醫(yī)院網絡信息安全等級保護制度匯編2篇

1、醫(yī)院網絡信息安全等級保護制度匯編2篇衛(wèi)生網絡信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作，對于促進衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度，我院按照*等文件的精神，根據我院自身情況，制定了*人民醫(yī)院信息安全等級保護制度。一、工作目標依據國家信息安全等級保護制度，遵循相關標準規(guī)范，在我院全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛(wèi)生行業(yè)信息安全防護能力、隱患發(fā)現能力、應急處置能力，為我院衛(wèi)生

2、信息化健康發(fā)展提供可靠保障，全面維護公共利益、社會秩序和國家安全。二、工作原則(一)遵循標準，重點保護。遵循國家信息安全等級保護相關標準規(guī)范，結合衛(wèi)生行業(yè)信息系統(tǒng)特點以及我院實際情況，優(yōu)先保護重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點信息安全需求。(二)行業(yè)指導，明確責任。我院嚴格按照國家信息安全等級保護制度有關要求，貫徹落實本院衛(wèi)生信息系統(tǒng)安全等級保護的指導和管理工作。按照上級要求，制定“誰主管、誰負責，誰運營、誰負責”的責任制度，落實信息安全責任。(三)同步建設，動態(tài)完善。在信息系統(tǒng)規(guī)劃設計與建設過程中，同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務類型、應用范圍等條件改變導致安全需求發(fā)生變化時

3、，應當重新調整信息系統(tǒng)安全保護等級，及時完善安全保障措施。三、工作機制在分管院長、院辦主任的領導下，由我院信息中心落實本院衛(wèi)生信息安全等級保護工作，負責對我院衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調、監(jiān)督指導，積極開展信息安全等級保護工作。按照上級相關要求，我院建立信息安全等級保護工作聯(lián)絡員機制，設置信息安全等級保護工作聯(lián)絡員。聯(lián)絡員職責是落實國家信息安全等級保護工作的有關政策和技術標準，掌握本院信息安全等級保護工作動態(tài)和總體情況，代表我院與衛(wèi)生行政部門以及信息安全等級保護管理部門進行日常聯(lián)系和交流，協(xié)調落實本院信息安全等級保護工作。四、工作任務(一)定級備案1.我院對本單位建設與運營的衛(wèi)生信息

4、系統(tǒng)進行自查，對未定級、定級不準的信息系統(tǒng)，應當按照信息安全技術信息系統(tǒng)安全等級保護定級指南開展定級工作。國家信息安全等級保護制度將信息安全保護等級分為五級:第-級為自主保護級，第二級為指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為專控保護級。我院重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級。2.擬定為第三級以上(含第三級)的衛(wèi)生信息系統(tǒng)，應當經信息安全技術專家.委員會論證、評審。3.確定信息系統(tǒng)安全保護等級后，對第二級以上(含第二級)信息系統(tǒng)，應當報屬地公安機關及衛(wèi)生行政部門備案。跨省全國聯(lián)網運行并由衛(wèi)生部定級的信息系統(tǒng)，由衛(wèi)生部報公安部備案:在各地運行、應用的分支系統(tǒng)，應當

5、報屬地公安機關備案。(二)建設與整改。1.對已確定安全保護等級的第二級以上(含第二級)衛(wèi)生信息系統(tǒng),應當按照國家信息安全等級保護工作規(guī)范和信息安全技術信息系統(tǒng)安全等級保護基本要求等國家標準，開展安全保護現狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。2.根據信息系統(tǒng)安全保護現狀分析結果，按照信息安全技術信息系統(tǒng)安全等級保護基本要求.信息安全技術信息系統(tǒng)等級保護安全設計技術要求等國家標準，制訂信息系統(tǒng)安全等級保護建設整改方案。第三級以上(含第三級)衛(wèi)生信息系統(tǒng)安全建設整改方案應當經信息安全技術專家委員會論證。3.本院應當按照信息系統(tǒng)安全建設整改方案，完善安全保護設施，

6、建立安全管理制度，落實安全管理措施，形成信息安全技術防護體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。(三)等級測評。1.系統(tǒng)建設整改工作完成后，應當按照信息安全等級保護管理辦法要求，從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構，對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評。2.測評合格后，應當將測評報告報屬地公安機關及衛(wèi)生行政部門備案。3.應當每年對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評。對于重要部門的第二級信息系統(tǒng)，可參照上述要求進行等級測評。(四)宣傳培訓。1.我院信息中心對本院相關部門開展等級保護政策和標準規(guī)范培訓，提高本院信息安全管理人員的技術能力和管理水

