XX医院信息管理制度

1、XX医院信息管理制度为了加强医院信息系统的领导和管理， 保障系统有序运行，制定本制度。 一、组织管理 （一）医院信息化领导小组组   长： 副组长： 成   员： 医院信息化领导小组职责：1.负责医院信息化建设全面领导工作。2.组织协调、监督检查各科室信息化建设工作。3.组织相关科室负责人定期召开专题会议研究部署信息化工作，根据医院信息化需要对管理模式和工作流程进行调整。4.研究决定医院信息化建设中的重大事项。（二）医院信息部门职责1、负责拟定医院信息化建设规划和计划，组织做好医院计算机信息网络系统的建设，完善医院信息系统的功能，参与新程序、新系统和各种

2、接口程序的设计开发，逐步实现医院信息管理现代化。2、组织医院信息系统的升级改造，维护医院信息系统和网络的正常运转，及时排除日常出现的软、硬件故障，保证系统和数据信息的安全。3、组织拟订、落实医院信息、网络管理和微机使用管理各项规章制度、技术操作规程，及时进行检查、督促、反馈。4、建立信息系统硬件巡查台账，每周至少巡查1次，各种登记、签字及时规范；建立信息系统故障处理登记台账，及时处理信息系统故障（一般硬件故障随时处理完毕，系统软件故障及时联系软件工程师处理）；每月至少召开1次科室信息管理员会议。5、做好医院计算机基本理论和操作技能的培训工作，协助其他科室开发相关软件，做好技术服务。6、及时、准

3、确、全面地完成医疗信息的统计、分析、整理上报，为医院经营决策、管理、业务技术发展提供信息支持。7、认真落实国家和医院有关信息系统安全工作的有关规定，定期排查、处理医院信息系统存在的不安全因素，确保网络信息安全。8、完成院领导安排的其他工作。（三）信息部门负责人职责1、组织协调好医院信息部门各项工作，合理安排医院信息部门各岗位人员工作，确保医院信息部门各项工作有序进行。2、组织落实制定全院信息化工作应用规划和年度工作计划，并组织对计划落实情况的检查。3、组织落实全院信息系统的论证、调研、系统分析、开发及应用软件的使用与维护。4、建立健全和落实信息化建设的各项管理规章制度。5、加强与各科室的沟通协

4、调，积极听取各科室的意见和建议，改进工作。6、及时了解相关法规、政策，做好医院信息系统软件的改造、部署、安装、调试，使医院的信息化建设适应医院发展要求。7、做好医院信息系统软件、硬件的维护工作，定时进行巡查，发现问题及时解决，加强医院信息系统网络和数据的安全性，确保医院信息系统正常运行。8.加强职工信息化知识技术培训、提高全员信息化意识和信息技术应用水平；9、承办医院交办的其他工作。（四）应用系统管理岗1、负责医院信息系统、各种接口程序的维护与设计开发，完善医院信息系统功能，保证系统和数据信息的安全。2、建立信息系统故障处理登记台账，及时排除日常出现的故障，3、掌握好各系统软件的使用，负责注册

5、用户、设置口令、授予权限等，并适时加以修改。4.按照院领导批准的修改意见，结合工程师进行系统改造、权限分配与修改、数据提取等工作。5、负责医院信息系统的操作指导，协助、监督各应用科室完成各项应用操作。6、及时、准确、全面地完成医疗信息的统计、分析、整理上报，为医院经营决策、管理、业务技术发展提供信息支持。7、做好医院职工的操作培训工作，协助其他科室开发相关软件，做好技术服务。8、认真落实国家和医院有关信息系统安全工作的有关规定，定期排查、处理医院信息系统存在的不安全因素，确保网络信息安全。9、完成院领导和科主任安排的其他工作。（五）计算机与网络管理维护岗1、做好院内所有计算机硬件设备的维护和保

6、养（对所管设备进行除尘、检修和保养），并做好相关记录，管理所有网络基础数据的资料，保管各类相关文件。2、做好网络安全方面的监督检查工作，发现问题适时处置并及时报告，杜绝一切可能发生的不安全因素， 3、负责整理归档医院所有计算机及配套设备的资料信息，并详细标明设备名称、型号、使用科室，以便一目了然。4、根据医院内各科室提交的由相关主管领导审批后的意见进行院内计算机及相关设备的安装工作，承担医院计算机的维修工作，并做好相关维修记录。5、确保院内所有计算机、网络设备状态良好，负责调配运行参数、用户注册、权限管理等，并记录好院内网络设备增、减、改的记录。6、根据医院信息工程建设的需要，适时调整网络建设

7、及设备配置，并管理监督网络的运行使用状况，发现问题，适时处置，并及时报告。7、负责安排医院计算机的安装、维修、以及相关系统软件和Office等通用软件的维护。（六）各科室信息员职责每个科室至少明确一名信息员，作为本科室信息技术的骨干，主要负责以下工作：1、协助医院信息部门做好本科室的信息化管理工作。2、积极参与医院组织的信息化培训，并做好科室职工的培训工作，提高整个科室的信息化运用水平。3、对科室软件、硬件运行情况进行巡查，发现问题及时上报信息部门解决。4、加强与医院信息科的沟通与联系，及时收集科室职工意见和建议，提出修改意见及合理化建议。二、就诊卡管理制度为了规范就诊卡的使用和管理，特制定本

