2022年医院信息系统安全保护制度

1、第PAGE8页共NUMPAGES8页2022年医院信息系统安全保护制度(一)总则1.为了保护医院信息系统安全，促进医院信息系统的应用和发展，保障医院信息工程建设的顺利进行，特制定本规则。2.本规则所称的信息系统，是由计算机及其相关配套的设备、设施构成的，按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统(即现在医院建设和应用中的信息工程)。3.信息系统的安全保护，是保障计算机及配套的设备、设施的安全，运行环境的安全，保障信息的安全，保障医院信息管理系统功能的正常发挥，以维护信息系统的安全运行。4.信息系统的安全保护，重点是维护信息系统中数据信息和网络上一切设备的安

2、全。5.医院信息系统内全部上网运行计算机的安全保护都适用本规则。6.信息中心主管全院信息系统的安全保护工作。7.任何单位或者个人，不得利用上网计算机从事危害医院利益的活动，不得危害信息系统的安全。8.各级各类医院根据本规则，结合医院不同的功能任务和医院信息系统规模大小，参照以下内容制定适宜于本医院的运行与应用保障制度。(二)安全保护制度1.信息系统的建设和应用，应遵守医院信息系统管理规则、医院行政法规和其他有关规定。2.信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设置由信息中心负责制定和实施。3.信息中心机房应当符合国家标准和国家规定。4.在信息系

3、统设施附近营房维修、改造及其他活动，不得危害信息系统的安全。如无法避免而影响信息系统设施安全的作业，须事先通知信息中心，经中心负责人同意并采取保护措施后，方可实施作业。5.信息系统的使用单位和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规定制度。6.对信息系统中发生的问题，有关使用单位负责人应当立即向信息工程技术人员报告。7.对计算机病毒和危害网络系统安全的其他有害数据信息的防治工作，由计算机中心负责处理。8.对信息系统软件、设备、设施的安装、调试、排除故障等由计算机工程技术人员负责。其他任何单位或个人不得自行拆卸、安装任何软、硬件设施。9.所有上网计算机绝对禁止进行国际联网或与院

4、外其他公共网络联接。(三)安全监督1.信息管理部门对信息系统安全保护工作行使下列监督职权。2.监督、检查、指导信息系统安全维护工作；3.查处危害信息系统安全的违章行为；4.履行信息系统安全工作的其他监督职责。5.信息工程技术人员发现影响信息安全系统的隐患时，可立即采取各种有效措施予以制止。6.信息工程技术人员在紧急情况下，可以就涉及信息安全的特定事项采取特殊措施进行防范。(四)责任1.违反本规则的规定，有以下行为之一的，由信息工程技术人员以口头形式警告、撤消当事人上网使用资格或者停机：2.违反信息系统安全保护制度，危害网络系统安全的；3.接到信息工程技术人员要求改进安全状况_后，拒不改进的；4

5、.不按照规定擅自安装软、硬件设备；5.私自拆卸更改上网设备；6.出现问题未立即报告；7.有危害网络系统安全的其他行为。8.违反本规则的规定，有下列行为之一的，由医务部处以经济处罚：9.在工作站进行与网络工作无关而造成危害的；10.私自拆卸、更改网络设备而造成危害的；11.向院外人员泄露口令密码而造成后果的；12.利用终端设备进行与网络工作无关的事，导致病毒侵袭而造成损害的下列行为之一的，由医院处以经济处罚：13.造成设备损害，处以所损坏设备价格十倍以上罚款；14.造成本站系统破坏，处以_元以上、_元以下罚款。15.导致病毒侵袭而造成全网瘫痪，除予以严厉的行政处分外，所造成直接经济损失的_%、间

6、接经济损失的_%由个人负担；直接经济损失的_%、间接经济损失的_%由所在科室部门负担。16.在网络系统设备、设施附近作业而危害网络系统安全，影响网络正常运行造成经济损失的，由作业单位赔偿；造成医院财产严重损失的依法追究和承担民事责任。17.执行本规则的医院各类人员因失职行为而造成后果的，给予行政处分。(五)附则本规则下列用语含义：计算机病毒：是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。网络设备：指运行在网络上的计算机、打印机、集线器、数字交换机、服务器、不间断电源等。网络设施：连接计算机的光纤电缆、双绞线、交换机柜等。本规

