1、醫(yī)院計算機信息系統(tǒng)管理制度（安全、系統(tǒng)建設(shè)運維等）編 制： 審 核： 批 準： 版 本 號: ESZAQDGF001 編 制： 審 核： 批 準： 版 本 號: 目 錄前言3第一章 安全管理機構(gòu)41.安全組織結(jié)構(gòu)及職責(zé)42.人員分配及職責(zé)規(guī)定73.關(guān)于加強與外界的溝通合作說明9第二章 安全管理制度101.信息安全工作總則102.信息安全方針和目標123.信息安全總體安全策略154.關(guān)于制度發(fā)布審核說明18第三章 人員安全管理191.關(guān)于人員錄用管理規(guī)范192.關(guān)于安全意識教育和培訓(xùn)20第四章 系統(tǒng)建設(shè)管理221.關(guān)于產(chǎn)品采購和使用222.軟件開發(fā)管理制度263.關(guān)于自主研發(fā)和外包開發(fā)的說明28

2、4.關(guān)于工程實施方面的管理305.系統(tǒng)交付驗收制度32第五章 系統(tǒng)運維管理331.機房安全管理制度332.醫(yī)院資產(chǎn)和設(shè)備管理制度363.關(guān)于存儲設(shè)備報廢銷毀管理規(guī)定394.關(guān)于密碼管理405.網(wǎng)絡(luò)安全管理規(guī)定416.系統(tǒng)安全管理規(guī)定437.關(guān)于備份與恢復(fù)管理458.應(yīng)急預(yù)案和處置管理制度46前言為加強醫(yī)院等級保護相關(guān)信息安全管理的建設(shè)，確保醫(yī)院內(nèi)計算機信息系統(tǒng)的運行安全、管理有序、措施有效，結(jié)合本系統(tǒng)、本單位實際，針對信息系統(tǒng)運行中的管理過程、管理要求、管理內(nèi)容及信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的使用和管理制定本制度。根據(jù)江蘇省衛(wèi)生廳相關(guān)規(guī)定，結(jié)合我院具體情況，醫(yī)院應(yīng)用信息系統(tǒng)最高級別為二級。本制度制定依據(jù)

3、為國家公安部等部門編寫的信息系統(tǒng)安全等級保護基本要求（GBT 22239-2008）、江蘇省開展重要信息系統(tǒng)安全等級保護定級工作的實施意見（蘇公通2007187號）、信息安全管理體系要求（GB/T22080-2008）等文件規(guī)定。本制度適用于醫(yī)院內(nèi)應(yīng)用信息系統(tǒng)的管理。第一章 安全管理機構(gòu)1. 安全組織結(jié)構(gòu)及職責(zé)第一條 系統(tǒng)組織結(jié)構(gòu)圖主要負責(zé)人系統(tǒng)營運負責(zé)人系統(tǒng)開發(fā)人員系統(tǒng)維護人員系統(tǒng)使用方負責(zé)人系統(tǒng)分管負責(zé)人系統(tǒng)管理員安全保密管理員第二條 系統(tǒng)營運負責(zé)人責(zé)任本系統(tǒng)主要由計算機中心負責(zé)維護，主機托管于計算機中心機房。負責(zé)人主要職責(zé)是：(一) 及時部署相關(guān)系統(tǒng)的安全與維護工作，保證系統(tǒng)的正常運行和

4、使用。（1） 掌握系統(tǒng)的基本使用情況；（2） 主持召開領(lǐng)導(dǎo)小組工作會議，對系統(tǒng)安全工作進行研究、部署；（3） 對系統(tǒng)安全，日常維護工作做出具體指示、提出明確意見和工作要求。(二) 定期或根據(jù)省、市保密部門要求組織對醫(yī)院各項安全保密工作落實情況的監(jiān)督檢查；(三) 對系統(tǒng)使用方履行職責(zé)提供保障：（1） 對系統(tǒng)使用方提供相應(yīng)服務(wù)，支持包括網(wǎng)絡(luò)，業(yè)務(wù)平臺等需求；（2） 支持使用方安全保密開展工作；（3） 對系統(tǒng)使用方履行保密工作職責(zé)進行監(jiān)督、指導(dǎo)；（4） 做好災(zāi)備工作，應(yīng)付各種系統(tǒng)突發(fā)事件，降低損失。第三條 系統(tǒng)使用方負責(zé)人責(zé)任對涉及本部門業(yè)務(wù)上保密業(yè)務(wù)的負有領(lǐng)導(dǎo)責(zé)任，主要職責(zé)是：(一) 全面及時研究

5、和部署本部門保密工作：（1） 對本部門涉密和非涉密工作進行劃分，掌握好本部門保密工作全面情況；（2） 主持召開部門保密工作會議，對本部門保密工作進行研究、部署；（3） 對本部門保密工作做出具體指示、提出明確意見和工作要求。(二) 定期或根據(jù)省、市、醫(yī)院保密部門要求組織對本部門各項保密工作落實情況的監(jiān)督檢查；(三) 對保密工作機構(gòu)履行職責(zé)提供保障：（1） 支持各業(yè)務(wù)部門開展工作；（2） 支持專兼職保密工作人員開展工作；（3） 對各業(yè)務(wù)部門履行保密工作職責(zé)進行監(jiān)督、指導(dǎo)。(四) 組織開展對新形勢下保密工作熱點、難點問題的調(diào)查研究。第四條 安全保密管理員(一) 負責(zé)涉密信息系統(tǒng)的日常安全保密管理工作

6、，包括對用戶賬號權(quán)限管理以及安全保密設(shè)備管理和系統(tǒng)所產(chǎn)生日志的審查分析。(二) 負責(zé)將系統(tǒng)權(quán)限分配策略與系統(tǒng)內(nèi)的用戶逐一對應(yīng)，并最終形成文檔化的用戶權(quán)限列表。(三) 監(jiān)視系統(tǒng)運行情況的任務(wù)，完成對系統(tǒng)資源的各種非法訪問的收集、記錄，然后進行分析、處理，必要時還要將審計的異常事件及時上報主管領(lǐng)導(dǎo)。2. 人員分配及職責(zé)規(guī)定第一條 總則為進一步加強信息網(wǎng)絡(luò)的管理，保障信息系統(tǒng)安全、穩(wěn)定運行。應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全審計員崗位，并定義各個工作崗位的職責(zé)。第二條 系統(tǒng)管理員工作職責(zé)(一) 負責(zé)系統(tǒng)的日常運行維護工作(二) 確保涉密信息系統(tǒng)處于無故障運行的狀態(tài)(三) 能夠進行網(wǎng)絡(luò)、操作系統(tǒng)和業(yè)務(wù)

7、應(yīng)用系統(tǒng)的安裝和維護工作，進行系統(tǒng)功能、實時性能監(jiān)控和必要的狀態(tài)檢查(四) 定期備份數(shù)據(jù)，能夠在系統(tǒng)中斷、運行癱瘓的情況下，及時排除相應(yīng)故障，避免或盡可能降低系統(tǒng)損失；(五) 對系統(tǒng)的運行情況進行分析，提供合理的擴容、改造建議，確保系統(tǒng)的可持續(xù)發(fā)展。第三條 網(wǎng)絡(luò)管理員工作職責(zé)(一) 協(xié)助網(wǎng)絡(luò)主管制定網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)發(fā)展規(guī)劃，確保網(wǎng)絡(luò)系統(tǒng)安全運行。(二) 負責(zé)公用網(wǎng)絡(luò)實體(如服務(wù)器、交換機、集線器、防火墻、網(wǎng)關(guān)、配線架、網(wǎng)線、接插件等)的維護和管理。(三) 負責(zé)服務(wù)器和系統(tǒng)軟件的安裝、維護、調(diào)整及更新。(四) 負責(zé)網(wǎng)絡(luò)賬號管理、資源分配、數(shù)據(jù)安全和系統(tǒng)安全。(五) 監(jiān)視網(wǎng)絡(luò)運行，調(diào)整網(wǎng)絡(luò)參數(shù)，調(diào)度

