第一章 總則
第一條 資訊保安保密工作是公司運營與發展的基礎,是保障客戶利益的基礎,為給資訊保安工作提供清晰的指導方向,加強安全管理工作,保障各類系統的安全執行,特制定本管理制度。
第二條 本制度適用於分、支公司的資訊保安管理。
第二章 計算機機房安全管理
第三條 計算機機房的建設應符合相應的國家標準。
第四條 為杜絕火災隱患,任何人不許在機房內吸菸。嚴禁在機房內使用火爐、電暖器等發熱電器。機房值班人員應瞭解機房滅火裝置的效能、特點,熟練使用機房配備的滅火器材。機房消防系統白天置手動,下班後置自動狀態。一旦發生火災應及時報警並採取應急措施。
第五條 為防止水患,應對上下水道、暖氣設施定期檢查,及時發現並排除隱患。
第六條 機房無人值班時,必須做到人走門鎖;機房值班人員應對進入機房的人員進行登記,未經各級領導同意批准的人員不得擅自進入機房。
第七條 為杜絕齧齒動物等對機房的破壞,機房內應
採取必要的防範措施,任何人不許在機房內吃東西,不得將食品帶入機房。
第八條 系統管理員必須與業務系統的操作員分離,系統管理員不得操作業務系統。應用系統執行人員必須與應用系統開發人員分離,執行人員不得修改應用系統原始碼。
第三章 計算機網路安全保密管理
第九條 採用入侵檢測、訪問控制、金鑰管理、安全控制等手段,保證網路的安全。
第十條 對涉及到安全性的網路操作事件進行記錄,以進行安全追查等事後分析,並建立和維護“安全日誌”,其內容包括:
1、記錄所有訪問控制定義的變更情況。
2、記錄網路裝置或設施的啟動、關閉和重新啟動情況。
3、記錄所有對資源的物理毀壞和威脅事件。
4、在安全措施不完善的情況下,嚴禁公司業務網與網際網路聯接。
第十一條 不得隨意改變例如IP地址、主機名等一切系統資訊。
第四章 應用軟體安全保密管理
第十二條 各級執行管理部門必須建立科學的、嚴格的軟體執行管理制度。
第十三條 建立軟體複製及領用登記簿,建立健全相應的監督管理制度,防止軟體的非法複製、流失及越權使用,保證計算機資訊系統的安全;
第十四條 定期更換系統和使用者密碼,前臺(各應用部門)使用者要進行動態管理,並定期更換密碼。
第十五條 定期對業務及辦公用PC的作業系統及時進行系統補丁升級,堵塞安全漏洞。
第十六條 不得擅自安裝、拆卸或替換任何計算機軟、硬體,嚴禁安裝任何非法或盜版軟體。
第十七條 不得下載與工作無關的任何電子檔案,嚴禁瀏覽黃色、反動或高風險等非法網站。
第十八條 注意防範計算機病毒,業務或辦公用PC要每天更新病毒庫。
第五章 資料安全保密管理
第十九條 所有資料必須經過合法的手續和規定的渠道採集、加工、處理和傳播,資料應只用於明確規定的目的,未經批准不得它用,採用的資料範圍應與規定用途相符,不得超越。
第二十條 根據資料使用者的許可權合理分配資料存取授權,保障資料使用者的`合法存取。
第二十一條 設定資料庫使用者口令,並監督使用者定期更改;資料庫使用者在操作資料過程中,不得使用他人口令或者把自己的口令提供給他人使用。
第二十二條 未經領導允許,不得將儲存介質(含磁帶、光碟、軟盤、技術資料等)帶出機房,不得隨意通報資料內容,不得洩露資料給內部或外部無關人員。
第二十三條 嚴禁直接對資料庫進行操作修改資料。如遇特殊情況進行此操作時,必須由申請人提出申請,填寫《資料變更申請表》,經申請人所屬部門領導確認後提交至資訊管理部,資訊管理部相關領導確認後,方可由資料庫管理人員進行修改,並對操作內容作好記錄,長期儲存。修改前應做好資料備份工作。
