18、信息安全管理制度
信息安全管理制度
信息安全管理制度信息安全管理制度(通用7篇)信息安全管理制度篇1近年来,随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。
随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。
如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。
涉及到企业安全的信息包括以下方面:A. 技术图纸。
主要存在于技术部、项目部、质管部。
.B. 商务信息。
主要存在于采购部、客服部。
C. 财务信息。
主要存在于财务部。
D 服务器信息。
主要存在于信管部。
E 密码信息。
存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:1 来自企业外的风险①病毒和木马风险。
互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
②不法分子等黑客风险。
计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。
信息安全管理制度
信息安全管理制度第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。
具体包括以下几个方面。
1、信息处理和传输系统的安全。
系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
2、信息内容的安全。
侧重于保护信息的机密性、完整性和真实性。
系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。
3、信息传播安全。
要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。
第二条涉及国家秘密信息的安全工作实行领导负责制。
第三条信息的内部管理1、各科室(下属单位)在向委网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力;3、各信息应用科室(单位)对本单位所负责的信息必须作好备份;4、各科室(单位)应对本部门的信息进行审查,网站各栏目信息的负责科室(单位)必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。
信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;5、涉及国家秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行;6、涉及国家秘密信息,未经委信息安全分管领导批准不得在网络上发布和明码传输;7、涉密文件不可放置个人计算机中,非涉密电子邮件的收发也要实行病毒查杀。
第四条信息加密1、涉及国家秘密的信息,其电子文档资料应当在涉密介质中加密单独存储;2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储;3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储;;4、涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或链路传输加密。
信息安全管理制度
信息安全管理制度第一章总则第一条为加强信息系统内部信息风险控制管理,有效防范信息安全风险,确保信息系统安全可靠运行,特制定本制度。
第二条本制度所指的信息安全是指信息系统各要素(包括:制度、人员、软件、服务器、网络、数据、终端等)在运行、维护、开发、建设等过程中的安全管理活动。
第三条本管理制度,适用于各部门。
第二章信息安全管理目标第四条信息资产的可用性、完整性、保密性是信息安全管理的总体目标。
信息中心具体信息安全管理目标是:(一)维护范围内的网络大规模病毒爆发(病毒影响到三分之一的网络中断)每年不超过1次;(二)信息系统运行无故障率大于等于99%;(三)机房设备重大故障每年不超过3次;(四)全年不发生重大信息安全泄露事故;(五)全年不发生单位级存储数据丢失事故。
第三章安全防范管理机制第五条完善安全防范管理机制是信息系统安全防范的组织保证,成立院信息化工作领导小组,负责开展信息系统建设、应用和信息安全保障工作。
