医院信息安全保密制度(精选8篇)
医院信息安全保密制度旨在保护患者隐私,确保医疗信息安全,规范信息管理流程,防止数据泄露和滥用,维护医院信誉和法律合规。下面是小编给各位分享的医院信息安全保密制度,仅供参考,喜欢就支持一下啦。
医院信息安全保密制度 篇1
(一)总则:
1、为保守医院秘密,维护医院权益,特制定本制度。
2、医院秘密是关系医院发展和利益,依照特定程序确定,在一定时间内只限一定范围的人员知悉的事项。
3、医院各科室和全体员工都有保守医院秘密的义务。
4、医院保密工作,实行既确保秘密又便利工作的方针。
(二)保密范围和密级确定:
1、医院秘密包括下列秘密事项:
(1)医院重大决策中的秘密事项。
(2)医院尚未付诸实施的发展战略、发展方向、发展规划等。
(3)医院内部掌握的合同、协议、意见书及可行性报告、主要会议记录。
(4)医院财务预决算报告及各类财务报表、统计报表。
(5)医院所掌握的尚未进入社会或尚未公开的各类信息。
(6)医院员工的人事档案,工资性、劳务性收入及家庭地址、家庭成员、通讯方式等员工基本情况。
(7)其他经医院确定应当保密的`事项。一般性决定、决议、通告、通知、行政管理资料等内部文件不属于保密范围。
2、医院秘密的密级分为“绝密”、“机密”、“秘密”三级。绝密是最重要的医院秘密,泄露会使医院利益遭受特别严重的损害;机密是重要的医院秘密,泄露会使医院权益和利益遭受到严重的损害;秘密是一般的医院秘密,泄露会使医院的权益和利益遭受损害。
3、医院密级的确定:
(1)医院经营发展中,直接影响医院权益和利益的重要决策文件资料为绝密级;
(2)医院的规划、财务报表、统计资料、重要会议记录、医院经营情况为机密级;
(3)医院人事档案、合同、协议、职员工资性收入、尚未进入市场或尚未公开的各类信息为秘密级。
(三)保密措施:
1、属于医院秘密的文件、资料和其它物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,由党政办或分管副院长委托专人执行;采用电脑技术存取、处理、传递的医院秘密由信息部门负责保密。
2、对于密级文件、资料和其他物品,必须采取以下保密措施:
(1)非经院长或分管院长批准,不得复制和摘抄;
(2)收发、传递和外出携带,由指定人员担任,并采取必要的安全措施;
3、不准在私人交往和通信中泄露医院秘密,不准在公共场所谈论医院秘密,不准通过其他方式传递医院秘密。
4、医院工作人员发现医院秘密已经泄露或者可能泄露时,应当立即采取补救措施并及时报告党政办;党政办接到报告,应立即作出处理。
(四)责任与处罚:
1、出现下列情况之一者,给予警告,并扣发50—500元:
(1)泄露医院秘密,尚未造成严重后果或经济损失的;
(2)违反本制度规定的秘密内容的;
(3)已泄露医院秘密但采取补救措施的。
2、出现下列情况之一的,予以辞退并酌情赔偿经济损失,必要时追究其法律责任:
(1)故意或过失泄露医院秘密,造成严重后果或重大经济损失的;
(2)违反本保密制度规定,为他人窃取、刺探、收买或违章提供医院秘密的;
(3)利用职权强制他人违反保密规定的。
医院信息安全保密制度 篇2
为了保护《出生医学证明》个人信息安全,保障公民的合法权益,特拟定以下制度:
一、保护能够识别公民个人身份和涉及公民个人隐私的信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。
二、《出生医学证明》办理工作人员在业务活动中收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的'目的、方式和范围,不得违反法律、法规的规定收集、使用信息。
三、《出生医学证明》办理工作人员对在业务活动中收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
四、《出生医学证明》办理单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
五、《出生医学证明》办理单位应当加强对公民个人信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
医院信息安全保密制度 篇3
一、信息系统安全包括:软件安全和硬件网络安全两部分。
二、网络信息办公室人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏及失效等灾难性故障。
三、对HIS系统用户的访问模块、访问权限由院长提出后,由网络信息办公室人员给予配置,以后变更必须报批后才能更改,网络信息办公室做好变更日志存档。
四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由网络信息办公室人员监督检查更换新的密码。
五、网络信息办公室人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生。
六、网络系统所有设备的配置、安装、调试必须由网络信息办公室人负责,其他人员不得随意拆卸和移动。
