网络信息安全与管理制度

网络信息安全与管理制度第一章总则第一条目的和依据为了加强医院的网络信息安全管理，保护医院网络信息的安全性、完整性和可用性，维护正常的医院信息系统运行和医疗秩序，订立本制度。第二条适用范围本制度适用于医院内全部使用和管理医院信息系统的人员和设备，包含医院工作人员、临床医生、护士、科员、系统管理员等。第三条定义医院信息系统：指医院在信息技术支持下的数据、网络和计算资源，包含硬件设备、软件系统和存储设备等。网络信息安全：指对医院信息系统和网络中的信息进行保护，防止受到破坏、泄露、窜改、丢失和不行控的风险。第二章基本要求第四条网络信息安全责任医院网络信息安全责任由医院管理层统一负责，并指定专人负责网络信息安全管理。各部门应对本部门的网络信息安全负有监督和保密的责任。第五条保密要求全部使用医院信息系统的人员都应承当保密责任，不得将医院机密信息外泄或用于非法用途。离岗期间需将工作区信息进行合理安全处理，避开机密信息泄露。离职人员必需及时交回和清除工作相关的账号、密码及数据，不得留有后门。第六条网络信息安全教育培训医院应定期开展网络信息安全教育培训，提高员工对网络信息安全的认知和自我防护本领。新员工入职前需进行网络信息安全培训，包含基本保密规定、账号使用和密码管理等内容。定期组织网络信息安全知识考核，对考核不合格人员进行挽救培训。第七条网络访问掌控医院应建立网络访问权限管理制度，对不同职能部门和人员的访问权限进行分类管理。系统管理员应及时处理非法访问和异常操作，并及时上报。第三章信息系统安全管理第八条资源使用管理医院各部门应依照实际需要，合理使用和调配网络信息资源。禁止擅自更改或删除他人的信息资源，禁止非法占用网络信息资源。第九条密码管理全部使用医院信息系统的人员需设置强密码，严禁使用弱密码或简单密码。密码需定期更换，并妥当保管，不得共享或泄露给他人。第十条病历和数据管理安全病历和其他数据应通过医院内部网络进行传输，禁止使用外部非安全网络传输。禁止未经授权的人员访问和修改病历和其他数据，医院应定期对病历和数据进行备份。第十一条应用系统安全管理医院应采用合法、正版的软件系统，并定期更新和修复系统漏洞。禁止私自安装、卸载或修改系统软件，禁止使用未经授权的应用系统。第四章网络安全事件应对第十二条安全事件报告发现或遭逢网络安全事件的人员应立刻向网络信息安全负责人报告，及时采取紧急措施。网络信息安全负责人应及时进行安全事件的调查、分析和记录，并报告医院管理层。第十三条安全事件处理医院应建立网络安全事件应急预案和处理流程，确保事件能快速有效得各处理。对于严重的安全事件，应及时采取措施，保护医院的核心信息资产。第十四条安全事件追溯与整改对于发生的网络安全事件，应进行认真记录，并进行追溯分析，找出漏洞与原因。在网络安全事件得到掌控后，应及时采取整改措施，避开仿佛事件再次发生。第五章附则第十五条惩罚措施对于违反网络信息安全制度的人员，医院将依据相关规定进行相应惩罚，包含纪律处分和法律追究。第十六条监督与检查医院建立网络信息安全管理监督机制，定期或不定期对网络信息安全工作进行检查和评估。第十七条任务分工各部门应明确网络信息安全工作的具体职责和任务，并建立协调机制，保障网络信息安全的全面管理。第十八条本制度的解释权和修改本制度的解释权和修改权归医院管理层全部，并适时进行修订和完善。结束