信息化建设领导小组下设办公室,具体负责信息化工作的组织协调和信息安全保障工作。
第六条信息化工作领导小组负责法院信息系统信息安全保障工作。
具体任务是:(一)制订法院信息系统安全防范工作规划和实施方案。
(二)监督、检查法院有关信息系统安全保障工作规章制度的执行情况,组织制订法院内部相应的安全防范实施细则,加强岗位管理,实行有效监控。
(三)组织实施对信息系统的安全检查工作,确保信息系统的安全可靠运行。
(四)组织实施对法院各级工作人员的计算机安全教育,增强安全保密和风险意识。
(五)负责法院安全防范的日常工作。
第七条信息化工作领导小组组长职责为:(一)带领信息化工作领导小组开展信息系统安全防范工作。
(二)监督信息化工作领导小组办公室履行职责。
第八条信息化工作领导小组办公室设在信息中心,具体负责信息化建设、应用和信息安全保障工作:(一)确定信息化建设与应用等各项工作的岗位安全职责。
(二)负责确定各网络设备特权口令、各应用系统主机特权口令、各种应用用户口令的使用与管理;负责确定各种系统备份与业务数据备份的实施与管理、备份介质的使用与管理等重要安全事项。
信息安全管理制度
第一条信息安全是指通过各种计算机、网络(内部信息平台) 和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。
具体包括以下几个方面。
1、信息处理和传输系统的安全.系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
2、信息内容的安全。
侧重于保护信息的机密性、完整性和真实性.系统管理员应对所负责系统的安全性进行评测 ,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等.3、信息传播安全。
要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台 )系统传播 , 避免对国家利益、公共利益以及个人利益造成伤害。
第二条涉及国家秘密信息的安全工作实行领导负责制。
第三条信息的内部管理1、各科室(下属单位)在向委网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力;3、各信息应用科室(单位)对本单位所负责的信息必须作好备份;4、各科室 (单位)应对本部门的信息进行审查,网站各栏目信息的负责科室(单位)必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。
信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;5、涉及国家秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行;6、涉及国家秘密信息,未经委信息安全分管领导批准不得在网络上发布和明码传输;7、涉密文件不可放置个人计算机中,非涉密电子邮件的收发也要实行病毒查杀.第四条信息加密1、涉及国家秘密的信息,其电子文档资料应当在涉密介质中加密单独存储;2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储;3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储;;4、涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或者链路传输加密。
医疗安全18项核心制度(2018年度)
醫療安全十八項核心制度目錄(1)首診醫師負責制度。
(2)三級醫師查房制度。
(3)疑難病例討論制度。
(4)會診制度。
(5)急危重患者搶救制度。
(6)手術分級分類管理制度。
(7)術前討論制度。
(8)死亡病例討論制度。
(9)查對制度。
(10)病曆書寫與管理制度。
(11)值班與交接班制度。
(12)分級護理制度。
(13)新技術和新項目准入制度。
(14)危急值報告制度。
(15)抗菌藥物分級管理制度。
(16)手術安全核查制度。
(17)臨床用血審核制度。
(18)信息安全管理制度。
一、首診負責制度一、第一次接診の醫師或科室為首診醫師和首診科室,首診醫師對患者の檢查、診斷、治療、搶救、轉院和轉科等工作負責。
