医院软件安全管理制度

密 级：内部文档编号:ZFCG-gamyy-clwd-zcgl-003中国中医科学院广安门医院

软件安全管理制度Ver1.0中国中医科学院广安门医院

二00七年十一月

文档控制版本控制版本提交日期相关组织和人员版本描述Ver1.0分发控制编号1头者文档权限与文档的主要关系123

维护控制文档名称中国中医科学院广安门医院软件安全管理制度机密分类内部版本控制版本号定版日期作者更新说明V1.0文档申定姓名科室（文档部分所有者）复查计划复查时间复查结果发布批准人分发控制人员文档权限与文档的主要关系目录TOC\o"1-5"\h\z\o"CurrentDocument"第一章 概述 5\o"CurrentDocument"第二章 软件采购、安装和测试 5\o"CurrentDocument"第三章 软件登记和保管 5\o"CurrentDocument"第四章 软件使用与维护 6第五章 应用软件开发 6\o"CurrentDocument"第一节软件开发 6第二节软件二次开发 7\o"CurrentDocument"第六章 软件的防病毒 8\o"CurrentDocument"第七章 文档声明 9第一章概述软件管理的范围包括对操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护、防病毒的管理。第二章软件采购、安装和测试第一条 信息系统所使用的操作系统、应用软件、数据库、安全软件、工具软件等必须是正式版本，严禁使用测试版和盗版软件。第二条 重要的操作系统和主要应用软件必须在安全管理员的监督之下进行安装，注意清理操作系统中默认选项。第三条 软件安装后，须使用可靠检测软件或手段进行安全性测试，了解其脆弱性，并根据脆弱性程度采取措施，使风险降至最小。第三章软件登记和保管第四条 软件安装后，原件（盘）应进行登记造册，并由专人保管。第五条 软件更新后，软件的新旧版本均应登记造册，并由专人保管，旧版本的销毁应受严格控制。第四章软件使用与维护第六条 操作系统和数据库管理系统以及安全软件应由专人负责，系统安全管理员应由政治素质可靠、工作及业务责任心强的人担任，负责对系统和管理的维护，必须对系统运行情况进行严格的工作记录，系统工作异常或发生与安全有关的事件时，在采取相应措施的同时必须报安全管理组备案。第七条 安全管理员不得兼职应用系统管理员。第八条 定期对操作系统、数据库管理系统及其它相关软件进行稽核审计，分析与安全有关的事件，堵塞安全漏洞。第九条 软件更新后，须重新审查系统安全状态，必要时对安全策略进行调整。第五章应用软件开发第一节软件开发第十条 系统应用软件的开发必须根据信息密级和安全等级，同步进行相应的安全设计，并制定各阶段安全日标，按日标进行管理和实施。第十一条系统应用软件的开发，必须有安全管理员参与，其主要任务是：对系统方案与开发进行安全审查和监督，负责系统安全设计和实施。第十二条开发环境和现场必须与办公环境和工作现场分开。软件设计方案、数据结构、安全管理、操作监控手段、数据加密形式、原代码等，只能在有关开发人员及有关管理机构中流动，严禁散失或外泄。第十三条应用软件开发必须符合软件工程规范\[GB8566—88\]，\[GB1526—89\]。第十四条应用软件开发人员不得参与应用软件的运行管理和操作。第二节软件二次开发第十五条系统应用单位需修改或增加系统功能时应先行填写客户化问题登记表（表样见附件一），由本科室领导签字、主管部门领导审批签字后提交信息安全办公室，本表格一式两份，分别由信息安全办公室及提交科室备案。医生工作站、医技科室工作站需有医教处长签字；护士工作站及相关程序需有护理部主任签字；收费、挂号、住院系统需有财务处长签字；药房、药库及相关程序需有药剂科主任签字；第十六条信息安全办公室室收到客户化问题登记表后，分析提出问题的合理性与可实施性，必要时与用户讨论。最后将用户需求以电子文档和文字形式提交软件公司或由信息安全办公室进行处理，不能修改的将信息反馈给使用科室。第十七条信息安全办公室收到医院改动后的程序后，须经过本科室及应用科室进行严格的测试，测试完成后填写软件测试报告（表样见附件二）本报告一式两份，分别交由信息安全办公室及提交科室备案。第十八条程序如存在问题进一步进行修改，如测试正常，进行软件更新。更新过程中填写软件更新说明表（表样见附件三）。本表格一式两份，分别交由信息安全办公室及提交科室备案。第十九条如出现程序bug，则直接进行程序更新。第六章软件的防病毒第二十条计算机必须安装经国家认可的防、杀病毒软件产品。第二十一条安全维护工作组定期组织计算机系统的杀灭病毒的工作。第二十二条不得使用未经批准和检测的外来软件或磁盘、光盘，不允许在计算机上玩游戏。第二十三条发现病毒后立即使用病毒工具进行检测和杀毒，如不能完全消灭病毒时，立即上报并暂停工作。第二十四条对于染毒次数、杀毒次数、杀毒后果进行详细记录，不得隐瞒不报。第七章文档声明第