医院信息安全违章行为责任追究办法.docx

信息安全违章行为责任追究办法 第一章总则 为加强**县**医院工作人员的信息安全责任意识，界定工作人员信息安全违章行为，明确信息安全违章责任追究和处罚依据，特制定本管理办法。 信息安全违章行为分为一般违章和严重违章。信息安全违章行为由信息科负责组织调查和认定，并依据本办法进行责任追究。 本管理办法中所称“计算机”包括桌面计算机、便携式计算机（含各类上网本），除特别说明，通指内网计算机和外网计算机。 本管理办法适用于所有与信息系统相关的人员。 第二章违章行为界定 凡具有下列行为之一均属违章行为： 违反国家信息安全有关法律和法规。 违反**县**医院信息安全管理规章制度。 一般违章界定 （一）计算机未设置操作系统登录口令；设置了操作系统登录口令，但口令长度低于8位且不是由字母、数字或符号组合构成；未启用屏幕保护和超时锁屏功能。 （二）未按规定安装运行或自行卸载单位统一的防病毒软件、补丁更新策略、桌面终端管理软件。 （三）未按要求使用安全移动存储介质进行内外网信息交换，擅自删除或破坏已注册安全移动存储介质内的管理软件。 （四）擅自卸载（含格式化）**县**医院规定安装的操作系统和业务应用系统客户端。 （五）未使用单位统一的外网邮件系统处理和发送与工作相关的电子邮件。 （六）计算机外委维修时未拆除硬盘导致与工作有关的信息外泄；更换计算机和硬盘或在报废处理前，未对原硬盘进行信息不可恢复操作处理（如低级格式化等）。 （七）在内网计算机上对未关闭互联网访问功能的手机和PDA等设备进行充电或数据同步导致发生违规外联。开启文件共享且不设置共享密码或共享密码过于简单导致共享文件被非授权访问和破坏。 （八）移动存储介质丢失未向**县**医院信息科和保密管理部门及时报告，并说明移动存储介质中包含哪些与工作相关的文件、数据和程序。 （九）擅自将本人的门户及应用系统帐号和口令告诉他人由其长期代为进行业务操作。 （十）工作人员岗位异动后未及时向信息科申请账号和权限的变更。 （十一）违反单位信息安全管理规定被认定为一般违章的其他行为。 严重违章界定 （一）未经信息科进行安全检测和许可，擅自将外来人员的计算机接入信息内网或信息外网。 （二）擅自更改计算机网卡的MAC地址或IP/MAC地址绑定策略。 （三）在计算机上私自开启DHCP、WWW、FTP、VOD、代理、游戏、论坛等服务对网络访问造成干扰或信息资源被非授权访问。 （四）在内网计算机上利用电话线、电信运营商ADSL、无线上网卡或具备上网功能的手机和PDA等设备访问互联网，以及任何具备有意识或故意性质使用内网计算机访问互联网。 （五）使用手机或PDA设备的无线WIFI功能访问信息内网或信息外网。 （六）在计算机中存储和处理国家、单位秘密信息，在外网计算机中存储涉及单位重要敏感信息的电子文件。 （七）在同一台计算机（包括具备隔离卡和双硬盘的计算机）上安装两个操作系统或双网卡分别接入信息内网和信息外网。 （八）安全移动介质损坏后私自丢弃未交信息科处理并造成单位重要信息外泄。 （九）私自在网络中接入任何具备网络地址转换（NAT)、MAC克隆等功能的网络交换机和路由器等有线设备和无线设备。 （十）擅自组建无线网络并接入信息内网。 （十一）干扰他人正常工作行为，包括：发布不真实信息、垃圾信息；散布病毒及木马；未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。 （十二）擅自在计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。 （十三）拒绝信息科维护人员对计算机进行安全性检查和安装单位统一要求的桌面终端管理软件、防病毒软件等。 （十四）违反**县**医院信息安全管理规定被认定为严重违章的其他行为。 第三章督察与检查 对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。 发生信息安全违章，按照管理权限，实行分级查处、分级追究。 （一）**县**医院各部门自查自纠发现的违章，参照本办法自行处理。 （二）信息科组织的督查、日常检查及采用单位统一部署工具软件检查发现的违章，按照本办法规定处理。 （三）单位督查、日常工作检查及采用单位统一部署工具软件检查发现的违章，按本规定处理并将处理情况报告单位领导。 第四章处罚规定 在年度内第一次发生一般违章，对当事人给予诫勉谈话或通报批评；半年内同一当事人发生两次一般违章，对当事人给予200～600元的经济处罚并通报批评；一年内同一当事人发生三次一般违章，对当事人给予1000～1500元的经济处罚，并对当事人所属部门予以通报批评。 在年度内第一次发生严重违章，对当事人给予600～800元的经济处罚，并对当事人所属部门予以通报批评；半年内同一当事人发生两次严重违章，除对当事人给予1000～1500元的经济处罚，通报批评当事人所属部门外，当