第二十四條 應按照分工負責、互相制約的原則制定各類系統操作人員的資料讀寫許可權,讀寫許可權不允許交叉覆蓋。
第二十五條 一線生產系統和二線監督系統進行系統維護、復原、強行更改資料時,至少應有兩名操作人員在場,並進行詳細的登記及簽名。
第二十六條 對業務系統操作員許可權實行動態管理,確保操作員崗位調整後及時修改相應許可權,保證業務資料安
全。
附件: 資料變更申請表
安全保密管理制度 [篇2]
第1條 為了加強智慧財產權保護,防止資訊資料丟失和外洩,保持資訊系統庫正常執行,特制定安全保密制度。
第2條 安全保障物件包括辦公場所安全,裝置安全,軟體安全,系統庫安全,計算機及通訊安全;保密物件包括檔案資料,醫療資料資料,資訊系統庫資料。
第3條 資訊中心主任、工程師必須嚴格執行國家的有關規定和院裡的有關制度,認真管理檔案、醫療資料資料、資料庫系統。
第4條 資訊中心的所有工作人員必須嚴格遵守院裡的規章制度和資訊中心的有關規定,認真做好檔案、醫療資料資料、資料庫系統的管理和維護工作。
第5條 未經院領導和資訊中心負責人同意,非管理人員不得進入控制機房,不得擅自作業系統伺服器、映象伺服器、應用伺服器、控制伺服器及控制機房的其他裝置。
第6條 未經院領導和資訊中心負責人同意,嚴禁任何人以任何形式向外提供資料。實行嚴格的安全准入制度,檔案管理、資訊系統管理、作業流程管理許可權明確。管理者在授權範圍內按資料應用程式提供資料。
第7條 檔案資料安全保密管理,遵循《檔案庫房管理制度》、《保密守冊》、《檔案室職責》、《檔案資料利用管理規定》、《檔案安全消防措施》執行。
第8條 醫療資料資料、資訊系統庫資料,除參照執行第7條相關規定外,還應遵循:
第1款 資料建檔和資料派發要履行交接手續。
第2款 原始資料、中間資料、成果資料等,應按規定作業流程辦理。資料提供方要確保資料齊全、正確、安全、可靠;辦公文員要對資料進行校驗,注意
作業流程把關、資料完整性檢查、資料防毒處理;資料處理員要嚴格按照“基礎地理資訊系統建庫技術規範” 要求作業;專檢員要嚴格按照“資料成果專檢”規定把關;系統入庫員、系統管理員、網路管理員要保證入庫、出庫資料質量和資料安全保密。
第3款 定期對資料庫進行檢查、維護,發現問題及時解決和備案,保證資料庫系統的正常執行。
第4款 未經許可資料庫內的資料資訊不得隨意修改或刪除,更不能對外提供。
第5款 除授權管理人員外,未經許可,任何人不能動用他人裝置,不得通過網路(區域網、VPN虛擬專網、內部網等)聯機調閱資料。
第6款 醫療資料資料按規定要求進行計算機建檔和處理,資料入庫後要及時刪除工作終端中的原有資料。
第7款 嚴格遵守資訊中心工作流程,不得做任何違反工作流程的操作。
第8款 定期對資料庫的資訊資料進行備份,要求每增加或更新批次,資料備份一次,包括異地熱機備份和刻盤備份兩種方式;每月定期刻盤兩套,異地儲存。
第9條 軟體開發要求功能齊全、操作方便、容錯能力強、執行效率高、安全保密性好,建庫技術標準規範、應用服務體系完善。
第10條 資訊中心辦公場所要建立防火、防盜、防爆、防塵、防潮、防蟲、防晒、防雷擊、防斷電、防腐蝕、防高溫等基本防護設施。消除安全隱患,杜絕安全事故。
第11條 許可權管理是生產有序進行和資訊資料合法利用的有效保證。任何法人或自然人只能在授權範圍操作。
