（完整版）医院信息安全管理制度(系列).doc

本word文档可编辑可修改 医院信息安全管理制度系列 本制度系列所管辖医院信息包括医院在运行管理中涉及到 的基本信息 （人、财、物）、运行信息（各类业务工 作与质量安全管理资料数据）和管理 信息（投资发展、人力资源开发与利用、发展战略研究），统称为“医院信息”。 依据《中华人民共和国保密法》、《医疗质量管理办法》，制定此制度系列。 一、医院数据、资料信息安全管理制度 医院内部 的数据、资料信息安全管理尤为重要，如涉及全院 的工 作统计 数据、质量与安全评价分析相关 的数据、与医疗纠纷有关 的信息、医院管理 与建设重大决策信息、医院经济管理相关 的信息等，院领导认为不宜通过“三 重一大”公示 的信息，均属于保密信息，必须实行安全管理，规定如下： （一）任何人未经院领导批准，不得在公众场合、公共媒体发布医院涉密 信息。 （二）医院各职能部门和业务科室，对自身所涉密 的医院信息，有保密 的 义务和责任。 （三）不属于分管职能内 的涉密信息，不得向其他部门和个人打探。 （四）任何员工 不得以谋利为目 的，散布、出卖、交换医院涉密信息。 （五）任何员工 不得以泄私愤、图报复，散布和出卖医院涉密信息。 违反以上各条，医院有权追究泄密人 的相应责任。 二、医院网络系统安全管理制度 （一）为了保证医院网络 的正常运行，保护医院网络系统 的安全和网络用 户 的使用权益，特制定本安全管理制度。 （二）本管理制度所称 的医院网络系统是指在医院信息系统中，由计 算机及配套设施构成 的，按照医院网络信息系统 的应用目标和规定，对数据 进行采集、加工 、存储、传输、检索等处理 的人机系统。 （三）医院网络系统安全管理是通过实施身份认证、访问控制与授权 管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、 补丁管理、邮件安全网关、远程接入等安全技术和与之相配套 的管理制度， 保障网络主机及配套设备、设施 的安全，网络运行环境 的安全，从而达到保 1 障计算机网络系统安全运行和信息安全 的目 的。 （四）信息科负责医院计算机网络系统 的安全管理工 作， 确保对计算机 网络系统安全管理 的有效性。 （五）计算机网络系统 的建设和应用应遵守上级主管部门颁发 的行政 法规、用户手册和其他相关规定。 （六）计算机网络系统实行安全等级保护和用户使用权限划分。 安全 等级和用户使用权限 的划分和设置由信息科负责制定和实施。 （七）计算机入网运行必须经信息科批准备案，分配 IP地址后，方可 接入网络。 （八）要对重要主机 的用户名、开机口令、应用口令和数据库口令实施 重点管理，严格控制设备存取及加密，未经允许严禁外来盘片带入机房对服 务器进行安装等，不准将机器设备和数据带出机房。 （九）未办理入网手续，任何单位和个人不得非法私自将计算机接入 医院网络，不得以不真实身份使用网络资源，不得窃取他人账号、口令使用 网络资源，不得盗用未经合法申请 的 IP地址入网。未经信息科允许，任何单 位或个人不得擅自接纳网络用户。 （十）应根据网络主机不同 的安全级别采取相应 的访问控制、数据保 护、保密监控管理和系统安全等技术措施。 （十一）信息科定期对网上用户 的访问及授权情况进行检查，及时发 现和限制非法用户和非授权访问。 （十二）要按要求对数据进行日备份、月备份和年备份。严格按操作 规程进行数据备份工 作，确保备份数据 的完整和准确性，做好备份数据 的审 核工 作，并做好相应记录。要确保导出、导入数据 的完整和准确，并做好导 出、导人数据 的审核工 作和相应记录。 （十三）加强边界安全 的防护，应根据安全区域划分情况明确需进行 安全防护 的边界，并实施有效 的访问控制策略和机制。 （十四）应在网络系统或安全域边界 的关键点采用严格 的安全防护机 制，如严格 的登录／链接控制，高性能 的防火墙、防病毒网关、入侵防范、 信息过滤、边界完整性检查等。 （十五）要实施必要 的边界访问、违规外联 的审计和控制。 （十六）应采用必要 的手段（如入侵检测系统、日志分析、网络取证分析 等）对系统内 的安全事件进行监控，检测攻击行为并能发现系统内非授权使 用情况。 （十七）应禁止系统内用户非授权 的外部链接（如自动拨号、违规链 接和无线上网）。 2 （十八）应部署有效 的网络病毒防范软件系统和相应 的网络病毒防范 管理办法，实施对计算机网络病毒 的有效防范。 （十九）要制定文档化 的明确 的计算机病毒和恶意代码防护策略，以 及确保策略有效实施规章制度。 （二十）应在系统内关键 的入口点以及各工 作站、服务器和移动计算机 设备上采取计算机病毒和恶意代码防护措施。 （二十一）应制定文档化 的信息系统备份和恢复 的策略，建立健全备份 和恢复 的管理制度和操作规程。 （二十