卫健系统信息系统安全管理制度

卫健系统信息系统安全管理制度——卫健系统信息系统安全管理制度全文共5页，当前为第1页。卫健系统信息系统安全管理制度全文共5页，当前为第1页。一、信息化管理领导职责（一）单位主要领导为本单位网络信息化系统建设和管理第一责任人，对网络信息化规划建设和管理负总责。对拟新增的网络产品、服务的提供者（如设备供应商、财务软件、HIS系统、LIS系统、PACS系统等）做好资格资质审查、产品检测等工作。计算机资源实行统一管理，确定网络信息安全负责人，指定专人负责建立设备台帐档案。定期检查本单位计算机网络信息安全运行情况，发现问题及时处理，并做好记录。（二）负责组织制定本单位信息化规划建设、安全管理制度和操作规程。实行专网专机管理，有设置WIFI的，应与内外网分开，严禁卫生专网与国际互联网混网使用。按要求落实并做好网络信息安全等级保护、容灾备灾工作，确保数据安全。（三）负责选配好信息中心（机房）专门技术人员或选配计算机知识较熟悉、思想素质较高、责任心较强的医务人员兼任系统管理员，系统管理员要相对固定。（四）负责组织开展医务人员医院信息化各子系统应用培训工作，开展计算机使用、管理、安全、保密教育，提高干部职工网络信息安全保密意识。（五）对本单位用户信息严格保密，不得泄露、篡改、毁损、丢失重要信息，建立健全用户信息保护制度。严格执行有关查询医疗、财务和药品等敏感数据权限的规定，对敏感数据的统计、查询必须有审批流程、记录备案。原则卫健系统信息系统安全管理制度全文共5页，当前为第2页。卫健系统信息系统安全管理制度全文共5页，当前为第2页。（六）严格遵守《网络安全法》等法律法规，落实网络信息安全保护责任。二、系统管理员职责（一）在单位主要领导的领导下，负责本单位计算机网络信息化系统软硬件管理、维护和安全工作，采取防范计算机病毒和网络传入等危害网络信息安全行为技术措施。定期检查服务器、交换机、局域网、路由器、计算机、打印机、移动存储器等运行使用情况，监测、记录网络运行状态，采取网络信息安全事件的技术措施，并按照规定留存相关的网络审计等日志不少于六个月。智慧医疗信息化网络系统实行专网专机管理，严禁混网使用。远程维护临时接入了互联网，应有物理隔离审计防患措施，维护完成后必须立即断网。（二）负责协调计算机软件安装、删除，督促和指导计算机及其他设备用户规范操作及其他设备和应用软件。禁止在计算机上安装与工作无关的软件。（三）负责本单位信息化系统软硬件的维修、维护管理工作，严格执行计算机维修更换报废管理制度，计算机和软件在离开原位和维修后，必须保证计算机和软件无病毒和其他有害的数据，确保保密的数据不泄漏。采取数据分类、重要数据备份和加密等措施，保障网络信息安全免受干扰、破坏或未经授权的访问，防止网络数据泄露或者被窃取、篡改。（四）起草并制定本单位网络信息安全事件应急工作方案。及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络信息安卫健系统信息系统安全管理制度全文共5页，当前为第3页。卫健系统信息系统安全管理制度全文共5页，当前为第3页。（五）严格遵守计算机使用管理保密制度，管好自己系统的密码，定期更新，严禁外泄。不得擅自或未经领导授权进行查询医疗、财务和药品信息等敏感数据。（六）因故辞职或调离本岗位的，应提前15天书面提出，并在单位领导监督下，与新任本岗位的工作人员或系统管理员现场核对账户信息、密码以及当时的用户信息及各类文档，核查无误后方可进行工作交接。新任本岗位的工作人员或系统管理员应立即变更系统管理员账户信息及密码。三、信息化用户职责（一）严格遵守本单位信息化系统管理、使用和保密制度。爱护计算机信息化软硬件设施，按照信息化流程规范操作，严禁私自安装计算机软件和擅自拆卸计算机设备。（二）实行专网专机管理，严禁混网使用，不得在专网的计算机上以任何形式连接到互联网。专网内的所有计算机不得使用外来存储介质，需要使用应经系统管理员同意，并进行杀毒处理后方可使用。（三）必须使用自己的账户、密码登录，不得盗用他人的账号、密码。离机时，应及时退出系统，避免系统被他人操作。密码设置长度不少于8位、且具有复杂性（含不重复的字母、数字及特殊符号）、不通用性、不易记性，密码应定期更新。使用密码时应确保无旁人窥视、不得使用自动记忆登录账户密卫健系统信息系统安全管理制度全文共5页，当前为第4页。卫健系统信息系统安全管理制度全文共5页，当前为第4页。（四）禁止在工作时间内利用计算机做与工作无关的事情。（五）禁止用户自行停用或删除安全软件。安装、删除软件或系统升级前应报告系统管理员。定期升级杀毒软件、查杀病毒，发现无法清除的病毒，应及时报告管理员。（六）不得随意更改计算机IP地址等设置。信息化系统软硬件出现故障时，应立即报告系统管理员，不得私自请其它单位或个人来维修，或将计算机搬到计算机公司进行维修。（七）按要求落实重要数据和资料及时备份。（八）参加网络信息安全相关培训，提高自身网络信息安全技能。（九）遵守《保守国家秘密法》相关规定。不得泄露、篡改、毁损、私自查询及向他人提供医院保密数据和敏感数据。四、计算机、服务器、数字证书等设备管理制度（一）计算机资源由指定股室实行统一归口管理。建立设备台帐档案，用以记录设备的原始资料、运行过程中的维修、升级和变更等情况。涉密计算机设备的随机资料（含磁介质、光盘等）及保修（单）卡由各涉密股室自行保管，并做好计算机保密工作。（二）配有计算机设备的股室必须指定人员负责计算机保密工作和设备管理。禁止利用计算机资源从事与本单位正常工作无关的活动。卫健系统信息系统安全管理制度全文共5页，当前为第5页。卫健系统信息系统安全管理制度全文共5页，当前为第5页。（四）涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件，不得外借和拷贝。不得将涉密存储介质带出办公场所，如因工作需要必须带出的，需履行相应的审批和登记手续。（五）服务器等设备应指定专门负责人进行管理，负责运行维护、安全保密管理、定期开展网络信息安全排查、安全保密检查和风险评估等工作。出现故障时，应当由本单位专门技术人员负责，确需外单位人员维修的，应当由本单位的人员现场监督；确需在本单位以外维修的，应当符合国家保密规定。（六）数字证