2022年醫(yī)院信息系統(tǒng)安全保護(hù)制度

1、第PAGE8頁共NUMPAGES8頁2022年醫(yī)院信息系統(tǒng)安全保護(hù)制度(一)總則1.為了保護(hù)醫(yī)院信息系統(tǒng)安全，促進(jìn)醫(yī)院信息系統(tǒng)的應(yīng)用和發(fā)展，保障醫(yī)院信息工程建設(shè)的順利進(jìn)行，特制定本規(guī)則。2.本規(guī)則所稱的信息系統(tǒng)，是由計(jì)算機(jī)及其相關(guān)配套的設(shè)備、設(shè)施構(gòu)成的，按照系統(tǒng)應(yīng)用目標(biāo)和規(guī)則對醫(yī)院信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)(即現(xiàn)在醫(yī)院建設(shè)和應(yīng)用中的信息工程)。3.信息系統(tǒng)的安全保護(hù)，是保障計(jì)算機(jī)及配套的設(shè)備、設(shè)施的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障醫(yī)院信息管理系統(tǒng)功能的正常發(fā)揮，以維護(hù)信息系統(tǒng)的安全運(yùn)行。4.信息系統(tǒng)的安全保護(hù)，重點(diǎn)是維護(hù)信息系統(tǒng)中數(shù)據(jù)信息和網(wǎng)絡(luò)上一切設(shè)備的安

2、全。5.醫(yī)院信息系統(tǒng)內(nèi)全部上網(wǎng)運(yùn)行計(jì)算機(jī)的安全保護(hù)都適用本規(guī)則。6.信息中心主管全院信息系統(tǒng)的安全保護(hù)工作。7.任何單位或者個人，不得利用上網(wǎng)計(jì)算機(jī)從事危害醫(yī)院利益的活動，不得危害信息系統(tǒng)的安全。8.各級各類醫(yī)院根據(jù)本規(guī)則，結(jié)合醫(yī)院不同的功能任務(wù)和醫(yī)院信息系統(tǒng)規(guī)模大小，參照以下內(nèi)容制定適宜于本醫(yī)院的運(yùn)行與應(yīng)用保障制度。(二)安全保護(hù)制度1.信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)遵守醫(yī)院信息系統(tǒng)管理規(guī)則、醫(yī)院行政法規(guī)和其他有關(guān)規(guī)定。2.信息系統(tǒng)實(shí)行安全等級保護(hù)和用戶使用權(quán)限劃分。安全等級和用戶使用權(quán)限以及用戶口令密碼的劃分、設(shè)置由信息中心負(fù)責(zé)制定和實(shí)施。3.信息中心機(jī)房應(yīng)當(dāng)符合國家標(biāo)準(zhǔn)和國家規(guī)定。4.在信息系

3、統(tǒng)設(shè)施附近營房維修、改造及其他活動，不得危害信息系統(tǒng)的安全。如無法避免而影響信息系統(tǒng)設(shè)施安全的作業(yè)，須事先通知信息中心，經(jīng)中心負(fù)責(zé)人同意并采取保護(hù)措施后，方可實(shí)施作業(yè)。5.信息系統(tǒng)的使用單位和個人，都必須遵守計(jì)算機(jī)安全使用規(guī)則，以及有關(guān)的操作規(guī)程和規(guī)定制度。6.對信息系統(tǒng)中發(fā)生的問題，有關(guān)使用單位負(fù)責(zé)人應(yīng)當(dāng)立即向信息工程技術(shù)人員報(bào)告。7.對計(jì)算機(jī)病毒和危害網(wǎng)絡(luò)系統(tǒng)安全的其他有害數(shù)據(jù)信息的防治工作，由計(jì)算機(jī)中心負(fù)責(zé)處理。8.對信息系統(tǒng)軟件、設(shè)備、設(shè)施的安裝、調(diào)試、排除故障等由計(jì)算機(jī)工程技術(shù)人員負(fù)責(zé)。其他任何單位或個人不得自行拆卸、安裝任何軟、硬件設(shè)施。9.所有上網(wǎng)計(jì)算機(jī)絕對禁止進(jìn)行國際聯(lián)網(wǎng)或與院

