【正文】 XXXXXX醫(yī)院計(jì)算機(jī)信息系統(tǒng)制度匯總XXXXXX醫(yī)院計(jì)算機(jī)中心編制2016年11月目 錄前言 3第一章 安全管理機(jī)構(gòu) 41. 安全組織結(jié)構(gòu)及職責(zé) 42. 人員分配及職責(zé)規(guī)定 73. 關(guān)于加強(qiáng)與外界的溝通合作說(shuō)明 9第二章 安全管理制度 101. 信息安全工作總則 102. 信息安全方針和目標(biāo) 123. 信息安全總體安全策略 154. 關(guān)于制度發(fā)布審核說(shuō)明 18第三章 人員安全管理 191. 關(guān)于人員錄用管理規(guī)范 192. 關(guān)于安全意識(shí)教育和培訓(xùn) 20第四章 系統(tǒng)建設(shè)管理 221. 關(guān)于產(chǎn)品采購(gòu)和使用 222. 軟件開(kāi)發(fā)管理制度 263. 關(guān)于自主研發(fā)和外包開(kāi)發(fā)的說(shuō)明 284. 關(guān)于工程實(shí)施方面的管理 305. 系統(tǒng)交付驗(yàn)收制度 32第五章 系統(tǒng)運(yùn)維管理 331. 機(jī)房安全管理制度 332. XXXXXX醫(yī)院資產(chǎn)和設(shè)備管理制度 363. 關(guān)于存儲(chǔ)設(shè)備報(bào)廢銷(xiāo)毀管理規(guī)定 394. 關(guān)于密碼管理 405. 網(wǎng)絡(luò)安全管理規(guī)定 416. 系統(tǒng)安全管理規(guī)定 437. 關(guān)于備份與恢復(fù)管理 458. 應(yīng)急預(yù)案和處置管理制度 46前言為加強(qiáng)XXXXXX醫(yī)院等級(jí)保護(hù)相關(guān)信息安全管理的建設(shè)，確保醫(yī)院內(nèi)計(jì)算機(jī)信息系統(tǒng)的運(yùn)行安全、管理有序、措施有效，結(jié)合本系統(tǒng)、本單位實(shí)際，針對(duì)信息系統(tǒng)運(yùn)行中的管理過(guò)程、管理要求、管理內(nèi)容及信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的使用和管理制定本制度。根據(jù)江蘇省衛(wèi)生廳相關(guān)規(guī)定，結(jié)合我院具體情況，XXXXXX醫(yī)院應(yīng)用信息系統(tǒng)最高級(jí)別為二級(jí)。本制度制定依據(jù)為國(guó)家公安部等部門(mén)編寫(xiě)的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GBT 222392008）、《江蘇省開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的實(shí)施意見(jiàn)》（蘇公通［2007］187號(hào)）、《信息安全管理體系要求》（GB/T220802008）等文件規(guī)定。本制度適用于XXXXXX醫(yī)院內(nèi)應(yīng)用信息系統(tǒng)的管理。第一章 安全管理機(jī)構(gòu)1. 安全組織結(jié)構(gòu)及職責(zé)第一條 系統(tǒng)組織結(jié)構(gòu)圖主要負(fù)責(zé)人系統(tǒng)營(yíng)運(yùn)負(fù)責(zé)人系統(tǒng)開(kāi)發(fā)人員系統(tǒng)維護(hù)人員系統(tǒng)使用方負(fù)責(zé)人系統(tǒng)分管負(fù)責(zé)人系統(tǒng)管理員安全保密管理員第二條 系統(tǒng)營(yíng)運(yùn)負(fù)責(zé)人責(zé)任本系統(tǒng)主要由計(jì)算機(jī)中心負(fù)責(zé)維護(hù)，主機(jī)托管于計(jì)算機(jī)中心機(jī)房。負(fù)責(zé)人主要職責(zé)是：(一) 及時(shí)部署相關(guān)系統(tǒng)的安全與維護(hù)工作，保證系統(tǒng)的正常運(yùn)行和使用。（1） 掌握系統(tǒng)的基本使用情況；（2） 主持召開(kāi)領(lǐng)導(dǎo)小組工作會(huì)議，對(duì)系統(tǒng)安全工作進(jìn)行研究、部署；（3） 對(duì)系統(tǒng)安全，日常維護(hù)工作做出具體指示、提出明確意見(jiàn)和工作要求。(二) 定期或根據(jù)省、市保密部門(mén)要求組織對(duì)醫(yī)院各項(xiàng)安全保密工作落實(shí)情況的監(jiān)督檢查；(三) 對(duì)系統(tǒng)使用方履行職責(zé)提供保障：（1） 對(duì)系統(tǒng)使用方提供相應(yīng)服務(wù)，支持包括網(wǎng)絡(luò)，業(yè)務(wù)平臺(tái)等需求；（2） 支持使用方安全保密開(kāi)展工作；（3） 對(duì)系統(tǒng)使用方履行保密工作職責(zé)進(jìn)行監(jiān)督、指導(dǎo)；（4） 做好災(zāi)備工作，應(yīng)付各種系統(tǒng)突發(fā)事件，降低損失。