信息管理制度
一、计算机操作
(一)系统使用管理
1.计算机要专机专用,不得将计算机交给无关人员使用,不得将计算机作其他、用途。
2.不得擅自对系统文件进行删除、修改,不得随意拆卸硬件设备。
3.电脑控制室禁止无关人员出入。
(二)上机操作管理
1.应保管好自己的用户名和密码,严格按所分配的权限进行操作,任何人不得越权或以他人名字操作。
2.离机时,应按程序要求安全退出各类操作软件。
3.必须熟练掌握医院计算机信息网络系统(HIS、EMR、Lis、Pacs、Pass、Nis、体检、手麻、重症、病理、HRP、门急诊等)操作方法,并严格按要求操作。
4.对系统中“错误提示”“通知提示”及时处理或记录。严禁利用“中心”计算机系统上网发布、浏览、下载、传送反动、色情、暴力及污蔑他人等信息。
5.严禁工作时间(含值班时间)网上聊天、炒股、玩电脑游戏,禁止安装、运行与工作内容无关的软件,不得利用中心计算机做与工作无关的事。
6.下班时必须切断除服务器以外的所有计算机及辅助设备的电源。
二、计算机维护
(一)系统维护
1.计算机管理员负责系统维护。
2.重大项目需要维护的,由计算机管理员提出书面报告和实施方案,报主管领导研究批准后方可实施,并做好维护台账和档案记录。
3.更换、增减计算机,拆装计算机硬件,外请计算机维修人员,安装办公系统软件等需报计算机管理员核准,并做好维护台账和档案记录。
4.妥善保管软硬件设备及其相关设备的驱动程序、保修卡及重要随机文件。
(二)硬件维护
1.工作场地严禁烟火。
2.应定期进行设备保养,保持环境清洁。
3.认真做好计算机、打印机及相关设备的检查、检修工作,并做好维护台账和档案记录。
(三)软件维护
1.定期进行病毒检查和病毒库升级。
2.系统运行或软件操作中发生故障,应及时通知计算机管理员,计算机管理员需及时进行维修;计算机管理员无法排除故障,应及时联系相关单位予以排除,并正确做好维护台账和档案记录。
三、中心机房管理
(一)进入主服务器机房工作,要认真填好上机申请表,经主管负责人审批后,方可上机操作。
(二)外单位人员因工作需要进入主服务器机房时,必须由网络信息管理办公室办理审批手续。
(三)参观机房由网络信息管理办公室安排,进入机房后听从工作人员的指挥,未经许可,不得乱动机房内设施。
(四)进入机房严禁吸烟,不得喧哗,自觉维护室内清洁卫生。
(五)软件复制经软件管理人员批准,方可进行。
(六)网络管理人员须每天查看24小时值班员日志和设备运转情况,对错误事件及故障应立即分析原因,及时解决问题。
(七)保证服务器24小时不间断正常工作,不得随意在服务器用电线路上加载用电设备,严防服务器断电。市电如断电,进入《中心机房突发事件处理预案》进行处理。
(八)对服务器、交换机、存储等参数进行调整或更改,应经有关领导批准,管理人员应严格填写工作日志。
(九)采取有效的病毒感染防范,杜绝网络病毒感染的现象发生。
(十)制定网络信息存储和保管规定,多种手段做好数据库备份工作。
(十一)严禁在计算机旁存放易燃品、易爆品、腐蚀品和强磁性物品,严禁在计算机键盘附近放置水杯、食物,防止异物掉入键盘。
凡违反本管理制度,造成各种不良后果的,将根据有关规定进行处理;造成中心经济损失的,同时承担赔偿责任。
网络信息安全管理制度
一、为了保证医院网络的正常运行,保护医院网络系统的安全和网络用户的使用权益,特制定本安全管理制度。
二、本管理制度所称的医院网络系统是指在医院信息系统中,由计算机及配套设施构成的,按照医院网络信息系统的应用目标和规定,对数据进行采集、加工、存储、传输、检索等处理的人机系统。
三、医院网络系统安全管理是通过实施身份认证、访问控制与授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和与之相配套的管理制度,保障网络主机及配套设备、设施的安全,网络运行环境的安全,从而达到保障计算机网络系统安全运行和信息安全的目的。
四、网络信息管理办公室负责医院计算机网络系统的安全管理工作,确保对计算机网络系统安全管理的有效性。
五、计算机网络系统的建设和应用应遵守上级主管部门颁发的行政法规、用户手册和其他相关规定。
六、计算机网络系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限的划分和设置由网络信息管理办公室负责制定和实施。
七、计算机入网运行必须经网络信息管理办公室批准备案,分配IP地址后,方可接入网络。
八、要对重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理,严格控制设备存取及加密,未经允许严禁外来盘片带入机房对服务器进行安装等,不准将机器设备和数据带出机房。
九、未办理入网手续,任何单位和个人不得非法私自将计算机接入医院网络,不得以不真实身份使用网络资源,不得窃取他人账号、口令使用网络资源,不得盗用未经合法申请的IP地址入网。未经网络信息管理办公室允许,任何单位或个人不得擅自接纳网络用户。
十、应根据网络主机不同的安全级别采取相应的访问控制、数据保护、保密监控管理和系统安全等技术措施。
十一、网络信息管理办公室定期对网上用户的访问及授权情况进行检查,及时发现和限制非法用户和非授权访问。
十二、要按要求对数据进行日备份、月备份和年备份。严格按操作规程进行数据备份工作,确保备份数据的完整和准确性,做好备份数据的审核工作,并做好相应记录。要确保导出、导入数据的完整和准确,并做好导出、导入数据的审核工作和相应记录。
十三、加强边界安全的防护,应根据安全区域划分情况明确需进行安全防护的边界,并实施有效的访问控制策略和机制。
十四、应在网络系统或安全域边界的关键点采用严格的安全防护机制,如严格的登录/链接控制,高性能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。
十五、要实施必要的边界访问、违规外联的审计和控制。
十六、应采用必要的手段(如入侵检测系统、日志分析、网络取证分析等)对系统内的安全事件进行监控,检测攻击行为并能发现系统内非授权使用情况。
十七、应禁止系统内用户非授权的外部链接(如自动拨号、违规链接和无线上网)。
十八、应部署有效的网络病毒防范软件系统和相应的网络病毒防范管理办法,实施对计算机网络病毒的有效防范。
十九、要制定文档化的明确的计算机病毒和恶意代码防护策略,以及确保策略有效实施规章制度。
二十、应在系统内关键的入口点以及各工作站、服务器和移动计算机设备上采取计算机病毒和恶意代码防护措施。
二十一、应制定文档化的信息系统备份和恢复的策略,建立健全备份和恢复的管理制度和操作规程。
二十二、备份包括关键业务数据的备份、关键业务设备(如服务器、交换机等)的备份和电源备份。对重要信息系统(如HIs系统)的关键设施(如服务器)采取热备份。
二十三、应定期备份和对恢复策略进行测试,以保证其有效性。要有系统恢复的预案和演练。
二十四、应根据业务的重要程度、信息系统的资产价值等进行相应的需求分析,确定系统恢复的目标,如:关键业务功能、恢复的优先顺序、恢复的时间范围。
二十五、为确保医院计算机局域网络运行安全,要在有效部署防火墙、入侵检测和防病毒系统的情况下,实施远程接入。医院业务网(内网)与远程接入(外网)业务的物理隔离。凡涉密的计算机主机不得与互联网(Internet)链接。