七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的'工作。
八、严禁自行安装软件,特别是游戏软件,禁止在工作用电脑上打游戏。
九、所有进入网络的光盘、U 盘等其他存贮介质,必须经过网络信息办公室负责人同意并查毒,未经查毒的存贮介质绝对禁止上网使用,对造成“病毒"蔓延的有关人员,将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。
十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接。
十一、内网用户所有文件传递,不得利用光盘和U 盘等存贮介质进行拷贝。
十二、保持计算机硬件网络设备清洁卫生,做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。
十三、网络信息办公室人员有权监督和制止一切违反安全管理的行为。
十四、 信息系统故障应急预案:
1、对网络故障的判断:当网络系统终端发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时,要立即向网络信息办公室汇报,网络信息办公室工作人员对科室提出的上述问题必须重视,经核实后给予科室反馈信息。网络信息办公室负责人应召集有关人员及时进行讨论,如果故障原因明确,可以立刻恢复工作的,应立即恢复工作;如故障原因不明确、情况严重不能在短期内排除的,应立即报告院领导,在网络不能运转的情况下由机关协调全院工作以保障医疗工作的正常运转。
2、网络故障分为三类:
(1)一类故障:服务器不能工作;光纤损坏;主服务器数据丢失;备份盘损坏;服务器工作不稳定;局部网络不通;数据被人删改;重点终端故障;规律性的整体、局部软、硬件故障。
(2)二类故障:单一终端软、硬件故障;单一患者信息丢失;偶然性的数据处理错误;某些科室违反工作流程要求。
(3)三类故障:各终端由于不熟练或使用不当造成的错误。
医院信息安全保密制度 篇4
一、医院安全管理检查内容:
1、各项安全制度、安全操作规程是否落实。
2、接待会客登记等各项手续是否健全并按要求办理。
3、门窗是否牢靠,下班后是否关窗锁门。
4、各种钥匙的管理是否严格,有无交接手续,有无漏洞。
5、办公室的印章、票款、贵重物品、重要文件的存放是否安全可靠。
6、财务制度、库房管理制度是否落实,有无漏洞。
7、各种电器设备、消防器材、设施、报警系统等是否完好和灵敏有效。
8、易燃、易爆、剧毒等危险品的存放是否安全可靠。
9、有无火患及其他不安全因素。
10、各个部门值班情况,有无脱岗现象。
11、各部领导对安全工作是否重视,对检查发现的不安全因素是否认真整改。
二、安全检查制度实施办法
1、各部门、各岗位的领导和工作人员每天要结合服务工作对所负责的区域进行检查巡视,发现不安全因素及时处理和报告。
2、每月由行政部组织专门人员,对医院各部位进行一次全面安全检查。
3、行政部对各部门各岗位的安全情况随时可进行监督检查,各部门领导要予以支持和合作。医院安全保卫负责人每日详细填写《安全工作检查日记》。
4、重要节日前夕或有重活动时,由医院行政部组织全面检查。
5、机关、消防监督机关来医院进行安全检查时,各部门要予以协作。
6、每次安全检查情况,行政部要认真记录登记,建立安全检查档案。对经检查发现的不安全隐患,要及时通知有关部门。
7、各部门对存在的不安全隐患,要按要求的期限认真整改,一时解决不了的,要及时报告行政部,同时必须采取临时安全措施,保证安全。
三、医院钥匙管理规定
1、医院所有钥匙统一由行政部办理登记配给并办理更换手续;
2、医院任何场所之钥匙(财务室及金仓库除外),行政部留存一套备用。
3、行政部建立钥匙发放登记档案,将钥匙发出、更换日期、使用地点、数量、领取者姓名、所属部门及领取原因等分项进行登记,并由登记人、领取人同时签字。
4、凡属行政部配发的钥匙,如已磨损不能使用,或其他原因须报废必须由部门负责人出具证明,并将钥匙一起报行政部注销。
四、医院消防管理规定
认真贯彻"预防为主,防消结合"的消防工作方针和上级有关消防安全规指示,结合本部门工作,做好消防工作。严格遵守消防条例、法规、防火制度和操作规程,发现问题及时汇报,制止任何违消防制度的行为。
1、布置和组织本单位的防火宣传教育工作,制定防火安全制度,消除火灾隐患。
2、对本部门的防火重点要专人负责,采取必要的安全措施和健全各项防火安全,发现隐患及整改。
3、维护保养消防器材和消防设备,不得随意挪动和损坏。
4、做好上班前、下班后的'安全检查工作。
5、发现火险积极扑救并及时准确报警,控制火灾发展。
6、熟悉本岗位的环境、设备、物品及安全操作规程,做好班前班后的防火安全检查,清楚安全出入口的位置,熟悉消防器材、消防设备的摆放位置、使用方法、并做好保管工作。
7、对存放易燃易爆危险品的地方或物资库,严禁吸烟和动用明火,各类物品按条例有关规定存放,保持安全通道的畅通。
8、不准在办公室存放易燃易爆、有毒和蚀性物品,对暂时使用的易燃、可燃品要、及时清理。不准将衣物放在台灯罩上烘干或在室内、房间内焚烧物品,下班前要关闭电脑等用电器。
