2022年醫(yī)院信息系統(tǒng)安全保護制度

1、第PAGE8頁共NUMPAGES8頁2022年醫(yī)院信息系統(tǒng)安全保護制度(一)總則1.為了保護醫(yī)院信息系統(tǒng)安全，促進醫(yī)院信息系統(tǒng)的應用和發(fā)展，保障醫(yī)院信息工程建設的順利進行，特制定本規(guī)則。2.本規(guī)則所稱的信息系統(tǒng)，是由計算機及其相關配套的設備、設施構成的，按照系統(tǒng)應用目標和規(guī)則對醫(yī)院信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)(即現(xiàn)在醫(yī)院建設和應用中的信息工程)。3.信息系統(tǒng)的安全保護，是保障計算機及配套的設備、設施的安全，運行環(huán)境的安全，保障信息的安全，保障醫(yī)院信息管理系統(tǒng)功能的正常發(fā)揮，以維護信息系統(tǒng)的安全運行。4.信息系統(tǒng)的安全保護，重點是維護信息系統(tǒng)中數(shù)據(jù)信息和網(wǎng)絡上一切設備的安

2、全。5.醫(yī)院信息系統(tǒng)內全部上網(wǎng)運行計算機的安全保護都適用本規(guī)則。6.信息中心主管全院信息系統(tǒng)的安全保護工作。7.任何單位或者個人，不得利用上網(wǎng)計算機從事危害醫(yī)院利益的活動，不得危害信息系統(tǒng)的安全。8.各級各類醫(yī)院根據(jù)本規(guī)則，結合醫(yī)院不同的功能任務和醫(yī)院信息系統(tǒng)規(guī)模大小，參照以下內容制定適宜于本醫(yī)院的運行與應用保障制度。(二)安全保護制度1.信息系統(tǒng)的建設和應用，應遵守醫(yī)院信息系統(tǒng)管理規(guī)則、醫(yī)院行政法規(guī)和其他有關規(guī)定。2.信息系統(tǒng)實行安全等級保護和用戶使用權限劃分。安全等級和用戶使用權限以及用戶口令密碼的劃分、設置由信息中心負責制定和實施。3.信息中心機房應當符合國家標準和國家規(guī)定。4.在信息系

3、統(tǒng)設施附近營房維修、改造及其他活動，不得危害信息系統(tǒng)的安全。如無法避免而影響信息系統(tǒng)設施安全的作業(yè)，須事先通知信息中心，經(jīng)中心負責人同意并采取保護措施后，方可實施作業(yè)。5.信息系統(tǒng)的使用單位和個人，都必須遵守計算機安全使用規(guī)則，以及有關的操作規(guī)程和規(guī)定制度。6.對信息系統(tǒng)中發(fā)生的問題，有關使用單位負責人應當立即向信息工程技術人員報告。7.對計算機病毒和危害網(wǎng)絡系統(tǒng)安全的其他有害數(shù)據(jù)信息的防治工作，由計算機中心負責處理。8.對信息系統(tǒng)軟件、設備、設施的安裝、調試、排除故障等由計算機工程技術人員負責。其他任何單位或個人不得自行拆卸、安裝任何軟、硬件設施。9.所有上網(wǎng)計算機絕對禁止進行國際聯(lián)網(wǎng)或與院

4、外其他公共網(wǎng)絡聯(lián)接。(三)安全監(jiān)督1.信息管理部門對信息系統(tǒng)安全保護工作行使下列監(jiān)督職權。2.監(jiān)督、檢查、指導信息系統(tǒng)安全維護工作；3.查處危害信息系統(tǒng)安全的違章行為；4.履行信息系統(tǒng)安全工作的其他監(jiān)督職責。5.信息工程技術人員發(fā)現(xiàn)影響信息安全系統(tǒng)的隱患時，可立即采取各種有效措施予以制止。6.信息工程技術人員在緊急情況下，可以就涉及信息安全的特定事項采取特殊措施進行防范。(四)責任1.違反本規(guī)則的規(guī)定，有以下行為之一的，由信息工程技術人員以口頭形式警告、撤消當事人上網(wǎng)使用資格或者停機：2.違反信息系統(tǒng)安全保護制度，危害網(wǎng)絡系統(tǒng)安全的；3.接到信息工程技術人員要求改進安全狀況_后，拒不改進的；4