8、網(wǎng)絡(luò)資源，保持網(wǎng)絡(luò)安全、穩(wěn)定、暢通。(六) 負責(zé)系統(tǒng)備份和網(wǎng)絡(luò)數(shù)據(jù)備份。(七) 保管網(wǎng)絡(luò)拓撲圖、網(wǎng)絡(luò)接線表、設(shè)備規(guī)格及配置單，做好網(wǎng)絡(luò)管理記錄、網(wǎng)絡(luò)運行記錄、網(wǎng)絡(luò)檢修記錄等網(wǎng)絡(luò)資料，并納入資料庫。(八) 每年對本部門網(wǎng)絡(luò)的效能和各電腦性能進行評價，提出網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)管理的改進措施。第四條 安全審計員工作職責(zé)(一) 制定信息安全審計的范圍和日程(二) 管理具體的審計過程(三) 分析審計結(jié)果并提出對信息安全管理體系的改進意見(四) 召開審計啟動會議和審計總結(jié)會議(五) 向主管領(lǐng)導(dǎo)匯報審計的結(jié)果及建議(六) 為相關(guān)人員提供審計培訓(xùn)。3. 關(guān)于加強與外界的溝通合作說明第一條 為加強各類管理人

9、員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，特規(guī)定定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題；第二條 為加為促進更好的合作交流，規(guī)定加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通；加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；第三條 建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；第四條 為加強信息安全建設(shè)，特聘請信息安全專家作為常年的安全顧問，參與安全規(guī)劃和安全評審等。第二章 安全管理制度 1. 信息安全工作總則第一條 為加強和規(guī)范醫(yī)院及附屬單位信息系統(tǒng)安全工作，提高計算機中心信息系統(tǒng)整體安全防護水平，實現(xiàn)信息安全的可控、能

10、控、在控，依據(jù)國家有關(guān)法律、法規(guī)的要求特制定本文檔。 第二條 本文檔的目的是為計算機中心信息系統(tǒng)安全管理提供一個總體的策略性架構(gòu)文件，該文件將指導(dǎo)計算機中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為計算機中心信息系統(tǒng)的安全管理工作提供參照，以實現(xiàn)中心統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運營。 第三條 本文檔適用于計算機中心的信息技術(shù)人員的安全管理和指導(dǎo)，適用于指導(dǎo)計算機中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實施，適用于計算機中心安全管理體系中安全管理措施的選擇。 第四條 引用標準及參考文件，本文檔

11、的編制參照了以下國家、中心的標準和文件。 中華人民共和國計算機信息系統(tǒng)安全保護條例關(guān)于信息安全等級保護建設(shè)的實施指導(dǎo)意見信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求信息安全技術(shù) 信息系統(tǒng)安全管理要求信息系統(tǒng)等級保護 安全建設(shè)技術(shù)方案設(shè)計要求關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見2. 信息安全方針和目標第一條 計算機中心信息系統(tǒng)安全堅持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、分域”總體安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度。第二條 信息系統(tǒng)安全總體目標是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完

12、整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對外服務(wù)中斷和由此造成的系統(tǒng)運行事故。 第三條 信息安全工作的總體原則如下：(一) 基于安全需求原則，組織機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應(yīng)的信息系統(tǒng)安全保護等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。(二) 主要領(lǐng)導(dǎo)負責(zé)原則，主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責(zé)提高員工的

13、安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效。(三) 全員參與原則，信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全。(四) 系統(tǒng)方法原則，按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)結(jié)合的方法提高實現(xiàn)安全保障的目標的有效性和效率。(五) 持續(xù)改進原則。安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護

14、措施進行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性。(六) 依法管理原則，信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準確一致的有關(guān)信息，避免帶來不良的社會影響。(七) 分權(quán)和授權(quán)原則，對特定職能或責(zé)任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體如用戶、管理員、進程、應(yīng)用或系統(tǒng)，僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限。(八) 選用成熟技術(shù)原則，成熟的技術(shù)具有較好

15、的可靠性和穩(wěn)定性，采用新技術(shù)時要重視其成熟的程度，并應(yīng)首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤。(九) 管理與技術(shù)并重原則，堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達到所要求的目標。(十) 自保護和國家監(jiān)管結(jié)合原則，對信息系統(tǒng)安全實行自保護和國家保護相結(jié)合。組織機構(gòu)要對自己的信息系統(tǒng)安全保護負責(zé)，政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障醫(yī)院信息安全。第四條 在規(guī)劃和建設(shè)信息系統(tǒng)時，信

16、息系統(tǒng)安全防護措施應(yīng)按照“三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運行。3. 信息安全總體安全策略第一條 物理安全策略(一) 機房必須選擇在經(jīng)過防震、防火、防雷擊驗收合格的辦公大樓內(nèi)部，機房的窗戶需要有防雨水滲透的能力。(二) 機房的位置不能是大樓的地下室、一樓房間或是大樓的頂層，機房的正上方不能是用水量大的房間。(三) 機房出入口必須有專人值守，對工作人員進行登記。(四) 進入機房的工作人員必須由安全管理員或機房管理員全程陪同。(五) 機房內(nèi)部必須劃分重要設(shè)備區(qū)、一般設(shè)備區(qū)、過渡區(qū)等區(qū)域，對不同區(qū)域分別進行管理，區(qū)域與區(qū)域之間進行物理隔離。(六) 機房內(nèi)部必須部署基礎(chǔ)防護系統(tǒng)

17、和設(shè)備，如電子門禁系統(tǒng)、監(jiān)控報警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。第二條 網(wǎng)絡(luò)安全策略(一) 網(wǎng)絡(luò)中必須部署路由器、交換機、防火墻、防毒墻、IPS設(shè)備和內(nèi)網(wǎng)網(wǎng)絡(luò)管理、補丁分發(fā)等系統(tǒng)。(二) 網(wǎng)絡(luò)設(shè)備除接入交換機之外，必須進行雙機熱備，除接入交換機鏈接工作終端的線路外，其他線路必須進行雙線冗余。(三) 整體網(wǎng)絡(luò)不能出現(xiàn)流量瓶頸，保證帶寬充足。(四) 各部門必須劃分不同網(wǎng)段的IP地址。(五) 劃分網(wǎng)絡(luò)帶寬，突出優(yōu)先級。(六) 網(wǎng)絡(luò)邊界處必須部署防火墻、IPS等安全設(shè)備。(七) 網(wǎng)絡(luò)設(shè)備必須開啟日志審計功能。第三條 主機安全策略(一) 登錄操作

18、系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進行身份標識和鑒別。(二) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識不能出現(xiàn)同名用戶，口令應(yīng)有復(fù)雜度要求并定期更換。(三) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須啟用登錄失敗處理功能。(四) 對服務(wù)器進行遠程管理時，必須采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。(五) 為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性，不能出重名情況。(六) 操作系統(tǒng)和數(shù)據(jù)庫必須及時刪除多余的、過期的賬戶，避免共享賬戶的存在。(七) 主機必須開啟日志審計功能。(八) 主機必須安裝防惡意代碼產(chǎn)品，并進行統(tǒng)一管理。第四條 應(yīng)用安全策略(一) 應(yīng)用系統(tǒng)必須在登錄時要求輸入用戶名和

19、口令。(二) 登錄應(yīng)用系統(tǒng)必須進行兩種或兩種以上的復(fù)合身份驗證如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式(三) 應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同且不能出現(xiàn)多人使用同一賬戶的情況。(四) 應(yīng)用系統(tǒng)必須開啟登錄失敗處理功能。(五) 應(yīng)用系統(tǒng)必須開啟登錄連接超時自動退出等措施。(六) 應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。(七) 應(yīng)用系統(tǒng)必須開啟日志審計功能。(八) 應(yīng)用系統(tǒng)存儲用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)其他用途時，必須清楚內(nèi)部存儲的信息。第五條 數(shù)據(jù)安全策略(一) 業(yè)務(wù)應(yīng)