二十六、任何部门和个人使用医院网络提供的远程接入服务必须向网络信息管理办公室申请。入网用户的用户名和IP地址是用户在医院局域网上的合法标识,也是对用户收费的重要依据,一经指定不得擅自更改。
二十七、未经网络信息管理办公室批准,任何个人或部门不得为外单位人员提供电子邮件或其他网络服务。
二十八、所有入网用户,应当遵守国家有关法律法规及医院的有关规章制度,严格执行安全保密制度,不得利用计算机网络从事危害国家安全、损害医院利益等违法、违规活动,不得制作、查阅、复制和传播扰乱社会治安、有伤风化、淫秽色情等信息,不得利用网络攻击、损害公用网络和其他用户。否则,医院有权停止对其提供的服务;由此造成的不良后果由用户承担。
二十九、使用计算机网络系统的部门和个人必须遵守计算机安全使用的规定,对计算机网络系统发生的问题和故障要立即向网络信息管理办公室报告。
三十、用户不得从事下列危害计算机网络安全的行为:
(一)未经允许,进入计算机网络系统或使用网上信息资源。
(二)私自转借或转让用户账号,盗用他人账号或IP地址。
(三)未经允许,对网上应用系统的功能进行删减或更改。
(四)未经允许,对计算机网络的存储、处理或传输数据和应用程序进行删减或更改。
(五)故意制作、传播计算机病毒等破坏程序,使用任何工具破坏网络正常运行。
(六)破坏、盗用计算机网络中的信息资源和危害计算机网络安全。
(七)其他危害计算机网络安全的行为。
上述违规造成医院损失的,依照有关法律、法规及医院有关处罚规定进行处理,情节严重者移交公安机关处理。
局域网计算机管理制度
一、各科室要指定计算机操作员,与本科室负责人均对计算机的管理、维护负有责任。外来人员严禁操作计算机或相关网络设备。
二、严禁在计算机旁存放易燃品、易爆品、腐蚀品和强磁性物品,严禁在计算机键盘附近放置水杯、食物,防止异物落入键盘。
三、操作计算机应按规定的程序进行。
(一)认真执行上机操作规程,爱护计算机相关设备。
(二)启动和关闭计算机应按照正常程序操作(开机时应先开显示器,后开主机;关机时应先关主机,后关显示器)。
(三)各科室工作站操作员的上网口令及密码应牢记,严禁告诉其他非允许使用人员及无关人员,严格按所分配的权限进行操作,任何人不得越权或以他人名字操作。
(四)工作站操作员离开计算机时,应锁定计算机,长时间离开应关闭计算机。
(五)未经医院网络信息管理办公室许可,不得删除硬盘内的数据,不得增删计算机内的软硬件配置和系统设置。
(六)不得随意在计算机上添加与工作无关的软件,不得随意删除系统文件。
(七)不论上班、下班时间,任何使用人员严禁在工作站玩游戏或使用来源不明的软件、光盘、U盘等。
(八)不得进行与工作无关的操作。
四、任何人员不得在网络上发表不负责的言论。严禁进行无授权的访问(工作站和数据库)或使用黑客软件对其他站点进行攻击。如无意中进入不该进入的文件夹进行了未经授权的访问,应立即退出,并及时向网络管理员反映情况,由网络管理员负责处理。
五、遵守保密制度,对需保密的文件资料不得上网共享。在局域网上的计算机,严禁自行联入Internet公网。
六、各科室工作站所有使用的操作平台、应用软件根据各个工作站的不同用途和使用情况将由网络管理员统一安装。如各个工作站需另装其他软件的,须经院主管领导同意,由网络管理员负责安装。
七、各科室计算机操作员发现计算机病毒时,应及时处理或与网络信息管理办公室联系。
八、各科室负责人应负责该工作站的日常管理工作,阻止非本工作站的授权人员使用计算机。定时打扫卫生,保证电脑的正常运行环境。下班时应关掉接线板电源开关。
九、未经许可,不允许外来人员参观,不得为其演示系统功能或查询信息。
十、当工作站出现故障时和网络不通时不得私自拆装电脑(进行修理),应及时向网络管理员反映情况,由网络管理员负责维护(禁止除医院网络信息管理办公室网管员以外的人进行维护),经检查确需要更换零部件或维修的,由科室负责人写出书面申请,报请院领导批准。
十一、任何人不得使用USB接口的任何设备(如:U盘、MP3.USB硬盘、USB光驱等)。
十二、禁止自行拆开计算机主机箱,擅自增加任何设备(如:软驱、光驱、硬盘等)。
十三、为保证设备正常运转,未经允许不得改动或移动供电、网络、机柜、终端、服务器等设备和计算机设备。
十四、网络管理员应不定期地检查各工作站的运行情况。
十五、因工作人员疏忽或操作失误,给工作造成一定影响,但经过努力可以挽回的,对其进行批评教育;因工作人员违反规定操作而使工作或财产造成损失的,追究工作人员的责任。
涉密数据保密管理制度
一、任何科室和个人不得利用涉密计算机网络系统泄漏属于医院内部秘密的信息数据,危害医院、员工和患者的合法权益;不得从事其他违法犯罪活动。涉密单位和涉密人员应当遵守保密法律法规,认真执行国家和省制定的涉密计算机网络系统的保密规定。
二、涉密计算机网络系统的单位保密管理实行领导负责制,并制定部门或专人负责具体的日常管理工作。并保持计算机保密管理人员相对稳定。
三、涉密计算机网络系统工作人员定期进行保密教育和检查。涉密计算机信息系统的系统管理人员应当经过严格审查,定期进行考核,并保持相对稳定。
四、涉密人员调离岗位,应当履行国家规定保守秘密的义务。
五、涉及医院秘密的数据,必须按照保密规定进行采集、存储、处理、传递、使用和销毁。
六、计算机存储、处理、传递、输出的涉密信息要有相应的密级标识且不得与正文分离,输出的涉密文件按相应密级文件管理。
七、涉密医院信息和数据不得在与公用网络联网的计算机信息系统中存储、处理、传递,涉密信息一律不得在网上发布。
八、涉密计算机必须设置口令保护,根据密级确定口令长度与更换周期,实行专人专用,严禁以任何方式登陆国际互联网或与互联网物理连接。
九、存储涉密信息的媒体应按所存储信息的最高密级标明密级,并按相应密级文件管理制度管理,存储过涉密信息的计算机媒体不能降低密级使用,维修存储过涉密信息的计算机媒体应到部门指定维修点维修,有人全程跟踪,保证存储的秘密信息不被泄露。
十、储涉密数据的计算机硬盘或其他存储介质不得擅自更换或者报废。确需更换或者报废的,应当经院领导批准后,交医院的网络管理部门进行登记、封存,或者按规定销毁。
十一、涉密单位应当将涉密数据与备份数据分别保存在单位内不同的地点。有条件的,应实行异地容灾备份。不得在便携式计算机上存储涉密信息。
十二、发现计算机信息泄密后应立即采取补救措施,并按规定及时报告保密部门。
数据备份工作制度
一、数据备份是备份医院信息管理系统所有的数据,包括病人费用信息和医疗信息,关系到整个系统的正常运转,影响到全院的医疗工作的正常秩序,责任重大,数据管理员要有高度的事业心、责任感和一丝不苟、万无一失的严谨工作作风。
二、严格按照《数据备份方案》要求,逐条认真操作,每天做逻辑备份,每周六做全部备份,每月做一次冷备份。
三、根据数据增长量,应定期对过期数据进行处理。
四、每天对服务器进行仔细检查,主要查看文件是否有损坏,CPU和内存占用资源情况,客户端登录和访问数据库是否正常等。
五、如系统发现异常情况,要马上处理,处理不了要立即汇报,并提出建议。
六、严格遵守保密制度和网络管理规范,绝对保密数据管理员口令,当有其他人对服务器进行操作时,要亲自在场并做好详细记录,有第二者知道口令时要及时更改口令。
七、每次对服务器进行操作时,认真做好登录统计,不得马虎。
八、要熟练掌握windows server 2008.windows server 2008.SQL server 2000、SQL server 2008.oracle数据库知识,不断提高业务水平。
