醫院網絡系統及信息安全管理制度(22頁).doc
下載文檔
上傳人:正***
編號:807265
2023-11-15
22頁
56.50KB
1、醫院網絡系統及信息安全管理制度編 制: 審 核: 批 準: 版 本 號: ESZAQDGF001 編 制: 審 核: 批 準: 版 本 號: 醫院網絡系統安全管理制度一、為了保證醫院網絡的正常運行,保護醫院網絡系統的安全和網絡用戶的使用權益,特制定本安全管理制度。二、本管理制度所稱的醫院網絡系統是指在醫院信息系統中,由計算機及配套設施構成的,按照醫院網絡信息系統的應用目標和規定,對數據進行采集、加工、存儲、傳輸、檢索等處理的人機系統。三、醫院網絡系統安全管理是通過實施身份認證、訪問控制與授權管理、數據備份和災備系統、安全分域及邊界防護、防病毒系統、入侵檢測、補丁管理、郵件安全網關、遠程接入等安2、全技術和與之相配套的管理制度,保障網絡主機及配套設備、設施的安全,網絡運行環境的安全,從而達到保障計算機網絡系統安全運行和信息安全的目的。四、信息科負責醫院計算機網絡系統的安全管理工作,確保對計算機網絡系統安全管理的有效性。五、計算機網絡系統的建設和應用應遵守上級主管部門頒發的行政法規、用戶手冊和其他相關規定。六、計算機網絡系統實行安全等級保護和用戶使用權限劃分。安全等級和用戶使用權限的劃分和設置由信息科負責制定和實施。(注釋:以下為身份認證)七、計算機入網運行必須經信息科批準備案,分配IP地址后,方可接入網絡。八、要對重要主機的用戶名、開機口令、應用口令和數據庫口令實施重點管理,嚴格控制設備3、存取及加密,未經允許嚴禁外來盤片帶入機房對服務器進行安裝等,嚴禁將機器設備和數據帶出機房。九、未辦理入網手續,任何單位和個人不得非法私自將計算機接入醫院網絡,不得以不真實身份使用網絡資源,不得竊取他人賬號、口令使用網絡資源,不得盜用未經合法申請的IP地址入網。未經信息科允許,任何單位或個人不得擅自接納網絡用戶。(注釋:以下為訪問控制與授權管理)十、應根據網絡主機不同的安全級別采取相應的訪問控制、數據保護、保密監控管理和系統安全等技術措施。十一、信息科定期對網上用戶的訪問及授權情況進行檢查,及時發現和限制非法用戶和非授權訪問。十二、要按要求對數據進行日備份、月備份和年備份。嚴格按操作規程進行數據4、備份工作,確保備份數據的完整和準確性,做好備份數據的審核工作,并做好相應記錄。要確保導出、導入數據的完整和準確,并做好導出、導人數據的審核工作和相應記錄。(注釋:以下為安全分域及邊界防護)十三、加強邊界安全的防護,應根據安全區域劃分情況明確需進行安全防護的邊界,并實施有效的訪問控制策略和機制。十四、應在網絡系統或安全域邊界的關鍵點采用嚴格的安全防護機制,如嚴格的登錄鏈接控制,高性能的防火墻、防病毒網關、入侵防范、信息過濾、邊界完整性檢查等。十五、要實施必要的邊界訪問、違規外聯的審計和控制。(注釋:以下為入侵檢測)十六、應采用必要的手段(如入侵檢測系統、日志分析、網絡取證分析等)對系統內的安全事5、件進行監控,檢測攻擊行為并能發現系統內非授權使用情況。十七、應禁止系統內用戶非授權的外部鏈接(如自動撥號、違規鏈接和無線上網)。(注釋:以下為防病毒系統)十八、應部署有效的網絡病毒防范軟件系統和相應的網絡病毒防范管理辦法,實施對計算機網絡病毒的有效防范。十九、要制定文檔化的明確的計算機病毒和惡意代碼防護策略,以及確保策略有效實施規章制度。二十、應在系統內關鍵的入口點以及各工作站、服務器和移動計算機設備上采取計算機病毒和惡意代碼防護措施。(注釋:以下為備份和恢復)二十一、應制定文檔化的信息系統備份和恢復的策略,建立健全備份和恢復的管理制度和操作規程。