8、管理方法。（一）新卡的办理1、使用医院一卡通办理：患者首先在医院导诊台填写个人基本资料（电话号码及家庭住址需填写清楚），交由护士办理。2、使用身份证办理：患者首次办理新卡，可持本人身份证到医院导诊台登记相关信息后，身份证即可作为就诊卡使用。.3、所有患者在办理新卡的时候，卡内有押金2元。（二）就诊卡存款。持卡人持卡到门诊收费处，由门诊收费员进行储值办理。 （三）就诊卡退款1、退款：持卡人持卡直接到门诊收费处办理退款，卡内保留押金2元，就诊卡由患者保留，下次就诊无需办卡，保留患者就诊信息。2、退卡：持卡人持卡直接到门诊收费处办理退卡，卡内金额全部退给患者，卡由医院收回，卡内患者信息注销，下 次就

9、诊需重新办卡。（四）就诊卡的补办。如就诊卡丢失、损坏等，可凭本人证件（身份证，户口本等）申请补办复诊卡，就诊完毕后，复诊卡由医院收回。（五）医院就诊卡仅限本人使用，不得转让或转借给他人。一经发现，医院有权予以没收或注销。（六）拾获他人就诊卡应及时与医院工作人员联系;如不上交并恶意用卡，造成持卡人经济损失或引发身份管理问题，一经查实，除赔偿持卡人经济损失外，酌情进行处罚。（七）严谨涂画、分拆、损坏、破解、仿冒、和伪造就诊卡。此类行径一经查实，报医院按相关规定从重处罚，情节严重的视为破坏计算机信息系统和电子金融系统报公安机关处理。三、信息系统安全保护制度 （一）安全保护制度1、信息系统的建设和应用

10、，应遵守医院信息系统管理规则、医院行政法规和其他有关规定。 2、信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设置由信息部门负责制定和实施。 3、信息中心机房应当符合国家标准和国家规定。 4、在信息系统设施附近营房维修、改造及其他活动，不得危害信息系统的安全。如无法避免而影响信息系统设施安全的作业，须事先通知信息部门，经部门负责人同意并采取保护措施后，方可实施作业。 5信息系统的使用单位和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规定制度。 6对信息系统中发生的问题，有关使用单位负责人应当立即向信息工程技术人员报告。 7对计算机病毒和危

11、害网络系统安全的其他有害数据信息的防治工作，由计算机中心负责处理。 8对信息系统软件、设备、设施的安装、调试、排除故障等由计算机工程技术人员负责。其他任何单位或个人不得自行拆卸、安装任何软、硬件设施。 9所有上网计算机绝对禁止进行国际联网或与院外其他公共网络联接。 （二）责任追究 1违反本规则的规定，有以下行为之一的，由信息部门以口头形式警告： （1）违反信息系统安全保护制度，危害网络系统安全的； （2）接到信息工程技术人员要求改进安全状况的通知后，拒不改进的； （3）不按照规定擅自安装软、硬件设备； （4）私自拆卸更改上网设备； （5）出现问题未立即报告； （6）有危害网络系统安全的其他行为

12、。 2、下列行为之一的，由医院处以经济处罚： （1） 造成设备损害，处以所损坏设备价格二倍以上罚款； （2）造成本站系统破坏，处以 200 元以上、1000 元以下罚款。 （3）导致病毒侵袭而造成全网瘫痪，除予以严厉的行政处分外，所造成的一切损失由科室和相关责任人承担。 （4） 在网络系统设备、设施附近作业而危害网络系统安全，影响网络正常运行造成经济损失的，由作业单位赔偿；造成医院财产严重损失的依法追究和承担民事责任。 四、机房维护管理制度服务器机房是信息系统系统的核心部位，为保证机房设备与信息的安全，保障机房有良好的运行环境，特制定本制度。（一）为确保机房安全，机房指定专人管理，负责对机房内

13、各类设备、操作系统进行安全维护和管理。（二）机房管理员应认真履行各项机房监控职责，定期按照规定对机房内各类设备进行检查和维护，及时发现、报告、解决软、硬件系统出现的故障，保障系统的正常运行。（三）系统管理员须制定IP地址分配表，和中心内部线路的布局图，给每个交换机端口编上号码，以便操作和维护。机房管理员须经常注意机房内温度、湿度、电压等参数，并做好记录；发现异常及时采取相应措施。（四）机房内服务器、网络设备、UPS电源、空调等重要设施由专人严格按照规定操作，严禁随意开关。系统管理员的操作须严格按照操作规程进行，任何人不得擅自更改系统设置。（五）严格遵守保密制度，数据资料和软件必须由专人负责保管

14、，未经允许、不得私自拷贝、下载和外借；严禁任何人使用未经检测允许的介质(U盘、光盘等)。未经许可任何人不得挪用和外借机房内的各类设备、资料及物品。（六）严格控制进入机房人员，非机房人员未经许可不得入内。确有必要进入机房的人员须申请主管领导同意并在机房管理员的指导下进行有关操作。对违反操作规程者，机房管理员有权制止和纠正；对不听劝阻造成后果的，要视情节轻重追究责任。（七）对服务器参数进行调整或更改，应经院长批准，管理人员应严格填写工作日志。（八）制定网络信息存储和保管规定，多种手段做好数据备份工作。采取有效的病毒感染防范，杜绝网上病毒感染的现象发生。（九）机房内应保持清洁，定期进行清洁卫生，检查

