医院网络信息安全等级保护制度汇编2篇

1、医院网络信息安全等级保护制度汇编2篇卫生网络信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，我院按照*等文件的精神，根据我院自身情况，制定了*人民医院信息安全等级保护制度。一、工作目标依据国家信息安全等级保护制度，遵循相关标准规范，在我院全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为我院卫生

2、信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。二、工作原则(一)遵循标准，重点保护。遵循国家信息安全等级保护相关标准规范，结合卫生行业信息系统特点以及我院实际情况，优先保护重要卫生信息系统，优先满足重点信息安全需求。(二)行业指导，明确责任。我院严格按照国家信息安全等级保护制度有关要求，贯彻落实本院卫生信息系统安全等级保护的指导和管理工作。按照上级要求，制定“谁主管、谁负责，谁运营、谁负责”的责任制度，落实信息安全责任。(三)同步建设，动态完善。在信息系统规划设计与建设过程中，同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时

3、，应当重新调整信息系统安全保护等级，及时完善安全保障措施。三、工作机制在分管院长、院办主任的领导下，由我院信息中心落实本院卫生信息安全等级保护工作，负责对我院卫生行业信息安全等级保护工作的组织协调、监督指导，积极开展信息安全等级保护工作。按照上级相关要求，我院建立信息安全等级保护工作联络员机制，设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准，掌握本院信息安全等级保护工作动态和总体情况，代表我院与卫生行政部门以及信息安全等级保护管理部门进行日常联系和交流，协调落实本院信息安全等级保护工作。四、工作任务(一)定级备案1.我院对本单位建设与运营的卫生信息

4、系统进行自查，对未定级、定级不准的信息系统，应当按照信息安全技术信息系统安全等级保护定级指南开展定级工作。国家信息安全等级保护制度将信息安全保护等级分为五级:第-级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。我院重要卫生信息系统安全保护等级原则上不低于第三级。2.拟定为第三级以上(含第三级)的卫生信息系统，应当经信息安全技术专家.委员会论证、评审。3.确定信息系统安全保护等级后，对第二级以上(含第二级)信息系统，应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统，由卫生部报公安部备案:在各地运行、应用的分支系统，应当

5、报属地公安机关备案。(二)建设与整改。1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和信息安全技术信息系统安全等级保护基本要求等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。2.根据信息系统安全保护现状分析结果，按照信息安全技术信息系统安全等级保护基本要求.信息安全技术信息系统等级保护安全设计技术要求等国家标准，制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。3.本院应当按照信息系统安全建设整改方案，完善安全保护设施，

6、建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障卫生信息系统安全。(三)等级测评。1.系统建设整改工作完成后，应当按照信息安全等级保护管理办法要求，从全国信息安全等级保护测评机构推荐目录中选择等级测评机构，对第三级以上(含第三级)卫生信息系统进行等级测评。2.测评合格后，应当将测评报告报属地公安机关及卫生行政部门备案。3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统，可参照上述要求进行等级测评。(四)宣传培训。1.我院信息中心对本院相关部门开展等级保护政策和标准规范培训，提高本院信息安全管理人员的技术能力和管理水

7、平。2.本院应当开展内部信息安全培训，提升全员信息安全意识，规范信息安全操作行为，提高信息安全保障能力。(五)接受监督检查。1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况，并督促部机关重要信息系统责任单位开展信息安全等级保护工作。2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况，并督促本单位开展信息安全等级保护工作。五、工作要求(一)高度重视，加强领导。本院各部门要高度重视，充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。主要负责同志要负总责，分管负责同志要具体

8、抓，明确职责与任务，突出重点，将信息安全等级保护工作列入重要议事8程和工作绩效考核指标，-级抓一级，层层抓落实。(二)保障经费，加强监管。要建立经费投入机制，将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算，并加强对资金使用的监管。(三)加强沟通，密切合作。信息中心高度重视医院信息安全等级保护管理工作，应当加强与各级卫生行政部门的沟通交流，建立协作机制，在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作，共同推进信息安全等级保护工作。医院信息安全等级保护制度一、用户管理制度:1、信息科不得向任何人透漏员工的账号和密码。2、医院员工

9、对本人账号和密码必须遵守以下规定:(1)新员工凭人事科报到单，到信息科配置账号和密码;员工离院时:到信息科注销账号和密码;人事科凭信息科“已注消账号和密码”的依据同意员工调出或离院;财务科凭信息科“已注消账号和密码”的依据结付相关费用。(2) 员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上，并每隔60天定期修改密.码，对有疑问的密码应及时修改。(3)任何人员不得使用他人的账号和密码，也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员，并在离开终端时及时退出计算机系统。(4)密码可以是字母与数字的组合。二、系统操作分级管理制度1、本院系统管理首先确定为管理对象重要

10、级别。从1-3级别区分，以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为信息科主任与服务器管理员。所能操作人员仅限于服务器最高权限的管理员。采取统一入口管理。对于一些重大操作，必须有文字记录。3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为信息科主任与信息科工作人员。对于一些重大操作，必须有文字记录。4、三级设备为安装在各使用部门的电脑，密码由相关科室设备负责人自行保管。5、对于设备具体分级细则，在遵循以上原则的情况下，细节由信息科内部协商判断而制定。6、对于密码，数据泄露，造成业务中断，或相关私密

11、数据泄露。将临时通过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后，上报医院存档。三.网络运行监控、防病毒、防入侵、桌面管理措施1、为了保护我院数据与网络的安全，保证网络的正常运行，促进网络更好的应用和发展，制定本制度。2、利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信。3、利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全。4、利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝。5、利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内。6、利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作。7、利用防火墙及服务器.上的审计记录，形成一个完善的审计体系，建立第二条防线。8、根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。9、对网络边界点的数据进行检测，防止黑客的入侵;10、对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改;11、监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作;12、对用户的非正常活动进行统计分析，发现入侵行为的规律;13、实时对检测到的入侵行为进行报警、阻断，能够与防火墙/系统联动;14、对关键正常事件及异常行为记录日志，