權(quán)限分配和訪問(wèn)控制管理制度

權(quán)限調(diào)配和訪問(wèn)掌控管理制度1.背景為了保障醫(yī)院的信息安全，規(guī)范權(quán)限調(diào)配和訪問(wèn)掌控管理，建立起合理有效的權(quán)限管理制度，以防止未經(jīng)授權(quán)的人員訪問(wèn)敏感信息和系統(tǒng)資源，落實(shí)對(duì)醫(yī)院信息資產(chǎn)的保護(hù)責(zé)任。2.適用范圍本制度適用于醫(yī)院內(nèi)全部工作人員，包含醫(yī)生、護(hù)士、行政人員、科研人員等。3.定義權(quán)限：指醫(yī)院工作人員在系統(tǒng)中所擁有的特定功能和操作權(quán)限。訪問(wèn)掌控：指對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限進(jìn)行管理和掌控的過(guò)程。最小權(quán)限原則：醫(yī)院工作人員在執(zhí)行工作任務(wù)時(shí)，只能獲得完成工作所需最低權(quán)限。4.權(quán)限調(diào)配和管理4.1權(quán)限分級(jí)醫(yī)院內(nèi)的全部系統(tǒng)權(quán)限依照功能和敏感程度進(jìn)行分類，劃分為以下四個(gè)級(jí)別：系統(tǒng)管理員：負(fù)責(zé)系統(tǒng)的日常維護(hù)和管理，包含用戶賬號(hào)管理、數(shù)據(jù)備份、系統(tǒng)升級(jí)等。高級(jí)用戶：擁有對(duì)系統(tǒng)功能的高級(jí)操作權(quán)限，如系統(tǒng)配置、數(shù)據(jù)統(tǒng)計(jì)與分析等。普通用戶：擁有一般的系統(tǒng)使用權(quán)限，可進(jìn)行常規(guī)操作，如病歷記錄、醫(yī)囑錄入等。訪客用戶：僅限臨時(shí)訪問(wèn)，不對(duì)系統(tǒng)做任何修改和操作。4.2權(quán)限申請(qǐng)和審批醫(yī)院工作人員可依據(jù)自身工作需要，向所在部門提交權(quán)限申請(qǐng)。部門負(fù)責(zé)人收到申請(qǐng)后，需對(duì)申請(qǐng)進(jìn)行審批，要求嚴(yán)格依照最小權(quán)限原則進(jìn)行審核。審批后，將申請(qǐng)?zhí)峤恢列畔⒓夹g(shù)部門進(jìn)行權(quán)限調(diào)配。4.3權(quán)限維護(hù)和更改權(quán)限維護(hù)：信息技術(shù)部門負(fù)責(zé)對(duì)各系統(tǒng)的權(quán)限進(jìn)行定期檢查和更新，每年至少進(jìn)行一次權(quán)限清理。對(duì)于無(wú)業(yè)務(wù)需要或離職的員工賬號(hào)，需要及時(shí)取消相應(yīng)的權(quán)限。權(quán)限更改：在工作人員工作職責(zé)或崗位更改時(shí)，需要及時(shí)調(diào)整其賬號(hào)的權(quán)限。崗位更改涉及權(quán)限更改的情況下，需經(jīng)過(guò)部門負(fù)責(zé)人和信息技術(shù)部門的審核和確認(rèn)。4.4系統(tǒng)登錄掌控用戶賬號(hào)：醫(yī)院工作人員需使用唯一的個(gè)人賬號(hào)進(jìn)行系統(tǒng)登錄，嚴(yán)禁共享賬號(hào)、轉(zhuǎn)借賬號(hào)等行為。密碼安全：要求醫(yī)院工作人員設(shè)置強(qiáng)度較高的密碼，密碼必需定期更換，并不得與其他系統(tǒng)或賬號(hào)的密碼相同。登錄失敗鎖定：系統(tǒng)將對(duì)連續(xù)多次登錄失敗的賬號(hào)進(jìn)行鎖定，鎖定時(shí)間需由信息技術(shù)部門設(shè)定，而且鎖定期間需進(jìn)行相應(yīng)的安全審查和解鎖操作。5.訪問(wèn)掌控管理5.1數(shù)據(jù)敏感性分類醫(yī)院需對(duì)各類信息進(jìn)行敏感性分類，劃分為以下三個(gè)級(jí)別：高級(jí)敏感數(shù)據(jù)：包含患者身份、疾病診斷、病歷、檢驗(yàn)結(jié)果等敏感信息。中級(jí)敏感數(shù)據(jù)：包含患者住院信息、病區(qū)信息、藥物使用記錄等。低級(jí)敏感數(shù)據(jù)：包含科研數(shù)據(jù)、員工信息、后勤管理信息等。5.2訪問(wèn)授權(quán)高級(jí)敏感數(shù)據(jù)授權(quán)：僅授權(quán)給具備相應(yīng)資質(zhì)和需要訪問(wèn)高級(jí)敏感數(shù)據(jù)的員工，如醫(yī)生、護(hù)士等。中級(jí)敏感數(shù)據(jù)授權(quán)：授權(quán)給需要訪問(wèn)中級(jí)敏感數(shù)據(jù)的員工，如行政人員、藥劑師等。低級(jí)敏感數(shù)據(jù)授權(quán)：授權(quán)給需要訪問(wèn)低級(jí)敏感數(shù)據(jù)的員工，如科研人員、后勤管理人員等。5.3訪問(wèn)審計(jì)醫(yī)院應(yīng)建立訪問(wèn)審計(jì)制度，記錄每位員工對(duì)系統(tǒng)的操作行為和訪問(wèn)情況，包含登錄時(shí)間、操作內(nèi)容、訪問(wèn)數(shù)據(jù)等有關(guān)信息。6.角色與責(zé)任6.1信息技術(shù)部門負(fù)責(zé)訂立和執(zhí)行權(quán)限調(diào)配和訪問(wèn)掌控管理制度。負(fù)責(zé)管理系統(tǒng)權(quán)限，包含申請(qǐng)、審批、維護(hù)和更改。定期進(jìn)行權(quán)限清理和賬號(hào)鎖定解鎖操作。6.2各部門負(fù)責(zé)人負(fù)責(zé)審核并批準(zhǔn)部門員工的權(quán)限申請(qǐng)。監(jiān)督和落實(shí)權(quán)限調(diào)配和訪問(wèn)掌控的執(zhí)行情況。在員工職責(zé)或崗位更改時(shí)及時(shí)通知信息技術(shù)部門進(jìn)行權(quán)限調(diào)整。6.3全部醫(yī)院工作人員遵守最小權(quán)限原則，不得超出自身工作范圍進(jìn)行操作。妥當(dāng)保管個(gè)人賬號(hào)和密碼，不得將賬號(hào)密碼透露給他人。對(duì)系統(tǒng)漏洞和異常行為進(jìn)行及時(shí)報(bào)告。7.違規(guī)處理任何醫(yī)院工作人員假如違反本制度規(guī)定，進(jìn)行未經(jīng)授權(quán)的操作、訪問(wèn)敏感數(shù)據(jù)或泄露信息等行為，將面對(duì)相應(yīng)的紀(jì)律處分，包含但不限