9、不准使用电器设备加热东西,如因工作和维修使用电烙铁或其他电热工具时要注意防火安全,人离时要切断电源。
10、不准乱拉乱接电线,因工作需要时必须经行政部批准。
11、外来施工人员须在医院内夜间作业时,必须由行政部批准并安排专人实施安全管理。
五、医疗安全管理规定
1、应本着高度负责的原则对来院顾客做好手术或治疗前诊断,对各类手术或治疗手段的禁忌症要科学识别,禁止违规。
2、对顾客的术前检查或化验要严谨规范,及时提供准确、完整的检验报告,严防漏查、误查事故的发生。
3、严格执行无菌操作,认真做好"三查七对",随时检查医疗设施设备的完好性、无菌性和药品、试剂等管理的规范性,认真做好各种治疗记录。
4、医生按规范要求认真填写病历、书写医嘱,准确交待相关注意事项,以高度负责的态度做好留守值班等工作,谨防差错事故发生。
5、护理治疗人员严格遵照医嘱进行治疗,患者有特殊要求时,须及时请教经治医生,不能擅作主张。
6、认真做好顾客术前术后的照像及手术(治疗)协议等客户资料、收集与整理工作,确保客户资料齐全。
7、男医生需在隐蔽区域为女患者做身体检查时,必须要在一名女护士在场时方可进行,否则视为严重违规,箭一次。
8、医生不得私自给患者实施手术同意书约定范围之外的其它手术,否则视为严重违规,箭一次,若发生医疗纠纷或事故,由责任人负担相应的经济、行政甚至法律责任。
医院信息安全保密制度 篇5
一、计算机安全管理
1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。
2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。
3、计算机的软件安装和卸载工作必须由信息科技术人员进行。
4、计算机的使用必须由其合法授权者使用,未经授权不得使用。
5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。
6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。
7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的'移动存储工具。
二、网络使用人员行为规范
1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。
2、不得在医院网络中进行国家相关法律法规所禁止的活动。
3、未经允许,不得擅自修改计算机中与网络有关的设置。
4、未经允许,不得私自添加、删除与医院网络有关的软件。
5、未经允许,不得进入医院网络或者使用医院网络资源。
6、未经允许,不得对医院网络功能进行删除、修改或者增加。
7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
8、不得故意制作、传播计算机病毒等破坏性程序。
9、不得进行其他危害医院网络安全及正常运行的活动。
三、 网络硬件的管理网络硬件
包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。
1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。
2、不得破坏网络设备、设施及通信线路。由于事故原因造成的网络连接中断的,应根据其情节轻重予以处罚或赔偿。
3、未经允许,不得中断网络设备及设施的供电线路。因生产原因必须停电的,应提前通知网络管理人员。
4、不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特殊情况应提前通知网络管理人员,在得到允许后方可实施。
四、软件及信息安全
1、计算机及外设所配软件及驱动程序交网络管理人员保管,以便统一维护和管理。
2、管理系统软件由网络管理人员按使用范围进行安装,其他任何人不得安装、复制、传播此类软件。
3、网络资源及网络信息的使用权限由网络管理人员按医院的有关规定予以分配,任何人不得擅自超越权限使用网络资源及网络信息。
4、网络的使用人员应妥善保管各自的密码及身份认证文件,不得将密码及身份认证文件交与他人使用。
5、任何人不得将含有医院信息的计算机或各种存储介质交与无关人员。更不得利用医院数据信息获取不正当利益。
医院信息安全保密制度 篇6
1.目的:为保证医院信息系统正常运行,信息化建设顺当开展,依据《中华人民共和国计算机信息系统安全保护条例》,特制定本制度。
2.适用范围:全体员工。
3.定义:无
4.职责:无
5.标准
信息系统安全治理
建立健全规章制度
建立各项规章制度,据统计90%以上的治理和安全问题来自终端,提高各部门人员的安全意识格外重要,我院加强了有关人员的安全教育,强化安全意识和法制观念,提升职业道德,把握安全技术,确保这些措施落实到位。
建设标准的计算机机房,保证机房的安全
计算机机房作为网络的核心设备所在地,是网络安全的重要保证之一,机房在建设、装修时严格依据机房标准设计、装修,做到了专线、双路供电。机房选用的设备应稳定牢靠、性能优良、电磁辐射小,对环境条件的要求尽可能低。设备能抗震防潮、抗电磁幅射干扰、抗静电,有过压、欠压、过流等电冲击的自动防护力量,有良好的接地保护措施。
