信息化安全管理制度

feng · 发表于 2024-3-12 14:32:13

信息化安全管理制度

第一张：总则

第一条，为加强信息化安全规范化管理，有效提高信息化管理水平，防止失密、泄密时间的发生。根据有关文件规定，特制定本制度。

第二条，本制度所指信息化系统包括医院管理系统、办公自动化、妇幼卫生统计直报系统，疫情直报系统、儿童免疫规划直报系统等。

第三条，信息安全是指为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

第二章环境和设备

第四条机房安全

1 、有服务器的单位要检录独立的机房。

2 、机房应设置在独立的房间，环境相对安静的地段。

3 、机房内门窗应增设防盗（防盗门、铁栅栏等）、防火（灭火器）措施。

4 、未经网络管理员允许．任何人员不得进入机房，不得操作机房任何设备。

5 、除网络服务器和联网设备外，工作人员离开机房时，必须关掉其它设备电源和照明电源。

6 、严禁使用来历不明或无法确定其是否有病毒的存储介质。

第五条两个或两个以上专用网络（医院内部管理网、妇幼卫生统计直报系统）的单位，互联网与各个专用网络之间不能相通，必须专网专机管理。

第六条电脑实行专人专管，任何人不得在不经电脑使用人许可的情况下擅自动用他人电脑。如遇电脑使用人外出，则须在征得该电脑使用人所在的科室领导或相关领导的同意后方可使用。

第七条计算机名称、 lP 地址由网管中心统一登记管理，如需变更，由网管中心统一调配。

第八条 PC 机（个人使用计算机）应摆设在相对通风的环境，在不使用时，必须切断电源。

第九条开机时，应先开显示器再开主机：关机时，应在退出所有程序后，先关主机，再关显示器。下班时，应在确认电脑被关闭后，方可离开单位。

第十条更换电脑时，要做好文件的拷贝工作，同时在管理人员的协助下检查电脑各方面是否正常。

第十一条离职时，应保证电脑完好、程序正常、文件齐全，接手人在确认文件无误后方可完善手续。

第三章软件与网络

第十二条禁止在工作时间内利用电脑做与工作无关的事情，如网上聊天、浏览与工作内容无关的网站、玩电脑游戏等。禁止在电脑上安装任何游戏软件。

第十三条外来存储介质在本单位内计算机上使用时，必须进行杀毒处理后方可使用。

第十四条为防止恶意代码植入系统，预防计算机病毒感染．在收到不明来历的电子邮件时应注意不要随意打开，并立即予以删除。

第十五条上网用户不得利用网络危害国家安全、泄露国家机密，不得侵犯国家、社会、单位、集体的利益和公民合法权益，不得从事违法犯罪活动。

第十六条上网用户不得在任何网络上制作、复制和传播下列信息

（一）煽动抗拒、破坏宪法和法律、行政法规实施：

（二）煽动颠覆国家政权推翻社会主义制度：

（三）煽动分裂国家、破坏国家统一：

（四）煽动民族仇恨、民族歧视，破坏民族团结：

（五）捏造或者歪曲事实，散布谣言．扰乱社会秩序：

( 六 ) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪：

（七）公然悔辱他人或者捏造事实诽谤他人：

（八）损害形象和利益：

（九）其他违反宪法和法律、

第十七条上网用户不得从事下列危害计算机信息网络安全的活动

（一）未经允许，对自己或他人的计算机网络功能进行删除、修改或者增加；

（二）未经允许，对自己或他人的计算机信息存储、处理或者传输的数据和应用程序进行删除、修改或增加 ;