二十二、備份包括關鍵業務數據的備份、關鍵業務設6、備(如服務器、交換機等)的備份和電源備份。對重要信息系統(如HIS系統)的關鍵設施(如服務器)采取熱備份。二十三、應定期備份和對恢復策略進行測試,以保證其有效性。要有系統恢復的預案和演練。二十四、應根據業務的重要程度、信息系統的資產價值等進行相應的需求分析,確定系統恢復的目標,如:關鍵業務功能、恢復的優先順序、恢復的時間范圍。(注釋:以下為遠程接入)二十五、為確保醫院計算機局域網絡運行安全,要在有效部署防火墻、入侵檢測和防病毒系統的情況下,實施遠程接入。醫院業務網(內網)與遠程接入(外網)業務的物理隔離。凡涉密的計算機主機不得與互聯網(Internet)鏈接。二十六、任何部門和個人使用醫院網絡7、提供的遠程接入服務必須向信息科申請。入網用戶的用戶名和IP地址是用戶在醫院局域網上的合法標識,也是對用戶管理的重要依據,一經指定不得擅自更改。二十七、未經信息科批準,任何個人或部門不得為外單位人員提供電子郵件或其他網絡服務。二十八、所有入網用戶,應當遵守國家有關法律、法規及醫院的有關規章制度,嚴格執行安全保密制度,不得利用計算機網絡從事危害國家安全、損害醫院利益等違法、違規活動,不得制作、查閱、復制和傳播擾亂社會治安、有傷風化、淫穢色情等信息,不得利用網絡攻擊、損害公用網絡和其他用戶。否則,醫院有權停止對其提供的服務;由此造成的不良后果由用戶承擔。二十九、使用計算機機網絡系統的部門和個人必須遵8、守計算機安全使用的規定,對計算機網絡系統發生的問題和故障要立即向信息中心報告。三十、用戶不得從事下列危害計算機網絡安全的行為:1、未經允許,進入計算機網絡系統或使用網上信息資源;2、私自轉借或轉讓用戶賬號,盜用他人賬號或IP地址;3、未經允許,對網上應用系統的功能進行刪減或更改;4、未經允許,對計算機網絡的存儲、處理或傳輸數據和應用程序進行刪減或更改;5、故意制作、傳播計算機病毒等破壞程序,使用任何工具破壞網絡正常運行;6、破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全;7、其他危害計算機網絡安全的行為。上述違規造成醫院損失的,依照有關法律、法規及醫院有關處罰規定進行處理,情節嚴重者移交9、公安機關處理。計算機設備管理制度為保證我院計算機網絡的正常運行和健康發展,根據中華人民共和國計算機信息系統安全保護條例、中華人民共和國信息網絡國際互聯網管理暫行規定、和國家有關法律規定,結合我院實際情況,針對醫院信息安全,特制定本規定。一、計算機及其輔助設備是實現信息現代化管理的工具,各科室有關工作人員都要結合本職工作利用計算機手段來提高工作效率。二、各科室購置和上級分配給予的計算機和輔助設備均屬固定資產,統一由計算機中心負責維護,各科室由電腦管理員專人負責管理和使用。三、服務器、計算機及輔助設備和其他應用軟件所配的專用磁盤、光盤,由信息中心專人登記管理,每隔一段時間詳細清點核查一次。四、計算10、機的備件、易耗件、磁盤及有關資料的購買,由信息中心統一申請,經主管科長并上報主管院長同意后,由信息科、設備科或后勤采購進行統一購置,信息科統一給各科室配發。五、計算機、服務器、網絡通訊電纜設備,未經計算機中心同意不待拆裝、移動。六、計算機和輔助設備需檢修,應報告計算機中心專業工作人員,由計算機中心有關人員檢修,若需外單位修理,由領導會同有關部門商量后辦理。七、對外來光盤、U盤等要先殺毒,后使用。各計算機一旦發現病毒,必須立即清除,否則不得使用該計算機,更不能向服務器上傳數據。