医院信息安全与保密管理规定.docx

《医院信息安全与保密管理规定.docx》由会员分享，可在线阅读，更多相关《医院信息安全与保密管理规定.docx（10页珍藏版）》请在第一文库网上搜索。

1、目录第一章信息安全管理制度1一、 信息系统网络安全管理1二、 身份认证安全管理1三、 访问控制与授权管理1四、 安全分域及边界防护管理2五、 入侵检测管理2六、 防病毒管理2七、 备份和恢复管理2八、 远程接入安全管理2九、 办公电脑安全3十、医疗专用电脑安全4第二章个人资料安全管理制度4第三章涉密数据保密管理制度6第四章院外人员访问院内网络、H1S数据库及主机的管理制度7第五章实施与修订错误!未定义书签。附件一A-1第一章信息安全管理制度一、信息系统网络安全管理1、 为了保证医院网络的正常运行，保护医院信息系统的安全和网络用户的使用权益，特制定本安全管理制度。2、 本管理制度所称的医院信息系

2、统是指在医院信息系统中，由计算机及配套设施构成的，按照医院网络信息系统的应用目标和规定，对数据进行采集、加工、存储、传输、检索等处理的人机系统。3、 医院信息系统安全管理是通过实施身份认证、访问控制与授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和与之相配套的管理制度，保障网络主机及配套设备、设施的安全，网络运行环境的安全，从而达到保障计算机信息系统安全运行和信息安全的目的。4、 信息管理处负责医院计算机信息系统的安全管理工作，确保对计算机信息系统安全管理的有效性。5、 计算机信息系统的建设和应用应遵守上级主管部门颁发的行政法

3、规、用户手册和其他相关规定。6、 计算机信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限的划分和设置由信息管理处负责制定和实施。二、 身份认证安全管理1、 计算机入网运行必须经信息管理处批准备案，分配IP地址后，方可接入网络。2、 要对重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理，严格控制设备存取及加密，未经允许严禁外来盘片带入机房对服务器进行安装等，不准将机器设备和数据带出机房。3、 未办理入网手续，任何单位和个人不得非法私自将计算机接入医院网络，不得以不真实身份使用网络资源，不得窃取他人账号、口令使用网络资源，不得盗用未经合法申请的IP地址入网。三、 访问

4、控制与授权管理1、 应根据网络主机不同的安全级别采取相应的访问控制、数据保护、保密监控管理和系统安全等技术措施。2、 信息管理处定期对网上用户的访问及授权情况进行检查，及时发现和限制非法用户和非授权访问。3、 要按要求对数据进行日备份、月备份和年备份。严格按操作规程进行数据备份工作，确保备份数据的完整和准确性，做好备份数据的审核工作，并做好相应记录。要确保导出、导入数据的完整和准确，并做好导出、导人数据的审核工作和相应记录。四、 安全分域及边界防护管理1、 加强边界安全的防护，应根据安全区域划分情况明确需进行安全防护的边界，并实施有效的访问控制策略和机制。2、 应在信息系统或安全域边界的关键点

5、采用严格的安全防护机制，如严格的登录/链接控制，高性能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。五、 入侵检测管理1、 要实施必要的边界访问、违规外联的审计和控制。2、 应采用必要的手段（如入侵检测系统、口志分析、网络取证分析等）对系统内的安全事件进行监控，检测攻击行为并能发现系统内非授权使用情况。3、 应禁止系统内用户非授权的外部链接（如自动拨号、违规链接和无线上网）六、 防病毒管理1、 应部署有效的网络病毒防范软件系统和相应的网络病毒防范管理办法，实施对计算机网络病毒的有效防范。2、 要制定文档化的明确的计算机病毒和恶意代码防护策略，以及确保策略有效实施规章制度。3、 应

