安全保密管理制度

第一章 總則

第一條 信息安全保密工作是公司運營與發展的基礎，是保障客户利益的基礎，為給信息安全工作提供清晰的指導方向，加強安全管理工作，保障各類系統的安全運行，特制定本管理制度。

第二條 本制度適用於分、支公司的信息安全管理。

第二章 計算機機房安全管理

第三條 計算機機房的建設應符合相應的國家標準。

第四條 為杜絕火災隱患，任何人不許在機房內吸煙。嚴禁在機房內使用火爐、電暖器等發熱電器。機房值班人員應瞭解機房滅火裝置的性能、特點，熟練使用機房配備的滅火器材。機房消防系統白天置手動，下班後置自動狀態。一旦發生火災應及時報警並採取應急措施。

第五條 為防止水患，應對上下水道、暖氣設施定期檢查，及時發現並排除隱患。

第六條 機房無人值班時，必須做到人走門鎖；機房值班人員應對進入機房的人員進行登記，未經各級領導同意批准的人員不得擅自進入機房。

第七條 為杜絕齧齒動物等對機房的破壞，機房內應

採取必要的防範措施，任何人不許在機房內吃東西，不得將食品帶入機房。

第八條 系統管理員必須與業務系統的操作員分離，系統管理員不得操作業務系統。應用系統運行人員必須與應用系統開發人員分離，運行人員不得修改應用系統源代碼。

第三章 計算機網絡安全保密管理

第九條 採用入侵檢測、訪問控制、密鑰管理、安全控制等手段，保證網絡的安全。

第十條 對涉及到安全性的網絡操作事件進行記錄，以進行安全追查等事後分析，並建立和維護“安全日誌”，其內容包括：

1、記錄所有訪問控制定義的變更情況。

2、記錄網絡設備或設施的啟動、關閉和重新啟動情況。

3、記錄所有對資源的物理毀壞和威脅事件。

4、在安全措施不完善的情況下，嚴禁公司業務網與互聯網聯接。

第十一條 不得隨意改變例如IP地址、主機名等一切系統信息。

第四章 應用軟件安全保密管理

第十二條 各級運行管理部門必須建立科學的、嚴格的軟件運行管理制度。

第十三條 建立軟件複製及領用登記簿，建立健全相應的監督管理制度，防止軟件的非法複製、流失及越權使用，保證計算機信息系統的安全；

第十四條 定期更換系統和用户密碼，前台（各應用部門）用户要進行動態管理，並定期更換密碼。

第十五條 定期對業務及辦公用PC的操作系統及時進行系統補丁升級，堵塞安全漏洞。

第十六條 不得擅自安裝、拆卸或替換任何計算機軟、硬件，嚴禁安裝任何非法或盜版軟件。

第十七條 不得下載與工作無關的任何電子文件，嚴禁瀏覽黃色、反動或高風險等非法網站。

第十八條 注意防範計算機病毒，業務或辦公用PC要每天更新病毒庫。

第五章 數據安全保密管理

第十九條 所有數據必須經過合法的手續和規定的渠道採集、加工、處理和傳播，數據應只用於明確規定的目的，未經批准不得它用，採用的數據範圍應與規定用途相符，不得超越。

第二十條 根據數據使用者的權限合理分配數據存取授權，保障數據使用者的`合法存取。

第二十一條 設置數據庫用户口令，並監督用户定期更改；數據庫用户在操作數據過程中，不得使用他人口令或者把自己的口令提供給他人使用。

第二十二條 未經領導允許，不得將存儲介質（含磁帶、光盤、軟盤、技術資料等）帶出機房，不得隨意通報數據內容，不得泄露數據給內部或外部無關人員。

第二十三條 嚴禁直接對數據庫進行操作修改數據。如遇特殊情況進行此操作時，必須由申請人提出申請，填寫《數據變更申請表》，經申請人所屬部門領導確認後提交至信息管理部，信息管理部相關領導確認後，方可由數據庫管理人員進行修改，並對操作內容作好記錄，長期保存。修改前應做好數據備份工作。

