《医院信息系统安全管理制度范文.docx》由会员分享,可在线阅读,更多相关《医院信息系统安全管理制度范文.docx(15页珍藏版)》请在金锄头文库上搜索。
1、 医院信息系统安全管理制度范文 为加强医院网络管理,规范操作流程,维护网络正常运行,应制定规范的医院信息系统安全管理制度。下面小编为大家整理了有关医院信息系统安全管理制度的范文,希望对大家有帮助。 医院信息系统安全管理制度篇1 一、总则 切实保障全院计算机网络的安全,根据国家及地方法规、JCI标准中医院设施管理与安全标准,制定本安全管理制度。 1、本安全管理制度适用于本院信息系统管理。 2、本安全管理制度由信息科负责监督实施。当存在本院计算机网络及计算机机房的安全威胁时,信息科主任负责及时上报行政总值班或分管副院长,设备科、后勤部和保安部配合采取相应措施。 3、每3年对本制度的执行情况进行评估
2、,必要时可重新修订本安全制度 二、信息科员工安全职责 1、信息科员工应当熟悉计算机软、硬件的相关业务知识和防火防盗安全规定,掌握防火器材的操作使用方法,做好本岗位的防火防盗工作。 2、每3个月检查计算机软、硬件的状态,使之保持完好。 3、安全培训:信息科新员工应参加全院岗前培训,并通过消防知识的培训后,方可上岗作业。信息科员工应当完成年度安全培训。 4、安全操作规定: (1)维护带电设备时应拔掉电源,确认处于无电状态,并释放手上静电。 (2)带电测试电脑时,不得接触内部电线。 (3)进入医疗区域维修时,应带好相应的防护设备,维修结束后注意进行消毒处理。 (4)维修时防止利器刺伤。如被刺伤应及时
3、到医疗部统一处理。 5、安全管理规定: (1)遵守医院各项规章制度,遵守劳动纪律。 (2)做好应急值班工作。保证应急电话畅通,应答及时。 (3)保持计算机室清洁无尘,机房内严禁吸烟。 (4)保持工作环境整洁,不乱丢杂物,及时清理工作台上的磁盘和书籍等物品。 (5)正确操作、使用各类计算机设备,杜绝不必要的设备损坏。 (6)保持数据的安全和保密。查询数据原则上由责任部门执行,任何非程序查询必须由院级领导同意并签字。特殊数据查询遵循医务科批复流程。 (7)禁止无关闲杂人员进入计算机室。 (8)下班前关闭办公用电脑、电源。 6、巡查与报告: (1)每天巡视机房,检查服务器性能并签名。 (2)每月巡视
4、交换机房,检查交换机房环境。 (3)节假日,值班人员负责本院计算机安全评估。遇有灾害性天气或特殊情况,加强防范。 (4)在检查中发现的隐患要及时报告科主任,科主任根据问题严重性上报分管院长。 三、终端用户安全职责 1、连入网络的各科室和个人办公工作站必须严格执行安全保密制度,并对所提供的信息负责。不得利用计算机和网络从事违反国家法律、法规、泄露医院机密的活动。 2、任何科室和个人不得在本院联网计算机上制作、查阅、复制和传播危害国家安全、有碍社会治安和有伤风化的信息和淫秽、色情资料。 3、不允许在网络上进行干扰网络用户、破坏网络服务和网络设备的活动。 4、除信息科外其他科室或个人不得以任何方式试
5、图登陆网络服务器和网络交换机等设备进行修改、设置、删除等操作;不得盗窃、破坏网络设施。 5、不得利用各种网络设备或软件技术从事账号及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。严禁在本院联网计算机上使用未经信息科主任批准的软件。 6、系统软件、应用软件及信息数据必须实施保密措施。信息资源保密等级分为: (1)可向因特网公开的; (2)可向院内公开的; (3)可向部门(科室)公开的; (4)仅限于个人使用的。 7、院内各科室和个人需要联入因特网,必须提交经科主任审定后的申请报告,由分管院长或院长审批同意后,由信息科负责实施开通。 8、联网用户必须使用由信息科分配的IP地址,严禁私自
6、设置IP、盗用IP地址。 9、医院对外发布信息的WEB服务器的内容必须经科主任审核,由科主任签署意见,需经分管院长或院长审批,办公室(宣传科)备案后,由信息科链接其对外的信息。 10、员工应对输入计算机的数据准确性负责,不得随意增减或删除有效数据。 四、网络运行监控、防病毒、防入侵、桌面管理措施 1、为了保护我院数据与网络的安全,保证网络的正常运行,促进网络更好的应用和发展,制定本制度。 2、利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信。 3、利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全。 4、利用防火墙对
7、来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝。 5、利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内。 6、利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作。 7、利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线。 8、根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。 9、对网络边界点的数据进行检测,防止黑客的入侵; 10、对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改; 11、监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作;
