1、漳平市卫健系统信息化管理制度(修订)(一)信息化管理领导职责1、单位主要领导为本单位网络信息化系统建设和管理第一责任人,对网络信息化规划建设和管理负总责。对拟新增的网络产品、服务的提供者(如设备供应商、财务软件、HIS系统、PACS系统、LIS系统等)做好资格资质审查、产品检测等工作。计算机资源实行统一管理,确定网络信息安全负责人,指定专人负责建立设备台帐档案。定期检查本单位计算机网络信息安全运行情况,发现问题及时处理,并做好记录。2、负责组织制定本单位信息化规划建设、安全管理制度和操作规程。实行专网专机管理,有设置WIFI的,应与内外网分开,严禁政务内网、卫生专网、国际互联网混网使用。参照漳
2、平市卫生健康系统网络信息安全事件应急实施方案(修订)制定本单位应急工作方案。按要求落实并做好网络信息安全等级保护、容灾备灾工作,确保数据安全。3、负责选配好医院信息中心(机房)专门技术人员或选配计算机知识较熟悉、思想素质较高、责任心较强的医务人员兼任系统管理员,系统管理员要相对固定。4、负责组织开展医务人员医院信息化各子系统应用培训工作,开展计算机使用、管理、安全、保密教育,提高干部职工网络信息安全保密意识。5、对本单位用户信息严格保密,不得泄露、篡改、毁损、丢失医院重要信息,建立健全用户信息保护制度。严格执行有关查询医疗、财务和药品等敏感数据权限的规定,对敏感数据的统计、查询必须有审批流程、
3、记录备案。原则上应将账户与密码分开管理。人员岗位变动后,要及时督促相关重要账户与密码的重新设置,严禁IP地址、账户、密码等外泄。6、严格遵守中华人民共和国网络安全法等法律法规,落实网络信息安全保护责任。7、完成上级交办的其他任务。(二)系统管理员职责1、在单位主要领导领导的领导下,负责本单位计算机网络信息化系统软硬件管理、维护和安全工作,采取防范计算机病毒和网络传入等危害网络信息安全行为技术措施。定期检查服务器、交换机、局域网、路由器、计算机、打印机、移动存储器等运行使用情况,监测、记录网络运行状态,采取网络信息安全事件的技术措施,并按照规定留存相关的网络审计等日志不少于六个月。医疗健康信息化
4、网络系统实行专网专机管理,有设置WIFI的,应与内外网分开,严禁混网使用。为了远程维护的方便临时接入了互联网,应有审计防患措施,维护完成后必须立即断网。2、负责协调计算机软件安装、删除,督促和指导计算机及其他设备用户规范操作计算机及其他设备和应用软件。禁止在计算机上安装任何游戏、股票等与工作无关的软件。 3、负责本单位信息化系统软硬件的维修、维护管理工作,严格执行计算机维修更换报废管理制度,计算机和软件在离开原位、销售、出租前和维修后,必须保证计算机和软件无病毒和其他有害的数据,保密的数据确保不被泄漏。采取数据分类、重要数据备份和加密等措施,保障网络信息安全免受干扰、破坏或未经授权的访问,防止
5、网络数据泄露或者被窃取、篡改。4、起草并制定本单位网络信息安全事件应急工作方案。及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络信息安全的事件时,及时向单位领导汇报,并在第一时间启动应急工作方案,采取相应的补救措施。同时按照漳平市卫生健康系统网络信息安全事件应急实施方案(修订)的规定,及时、准确逐级报告。5、严格遵守计算机使用管理保密制度,管好自己系统的密码,定期更新,严禁外泄。不得擅自或未经领导授权进行查询医疗、财务和药品信息等敏感数据。6、因故辞职或调离本岗位的,应提前15天向院长书面提出,并在单位领导监督下,与新任本岗位的工作人员或系统管理员现场核对账户信息、密
6、码以及当时的用户信息及各类文挡,核查无误后方可进行工作交接。新任本岗位的工作人员或系统管理员应立即变更系统管理员账户信息及密码。7、完成领导交办的其他任务。(三)信息化用户职责1、严格遵守本单位信息化系统管理、使用和保密制度。爱护计算机信息化软硬件设施,按照信息化流程规范操作,严禁私自安装计算机软件和擅自拆卸计算机设备。2、实行专网专机管理,严禁混网使用,不得在专网的计算机上以任何形式连接到互联网。为了远程维护的方便临时接入了互联网,应采取审计等防患措施,维护完成后必须立即断网。专网内的所有计算机不得使用外来存储介质,需要使用应经系统管理员同意,并进行杀毒处理后方可使用。3、必须使用自己的账户