第三條 系統(tǒng)使用方負(fù)責(zé)人責(zé)任對(duì)涉及本部門(mén)業(yè)務(wù)上保密業(yè)務(wù)的負(fù)有領(lǐng)導(dǎo)責(zé)任，主要職責(zé)是：(一) 全面及時(shí)研究和部署本部門(mén)保密工作：（1） 對(duì)本部門(mén)涉密和非涉密工作進(jìn)行劃分，掌握好本部門(mén)保密工作全面情況；（2） 主持召開(kāi)部門(mén)保密工作會(huì)議，對(duì)本部門(mén)保密工作進(jìn)行研究、部署；（3） 對(duì)本部門(mén)保密工作做出具體指示、提出明確意見(jiàn)和工作要求。(二) 定期或根據(jù)省、市、醫(yī)院保密部門(mén)要求組織對(duì)本部門(mén)各項(xiàng)保密工作落實(shí)情況的監(jiān)督檢查；(三) 對(duì)保密工作機(jī)構(gòu)履行職責(zé)提供保障：（1） 支持各業(yè)務(wù)部門(mén)開(kāi)展工作；（2） 支持專(zhuān)兼職保密工作人員開(kāi)展工作；（3） 對(duì)各業(yè)務(wù)部門(mén)履行保密工作職責(zé)進(jìn)行監(jiān)督、指導(dǎo)。(四) 組織開(kāi)展對(duì)新形勢(shì)下保密工作熱點(diǎn)、難點(diǎn)問(wèn)題的調(diào)查研究。第四條 安全保密管理員(一) 負(fù)責(zé)涉密信息系統(tǒng)的日常安全保密管理工作，包括對(duì)用戶賬號(hào)權(quán)限管理以及安全保密設(shè)備管理和系統(tǒng)所產(chǎn)生日志的審查分析。(二) 負(fù)責(zé)將系統(tǒng)權(quán)限分配策略與系統(tǒng)內(nèi)的用戶逐一對(duì)應(yīng)，并最終形成文檔化的用戶權(quán)限列表。(三) 監(jiān)視系統(tǒng)運(yùn)行情況的任務(wù)，完成對(duì)系統(tǒng)資源的各種非法訪問(wèn)的收集、記錄，然后進(jìn)行分析、處理，必要時(shí)還要將審計(jì)的異常事件及時(shí)上報(bào)主管領(lǐng)導(dǎo)。2. 人員分配及職責(zé)規(guī)定第一條 總則為進(jìn)一步加強(qiáng)信息網(wǎng)絡(luò)的管理，保障信息系統(tǒng)安全、穩(wěn)定運(yùn)行。應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全審計(jì)員崗位，并定義各個(gè)工作崗位的職責(zé)。第二條 系統(tǒng)管理員工作職責(zé)(一) 負(fù)責(zé)系統(tǒng)的日常運(yùn)行維護(hù)工作(二) 確保涉密信息系統(tǒng)處于無(wú)故障運(yùn)行的狀態(tài)(三) 能夠進(jìn)行網(wǎng)絡(luò)、操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)的安裝和維護(hù)工作，進(jìn)行系統(tǒng)功能、實(shí)時(shí)性能監(jiān)控和必要的狀態(tài)檢查(四) 定期備份數(shù)據(jù)，能夠在系統(tǒng)中斷、運(yùn)行癱瘓的情況下，及時(shí)排除相應(yīng)故障，避免或盡可能降低系統(tǒng)損失；(五) 對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行分析，提供合理的擴(kuò)容、改造建議，確保系統(tǒng)的可持續(xù)發(fā)展。第三條 網(wǎng)絡(luò)管理員工作職責(zé)(一) 協(xié)助網(wǎng)絡(luò)主管制定網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)發(fā)展規(guī)劃，確保網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。(二) 負(fù)責(zé)公用網(wǎng)絡(luò)實(shí)體(如服務(wù)器、交換機(jī)、集線器、防火墻、網(wǎng)關(guān)、配線架、網(wǎng)線、接插件等)的維護(hù)和管理。(三) 負(fù)責(zé)服務(wù)器和系統(tǒng)軟件的安裝、維護(hù)、調(diào)整及更新。(四) 負(fù)責(zé)網(wǎng)絡(luò)賬號(hào)管理、資源分配、數(shù)據(jù)安全和系統(tǒng)安全。(五) 監(jiān)視網(wǎng)絡(luò)運(yùn)行，調(diào)整網(wǎng)絡(luò)參數(shù)，調(diào)度網(wǎng)絡(luò)資源，保持網(wǎng)絡(luò)安全、穩(wěn)定、暢通。(六) 負(fù)責(zé)系統(tǒng)備份和網(wǎng)絡(luò)數(shù)據(jù)備份。(七) 保管網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)接線表、設(shè)備規(guī)格及配置單，做好網(wǎng)絡(luò)管理記錄、網(wǎng)絡(luò)運(yùn)行記錄、網(wǎng)絡(luò)檢修記錄等網(wǎng)絡(luò)資料，并納入資料庫(kù)。(八) 每年對(duì)本部門(mén)網(wǎng)絡(luò)的效能和各電腦性能進(jìn)行評(píng)價(jià)，提出網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)管理的改進(jìn)措施。