九、如不按规定执行出现重大事故,追究责任者的一切责任并严肃处理。
网络服务器故障应急处理规程
网络服务器故障是因硬件或软件原因致使医院信息管理系统运行停止,一旦故障发生,按下列规程处理。
一、网络信息管理办公室监控网络运行。发现问题,在及时处理的同时迅速向科室领导汇报。故障排除后,应完成故障报告,在技术研讨会上汇报。
二、遇到较大故障,应迅速集合,集体攻关。具体做以下工作:
(一)管理员继续分析故障、查找原因、修复系统。
(二)迅速与系统供应商或产品公司取得联系,采取有效手段获得技术支持。
(三)通知全院各科室故障情况,并到关键科室协助数据保存。
三、全院各系统使用科室制定相应的系统故障数据保护措施,并建立数据抢录小组,发现停机,应保存断点,保护原始数据,断点前后表单分开存放。
四、在停机期间,相关科室应组织数据抢录小组在岗待命,一旦系统恢复,当日应立即完成对重要数据的录入,第二天完成全部数据补录。
五、故障排除后,网络信息管理办公室工人员协助重要科室进行数据补录工作。
六、故障排除后2天内,网络信息管理办公室应组织技术研讨会,分析故障原因,制定预防措施,完成故障排除报告并上报主管院领导。
信息系统药品、高值耗材统计管理制度
根据“卫健委关于加强医院信息系统药品、高值耗材统计功能管理的通知”的要求对我院医院信息系统药品、高值耗材统计管理进行严格管理。
一、对各部门要进行药品、高值耗材统计必须填写“第三师总医院医院信息系统药品、高值耗材统计查询审批表”,经相关部门领导签字后网络信息管理办公室人员才能进行查询并做好相应的记录工作。
二、对全院信息系统进行检查,对全院上机人员进入系统权限进行审核。对有权查询药品、高值耗材统计的人员由纪委书记和院长同时签字批准后,由网络信息管理办公室赋予权限。
三、对网络信息管理办公室工作人员要严格认真学习此通知文件,对院药品、高值耗材统计数据做到严格保密。
四、对医院信息管理的计算机进行密码管理,进入信息管理系统有密码,非网络信息管理办公室人员不得使用医院信息管理的计算机。
五、严格禁止网络信息管理办公室人员私自进入系统和数据库对药品、高值耗材进行统计,并交给他人。
网络安全制度制定与发布管理规定
第一章 总 则
第一条 为了明确定义和规范师市总医院网络安全管理制度的制定与发布过程,特制定本规定。
第二章 适用范围
第二条 本规定适用于师市总医院信息系统网络安全管理制度的制定与发布过程。
第三章 组织职责
第三条 师市总医院网络安全和信息化建设领导小组(以下简称信息安全领导小组)主要职责:
(一)贯彻落实国家及自治区网络安全和信息化建设的法律、法规、方针政策和重大决策部署。
(二)负责审定网络安全和信息化发展战略、总体规划和重大项目,审定网络安全和信息化建设有关技术标准、规范和管理办法。
(三)统筹行业网络安全和信息化建设及管理工作,明确总体任务和目标。指导、监督、检查行业网络安全和信息化建设的推进和落实。
(四)研究网络安全和信息化建设、管理的重大事项、重大问题及对外协调工作。
第四条 师市总医院网络安全和信息化建设领导小组办公室(以下简称网络信息管理办公室)主要职责:
(一)负责信息安全领导小组的日常事务,向信息安全领导小组提出工作建议。
(二)组织拟定网络安全和信息化建设规章制度、管理规范和技术标准。
(三)协调推进网络安全和信息化工程项目建设相关工作。
(四)组织开展网络安全监督和应急处置工作,负责卫生健康行业网络安全和信息化通报工作。
(五)负责推动网络安全和信息化人才队伍建设、合作交流和宣传教育等工作。
(六)根据工作需要开展调查研究,了解行业发展现状及未来趋势。
(七)根据工作需要不定期召开工作例会,沟通协调各部门推进工作。
(八)承办信息安全领导小组交办的其他工作。
第四章 制定与发布
第五条 所有网络安全管理制度的制定和修订均由指定和授权的专门部门或人员进行。
第六条 网络安全管理制度网络安全管理制度的制定应具有统一的格式,进行编号和版本控制。第一次制定为第一版,即以“V1.0”表示。若有重大或实质性内容修改时,版本号递增1,即为“V2.0”。若有细微修改,版本号递增0.1,即为“V1.1”。
第七条 网络安全管理制度在发布之前应通过相关人员的论证和审定,具体按照网络安全制度评审和修订相关要求进行。
第八条 网络安全管理制度的制定流程:
(一)结合实际网络安全管理需求,指定或授权的专门部门或人员根据网络安全管理制度的制定要求制定覆盖物理、主机、网络、应用、数据、建设和管理层面的网络安全管理制度和各类网络安全操作规程。
(二)针对已制定的网络安全管理制度,组织部门相关人员(可聘请网络安全专家)对各项网络安全管理制度的合理性和适用性等进行论证和审定,对评审过程进行记录和存档。
(三)若审定过程中存在不符合项,应在制度的制修订人员做进一步的修改和完善后,组织相关人员按照评审要求进行复评审。
(四)网络安全管理制度通过论证和审定后,即可发布。
第九条 网络安全管理制度应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)进行发布,并注明发布范围。
第五章 持续改进
第十条 为了保证本规定的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第六章 附 则
第十一条 本规定由师市总医院信息管理负责制定、解释和修改。
第十二条 本规定自发布之日起执行。
网络安全制度评审与修订管理规定
第一章 总 则
第一条 为了确保师市总医院网络安全管理制度能够满足不断变化的网络安全需求,特制定本规定。
第二章 适用范围
第二条 本规定适用于师市总医院网络安全管理制度的所有评审与修订过程。
第三章 组织职责
第三条 师市总医院网络安全和信息化建设领导小组(以下简称信息安全领导小组)主要职责:
(一)贯彻落实国家及自治区网络安全和信息化建设的法律、法规、方针政策和重大决策部署。
(二)负责审定网络安全和信息化发展战略、总体规划和重大项目,审定网络安全和信息化建设有关技术标准、规范和管理办法。
(三)统筹行业网络安全和信息化建设及管理工作,明确总体任务和目标。指导、监督、检查行业网络安全和信息化建设的推进和落实。
(四)研究网络安全和信息化建设、管理的重大事项、重大问题及对外协调工作。
第四条 师市总医院网络安全和信息化建设领导小组办公室(以下简称网络信息管理办公室)主要职责:
(一)负责信息安全领导小组的日常事务,向信息安全领导小组提出工作建议。
(二)组织拟定网络安全和信息化建设规章制度、管理规范和技术标准。
(三)协调推进网络安全和信息化工程项目建设相关工作。
(四)组织开展网络安全监督和应急处置工作,负责卫生健康行业网络安全和信息化通报工作。
(五)负责推动网络安全和信息化人才队伍建设、合作交流和宣传教育等工作。
(六)根据工作需要开展调查研究,了解行业发展现状及未来趋势。
(七)根据工作需要不定期召开工作例会,沟通协调各部门推进工作。
(八)承办信息安全领导小组交办的其他工作。
第五条 相关人员,是指信息系统网络安全管理体系和各项网络安全管理制度涉及的人员。比如:系统管理员、应用管理员、数据库管理员、文档管理员、制度修订人员等,其职责是:
(一)负责协助进行评审。
(二)负责实施修订措施。
第四章 评审程序