7、则解释权由信息管理部门负责人负责。2022年医院信息系统安全保护制度（二）第一章总则第一条为确保医院信息系统运行可靠、安全、稳定和高效，特制订本制度。第二条本管理制度适用于医院全体员工。第二章信息系统的建设第三条信息系统的申请和采购1医院职能部门根据发展需要进行有关信息系统需求的分析和调查，初步确定目标信息系统或相关软件，并填写采购申请表，交部门负责人审核后报分管院长或总经理签批。2物资库根据相关规定进行采购。3财务部根据验收报告和合作合同，支付阶段进度款。第四条信息系统的验收1在信息系统或相关软件达到可使用状态时，各科室指定人员进行现场操作、试用信息系统或相关软件，并填写初步验收报告，报分管

8、院长、财务总监、总经理审批。2重大或专业性较强的信息系统应聘请具备相关资质的外部独立单位进行验收，财务部、信息科参与验收。3各科室在获得软件后，应做好多套备份，并分别存放在医院信息科和相关职能部门保管。第五条信息系统的日常维护1建立健全的信息系统管理制度，各部门应配合协助信息科进行信息系统的日常维护。2计算机由信息科进行定期检查、维护，并安排专人负责或协调供应商进行信息设备的维护、维修工作。3设备发生故障，使用部门和使用人员作简易处理仍不能排除故障的，要及时向信息科申请维修，说明设备故障情况，故障严重或损失较大时，要填写维修记录单，经使用人、使用部门负责人签字后交信息科备案。4信息科接到信息设

9、备的维护、维修报告后，要及时安排人员进行维护、维修。5信息设备的使用人要检查维护、维修情况和设备修复情况，验收后签字确认。第三章网络安全管理第六条医院设置专人负责计算机网络的管理。信息科从网络技术上积极采取安全防范措施和监控措施，防止_和外来黑客攻击，保证网络正常、安全运行，及时排除网络故障。医院办公室_制定网络安全管理方案并设置专人负责网络安全工程施工管理、验收和网络安全维护。第七条网络安全设备的配置和规则设置由指定人员协同产品供应商进行。网络安全设备的配置和规则设置更改，由指定人员负责，其它人员不得改动。第八条医院办公室应_学习网络安全相关的法律法规，进行网络安全知识培训，提高工作人员的维

10、护网络安全的警惕性和自觉性。第九条医院信息科应对本网络的用户进行安全教育和培训，使其具备基本的网络安全知识。医院员工如发现网络运行不正常，应及时通报医院信息科进行处理。第十条医院信息科指定人员定期对公司计算机进行病毒检查、补丁更新等维护工作，负责协助信息设备用户正确_、使用软件、病毒防火墙，并按说明定期进行防火墙升级。医院信息科统一购买电脑杀毒软件，并定期升级更新。电脑感染病毒，计算机用户不能杀除的，须即时通知医院信息科进行处理。第十一条计算机入网前必须到医院信息科办理登记手续方可接入。未经许可，不得私自将计算机接入局域网。第四章软件系统实施及维护管理第十二条软件系统维护由于业务政策变化、数据

11、破坏等因素，需对软件的内容、数据进行修改维护时，由医保业务部门负责人提出修改意见，信息科安排人员进行修改维护，同时作好相应的维护记录。系统维护人员必须定期检测软件运行情况，及时进行计算机病毒的预防、检查工作。发现潜在危险及时通知操作人员中止软件运行，尽快处理。第十三条程序修正与软件数据调整、数据的修正与恢复按照公司有关规定执行。第五章信息系统管理监督及检查第十八条对信息系统管理情况进行专项检查，也可结合内部审计和外部审计期间检查、审计等工作进行。对信息系统管理情况进行专项检查的内容包括但不限于。1信息系统管理授权批准制度的执行情况。重点检查对外披露信息的授权批准手续是否健全，是否存在越权审批行

12、为。2信息系统管理决策责任制的建立及执行情况。重点检查责任制度是否健全，奖惩措施是否落实到位。3信息系统管理制度的执行情况。重点检查信息的收集、传递、上传是否经过授权批准，是否按规定及时处理有关的信息资料。4各类款项支付制度的执行情况。重点检查信息系统建设款项、费用的支付是否符合相关法规、制度和合同的要求。第十九条对存在以下问题的科室，在医院内部通报批评，下达整改通知，有关单位应采取有效措施进行整改，确属相关人员工作不力的，视其情节，采取教育、赔偿、经济处罚、通报批评、调离岗位、行政处分等措施，直至移交公安机关依法处理。1未经允许进入计算机信息网络或者使用计算机信息网络资源。2未经允许对计算机信息网络功能进行删除、修改或者增加。3未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。4故意制作、传播计算机病毒等破坏性程序，危害计算机网络及信息系统的安全，干扰公司信息流通。5利用医院网络从事危害公司利益和发表不适当的言论，发布网络信息危害国家安全、泄露国家_，侵犯国家、社会、_的利益和公民的合法权益。6在局域