医院信息安全制度汇总

医院信息安全制度汇总医院网络系统安全管理制度一、为了确保医院网络正常运行，保护医院网络系统安全和网络用户使用权益，特制订本安全管理制度。二、本管理制度所称医院网络系统是指在医院信息系统中，由计算机及配套设施组成，根据医院网络信息系统应用目标和要求，对数据进行采集、加工、存放、传输、检索等处理人机系统。三、医院网络系统安全管理是经过实施身份认证、访问控制和授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和和之相配套管理制度，保障网络主机及配套设备、设施安全，网络运行环境安全，从而达成保障计算机网络系统安全运行和信息安全目标。四、信息科负责医院计算机网络系统安全管理工作，确保对计算机网络系统安全管理有效性。五、计算机网络系统建设和应用应遵守上级主管部门颁发行政法规、用户手册和其它相关要求。六、计算机网络系统实施安全等级保护和用户使用权限划分。安全等级和用户使用权限划分和设置由信息科负责制订和实施。（注释：以下为身份认证）七、计算机入网运行必需经信息科同意立案，分配IP地址后，方可接入网络。八、要对关键主机用户名、开机口令、应用口令和数据库口令实施关键管理，严格控制设备存取及加密，未经许可严禁外来盘片带入机房对服务器进行安装等，严禁将机器设备和数据带出机房。九、未办理入网手续，任何单位和个人不得非法私自将计算机接入医院网络，不得以不真实身份使用网络资源，不得窃取她人账号、口令使用网络资源，不得盗用未经正当申请IP地址入网。未经信息科许可，任何单位或个人不得私自接纳网络用户。（注释：以下为访问控制和授权管理）十、应依据网络主机不一样安全等级采取对应访问控制、数据保护、保密监控管理和系统安全等技术方法。十一、信息科定时对网上用户访问及授权情况进行检验，立即发觉和限制非法用户和非授权访问。十二、要按要求对数据进行日备份、月备份和年备份。严格按操作规程进行数据备份工作，确保备份数据完整和正确性，做好备份数据审核工作，并做好对应统计。要确保导出、导入数据完整和正确，并做好导出、导人数据审核工作和对应统计。（注释：以下为安全分域及边界防护）十三、加强边界安全防护，应依据安全区域划分情况明确需进行安全防护边界，并实施有效访问控制策略和机制。十四、应在网络系统或安全域边界关键点采取严格安全防护机制，如严格登录／链接控制，高性能防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检验等。十五、要实施必需边界访问、违规外联审计和控制。（注释：以下为入侵检测）十六、应采取必需手段（如入侵检测系统、日志分析、网络取证分析等）对系统内安全事件进行监控，检测攻击行为并能发觉系统内非授权使用情况。十七、应严禁系统内用户非授权外部链接（如自动拨号、违规链接和无线上网）。（注释：以下为防病毒系统）十八、应布署有效网络病毒防范软件系统和对应网络病毒防范管理措施，实施对计算机网络病毒有效防范。十九、要制订文档化明确计算机病毒和恶意代码防护策略，和确保策略有效实施。二十、应在系统内关键入口点和各工作站、服务器和移动计算机设备上采取计算机病毒和恶意代码防护方法。（注释：以下为备份和恢复）二十一、应制订文档化信息系统备份和恢复策略，建立健全备份和恢复管理制度和操作规程。二十二、备份包含关键业务数据备份、关键业务设备（如服务器、交换机等）备份和电源备份。对关键信息系统（如HIS系统）关键设施（如服务器）采取热备份。二十三、应定时备份和对恢复策略进行测试，以确保其有效性。要有系统恢复预案和演练。二十四、应依据业务关键程度、信息系统资产价值等进行对应需求分析，确定系统恢复目标，如：关键业务功效、恢复优先次序、恢复时间范围。（注释：以下为远程接入）二十五、为确保医院计算机局域网络运行安全，要在有效布署防火墙、入侵检测和防病毒系统情况下，实施远程接入。医院业务网（内网）和远程接入（外网）业务物理隔离。凡涉密计算机主机不得和互联网（Internet）链接。二十六、任何部门和个人使用医院网络提供远程接入服务必需向信息科申请。入网用户用户名和IP地址是用户在医院局域网上正当标识，也是对用户管理关键依据，一经指定不得私自更改。二十七、未经信息科同意，任何个人或部门不得为外单位人员提供电子邮件或其它网络服务。