15、机房周围环境，检查温度、湿度，做到防尘、防鼠，保证机房的安全和卫生。（十）机房禁止放置易燃、易爆、腐蚀、强磁性物品。机房管理员须做到防静电、防火、防潮、防尘、防热。，禁止将机房内的电源引出挪做他用，确保机房安全。五、工作站管理制度（一）系统工作站作为计算机网络系统专用设备，不得擅自在终端机上启用其他软件。（二）工作站配置的微机、打印机等设备须指定专人使用、保管和维护，转交他人保管时需严格交接。（三）系统操作人员须经培训合格后方能上岗。（四）操作人员须严格遵守操作规程，不得随意扳动与操作无关的开关和改动工作程序。（五）操作人员要熟练掌握用户入网口令，并注意保密。（六）操作人员上机时，不得与无关人

16、员闲谈，避免或减少操作错误。（七）不得在工作电脑上安装游戏、玩游戏，机器运行期间操作人员不得擅自离开。（八）使用时如发现运行故障，及时向信息部门报告并做好记录。（九）工作完毕时，正确关闭系统、关闭电脑、必须切断电源。六、网络系统安全管理制度（一）网络系统的安全管理包括：数据库安全管理和网络设备设施安全管理。（二）信息部门必须采取有效的方法和技术，防止网络系统数据或信息的丢失、破坏或失密。（三）系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令密码。（四）信息管理人员要主动对网络系统实行查询、监控，及时对故障进行有效的隔离、排除和恢复，对数据库及时进行维护和管理。（五

17、）所有进入网络使用的外部存储介质，必须经过信息部门负责人同意和检毒，未经检毒杀毒的软盘，绝对禁止上网使用。对造成“病毒”蔓延的有关人虽，应严格按照医院计算机网络系统安全保护规则有关条款给予经济和行政处罚。（六）网络系统所有设备的配置、安装、调试必须由信息部门负责，其他人员不得随意拆卸和移动。（七）所有网络操作人员必须严格遵守计算机以及其他相关设备的操作规程，禁止其他人员进行与系统操作无关的工作。（八）计算机工程技术人员有权监督和制止一切违反安全管理的行为。七、计算机软件管理条例鉴于我院计算机使用的实际情况，将所有计算机区分为医疗电脑、医疗辅助电脑、办公电脑三大类（见附件）。为使医院计算机信息系

18、统达到安全稳定使用、规范科学管理的目的，对计算机软件的安装与使用作以下规定：（一）院内所有电脑按上述分类划分，分别标记，落实责任人。（二）所有计算机不得安装游戏及娱乐软件。（三）医疗电脑及医疗辅助电脑不得上院外网。（四）医疗电脑只可安装相应的医疗系统。（五）医疗辅助电脑只可安装相应的医疗辅助系统及软件。（六）办公电脑安装相应的办公系统及按需连接院外网。（七）任何人不得擅自更改计算机设置。（八）任何部门的医疗设备配套计算机不得以出厂标准配置、系统自带、设备厂商工程师安装等各种理由保留规定范围以外的软件，存在以上情况的计算机须由办公室卸载、删除。（九）任何人不得擅自安装任何软件，安装规定范围内的软

19、件必需填写软件安装许可申请提交管理部门审批，获得安装许可后统一交信息部门安装，并由信息部门留底备案。医疗电脑：直接或间接参与医疗行为的计算机。包括诊室计算机、医疗设备配套计算机、护士站计算机、病房医生站计算机等。医疗辅助电脑：参与后勤保障、财务收费行为的计算机。包括各财务收费点计算机、设备物资管理计算机、仓库管理计算机、营业销售用计算机等。办公电脑：用于行政管理、信息管理等非医疗用办公计算机。八、关于计算机及相关硬件安全使用规定（一）科室需有专人负责保管，保持计算机及相关硬件清洁卫生，定期清点，发现遗缺应及时报告有关部门。（二）放置计算机及相关硬件的办公室无人值守时，应关闭计算机、关闭电源、锁

20、好门窗。（三）未经医院信息部门许可，任何人不得擅自将计算机及相关硬件移至别处或挪为他用，当发现非办公室人员或非本院人员搬动计算机时，应加以询问并及时通知办公室。（四）未经医院信息部门许可，任何人不得擅自拆动计算机，不得更换计算机的部件。（五）未经医院信息部门许可，任何人不得私自使用U盘、光盘等移动存储设备。（六）使用员或保管员发现机器硬件出现故障时，应及时通知医院信息部门维修，以免造成机器更大的损坏。（七）当计算机及相关硬件出现故障并影响日常工作时，相关保管员应及时向办公室提交计算机硬件维修申请单，维修完毕后，应由维修人和验收人签字备查。九、数据备份工作制度（一）数据备份是备份HIS、Pacs

21、、Lis系统所有的数据，包括病人费用信息和医疗信息，关系到整个系统的正常运转，影响到全院的医疗工作的正常秩序，责任重大，系统管理员要有高度的事业心、责任感和一丝不苟万无一失的严谨工作作风。（二）每两周对数据要进行一次恢复试验，以确保备份数据的安全可靠。为了整理数据库，每月对ORACLE数据库进行一次EXPORT和INPORT。根据数据增长量，应定期对过期数据进行处理。（三）每天对服务器进行仔细检查，主要查看文件是否有损坏，CPU和内存占用资源情况，客户端登录和访问数据库是否正常等。（四）如系统发现异常情况，要马上处理，处理不了要立即汇报，并提出建议。（五）严格遵守保密制度和网络管理规范，绝对保