7、平。2.本院應當開展內部信息安全培訓，提升全員信息安全意識，規(guī)范信息安全操作行為，提高信息安全保障能力。(五)接受監(jiān)督檢查。1.衛(wèi)生部信息化工作領導小組負責督導檢查各地醫(yī)療衛(wèi)生機構信息安全等級保護工作落實情況，并督促部機關重要信息系統(tǒng)責任單位開展信息安全等級保護工作。2.省級衛(wèi)生行政部門信息化工作領導小組負責督導檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況，并督促本單位開展信息安全等級保護工作。五、工作要求(一)高度重視，加強領導。本院各部門要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫(yī)療衛(wèi)生機構正常運轉和社會穩(wěn)定的重要意義。主要負責同志要負總責，分管負責同志要具體

8、抓，明確職責與任務，突出重點，將信息安全等級保護工作列入重要議事8程和工作績效考核指標，-級抓一級，層層抓落實。(二)保障經費，加強監(jiān)管。要建立經費投入機制，將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算，并加強對資金使用的監(jiān)管。(三)加強溝通，密切合作。信息中心高度重視醫(yī)院信息安全等級保護管理工作，應當加強與各級衛(wèi)生行政部門的溝通交流，建立協(xié)作機制，在信息安全等級保護工作中的定級備案、建設整改、等級測評、監(jiān)督檢查等環(huán)節(jié)密切合作，共同推進信息安全等級保護工作。醫(yī)院信息安全等級保護制度一、用戶管理制度:1、信息科不得向任何人透漏員工的賬號和密碼。2、醫(yī)院員工

9、對本人賬號和密碼必須遵守以下規(guī)定:(1)新員工憑人事科報到單，到信息科配置賬號和密碼;員工離院時:到信息科注銷賬號和密碼;人事科憑信息科“已注消賬號和密碼”的依據同意員工調出或離院;財務科憑信息科“已注消賬號和密碼”的依據結付相關費用。(2) 員工不得將本人的賬號和密碼告訴其他人或寫在任何其他人可得到的書面資料上，并每隔60天定期修改密.碼，對有疑問的密碼應及時修改。(3)任何人員不得使用他人的賬號和密碼，也不得將工作范圍內可接觸到的數據告訴其他任何未經授權的人員，并在離開終端時及時退出計算機系統(tǒng)。(4)密碼可以是字母與數字的組合。二、系統(tǒng)操作分級管理制度1、本院系統(tǒng)管理首先確定為管理對象重要

10、級別。從1-3級別區(qū)分，以一級為最高等級。不同的級別制定相應的密碼權限安全管理方案。2、一級設備為主數據庫服務器和核心網絡設備。這些設備的密碼保存人為信息科主任與服務器管理員。所能操作人員僅限于服務器最高權限的管理員。采取統(tǒng)一入口管理。對于一些重大操作，必須有文字記錄。3、二級設備主要是普通服務器、接入交換機和數據庫密碼。密碼保存人為信息科主任與信息科工作人員。對于一些重大操作，必須有文字記錄。4、三級設備為安裝在各使用部門的電腦，密碼由相關科室設備負責人自行保管。5、對于設備具體分級細則，在遵循以上原則的情況下，細節(jié)由信息科內部協(xié)商判斷而制定。6、對于密碼，數據泄露，造成業(yè)務中斷，或相關私密

11、數據泄露。將臨時通過技術手段保護與監(jiān)控相應設備。待問題解決后。整理所有相關數據整理后，上報醫(yī)院存檔。三.網絡運行監(jiān)控、防病毒、防入侵、桌面管理措施1、為了保護我院數據與網絡的安全，保證網絡的正常運行，促進網絡更好的應用和發(fā)展，制定本制度。2、利用防火墻將內部網絡、Internet外部網絡、DMZ服務區(qū)、安全監(jiān)控與備份中心進行有效隔離，避免與外部網絡直接通信。3、利用防火墻建立網絡各終端和服務器的安全保護措施，保證系統(tǒng)安全。4、利用防火墻對來自外網的服務請求進行控制，使非法訪問在到達主機前被拒絕。5、利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內。6、利用防火墻全面監(jiān)視對服務器的訪問，及時發(fā)現和阻止非法操作。7、利用防火墻及服務器.上的審計記錄，形成一個完善的審計體系，建立第二條防線。8、根據需要設置流量控制規(guī)則，實現網絡流量控制，并設置基于時間段的訪問控制。9、對網絡邊界點的數據進行檢測，防止黑客的入侵;10、對服務器的數據流量進行檢測，防止入侵者的蓄意破壞和篡改;11、監(jiān)視內部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權操作;12、對用戶的非正常活動進行統(tǒng)計分析，發(fā)現入侵行為的規(guī)律;13、實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動;14、對關鍵正常事件及異常行為記錄日志，