【正文】 內(nèi)部和外部網(wǎng)絡攻擊破壞的能力。第三十二條、郵政企業(yè)、快遞企業(yè)在采購計算機軟件、硬件產(chǎn)品或者技術服務時，應當與供應商簽訂保密協(xié)議，明確其安全責任，以及在發(fā)生信息安全事件時配合郵政管理部門和相關部門調(diào)查的義務。網(wǎng)絡管理人員的維護操作須經(jīng)安全管理員授權，并受到安全審計員的監(jiān)控和審計。存儲設備和介質(zhì)報廢的，應當及時刪除其中的寄遞用戶信息數(shù)據(jù)，并銷毀硬件。第五章、監(jiān)督管理第四十條、郵政管理部門依法履行下列職責：（一）制定保障寄遞用戶信息安全的政策、制度和相關標準，并監(jiān)督實施；（二）監(jiān)督、指導郵政企業(yè)、快遞企業(yè)落實信息安全責任制，督促企業(yè)加強寄遞用戶信息安全管理；（三）對寄遞用戶信息安全進行監(jiān)測、預警和應急管理；（四）監(jiān)督、指導郵政企業(yè)、快遞企業(yè)開展寄遞用戶信息安全宣傳教育和培訓；（五）依法對郵政企業(yè)、快遞企業(yè)實施寄遞用戶信息安全監(jiān)督檢查；（六）組織調(diào)查或者參與調(diào)查寄遞用戶信息安全事故，依法查處違反寄遞用戶信息安全管理規(guī)定的行為；（七）法律、行政法規(guī)和規(guī)章規(guī)定的其他職責。第四十三條、郵政管理部門應當對郵政企業(yè)、快遞企業(yè)建立和執(zhí)行寄遞用戶信息安全管理制度，規(guī)范從業(yè)人員信息安全保護行為，防范信息安全風險等情況進行檢查。第四十六條、郵政企業(yè)、快遞企業(yè)拒不配合寄遞用戶信息安全監(jiān)督檢查的，依照《中華人民共和國郵政法》第七十七條的規(guī)定予以處罰。第四十九條、任何單位和個人有權向郵政管理部門舉報違反本規(guī)定的行為。第五十一條、郵政管理部門及其工作人員對在履行職責過程中知悉的寄遞用戶信息應當保密，不得泄露、篡改或者損毀，不得出售或者非法向他人提供。依據(jù)《中華人民共和國保密法》、《醫(yī)療質(zhì)量管理辦法》，制定此制度系列。（四）任何員工不得以謀利為目的，散布、出賣、交換醫(yī)院涉密信息。（二）本管理制度所稱的醫(yī)院網(wǎng)絡系統(tǒng)是指在醫(yī)院信息系統(tǒng)中，由計算機及配套設施構成的，按照醫(yī)院網(wǎng)絡信息系統(tǒng)的應用目標和規(guī)定，對數(shù)據(jù)進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。（六）計算機網(wǎng)絡系統(tǒng)實行安全等級保護和用戶使用權限劃分。（九）未辦理入網(wǎng)手續(xù)，任何單位和個人不得非法私自將計算機接入醫(yī)院網(wǎng)絡，不得以不真實身份使用網(wǎng)絡資源，不得竊取他人賬號、口令使用網(wǎng)絡資源，不得盜用未經(jīng)合法申請的IP地址入網(wǎng)。（十二）要按要求對數(shù)據(jù)進行日備份、月備份和年備份。（十四）應在網(wǎng)絡系統(tǒng)或安全域邊界的關鍵點采用嚴格的安全防護機制，如嚴格的登錄／鏈接控制，高性能的防火墻、防病毒網(wǎng)關、入侵防范、信息過濾、邊界完整性檢查等。（十八）應部署有效的網(wǎng)絡病毒防范軟件系統(tǒng)和相應的網(wǎng)絡病毒防范管理辦法，實施對計算機網(wǎng)絡病毒的有效防范。（二十二）備份包括關鍵業(yè)務數(shù)據(jù)的備份、關鍵業(yè)務設備（如服務器、交換機等）的備份和電源備份。（二十四）應根據(jù)業(yè)務的重要程度、信息系統(tǒng)的資產(chǎn)價值等進行相應的需求分析，確定系統(tǒng)恢復的目標，如：關鍵業(yè)務功能、恢復的優(yōu)先順序、恢復的時間范圍。（二十六）任何部門和個人使用醫(yī)院網(wǎng)絡提供的遠程接人服務必須向信息科申請。否則，醫(yī)院有權停止對其提供的服務；由此造成的不良后果由用戶承擔。