22、密数据管理员口令，当有其他人对服务器进行操作时，要亲自在场并作好详细记录，有第二者知道口令时要及时更改口令。（六）每次对服务器进行操作时，认真作好登录统计，不得马虎。要熟练掌握NT、ORACLE数据库知识，不断提高业务水平。（七）数据备份时必须建立备份文件档案及档案库，详细记录备份数据的信息。数据备份的文卷应专人专地保管，所有备份要有明确的标识，具体包括：运行环境、备份人。（八）数据备份至少应保留两份拷贝，一份在数据处理现场，以保证数据的正常快速恢复和数据查询，另一份统一由信息部门保管，确保备份数据万无一失。（九） 备份数据的保存时间根据我院信息系统的数据重要程度和有效利用周期以及具体使用情况

23、确定。根据各种数据的重要程度及其容量，确定备份方式、备份周期和保留周期。医院重大或关键性数据，应定期完整、真实、准确地转储到不可更改的介质上，并按有关规定妥善保存，无相关规定的至少保存10年。（十）对计算机或设备进行软件安装、系统升级或更改配置时，应进行系统和数据、设备参数的完全备份。应用系统更新后，应对原系统及其数据的完全备份资料保存二十年以上。（十一）任何数据恢复均要专题报告说明理由与过程，经集体讨论后进行。恢复备份数据时，应首先将当前数据备份并永久保存备查，恢复数据时须有两人以上，且信息中心负责人在场监理，并做好详细记录，经现场人员签字后连同审批报告归档备案。（十二）如不按规定执行出现重

24、大事故，追究责任者的一切责任并严肃处理。十、计算机与系统培训工作制度（一）各系统工作站操作人员需进行计算机基础和各应用子系统的培训，经考试合格者，方可上机操作。（二）各科室应将“医院信息系统”的培训工作放在重要的位置，对新分配、调入和进修、实习人员安排时间进行培训。（三）系统管理人员要深入科室，发现在应用软件中出现的普遍问题，及时对相关人员集中培训。（四）授课人员要认真备课，熟练掌握授课内容，参加培训人员均应树立严肃认真、一丝不苟的学习态度，认真听讲，严格按要求进行上机操作。（五）定期进行计算机、信息系统基础知识与实际操作考核，促进计算机知识的普及与系统操作水平的提高。十一、信息系统权限管理规

25、定（一）登录我院信息系统需要有用户帐号，相当于身份标识，新进职工，转岗职工和刚取得相应资格证的职工凭权限审批表到信息科直接办理帐号或变更权限。（二）权限所有人必须尽一切可能保管好自己的帐号和密码信息，不得向外界泄漏，不得在手机、纸上或电脑等存储介质上进行记录。帐号的注册所有者应对该帐号在系统中所做的操作结果负全部责任。（三）权限所有人必须履行保护其拥有的操作权限的义务，在离开计算机工作站时应关闭HIS软件或锁定窗口，以防他人越权操作。（四）严禁与他人互换权限操作医院信息管理软件。（五）职工离岗时，需要提交注销账号申请，信息部门对离岗的帐号进行注销并签字，人事部门方可办理相关人事手续。十二、网络

26、安全巡查管理制度（一）网络安全巡查的对象是服务器、路由器连接中心机房的情况及病毒防控情况。（二）巡查模式主要包括实行定时巡查和不定时抽查。定时巡查为每日一次，不定时抽查每周不少于三次。结合实际工作，办公室指定网络专干，每次巡查，并如实向领导汇报情况。（三） 巡查人员的具体内容与职责：1、学习掌握与严格遵守计算机和网络安全的法律、法规，自觉加强业务学历，不断提高业务能力，为各单位提供优质服务。2、建立网络安全巡查日志，并如实记录每次巡查结果。3、每天网络连接进行巡查并将巡查的结果向网络安全小组组长进行汇报。4、每季度对全院进行一次巡查，并如实做好巡查日志向，领导汇报巡查情况。5、每周上传一次巡查

27、网络安全的情况与通报，并对网络的服务器进行相关的安全升级与打好相关的安全补丁。6、 每周要及时对网络的防病毒软件的病毒库进行一次更新，对重大的病毒在支队网站上及时进行公报。7、 每周定期对网络的安全运行日志进行必要的巡查，对出现的安全隐患进行必要的处理。8、每周对各服务器进行一次备份，防止网络被破坏和资料的丢失。9、对发现的突发情况，及时通知领导，并采取有效措施进行现场妥善处置或立即通知相关合作部门到场处置；10、结合巡查情况，将网络安全管理制度遵守情况、相关部门反映情况等有关信息及时、准确地记入监管档案，建立和完善对网络安全的动态监管档案。11、负责实施网络安全管理制度。12、完成领导交办的

28、其它工作。十四、硬件资产的使用和处置（一）购买新的硬件设备或者从其他部门接收转移的设备时，要核对设备清单，对相关设备进行测试验证，然后登记。由资产管理员对硬件设备进行管理，明确设备管理职责。（二）硬件资产的保存1、处理敏感数据的信息处理设施放在适当安全的位置，以减少在设备在使用期间信息被窥视的风险，保护储存设施以防止未授权访问；2、设备的选址应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；3、禁止在信息处理设施附近进食、喝饮料和抽烟；4、对专门保护的部件要予以隔离，以满足特殊安全要