20、用數(shù)據(jù)和設(shè)備配置文檔都必須進行備份，以便發(fā)生問題時進行恢復(fù)。(二) 數(shù)據(jù)備份至其他設(shè)備上時，必須使用專門的備份通道，保證數(shù)據(jù)傳輸?shù)耐暾浴?三) 數(shù)據(jù)本機備份時應(yīng)檢測其完整性。(四) 數(shù)據(jù)備份時必須使用專業(yè)的備份設(shè)備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲時，都必須是加密傳輸和存儲。(五) 數(shù)據(jù)進行異地備份時，必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。4. 關(guān)于制度發(fā)布審核說明第一條 流程制度的編輯：由制度發(fā)起部門、制度發(fā)起人撰寫。 第二條 流程制度的討論：流程制度編輯完成后由相關(guān)部門就所編輯的制度的內(nèi)容進行討論。第三條 流程制度的復(fù)核：由分管領(lǐng)導(dǎo)（部門負責(zé)人或分管領(lǐng)導(dǎo)）復(fù)核。第四條 流程制度的簽

21、發(fā)：一般由分管領(lǐng)導(dǎo)簽發(fā)，有特別涉及到全校師生的，由副校長或相關(guān)領(lǐng)導(dǎo)簽發(fā)。第五條 流程制度的備案：流程制度經(jīng)過撰寫、復(fù)核、簽發(fā)通過后，制度編輯人需將制度的電子版本發(fā)于主管部門并備案。第六條 流程制度的發(fā)布：由主管部門根據(jù)發(fā)布范圍發(fā)布到相應(yīng)的部門或在醫(yī)院網(wǎng)站上發(fā)布。同時，將制度發(fā)布以郵件形式通知全體人員或者發(fā)布范圍內(nèi)的人員。第七條 流程制度的執(zhí)行：流程制度發(fā)布后，根據(jù)流程制度內(nèi)容由撰寫人或分管領(lǐng)導(dǎo)指定人員對發(fā)布的內(nèi)容進行培訓(xùn)，指導(dǎo)制度的執(zhí)行，由部門負責(zé)人、分管領(lǐng)導(dǎo)負責(zé)制度的執(zhí)行。第八條 流程制度的執(zhí)行的監(jiān)督與評估：由校紀委對流程制度的執(zhí)行情況進行監(jiān)督并評估流程制度的執(zhí)行情況。第三章 人員安全管理

22、1. 關(guān)于人員錄用管理規(guī)范 總則 對系統(tǒng)造成事故的直接原因，一是設(shè)備的不安全狀態(tài)，二是人員的不安全行為。根據(jù)事故統(tǒng)計，人為因素導(dǎo)致的事故占80%以上，因此，要確保生產(chǎn)安全必須控制人員的不安全行為。人員安全包括內(nèi)部人員安全和外部人員安全。內(nèi)部人員安全包括錄用員工時對員工的身份背景核實，人員離崗過程的嚴格規(guī)范，及時終止離崗員工的所有訪問權(quán)限，以及人員考核和人員培訓(xùn)。外部人員安全包括外部人員訪問受控區(qū)域時能有效的控制其活動范圍，當(dāng)發(fā)現(xiàn)外部人員違反規(guī)定時能及時發(fā)現(xiàn)并阻止。第一條 醫(yī)院人員錄用由人事部門負責(zé)；第二條 嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)

23、技能進行考核； 第三條 錄用人員簽署保密協(xié)議；第四條 從事關(guān)鍵崗位的人員需從內(nèi)部人員中選拔，并簽署崗位安全協(xié)議。2. 關(guān)于安全意識教育和培訓(xùn)第一條 目的為了規(guī)范醫(yī)院教工信息安全教育和培訓(xùn)工作，促進教工培訓(xùn)工作的日常化、全員化、制度化，增強教工培訓(xùn)工作的效果，使教工培訓(xùn)工作發(fā)揮應(yīng)有的作用，特制定本制度。第二條 適用范圍醫(yī)院所有教工人員。第三條 職責(zé)本制度自公布之日起實施，由醫(yī)院信息中心負責(zé)解釋與修訂。第四條 要求(一) 培訓(xùn)目的幫助員工學(xué)習(xí)信息安全知識，滿足醫(yī)院信息安全的要求，適應(yīng)信息化安全不斷發(fā)展的需求。(二) 培訓(xùn)分類2.1 結(jié)合醫(yī)院目前的實際情況，培訓(xùn)分為新員工培訓(xùn)和在職培訓(xùn)和兩大類。2.

24、2 新員工培訓(xùn)是專門針對新進員工舉辦的，旨在幫助新進員工了解單位信息安全情況、盡快適應(yīng)工作要求的培訓(xùn)。2.3 在職培訓(xùn)指不脫離工作崗位，在工作中接受的培訓(xùn)。旨在提高員工信息安全技能和綜合素質(zhì)，滿足單位信息安全不斷發(fā)展的需求。2.4 在職培訓(xùn)中，屬于部門內(nèi)部特定的具體工作技能的培訓(xùn)，如邀請安全公司專家講座、討論會等形式，由信息中心安排實施； (三) 培訓(xùn)計劃的制訂3.1 信息中心根據(jù)各部門及單位特定時期的具體情況，匯總、平衡、協(xié)調(diào)各部門的需求，制訂單位及各部門的年度信息安全培訓(xùn)計劃及各階段的具體實施方案。3.2 培訓(xùn)計劃可以根據(jù)實際情況的變化而加以適當(dāng)?shù)男拚c調(diào)整。培訓(xùn)計劃的修正與調(diào)整須經(jīng)領(lǐng)導(dǎo)批

25、準，信息中心執(zhí)行。(四) 培訓(xùn)實施4.1 各部門領(lǐng)導(dǎo)每季度至少參加一次信息安全培訓(xùn)。42 各部門領(lǐng)導(dǎo)對下屬的培訓(xùn)負有責(zé)任并保證其下屬每季度至少能參加一次專業(yè)培訓(xùn)。4.3 信息中心根據(jù)實際情況可組織實施安全培訓(xùn)，也可指定某部門負責(zé)組織實施，所涉及部門必須予以配合并執(zhí)行。4.4 信息中心提前一個星期公布培訓(xùn)課程，培訓(xùn)地點、培訓(xùn)講師及參訓(xùn)人員。有關(guān)參訓(xùn)人員必須及時到達培訓(xùn)地點參加培訓(xùn)，不得無故缺席。(五) 培訓(xùn)記錄的保存每次安全教育和培訓(xùn)結(jié)束后，培訓(xùn)的組織者應(yīng)填寫安全培訓(xùn)記錄報告表，內(nèi)容包括培訓(xùn)的時間、地點、內(nèi)容、培訓(xùn)對象、培訓(xùn)效果等。第四章 系統(tǒng)建設(shè)管理1. 關(guān)于產(chǎn)品采購和使用第一條 總則(一)

26、為規(guī)范單位采購工作，特制定本制度。(二) 本制度適用于單位各項信息安全產(chǎn)品采購。第二條 采購原則(一) 嚴格執(zhí)行詢議價程序物品采購，必須有三家以上供應(yīng)商提供報價，在權(quán)衡質(zhì)量、價格、交貨時間、售后服務(wù)、資信、客戶群等因素的基礎(chǔ)上進行綜合評估，并與供應(yīng)商進一步議定最終價格，臨時性應(yīng)急購買的物品除外。(二) 采購會審、合同會簽制度物品采購，必須經(jīng)過有關(guān)部門參與，調(diào)研匯總各方意見，經(jīng)高管審核。(三) 職責(zé)分離采購人員不得參與貨物和服務(wù)的驗收，采購貨物質(zhì)量、數(shù)量、交貨等問題的解決，應(yīng)由信息中心根據(jù)合同要求及有關(guān)標準與供應(yīng)商協(xié)商完成(四) 一致性原則采購人員采購的物品或服務(wù)必須與采購單所列要求規(guī)格、型號、

