醫(yī)院網(wǎng)絡(luò)信息安全等級保護制度匯編2篇

1、醫(yī)院網(wǎng)絡(luò)信息安全等級保護制度匯編2篇衛(wèi)生網(wǎng)絡(luò)信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作，對于促進衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度，我院按照*等文件的精神，根據(jù)我院自身情況，制定了*人民醫(yī)院信息安全等級保護制度。一、工作目標依據(jù)國家信息安全等級保護制度，遵循相關(guān)標準規(guī)范，在我院全面開展信息安全等級保護定級備案、建設(shè)整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛(wèi)生行業(yè)信息安全防護能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力，為我院衛(wèi)生

2、信息化健康發(fā)展提供可靠保障，全面維護公共利益、社會秩序和國家安全。二、工作原則(一)遵循標準，重點保護。遵循國家信息安全等級保護相關(guān)標準規(guī)范，結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點以及我院實際情況，優(yōu)先保護重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點信息安全需求。(二)行業(yè)指導，明確責任。我院嚴格按照國家信息安全等級保護制度有關(guān)要求，貫徹落實本院衛(wèi)生信息系統(tǒng)安全等級保護的指導和管理工作。按照上級要求，制定“誰主管、誰負責，誰運營、誰負責”的責任制度，落實信息安全責任。(三)同步建設(shè)，動態(tài)完善。在信息系統(tǒng)規(guī)劃設(shè)計與建設(shè)過程中，同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用范圍等條件改變導致安全需求發(fā)生變化時

3、，應(yīng)當重新調(diào)整信息系統(tǒng)安全保護等級，及時完善安全保障措施。三、工作機制在分管院長、院辦主任的領(lǐng)導下，由我院信息中心落實本院衛(wèi)生信息安全等級保護工作，負責對我院衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調(diào)、監(jiān)督指導，積極開展信息安全等級保護工作。按照上級相關(guān)要求，我院建立信息安全等級保護工作聯(lián)絡(luò)員機制，設(shè)置信息安全等級保護工作聯(lián)絡(luò)員。聯(lián)絡(luò)員職責是落實國家信息安全等級保護工作的有關(guān)政策和技術(shù)標準，掌握本院信息安全等級保護工作動態(tài)和總體情況，代表我院與衛(wèi)生行政部門以及信息安全等級保護管理部門進行日常聯(lián)系和交流，協(xié)調(diào)落實本院信息安全等級保護工作。四、工作任務(wù)(一)定級備案1.我院對本單位建設(shè)與運營的衛(wèi)生信息

4、系統(tǒng)進行自查，對未定級、定級不準的信息系統(tǒng)，應(yīng)當按照信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南開展定級工作。國家信息安全等級保護制度將信息安全保護等級分為五級:第-級為自主保護級，第二級為指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。我院重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級。2.擬定為第三級以上(含第三級)的衛(wèi)生信息系統(tǒng)，應(yīng)當經(jīng)信息安全技術(shù)專家.委員會論證、評審。3.確定信息系統(tǒng)安全保護等級后，對第二級以上(含第二級)信息系統(tǒng)，應(yīng)當報屬地公安機關(guān)及衛(wèi)生行政部門備案?？缡∪珖?lián)網(wǎng)運行并由衛(wèi)生部定級的信息系統(tǒng)，由衛(wèi)生部報公安部備案:在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當

5、報屬地公安機關(guān)備案。(二)建設(shè)與整改。1.對已確定安全保護等級的第二級以上(含第二級)衛(wèi)生信息系統(tǒng),應(yīng)當按照國家信息安全等級保護工作規(guī)范和信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求等國家標準，開展安全保護現(xiàn)狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。2.根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結(jié)果，按照信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求.信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求等國家標準，制訂信息系統(tǒng)安全等級保護建設(shè)整改方案。第三級以上(含第三級)衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當經(jīng)信息安全技術(shù)專家委員會論證。3.本院應(yīng)當按照信息系統(tǒng)安全建設(shè)整改方案，完善安全保護設(shè)施，

6、建立安全管理制度，落實安全管理措施，形成信息安全技術(shù)防護體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。(三)等級測評。1.系統(tǒng)建設(shè)整改工作完成后，應(yīng)當按照信息安全等級保護管理辦法要求，從全國信息安全等級保護測評機構(gòu)推薦目錄中選擇等級測評機構(gòu)，對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評。2.測評合格后，應(yīng)當將測評報告報屬地公安機關(guān)及衛(wèi)生行政部門備案。3.應(yīng)當每年對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評。對于重要部門的第二級信息系統(tǒng)，可參照上述要求進行等級測評。(四)宣傳培訓。1.我院信息中心對本院相關(guān)部門開展等級保護政策和標準規(guī)范培訓，提高本院信息安全管理人員的技術(shù)能力和管理水