二、首診醫師必須詳細詢問病史,進行體格檢查、必要の輔助檢查和處理,並認真記錄病曆。
對診斷明確の患者應積極治療或提出處理意見;對診斷尚未明確の患者應在對症治療の同時,應及時請上級醫師或有關科室醫師會診;三、首診醫師下班前,應將患者移交接班醫師,把患者の病情及需注意の事項交待清楚,並認真做好交接班記錄。
四、對急、危、重患者,首診醫師應采取積極措施負責實施搶救。
如為非所屬專業疾病或多科疾病,應組織相關科室會診或報告醫院主管部門組織會診。
危重症患者如需檢查、住院或轉院者,首診醫師應陪同或安排醫務人員陪同護送;如接診醫院條件所限,需轉院者,首診醫師應與所轉醫院聯系安排後再予轉院。
五、首診醫師在處理患者,特別是急、危、重患者時,有組織相關人員會診、決定患者收住科室等醫療行為の決定權,任何科室、任何個人不得以任何理由推諉或拒絕。
二、三級醫師查房制度查房實行正(副)主任醫師、主治醫師、住院醫師三級查房。
危重者入院後當天要有上級醫師查房;夜間病重者入院後,次日要有上級醫師查房記錄,二級醫師書寫三級醫師查房記錄,一級醫師書寫二級醫師查房記錄,查房前各級醫師對需要進行討論診斷和治療の病例,事前應查閱有關文獻資料,作好充分准備,以提高查房質量。
信息安全管理制度范文(四篇)
信息安全管理制度范文一、目的为了保护公司的信息资产,防止信息泄露、损毁、篡改等安全风险,建立一个有效的信息安全管理制度。
二、适用范围该制度适用于公司内所有的信息系统、网络和数据。
三、信息安全管理责任1. 建立信息安全管理组织,明确组织结构和职责。
2. 指定专门的信息安全管理负责人,负责制定、执行和监督信息安全管理制度。
3. 全员参与,每个员工都有责任维护信息安全。
四、信息资产分类和保护1. 对所有的信息资产进行分类,根据其重要性设定相应的安全级别和保护措施。
2. 确保所有信息资产都有相应的备份和恢复机制。
3. 禁止未经授权的人员接触和使用信息资产。
五、网络安全1. 采取有效的措施保护公司的内部网络和对外连接的网络安全。
2. 确保所有网络设备都有安全配置,并严格限制外部访问。
3. 建立网络监控系统,定期检测和排查网络安全隐患。
六、访问控制1. 各系统和应用程序必须设立访问控制机制,确保只有授权的用户才能访问。
2. 管理员必须定期审查用户权限,并及时取消不需要的权限。
3. 确保所有用户都有唯一的身份认证信息,严禁共享密码。
七、安全审计和监督1. 建立安全审计机制,对信息系统的安全状况进行定期审计。
2. 对安全事件进行及时记录、报告和处理。
3. 建立安全事故处理机制,及时应对和处置安全事故。
八、员工管理1. 为员工提供必要的信息安全培训,增强信息安全意识。
2. 严禁员工擅自泄露、篡改、销毁信息资产。
3. 对员工进行信息安全行为评估,及时发现和纠正不当行为。
九、安全检测和评估1. 定期进行系统和网络的安全检测和评估。
2. 及时修复系统和网络的安全漏洞。
十、制度的修订和推广1. 对该制度定期进行修订和更新,并及时告知相关人员。
2. 推广制度,确保所有员工都遵守制度。
本信息安全管理制度将于XX年XX月XX日起执行,各部门必须按照制度要求落实相关安全措施,确保公司的信息安全。
违反该制度的行为将会受到相应的处罚,必要时将移交给相关部门处理。
公司信息安全管理制度(6篇)
公司信息安全管理制度信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。
为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。
本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。
1.计算机设备安全管理1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。
1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。
未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。
2.电子资料文件安全管理。
2.1文件存储重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。
2.2文件加密涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
