信息安全管理制度

信息安全管理制度.信息化建設管理委員會負責醫(yī)院信息安全管理。1.1醫(yī)院主要負責人是醫(yī)院信息安全管理第一責任人。1.2主要職責：加強和規(guī)范本單位信息安全的分析和研判工作，監(jiān)督、檢查信息安全措施的實施情況，對信息系統(tǒng)隱患及時做出整改決策，保障醫(yī)院信息安全。1.3信息科負責信息安全措施的主要落實，相關職能科室協(xié)助完成。1.4每年召開信息安全會議，全面部署工作開展，同時，根據(jù)需要適時召開會議。1.5定期進行安全自查，開展應急演練。2.數(shù)據(jù)安全管理2.1定期開展信息系統(tǒng)等級保護測評并備案。2.2對于外包的信息系統(tǒng)，與外包人員簽訂保密協(xié)議。2.3患者診療信息、醫(yī)療服務重要數(shù)據(jù)等需及時備份，存儲和流通環(huán)節(jié)需保證安全性。2.4使用患者診療信息需合規(guī)、合法，不得擅自向他人或機構提供患者的診療情況。2.5定期開展信息網(wǎng)絡安全自查，防止患者信息泄露、篡改、丟失。2.6嚴格用戶數(shù)據(jù)使用權限審批流程。2.7安全管理員應隨時監(jiān)測網(wǎng)絡安全，防止惡意入侵，及時察覺安全隱患。3.計算機安全管理3.1醫(yī)院計算機操作人員必須按照計算機正確的使用方法操作計算機系統(tǒng)。嚴禁暴力使用計算機或蓄意破壞計算機軟硬件。3.2未經(jīng)許可，不得擅自拆裝計算機硬件系統(tǒng)，若須拆裝，則通知信息科技術人員進行。3.3計算機軟件的安裝和卸載工作必須由信息科技術人員進行。3.4計算機的使用必須由其合法授權者使用，未經(jīng)授權不得使用。3.5醫(yī)院計算機僅限于醫(yī)院內部工作使用，原則上不許接入互聯(lián)網(wǎng)。因工作需要接入互聯(lián)網(wǎng)的，需須書面申請，經(jīng)主管部門負責人確認后，報分管院長審批。接入互聯(lián)網(wǎng)的計算機必須安裝正版的反病毒軟件。并保證殺毒軟件實時升級。3.6醫(yī)院任何科室如發(fā)現(xiàn)或懷疑有計算機病毒侵入，應立即斷開網(wǎng)絡，同時通知信息科技術人員負責處理。信息科應采取措施清除，并向主管院領導報告?zhèn)浒浮?.7醫(yī)院計算機內不得安裝游戲、即時通訊等與工作無關的軟件。3.8妥善使用和保管移動醫(yī)療相關設備（平板電腦、手持PDA、心電藍牙采集盒、導聯(lián)線、導聯(lián)球等設備）。3.9醫(yī)院計算機嚴禁接入、使用來歷不明的即插即用的存儲工具和網(wǎng)絡工具。4.網(wǎng)絡使用人員行為規(guī)范4.1不得在醫(yī)院網(wǎng)絡中制作、復制、查閱和傳播國家法律、法規(guī)所禁止的信息。4.2不得在醫(yī)院網(wǎng)絡中進行國家相關法律法規(guī)所禁止的活動。4.3未經(jīng)允許，不得擅自修改計算機中與網(wǎng)絡有關的設置。4.4未經(jīng)允許，不得私自添加、刪除與醫(yī)院網(wǎng)絡有關的軟件。4.5未經(jīng)允許，不得進入醫(yī)院網(wǎng)絡或者使用醫(yī)院網(wǎng)絡資源。4.6未經(jīng)允許，不得對醫(yī)院網(wǎng)絡功能進行刪除、修改或者增加。