第六条 师市总医院需要定期(至少每年一次)开展网络安全管理制度的评审工作,以确保各项制度的合理性、适用性和有效性。
第七条 主要评审内容:
(一)根据业务系统的性质和网络安全要求,确定(或复审)网络安全管理制度的内容,建立(复审)网络安全规划、制度标准和程序。
(二)对网络安全管理制度的审核结果进行评审,分析导致不符合项的原因。
(三)审查审核对象的反馈信息。
(四)总结已发现的网络安全事件和漏洞。
(五)审查现行的网络安全控制措施和相关技术是否有效。
(六)复查修订措施的实施状况。
(七)检查先前管理评审中所定义的措施的实施状况。
(八)审查改善措施的建议。
(九)复查业务和法律法规方面的变更(比如:业务需求、客户需求的变更和新颁布的法律法规)。
(十)审查可能影响网络安全管理体系和网络安全管理制度内容的任何变更。
(十一)为协调相关网络安全的实施,评审相关资源的充足性。
第八条 发生以下情况时,也需要启动管理评审工作:
(一)信息系统业务发生重大变更。
(二)信息系统网络安全规划的重大变更。
(三)目前网络安全管理制度的执行不力。
(四)网络安全管理制度的范围与内容发生变更。
(五)相关标准法规发布修订版本或有变更。
第九条 评审工作的会议记录(附录一:评审会议记录表)均需归档,以保存正式的记录。
第五章 持续改进
第十条 为了保证本规定的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第六章 附 则
第十一条 本规定由师市总医院信息管理负责制定、解释和修改。
第十二条 本规定自发布之日起执行。
网络安全管理组织文件
第一章 总 则
第一条 为了加强师市总医院网络安全管理体系如何有效及明确地界定体系内的组织结构及成员的职责和义务,确保网络安全管理体系能有效运行,特制订本文件。
第二章 适用范围
第二条 本文件适用于师市总医院网络安全管理体系范围的所有部门(单位)和个人。
第三章 组织职责
第三条 师市总医院网络安全和信息化建设领导小组(以下简称信息安全领导小组)是师市总医院信息系统最高管理机构,职责:
(一)贯彻落实国家及自治区网络安全和信息化建设的法律、法规、方针政策和重大决策部署。
(二)负责审定网络安全和信息化发展战略、总体规划和重大项目,审定网络安全和信息化建设有关技术标准、规范和管理办法。
(三)统筹行业网络安全和信息化建设及管理工作,明确总体任务和目标。指导、监督、检查行业网络安全和信息化建设的推进和落实。
(四)研究网络安全和信息化建设、管理的重大事项、重大问题及对外协调工作。
第四条 信息安全领导小组下设办公室为师市总医院网络信息管理办公室管理,具体执行机构网络安全管理工作,通信网络信息管理办公室为厅信息管理的技术支撑和保障单位。
师市总医院网络安全和信息化建设领导小组办公室(以下简称网络信息管理办公室)职责:
(一)督促落实信息安全领导小组决定的事项。
(二)组织开展相关网络安全政策、标准、制度等研究,提交信息安全领导小组会议审定。
(三)承担信息安全领导小组日常事务及交办的其他工作。
第四章 工作人员职责
第五条 网络安全管理员,职责:
(一)负责维护和完善网络安全保障体系,并据此制定网络安全管理制度。
(二)负责网络安全相关工作的具体实施和有关网络安全问题的处理。
(三)根据网络安全需求,定期提出网络安全整改意见进行上报。
(四)根据网络安全事件的处理情况和网络安全监测的结果, 协调组织编制网络安全状况相关报告。
(五)协调组织系统网络安全检查,并根据检查结果进行改善。
(六)指导和监督相关系统管理及普通用户的与网络安全相关的工作。
第六条 网络管理员,职责:
(一)对网络设备进行网络安全配置,修补已发现的漏洞。
(二)进行网络的集中实时监控、网络的连通性检测、网络传输质量监测、路由器的路由表监控和检查。
(三)对网络设备的用户、口令的网络安全性进行管理,参照相应规定对网络设备登录用户进行监测和分析。
(四)负责所管理网络设备的用户账号管理,为不同的用户建立相应的账号,根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别,并对各个级别用户能够使用的命令进行限制。
(五)在所管理网络设备上发现可能与网络安全有关的可疑现象时及时向网络安全管理员报告,并协助网络安全管理员进行问题的诊断。
(六)对关键网络配置文件的备份操作。
第七条 服务器、存储和虚拟化平台管理员,职责:
(一)负责对操作系统依据相关网络安全规范进行网络安全配置,修补已发现的漏洞。
(二)及时升级由操作系统厂商推荐的代码库和网络安全补丁。
(三)负责所管理硬件设备系统的用户账号管理,对系统中所有的用户(包括超级权限用户和普通用户)进行登记;对操作系统的用户、口令的网络安全性进行管理。
(四)在所管理硬件设备系统上发现可能与网络安全有关的可疑现象时及时向网络安全管理员报告,并协助网络安全管理员进行问题的诊断。
第八条 业务系统管理员,职责:
(一)组织制订业务系统网络安全开发操作流程,并认真执行。
(二)在需求分析与设计阶段要充分考虑网络安全需求,包括认证、用户权限控制、操作审计、加密等技术措施。
(三)在编码阶段,负责网络安全代码的规范编写;对外包开发软件的源代码进行网络安全监测。
(四)组织协调业务系统开发验收,包含对网络安全方面的验收。
(五)负责制订应用系统的运维手册和网络安全策略,定期检查应用系统的运行情况。
(六)负责与所属外包人员签署保密协议,并定期检查外包人员的工作情况。
第九条 办公计算机终端维护员
(一)办公计算机终端网络接入管理。
(二)办公计算机终端准入防病毒软件安装。
(三)办公计算机终端操作系统代码库和系统补丁升级。
第十条 机房管理员
(一)定期检查机房中设备运行和环境情况。
(二)定期对机房中动力、环境及监控设备进行维护、保养。
(三)保持机房清洁整齐。
(四)外来人员进入机房时全程陪同,监督外来人员填写机房出入登记记录。
第十一条 数据管理人员的主要职责:
(一)负责建立和维护本单位的数据保管清单,对本单位的数据进行统一管理;
(二)负责牵头组织技术支持人员制定数据管理策略(备份、保管、恢复、清理、转存策略及抽检方案);
(三)负责组织人员定期根据数据抽检方案对数据存储介质进行抽检和恢复。
第十二条 数据管理实施人员的主要职责是:
(一)负责数据管理策略的实施;
(二)负责存储介质的管理。
第十三条 数据技术支持人员的主要职责是:
(一)负责提供数据管理技术支持(如主机系统、网络、应用、开放平台等);
(二)负责提供数据管理和维护的技术方案;
(三)负责制定数据备份、恢复、清理、转存策略和抽检验证方案;
(四)负责制定相应的数据操作手册;
(五)负责在项目交接时,提交明确的数据生命周期策略
第十四条 资产管理员,职责:
(一)负责信息系统资产库的维护。
(二)负责信息系统设备出入库、维修等管理。
(三)负责信息系统存储介质的管理。
第五章 工作流程
第十五条 网络信息管理办公室需要定期向信息安全领导小组反映网络安全管理体系的运作情况。
第十六条 信息安全领导小组通过网络信息管理办公室提交的报告,针对网络安全管理体系运作的情况以及可能出现的问题,进行讨论做出决策。网络信息管理办公室根据会议决策的结果,进行具体的实施计划工作,组织安排相关人员开展实施。
第六章 持续改进
第十七条 为了保证本文件的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第七章 附 则
