醫院信息安全制度匯總醫院網絡系統安全管理制度一、為了確保醫院網絡正常運行，保護醫院網絡系統安全和網絡用戶使用權益，特制訂本安全管理制度。二、本管理制度所稱醫院網絡系統是指在醫院信息系統中，由計算機及配套設施組成，根據醫院網絡信息系統應用目標和要求，對數據進行采集、加工、存放、傳輸、檢索等處理人機系統。三、醫院網絡系統安全管理是經過實施身份認證、訪問控制和授權管理、數據備份和災備系統、安全分域及邊界防護、防病毒系統、入侵檢測、補丁管理、郵件安全網關、遠程接入等安全技術和和之相配套管理制度，保障網絡主機及配套設備、設施安全，網絡運行環境安全，從而達成保障計算機網絡系統安全運行和信息安全目標。四、信息科負責醫院計算機網絡系統安全管理工作，確保對計算機網絡系統安全管理有效性。五、計算機網絡系統建設和應用應遵守上級主管部門頒發行政法規、用戶手冊和其它相關要求。六、計算機網絡系統實施安全等級保護和用戶使用權限劃分。安全等級和用戶使用權限劃分和設置由信息科負責制訂和實施。（注釋：以下為身份認證）七、計算機入網運行必需經信息科同意立案，分配IP地址后，方可接入網絡。八、要對關鍵主機用戶名、開機口令、應用口令和數據庫口令實施關鍵管理，嚴格控制設備存取及加密，未經許可嚴禁外來盤片帶入機房對服務器進行安裝等，嚴禁將機器設備和數據帶出機房。九、未辦理入網手續，任何單位和個人不得非法私自將計算機接入醫院網絡，不得以不真實身份使用網絡資源，不得竊取她人賬號、口令使用網絡資源，不得盜用未經正當申請IP地址入網。未經信息科許可，任何單位或個人不得私自接納網絡用戶。（注釋：以下為訪問控制和授權管理）十、應依據網絡主機不一樣安全等級采取對應訪問控制、數據保護、保密監控管理和系統安全等技術方法。十一、信息科定時對網上用戶訪問及授權情況進行檢驗，立即發覺和限制非法用戶和非授權訪問。十二、要按要求對數據進行日備份、月備份和年備份。嚴格按操作規程進行數據備份工作，確保備份數據完整和正確性，做好備份數據審核工作，并做好對應統計。要確保導出、導入數據完整和正確，并做好導出、導人數據審核工作和對應統計。（注釋：以下為安全分域及邊界防護）十三、加強邊界安全防護，應依據安全區域劃分情況明確需進行安全防護邊界，并實施有效訪問控制策略和機制。十四、應在網絡系統或安全域邊界關鍵點采取嚴格安全防護機制，如嚴格登錄／鏈接控制，高性能防火墻、防病毒網關、入侵防范、信息過濾、邊界完整性檢驗等。十五、要實施必需邊界訪問、違規外聯審計和控制。（注釋：以下為入侵檢測）十六、應采取必需手段（如入侵檢測系統、日志分析、網絡取證分析等）對系統內安全事件進行監控，檢測攻擊行為并能發覺系統內非授權使用情況。十七、應嚴禁系統內用戶非授權外部鏈接（如自動撥號、違規鏈接和無線上網）。（注釋：以下為防病毒系統）十八、應布署有效網絡病毒防范軟件系統和對應網絡病毒防范管理措施，實施對計算機網絡病毒有效防范。十九、要制訂文檔化明確計算機病毒和惡意代碼防護策略，和確保策略有效實施。二十、應在系統內關鍵入口點和各工作站、服務器和移動計算機設備上采取計算機病毒和惡意代碼防護方法。（注釋：以下為備份和恢復）二十一、應制訂文檔化信息系統備份和恢復策略，建立健全備份和恢復管理制度和操作規程。二十二、備份包含關鍵業務數據備份、關鍵業務設備（如服務器、交換機等）備份和電源備份。對關鍵信息系統（如HIS系統）關鍵設施（如服務器）采取熱備份。二十三、應定時備份和對恢復策略進行測試，以確保其有效性。要有系統恢復預案和演練。