1、醫(yī)院資產(chǎn)安全管理制度文件編號XX-XX-023-V1.0版本2.0文件名稱資產(chǎn)安全管理制度制/修訂時間2016.06制/修訂人審核人1總那么目的規(guī)范醫(yī)院信息資產(chǎn)的管理、使用和處置.，防止其濫用和喪失，保護(hù)數(shù)據(jù)安全。范圍適用于醫(yī)院信息資產(chǎn)的管理，包括：獲得、分類分級、使用和處置。職責(zé)總務(wù)處：主要負(fù)責(zé)信息資產(chǎn)的采購、入庫、領(lǐng)用、為資產(chǎn)建立臺賬。信息科：負(fù)責(zé)使用與處置方法，并監(jiān)督各部門的執(zhí)行情況。各部門：按照相關(guān)規(guī)定，對信息資產(chǎn)進(jìn)行有效使用和管理。術(shù)語和定義信息資產(chǎn)：本文件中的信息資產(chǎn)是指可以存儲信息數(shù)據(jù)的信息載體,包括:硬件、軟件、數(shù)據(jù)（電子數(shù)據(jù)）、文檔（實體信息）、人員、服務(wù)設(shè)施、其他。2管理細(xì)

2、那么信息資產(chǎn)的生命周期可分為采購與生成、使用與更新、銷毀與廢棄三個階段。信息資產(chǎn)的獲取軟件、硬件設(shè)施、服務(wù)性設(shè)施等的獲得主要以采購的方式獲得，采購按照IT 產(chǎn)品采購管理制度有關(guān)規(guī)定進(jìn)行采購和驗收。數(shù)據(jù)信息資產(chǎn)的獲得來源主要為：病患人員、供應(yīng)商、財務(wù)信息、其他信息。信息資產(chǎn)的分類信息資產(chǎn)的分類各科室根據(jù)業(yè)務(wù)流程列出信息資產(chǎn)清單并將每項資產(chǎn)的資產(chǎn)類別、信息資產(chǎn)編號、 資產(chǎn)現(xiàn)有編號、資產(chǎn)名稱、所屬部門、管理者、使用者、地點等相關(guān)信息記錄在資產(chǎn)清單上。資產(chǎn)的分類原那么原那么如下:硬件.計算機設(shè)備:（臺式機、筆記本）、（WWW、SMTP、POP3、FTP、DNS） 等服務(wù)器（含虛擬機）：.存儲設(shè)備：磁帶

3、機、磁盤整列、磁帶、光盤、軟盤、移動硬盤等；.網(wǎng)絡(luò)設(shè)備：路由器、交換機、HUB、網(wǎng)關(guān)、程控交換機等；.傳輸線路：光纖、雙絞線、 線（布線）、電源線；.安全設(shè)備：硬件防火墻、入侵檢測、網(wǎng)絡(luò)隔離設(shè)備（如網(wǎng)閘）、負(fù)載均衡 設(shè)備、身份驗證、SOC、UTM等；.辦公設(shè)備：打印機、復(fù)印機、掃描儀、 機、碎紙機、寫字白板、應(yīng)急 照明設(shè)備：.保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備）、空調(diào)、保險柜、文件柜、 門禁、消防設(shè)施等；.其他設(shè)備：生產(chǎn)設(shè)備（測量儀、SMT等）；軟件。如：操作系統(tǒng)、系統(tǒng)軟件（office/AutoCAD）、應(yīng)用軟件（醫(yī)療信 息軟件）、網(wǎng)管軟件、殺毒軟件、財務(wù)軟件、開發(fā)工具和資源庫等。電子

4、數(shù)據(jù)。存在電子媒介的各種數(shù)據(jù)資料。如：源代碼、數(shù)據(jù)庫數(shù)據(jù)、各 種數(shù)據(jù)資料、系統(tǒng)文檔、運行管理規(guī)程、計劃、F1周月報告、財務(wù)報告（電子版 本）、用戶手冊、方案、電子設(shè)計圖紙等。實體信息。如紙質(zhì)的各種文件。如： 、電報、財務(wù)報告、開展計劃、 合同、紙張圖紙等。服務(wù)性設(shè)施。如：電源、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等。人員。如醫(yī)院各級領(lǐng)導(dǎo)、各級正式雇員、臨時雇員等。其他信息資產(chǎn)的分級按照信息資產(chǎn)的公開和敏感程度，以及信息資產(chǎn)對系統(tǒng)和組織的重要性，信息資 產(chǎn)的分級原那么有兩個：對于文檔（含電子文檔與紙質(zhì)文檔）、介質(zhì)類的數(shù)據(jù)載體，按照承載信息本身的 公開和敏感程度，該類信息資產(chǎn)擬劃分為“工作秘密”、