29、求；（三）硬件资产的日常使用管理1、所有的硬件资产必须明确设备的使用人员/管理人员，明确职责；2、硬件资产的使用人（或管理人），在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用；对设备定期进行维护保养，发生毁坏，丢失等问题时能够及时处置；3、新硬件设备接入网络按照相关规定处理；4、对于无人职守的设备，要明确管理人员，加强物理安全控制。（四） 硬件资产的转移安全1、当设备迁移时，必须先对设备中存储的重要信息进行备份；2、设备迁移完成后，必须检查设备是否损坏；3、设备迁移出本单位时，设备中禁止存放重要信息，以防止机密信息泄露或泄

30、露的风险增加。（五）硬件资产的处置和重用1、存储设备销毁前，必须确保所有存储的敏感数据或授权软件已经被移除或安全重写；2、服务器、主要网络设备的处置由医院信息部门进行安全处置。十五、软件资产的使用和处置（一）软件资产的使用1、所有的软件资产必须设置专人管理，明确职责，避免软件资产的丢失，泄密；2、所有正版软件实体由信息部门专人保管，在安装软件时要规定使用权限，防止非授权访问；3、当人员离职或岗位变动，需要回收有关的软件。（二）软件资产的处置。对过时或确认无效的软件资产，定期进行清除。十六、电子数据的使用和处置1、对所有电子数据进行分类/分级，标识未授权人员的访问限制，不同安全级别的数据应存储在

31、不同的区域，按类按级传达，便于信息的安全管理；2、不同类型的电子文件按照统一规律存放在电脑或服务器中，便于整理和查阅以及工作交接时转移；3、所有电子文件保存在电脑或服务器中，并按照备份和恢复管理制度规定的备份频率定期进行备份；4、对于存于服务器上的电子数据的访问，设置不同的访问权限，避免非授权访问；5、对于内部公开级别的电子信息，其使用要控制在内部，禁止带出；6、对于秘密级别以上的电子文件的处理过程，必须保障数据的完整性、机密性和可用性；7、对于秘密级别以上的电子文件的使用，系统应进行审计；8、对于秘密级别以上的电子文件的传输，必须采取适当的安全措施加以保护，如加密传输、分散传输等；9、在整理

32、电脑中的电子数据时，要小心操作，确认后再进行处理，避免由于误操作将有用的电子数据删除。十七、纸质文档的使用和处置（一）纸质文档的使用1、所有的秘密级以上的纸质文件资料要（通过标签或其它方式）标识出资产的保密级别，分类存放，不同安全级别的纸质文件应按类按级传达，便于纸质文件的安全管理；2、对于比较重要的纸质文件（机密级别以上）必须保存在带锁的文件柜或保险柜中，钥匙由专人保管；3、对于纸质文件的保存期限依据实际要求制定和实施；4、对于比较重要的纸质文件的使用过程，必须注意信息的保密，确保信息的完整性和可用性；5、对于比较重要的纸质文件的传输，必须采取适当的安全措施加以保护，如专人递送、分散传输等。

33、（二）纸质文档的处置1、实体数据资料达到保存期限后，必须将其撕毁或者粉碎到读不出来为止，避免实体数据资料的泄密；2、对于重要纸质文件的销毁，如财务纸质文件，要求两人以上在场，防止信息的泄密。十八、安全设备管理（一）设备的选型1、严禁采购和使用未获得销售许可证的信息安全产品。2、应优先采用我国自主开发研制的信息安全技术和设备。3、避免采用境外的密码设备。4、如需采用境外信息安全产品时，必须确保产品获得我国权威机构的认证测试和销售许可证。5、使用经国家密码管理部门批准和认可的国内密码技术及相关产品。6、终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。（二）设备检测。信息系

34、统中的所有安全设备必须符合中华人民共和国国家标准数据处理设备的安全、电动办公机器的安全中规定的要求，其电磁辐射强度、可靠性及兼容性也必须符合安全管理等级要求。（三）设备安装1、设备符合系统选型要求并获得批准后，方可购置安装。2、凡购回的设备均须在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。3、主机、服务器、网络设备、安全设备等上架运行前必须通过安全检测，禁止安装有默认操作系统的主机、服务器直接接入系统。4、通过上述测试后，设备进入试运行阶段，试运行时间的长短根据业务需要动态设定。5、通过试运行的设备才能接入生产系统，正式运行。（四）设备登记。对所有设备均

35、应建立严格完整的购置、移交、使用、维护、维修和报废等记录，认真做好资产登记和管理工作，保证设备管理的正规化。十九、系统故障应急预案为防止因医院信息系统出现故障而影响全院正常医疗秩序，确保患者在特殊情况下能够得到及时、有效地治疗，结合我院实际，特制定本预案，望各科室（部门）在应急情况下遵照执行。（一）成立信息故障应急领导小组（以下简称领导小组）组 长：院长副组长：副院长成 员：各科室负责人领导小组负责“医院信息系统故障应急预案”的实施和全院信息系统日常安全运行管理的组织协调及决策工作。（二）医院信息系统出现故障报告程序1、当各工作站发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不

36、能访问网络、应用程序非连续性工作时，要立即向信息科报告。 2、信息科工作人员对各科室工作站提出的问题必须高度重视，接到故障报告后，应立即展开调查，若断定是网络存在问题时，应安排专人打电话通知相关科室关机，并对来电询问科室做好解释工作。3、情况核实后，信息科及时给各工作站反馈故障信息，同时召集有关人员及时进行讨论，如果故障原因明确，可以立刻恢复的，应尽快采取措施恢复系统工作；如故障原因不明、情况严重、不能在短期内排除的，应立即报告领导小组。在网络不能运转的情况下由领导小组协调全院各部门工作，以保障全院医疗工作的正常运转。（三）医院信息系统故障分级及处理原则1、根据故障发生的原因和性质不同分为三类