27、數(shù)量相一致。在市場條件不能滿足采購部門要求或成本過高的情況下，及時反饋信息供申請部門更改采購單作參考。(五) 廉潔制度所有采購人員必須做到：（1） 自覺維護企業(yè)利益，努力提高采購質(zhì)量，降低采購成本。（2） 加強學(xué)習(xí)，提高認識，增強法治觀念。（3） 廉潔自律，不能向供應(yīng)商伸手。（4） 嚴格按采購制度和程序辦事，自覺接受監(jiān)督。（5） 工作認真仔細，不出差錯，不因自身工作失誤給醫(yī)院造成損失。（6） 2.5.6努力學(xué)習(xí)業(yè)務(wù)，廣泛掌握與采購業(yè)務(wù)相關(guān)的新設(shè)備及市場信息。(六) 采購程序（1） 供應(yīng)商的選擇供應(yīng)商必須證照齊全，具有相關(guān)資質(zhì)。對于經(jīng)常使用的商品或服務(wù)，信息中心應(yīng)較全面地了解掌握供應(yīng)商的管理狀況

28、、質(zhì)量控制、運輸、售后服務(wù)等方面的情況，建立供應(yīng)商檔案，做好記錄，對供應(yīng)商定期進行評估和審計。在選擇供應(yīng)商時，必須進行詢議價程序和綜合評估。供應(yīng)商為中間商時，應(yīng)調(diào)查其信譽、技術(shù)服務(wù)能力、資信和以往的服務(wù) 對象，供應(yīng)商的報價不能作為唯一決定的因素。為確保供應(yīng)渠道的暢通，防止意外情況的發(fā)生，應(yīng)有兩家或兩家以上供應(yīng)商作為后備供應(yīng)商或在其間進行交互采購。（2） 采購程序固定資產(chǎn)及其他零星物品的申請，由各使用部門報人力資源行政部統(tǒng)一申請。使用OA中固定資產(chǎn)采購申請流程，由各相關(guān)部門審批，對于一定數(shù)額的固定資產(chǎn)申請需要報請領(lǐng)導(dǎo)審批，最后交采購部門采購。外銷物品的采購，需求人員須使用OA中的項目采購申請流程

29、，由各相關(guān)部門審批，對于毛利率小于8%的采購申請需要報請領(lǐng)導(dǎo)審批，最后交采購部門采購。項目采購申請中如果沒有填寫項目編號/合同編號，應(yīng)退回。采購詢價、綜合評估、會簽合同，由采購部門協(xié)調(diào)技術(shù)中心、財務(wù)及使用部門共同完成，報主管領(lǐng)導(dǎo)審批。技術(shù)中心、使用部門負責(zé)采購物品的適用性，財務(wù)部門負責(zé)預(yù)算控制、價格調(diào)查、合同付款條款的審核，法律部門負責(zé)合同風(fēng)險條款的審查。信息中心負責(zé)合同條款的談判，付款申請、索賠、采購檔案的建立，市場信息的收集。同時，與供方和生產(chǎn)廠聯(lián)系貨物接送的時間、方式、到貨情況、質(zhì)量反饋及確認售后服務(wù)事宜。采購過程中發(fā)生變化時，銷售部/需求部門出具采購變更申請，由主管領(lǐng)導(dǎo)簽字確認后交信息

30、中心執(zhí)行。技術(shù)中心、人力資源行政部負責(zé)接收報告的出具。（3） 付款程序信息中心根據(jù)付款計劃提出申請，走OA付款申請流程，各主管總裁簽字，后附付款明細單，交給財務(wù)部辦理付款手續(xù)。無論匯款還是支票要求復(fù)印存檔。發(fā)票：付款時必須索要發(fā)票，核對發(fā)票內(nèi)容是否和合同一致，并填寫發(fā)票明細單，將藍綠兩聯(lián)分別放在一起，藍聯(lián)粘在一起、簽字后交給財務(wù)部核銷。（4） 違約處理 貨物出現(xiàn)延期后，信息中心及時通知銷售、技術(shù)中心及相關(guān)部門。貨物出現(xiàn)質(zhì)量問題后，由使用部門或技術(shù)中心（外銷貨物）提出意見，報部門；領(lǐng)導(dǎo)，交信息中心處理。信息中心接到意見后，將情況上報主管副總裁，并按投訴做緊急處理，將情況發(fā)郵件并書面報給供應(yīng)商，要

31、求供應(yīng)商換貨或退貨。信息中心與供應(yīng)商協(xié)商不成的，或造成損失的，由財務(wù)部核算損失，信息中心負責(zé)追索。追索不成，由法院裁決。 （5） 審計監(jiān)督 采購全過程進行財務(wù)監(jiān)督和審計。在采購詢價、議價、合同簽訂、合同執(zhí)行和采購結(jié)算過程中，除有業(yè)務(wù)部門、銷售及相關(guān)領(lǐng)導(dǎo)參與外，財務(wù)部門要全程參與。財務(wù)部門主要負責(zé)價格的核查及審計。采購人員要自覺接受審計及針對采購活動的監(jiān)督和質(zhì)詢。對采購人員在采購過程發(fā)生的違犯廉潔制度的行為，將按醫(yī)院有關(guān)制度處理。2. 軟件開發(fā)管理制度第一條 目的為規(guī)范醫(yī)院項目部范圍內(nèi)計算機軟件的開發(fā)過程，保證軟件開發(fā)的必要性、系統(tǒng)性、及時性，合理配置軟件資源，提高現(xiàn)代化管理水平，特制定本制度。

32、第二條 適用范圍適用于醫(yī)院應(yīng)用系統(tǒng)項目部范圍內(nèi)各個部門在實現(xiàn)業(yè)務(wù)管理、教學(xué)管理中的所有計算機軟件系統(tǒng)的建立。第三條 相關(guān)文件及定義(一) 軟件：計算機程序（介質(zhì)）+文檔(二) 開發(fā)：計算機軟件的建立過程，分為引進（購進）、自主開發(fā)、委托開發(fā)三種方式。第四條 內(nèi)容(一) 相關(guān)部門負責(zé)提出系統(tǒng)性軟件的開發(fā)需求，計算機中心部、專業(yè)化公司負責(zé)提出與其相關(guān)的應(yīng)用軟件的開發(fā)需求。(二) 項目部主管信息管理的領(lǐng)導(dǎo)負責(zé)審批軟件開發(fā)的需求。(三) 軟件的建立過程由計算機中心部負責(zé)，并負責(zé)軟件的系統(tǒng)性維護工作。(四) 業(yè)務(wù)部門負責(zé)相關(guān)軟件的運行工作。(五) 軟件介質(zhì)、文檔資料由計算機中心部負責(zé)保管。第五章 工作流

33、程(一) 根據(jù)相關(guān)部門信息化的整體需求，計算機中心部提出系統(tǒng)建設(shè)的軟件需求；根據(jù)自身業(yè)務(wù)管理的需要，各個業(yè)務(wù)部門向計算機中心部提出與其相關(guān)的軟件開發(fā)需求。(二) 計算機中心部對軟件需求進行分析，確定軟件開發(fā)的必要性、可行性。(三) 計算機中心部與業(yè)務(wù)部門協(xié)同完成市場調(diào)查，確定各個業(yè)務(wù)型應(yīng)用軟件的建立方式。(四) 計算機中心部對項目部提出軟件開發(fā)立項申請，包括軟件的管理功能、建立過程（引進、自主開發(fā)、委托開發(fā)）、預(yù)算資金。3. 關(guān)于自主研發(fā)和外包開發(fā)的說明第一條 軟件引進(一) 計算機中心部從軟件廠商處購買軟件。(二) 計算機中心部對軟件進行環(huán)境、功能測試，制作備份。(三) 計算機中心部將軟件安

34、裝在目的機器，指導(dǎo)用戶運行。第二條 自主開發(fā) (一) 業(yè)務(wù)部門派專人或小組對本身的業(yè)務(wù)需求進行分析，搜集、整理全部原始資料，理清業(yè)務(wù)管理流程，在計算機中心部的指導(dǎo)下完成系統(tǒng)分析報告。(二) 根據(jù)系統(tǒng)分析報告，計算機中心部在軟件需求部門的配合下完成系統(tǒng)設(shè)計報告。(三) 計算機中心部組織對系統(tǒng)設(shè)計報告進行討論，確定軟件的具體功能。(四) 計算機中心部按照系統(tǒng)設(shè)計報告進行詳細設(shè)計、編碼、測試。(五) 計算機中心部將軟件交付用戶運行。第三條 委托開發(fā)(一) 業(yè)務(wù)部門派專人或小組對本身的業(yè)務(wù)需求進行分析，搜集、整理全部原始資料，理清業(yè)務(wù)管理流程，在軟件開發(fā)商的指導(dǎo)下完成系統(tǒng)分析報告。(二) 根據(jù)系統(tǒng)分析

