医院软件安管理制度.doc

密 级: 内部 文档编号: ZFCG-gamyy-clwd-zcgl-003 中国中医科学院广安门医院 软件安全管理制度 Ver1.0 中国中医科学院广安门医院 二○○七年十一月 文档控制 拟 制 审 核 批 准 标准化 读 者 版本控制 版本 提交日期 相关组织和人员 版本描述 Ver1.0 分发控制 编号 读者 文档权限 与文档的主要关系 1 2 3 维护控制 文档名称 中国中医科学院广安门医院软件安全管理制度 机密分类 内部 版本控制 版本号 定版日期 作者 更新说明 V1.0 文档审定 姓名 科室（文档部分所有者） 复查计划 复查时间 复查结果 发布批准人 分发控制 人员 文档权限 与文档的主要关系 目录 第一章 概述 5 第二章 软件采购、安装和测试 5 第三章 软件登记和保管 5 第四章 软件使用与维护 6 第五章 应用软件开发 6 第一节 软件开发 6 第二节 软件二次开发 7 第六章 软件的防病毒 8 第七章 文档声明 9 概述 软件管理的范围包括对操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护、防病毒的管理。 软件采购、安装和测试 信息系统所使用的操作系统、应用软件、数据库、安全软件、工具软件等必须是正式版本，严禁使用测试版和盗版软件。 重要的操作系统和主要应用软件必须在安全管理员的监督之下进行安装，注意清理操作系统中默认选项。 软件安装后，须使用可靠检测软件或手段进行安全性测试，了解其脆弱性，并根据脆弱性程度采取措施，使风险降至最小。 软件登记和保管 软件安装后，原件（盘）应进行登记造册，并由专人保管。 软件更新后，软件的新旧版本均应登记造册，并由专人保管，旧版本的销毁应受严格控制。 软件使用与维护 操作系统和数据库管理系统以及安全软件应由专人负责，系统安全管理员应由政治素质可靠、工作及业务责任心强的人担任，负责对系统和管理的维护，必须对系统运行情况进行严格的工作记录，系统工作异常或发生与安全有关的事件时，在采取相应措施的同时必须报安全管理组备案。 安全管理员不得兼职应用系统管理员。 定期对操作系统、数据库管理系统及其它相关软件进行稽核审计，分析与安全有关的事件，堵塞安全漏洞。 软件更新后，须重新审查系统安全状态，必要时对安全策略进行调整。 应用软件开发 第一节 软件开发 系统应用软件的开发必须根据信息密级和安全等级，同步进行相应的安全设计，并制定各阶段安全目标，按目标进行管理和实施。 系统应用软件的开发，必须有安全管理员参与，其主要任务是：对系统方案与开发进行安全审查和监督，负责系统安全设计和实施。 开发环境和现场必须与办公环境和工作现场分开。软件设计方案、数据结构、安全管理、操作监控手段、数据加密形式、原代码等，只能在有关开发人员及有关管理机构中流动，严禁散失或外泄。 应用软件开发必须符合软件工程规范\[GB8566—88\]，\[GB1526－89\]。 应用软件开发人员不得参与应用软件的运行管理和操作。 第二节 软件二次开发 系统应用单位需修改或增加系统功能时应先行填写客户化问题登记表（表样见附件一），由本科室领导签字、主管部门领导审批签字后提交信息安全办公室，本表格一式两份，分别由信息安全办公室及提交科室备案。 医生工作站、医技科室工作站需有医教处长签字； 护士工作站及相关程序需有护理部主任签字； 收费、挂号、住院系统需有财务处长签字； 药房、药库及相关程序需有药剂科主任签字； 信息安全办公室室收到客户化问题登记表后，分析提出问题的合理性与可实施性，必要时与用户讨论。最后将用户需求以电子文档和文字形式提交软件公司或由信息安全办公室进行处理，不能修改的将信息反馈给使用科室。 信息安全办公室收到医院改动后的程序后，须经过本科室及应用科室进行严格的测试，测试完成后填写软件测试报告（表样见附件二）本报告一式两份，分别交由信息安全办公室及提交科室备案。 程序如存在问题进一步进行修改，如测试正常，进行软件更新。更新过程中填写软件更新说明表（表样见附件三）。本表格一式两份，分别交由信息安全办公室及提交科室备案。 如出现程序bug，则直接进行程序更新。 软件的防病毒 计算机必须安装经国家认可的防、杀病毒软件产品。 安全维护工作组定期组织计算机系统的杀灭病毒的工作。 不得使用未经批准和检测的外来软件或磁盘、光盘，不允许在计算机上玩游戏。 发现病