信息安全管理制度

信息安全管理制度總則為確保醫(yī)院和患者信息安全，保障醫(yī)院醫(yī)療業(yè)務(wù)和管理工作的順利開展，落實和執(zhí)行國家信息安全相關(guān)政策法規(guī)，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》及其他相關(guān)法規(guī)政策特制定信息安全管理制度。本規(guī)則所稱的信息系統(tǒng)，是由計算機及其相關(guān)配套的設(shè)備、設(shè)施構(gòu)成的，按照系統(tǒng)應(yīng)用目標(biāo)和規(guī)則對醫(yī)院信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)（即現(xiàn)在醫(yī)院建設(shè)和應(yīng)用中的信息工程）。信息系統(tǒng)的安全保護，是保障計算機及配套的設(shè)備、設(shè)施的安全，運行環(huán)境的安全，保障信息的安全，保障醫(yī)院信息管理系統(tǒng)功能的正常發(fā)揮，以維護信息系統(tǒng)的安全運行。信息系統(tǒng)的安全保護，重點是維護信息系統(tǒng)中數(shù)據(jù)信息和網(wǎng)絡(luò)上一切設(shè)備的安全。醫(yī)院信息系統(tǒng)內(nèi)全部上網(wǎng)運行計算機的安全保護都適用本規(guī)則。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)全院信息系統(tǒng)的安全保護工作。任何部門或者個人，不得利用上網(wǎng)計算機從事危害醫(yī)院利益的活動，不得危害信息系統(tǒng)的安全。信息安全領(lǐng)導(dǎo)小組組織架構(gòu)組長：分管信息院領(lǐng)導(dǎo)成員：分管醫(yī)務(wù)、護理院領(lǐng)導(dǎo)，院辦公室、宣傳統(tǒng)戰(zhàn)部、醫(yī)務(wù)科、護理部、質(zhì)控辦、財務(wù)科、醫(yī)保辦、病案統(tǒng)計室、門診部、大內(nèi)科、大外科、信息科負(fù)責(zé)人秘書：信息科負(fù)責(zé)人（兼）信息安全領(lǐng)導(dǎo)小組下設(shè)辦公室，辦公室設(shè)在信息科，負(fù)責(zé)信息安全日常管理，辦公室主任由信息科負(fù)責(zé)人兼任，辦公室成員由信息科工作人員組成。信息安全領(lǐng)導(dǎo)小組工作職責(zé)學(xué)習(xí)宣傳和貫徹落實國家、衛(wèi)計委及醫(yī)院關(guān)于加強信息網(wǎng)絡(luò)安全工作的政策規(guī)定。研究制定醫(yī)院信息網(wǎng)絡(luò)安全工作的總體規(guī)劃、重大原則、重要政策和制度措施。審議醫(yī)院年度信息網(wǎng)絡(luò)安全工作的重大事項。統(tǒng)籌推進醫(yī)院各層面信息網(wǎng)絡(luò)安全工作。組織相關(guān)科室負(fù)責(zé)人定期召開信息安全會議。負(fù)責(zé)全院突發(fā)事件應(yīng)急方案實施和全院信息系統(tǒng)日常安全運行管理的組織協(xié)調(diào)及決策工作。查處有關(guān)違反網(wǎng)絡(luò)管理的違紀(jì)、違規(guī)行為，督促有關(guān)部門加強對信息網(wǎng)絡(luò)用戶的安全教育。信息安全領(lǐng)導(dǎo)小組辦公室職責(zé)

貫徹信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范信息安全工作。根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進行具體安排、落實。組織對重大的信息安全工作制度和技術(shù)操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行。負(fù)責(zé)協(xié)調(diào)、督促各職能部門和有關(guān)部門的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行。組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風(fēng)險的防范對策。負(fù)責(zé)接受各類緊急信息安全事件報告，組織進行事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴(yán)重程度，提出信息安全事件防范措施。