4、外其他公共網(wǎng)絡(luò)聯(lián)接。(三)安全監(jiān)督1.信息管理部門對信息系統(tǒng)安全保護(hù)工作行使下列監(jiān)督職權(quán)。2.監(jiān)督、檢查、指導(dǎo)信息系統(tǒng)安全維護(hù)工作；3.查處危害信息系統(tǒng)安全的違章行為；4.履行信息系統(tǒng)安全工作的其他監(jiān)督職責(zé)。5.信息工程技術(shù)人員發(fā)現(xiàn)影響信息安全系統(tǒng)的隱患時，可立即采取各種有效措施予以制止。6.信息工程技術(shù)人員在緊急情況下，可以就涉及信息安全的特定事項(xiàng)采取特殊措施進(jìn)行防范。(四)責(zé)任1.違反本規(guī)則的規(guī)定，有以下行為之一的，由信息工程技術(shù)人員以口頭形式警告、撤消當(dāng)事人上網(wǎng)使用資格或者停機(jī)：2.違反信息系統(tǒng)安全保護(hù)制度，危害網(wǎng)絡(luò)系統(tǒng)安全的；3.接到信息工程技術(shù)人員要求改進(jìn)安全狀況_后，拒不改進(jìn)的；4

5、.不按照規(guī)定擅自安裝軟、硬件設(shè)備；5.私自拆卸更改上網(wǎng)設(shè)備；6.出現(xiàn)問題未立即報(bào)告；7.有危害網(wǎng)絡(luò)系統(tǒng)安全的其他行為。8.違反本規(guī)則的規(guī)定，有下列行為之一的，由醫(yī)務(wù)部處以經(jīng)濟(jì)處罰：9.在工作站進(jìn)行與網(wǎng)絡(luò)工作無關(guān)而造成危害的；10.私自拆卸、更改網(wǎng)絡(luò)設(shè)備而造成危害的；11.向院外人員泄露口令密碼而造成后果的；12.利用終端設(shè)備進(jìn)行與網(wǎng)絡(luò)工作無關(guān)的事，導(dǎo)致病毒侵襲而造成損害的下列行為之一的，由醫(yī)院處以經(jīng)濟(jì)處罰：13.造成設(shè)備損害，處以所損壞設(shè)備價格十倍以上罰款；14.造成本站系統(tǒng)破壞，處以_元以上、_元以下罰款。15.導(dǎo)致病毒侵襲而造成全網(wǎng)癱瘓，除予以嚴(yán)厲的行政處分外，所造成直接經(jīng)濟(jì)損失的_%、間

6、接經(jīng)濟(jì)損失的_%由個人負(fù)擔(dān)；直接經(jīng)濟(jì)損失的_%、間接經(jīng)濟(jì)損失的_%由所在科室部門負(fù)擔(dān)。16.在網(wǎng)絡(luò)系統(tǒng)設(shè)備、設(shè)施附近作業(yè)而危害網(wǎng)絡(luò)系統(tǒng)安全，影響網(wǎng)絡(luò)正常運(yùn)行造成經(jīng)濟(jì)損失的，由作業(yè)單位賠償；造成醫(yī)院財(cái)產(chǎn)嚴(yán)重?fù)p失的依法追究和承擔(dān)民事責(zé)任。17.執(zhí)行本規(guī)則的醫(yī)院各類人員因失職行為而造成后果的，給予行政處分。(五)附則本規(guī)則下列用語含義：計(jì)算機(jī)病毒：是指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用、并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。網(wǎng)絡(luò)設(shè)備：指運(yùn)行在網(wǎng)絡(luò)上的計(jì)算機(jī)、打印機(jī)、集線器、數(shù)字交換機(jī)、服務(wù)器、不間斷電源等。網(wǎng)絡(luò)設(shè)施：連接計(jì)算機(jī)的光纖電纜、雙絞線、交換機(jī)柜等。本規(guī)