37、：（1）一类故障：由于服务器不能正常工作、光纤损坏、主服务器数据丢失、备份硬盘损坏、服务器工作不稳定、局部网络不通、价表目录被人删除或修改、重点终端故障、规律性的整体、局部软件和硬件发生故障等造成的全院性计算机网络瘫痪。（2）二类故障：由于单一终端软、硬件故障，单一病人信息丢失、偶然性的数据处理错误、某些科室违反工作流程引起局部系统故障。（3）三类故障：由于各终端操作不熟练或使用不当造成的错误。2、故障分类等级的处理原则：（1）一类故障：由信息部门负责人上报领导小组，由领导小组组织协调恢复工作。（2）二类故障：由网络管理人员上报信息部门负责人，由信息部门负责人集中解决，并做好相关记录。（3）三

38、类故障：由信息管理员单独解决，并详细登记维护情况。（四）发生网络整体故障时的应急协调1、当信息部门一旦确定为网络整体故障时，首先是立刻报告领导小组，同时积极组织恢复工作，并充分考虑到特殊情况对故障恢复带来的时间影响。各科室根据故障恢复时间的程度将转入手工操作,具体时限明确如下：30分钟内不能恢复门诊挂号、住院登记、药房等部门转入手工操作。6小时内不能恢复各护士工作站、药房、手术室、医技检查转入手工操作（具体时间由信息科通知）。24小时以上不能恢复全院各种业务转入手工操作。2、各部门的具体协调安排：（1）所有手工操作的统一启动时间，须由信息部门工作人员判断所需修复时间，报告领导小组同意后通知相关

39、部门，各科室应严格按照通知的时间协调各项工作，在未接到新的通知前不准私自操作计算机。（2）门、急诊工作由门诊部主任负责联系协调。网络恢复后，门、急诊工作人员要及时将中断期间的患者信息输入到计算机。（3）门、急诊收费处工作由财务科长负责总体联络协调，要与信息科保持联系，及时反馈沟通最新消息；当网络系统运行中断超过30分钟时，要通知收款员转入手工收费程序；门诊收款员要建立手工发票使用登记本，对发票使用情况做详细登记；当系统恢复正常时，由收款员负责对网络运行稳定性进行监测，如不稳定，及时向信息科反馈情况；在接到信息科发出可使用计算机的通知时，应重新启动运行后，收款员逐步转入机器操作。（4）住、出院业

40、务办理的工作由财务科长总体负责联络协调；当系统停止运行超过24小时，对普通出院患者，推迟出院结算时间。对急诊出院的患者应根据病历和临床护士工作记录，进行手工核算，出具手写发票。在网络停止运行期间，出院患者急需结算时，应由该科护士追查是否还有正在进行的检查项目，并向出院结算处提供详细费用情况后，方可送交结算。在网络停止运行期间，入院患者急需输入院手续时，实行手工输入院手续。系统恢复时补录病人所有资料。（5）护士工作站由护理部主任负责总体联络协调：网络故障期间医护人员应手工详细记录患者的所有医嘱、护理记录和费用执行情况；详细填写每位患者的药品请领单（包括姓名、住院号、性别、药品名称及用量），一式两

41、份，一份用于科室补录医嘱，另一份送药房作为领药凭证。接到信息科通知恢复网络运行时，按要求补录医嘱、护理记录和在本科发生的费用执行情况。（6）医生工作站由医生办公室各科室负责人负责总体联络协调：网络故障期间临床科室应手工详细记录患者的所有医嘱、病历记录，并详细记录治疗执行情况、病情进展情况。 接到信息科通知恢复网络运行时，按要求补录各种记录。（7）医技检查工作站由医生办公室各科室负责人负责总体联络协调：在网络停运期间应详细留取、整理检查申请单底联；网络恢复后根据检查单底联登记，通过手工补录患者在本科发生的费用（注意与临床科室联系沟通）。对即将出院或有出院倾向的患者，主治医师要在检查申请单上要注明

42、，检查科室应及时通知科室或住院处，及时沟通费用情况。（8）药房工作由药械科科长负责总体联络协调：严格按照信息科通知的时间及要求进行操作；网络故障时，根据临床科室提供的药品请领单发药；网络恢复时对临床科补录的摆药医嘱进行确认，同时与发药时药品请领单内容详细核对，如发现内容不符，须详细追查；网络恢复后对出院带药处方及时进行确认。（五）应急数据恢复工作规定1、各工作站接到信息科发出的重新运行通知时，需重新启动计算机；整体网络故障的工程恢复工作，由信息科严格按照服务器数据管理要求进行恢复工作；由网络管理员按数据备份恢复方案进行系统恢复。2、由信息部门负责人指定专人负责恢复，当人员变动时应有交接手续。3

43、、当光纤损坏时应立即使用备用光纤进行恢复；交换机出现故障时，应使用备用交换机。4、对每次的恢复细节应做好详细记录。（六）故障处理程序1、信息科制定网络、服务器等故障应急处理程序2、网络服务器故障一旦发生，信息科应设24小时专人值班，监控网络运行。发现问题，在及时处理的同时迅速向科室领导汇报。故障排除后，应完成故障报告，在技术讨论会上汇报。3、遇到较大故障，信息科工作人员应迅速集合，集体攻关。具体分为3个组做以下工作：故障检修组：集中系统HYPERLINK "技术联络组：迅速与软、硬件供应商联系，采取有效手段获得技术支持。院内协调组：通知全院各科室故障情况，并到关键科室协助数据保存。4

