醫(yī)院網絡信息安全管理制度

　　一、為了保證醫(yī)院網絡的正常運行，保護醫(yī)院網絡系統(tǒng)的安全和網絡用戶的使用權益，特制定本安全管理制度。

　　二、本管理制度所稱的醫(yī)院網絡系統(tǒng)是指在醫(yī)院信息系統(tǒng)中，由計算機及配套設施構成的，按照醫(yī)院網絡信息系統(tǒng)的應用目標和規(guī)定，對數(shù)據(jù)進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

　　三、醫(yī)院網絡系統(tǒng)安全管理是通過實施身份認證、訪問控制與授權管理、數(shù)據(jù)備份和災備系統(tǒng)、安全分域及邊界防護、防病毒系統(tǒng)、入侵檢測、補丁管理、郵件安全網關、遠程接入等安全技術和與之相配套的管理制度，保障網絡主機及配套設備、設施的安全，網絡運行環(huán)境的安全，從而達到保障計算機網絡系統(tǒng)安全運行和信息安全的目的。

　　四、信息科負責醫(yī)院計算機網絡系統(tǒng)的安全管理工作，確保對計算機網絡系統(tǒng)安全管理的有效性。

　　五、計算機網絡系統(tǒng)的建設和應用應遵守上級主管部門頒發(fā)的行政法規(guī)、用戶手冊和其他相關規(guī)定。

　　六、計算機網絡系統(tǒng)實行安全等級保護和用戶使用權限劃分。安全等級和用戶使用權限的劃分和設置由信息科負責制定和實施。

　　(注釋：以下為身份認證)

　　七、計算機入網運行必須經信息科批準備案，分配IP地址后，方可接入網絡。

　　八、要對重要主機的用戶名、開機口令、應用口令和數(shù)據(jù)庫口令實施重點管理，嚴格控制設備存取及加密，未經允許嚴禁外來盤片帶入機房對服務器進行安裝等，不準將機器設備和數(shù)據(jù)帶出機房。

　　九、未辦理入網手續(xù)，任何單位和個人不得非法私自將計算機接入醫(yī)院網絡，不得以不真實身份使用網絡資源，不得竊取他人賬號、口令使用網絡資源，不得盜用未經合法申請的IP地址入網。未經信息科允許，任何單位或個人不得擅自接納網絡用戶。 (注釋：以下為訪問控制與授權管理)

　　十、應根據(jù)網絡主機不同的安全級別采取相應的訪問控制、數(shù)據(jù)保護、保密監(jiān)控管理和系統(tǒng)安全等技術措施。

　　十一、信息科定期對網上用戶的訪問及授權情況進行檢查，及時發(fā)現(xiàn)和限制非法用戶和非授權訪問。

　　十二、要按要求對數(shù)據(jù)進行日備份、月備份和年備份。嚴格按操作規(guī)程進行數(shù)據(jù)備份工作，確保備份數(shù)據(jù)的完整和準確性，做好備份數(shù)據(jù)的審核工作，并做好相應記錄。要確保導出、導入數(shù)據(jù)的完整和準確，并做好導出、導人數(shù)據(jù)的審核工作和相應記錄。 (注釋：以下為安全分域及邊界防護)

　　十三、加強邊界安全的防護，應根據(jù)安全區(qū)域劃分情況明確需進行安全防護的邊界，并實施有效的訪問控制策略和機制。

　　十四、應在網絡系統(tǒng)或安全域邊界的關鍵點采用嚴格的安全防護機制，如嚴格的登錄/鏈接控制，高性能的防火墻、防病毒網關、入侵防范、信息過濾、邊界完整性檢查等。

　　十五、要實施必要的邊界訪問、違規(guī)外聯(lián)的審計和控制。

　　(注釋：以下為入侵檢測)

　　十六、應采用必要的手段(如入侵檢測系統(tǒng)、日志分析、網絡取證分析等)對系統(tǒng)內的安全事件進行監(jiān)控，檢測攻擊行為并能發(fā)現(xiàn)系統(tǒng)內非授權使用情況。