督促各科室執(zhí)行信息安全相關(guān)制度，定期對信息安全運行情況進行巡查。及時向信息安全工作領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報告信息安全事件。跟蹤先進的信息安全技術(shù)，組織信息安全知識的培訓(xùn)和宣傳工作。安全保護管理任何科室和個人不得利用醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)制作、復(fù)制、傳播和查閱以下信息：煽動抗拒、破壞憲法和法律、法規(guī)的實施的；煽動顛覆國家政權(quán)，推翻社會主義制度的；煽動分裂國家、破壞國家統(tǒng)一的；煽動民族仇恨、民族歧視，破壞民族團結(jié)的；捏造或者歪曲事實，散布謠言，擾亂社會秩序的；宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；公然侮辱他人或者捏造事實誹謗他人的；損害國家機關(guān)信譽的；其他違反憲法和法律、行政法規(guī)的。任何科室和個人不得從事下列危害醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的活動：未經(jīng)允許，進入醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)或者使用信息網(wǎng)絡(luò)系統(tǒng)資源的；未經(jīng)允許，對信息網(wǎng)絡(luò)系統(tǒng)功能進行刪除、修改或者增加的；未經(jīng)允許，對信息網(wǎng)絡(luò)系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加的；未經(jīng)允許，擅自盜取醫(yī)院相關(guān)數(shù)據(jù)或程序代碼的；故意制作、傳播計算機病毒等破壞性程序的；其他危害信息網(wǎng)絡(luò)系統(tǒng)安全的。信息網(wǎng)絡(luò)系統(tǒng)的安全保護信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)遵守醫(yī)院信息系統(tǒng)管理規(guī)則、醫(yī)院行政法規(guī)和其他有關(guān)規(guī)定。信息系統(tǒng)實行安全等級保護和用戶使用權(quán)限劃分。安全等級和用戶使用權(quán)限以及用戶口令密碼的劃分、設(shè)置由信息科負(fù)責(zé)制定和實施。信息中心機房應(yīng)當(dāng)符合國家標(biāo)準(zhǔn)和國家規(guī)定。在信息系統(tǒng)設(shè)施附近維修、改造及其他活動，不得危害信息系統(tǒng)的安全。如無法避免而影響信息系統(tǒng)設(shè)施安全的作業(yè)，須事先通知信息科，經(jīng)信息科負(fù)責(zé)人同意并采取保護措施后，方可實施作業(yè)。信息系統(tǒng)的使用科室和個人，都必須遵守計算機安全使用規(guī)則，以及有關(guān)的操作規(guī)程和規(guī)定制度。對信息系統(tǒng)中發(fā)生的問題，有關(guān)使用部門負(fù)責(zé)人應(yīng)當(dāng)立即向信息技術(shù)人員報告。對計算機病毒和危害網(wǎng)絡(luò)系統(tǒng)安全的其他有害數(shù)據(jù)信息的防治工作，由信息安全領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)處理。對信息系統(tǒng)軟件、設(shè)備、設(shè)施的安裝、調(diào)試、排除故障等由信息科技術(shù)人員負(fù)責(zé)。其他任何科室或個人不得自行拆卸、安裝任何軟、硬件設(shè)施。所有內(nèi)網(wǎng)計算機嚴(yán)格禁止與互聯(lián)網(wǎng)聯(lián)網(wǎng)或與院外其他公共網(wǎng)絡(luò)聯(lián)接。計算機使用與管理病人信息只允許放在院內(nèi)網(wǎng)上，不得把病人信息放在外網(wǎng)上。任何人未經(jīng)授權(quán)不得泄漏病人信息，包括病人基本信息、診斷和治療信息、檢驗檢查結(jié)果和醫(yī)囑等信息。

