醫(yī)院信息化建設相關制度（數(shù)據及信息安全IT資產、安全事件報告和處置、系統(tǒng)變更發(fā)布、介質安全管理制度）

醫(yī)院信息化建設相關制度第一節(jié)醫(yī)院信息化建設的工作制度信息科部門職責一、職能在院長、分管副院長的領導下，負責全院計算機網絡及信息管理工作。二、請示與上報院長、分管副院長。三、任務與職責1.信息科在院長、分管副院長的領導下開展工作。2.負責醫(yī)院信息化建設、管理工作。3.制訂醫(yī)院信息化建設戰(zhàn)略規(guī)劃,年度工作計劃并組織實施。4.建立健全信息管理的各項規(guī)章制度。5.利用互聯(lián)網的優(yōu)勢，做好醫(yī)院對外宣傳工作,負責醫(yī)院網站的建設及管理。信息科崗位職責一、信息科科長崗位職責1.在院長領導下,負責醫(yī)院信息科的日常工作。2.制訂木科室的工作計劃并認真實施,做好年度工作總結。3.負責組織全院各類應用系統(tǒng)的管理。4.負責組織與外部有關部門的計算機聯(lián)網和信息交換。5.負責組織全院網絡和綜合數(shù)據的安全管理。6.遵守醫(yī)院各項保密制度。二、成員崗位職責1.參與制訂信息化工作規(guī)劃與年度計劃。2.負責信息化相關文檔資料的歸檔整理工作和有關資料的統(tǒng)計上報工作。3.負責院內對外數(shù)據交換。4.負責計算機及附屬設備的檔案管理。5.負責本部門各類文件的收發(fā)、運轉和檔案資料管理。6.協(xié)助中心領導辦理行政、對外交流和思想政治工作,負責中心內部行政事務工作。7.完成部門領導交辦的其他工作。信息科工作制度1.在院長領導下積極主動地做好全院信息管理工作。嚴格執(zhí)行崗位職責和請示報告制度。2.對所屬部門要建立完善的崗位責任制和嚴格的工作制度，工作有計劃、有落實、有檢查。3.定期組織、督促、檢查醫(yī)院信息網絡系統(tǒng)的各項工作,充分發(fā)揮信息功能作用,向業(yè)務科室提供信息反饋資料。4.定期開展醫(yī)療質量和成本效益分析工作,向院領導提供醫(yī)療、管理信息,為領導決策提供服務。5.模范遵守醫(yī)院各項規(guī)章制度,盡職盡責做好本職工作,及時完成領導交給的各項任務。6.按照國家有關規(guī)定，做好信息的保密工作。信息科管理目標為實現(xiàn)醫(yī)院總目標,信息科管理應符合三甲醫(yī)院及基本數(shù)字化醫(yī)院的基本要求，做到:1.加強對醫(yī)院總目標的貫徹,嚴格遵守科室綜合目標責任考評細則。2.建立、完善醫(yī)院信息系統(tǒng),使其逐步系統(tǒng)化、完整化,逐步擴展醫(yī)院其他系統(tǒng)。3.具有高度的責任心,端正工作作風,加強業(yè)務培訓,提高科室成員素質。4.加強網絡設備的維護,使其正常運行。5.監(jiān)控網絡運轉,保證數(shù)據暢通運行,做好數(shù)據備份。6.做好數(shù)據統(tǒng)計,確保信息統(tǒng)計的準確性,提供決策依據。7.做好充足的準備,隨時應對網絡的突發(fā)事件。信息科業(yè)務工作規(guī)程與流程一、信息科科長工作規(guī)程與流程1.組織協(xié)調好全科各項工作。2.組織落實制訂全院信息化工作應用規(guī)劃和年度工作計劃,并組織對計劃落實情況的檢查。3.組織落實計算機設備、網絡的使用和維護,對硬件故障、設備報廢情況報告提出處理意見并報院長審定。4.組織落實全院信息系統(tǒng)的論證、調研、系統(tǒng)分析、開發(fā)及應用軟件的使用與維護。5.組織落實全院網絡和綜合數(shù)據的安全管理,遵守各項保密制度。6.完成上級交辦的各項任務。二、綜合管理崗位工作規(guī)程與流程1.協(xié)助部門領導起草全院信息化工作應用規(guī)劃和年度工作計劃,并實施對計劃情況的檢查。2.協(xié)助部門領導制訂醫(yī)院信息化工作的有關管理制度及考核辦法,并負責組織實施。3.組織落實信息化技術培訓計劃。4.按照上級規(guī)定及要求,完成信息化相關文檔資料的歸檔整理以及有關資料的統(tǒng)計上報。5.經領導同意,負責對外交換數(shù)據并對數(shù)據進行處理，做好登記工作。6.計算機設備、耗材的購置要嚴格按照政府采購辦法、醫(yī)院相關管理規(guī)定,按照各部門的需求,結合工作實際進行論證后,擬訂設備購置計劃并報告主任。7.要建立設備檔案,同時與院固定資產管理部門核對。內容包括型號、設備配置、設備來源、安裝地點及變動情況、啟用時間、使用科室(人員)、設備故障情況及檢修記錄等。遇到設備變更,應及時登記變更。8.負責注冊用戶、設置口令、授予權限,并適時加以修改,以便增強系統(tǒng)的保密程度。9.負責本部門各類文件收發(fā)、運轉和檔案資料管理,并及時歸檔。10.