7、、密码登录,不得盗用他人的账号、密码。离机时,应及时退出系统,避免系统被他人操作。密码设置长度不少于8位、且具有复杂性(含不重复的字母、数字及特殊符号)、不通用性、不易记性,密码应定期更新。使用密码时应确保无旁人窥视、不得使用自动记忆登录账户密码功能。禁止在任何地方使用任何方式谈论或书面方式记忆任何密码,以免造成损失和危害。4、禁止在工作时间内利用计算机做与工作无关的事情,如网上聊天,玩游戏、炒股、浏览与工作内容无关的网站等。5、禁止用户自行停用或删除安全软件,安装、删除软件或系统升级前应报告系统管理员。定期升级杀毒软件、查杀病毒,发现无法清除的病毒,应及时报告管理员。6、不得随意更改计算机I
8、P地址等设置。信息化系统软硬件出现故障时,应立即报告系统管理员,不得私自请其它单位或个人来维修,或将计算机搬到计算机公司进行维修。7、按要求落实重要数据和资料及时备份。8、参加网络信息安全相关培训,提高自身网络信息安全技能。9、遵守中华人民共和国保守国家秘密法相关规定。不得泄露、篡改、毁损、私自查询及向他人提供医院保密数据和敏感数据。10、完成上级交办的其他任务。(四)信息化数据、权限管理制度1、系统管理员根据本单位医务人员的职责、医院工作流程和领导的安排,按系统提供的角色分别赋予医务人员相应的权限,要避免权限抵触、交叉及嵌套情况的发生。2、任何人只能在自己权限内查询自己账户的相关数据,按照保
9、密法有关规定和数据用途,需要查询医疗、财务和药品信息等敏感数据应按照审批流程,经主要领导同意并办理审批手续,由系统管理员和相关人员共同查询、提取相关数据。3、禁止任何人泄露、外借和转移医院任何数据信息。不得在与互联网连接的计算机上录入涉密文件、信息。不得将本单位使用的IP地址、账户、密码等信息泄露给任何人。4、因工作需要,医务人员增加或减少角色的,及时调整用户对应角色的权限,调整用户角色的权限应按审批流程,经主要领导同意后由系统管理员操作。5、定期将关键的数据资料备份到专用移动存储介质,做好标识,并妥善保管,不得更改。重要数据应制作备份并异地存放,确保系统发生故障时能够快速恢复。6、加强密码管
10、理和权限管理,防止重要数据外泄。密码设置应符合国家相关规定,并定期更新,数据应加密,避免外泄时扩大损失。(五)计算机安全使用保密管理制度1、本管理制度中所指计算机为各单位各科室使用的电脑和笔记本电脑。计算机资源由指定科室实行统一归口管理,登记造册,建立台帐。2、工作人员在平常工作中应做好所属计算机的使用、清洗和保养工作。严格按操作规程进行操作,使用完毕及时关机。在长时间离开电脑应设置屏幕保护,或者退出系统并关机,以保护自己计算机的显示系统。3、进行资料备份使用各类移动存储介质前,必须确保使用无病毒。任何人未经同意,不得擅自使用他人的电脑。禁止下载或安装与工作内容无关程序资料,如确实由于工作需要
11、,安装其它软件,须经管理人员同意。4、实行“谁上网,谁负责”和“上网信息不涉密,涉密信息不上网”的原则。使用者应提高警惕,严加防范病毒、木马等危害网络和计算机安全的程序。做到文明上网,遵守网络道德和安全规定,文件传输必先查杀病毒。5、不得利用本单位计算机炒股、玩游戏、看电影、聊天等与工作无关的行为,一旦发现按照有关规定处理。6、计算机内外设备在使用中出现故障,不论是人为损坏还是设备本身故障,应及时通知管理人员,不得擅自拆开计算机调换设备配件。非易损物品损坏,要查明原因,并报主管领导,做好详细记录。(六)计算机维修更换报废管理制度1、计算机系统进行维护检修时,对涉密信息应采取转存、删除、异地转移
