《医院信息安全管理制度(系列).doc》由会员分享,可在线阅读,更多相关《医院信息安全管理制度(系列).doc(11页珍藏版)》请在金锄头文库上搜索。
1、医院信息安全管理制度系列本制度系列所管辖医院信息包括医院在运行管理中涉及到的基本信息(人、财、物)、运行信息(各类业务工作与质量安全管理资料数据)和管理信息(投资发展、人力资源开发与利用、发展战略研究),统称为“医院信息”。依据中华人民共和国保密法、医疗质量管理办法,制定此制度系列。一、医院数据、资料信息安全管理制度医院内部的数据、资料信息安全管理尤为重要,如涉及全院的工作统计数据、质量与安全评价分析相关的数据、与医疗纠纷有关的信息、医院管理与建设重大决策信息、医院经济管理相关的信息等,院领导认为不宜通过“三重一大”公示的信息,均属于保密信息,必须实行安全管理,规定如下: (一)任何人未经院领
2、导批准,不得在公众场合、公共媒体发布医院涉密信息。 (二)医院各职能部门和业务科室,对自身所涉密的医院信息,有保密的义务和责任。 (三)不属于分管职能内的涉密信息,不得向其他部门和个人打探。 (四)任何员工不得以谋利为目的,散布、出卖、交换医院涉密信息。 (五)任何员工不得以泄私愤、图报复,散布和出卖医院涉密信息。 违反以上各条,医院有权追究泄密人的相应责任。二、医院网络系统安全管理制度 (一)为了保证医院网络的正常运行,保护医院网络系统的安全和网络用户的使用权益,特制定本安全管理制度。 (二)本管理制度所称的医院网络系统是指在医院信息系统中,由计算机及配套设施构成的,按照医院网络信息系统的应
3、用目标和规定,对数据进行采集、加工、存储、传输、检索等处理的人机系统。 (三)医院网络系统安全管理是通过实施身份认证、访问控制与授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和与之相配套的管理制度,保障网络主机及配套设备、设施的安全,网络运行环境的安全,从而达到保障计算机网络系统安全运行和信息安全的目的。 (四)信息科负责医院计算机网络系统的安全管理工作,确保对计算机网络系统安全管理的有效性。 (五)计算机网络系统的建设和应用应遵守上级主管部门颁发的行政法规、用户手册和其他相关规定。 (六)计算机网络系统实行安全等级保护和用户
4、使用权限划分。安全等级和用户使用权限的划分和设置由信息科负责制定和实施。 (七)计算机入网运行必须经信息科批准备案,分配IP地址后,方可接入网络。 (八)要对重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理,严格控制设备存取及加密,未经允许严禁外来盘片带入机房对服务器进行安装等,不准将机器设备和数据带出机房。 (九)未办理入网手续,任何单位和个人不得非法私自将计算机接入医院网络,不得以不真实身份使用网络资源,不得窃取他人账号、口令使用网络资源,不得盗用未经合法申请的IP地址入网。未经信息科允许,任何单位或个人不得擅自接纳网络用户。 (十)应根据网络主机不同的安全级别采取相应的访问控
5、制、数据保护、保密监控管理和系统安全等技术措施。 (十一)信息科定期对网上用户的访问及授权情况进行检查,及时发现和限制非法用户和非授权访问。 (十二)要按要求对数据进行日备份、月备份和年备份。严格按操作规程进行数据备份工作,确保备份数据的完整和准确性,做好备份数据的审核工作,并做好相应记录。要确保导出、导入数据的完整和准确,并做好导出、导人数据的审核工作和相应记录。 (十三)加强边界安全的防护,应根据安全区域划分情况明确需进行安全防护的边界,并实施有效的访问控制策略和机制。 (十四)应在网络系统或安全域边界的关键点采用严格的安全防护机制,如严格的登录链接控制,高性能的防火墙、防病毒网关、入侵防