協(xié)助部門領導做好本院各項信息化工作的日常監(jiān)督,辦理行政、對外交流、思想政治以及內部行政事務。11.遵守各項保密制度,做好安全保密工作。三、網絡系統(tǒng)管理崗位工作規(guī)程與流程1.協(xié)助部門領導起草網絡建設及發(fā)展總體規(guī)劃和年度工作計劃,并實施對計劃情況的檢查。2.網絡建設必須采取防火、防水、防雷擊、防電磁干擾、防盜等防護措施，確保全院的通信設備及網絡設備的安全與暢通。3.網絡的日常管理和維護(1)每日檢查計算機網絡的運行情況,確保線路暢通、網絡設備安全穩(wěn)定運行,做好運行日志。(2)運用防、殺病毒軟件及防火墻對網絡實行實時防護,一旦發(fā)現(xiàn)有病毒或“黑客”侵人,立即向科長匯報并迅速組織清除。(3)定期檢查內網計算機是否與互聯(lián)網實行了物理隔斷。4.負責落實各項網絡安全管理制度和用戶管理,做好客戶端操作系統(tǒng)權限控制、應用系統(tǒng)操作權限分級控制、數(shù)據庫操作權限分級控制。5.做好網絡運行狀態(tài)監(jiān)督與數(shù)據庫數(shù)據備份工作。每個工作日對計算機網絡操作系統(tǒng)和大型數(shù)據庫系統(tǒng)的運行情況進行檢查,有異常的立即向主任匯報并迅速組織排障。6.負責網絡管理資料的整理和歸檔。7.遵守各項保密制度,做好安全保密工作。8.完成部門領導交辦的其他工作。四、硬件設備管理崗位工作規(guī)程與流程1.計算機設備的維護和保養(yǎng)(1)對計算機設備操作人員的維護、保養(yǎng)情況進行檢查,檢查的主要內容是機器的清潔、防塵情況,是否有隨意拆裝、調試情形,有無對硬件進行技術改動等。檢查每季度進行一次,同時結合日常抽檢，檢查時做好記錄。(2)接到設備異常情況報告單后,要查清故障原因,并記錄故障信息,分情況給予維修,每次維修工作完成后,在設備檔案中要做詳細的維修記錄。(3)確實無法自行修復的,持各科室報送的設備維修單交主任簽字后將報修設備送計算機維修公司維修。(4)如遇特殊情況,須經技術論證后,書面報主任批準后實施。(5)對所轄范圍內計算機運行所發(fā)生的各類事故應當日查明情況,以書面形式報主任。2.每日檢查計算機機房和UPS等的運行情況,做好運行日志。3.協(xié)助專業(yè)人員做好機房內各類應用服務器操作系統(tǒng)的安裝、集成工作,并做好記錄。4.每日檢查各服務器操作系統(tǒng)的運行情況,確保各服務器安全穩(wěn)定運行,做好運行日志。如遇系統(tǒng)運行中出現(xiàn)異常情況應立即報告部門領導,并組織排查。5.積極普及和宣傳計算機基礎知識并負責指導有關科室及部門開展計算機使用工作。6.負責計算機等硬件設備的管理資料整理和歸檔。7.遵守各項保密制度，做好安全保密工作。五、應用系統(tǒng)管理崗位工作規(guī)程與流程1.日常管理(1)在全院范圍內積極普及和宣傳計算機管理知識并負責指導有關科室及部門開展計算機應用系統(tǒng)管理工作。(2)維護各系統(tǒng)軟件,掌握系統(tǒng)軟件和測試軟件的使用。(3)每日檢查應用系統(tǒng)的運行情況,確保各應用系統(tǒng)安全穩(wěn)定運行，記好運行日志。(4)如系統(tǒng)運行中出現(xiàn)異常情況應立即報告部門領導,并組織排查。2.各科室提出軟件需求修改申請(1)經調研、分析后應在工作日24小時內填寫維護申請單報部門領導審核,并做好記錄。(2)收到軟件更新通知后,在測試環(huán)境下全面測試,測試無誤后報主任審核。(3)及時通知各科室更新各工作站端程序,并隨時檢查程序更新情況。3.根據上級主管部門標準化管理規(guī)定,對應用系統(tǒng)的技術標準、數(shù)據標準、應用標準及規(guī)范性制度加以實施。4.負責醫(yī)院網站的軟件開發(fā)、應用培訓、安全管理。5.負責組織醫(yī)院應用軟件使用的專業(yè)培訓。配合部門制訂培訓計劃及編制培訓教材。6.對于各科室使用的其他應用系統(tǒng),根據有關操作說明，協(xié)助其正確安裝,并盡力解決程序運行中出現(xiàn)的問題。7.負責應用系統(tǒng)管理資料的整理和歸檔。8.遵守各項保密制度,做好安全保密工作。數(shù)據及信息安全管理制度一、目的為加強醫(yī)院信息中心管理,保護醫(yī)院信息系統(tǒng)安全,促進醫(yī)院信息系統(tǒng)的應用和發(fā)展,保障醫(yī)院信息工程建設的順利進行,現(xiàn)遵循信息安全等級保護要求,從技術和管理兩方面構建安全穩(wěn)定的醫(yī)院信息平臺，保證醫(yī)院信息系統(tǒng)的穩(wěn)定運行以及業(yè)務數(shù)據的安全可靠,特制訂本規(guī)則。