二十八、全部入网用户，应该遵守国家相关法律、法规及医院相关规章制度，严格实施安全保密制度，不得利用计算机网络从事危害国家安全、损害医院利益等违法、违规活动，不得制作、查阅、复制和传输扰乱社会治安、有伤风化、淫秽色情等信息，不得利用网络攻击、损害公用网络和其它用户。不然，医院有权停止对其提供服务；由此造成不良后果由用户负担。二十九、使用计算机机网络系统部门和个人必需遵守计算机安全使用要求，对计算机网络系统发生问题和故障要立即向信息中心汇报。三十、用户不得从事下列危害计算机网络安全行为：1、未经许可，进入计算机网络系统或使用网上信息资源；2、私自转借或转让用户账号，盗用她人账号或IP地址；3、未经许可，对网上应用系统功效进行删减或更改；4、未经许可，对计算机网络存放、处理或传输数据和应用程序进行删减或更改；5、有意制作、传输计算机病毒等破坏程序，使用任何工具破坏网络正常运行；6、破坏、盗用计算机网络中信息资源和危害计算机网络安全；7、其它危害计算机网络安全行为。上述违规造成医院损失，依据相关法律、法规及医院相关处罚要求进行处理，情节严重者移交公安机关处理。计算机设备管理制度为确保我院计算机网络正常运行和健康发展，依据《中国计算机信息系统安全保护条例》、《中国信息网络国际互联网管理暂行要求》、和国家相关法律要求，结合我院实际情况，针对医院信息安全，特制订本要求。一、计算机及其辅助设备是实现信息现代化管理工具，各科室相关工作人员全部要结合本职员作利用计算机手段来提升工作效率。二、各科室购置和上级分配给计算机和辅助设备均属固定资产，统一由计算机中心负责维护，各科室由电脑管理员专员负责管理和使用。三、服务器、计算机及辅助设备和其它应用软件所配专用磁盘、光盘，由信息中心专员登记管理，每隔一段时间具体清点核查一次。五、计算机、服务器、网络通讯电缆设备，未经计算机中心同意不待拆装、移动。六、计算机和辅助设备需检修，应汇报计算机中心专业工作人员，由计算机中心相关人员检修，若需外单位修理，由领导会同相关部门商议后办理。七、对外来光盘、U盘等要先杀毒，后使用。各计算机一旦发觉病毒，必需立即清除，不然不得使用该计算机，更不能向服务器上传数据。八、外来人员未经科室领导和专业人员同意不得操作计算机，以免发生病毒感染或其它损失。九、不得在计算机上进行和工作无关（如做游戏、下棋、打扑克等）操作。十、计算机使用者要保持清洁、安全、良好计算机设备工作环境，严禁在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全物品。十一、严格遵守计算机设备开机、关机等安全操作规程和正确使用方法。十二、严禁自行安装任何软、硬件，严禁更改、删除任何系统文件、设置等，违反要求造成病毒传输、系统软（硬）件损坏，对整个网络造成堵塞、瘫痪等严重后果，按情节轻重严厉处理。十二、每台计算机必需安装防病毒软件，并定时对计算机进行查毒、杀毒，升级，落实预防方法。十三、各工作人员主动参与计算机知识、业务处理系统和操作技能培训，努力提升计算机操作水平，降低误操作，提升工作效率。计算机中心机房管理制度为确保网络中心设备和信息安全，保障机房有良好运行环境和工作环境，结合医院实际情况，作以下要求：一、各门钥匙由指定专员保管，不能随意转借。丢失要申明。出入请随手关门。二、要有安全防范意识，节假日值班人员不得擅离岗位。早进入、晚离开时要检验设备情况，离开时查看灯、门、窗、等是否关闭好。三、易燃易爆品不准带入机房，机房及周围地域严禁烟火，不能明火作业，机房一律严禁吸烟。四、机房工作人员要有防火意识，出现异常情况应立即报警，切断电源，用灭火设备扑救。五、非工作人员严禁进入服务器机房，特殊情况要事先取得相关部门领导同意，未经许可一律不准触碰开关和设备，不然后果自负。六、机房内一切公用物品未经许可一律不得挪用或外借。七、机房内不准大声喧哗，机房卫生由工作人员定时负责清扫，保持清洁。八、信息中心专业技术人员负责机房安全管理和检验；负责建立和统计安全日志。九、数据备份（病人信息备份）1、数据备份关系到整个信息系统正常运转，影响到全院正常医疗秩序，任务十分重大，必需含有高度责任感和一丝不苟万无一失严禁工作作风。2、数据服务器天天自动做一次数据全备份（时间设定为：0:30），第二天8:00信息科值班人员应检验备份情况，若发觉备份不成功，应立即手工备份。保留一周数据备份。3、每七天应对本周备份数据文件转存到异地工作站，确保数据万无一失。4、每个月对数据进行一次恢复试验，以确保备份数据安全可靠。