2.适用范围：全体员工。

3.定义 

无

4.职责

无

5.标准

5.1信息系统安全管理

5.1.1建立健全规章制度

建立各项规章制度，据统计90%以上的管理和安全问题来自终端，提高各部门人员的安全意识非常重要，我院加强了有关人员的安全教育，强化安全意识和法制观念，提升职业道德,掌握安全技术,确保这些措施落实到位。

5.1.2建设标准的计算机机房，保证机房的安全

计算机机房作为网络的核心设备所在地，是网络安全的重要保证之一，机房在建设、装修时严格按照机房标准设计、装修，做到了专线、双路供电。机房选用的设备应稳定可靠、性能优良、电磁辐射小，对环境条件的要求尽可能低。设备能抗震防潮、抗电磁幅射干扰、抗静电，有过压、欠压、过流等电冲击的自动防护能力，有良好的接地保护措施。

5.1.3网络和数据安全

5.1.3.1  连入网络的各科室和个人办公工作台必须严格执行安全保密制度，并对所提供的信息负责。不得利用计算机和网络从事违反国家法律、法规、泄露单位机密的活动。

5.1.3.2  任何科室和个人不得在本院联网计算机上制作、查阅、复制和传播危害、有碍社会治安和有伤风化的信息。

5.1.3.3  不允许在网络上进行干扰网络用户、破坏网络服务和网络设备的活动。

5.1.3.4  除信息科外其他科室或个人不得以任何方式试图登陆网络服务器和网络交换机等设备进行修改、设置、删除等操作；不得盗窃、破坏网络设施。

5.1.3.5  不得利用各种网络设备或软件技术从事账号及密码的侦听、盗用活动，该活动被认为是对网络用户权益的侵犯。严禁在本院联网计算机上使用未经信息科主任批准的软件。

5.1.3.6  院内各科室和个人需要联入因特网，必须提交经科主任审定后的申请报告，由分管院长或院长审批同意后，由信息科负责实施开通。

5.1.3.7  联网用户必须使用由信息科分配的IP地址，严禁私自设置IP、盗用IP地址。

5.1.3.8  员工应对输入计算机的数据准确性负责，不得随意增减或删除有效数据。

5.1.4数据备份与维护

5.1.4.1  数据备份关系到整个信息系统正常运转，影响到全院正常的医疗秩序，责任十分重大，必须具有高度的责任感和一丝不苟、万无一失的严谨工作作风。

5.1.4.2  数据服务器每天自动实时备份，数据实时同步到灾备服务器上。

5.1.4.3  定期对数据进行一次恢复试验，以确保备份数据安全可靠。

5.1.4.4  根据数据增长量，应定期对过期数据进行处理，以保障系统运作效率。

5.1.4.5  禁止泄露、外借和转移专业数据信息。

5.1.4.6  除正常系统维护之外,所有业务数据的更改必须有科主任的审批，未经批准不得随意更改业务数据。

5.1.5病毒防护措施

5.1.5.1  计算机必须配备标准的防毒软件，该软件由信息科规定，采用正版防病毒软件并及时更新软件版本，定期进行病毒检测。

5.1.5.2  所有电脑操作人员应有较强的病毒防范意识，发现病毒立即处理并通知管理部门或专职人员。

5.1.5.3  不连网的计算机用户有责任保护使用的计算机不被病毒侵害，并由信息科进行适当监督。

5.1.5.4  严禁安装与工作无关的软件，此类软件将会被立即删除而不提前通知。未经信息科主任许可，当班人员不得在服务器上安装新软件，若确为需要安装，安装前应进行病毒例行检测。安装后应书面报告备案。

5.1.5.5  配有软驱和光驱的计算机未经批准不得连入院内网络。严禁在内网计算机上使用可移动存储设备（如USB移动盘，闪存卡，数码相机，移动硬盘等）。

5.1.5.6  经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。建立网络杀毒系统，定时更新病毒库。

5.1.6应用软件权限设置

我们通过相关制度明确规定了每个操作人员的权限范围，通过授权、与MAC地址绑定等方法用户的行为，同时还通过内网安全管理软件的设备软件资源管理模块对一些软件进行性安装，网管随机地通过软件搜索网内的共享资源、系统进程等各项信息，有效地阻止了一些操作人员的猎奇心，使其只能提取与其业务有关的数据，提高了数据的保密性，提升了网络的安全性。

5.1.7新系统软件的安全保障

对所有新系统项目我院要进行严格的审查，严格按照预算，由信息管理委员会开会决议。审查时严格把关，需求说明书中的用户需求目标必须达到。项目验收时质量要满足质量标准并建立相应的系统和业务文档资料存档。