二、使用范圍本制度所稱的數(shù)據及信息,是由計算機及其相關配套的設備、設施構成的,按照系統(tǒng)應用目標和規(guī)則對醫(yī)院信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)(即現(xiàn)在醫(yī)院建設和應用中的所有信息管理系統(tǒng))。三、職責數(shù)據及信息系統(tǒng)的安全管理,是指保障計算機及配套的設備、設施的安全,保障運行環(huán)境的安全,保障信息的安全,保障醫(yī)院信息管理系統(tǒng)功能的正常發(fā)揮,以維護信息系統(tǒng)的安全運行。信息系統(tǒng)的安全保護,重點是維護信息系統(tǒng)中的數(shù)據信息和網絡上一切設備的安全。醫(yī)院信息系統(tǒng)內全部上網運行的計算機的安全保護都適用本規(guī)則。保護信息系統(tǒng)醫(yī)療信息和患者隱私,不得利用醫(yī)療信息從事商業(yè)活動或其他與治療無關的活動,不得私自復制、下載、傳播和泄露患者信息。四、管理組織醫(yī)院信息安全管理組織應由醫(yī)院主要領導及相關職能部門負責人組成。信息中心主管全院信息系統(tǒng)的安全保護工作。任何單位或者個人不得利用上網計算機從事危害醫(yī)院利益的活動,不得危害信息系統(tǒng)的安全。數(shù)據庫系統(tǒng)的運行環(huán)境、物理安全及網絡安全由信息中心負責。數(shù)據庫由信息中心統(tǒng)一管理。信息中心指定專職人員(以下簡稱管理員)負責管理、維護數(shù)據庫,分管領導負責對數(shù)據庫使用者進行權限審批。管理員負責管理數(shù)據庫密碼,建立數(shù)據庫維護檔案,負責數(shù)據庫的規(guī)劃、新建、空間分配、用戶分配、操作日志的監(jiān)控、數(shù)據庫的負載監(jiān)控,對數(shù)據庫各項操作進行記錄及相關資料的存檔。五、計算機安全管理1.醫(yī)院計算機操作人員必須按照計算機的正確使用方法操作各系統(tǒng)模塊,嚴禁暴力使用計算機或蓄意破壞計算機軟、硬件。2.未經許可,不得擅自拆裝計算機硬件系統(tǒng),若需拆裝,須由信息中心人員進行。3.計算機軟件的安裝和卸載工作須由信息中心人員完成。4.使用系統(tǒng)必須有合法授權,未經授權不得使用。禁止非本科室工作人員操作使用計算機,任何人都不準在計算機上進行非工作性操作。5.醫(yī)院計算機僅限于醫(yī)院內部工作使用,原則上不許接入互聯(lián)網。6.醫(yī)院任何科室如發(fā)現(xiàn)或懷疑有計算機病毒入侵,應立即斷開網絡,同時通知信息中心人員負責處理,信息中心應采取措施清除,并向上級領導報告?zhèn)浒浮?.醫(yī)院計算機不得安裝游戲、即時通信設備等與工作無關的軟、硬件,確屬工作需要,需要安裝使用其他軟件,必須經信息中心負責人批準，由信息中心人員負責安裝調試。8.醫(yī)院內網計算機不得使用任何移動存儲設備。9.不得在醫(yī)院網絡中制作、復制和傳播國家法律、法規(guī)所禁止的信息。10.未經允許,不得擅自修改計算機中的任何設置。11.嚴格落實現(xiàn)任責任制和數(shù)據安全保護措施,定期更改用戶登錄密碼并注意保密。12.不得私自帶領外單位人員參觀、演示操作網絡系統(tǒng)軟件;必須參觀者須逐級報請科室負責人和信息中心負責人以及醫(yī)務處領導批準。13.切實執(zhí)行網絡設備維護保養(yǎng)制度,保持計算機及其場所的清潔衛(wèi)生。14.嚴格遵守醫(yī)院有關信息系統(tǒng)規(guī)章制度，確保網絡安全、正常有序運行,工作中遇到技術性問題,及時與信息工程技術組聯(lián)系。六、用戶及密碼管理需管理的操作系統(tǒng)及數(shù)據庫用戶一般包括:操作系統(tǒng)管理員、數(shù)據庫管理員、數(shù)據庫用戶、應用軟件管理員。管理員要根據工作的需要,認真細致地制訂用戶權限分配方案,方案由各科室負責人簽字同意后方可進行分配,對于不再使用的用戶要及時清理，保證數(shù)據庫的安全。用戶密碼必須由醫(yī)院內部授權人員掌握,嚴禁其他單位人員獲取密碼。不同的應用系統(tǒng)應設置不同的密碼,專人、分級管理。管理密碼者要嚴格遵守國家的有關保密制度,不得泄露密碼。特殊情況下需要他人以自己的密碼進入系統(tǒng)時,應征得負責人同意,并在工作完成后及時修改密碼。七、數(shù)據庫運行管理制訂數(shù)據庫日志管理機制,用戶直接登錄數(shù)據庫維護的記錄能夠跟蹤、查找、監(jiān)測。在數(shù)據庫中建立數(shù)據操作的跟蹤、審計功能。定期查看業(yè)務系統(tǒng)操作日志,檢查是否存在非正常操作人員進行前臺業(yè)務操作軟件管理權限范圍外的數(shù)據修改，檢查是否存在非正常的數(shù)據修改等。