6、范、信息过滤、边界完整性检查等。 (十五)要实施必要的边界访问、违规外联的审计和控制。 (十六)应采用必要的手段(如入侵检测系统、日志分析、网络取证分析等)对系统内的安全事件进行监控,检测攻击行为并能发现系统内非授权使用情况。 (十七)应禁止系统内用户非授权的外部链接(如自动拨号、违规链接和无线上网)。 (十八)应部署有效的网络病毒防范软件系统和相应的网络病毒防范管理办法,实施对计算机网络病毒的有效防范。 (十九)要制定文档化的明确的计算机病毒和恶意代码防护策略,以及确保策略有效实施规章制度。 (二十)应在系统内关键的入口点以及各工作站、服务器和移动计算机设备上采取计算机病毒和恶意代码防护措施
7、。 (二十一)应制定文档化的信息系统备份和恢复的策略,建立健全备份和恢复的管理制度和操作规程。 (二十二)备份包括关键业务数据的备份、关键业务设备(如服务器、交换机等)的备份和电源备份。对重要信息系统(如HIs系统)的关键设施(如服务器)采取热备份。 (二十三)应定期备份和对恢复策略进行测试,以保证其有效性。要有系统恢复的预案和演练。 (二十四)应根据业务的重要程度、信息系统的资产价值等进行相应的需求分析,确定系统恢复的目标,如:关键业务功能、恢复的优先顺序、恢复的时间范围。 (二十五)为确保医院计算机局域网络运行安全,要在有效部署防火墙、入侵检测和防病毒系统的情况下,实施远程接入。医院业务网
8、(内网)与远程接入(外网)业务的物理隔离。凡涉密的计算机主机不得与互联网(Internet)链接。 (二十六)任何部门和个人使用医院网络提供的远程接人服务必须向信息科申请。入网用户的用户名和IP地址是用户在医院局域网上的合法标识,也是对用户收费的重要依据,一经指定不得擅自更改。 (二十七)未经信息科批准,任何个人或部门不得为外单位人员提供电子邮件或其他网络服务。 (二十八)所有入网用户,应当遵守国家有关法律、法规及医院的有关规章制度,严格执行安全保密制度,不得利用计算机网络从事危害国家安全、损害医院利益等违法、违规活动,不得制作、查阅、复制和传播扰乱社会治安、有伤风化、淫秽色情等信息,不得利用
9、网络攻击、损害公用网络和其他用户。否则,医院有权停止对其提供的服务;由此造成的不良后果由用户承担。 (二十九)使用计算机机网络系统的部门和个人必须遵守计算机安全使用的规定,对计算机网络系统发生的问题和故障要立即向信息中心报告。 (三十)用户不得从事下列危害计算机网络安全的行为: 1、未经允许,进入计算机网络系统或使用网上信息资源: 2、私自转借或转让用户账号,盗用他人账号或IP地址: 3、未经允许,对网上应用系统的功能进行删减或更改: 4、未经允许,对计算机网络的存储、处理或传输数据和应用程序进行删减或更改; 5、故意制作、传播计算机病毒等破坏程序,使用任何工具破坏网络正常运行; 6、破坏、盗
10、用计算机网络中的信息资源和危害计算机网络安全; 7、其他危害计算机网络安全的行为。 上述违规造成医院损失的,依照有关法律、法规及医院有关处罚规定进行处理,情节严重者移交公安机关处理三、涉密数据保密管理制度 (一)任何科室和个人不得利用涉密计算机网络系统泄漏属于医院内部秘密的信息数据,危害医院、员工和患者的合法权益;不得从事其它违法犯罪活动。涉密单位和涉密人员应当遵守保密法律法规,认真执行国家和省制定的涉密计算机网络系统的保密规定。(二)涉密计算机网络系统的单位保密管理实行领导负责制,并制定部门或专人负责具体的日常管理工作。并保持计算机保密管理人员相对稳定。 (三)涉密计算机网络系统工作人员定期