　　十七、應禁止系統(tǒng)內用戶非授權的外部鏈接(如自動撥號、違規(guī)鏈接和無線上網)。

　　(注釋：以下為防病毒系統(tǒng))

　　十八、應部署有效的網絡病毒防范軟件系統(tǒng)和相應的網絡病毒防范管理辦法，實施對計算機網絡病毒的有效防范。

　　十九、要制定文檔化的明確的計算機病毒和惡意代碼防護策略，以及確保策略有效實施規(guī)章制度。

　　二十、應在系統(tǒng)內關鍵的入口點以及各工作站、服務器和移動計算機設備上采取計算機病毒和惡意代碼防護措施。 (注釋：以下為備份和恢復)

　　二十一、應制定文檔化的信息系統(tǒng)備份和恢復的策略，建立健全備份和恢復的管理制度和操作規(guī)程。

　　二十二、備份包括關鍵業(yè)務數(shù)據(jù)的備份、關鍵業(yè)務設備(如服務器、交換機等)的備份和電源備份。對重要信息系統(tǒng)(如HIs系統(tǒng))的關鍵設施(如服務器)采取熱備份。

　　二十三、應定期備份和對恢復策略進行測試，以保證其有效性。要有系統(tǒng)恢復的預案和演練。

　　二十四、應根據(jù)業(yè)務的重要程度、信息系統(tǒng)的資產價值等進行相應的需求分析，確定系統(tǒng)恢復的目標，如：關鍵業(yè)務功能、恢復的優(yōu)先順序、恢復的時間范圍。 (注釋：以下為遠程接人)

　　二十五、為確保醫(yī)院計算機局域網絡運行安全，要在有效部署防火墻、入侵檢測和防病毒系統(tǒng)的情況下，實施遠程接入。醫(yī)院業(yè)務網(內網)與遠程接入(外網)業(yè)務的物理隔離。凡涉密的計算機主機不得與互聯(lián)網(Internet)鏈接。

　　二十六、任何部門和個人使用醫(yī)院網絡提供的遠程接人服務必須向信息科申請。入網用戶的用戶名和IP地址是用戶在醫(yī)院局域網上的合法標識，也是對用戶收費的重要依據(jù)，一經指定不得擅自更改。

　　二十七、未經信息科批準，任何個人或部門不得為外單位人員提供電子郵件或其他網絡服務。

　　二十八、所有入網用戶，應當遵守國家有關法律、法規(guī)及醫(yī)院的有關規(guī)章制度，嚴格執(zhí)行安全保密制度，不得利用計算機網絡從事危害國家安全、損害醫(yī)院利益等違法、違規(guī)活動，不得制作、查閱、復制和傳播擾亂社會治安、有傷風化、淫穢色情等信息，不得利用網絡攻擊、損害公用網絡和其他用戶。否則，醫(yī)院有權停止對其提供的服務;由此造成的不良后果由用戶承擔。

　　二十九、使用計算機機網絡系統(tǒng)的部門和個人必須遵守計算機安全使用的規(guī)定，對計算機網絡系統(tǒng)發(fā)生的問題和故障要立即向信息中心報告。

　　三十、用戶不得從事下列危害計算機網絡安全的行為：

　　1、未經允許，進入計算機網絡系統(tǒng)或使用網上信息資源：

　　2、私自轉借或轉讓用戶賬號，盜用他人賬號或IP地址：

　　3、未經允許，對網上應用系統(tǒng)的功能進行刪減或更改：

　　4、未經允許，對計算機網絡的存儲、處理或傳輸數(shù)據(jù)和應用程序進行刪減或更改;

　　5、故意制作、傳播計算機病毒等破壞程序，使用任何工具破壞網絡正常運行;

　　6、破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全;

　　7、其他危害計算機網絡安全的行為。

　　上述違規(guī)造成醫(yī)院損失的，依照有關法律、法規(guī)及醫(yī)院有關處罰規(guī)定進行處理，情節(jié)嚴重者移交公安機關處理.