5、內(nèi)部公開、外部公開” 三級，針對不同級別的資產(chǎn)標(biāo)識不同的保護(hù)等級。對于其他物理設(shè)備，按照其對系統(tǒng)和組織的重要程度，該類信息資產(chǎn)擬劃分為“關(guān) 鍵資產(chǎn)”、重要資產(chǎn)”、普通資產(chǎn)”三級，針對不同級別的資產(chǎn)標(biāo)識不同的防護(hù) 等級。信息資產(chǎn)分級劃分具體方法：關(guān)鍵資產(chǎn)：承載、處理或存儲醫(yī)院核心業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)，一旦破壞，會對醫(yī) 院的主營業(yè)務(wù)造成沖擊和損害。原那么上承載處理業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)的資產(chǎn)均應(yīng)被 標(biāo)識為關(guān)鍵資產(chǎn)。重要資產(chǎn)：對醫(yī)院某一部門提供服務(wù)的信息系統(tǒng)所含資產(chǎn)、或?qū)儆跇I(yè)務(wù)信息系 統(tǒng)的支撐系統(tǒng)的信息系統(tǒng)所含資產(chǎn)，如財務(wù)信息系統(tǒng)所有資產(chǎn)、人力資源系統(tǒng)所 有資產(chǎn)、OA辦公自動化系統(tǒng)所有資產(chǎn)、防病毒系統(tǒng)所有資產(chǎn)

6、、入侵檢測系統(tǒng)所 有資產(chǎn)等。普通資產(chǎn)：除上述信息系統(tǒng)以外的信息系統(tǒng)包含資產(chǎn)均可劃分為普通資產(chǎn)，如 不直接承載、存儲業(yè)務(wù)信息系統(tǒng)的打印機、打碼機等。工作秘密：涉及醫(yī)院明確規(guī)定需要保密的信息、業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)、醫(yī)院財務(wù) 數(shù)據(jù)、人員工資數(shù)據(jù)、信息系統(tǒng)賬號等的信息數(shù)據(jù)文檔均應(yīng)劃分為工作秘密。內(nèi)部公開：在醫(yī)院內(nèi)部公開,對外保密的信息晌外擴散有可能對醫(yī)院的利益造 成損害的數(shù)據(jù)文檔。外部公開：對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等信息資產(chǎn)。 信息資產(chǎn)的標(biāo)識223.1信息資產(chǎn)標(biāo)注的原那么對不同安全類別的信息進(jìn)行明確的標(biāo)識，有助于內(nèi)部相關(guān)人員依照有關(guān)信息安全 規(guī)章制度進(jìn)行具體操作和處理，從而最大限度地

7、降低人為的誤操作帶來安全隱患 的概率。(1)所有信息資產(chǎn)安全分類標(biāo)識必須正確反映該信息的安全防護(hù)級別，信息安全 工作小組對信息安全分類有最終決定權(quán)。(2)對所有的信息安全分類標(biāo)識，由信息安全工作小組作定期更新維護(hù)。(3)電子格式的數(shù)據(jù)和文檔采用電子方式進(jìn)行分類標(biāo)識。其他形式的資產(chǎn)采用貼 標(biāo)簽的方式對信息進(jìn)行分類標(biāo)識。信息資產(chǎn)標(biāo)注的方法(1)電子信息電子格式的數(shù)據(jù)和文檔采用電子方式進(jìn)行分類標(biāo)識。標(biāo)識分為“工作秘密、內(nèi) 部公開、外部公開”三個類別。-對于電子文檔，應(yīng)在文檔的頁眉、頁腳、或封面開始局部的醒目處進(jìn)行標(biāo)識。 -其他電子信息，如配置信息、備份數(shù)據(jù)等，如果可以采用電子方式進(jìn)行標(biāo)識, 那么采用