44、、全院各信息系统使用科室应制定相应的系统故障数据保护措施，并建立数据抢录小组，发现停机，应保存断点，保护原始数据，断点前后表单分开存放。5、在停机期间，相关科室应组织数据抢录小组在岗待命，一旦系统恢复，当日应立即完成对重要数据的录入，第二天完成全部数据补录。6、故障排除后2天内，信息科应组织技术研讨会，分析故障原因，制定预防措施，完成故障排除报告并上报领导小组。（七）应急转入手工操作后各系统的应急计划1、故障发生的风险等级划分:根据可能产生的后果风险对医院的影响程度，量化评估如下：影响级别影响性质评估标准4灾难性造成全院系统崩溃、数据丢失等灾难性的影响。3严重严重影响病人正常就医，造成病人或医

45、务人员极大不便。2较严重对医院正常工作和病人就医有一定影响，但损失不大。1可承受受影响程度很小，可以接受。 2、各系统应急方案（1）主服务器、主交换机责任部门：信息科，风险等级：4级（灾难性）。电源： UPS。应急准备：定期检查UPS使用情况，保证供电正常。定期检查交换机。每日检查服务器、UPS运行使用情况。应急计划：根据具体发生的情况，采取以下措施。供电故障：临时外接电源，重新启动服务器。服务器硬件故障：关注正常的服务器的运行状态，关闭大量查询统计的业务，保证以下关键业务的正常运行：门急诊挂号收费、药房发药、住院结算、病区医生站、病区护士站、病区药房、门诊医生站。主交换机故障：用普通交换机替

46、代，保证关键业务。30分钟内不能解决，门诊收费启用门诊挂号收费应急系统。白天1小时内、晚上6小时不能解决，上报应急领导小组，建议全院各部门启用应急方案。（2）门诊挂号收费责任部门：门诊收费处，风险等级：3级（较严重）。应急准备：手工发票、复写纸、笔、算盘、计算器等记帐用品，检查化验收费价目表。应急计划：根据具体情况，采取以下措施：网络、服务器故障：启用门诊收费应急系统。系统瘫痪：手工划价记帐。系统恢复后，把手工单子补入计算机。（3）门诊药房（中、西、急诊）责任部门：门诊药房，风险等级：2级（严重）。现状：收费后确认发药及退药确认。（配备单机版药品代码单价等数据字典备用）。应急计划：凭处方或发票

47、发药。待系统恢复正常后，确认发药以减库存。（4）药库（中、西）责任部门：药库，风险等级：2级（严重）。应急计划：先用手工记帐，做好领发签字手继，把药品分发至药房，保证药房的供应。待系统恢复，再行补录。对于调价，直接通知门诊收费处。（5）门诊医生站责任部门：门诊部，风险等级：3级（较严重）。应急准备：手工处方、各类检查单、门诊日志表。应急计划：手工处理。（6）门诊叫号责任部门：门诊护士，风险等级：2级（严重）。应急计划：人工叫号。（7）医技管理系统责任部门：各医技部门，风险等级：2级（严重）。应急准备：医技记帐单、各自医技项目单价表。应急计划：手工登记、划价。对于住院病人，及时把划价单送住院收费

48、处。（8）LIS系统责任部门：检验科，风险等级：3级（较严重）。现状：LIS系统单独有服务器、可以脱离医院主服务器工作。 应急准备：化验收费价目、手工化验报告单。应急计划：根据具体情况，采取以下措施：服务器故障。保存在各检验仪器的工作站上，改集中打印为到每个站点打印报告单。然后送到门诊、病房。系统瘫痪：仪器独自工作，人工抄写报告单。待系统恢复后，再人工输入。（9）PACS责任部门：功能科，风险等级：3级（较严重）。应急准备：手工报告单。定期检修UPS。系统瘫痪：手工出报告单，但无图象。（10）住院收费责任部门：住院收费处，风险等级：2级（严重）。 应急准备：笔、预缴款收据。应急计划：网络、服务

49、器故障。启用应急系统。系统瘫痪：医院收费项目表，手工开预缴款收据，手工入院。对于出院病人，记录通信地址，先出院，待系统恢复再补办。（11）住院药房责任部门：住院药房，风险等级：3级（较严重）。应急准备：记帐单。应急计划：先发药，再到住院处记帐或系统恢复后记帐。（12）住院护士站责任部门：住院护士，风险等级：3级（较严重）。应急准备：执行单等。 应急计划：手工处理。（13）住院医生站责任部门：住院医生，风险等级：3级（较严重）。应急准备：医嘱单、化验单、手术单等。应急计划：手工处理。开临时医嘱先取药。（14）电子病历责任部门：住院医生，风险等级：2级（严重）。应急准备：病历纸等。 应急计划：手工

50、处理。（15）手术、麻醉管理系统责任部门：手术室、麻醉科，风险等级：2级（严重）。应急计划：手工处理。所发生费用直接在住院处记帐。（16）院长查询系统责任部门：领导小组，风险等级：1级（可承受）。现状：待系统恢复即可。（17）病案统计系统责任部门：病案统计室，风险等级：1级（可承受）。现状：待系统恢复即可。3、应急预案的结束（1）应急预案结束的前提条件:系统恢复正常，业务可正常办理。工作站完成应急业务补记账工作。在自助渠道关闭的前提下先开启工作站应用系统。所有挂失业务处理完毕，补账工作完成，账务核对无误。（2）应急预案结束的指令发布:应急预案的结束由领导小组决定。运行部门根据指令全面恢复应用系

