xx卫健系统信息化管理制度(修订)

xx卫健系统信息化管理制度（修订）〔一〕信息化治理领导职责1、单位要紧领导为本单位网络信息化系统建设和治理第一责任人，对网络信息化规划建设和治理负总责。对拟新增的网络产品、服务的提供者〔如设备供应商、财务软件、HIS系统、PACS系统、LIS系统等〕做好资格资质审查、产品检测等工作。计算机资源实行统一治理，确定网络信息安全负责人，指定专人负责建立设备台帐档案。定期检查本单位计算机网络信息安全运行情况，发明问题及时处理，并做好记录。2、负责组织制定本单位信息化规划建设、安全治理制度和操作规程。实行专网专机治理，有设置WIFI的，应与内外网分开，严禁政务内网、卫生专网、国际互联网混网使用。参照《漳平市卫生健康系统网络信息安全事件应急实施方案〔修订〕》制定本单位应急工作方案。按要求落实并做好网络信息安全等级保护、容灾备灾工作，确保数据安全。3、负责选配好医院信息中心〔机房〕专门技术人员或选配计算机知识较熟悉、思想素质较高、责任心较强的医务人员兼任系统治理员，系统治理员要相对固定。4、负责组织开展医务人员医院信息化各子系统应用培训工作，开展计算机使用、治理、安全、保密教育，提高干部职工网络信息安全保密意识。5、对本单位用户信息严格保密，不得泄露、篡改、毁损、丢失医院重要信息，建立健全用户信息保护制度。严格执行有关查询医疗、财务和药品等敏感数据权限的规定，对敏感数据的统计、查询必须有审批流程、记录备案。原那么上应将账户与密码分开治理。人员岗位变动后，要及时督促相关重要账户与密码的重6、严格遵守《中华人民共和国网络安全法》等法律法规，落实网络信息安全保护责任。7、完成上级交办的其他任务。〔二〕系统治理员职责1、在单位要紧领导领导的领导下，负责本单位计算机网络信息化系统软硬件治理、维护和安全工作，采取防范计算机病毒和网络传入等危害网络信息安全行为技术措施。定期检查服务器、交换机、局域网、路由器、计算机、打印机、移动存储器等运行使用情况，监测、记录网络运行状态，采取网络信息安全事件的技术措施，并按照规定留存相关的网络审计等日志许多于六个月。医疗健康信息化网络系统实行专网专机治理，有设置WIFI的，应与内外网分开，严禁混网使用。为了远程维护的方便临时接入了互联网，应有审计防患措施，维护完成后必须马上断网。2、负责协调计算机软件安装、删除，督促和指导计算机及其他设备用户规范操作计算机及其他设备和应用软件。禁止在计算机上安装任何游戏、股票等与工作无关的软件。3、负责本单位信息化系统软硬件的维修、维护治理工作，严格执行计算机维修更换报废治理制度，计算机和软件在离开原位、销售、出租前和维修后，必须保证计算机和软件无病毒和其他有害的数据，保密的数据确保不被泄漏。采取数据分类、重要数据备份和加密等措施，保障网络信息安全免受干扰、破坏或未经授权的访问，防止网络数据泄露或者被窃取、篡改。4、起草并制定本单位网络信息安全事件应急工作方案。及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络信息安全的事件时，及时向单位领导汇报，并在第一时间启动应急工作方案，采取相应的补救措施。同时按照《漳平市卫生健康系统网络信息安全事件应急实施方案〔修订〕》的规定，及时、准确逐级报告。5、严格遵守计算机使用治理保密制度，管好自己系统的密码，定期更新，严禁外泄。不得擅自或未经领导授权进行查询医疗、财务和药品信息等敏感数据。6、因故辞职或调离本岗位的，应提早15天向院长书面提出，并在单位领导监督下，与新任本岗位的工作人员或系统治理员现场核对账户信息、密码以及当时的用户信息及各类文挡，核查无误后方可进行工作交接。新任本岗位的工作人员或系统治理员应马上变更系统治理员账户信息及密码。7、完成领导交办的其他任务。〔三〕信息化用户职责1、严格遵守本单位信息化系统治理、使用和保密制度。爱护计算机信息化软硬件设施，按照信息化流程规范操作，严禁私自安装计算机软件和擅自拆卸计算机设备。2、实行专网专机治理，严禁混网使用，不得在专网的计算机上以任何形式连接到互联网。