5.2信息共享与保密制度

5.2.1医院信息系统数据库中的信息资源，除信件、私人文档等纯属个人物品外，其他所有行政和医疗管理类信息及病人临床信息均归医院所有，任何个人或组织、部门均不得视信息为私有或部门所有。信息的所有权与信息的发生地和录入者没有关系。

5.2.2不经主管部门批准，任何部门及个人无权将医院信息系统数据库中的任何信息资源有偿或无偿地转移给院外用于任何目的。违反本规定的个人或部门负责人将会受到相应的行政处罚直至追究法律责任。

5.2.3信息系统数据库中信息资源的共享权限由信息科根据本规定的原则制定，由信息科负责解释和实施。

5.2.4信息系统建设的重要目的之一就是要实现快速、准确、完整的信息传递和共享。信息的共享是双向的。实际上，没有任何一个部门不需要共享其它部门的资源。任何一个部门无权拒绝其它部门对本部门负责录入和管理的数据的共享，但这种共享必须是经过主管部门授权的、合法的。

5.2.5各部门对信息的录入必须保证其及时、准确和完整。

5.2.6医生有权从计算机中读取容许其处置的个体病人的全部诊疗信息并用于辅助诊疗。不容许任何部门和个人采取任何借口和手段予以拒绝。医生无权成批地检索病人信息，如因教学、科研确有需要，需经主管部门批准。

5.2.7医生不得未经信息发生和录入部门的同意，私自将计算机中的病人信息用于科研、教学和任何公开发表的文献中。

5.2.8未经医务科护理部和主管院长批准，任何人不得提供病人的各种检查、化验结果报告和病人的其它信息给病人以外的其它人员。医生或其它任何人不经授权不得从异地计算机打印检查、化验报告。

5.3账号及密码制度

根据《中华人民共和国执业医师法》和《医疗机构管理条例》为进一步强化系统信息安全管理，特制定以下制度。

5.3.1所有信息系统的使用者必须经过规范的用户认证，至少支持用户名／密码、数字证书、指纹识别中的一种认证方式。

5.3.2系统采用用户名／密码认证方式时，要求用户必须修改初始密码，重新设置新密码，新密码必须至少8位，并由数字和字母共同组成。

5.3.3设置密码有效期，用户使用超过有效期的密码不能再次登录系统。

5.3.4设置账户锁定阈值时间，用户多次登录错误时，自动锁定该账户，管理员有权限解除账户锁定。

5.3.5系统采用用户名／密码认证方式时，经本人申请，管理员有权限重置密码。

5.3.6员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上，并定期修改密码，对有疑问的密码应及时修改。

5.3.7任何人员不得使用他人的账号和密码，也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员，并在离开终端时及时退出计算机系统。

5.3.8如因密码外泄或无密码造成的纠纷，由账号所有人自行承担。

5.4网络安全策略及运行机制

5.4.1网络安全的技术方案

为保证医院信息系统运行的网络安全，医院网络安全策略采取如下技术方案：

5.4.1.1  医院的内网与逻辑隔断。

5.4.1.2  需要访问的计算机单独开设端口，且不得同时接入内网，所有访问的行为通过上网行为管理监控，一律通过机房的硬件防火墙访问，防火墙做相应的安全设置。

5.4.1.3  在内网中使用企业版360安全卫士及杀毒软件进行安全防护，应用网管软件远程管理所有内网电脑。

5.4.2网络安全策略的运行机制

5.4.2.1  杀毒软件：

5.4.2.1.1  服务端连入自动实时升级。

5.4.2.1.2  客户端每天上下午自动执行一次病毒查杀，并接受服务端的命令实时升级。

5.4.2.2  桌面管理软件：

5.4.2.2.1  对内网工作站电脑进行，封除USB、光驱等这些可能带来病毒的途径。

5.4.2.2.2  对可运行的进程设置白名单。

5.4.2.2.3  可发放补丁文件到各个工作站统一升级。

5.4.2.3  网络管理软件：

5.4.2.3.1  对网络中的各项指标参数进行监控，

5.4.2.3.2  可对各种正常指标参数进行阀值设置，超出正常范围即产生报警。

5.4.3保证安全策略运行的工作机制

5.4.3.1  科室工作人员分工明确，严格履行工作职责，对分管的安全管理软件定时运行，进行实时监测，并作好记录，发现问题及时报告部门主管。

5.4.3.2  数据备份与恢复、网络设备基本故障处理等技术方案相关人员知晓。

5.4.3.3  定期进行巡视记录结果分析，发现常见问题和工作薄弱环节。

5.4.3.4  信息科主管定期检查各项巡视记录，掌握系统运行情况，定期向分管院长汇报，及时解决实际问题。

5.4.3.5  组织大家学习讨论解决问题的办法，不断提高信息工程人员的技术和管理水平。

6.流程

无

7.表单

无

8.相关文件

无下载本文