【正文】 XXXXXX醫(yī)院計算機信息系統(tǒng)制度匯總XXXXXX醫(yī)院計算機中心編制2016年11月目 錄前言 3第一章 安全管理機構(gòu) 41. 安全組織結(jié)構(gòu)及職責(zé) 42. 人員分配及職責(zé)規(guī)定 73. 關(guān)于加強與外界的溝通合作說明 9第二章 安全管理制度 101. 信息安全工作總則 102. 信息安全方針和目標(biāo) 123. 信息安全總體安全策略 154. 關(guān)于制度發(fā)布審核說明 18第三章 人員安全管理 191. 關(guān)于人員錄用管理規(guī)范 192. 關(guān)于安全意識教育和培訓(xùn) 20第四章 系統(tǒng)建設(shè)管理 221. 關(guān)于產(chǎn)品采購和使用 222. 軟件開發(fā)管理制度 263. 關(guān)于自主研發(fā)和外包開發(fā)的說明 284. 關(guān)于工程實施方面的管理 305. 系統(tǒng)交付驗收制度 32第五章 系統(tǒng)運維管理 331. 機房安全管理制度 332. XXXXXX醫(yī)院資產(chǎn)和設(shè)備管理制度 363. 關(guān)于存儲設(shè)備報廢銷毀管理規(guī)定 394. 關(guān)于密碼管理 405. 網(wǎng)絡(luò)安全管理規(guī)定 416. 系統(tǒng)安全管理規(guī)定 437. 關(guān)于備份與恢復(fù)管理 458. 應(yīng)急預(yù)案和處置管理制度 46前言為加強XXXXXX醫(yī)院等級保護(hù)相關(guān)信息安全管理的建設(shè)，確保醫(yī)院內(nèi)計算機信息系統(tǒng)的運行安全、管理有序、措施有效，結(jié)合本系統(tǒng)、本單位實際，針對信息系統(tǒng)運行中的管理過程、管理要求、管理內(nèi)容及信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的使用和管理制定本制度。根據(jù)江蘇省衛(wèi)生廳相關(guān)規(guī)定，結(jié)合我院具體情況，XXXXXX醫(yī)院應(yīng)用信息系統(tǒng)最高級別為二級。本制度制定依據(jù)為國家公安部等部門編寫的《信息系統(tǒng)安全等級保護(hù)基本要求》（GBT 222392008）、《江蘇省開展重要信息系統(tǒng)安全等級保護(hù)定級工作的實施意見》（蘇公通［2007］187號）、《信息安全管理體系要求》（GB/T220802008）等文件規(guī)定。本制度適用于XXXXXX醫(yī)院內(nèi)應(yīng)用信息系統(tǒng)的管理。第一章 安全管理機構(gòu)1. 安全組織結(jié)構(gòu)及職責(zé)第一條 系統(tǒng)組織結(jié)構(gòu)圖主要負(fù)責(zé)人系統(tǒng)營運負(fù)責(zé)人系統(tǒng)開發(fā)人員系統(tǒng)維護(hù)人員系統(tǒng)使用方負(fù)責(zé)人系統(tǒng)分管負(fù)責(zé)人系統(tǒng)管理員安全保密管理員第二條 系統(tǒng)營運負(fù)責(zé)人責(zé)任本系統(tǒng)主要由計算機中心負(fù)責(zé)維護(hù)，主機托管于計算機中心機房。負(fù)責(zé)人主要職責(zé)是：(一) 及時部署相關(guān)系統(tǒng)的安全與維護(hù)工作，保證系統(tǒng)的正常運行和使用。（1） 掌握系統(tǒng)的基本使用情況；（2） 主持召開領(lǐng)導(dǎo)小組工作會議，對系統(tǒng)安全工作進(jìn)行研究、部署；（3） 對系統(tǒng)安全，日常維護(hù)工作做出具體指示、提出明確意見和工作要求。(二) 定期或根據(jù)省、市保密部門要求組織對醫(yī)院各項安全保密工作落實情況的監(jiān)督檢查；(三) 對系統(tǒng)使用方履行職責(zé)提供保障：（1） 對系統(tǒng)使用方提供相應(yīng)服務(wù)，支持包括網(wǎng)絡(luò)，業(yè)務(wù)平臺等需求；（2） 支持使用方安全保密開展工作；（3） 對系統(tǒng)使用方履行保密工作職責(zé)進(jìn)行監(jiān)督、指導(dǎo)；（4） 做好災(zāi)備工作，應(yīng)付各種系統(tǒng)突發(fā)事件，降低損失。