为了远程维护的方便临时接入了互联网，应采取审计等防患措施，维护完成后必须马上断网。专网内的所有计算机不得使用外来存储介质，需要使用应经系统治理员同意，并进行杀毒处理后方可使用。3、必须使用自己的账户、密码登录，不得盗用他人的账号、密码。离机时，应及时退出系统，幸免系统被他人操作。密码设置长度许多于8位、且具有复杂性〔含不重复的字母、数字及特别符号〕、不通用性、不易记性，密码应定期更新。使用密码时应确保无旁人窥视、不得使用自动经历登录账户密码功能。禁止在任何地方使用任何方式谈论或书面方式经历任何密码，以免造成损失和危害。4、禁止在工作时间内利用计算机做与工作无关的情况，如网上聊天，玩游戏、炒股、浏览与工作内容无关的网站等。5、禁止用户自行停用或删除安全软件，安装、删除软件或系统升级前应报告系统治理员。定期升级杀毒软件、查杀病毒，发明无法清除的病毒，应及时报告治理员。出现故障时，应马上报告系统治理员，不得私自请其它单位或个人来维修，或将计算机搬到计算机公司进行维修。7、按要求落实重要数据和资料及时备份。8、参加网络信息安全相关培训，提高自身网络信息安全技能。9、遵守《中华人民共和国保守国家隐秘法》相关规定。不得泄露、篡改、毁损、私自查询及向他人提供医院保密数据和敏感数据。10、完成上级交办的其他任务。〔四〕信息化数据、权限治理制度1、系统治理员依照本单位医务人员的职责、医院工作流程和领导的安排，按系统提供的角色分别赋予医务人员相应的权限，要幸免权限抵触、交叉及嵌套情况的发生。2、任何人只能在自己权限内查询自己账户的相关数据，按照《保密法》有关规定和数据用途，需要查询医疗、财务和药品信息等敏感数据应按照审批流程，经要紧领导同意并办理审批手续，由系统治理员和相关人员共同查询、提取相关数据。3、禁止任何人泄露、外借和转移医院任何数据信息。不得在与互联网连接的计算机上录入涉密文件、信息。不得将本单位使用的IP地址、账户、密码等信息泄露给任何人。4、因工作需要，医务人员增加或减少角色的，及时调整用户对应角色的权限，调整用户角色的权限应按审批流程，经要紧领导同意后由系统治理员操作。5、定期将关键的数据资料备份到专用移动存储介质，做好标识，并妥善保管，不得更改。重要数据应制作备份并异地存放，确保系统发生故障时能够快速恢复。6、加强密码治理和权限治理，防止重要数据外泄。密码设置应符合国家相关规定，并定期更新，数据应加密，幸免外泄时扩大损失。〔五〕计算机安全使用保密治理制度1、本治理制度中所指计算机为各单位各科室使用的电脑和笔记本电脑。计算机资源由指定科室实行统一归口治理，登记造册，建立台帐。2、工作人员在平常工作中应做好所属计算机的使用、清洗和保养工作。严格按操作规程进行操作，使用完毕及时关机。在长时间离开电脑应设置屏幕保护，或者退出系统并关机，以保护自己计算机的显示系统。3、进行资料备份使用各类移动存储介质前，必须确保使用无病毒。任何人未经同意，不得擅自使用他人的电脑。禁止下载或安装与工作内容无关程序资料，如真的由于工作需要，安装其它软件，须经治理人员同意。4、实行“谁上网，谁负责”和“上网信息不涉密，涉密信息不上网”的原那么。使用者应提高警惕，严加防范病毒、木马等危害网络和计算机安全的程序。做到文明上网，遵守网络道德和安全规定，文件传输必先查杀病毒。5、不得利用本单位计算机炒股、玩游戏、看电影、聊天等与工作无关的行为，一旦发明按照有关规定处理。6、计算机内外设备在使用中出现故障，不论是人为损坏依旧设备本身故障，应及时通知治理人员，不得擅自拆开计算机调换设备配件。非易损物品损坏，要查明缘故，并报主管领导，做好详细记录。〔六〕计算机维修更换报废治理制度1、计算机系统进行维护检修时，对涉密信息应采取转存、删除、异地转移存储媒体等安全保密措施，确保涉密计算机硬盘内无任何涉密信息后方可交指定维修地点进行维修。无法采取上述措施时，安全保密人员和该涉密单位计算机系统维护人员必须在维修现场，对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。