù)器，采取熱備份。定期備份和測試恢復(fù)策略以保證有效性，并制定系統(tǒng)恢復(fù)的目標(biāo)，如關(guān)鍵業(yè)務(wù)功能、恢復(fù)優(yōu)先順序和時間范圍。為確保計算機局域網(wǎng)絡(luò)的安全運行，應(yīng)在有效部署防火墻、入侵檢測和防病毒系統(tǒng)的情況下實施遠(yuǎn)程接入。醫(yī)院業(yè)務(wù)網(wǎng)與遠(yuǎn)程接入業(yè)務(wù)物理隔離，涉密計算機主機不得與互聯(lián)網(wǎng)鏈接。任何部門和個人使用遠(yuǎn)程接入服務(wù)必須向信息科申請，并遵守國家法律、法規(guī)和醫(yī)院規(guī)章制度。不得利用計算機網(wǎng)絡(luò)從事違法、違規(guī)活動，否則醫(yī)院有權(quán)停止對其提供