八、外來人員未經科室領導和專業人員同意不得操作計算機,以免發生病毒感染或其他損失。九、不得在計算機上進行與工作無關(如做11、游戲、下棋、打撲克等)的操作。十、計算機的使用者要保持清潔、安全、良好的計算機設備工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。十一、嚴格遵守計算機設備的開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電撥、插計算機外部設備接口。計算機出現故障時應及時向信息科管理人員(科室電話:2885771)報告,不允許私自處理或找非本單位技術人員進行維修及操作。十二、禁止自行安裝任何軟、硬件,禁止更改、刪除任何系統文件、設置等,違反規定造成病毒傳播、系統軟(硬)件損壞,對整個網絡造成堵塞、癱瘓等嚴重后果的,按情節輕重嚴肅處理。十二、每臺計算機必須安裝防病12、毒軟件,并定期對計算機進行查毒、殺毒,升級,落實預防措施。十三、各工作人員積極參加計算機知識、業務處理系統和操作技能培訓,努力提高計算機操作水平,減少誤操作,提高工作效率。計算機中心機房管理制度為保證網絡中心設備與信息的安全,保障機房有良好的運行環境和工作環境,結合醫院實際情況,作如下規定:一、各門鑰匙由指定的專人保管,不能隨意轉借。丟失要聲明。出入請隨手關門。二、要有安全防范意識,節假日值班人員不得擅離崗位。早進入、晚離開時要檢查設備情況,離開時查看燈、門、窗、等是否關閉好。三、易燃易爆品不準帶入機房,機房及周邊地區嚴禁煙火,不能明火作業,機房一律禁止吸煙。四、機房工作人員要有防火意識,出現13、異常情況應立即報警,切斷電源,用滅火設備撲救。五、非工作人員嚴禁進入服務器機房,特殊情況要事先征得相關部門領導的同意,未經許可一律不準觸碰開關和設備,否則后果自負。六、機房內的一切公用物品未經許可一律不得挪用或外借。七、機房內不準大聲喧嘩,機房衛生由工作人員定期負責清掃,保持清潔。八、信息中心專業技術人員負責機房的安全管理與檢查;負責建立與記錄安全日志。九、數據備份(病人信息備份)1、數據備份關系到整個信息系統正常運轉,影響到全院正常的醫療秩序,任務十分重大,必須具有高度的責任感和一絲不茍萬無一失的嚴禁工作作風。2、數據服務器每天自動做一次數據全備份(時間設定為:0:30),第二天8:00信息14、科值班人員應檢查備份情況,若發現備份不成功,應立即手工備份。保留一周的數據備份。3、每周應對本周備份的數據文件轉存到異地工作站,確保數據萬無一失。4、每月對數據進行一次恢復實驗,以確保備份數據安全可靠。工作站使用管理制度一、本制度所稱醫院計算機網絡工作站,是指醫院計算機網絡中以臺式電腦或筆記本電腦為中心的包括所連打印機等外圍設備在內的計算機工作單元。醫院未聯網工作的計算機也采用此制度進行管理。二、各個管理部門和科室中,每一工作站配置的計算機、打印機等設備須指定專人使用、保管和維護,轉交他人保管時需嚴格交接。各工作站所有使用人員必須嚴格遵守醫院網絡系統安全管理制度。四、計算機操作人員,不得隨意操15、作計算機或相關設備,更不允許外來人員操作計算機。五、嚴禁在計算機上玩游戲或做與工作無關的操作。六、嚴禁在醫院計算機上使用來歷不明的光盤、軟盤、U盤等存儲介質。七、計算機網絡上的所有員工使用軟件系統時均采用用戶名和密碼管理:1、只有院長有權向信息科索要員工的用戶名和密碼;2、員工必須保管好自己的用戶名和密碼,因用戶名和密碼保管不善造成的經濟損失,概由操作人員自己負責;3、員工密碼應至少為六位,可以是字母和數字的組合;4、新入職員工由人事科提供信息,統一由信息科分配用戶名和密碼。