信息系统分级规范

医院信息系统操作权限分级制度为了加强计算机及信息网络安全及保密管理，避免操作权限失控，为防止一些用户利用非法取得的权限进行不正确的活动，特制定信息系统操作权限分级管理规定，对各用户的上网活动进行严格管理，并按照各用户的身份对用户权限进行严格的控制，保证网络的正常运行，确保应用程序安全、稳定的运行。

一、信息系统权限的分级管理工作由信息科负责具体实施。

二、信息系统软件针对不同部门设置了不同的权限和模块，信息科技术人员在安装软件时，必须根据科室工作性质XX装对应模块。

三、不同职务或职称的医护人员拥有不同的操作权限，具体的权限分级由本提出申请后，报相关部门批准，由信息科进行设置。

四、科室人员需要越权限操作时，必须经主管领导批示，由信息科执行授权。

五、信息系统安全采用登陆控制模块对登陆用户进行身份识别，确保用户身份的唯一性，操作人员应妥善保管好自己的工号和密码。

如因保护不善而造成的不良后果由操作人员自行承担。

六、对岗位变动或离岗人员，信息科在接到人事科的相
关通知后，将及时对其工号和权限进行变更或注销。

七、所有服务器、主干交换机及其他系统主要设备由信息科技术人员负责管理，任何人不得擅自操作网络设备，修改网络参数和服务器的相关设置等。

八、对于主要网络设备和计算机服务器系统，应当正确分配权限，并加严密的口令予以保护，口令应定期修改，任何非系统管理人员严禁使用、扫描或猜测口令。

九、对于服务器系统和各主要交换设备的配置信息，信息科应做好定期备份工作，确保在系统发生故障时能及时恢复，以保障网络的正常运行。

十、管理人员要明确管理职责，不得擅自将自己操作权限转交他人，避免操作权限失控。

未经领导批准不得超越权限操作。

一、目的为了保障医院信息系统安全、稳定运行，明确职责权限，保护患者隐私，提高医疗服务质量，特制定本制度。

二、适用范围本制度适用于医院内部所有使用医院信息系统的相关人员。

三、权限分级1. 一级权限：全局管理员（1）对医院信息系统享有全面权限的人员。

（2）负责医院信息系统的整体规划、建设、维护、升级等工作。

（3）负责对医院信息系统操作人员进行权限分配、调整和回收。

2. 二级权限：部门管理员（1）负责本部门信息系统使用人员的权限分配、调整和回收。

（2）负责本部门信息系统日常维护、故障处理等工作。

3. 三级权限：普通操作员（1）按照部门管理员分配的权限，使用医院信息系统进行日常业务操作。

（2）负责及时反馈信息系统运行中的问题，配合部门管理员进行故障处理。

四、权限分配与调整1. 权限分配（1）一级权限由信息化建设和信息安全领导小组授权信息科科长负责分配。

（2）二级权限由部门负责人授权部门管理员负责分配。

（3）三级权限由部门管理员根据工作需要，授权给普通操作员。

2. 权限调整（1）权限调整由部门管理员根据工作需要，向信息科科长提出申请。

（2）信息科科长审核通过后，对权限进行调整。

（3）调整后的权限应及时通知相关操作人员。

五、权限回收1. 当操作人员离职、调动或其他原因无法继续使用医院信息系统时，部门管理员应向信息科科长提出权限回收申请。

2. 信息科科长审核通过后，对权限进行回收。

六、权限管理要求1. 各部门应加强信息系统权限管理，确保权限分配合理、使用规范。

2. 操作人员应严格按照权限范围使用医院信息系统，不得越权操作。

3. 部门管理员应及时发现和纠正操作人员越权操作行为。

4. 信息科科长应定期对信息系统权限进行审核，确保权限分配合理。

七、监督与考核1. 医院信息化建设和信息安全领导小组负责对信息系统权限管理进行监督。

2. 信息科科长对部门管理员进行考核，考核内容包括权限分配、调整、回收等方面。

3. 部门管理员对操作人员进行考核，考核内容包括权限使用、操作规范等方面。

信息系统权限分级管理制度为了进一步规范我院的信息系统使用，保障网络信息系统安全，特制定本制度。

一、分级操作原则与级别划分根据对信息系统安全性的威胁程度，以及各部门对电脑系统的应用需要，进行分级。

对我院信息系统操作人员划分为以下级别:1级：全局管理员，对医院信息化网络享有全面权限的人员。

本级权限由院信息化领导小组授权信息科科长，可对我院信息系统因业务需要开展的新建、部署、维护等各方面工作。

2级：专业管理员，具体包括：2.1包括软件系统管理员：享有对操作系统及应用系统进行安装调试、修复、应用软件测试、部署、版本控制、文档等职能。

本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。

2.2数据库管理员：享有对数据库系统的操作、备份、调整、测试等权限。

本权限由信息科科长指定专人负责，在1级权限所有人指导与批准下开展工作。

2.3操作员授权管理员：享有对操作系统、数据库系统、应用软件按规定流程设定操作权限的权利本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。

2.4网络授权管理员：享有对网络设备及网络管理软件的操作、备份、调整、测试等权限。

本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。

3级：字典维护员，对信息系统中包括床位、费用、药剂、材料等基础数据字典按规定进行维护的权限，具体包括：3.1诊疗维护员：享有对各项医技、治疗、材料等诊疗收费字典按规定进行新增、调价、变更、废止等权限。

本权限由信息科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

3.2药品维护员：享有对西药、成药、草药等常规字典按规定进行新增、调价、变更、废止等权限本权限由药剂科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