第三條 系統(tǒng)使用方負(fù)責(zé)人責(zé)任對涉及本部門業(yè)務(wù)上保密業(yè)務(wù)的負(fù)有領(lǐng)導(dǎo)責(zé)任，主要職責(zé)是：(一) 全面及時研究和部署本部門保密工作：（1） 對本部門涉密和非涉密工作進(jìn)行劃分，掌握好本部門保密工作全面情況；（2） 主持召開部門保密工作會議，對本部門保密工作進(jìn)行研究、部署；（3） 對本部門保密工作做出具體指示、提出明確意見和工作要求。(二) 定期或根據(jù)省、市、醫(yī)院保密部門要求組織對本部門各項保密工作落實情況的監(jiān)督檢查；(三) 對保密工作機構(gòu)履行職責(zé)提供保障：（1） 支持各業(yè)務(wù)部門開展工作；（2） 支持專兼職保密工作人員開展工作；（3） 對各業(yè)務(wù)部門履行保密工作職責(zé)進(jìn)行監(jiān)督、指導(dǎo)。(四) 組織開展對新形勢下保密工作熱點、難點問題的調(diào)查研究。第四條 安全保密管理員(一) 負(fù)責(zé)涉密信息系統(tǒng)的日常安全保密管理工作，包括對用戶賬號權(quán)限管理以及安全保密設(shè)備管理和系統(tǒng)所產(chǎn)生日志的審查分析。(二) 負(fù)責(zé)將系統(tǒng)權(quán)限分配策略與系統(tǒng)內(nèi)的用戶逐一對應(yīng)，并最終形成文檔化的用戶權(quán)限列表。(三) 監(jiān)視系統(tǒng)運行情況的任務(wù)，完成對系統(tǒng)資源的各種非法訪問的收集、記錄，然后進(jìn)行分析、處理，必要時還要將審計的異常事件及時上報主管領(lǐng)導(dǎo)。2. 人員分配及職責(zé)規(guī)定第一條 總則為進(jìn)一步加強信息網(wǎng)絡(luò)的管理，保障信息系統(tǒng)安全、穩(wěn)定運行。應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全審計員崗位，并定義各個工作崗位的職責(zé)。第二條 系統(tǒng)管理員工作職責(zé)(一) 負(fù)責(zé)系統(tǒng)的日常運行維護(hù)工作(二) 確保涉密信息系統(tǒng)處于無故障運行的狀態(tài)(三) 能夠進(jìn)行網(wǎng)絡(luò)、操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)的安裝和維護(hù)工作，進(jìn)行系統(tǒng)功能、實時性能監(jiān)控和必要的狀態(tài)檢查(四) 定期備份數(shù)據(jù)，能夠在系統(tǒng)中斷、運行癱瘓的情況下，及時排除相應(yīng)故障，避免或盡可能降低系統(tǒng)損失；(五) 對系統(tǒng)的運行情況進(jìn)行分析，提供合理的擴(kuò)容、改造建議，確保系統(tǒng)的可持續(xù)發(fā)展。第三條 網(wǎng)絡(luò)管理員工作職責(zé)(一) 協(xié)助網(wǎng)絡(luò)主管制定網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)發(fā)展規(guī)劃，確保網(wǎng)絡(luò)系統(tǒng)安全運行。(二) 負(fù)責(zé)公用網(wǎng)絡(luò)實體(如服務(wù)器、交換機、集線器、防火墻、網(wǎng)關(guān)、配線架、網(wǎng)線、接插件等)的維護(hù)和管理。(三) 負(fù)責(zé)服務(wù)器和系統(tǒng)軟件的安裝、維護(hù)、調(diào)整及更新。(四) 負(fù)責(zé)網(wǎng)絡(luò)賬號管理、資源分配、數(shù)據(jù)安全和系統(tǒng)安全。(五) 監(jiān)視網(wǎng)絡(luò)運行，調(diào)整網(wǎng)絡(luò)參數(shù)，調(diào)度網(wǎng)絡(luò)資源，保持網(wǎng)絡(luò)安全、穩(wěn)定、暢通。(六) 負(fù)責(zé)系統(tǒng)備份和網(wǎng)絡(luò)數(shù)據(jù)備份。(七) 保管網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)接線表、設(shè)備規(guī)格及配置單，做好網(wǎng)絡(luò)管理記錄、網(wǎng)絡(luò)運行記錄、網(wǎng)絡(luò)檢修記錄等網(wǎng)絡(luò)資料，并納入資料庫。