维修完成后，须将涉密信息还原至涉密计算机并完全清除移动设备中的涉密信息。2、计算机需要更换新型机器时，须将旧计算机中的涉密信息全部复制到新计算机中，并运用低级格式化命令格式化硬盘，以清空其中的所有涉密内容后，方可更换。设备调换至低密级单位使用时，要进行降密处理，并做好相应的设备转移和降密记录。3、使用科室应将所属计算机设备的故障现象、故障缘故、扩充情况记录在设备的维修档案记录本上。凡需外送修理的涉密设备，必须经保密小组和主管领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。4、涉密计算机需要报废时，须先运用低级格式化命令格式化硬盘，确保拟报废机器硬盘中没有涉密信息留存后，由保密领导小组专人负责交由报废执行单位进行定点销毁。5、严禁使用者私自安装计算机软件和擅自拆卸计算机设备。涉密计算机维修、更换、报废前的涉密数据备份和清空工作，须由专、兼职保密人员执行。〔七〕计算机上网安全保密治理制度1、未经批准涉密计算机一律不许上互联网。如有特别需求，必须事先提出申请，并报保密小组批准后方可实施，上网涉密计算机必需安装物理隔离卡。2、要坚持“谁上网，谁负责”的原那么，各科室要有一名领导负责此项工作，信息上网必须通过单位领导严格审查，并经主管领导批准。3、国际互联网必须与涉密计算机系统实行物理隔离，有条件应实行一机一网。4、在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。5、应加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识，自觉执行保密规定。6、涉密人员在其它场所上国际互联网时，要提高保密意识，不得在聊天室、电子公告系统、网络新闻上公布、谈论和传播国家隐秘信息。使用电子函件进行网上信息交流，应当遵守国家保密规定，不得利用电子函件传递、转发或抄送国家隐秘信息。〔八〕涉密计算机、服务器、数字证书等设备保密治理制度1、计算机资源由指定科室实行统一归口治理，建立设备台帐档案，用以记录设备的原始资料、运行过程中的维修、升级和变更等情况。涉密计算机设备的随机资料〔含磁介质、光盘等〕及保修〔单〕卡由各涉密科室自行保管，并做好计算机保密工作。2、配有计算机设备的科室必须指定人员负责计算机保密工作和设备治理。禁止利用计算机资源从事与本单位正常工作无关的活动。3、承担涉密事项处理的计算机严禁一机两用，实行专机专用、专人治理，不得他人使用。严禁任何私人的光盘、软盘、U盘移动存储介质在涉密计算机设备上使用，涉密计算机禁止上国际互联网或以任何形式处理其它非涉密信息；禁止在非涉密计算机系统上处理涉密信息。涉密计算机必需安装防病毒软件并定期升级。4、涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件，不得外借和拷贝。不得将涉密存储介质带出办公场所，如因工作需要必须带出的，需履行相应的审批和登记手续。5、服务器等设备应指定专门负责人进行治理，负责运行维护、安全保密治理、定期开展网络信息安全排查、安全保密检查和风险评估等工作。出现故障时，应当由本单位专门技术人员负责，确需外单位人员维修的，应当由本单位的人员现场监督；确需在本单位以外维修的，应当符合国家保密规定。6、数字证书应指定专人保管，并存放在保险箱内，保险箱的密码及钥匙应由两人分开保管。7、涉密信息需要输出的，应经主管领导签字审批，由专人操作，并做好登记、备案和相应密级治理工作。8、涉密信息除制定完善的备份制度外，必须采取有效的防盗、防火措施，保证备份的安全保密，并做好异地保存。〔九〕上网公布信息保密治理制度1、利用计算机网络上网公布信息的保密治理工作实行“谁上网，谁负责”的原那么，确保国家隐秘、个人隐私和本单位不宜公开的内部事项不上网。2、在本单位网站〔政务网站〕公布信息实行保密审批和登记。保密审批由本单位保密领导小组指定工作人员负责初审，保密领导小组负责人终审。信息登记内容：包括信息采集人、保密审查人、信息上网时间以及计算机操