35、報告，軟件開發(fā)商在軟件需求部門的配合下完成系統(tǒng)設(shè)計報告。(三) 計算機中心部組織對系統(tǒng)設(shè)計報告進行討論，確定軟件的具體功能。(四) 計算機中心部測算進行軟件開發(fā)所需要的人力投入、時間投入，以“人年”為單位計算出工作量。(五) 計算機中心部計算出軟件開發(fā)費用，申請項目部批準。(六) 計算機中心部與軟件開發(fā)商簽訂軟件開發(fā)合同（系統(tǒng)設(shè)計報告作為合同的一部分），進行委托開發(fā)。(七) 計算機中心部將開發(fā)商交付的軟件進行環(huán)境測試，軟件需求部門進行軟件的功能測試。(八) 計算機中心部匯總軟件的缺陷，由軟件開發(fā)商對軟件進行維護直至最終交付。4. 關(guān)于工程實施方面的管理第一條 管理目標 質(zhì)量管理工作是保證和提高

36、工程質(zhì)量的重要環(huán)節(jié)。我們應(yīng)貫徹“質(zhì)量第一，預(yù)防為主”的方針，切實加強施工質(zhì)量的預(yù)控、檢查和驗收制度，便于發(fā)現(xiàn)問題，及時糾正。第二條 管理職責(zé)(一) 項目部負責(zé)制訂本施工項目對分包單位的安全文明施工管理制度，負責(zé)管理并監(jiān)督執(zhí)行。(二) 項目部負責(zé)指導(dǎo)分包單位的安全文明施工實施細則的編制并監(jiān)督、檢查執(zhí)行情況。第三條 工程實施管理(一) 應(yīng)指定或授權(quán)專門的部門或人員負責(zé)工程實施過程的管理；(二) 應(yīng)制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程；(三) 明確實施過程的控制方法和人員行為準則。(四) 工程完成以后應(yīng)委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全

37、性測試報告；(五) 在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細記錄測試驗收結(jié)果，并形成測試驗收報告；(六) 應(yīng)指定或授權(quán)專門的部門負責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；(七) 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認。(八) 應(yīng)制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點5. 系統(tǒng)交付驗收制度第一條 系統(tǒng)或設(shè)備到貨后由質(zhì)量技術(shù)部負責(zé)組織驗收和測試。重要系統(tǒng)或設(shè)備的驗收應(yīng)通知相關(guān)部門人員到場。第二條 驗收過程分為初驗、測試和最終驗收三個階段(一) 初驗是指根據(jù)供貨合同對系統(tǒng)或設(shè)備的

38、規(guī)格、型號、數(shù)量、外包裝，以及裝箱附件等內(nèi)容進行驗收。若初驗出現(xiàn)外包裝損壞或規(guī)格、型號、數(shù)量與合同不符等問題，則屬初驗不合格，并寫出書面報告及處理意見。初驗合格后，相關(guān)人員應(yīng)在簽收報告上簽字認可。(二) 測試是對系統(tǒng)或設(shè)備的功能、性能等項目進行檢測。可在供貨商的技術(shù)指導(dǎo)下檢測其功能、性能是否達到合同或設(shè)備的技術(shù)指標要求。若測試合格，可進入下一步驗收程序。質(zhì)量核技術(shù)部應(yīng)對測試結(jié)果寫出書面報告。(三) 根據(jù)需要，新購系統(tǒng)或設(shè)備交使用部門試運行，試運行時間按照合同規(guī)定或同供貨商的協(xié)議進行。試運行結(jié)束后，使用部門須提交詳細的試運行報告，以作為設(shè)備是否滿足合同要求和是否進行最終驗收的依據(jù)。(四) 質(zhì)量技

39、術(shù)部依據(jù)測試報告、試運行報告（選項），形成最終驗收報告，經(jīng)相關(guān)負責(zé)人簽字后，完成最終驗收第三條 系統(tǒng)或設(shè)備最終驗收合格后，應(yīng)及時登記建賬，完清資料歸檔。第五章 系統(tǒng)運維管理1. 機房安全管理制度計算機機房是醫(yī)院的重要部門，是保證醫(yī)院工作順利開展工作的基礎(chǔ)，為了加強計算機機房的日常管理，確保機房內(nèi)設(shè)備的正常運行，特制定本制度。第一條 機房管理(一) 未經(jīng)允許，機房嚴禁閑雜及無關(guān)人員進入。(二) 進出機房的非計算機中心人員必須填寫醫(yī)院機房出入登記單，詳細記錄進出時間、事由等項目，進入機房，必須換上工作鞋，機房要保持無塵、無煙、無靜電。外部人員訪問重要區(qū)域是要經(jīng)過相關(guān)部門或負責(zé)人的批準。(三) 機房

40、中的小型機、服務(wù)器、工作站只能由系統(tǒng)管理員或指定的網(wǎng)絡(luò)管理員使用和操作，其他人員未經(jīng)有關(guān)領(lǐng)導(dǎo)批準和系統(tǒng)管理員的許可不得上機操作。(四) 機房內(nèi)的一切物品,未經(jīng)管理人員同意,不得隨意挪動、拆卸和帶出機房。(五) 在計算機系統(tǒng)的供電線路上一律不得接載功率較大的其它用電設(shè)備，不得隨意插拔電源。(六) 計算機機房內(nèi)應(yīng)配備相應(yīng)功率的UPS，以保證系統(tǒng)的不間斷供電。(七) 機房管理員要定時巡視儀器儀表提示以及設(shè)備運行狀態(tài)，系統(tǒng)出現(xiàn)問題時，應(yīng)采取合理的應(yīng)急處理措施。(八) 愛護機器設(shè)備，嚴格按操作要求使用，注意保養(yǎng)。(九) 機房內(nèi)無人時，必須鎖好門窗，做好防盜措施。第二條 機房防火安全管理(一) 計算機房應(yīng)

41、列為單位重點防火部位,按照規(guī)定配備足夠數(shù)量的消防器材,機房工作人員要熟悉消防用品的存放位置及使用方法,并定期檢查更換。(二) 嚴禁在防火通道內(nèi)堆放雜物,確保設(shè)備及工作人員的安全。(三) 嚴禁攜帶易燃易爆品進入機房,因工作需要使用易燃物品時,應(yīng)嚴格執(zhí)行操作規(guī)程,用后必須放置于消防箱內(nèi)妥善保管。(四) 機房用電量嚴禁超負荷運行、禁止使用電爐、取暖爐等非計算機設(shè)備。(五) 機房內(nèi)使用電絡(luò)鐵要嚴格控制,必須使用時,應(yīng)按規(guī)定操作。有專人看守,確保安全。(六) 應(yīng)定期對機房供電線路及照明器具進行檢查,防止因線路老化短路造成的火災(zāi)。(七) 機房工作人員要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開關(guān)位置, 掌

42、握切斷電源的方法和步驟,發(fā)現(xiàn)火情及時報告,沉著判斷,切斷電源, 采取有效措施及時滅火。第三條 機房值班(一) 未經(jīng)允許，嚴禁閑雜及無關(guān)人員進入機房。(二) 值班人員必須遵守機房的各項規(guī)章制度，嚴格遵守安全保密制度。遇到緊急情況，應(yīng)及時上報。(三) 對進出機房的非計算機中心人員必須進行登記(四) 值班人員未經(jīng)主管人員批準不得擅自更改網(wǎng)絡(luò)配置和網(wǎng)站的內(nèi)容。(五) 中心機房內(nèi)嚴禁吸煙、吃食物，保障網(wǎng)絡(luò)設(shè)備在良好的環(huán)境中運行。(六) 值班人員必須嚴格遵守安全、防火、防盜制度。第四條 機房環(huán)境衛(wèi)生(一) 進入機房前要換工作鞋或穿鞋套。(二) 不得在機房內(nèi)吐痰、吸煙、亂丟紙屑。(三) 機房及其附近嚴禁飲水