三、涉密數(shù)據(jù)保密管理制度（一）任何科室和個人不得利用涉密計算機網(wǎng)絡系統(tǒng)泄漏屬于醫(yī)院內(nèi)部秘密的信息數(shù)據(jù)，危害醫(yī)院、員工和患者的合法權益；不得從事其它違法犯罪活動。（三）涉密計算機網(wǎng)絡系統(tǒng)工作人員定期進行保密教育和檢查。（六）計算機存儲、處理、傳遞、輸出的涉密信息要有相應的密級標識且不得與正文分離，輸出的涉密文件按相應密級文件管理。（十）儲涉密數(shù)據(jù)的計算機硬盤或其它存儲介質(zhì)不得擅自更換或者報廢。不得在便攜式計算機上存儲涉密信息。對涉密信息確需對外發(fā)布、上網(wǎng)的，應采取解密或者刪除、改編、隱去等保密措施，并經(jīng)主管部門或保密工作部門審定。（三）服務器、計算機及輔助設備和其他應用軟件所配的專用磁盤、光盤，由中心專人登記管理入賬，每年清點一次。（七）對外來磁盤要先殺毒，后使用。六、服務器機房管理制度為保證網(wǎng)絡中心設備與信息的安全，保障機房有良好的運行環(huán)境和工作環(huán)境，作如下規(guī)定：（一）各門鑰匙由指定的專人保管，不能隨意轉(zhuǎn)借。早進入、晚離開時要檢查設備情況，離開時查看燈、門、窗、鎖是否關閉好。（六）機房內(nèi)的一切公用物品未經(jīng)許可一律不得挪用和外借。醫(yī)院未聯(lián)網(wǎng)工作的計算機也采用此制度進行管理。（五）不在計算機上玩游戲及做與工作無關的操作。（九）除計算機網(wǎng)絡中心機房工作人員外，任何入不得拆裝計算機，或擅自接入其它設備。（十三）計算機旁邊嚴禁擺放各種易燃易爆、腐蝕性或強磁物品。（十六）因維護管理不當造成計算機硬件設備損壞，由當事人負責賠償。（二）監(jiān)控機房管理員應認真履行職責，及時發(fā)現(xiàn)、報告、解決硬件系統(tǒng)出現(xiàn)的故障，保障系統(tǒng)的正常運行。機房禁止放置易燃、易爆、腐蝕、強磁性物品，禁止在監(jiān)控機房內(nèi)使用其他用電設備，禁止將監(jiān)控機房鑰匙交他人保管，確保監(jiān)控機房安全。（六）監(jiān)控機房內(nèi)保持清潔，嚴禁在機房抽煙、喝水、吃東西、亂扔雜物、大聲喧嘩等。如需監(jiān)控機房管理員進行配合的，監(jiān)控機房管理員應予以協(xié)助。通過進一步的分析，將故障發(fā)生類型劃分為網(wǎng)絡線路、網(wǎng)絡交換機、服務器三大類型，確定起因是硬件故障、外力損壞、惡意攻擊還是感染病毒，進而采取下一步措施。（3）搶修：攜帶對線器、轉(zhuǎn)接器、備用線、壓線鉗等工具，迅速到達線路故障現(xiàn)場，進行修復。網(wǎng)絡交換機故障（1）通知：值班人員迅速通知直接上級并層層上報。（3）修復：攜帶電筆、改刀等常規(guī)工具，迅速到達故障交換機所在位置，通過觀察交換機指示燈，確定其工作狀態(tài)是否正常：如果是斷電所致，立即與維修中心聯(lián)系，恢復供電；如果狀態(tài)鎖死，立即對交換機進行復位處理；排除上述因素后如果故障依舊，立即用備用交換機對其進行更換。待修復后備用。（2）診斷：根據(jù)故障現(xiàn)象，初步判定是硬件故障還是軟件故障，如果是硬件故障，立即斷開主服務器，啟用備用服務器；如果是系統(tǒng)軟件故障，盡量正常下機，重啟服務器；如果是應用軟件故障，立即聯(lián)系HIS公司進行遠程維護。（2）配合：聯(lián)系維修中心，確定停電的時間長短，如果在五分鐘以內(nèi)，在恢復供電后重新運行接口機即可；如果在五分鐘以上，對接口機和服務器進行正常下機操作，待恢復供電后，重新開啟服務器至運行狀態(tài)，再運行接口機。（2）診斷：對故障進行分析，找出病毒特征碼，確定是何種病毒。二、通訊網(wǎng)絡故障當通訊網(wǎng)絡發(fā)生故障后，要迅速根據(jù)設備監(jiān)控狀況、用戶反饋的故障現(xiàn)象，確定故障類型，將情況及時通報直接上級并層層上報。（2）查找：根據(jù)故障現(xiàn)象、范圍和分線盒的分布位置，確定故障點：如果是主線纜受損，立即通知電信相關部門進行搶修；如果是戶線纜受損，立即趕赴現(xiàn)場。交換機故障（1）通知：值班人員迅速通知直接上級并層層上報。將情況上報相關領導。