信息安全管理制度

信息安全管理制度总则为确保医院和患者信息安全，保障医院医疗业务和管理工作的顺利开展，落实和执行国家信息安全相关政策法规，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》及其他相关法规政策特制定信息安全管理制度。本规则所称的信息系统，是由计算机及其相关配套的设备、设施构成的，按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统（即现在医院建设和应用中的信息工程）。信息系统的安全保护，是保障计算机及配套的设备、设施的安全，运行环境的安全，保障信息的安全，保障医院信息管理系统功能的正常发挥，以维护信息系统的安全运行。信息系统的安全保护，重点是维护信息系统中数据信息和网络上一切设备的安全。医院信息系统内全部上网运行计算机的安全保护都适用本规则。信息安全领导小组负责领导全院信息系统的安全保护工作。任何部门或者个人，不得利用上网计算机从事危害医院利益的活动，不得危害信息系统的安全。信息安全领导小组组织架构组长：分管信息院领导成员：分管医务、护理院领导，院办公室、宣传统战部、医务科、护理部、质控办、财务科、医保办、病案统计室、门诊部、大内科、大外科、信息科负责人秘书：信息科负责人（兼）信息安全领导小组下设办公室，办公室设在信息科，负责信息安全日常管理，办公室主任由信息科负责人兼任，办公室成员由信息科工作人员组成。信息安全领导小组工作职责学习宣传和贯彻落实国家、卫计委及医院关于加强信息网络安全工作的政策规定。研究制定医院信息网络安全工作的总体规划、重大原则、重要政策和制度措施。审议医院年度信息网络安全工作的重大事项。统筹推进医院各层面信息网络安全工作。组织相关科室负责人定期召开信息安全会议。负责全院突发事件应急方案实施和全院信息系统日常安全运行管理的组织协调及决策工作。查处有关违反网络管理的违纪、违规行为，督促有关部门加强对信息网络用户的安全教育。信息安全领导小组办公室职责

贯彻信息安全领导小组的决议，协调和规范信息安全工作。根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实。组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行。负责协调、督促各职能部门和有关部门的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行。组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策。负责接受各类紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施。督促各科室执行信息安全相关制度，定期对信息安全运行情况进行巡查。及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。安全保护管理任何科室和个人不得利用医院信息网络系统制作、复制、传播和查阅以下信息：煽动抗拒、破坏宪法和法律、法规的实施的；煽动颠覆国家政权，推翻社会主义制度的；煽动分裂国家、破坏国家统一的；煽动民族仇恨、民族歧视，破坏民族团结的；捏造或者歪曲事实，散布谣言，扰乱社会秩序的；宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；公然侮辱他人或者捏造事实诽谤他人的；损害国家机关信誉的；其他违反宪法和法律、行政法规的。任何科室和个人不得从事下列危害医院信息网络系统安全的活动：未经允许，进入医院信息网络系统或者使用信息网络系统资源的；未经允许，对信息网络系统功能进行删除、修改或者增加的；未经允许，对信息网络系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；未经允许，擅自盗取医院相关数据或程序代码的；故意制作、传播计算机病毒等破坏性程序的；其他危害信息网络系统安全的。信息网络系统的安全保护信息系统的建设和应用，应遵守医院信息系统管理规则、医院行政法规和其他有关规定。信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设置由信息科负责制定和实施。信息中心机房应当符合国家标准和国家规定。在信息系统设施附近维修、改造及其他活动，不得危害信息系统的安全。如无法避免而影响信息系统设施安全的作业，须事先通知信息科，经信息科负责人同意并采取保护措施后，方可实施作业。信息系统的使用科室和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规定制度。对信息系统中发生的问题，有关使用部门负责人应当立即向信息技术人员报告。对计算机病毒和危害网络系统安全的其他有害数据信息的防治工作，由信息安全领导小组办公室负责处理。对信息系统软件、设备、设施的安装、调试、排除故障等由信息科技术人员负责。其他任何科室或个人不得自行拆卸、安装任何软、硬件设施。所有内网计算机严格禁止与互联网联网或与院外其他公共网络联接。计算机使用与管理病人信息只允许放在院内网上，不得把病人信息放在外网上。任何人未经授权不得泄漏病人信息，包括病人基本信息、诊断和治疗信息、检验检查结果和医嘱等信息。

