醫(yī)院信息安全管理制度(系列)

1、1醫(yī)院信息安全管理制度系列醫(yī)院信息安全管理制度系列本制度系列所管轄醫(yī)院信息包括醫(yī)院在運行管理中涉及到的基本信息（人、財、物）、運行信息（各類業(yè)務工作與質量安全管理資料數據）和管理信息（投資發(fā)展、人力資源開發(fā)與利用、發(fā)展戰(zhàn)略研究），統(tǒng)稱為“醫(yī)院信息”。依據《中華人民共和國保密法》、《醫(yī)療質量管理辦法》，制定此制度系列。一、醫(yī)院數據、資料信息安全管理制度一、醫(yī)院數據、資料信息安全管理制度醫(yī)院內部的數據、資料信息安全管理尤為重要，如涉及全院的

2、工作統(tǒng)計數據、質量與安全評價分析相關的數據、與醫(yī)療糾紛有關的信息、醫(yī)院管理與建設重大決策信息、醫(yī)院經濟管理相關的信息等，院領導認為不宜通過“三重一大”公示的信息，均屬于保密信息，必須實行安全管理，規(guī)定如下：（一）任何人未經院領導批準，不得在公眾場合、公共媒體發(fā)布醫(yī)院涉密信息。（二）醫(yī)院各職能部門和業(yè)務科室，對自身所涉密的醫(yī)院信息，有保密的義務和責任。（三）不屬于分管職能內的涉密信息，不得向其他部門和個人打探。（四）任何員工不得以謀利為目

3、的，散布、出賣、交換醫(yī)院涉密信息。（五）任何員工不得以泄私憤、圖報復，散布和出賣醫(yī)院涉密信息。違反以上各條，醫(yī)院有權追究泄密人的相應責任。二、醫(yī)院網絡系統(tǒng)安全管理制度二、醫(yī)院網絡系統(tǒng)安全管理制度（一）為了保證醫(yī)院網絡的正常運行，保護醫(yī)院網絡系統(tǒng)的安全和網絡用戶的使用權益，特制定本安全管理制度。（二）本管理制度所稱的醫(yī)院網絡系統(tǒng)是指在醫(yī)院信息系統(tǒng)中，由計算機及配套設施構成的，按照醫(yī)院網絡信息系統(tǒng)的應用目標和規(guī)定，對數據進行采集、加工、存儲

4、、傳輸、檢索等處理的人機系統(tǒng)。（三）醫(yī)院網絡系統(tǒng)安全管理是通過實施身份認證、訪問控制與授權管理、數據備份和災備系統(tǒng)、安全分域及邊界防護、防病毒系統(tǒng)、入侵檢測、3（十七）應禁止系統(tǒng)內用戶非授權的外部鏈接（如自動撥號、違規(guī)鏈接和無線上網）。（十八）應部署有效的網絡病毒防范軟件系統(tǒng)和相應的網絡病毒防范管理辦法，實施對計算機網絡病毒的有效防范。（十九）要制定文檔化的明確的計算機病毒和惡意代碼防護策略，以及確保策略有效實施規(guī)章制度。（二十）應在系

5、統(tǒng)內關鍵的入口點以及各工作站、服務器和移動計算機設備上采取計算機病毒和惡意代碼防護措施。（二十一）應制定文檔化的信息系統(tǒng)備份和恢復的策略，建立健全備份和恢復的管理制度和操作規(guī)程。（二十二）備份包括關鍵業(yè)務數據的備份、關鍵業(yè)務設備（如服務器、交換機等）的備份和電源備份。對重要信息系統(tǒng)（如HIs系統(tǒng)）的關鍵設施（如服務器）采取熱備份。（二十三）應定期備份和對恢復策略進行測試，以保證其有效性。要有系統(tǒng)恢復的預案和演練。（二十四）應根據業(yè)務的重

6、要程度、信息系統(tǒng)的資產價值等進行相應的需求分析，確定系統(tǒng)恢復的目標，如：關鍵業(yè)務功能、恢復的優(yōu)先順序、恢復的時間范圍。（二十五）為確保醫(yī)院計算機局域網絡運行安全，要在有效部署防火墻、入侵檢測和防病毒系統(tǒng)的情況下，實施遠程接入。醫(yī)院業(yè)務網（內網）與遠程接入（外網）業(yè)務的物理隔離。凡涉密的計算機主機不得與互聯網（Inter）鏈接。（二十六）任何部門和個人使用醫(yī)院網絡提供的遠程接人服務必須向信息科申請。入網用戶的用戶名和IP地址是用戶在醫(yī)院局

7、域網上的合法標識，也是對用戶收費的重要依據，一經指定不得擅自更改。（二十七）未經信息科批準，任何個人或部門不得為外單位人員提供電子郵件或其他網絡服務。（二十八）所有入網用戶，應當遵守國家有關法律、法規(guī)及醫(yī)院的有關規(guī)章制度，嚴格執(zhí)行安全保密制度，不得利用計算機網絡從事危害國家安全、損害醫(yī)院利益等違法、違規(guī)活動，不得制作、查閱、復制和傳播擾亂社會治安、有傷風化、淫穢色情等信息，不得利用網絡攻擊、損害公用網絡和其他用戶。否則，醫(yī)院有權停止對其