（2）處理：中心機房通過UPS電源繼續(xù)正常工作，維護人員必須對設備的工作情況進行監(jiān)控。2評估依據(jù)、范圍和方法 評估依據(jù)根據(jù)國務院信息化工作辦公室《關于對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查的通知》（信安通［20xx］15號）、國家電力監(jiān)管委員會《關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知》（辦信息[20xx]48號）以及集團公司和省公司公司的文件、檢查方案要求， 開展單位的信息安全評估。資產(chǎn)清單見附表1。本局已成立了信息安全領導機構，但尚未成立信息安全工作機構。 評估結論本局已有兼職網(wǎng)絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責的工作職責與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。 評估標準運行管理應制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。 現(xiàn)狀描述沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。 評估結論局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備按要求采取設備冗余或準備備用設備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡拓撲結構圖。 網(wǎng)絡設備 評估標準網(wǎng)絡設備配置有備份，網(wǎng)絡關鍵點設備采用雙電源，關閉網(wǎng)絡設備HTTP、FTP、TFTP等服務，SNMP社區(qū)串、本地用戶口令強?。?字符，數(shù)字、字母混雜）。 現(xiàn)狀描述沒有IP地址管理系統(tǒng)，正在進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。 評估結論完善補丁管理的手段，制訂相應管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試記錄。第四條、公司法律顧問室負責公司各類合同的管理工作，具體職責是：（一）負責除銷售、采購合同以外，其他各類合同的談判工作并根據(jù)公司法定代表人的授權簽訂合同。（五）負責經(jīng)濟合同糾紛的處理。（二）訂立合同前，應當針對對方當事人的主體資格、資信能力、履約能力進行調(diào)查，不得與不能獨立承擔民事責任的組織簽訂合同，也不得與法人單位簽訂與該單位履約能力明顯不相符的經(jīng)濟合同。第三章、合同的內(nèi)容規(guī)定第七條、當事人的名稱、住所合同抬頭、落款、公章以及對方當事人提供的資信情況載明的當事人的名稱、住所應保持一致。第十條、質(zhì)量條款有國家標準，部門行業(yè)標準或企業(yè)標準的，應約定所采用標準的代號；化工產(chǎn)品等可以用指標描述的產(chǎn)品應約定主要指標要求（標準已涵蓋的除外）；憑樣品支付的應約定樣品的產(chǎn)生方式及樣品存放地點。第十二條、履行期限、地點和方式（一）履行期限應具體明確定，無法約定具體時間的，應在合同中約定履行期間的方式。第十四條、合同的解釋條款風險提示：實踐中，發(fā)生離職員工侵犯公司商業(yè)秘密時，爭議焦點往往不是員工有沒有義務保守公司的商業(yè)秘密，而是該秘密是不是構成受法律保護的“商業(yè)秘密”，以及單位如何提供證據(jù)證明離職員工實施了侵權行為及侵權造成的損失。第十六條、合同聯(lián)系制度履行期限1年以上的重大經(jīng)濟合同應當約定合同雙方聯(lián)系制度。第四章、簽訂合同的工作程序第十九條、簽訂合同前，業(yè)務人員或公司指定的其他談判人員應按照本制度第五條對對方當事人的有關情況進行審查，并復印對方當事人的法人營業(yè)執(zhí)照及其他行政許可證明留存。第二十三條、合同正式簽訂后，合同文本除經(jīng)辦人自行保管外，應當隨合同會審表交存公司法律顧問室一份備案。