八、計算機一旦發生故障應及時報告信息科處理。九、除計算機網絡中心機房工作人員外,任何入不得拆裝計算機,或擅自接入其它設備16、。十、不間斷電源的計算機,在供電中斷時,操作人員應立即保存數據,退出程序后按正常操作關機。十一、嚴格按照操作規程操作,下班前必須按程序關機,并切斷電源。十二、計算機旁不準抽煙、會客,不準吃零食物喝飲料。十三、計算機旁邊嚴禁擺放各種易燃易爆、腐蝕性或強磁物品。遇臨時停電及雷電天氣,應采取保護措施,避免發生意外。十四、愛護計算機及各種相關設備,計算機主機、顯示器、打印機上不能堆放雜物。十五、科室指定專人負責科內計算機的一般性管理工作,定期用干凈柔軟的干抹布清除設備上的灰塵,清潔和整理計算機工作臺。十六、因維護管理不當造成計算機硬件設備損壞,由當事人負責賠償。十七、外來參觀須報請信息科及主管院領導批17、準,不能向外展示和泄露醫院重要業務數據。十八、違反本制度者,醫院將視情節給予處罰。信息資源共享、安全與保密的規定醫院信息系統數據庫中的信息資源,除信件、私人文檔等純屬個人物品外,其他所有行政和醫療管理類信息及病人臨床信息均歸醫院所有,任何個人或組織、部門均不得視信息為私有或部門所有。信息的所有權與信息的發生地和錄入者沒有關系。一、不經主管部門批準,任何部門或個人均無權將醫院信息系統數據庫中的任何信息資源有償或無償地轉移給院外用于任何目的。違反本規定的個人或部門負責人將會受到相應的行政處罰直至追究法律責任。二、醫院信息系統數據庫中信息資源的共享權限要根據本規定的原則制定,由信息科負責解釋和實施。18、三、信息系統建設的重要目的之一就是要實現快速、準確、完整的信息傳遞和共享。信息的共享是雙向的。實際上,沒有任何一個部門不需要共享其它部門的資源。任何一個部門無權拒絕其它部門對本部門負責錄入和管理的數據的共享,當然,這種共享必須是經過授權的、合法的。四、各部門對信息的錄入必須保證其及時、準確和完整。五、醫生有權從計算機中讀取容許其處置的個體病人的全部診療信息并用于輔助診療。不容許任何部門和個人采取任何借口和手段予以拒絕。醫生無權成批地檢索病人信息,如因教學、科研確有需要,需經主管部門批準。六、醫生不得不經信息發生和錄入部門的同意私自將計算機中的病人信息用于科研、教學和任何公開發表的文獻中。七、對19、臨床應用來講,公布給全院計算機屏幕顯示的病人檢查、化驗結果,圖形、圖像應當與其它介質公布的結果相一致,并且擁有同等效力。信息的產出科室對錄入并公布的計算機內的數據、結果與對其它介質公布的數據、結果負有同等責任。八、未經醫務科和主管院長批準,我院提供給病人、院外和進病案的各種檢查、化驗結果的正式報告仍保留現有的形式和管理制度,由醫技科室簽字后發出。九、鑒于目前計算機系統所固有的安全缺陷,凡對保密有特殊要求的信息要嚴格遵守有關的保密制度,不準入機的一律不得錄入系統。不清楚的要及時請示醫院計算機信息系統安全保密領導小組。十、計算機系統應設置用戶許可和保密口令,容許用戶方便地更換口令。口令應設置防盜機20、制。因使用者的用戶名和口令失密而造成的過失或損失,由用戶名和口令的擁有者負責。十一、作為計算機機內電子數據的備份,用戶應按規定保留紙介質的原始記錄足夠長的時間,無論這些記錄是在錄入之前就存在或是錄入之后打印的。涉密數據保密管理制度為保持醫院信息系統正常運行,保護集體數據財富,保障醫院和諧發展,遵循中華人民共和國計算機信息系統安全保護條例、中華人民共和國保守國家秘密法等相關國家和省有關法律法規,結合醫院實情情況,制訂本管理規定。