第二十四條 應按照分工負責、互相制約的原則制定各類系統操作人員的數據讀寫權限，讀寫權限不允許交叉覆蓋。

第二十五條 一線生產系統和二線監督系統進行系統維護、復原、強行更改數據時，至少應有兩名操作人員在場，並進行詳細的登記及簽名。

第二十六條 對業務系統操作員權限實行動態管理，確保操作員崗位調整後及時修改相應權限，保證業務數據安

全。

附件： 數據變更申請表

安全保密管理制度 [篇2]

第1條 為了加強知識產權保護，防止信息數據丟失和外泄，保持信息系統庫正常運行，特制定安全保密制度。

第2條 安全保障對象包括辦公場所安全，設備安全，軟件安全，系統庫安全，計算機及通信安全；保密對象包括檔案資料，醫療數據資料，信息系統庫資料。

第3條 信息中心主任、工程師必須嚴格執行國家的有關規定和院裏的有關制度，認真管理檔案、醫療數據資料、數據庫系統。

第4條 信息中心的所有工作人員必須嚴格遵守院裏的規章制度和信息中心的有關規定，認真做好檔案、醫療數據資料、數據庫系統的管理和維護工作。

第5條 未經院領導和信息中心負責人同意，非管理人員不得進入控制機房，不得擅自操作系統服務器、鏡像服務器、應用服務器、控制服務器及控制機房的其他設備。

第6條 未經院領導和信息中心負責人同意，嚴禁任何人以任何形式向外提供數據。實行嚴格的安全准入制度，檔案管理、信息系統管理、作業流程管理權限明確。管理者在授權範圍內按資料應用程序提供數據。

第7條 檔案資料安全保密管理，遵循《檔案庫房管理制度》、《保密守冊》、《檔案室職責》、《檔案資料利用管理規定》、《檔案安全消防措施》執行。

第8條 醫療數據資料、信息系統庫資料，除參照執行第7條相關規定外，還應遵循：

第1款 資料建檔和資料派發要履行交接手續。

第2款 原始數據、中間數據、成果數據等，應按規定作業流程辦理。數據提供方要確保數據齊全、正確、安全、可靠；辦公文員要對數據進行校驗，注意

作業流程把關、資料完整性檢查、數據殺毒處理；數據處理員要嚴格按照“基礎地理信息系統建庫技術規範” 要求作業；專檢員要嚴格按照“資料成果專檢”規定把關；系統入庫員、系統管理員、網絡管理員要保證入庫、出庫數據質量和數據安全保密。

第3款 定期對數據庫進行檢查、維護，發現問題及時解決和備案，保證數據庫系統的正常運行。

第4款 未經許可數據庫內的數據信息不得隨意修改或刪除，更不能對外提供。

第5款 除授權管理人員外，未經許可，任何人不能動用他人設備，不得通過網絡（局域網、VPN虛擬專網、內部網等）聯機調閲數據。

第6款 醫療數據資料按規定要求進行計算機建檔和處理，數據入庫後要及時刪除工作終端中的原有數據。

第7款 嚴格遵守信息中心工作流程，不得做任何違反工作流程的操作。

第8款 定期對數據庫的信息數據進行備份，要求每增加或更新批次，數據備份一次，包括異地熱機備份和刻盤備份兩種方式；每月定期刻盤兩套，異地保存。

第9條 軟件開發要求功能齊全、操作方便、容錯能力強、運行效率高、安全保密性好，建庫技術標準規範、應用服務體系完善。

第10條 信息中心辦公場所要建立防火、防盜、防爆、防塵、防潮、防蟲、防曬、防雷擊、防斷電、防腐蝕、防高温等基本防護設施。消除安全隱患，杜絕安全事故。

第11條 權限管理是生產有序進行和信息資料合法利用的有效保證。任何法人或自然人只能在授權範圍操作。

第12條 權限管理從安全級別上分為絕密、機密、祕密；從適用對象上分為高級管理員、系統管理員、高級用户、中級用户、一般用户、特殊用户；從操作承載體上分為服務器（包括系統服務器、鏡像服務器、應用服務器和控制服務器）、工作終端、用户終端；從設定內容上分為完全控制、權限設置變更廢止、創建、刪除、添加、編輯、更新、運行、讀取、拷貝、其他操作。