第十八条 本文件由师市总医院信息管理负责制定、解释和修改。
第十九条 本文件自发布之日起执行。
网络安全活动授权和审批管理规定
第一章 总 则
第一条 为了规范师市总医院网络安全活动的授权和审批行为,以避免授权和审批管理不善所带来的网络安全隐患,结合本单位实际,特制定本规定。
第二章 适用范围
第二条 本规定适用于师市总医院信息系统各类日常和重要网络安全活动的授权与审批过程。
第三章 基本原则
第三条 网络安全活动的授权与审批过程应遵循:
(一)权力不得授予不能胜任与其相对应职责的人员。
(二)不得将专有权力或不应当转移的权力授予他人。
(三)授权自上而下逐级进行,授权时不得越级授权。
(四)授权中上级对下级行使权力活动负有领导与监管责任,下级对上级负有(按照上级的要求)报告的义务。
(五)授权后,授权人与被授权人均应承担相应责任。
(六)权力拥有人无法亲自履行相关审批职责时应当及时向其他人员进行授权。
(七)重要活动的授权必须采取书面形式并在相关部门公开。
第四章 组织职责
第四条 师市总医院网络安全和信息化建设领导小组办公室(以下简称网络信息管理办公室)负责网络安全活动相关事宜的审批和授权。
第五章 基本要求
第五条 信息系统的重要网络安全活动主要包括(但不限于):
(一)重要设备的外修与销毁。
(二)信息系统相关设备的采购和使用。
(三)信息系统的网络安全测评或其他测试。
第六条 除第五条规定外,其余网络安全活动可视为一般网络安全活动,但视具体情况可归于重要网络安全活动。
第七条 一般网络安全活动原则上默认由网络信息管理办公室负责人进行审批。
第八条 一般网络安全活动审批和授权的流程:
(一)当所需审批事项属于一般网络安全活动,网络安全活动当事人或负责人应填写审批申请,写明审批事项内容、审批事项原因等信息,提交网络信息管理办公室。
(二)网络信息管理办公室审阅后,在其授权审批职责范围内进行审批并签字。
(三)网络安全活动发起人在授权审批范围内执行相应的网络安全管理操作,并适时将实施进展报告给上级。
(四)网络安全活动完成后,应及时告知上级,并按要求汇报实施结果。
第九条 重要网络安全活动审批和授权的流程:
(一)当所需审批事项属于关键或重要管理活动,网络安全活动当事人或负责人填写审批申请,写明审批事项内容、审批事项原因等事项,提交信息安全领导小组。
(二)网络信息管理办公室审阅后,在其授权审批职责范围内进行审批并签字。
(三)网络信息管理办公室审批签字后,应提交信息安全领导小组进行授权和审批。
(四)经过信息安全领导小组及领导小组办公室双重审批后,网络安全活动发起人在授权审批范围内执行相应的网络安全管理操作,并适时将实施进展报告给上级;
(五)网络安全活动完成后,应及时告知上级,并按要求汇报实施结果。
第十条 对于某项具体的重要网络安全活动,若在其他相应管理制度中明确规定了授权过程,则按其要求进行。
第十一条 应根据实际情况的变化,及时和定期对各审批事项进行检查和审定,以便对审批事项、审批人或审批流程等进行相应的更新。
第十二条 应保存网络安全活动过程中的授权和审批相关记录文档(附录一:网络安全活动授权和审批表)。
第六章 持续改进
第十三条 为了保证本规定的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第七章 附 则
第十四条 本规定由师市总医院信息管理负责制定、解释和修改。
第十五条 本规定自发布之日起执行。
网络安全检查管理制度
第一章 总 则
第一条 为全面加强师市总医院网络安全管理,及时发现存在的薄弱环节和安全隐患,有效防范网络安全事件的发生,规范网络安全检查工作,制定本制度。
第二章 适用范围
第二条 本制度适用于师市总医院属各部门。
第三章 检查原则
第三条 坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
第四章 组织职责
第四条 师市总医院信息管理统筹负责网络安全检查工作,具体工作职责如下:
(一)落实本地网安安排的各项网络安全检查工作;
(二)制定师市总医院的网络安全检查计划,并审阅各部门的网络安全自查计划和自查报告;
(三)组织专家实施检查与考核工作,督促整改;
(四)研究总结网络安全检查工作中存在的问题,并提出意见和建议。
第五章 检查内容
第五条 结合《国家网络安全检查操作指南》(2016年6月发布)师市总医院网络安全现状等,确定检查内容。内容应重点包括组织机构与管理体系建设、规章制度的贯彻执行和监督检查、网络安全培训、网络安全管理、网络安全等级保护建设情况、关键信息基础设施防护、网络安全资金保障情况等。
第六章 检查方式与周期
第六条 检查方式
师市总医院网络安全检查采取自查、常规检查和专项检查相结合的方式。
(一)自查是指各部门基于本规定,周期性开展的网络安全自查。自查工作可以由网络安全人员承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。
(二)常规检查是指师市总医院信息管理组织的网络安全检查。检查工作可以由系统内相关网络安全人员承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。
(三)专项检查是指由有关上级部门(单位)组织的网络安全检查。
第七条 检查周期
(一)各部门每年至少开展一次自查工作。
(二)师市总医院信息管理对各部门应每年至少开展一次网络安全检查工作。
第七章 检查流程和要求
第八条 准备阶段
检查前,组织者应制订具体的检查计划,确定本次检查范围、检查方法、检查时间、检查人员等;编写《网络安全检查表》(附录一:网络安全检查表);培训检查人员;配备必要的技术检测装备。
第九条 实施阶段
按照《网络安全检查表》进行逐项检查并如实记录;检查结束后,检查组织者编写《网络安全检查报告》(附录二:网络安全检查报告),被检查部门(单位)负责人在报告书签字确认。
各种形式的检查应获得相应授权,不得违反厅相关网络安全管理规定要求,应遵循对业务影响最小化的原则,严格控制可能带来高风险的检查方法,对于在线业务系统的评估检查时间应避开业务高峰时期。
第十条 改进阶段
被检查部门(单位)认真分析发现的问题,在7日内制订《网络安全检查问题整改计划及实施方案》,做到“项目、措施、责任、时间和资金”五落实;整改完成后,向师市总医院信息管理提交《网络安全检查整改情况报告》(附录三:网络安全检查整改情况报告),并提请复核。
第八章 责任追究
第十一条 由于不配合检查或整改不及时而造成网络安全事故的,按情节轻重追究相关部门(单位)或人员责任。
第九章 持续改进
第十二条 为了保证本制度的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十章 附 则
第十三条 本制度由师市总医院信息管理负责制定、解释和修改。
第十四条 本制度自发布之日起执行。
人员入职与离职管理规定
第一章 总 则
第一条 为规范师市总医院人力资源管理,防止信息滥用、丢失和泄密,同时规范网络安全人员入职和离职管理过程,特制定本规定。
第二章 适用范围
第二条 本规定适用于师市总医院工作人员。
第三章 入职管理
第三条 人员入职时,根据需要由本人与单位签订相关保密承诺书(附录一、网络安全保密协议)。关键岗位人员应签订岗位网络安全责任书(附录二、关键岗位网络安全责任书)。
