医院信息化安全管理办法

信息化安全管理办法第一章 总则第一条 根据《中华人民共和国计算机信息系统安全保护条例》、及其他有关法律、法规，结合医院实际，制定本规定。第二条 本制度适用于医院所有部门的网络、计算机及附属设备和电子数据的管理，是计算机信息系统组织机构管理、网络用户管理、维护人员管理、安全建设管理的依据。第三条 计算机信息系统是指计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第四条 各科室计算机及设备资产安全管理由各科室主任直接负责，信息科主要负责计算机信息化的管理工作。第五条 医院信息系统安全管理的基本任务是保障计算机及其相关配套设备、设施(含网络)的安全，保障信息系统运行环境的安全，保障信息的安全，维护计算机信息系统的安全运行。第二章 信息化安全管理机构及其职责第六条 信息科是医院信息系统安全的管理部门，负责制定计算机信息系统安全防范策略、做出风险分析、建立安全保障体系。第七条 医院各科室的计算机信息系统安全管理实行主管领导负责制，由使用计算机信息系统的科室主任负责本科室计算机信息系统的安全工作，并对上一级主管负责。第八条 计算机信息系统安全管理岗位的主要职责：一、 全面负责本单位计算机信息系统的安全管理、监督检查和指导计算机安全方面的工作；二、 负责制定具体的安全管理办法和规章制度，检查规章制度的执行落实情况；三、 负责对计算机信息系统的新建、改建、扩建工程进行安全指导；四、 负责进行安全系统建设使用和管理的验收；五、 负责开展计算机信息系统安全的保护宣传教育工作，进行使用人员的教育培训；六、 负责向公安部门办理有关备案手续，协助查处事故安全管理方面的其它工作。第三章 信息系统安全建设第九条 计算机信息系统的设计、开发、运行等环节，应遵守国家有关信息系统安全标准和安全规范。第十条 计算机机房的新建、改建、扩建（含内部装修）必须按照国家有关规定和技术规范进行。计算机机房附近施工，不得危害计算机信息系统的安全。第十一条 信息系统安全管理人员管理规范一、 信息系统安全管理人员应当业务素质高、遵纪守法、恪尽职守，必须责任心强，工作认真负责；并且具有较强的安全意识、法律观念、技术知识和管理水平，能预防、处理或针对计算机信息系统进行的违法犯罪活动，能预防、处理各种安全事故，能进行软件系统的正常升级维护。二、违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。三、信息系统安全管理人员严禁越权操作，对重要的计算机信息处理系统应分级加设系统口令，以防机密信息的泄露。四、信息系统安全管理人员要加强对信息、网络、安全平台的监控，发现问题及时报告，并保留原始记录。同时采取积极措施进行挽救。发现严重违反法律法规的事件时，在向上级报告的同时，应按照国家有关规定，采取删除有关信息、关闭有关端口、地址等措施。五、信息系统安全管理人员对涉密网络设备和服务器的管理员口令设置其长度必须超过6位字符并满足密码复杂性的要求，并保证每三个月至少更换一次。六、信息系统安全管理人员对重要的资料档案要妥善保管，以防丢失泄露。机房内废弃的打印纸及磁介质等，应按国家有关规定进行销毁。七、信息系统安全管理人员必须严格遵守保密制度，保证系统数据、信息、资料的准确、完整、安全。八、信息系统安全管理人员调离岗位时，必须严格办理调离手续，承诺其调离后的保密义务；相关管理人员必须立即更换相关用户和密码。涉及医院核心技术的计算机安全人员调离公司时，必须进行离岗审计，并在规定的脱密期后，确认对医院安全不会造成危害后方可调离。第四章 数据、资料和信息的安全管理第十二条 医院内部建立信息分类管理制度：第一类为医院涉密信息，按照医院保密管理规定涉密信息要严格按照发送范围分发，阅知人要在有保密措施的环境中阅知并严禁扩大阅知范围。第二类是医院内部信息，此类信息只能在医院内部网中传递，任何人未经批准不得通过互联网向外传递；第三类是医院宣传信息，此类信息由宣传科负责，任何人和任何部门都无权对外发布任何医院信息。第十三条 信息科必须建立资料管理登记簿，详细记录资料的分类、名称、用途、借阅情况等，便于查找和使用。第十四条 医院涉密数据的存储和传输应当按照国家保密局和公安部保密规定配有相应的加密措施。第十五条 医院写有涉密文件、资料的存储介质不使用时应存放在铁皮柜内锁好，严禁乱丢乱放，并设专人保管。第五章 奖惩办法第十六条 对在计算机信息系统安全保护工作中成绩显著的单位和个人，由信息科向上级主管部门提议给予表彰、奖