(八) 每年對本部門網(wǎng)絡(luò)的效能和各電腦性能進(jìn)行評價，提出網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)管理的改進(jìn)措施。第四條 安全審計員工作職責(zé)(一) 制定信息安全審計的范圍和日程(二) 管理具體的審計過程(三) 分析審計結(jié)果并提出對信息安全管理體系的改進(jìn)意見(四) 召開審計啟動會議和審計總結(jié)會議(五) 向主管領(lǐng)導(dǎo)匯報審計的結(jié)果及建議(六) 為相關(guān)人員提供審計培訓(xùn)。3. 關(guān)于加強與外界的溝通合作說明第一條 為加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，特規(guī)定定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題；第二條 為加為促進(jìn)更好的合作交流，規(guī)定加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通；加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；第三條 建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；第四條 為加強信息安全建設(shè)，特聘請信息安全專家作為常年的安全顧問，參與安全規(guī)劃和安全評審等。第二章 安全管理制度 1. 信息安全工作總則第一條 為加強和規(guī)范XXXXXX醫(yī)院及附屬單位信息系統(tǒng)安全工作，提高計算機中心信息系統(tǒng)整體安全防護(hù)水平，實現(xiàn)信息安全的可控、能控、在控，依據(jù)國家有關(guān)法律、法規(guī)的要求特制定本文檔。 第二條 本文檔的目的是為計算機中心信息系統(tǒng)安全管理提供一個總體的策略性架構(gòu)文件，該文件將指導(dǎo)計算機中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為計算機中心信息系統(tǒng)的安全管理工作提供參照，以實現(xiàn)中心統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運營。 第三條 本文檔適用于計算機中心的信息技術(shù)人員的安全管理和指導(dǎo)，適用于指導(dǎo)計算機中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實施，適用于計算機中心安全管理體系中安全管理措施的選擇。 第四條 引用標(biāo)準(zhǔn)及參考文件，本文檔的編制參照了以下國家、中心的標(biāo)準(zhǔn)和文件。 《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》《關(guān)于信息安全等級保護(hù)建設(shè)的實施指導(dǎo)意見》《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》《信息安全技術(shù) 信息系統(tǒng)安全管理要求》《信息系統(tǒng)等級保護(hù) 安全建設(shè)技術(shù)方案設(shè)計要求》《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》2. 信息安全方針和目標(biāo)第一條 計算機中心信息系統(tǒng)安全堅持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、分域”總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級保護(hù)制度。第二條 信息系統(tǒng)安全總體目標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對外服務(wù)中斷和由此造成的系統(tǒng)運行事故。 第三條 信息安全工作的總體原則如下：(一) 基于安全需求原則，組織機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。(二) 主要領(lǐng)導(dǎo)負(fù)責(zé)原則，主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效。(三) 全員參與原則，信息系統(tǒng)所有相關(guān)人員應(yīng)普