數(shù)據庫日常運維管理:管理員要定期對數(shù)據庫服務器及各數(shù)據庫運行狀態(tài)進行監(jiān)測記錄,定期對各數(shù)據庫進行檢查,并根據需要召集售后技術支持服務商對數(shù)據庫進行優(yōu)化、調整,確保數(shù)據庫系統(tǒng)的正常運行,并將數(shù)據庫運行記錄存入數(shù)據庫檔案。八、數(shù)據庫安全管理備份數(shù)據實行異地存放制度。確保數(shù)據庫完全與外網隔離,操作人員進入機房操作數(shù)據庫需有管理員在場,操作人員對各項內容的檢查及操作要詳細記錄,管理員將操作記錄及相關資料存入數(shù)據庫檔案。對數(shù)據庫運行狀態(tài)進行不定期檢測,當發(fā)現(xiàn)數(shù)據庫處于異常狀態(tài)時,管理員應及時分析原因,并通知負責人,由負責人組織進行故障處理。當數(shù)據庫發(fā)生嚴重、特別嚴重故障時,應上報分管領導,由分管領導組織進行故障處理。組織相關人員對數(shù)據庫故障進行分析,制訂數(shù)據庫故障解決方案，由操作人員對處理過程進行詳細記錄,管理員將數(shù)據庫故障處理的相關資料存入數(shù)據庫檔案。九、數(shù)據安全管理制訂保密防范措施,重要數(shù)據、軟件的修改應留有操作痕跡,并具有恢復功能。嚴格審查數(shù)據的輸入、處理、存儲、輸出;重要數(shù)據須加密存儲,對存儲介質中的文件和數(shù)據,應有軟件保護措施。十、安全監(jiān)督信息管理部門對信息系統(tǒng)安全保護工作行使下列監(jiān)督職權:1.監(jiān)督、檢查、指導信息系統(tǒng)安全維護工作。2.查處危害信息系統(tǒng)安全的違章行為。3.履行信息系統(tǒng)安全工作的其他監(jiān)督職責。4.信息工程技術人員發(fā)現(xiàn)影響信息安全系統(tǒng)的隱患時,可立即采取各種有效措施予以制止。5.信息工程技術人員在緊急情況下,可以對涉及信息安全的特定事項采取特殊措施進行防范。系統(tǒng)安全管理制度一、目的為了保障醫(yī)院信息系統(tǒng)的正常運行,確保信息系統(tǒng)的安全、可靠、穩(wěn)定以及數(shù)據的完整性和準確性,避免人為原因導致系統(tǒng)癱瘓,充分發(fā)揮網絡的快速性和有效性,特制訂此制度。二、使用范圍本制度適用于醫(yī)院內部所有使用計算機的部門,本制度中的電腦設備，包括醫(yī)院所有電腦、外掛設備、網絡連接器以及工作筆記本電腦。三、制度要求1.各工作計算機未進行安全配置、未安裝防火墻或殺毒軟件的,不得進人醫(yī)院內網。2.各計算機應設置相應的賬戶、密碼,并不得隨意向他人泄露。3.任何工作人員不得制造或故意輸入、傳播計算機病毒和其他有害數(shù)據,不得利用非法手段復制、截收、篡改醫(yī)院信息系統(tǒng)中的數(shù)據。4.禁止利用掃描、監(jiān)聽、偽裝等工具對網絡和服務器進行惡意攻擊,禁止非法人侵他人網絡和服務器系統(tǒng),禁止利用計算機和網絡干擾他人正常工作。5.各級用戶有不同的管理權限,各用戶應保管好自己的用戶賬號和密碼,嚴禁隨意向他人泄露、出借自己的賬號和密碼。6.IP地址為計算機網絡的重要資源,應在信息中心的規(guī)劃下使用這些資源,其他人員不得擅自更改。7.凡內部網絡使用的數(shù)據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。8.系統(tǒng)日志作為監(jiān)測系統(tǒng)運行狀態(tài)的重要資料,不得隨意修改、刪除。9.對系統(tǒng)進行重要操作時,應先做好備份工作,以防系統(tǒng)信息丟失、破壞。IT資產安全管理制度一、目的為進一步加強醫(yī)院所轄IT資產的安全管理工作,全面防范各類安全事故,特制訂此制度。二、使用范圍凡醫(yī)院享有所有權、管理權或使用權的IT資產均適用本制度。三、安全管理的內容及要求1.硬件安全管理(1)業(yè)務系統(tǒng)設備的選型與采購由信息中心統(tǒng)一管理。(2)設備選型要以滿足工作需要為前提。(3)選用或購置涉密設備時應符合相關規(guī)定,確保設備的可靠性。(4)對大宗采購的設備要按相關規(guī)定進行招標,做出優(yōu)化選擇。(5)新購置的網絡設備及網絡安全產品應進行安全檢測和實際測試,測試合格后方能投入使用。(6)復雜的設備應由廠商或集成商負責安裝調試,保證設備的可靠運行。(7)建立設備登記檔案,記錄每臺設備的名稱、規(guī)格、配置、使用日期，使用部門等參數(shù)。(8)各部門及個人領用的設備應實行個人負責制,每臺設備應有專人負責管理和使用,不得隨意轉借,更不得交無關人員使用。(9)非信息中心指定的維護人員不得私自拆卸電子設備,不得私自更換零件,凡因此造成的設備損壞或配件丟失由當事人負責。