医院信息安全技术管理制度.docVIP

PAGE  PAGE \* MERGEFORMAT5 信息安全技术管理制度 第一部分：信息安全承诺保密制度 为保障医院信息系统数据安全，避免涉密信息、敏感信息外泄，结合本单位实际，特制定本制度。 1、系统操作权限的调整或新增需由科室负责人提出申请，分管领导同意后，信息科按照其实际岗位职责最小化权限分配。 2、凡是涉及到医院敏感信息数据人员，都要与医院签订保密协议。 3、个人权限严格保密，不得向其他职工或第三方透露，做好密码保护工作；特别涉及药品、耗材用量等敏感信息查询时，必须严格按照医院信息数据安全规定执行。 4、不得刺探与本职工作或本身业务无关的统计信息； 5、医院将定期和不定期进行安全检查，如果发现相关信息被泄露或者自己过失泄露，应当采取有效措施防止泄密进一步扩大，并及时向信息科报告。 第二部分：信息分级查阅管理制度 医院信息系统建设已涉及临床、医技、影像、化验、财务、管理、后勤等各个方面，涉及到非常多的敏感数据，为保证我院信息数据应用安全，特制定该规定，针对我院信息数据管理控制进行分级管理。 一、信息数据访问查阅等级划分：根据信息数据的敏感、保密程度将数据信息划分为一般数据（YD）、特殊数据（TD）、敏感数据（MD）三部分。 1、一般数据是指由科室统计，不涉及高值耗材、药品明细，不涉及病人隐私的数据信息。 2、敏感信息数据是指涉及高值耗材出入库明细、科室使用明细及统计信息；药品处方统计信息；病人隐私信息等相关数据信息。 3、特殊信息数据是指除一般信息数据和敏感信息数据之外的其它数据信息。 二、信息数据访问控制的管理程序 1、所有的信息数据访问需通过信息科操作的，需在OA办公系统填写请示报告或数据统计查询申请表，事由应明确查询用途、科室、统计日期、统计内容、结果、批准人、接待人姓名等内容。 2、若操作的是一般数据，申请科室负责人签字，信息科负责人确认后提交申请科室分管领导签字同意后由信息科处理。 3、若操作的是特殊数据和敏感数据，申请科室负责人签字，信息科负责人确认后提交申请科室分管领导签字，经过院长审批同意后信息科再统计查询并存档签字。 4、对于敏感数据信息的访问记录，信息科将通过数据库审计与风险控制系统进行监督管理，若发现可疑问题将报告医院纪委和院领导。 第三部分：信息修改制度 为切实保障医院信息系统生产数据的真实性、可靠性和安全性，特制订本规定。 1、信息内容包括患者基本信息、费用信息、诊疗信息（电子病历、医嘱、处方、检验、检查、手术等）、医院药品信息、固定资产信息、卫生材料信息、员工信息等。 2、信息修改部门为医院信息科，信息科设置专门人员负责相应信息修改。 3、医院任何科室和个人不得私自要求信息科人员在系统中修改任何数据。 4、电子病历解锁在OA系统填写电子病历信息订正申请表，按照医院流程规定完成审批后信息科方能解锁；信息修改填写信息系统数据更正申请表，经申请科室负责人、申请科室分管院长同意后信息科方能作出处理。 5、各部门应遵守医院业务数据更改审批制度，未经批准不得随意提出要求或更改，一经发现违规操作将按医院缺陷管理办法处理。 第四部分：信息数据安全管理规定 为保障医院信息系统数据安全，避免涉密信息、敏感信息外泄，结合本单位实际，特制定本规定。 一、应用系统密码管理制度 1、各科室计算机用户必须在业务系统正式使用后立即修改原始密码，并定期更换自己的密码，以免密码被人盗用。 2、密码要满足长度和复杂度要求，并定期更换，具体如下：密码必须由数字、字符和特殊字符组成。密码长度不能少于6个字符。密码更换周期不得多于60天。 3、人员调离工作岗位时，该人的用户名及密码必须回收，该人员所了解的公共密码要及时修改。 4、所有用户应妥善保管自己的业务系统密码，不得将用户名和密码借给他人使用，在下班或者离开计算机时必须退出所有医院系统，以保护病人隐私，防止医院信息数据外泄。 5、信息科将不定期对所有应用系统的用户名和密码进行抽查，对没有设置密码或者密码为初始密码的将取消其系统操作权限。 二、数据库后台安全监管制度 1、运用数据库后台审计设备，全面记录与系统相关的各种操作记录，最大限度的保障系统正常、安全运行。 2、数据库审计软件由二人共同负责管理，相互监督，所记录的各种数据要妥善保管，不得私自删除和修改，确需清理时，必须报科室负责人同意。 3、每月对审计设备记录的数据进行审计和分析，一旦发现有任何可疑操作和违法操作时，应立即上报分管院长、纪委，并保留一??可疑操作记录。 信息科 2017年2月15日