医院信息管理制度.doc

。医院信息管理制度（试行）1 总则 1.1 目的 为安全管理各种软硬件资源，提高医院所属各部门信息处理和业务运行的效率，最大限度预防和减少各种故障造成的业务中断时间，特制定本制度。 1.2 适用范围 本制度适用于全医院各部门。 2 术语3.1 IT设备：包括计算机产品、网络设备、计算机外部设备等。3.2 计算机产品：包括服务器、PC机、笔记本电脑等。3.3 计算机硬件：包括光驱、软驱、刻录机、声卡、显卡、网卡、CPU、电源、内存、主板等。3.4 网络设备：包括核心三层交换机、二层可管理交换机、二层普通交换机、硬件防火墙、路由器等。3.5 信息：指与医院业务相关的所有电子资料档案、数据和报表。3.6 网络：指医院的整个局域网络及INTERNET接入端网络。3.7 数据库：指医院各部门电子版信息、数据集合，如财务数据、业务数据、电子人事档案等。3.8 网络安全：指预防网络遭受病毒、木马、黑客等攻击，通过网络泄密或其它影响网络安全的因素。3.9 病毒：本制度中特指计算机病毒，是编制或在计算机程序中插入的破坏计算机功能或毁坏数据，并能自我复制的一组计算机指令或者程序代码。3 职责3.1 信息人员3.1.1 负责医院计算机及相关设备的安装、调试、日常维护与检修。3.1.2 负责医院上网等相关涉及信息安全的权限管理工作。3.1.3 负责定期、不定期检查各医院计算机安全、规范使用等情况。3.1.4 负责医院计算机及相关设备的数据导出与日常安全备份工作。3.1.5 负责主要设备数据库服务器、存储介质及其他设备的指导购买；3.2 财务部负责收取本制度中涉及的罚金，并对相关人员开具罚金收据。3.3 各部门 4.3.1 负责对部门所使用的计算机及相关设备的使用及外观清洁。 4.3.2 负责报修本部门所使用的计算机及相关设备，并对维修结果进行确认。 4.3.3 负责全力支持信息部门对设备的维护、保养、升级和检查。 3.4 各部门负责人4.4.1 负责审核所在部门成员相关软件系统用户使用权限开通的申请。4.4.2 负责确认所在部门成员向信息部提出数据需求的申请。4 工作程序4.1 信息设备维护与保养 4.1.1 信息设备日常维护与保养 （1） 信息设备硬件管理采取专人负责制，由具体使用人负责对计算机进行日常使用与管理。（2）对于医院所使用的服务器和网络设备，由相应的信息人员负责日常检修与维护，以确保服务器和网络设备的稳定运行。（3）计算机操作系统、常用软件由信息人员安装，特殊软件使用，必须提交申请，并通过本部门负责人及信息中心负责人审批后，交由信息中心工作人员安装，特殊应用还必须得到所属医院相关高管批准。 （4）计算机使用人要确保计算机硬件和系统软件的完整性，不得随意安装和删除系统软件，修改计算机配置。 （5）信息中心实行定期巡查机制，检查各个工作区域设备的使用情况，如发现计算机设备故障，立即采取措施解决。 （6）在上班时间内，使用人发现计算机故障后，应立即向信息人员报修以恢复正常使用。 4.2 医院网络使用 4.2.1医院网络的接入与使用必须遵守医院网络使用制度，以确保办公网络安全畅通并提高其使用效能为基础，其它行为必须具有合理用途，具体制度参考附件一医院网络使用细则 4.2.2互联网接入权限申请流程 （1） 申请人按要求填写互联网接入权限申请表(附件二),并标明申请接入互联网原因。 （2）申请人部门负责人对互联网接入权限申请表进行审核后交信息人员并最终通过主管院长审核，如果申请人是部门负责人及以上，直接填写计算机使用权限申请表交主管院长审核。 （3）信息人员执行通过审核的互联网接入权限申请表的具体内容。 （4）信息人员将修改后信息反馈到申请人,无误后由信息人员将互联网接入权限申请表进行归档。 4.2.3 注意事项（1）如果申请人提出的需求与医院信息安全存在冲突,信息人员及主管院长具有否决权，特殊情况报院长审批； （2） 接入互联网权限开通后，不得违反医院相关制度规定以及后续公布的各项管理规定，否则根据管理制度规定进行处罚。 4.3 信息设备硬件安全管理4.3.1 病毒防范与处理（1）所有客户端必须安装杀毒软件。（2）对于内部网络上进行数据交换的设备和存储介质需由信息人员监督使用，防止病毒通过内部网络传播。4.3.2 网络文件读取与下载拥有上网权限的计算机，其使用人如从网上获取资料（如下载、接受邮件等）要严格杀毒，对于无法清除的病毒要及时通知信息部处理。4.3.3 数据读取与存储要求各计算机使用人如因工作需要使用存储介质（如软盘、U盘、光盘、移动硬盘等），使用前应先进行病毒扫描，如不确定是否含有病毒或木马等恶意程序，须经信息部确认安全后方能使用。 