第12條 許可權管理從安全級別上分為絕密、機密、祕密;從適用物件上分為高階管理員、系統管理員、高階使用者、中級使用者、一般使用者、特殊使用者;從操作承載體上分為伺服器(包括系統伺服器、映象伺服器、應用伺服器和控制伺服器)、工作終端、使用者終端;從設定內容上分為完全控制、許可權設定變更廢止、建立、刪除、新增、編輯、更新、執行、讀取、拷貝、其他操作。
第1款 安全級別中絕密資料內容包括使用者名稱及金鑰、資訊系統庫金鑰、系統執行日誌、控制資訊資料;
第2款 設定內容中,完全控制是指對VPN虛擬專網中伺服器(包括系統伺服器、映象伺服器、應用伺服器和控制伺服器)、終端(包括工作終端和使用者終端)有絕對控制權,包括IP地址、閘道器、DNS伺服器地址、超級使用者密碼、系統庫密碼、作業系統、程式、資訊資料的設定、修改、刪除權利等;
第3款 高階管理員為最高許可權人,設定許可權為完全控制,即擁有對所有使用者名稱及金鑰管理,檢視系統執行日誌,擁有對伺服器、終端的所有許可權管理,即對絕密、機密、祕密資料擁有許可權、建立、刪除、新增、編輯、更新、執行、讀取、拷貝及其他操作權;系統管理員許可權包括對工作終端使用者名稱及金鑰管理,擁有對伺服器(不包括控制伺服器)和終端所有許可權管理,即對機密、祕密資料擁有許可權、建立、刪除、新增、編輯、更新、執行、讀取、拷貝及其他操作權;高階使用者在本工作終端擁有對系統伺服器中的機密、祕密資料進行編輯、更新、執行、讀取、部分拷貝及其他操作權;中級使用者在本工作終端擁有對系統伺服器中的祕密資料進行更新、執行、讀取、部分拷貝及其他操作權; 一般使用者在本工作終端擁有對系統伺服器中的祕密資料進行讀取、部分拷貝及其他操作權;特殊使用者在本工作終端擁有對應用伺服器中的機密資料進行讀取、部分拷貝及其他操作權。
第13條 控制伺服器中建立執行日誌,以便記錄系統執行痕跡。執行日誌中至少包括各伺服器開關記錄及執行診斷情況記錄;資訊系統庫執行情況記錄;各終端訪問系統伺服器時的使用者名稱、物件級別、訪問內容、訪問起止時間。執行日誌中內容記錄方式以時間為序。
第14條 強化資訊保安保密管理,加強安全保密意識教育。因人為原因造成資訊資料洩密及安全事故,追究當事人責任;觸犯法律的,依法追究。
資訊中心
2015.12
安全保密管理制度 [篇3]
隨著我院資訊化建設的不斷髮展,我院現有資訊系統共包括:HIS系統、LIS系統、電子病歷系統、PACS系統、物資管理系統、臨床藥學和合理用藥等系統。這些系統已基本覆蓋全院各科室,所有的業務系統積累和掌握了大量的患者基本資訊、化驗檢查結果、電子處方資訊及醫院生產資料和運營資訊。這些資料涉及到來院就診者的隱私、醫患關係、醫院自身經營發展等眾多方面。為減少由於資料洩漏所帶來的就診人員資訊洩漏、醫患矛盾等,特制定本制度。
一、機房管理
1、內網管理:機房伺服器除與醫保中心、農合系統進行聯網外,其他網路一律不準與伺服器進行連線,機房伺服器不準插U盤及無線裝置。
2、人員管理:外來人員進出機房必須有資訊中心工作人員陪伴,並做好出入登記。
3、安全管理:資訊中心工作人員每天定時巡查機房,發現問題及時報告。
二、資料庫管理:
1、資料庫加密:對HIS資料庫進行加密,密碼分三段由三個人分別設定,除非緊急情況下不得利用此密碼進入資料庫。
2、資料操作:資訊中心工作人員所有操作均利用維護工具進行,保證每一步操作都有記錄。
三、終端管理:
1、科室所有終端均安裝內網管理軟體,對U盤、無線裝置進行遮蔽。
2、科室所有終端安裝防毒軟體
