医院信息安全管理制度.docx

医院信息安全管理制度（一）目的为加强医院网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全。（二）适用范围医院办公室、信息科、计算机使用人员。（H）定义指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。（四）基本要求1、医疗机构依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。2、医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。3、医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。4、医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。5、医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。6、医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。7、医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。(五)内容1、网络安全管理制度(1)计算机网络系统的建设和应用，应遵守国家有关计算机管理规定。(2)计算机网络系统实行安全等级保护和用户使用权限控制。安全等级和用户使用权限以及用户口令密码的分配、设置由信息科专人负责制定和实施。(3)计算机中心机房应当符合国家相关标准与规定。(4)在计算机网络系统设施附近实施的维修、改造及其它活动，不得危害计算机网络系统的安全。如无法避免而影响计算机网络系统设施安全的作业，须事先通知信息科，经负责人同意并采取相应的保护措施后，方可实施作业。(5)计算机网络系统的使用单位和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规定制度。对计算机网络系统中发生的问题，有关使用部门负责人应当立即向信息科网络管理员报告。(6)对计算机病毒和危害网络系统安全的其它有害数据信息的防范工作，由计算机中心负责处理。(6)所有局域网计算机严禁连接国际互联网或与院外其它公共网络直接连接。2、网络安全管理规则(1)网络系统的安全管理包括系统数据安全管理和网络设备设施安全管理。(2)网络系统应有专人负责管理和维护，建立健全计算机网络系统各种管理制度和日常工作制度，以确保工作有序进行，网络运行安全稳定。(3)设立系统管理员，负责注册用户，设置口令，授予权限，对网络和系统进行监控。重点对系统软件进行调试，并协调实施。同时，负责对系统设备进行常规检测和维护，保证设备处于良好功能状态。(4)设立数据库管理员，负责用户的应用程序管理、数据库维护及日常数据备份。每周、每月必须进行一次全备份，每口进行一次日志备份，数据和文档及时归档，备份介质应由专人负责登记、保管。(5)对服务器必须采取严格的保密防护措施，防止非法用户侵入。系统的保密设备及密码、密钥、技术资料等必须指定专人保管，设专用库房或专柜存放。拷贝或者借用涉密载体必须按同等密级文件确定权限，履行审批手续，严禁擅自拷贝或者借用。(6)系统应有切实可行的可靠性措施，关键设备需有备件，出现故障应能够及时恢复，确保系统不间断运行。(7)所有进入局域网使用的介质，必须经过严格杀毒处理，对造成不良后果的有关人员，应严格按照有关条款给予处罚。(8)网络系统所有设备的配置、安装、调试必须指定专人负责，其它人员不得随意拆卸和移动。(9)所有上网操作人员必须严格遵守计算机及其相关设备的操作规程，禁止无关人员在工作站上进行系统操作。(IO)保持机房的清洁卫生，并做好防尘、防火、防水、防触电、防磁、防辐射、防雷击等安全防护工作。(11)网络管理员有权监督和制止一切违反安全管理的行为。3、网络安全监督制度信息科对计算机网络系统安全保护工作行使下列监督职权：(1)监督、检查、指导计算机网络系统安全保护工作。(2)查处危害计算机网络系统安全的违规行为。(3)网络管理员发现计算机网络系统安全隐患时，可立即采取各种有效措施予以消除。(4)网络管理员在紧急情况下，可以就涉及计算机网络安全的特定事项采取特殊措施进行防范。(5)履行计算机网络系统安全保护工作的其它监督职责。4、网络技术管理规则(1)网络管理员应为满足系统功能要求和用户需求而对网络系统进行操作和维护的全部活动进行管理。(2)网络系统中各类设备的配置，由系统负责人提出规划和计划，报医院领导审批后实施。系统硬件设备的购买、使用、保管、登记、报废等，均按医院医疗设备管理规定执行。(3)系统软件在交付用户使用前，相关技术人员必须严格按照功能要求全面调试，达到系统功能要求后交用户使用。(4)网络管理员实行分工负责制。5、人员培训制度(1)重要岗位计算机操作人员要经过考试合格后可上岗。(2)人员上岗的要求是：掌握计算机基本知识和基本操作技能，能够严格按照计算机操作规程和系统应用要求进行操作；熟练掌握相关应用系统的操作。6、工作站管理规则(1)各工作站一律不配软驱和光驱，屏蔽接口，避免因病毒传播造成数据丢失或网络瘫痪。(2)严格按照计算机操作使用规程进行操作。操作中必须做到细致认真、准确及时完成各项录入工作。(3)保持各种网络设备、设施整洁，认真做好网络设备的巡检工作，使网络设备始终处于良好的工作状态。(4)加强设备定位定人管理，未经网络管理员允许，不得随意挪动、拆卸和外借。(5)机房内严禁存放易燃、易爆、易腐蚀及强磁性物品；遇有临时停电及雷电天气，应采取保护措施，避免发生意外；机房内不准吸烟、进食、会客、大声喧哗；严禁无关人员上机操作或进行其它影响网络正常运行的工作。(6)严格交接班制度，工作中遇到的问题要及时妥善报告和处理。(六)监管医院办公室及信息科共同负责本医院范围内的计算机信息系统安全及网络管理工作。