信息系統(tǒng)安全與保密管理規(guī)定

信息系統(tǒng)安全與保密管理規(guī)定第一章總則第一條為維護醫(yī)院信息系統(tǒng)的安全和保密，保護患者的個人隱私以及醫(yī)院的商業(yè)機密，訂立本規(guī)定。第二條本規(guī)定適用于醫(yī)院內(nèi)全部與信息系統(tǒng)相關的人員和設備。第二章信息系統(tǒng)訪問管理第三條信息系統(tǒng)管理員應負責管理用戶賬號、權(quán)限和訪問掌控，且必需遵守以下規(guī)定：1.管理員必需分類設置用戶賬號，依據(jù)崗位和工作需要劃分不同的權(quán)限；2.用戶賬號應及時關閉或禁用，對離職或調(diào)離的員工賬號應立刻注銷；3.嚴禁私自修改或泄露用戶密碼，密碼應定期修改，并采用多而雜性要求高的密碼；4.嚴格掌控外部人員的訪問權(quán)限，并采取措施記錄其訪問信息。第四條醫(yī)院全部信息系統(tǒng)使用者應遵守以下規(guī)定：1.每位用戶應使用獨立、個人的賬號登錄信息系統(tǒng)，不得共享賬號；2.用戶不得以任何形式透露本身的賬號和密碼給他人；3.嚴禁訪問未經(jīng)授權(quán)的系統(tǒng)或者未經(jīng)授權(quán)的資源；4.用戶在使用信息系統(tǒng)時應保持謹慎，不得隨便下載未經(jīng)驗證的文件，避開引入計算機病毒或惡意軟件。第三章信息安全管理第五條醫(yī)院應建立完善的信息安全管理制度，確保信息安全體系的連續(xù)穩(wěn)定運行，并對信息安全管理制度進行定期檢查與評估。第六條醫(yī)院應定期組織信息安全培訓，包含但不限于以下方面：1.信息安全政策和規(guī)定的宣傳；2.信息系統(tǒng)的使用方法和注意事項；3.電子郵件安全的基本知識；4.不良信息防范和處理的方法。第七條醫(yī)院應建立完善的信息安全事件處理機制，包含但不限于以下內(nèi)容：1.定期進行安全事件演練，提高人員應急處理本領；2.及時發(fā)現(xiàn)和處理信息安全事件，減少損害；3.對信息安全事件進行分析和總結(jié)，及時修補漏洞和改進管理措施。第四章保密管理第八條醫(yī)院全部涉密信息的存儲、傳輸和銷毀應遵守相關法律法規(guī)，并嚴格執(zhí)行以下規(guī)定：1.禁止擅自復制、移動或傳輸機密文件和數(shù)據(jù)，涉密信息必需使用加密傳輸；2.對于已經(jīng)閱讀過的機密文件和數(shù)據(jù)，必需進行及時銷毀，不得隨便丟棄；3.禁止將機密信息存儲在個人設備或網(wǎng)絡存儲空間上，必需存放在安全的存儲介質(zhì)中；4.涉密信息的打印必需采用指定的打印機，并及時撤銷不必需的打印任務。第九條醫(yī)院內(nèi)部人員應遵守以下規(guī)定，嚴守商業(yè)機密和患者隱私：1.未經(jīng)授權(quán)，嚴禁將商業(yè)機密泄露給其他人員或機構(gòu)；2.未經(jīng)患者同意，嚴禁將患者的個人信息泄露給其他人員或機構(gòu)；3.嚴禁利用患者的個人信息謀取不正當利益，遵守相關法律法規(guī)和倫理規(guī)范。第五章審計與監(jiān)控第十條醫(yī)院應建立信息系統(tǒng)審計和監(jiān)控機制，確保信息系統(tǒng)的正常運行，并保障安全和保密的實施，具體要求如下：1.審計和監(jiān)控范圍應包含緊要系統(tǒng)組件的訪問記錄、異常操作行為的檢測、安全事件的記錄等；2.對信息系統(tǒng)的運行過程進行日志記錄和記錄保存；3.使用監(jiān)控系統(tǒng)對信息系統(tǒng)進行實時監(jiān)控和告警，及時發(fā)現(xiàn)異常情況。第十一條醫(yī)院應建立舉報制度，鼓舞和保護員工對信息安全問題的舉報，并對舉報事項進行調(diào)查和處理，維護信息系統(tǒng)的安全和保密。第六章懲罰與嘉獎第十二條醫(yī)院對違反規(guī)章制度的人員將采取相應的懲罰措施，包含但不限于警告、記過、記大過、降職、辭退等。第十三條醫(yī)院對發(fā)現(xiàn)信息系統(tǒng)安全漏洞或阻攔安全事件的員工將予以嘉獎，鼓舞員工樂觀參加信息安全事務。第七章附則第十四條本規(guī)定自頒布之日起生效，如有修改，經(jīng)醫(yī)院相關部門批準后執(zhí)行。第十五條對于情況未涵蓋在本規(guī)定中的問題或特殊情況，由醫(yī)院信