网络和数据安全
连入网络的各科室和个人办公工作台必需严格执行安全保密制度,并对所供给的信息负责。不得利用计算机和网络从事违反国家法律、法规、泄露单位机密的活动。
任何科室和个人不得在本院联网计算机上制作、查阅、复制和传播危害国家安全、有碍社会治安和有伤风化的信息。
不允许在网络上进展干扰网络用户、破坏网络效劳和网络设备的活动。
除信息科外其他科室或个人不得以任何方式试图登陆网络效劳器和网络交换机等设备进展修改、设置、删除等操作;不得盗窃、破坏网络设施。
不得利用各种网络设备或软件技术从事账号及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵害。严禁在本院联网计算机上使用未经信息科主任批准的软件。
院内各科室和个人需要联入因特网,必需提交经科主任审定后的申请报告,由分管院长或院长审批同意后,由信息科负责实施开通。
联网用户必需使用由信息科安排的IP地址,严禁私自设置IP、盗用IP地址。
员工应对输入计算机的数据准确性负责,不得随便增减或删除有效数据。
数据备份与维护
数据备份关系到整个信息系统正常运转,影响到全院正常的医疗秩序,责任格外重大,必需具有高度的责任感和一丝不苟、万无一失的严谨工作作风。
数据效劳器每天自动实时备份,数据实时同步到灾备效劳器上。
定期对数据进展一次恢复试验,以确保备份数据安全牢靠。
依据数据增长量,应定期对过期数据进展处理,以保障系统运作效率。
制止泄露、外借和转移专业数据信息。
除正常系统维护之外,全部业务数据的更改必需有科主任的审批,未经批准不得随便更改业务数据。
病毒防护措施
计算机必需配备标准的防毒软件,该软件由信息科规定,承受正版防病毒软件并准时更软件版本,定期进展病毒检测。
全部电脑操作人员应有较强的病毒防范意识,觉察病毒马上处理并通知治理部门或专职人员。
不连网的计算机用户有责任保护使用的计算机不被病毒侵害,并由信息科进展适当监视。
严禁安装与工作无关的软件,此类软件将会被马上删除而不提前通知。未经信息科主任许可,当班人员不得在效劳器上安装软件,假设确为需要安装,安装前应进展病毒例行检测。安装后应书面报告备案。
配有软驱和光驱的计算机未经批准不得连入院内网络。严禁在内网计算机上使用可移动存储设备〔如USB移动盘,闪存卡,数码相机,移动硬盘等〕。
经远程通信传送的程序或数据,必需经过检测确认无病毒前方可使用。建立网络杀毒系统,定时更病毒库。
应用软件权限设置
我们通过相关制度明确规定了每个操作人员的权限范围,通过授权、与MAC地址绑定等方法限制用户的行为,同时还通过内网安全治理软件的设备软件资源治理模块对一些软件进展限制性安装,网管随机地通过软件搜寻网内的共享资源、系统进程等各项信息,有效地阻挡了一些操作人员的猎奇心,使其只能提取与其业务有关的数据,提高了数据的保密性,提升了网络的安全性。
系统软件的安全保障
对全部系统工程我院要进展严格的审查,严格依据预算,由信息治理委员会开会决议。审查时严格把关,需求说明书中的用户需求目标必需到达。工程验收时质量要满足质量标准并建立相应的系统和业务文档资料存档。
信息共享与保密制度
医院信息系统数据库中的信息资源,除信件、私人文档等纯属个人物品外,其他全部行政和医疗治理类信息及病人临床信息均归医院全部,任何个人或组织、部门均不得视信息为私有或部门全部。信息的全部权与信息的发生地和录入者没有关系。
不经主管部门批准,任何部门及个人无权将医院信息系统数据库中的任何信息资源有偿或无偿地转移给院外用于任何目的。违反本规定的个人或部门负责人将会受到相应的`行政惩罚直至追究法律责任。
信息系统数据库中信息资源的共享权限由信息科依据本规定的原则制定,由信息科负责解释和实施。
信息系统建设的重要目的之一就是要实现快速、准确、完整的信息传递和共享。信息的共享是双向的。实际上,没有任何一个部门不需要共享其它部门的资源。任何一个部门无权拒绝其它部门对本部门负责录入和治理的数据的共享,但这种共享必需是经过主管部门授权的、合法的。
各部门对信息的录入必需保证其准时、准确和完整。
医生有权从计算机中读取容许其处置的个体病人的全部诊疗信息并用于关心诊疗。不容许任何部门和个人实行任何借口和手段予以拒绝。医生无权成批地检索病人信息,如因教学、科研确有需要,需经主管部门批准。
医生不得未经信息发生和录入部门的同意,私自将计算机中的病人信息用于科研、教学和任何公开发表的文献中。
未经医务科护理部和主管院长批准,任何人不得供给病人的各种检查、化验结果报告和病人的其它信息给病人以外的其它人员。医生或其它任何人不经授权不得从异地计算机打印检查、化验报告。
账号及密码制度
依据《中华人民共和国执业医师法》和《医疗机构治理条例》为进一步强化系统信息安全治理,特制定以下制度。
全部信息系统的使用者必需经过标准的用户认证,至少支持用户名/密码、数字证书、指纹识别中的一种认证方式。
系统承受用户名/密码认证方式时,要求用户必需修改初始密码,重设置密码,密码必需至少8位,并由数字和字母共同组成。
设置密码有效期,用户使用超过有效期的密码不能再次登录系统。
设置账户锁定阈值时间,用户屡次登录错误时,自动锁定该账户,治理员有权限解除账户锁定。