(10)長期閑置或不再使用的設備可向信息中心提出調撥或報廢，由信息中心根據設備的具體情況決定進行調撥或報廢。(11)各部門確無使用價值的設備的報廢申請,由信息中心核準后報領導批準,并由財務部備案。(12)設備報廢依據財務管理辦法和有關規(guī)定執(zhí)行,對報廢設備的存儲介質中的內容要進行清除,防止泄密。2.軟件安全管理(1)應用軟件在開發(fā)或購買之前應正式立項,成立由技術人員、業(yè)務人員和管理人員共同組成的項目小組并建立軟件質量保證體系,選用的軟件應為正版軟件。(2)軟件在正式使用之前必須進行必要的測試,保證業(yè)務能正常、安全、可靠地運行。不得建立無關用戶，測試用戶在完成測試后必須加以限制或刪除。(3)應用軟件在正式投入使用之前必須經過內部評審,確認系統(tǒng)功能、測試結果和試運行結果均滿足設計要求,技術文檔齊全,并經分管領導批準。(4)軟件使用人員必須經過適當?shù)牟僮髋嘤柡桶踩逃?5)信息技術人員不得擅自進行軟件維護和系統(tǒng)參數(shù)調整。(6)應采取有效措施,防止對應用軟件進行非法修改。(7)關鍵的業(yè)務系統(tǒng)軟件和應用軟件必須啟用安全審計留痕功能,便于系統(tǒng)建立用戶訪問資源的審計記錄。3.數(shù)據安全管理(1)對系統(tǒng)數(shù)據實施嚴格的安全與保密管理,防止系統(tǒng)數(shù)據的非法生成、變更、泄露、丟失與破壞。(2)關鍵業(yè)務數(shù)據不得泄露,禁止外傳。(3)各業(yè)務數(shù)據僅用于明確規(guī)定的目的,未經批準不得他用。(4)涉密數(shù)據不得以明碼形式存儲和傳輸。(5)在數(shù)據的傳輸過程中采取各種加密手段進行保障,如SSL、PGP等技術手段。(6)數(shù)據庫管理系統(tǒng)的口令必須由專人掌管,并定期更換,禁止同一人掌管操作系統(tǒng)口令和數(shù)據庫管理系統(tǒng)口令。(7)對數(shù)據的備份、恢復、轉出、轉入的權限都應嚴加控制,嚴禁未經授權將數(shù)據拷貝出系統(tǒng)、轉給無關的人員或單位,嚴禁未經授權進行數(shù)據恢復和數(shù)據轉入操作。(8)關鍵業(yè)務必須定期、完整、真實、準確地備份,并要求集中和異地保存。(9)備份數(shù)據不得更改。網絡安全管理規(guī)定一、目的為保障全院網絡安全,防止病毒入侵,防止內部信息泄露,特制訂本規(guī)定。二、使用范圍本規(guī)定適用于全院醫(yī)護人員、行政人員以及研究生、進修生、實習生等一切使用本院網絡的人員。三、職責信息中心和全院醫(yī)護以及行政人員全力保障網絡安全,維護醫(yī)院以及病人的權益。四、規(guī)定細則1.網絡設備和線路在日常工作中不得觸動、拉扯、擠壓,不得使用網絡設備的供電電源,不得讓水源接近網絡設備和線路。服從網絡中心管理,非網絡管理人員不得管理和使用網絡設備及線路。2.網絡終端電腦要服從日常工作管理,不得擅自拷出和拷入任何數(shù)據。終端電腦網絡配置不得擅自更改,網線不得擅自拔插,USB接口和光驅不得擅自使用,機箱不得擅自開啟,硬盤只允許網絡中心工作人員進行拆卸、安裝、拷貝、維護。3.網絡終端電腦和機房服務器由信息中心安裝經公安機關檢測合格的殺毒軟件,并定期負責升級。4.網絡終端電腦由信息中心安裝桌面管理軟件,安裝系統(tǒng)補丁。信息中心對全院新安裝程序進行統(tǒng)一下發(fā)安裝,對全院終端的硬件信息、安全信息、端口使用、異常操作進行監(jiān)控,以加強終端電腦的安全管理。5.內網和外網必須物理隔離，其他衛(wèi)生機構以及銀行機構與醫(yī)院內網的連接必須經過防火墻、網閥等設備,設備只開放必需IP和端口,并且在醫(yī)院的內網中使用入侵檢測系統(tǒng)(IDS)等設備,以監(jiān)控內網的安全情況。6.加強應用系統(tǒng)的密碼策略,加強密碼的復雜程度和加密級別,防止暴力破解,并從行政管理的角度來加強對職工對密碼的重視程度,減少密碼的泄露。7.加強單位職工的網絡安全培訓,使得大家提高網絡安全意識,能夠自覺遵守網絡安全管理規(guī)定并積極地維護有助于單位網絡安全、穩(wěn)定的各項措施。8.加強內部網絡的審計工作,對重要數(shù)據庫的操作保持密切監(jiān)視。9.網絡設備口令要嚴格管理,不得隨意泄密?？诹罡轮芷诓坏贸^三個月。網絡管理員專有口令只能專人專用。所有口令必須在8位以上,含數(shù)字、字母以及特殊符號,以保證密碼的復雜性。10.網絡設備的配置以及網絡安全設備的配置每周都要按時進行1~2次備份,以備查閱。網絡日志以及網絡管理員對設備的登陸和操作均要一一記錄,并按日志重要等級確定保存時間,普通日志保存周期為一個月，各網絡管理員可根據實際情況做出調整,網絡安全策略也要形成文件一一備案。