2.3文件移动严禁任何人员以个人介质光盘、U盘、移动硬盘等外接设备将公司的文件资料带离公司。
信息安全制度管理办法
第一章总则第一条为加强我单位信息安全工作,保障信息系统安全稳定运行,保护国家秘密、商业秘密和个人隐私,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我单位实际情况,制定本办法。
第二条本办法适用于我单位所有信息系统、网络设施、数据资源以及涉及信息安全的相关活动。
第三条我单位信息安全工作遵循以下原则:1. 预防为主、防治结合;2. 安全责任到人;3. 技术和管理并重;4. 法律法规为准绳。
第二章组织与管理第四条成立信息安全工作领导小组,负责统一领导和协调信息安全工作。
第五条信息安全工作领导小组下设信息安全办公室,负责信息安全工作的日常管理、监督和检查。
第六条各部门、各岗位应根据职责分工,落实信息安全责任,确保信息安全制度的有效实施。
第七条信息安全工作领导小组定期召开会议,研究解决信息安全工作中的重大问题。
第三章信息安全管理制度第八条信息安全管理制度包括但不限于以下内容:1. 信息系统安全管理制度:明确信息系统建设、运行、维护、报废等各环节的安全要求,确保信息系统安全可靠。
2. 网络安全管理制度:规范网络接入、网络设备管理、网络安全监测等,保障网络安全。
3. 数据安全管理制度:明确数据分类、分级、存储、传输、处理、销毁等环节的安全要求,确保数据安全。
4. 密码管理制度:规范密码的使用、管理、更换等,确保密码安全。
5. 访问控制制度:明确用户权限、访问控制策略等,确保信息系统资源的安全访问。
6. 安全事件管理制度:规范安全事件的报告、调查、处理、总结等,提高应对安全事件的能力。
7. 安全培训制度:定期开展信息安全培训,提高员工信息安全意识。
第九条信息安全管理制度应定期修订,以适应信息安全形势的变化。
第四章信息安全保障措施第十条加强信息安全基础设施建设,包括防火墙、入侵检测系统、漏洞扫描系统等。
第十一条定期进行安全漏洞扫描和风险评估,及时修复安全漏洞。
第十二条建立信息安全应急响应机制,确保在发生信息安全事件时能够迅速响应。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理制度(一)信息化数据管理制度1.信息化数据是指医院信息系统直接或者间接产生的、电子化形式存储的数据资料。
从形式上包括文件、影像、语音、视频(简称:数据)和各种生产系统直接或者间接产生的数据库(简称:数据库)等。
2.医院信息化负责人需要对数据与数据库实施严格的安全与保密管理;防止经营、管理的核心数据非法生成、变更、泄露、丢失及破坏。
3.数据库的管理最高权限仅在集团信息中心与医院信息化负责人;医院信息部门的其他人员不得使用最高权限账号。
4.所有的数据与数据库必须遵守集团数据安全与备份相关要求进行。
5.不能擅自修改数据与数据库的结构与内容;不得擅自删除任何信息;如果因为工作要求,需要进行更改的,必须按照集团分级授权体系的规定进行。
6.所有数据与数据库仅在内部办公场所使用,严禁任何人以任何方式将数据与数据库泄露到除了集团与医院之外的第三方。
7.集团集中对医院的数据与数据库进行安全管理工作。
(二)信息安全保密制度1.所有信息化人员均需要遵守并执行集团信息安全保密的要求。
2.所有医院均需要接受集团在信息保密工作上的巡检、监控与审计。
3.尊重患者信息安全与隐私,严禁将患者相关信息与资料泄露到医院与企业外。
4.严禁修改非正常运维工作所需要的数据库中的数据;由于数据错误、程序BUG等特殊情况,需要进行记录并按照集团管理授权体系进行上报。
5.医院信息化负责人掌握各种信息化设备与信息系统后台的管理员权限,原则上其余相关管理人员仅掌握二级管理员权限。
6.严禁信息化统方;严禁在信息系统、自主报表和功能模块中设置可能造成统方的功能。
7.禁止将机房内的资料、文档、数据、配置参数等信息提供给无关人员或向外随意传播。
对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。
外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房相关负责人代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