4.7未經(jīng)允許，不得對醫(yī)院網(wǎng)絡中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加。4.8不得故意制作、傳播計算機病毒等破壞性程序。4.9不得進行其他危害醫(yī)院網(wǎng)絡安全及正常運行的活動。5.網(wǎng)絡硬件安全管理網(wǎng)絡硬件包括服務器、路由器、交換機、通信線路、不間斷供電設備、機柜、配線架、信息點模塊等提供網(wǎng)絡服務的設施及設備。5.1各職能部門、各科室應妥善保管安置在本部門的網(wǎng)絡設備、設施及通信線路。5.2不得破壞網(wǎng)絡設備、設施及通信線路。由于事故原因造成的網(wǎng)絡連接中斷的，根據(jù)其情節(jié)輕重予以處罰或賠償。5.3未經(jīng)允許，不得中斷網(wǎng)絡設備及設施的供電線路。因生產原因必須停電的，應提前通知網(wǎng)絡管理人員。5.4不得擅自挪動、轉移、增加、安裝、拆卸網(wǎng)絡設施及設備。特殊情況應提前通知網(wǎng)絡管理人員，在得到允許后方可實施。6.軟件及信息安全6.1計算機及外設所配軟件及驅動程序交網(wǎng)絡管理人員保管，以便統(tǒng)一維護和管理。6.2管理系統(tǒng)軟件由網(wǎng)絡管理人員按使用范圍進行安裝，其他任何人不得安裝、復制、傳播此類軟件。6.3網(wǎng)絡資源及網(wǎng)絡信息的使用權限由網(wǎng)絡管理人員按醫(yī)院的有關規(guī)定予以分配，任何人不得擅自超越權限使用網(wǎng)絡資源及網(wǎng)絡信息。6.4網(wǎng)絡的使用人員應妥善保管各自的密碼及身份認證文件，不得將密碼及身份認證文件交與他人使用。6.5任何人不得將含有醫(yī)院信息的計算機或各種存儲介質交與無關人員，更不得利用醫(yī)院數(shù)據(jù)信息獲取不正當利益。6.6擁有重要系統(tǒng)或重要數(shù)據(jù)的科室應該及時對數(shù)據(jù)進行備份，防止系統(tǒng)、數(shù)據(jù)的丟失；涉及數(shù)據(jù)備份和恢復的科室要由專人負責數(shù)據(jù)備份工作，并認真填寫備份日志。6.7數(shù)據(jù)的備份、恢復、轉出、轉入的權限都應嚴格控制。嚴禁未經(jīng)授權將數(shù)據(jù)備份出系統(tǒng)，轉給無關的人員或單位；嚴禁未經(jīng)授權進行數(shù)據(jù)恢復或轉入操作。7.用戶與密碼的設定7.1信息系統(tǒng)的用戶可分為系統(tǒng)管理用戶、應用維護管理用戶、查詢用戶和一般操作用戶。系統(tǒng)管理用戶指的是信息系統(tǒng)所使用的操作系統(tǒng)、網(wǎng)絡和數(shù)據(jù)庫的管理用戶。應用維護管理用戶指的是信息系統(tǒng)應用軟件和應用數(shù)據(jù)的管理和維護用戶。查詢用戶指的是信息系統(tǒng)應用軟件和應用數(shù)據(jù)的查詢用戶。一般操作用戶指的是使用預先編寫好的程序進行操作的用戶。7.2信息系統(tǒng)各類用戶的管理應做到權限合理、分工明確、責任清楚、操作規(guī)范，不得違章變更、修改用戶權限，不得越權操作。7.3各信息系統(tǒng)的軟、硬件系統(tǒng)應按照運行管理需要合理設置各類用戶，所有用戶均必須設置密碼。7.4用戶與密碼的設置應遵循如下要求：7.4.1登錄信息系統(tǒng)需要有用戶賬號，相當于身份標識，用戶帳號一般為員工工號；7.4.2密碼為保護信息安全而對用戶賬號進行驗證的唯一口令。