12、存储媒体等安全保密措施,确保涉密计算机硬盘内无任何涉密信息后方可交指定维修地点进行维修。无法采取上述措施时,安全保密人员和该涉密单位计算机系统维护人员必须在维修现场,对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。维修完成后,须将涉密信息还原至涉密计算机并彻底清除移动设备中的涉密信息。2、计算机需要更换新型机器时,须将旧计算机中的涉密信息全部复制到新计算机中,并运用低级格式化命令格式化硬盘,以清空其中的所有涉密内容后,方可更换。设备调换至低密级单位使用时,要进行降密处理,并做好相应的设备转移和降密记录。3、使用科室应将所属计算机设备的故障现象、故障原因、扩充情况记录在设备的维
13、修档案记录本上。凡需外送修理的涉密设备,必须经保密小组和主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。4、涉密计算机需要报废时,须先运用低级格式化命令格式化硬盘,确保拟报废机器硬盘中没有涉密信息留存后,由保密领导小组专人负责交由报废执行单位进行定点销毁。5、严禁使用者私自安装计算机软件和擅自拆卸计算机设备。涉密计算机维修、更换、报废前的涉密数据备份和清空工作,须由专、兼职保密人员执行。(七)计算机上网安全保密管理制度1、未经批准涉密计算机一律不许上互联网。如有特殊需求,必须事先提出申请,并报保密小组批准后方可实施,上网涉密计算机必需安装物理隔离卡。2、要坚持“谁上网,谁负责”的原
14、则,各科室要有一名领导负责此项工作,信息上网必须经过单位领导严格审查,并经主管领导批准。3、国际互联网必须与涉密计算机系统实行物理隔离,有条件应实行一机一网。4、在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。5、应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。6、涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。(八)涉密计算机、服务器、数字证书等设备保密管理制度1、计算机资
15、源由指定科室实行统一归口管理,建立设备台帐档案,用以记录设备的原始资料、运行过程中的维修、升级和变更等情况。涉密计算机设备的随机资料(含磁介质、光盘等)及保修(单)卡由各涉密科室自行保管,并做好计算机保密工作。2、配有计算机设备的科室必须指定人员负责计算机保密工作和设备管理。禁止利用计算机资源从事与本单位正常工作无关的活动。3、承担涉密事项处理的计算机严禁一机两用,实行专机专用、专人管理,不得他人使用。严禁任何私人的光盘、软盘、U盘移动存储介质在涉密计算机设备上使用,涉密计算机禁止上国际互联网或以任何形式处理其它非涉密信息;禁止在非涉密计算机系统上处理涉密信息。涉密计算机必需安装防病毒软件并定
16、期升级。4、涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件,不得外借和拷贝。不得将涉密存储介质带出办公场所,如因工作需要必须带出的,需履行相应的审批和登记手续。5、服务器等设备应指定专门负责人进行管理,负责运行维护、安全保密管理、定期开展网络信息安全排查、安全保密检查和风险评估等工作。出现故障时,应当由本单位专门技术人员负责,确需外单位人员维修的,应当由本单位的人员现场监督;确需在本单位以外维修的,应当符合国家保密规定。6、数字证书应指定专人保管,并存放在保险箱内,保险箱的密码及钥匙应由两人分开保管。7、涉密信息需要输出的,应经主管领导签字审批,由专人操作,并做好登记、备案和相应密
17、级管理工作。8、涉密信息除制定完善的备份制度外,必须采取有效的防盗、防火措施,保证备份的安全保密,并做好异地保存。(九)上网发布信息保密管理制度1、利用计算机网络上网发布信息的保密管理工作实行“谁上网,谁负责”的原则,确保国家秘密、个人隐私和本单位不宜公开的内部事项不上网。2、在本单位网站(政务网站)发布信息实行保密审批和登记。保密审批由本单位保密领导小组指定工作人员负责初审,保密领导小组负责人终审。信息登记内容:包括信息采集人、保密审查人、信息上网时间以及计算机操作员。更改原对外上网发布的信息内容,也应进行保密审批和登记。3、发布信息必须具有真实性、合法性,并符合国家的有关规定。严禁国家绝密