6、在系统内关键的入口点以及各工作站、服务器和移动计算机设备上采取计算机病毒和恶意代码防护措施。七、备份和恢复管理1、 应制定文档化的信息系统备份和恢复的策略，建立健全备份和恢复的管理制度和操作规程。2、 备份包括关键.业务数据的备份、关键业务设备（如服务器、交换机等）的备份和电源备份。对重要信息系统（如HIS系统）的关键设施（如服务器）采取热备份。3、 应定期备份和对恢复策略进行测试，以保证其有效性。耍有系统恢复的预案和演练。4、 应根据.业务的重要程度、信息系统的资产价值等进行相应的需求分析，确定系统恢复的目标，如：关键业务功能、恢复的优先顺序、恢复的时间范围。八、 远程接入安全管理1、 为确

7、保医院计算机局域网络运行安全，耍在有效部署防火墙、入侵检测和防病毒系统的情况下，实施远程接入。医院业务网（内网）与远程接入（外网）业务的物理隔离。凡涉密的计算机主机不得与互联网（Internet）链接。2、 任何部门和个人使用医院网络提供的远程接入服务必须向信息管理处申请。入网用户的用户名和IP地址是用户在医院局域网上的合法标识，一经指定不得擅自更改。3、 未经信息管理处批准，任何个人或部门不得为外单位人员提供电子邮件或其他网络服务。4、 所有入网用户，应当遵守国家有关法律、法规及医院的有关规章制度，严格执行安全保密制度，不得利用计算机网络从事危害国家安全、损害医院利益等违法、违规活动，不得制

8、作、查阅、复制和传播扰乱社会治安、有伤风化、淫秽色情等信息，不得利用网络攻击、损害公用网络和其他用户。否则，医院有权停止对其提供的服务；由此造成的不良后果由用户承担。5、 使用计算机机信息系统的部门和个人必须遵守计算机安全使用的规定，对计算机信息系统发生的问题和故障要立即向信息管理处报告。6、 用户不得从事下列危害计算机网络安全的行为：1）未经允许，进入计算机信息系统或使用网上信息资源；2）私自转借或转让用户账号，盗用他人账号或IP地址；3）未经允许，对网上应用系统的功能进行删减或更改：4）未经允许，对计算机网络的存储、处理或传输数据和应用程序进行删减或更改；5）故意制作、传播计算机病毒等破坏

9、程序，使用任何工具破坏网络正常运行；6）破坏、盗用计算机网络中的信息资源和危害计算机网络安全；7）其他危害计算机网络安全的行为。九、 办公电脑安全1、 办公电脑是在行政办公区域内供行政人员日常办公使用的电脑，允许访问互联网，但不允许使用HIS作业；2、 每位成员在工作机安装操作系统后，必须安装补丁程序、防病毒软件并进行安全检查。每位成员负责自己使用的机器的安全，及时更新补丁，升级相关软件及病毒库。3、 每人都有责任和义务保管好所使用的网络设施和计算机设备，非管理人员禁止随意更改设备配置，确保设备的正常稳定运行。4、 IP地址为计算机网络的重要资源，使用者应在管理员的规划下使用这些资源，不能擅自

10、更改。某些系统服务对网络产生影响，使用者应在安全管理员的指导下使用，禁止随意开启计算机中的系统服务，保证计算机网络畅通运行。5、 计算机使用者应保管好分配给自己的用户帐号和密码。禁止随意向他人泄露、借用自己的帐号和密码，严禁不以真实身份登录系统。计算机使用者应定期更改密码、使用复杂密码。不得猜测他人的密码，不得使用黑客程序进行密码破解，不得窃取系统管理员的密码。6、 上网时必须将杀毒软件的实时监测功能打开。7、 接到可疑邮件时不要随意打开，以免感染病毒。8、 禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常上课和工作的

11、行为。十、医疗专用电脑安全1、 医疗专用电脑是在医疗区域内仅供医师、护士、医技人员使用HIS作业完成医疗相关工作的电脑；2、 医疗专用电脑不允许访问互联网及使用U盘；3、 医疗专用电脑之间可使用院内邮件系统传递消息或文件；4、 接到可疑邮件时不要随意打开，以免感染病毒；5、 使用者应保管好分配给自己的用户帐号和密码。禁止随意向他人泄露、借用自己的帐号和密码。上述违规造成医院损失的，依照有关法律、法规及医院有关处罚规定进行处理，情节严重者移交公安机关处理。第二章个人资料安全管理制度个人资料安全管理是为了规范电脑处理个人数据，防止个人数据被窃取、窜改、毁损、灭失或泄漏，并促进个人数据的合理利用。凡

