第三方訪問安全管理制度

第三方訪問安全管理制度一、“第三方”定義“第三方”為除醫(yī)院內(nèi)不同信息系統(tǒng)相關(guān)的操作、管理和咨詢?nèi)藛T以外的所有人員，包括系統(tǒng)開發(fā)供應(yīng)商、交流訪問人員、咨詢?nèi)藛T、病人及其家屬、外單位人員及醫(yī)院內(nèi)與信息系統(tǒng)無關(guān)人員。二、制度所適用系統(tǒng)定義所適用的系統(tǒng)為醫(yī)院用于信息化管理的所有網(wǎng)絡(luò)布線、網(wǎng)絡(luò)設(shè)備、計算機設(shè)備、計算機外圍設(shè)備、服務(wù)器、數(shù)據(jù)庫以及在這些系統(tǒng)上運行的所有數(shù)據(jù)和程序。其中包括醫(yī)院HIS系統(tǒng)、醫(yī)院PACS系統(tǒng)、醫(yī)院科技網(wǎng)系統(tǒng)等。三、有關(guān)實體訪問的規(guī)定有關(guān)“實體”為醫(yī)院計算機中心、中心控制室以及醫(yī)院內(nèi)計算機設(shè)備專用場所或柜子。同時包括所有系統(tǒng)操作終端所在部門或房間。以上醫(yī)院信息系統(tǒng)實體均為醫(yī)院內(nèi)保密場所，這些場所必須建設(shè)為可封閉場所(即有門及門鎖)，明確掛牌，鑰匙由專人保管并記錄在案。明確在非工作時間這些場所為保安巡視點。第三方在工作時間未經(jīng)允許不得進入這些場所;如進入必須由院內(nèi)相關(guān)人員全程陪同，不允許第三方人員單獨滯留于上述場所;第三方人員在滯留期間未經(jīng)允許不得查看、使用場所內(nèi)任何設(shè)施或文檔。在非工作時間原則上不允許第三方人員進入，如確有需要則必須通知總值班并記錄在案。四、有關(guān)邏輯訪問的規(guī)定第三方人員原則上不允許操作、訪問醫(yī)院的信息系統(tǒng)，如確有需要則必須在工作人員的全程陪同下使用系統(tǒng)的最低權(quán)限用戶(如guest)進入系統(tǒng)進行所允許的操作。如果無最低權(quán)限用戶而使用了其他用戶進入系統(tǒng)，在第三方離開后必須立即更改密碼。第三方在訪問系統(tǒng)期間未經(jīng)許可不允許使用任何方法(如拷貝磁盤、刻錄光盤、打印數(shù)據(jù)、手工記錄等)帶走任何數(shù)據(jù)和程序。五、有關(guān)系統(tǒng)開發(fā)供應(yīng)商訪問的規(guī)定1.在其所供產(chǎn)品實施期內(nèi)的安全訪問規(guī)定在開發(fā)實施期間，開發(fā)商必須明確實施人員及其負責(zé)內(nèi)容，規(guī)定所有人員的安全權(quán)限級別并上報醫(yī)院計算機中心歸檔保存。在其所負責(zé)的信息系統(tǒng)中享有與計算機管理人員等同的權(quán)限以及對內(nèi)部實施人員的權(quán)限劃分。但只適用于其當前正在實施的系統(tǒng)。2.在其所供產(chǎn)品驗收后服務(wù)期內(nèi)的安全訪問規(guī)定在產(chǎn)品驗收之后，開發(fā)商必須上交所有權(quán)限并指定相對固定的人員為服務(wù)人員，并且由信息科分配合適的權(quán)限。3.在其所供產(chǎn)品服務(wù)器之后的安全訪問規(guī)定過服務(wù)期后，開發(fā)商等同于第三方訪問。六、新簽訂醫(yī)院信息化建設(shè)類合同中有關(guān)安全保密方面的規(guī)定任何單位或個人如同醫(yī)院簽訂信息類建設(shè)合同必須明確產(chǎn)品的版權(quán)歸屬問題，相關(guān)的保密措施和懲罰條款。同時