第1款 安全級別中絕密資料內容包括用户名及密鑰、信息系統庫密鑰、系統運行日誌、控制信息資料；

第2款 設定內容中，完全控制是指對VPN虛擬專網中服務器（包括系統服務器、鏡像服務器、應用服務器和控制服務器）、終端（包括工作終端和用户終端）有絕對控制權，包括IP地址、網關、DNS服務器地址、超級用户密碼、系統庫密碼、操作系統、程序、信息數據的設定、修改、刪除權利等；

第3款 高級管理員為最高權限人，設定權限為完全控制，即擁有對所有用户名及密鑰管理，查看系統運行日誌，擁有對服務器、終端的所有權限管理，即對絕密、機密、祕密資料擁有權限、創建、刪除、添加、編輯、更新、運行、讀取、拷貝及其他操作權；系統管理員權限包括對工作終端用户名及密鑰管理，擁有對服務器（不包括控制服務器）和終端所有權限管理，即對機密、祕密資料擁有權限、創建、刪除、添加、編輯、更新、運行、讀取、拷貝及其他操作權；高級用户在本工作終端擁有對系統服務器中的機密、祕密資料進行編輯、更新、運行、讀取、部分拷貝及其他操作權；中級用户在本工作終端擁有對系統服務器中的祕密資料進行更新、運行、讀取、部分拷貝及其他操作權; 一般用户在本工作終端擁有對系統服務器中的祕密資料進行讀取、部分拷貝及其他操作權；特殊用户在本工作終端擁有對應用服務器中的機密資料進行讀取、部分拷貝及其他操作權。

第13條 控制服務器中建立運行日誌，以便記錄系統運行痕跡。運行日誌中至少包括各服務器開關記錄及運行診斷情況記錄；信息系統庫運行情況記錄；各終端訪問系統服務器時的用户名、對象級別、訪問內容、訪問起止時間。運行日誌中內容記錄方式以時間為序。

第14條 強化信息安全保密管理，加強安全保密意識教育。因人為原因造成信息數據泄密及安全事故，追究當事人責任；觸犯法律的，依法追究。

信息中心

2015.12

安全保密管理制度 [篇3]

隨着我院信息化建設的不斷髮展，我院現有信息系統共包括：HIS系統、LIS系統、電子病歷系統、PACS系統、物資管理系統、臨牀藥學和合理用藥等系統。這些系統已基本覆蓋全院各科室，所有的業務系統積累和掌握了大量的患者基本信息、化驗檢查結果、電子處方信息及醫院生產數據和運營信息。這些數據涉及到來院就診者的隱私、醫患關係、醫院自身經營發展等眾多方面。為減少由於數據泄漏所帶來的就診人員信息泄漏、醫患矛盾等，特制定本制度。

一、機房管理

1、內網管理：機房服務器除與醫保中心、農合系統進行聯網外，其他網絡一律不準與服務器進行連接，機房服務器不準插U盤及無線設備。

2、人員管理：外來人員進出機房必須有信息中心工作人員陪伴，並做好出入登記。

3、安全管理：信息中心工作人員每天定時巡查機房，發現問題及時報告。

二、數據庫管理：

1、數據庫加密：對HIS數據庫進行加密，密碼分三段由三個人分別設置，除非緊急情況下不得利用此密碼進入數據庫。

2、數據操作：信息中心工作人員所有操作均利用維護工具進行，保證每一步操作都有記錄。

三、終端管理：

1、科室所有終端均安裝內網管理軟件，對U盤、無線設備進行屏蔽。

2、科室所有終端安裝殺毒軟件