（三）浏览与工作无关的网站，上网下载或以其他方式带入任何未经批准使用的程序，故意制作、传播计算机病毒等破坏性程序；

（四）其它危害计算机信息网络安全的行为。

第十九条计算机出现故障，需重新安装操作系统时，应通知管理人员进行安装，不得私自请电脑公司或外单位电脑人员进行安装，不得私自将计算机搬到电脑公司进行维修。

第四章数据加密和备份

第二十条对于密级文件殛数据（财务、人事）要建立双备份制度，对重要资料除在电脑贮存外，还应定期拷贝到服务器、 u 盘或光盘上，以及防遭病毒破坏或断电而丢失。

第二十一条服务器必须设置密码，密码组成应由英文字母和数字组成，长度应在 8 位以上并随时更换。

第二十二条网络管理人员须随时做好本单位各类重要数据的备份工作，发生灾难性事件时能及时恢复系统数据。

第二十三条用户必须按自己的帐号、密码进入相应系统，不得盗用他人的帐号、密码。密码不得外泄，如发现可能外泄，应及时重设或申请更换；造成损失和危害的，追究其责任。网络特权服务用户不得泄露有关软硬件、网络授术细节及管理密码；所有人员必须保管好自己的密码，确保密码长度不少于 8 位、必须真有复杂性（含不重复的字母、数字及特殊符号）、不通用性、不易记性必须定期更新密码；使用密码时应确保旁人不能窥视；不要在软件使用时选自动记忆帐户密码功能；不要在任何地方使用任何方式谈论或书式记忆任何密码，未经批准不得将数据和软件拷贝带离本单位或从单位外带入数据输入到记算机中。

第五章人员管理

第二十四条信息管理人员必须是单位的正式员工。

第二十五条信息管理人员变换必须报批网管中心，网管中心批准后方可更换。

第二十六条信息管理人员变换后，必须将单位内所有重要计算机（服务器）密码重新进行设置。

第二十七条各单位应根据实际情况建立本单位信息化管理制度。

第二十八条各单位的信息化建设、管理工作纳人年终考核．院信息安全管理领导小组具体负责考核工作。

第六章附则

第二十九条本制度由医院信息安全管理领导小组负责解释。

第三十条本制度自发布之日起施行。

机房管理制度

1 、必须注意环境卫生。禁止在机房内吃食物、抽烟、随地吐痰；对于意外或工作过程中弄污机房地板和其它物品的必须及时采取措施清理干净，保持机房无尘洁净环境。

2 、必须注意个人卫生。工作人员仪表、穿着要整齐、谈吐文雅、举止大方。

3 、机房用品要各归其位，不能艟意乱放。

4 、机房应安排人员值日，负责机房的日常整理和行为督导。

S 、进出机房按要求必须换鞋，雨具、鞋具等物品要按位摆放整齐。

6 、注意检查机房的防晒、防水、防潮，维持机房环境通爽，注意天气对机房们影响，下雨时应及时主动检查和关闭窗户、检查去水通风等设施。

7 、机房内部不应大声喧哗、注意噪音，音响音量控制、保持安静的工作环境

8 、坚持每天下班之前将桌面收拾干净、物品摆放整齐。

二、机房保安制度

1 、出入机房应注意锁好防盗门。对于有客人进出机房，机房相关的工作人员应负责该客人的安全防范工作。最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁好防盗装置。应主动拒绝陌生人进出机房。

2 、工作人员离开工作区域前，应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。如检查并锁上自己的工作柜、锁定工作电脑、并将桌面重要资料和数据妥善保存等等。