3.3其他字典维护员：享有对除诊疗与药品之外的其他字典如床位、患者类别、付费方式等按规定进行新增、变更、废止等权限。

本权限由信息科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

信息系统操作权限分级管理信息系统操作权限分级管理是指根据不同用户的职责和需求，对信息系统内的各项操作进行分类和控制，以保障信息系统的安全性和合规性。

操作权限分级管理的目的是合理分配权限，防止权限滥用和信息泄露，同时提高系统的可用性和管理效率。

本文将从权限分级的原则、操作权限的分类与控制、权限分配与撤销等方面进行详细阐述。

权限分级管理的原则可以归纳为以下几点：1.最小权限原则：用户只被授予完成工作所需的最低权限，防止权限滥用和安全漏洞。

2. 需要-to-know原则：用户只能够获得完成其职责所需的信息和权限，防止信息泄露和滥用。

3.分离责任原则：将涉及不同层级的功能和操作进行分离，确保权限分配和审批的独立性和可追踪性。

4.审计与监控原则：对各级别用户的操作进行审计和监控，发现异常行为及时采取措施，保障系统的安全和稳定。

操作权限可根据需求和职责的不同进行分类和控制。

一般可以分为以下几个层次：1.系统管理员权限：系统管理员拥有最高级别的权限，可以管理系统的配置、用户权限和安全策略等，有权对系统进行全面控制。

为了防止滥用，该权限一般只授予少数管理员，并采取特殊的认证措施。

2.数据管理员权限：数据管理员负责对数据库和数据表进行管理和维护，包括数据备份、恢复、性能优化等操作。

该权限可以协助系统管理员进行日常维护，但对于系统配置和用户管理等高级别操作没有权限。

3.应用管理员权限：应用管理员负责对特定应用程序进行管理和维护，包括用户账户管理、权限分配、系统配置等。

应用管理员可以根据需要创建、修改和删除用户账户，但对于系统配置和其他应用程序的管理没有权限。

4.普通用户权限：普通用户是系统的最底层用户，只能进行自己工作所需的操作，不能管理其他用户和系统配置。

普通用户通常只能访问自己的数据和相关应用程序，不能修改和删除其他用户的数据。

权限分配是指将不同层次的权限授予相应的用户。

在进行权限分配时，需考虑以下几个方面：1.用户职责：根据用户的职责和工作需求，确定其需要的操作权限。

医院信息系统故障分级及处置办法为及时应对信息系统突发故障, 提高医院对突发网络安全事件的处理应对能力, 维护医院正常秩序, 保障患者安全, 特制定本办法。

一、故障分级:针对影响范围的不同将信息系统故障设备故障定为四级, 分别为：一级: 少量单台计算机出现故障影响日常工作的正常使用;影响范围为个别用户。

二级: 单台接入交换机范围出现故障而影响日常工作的正常使用;影响范围不超过单台接入交换机覆盖范围。

三级: 单栋建筑物或单一子网出现故障而影响日常工作的正常使用;或单个非关键业务系统无法正常使用;影响局部多科室多业务或全院范围单一非核心业务的运行。

