信息系统用户权限管理制度​.doc

信息系统用户权限管理制度?

信息系统用户权限管理制度

一、总则

1.目的：为加强医院信息系统的安全管理，规范用户对信息系统的访问和使用权限，确保患者信息、医院运营数据等信息资产的保密性、完整性和可用性，特制定本制度。

2.适用范围：本制度适用于医院内所有使用信息系统的人员，包括但不限于医院职工、进修人员、实习人员、第三方合作人员等。

3.管理原则：遵循最小化授权原则，根据用户的工作职能和业务需求，授予其完成工作所需的最小信息访问和操作权限；同时坚持职责分离原则，避免用户拥有过多权限导致潜在的安全风险。

二、职责分工

1.信息管理部门

-负责信息系统用户权限的整体规划、设计和维护。

-审核各部门提交的用户权限申请，确保权限分配合理、合规。

-实施用户权限的开通、变更和撤销操作，并记录相关信息。

-定期对信息系统用户权限进行审计，发现异常情况及时处理。

2.各业务部门

-负责本部门用户权限需求的梳理和申请，确保申请的权限与员工工作职责相符。

-配合信息管理部门进行权限审核和审计工作，提供必要的业务解释和支持。

-监督本部门员工对信息系统权限的使用情况，发现违规行为及时报告。

3.安全管理部门

-制定信息系统安全策略，为用户权限管理提供安全指导。

-参与重大用户权限变更的审核，评估潜在的安全风险。

-对信息系统用户权限管理工作进行监督和检查，确保制度的有效执行。

三、用户权限分类与定义

1.系统管理员权限：拥有最高级别的系统访问和控制权，可进行系统配置、用户管理、数据备份与恢复等操作。仅信息管理部门指定的专人具备此权限。

2.业务管理员权限：负责特定业务模块的管理和维护，如科室排班、医嘱审核、药品库存管理等。权限范围根据业务需求设定，由各业务部门负责人申请并经信息管理部门审核通过后授予。

3.普通用户权限：根据员工的日常工作职责，授予相应的信息查询、数据录入、业务操作等权限。如医生具有病历书写、医嘱开具权限，护士具有执行医嘱、护理记录权限等。

4.临时用户权限：适用于进修人员、实习人员、第三方合作人员等短期使用信息系统的用户。权限根据其工作任务和期限进行严格限制，使用期满后及时撤销。

四、用户权限申请与审批

1.申请流程

-新用户入职或现有用户因工作变动需要调整权限时，由本人或所在部门填写《信息系统用户权限申请表》，详细说明申请的权限类型、业务功能和使用期限等信息。

-《申请表》需经部门负责人签字确认，确保申请的权限与工作需求相符。

2.审批流程

-信息管理部门收到《申请表》后，对申请内容进行技术层面的审核，检查权限分配是否符合系统安全策略和技术规范。

-涉及重要业务或敏感信息的权限申请，需经安全管理部门和相关业务主管领导进行联合审批。

-审批通过后，信息管理部门根据审批意见为用户开通相应权限，并记录开通时间、权限有效期等信息。

五、用户权限变更与撤销

1.权限变更

-用户因工作职责调整需要变更权限时，所在部门应及时提交《信息系统用户权限变更申请表》，说明变更原因和具体变更内容。

-信息管理部门按照权限审批流程进行审核和操作，确保权限变更的合理性和合规性。

2.权限撤销

-用户离职、退休、进修或实习期满等情况发生时，所在部门应及时通知信息管理部门，填写《信息系统用户权限撤销申请表》。

-信息管理部门在接到通知后，应立即暂停或撤销该用户的信息系统访问权限，并确保用户无法再使用原有账号登录系统。

六、用户账号与密码管理

1.账号管理

-用户账号采用实名制，一人一号，不得转借他人使用。信息管理部门负责账号的创建、维护和注销工作。

-用户账号应与用户在医院的身份信息进行关联，便于管理和追溯。

2.密码管理

-用户应妥善保管自己的账号密码，密码设置应符合一定的强度要求，如包含字母、数字和特殊字符，长度不少于[X]位。

-信息系统应定期提示用户修改密码，密码有效期为[X]个月。用户如发现密码泄露或存在安全风险，应立即修改密码。

-若用户忘记密码，可通过信息系统提供的密码找回功能或联系信息管理部门重置密码。

七、用户培训与教育

1.新用户培训：对于新入职员工或首次使用信息系统的用户，信息管理部门应组织专门的系统操作培训，内容包括信息系统的功能介绍、操作流程、权限使用规范等。

2.定期教育：信息管理部门和安全管理部门应定期开展信息安全培训和教育活动，提高用户的信息安全意识和风险防范能力，强调用户权限管理的重要性和相关规定。

3.培训记录：建立培训档案，记录