《{安全管理制度}医院信息科按要求信息系统安全制度.》由会员分享,可在线阅读,更多相关《{安全管理制度}医院信息科按要求信息系统安全制度.(33页珍藏版)》请在金锄头文库上搜索。
1、 管理制度题目:信息系统安全制度编号: 页码:3433附件:1 政策为医院工作人员在工作中,必须严格遵守的信息系统安全制度。2 目的保证医院信息系统的正常运行,更好地协助医务人员完成临床工作。3 标准3.1安全管理制度总则3.1.1保密协议因电脑部是医院内涉密较多的部门之一,电脑部所有在职员工、新入职员工已全部签署竞业禁止保密协议,该协议对电脑部员工的工作实现了较严格的限制和制约。3.1.2医院敏感数据定义涉及医院内经营运作的财务数据,医院经营性单位的日常运作数据,医院内员工薪资数等等可能被竞争对手利用的敏感信息。具体牵涉部门/科室:3.1.2.1医院财务部:医院运营财务数据;员工工资数据。3
2、.1.2.2医院人事部:员工资料、薪酬、花红等信息。3.1.2.3医院各科室:日常经营信息;患者病历等信息。3.1.2.4医院电脑部:医院IT资产数量、分布信息;各类自行开发软件的源代码信息;各类密码信息。3.1.3中心机房管理3.1.3.1机房设备要求3.1.3.1.1原则上一服务器带一显示器,以便于目测是否存在死机等非正常现象。3.1.3.1.2所有非电脑部的本地服务器,全部禁止安装PCAnyWhere等远程控制软件。3.1.3.1.3 UPS5000W至少两台。3.1.3.1.4空调设备必须保证机房恒温、恒湿。3.1.3.1.5备份磁带机必须处于24小时稳定运行状态。3.1.3.1.6气
3、体灭火设备可用。3.1.3.1.7本地、异地各有防火柜一台用于保管磁带。3.1.3.2机房管理3.1.3.2.1门禁权限持有者:部门经理/主任、网络安全负责人。3.1.3.2.2门禁权限持有者分工:l 部门经理/主任:掌握各类服务器核心用户及密码的设置和管理,负责监控各类数据、代码向正式应用服务器更新的过程。l 网络安全负责人:掌握上网服务器、邮件服务器的有关用户及密码,该用户的权限包括用户上网设置,网络安全管理。同时负责机房网络设备的监控、维护工作。3.1.3.3机房进出安全管理l 具备刷IC卡进入机房权限的人员,如单独进入机房进行日常维护检查,则无须进行进出登记。但每月月报中要递交IC卡出
4、入机房的人员、时间的记录数据。l 严禁非机房工作人员进入机房,特殊情况需经机房管理负责人批准,并认真填写中心机房进出登记表后方可进入,登记项包括:姓名,进入时间,进入事由,离开时间,是否携同其他人员等,其它内容详见“附件2”,必须将此表打印出来装订成册悬挂在机房门口。l 如发现进入机房者而当日未进行及时登记的,将按员工手册A类过失计算,累计三次则升级为B类过失,以此类推,望各位同事严格遵守相关制度。l 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。l 每天早晨8:30分前,每天下班17:30分后,机房负责人或值班人员必须对各服务器运行状态、
5、备份磁带机运行状态进行例行巡检,并进行登记。l 每天早晨8:30分前,每天下班17:30分后,网络负责人必须对各网络机柜内的交换机、路由器、防火墙、上网拨号器等网络设备进行巡检,并对相关上网服务器进行检查,并进行登记。l 每周一早晨9:00,每月卫生主管负责引领并监督卫生清理员对机房进行清洁除尘等工作,并及时登记进出时间。l 如显示器不能满足一台服务器配一台显示器的要求,则要求所有进入机房人员在离开时,必须将显示器切换到主要运营服务器上,技术支持组组长在例行巡检时应注意检查。l 所有进出登记由主管和QA进行监督,每周对进出登记情况进行检查,对于错漏登记者给予口头提示。严重者部门周会警告并按附件
6、一所示进行处理。l 机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。l 不定期对机房内设置的消防器材、监控设备进行检查,以保证其有效性。l 对机房管理指定双人配备,即在进行机房重大设备的维护时必须双人跟进,且2人非同一组,否则单人跟进导致的问题故障责任由单人承担。l 机房不得乱拉乱接电线,应选用安全有保证的供电用电器材。在真正接通设备电源之前必须先检查线路,接头是否安全连接以及设备是否已经就绪,人员是否已经具备安全保护。l 严禁随意对机房设备断电,更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。如发现用电安全隐患,应即时采取措施解决,不能解决的必须及时向相关负责人员提出
7、解决。l 机房消防安全制度机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理,掌握消防应急处理步骤,措施和要领。l 机房人员必须熟知机房内设备的基本安全操作和规则,应定期检查,整理硬件物理连接线路,定期检查硬件运作状态(如设备指示灯),定期调阅硬件运作自检报告,从而及时了解硬件运作状态。l 机房财产登记和保护制度机房的日常物品、设备,消耗品等必须有清晰的数量,型号登记记录, 对于公共使用的物品和重要设备,必须严格根据借取和归还制度进行管理。l 定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,
8、保证机房空调的正常运行。l 每年至少一次对机房中的服务器进行除尘清洁。l 机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。3.1.4医院安全管理3.1.4.1医院内部网络安全管理主要指内部行政办公、日常运营网络的安全管理。目前医院各科室、部门使用不同的网段,彼此间不可见,以保证内部的网络安全。3.1.4.2同期已开始进行网络设备升级改造的工作,同时亦在紧密选型测试防火墙设备,以求最大化的保证医院内网络的安全、稳定运作。网络管理员应做好网络安全工作,监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。3.1.4.3网络管理人员应有较强的病毒防范意识,采用国家许可的正版防