8、電子方式進(jìn)行標(biāo)識。對于技術(shù)手段上不能進(jìn)行標(biāo)識的電子信息，可以在文件名稱上加上密級標(biāo)識, 或者采用對信息載體進(jìn)行物理標(biāo)簽標(biāo)識等其他方法。如果文檔是由已經(jīng)標(biāo)識好的電子文檔打印出來的，那么不需要再做任何標(biāo)識。(2)物理資產(chǎn)采用貼物理標(biāo)簽的方式對信息進(jìn)行分類標(biāo)識。信息資產(chǎn)標(biāo)注的內(nèi)容信息資產(chǎn)分類標(biāo)識必須包括并不僅限于以下信息：(1)簡單描述或內(nèi)部編號(2)安全類別/重要程度(3)資產(chǎn)管理員息資產(chǎn)的識別與匯總通過業(yè)務(wù)流程分析，識別各個流程的各類關(guān)鍵信息資產(chǎn)，最終信息科匯總信息 資產(chǎn)清單，并每半年進(jìn)行一次更新，確保重要信息資產(chǎn)的完備性(重要信息資 產(chǎn)沒有遺漏和缺失)和準(zhǔn)確性(信息資產(chǎn)的保密級別和重要程度能夠

9、真實反映信 息資產(chǎn)的狀態(tài))。2.3信息資產(chǎn)的使用規(guī)范硬件資產(chǎn)的使用規(guī)范所有的硬件資產(chǎn)必須明確設(shè)備的使用人員/管理人員，明確職責(zé)。硬件資產(chǎn)的使用人(或管理人)，在使用或管理硬件資產(chǎn)時，要注意硬件資產(chǎn) 的安全性、機密性、完整性，防止信息載體的毀壞和信息的泄密，防止信息處理 設(shè)施的濫用。對設(shè)備定期進(jìn)行維護(hù)保養(yǎng)，發(fā)生毀壞，喪失等問題時能夠及時處置。新硬件設(shè)備接入網(wǎng)絡(luò)按照相關(guān)規(guī)定處理。當(dāng)設(shè)備遷移時，如果設(shè)備中存儲有重要信息時候，需事先進(jìn)行備份；設(shè)備遷移完成后，需要檢查設(shè)備是否損壞；設(shè)備遷移出醫(yī)院時，檢查人員在檢查時要格外注意，禁止設(shè)備中存放重要信息, 以防止醫(yī)院機密信息泄露或泄露的風(fēng)險增加。離開醫(yī)院的設(shè)

10、備和介質(zhì)，如客戶現(xiàn)場的設(shè)備和介質(zhì)需要有人值守或委派負(fù)責(zé)人 （或者公共場所放置的需要有人值守或監(jiān)視系統(tǒng)）。在旅行時便攜式計算機（筆記本電腦）要作為手提行李攜帶，假設(shè)可能宜偽裝起 來；制造商保護(hù)設(shè)備用的說明書要始終加以遵守，例如，防止暴露于強電磁場內(nèi)；軟件資產(chǎn)的使用規(guī)范所有的軟件資產(chǎn)必須設(shè)置專人管理，明確職責(zé)，防止軟件資產(chǎn)的喪失，泄密。所有正版軟件實體由信息科保管，在安裝軟件時要規(guī)定使用權(quán)限，防止非授權(quán) 訪問。醫(yī)院自己開發(fā)系統(tǒng)軟件的源代碼應(yīng)進(jìn)行備份。對醫(yī)院重要系統(tǒng)，如郵件系統(tǒng)，文件服務(wù)器系統(tǒng)進(jìn)行備份。當(dāng)人員離職或崗位變動，需要回收有關(guān)的軟件，必要時; 由信息科人員對離職 人員使用的軟件進(jìn)行卸載，刪

11、除。電子數(shù)據(jù)的使用規(guī)范對所有電子數(shù)據(jù)進(jìn)行分類/分級，標(biāo)識未授權(quán)人員的訪問限制，不同安全級別 的數(shù)據(jù)應(yīng)存儲在不同的區(qū)域，按類按級傳達(dá)，便于信息的安全管理。不同類型的電子文件按照統(tǒng)一規(guī)律存放在個人電腦或服務(wù)器中，便于整理和查 閱以及工作交接時轉(zhuǎn)移。所有電子文件保存在電腦或服務(wù)器中，并按照規(guī)定的備份頻率定期進(jìn)行備份。對于存于服務(wù)器上的電子數(shù)據(jù)的訪問，會根據(jù)服務(wù)器提供服務(wù)的不同與部門/ 職務(wù)的不同，設(shè)備不同的訪問權(quán)限，減少非受權(quán)的訪問.對于工作秘密級別的電子信息，要由專人管理，存放在受權(quán)限控制的路徑下。對于內(nèi)部公開級別的電子信息，其使用要控制在醫(yī)院內(nèi)部，禁止帶出醫(yī)院。實體信息的使用規(guī)范所有的工作秘密級的實體信息資料要（通過標(biāo)簽或其它方式）標(biāo)識出資產(chǎn)的保 密級別，分類存放，不同安全級別的實