11、进行保密教育和检查。涉密计算机信息系统的系统管理人员应当经过严格审查,定期进行考核,并保持相对稳定。(四)涉密人员调离岗位,应当履行国家规定保守秘密的义务。 (五)涉及医院秘密的数据,必须按照保密规定进行采集、存储、处理、传递、使用和销段。(六)计算机存储、处理、传递、输出的涉密信息要有相应的密级标识且不得与正文分离,输出的涉密文件按相应密级文件管理。 (七)涉密医院信息和数据不得在与公用网络联网的计算机信息系统中存储、处理、传递,涉密信息一律不得在网上发布。 (八)涉密计算机必须设置口令保护,根据密级确定口令长度与更换周期,实行专人专用,严禁以任何方式登录国际互联网或与互联网物理连接。(九)
12、存储涉密信息的媒体应按所存储信息的最高密级标明密级,并按相应密级文件管理制度管理,存储过涉密信息的计算机媒体不能降低密级使用,维修存储过涉密信息的计算机媒体应到部门指定维修点维修,有人全程跟踪,保证存储的秘密信息不被泄露。 (十)储涉密数据的计算机硬盘或其它存储介质不得擅自更换或者报废。确需更换或者报废的,应当经院领导批准后,交医院的网络管理部门进行登记、封存,或者按规定销毁。(十一)涉密单位应当将涉密数据与备份数据分别保存在单位内不同的地点。有条件的,应实行异地容灾备份。不得在便携式计算机上存储涉密信息。(十二)发现计算机信息泄密后应立即采取补救措施,并按规定及时报告保密部门。四、信息提供、
13、发布和上网保密审查制度 1、信息提供、发布、上网实行保密审查、领导审批和登记备案制度。 2、信息发布、上网,坚持涉密不公开、公开不涉密和谁上网、谁负责的原则。 3、对涉密信息确需对外发布、上网的,应采取解密或者删除、改编、隐去等保密措施,并经主管部门或保密工作部门审定。 4、接受记者采访,不得涉及医院秘密内容。五、计算机设备管理制度 (一)计算机及其辅助设备是实现现代化管理的工具,各科室有关工作人员都要结合本职工作利用计算机手段来提高工作效率。 (二)各科室购置和上级分配给予的计算机和辅助设备均属固定资产,统一由计算机中心负责维护,各科室由电脑管理员专人负责管理和使用。 (三)服务器、计算机及
14、辅助设备和其他应用软件所配的专用磁盘、光盘,由中心专人登记管理入账,每年清点一次。 (四)计算机的备件、易耗件、磁盘及有关资料的购买,由信息管理部门统一申请,经科室负责人并上报院长同意后,由后勤采购进行统一购置,统一给各科室配置。 (五)计算机、服务器、网络通讯电缆设备,未经信息部门同意不得拆装、移动。 (六)计算机和辅助设备需检修,应报告计算机中心专业工作人员,由计算机中心有关人员检修,若需外单位修理,由领导会同有关部门商量后办理。 (七)对外来磁盘要先杀毒,后使用。各计算机一旦发现病毒,必须立即清除,否则不得使用该计算机,更不能向服务器上传数据。 (八)外来人员未经科室领导和专业人员同意不
15、得操作计算机,以免发生病毒感染和其他损失。 (九)不得在计算机上进行与工作无关(如做游戏、下棋、打扑克等)的操作。六、服务器机房管理制度 为保证网络中心设备与信息的安全,保障机房有良好的运行环境和工作环境,作如下规定: (一)各门钥匙由指定的专人保管,不能随意转借。丢失要声明。出入请随手关门。 (二)要有安全防范意识,节假日值班人员不得擅离岗位。早进入、晚离开时要检查设备情况,离开时查看灯、门、窗、锁是否关闭好。 (三)易燃易爆品不准带入机房,机房及周边地区严禁烟火,不能明火作业,机房一律禁止吸烟。(四)机房工作人员要有防火意识,出现异常情况应立即报警,切断电源,用灭火设备扑救。 (五)非工作人员严禁进入服务器机房,特殊情况要事先征得院长或主管副院长的同意,未经许可一律不准触碰开关和设备,否则后果自负。 (六)机房内的一切公用物品未经许可一律不得挪用和外借。 (七)机房内不准大声喧哗,机房卫生由工作人员定期负责清扫,保持清洁。 (八)网管员负责机房的
