医院网络信息系统安全制度.docx

医院网络信息系统安全制度一、信息系统安全管理措施（一）硬件方面为保证系统数据安全，医院网络信息系统核心设备均采用双机、并行架构，在保证系统稳定性的同时提高主机利用效率。网络设备采用双核心，并行方式；网络链路双冗余，安装有IDS入侵检测系统、防火墙检测和过滤网络信息。同时建有灾备机房，在主机房发生火灾及其他灾害时快速接管医院主要业务系统。（二）软件方面数据方面，定期对HIS、PACS等系统数据进行全备份。客户端配备桌面管理软件，管理外接存储设备和监控。客户端配备网络防病毒软件，定期升级病毒库、查杀全网病毒。（三）管理方面计算机中心设24小时专人值班，监控网络运行，每天检查主机硬件及附属设备运行情况，及时排除各种安全隐患。一旦发现问题，及时处理并迅速向科室领导报告。故障排除后，完成相关记录。信息系统、数据库、服务器、网络设备密码由专人进行管理，不得外泄。新人院职工必须经过系统培训、考试合格后方可上机操作。二、信息系统安全管理制度（一）敏感数据（指涉及医院药品、财务运营、消耗材料的数据）统计1申请人或部门（包括院外单位）提出书面申请，科室负责人签字并盖章确认，提交医务部。2医务部审核无误，签字并盖章，提交纪检部门。3纪检部门审核无误，签字并盖章，提交计算机中心。4计算机中心审核无误，签字确认，安排相关人员进行数据统计，统计人员要做到对统计结果不扩散、不泄密、不修改。5计算机中心将申请归档保存。（二）普通数据统计1申请人或科室（包括院外单位）提出书面申请，科室负责人盖章并签字后，提交医务部。2医务部审核无误，签字盖章，提交计算机中心。3计算机中心负责人审核无误，签字确认，安排相关人员进行数据统计，统计人员要做到对统计结果不扩散、不泄密、不修改。4计算机中心将申请归档保存。（三）系统用户账户管理1用户注册流程。开通信息系统账户，由个人或部门提出书面申请（需提供人员信息：姓名、工资号、性别、出生年月、职称、人员类型等），经科室负责人签字，医务部、护理部、财务科、人力资源部等主管部门审核盖章后，交由计算机中心完成信息注册。2用户转科流程。转科流程参照注册流程，送交的信息中需注明原科室和更换科室的名称。科室内部调整，经科室负责人签字并盖章后，报送医务部。3退休流程。干部科、人劳办以书面形式通知医务部，注销或变更退休人员在信息系统中的权限。（四）信息系统权限管理1用户账号管理。登录系统须有用户账号，相当于身份标识。进修人员由医务部统一编号。2用户密码管理。第一次登录信息系统时，由管理员分配用户初始密码。登录信息系统后，由使用人员自行设定，系统每三个月强制用户修改一次密码。用户密码遗失，须持工作证、胸牌或科室证明文件由本人到计算机中心重置密码。3用户权限管理。按照操作功能与访问数据的限制，授予不同用户、不同角色一定级别的应用功能，保证信息系统安全运行。4.部门所属权限。财务科拥有财务部分系统权限；护理部拥有病区护士管理系统权限；医务部拥有医生工作站管理系统权限；药学部拥有药师工作站管理系统权限；系统管理员拥有系统用户新增、变更、注销等系统维护权限。5责任承担。账号所有者应对该账号在系统中所做的操作及结果负全部责任。（五）终端安全管理1安装到位的网络工作站作为医院统一专用内网终端设备，使用者不得擅自安装软件或外接硬件，如需安装必须由计算机中心监督安装或授权使用科室安装使用硬件。2新入网的工作站必须由计算机中心统一安装医院正版HIS系统和网络安全管理软件、杀毒软件后按人医院内网。3网络工作站外接硬件，须由计算机中心统一管理驱动程序。4连接医用仪器设备的网络工作站必须由计算机中心监督安装，统一管理。5严禁在医院内网网络终端使用U盘和外接存储设备，或使用其他用途私人外接设备。6严禁人为破坏网络终端设备。7网络终端设备报修，应及时联系仪器维修室。8使用网络终端前，由计算机中心统一组织培训，合格后方能上岗。9操作人员要熟练掌握用户入网口令，并注意严格保密。10每次使用时需记录用机时间、工作内容和机器运转情况，机器运行期间操作人员不得擅自离开。11使用时如发现运行故障，应及时向计算机中心值班人员报告并做好记录。12工作站配置的电脑、打印机等设备须指定专人使用、保管和维护，转交他人保管时需严格交接，并报请计算机中心批准备案。13操作人员要保证工作站电脑正常运行、数据及时录入和提取。14操作人员须严格遵守操作规程，工作完毕时，必须切断电源，盖好机罩，锁盘。三、信息安全问题处置措施一旦网络出现安全问题，计算机中心值班人员或发现人应立即向计算机中心信息安全负责人报告，检查信息系统的日志等资料，确定问题来源，并迅速采取适当措施，保证信息系统尽可能不影响终端和数措安全。若事态严重，应立即向主管领导报告，组织院内相关部门处理。四、设备安全处理措施（一）交换机等关键设备损坏后，应立即查明原因并向有关部门或单位报修。（二）如果能够白行恢复，应立即用备件替换受损部件。（三）如果不能自行恢复，应立即与设备提供商联系，请求派遣维