51、统，相关人员开启自助设备。（3）应急预案结束后的主要工作:业务支持工作组、技术支持工作组和安全及法律保障工作组继续监控事件解决后的运作情况，直至确定可持续正常运作为止。领导小组对本次故障进行全面总结。领导小组汇总应急工作开展情况，对本次突发事件的起因、造成的不良影响、资金损失以及应急工作本身等进行全面总结分析，并提出改进意见，督查改进情况，进一步优化应急流程。信息科负责备份应急数据至工作站，每半天一次同步。在应急业务结束后及时删除应急数据，防范风险。二十、PACS紧急预案PACS故障是PACS运行过程中网络或服务器出现故障所致。分为以下几种。（一）医院网络维护或出现故障：为医院局域网出现故障，

52、导致所有电脑无法网络连接，病人无法登记，图像无法传输。1、立即报告医院信息管理部门。2、在网络故障恢复前采用手工流程进行摄片检查登记。登记格式采用科室名称+日期+流水号。3、病人在完成影像检查后，进行胶片打印随即交由报告医生阅片并手工书写报告。书写报告模板采用应急模板。4、在网络故障排除后，根据病人申请单上记录下的信息及该病人的PACS号码，将应急号码修改为正式PACS号码后并将对应影像上传服务器。5、按正式影像号扫描申请单，并在PACS中书写并完成正式报告。（二）PACS服务器维护或故障：PACS服务器为图像存储服务器，出现问题时病人登记正常，图像无法上传至服务器，也无法在诊断工作站调阅。1

53、、立即报告科主任及信息中心。2、登记、检查可按正常流程操作。3、影像检查按正常流程完成，完成检查后打印胶片。4、报告医师手持胶片在观片灯下阅片，利用手工进行报告的书写， 待设备恢复后上传图像。（三）设备故障导致病人影像丢失1、如病人还未离开，尽快为其重拍，并由影像报告室及为其重拍的技师向其解释清楚，尽量取得病人谅解。2、如病人已经回去，将申请单交由影像报告室，由影像报告室负责通知病人前来重拍。3、信息中心人员负责与厂家配合查出影像丢失原因及修复。（四）PACS应急预案过程中一定要做好病人的解释情况，采用手工书写报告时，一定要通知病人择日领取正式报告。二十一、服务器系统故障应急预案 （

54、一）当服务器应用系统出现故障，信息员应当立即初步确定故障的严重程度，估计出现故障的应用系统故障排除需要的时间，并根据应用系统需要保障的无故障运行时间，采取不同的应用系统恢复策略。（二）如果应用系统不能停机，立即启用热备份系统进行工作。如果应用系统不能停机，而故障又可以在10分钟之内排除，那么安全管理员指导系统管理员和应用管理员立即排除故障，恢复系统正常运行。应用系统可以停机而故障又可以在小时内排除，安全管理员，应该断开服务器的网络连接，配合系统管理员和应用管理员，处理服务器故障，尽快排除故障，恢复系统运行。应用系统可以停机但故障排除不能在小时之内完成，而应用系统有冷备份系统，安全管理员，应该断

55、开服务器的网络连接，通知系统管理员和应用管理员启动冷备份系统，完成应用系统的安装、设置，并进行数据的恢复，保证系统正常运行。（三）备份管理员在应用系统出现故障时，应该及时查找本地的数据备份，本地的数据备份损坏或丢失，应该立即从异地数据备份复制应用系统的数据备份到本地。（四）系统管理员和应用管理员应在确认安全的情况下，重新启动故障服务器系统；重启系统成功，则检查数据丢失情况，利用备份数据恢复；若重启失败，立即联系相关厂商和技术支持，请求援助，分析故障原因，若经设备厂商或技术支持认定是硬件损坏，那么需要请求厂商更具维修协议，进行保修或维修。在服务器硬件正常的情况下，尽快做好系统软件的恢复或重新安装

56、，之后再进行应用软件的恢复或重新安装，再进行应用系统的数据恢复，应用系统完全恢复正常运行后，重新启用恢复的应用系统服务器，再将备用系统停掉。二十二、不良信息和网络病毒事件应急预案（一）发现不良信息或网络病毒时，系统管理员应立即断开网线，终止不良信息或网络病毒传播，并报告信息网络事件应急小组。（二）安全管理员应采取隔离网络等措施，协助系统管理员和应用管理员及时杀毒、排除不良信息、追查不良信息来源，并估计出故障排除的时间，然后根据服务器应用系统的重要级别，采取不同的措施。（三） 事态或后果严重的，信息网络事件应急小组应及时报告上级主管领导。（四）处置结束后,安全管理员和事发部门应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告信息网络事件应急小组主任。（五）应急预案技术措施，如果出现网络病毒，系统管理员采用瑞星杀毒软件或卡巴斯基杀毒软件和360木马查杀工具，对整个计算机进行杀毒。对不能确定是否为病毒的文件，应该询问安全管理员和应用程序员来确定。如果出现不良信息，安全管理、系统管理员程序管理员要设法找到不良信息的文件或不良信息存在数据库中的位置，对非法信息，进行手工删除，或编程删除，若不能清除，采用