第四条 人员入职时,根据需要为相应员工配备必要的办公设备,包括电脑(笔记本或台式机)、电话机、其他办公用品;通信网络信息管理办公室凭部门申请,根据该员工所处部门、工作性质为其设置相应的办公网访问权限。
第四章 人员转岗和离职
第五条 当人员在本部门转岗时,首先应进行工作交接,并根据岗位需要分配权限,提交申请,批准后由网络安全管理部门重新设定访问权限。
第六条 当人员在不同部门转岗时,首先应进行工作交接,归还原部门信息资产,申请并撤销原所在部门权限;到新部门后重新领用,并根据新部门岗位需要,申请重新分配访问权限。
第七条 当人员离职,需要依据离职引导流程对信息设备进行交接时,由部门负责人组织交接活动,相关人员离职前要列清需要交接的信息资产名称,并注明这些信息资产的处理方式。
第八条 人员离职时,应按照离职流程,由部门负责人及时通知网络管理员,由网络管理员删除用户的账号、邮件。
第九条 如果保留设备中的信息以留给新入职的员工使用,在设备重用时由重用人对设备中的信息进行确认。信息处理方式包括:信息删除、保留信息给他人使用、将信息拷贝出来另行存储等。
第十条 接触较多机密或更高级别信息资产或特殊工种的人员在离岗离职时需要签订离岗离职相关保密协议(附录三、离岗离职保密承诺协议书)。对于第三方人员的保密,参照第三方人员管理规定和保密管理规定执行。
第五章 网络安全责任追究
第十一条 工作人员必须熟悉自己的职责,并积极参加网络安全培训,不断提高网络安全隐患意识和网络安全责任意识。
第十二条 工作人员的所有日常操作行为必须符合网络安全管理体系的相关规定。
第十三条 网络安全责任追责措施包括:
(一)未按照相关规章制度操作,造成一定网络安全隐患但是暂未造成任何后果的行为,要对责任人进行网络安全教育,并纳入个人绩效考核。
(二)对于违反相关规范,产生轻微网络安全事件的行为,要将相关责任人及其行为上报至部门负责人,同时对责任人进行网络安全教育。
(三)对于违反相关规范,产生一般网络安全事件的行为,要将相关责任人及其行为上报至单位主管,同时对责任人进行网络安全教育,并下发警告通知书。
(四)对于违反相关规范,产生一般级别以上网络安全事件的行为,要将相关责任人及其行为上报至单位主管,并按照相关法律法规对责任人进行处罚。
第六章 持续改进
第十四条 为了保证本文件的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第七章 附 则
第十五条 本规定由师市总医院信息管理负责制定、解释和修改。
第十六条 本规定自发布之日起执行。
外包信息化项目(服务)管理办法
第一章 总 则
第一条 为加强师市总医院信息化外包项目管理,提高外包信息化项目(服务)管理的水平,确保项目(服务)顺利开展,特制定本办法。
第二条 本办法所称的外包信息化项目(服务)是指将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为,根据项目的具体需求,可能涉及的项目外包模式主要有以下三类:
(一)合作建设:主要指与开发商共同完成软件的设计、开发、测试工作的项目外包模式。
(二)咨询服务:主要指引进在信息化基础建设施工、安全管理、项目管理等领域专业团队所提供的咨询服务,确保高质量、高效率实施项目外包。
(三)人力外包:主要指以人为单位引进外部信息化专业人员完成项目部分工作的项目技术服务外包模式。
师市总医院外包项目(服务)管理由师市总医院信息管理或授权相关部门(单位)负责。
第二章 外包服务商管理
第三条 外包服务商选择过程:
应重点控制和管理以下外包过程(包括但不限于以下过程):
(一)根据具体项目要求,制定外包服务提供商评价标准。评价标准应该包括但不限于:综合实力、产品/技术/服务能力、主观评价及其他方面。
(二)根据评价标准对参与项目投标的外包服务提供商进行初步筛选,筛选通过的提供商成为候选外包服务提供商。
(三)审阅需求建议书和工作说明书。
(四)要求候选外包服务商提供相关材料,以开展对外包服务商的尽职调查,如:公司近三年的经营状况、主营业务状况、业务发展情况等;公司管理完善,实力雄厚,有良好的售后服务;具有同行业的成功案例,用户评价良好;具有相关项目的资质要求;外包服务提供商项目实施人员及其项目经理、技术水平等;用于本次服务的资源保证。
第四条 应对外包服务商项目实施人员进行资质审查:
(一)须对外包服务提供商的项目经理及技术骨干进行资格审查,对不符合要求的技术人员应要求外包服务商进行更换;
(二)项目实施过程中,如外包服务提供商项目成员的技术能力不足以完成其承担的工作,必须要求外包服务商进行更换。
第五条 在外包服务实施过程中,应对外包商进行监督:
(一)监督外包商是否存在转包行为,严禁外包商将外包活动转包或变相转包;
(二)对外包商或外包人员设定明确的工作完成时间和质量要求,并按项目计划检查外包商或外包人员工作进度和质量;
(三)定期对外包商或外包人员进行满意度评价;
(四)外包服务结束后,根据验收条款中相关规定对外包服务水平及质量进行评价。
(五)定期对外包服务商的计划执行情况、项目建设质量等进行评估,并将评估结果告知外包服务商。
第三章 外包项目(服务)管理
第六条 外包项目(服务)实施计划评审:
应要求外包服务提供商撰写详细的项目实施计划,并在双方讨论的基础上对计划进行完善。项目计划须经评审后方可执行。
第七条 根据外包项目实施计划,监督服务项目实施过程:
(一)项目实施期间,应与外包服务提供商互相配合,建立有效的沟通渠道,明确双方沟通方式、沟通时机、沟通频率及沟通形式,确保外包服务项目的顺利进行;
(二)应监督外包服务商项目组按照正式的项目实施计划进行,外包服务商项目组必须定期向交通师市总医院信息管理汇报项目进展情况;
(三)应对外包服务进行风险评估与监测,通过项目跟踪和适当的技术手段进行风险控制。
第八条 外包服务项目的后续支持:
(一)为确保外包服务项目中提供的产品在正式运行中出现紧急故障时能及时处理,外包服务提供商必须提供7*24小时多种有效的联系方式和联系人,及时处理紧急故障事件。
(二)合作建设类外包服务项目维护过程中,外包服务提供商在提供补丁或升级版本时,须同步提供一致的源程序和修改后的设计文档和用户文档,相关内容由信息管理组织接收。
第四章 合同管理
第九条 开展外包活动时应签订书面合同或协议,明确双方的权利和义务:
(一)应根据已经确定的外包服务需求范围、外包服务管理计划和规范等起草外包服务合同,合同应包括但不限于以下条款:
1.服务方式:包括现场服务方式、非现场服务方式;
2.服务种类:包括合作建设类、咨询服务类、人力外包类;
3.根据服务方式、服务种类,确定相应的信息安全管理手段,如:工作环境访问权限的设置和说明;外包服务提供商使用设备的管理;在服务过程中,明确对设备的授权方式、监视和撤销用户活动的权限;设立保密条款;
4.明确外包人员的要求:人员资格要求、撤换人员的规定、安全规范的遵守,在终止外包协议时收回或销毁外包人员保存的所有客户资料;
5.明确外包服务提供商在服务过程中提供产品的要求,明确外包服务商服务水平,包括响应时间的要求与衡量方式、工作质量等;
6.明确外包服务提供商在服务过程中的变更授权流程;明确异常情况报告机制,包括报告事件程序;明确安全事故处理机制,包括如何调查、通知处理、应急方案和实施计划;
7.明确外包项目的知识产权归属;
