醫(yī)院信息安全管理制度(系列)

《醫(yī)院信息安全管理制度(系列)》由會員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、醫(yī)院信息安全管理制度系列本制度系列所管轄醫(yī)院信息包括醫(yī)院在運(yùn)行管理中涉及到的基本信息（人、財(cái)、物）、運(yùn)行信息（各類業(yè)務(wù)工作與質(zhì)量安全管理資料數(shù)據(jù)）和管理信息（投資發(fā)展、人力資源開發(fā)與利用、發(fā)展戰(zhàn)略研究），統(tǒng)稱為“醫(yī)院信息”。依據(jù)《中華人民共和國保密法》、《醫(yī)療質(zhì)量管理辦法》，制定此制度系列。一、醫(yī)院數(shù)據(jù)、資料信息安全管理制度醫(yī)院內(nèi)部的數(shù)據(jù)、資料信息安全管理尤為重要，如涉及全院的工作統(tǒng)計(jì)數(shù)據(jù)、質(zhì)量與安全評價(jià)分析相關(guān)的數(shù)據(jù)、與醫(yī)療糾紛有關(guān)的信息、醫(yī)院管理與建設(shè)重大決策信息、醫(yī)院經(jīng)濟(jì)管理相關(guān)的信息等，院領(lǐng)導(dǎo)認(rèn)為不宜通過“三重一大”公示的信息，均屬于保密信息，必須實(shí)

2、行安全管理，規(guī)定如下：（一）任何人未經(jīng)院領(lǐng)導(dǎo)批準(zhǔn)，不得在公眾場合、公共媒體發(fā)布醫(yī)院涉密信息。（二）醫(yī)院各職能部門和業(yè)務(wù)科室，對自身所涉密的醫(yī)院信息，有保密的義務(wù)和責(zé)任。（三）不屬于分管職能內(nèi)的涉密信息，不得向其他部門和個(gè)人打探。（四）任何員工不得以謀利為目的，散布、出賣、交換醫(yī)院涉密信息。（五）任何員工不得以泄私憤、圖報(bào)復(fù)，散布和出賣醫(yī)院涉密信息。違反以上各條，醫(yī)院有權(quán)追究泄密人的相應(yīng)責(zé)任。二、醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全管理制度（一）為了保證醫(yī)院網(wǎng)絡(luò)的正常運(yùn)行，保護(hù)醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全和網(wǎng)絡(luò)用戶的使用權(quán)益，特制定本安全管理制度。??（二）本管理制度所稱的醫(yī)院網(wǎng)絡(luò)系統(tǒng)是指

3、在醫(yī)院信息系統(tǒng)中，由計(jì)算機(jī)及配套設(shè)施構(gòu)成的，按照醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用目標(biāo)和規(guī)定，對數(shù)據(jù)進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。??（三）11醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全管理是通過實(shí)施身份認(rèn)證、訪問控制與授權(quán)管理、數(shù)據(jù)備份和災(zāi)備系統(tǒng)、安全分域及邊界防護(hù)、防病毒系統(tǒng)、入侵檢測、補(bǔ)丁管理、郵件安全網(wǎng)關(guān)、遠(yuǎn)程接入等安全技術(shù)和與之相配套的管理制度，保障網(wǎng)絡(luò)主機(jī)及配套設(shè)備、設(shè)施的安全，網(wǎng)絡(luò)運(yùn)行環(huán)境的安全，從而達(dá)到保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行和信息安全的目的。?（四）信息科負(fù)責(zé)醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理工作，確保對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理的有效性。??（五）計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的

4、建設(shè)和應(yīng)用應(yīng)遵守上級主管部門頒發(fā)的行政法規(guī)、用戶手冊和其他相關(guān)規(guī)定。??（六）計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)行安全等級保護(hù)和用戶使用權(quán)限劃分。安全等級和用戶使用權(quán)限的劃分和設(shè)置由信息科負(fù)責(zé)制定和實(shí)施。?（七）計(jì)算機(jī)入網(wǎng)運(yùn)行必須經(jīng)信息科批準(zhǔn)備案，分配IP地址后，方可接入網(wǎng)絡(luò)。?（八）要對重要主機(jī)的用戶名、開機(jī)口令、應(yīng)用口令和數(shù)據(jù)庫口令實(shí)施重點(diǎn)管理，嚴(yán)格控制設(shè)備存取及加密，未經(jīng)允許嚴(yán)禁外來盤片帶入機(jī)房對服務(wù)器進(jìn)行安裝等，不準(zhǔn)將機(jī)器設(shè)備和數(shù)據(jù)帶出機(jī)房。??（九）未辦理入網(wǎng)手續(xù)，任何單位和個(gè)人不得非法私自將計(jì)算機(jī)接入醫(yī)院網(wǎng)絡(luò)，不得以不真實(shí)身份使用網(wǎng)絡(luò)資源，不得竊取他人賬號、口令使