8.重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。
对于加密的数据应保证其可还原性,防止遗失重要数据。
9.严禁将信息系统后台、数据库等账号和权限泄露给非信息化工作人员。
10.除了集团信息中心和医院CEO之外,第三方的数据上报或者对接工作(例如公安、民政、税务等),必须要逐级上报;正常医保、农合、税控等对接业务按照正常工作流程进行。
11.医院信息化负责人是信息安全第一责任人,如果因为信息安全保密工作造成的损失与后果,需要承担相应责任。
(三)医院数据安全备份与恢复制度数据备份关系到整个系统发生异常时,是否能及时地进行恢复业务的正常运转,关系到全院的医疗工作的正常秩序,责任重大;信息化人员要以高度的事业心和责任感,不折不扣地执行。
1.医院必须有数据安全备份与恢复方案,并按工作计划执行。
2.备份的范围包括:(1)信息系统安装包、补丁包;(2)信息系统产生的数据,包括但是不限于数据库、日志、影像、文档、文件;(3)基础系统软件、基础设施、网络、终端的配置、账号密码、日志等;(4)其他需要备份的内容。
3.备份要求:采用滚动备份方式,至少保留三个主备份(全数据)和一个增量备份(日常进行);尽可能采用自动化备份方案;备份必须用离线形式进行(存储介质、专用计算机或者服务器);每日上班需要第一时间检查备份的执行情况;4.时间要求:备份每日进行;每周需要对数据完整性进行检查;定期(建议按月)做校验或者恢复测试,以确保备份数据的安全可靠;5.安全要求:备份材料严禁带到非工作之外的场地;备份介质维修、报废处理,需要上报集团,作合适处理。
6.策略要求:集团信息中心下发统一的备份策略,并根据医院特点制定本地化与个性化策略;医院执行备份策略中如果出现异常或者问题,要及时逐级汇报。
7.记录要求:针对数据备份与恢复工作,需要做好工作记录备查。
8.人员要求:医院信息化负责人是备份与恢复工作的第一责任人。
(四)医院信息化终端使用管理规定1.医院信息化终端(简称:终端)是指运行业务与生产所需要的信息化设备,包括PC机、笔记本电脑、移动终端、打印机、扫描仪等。
2.终端为医院工作的公共设备,不属于使用者个人所有。
3.严禁终端做私人用途,严禁安装费工作软件,严禁拷贝与办理个人事务。
4.终端均会受到集团信息化控制、监控与审计,以方便运维与管理。
5.医院信息化负责人需要对终端及其配件、耗材与配件进行有效的管理,做到有帐可查,出入有记录,借用有归还,遗失报废有登记。
6.由于业务要求与需要,需要接入到医院的信息化终端,必须要有合适的准入或者安全控制措施,并有合适的操作记录与日志。
(五)医院互联网使用管理规定1.使用接入互联网办公计算机(简称:上网计算机)的人员(简称:使用者),必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律、法规和各项行政规章,并对所提供的信息和上网行为负责。
2.医院内部因工作需要,必须接入互联网的科室或个人,应填写《医院互联网上网申请表》,如实填写上网需求,上网目的。
向医院CEO申请,在获得审核批准后由医院信息化负责人开通。
3.使用者不得利用计算机网络从事危害国家安全、泄露国家机密、破坏社会治安、宣传封建迷信、收发淫秽黄色信息、窃取国家机密情报和军事秘密、煽动民族仇恨和民族歧视、破坏民族团结、组织邪教活动、联络邪教组织等破坏国家法律和行政法规的行为。
4.使用者不得利用网络非法窃取、篡改、删除他人电子邮件或者其他用户资料,不得侵犯他人通信自由和通信秘密。
5.使用者有义务配合国家安全部门依法对网络使用情况等进行监督检查,并接受信息化工作人员对电脑进行安全检查。
6.医院职工不得上不健康的网站,做到安全、文明、健康、守法上网和工作需要的原则。
7.上网计算机使用者不得在互联网上发表诋毁医院形象的言论,不得泄露医院的经营情况、内部工作计划及其他可能影响医院形象、医院业务和医院经营的行为。
8.使用者不得进行任何干扰其他网络用户,破坏网络设施的活动。
这些活动包括(但并不限于)散布计算机病毒、进入未经授权的计算机系统、盗用非法IP地址入网等。
9.使用者,应对被动收到的不良信息,及时删除,严禁扩散,必要时报告信息化工作人员,协助删除。
(六)医院内网使用管理规定1.医院内网与医院互联网需要完全或者通过技术手段实现隔离;医院内网仅限接入与工作有关的信息化终端。