任何人员不得将工作范围内可接触到的病人信息告诉其他任何未经授权的人员。操作人员必须严格按操作程序开启和关闭计算机系统，离开计算机时需退出所有诊疗程序界面，夜间不处理医嘱等事务时，应关闭计算机。操作人员必须使用各自的帐号和密码进行登陆，不得共用、混用、盗用或借用帐号和密码操作。如因以上原因造成损失或不良后果，由账号拥有者承担全部责任。禁止私自进入操作系统进行修改、删除、增加等操作。禁止使用u盘、移动硬盘或其他外接存储设备。禁止私自装入游戏程序或其他软件。操作人员应定期对启动杀毒软件进行杀毒操作。各科室工作站配置的计算机、打印机等设备须指定专人使用、保管和维护，转交他人保管时需严格办理交接手续。使用人必须保持各种设备、设施整洁干净，并认真做好设备的日清月检，使设备始终处于良好的工作状态。加强设备定位定人管理，未经信息科允许，不得随意挪动、拆卸和外借所有网络设备、设施。不得擅自装载、卸载和变更计算机网络设置。各工作站周围严禁存放易燃、易爆、易腐蚀及强磁性物品，做好放火、防盗措施。安全监督信息安全领导小组办公室对信息系统安全保护工作行使下列监督职权：监督、检查、指导信息系统安全维护工作。查处危害信息系统安全的违章行为。履行信息系统安全工作的其他监督职责。信息科技术人员发现影响信息安全系统的隐患时，可立即采取各种有效措施予以制止。信息科技术人员在紧急情况下，可以就涉及信息安全的特定事项采取特殊措施进行防范。罚则违反本规则的规定，有以下行为之一的，由信息安全领导小组办公室采取口头警告、撤消当事人上网使用资格或者停机等形式进行处罚：违反信息系统安全保护制度，危害网络系统安全的；接到信息科技术人员要求改进安全状况的通知后，拒不改进的；擅自安装软、硬件设备；私自拆卸更改上网设备；出现问题未立即报告；有危害网络系统安全的其他行为。违反本规则的规定，有下列行为之一的，由信息安全领导小组处以经济处罚和行政处罚：在工作站进行与工作无关操作造成危害的；私自拆卸、更改网络设备而造成危害的；向院外人员泄露口令密码而造成后果的；下发的计算机、打印机等设备由所属科室负责管理，对由于责任心不强而造成计算机、打印机被盗或损坏的；由于操作者违章操作，造成计算机软、硬件故障而影响医院信息网络系统的正常运行者，情节严重的追究科室负责人责任；对因违章操作造成系统数据丢失、核算错误，给医院造成重大经济损失的；私自添加、删除计算机保存内容，私自更改计算机的各种文件配置，私自更改本信息网络系统应用程序以及参数设置的。利用终端设备进行与网络工作无关的事，导致病毒侵袭而造成损害的下列行为之一的，由医院信息安全领导小组处以经济处罚和行政处罚：造成设备损害；造成系统破坏不能正常运行；因病毒侵袭而造成部分或全网瘫痪。在网络系统设备、设施附近作业而危害网络系统安全，影响网络正常运行造成经济损失的，由作业单位赔偿；造成医院财产严重损失的依法追究和承担民事责任。对于其它违反本规定及医院信息数据使用管理制度等医院相关规定的行为，由医院信息安全领导小组按有关管理办法进行处罚。任何科室或个人利用网络从事危害国家安全的活动，违反刑法的，依法交国家相关机关依照法律法规予以