7.5系統(tǒng)管理用戶的設定在初始配置安裝網(wǎng)絡系統(tǒng)、操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)時，系統(tǒng)管理用戶應首先設置密碼。系統(tǒng)管理用戶應由不兼容崗位人員分別管理。各系統(tǒng)一般不得開設多個系統(tǒng)管理用戶。7.6應用維護管理用戶的設定系統(tǒng)管理用戶操作人員根據(jù)應用系統(tǒng)的使用要求，開設應用維護管理用戶，設置初始密碼，并分配相應的使用權限。應用維護管理用戶操作人員取得初始密碼后應立即設置雙密碼，并由不兼容崗位人員分別管理。7.7查詢用戶的設定系統(tǒng)管理用戶操作人員根據(jù)應用系統(tǒng)的使用要求，開設查詢用戶，設置初始密碼，并分配相應的使用權限，查詢用戶取得初始密碼后需立即更改密碼。8.計算機病毒防范措施8.1各部門要高度重視計算機病毒潛在危害的嚴重性，采取“以防為主，以治為輔”的原則，認真組織做好計算機病毒的防治工作，構筑完備有效的計算機病毒防范體系。8.2在組織人員進行內控安全教育和培訓過程中，應增加計算機病毒防范的內容，增強員工的計算機病毒防范意識和能力。8.3計算機應統(tǒng)一安裝指定的防病毒軟件，開啟計算機病毒實時監(jiān)控功能,及時更新軟件的版本和病毒庫。8.4新購、維修、借入及借出歸還的計算機設備，必須立即加裝指定的防病毒軟件，并進行病毒檢測，經(jīng)確認無毒后方可使用。8.5新購、維修、借入及借出歸還的軟盤、光盤等存儲介質，以及外來的系統(tǒng)軟件與互聯(lián)網(wǎng)下載的軟件等，要先進行計算機病毒檢測，確認無毒后才可使用。嚴禁使用未經(jīng)檢測的、來歷不明的軟盤、光盤、U盤、移動硬盤等存儲介質。8.6計算機的管理員用戶必須設置賬號密碼，應選擇長度至少為8位、較復雜、不易破解的密碼，并定期進行更改。同時避免設置共享目錄，如確需設置共享目錄，則應設置共享目錄密碼，以免病毒通過文件共享途徑傳播。8.7各計算機用戶應從硬盤引導計算機，不得使用軟盤、光盤引導計算機，以免感染引導型病毒。8.8嚴禁在工作計算機上安裝、運行各類盜版軟件、游戲軟件及與業(yè)務無關、來歷不明等未經(jīng)授權和確認的軟件。8.9應隨時注意計算機使用過程中出現(xiàn)的各種異?，F(xiàn)象，一旦發(fā)現(xiàn)，應立即用計算機防病毒軟件進行掃描檢查。8.10計算機中心對計算機辦公終端進行不定期的查毒、殺毒巡檢。8.11做好系統(tǒng)和重要數(shù)據(jù)的備份，并妥善保管，以便能夠在遭受病毒侵害后及時恢復系統(tǒng)和重要數(shù)據(jù)。8.12計算機中心必須建立計算機病毒防范預報預警機制，密切關注計算機病毒情報，跟蹤計算機病毒發(fā)展的最新動態(tài)，及時了解計算機病毒，特別是有嚴重破壞力的計算機病毒的爆發(fā)日期或爆發(fā)條件，通過發(fā)布計算機病毒通告和防治方案向全局做出預警。8.13各相關部門須密切關注計算機中心發(fā)布的計算機病毒預警通告，積極采取有關防范措施，防止計算機病毒大面積爆發(fā)。8.14切實加強計算機與網(wǎng)絡設備的使用管理，嚴格區(qū)分內網(wǎng)用機和外網(wǎng)用機的使用，避免計算機病毒交叉感染。8.15計算機中心應在路由器、交換機和防火墻上加強訪問控制，切斷計算機病