5、.不按照規(guī)定擅自安裝軟、硬件設備；5.私自拆卸更改上網(wǎng)設備；6.出現(xiàn)問題未立即報告；7.有危害網(wǎng)絡系統(tǒng)安全的其他行為。8.違反本規(guī)則的規(guī)定，有下列行為之一的，由醫(yī)務部處以經(jīng)濟處罰：9.在工作站進行與網(wǎng)絡工作無關而造成危害的；10.私自拆卸、更改網(wǎng)絡設備而造成危害的；11.向院外人員泄露口令密碼而造成后果的；12.利用終端設備進行與網(wǎng)絡工作無關的事，導致病毒侵襲而造成損害的下列行為之一的，由醫(yī)院處以經(jīng)濟處罰：13.造成設備損害，處以所損壞設備價格十倍以上罰款；14.造成本站系統(tǒng)破壞，處以_元以上、_元以下罰款。15.導致病毒侵襲而造成全網(wǎng)癱瘓，除予以嚴厲的行政處分外，所造成直接經(jīng)濟損失的_%、間

6、接經(jīng)濟損失的_%由個人負擔；直接經(jīng)濟損失的_%、間接經(jīng)濟損失的_%由所在科室部門負擔。16.在網(wǎng)絡系統(tǒng)設備、設施附近作業(yè)而危害網(wǎng)絡系統(tǒng)安全，影響網(wǎng)絡正常運行造成經(jīng)濟損失的，由作業(yè)單位賠償；造成醫(yī)院財產(chǎn)嚴重損失的依法追究和承擔民事責任。17.執(zhí)行本規(guī)則的醫(yī)院各類人員因失職行為而造成后果的，給予行政處分。(五)附則本規(guī)則下列用語含義：計算機病毒：是指編制或在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用、并能自我復制的一組計算機指令或者程序代碼。網(wǎng)絡設備：指運行在網(wǎng)絡上的計算機、打印機、集線器、數(shù)字交換機、服務器、不間斷電源等。網(wǎng)絡設施：連接計算機的光纖電纜、雙絞線、交換機柜等。本規(guī)

7、則解釋權由信息管理部門負責人負責。2022年醫(yī)院信息系統(tǒng)安全保護制度（二）第一章總則第一條為確保醫(yī)院信息系統(tǒng)運行可靠、安全、穩(wěn)定和高效，特制訂本制度。第二條本管理制度適用于醫(yī)院全體員工。第二章信息系統(tǒng)的建設第三條信息系統(tǒng)的申請和采購1醫(yī)院職能部門根據(jù)發(fā)展需要進行有關信息系統(tǒng)需求的分析和調查，初步確定目標信息系統(tǒng)或相關軟件，并填寫采購申請表，交部門負責人審核后報分管院長或總經(jīng)理簽批。2物資庫根據(jù)相關規(guī)定進行采購。3財務部根據(jù)驗收報告和合作合同，支付階段進度款。第四條信息系統(tǒng)的驗收1在信息系統(tǒng)或相關軟件達到可使用狀態(tài)時，各科室指定人員進行現(xiàn)場操作、試用信息系統(tǒng)或相關軟件，并填寫初步驗收報告，報分管

8、院長、財務總監(jiān)、總經(jīng)理審批。2重大或專業(yè)性較強的信息系統(tǒng)應聘請具備相關資質的外部獨立單位進行驗收，財務部、信息科參與驗收。3各科室在獲得軟件后，應做好多套備份，并分別存放在醫(yī)院信息科和相關職能部門保管。第五條信息系統(tǒng)的日常維護1建立健全的信息系統(tǒng)管理制度，各部門應配合協(xié)助信息科進行信息系統(tǒng)的日常維護。2計算機由信息科進行定期檢查、維護，并安排專人負責或協(xié)調供應商進行信息設備的維護、維修工作。3設備發(fā)生故障，使用部門和使用人員作簡易處理仍不能排除故障的，要及時向信息科申請維修，說明設備故障情況，故障嚴重或損失較大時，要填寫維修記錄單，經(jīng)使用人、使用部門負責人簽字后交信息科備案。4信息科接到信息設

