網(wǎng)絡信息安全與管理制度

網(wǎng)絡信息安全與管理制度第一章總則第一條目的和依據(jù)為了加強醫(yī)院的網(wǎng)絡信息安全管理，保護醫(yī)院網(wǎng)絡信息的安全性、完整性和可用性，維護正常的醫(yī)院信息系統(tǒng)運行和醫(yī)療秩序，訂立本制度。第二條適用范圍本制度適用于醫(yī)院內全部使用和管理醫(yī)院信息系統(tǒng)的人員和設備，包含醫(yī)院工作人員、臨床醫(yī)生、護士、科員、系統(tǒng)管理員等。第三條定義醫(yī)院信息系統(tǒng)：指醫(yī)院在信息技術支持下的數(shù)據(jù)、網(wǎng)絡和計算資源，包含硬件設備、軟件系統(tǒng)和存儲設備等。網(wǎng)絡信息安全：指對醫(yī)院信息系統(tǒng)和網(wǎng)絡中的信息進行保護，防止受到破壞、泄露、竄改、丟失和不行控的風險。第二章基本要求第四條網(wǎng)絡信息安全責任醫(yī)院網(wǎng)絡信息安全責任由醫(yī)院管理層統(tǒng)一負責，并指定專人負責網(wǎng)絡信息安全管理。各部門應對本部門的網(wǎng)絡信息安全負有監(jiān)督和保密的責任。第五條保密要求全部使用醫(yī)院信息系統(tǒng)的人員都應承當保密責任，不得將醫(yī)院機密信息外泄或用于非法用途。離崗期間需將工作區(qū)信息進行合理安全處理，避開機密信息泄露。離職人員必需及時交回和清除工作相關的賬號、密碼及數(shù)據(jù)，不得留有后門。第六條網(wǎng)絡信息安全教育培訓醫(yī)院應定期開展網(wǎng)絡信息安全教育培訓，提高員工對網(wǎng)絡信息安全的認知和自我防護本領。新員工入職前需進行網(wǎng)絡信息安全培訓，包含基本保密規(guī)定、賬號使用和密碼管理等內容。定期組織網(wǎng)絡信息安全知識考核，對考核不合格人員進行挽救培訓。第七條網(wǎng)絡訪問掌控醫(yī)院應建立網(wǎng)絡訪問權限管理制度，對不同職能部門和人員的訪問權限進行分類管理。系統(tǒng)管理員應及時處理非法訪問和異常操作，并及時上報。第三章信息系統(tǒng)安全管理第八條資源使用管理醫(yī)院各部門應依照實際需要，合理使用和調配網(wǎng)絡信息資源。禁止擅自更改或刪除他人的信息資源，禁止非法占用網(wǎng)絡信息資源。第九條密碼管理全部使用醫(yī)院信息系統(tǒng)的人員需設置強密碼，嚴禁使用弱密碼或簡單密碼。密碼需定期更換，并妥當保管，不得共享或泄露給他人。第十條病歷和數(shù)據(jù)管理安全病歷和其他數(shù)據(jù)應通過醫(yī)院內部網(wǎng)絡進行傳輸，禁止使用外部非安全網(wǎng)絡傳輸。禁止未經(jīng)授權的人員訪問和修改病歷和其他數(shù)據(jù)，醫(yī)院應定期對病歷和數(shù)據(jù)進行備份。第十一條應用系統(tǒng)安全管理醫(yī)院應采用合法、正版的軟件系統(tǒng)，并定期更新和修復系統(tǒng)漏洞。禁止私自安裝、卸載或修改系統(tǒng)軟件，禁止使用未經(jīng)授權的應用系統(tǒng)。第四章網(wǎng)絡安全事件應對第十二條安全事件報告發(fā)現(xiàn)或遭逢網(wǎng)絡安全事件的人員應立刻向網(wǎng)絡信息安全負責人報告，及時采取緊急措施。網(wǎng)絡信息安全負責人應及時進行安全事件的調查、分析和記錄，并報告醫(yī)院管理層。第十三條安全事件處理醫(yī)院應建立網(wǎng)絡安全事件應急預案和處理流程，確保事件能快速有效得各處理。對于嚴重的安全事件，應及時采取措施，保護醫(yī)院的核心信息資產(chǎn)。第十四條安全事件追溯與整改對于發(fā)生的網(wǎng)絡安全事件，應進行認真記錄，并進行追溯分析，找出漏洞與原因。在網(wǎng)絡安全事件得到掌控后，應及時采取整改措施，避開仿佛事件再次發(fā)生。第五章附則第十五條懲罰措施對于違反網(wǎng)絡信息安全制度的人員，醫(yī)院將依據(jù)相關規(guī)定進行相應懲罰，包含紀律處分和法律追究。第十六條監(jiān)督與檢查醫(yī)院建立網(wǎng)絡信息安全管理監(jiān)督機制，定期或不定期對網(wǎng)絡信息安全工作進行檢查和評估。第十七條任務分工各部門應明確網(wǎng)絡信息安全工作的具體職責和任務，并建立協(xié)調機制，保障網(wǎng)絡信息安全的全面管理。第十八條本制度的解釋權和修改本制度的解釋權和修改權歸醫(yī)院管理層全部，并適時進行修訂和完善。結束