四级: 核心网络设备出现故障或由于服务器、操作系统、数据库、中间件等出现问题而导致核心业务系统无法正常使用;影响全院范围内的核心业务运行。

应针对以上级别分别制定相应的应急预案。

二、故障发现、处置和总结:（一）发现故障:故障来源主要有: 科室电话报警、日常设备巡检、故障排查过程;（二）故障处置和总结:信息中心接收到故障信息后, 依据现场排查情况和故障分级办法做出判断: 一级和二级故障: 在条件允许的情况下进行现场处置, 若处置过程需较长时间, 应及时提供备用设备, 保证工作正常进行;故障设备维修完毕后根据资产管理的要求, 决定是否替换回备用设备;做好相关处置情况的记录;定期对一二级故障进行分析, 提出改进措施。

三级故障：在30分钟内无法排除的情况下, 应报告信息中心负责人, 并组织通知受影响部门, 及时启动相关部门应急预案;故障处置完毕后, 由相关技术负责人撰写《重大安全事件处置报告》, 说明故障情况、分析故障原因及提出改进措施;信息中心负责人应向分管院领导就故障事件做出说明。

四级故障：判断为四级故障, 15分钟仍无法排除应立即报告信息中心负责人;30分钟无法排除, 应立即报告分管院领导决定是否启动全院应急预案;故障排除后, 由信息中心负责人组织技术人员和相关厂商对故障原因、故障处置过程和善后处理工作进行认真分析和总结, 撰写《重大安全事件处置报告》, 向网络安全和信息化领导机构做书面汇报。

系统集成分级计算机信息系统集成资质等级分一、二、三、四级。

各等级所对应的承担工程的能力：一级：具有独立承担国家级、省（部）级、行业级、地（市）级（及其以下）、大、中、小型企业级等各类计算机信息系统建设的能力。

二级：具有独立承担省（部）级、行业级、地（市）级（及其以下）、大、中、小型企业级或合作承担国家级的计算机信息系统建设的能力。

三级：具有独立承担中、小型企业级或合作承担大型企业级（或相当规模）的计算机信息系统建设的能力。

四级：具有独立承担小型企业级或合作承担中型企业级（或相当规模）的计算机信息系统建设的能力。

一级具有计算机信息系统集成项目经理人数不少于25名，其中高级项目经理人数不少于8名；（就是项管师不少于8名）二级具有计算机信息系统集成项目经理人数不少于15名，其中高级项目经理人数不少于3名；三级具有计算机信息系统集成项目经理人数不少于6名，其中高级项目经理人数不少于1名；四级计算机信息系统集成项目经理人数不少于3名（一）申请计算机信息系统集成企业资质的条件（计算机信息系统集成企业资质等级分为一、二、三、四级资质。

）一级资质申请条件：1、综合条件：（1）企业变革发展历程清晰，从事系统集成四年以上，原则上应取得计算机信息系统集成二级资质一年以上；（2）企业主业是系统集成，系统集成收入是企业收入的主要来源；（3）企业产权关系明确，注册资金2000万元以上；（4）企业经济状况良好，近三年系统集成年平均收入超过亿元，财务数据真实可信，并须经国家认可的会计师事务所审计；（5）企业有良好的资信和公众形象，近三年没有触犯知识产权保护等国家有关法律法规的行为。