4.4服务器硬件管理（1）对于信息机房的服务器，要求信息人员每天定时进行备份、监控和检查，确保服务器的稳定运行。（2）对于信息机房以外的服务器，由相关信息人员负责此类服务器的数据备份工作，并定期对此类服务器进行检查；相关操作人员发现服务器异常时应立即停止操作，并及时通知信息人员处理。 4.5 数据安全管理4.5.1 数据备份（1）各服务器信息人员对于数据更新频繁的数据库，要求每天进行一次完整备份，再根据实际业务情况进行日志备份；备份操作时尽量不影响服务器正常的业务处理，避开业务高峰时段。（2）重要的数据库（HIS数据库）的备份，应同时备份到本地硬盘和异地硬盘上，并定期检查完整和安全性。（3） 备份的数据必须指定专人负责保管；计算机信息技术人员按规定的方法将数据备份后，应定期保留在稳定介质上，定期将备份介质在指定的数据保管室或指定的场所保管。 4.5.2 数据恢复步骤（1）每月对数据库进行至少一次的数据库一致性检查，发现一致性错误，及时处理,防止恢复时出现逻辑错误；（2） 核对服务器时间准确性，确保信息维护人员的手机时间和电脑时间跟服务器的时间一致，误差不得超过二秒；（3）将备用服务器的操作系统口令、数据库用户及口令、数据库代理任务等相关内容与生产服务器保持一致。 4.5.2当数据服务器发生问题时，采用如下步骤恢复（1）第一时间记录故障出现时间，以便于作恢复时点还原之用；（2）将事务日志还原至故障出现时间的前10秒钟；（3）还原成功以后，修改网络设置，让数据库可访问；（4）根据正式服务器故障情况，迅速做出判断，最短时间修复正式服务器，在业务停止之后，再将备用服务器的相关内容恢复至正式服务器。4.6应急预案4.6.1机房必须配置相应功率的不间断电源系统，不间断电源应能提供大于6-8小时的后备供电能力。当发生断电时，不间断电源自动发电，工作人员应立即检查断电原因，处理故障。4.6.2当发生网络故障时，检查核心交换机是否能正常工作,确认网络问题的原因,采取解决措施。4.6.3目前数据服务器采取双机热备，当主业务服务器发生事故时，立即将业务系统切换至备份服务器上，切换过程控制在5分钟内。检查服务器故障原因，如果是硬盘故障，检查服务器RAID,尽早更换坏的硬盘,让RAID进入正常状态。4.6.4当数据发生丢失时，通常是由于硬盘损坏又没有相应的数据冗余才会导致数据丢失,这种情况只能恢复时间最近的备份,丢失的部分要手工补齐。4.6.5服务器软件故障，由于病毒导致不能开机或不能访问数据库,这种情况要重装操作系统和数据库系统。4.6.6不同数据库同步问题，由于不同数据库应用的程序或接口程序出现故障,导致两个系统都不能正常工作,应立即停止业务系统,排除故障完毕后同时启用。5 处罚措施5.1 处罚细则（1）各部门使用网络交换、传递、发布和利用信息的各种活动，必须严格遵守国家的法律法规（中华人民共和国计算机信息网络国际联网管理暂行规定、中华人民共和国计算机信息系统安全保护条例、计算机信息系统国际联网保密管理规定）；不得从事危害国家安全，医院安全、泄露医院秘密等活动。一经发现查证属实后，视情节严重程度进行警告处分；情节极其严重，导致医院重大经济损失或机密泄露者，将由责任人负责赔偿全部损失，并给予开除和追究法律责任。（2）严禁擅自拆装医院计算机及相关设备。严禁私自更改、架设路由设备，私自动用网络设备、网线、交换机设备、重装系统、安装及卸载与工作无关计算机软件。一经发现查证属实后，初次给予警告。再次违反的，医院将给予500元/次的罚款。（3）对于人为造成计算机及相关设备损坏的，由信息部评估损坏程度，由相关责任人照价赔偿。对于鼠标键盘等外围耗材设备，如果是新的，自使用当日起，1年内人为损坏，由责任人照价赔偿或购入等价相应商品，使用1年以后损坏的根据实际情况而定。（4）部门负责人认真审核部门内的相关数据需求申请，如因个人审核不当，造成医院信息资料泄露的，一经发现查证属实后，视情节严重程度罚款200元/次。（5）各计算机相关设备使用人要严格保守本人的相关密码，如因个人密码泄露，造成医院信息资料泄露的，一经发现查证属实后，视情节严重程度罚款200元/次；情节极其严重，导致医院重大经济损失或机密泄露者，将按法律程序追偿经济损失。(6) 各部门需更换电脑使用责任人的，请到信息部登记备案（特别是有网络权限的电脑）。对于私自更换者，一经发现查证属实，将给予其部门负责人100元一次的罚款。 (7) 为保证医院各部门网络的正常运行和业务处理的高效性，医院将在工作时间对员工电脑进行随机抽查，发现下列行为之一者:a.浏览与工作无关的娱乐性网页b.大量下载占用带宽首次给予警告，再次将通报批评，并罚款200元/次。5.2 处罚