工作站使用管理制度一、本制度所称医院计算机网络工作站，是指医院计算机网络中以台式电脑或笔记本电脑为中心包含所连打印机等外围设备在内计算机工作单元。医院未联网工作计算机也采取此制度进行管理。二、各个管理部门和科室中，每一工作站配置计算机、打印机等设备须指定专员使用、保管和维护，转交她人保管时需严格交接。各工作站全部使用人员必需严格遵守《医院网络系统安全管理制度》。四、计算机操作人员，不得随意操作计算机或相关设备，更不许可外来人员操作计算机。五、严禁在计算机上玩游戏或做和工作无关操作。六、严禁在医院计算机上使用来历不明光盘、软盘、U盘等存放介质。七、计算机网络上全部职员使用软件系统时均采取用户名和密码管理：1、只有院长有权向信息科索要职员用户名和密码；2、职员必需保管好自己用户名和密码，因用户名和密码保管不善造成经济损失，概由操作人员自己负责；3、职员密码应最少为六位，能够是字母和数字组合；4、新入职职员由人事科提供信息，统一由信息科分配用户名和密码。八、计算机一旦发生故障应立即汇报信息科处理。九、除计算机网络中心机房工作人员外，任何入不得拆装计算机，或私自接入其它设备。十、不间断电源计算机，在供电中止时，操作人员应立即保留数据，退出程序后按正常操作关机。十一、严格根据操作规程操作，下班前必需按程序关机，并切断电源。十二、计算机旁不准抽烟、会客，不准吃零食物喝饮料。十三、计算机旁边严禁摆放多种易燃易爆、腐蚀性或强磁物品。遇临时停电及雷电天气，应采取保护方法，避免发生意外。十四、珍惜计算机及多种相关设备，计算机主机、显示器、打印机上不能堆放杂物。十五、科室指定专员负责科内计算机通常性管理工作，定时用洁净柔软干抹布清除设备上灰尘，清洁和整理计算机工作台。十六、因维护管理不妥造成计算机硬件设备损坏，由当事人负责赔偿。十七、外来参观须报请信息科及主管院领导同意，不能向外展示和泄露医院关键业务数据。十八、违反本制度者，医院将视情节给处罚。信息资源共享、安全和保密要求医院信息系统数据库中信息资源，除信件、私人文档等纯属个人物品外，其它全部行政和医疗管理类信息及病人临床信息均归医院全部，任何个人或组织、部门均不得视信息为私有或部门全部。信息全部权和信息发生地和录入者没相关系。一、不经主管部门同意，任何部门或个人均无权将医院信息系统数据库中任何信息资源有偿或无偿地转移给院外用于任何目标。违反本要求个人或部门责任人将会受到对应行政处罚直至追究法律责任。二、医院信息系统数据库中信息资源共享权限要依据本要求标准制订，由信息科负责解释和实施。三、信息系统建设关键目标之一就是要实现快速、正确、完整信息传输和共享。信息共享是双向。实际上，没有任何一个部门不需要共享其它部门资源。任何一个部门无权拒绝其它部门对本部门负责录入和管理数据共享，当然，这种共享必需是经过授权、正当。四、各部门对信息录入必需确保其立即、正确和完整。五、医生有权从计算机中读取许可其处理个体病人全部诊疗信息并用于辅助诊疗。不许可任何部门和个人采取任何借口和手段给予拒绝。医生无权成批地检索病人信息，如因教学、科研确有需要，需经主管部门同意。六、医生不得不经信息发生和录入部门同意私自将计算机中病人信息用于科研、教学和任何公开发表文件中。七、对临床应用来讲，公布给全院计算机屏幕显示病人检验、化验结果，图形、图像应该和其它介质公布结果相一致，而且拥有相同效力。信息产出科室对录入并公布计算机内数据、结果和对其它介质公布数据、结果负有相同责任。八、未经医务科和主管院长同意，我院提供给病人、院外和进病案多种检验、化验结果正式汇报仍保留现有形式和管理制度，由医技科室签字后发出。九、鉴于现在计算机系统所固有安全缺点，凡对保密有特殊要求信息要严格遵守相关保密制度，不准入机一律不得录入系统。不清楚要立即请示医院计算机信息系统安全保密领导小组。十、计算机系统应设置用户许可和保密口令，许可用户方便地更换口令。口令应设置防盗机制。因使用者用户名和口令失密而造成过失或损失，由用户名和口令拥有者负责。十一、作为计算机机内电子数据备份，用户应按要求保留纸介质原始统计足够长时间，不管这些统计是在录入之前就存在或是录入以后打印。涉密数据保密管理制度为保持医院信息系统正常运行，保护集体数据财富，保障医院友好发展，遵照《中国计算机信息系统安全保护条例》、《中国保守国家秘密法》等相关国家和省相关法律法规，结合医院实情情况，制订本管理要求。