医院信息系统用户及密码管理制度.docxVIP

医院信息系统用户及密码管理制度 一、总则 （一）为了加强风险管理，强化保密工作，提高信息系统整体安全水平，有效防范信息安全风险，确保信息系统稳定、安全、可靠的运行，制订本制度， （二）本制度适用于医院使用的各类信息系统。 二、用户与密码的设置 （一）信息系统的用户可分为系统管理用户、应用维护管理用户和一般操作用户：系统管理用户指的是信息系统所使用的操作系统、网络和数据库的管理用户。应用维护管理用户指的是信息系统应用软件和应用数据的管理和维护用户。一般操作用户指的是在应用软件中创建并赋予特定权限，用于登录应用系统完成相应业务的普通用户。 （二）信息系统各类用户的管理应做到权限合理、分工明确、责任清楚、操作规范，各类用户的操作人员职责权限不得交叉覆盖。系统管理用户的操作人员不得兼任一般操作人员;应用维护管理用户不得兼任一般操作用户;原则上系统管理用户与应用维护管理用户不得兼任。不得违规变更、修改用户权限，不得越权操作。 （三）信息系统的软、硬件系统应按照运行管理需要，合理设置各类用户，所有用户均必须设置密码。 （四）密码的设置应遵循如下要求：1.用户密码应定期进行修改;2.用户密码应符合长度和复杂性要求;3.用户首次登录应强制更改初始密码; 4.应设置用户密码输入错误次数，在密码错误输入超过限制次数后，系统应锁定登录用户。 （五）系统管理用户的设置 在初始配置安装网络系统、操作系统及数据库系统时，系统管理用户应首先设置密码，并按照有关规定要求，指定专人管理。 （六）应用维护管理用户的设置 系统管理用户操作人员根据应用系统的使用要求，开设应用维护管理用户，设置初始密码，并分配相应的使用权限。应用维护管理用户操作人员取得初始密码后应立即修改密码。 （七）一般操作用户的创建及授权应按照《医院信息系统授权管理规定》的要求进行。 三、用户与密码的使用与管理 （一）系统管理用户和应用维护管理用户是重要信息资产，持有者应确保其可用性和安全性。 （二）系统管理用户和应用维护管理用户应同时设置A、B角，当A角因故无法对网络、系统实施配置、维护等操作时，经信息中心负责人批准，由B角完成相关工作，A角回岗后应立即更改密码。 （三）用户须定期更换密码，密码的设定应符合相关规定。 （四）人员离岗或更换工作岗位应做好相关用户及密码的移交工作。 （五）信息系统在设计、研发及投产时，不得将系统管理用户设置为该应用系统运行的默认用户。 （六）信息系统在设计、研发时，不得将用户名和密码固化在应用软件中，并不得以明文的形式存放在数据库、配置文件或注册表中。 （七）用户密码应妥善保管，不可公开或者告知他人，用户帐号不可转借他人使用。 四、用户与密码的废除管理 因使用者离职等原因，用户账号不再需要时，应由用户所属部门及时提出申请，经审批同意后，删除或停用相关用户。