43、、吃東西或焚燒任何物品；嚴禁攜帶或存放易燃、易爆、腐蝕性和強磁性危險物品，不準在機房內(nèi)高聲喧嘩;不準在機房內(nèi)會客。(四) 機房每周清潔一次，保持機房內(nèi)的機器、設(shè)備、器具等整齊清潔，在除塵時應(yīng)確保計算機設(shè)備的安全；保持一定的溫度和濕度，防止高溫和靜電破壞機器和其他相關(guān)設(shè)備。2. 醫(yī)院資產(chǎn)和設(shè)備管理制度第一條 目的為了規(guī)范設(shè)備管理，使單位擁有的各種設(shè)備（如微機、工作站、打印機等）處于良好狀態(tài)以提高單位辦公效率，特制訂本制度。第二條 適用范圍適用于單位所有的用于辦公的設(shè)備。第三條 管理規(guī)定(一) 單位內(nèi)部各部門根據(jù)工作需要申請使用的設(shè)備，由申請人填寫相應(yīng)的申請單，由部門負責(zé)人審核、批準；對不再使用的

44、設(shè)備應(yīng)及時返回給設(shè)備管理部門。(二) 設(shè)備的登記：對單位新進的自用設(shè)備，設(shè)備管理部門首先進行檢查、確認，然后對其編號，貼上設(shè)備標簽，方能使用。(三) 設(shè)備檔案：設(shè)備管理部門對單位的每臺設(shè)備建立檔案，做好詳細的記錄，為設(shè)備的定期維護和故障處理提供資料。(四) 設(shè)備的定期維護：設(shè)備管理部門首先編寫定期維護計劃，并報請主管領(lǐng)導(dǎo)批準之后，對單位的每臺設(shè)備進行半年一次的定期維護，對單位設(shè)備進行檢查，發(fā)現(xiàn)問題及時處理。(五) 設(shè)備的故障處理：設(shè)備出現(xiàn)故障時，設(shè)備使用人員應(yīng)及時提交“設(shè)備維護申請表”，不可擅自處理。設(shè)備管理部門應(yīng)及時進行故障排除，不能及時排除的故障應(yīng)給出說明。(六) 網(wǎng)絡(luò)維護（1） 設(shè)備管理

45、部門每日對單位的局域網(wǎng)及廣域網(wǎng)進行檢查，檢查路由器、交換機、集線器、調(diào)制解調(diào)器的狀態(tài)，發(fā)現(xiàn)問題及時解決，確保網(wǎng)絡(luò)正常運行。（2） 為提高計算機網(wǎng)絡(luò)安全性，單位使用的每臺計算機一般不配置軟驅(qū)、光驅(qū)。單位配備一臺專用服務(wù)器預(yù)裝各種常用軟件，便于開發(fā)人員安裝所需各種軟件；當(dāng)網(wǎng)絡(luò)服務(wù)器預(yù)裝的軟件不能滿足要求時，可由設(shè)備管理部門協(xié)助安裝及提供相應(yīng)硬件設(shè)備。(七) 設(shè)備的使用：設(shè)備使用人員要愛護自已的設(shè)備，并保持設(shè)備的清潔，避免非法操作。設(shè)備使用部門因某種原因?qū)ψ杂迷O(shè)備進行退庫時，應(yīng)及時通知設(shè)備管理部門。(八) 報廢設(shè)備的處理（1） 設(shè)備因更新或故障等原因?qū)е略O(shè)備報廢時，由申請人填寫“報廢申請單”，申請報

46、廢的設(shè)備，應(yīng)與“報廢申請單”一起送交設(shè)備管理員檢驗，檢驗后填寫檢驗結(jié)果，經(jīng)其部門負責(zé)人審核，提交單位主管批準。（2） 報廢設(shè)備放置在一個指定的空間。設(shè)備管理部門負責(zé)具體處理廢品工作。(九) 舊設(shè)備的再利用：設(shè)備管理部門對各部門不再使用的設(shè)備進行入庫登記，并在設(shè)備登記表中注明， 對其各種配件進行檢查，對仍有使用價值的設(shè)備配件進行再利用。第四章 質(zhì)量記錄(一) 及時填寫設(shè)備登記表(二) 及時填寫設(shè)備維護申請表3. 關(guān)于存儲設(shè)備報廢銷毀管理規(guī)定第一條 涉密存儲維修、更換、報廢前的涉密信息需進行數(shù)據(jù)備份或清空，由計算機中心技術(shù)人員負責(zé)。第二條 涉密存儲需維修的，應(yīng)請有保密資質(zhì)的單位上門維修，嚴禁維修人

47、員擅自讀取和拷貝其存儲的國家秘密信息，單位技術(shù)人員現(xiàn)場監(jiān)修。如需送修，送修前必須將硬盤拆除并妥善保管，單位技術(shù)人員將其余部分送至有保密資質(zhì)的單位進行維修。如涉密存儲的硬盤出現(xiàn)故障,不能保證安全保密,涉密存儲的硬盤必須按涉密載體予以銷毀。第三條 涉密存儲老化，需要更換新存儲，須將舊存儲中的涉密信息通過涉密移動存儲介質(zhì)全部轉(zhuǎn)移到新涉密存儲中，并格式化舊存儲硬盤，清空涉密移動存儲介質(zhì)的所有涉密內(nèi)容，方可更換。第四條 報廢涉密存儲，須先格式化硬盤，確保擬報廢存儲中的硬盤沒有涉密信息后，方可交省涉密載體銷毀中心進行銷毀。4. 關(guān)于密碼管理第一條 機房的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的管理賬號密碼，由網(wǎng)絡(luò)管理

48、員及部門負責(zé)人持有，實行密碼定期更換，最長有效期不超過90天。第二條 更換服務(wù)器與網(wǎng)絡(luò)設(shè)備密碼時必須執(zhí)行密碼備案制度，以防遺失密碼，同時告知主管領(lǐng)導(dǎo)備案密碼。第三條 用戶級密碼、重要業(yè)務(wù)的密碼不得互相泄露密碼。不同級別用戶間不得交換帳號使用，特殊情況須報告網(wǎng)絡(luò)管理員處理。公共帳號不得向外人泄露。第四條 如發(fā)現(xiàn)密碼及口令有破解、使用過的現(xiàn)象，系統(tǒng)管理員要立刻報告部門負責(zé)人，嚴查泄露源頭，同時更換密碼。第五條 對于要求重新設(shè)定密碼和口令的用戶，用戶必須與系統(tǒng)管理員商定密碼及口令，由系統(tǒng)管理員備案后操作。第六條 公共帳號密碼變更，必須通知到相關(guān)科室。第七條 如果用戶需要更新密碼，應(yīng)謹慎修改密碼，修改

49、后必須牢記密碼。第八條 當(dāng)用戶由于因更換或忘記密碼、口令時要求查詢密碼、口令的情況下，需向信息中心提交申請單，有部門負責(zé)人或系統(tǒng)管理員核實后，并對用戶檔案做更新記載。5. 網(wǎng)絡(luò)安全管理規(guī)定網(wǎng)絡(luò)安全管理是信息系統(tǒng)安全建設(shè)、維護的重要組成部分，是保證醫(yī)院信息系統(tǒng)工作順利開展的保障基礎(chǔ)，為了加強網(wǎng)絡(luò)安全管理，特制定本制度。第一條 機房內(nèi)計算機應(yīng)使用經(jīng)公安機關(guān)檢測合格的防病毒產(chǎn)品并定期下載病 毒特征碼對殺毒軟件升級，確保計算機不會受到已發(fā)現(xiàn)的病毒的攻擊。第二條 機房管理人員應(yīng)確保物理網(wǎng)絡(luò)安全，防范因為物理介質(zhì)、信號輻射等造成的安全風(fēng)險。 第三條 計算機中心設(shè)備應(yīng)采取安全控制技術(shù)，采用防火墻等設(shè)備，機房