2.所有接入内网的终端均需要安装安全管理软件,接收信息化安全巡检、监控与审计。
3.医院信息化负责人直接负责内网管理,负责安全域划分、网络设备配置、IP地址设置等工作。
4.禁止在内网中安装非工作所需要的软件。
5.禁止在内网处理与办理个人事务。
6.禁止在内网中私自接入网络设备,包括各种网络设备,例如路由器、无线AP等;禁止在笔记本或者台式机上启用无线WIFI功能。
7.禁止在内网的信息化终端(包括笔记本、计算机、移动设备等)的USB、SATA、串口、并口等接口上使用各种存储介质;如因工作需要的情景,必须在医院信息化人员的管理与监督下,在非直接工作站的直管计算机上进行操作。
8.工作人员在离开信息化终端时,必须要执行锁定操作,必须要有密码保护;如果离开时间较长,应关闭计算机后离开。
9.严禁工作人员将信息化账号和密码泄露在公众场合,例如贴条在计算机边上。
10.内网终端的信息化使用者,需妥善保管自己的计算机密码,对自己在网络使用中的行为负责,对其登录用户名和密码负责。
11.因工作需要,须带私人计算机或IT设备、网络设备接入内网的工作人员,应向信息主管部门提出申请,接受信息化监控与审计。
原则上不设置永久访问。
12.医院信息化负责人是内网使用与安全的第责任人。
(七)医院信息系统运维管理规定1.医院信息化部门需要对信息系统进行运维管理,以保障信息系统高效、稳定与安全运行,支撑医院各项业务,同时符合相关政策、法律与法规的要求。
2.运维内容:包括信息系统故障(BUG)管理、问题管理、变更管理、版本管理和配置管理等流程和规程等。
3.日常管理:实时监控医院各系统运行状态,保证信息系统各类运行指标符合相关要求。
4.培训工作:高度重视信息系统的培训工作,做好相关工作人员的培训,并保证培训效果。
5.运维管理:迅速而准确地定位和排除各类缺陷(BUG)、业务或者逻辑错误、数据不准确等情况,及时联系相关业务部门做好协调工作,及时准确上报各种问题,管理、督促信息化服务厂商,必要时联系省区与集团信息中心,尽快解决问题。
6.运维记录:做好信息系统运维相关记录进行系统安全管理,做到及时记录、记录清晰、完整;有问题处理的反馈环节;对于不能及时处理或者不处理的,要注明原因、理由与汇报情况。
7.运维协调:处理问题的过程中积极协调医院各部门与各级领导,妥善解决涉及到业务的问题。
8.运维总结:定期总结运维工作,找出更好、更快处理问题的方式,总结经验,不断提高运维服务能力。
9.信息系统出现无法进行本地解决的,应及时向上级领导及集团信息中心进行报告,积极配合各级部门解决问题。
10.信息系统运维工作,不能替代业务部门做业务决策;问题的解决需要知会并得到相关部门的确认。
不能解决或者不能按期解决的,需要提前及时上报相关领导。
11.对于信息系统隐患或暂时不能彻底解决的故障应纳入问题管理,每月应对存在的问题进行跟踪分析。
12.信息化人员应保证在线系统的软件版本、数据及硬件设备的稳定,未经相关部门批准,不得擅自自行对信息系统软件版本、数据库及硬件设备进行任何变更及调整。
13.禁止在服务器上进行试验性质的配置操作,应在其它可进行试验的计算机或服务器上确认可行后,才能对服务器进行准确的配置。
原则上信息系统的变更必须在夜间非主要工作时间进行。
对会影响到全局的硬件设备、软件配置的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备、软件配置的更改。
14.对机房核心设施的重大的更改,必须首先形成方案文件,经过集团信息中心审核确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。
对设备及软件的更改、升级、配置等操作之前,应对负面后果充分的准备,必要时需要先准备好后备配件和应急方案及措施。
15.对于紧急变更需求或者特殊情况,允许口头申请、审批后组织具体实施。
事后,对变更后的系统及硬件设备进行一定时间的测试,确认无误后,向上级领导进行汇报。
并完成相关文档资料的记录工作。
(八)医院网络日常维护管理规定1.医院网络管理范围包括:互联网宽带接入、楼宇间网络、各级网络设备、无线网络、VPN网络等。
2.集团信息中心管理医院核心网络设备管理员权限。
3.医院信息化负责人要管理容纳网络设备的机房、弱电井、网络基站等相关基础设施。
4.各级网络设备,特别是三层交换机必须要有合适的接地与避雷措施,有条件的地方需要对接防浪涌设备和UPS。