5、用網(wǎng)絡(luò)資源，不得盜用未經(jīng)合法申請的IP地址入網(wǎng)。未經(jīng)信息科允許，任何單位或個(gè)人不得擅自接納網(wǎng)絡(luò)用戶。??（十）應(yīng)根據(jù)網(wǎng)絡(luò)主機(jī)不同的安全級別采取相應(yīng)的訪問控制、數(shù)據(jù)保護(hù)、保密監(jiān)控管理和系統(tǒng)安全等技術(shù)措施。??（十一）信息科定期對網(wǎng)上用戶的訪問及授權(quán)情況進(jìn)行檢查，及時(shí)發(fā)現(xiàn)和限制非法用戶和非授權(quán)訪問。??（十二）要按要求對數(shù)據(jù)進(jìn)行日備份、月備份和年備份。嚴(yán)格按操作規(guī)程進(jìn)行數(shù)據(jù)備份工作，確保備份數(shù)據(jù)的完整和準(zhǔn)確性，做好備份數(shù)據(jù)的審核工作，并做好相應(yīng)記錄。要確保導(dǎo)出、導(dǎo)入數(shù)據(jù)的完整和準(zhǔn)確，并做好導(dǎo)出、導(dǎo)人數(shù)據(jù)的審核工作和相應(yīng)記錄。??（十三）加強(qiáng)邊界安全的防護(hù)，應(yīng)根據(jù)

6、安全區(qū)域劃分情況明確需進(jìn)行安全防護(hù)的邊界，并實(shí)施有效的訪問控制策略和機(jī)制。??（十四）應(yīng)在網(wǎng)絡(luò)系統(tǒng)或安全域邊界的關(guān)鍵點(diǎn)采用嚴(yán)格的安全防護(hù)機(jī)制，如嚴(yán)格的登錄／鏈接控制，高性能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等。??（十五）要實(shí)施必要的邊界訪問、違規(guī)外聯(lián)的審計(jì)和控制。????（十六）應(yīng)采用必要的手段（如入侵檢測系統(tǒng)、日志分析、網(wǎng)絡(luò)取證分析等）對系統(tǒng)內(nèi)的安全事件進(jìn)行監(jiān)控，檢測攻擊行為并能發(fā)現(xiàn)系統(tǒng)內(nèi)非授權(quán)使用情況。??（十七）11應(yīng)禁止系統(tǒng)內(nèi)用戶非授權(quán)的外部鏈接（如自動撥號、違規(guī)鏈接和無線上網(wǎng)）。??（十八）應(yīng)部署有效的網(wǎng)絡(luò)病毒防范軟件系統(tǒng)和

7、相應(yīng)的網(wǎng)絡(luò)病毒防范管理辦法，實(shí)施對計(jì)算機(jī)網(wǎng)絡(luò)病毒的有效防范。??（十九）要制定文檔化的明確的計(jì)算機(jī)病毒和惡意代碼防護(hù)策略，以及確保策略有效實(shí)施規(guī)章制度。?（二十）應(yīng)在系統(tǒng)內(nèi)關(guān)鍵的入口點(diǎn)以及各工作站、服務(wù)器和移動計(jì)算機(jī)設(shè)備上采取計(jì)算機(jī)病毒和惡意代碼防護(hù)措施。?（二十一）應(yīng)制定文檔化的信息系統(tǒng)備份和恢復(fù)的策略，建立健全備份和恢復(fù)的管理制度和操作規(guī)程。??（二十二）備份包括關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份、關(guān)鍵業(yè)務(wù)設(shè)備（如服務(wù)器、交換機(jī)等）的備份和電源備份。對重要信息系統(tǒng)（如HIs系統(tǒng)）的關(guān)鍵設(shè)施（如服務(wù)器）采取熱備份。??（二十三）應(yīng)定期備份和對恢復(fù)策略進(jìn)行測試，以保證其有效

8、性。要有系統(tǒng)恢復(fù)的預(yù)案和演練。??（二十四）應(yīng)根據(jù)業(yè)