系统承受用户名/密码认证方式时,经本人申请,治理员有权限重置密码。
员工不得将本人的账号和密码告知其他人或写在任何其他人可得到的书面资料上,并定期修改密码,对有疑问的密码应准时修改。
任何人员不得使用他人的账号和密码,也不得将工作范围内可接触到的数据告知其他任何未经授权的人员,并在离开终端时准时退出计算机系统。
如因密码外泄或无密码造成的纠纷,由账号全部人自行担当。
网络安全策略及运行机制
网络安全的技术方案
为保证医院信息系统运行的网络安全,医院网络安全策略实行如下技术方案:
医院的内网与外面规律隔断。
需要访问计算机单独开设端口,且不得同时接入内网,全部访问外 网的行为通过上网行为治理监控,一律通过机房的硬件防火墙访问,防火墙做相应的安全设置。
在内网中使用企业版360安全卫士及杀毒软件进展安全防护,应用网管软件远程治理全部内网电脑。
网络安全策略的运行机制
杀毒软件:
效劳端连入外网自动实时升级。
客户端每天上下午自动执行一次病毒查杀,并承受效劳端的命令实时升级。
桌面治理软件:
对内网工作站电脑进展限制,封除USB、光驱等这些可能带来病毒的途径。
对可运行的进程设置白名单。
可发放补丁文件到各个工作站统一升级。
网络治理软件:
对网络中的各项指标参数进展监控,可对各种正常指标参数进展阀值设置,超出正常范围即产生报警。
保证安全策略运行的工作机制
科室工作人员分工明确,严格履行工作职责,对分管的安全治理软件定时运行,进展实时监测,并作好记录,觉察问题准时报告部门主管。
数据备份与恢复、网络设备根本故障处理等技术方案相关人员知晓。
定期进展巡察记录结果分析,觉察常见问题和工作薄弱环节。
信息科主管定期检查各项巡察记录,把握系统运行状况,定期向分管院长汇报,准时解决实际问题。
组织大家学习争论解决问题的方法,不断提高信息工程人员的技术和治理水平。
6.流程
无
7.表单
无
8.相关文件
无
医院信息安全保密制度 篇7
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在我院全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为我院卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点以及我院实际情况,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,明确责任。我院严格按照国家信息安全等级保护制度有关要求,贯彻落实本院卫生信息系统安全等级保护的指导和管理工作。按照上级要求,制定“谁主管、谁负责,谁运营、谁负责”的责任制度,落实信息安全责任。
(三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
在分管院长、院办主任的领导下,由我院信息中心落实本院卫生信息安全等级保护工作,负责对我院卫生行业信息安全等级保护工作的组织协调、监督指导,积极开展信息安全等级保护工作。按照上级相关要求,我院建立信息安全等级保护工作联络员机制,设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本院信息安全等级保护工作动态和总体情况,代表我院与卫生行政部门]以及信息安全等级保护管理部门进行日常联系和交流,协调落实本院信息安全等级保护工作。
四、工作任务
(一)定级备案
1.我院对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。国家信息安全等级保护制度将信息安全保护等级分为五级:第-级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。我院重要卫生信息系统安全保护等级原则上不低于第三级。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家.委员会论证、评审。
3.确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案:在各地运行、应用的.分支系统,应当报属地公安机关备案。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》.《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.本院应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重
要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.我院信息中心对本院相关部门开展等级保护政策和标准规范培训,提高本院信息安全管理人员的技术能力和管理水平。
2.本院应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)接受监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。
五、工作要求