12、是本院所属员工因业务的需要以电脑处理个人数据（指自然人的姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其它足以识别该个人的数据）文件，在电脑机房操作、数据制作、系统及文件维护、程序设计、电脑应用作业使用在数据保全及需提供个人资料给公务机关、非公务机关（含事业、团体或个人）或当事人利用、搜集时，均适用。1、 本院所属员工因电脑处理业务的需要，需填写电脑密码建立申请表，签名保证保守业务机密，经所属一级主管核定作业范围后，交由信息管理处授予使用者密码及使用权限后正式使用。2、 使用者因调任、作业范围变更、密码安全性考虑或离职时，需主动填写电脑密

13、码修改、取消申请表，交由信息管理处修改。信息管理处定期针对己离职员工主动取消电脑密码。3、 本院所属员工不得将密码借予他人使用，因电脑处理个人数据业务而知悉或持有他人个人资料者，不得无故泄漏，否则导致医院损失，需负全部责任。4、 数据存取作业需核对数据的输入、输出、编辑或更正是否正确。5、 数据传输应确保其正确性及可用性，如透过公共线路传输时，需加密码。6、 数据使用完毕应即退出，不得留在电脑屏幕上，离开时务必将密码签退。7、 输出的报表，依本院电脑作业事务处理准则为之。8、 应用系统的新增、更改及取消须经本院电脑作业事务处理准则为之。9、 本院应用系统设计，需设定数据存取人员权限，即限定存取

14、资料范围、项目及方式，以确保数据安全使用。10、 新系统或新程序的开发及维护工作，应在测试系统先行测试，并以不使用正式数据为主，避免个人数据被不正当删除或更改。11、 新系统或新程序的上线需附电传作.业测试检核表，除了由程序负责人及所属主管检核外，需由信息管理处人员检核通过后，才能正式上线。12、 数据处理程序应区分作.业等级及数据使用权限，提供密码保护措施。未经授权而欲开启文件者，电脑应予拒绝。13、 数据文件应依数据性质、机密等级，按保密安全有关规定实施管理。并视储存媒体的作业及保存性质，适时更换合适的储存媒体及备份。14、 数据文件及其储存媒体如超过保存期限，数据管理单位得依本院相关办法

15、规定实施销毁作业。15、 针对电脑文件数据毁损后无法复原或影响整个电脑系统运作的文件，需另抄录一套保全档，存放于不同一栋的建筑物内。16、 文件的安全及完整性需有事前的防患、数据相关作业程序及数据笔数检核、备份作业及文件异常的补救复原规划，依本院电脑储存媒体使用管理办法为之。17、 厂商保养维修作业应于设备所在地实施，不可以远方遥控维修方式行之，且应注意数据完整性及安全性。18、 厂商保养维修作业应依合约内容及本院保密作业办理。19、 其它机构的数据查询、阅览及复制作业，依其特定目的及有关法令办法处理。第三章涉密数据保密管理制度1、 涉密计算机信息系统的单位保密管理实行领导负责制，并制定部门或专人负责具体的口常管理工作。并保持计算机保密管理人员相对稳定。2、 涉密计算机信息系统工作人员定期进行保密教育和检查。涉密计算机信息系统的系统管理人员应当经过严格审查，定期进行考核，并保持相对稳定。3、 涉密人员调离岗位，应当履行国家规定保守医院秘密的义务。4、 涉及国家秘密的数据，必须按照保密规定进行采集、存储、处理、传递、使用和销段。5、 计算机存储、处理、传递、输出的涉密信息要有相应的密级标识且不得与正文分离，输出的涉密文