制定日期：2005年6月

修订日期：2015年12月

　　为加强医院信息网络安全与保密管理，特制定本规定。

　　一、保密规定

　　1.系统及数据库安全保密管理

　　1.1定期检查医院各种应用系统的安全使用情况，并对存在的安全隐患提出整改建议，督促改正。

　　1.2强化数据库安全管理，做好数据备份，保障数据的完整性、准确性。

　　1.3定期修改数据库密码并备案;采取有效的措施和技术，保障系统数据不被恶意修改或流失。

　　1.4系统管理员进行针对整个系统或数据库的重要操作时， 必须制定操作方案，报中心主任批准后，由两名管理员同时在场的情况下方可进行，并做好操作记录。

　　2.网络安全管理

　　2.1定期检查医院网络的安全使用情况，并对存在的安全隐患提出具体整改建议，督促改正。

　　2.2加强网络安全及病毒防范，定期修改服务器、交换机密码，保障网络不被恶意攻击。

　　2.3每天定时对网络机房进行巡检，做好巡检记录，保障机房的安全。

　　2.4网络管理员进行针对整个网络的重要操作时，必须制定操作方案，报告中心主任批准后，两名管理员同时在场的情况下方可进行，并做好操作记录。

　　3.机房及办公场所安全管理

　　3.1办公场所的安全，包括防火、防水、防盗，由各办公室办公人员负责。

　　3.2值班人员必须严格按照值班制度，按时到岗，定时巡检，保证机房和办公区域的安全。

　　4.计算机工作站安全保密管理

　　4.1各部门处理涉密信息(传染病上报、患者信息、重大科研项目等)的计算机必须专机专用，涉密计算机严禁上互联网;上互联网的计算机不得处理工作秘密;不得在家庭计算机中处理涉及国家秘密和工作秘密的文件。

　　4.2严禁任何人擅自将计算机接入医院网络或更改网络配置，网络接入必须报信息网络中心统一管理和接入。

　　4.3计算机一机两用的，必须由信息网络中心统一安装国家保密局批准的物理隔离卡，并严格按规范操作。

　　4.4涉密计算机系统应当按照保密工作部门的审批等级规范运行，未经审批不得使用;非涉密局域网不得处理运行涉密信息。

　　4.5移动存储介质(优盘、移动硬盘、磁盘等)不得在涉密计算机与连接互联网的计算机之间交叉使用。

　　4.6严禁在互连网上采集、存储、传递、发布涉密信息和工作秘密。

　　4.7各部门上网信息要严格执行审批程序，部门负责人对上网信息进行审核，未经审核的信息不得上网。

　　4.8科室及个人应做好工作用台式机、笔记本电脑的管理工作，防止因借用、丢失、失窃造成涉密信息的泄漏;计算机维修前必须将涉密信息删除或安全转移。

　　4.9所有计算机必须设置开机口令、屏幕保护口令，用户必须妥善保护好各种口令和业务系统登录密码，并且每月更换一次，必要时随时更换。因密码保管不善造成的损失，由个人负责。

　　4.10各职能处室、各业务科室负责人对本部门计算机工作站使用和保密工作进行管理和监督;计算机按照“谁使用、谁负责”的原则，落实具体责任人。

　　二、保密措施

　　1.医院成立网络安全领导小组，领导小组根据国家和行业有关信息安全的政策、法律和法规，统一管理医院信息化建设，批准我院信息安全总体策略规划、管理规范和技术标准;确定我院信息安全各有关部门工作职责，指导、监督信息安全工作。

　　2.信息网络中心建立健全信息安全和廉洁工作监督机制、建立信息安全风险预警机制、完善岗位责任考核机制，并督促落实廉洁工作制度。

　　3.项目管理人员负责分析和评估项目管理计划和成果，对项目进行风险管理，制定并适时执行风险应对措施。在项目启动、实施、验收、维保各环节做好项目的安全保障工作。

　　4.网络管理人员负责医院网络运行管理，负责网络接入及网络配置。监控和管理医院内网和外网等工作区域，对网络健康运行情况进行预警。统一管理医院网络所有计算机的IP地址资源;严格执行网络巡视制度，定期巡查网络机房、交换机等网络设备的运行状态，进行设备运行状态评估，及时更新维护设备，认真填写设备运行日志。定期配合网络安全管理人员变更密码及安全巡检，确保网络安全。

　　5.服务器管理人员负责医院服务器配置、安装、调试等工作，监督服务器运行状态，并及时更新系统补丁，安装杀毒软件，严格执行服务器巡视制度，定期巡查中心机房服务器运行状态，进行服务器运行状态评估，及时更新维护设备硬件，认真填写服务器运行日志。定期配合网络安全管理人员变更密码及安全巡检，确保主机安全。

　　6.数据库管理人员负责检查数据库服务器的运行状态，定期查看后台出错日志文件，及时处理所报情况并做好登记工作;定期进行在线数据库整理工作并做好数据库备份工作;定期配合网络安全管理人员变更密码及安全巡检，确保数据安全。

　　7.安全管理人员负责日常网络安全管理和安全审计工作，监督、检查医院信息网络系统安全保护工作，防范和消除医院信息网络系统的安全隐患;负责检查危害医院信息网络系统安全的违规行为，定期组织网络、服务器、数据库等安全巡检、密码变更等工作，并定期提交安全检查报告。

　　8.系统集成、开发、实施人员员严格按照医院信息系统设计的方案进行系统集成、程序编制。系统集成各种文档齐全，程序编制必须规范，具有较高的可靠性、可读性和可维护性。设备、程序在交付使用前必须严格按照功能要求进行全面调测试。确保项目开发和实施无安全隐患。

　　9.应用软件维护人员做好应用软件的系统设置工作，防止他人越权登录访问，确保机内数据安全、可靠;对外来的软件和文件应事先查杀再使用，断绝病毒传播途径，确保应用软件安全运行。

　　10.硬件维护人员做好设备终端设备联网配置、终端设备及其外设的安装、调试、维修工作，定期对计算机病毒进行查杀，保障各终端安全、健康运行。

　　11.不断完善信息网络管理制度，防范岗位风险，规范信息化建设、使用规范，加强内部监督管理。

　　12.严格执行数据统计与提取审批制度和程序准入制度，经信息网络中心审查并经网络安全领导小组审批后方可进入医院系统，并纳入信息网络统一管理。

　　13.落实好安全工作的分级负责制原则、任期有限原则。进行医院网络信息系统安全的宣传和教育工作。