8.制订外包服务提供商所提供的服务不能满足服务水平要求的惩罚条款,明确发生问题时的赔偿责任与解决争端的程序;
9.明确交通师市总医院信息管理有权监视、审核、评估外包服务提供商所提供服务的状况,并根据合同予以相应奖惩;
10.明确风险责任的承担;
11.明确双方提前终止合同的条件、流程及其赔偿办法;
12.对双方的其他约束。
(二)除外包服务合同中所述的合同条款外,根据项目的实际情况,可以增加以下条款:
外包服务提供商应定期提供其公司的经营状况、业务状况,公司发生重大变动时及时通知项目组(如重大的经营变动、重大业务调整、并购、兼并极有可能直接或间接影响项目进展等其他情况);合同变更程序;将外包服务说明书、外包技术要求及其他相关文档作为附件,并在合同中明确说明。
人力外包类的外包项目由交通师市总医院信息管理或委托相关部门(单位)与各外包服务提供商签订技术服务外包框架合同,合同应明确规定外包服务提供商所提供人员的类别、收费等。
第五章 风险管理
第十条 应在外包的立项阶段实施风险评估,并在项目的实施过程中随时关注外包风险,采取相应的控制措施规避、降低或转移外包风险。
第十一条 外包风险评估主要内容应包括:
(一)外包活动是否在监管法律法规许可范围之内;
(二)外包是否导致过度依赖外包服务商;
(三)外包活动是否涉及重要敏感信息泄露、外包商是否未经许可获得业务敏感信息等数据安全问题;
(四)外包服务商异常退出或关键外包技术人员流失是否无可替代,是否导致某个业务系统中断;
(五)外包服务商财务稳定性和专业技术经验是否可靠;
(六)外包服务发生敏感数据泄漏、信息系统运行中断等行为对交通师市总医院声誉的影响。
在进行外包风险评估时,应评估上述风险要素,并说明对上述风险的管控能力。
第六章 外包服务应急处理
第十二条 在外包服务实施过程中,如果外包服务商发生重大资源损失、财务损失和重要人员变动时,应立即将相关情况上报分管领导,并要求外包服务商按照合同及时提供资源和人力,保证外包项目继续正常进行;对于重大项目,还应要求外包服务商提供外部审计机构对其实施的安全审计报告。
第七章 外包人员入场
第十三条 外包人员进场服务时,外包服务商必须提供人员简历及资格审查证明,填写《外包服务人员信息表》(附录一:外包服务人员信息表),经审核后由师市总医院信息管理保存。
第八章 信息安全培训
第十四条 应对外包人员进行保密和信息安全教育,在服务过程中遵守交通师市总医院的信息安全管理规定,并签署《外包人员保密承诺书》(附录二:外包人员保密承诺书)。
第九章 外包人员访问控制管理
第十五条 外包人员在驻场工作期间的考勤应纳入到项目日常管理工作中,外包人员的缺席和外出应告知交通师市总医院信息管理相关负责人并得到批准,不得无故缺席或者外出。
第十六条 外包人员在服务期间如需进入机房,应根据相关规定办理审批手续,并且在厅工作人员陪同下方可进入。
第十七条 外包人员的个人电脑由于工作原因确实需要接入网络时,须经审批后在厅网络管理人员指导下接入。项目结束后,网络管理人员必须及时收回其网络访问权限。
第十八条 外包人员应自觉维护师市总医院利益,在向其公司提供的材料或信息中如存在涉及师市总医院业务的有关信息,必须经过相关业务部门审核。
第十章 持续改进
第十九条 为了保证本规定的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十一章 附 则
第二十条 本规定由师市总医院信息管理负责制定、解释和修改。
第二十一条 本规定自发布之日起执行。
软件开发外包实施办法
第一章 总 则
第一条 为了防范和控制师市总医院信息化项目外包开发管理的风险,促使师市总医院外包管理工作的规范化、制度化,特制定本实施细则。
第二章 适用范围
第二条 本细则适用于师市总医院以及涉及外包项目管理的相关部门。
第三章 术语定义
第三条 开发外包指将部分或全部信息系统的设计、开发、维护等工作委托给外部技术供应商(以下简称“乙方”)。
第四章 组织职责
第四条 师市总医院(以下称“甲方”)的主要职责:
(一)负责为外包项目指派甲方项目负责人作为甲方的代表参与外包项目的管理、技术审核和协调工作,必要时成立甲方工作组;
(二)负责对乙方的管理体系进行审定,并确定乙方项目组使用的管理标准。如乙方已通过ISO 9000、CMM或CMMI等标准,经审核同意后,项目可以按照乙方的管理规范实施;如果审核未通过,则需要按照甲方的管理规范、流程执行,并对相关文档模板进行裁剪后,提供乙方项目组使用,必要时为乙方项目组提供管理相关的培训。
第五条 乙方的主要职责:
(一)负责对外包开发进行管理,成立项目组,并指派乙方项目负责人代表乙方与甲方沟通,负责乙方的项目管理工作。
(二)乙方项目组使用的技术规范、文档标准、管理过程应符合合同规定的要求,或符合甲乙双方达成的一致要求。
(三)乙方应履行合同中规定的其他条款要求,如知识产权、保密、技术支持和产品售后维护等,这些要求应在合同中明确。
(四)按计划向甲方交付相关工作产品和文档,并按合同要求提供后期的服务和维护工作。
第五章 外包开发人员管理
第六条 人员登记:外包开发人员进入我单位进行项目实施的,乙方项目负责人应填写《外包软件开发人员登记表》(附录一:外包软件开发人员登记表),并提交甲方项目负责人,同时乙方应遵守甲方相关规章制度和管理条例。
第七条 资源申请:乙方项目负责人对于乙方在甲方开发工作期间需要使用的资源须填写《资源使用申请表》(附录二:资源使用申请表)并提交甲方项目负责人,其中资源包括设备、网络、开发环境等。
第八条 资源分配:甲方项目负责人对于乙方的资源申请进行审核确认,并负责协调解决。乙方在获取资源后专人专用并不得随意借用于他人。
第九条 实行考勤制度,乙方人员在我单位项目开发期间必须遵守我单位的作息制度。
第十条 外包开发人员应遵守我单位开发环境管理相关规定,不能随意更改网络配置,一台设备不能同时连接外网和内网。如果由于乙方外包开发人员不遵守我单位规定造成的损失,甲方有权要求乙方赔偿。
第六章 进度管理
第十一条 甲方项目负责人应要求乙方项目负责人按季度提供外包开发实施计划 (附录三:项目实施计划表)。
第十二条 甲方项目负责人应要求乙方项目负责人每周编制工作周报, 总结本周工作情况和计划下周工作,并反馈工作中遇到的问题。
第十三条 对于开发中遇到的问题,甲方项目负责人和乙方项目负责人应根据各自职责协调解决。
第十四条 甲方项目负责人应对乙方开发工作进行检查和监督。
第七章 文档管理
第十五条 如果外包开发在甲方现场实施,则乙方必须遵守我单位的文档管理规范,使用我单位统一的版本管理工具,并及时更新。甲方项目负责人负责监督,且验收时以文档管理工具上的内容为准。
第八章 知识转移
第十六条 在外包开发结束之后或开发过程中,乙方负责将开发相关文档和产品提交给甲方项目负责人,甲方项目负责人填写《开发成果交接登记表》(附录四:开发成果交接登记表)。
第十七条 乙方有义务制定培训计划,并提交培训计划至甲方项目负责人,甲方项目负责人在培训实施过程中填写《项目培训记录表》(附录五:项目培训记录表)。
第九章 代码检查
第十八条 甲方项目负责人依据相关开发代码检查规则对外包软件关键代码进行恶意代码和后门检查。
第十章 持续改进
第十九条 为了确保本实施细则的可用性,需要进行审核,根据审核结果进行修订,修订后重新颁布执行。
第十一章 附 则
第二十条 本细则由师市总医院信息管理负责制定、解释和修改。