 

涉密數(shù)據(jù)保密管理制度

　　一、任何單位、部門、個人不得利用涉密計算機網絡系統(tǒng)泄漏屬于國家秘密的信息數(shù)據(jù)，危害國家安全，損害國家、集體和他人的合法權益;不得從事其它違法犯罪活動。涉密單位和涉密人員應當遵守保密法律法規(guī)，認真執(zhí)行國家和省制定的涉密計算機網絡系統(tǒng)的保密規(guī)定。

　　二、涉密計算機網絡系統(tǒng)的單位保密管理實行領導負責制，并制定部門或專人負責具體的日常管理工作。并保持計算機保密管理人員相對穩(wěn)定。

　　三、涉密計算機網絡系統(tǒng)工作人員定期進行保密教育和檢查。涉密計算機信息系統(tǒng)的系統(tǒng)管理人員應當經過嚴格審查，定期進行考核，并保持相對穩(wěn)定。

　　四、涉密人員調離崗位，應當履行國家規(guī)定保守國家秘密的義務。

　　五、涉及國家秘密的`數(shù)據(jù)，必須按照保密規(guī)定進行采集、存儲、處理、傳遞、使用和銷段。

　　六、計算機存儲、處理、傳遞、輸出的涉密信息要有相應的密級標識且不得與正文分離，輸出的涉密文件按相應密級文件管理。

　　七、涉密人口計生信息和數(shù)據(jù)不得在與公用網絡聯(lián)網的計算機信息系統(tǒng)中存儲、處理、傳遞，涉密信息一律不得在網上發(fā)布。

　　八、涉密計算機必須設置口令保護，根據(jù)密級確定口令長度與更換周期，實行專人專用，嚴禁以任何方式登錄國際互聯(lián)網或與互聯(lián)網物理連接。

　　九、存儲涉密信息的媒體應按所存儲信息的最高密級標明密級，并按相應密級文件管理制度管理，存儲過涉密信息的計算機媒體不能降低密級使用，維修存儲過涉密信息的計算機媒體應到部門指定維修點維修，有人全程跟蹤，保證存儲的秘密信息不被泄露。

　　十、儲涉密數(shù)據(jù)的計算機硬盤或其它存儲介質不得擅自更換或者報廢。確需更換或者報廢的，應當經單位負責人批準后，交單位的網絡管理部門進行登記、封存，或者按規(guī)定銷毀。

　　十一、涉密單位應當將涉密數(shù)據(jù)與備份數(shù)據(jù)分別保存在單位內不同的地點。有條件的，應實行異地容災備份。不得在便攜式計算機上存儲涉密信息。

　　十二、發(fā)現(xiàn)計算機信息泄密后應立即采取補救措施，并按規(guī)定及時報告保密部門。

 

信息提供、發(fā)布和上網保密審查制度

　　一、信息提供、發(fā)布、上網實行保密審查、領導審批和登記備案制度。

　　二、信息發(fā)布、上網，堅持涉密不公開、公開不涉密和誰上網、誰負責的原則。

　　三、對涉密信息確需對外發(fā)布、上網的，應采取解密或者刪除、改編、隱去等保密措施，并經主管部門或保密工作部門審定。

　　四、接受記者采訪，不得涉及國家秘密內容。

【醫(yī)院網絡信息安全管理制度】相關文章：

醫(yī)院信息安全管理制度及應急預案08-06

網絡信息安全整改報告06-14

學校網絡信息安全報告02-22

網絡信息安全工作計劃03-17

網絡信息安全風險評估報告02-24

公司網絡信息安全工作計劃09-25

網絡與信息安全自查報告10-21

網絡信息安全自查報告10-06

網絡信息安全的自查報告02-06