一、任何單位、部門、個人不得利用涉密計算機網絡系統泄漏屬于國家秘密的信息數據,危害國家安全,損害國家、集體和他人的合法權益;不得從事其它違法犯罪活動。涉密單位和涉密人員應21、當遵守保密法律法規,認真執行國家和省制定的涉密計算機網絡系統的保密規定。二、涉密計算機網絡系統的單位保密管理實行領導負責制,并制定部門或專人負責具體的日常管理工作。并保持計算機保密管理人員相對穩定。三、涉密計算機網絡系統工作人員定期進行保密教育和檢查。涉密計算機信息系統的系統管理人員應當經過嚴格審查,定期進行考核,并保持相對穩定。四、涉密人員調離崗位,應當履行國家規定保守國家秘密的義務。五、涉及國家秘密的數據,必須按照保密規定進行采集、存儲、處理、傳遞、使用和銷段。六、計算機存儲、處理、傳遞、輸出的涉密信息要有相應的密級標識且不得與正文分離,輸出的涉密文件按相應密級文件管理。七、涉密人口計生信22、息和數據不得在與公用網絡聯網的計算機信息系統中存儲、處理、傳遞,涉密信息一律不得在網上發布。八、涉密計算機必須設置口令保護,根據密級確定口令長度與更換周期,實行專人專用,嚴禁以任何方式登錄國際互聯網或與互聯網物理連接。九、存儲涉密信息的媒體應按所存儲信息的最高密級標明密級,并按相應密級文件管理制度管理,存儲過涉密信息的計算機媒體不能降低密級使用,維修存儲過涉密信息的計算機媒體應到部門指定維修點維修,有人全程跟蹤,保證存儲的秘密信息不被泄露。十、儲涉密數據的計算機硬盤或其它存儲介質不得擅自更換或者報廢。確需更換或者報廢的,應當經單位負責人批準后,交單位的網絡管理部門進行登記、封存,或者按規定銷毀23、。十一、涉密單位應當將涉密數據與備份數據分別保存在單位內不同的地點。有條件的,應實行異地容災備份。不得在便攜式計算機上存儲涉密信息。十二、發現計算機信息泄密后應立即采取補救措施,并按規定及時報告保密部門。信息提供、發布和上網保密審查制度一、信息提供、發布、上網實行保密審查、領導審批和登記備案制度。二、信息發布、上網,堅持涉密不公開、公開不涉密和誰上網、誰負責的原則。三、對涉密信息確需對外發布、上網的,應采取解密或者刪除、改編、隱去等保密措施,并經主管部門或保密工作部門審定。四、接受記者采訪,不得涉及國家秘密內容。 計算機網絡突發故障處理預案一、電腦網絡故障電腦網絡發生故障后,維護人員要結合醫院24、的分布式特點,通過操作人員反饋回來的信息和現有的網絡檢測手段,迅速定位故障事件的來源,明確故障事件發生的范圍,確認網絡系統受損害程度,將情況及時通報直接上級并層層上報。通過進一步的分析,將故障發生類型劃分為網絡線路、網絡交換機、服務器三大類型,確定起因是硬件故障、外力損壞、惡意攻擊還是感染病毒,進而采取下一步措施。(一)網絡線路故障1、通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調。2、排查:根據網絡拓撲結構和故障發生的范圍,使用網絡檢測指令,確定檢修線路的位置。3、搶修:攜帶對線器、轉接器、備用線、壓線鉗等工具,迅速到達線路故障現場,進行修復。4、驗證:連接25、網絡進行檢測,確定故障得到解決。5、回復:通知故障發生點恢復使用。6、記錄:對整個事件的時間、現象、處理過程作出詳細記錄。(二)網絡交換機故障1、通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調。聯系電話:。2、診斷:根據故障發生的片區和網絡交換機的分布圖,結合網絡檢測指令,判斷出故障交換機的位置。3、修復:攜帶電筆、改刀等常規工具,迅速到達故障交換機所在位置,通過觀察交換機指示燈,確定其工作狀態是否正常:如果是斷電所致,立即與維修中心聯系,恢復供電;如果狀態鎖死,立即對交換機進行復位處理;排除上述因素后如果故障依舊,立即用備用交換機對其進行更換。