18、级、机密机、秘密级信息上非涉密的电子计算机网络。4、工作秘密、敏感信息等原则上不允许在非涉密的计算机网络上处理、传输和公布,确需对外公布的,由单位主管领导严格把关,认真审批。5、涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。6、对违反规定擅自上网发布信息,造成泄密的,将依照保密法规追究有关人员的责任。LED、叫号排队机、视频监控等管理制度适用本管理制度,有另行规定的从其规定。(十)笔记本电脑安全保密管理制度1、笔记本电脑实行指
19、定科室统一归口管理、登记,密级类别设定以储存信息的最高密级,由保密领导小组确定,并按规定做好标识和标密管理工作。2、任何涉密笔记本电脑严禁连接国际互联网,应专人管理,实行“谁使用,谁负责”,做好涉密笔记本电脑的保密管理工作,防止涉密笔记本电脑失控或丢失后被破译,必须采取开机状态身份鉴别。3、涉密笔记本电脑中的涉密信息不得存入硬盘,要存入软盘、移动硬盘、U盘等移动存储介质,必须定期清理,与涉密笔记本电脑分离保管。4、保密小组及使用科室主管领导对涉密笔记本电脑的型号、序列号、配置、密级、责任人、使用人、使用情况、去向等要清楚,严格安全保密管理制度。5、涉密笔记本电脑严禁擅自带出办公场所和借用。特殊
20、情况必须携带时,严格按照程序办理审批手续,填写外出携带笔记本电脑审批表。涉密信息应保存在移动存储介质中,该介质要随身保管,不得失控,要与主机分离携带,并做好涉密信息的备份、存档。6、对涉密笔记本电脑的维修,须对涉密信息进行处理并到保密小组备案,到指定维修地点进行维修。(十一)打印复印室(文印室)保密管理制度1、打印、复印工作人员必须熟悉保密法,严格遵守保密守则,忠诚老实,工作认真负责。2、打复印本单位产生的国家秘密载体(包括国家秘密文件、资料、图表、讲话等,下同)必须经分管领导审批,进行登记。不得代外单位打印、翻印、复印国家秘密载体。3、不得利用本单位复印机擅自复印国家秘密载体,确因工作需要复
21、制时,须经制文机关或其授权单位批准后方可复印。不得代外单位复印国家秘密载体。4、不准复印货币、各种有价证券以及反动淫秽作品。5、打印复印室(文印室)要有三铁(铁门、铁窗、铁柜)等保密防范设施。用于处理国家秘密载体的计算机不得接入国际互联网,禁止连接使用U盘等移动存储介质,必须安装防电磁辐射干扰器。6、打复印室(文印室)是本单位文字材料重要场所,无关人员不得进入打复印室(文印室),送取材料或校对人员不得随意翻阅与其无关材料,更不准接触涉密载体。7、对涉及国家秘密、单位内部资料的打印复印废纸,应使用碎纸机将其粉碎,或按照国家保密法相关规定进行操作。8、对打印、复印机要重视保密管理,不得接入互联网共
22、享,定期进行保密检查,发现违反保密规定使用复印机造成泄密事件,除对当事人追究责任外,还要追究有关领导责任。(十二)传真通信保密管理制度1、传真机是单位日常工作通讯设施,使用者应爱护,认真负责,加强保密管理和操作。2、在传真机上加装其他部件或向境外发传真必须经有关领导审批,办理登记手续。3、不得利用单位传真机传输国家秘密载体(指密件、密报、资料、图表等),确有需要的按照规定到指定有加密装置传真机传输,并且必须履行审批登记制度。4、在未采取保密措施的情况下,使用电话机、对讲机、传真机、手机等不得涉及国家秘密信息。5、国家秘密文件、资料和涉及秘密信息的邮件应通过机要通信部门传递,不得用平信或挂号信邮
23、寄。国家秘密文件、资料不得寄给私人(包括领导),而应寄送保密室,由保密室统一办理登记手续。6、党政机关及重要会议场所,从境外购进或接受赠送的通信和办公自动化设备(如手机、电脑)以及其它物品,应当经安全保密技术检查后才能使用。7、传真机的管理使用情况列入保密检查的内容,定期检查,发现问题及时解决。(十三)非涉密移动储存介质保密管理制度 1、为加强和规范非涉密移动储存介质传输的保密管理工作,确保国家秘密信息的安全,杜绝内部信息外泄,根据中华人民共和国政府信息公开条例等有关法律法规,制定本规定。2、本规定所称非涉密移动储存介质是指不用来存储、传递、国家秘密信息的移动储存介质。它包括移动硬盘、软盘、U