7、平。2.本院應(yīng)當開展內(nèi)部信息安全培訓，提升全員信息安全意識，規(guī)范信息安全操作行為，提高信息安全保障能力。(五)接受監(jiān)督檢查。1.衛(wèi)生部信息化工作領(lǐng)導小組負責督導檢查各地醫(yī)療衛(wèi)生機構(gòu)信息安全等級保護工作落實情況，并督促部機關(guān)重要信息系統(tǒng)責任單位開展信息安全等級保護工作。2.省級衛(wèi)生行政部門信息化工作領(lǐng)導小組負責督導檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況，并督促本單位開展信息安全等級保護工作。五、工作要求(一)高度重視，加強領(lǐng)導。本院各部門要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫(yī)療衛(wèi)生機構(gòu)正常運轉(zhuǎn)和社會穩(wěn)定的重要意義。主要負責同志要負總責，分管負責同志要具體

8、抓，明確職責與任務(wù)，突出重點，將信息安全等級保護工作列入重要議事8程和工作績效考核指標，-級抓一級，層層抓落實。(二)保障經(jīng)費，加強監(jiān)管。要建立經(jīng)費投入機制，將信息安全等級保護建設(shè)整改、等級測評、信息安全服務(wù)、技術(shù)培訓等費用納入信息化建設(shè)預算，并加強對資金使用的監(jiān)管。(三)加強溝通，密切合作。信息中心高度重視醫(yī)院信息安全等級保護管理工作，應(yīng)當加強與各級衛(wèi)生行政部門的溝通交流，建立協(xié)作機制，在信息安全等級保護工作中的定級備案、建設(shè)整改、等級測評、監(jiān)督檢查等環(huán)節(jié)密切合作，共同推進信息安全等級保護工作。醫(yī)院信息安全等級保護制度一、用戶管理制度:1、信息科不得向任何人透漏員工的賬號和密碼。2、醫(yī)院員工

9、對本人賬號和密碼必須遵守以下規(guī)定:(1)新員工憑人事科報到單，到信息科配置賬號和密碼;員工離院時:到信息科注銷賬號和密碼;人事科憑信息科“已注消賬號和密碼”的依據(jù)同意員工調(diào)出或離院;財務(wù)科憑信息科“已注消賬號和密碼”的依據(jù)結(jié)付相關(guān)費用。(2) 員工不得將本人的賬號和密碼告訴其他人或?qū)懺谌魏纹渌丝傻玫降臅尜Y料上，并每隔60天定期修改密.碼，對有疑問的密碼應(yīng)及時修改。(3)任何人員不得使用他人的賬號和密碼，也不得將工作范圍內(nèi)可接觸到的數(shù)據(jù)告訴其他任何未經(jīng)授權(quán)的人員，并在離開終端時及時退出計算機系統(tǒng)。(4)密碼可以是字母與數(shù)字的組合。二、系統(tǒng)操作分級管理制度1、本院系統(tǒng)管理首先確定為管理對象重要

10、級別。從1-3級別區(qū)分，以一級為最高等級。不同的級別制定相應(yīng)的密碼權(quán)限安全管理方案。2、一級設(shè)備為主數(shù)據(jù)庫服務(wù)器和核心網(wǎng)絡(luò)設(shè)備。這些設(shè)備的密碼保存人為信息科主任與服務(wù)器管理員。所能操作人員僅限于服務(wù)器最高權(quán)限的管理員。采取統(tǒng)一入口管理。對于一些重大操作，必須有文字記錄。3、二級設(shè)備主要是普通服務(wù)器、接入交換機和數(shù)據(jù)庫密碼。密碼保存人為信息科主任與信息科工作人員。對于一些重大操作，必須有文字記錄。4、三級設(shè)備為安裝在各使用部門的電腦，密碼由相關(guān)科室設(shè)備負責人自行保管。5、對于設(shè)備具體分級細則，在遵循以上原則的情況下，細節(jié)由信息科內(nèi)部協(xié)商判斷而制定。6、對于密碼，數(shù)據(jù)泄露，造成業(yè)務(wù)中斷，或相關(guān)私密

11、數(shù)據(jù)泄露。將臨時通過技術(shù)手段保護與監(jiān)控相應(yīng)設(shè)備。待問題解決后。整理所有相關(guān)數(shù)據(jù)整理后，上報醫(yī)院存檔。三.網(wǎng)絡(luò)運行監(jiān)控、防病毒、防入侵、桌面管理措施1、為了保護我院數(shù)據(jù)與網(wǎng)絡(luò)的安全，保證網(wǎng)絡(luò)的正常運行，促進網(wǎng)絡(luò)更好的應(yīng)用和發(fā)展，制定本制度。2、利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進行有效隔離，避免與外部網(wǎng)絡(luò)直接通信。3、利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護措施，保證系統(tǒng)安全。4、利用防火墻對來自外網(wǎng)的服務(wù)請求進行控制，使非法訪問在到達主機前被拒絕。5、利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)。6、利用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作。7、利用防火墻及服務(wù)器.上的審計記錄，形成一個完善的審計體系，建立第二條防線。8、根據(jù)需要設(shè)置流量控制規(guī)則，實現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。9、對網(wǎng)絡(luò)邊界點的數(shù)據(jù)進行檢測，防止黑客的入侵;10、對服務(wù)器的數(shù)據(jù)流量進行檢測，防止入侵者的蓄意破壞和篡改;11、監(jiān)視內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作;12、對用戶的非正常活動進行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律;13、實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動;14、對關(guān)鍵正常事件及異常行為記錄日志，