4、驗證:連接26、網絡進行檢測,確定故障得到解決。5、回復:通知故障發生點恢復使用。6、事后:對換下交換機送修。待修復后備用。7、記錄:對整個事件的時間、現象、處理過程作出詳細的記錄。(三)服務器故障1、通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調。2、診斷:根據故障現象,初步判定是硬件故障還是軟件故障,如果是硬件故障,立即斷開主服務器,啟用備用服務器;如果是系統軟件故障,盡量正常下機,重啟服務器;如果是應用軟件故障,立即聯系相應的應用軟件技術人員(或者廠商)進行遠程維護。3、如故障發生在夜晚或節假日期間,首先應通知負責系統技術人員立即在15分鐘內趕赴現場,并通知信息科主管組27、織相關人員進行搶修,上報相關領導,必要時盡快聯系相關公司維修部進行遠程維護。(四)停電l、通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調。2、配合:聯系相關人員,確定停電的時間長短,對工作站、服務器等進行正常下機操作,待恢復供電后,重新開啟工作站、服務器等至運行狀態。3、記錄:對整個事件的時間、現象、處理過程作出詳細的記錄。(五)病毒發作1、通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調,必要時立即赴現場處理。2、診斷:對故障進行分析,找出病毒特征碼,確定是何種病毒。3、排殺:從專業網站上下載專殺工具進行殺毒。4、補丁:從專業28、網站上下載補丁,封堵漏洞,進行免疫處理。5、記錄:對整個事件的時間、現象、處理過程作出詳細的記錄。二、通訊網絡故障當通訊網絡發生故障后,要迅速根據設備監控狀況、用戶反饋的故障現象,確定故障類型,將情況及時通報直接上級并層層上報。通過進一步的分析,將故障劃分為通訊電纜故障、數字程控交換機故障、電源故障三大類型,并采取下一步措施。(一)通訊電纜故障1、通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調,必要時立即赴現場處理,通訊工程師應立即奔赴現場。2、查找:根據故障現象、范圍和分線盒的分布位置,確定故障點:如果是主線纜受損,立即通知電信相關部門進行搶修;如果是戶線纜29、受損,立即趕赴現場。3、修復:對于主線纜受損,為電信維修部門提供準確的線路資料,協調施工工作,掌握搶修進度;對于戶線纜受損,查清故障原因,更換相應線纜。4、反饋:通知相關用戶恢復使用。5、記錄:對整個事件的時間、現象、處理過程和資料變更情況作出詳細記載。(二)交換機故障1、通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調,必要時立即赴現場處理,設備科領導應立即趕赴現場。2、分析:作出分析后,根據交換機的故障現象進行處理。3、反饋:通知相關用戶恢復使用。將情況上報相關領導。4、善后:對故障時間、現象、處理情況作出詳細記載。(三)電源故障1、通知:值班人員迅速與院內總務科取得聯系,確定停電時間的長短。同時通知直接上級。2、處理:中心機房通過UPS電源繼續正常工作,維護人員必須對設備的工作情況進行監控。3、跟蹤:隨時保持與總務科的聯系,如果停電時間過長,按照操作流程關閉部分外圍設備,減少蓄電池的負荷量,以確保服務器的正常運行。4、記錄:詳細記載停電發生的起止時間、蓄電池的使用情況,在恢復正常供電后及時檢查蓄電池充電情況。