制定日期：2005年6月

修訂日期：2015年12月

　　為加強(qiáng)醫(yī)院信息網(wǎng)絡(luò)安全與保密管理，特制定本規(guī)定。

　　一、保密規(guī)定

　　1.系統(tǒng)及數(shù)據(jù)庫安全保密管理

　　1.1定期檢查醫(yī)院各種應(yīng)用系統(tǒng)的安全使用情況，并對存在的安全隱患提出整改建議，督促改正。

　　1.2強(qiáng)化數(shù)據(jù)庫安全管理，做好數(shù)據(jù)備份，保障數(shù)據(jù)的完整性、準(zhǔn)確性。

　　1.3定期修改數(shù)據(jù)庫密碼并備案;采取有效的措施和技術(shù)，保障系統(tǒng)數(shù)據(jù)不被惡意修改或流失。

　　1.4系統(tǒng)管理員進(jìn)行針對整個(gè)系統(tǒng)或數(shù)據(jù)庫的重要操作時(shí)， 必須制定操作方案，報(bào)中心主任批準(zhǔn)后，由兩名管理員同時(shí)在場的情況下方可進(jìn)行，并做好操作記錄。

　　2.網(wǎng)絡(luò)安全管理

　　2.1定期檢查醫(yī)院網(wǎng)絡(luò)的安全使用情況，并對存在的安全隱患提出具體整改建議，督促改正。

　　2.2加強(qiáng)網(wǎng)絡(luò)安全及病毒防范，定期修改服務(wù)器、交換機(jī)密碼，保障網(wǎng)絡(luò)不被惡意攻擊。

　　2.3每天定時(shí)對網(wǎng)絡(luò)機(jī)房進(jìn)行巡檢，做好巡檢記錄，保障機(jī)房的安全。

　　2.4網(wǎng)絡(luò)管理員進(jìn)行針對整個(gè)網(wǎng)絡(luò)的重要操作時(shí)，必須制定操作方案，報(bào)告中心主任批準(zhǔn)后，兩名管理員同時(shí)在場的情況下方可進(jìn)行，并做好操作記錄。

　　3.機(jī)房及辦公場所安全管理

　　3.1辦公場所的安全，包括防火、防水、防盜，由各辦公室辦公人員負(fù)責(zé)。

　　3.2值班人員必須嚴(yán)格按照值班制度，按時(shí)到崗，定時(shí)巡檢，保證機(jī)房和辦公區(qū)域的安全。

　　4.計(jì)算機(jī)工作站安全保密管理

　　4.1各部門處理涉密信息(傳染病上報(bào)、患者信息、重大科研項(xiàng)目等)的計(jì)算機(jī)必須專機(jī)專用，涉密計(jì)算機(jī)嚴(yán)禁上互聯(lián)網(wǎng);上互聯(lián)網(wǎng)的計(jì)算機(jī)不得處理工作秘密;不得在家庭計(jì)算機(jī)中處理涉及國家秘密和工作秘密的文件。

　　4.2嚴(yán)禁任何人擅自將計(jì)算機(jī)接入醫(yī)院網(wǎng)絡(luò)或更改網(wǎng)絡(luò)配置，網(wǎng)絡(luò)接入必須報(bào)信息網(wǎng)絡(luò)中心統(tǒng)一管理和接入。

　　4.3計(jì)算機(jī)一機(jī)兩用的，必須由信息網(wǎng)絡(luò)中心統(tǒng)一安裝國家保密局批準(zhǔn)的物理隔離卡，并嚴(yán)格按規(guī)范操作。

　　4.4涉密計(jì)算機(jī)系統(tǒng)應(yīng)當(dāng)按照保密工作部門的審批等級規(guī)范運(yùn)行，未經(jīng)審批不得使用;非涉密局域網(wǎng)不得處理運(yùn)行涉密信息。

　　4.5移動(dòng)存儲(chǔ)介質(zhì)(優(yōu)盤、移動(dòng)硬盤、磁盤等)不得在涉密計(jì)算機(jī)與連接互聯(lián)網(wǎng)的計(jì)算機(jī)之間交叉使用。

　　4.6嚴(yán)禁在互連網(wǎng)上采集、存儲(chǔ)、傳遞、發(fā)布涉密信息和工作秘密。

　　4.7各部門上網(wǎng)信息要嚴(yán)格執(zhí)行審批程序，部門負(fù)責(zé)人對上網(wǎng)信息進(jìn)行審核，未經(jīng)審核的信息不得上網(wǎng)。

　　4.8科室及個(gè)人應(yīng)做好工作用臺(tái)式機(jī)、筆記本電腦的管理工作，防止因借用、丟失、失竊造成涉密信息的泄漏;計(jì)算機(jī)維修前必須將涉密信息刪除或安全轉(zhuǎn)移。

　　4.9所有計(jì)算機(jī)必須設(shè)置開機(jī)口令、屏幕保護(hù)口令，用戶必須妥善保護(hù)好各種口令和業(yè)務(wù)系統(tǒng)登錄密碼，并且每月更換一次，必要時(shí)隨時(shí)更換。因密碼保管不善造成的損失，由個(gè)人負(fù)責(zé)。

　　4.10各職能處室、各業(yè)務(wù)科室負(fù)責(zé)人對本部門計(jì)算機(jī)工作站使用和保密工作進(jìn)行管理和監(jiān)督;計(jì)算機(jī)按照“誰使用、誰負(fù)責(zé)”的原則，落實(shí)具體責(zé)任人。

　　二、保密措施

　　1.醫(yī)院成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，統(tǒng)一管理醫(yī)院信息化建設(shè)，批準(zhǔn)我院信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn);確定我院信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。