8、 12、对用户的非正常活动进行统计分析,发现入侵行为的规律; 13、实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动; 14、对关键正常事件及异常行为记录日志,进行审计跟踪管理。 15、进行统一的安全策略管理和集中的防病毒监控。安装防病毒系统,支持在WindowsLinux和MSExchange等各种主流系统上实现防病毒保护,实时监视系统病毒活动全面查杀病毒、蠕虫、木马、恶意Java/ActiveX程序等,提供灵活多样的病毒修复和处理方法,其病毒检测处理技术处于业界领先地位。 16、内外网物理隔离,在内网客户端上,禁止使用USB存储设备。 17、制定病毒库更新管理机制。见:病毒库更
9、新管理机制章节。 第二节 硬件、软件和程序管理制度 一、总则 1、除信息科的专业人员外,严禁私自拆卸或调换计算机部件和相关的电脑外设。 2、只有特定的硬件和软件配置才允许应用于医院网络系统中,所用软件必须由信息科安装,已安装的软件不得修改。 医院信息系统安全管理制度篇2 一、信息系统安全包括:软件安全和硬件网络安全两部分。 二、计算机中心人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障。 三、对系统用户的访问模块、访问权限由使用单位负责人提出,交信息化领导小组核准后,由计算机中心人员给予配置并存档,以后变更必须报批后才能更改,计算机中心做好变更日志存
10、档。 四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。 五、计算机中心人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生。 六、网络系统所有设备的配置、安装、调试必须由计算机中心人负责,其他人员不得随意拆卸和移动。 七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的工作。 八、严禁自行安装软件,特别是游戏软件,禁
11、止在工作用电脑上打游戏。 九、所有进入网络的软盘、光盘、U盘等其他存贮介质,必须经过计算机中心负责人同意并查毒,未经查毒的存贮介质绝对禁止上网使用,对造成“病毒”蔓延的有关人员,将对照计算机信息系统处罚条例进行相应的经济和行政处罚。 十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过U盘等存贮介质拷贝文件到内网终端。 十一、内网用户所有文件传递,一律通过网上办公系统和FTP服务器专门的上载、下载区进行,不得利用软盘、光盘和U盘等存贮介质进行拷贝。 十二、保持计算机硬件网络设备清洁卫生,做好防尘
12、、防水、防静电、防磁、防辐射、防鼠等安全工作。 十三、计算机中心人员有权监督和制止一切违反安全管理的行为。 医院信息系统安全管理制度篇3 总则 第一条 为加强医院网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据中华人民共和国计算机信息系统安全保护条例等有关规定,结合本医院实际,特制订本制度。 第二条 计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条 医院办公室下设信息中心,专门负责本医院范围内的计算机信息系统安全及网络管理工作。 第一章 网络管
13、理 第四条 遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。 第五条 各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网(需入网的电脑需打报告)。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘
14、等介质。 第六条 禁止未授权用户接入医院计算机网络及访问网络中的资源,禁止未授权用户使用BT、迅雷等占用大量带宽的下载工具。 第七条 任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。 第八条 医院员工禁止利用扫描、监听、伪装等工具对网络和服 务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。 第九条 计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。 第十条 IP地址为计算机网络的重要资源,计算机各终端用户应在信息中心的规划下使用这些资源,不得擅自更改。另外,某些系统服务对网络产生影响,计算机各终端用户应在信息中心的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行。医院各部门科室原则上只能使用一台电脑上外网,根据部门内部需要,由部门负责人统一调配。若有业务需求需要增加时,由业务部门上报办公室审批,并报信息中心处理。 第二章 设备管理 第十一条 凡登记在案的IT设备,由信息部门统一管理 第十