二十四、應依據業務關鍵程度、信息系統資產價值等進行對應需求分析，確定系統恢復目標，如：關鍵業務功效、恢復優先次序、恢復時間范圍。（注釋：以下為遠程接入）二十五、為確保醫院計算機局域網絡運行安全，要在有效布署防火墻、入侵檢測和防病毒系統情況下，實施遠程接入。醫院業務網（內網）和遠程接入（外網）業務物理隔離。凡涉密計算機主機不得和互聯網（Internet）鏈接。二十六、任何部門和個人使用醫院網絡提供遠程接入服務必需向信息科申請。入網用戶用戶名和IP地址是用戶在醫院局域網上正當標識，也是對用戶管理關鍵依據，一經指定不得私自更改。二十七、未經信息科同意，任何個人或部門不得為外單位人員提供電子郵件或其它網絡服務。二十八、全部入網用戶，應該遵守國家相關法律、法規及醫院相關規章制度，嚴格實施安全保密制度，不得利用計算機網絡從事危害國家安全、損害醫院利益等違法、違規活動，不得制作、查閱、復制和傳輸擾亂社會治安、有傷風化、淫穢色情等信息，不得利用網絡攻擊、損害公用網絡和其它用戶。不然，醫院有權停止對其提供服務；由此造成不良后果由用戶負擔。二十九、使用計算機機網絡系統部門和個人必需遵守計算機安全使用要求，對計算機網絡系統發生問題和故障要立即向信息中心匯報。三十、用戶不得從事下列危害計算機網絡安全行為：1、未經許可，進入計算機網絡系統或使用網上信息資源；2、私自轉借或轉讓用戶賬號，盜用她人賬號或IP地址；3、未經許可，對網上應用系統功效進行刪減或更改；4、未經許可，對計算機網絡存放、處理或傳輸數據和應用程序進行刪減或更改；5、有意制作、傳輸計算機病毒等破壞程序，使用任何工具破壞網絡正常運行；6、破壞、盜用計算機網絡中信息資源和危害計算機網絡安全；7、其它危害計算機網絡安全行為。上述違規造成醫院損失，依據相關法律、法規及醫院相關處罰要求進行處理，情節嚴重者移交公安機關處理。計算機設備管理制度為確保我院計算機網絡正常運行和健康發展，依據《中國計算機信息系統安全保護條例》、《中國信息網絡國際互聯網管理暫行要求》、和國家相關法律要求，結合我院實際情況，針對醫院信息安全，特制訂本要求。一、計算機及其輔助設備是實現信息現代化管理工具，各科室相關工作人員全部要結合本職員作利用計算機手段來提升工作效率。二、各科室購置和上級分配給計算機和輔助設備均屬固定資產，統一由計算機中心負責維護，各科室由電腦管理員專員負責管理和使用。三、服務器、計算機及輔助設備和其它應用軟件所配專用磁盤、光盤，由信息中心專員登記管理，每隔一段時間具體清點核查一次。五、計算機、服務器、網絡通訊電纜設備，未經計算機中心同意不待拆裝、移動。六、計算機和輔助設備需檢修，應匯報計算機中心專業工作人員，由計算機中心相關人員檢修，若需外單位修理，由領導會同相關部門商議后辦理。七、對外來光盤、U盤等要先殺毒，后使用。各計算機一旦發覺病毒，必需立即清除，不然不得使用該計算機，更不能向服務器上傳數據。八、外來人員未經科室領導和專業人員同意不得操作計算機，以免發生病毒感染或其它損失。九、不得在計算機上進行和工作無關（如做游戲、下棋、打撲克等）操作。十、計算機使用者要保持清潔、安全、良好計算機設備工作環境，嚴禁在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全物品。十一、嚴格遵守計算機設備開機、關機等安全操作規程和正確使用方法。十二、嚴禁自行安裝任何軟、硬件，嚴禁更改、刪除任何系統文件、設置等，違反要求造成病毒傳輸、系統軟（硬）件損壞，對整個網絡造成堵塞、癱瘓等嚴重后果，按情節輕重嚴厲處理。