权限分配和访问控制管理制度

权限调配和访问掌控管理制度1.背景为了保障医院的信息安全，规范权限调配和访问掌控管理，建立起合理有效的权限管理制度，以防止未经授权的人员访问敏感信息和系统资源，落实对医院信息资产的保护责任。2.适用范围本制度适用于医院内全部工作人员，包含医生、护士、行政人员、科研人员等。3.定义权限：指医院工作人员在系统中所拥有的特定功能和操作权限。访问掌控：指对系统资源的访问权限进行管理和掌控的过程。最小权限原则：医院工作人员在执行工作任务时，只能获得完成工作所需最低权限。4.权限调配和管理4.1权限分级医院内的全部系统权限依照功能和敏感程度进行分类，划分为以下四个级别：系统管理员：负责系统的日常维护和管理，包含用户账号管理、数据备份、系统升级等。高级用户：拥有对系统功能的高级操作权限，如系统配置、数据统计与分析等。普通用户：拥有一般的系统使用权限，可进行常规操作，如病历记录、医嘱录入等。访客用户：仅限临时访问，不对系统做任何修改和操作。4.2权限申请和审批医院工作人员可依据自身工作需要，向所在部门提交权限申请。部门负责人收到申请后，需对申请进行审批，要求严格依照最小权限原则进行审核。审批后，将申请提交至信息技术部门进行权限调配。4.3权限维护和更改权限维护：信息技术部门负责对各系统的权限进行定期检查和更新，每年至少进行一次权限清理。对于无业务需要或离职的员工账号，需要及时取消相应的权限。权限更改：在工作人员工作职责或岗位更改时，需要及时调整其账号的权限。岗位更改涉及权限更改的情况下，需经过部门负责人和信息技术部门的审核和确认。4.4系统登录掌控用户账号：医院工作人员需使用唯一的个人账号进行系统登录，严禁共享账号、转借账号等行为。密码安全：要求医院工作人员设置强度较高的密码，密码必需定期更换，并不得与其他系统或账号的密码相同。登录失败锁定：系统将对连续多次登录失败的账号进行锁定，锁定时间需由信息技术部门设定，而且锁定期间需进行相应的安全审查和解锁操作。5.访问掌控管理5.1数据敏感性分类医院需对各类信息进行敏感性分类，划分为以下三个级别：高级敏感数据：包含患者身份、疾病诊断、病历、检验结果等敏感信息。中级敏感数据：包含患者住院信息、病区信息、药物使用记录等。低级敏感数据：包含科研数据、员工信息、后勤管理信息等。5.2访问授权高级敏感数据授权：仅授权给具备相应资质和需要访问高级敏感数据的员工，如医生、护士等。中级敏感数据授权：授权给需要访问中级敏感数据的员工，如行政人员、药剂师等。低级敏感数据授权：授权给需要访问低级敏感数据的员工，如科研人员、后勤管理人员等。5.3访问审计医院应建立访问审计制度，记录每位员工对系统的操作行为和访问情况，包含登录时间、操作内容、访问数据等有关信息。6.角色与责任6.1信息技术部门负责订立和执行权限调配和访问掌控管理制度。负责管理系统权限，包含申请、审批、维护和更改。定期进行权限清理和账号锁定解锁操作。6.2各部门负责人负责审核并批准部门员工的权限申请。监督和落实权限调配和访问掌控的执行情况。在员工职责或岗位更改时及时通知信息技术部门进行权限调整。6.3全部医院工作人员遵守最小权限原则，不得超出自身工作范围进行操作。妥当保管个人账号和密码，不得将账号密码透露给他人。对系统漏洞和异常行为进行及时报告。7.违规处理任何医院工作人员假如违反本制度规定，进行未经授权的操作、访问敏感数据或泄露信息等行为，将面对相应的纪律处分，包含但不限