11.網絡設備要在適合的情況下盡可能升級其IOS,升級時要盡可能選擇完善的版本。網絡安全設備在升級時也要盡可能選擇完善的版本,并且在不影響業(yè)務的情況下一定要升級其版本。12.網絡終端電腦由信息中心安裝網絡殺毒軟件。網絡殺毒軟件服務器每周定期由信息中心升級病毒庫,保障網絡終端的使用安全。13.如果發(fā)現(xiàn)威脅單位網絡安全的行為,應該嚴肅處理,情節(jié)嚴重的送至公安機關處理。安全事件報告和處置管理制度一、目的信息時代,醫(yī)院的辦公、病人的就醫(yī)都離不開網絡信息系統(tǒng),其一旦發(fā)生斷電、服務器故障等不能快速恢復的突發(fā)事件,將會嚴重影響醫(yī)院的醫(yī)療工作秩序,影響病人的就診,以致給病人的生命安全、醫(yī)院財產造成重大損失。為有效預防和處置醫(yī)院信息系統(tǒng)突發(fā)事件,維護正常的醫(yī)療和工作秩序,保障病人的生命和醫(yī)院財產、信息安全,形成科學、有效、反應迅速的應急工作機制,確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據安全,最大限度地減輕網絡與信息安全突發(fā)公共事件的危害，為預防和及時處置網絡突發(fā)事件,維護正常的門診、住院工作流程和醫(yī)療程序,保障患者正常就醫(yī),特制訂本規(guī)定。二、使用范圍本規(guī)定適用于醫(yī)院發(fā)生的網絡與信息安全突發(fā)公共事件和可能導致網絡與信息安全突發(fā)公共事件的應對工作。如網絡突然發(fā)生中斷、停電、線路故障、網絡通信設備損壞、病毒爆發(fā)等導致醫(yī)院信息系統(tǒng)不能正常運行的所有軟、硬件故障。三、工作原則預防為主:立足安全防護,加強預警,重點保護醫(yī)院主信息管理系統(tǒng),優(yōu)先保證門急診正常運轉,從預防、監(jiān)控、應急處理、應急保障等環(huán)節(jié),采取多種措施,充分發(fā)揮各方面的作用,共同構筑網絡與信息安全保障體系?？焖俜磻?在網絡與信息安全突發(fā)公共事件發(fā)生時,按照快速反應機制，及時獲取充分而準確的信息,跟蹤研判,果斷決策,迅速處置,最大限度地減少危害和影響。以人為本:把保障公共利益以及病人合法權益作為首要任務，及時采取措施,最大限度地避免醫(yī)院和病人利益遭受損失。分級負責:按照“誰主管誰負責、誰使用誰負責”的原則,建立和完善安全責任制及聯(lián)動工作機制。根據部門職能,各司其職,加強部門間的協(xié)調與配合,形成合力,共同履行應急處置工作的管理職責。常備不懈:加強技術儲備,規(guī)范應急處置措施與操作流程,定期進行預案演練,確保應急預案切實有效,實現(xiàn)網絡與信息安全突發(fā)公共事件應急處置的科學化、程序化與規(guī)范化。四、組織指揮機構與職責發(fā)生網絡與信息安全突發(fā)公共事件后,設置應急小組,組長由醫(yī)院有關領導擔任，成員由信息中心、門診部、藥房及財務科等部門人員組成，采取統(tǒng)一管理體制,明確責任人和職責,細化工作措施和流程,建立完善管理制度和實施辦法,協(xié)調全院網絡與信息安全突發(fā)公共事件的應急處置工作。信息中心開通24小時值班電話,保證與各個部門的聯(lián)系,若發(fā)現(xiàn)異常應立即向有關領導匯報。五、報告程序1.軟件系統(tǒng)故障:各操作科室先向信息中心上報問題后，由各系統(tǒng)負責維護人員查明原因，協(xié)調解決,如遇易造成影響全院運行的問題時,需及時向主管領導上報,啟動預案。2.硬件系統(tǒng):發(fā)現(xiàn)鼠標、鍵盤、顯示器、打印機或個體設備發(fā)生問題時,及時與信息中心聯(lián)系,由硬件工程師協(xié)調處理,能立即修復的修復,不能的及時換用備用設備。3.網絡:網線、交換機、光纖模塊、UPS電源故障由信息中心網絡工程師檢修,如不能立即修復就啟用備用設備,保證網絡運行正常。4.數(shù)據安全與病毒防范:信息中心維護人員應每天檢查服務器的數(shù)據備份和實時數(shù)據的運行情況,如出現(xiàn)異常情況應立即查明原因,排除隱患。維護人員應定時更新病毒服務器,對院內工作站實時進行病毒監(jiān)控,若工作站受到病毒感染應立即關閉計算機,重裝系統(tǒng)。5.信息泄密:如發(fā)現(xiàn)院內網絡信息外泄,應立即向信息中心上報,信息中心確認后向分管院長及總值班上報,并立即啟動相關預案。6.無論任何原因導致信息系統(tǒng)出現(xiàn)問題時,應立即上報主任、分管院長和總值班,啟動預案。六、事件分級根據信息系統(tǒng)恢復時間分為四級:恢復時間6小時以上的為I級,恢復時間2~6小時的為Ⅱ級,恢復時間0.5~2小時的為Ⅲ級,其余的為IV級。