十二、每臺計算機必需安裝防病毒軟件，并定時對計算機進行查毒、殺毒，升級，落實預防方法。十三、各工作人員主動參與計算機知識、業務處理系統和操作技能培訓，努力提升計算機操作水平，降低誤操作，提升工作效率。計算機中心機房管理制度為確保網絡中心設備和信息安全，保障機房有良好運行環境和工作環境，結合醫院實際情況，作以下要求：一、各門鑰匙由指定專員保管，不能隨意轉借。丟失要申明。出入請隨手關門。二、要有安全防范意識，節假日值班人員不得擅離崗位。早進入、晚離開時要檢驗設備情況，離開時查看燈、門、窗、等是否關閉好。三、易燃易爆品不準帶入機房，機房及周圍地域嚴禁煙火，不能明火作業，機房一律嚴禁吸煙。四、機房工作人員要有防火意識，出現異常情況應立即報警，切斷電源，用滅火設備撲救。五、非工作人員嚴禁進入服務器機房，特殊情況要事先取得相關部門領導同意，未經許可一律不準觸碰開關和設備，不然后果自負。六、機房內一切公用物品未經許可一律不得挪用或外借。七、機房內不準大聲喧嘩，機房衛生由工作人員定時負責清掃，保持清潔。八、信息中心專業技術人員負責機房安全管理和檢驗；負責建立和統計安全日志。九、數據備份（病人信息備份）1、數據備份關系到整個信息系統正常運轉，影響到全院正常醫療秩序，任務十分重大，必需含有高度責任感和一絲不茍萬無一失嚴禁工作作風。2、數據服務器天天自動做一次數據全備份（時間設定為：0:30），第二天8:00信息科值班人員應檢驗備份情況，若發覺備份不成功，應立即手工備份。保留一周數據備份。3、每七天應對本周備份數據文件轉存到異地工作站，確保數據萬無一失。4、每個月對數據進行一次恢復試驗，以確保備份數據安全可靠。工作站使用管理制度一、本制度所稱醫院計算機網絡工作站，是指醫院計算機網絡中以臺式電腦或筆記本電腦為中心包含所連打印機等外圍設備在內計算機工作單元。醫院未聯網工作計算機也采取此制度進行管理。二、各個管理部門和科室中，每一工作站配置計算機、打印機等設備須指定專員使用、保管和維護，轉交她人保管時需嚴格交接。各工作站全部使用人員必需嚴格遵守《醫院網絡系統安全管理制度》。四、計算機操作人員，不得隨意操作計算機或相關設備，更不許可外來人員操作計算機。五、嚴禁在計算機上玩游戲或做和工作無關操作。六、嚴禁在醫院計算機上使用來歷不明光盤、軟盤、U盤等存放介質。七、計算機網絡上全部職員使用軟件系統時均采取用戶名和密碼管理：1、只有院長有權向信息科索要職員用戶名和密碼；2、職員必需保管好自己用戶名和密碼，因用戶名和密碼保管不善造成經濟損失，概由操作人員自己負責；3、職員密碼應最少為六位，能夠是字母和數字組合；4、新入職職員由人事科提供信息，統一由信息科分配用戶名和密碼。八、計算機一旦發生故障應立即匯報信息科處理。九、除計算機網絡中心機房工作人員外，任何入不得拆裝計算機，或私自接入其它設備。十、不間斷電源計算機，在供電中止時，操作人員應立即保留數據，退出程序后按正常操作關機。十一、嚴格根據操作規程操作，下班前必需按程序關機，并切斷電源。十二、計算機旁不準抽煙、會客，不準吃零食物喝飲料。十三、計算機旁邊嚴禁擺放多種易燃易爆、腐蝕性或強磁物品。遇臨時停電及雷電天氣，應采取保護方法，避免發生意外。十四、珍惜計算機及多種相關設備，計算機主機、顯示器、打印機上不能堆放雜物。十五、科室指定專員負責科內計算機通常性管理工作，定時用潔凈柔軟干抹布清除設備上灰塵，清潔和整理計算機工作臺。十六、因維護管理不妥造成計算機硬件設備損壞，由當事人負責賠償。