医院应用信息系统用户帐号与角色权限管理办法.docxVIP

医院应用信息系统用户帐号与角色权限管理办法

第一章总则

第一条为加强医院应用信息系统用户帐号与角色权限的管理，确保信息系统的安全、稳定、高效运行，保障医院医疗业务及管理工作的正常开展，根据国家相关法律法规及医院实际情况，制定本办法。

第二条本办法适用于医院内所有使用应用信息系统的部门、科室及人员。

第三条医院应用信息系统用户帐号与角色权限管理应遵循“最小化权限、实名制、权限分离、审批与备案相结合”的原则，确保用户帐号与权限的分配合理、合规、可控。

第二章用户帐号管理

第四条用户帐号的创建

1.新员工入职或因岗位变动需要使用信息系统时，由所在科室负责人填写《医院信息系统用户帐号申请表》，注明用户姓名、科室、职务、联系方式及申请使用的信息系统模块等信息，提交至信息科。

2.信息科收到申请后，对申请人的身份及申请信息进行核实，确认无误后，在信息系统中创建用户帐号，并将初始密码告知申请人。初始密码应采用强密码策略，包含字母、数字、特殊字符的组合，并要求用户在首次登录时修改密码。

第五条用户帐号的变更

1.用户如因岗位调整、姓名变更等原因需要变更信息系统帐号相关信息时，由所在科室负责人填写《医院信息系统用户帐号变更申请表》，提交至信息科。

2.信息科根据申请表中的变更内容，对用户帐号信息进行相应修改，并及时通知用户本人。

第六条用户帐号的注销

1.员工离职、退休或岗位变动不再使用信息系统时，由所在科室负责人填写《医院信息系统用户帐号注销申请表》，提交至信息科。

2.信息科在收到申请表后的[X]个工作日内，注销该用户的帐号及相关权限，并删除帐号对应的所有数据信息（如法律法规另有规定需保留的数据除外）。

第三章角色权限管理

第七条角色的定义与分类

1.根据医院业务流程和信息系统功能模块，将用户角色分为医疗人员、护理人员、药剂人员、管理人员、后勤人员等类别，每个类别下再细分具体的角色，如医生角色、护士角色、药房主任角色、财务科长角色等。

2.针对每个角色，明确其在信息系统中可操作的功能模块和数据访问范围，制定详细的《医院信息系统角色权限列表》，作为角色权限分配的依据。

第八条角色权限的分配

1.用户帐号创建完成后，信息科根据用户所在岗位对应的角色，为其分配相应的权限。权限分配应遵循最小化权限原则，即用户仅被授予完成其本职工作所需的最小限度的信息系统访问权限。

2.对于跨科室、跨岗位的特殊业务需求，由业务需求部门提出申请，说明需要跨权限操作的原因、涉及的信息系统模块及操作内容，经相关科室负责人审核同意后，提交至信息科。信息科会同相关部门对申请进行评估，确定合理的权限分配方案，并报医院分管领导审批后执行。

第九条角色权限的变更

1.因医院业务流程调整、信息系统功能升级或其他原因需要变更角色权限时，由相关业务部门提出申请，填写《医院信息系统角色权限变更申请表》，详细说明变更的原因、涉及的角色及权限变更内容，提交至信息科。

2.信息科组织相关部门对变更申请进行论证和评估，制定变更方案，并报医院分管领导审批后实施权限变更操作。同时，对《医院信息系统角色权限列表》进行相应更新。

第十条角色权限的审核与监督

1.信息科定期（每[X]个月）对信息系统用户的角色权限进行审核，检查权限分配是否符合最小化权限原则和医院相关规定，是否存在权限滥用或过期未回收的情况。

2.建立信息系统权限监督机制，鼓励医院员工对发现的权限异常情况进行举报。信息科对举报内容进行核实，如属实，及时采取纠正措施，并对违规人员进行相应处理。

第四章安全管理

第十一条用户密码管理

1.用户应妥善保管自己的信息系统登录密码，不得将密码泄露给他人。密码应定期更换，建议每[X]个月更换一次。

2.为防止密码泄露导致的安全风险，信息系统应具备密码强度检测、密码错误锁定、密码找回等安全功能。用户如忘记密码，应通过信息系统提供的密码找回机制或联系信息科进行密码重置，不得私自通过非正规途径获取或修改密码。

第十二条数据安全管理

1.用户在使用信息系统过程中，应遵守国家有关数据安全和保密的法律法规，不得利用信息系统进行非法的数据获取、篡改、泄露等行为。

2.对于涉及患者隐私、医院商业秘密等敏感数据的操作，信息系统应进行严格的访问控制和日志记录，确保数据的安全性和可追溯性。同时，加强对数据备份和恢复的管理，防止数据丢失。

第十三条安全培训与教育

1.信息科定期组织医院员工进行信息系统安全培训，提高员工的信息安全意识和操作技能，使其了解信息系统帐号与角色权限管理的重要性及相关规定，掌握正确的密码设置和使用方法，以及如何防范信息安全风险。

2.新员工入职时，应接受信息系统安全培训，培训合格后方可获得信息系统帐号和相应权限。

第五章附则

第十