3 、工作人员、到访人员出入应登记。

4 、外来人员进入必须有专门的工作人员全面负责其行为安全。

5 、未经主管领导批准，禁止将机房相关的钥匙、密码透露给其他人员，同事有责任对信息保密。对于遗失物品的情况要即使上报，并积极主动采取措施保证机房安全。

6 、机房人员对机房安全制度上的漏洞和不完善的地方有责任及时提出改善建议。

7 、禁止带领与机房工作无关的人员进出机房。

8 、绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。

9 、出现机房盗窃、破门、火警、水浸、 110 报警等严重事件时，机房工作人员有义务以最快的速度和最短的事件到达现场，协助处理相关的事件。

三、机房用电安全制度

1 、机房人员应学习常规的用电安全操作和知识，了解机房内部的供电、用电设施的操作规程。

2 、机房人员应经常学习、掌握机房用电应急处理步骤、措施和要领。

3 、机房应安排有专业资质的人员定期检查供电、用电设备、设施。

4 、不得乱拉电线，应选用安全、有保证的供电、用电器材。

5 、在真正接通设备电源之前必须先检查线路、接头是否安全连接以及设备是否已经就绪、人员是否已经具备安全保护。

6 、严禁随意对设备断电、更改设备供电线路，严禁随意串接、并接、搭接各种供电线路。

7 、如发现用电安全隐患，应即时采取措施解决，不能解决的必须及时向相关负责人员提出解决。

8 、机房人员对跟人用电安全负责。外来人员需要用电的，必须得到机房管理人员允许，并使用安全和对机房设备影响最少的供电方式。

9 、机房工作人员需要离开当前用电工作环境，应检查并保证工作环境的用电安全。

10 、最后离开机房的工作人员，应检查所有用电设备，应关闭长时间带电运作可能会产生严重后果的用电设备。

11 、禁止在无人看管下载机房中使用高温、炽热、产生火花的用电设备。

12 、在使用功率超过特定瓦数的用电设备前，必须得到上级主管批准，并在保证线路保险的基础上使用。

13 、在危险性高的位置应张贴相应的安全操作方法、警示以及指引，实际操作时应严格执行。

14 、在外部供电系统停电时，机房工作人员应全力配合完成停电应急工作。

15 、应注意节约用电。

四、机房消防安全制度

1 、机房工作人员应熟悉机房内部相仿安全操作和规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。

2 、任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和谁被位置的，必须取得主管领导批准。工作人员更应保护消防设备不被损坏。 3 、应定期进行消防演习、消防常识培训、消防设备使用培训。

4 、如发现消防安全隐患，应即时采取措施解决，不能解决的应及时向相关负责人员提出解决。

5 、应严格遵守张贴于相应位置的操作和安全警示及指引。

6 、最后离开机房工作人员，应检查消防设备的工作状态，关闭将会带来消防隐患的设备，采取措施保证无人下的消防安全。

五、机房用水制度

1 、禁止将供水管道和谁被安装在机房内。

2、应格遵守张贴于相应位置的安全操作、警示以及安全指引。

六、机房硬件设备安全使用制度

1、机房人员必须熟知机房设备的基本安全操作和规则。

2、应定期检查、整理硬件物理连接线路．定期检查硬件运作状志（如设备指示灯、仪表）．定期调阅硬件运作自检报告，从而及时了解硬件运作状态。

3、禁止随意搬动设备、随意在设备上进行安转、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。

4、禁止在服务器上进行试验性质的配置操作．需要对服务器进行配置，应在其它可进行试验的机器上调试通过并确认可行后，才能对服务器进行准确的配置。

5、对会影响到全局的硬件设备的更改、调试等操作应预先发布通知，并且应有充分的时间、方案、人员准备，才能进行硬件设备的更改。

6、对重大设备配置的更改，必须首先形成方案文件，经过讨论确认可行后，由具备资格的技术人员进行更改和调整，并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前，应对更改、升级、配置所带来的负面后果做号充分的准备，必要时需要先准备好后备配件和应急措施。

7 、不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。未经上级允许，更不允许他人操作机房内部的设备，对于核心服务嚣和设备的调整配置，更需要小组人员的共同同意后才能进行。

8、要注意和落实硬件设备的维护保养措施。

七、软件安全使用制度

1、必须定期检查软件的运行状况、定期调阅软件运行日志记录，进行数据和软件日志备份。

2、禁止在服务器上进行试验性质的软件调试，禁止在服务器随意安装软件。需要对服务器进行配置必须在其它可进行试验的机器上调试通过并确认可行后，才能对服务器进行准确的配置。

3、对会影响到全局的软件更改、调试等操作应先发布通知，并且应有充分的时间、方案、人员准备，才能进行软件配置的更改

4、对重大软件配置的更改，应先形成方案文件，经过讨论确认可行后，由具备资格的技术人员进行更改，并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前，应对更改、升级、配置所带来的负面后果做好充分的准备，必要时需要先备份原有软件系统和落实好应急措施。

5、不允许任何人员在服务器等核心设备上进行与工作范围无关的软件调试和操作。未经上级允许不允许带领、指示他人进入机房、对网络及软件环境进行更改和操作。

6、应严格遵守张贴于相应位置的安全操作、警示以及安全指引。

八、机房资料、文档和数据的安全制度

1、资料、文档、数据等必须有效组织、整理和归档备案。

2、禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其它无关人员或向外随意传播。

3、对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的．应由机房相关负责人代为查阅，并只能向其提供与其当前工作内容相关的数据或资料。

4、重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性，防止遗失重要数据。

九、机房财产登记和保护制度

1、机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录，对于公共使用的物品和重要设备，必须建立一套较为完善的借取和归还制度进行管理。

2、机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品，在使用完毕后，应将物品归还并存放于原处，不应随意摆放。

3、对于使用过程中损坏、消耗、遗失的物品应汇报登记，并对责任人追究相关责任。

4、未经主管领导同意，不允许向他人外借或提供机房设备和物品。