　　2.信息網(wǎng)絡(luò)中心建立健全信息安全和廉潔工作監(jiān)督機(jī)制、建立信息安全風(fēng)險(xiǎn)預(yù)警機(jī)制、完善崗位責(zé)任考核機(jī)制，并督促落實(shí)廉潔工作制度。

　　3.項(xiàng)目管理人員負(fù)責(zé)分析和評估項(xiàng)目管理計(jì)劃和成果，對項(xiàng)目進(jìn)行風(fēng)險(xiǎn)管理，制定并適時(shí)執(zhí)行風(fēng)險(xiǎn)應(yīng)對措施。在項(xiàng)目啟動(dòng)、實(shí)施、驗(yàn)收、維保各環(huán)節(jié)做好項(xiàng)目的安全保障工作。

　　4.網(wǎng)絡(luò)管理人員負(fù)責(zé)醫(yī)院網(wǎng)絡(luò)運(yùn)行管理，負(fù)責(zé)網(wǎng)絡(luò)接入及網(wǎng)絡(luò)配置。監(jiān)控和管理醫(yī)院內(nèi)網(wǎng)和外網(wǎng)等工作區(qū)域，對網(wǎng)絡(luò)健康運(yùn)行情況進(jìn)行預(yù)警。統(tǒng)一管理醫(yī)院網(wǎng)絡(luò)所有計(jì)算機(jī)的IP地址資源;嚴(yán)格執(zhí)行網(wǎng)絡(luò)巡視制度，定期巡查網(wǎng)絡(luò)機(jī)房、交換機(jī)等網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，進(jìn)行設(shè)備運(yùn)行狀態(tài)評估，及時(shí)更新維護(hù)設(shè)備，認(rèn)真填寫設(shè)備運(yùn)行日志。定期配合網(wǎng)絡(luò)安全管理人員變更密碼及安全巡檢，確保網(wǎng)絡(luò)安全。

　　5.服務(wù)器管理人員負(fù)責(zé)醫(yī)院服務(wù)器配置、安裝、調(diào)試等工作，監(jiān)督服務(wù)器運(yùn)行狀態(tài)，并及時(shí)更新系統(tǒng)補(bǔ)丁，安裝殺毒軟件，嚴(yán)格執(zhí)行服務(wù)器巡視制度，定期巡查中心機(jī)房服務(wù)器運(yùn)行狀態(tài)，進(jìn)行服務(wù)器運(yùn)行狀態(tài)評估，及時(shí)更新維護(hù)設(shè)備硬件，認(rèn)真填寫服務(wù)器運(yùn)行日志。定期配合網(wǎng)絡(luò)安全管理人員變更密碼及安全巡檢，確保主機(jī)安全。

　　6.數(shù)據(jù)庫管理人員負(fù)責(zé)檢查數(shù)據(jù)庫服務(wù)器的運(yùn)行狀態(tài)，定期查看后臺(tái)出錯(cuò)日志文件，及時(shí)處理所報(bào)情況并做好登記工作;定期進(jìn)行在線數(shù)據(jù)庫整理工作并做好數(shù)據(jù)庫備份工作;定期配合網(wǎng)絡(luò)安全管理人員變更密碼及安全巡檢，確保數(shù)據(jù)安全。

　　7.安全管理人員負(fù)責(zé)日常網(wǎng)絡(luò)安全管理和安全審計(jì)工作，監(jiān)督、檢查醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全保護(hù)工作，防范和消除醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全隱患;負(fù)責(zé)檢查危害醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的違規(guī)行為，定期組織網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫等安全巡檢、密碼變更等工作，并定期提交安全檢查報(bào)告。

　　8.系統(tǒng)集成、開發(fā)、實(shí)施人員員嚴(yán)格按照醫(yī)院信息系統(tǒng)設(shè)計(jì)的方案進(jìn)行系統(tǒng)集成、程序編制。系統(tǒng)集成各種文檔齊全，程序編制必須規(guī)范，具有較高的可靠性、可讀性和可維護(hù)性。設(shè)備、程序在交付使用前必須嚴(yán)格按照功能要求進(jìn)行全面調(diào)測試。確保項(xiàng)目開發(fā)和實(shí)施無安全隱患。

　　9.應(yīng)用軟件維護(hù)人員做好應(yīng)用軟件的系統(tǒng)設(shè)置工作，防止他人越權(quán)登錄訪問，確保機(jī)內(nèi)數(shù)據(jù)安全、可靠;對外來的軟件和文件應(yīng)事先查殺再使用，斷絕病毒傳播途徑，確保應(yīng)用軟件安全運(yùn)行。

　　10.硬件維護(hù)人員做好設(shè)備終端設(shè)備聯(lián)網(wǎng)配置、終端設(shè)備及其外設(shè)的安裝、調(diào)試、維修工作，定期對計(jì)算機(jī)病毒進(jìn)行查殺，保障各終端安全、健康運(yùn)行。

　　11.不斷完善信息網(wǎng)絡(luò)管理制度，防范崗位風(fēng)險(xiǎn)，規(guī)范信息化建設(shè)、使用規(guī)范，加強(qiáng)內(nèi)部監(jiān)督管理。

　　12.嚴(yán)格執(zhí)行數(shù)據(jù)統(tǒng)計(jì)與提取審批制度和程序準(zhǔn)入制度，經(jīng)信息網(wǎng)絡(luò)中心審查并經(jīng)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組審批后方可進(jìn)入醫(yī)院系統(tǒng)，并納入信息網(wǎng)絡(luò)統(tǒng)一管理。

　　13.落實(shí)好安全工作的分級負(fù)責(zé)制原則、任期有限原則。進(jìn)行醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全的宣傳和教育工作。