9、病毒软件并及时更新软件版本。定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理人员或专职人员。3.1.4.4未经上级管理人员许可,值班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。3.1.4.5建立网络故障登记制度,对本地局域网络、广域网的运行,建立档案,未发生故障或故障隐患时值班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。3.1.4.6下一阶段,将进一步进行网络监控管理,入侵检测等软件的测试选型,继续完善医院运营网络的安全。3.1.5网络安
10、全管理为加强医院网络安全管理,保证医院网络的正常运行,依照中华人民共和国计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法和国家有关的法律法规的规定,特制定本安全管理办法(试行)。3.1.5.1 网络安全总则3.1.5.1.1医院网络的安全管理,应当保障计算机网络设备和配套设施的安全、信息的安全、运行环境的安全。3.1.5.1.2保障网络系统的正常运行,保障信息系统的安全运行。3.1.5.1.3医院网络由电脑部负责相应的网络安全和信息安全工作,定期对上网信息进行审查。3.1.5.1.4不得安装非授权的软件对医院网络进行内部干扰和攻击。3.1.5.2网络系统安全3.1.5
11、.2.1医院网络统一由电脑部规划、建设并负责运行、管理及维护。包括设置路由器、防火墙以及与网络安全相关的软硬件。3.1.5.2.2医院网络的IP地址分配、子网规划等由电脑部集中管理。连入医院网的用户必须严格使用由电脑部分配的IP地址,电脑部管理员对入网计算机和使用者进行登记,由管理员负责对其进行监督和检查,任何人不得更改IP及网络设置。不得盗用他人的IP地址及账号。 3.1.5.2.3接入医院网络的电脑必须安装防病毒软件,及时向电脑部报告陌生、可疑邮件和计算机非正常运行等情况。 3.1.5.2.4电脑部网络管理员负责全院网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题。
12、3.1.5.2.5在医院网上不允许进行任何破坏网络服务和破坏网络设备的活动,包括不允许在网络上发布不真实的信息、散布计算机病毒、使用网络进入未经授权使用的计算机和非法访问网络资源。3.1.5.2.6经电脑部授权或允许,不得擅自关闭网络机柜和网络设备的电源,不得擅自插拨网络线路,不得擅自接入医院网络。3.1.5.2.7接internet,必须经过科室主任/部门经理审批,再通过医院相关领导审批后,方可由电脑部开通连接internet。3.1.5.3信息数据安全3.1.5.3.1使用医院网的成员,不得利用计算机网络从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播“”、封建迷信、淫
13、秽色情以及有碍社会治安的信息。 3.1.5.3.2医院网络成员有义务向电脑部报告违法犯罪行为和有害的、不健康的信息。3.1.5.3.3严禁制造和传播计算机病毒,以及其他危害计算机信息系统安全的有害数据。3.1.5.3.4严禁使用医院电脑连接外部数据源设备,如非医院的U盘、MP3、光盘、网络盘、蓝牙、红外、无线等。3.1.5.3.5严禁通过各种网络方式(如网络盘、蓝牙、红外、无线、邮件等)泄露公司机密或盗取公司数据资料。3.1.6服务器管理3.1.6.1所有一类服务器的任何操作,必须进行登记,否则每月如从系统日志中发现未登记操作,按员工手册A类过失进行处理。如引发系统故障的操作,则视性质严重程度
14、,分别考虑按员工手册B或C类过失进行处理。3.1.6.2必须完整保存服务器及其相关设备的驱动程序、保修卡及重要随机文件,做好操作系统的补丁修正工作。3.1.6.3服务器及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。3.1.6.4机房内生产设备和开发调试设置隔离分设。未经负责人批准,不得在机房生产设备上编写、修改、更换各类软件系统及更改设备参数配置。3.1.6.5负责人每月定期2次对机房管理制度的执行情况进行检查,督促各项制度的落实,并作为人员考核之依据。3.1.6.6服务器密码策略:服务器管理员密码必须符合复杂性要求,含有英文大小写字母、数字、特殊字符等,必
15、须十位以上。每隔三个月必须变更一次。且只能由集团电脑部经理与当地主管掌握。其它内容详细见3.2密码安全策略。3.1.6.7服务器安全策略3.1.6.7.1服务器必须启用存储“安全性”、“系统”、“应用程序”日志记录。3.1.6.7.2服务器密码必须尊从密码策略。3.1.6.7.3服务器guest帐号须禁用。3.1.6.7.4服务器帐户启用锁定阈值,三次登录不成功,锁定时间为10分钟。3.1.6.7.5服务器数据库sa帐户不能应用到各软件系统。3.1.6.7.6服务器数据库sa密码必须符合复杂性要求,含有英文大小写字母、数字、特殊字符、十位以上、每隔三个月必须变更一次。3.1.6.7.7禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的电脑上调试通过并确认可行后,才能对服务器进行准确的配置。3.1.6.7.8不允许任何人在服务器进行与工作范围无关的任何操作。未经部门主管/经理允许,更不允许他人操作机房内部的设备,对于核心服务器的调整配置,更需要部门经理和所负责组人员的共同同意后才能进行。3.1.6.7.9软件安全使用制度必须定期检查软件的运行状况,定期调