50、管理人員定義并備份策略，實現(xiàn)對網(wǎng)絡(luò)安全進行防護。第四條 使用漏洞掃描掃描系統(tǒng)漏洞，關(guān)閉不必要的服務(wù)端口。第五條 設(shè)置應(yīng)用系統(tǒng)強口令策略，防止系統(tǒng)口令匯露和被暴力破解。第六條 確定系統(tǒng)補丁的更新、安裝、發(fā)布，及時堵住系統(tǒng)漏洞。第七條 采用關(guān)鍵字過濾技術(shù)防止不法分子利用互聯(lián)網(wǎng)傳播反動、黃色和敏感信息。 組織工作人員認真學(xué)習(xí)計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法，提高工作人員對網(wǎng)絡(luò)安全的警惕性和自覺性。第八條 負責(zé)對本網(wǎng)絡(luò)用戶進行安全教育和培訓(xùn)，使用戶自覺遵守和維護計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法，使他們具備基本的網(wǎng)絡(luò)安全知識。第九條 加強對單位的信息發(fā)布和BBS公告系統(tǒng)的信息發(fā)布的審核管

51、理工作，杜絕違反計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法的內(nèi)容出現(xiàn)。第十條 一旦發(fā)現(xiàn)從事下列危害計算機信息網(wǎng)絡(luò)安全的活動的，做好記錄并立即向當(dāng)?shù)毓矙C關(guān)報告： （一）未經(jīng)允許進入計算機信息網(wǎng)絡(luò)或使用計算機信息網(wǎng)絡(luò)；（二）未經(jīng)允許對計算機信息網(wǎng)絡(luò)功能進行刪除、修改或者增加；（三）未經(jīng)允許對計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加；（四）故意制作、傳播計算機病毒等破壞性程序的；（五）從事其他危害計算機信息網(wǎng)絡(luò)安全的活動。第十一條 在信息發(fā)布的審核過程中，如發(fā)現(xiàn)有以下行為的： （一）煽動抗拒、破壞憲法和法律、行政法規(guī)實施（二）煽動顛覆國家政權(quán)，推翻社會主義制度（三）煽

52、動分裂國家、破壞國家統(tǒng)一（四）煽動民族仇恨、民族歧視、破壞民族團結(jié)（五）捏造或者歪曲事實、散布謠言，擾亂社會秩序（六）宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪（七）公然侮辱他人或者捏造事實誹謗他人（八）損害國家機關(guān)信譽6. 系統(tǒng)安全管理規(guī)定第一條 目的為了確保網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定運行，減少故障率，提高安全防護能力，特制定本制度。第二條 適用范圍本制度適用于對服務(wù)器、存儲等設(shè)備的日常運行維護。第三條 要求(一) 對機房設(shè)備的維護需由專人負責(zé)，并做好維護記錄。(二) 機柜中的服務(wù)器和網(wǎng)絡(luò)設(shè)備應(yīng)使用標簽進行標識具體的應(yīng)用，關(guān)鍵設(shè)備的連線應(yīng)使用標簽進行標識，便于故障排除。(三) 定期

53、對機房設(shè)備進行灰塵清理，確保散熱正常。(四) 每日早晨到機房進行例行巡檢，檢查網(wǎng)絡(luò)設(shè)備通信狀態(tài)是否正常，檢查服務(wù)器應(yīng)用是否能正常訪問，數(shù)據(jù)備份是否成功，對發(fā)現(xiàn)的問題及時進行處理，將檢查結(jié)果記錄到巡檢記錄表。(五) 每日通過網(wǎng)絡(luò)版殺毒軟件檢查客戶端殺毒軟件的運行和更新狀態(tài)，對有問題的計算機及時進行修復(fù)。(六) 每周對服務(wù)器進行安全檢查，包括病毒和木馬查殺，系統(tǒng)補丁更新等，對安全設(shè)備日志進行檢查，檢查是否存在入侵和攻擊事件，針對入侵和攻擊的方式和目標進行安全防護設(shè)置。將檢查結(jié)果記錄到安全檢查記錄表中。(七) 網(wǎng)站可采用相關(guān)手段采取7*24小時的監(jiān)控方式，確保網(wǎng)站的可用性和安全性。(八) 對于新增的

54、網(wǎng)絡(luò)設(shè)備、服務(wù)器和計算機詳細記錄到資產(chǎn)記錄表中。(九) 對計算機的信息表及時進行更新，信息內(nèi)容需包括計算機名、IP和MAC地址。(十) 當(dāng)出現(xiàn)一般系統(tǒng)和網(wǎng)絡(luò)故障時，應(yīng)及時進行處理，確保快速解決故障問題。(十一) 當(dāng)出現(xiàn)特大系統(tǒng)和網(wǎng)絡(luò)故障時，應(yīng)及時向相關(guān)領(lǐng)導(dǎo)匯報，并啟動應(yīng)急預(yù)案，盡快恢復(fù)應(yīng)用正常運行，如問題比較嚴重不能自行解決，可請相關(guān)服務(wù)提供商協(xié)助解決。7. 關(guān)于備份與恢復(fù)管理第一條 針對重要系統(tǒng)或重要數(shù)據(jù)應(yīng)該及時進行備份，防止數(shù)據(jù)的丟失，應(yīng)準備好備用服務(wù)器防止硬件故障的發(fā)生。第二條 數(shù)據(jù)備份的方式采用異機交叉?zhèn)浞莸姆绞剑瑯I(yè)務(wù)數(shù)據(jù)的備份目標應(yīng)使用另一臺服務(wù)器的本地磁盤或外接磁帶、存儲設(shè)備，客戶

55、機文件使用移動硬盤進行備份。第三條 數(shù)據(jù)備份頻率根據(jù)應(yīng)用系統(tǒng)的重要性而定，重要的應(yīng)用系統(tǒng)應(yīng)增加備份的頻率，提高對數(shù)據(jù)的保護程度。第四條 數(shù)據(jù)備份根據(jù)數(shù)據(jù)的類型和數(shù)據(jù)量靈活選擇備份方法，業(yè)務(wù)數(shù)據(jù)每周至少做一次完全備份，其余各天可采用增量或差異備份的方式。客戶機重要文件每周做一次完全備份。第五條 每天檢查備份是否完成，對出現(xiàn)的問題及時進行處理。第六條 對于備份完成的數(shù)據(jù)，應(yīng)定期進行恢復(fù)測試，確保備份的有效性。第七條 備份磁帶應(yīng)該嚴格管理，妥善保存，保管地點應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。第八條 計算機的備份系統(tǒng)和備份數(shù)據(jù)必須與原系統(tǒng)/數(shù)據(jù)擁有同樣的密級，并嚴格遵守涉密信息的管理制度。第

56、九條 當(dāng)發(fā)生數(shù)據(jù)丟失和損壞時，由相關(guān)人員負責(zé)對數(shù)據(jù)進行恢復(fù)，當(dāng)出現(xiàn)硬件損壞時使用備用服務(wù)器接管服務(wù)。第十條 將備份和恢復(fù)結(jié)果記錄到數(shù)據(jù)備份和恢復(fù)記錄表中。8. 應(yīng)急預(yù)案和處置管理制度第一條 目的提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共事件的能力，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)絡(luò)與信息安全突發(fā)公共事件的危害，保障國家和人民生命財產(chǎn)的安全，保護公眾利益，維護正常的政治、經(jīng)濟和社會秩序。第二條 適用范圍本預(yù)案適用于本醫(yī)院發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)公共事件和可能導(dǎo)致網(wǎng)絡(luò)與信息安全突發(fā)公共事件的應(yīng)對工作。本預(yù)案啟動后，本醫(yī)院其它網(wǎng)絡(luò)與信

57、息安全應(yīng)急預(yù)案與本預(yù)案相沖突的，按照本預(yù)案執(zhí)行；法律、法規(guī)和規(guī)章另有規(guī)定的從其規(guī)定。第三條 職責(zé)本預(yù)案由醫(yī)院計算機中心制訂，報醫(yī)院相關(guān)領(lǐng)導(dǎo)批準后實施。醫(yī)院有關(guān)部門應(yīng)根據(jù)本預(yù)案，制定部門網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，并報醫(yī)院網(wǎng)絡(luò)信息中心備案。結(jié)合信息網(wǎng)絡(luò)快速發(fā)展和我院經(jīng)濟社會發(fā)展狀況，配合相關(guān)法律法規(guī)的制定、修改和完善，適時修訂本預(yù)案。本預(yù)案自印發(fā)之日起實施。第四條 要求(一) 工作原則（1） 預(yù)防為主：立足安全防護，加強預(yù)警，重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)，從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊犯罪等環(huán)節(jié)，在法律、管理、技術(shù)、人才等方面，采取多種措施，充分發(fā)揮各

