第三方访问管理制度.docVIP

编 号 NFYZD-XXK-07-2021 版 本 3 制度名称 第三方访问管理制度 总页码 2 适用范围 全院 修订日期 2021-06-30 制定部门 信息科 生效日期 2021-07-22 1、目的 为保证医院信息系统正常运行，保障医院业务发展，严防寄密、失密现象发生，根据《中华人民共和国计算机信息系统安全保护条例》 、《中华人民共和国保守国家秘密法》、《卫生行业信息安全等级保护工作的指导意见》以及其他相关国家和省有关法律法规，结合医院实际情况，制订本管理制度。 2、参考文件： 《中华人民共和国计算机信息系统安全保护条例》(国务院令147号） 《中华人民共和国保守国家秘密法》(主席令第二十八号） 《卫生行业信息安全等级保护工作的指导意见》(卫发办[2011]85号) 3、内容： 3.1“第三方”定义：“第三方”为除医疗机构内与“网络系统”相关的操作、管理和咨询人员以外的所有人员，即包括医疗机构外的系统开发供应商、交流访问人员、咨询人员、病人及其家属以及医疗机构内与“网络系统”无关的人员。 3.2“第三方”访问指用于信息化建设的所有网络布线、网络设备、计算机设备、计算机外围设备、数据库以及在系统上运行的所有数据和程序，包括医院管理信息系统（HIS)、办公自动化系统（0A）、实验室信息管理系统（LIS)、医学影像存档与通讯系统(PACS)、放射信息管理系统(RIS)、电子病历(EMR)等。 3.3“第三方”访问前应对访问可能导致的风险进行评估，采取适当的控制措施(如授权、签署保密协议等)、维护被第三方访问的本院信息处理设施和信息数据的安全，评估意见填写在“第三方访问申请/授权表”上。 3.4“第三方”授权的方式包括签订协议和临时访问授权两种方式。 3.5与医院建立长期业务合作关系，需要经常在医院内工作的第三方及长期逻辑访问医院信息系统的第三方，信息科应与其签订《保密协议》，规定其在医院内活动的场所范围、时间和人员资格的要求，以及违反安全规定协议须承担的法律赔偿责任等，必要时对其工作人员进行资格审查。 3.6如果属于临时业务工作需要的“第三方”访问采用临时授权方式，临时授权操作时需由本单位人员在旁监督进行。 3.7实体访问的规定：所指的实体为中心机房以及计算机设备专用场所或柜子，同时包括所有系统操作终端所在部门或房间。“第三方”未经允许不得进入上述场所：如进入必须由相关人员全程陪同，不允许“第三方”人员单独滞留。 3.8逻辑访问的规定：“第三方”原则上不允许操作、访问“网络系统”，如确有需要则必须在相关人员的全程陪同下使用系统的最低权限用户进入系统进行所允许的操作。如果无最低权限用户而使用了其他用户进入系统，在“第三方”离开后必须立即更改密码。 3.9“第三方”在访问系统期间，未经许可不允许使用任何方法（如拷贝磁盘、刻录光盘、打印数据、手工记录等）带走任何数据和程序。 历次修订时间：2005年08月、2012年07月