(一)高度重视,加强领导。本院各部门要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。主要负责同志要负总责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事8程和工作绩效考核指标,--级抓一级,层层抓落实。
(二)保障经费,加强监管。要建立经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算,并加强对资金使用的监管。
(三)加强沟通,密切合作。信息中心高度重视医院信息安全等级保护管理工作,应当加强与各级卫生行政部门的沟通交流,建立协作机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等级保护工作。
医院信息安全保密制度 篇8
一、用户管理制度:
1、信息科不得向任何人透漏员工的账号和密码。
2、医院员工对本人账号和密码必须遵守以下规定:
(1)新员工凭人事科报到单,到信息科配置账号和密码;员工离院时:到信息科注销账号和密码;人事科凭信息科“已注消账号和密码”的依据同意员工调出或离院;财务科凭信息科“已注消账号和密码”的依据结付相关费用。
(2)员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上,并每隔60天定期修改密.码,对有疑问的密码应及时修改。
(3)任何人员不得使用他人的账号和密码,也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员,并在离开终端时及时退出计算机系统。
(4)密码可以是字母与数字的组合。
二、系统操作分级管理制度
1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分,以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。
2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为信息科主任与服务器管理员。所能操作人员仅限于服务器最高权限的管理员。采取统一入口管理。对于一些重大操作,必须有文字记录。
3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为信息科主任与信息科工作人员。对于一些重大操作,必须有文字记录。
4、三级设备为安装在各使用部门的电脑,密码由相关科室设备负责人自行保管。
5、对于设备具体分级细则,在遵循以上原则的情况下,细节由信息科内部协商判断而制定。
6、对于密码,数据泄露,造成业务中断,或相关私密数据泄露。将临时通过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后,上报医院存档。
三、网络运行监控、防病毒防入侵、桌面管理措施
1、为了保护我院数据与网络的安全,保证网络的正常运行,促进网络更好的应用和发展,制定本制度。
2、利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信。
3、利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全。
4、利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝。
5、利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的`访问权限控制在最低限度内。
6、利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作。
7、利用防火墙及服务器.上的审计记录,形成一个完善的审计体系,建立第二条防线。
8、根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。
9、对网络边界点的数据进行检测,防止黑客的入侵;
10、对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改;
11、监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作;
12、对用户的非正常活动进行统计分析,发现入侵行为的规律;
13、实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动;
14、对关键正常事件及异常行为记录日志,进行审计跟踪管理。
15、进行统一的安全策略管理和集中的防病毒监控。安装防病毒系统,支持在Windows7和MS Exchange等各种主流系统上实现防病毒保护,实时监视系统病毒活动全面查杀病毒、蠕虫、木马、恶意Java/ActiveX程序等,提供灵活多样的病毒修复和处理方法,其病毒检测处理技术处于业界领先地位。
16、内外网物理隔离,在内网客户端上,禁止使用USB存储、设备。
上一篇:卫生检查评比制度最新14篇
下一篇:返回列表