第四條 安全審計(jì)員工作職責(zé)(一) 制定信息安全審計(jì)的范圍和日程(二) 管理具體的審計(jì)過(guò)程(三) 分析審計(jì)結(jié)果并提出對(duì)信息安全管理體系的改進(jìn)意見(jiàn)(四) 召開(kāi)審計(jì)啟動(dòng)會(huì)議和審計(jì)總結(jié)會(huì)議(五) 向主管領(lǐng)導(dǎo)匯報(bào)審計(jì)的結(jié)果及建議(六) 為相關(guān)人員提供審計(jì)培訓(xùn)。3. 關(guān)于加強(qiáng)與外界的溝通合作說(shuō)明第一條 為加強(qiáng)各類(lèi)管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通，特規(guī)定定期或不定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題；第二條 為加為促進(jìn)更好的合作交流，規(guī)定加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通；加強(qiáng)與供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織的合作與溝通；第三條 建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱(chēng)、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；第四條 為加強(qiáng)信息安全建設(shè)，特聘請(qǐng)信息安全專(zhuān)家作為常年的安全顧問(wèn)，參與安全規(guī)劃和安全評(píng)審等。第二章 安全管理制度 1. 信息安全工作總則第一條 為加強(qiáng)和規(guī)范XXXXXX醫(yī)院及附屬單位信息系統(tǒng)安全工作，提高計(jì)算機(jī)中心信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求特制定本文檔。 第二條 本文檔的目的是為計(jì)算機(jī)中心信息系統(tǒng)安全管理提供一個(gè)總體的策略性架構(gòu)文件，該文件將指導(dǎo)計(jì)算機(jī)中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為計(jì)算機(jī)中心信息系統(tǒng)的安全管理工作提供參照，以實(shí)現(xiàn)中心統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實(shí)到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。 第三條 本文檔適用于計(jì)算機(jī)中心的信息技術(shù)人員的安全管理和指導(dǎo)，適用于指導(dǎo)計(jì)算機(jī)中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實(shí)施，適用于計(jì)算機(jī)中心安全管理體系中安全管理措施的選擇。 第四條 引用標(biāo)準(zhǔn)及參考文件，本文檔的編制參照了以下國(guó)家、中心的標(biāo)準(zhǔn)和文件。 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《關(guān)于信息安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見(jiàn)》《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù) 信息系統(tǒng)安全管理要求》《信息系統(tǒng)等級(jí)保護(hù) 安全建設(shè)技術(shù)方案設(shè)計(jì)要求》《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》2. 信息安全方針和目標(biāo)第一條 計(jì)算機(jī)中心信息系統(tǒng)安全堅(jiān)持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級(jí)、分域”總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。第二條 信息系統(tǒng)安全總體目標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類(lèi)攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對(duì)外服務(wù)中斷和由此造成的系統(tǒng)運(yùn)行事故。 第三條 信息安全工作的總體原則如下：(一) 基于安全需求原則，組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。(二) 主要領(lǐng)導(dǎo)負(fù)責(zé)原則，主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識(shí)，組織有效安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門(mén)工作的關(guān)系，并確保其落實(shí)、有效。(三) 全員參與原則，信息系統(tǒng)所有相關(guān)人員應(yīng)普