24、盘、光盘、磁带及各种存储卡。3、非涉密移动储存介质禁止以任何形式传输涉及国家秘密和工作秘密的信息。4、非涉密移动储存介质信息发布、传输的保密管理工作坚持“谁上网谁负责”和“上网信息不涉密、涉密信息不上网”的原则,向网站提供或发布信息必须经过安全保密审查。5、非涉密移动储存介质的保密工作由保密领导小组指定科室负责,各科室负责人对非涉密移动储存介质使用人进行监督检查。(十四)涉密存储介质保密管理制度1、涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘、U盘、磁带、存储卡等。涉密存储介质由使用科室填写和保管“涉密存储介质登记表”,并报指定科室备案,如有变动情况应及时报告管理人员。2、存有涉
25、密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,不得带出工作区。因工作需要必须携带出工作区的,需填写“涉密存储介质外出携带登记表”,经主管领导批准,并报管理部门登记备案,返回后要经管理部门审查注销。3、复制涉密存储介质,须经单位领导批准,且每份介质各填一份“涉密存储介质使用情况登记表”,赋予不同编号,并在介质上按信息的最高密级标明密级。需归档的涉密存储介质,应连同“涉密存储介质使用情况登记表”一起及时归档。4、使用各类涉密存储介质的科室按有关规定的相应密级负责管理涉密存储介质。借阅、复制、传递和清退等必须严格履行领导审批手续,不能降低密级使用。5、需外送维修的,要
26、经领导批准,并到指定的维修点维修,并有保密人员在场,保证信息不被泄露。6、不再使用的涉密存储介质应由使用者提出报告,由单位领导批准后,交保密领导小组负责销毁。(十五)涉密电子文件保密管理制度1、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部不宜公开的文件、图纸、程序、数据、声像资料等。2、电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。3、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。电子文件要有密级标识,不能与文件的正文分离,一般标注于
27、正文前面。4、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。5、各涉密科室自用信息资料由本单位管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。6、各科室要对备份电子文件进行规范的登记管理。每周做增量备份,每月做全量备份;备份可采用磁盘、光盘、移动硬盘、U盘等存储介质,并严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当按照密级和期限管理,严格借阅、使用、保管及销毁制度。7、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。(十六)涉密计算机系统病毒防治管理制度1、涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。2、每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本,同时将升级记录登记备案。3、绝对禁止涉密计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。4、每周对涉密计算机病毒进行一次查、杀检查,并将查、杀结果登记造册。5、涉密计算机应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。6、对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,确认安全方才可使用。7、对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。