（二）在履行期限屆滿之前，對方明確表示或者以自己的行為表明不履行主要債務。第二十六條、變更或解除經(jīng)濟的，應當采用書面形式（包括書信、電報）。第二十九條、在合同履行過程中，對本公司的履行情況應及時做好記錄并經(jīng)對方確認。第三十條、在履行合同過程中，經(jīng)辦人員若發(fā)現(xiàn)并有確切證據(jù)證明對方當事人有下列情況之一的，應立即中止履行，并及時書面上報公司法律顧問室處理，并報總經(jīng)理。（四）有喪失或者可能喪失履行債務能力的其他情形。第七章、經(jīng)濟合同糾紛的調(diào)解、仲裁和訴訟第三十二條、合同雙方在履行過程中發(fā)生糾紛時，應首先按照實事求是的原則，平等協(xié)商解決。第八章、合同的日常管理第三十五條、本公司實行二級合同管理，公司法律顧問室全面負責公司的合同管理；銷售、采購部門的業(yè)務人員負責所在部門的合同管理。第三十七條、已簽訂的合同及送貨回單，增值稅發(fā)票收據(jù)以及業(yè)務往來傳真、信函、對賬單等資料，銷售、采購部門的業(yè)務人員應自行保管好；重要資料應將原件交公司法律顧問室隨合同保管。第四十條、下列合同由總經(jīng)理或其授權人審批：（一）標的超過100萬元的。第四十一條、下列合同由董事長審批：（一）標的超過500萬元的。（二）內(nèi)容復雜、較難掌握，各企業(yè)要求提供法律幫助的合同。（二）合同的嚴密性。（四）根據(jù)法律規(guī)定或?qū)嶋H需要，經(jīng)濟合同還應當或可以呈報上級主管機關見證、批準，或報工商行政管理部門鑒證，或請公證處公證。（二）審核。特殊情況，經(jīng)批準或授權的可不受審批程序的約束。簽約人對糾紛的處理必須具體負責到到底。（三）因?qū)Ψ截熑我鸬募m紛，應堅持原則，保障我方合法權益不受侵犯；因我方責任引起的糾紛，應尊重對方的合法權益，并盡量采取補救措施，減少我方損失；因雙方責任引起的糾紛，應實事求是，分清主次，合情合理解決。（三）其他應由法律顧問室處理的。第五十一條、合同糾紛的提出，加上由我方與對方當事人協(xié)商處理糾紛的時間，應在法律規(guī)定的時效內(nèi)（一般為2年）進行，并必須考慮有申請仲裁或訴訟的足夠時間。（四）產(chǎn)品的質(zhì)量標準、封樣、樣品或鑒定報告。第五十四條、各企業(yè)對雙方已經(jīng)簽署的解決合同糾紛的協(xié)議書，上級主管機關或仲裁機關的調(diào)解書、仲裁書，在正式生效后，應復印若干份，分別送與該糾紛處理及履行有關的部門收執(zhí)，各部門應由專人負責該文書執(zhí)行的了解或履行。執(zhí)行中若達成和解協(xié)議的，應制作協(xié)議書并按協(xié)議書規(guī)定辦理。第五十九條、對在合同簽訂、履行過程中發(fā)現(xiàn)重大問題，積極采取補救措施，使本公司避免重大經(jīng)濟損失以及在經(jīng)濟糾紛處理過程中，避免或挽回重大經(jīng)濟損失的，予以獎勵。第六十一條、合同經(jīng)辦人員出現(xiàn)下列情況之一，給公司造成損失的，公司酌情向有關人員追償損失：（一）因工作過失致使公司被詐騙。（五）合同專用章、蓋章的`空白合同、授權委托書遺失未及時報案和報告。第六十四條、本制度自公示之日起開始執(zhí)行。非本單位技術人員對我單位的設備、系統(tǒng)等進行維修、維護時，必須由公司相關技術人員現(xiàn)場全程監(jiān)督。二、操作員安全管理制度（一）操作代碼是進入各類應用系統(tǒng)進行業(yè)務操作、分級對數(shù)據(jù)存取進行控制的代碼。操作員調(diào)離崗位，系統(tǒng)管理員應及時注銷其代碼并生成新的操作員代碼。密碼設置不應是名字、生日，重復、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串；密碼應定期修改，間隔時間不得超過一個月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應立即修改，并在相應登記簿記錄用戶名、修改時間、修改人等內(nèi)容。有關密碼授權工作人員調(diào)離崗位，有關部門負責人須指定專人接替并對密碼立即修改或用戶刪