9、備的維護、維修報告后，要及時安排人員進行維護、維修。5信息設備的使用人要檢查維護、維修情況和設備修復情況，驗收后簽字確認。第三章網(wǎng)絡安全管理第六條醫(yī)院設置專人負責計算機網(wǎng)絡的管理。信息科從網(wǎng)絡技術上積極采取安全防范措施和監(jiān)控措施，防止_和外來黑客攻擊，保證網(wǎng)絡正常、安全運行，及時排除網(wǎng)絡故障。醫(yī)院辦公室_制定網(wǎng)絡安全管理方案并設置專人負責網(wǎng)絡安全工程施工管理、驗收和網(wǎng)絡安全維護。第七條網(wǎng)絡安全設備的配置和規(guī)則設置由指定人員協(xié)同產(chǎn)品供應商進行。網(wǎng)絡安全設備的配置和規(guī)則設置更改，由指定人員負責，其它人員不得改動。第八條醫(yī)院辦公室應_學習網(wǎng)絡安全相關的法律法規(guī)，進行網(wǎng)絡安全知識培訓，提高工作人員的維

10、護網(wǎng)絡安全的警惕性和自覺性。第九條醫(yī)院信息科應對本網(wǎng)絡的用戶進行安全教育和培訓，使其具備基本的網(wǎng)絡安全知識。醫(yī)院員工如發(fā)現(xiàn)網(wǎng)絡運行不正常，應及時通報醫(yī)院信息科進行處理。第十條醫(yī)院信息科指定人員定期對公司計算機進行病毒檢查、補丁更新等維護工作，負責協(xié)助信息設備用戶正確_、使用軟件、病毒防火墻，并按說明定期進行防火墻升級。醫(yī)院信息科統(tǒng)一購買電腦殺毒軟件，并定期升級更新。電腦感染病毒，計算機用戶不能殺除的，須即時通知醫(yī)院信息科進行處理。第十一條計算機入網(wǎng)前必須到醫(yī)院信息科辦理登記手續(xù)方可接入。未經(jīng)許可，不得私自將計算機接入局域網(wǎng)。第四章軟件系統(tǒng)實施及維護管理第十二條軟件系統(tǒng)維護由于業(yè)務政策變化、數(shù)據(jù)

11、破壞等因素，需對軟件的內容、數(shù)據(jù)進行修改維護時，由醫(yī)保業(yè)務部門負責人提出修改意見，信息科安排人員進行修改維護，同時作好相應的維護記錄。系統(tǒng)維護人員必須定期檢測軟件運行情況，及時進行計算機病毒的預防、檢查工作。發(fā)現(xiàn)潛在危險及時通知操作人員中止軟件運行，盡快處理。第十三條程序修正與軟件數(shù)據(jù)調整、數(shù)據(jù)的修正與恢復按照公司有關規(guī)定執(zhí)行。第五章信息系統(tǒng)管理監(jiān)督及檢查第十八條對信息系統(tǒng)管理情況進行專項檢查，也可結合內部審計和外部審計期間檢查、審計等工作進行。對信息系統(tǒng)管理情況進行專項檢查的內容包括但不限于。1信息系統(tǒng)管理授權批準制度的執(zhí)行情況。重點檢查對外披露信息的授權批準手續(xù)是否健全，是否存在越權審批行

12、為。2信息系統(tǒng)管理決策責任制的建立及執(zhí)行情況。重點檢查責任制度是否健全，獎懲措施是否落實到位。3信息系統(tǒng)管理制度的執(zhí)行情況。重點檢查信息的收集、傳遞、上傳是否經(jīng)過授權批準，是否按規(guī)定及時處理有關的信息資料。4各類款項支付制度的執(zhí)行情況。重點檢查信息系統(tǒng)建設款項、費用的支付是否符合相關法規(guī)、制度和合同的要求。第十九條對存在以下問題的科室，在醫(yī)院內部通報批評，下達整改通知，有關單位應采取有效措施進行整改，確屬相關人員工作不力的，視其情節(jié)，采取教育、賠償、經(jīng)濟處罰、通報批評、調離崗位、行政處分等措施，直至移交公安機關依法處理。1未經(jīng)允許進入計算機信息網(wǎng)絡或者使用計算機信息網(wǎng)絡資源。2未經(jīng)允許對計算機信息網(wǎng)絡功能進行刪除、修改或者增加。3未經(jīng)允許對計算機信息網(wǎng)絡中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加。4故意制作、傳播計算機病毒等破壞性程序，危害計算機網(wǎng)絡及信息系統(tǒng)的安全，干擾公司信息流通。5利用醫(yī)院網(wǎng)絡從事危害公司利益和發(fā)表不適當?shù)难哉?，發(fā)布網(wǎng)絡信息危害國家安全、泄露國家_，侵犯國家、社會、_的利益和公民的合法權益。6在局域