7、則解釋權(quán)由信息管理部門負(fù)責(zé)人負(fù)責(zé)。2022年醫(yī)院信息系統(tǒng)安全保護(hù)制度（二）第一章總則第一條為確保醫(yī)院信息系統(tǒng)運(yùn)行可靠、安全、穩(wěn)定和高效，特制訂本制度。第二條本管理制度適用于醫(yī)院全體員工。第二章信息系統(tǒng)的建設(shè)第三條信息系統(tǒng)的申請和采購1醫(yī)院職能部門根據(jù)發(fā)展需要進(jìn)行有關(guān)信息系統(tǒng)需求的分析和調(diào)查，初步確定目標(biāo)信息系統(tǒng)或相關(guān)軟件，并填寫采購申請表，交部門負(fù)責(zé)人審核后報(bào)分管院長或總經(jīng)理簽批。2物資庫根據(jù)相關(guān)規(guī)定進(jìn)行采購。3財(cái)務(wù)部根據(jù)驗(yàn)收報(bào)告和合作合同，支付階段進(jìn)度款。第四條信息系統(tǒng)的驗(yàn)收1在信息系統(tǒng)或相關(guān)軟件達(dá)到可使用狀態(tài)時，各科室指定人員進(jìn)行現(xiàn)場操作、試用信息系統(tǒng)或相關(guān)軟件，并填寫初步驗(yàn)收報(bào)告，報(bào)分管

8、院長、財(cái)務(wù)總監(jiān)、總經(jīng)理審批。2重大或?qū)I(yè)性較強(qiáng)的信息系統(tǒng)應(yīng)聘請具備相關(guān)資質(zhì)的外部獨(dú)立單位進(jìn)行驗(yàn)收，財(cái)務(wù)部、信息科參與驗(yàn)收。3各科室在獲得軟件后，應(yīng)做好多套備份，并分別存放在醫(yī)院信息科和相關(guān)職能部門保管。第五條信息系統(tǒng)的日常維護(hù)1建立健全的信息系統(tǒng)管理制度，各部門應(yīng)配合協(xié)助信息科進(jìn)行信息系統(tǒng)的日常維護(hù)。2計(jì)算機(jī)由信息科進(jìn)行定期檢查、維護(hù)，并安排專人負(fù)責(zé)或協(xié)調(diào)供應(yīng)商進(jìn)行信息設(shè)備的維護(hù)、維修工作。3設(shè)備發(fā)生故障，使用部門和使用人員作簡易處理仍不能排除故障的，要及時向信息科申請維修，說明設(shè)備故障情況，故障嚴(yán)重或損失較大時，要填寫維修記錄單，經(jīng)使用人、使用部門負(fù)責(zé)人簽字后交信息科備案。4信息科接到信息設(shè)

9、備的維護(hù)、維修報(bào)告后，要及時安排人員進(jìn)行維護(hù)、維修。5信息設(shè)備的使用人要檢查維護(hù)、維修情況和設(shè)備修復(fù)情況，驗(yàn)收后簽字確認(rèn)。第三章網(wǎng)絡(luò)安全管理第六條醫(yī)院設(shè)置專人負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)的管理。信息科從網(wǎng)絡(luò)技術(shù)上積極采取安全防范措施和監(jiān)控措施，防止_和外來黑客攻擊，保證網(wǎng)絡(luò)正常、安全運(yùn)行，及時排除網(wǎng)絡(luò)故障。醫(yī)院辦公室_制定網(wǎng)絡(luò)安全管理方案并設(shè)置專人負(fù)責(zé)網(wǎng)絡(luò)安全工程施工管理、驗(yàn)收和網(wǎng)絡(luò)安全維護(hù)。第七條網(wǎng)絡(luò)安全設(shè)備的配置和規(guī)則設(shè)置由指定人員協(xié)同產(chǎn)品供應(yīng)商進(jìn)行。網(wǎng)絡(luò)安全設(shè)備的配置和規(guī)則設(shè)置更改，由指定人員負(fù)責(zé)，其它人員不得改動。第八條醫(yī)院辦公室應(yīng)_學(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，進(jìn)行網(wǎng)絡(luò)安全知識培訓(xùn)，提高工作人員的維

