医院软件安全管理制度.doc

密密 级级 内部内部 文档编号文档编号 ZFCG gamyy clwd zcgl 003 中国中医科学院广安门医院中国中医科学院广安门医院 软件安全管理制度软件安全管理制度 Ver1 0Ver1 0 中国中医科学院广安门医院中国中医科学院广安门医院 二二 七年十一月七年十一月 第 2 页 共 9 页 文档控制文档控制 拟 制 审 核 批 准 标准化 读 者 版本控制版本控制 版本提交日期相关组织和人员版本描述 Ver1 0 分发控制分发控制 编号读者文档权限与文档的主要关系 1 2 3 第 3 页 共 9 页 维护控制维护控制 文档名称 中国中医科学院广安门医院软件安全管理制度 机密分类 内部 版本号定版日期作者更新说明 V1 0 版本控制 姓名科室 文档部分所有者 文档审定 复查时间复查结果 复查计划 发布批准人 人员文档权限与文档的主要关系 分发控制 第 4 页 共 9 页 目录目录 第一章概述 5 第二章软件采购 安装和测试 5 第三章软件登记和保管 5 第四章软件使用与维护 6 第五章应用软件开发 6 第一节 软件开发 6 第二节 软件二次开发 7 第六章软件的防病毒 8 第七章文档声明 9 第 5 页 共 9 页 第一章第一章 概述概述 软件管理的范围包括对操作系统 应用软件 数据库 安全软 件 工具软件的采购 安装 使用 更新 维护 防病毒的管理 第二章第二章 软件采购 安装和测试软件采购 安装和测试 第一条第一条信息系统所使用的操作系统 应用软件 数据库 安 全软件 工具软件等必须是正式版本 严禁使用测试 版和盗版软件 第二条第二条重要的操作系统和主要应用软件必须在安全管理员的 监督之下进行安装 注意清理操作系统中默认选项 第三条第三条软件安装后 须使用可靠检测软件或手段进行安全性 测试 了解其脆弱性 并根据脆弱性程度采取措施 使风险降至最小 第三章第三章 软件登记和保管软件登记和保管 第四条第四条软件安装后 原件 盘 应进行登记造册 并由专人 保管 第五条第五条软件更新后 软件的新旧版本均应登记造册 并由专 人保管 旧版本的销毁应受严格控制 第 6 页 共 9 页 第四章第四章 软件使用与维护软件使用与维护 第六条第六条操作系统和数据库管理系统以及安全软件应由专人负 责 系统安全管理员应由政治素质可靠 工作及业务 责任心强的人担任 负责对系统和管理的维护 必须 对系统运行情况进行严格的工作记录 系统工作异常 或发生与安全有关的事件时 在采取相应措施的同时 必须报安全管理组备案 第七条第七条安全管理员不得兼职应用系统管理员 第八条第八条定期对操作系统 数据库管理系统及其它相关软件进 行稽核审计 分析与安全有关的事件 堵塞安全漏洞 第九条第九条软件更新后 须重新审查系统安全状态 必要时对安 全策略进行调整 第五章第五章 应用软件开发应用软件开发 第一节第一节 软件开发软件开发 第十条第十条系统应用软件的开发必须根据信息密级和安全等级 同步进行相应的安全设计 并制定各阶段安全目标 按目标进行管理和实施 第 7 页 共 9 页 第十一条第十一条系统应用软件的开发 必须有安全管理员参与 其主 要任务是 对系统方案与开发进行安全审查和监督 负责系统安全设计和实施 第十二条第十二条开发环境和现场必须与办公环境和工作现场分开 软 件设计方案 数据结构 安全管理 操作监控手段 数据加密形式 原代码等 只能在有关开发人员及有 关管理机构中流动 严禁散失或外泄 第十三条第十三条应用软件开发必须符合软件工程规范 GB8566 88 GB1526 89 第十四条第十四条应用软件开发人员不得参与应用软件的运行管理和操 作 第二节第二节 软件二次开发软件二次开发 第十五条第十五条系统应用单位需修改或增加系统功能时应先行填写客 户化问题登记表 表样见附件一 由本科室领导签字 主管部门领导审批签字后提交信息安全办公室 本表 格一式两份 分别由信息安全办公室及提交科室备案 1 医生工作站 医技科室工作站需有医教处长签字 2 护士工作站及相关程序需有护理部主任签字 3 收费 挂号 住院系统需有财务处长签字 4 药房 药库及相关程序需有药剂科主任签字 第 8 页 共 9 页 第十六条第十六条信息安全办公室室收到客户化问题登记表后 分析提 出问题的合理性与可实施性 必要时与用户讨论 最 后将用户需求以电子文档和文字形式提交软件公司或 由信息安全办公室进行处理 不能修改的将信息反馈 给使用科室 第十七条第十七条信息安全办公室收到医院改动后的程序后 须经过本 科室及应用科室进行严格的测试 测试完成后填写软 件测试报告 表样见附件二 本报告一式两份 分别 交由信息安全办公室及提交科室备案 第十八条第十八条程序如存在问题进一步进行修改 如测试正常 进行 软件更新 更新过程中填写软件更新说明表 表样见 附件三 本表格一式两份 分别交由信息安全办公室 及提交科室备案 第十九条第十九条如出现程序 bug 则直接进行程序更新 第六章第六章 软件的防病毒软件的防病毒 第二十条第二十条计算机必须安装经国家认可的防 杀病毒软件产品 第二十一条第二十一条安全维护工作组定期组织计算机系统的杀灭病毒的工 作 第二十二条第二十二条不得使用未经批准和检测的外来软件或磁盘 光盘 不允许在计算机上玩游戏 第二十三条第二十三条发现病毒后立即使用病毒工具进行检测和杀毒 如不 第 9 页 共 9 页 能完全消灭病毒时 立即上报并暂停工作 第二十四条第二十四条对于染毒次数 杀毒次数 杀毒后果进行详细记录 不得隐瞒不报 第七章第七章 文档声明文档声明 第二十五条第二十五条为了确保可用性和