一、任何单位、部门、个人不得利用涉密计算机网络系统泄漏属于国家秘密信息数据，危害国家安全，损害国家、集体和她人正当权益；不得从事其它违法犯罪活动。涉密单位和涉密人员应该遵守保密法律法规，认真实施国家和省制订涉密计算机网络系统保密要求。二、涉密计算机网络系统单位保密管理实施领导负责制，并制订部门或专员负责具体日常管理工作。并保持计算机保密管理人员相对稳定。三、涉密计算机网络系统工作人员定时进行保密教育和检验。涉密计算机信息系统系统管理人员应该经过严格审查，定时进行考评，并保持相对稳定。四、涉密人员调离岗位，应该推行国家要求保守国家秘密义务。五、包含国家秘密数据，必需根据保密要求进行采集、存放、处理、传输、使用和销段。六、计算机存放、处理、传输、输出涉密信息要有对应密级标识且不得和正文分离，输出涉密文件按对应密级文件管理。七、涉密人口计生信息和数据不得在和公用网络联网计算机信息系统中存放、处理、传输，涉密信息一律不得在网上公布。八、涉密计算机必需设置口令保护，依据密级确定口令长度和更换周期，实施专员专用，严禁以任何方法登录国际互联网或和互联网物理连接。九、存放涉密信息媒体应按所存放信息最高密级标明密级，并按对应密级文件管理制度管理，存放过涉密信息计算机媒体不能降低密级使用，维修存放过涉密信息计算机媒体应到部门指定维修点维修，有些人全程跟踪，确保留放秘密信息不被泄露。十、储涉密数据计算机硬盘或其它存放介质不得私自更换或报废。确需更换或报废，应该经单位责任人同意后，交单位网络管理部门进行登记、封存，或按要求销毁。十一、涉密单位应该将涉密数据和备份数据分别保留在单位内不一样地点。有条件，应实施异地容灾备份。不得在便携式计算机上存放涉密信息。十二、发觉计算机信息泄密后应立即采取补救方法，并按要求立即汇报保密部门。信息提供、公布和上网保密审查制度一、信息提供、公布、上网实施保密审查、领导审批和登记立案制度。二、信息公布、上网，坚持涉密不公开、公开不涉密和谁上网、谁负责标准。三、对涉密信息确需对外公布、上网，应采取解密或删除、改编、隐去等保密方法，并经主管部门或保密工作部门审定。四、接收记者采访，不得包含国家秘密内容。计算机网络突发故障处理预案一、电脑网络故障电脑网络发生故障后，维护人员要结合医院分布式特点，经过操作人员反馈回来信息和现有网络检测手段，快速定位故障事件起源，明确故障事件发生范围，确定网络系统受损害程度，将情况立即通报直接上级并层层上报。经过深入分析，将故障发生类型划分为网络线路、网络交换机、服务器三大类型，确定起因是硬件故障、外力损坏、恶意攻击还是感染病毒，进而采取下一步方法。（一）网络线路故障1、通知：值班人员快速通知直接上级并层层上报。上级管理人员依据实际情况给指导和协调。2、排查：依据网络拓扑结构和故障发生范围，使用网络检测指令，确定检修线路位置。3、抢修：携带对线器、转接器、备用线、压线钳等工具，快速抵达线路故障现场，进行修复。4、验证：连接网络进行检测，确定故障得四处理。5、回复：通知故障发生点恢复使用。6、统计：对整个事件时间、现象、处理过程作出具体统计。（二）网络交换机故障1、通知：值班人员快速通知直接上级并层层上报。上2、诊疗：依据故障发生片区和网络交换机分布图，结合网络检测指令，判定出故障交换机位置。3、修复：携带电笔、改刀等常规工具，快速抵达故障交换机所在位置，经过观察交换机指示灯，确定其工作状态是否正常：假如是断电所致，立即和维修中心联络，恢复供电；假如状态锁死，立即对交换机进行复位处理；排除上述原因后假如故障依旧，立即用备用交换机对其进行更换。4、验证：连接网络进行检测，确定故障得四处理。5、回复：通知故障发生点恢复使用。6、事后：对换下交换机送修。待修复后备用。7、统计：对整个事件时间、现象、处理过程作出具体统计。（三）服务器故障1、通知：值班人员快速通知直接上级并层层上报。上级管理人员依据实际情况给指导和协调。2、诊疗：依据故障现象，初步判定是硬件故障还是软件故障，假如是硬件故障，立即断开主服务器，启用备用服务器；假如是系统软件故障，尽可能正常下机，重启服务器；假如是应用软件故障，立即联络对应应用软件技术人员（或厂商）进行远程维护。3、如故障发生在夜晚或节假日期间，首先应通知负责系统技术人员立即在15分钟内赶赴现场，并通知信息科主管组织相关人员进行抢修，上报相关领导，必需时立即联络相关企业维修部进行远程维护。（四）停电l、通知：值班人员快速通知直接上级并层层上报。上级管理人员依据实际情况给指导和协调