58、方面的作用，共同構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。（2） 快速反應(yīng)：在網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，按照快速反應(yīng)機制，及時獲取充分而準確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。（3） 以人為本：把保障公共利益以及公民、法人和其他組織的合法權(quán)益的安全作為首要任務(wù)，及時采取措施，最大限度地避免公民財產(chǎn)遭受損失。（4） 分級負責(zé)：按照“誰主管誰負責(zé)、誰運營誰負責(zé)、誰使用誰負責(zé)”以及“條塊結(jié)合，以條為主”的原則，建立和完善安全責(zé)任制及聯(lián)動工作機制。根據(jù)部門職能，各司其職，加強部門間、校區(qū)間的協(xié)調(diào)與配合，形成合力，共同履行應(yīng)急處置工作的管理職責(zé)。（5） 常備不懈：加強技術(shù)儲備，規(guī)范

59、應(yīng)急處置措施與操作流程，定期進行預(yù)案演練，確保應(yīng)急預(yù)案切實有效，實現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。(二) 組織指揮機構(gòu)與職責(zé)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)公共事件后，應(yīng)成立醫(yī)院網(wǎng)絡(luò)與信息安全應(yīng)急協(xié)調(diào)小組(以下簡稱醫(yī)院網(wǎng)絡(luò)協(xié)調(diào)小組)，為本校網(wǎng)絡(luò)與信息安全應(yīng)急處置的組織協(xié)調(diào)機構(gòu)，負責(zé)領(lǐng)導(dǎo)、協(xié)調(diào)全局網(wǎng)絡(luò)與信息安全突發(fā)公共事件的應(yīng)急處置工作。醫(yī)院網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組下設(shè)辦公室(以下簡稱醫(yī)院協(xié)調(diào)小組辦公室)，負責(zé)日常工作和綜合協(xié)調(diào)，并與公安網(wǎng)監(jiān)部門進行聯(lián)系。(三) 先期處置（1） 當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)公共事件時，事發(fā)部門應(yīng)做好先期應(yīng)急處置工作，立即采取措施控制事態(tài)，同時向相關(guān)

60、主管部門通報。（2） 網(wǎng)絡(luò)與信息安全事件分為四級:特別重大(級)、重大(級)、較大(級)、一般(級)。（3） 主管部門在接到本系統(tǒng)網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生或可能發(fā)生的信息后，應(yīng)加強與有關(guān)方面的聯(lián)系，掌握最新發(fā)展態(tài)勢。對級或級的網(wǎng)絡(luò)與信息安全突發(fā)公共事件，由該主管部門自行負責(zé)應(yīng)急處置工作。對有可能演變?yōu)榧壔蚣壍木W(wǎng)絡(luò)與信息安全突發(fā)公共事件，要為協(xié)調(diào)小組處置工作提出建議方案，并作好啟動本預(yù)案的各項準備工作。主管部門要根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)展態(tài)勢，視情況決定趕赴現(xiàn)場指導(dǎo)、組織派遣應(yīng)急支援力量，支持事發(fā)部門做好應(yīng)急處置工作。(四) 應(yīng)急處置（1） 本預(yù)案啟動后，根據(jù)協(xié)調(diào)小組會議的部署，擔(dān)

61、任總指揮的領(lǐng)導(dǎo)和參與指揮的領(lǐng)導(dǎo)迅速趕赴相應(yīng)的指揮平臺，進入指揮崗位，啟動指揮系統(tǒng)。相關(guān)聯(lián)動部門按照本預(yù)案確定的有關(guān)職責(zé)立即開展工作。（2） 需要成立現(xiàn)場指揮部的，事發(fā)部門立即在現(xiàn)場開設(shè)指揮部，并提供現(xiàn)場指揮運作的相關(guān)保障。現(xiàn)場指揮部要根據(jù)事件性質(zhì)迅速組建各類應(yīng)急工作組，開展應(yīng)急處置工作。現(xiàn)場指揮部在協(xié)調(diào)小組的領(lǐng)導(dǎo)下全權(quán)負責(zé)現(xiàn)場的應(yīng)急援救工作。主管部門負責(zé)對發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)公共事件的網(wǎng)絡(luò)與信息系統(tǒng)的現(xiàn)場應(yīng)急處置工作。(五) 應(yīng)急支援（1） 本預(yù)案啟動后，協(xié)調(diào)小組的應(yīng)急響應(yīng)先遣小組，趕赴事發(fā)地，督促、指導(dǎo)和協(xié)調(diào)處置工作。協(xié)調(diào)小組辦公室根據(jù)事態(tài)的發(fā)展和處置工作需要，及時增派專家小組和應(yīng)急支援單

62、位，調(diào)動必需的物資、設(shè)備，支援應(yīng)急工作。（2） 參加現(xiàn)場處置工作的各有關(guān)部門和單位要在現(xiàn)場指揮部統(tǒng)一指揮下，協(xié)助開展處置行動。(六) 信息處理（1） 現(xiàn)場信息收集、分析和上報。事發(fā)部門應(yīng)對事件進行動態(tài)監(jiān)測，評估，及時將事件的性質(zhì)、危害程度和損失情況及處置工作等及時報協(xié)調(diào)小組辦公室，不得隱瞞、緩報、謊報。（2） 信息處理。協(xié)調(diào)小組辦公室要明確信息采集、編輯、分析、審核、簽發(fā)的責(zé)任人，做好信息分析、報告和發(fā)布工作。（3） 信息發(fā)布和咨詢。當(dāng)網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，協(xié)調(diào)小組辦公室要及時做好信息發(fā)布工作，通過新聞單位發(fā)布網(wǎng)絡(luò)與信息安全突發(fā)公共事件預(yù)警及應(yīng)急處置的相關(guān)信息，通知社會各界做好應(yīng)急

63、準備及預(yù)防措施，增強公眾的信心。信息發(fā)布與新聞報道要按國家的有關(guān)規(guī)定及時進行。(七) 應(yīng)急結(jié)束網(wǎng)絡(luò)與信息安全突發(fā)公共事件經(jīng)應(yīng)急處置后，得到有效控制，經(jīng)各監(jiān)測統(tǒng)計數(shù)據(jù)上報協(xié)調(diào)小組辦公室，由協(xié)調(diào)小組辦公室向協(xié)調(diào)小組提出應(yīng)急結(jié)束的建議，經(jīng)批準后實施。(八) 后期處置（1） 善后處置在應(yīng)急處置工作結(jié)束后，事發(fā)單位要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作，統(tǒng)計各種數(shù)據(jù)，查明原因，對事件造成的損失和影響以及恢復(fù)重建能力進行分析評估，認真制定恢復(fù)重建計劃，迅速組織實施。有關(guān)主管部門要提供必要的人員和技術(shù)、物資和裝備以及資金等的支持，并將善后處置的有關(guān)情況報協(xié)調(diào)小組辦公室。（2） 調(diào)查和評估在應(yīng)急處置工作結(jié)束后，主管部門應(yīng)立即組織有關(guān)人員和專家組成事件調(diào)查組，在當(dāng)?shù)卣捌溆嘘P(guān)部門的配合下，對事件發(fā)生及其處置過程進行全面的調(diào)查，查清事件發(fā)生的原因及財產(chǎn)損失狀況和總結(jié)經(jīng)驗教訓(xùn)，并根據(jù)問責(zé)制的有關(guān)規(guī)定，對有關(guān)責(zé)任人員做出處理。第五條 相關(guān)資源根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例、計算機病毒防治管理辦法、江蘇省突發(fā)公共事件總體應(yīng)急預(yù)案，制定本預(yù)案。