任何人員不得將工作范圍內(nèi)可接觸到的病人信息告訴其他任何未經(jīng)授權(quán)的人員。操作人員必須嚴(yán)格按操作程序開啟和關(guān)閉計算機系統(tǒng)，離開計算機時需退出所有診療程序界面，夜間不處理醫(yī)囑等事務(wù)時，應(yīng)關(guān)閉計算機。操作人員必須使用各自的帳號和密碼進行登陸，不得共用、混用、盜用或借用帳號和密碼操作。如因以上原因造成損失或不良后果，由賬號擁有者承擔(dān)全部責(zé)任。禁止私自進入操作系統(tǒng)進行修改、刪除、增加等操作。禁止使用u盤、移動硬盤或其他外接存儲設(shè)備。禁止私自裝入游戲程序或其他軟件。操作人員應(yīng)定期對啟動殺毒軟件進行殺毒操作。各科室工作站配置的計算機、打印機等設(shè)備須指定專人使用、保管和維護，轉(zhuǎn)交他人保管時需嚴(yán)格辦理交接手續(xù)。使用人必須保持各種設(shè)備、設(shè)施整潔干凈，并認(rèn)真做好設(shè)備的日清月檢，使設(shè)備始終處于良好的工作狀態(tài)。加強設(shè)備定位定人管理，未經(jīng)信息科允許，不得隨意挪動、拆卸和外借所有網(wǎng)絡(luò)設(shè)備、設(shè)施。不得擅自裝載、卸載和變更計算機網(wǎng)絡(luò)設(shè)置。各工作站周圍嚴(yán)禁存放易燃、易爆、易腐蝕及強磁性物品，做好放火、防盜措施。安全監(jiān)督信息安全領(lǐng)導(dǎo)小組辦公室對信息系統(tǒng)安全保護工作行使下列監(jiān)督職權(quán)：監(jiān)督、檢查、指導(dǎo)信息系統(tǒng)安全維護工作。查處危害信息系統(tǒng)安全的違章行為。履行信息系統(tǒng)安全工作的其他監(jiān)督職責(zé)。信息科技術(shù)人員發(fā)現(xiàn)影響信息安全系統(tǒng)的隱患時，可立即采取各種有效措施予以制止。信息科技術(shù)人員在緊急情況下，可以就涉及信息安全的特定事項采取特殊措施進行防范。罰則違反本規(guī)則的規(guī)定，有以下行為之一的，由信息安全領(lǐng)導(dǎo)小組辦公室采取口頭警告、撤消當(dāng)事人上網(wǎng)使用資格或者停機等形式進行處罰：違反信息系統(tǒng)安全保護制度，危害網(wǎng)絡(luò)系統(tǒng)安全的；接到信息科技術(shù)人員要求改進安全狀況的通知后，拒不改進的；擅自安裝軟、硬件設(shè)備；私自拆卸更改上網(wǎng)設(shè)備；出現(xiàn)問題未立即報告；有危害網(wǎng)絡(luò)系統(tǒng)安全的其他行為。違反本規(guī)則的規(guī)定，有下列行為之一的，由信息安全領(lǐng)導(dǎo)小組處以經(jīng)濟處罰和行政處罰：在工作站進行與工作無關(guān)操作造成危害的；私自拆卸、更改網(wǎng)絡(luò)設(shè)備而造成危害的；向院外人員泄露口令密碼而造成后果的；下發(fā)的計算機、打印機等設(shè)備由所屬科室負(fù)責(zé)管理，對由于責(zé)任心不強而造成計算機、打印機被盜或損壞的；由于操作者違章操作，造成計算機軟、硬件故障而影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的正常運行者，情節(jié)嚴(yán)重的追究科室負(fù)責(zé)人責(zé)任；對因違章操作造成系統(tǒng)數(shù)據(jù)丟失、核算錯誤，給醫(yī)院造成重大經(jīng)濟損失的；私自添加、刪除計算機保存內(nèi)容，私自更改計算機的各種文件配置，私自更改本信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用程序以及參數(shù)設(shè)置的。利用終端設(shè)備進行與網(wǎng)絡(luò)工作無關(guān)的事，導(dǎo)致病毒侵襲而造成損害的下列行為之一的，由醫(yī)院信息安全領(lǐng)導(dǎo)小組處以經(jīng)濟處罰和行政處罰：造成設(shè)備損害；造成系統(tǒng)破壞不能正常運行；因病毒侵襲而造成部分或全網(wǎng)癱瘓。在網(wǎng)絡(luò)系統(tǒng)設(shè)備、設(shè)施附近作業(yè)而危害網(wǎng)絡(luò)系統(tǒng)安全，影響網(wǎng)絡(luò)正常運行造成經(jīng)濟損失的，由作業(yè)單位賠償；造成醫(yī)院財產(chǎn)嚴(yán)重?fù)p失的依法追究和承擔(dān)民事責(zé)任。對于其它違反本規(guī)定及醫(yī)院信息數(shù)據(jù)使用管理制度等醫(yī)院相關(guān)規(guī)定的行為，由醫(yī)院信息安全領(lǐng)導(dǎo)小組按有關(guān)管理辦法進行處罰。任何科室或個人利用網(wǎng)絡(luò)從事危害國家安全的活動，違反刑法的，依法交國家相關(guān)機關(guān)依照法律法規(guī)予以