十七、外來參觀須報請信息科及主管院領導同意，不能向外展示和泄露醫院關鍵業務數據。十八、違反本制度者，醫院將視情節給處罰。信息資源共享、安全和保密要求醫院信息系統數據庫中信息資源，除信件、私人文檔等純屬個人物品外，其它全部行政和醫療管理類信息及病人臨床信息均歸醫院全部，任何個人或組織、部門均不得視信息為私有或部門全部。信息全部權和信息發生地和錄入者沒相關系。一、不經主管部門同意，任何部門或個人均無權將醫院信息系統數據庫中任何信息資源有償或無償地轉移給院外用于任何目標。違反本要求個人或部門責任人將會受到對應行政處罰直至追究法律責任。二、醫院信息系統數據庫中信息資源共享權限要依據本要求標準制訂，由信息科負責解釋和實施。三、信息系統建設關鍵目標之一就是要實現快速、正確、完整信息傳輸和共享。信息共享是雙向。實際上，沒有任何一個部門不需要共享其它部門資源。任何一個部門無權拒絕其它部門對本部門負責錄入和管理數據共享，當然，這種共享必需是經過授權、正當。四、各部門對信息錄入必需確保其立即、正確和完整。五、醫生有權從計算機中讀取許可其處理個體病人全部診療信息并用于輔助診療。不許可任何部門和個人采取任何借口和手段給予拒絕。醫生無權成批地檢索病人信息，如因教學、科研確有需要，需經主管部門同意。六、醫生不得不經信息發生和錄入部門同意私自將計算機中病人信息用于科研、教學和任何公開發表文件中。七、對臨床應用來講，公布給全院計算機屏幕顯示病人檢驗、化驗結果，圖形、圖像應該和其它介質公布結果相一致，而且擁有相同效力。信息產出科室對錄入并公布計算機內數據、結果和對其它介質公布數據、結果負有相同責任。八、未經醫務科和主管院長同意，我院提供給病人、院外和進病案多種檢驗、化驗結果正式匯報仍保留現有形式和管理制度，由醫技科室簽字后發出。九、鑒于現在計算機系統所固有安全缺點，凡對保密有特殊要求信息要嚴格遵守相關保密制度，不準入機一律不得錄入系統。不清楚要立即請示醫院計算機信息系統安全保密領導小組。十、計算機系統應設置用戶許可和保密口令，許可用戶方便地更換口令。口令應設置防盜機制。因使用者用戶名和口令失密而造成過失或損失，由用戶名和口令擁有者負責。十一、作為計算機機內電子數據備份，用戶應按要求保留紙介質原始統計足夠長時間，不管這些統計是在錄入之前就存在或是錄入以后打印。涉密數據保密管理制度為保持醫院信息系統正常運行，保護集體數據財富，保障醫院友好發展，遵照《中國計算機信息系統安全保護條例》、《中國保守國家秘密法》等相關國家和省相關法律法規，結合醫院實情情況，制訂本管理要求。一、任何單位、部門、個人不得利用涉密計算機網絡系統泄漏屬于國家秘密信息數據，危害國家安全，損害國家、集體和她人正當權益；不得從事其它違法犯罪活動。涉密單位和涉密人員應該遵守保密法律法規，認真實施國家和省制訂涉密計算機網絡系統保密要求。二、涉密計算機網絡系統單位保密管理實施領導負責制，并制訂部門或專員負責具體日常管理工作。并保持計算機保密管理人員相對穩定。三、涉密計算機網絡系統工作人員定時進行保密教育和檢驗。涉密計算機信息系統系統管理人員應該經過嚴格審查，定時進行考評，并保持相對穩定。四、涉密人員調離崗位，應該推行國家要求保守國家秘密義務。五、包含國家秘密數據，必需根據保密要求進行采集、存放、處理、傳輸、使用和銷段。六、計算機存放、處理、傳輸、輸出涉密信息要有對應密級標識且不得和正文分離，輸出涉密文件按對應密級文件管理。七、涉密人口計生信息和數據不得在和公用網絡聯網計算機信息系統中存放、處理、傳輸，涉密信息一律不得在網上公布。