医院信息安全管理制度.pdf

（一）目的

为加强医院网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机

信息系统的安全。

（二）适用范围

医院办公室、信息科、计算机使用人员。

（H）定义

指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息

的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。

（四）基本要求

1、医疗机构依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，

完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。

2、医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。

3、医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。

4、医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、

完整性、稳定性、时效性、溯源性。

5、医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、

正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

6、医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责

任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管

不当造成的不良后果由被授权人承担。

、医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。

定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追

溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采

取补救措施，按照规定向有关部门报告。

(五)内容

1、网络安全管理制度

(1)计算机网络系统的建设和应用，应遵守国家有关计算机管理规定。

(2)计算机网络系统实行安全等级保护和用户使用权限控制。安全等级和用户使用权限

以及用户口令密码的分配、设置由信息科专人负责制定和实施。

(3)计算机中心机房应当符合国家相关标准与规定。

(4)在计算机网络系统设施附近实施的维修、改造及其它活动，不得危害计算机网络系

统的安全。如无法避免而影响计算机网络系统设施安全的作业，须事先通知信息科，经

负责人同意并采取相应的保护措施后，方可实施作业。

(5)计算机网络系统的使用单位和个人，都必须遵守计算机安全使用规则，以及有关的

操作规程和规定制度。对计算机网络系统中发生的问题，有关使用部门负责人应当立即

向信息科网络管理员报告。

(6)对计算机病毒和危害网络系统安全的其它有害数据信息的防范工作，由计算机中心

负责处理。

(6)所有局域网计算机严禁连接国际互联网或与院外其它公共网络直接连接。

2、网络安全管理规则

(1)网络系统的安全管理包括系统数据安全管理和网络设备设施安全管理。

(2)网络系统应有专人负责管理和维护，建立健全计算机网络系统各种管理制度和日常

(3)设立系统管理员，负责注册用户，设置口令，授予权限，对网络和系统进行监控。重

点对系统软件进行调试，并协调实施。同时，负责对系统设备进行常规检测和维护，保

证设备处于良好功能状态。

(4)设立数据库管理员，负责用户的应用程序管理、数据库维护及日常数据备份。每周、

每月必须进行一次全备份，每口进行一次日志备份，数据和文档及时归档，备份介质应

由专人负责登记、保管。

(5)对服务器必须采取严格的保密防护措施，防止非法用户侵入。系统的保密设备及密

码、密钥、技术资料等必须指定专人保管，设专用库房或专柜存放。拷贝或者借用涉密

载体必须按同等密级文件确定权限，履行审批手续，严禁擅自拷贝或者借用。

(6)系统应有切实可行的可靠性措施，关键设备需有备件，出现故障应能够及时恢复，确

保系统不间断运行。

(7)所有进入局域网使用的介质，必须经过严格杀毒处理，对造成不良后果的有关人员，

应严格按照有关条款给予处罚。

(8)网络系统所有设备的配置、安装、调试必须指定专人负责，其它人员不得随意拆卸和

移动。

(9)所有上网操作人员必须严格遵守计算机及其相关设备的操作规程，禁止无关人员在

工作站上进行系统操作。

(IO)保持机房的清洁卫生，并做好防尘、防火、防水、防触电、防磁、防辐射、防雷击

等安全防护工作。

(11)网络管理员有权监督和制止一切违反安全管理的行为。

3、网络安全监督制度

(1)监督、检查、指导计算机网络系统安全保护工作。

(2)查处危害计算机网络系统安全的违规行为。

(3)网络管理员发现计算机网络系统安全隐患时，可立即采取各种有效措施予以消除。

(4)网络管理员在紧急情况下，可以就涉及计算机网络安全的特定事