七、預案啟動1.IV級故障處理預案如果信息中心在排查故障后認為能在半小時內恢復系統(tǒng)正常工作,可以先暫停系統(tǒng)工作,待故障排除后立即恢復正常工作。此時,門診、住院窗口工作人員應耐心向病人解釋說明情況,服務臺負責人組織大廳保安及服務臺工作人員維護好窗口患者排隊秩序,勸慰患者耐心等候。2.I、Ⅱ、川級故障處理預案(1)信息中心:啟動單機劃價服務器,通知收費處使用單機劃價。(2)門診收費:向財務部領取手工發(fā)票,兩人一組,一人劃價，一人收費。自費病人仍然按照原結算方式結算;參保病人按照自費結算，然后去醫(yī)保中心報銷或者等系統(tǒng)恢復后換電腦發(fā)票。(3)門診醫(yī)生工作站:開立手工處方。(4)門診藥房:按手工處方發(fā)放藥品。(5)出院結賬處:自費病人開具手工發(fā)票;醫(yī)保病人留下通信方式,先出院暫不結算，等系統(tǒng)恢復后進行結算。(6)醫(yī)技窗口:不進行電腦確認,核對手工發(fā)票。(7)住院醫(yī)生工作站、護士工作站:開立手工醫(yī)囑,按照手工醫(yī)囑先至藥房借藥,等系統(tǒng)恢復后補錄醫(yī)囑。做好住院患者和預出院患者的解釋工作。(8)病區(qū)藥房:根據護士站的借藥單進行擺藥,并做好登記,系統(tǒng)恢復后補錄。(9)財務部:準備好手工發(fā)票以備II級及以上故障使用。3.具體協(xié)調工作(1)轉入手工工作的統(tǒng)一時間由院長辦公室請示院長同意后執(zhí)行,相關部門嚴格按照通知時間協(xié)調工作,在未接到新的指示前不準私自操作電腦。(2)門診掛號工作協(xié)調:由門診部護士長負責如手工掛號的開始、結束時間。(3)門診收費工作協(xié)調:由收費處主任負責總體協(xié)調,并與信息中心保持聯(lián)系,及時反饋溝通最新消息;建立手工發(fā)票使用登記本,在系統(tǒng)恢復后組織收費員逐步轉入電腦收費。(4)門診服務臺工作協(xié)調:聯(lián)合保衛(wèi)處維持大廳秩序,處理特殊患者事件。(5)出院結算工作協(xié)調:由出院結賬處主任負責總體協(xié)調,如辦理先出院后結算的病人要做好詳細登記。(6)臨床工作系統(tǒng)協(xié)調:臨床工作由醫(yī)務處、護理部共同協(xié)調;網絡故障期間臨床科室詳細記錄患者的所有執(zhí)行情況,詳細填寫每個患者的藥品請領單(一式兩份,一份科室留存以便補錄醫(yī)囑,一份給病區(qū)藥房)。4.關于停電的應急預案(1)有計劃停電根據停電計劃提前發(fā)送網絡通知提醒大家準時關機,并利用軟件強制關機。來電后查看數(shù)據庫進程數(shù),如果進程數(shù)特別多,則斷開所有網絡,后臺刪除所有進程,然后開通門診網絡,在門診使用基本穩(wěn)定后開通其余網絡;如果進程數(shù)正常則無須調整。(2)突發(fā)性停電在發(fā)生突發(fā)停電后及時詢問后勤有哪幾路線停了,如果停電范圍小則只需刪除停電區(qū)域的死進程,如果停電范圍大,則斷開停電區(qū)域網絡,然后把這個區(qū)域的死進程刪除,再開通這個區(qū)域網絡。5.信息泄密預案發(fā)現(xiàn)信息泄密時應第一時間內上報院領導,同時請網站服務商立刻查封該泄密信息,并檢查是否還有其他泄密信息,如有則一并查封,另外在領導批準后向公安機關報案,請求協(xié)助調查違法人員的IP地址等信息，以此確定違法人員,對其進行院內處分或追究其法律責任。八、應急處置1.啟動應急預案的條件:不可抗因素(不可預知的突發(fā)故障)導致信息系統(tǒng)停止運行30分鐘以上,經技術確認無法在短時間內恢復正常運行時。2.啟動應急預案的決策:在上述情況發(fā)生后,由信息中心及時報告院領導,由院長辦公室發(fā)布啟動應急預案通知。3.啟動應急預案的通知:院長辦公室直接發(fā)通知給門診辦公室、醫(yī)務處、財務科等部門的主要負責人或相關人員。4.應急預案終止的條件:相關技術人員反復經過測試,確認信息系統(tǒng)可以恢復正常運行,由醫(yī)院信息中心上報院領導和院長辦公室。5.取消應急預案的決策:在醫(yī)院信息系統(tǒng)恢復正常運行后，由主管院領導決定終止應急預案,返回系統(tǒng)正常運行方式。6.取消應急預案的通知:由院長辦公室通知相關部門取消應急預案,切換回正常運行方式,門診辦公室人員確認就診秩序正常。九、后期處置在應急處置工作結束后,要迅速采取措施,抓緊組織搶修故障設備等，減少損失,盡快恢復正常工作,統(tǒng)計各種數(shù)據,查明原因,做好補救。