八、涉密計算機必需設置口令保護，依據密級確定口令長度和更換周期，實施專員專用，嚴禁以任何方法登錄國際互聯網或和互聯網物理連接。九、存放涉密信息媒體應按所存放信息最高密級標明密級，并按對應密級文件管理制度管理，存放過涉密信息計算機媒體不能降低密級使用，維修存放過涉密信息計算機媒體應到部門指定維修點維修，有些人全程跟蹤，確保留放秘密信息不被泄露。十、儲涉密數據計算機硬盤或其它存放介質不得私自更換或報廢。確需更換或報廢，應該經單位責任人同意后，交單位網絡管理部門進行登記、封存，或按要求銷毀。十一、涉密單位應該將涉密數據和備份數據分別保留在單位內不一樣地點。有條件，應實施異地容災備份。不得在便攜式計算機上存放涉密信息。十二、發覺計算機信息泄密后應立即采取補救方法，并按要求立即匯報保密部門。信息提供、公布和上網保密審查制度一、信息提供、公布、上網實施保密審查、領導審批和登記立案制度。二、信息公布、上網，堅持涉密不公開、公開不涉密和誰上網、誰負責標準。三、對涉密信息確需對外公布、上網，應采取解密或刪除、改編、隱去等保密方法，并經主管部門或保密工作部門審定。四、接收記者采訪，不得包含國家秘密內容。計算機網絡突發故障處理預案一、電腦網絡故障電腦網絡發生故障后，維護人員要結合醫院分布式特點，經過操作人員反饋回來信息和現有網絡檢測手段，快速定位故障事件起源，明確故障事件發生范圍，確定網絡系統受損害程度，將情況立即通報直接上級并層層上報。經過深入分析，將故障發生類型劃分為網絡線路、網絡交換機、服務器三大類型，確定起因是硬件故障、外力損壞、惡意攻擊還是感染病毒，進而采取下一步方法。（一）網絡線路故障1、通知：值班人員快速通知直接上級并層層上報。上級管理人員依據實際情況給指導和協調。2、排查：依據網絡拓撲結構和故障發生范圍，使用網絡檢測指令，確定檢修線路位置。3、搶修：攜帶對線器、轉接器、備用線、壓線鉗等工具，快速抵達線路故障現場，進行修復。4、驗證：連接網絡進行檢測，確定故障得四處理。5、回復：通知故障發生點恢復使用。6、統計：對整個事件時間、現象、處理過程作出具體統計。（二）網絡交換機故障1、通知：值班人員快速通知直接上級并層層上報。上2、診療：依據故障發生片區和網絡交換機分布圖，結合網絡檢測指令，判定出故障交換機位置。3、修復：攜帶電筆、改刀等常規工具，快速抵達故障交換機所在位置，經過觀察交換機指示燈，確定其工作狀態是否正常：假如是斷電所致，立即和維修中心聯絡，恢復供電；假如狀態鎖死，立即對交換機進行復位處理；排除上述原因后假如故障依舊，立即用備用交換機對其進行更換。4、驗證：連接網絡進行檢測，確定故障得四處理。5、回復：通知故障發生點恢復使用。6、事后：對換下交換機送修。待修復后備用。7、統計：對整個事件時間、現象、處理過程作出具體統計。（三）服務器故障1、通知：值班人員快速通知直接上級并層層上報。上級管理人員依據實際情況給指導和協調。2、診療：依據故障現象，初步判定是硬件故障還是軟件故障，假如是硬件故障，立即斷開主服務器，啟用備用服務器；假如是系統軟件故障，盡可能正常下機，重啟服務器；假如是應用軟件故障，立即聯絡對應應用軟件技術人員（或廠商）進行遠程維護。3、如故障發生在夜晚或節假日期間，首先應通知負責系統技術人員立即在15分鐘內趕赴現場，并通知信息科主管組織相關人員進行搶修，上報相關領導，必需時立即聯絡相關企業維修部進行遠程維護。（四）停電l、通知：值班人員快速通知直接上級并層層上報。上級管理人員依據實際情況給指導和協調