2、业绩（1）近三年内完成的、超过200万元的系统集成项目总值3亿元以上，工程按合同要求质量合格，已通过验收并投入实际应用；（2）近三年内完成至少两项3000万元以上系统集成项目或所完成1500万元以上项目总值超过6500万元，这些项目有较高的技术含量且至少应部分使用了有企业自主知识产权的软件；（3）近三年内完成的超过200万元系统集成项目中软件费用（含系统设计、软件开发、系统集成和技术服务费用，但不含外购或委托他人开发的软件费用、建筑工程费用等）应占工程总值30%以上（至少不低于9000万元），或自主开发的软件费用不低于5000万元；（4）近三年内未出现过验收未获通过的项目或者应由企业承担责任的用户重大投诉；（5）主要业务领域的典型项目在技术水平、经济效益和社会效益等方面居国内同行业的领先水平。

信息系统权限分级管理制度为了进一步规范我院的信息系统使用，保障网络信息系统安全，特制定本制度。

一、分级操作原则与级别划分根据对信息系统安全性的威胁程度，以及各部门对电脑系统的应用需要，进行分级。

对我院信息系统操作人员划分为以下级别:1级：全局管理员，对医院信息化网络享有全面权限的人员。

本级权限由院信息化领导小组授权信息科科长，可对我院信息系统因业务需要开展的新建、部署、维护等各方面工作。

2级：专业管理员，具体包括：2.1包括软件系统管理员：享有对操作系统及应用系统进行安装调试、修复、应用软件测试、部署、版本控制、文档等职能。

本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。

2.2数据库管理员：享有对数据库系统的操作、备份、调整、测试等权限。

本权限由信息科科长指定专人负责，在1级权限所有人指导与批准下开展工作。

2.3操作员授权管理员：享有对操作系统、数据库系统、应用软件按规定流程设定操作权限的权利本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。

2.4网络授权管理员：享有对网络设备及网络管理软件的操作、备份、调整、测试等权限。

本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。

3级：字典维护员，对信息系统中包括床位、费用、药剂、材料等基础数据字典按规定进行维护的权限，具体包括：3.1诊疗维护员：享有对各项医技、治疗、材料等诊疗收费字典按规定进行新增、调价、变更、废止等权限。

本权限由信息科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

3.2药品维护员：享有对西药、成药、草药等常规字典按规定进行新增、调价、变更、废止等权限本权限由药剂科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

3.3其他字典维护员：享有对除诊疗与药品之外的其他字典如床位、患者类别、付费方式等按规定进行新增、变更、废止等权限。

本权限由信息科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

信息系统分类分级标准
信息系统分类分级标准是一个复杂而多维度的主题，涉及多个角度和因素。

以下是一些常见的分类和分级标准：
1. 应用层次：根据应用层次，信息系统可以分为事务级、操作级、战术级、战略级。

事务级信息系统的使用者一般是企业的管理业务人员，如企业的会计、劳资员等；操作级信息系统通常用于服务型企业的业务部门；战术级信息系统适用于企业中层经理及管理部门；战略级信息系统适用于企业最高管理层。

2. 数据环境：根据数据环境，信息系统可以分为数据文件、应用数据库、主题数据库和信息检索系统。

3. 信息服务的对象：根据信息服务对象，信息系统可以分为面向作业处理的系统、面向管理控制的系统和面向决策计划的系统。

4. 安全等级：信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级。

这种分类方式不以在其上运行的信息系统的最高等级或最低等级为标准，既不就高、不就低。

5. 系统等级：为了帮助信息系统运营使用单位准确确定信息系统安全保护等级，可以参考对五级的说明确定系统等级。

例如，第一级信息系统一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中的一般信息系统；第二级信息系统适用于县级一些单位中的重要信息系统；地市级以
上国家机关、企事业单位内部一般的信息系统，例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

请注意，这些分类和分级标准并不是互斥的，它们之间可能存在交叉和重叠。

此外，具体的分类分级标准可能会因行业、地区和特定需求而有所不同。

因此，在制定或评估信息系统分类分级标准时，建议考虑所有相关因素，并确保标准的适用性和灵活性。