網站信息發(fā)布管理制度一、目的為使醫(yī)院網站信息發(fā)布工作進一步規(guī)范化和制度化,保證醫(yī)院信息發(fā)布及時、準確、規(guī)范，杜絕信息安全隱患,防止人為責任事故的發(fā)生，更好地展示醫(yī)院風貌和醫(yī)院發(fā)展動態(tài),更好地為醫(yī)院中心工作服務,依據《互聯(lián)網信息服務管理辦法》及《非經營性互聯(lián)網信息服務備案管理辦法》,按照國家法律、法規(guī)的規(guī)定,結合工作實際,特制訂本制度。二、使用范圍本制度適用于中大醫(yī)院及各職能科室網站。三、職責網站發(fā)布內容由院宣傳部負責，內容審核由院辦公室負責。四、制度細則1.網站的內容不得泄露醫(yī)院機密,不得宣揚暴力、色情、偽科學,不得危害國家安全和社會穩(wěn)定。2.網站遵循系統(tǒng)安全保密組織和各項規(guī)章制度,采取有效的安全措施，加強網上監(jiān)管,確保網站和上網信息安全。3.網站應及時公開下列信息:(1)有關法律、法規(guī)、規(guī)章、制度和衛(wèi)生政策;(2)醫(yī)院新聞及相關工作信息,包括重大事件、重要活動、領導講話等;(3)其他應予公開的相關信息。4.網站的信息維護、更新實行分級負責制,遵循“誰發(fā)布、誰負責,誰承諾、誰辦理”的原則。5.網站信息應定期維護、及時更新,特別是動態(tài)性的信息,要及時采集、傳遞、更新、發(fā)布,保證網絡信息的時效性、準確性,使網上信息豐富、真實、及時、有效。共同維護網站良好形象。6.醫(yī)院職能科室在醫(yī)院網站發(fā)布相關信息，由各部門進行撰稿,并填寫網上發(fā)布信息申請表,經主管領導審核、簽字批準后，網站信息管理員方可上網發(fā)布。重要信息的發(fā)布須經院領導批準。各職能科室負責人對其所發(fā)布信息的內容負主要責任。新聞欄目信息的采集、審核和發(fā)布由宣傳部統(tǒng)一負責。7.所有發(fā)布的信息以電子文檔的形式永久保留,以備在國家有關機關依法檢查時予以提供。8.網站互動欄目中的建議、投訴等,需要回復、處理的,應由工作責任職能部門及時回復、處理。9.網站實行網站安全保密工作負責制。系統(tǒng)管理員和信息發(fā)布員不得把后臺維護的用戶名和密碼透露給他人,系統(tǒng)管理員應定期對用戶名和密碼進行修改。信息系統(tǒng)變更及發(fā)布管理制度一、目的為規(guī)范軟件變更與維護管理,提高軟件管理水平,優(yōu)化軟件變更與維護管理流程,特制訂本制度。二、使用范圍本制度適用于醫(yī)院各信息系統(tǒng)。三、變更流程1.系統(tǒng)變更工作可分為下面三種類型:(1)功能完善維護。業(yè)務科室由于業(yè)務發(fā)展或業(yè)務處理的需要,所產生的對系統(tǒng)現(xiàn)有功能進行修改、完善的需求。(2)系統(tǒng)缺陷修改。系統(tǒng)設計和實現(xiàn)上的缺陷會引發(fā)業(yè)務操作中的異常。對系統(tǒng)缺陷進行修復的需求。(3)統(tǒng)計報表生成。業(yè)務科室統(tǒng)計報表數(shù)據生成的需求,所要求的統(tǒng)計報表數(shù)據不能夠通過應用系統(tǒng)現(xiàn)有功能提供。這些報表有的只是一次性使用,有的需要經常使用。2.系統(tǒng)變更工作以任務形式由相關科室和系統(tǒng)管理員協(xié)作完成。系統(tǒng)變更過程類似軟件開發(fā),大致可分為四個階段:任務提交和接受、任務實現(xiàn)、任務驗收和程序下發(fā)。3.因緊急問題處理引發(fā)的系統(tǒng)變更處理,具體流程參見“緊急變更流程”。4.相關科室提出系統(tǒng)變更需求,并將變更需求整理成系統(tǒng)變更申請表，由科室負責人審批后提交給系統(tǒng)管理員。5.系統(tǒng)管理員負責接受需求,進行分析需求后,向開發(fā)人員提出系統(tǒng)變更建議。6.實現(xiàn)過程應按照軟件開發(fā)過程規(guī)定進行。系統(tǒng)變更過程應遵循與軟件開發(fā)過程相同的正式、統(tǒng)一的編碼標準,并經過測試和正式驗收才能分發(fā)。7.系統(tǒng)管理員組織相關科室對變更后系統(tǒng)程序嚴格按照功能要求在備用服務器上進行全面調試,并撰寫程序變更驗收報告,提交科室負責人和系統(tǒng)管理員簽字確認通過后才能分發(fā)新版本,并撤銷前一版本。8.變更之前需對前一版本程序進行保存。9.系統(tǒng)管理員負責對系統(tǒng)變更過程中的發(fā)布文檔進行歸檔及版本管理，變更過程中涉及的所有文檔應至少保存兩年。四、緊急變更流程1.緊急事件的報告相關科室發(fā)現(xiàn)系統(tǒng)異常,導致業(yè)務處理無法正常進行,必須迅速處理解決時,問題發(fā)現(xiàn)人將問題報告給系統(tǒng)管理員。系統(tǒng)管理員根據問題信息,進行問題的