10、護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。第九條醫(yī)院信息科應(yīng)對本網(wǎng)絡(luò)的用戶進(jìn)行安全教育和培訓(xùn)，使其具備基本的網(wǎng)絡(luò)安全知識。醫(yī)院員工如發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行不正常，應(yīng)及時通報(bào)醫(yī)院信息科進(jìn)行處理。第十條醫(yī)院信息科指定人員定期對公司計(jì)算機(jī)進(jìn)行病毒檢查、補(bǔ)丁更新等維護(hù)工作，負(fù)責(zé)協(xié)助信息設(shè)備用戶正確_、使用軟件、病毒防火墻，并按說明定期進(jìn)行防火墻升級。醫(yī)院信息科統(tǒng)一購買電腦殺毒軟件，并定期升級更新。電腦感染病毒，計(jì)算機(jī)用戶不能殺除的，須即時通知醫(yī)院信息科進(jìn)行處理。第十一條計(jì)算機(jī)入網(wǎng)前必須到醫(yī)院信息科辦理登記手續(xù)方可接入。未經(jīng)許可，不得私自將計(jì)算機(jī)接入局域網(wǎng)。第四章軟件系統(tǒng)實(shí)施及維護(hù)管理第十二條軟件系統(tǒng)維護(hù)由于業(yè)務(wù)政策變化、數(shù)據(jù)

11、破壞等因素，需對軟件的內(nèi)容、數(shù)據(jù)進(jìn)行修改維護(hù)時，由醫(yī)保業(yè)務(wù)部門負(fù)責(zé)人提出修改意見，信息科安排人員進(jìn)行修改維護(hù)，同時作好相應(yīng)的維護(hù)記錄。系統(tǒng)維護(hù)人員必須定期檢測軟件運(yùn)行情況，及時進(jìn)行計(jì)算機(jī)病毒的預(yù)防、檢查工作。發(fā)現(xiàn)潛在危險及時通知操作人員中止軟件運(yùn)行，盡快處理。第十三條程序修正與軟件數(shù)據(jù)調(diào)整、數(shù)據(jù)的修正與恢復(fù)按照公司有關(guān)規(guī)定執(zhí)行。第五章信息系統(tǒng)管理監(jiān)督及檢查第十八條對信息系統(tǒng)管理情況進(jìn)行專項(xiàng)檢查，也可結(jié)合內(nèi)部審計(jì)和外部審計(jì)期間檢查、審計(jì)等工作進(jìn)行。對信息系統(tǒng)管理情況進(jìn)行專項(xiàng)檢查的內(nèi)容包括但不限于。1信息系統(tǒng)管理授權(quán)批準(zhǔn)制度的執(zhí)行情況。重點(diǎn)檢查對外披露信息的授權(quán)批準(zhǔn)手續(xù)是否健全，是否存在越權(quán)審批行

12、為。2信息系統(tǒng)管理決策責(zé)任制的建立及執(zhí)行情況。重點(diǎn)檢查責(zé)任制度是否健全，獎懲措施是否落實(shí)到位。3信息系統(tǒng)管理制度的執(zhí)行情況。重點(diǎn)檢查信息的收集、傳遞、上傳是否經(jīng)過授權(quán)批準(zhǔn)，是否按規(guī)定及時處理有關(guān)的信息資料。4各類款項(xiàng)支付制度的執(zhí)行情況。重點(diǎn)檢查信息系統(tǒng)建設(shè)款項(xiàng)、費(fèi)用的支付是否符合相關(guān)法規(guī)、制度和合同的要求。第十九條對存在以下問題的科室，在醫(yī)院內(nèi)部通報(bào)批評，下達(dá)整改通知，有關(guān)單位應(yīng)采取有效措施進(jìn)行整改，確屬相關(guān)人員工作不力的，視其情節(jié)，采取教育、賠償、經(jīng)濟(jì)處罰、通報(bào)批評、調(diào)離崗位、行政處分等措施，直至移交公安機(jī)關(guān)依法處理。1未經(jīng)允許進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源。2未經(jīng)允許對計(jì)算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加。3未經(jīng)允許對計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加。4故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，危害計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)的安全，干擾公司信息流通。5利用醫(yī)院網(wǎng)絡(luò)從事危害公司利益和發(fā)表不適當(dāng)?shù)难哉?，發(fā)布網(wǎng)絡(luò)信息危害國家安全、泄露國家_，侵犯國家、社會、_的利益和公民的合法權(quán)益。6在局域