第二十一条 本细则自发布之日起执行。
项目实施管理制度
第一章 总 则
第一条 为规范师市总医院信息化项目实施过程管理,规范项目活动和交付质量控制,特制定该管理制度。
第二条 本制度适用于参与师市总医院信息化项目实施过程中的信息化部门、业务部门和开发方人员。
第二章 项目准备阶段
第三条 项目准备阶段包括制定总体计划、成立项目组、建立项目章程、召开项目启动会议、制定月/周工作计划等工作。
第四条 制定总体计划:项目负责人根据项目特点制定项目总体实施计划及资源计划,明确项目各阶段的关键活动、责任人、开始与完成时间、交付条件要求,经双方项目负责人审批后正式执行。
第五条 成立实施项目组:项目负责人根据项目特点明确参与项目的人员、角色、职责及明确参与项目时间要求,并正式成立项目组。
第六条 建立项目章程:明确双方项目组在项目过程中的沟通、问题、风险、计划、人力资源、质量管理等方面的管理约定。
第七条 制定月/周工作计划:项目经理在总体计划的基础上分解月/周计划,要求明确具体任务的完成标准、责任人、开始时间与完成时间。项目经理应定期跟踪项目计划完成情况,提交项目计划跟踪表并定期汇报项目进展状况。项目经理每月提交项目状态月报,向项目负责人汇报。
第八条 召开项目启动会议:项目负责人在完成以上项目准备后,应组织相关项目干系人召开项目启动会议,项目负责人、项目领导小组、项目经理、项目实施组和关键用户应参加项目启动会议。
第三章 需求分析阶段
第九条 需求分析阶段包括需求调研、需求分析、需求评审、需求确认等工作。
第十条 需求调研:调研内容包括项目目标、业务目标、业务与IT现状、业务流程、具体的业务功能需求和非功能需求,调研对象必须包括项目发起人、业务负责人和关键用户在内的所有与项目范围密切相关岗位,须确保以上人员的充分积极参与。 业务访谈过程应形成需求访谈记录,并及时将其反馈给访谈对象,并最终进行确认。
第十一条 需求分析:项目组内部对调研过程收集的需求和遗留的问题进行可行性、优先级别和风险评估,在此基础上形成初步的需求规格说明书,发相关业务人员征求意见。需求规格说明书必须包括总体需求及业务流程、详尽的功能需求描述和分析、需求的优先级、非功能需求(系统技术需求)、与外部系统接口的定义,并确保需求是一致的、完整的、可行的且易于理解的。
第十二条 需求评审:项目负责人组织相关的业务骨干和业务部门负责人对需求进行正式评审会议,项目组根据评审意见修订需求规格说明,使双方项目组对需求的理解达成共识。
第十三条 需求确认:需求规格说明书经评审通过后需业务负责人、项目负责人签字确认,并作为启动设计开发阶段必要输入条件。
第四章 方案设计阶段
第十四条 方案设计阶段包括总体设计、详细设计、编制数据整理模板等工作。
第十五条 总体设计:系统总体设计包括系统应用架构设计和技术架构设计,应用架构设计包括系统应用架构图、子系统/模块结构设计、具体功能模块设计及与外部应用系统的业务关联设计。技术架构设计包括系统技术架构图、内外部接口设计、相关软硬件平台设计、非功能模块设计。最终形成系统总体设计说明书,总体方案设计需经过项目组的评审。
第十六条 详细设计:系统详细设计是指进一步详细描述具体程序的设计要求,包括程序的功能、输入输出项、算法、流程逻辑的实现详细描述。最终形成 系统详细设计说明书。
第十七条 编制基础数据整理模板:开发方提供基础数据整理模板,项目负责人协调相关业务人员制定数据整理规则和整理计划,并落实相关业务岗位或关键用户负责基础数据整理,基础数据需经业务部门负责人确认。
第五章 系统实现阶段
第十八条 系统实现阶段包括开发环境安装、软件编码、单元测试、集成测试、用户测试、性能测试与优化、问题跟踪、测试环境安装、测试环境软件配置管理、数据整理与校验等工作。
第十九条 项目经理在项目总体计划和设计的基础上制定项目开发计划,并定期把开发进展情况和开发成果反馈到项目负责人。
第二十条 开发环境安装:根据硬件资源的落实情况,由系统开发人员负责开发环境的安装与配置,提交开发环境安装配置文档。
第二十一条 软件编码:开发人员根据设计说明书、项目开发计划进行编码。质量控制与管理人员对软件编码成果进行质量控制与检查。
第二十二条 单元测试:软件代码开发完毕后,完成单元测试并修正存在的问题后提交测试人员和质量控制人员检查。
第二十三条 集成测试:项目经理安排软件测试人员完成,提交系统测试方案,发现的问题由项目经理统一负责跟踪管理,并汇总成问题跟踪表。
第二十四条 用户测试:分为项目组内部测试和用户验收测试,所有的测试都需要汇总成问题跟踪表,一般先经过项目组内部测试后才能组织用户验收测试。用户验收测试前项目组需先提供系统测试方案和系统测试计划。用户验收测试结果作为上线评审的主要依据之一。
第二十五条 性能测试:系统开发人员和系统测试人员共同负责性能测试方案的制定和性能测试分析,并进一步安排性能优化措施。
第二十六条 问题跟踪:开发人员根据测试反馈的问题跟踪表进行代码修改,项目经理跟踪问题解决的进度和组织相关人员进行测试确认。
第二十七条 测试环境安装:由项目组测试人员负责,系统建设方项目管理人员协助完成,由项目组测试人员提交测试环境安装配置文档。
第二十八条 测试环境软件配置管理:软件质量由质量控制人员负责,由开发人员负责测试环境的软件部署,并做好软件配置管理,提交测试环境软件部署记录。
第二十九条 数据整理与验证:基础数据整理由业务部门负责,基础数据由开发人员提供导入脚本导入测试环境,由业务人员、关键用户对数据进行校验和验证,数据经验证后才能导入正式环境。
第六章 上线运行阶段
第三十条 系统上线包括正式环境安装、正式环境软件配置管理、上线方案编写、上线培训、上线评审、系统上线、上线运行跟踪、试运行总结、初验总结等工作。
第三十一条 正式环境安装:由项目组测试人员根据测试环境安装配置文档负责正式环境的安装,完成后提交正式环境安装配置文档。如不能按照测试环境安装配置文档要求完成,则返回测试环境,由项目组测试人员完善测试环境安装配置文档,直到满足要求。
第三十二条 正式环境软件配置管理:软件质量由质量控制人员负责,未通过项目质量控制的软件程序不能发布到正式环境;系统开发人员负责正式环境软件配置管理和软件部署,提交正式环境软件部署记录,对不符合正式环境软件发布要求的软件可拒绝部署。
第三十三条 上线方案编写:系统完成用户验收测试并按照要求提交所有文档后,由双方项目负责人共同制定系统上线实施方案。
第三十四条 上线培训:根据上线方案中的培训计划,由项目经理组织用户进行培训,同时提交用户培训手册和用户操作指南。
第三十五条 上线评审:甲方根据开发方在实施过程中提交的所有交付内容进行评审,评审内容包括交付质量、交付件的完整性、用户验收测试、上线条件、上线方案。
第三十六条 系统上线:通过上线评审后,系统可以进行上线并进入试运行阶段。
第三十七条 问题跟踪:项目组对系统试运行情况进行跟踪,及时处理和更新问题跟踪表,定期通报系统运行状况。
第三十八条 试运行总结:系统试运行三个月以上并运行稳定,项目组应总结系统运行情况,提交系统试运行报告。
第三十九条 初验总结:系统应用状况达到项目验收要求,项目组进行项目初步验收总结,提交系统初验报告和项目初验申请。
第七章 项目交付阶段
第四十条 项目交付阶段包括问题跟踪与解决、系统移交、制定系统管理规范、制定业务管理规范、终验总结等工作。
第四十一条 问题跟踪与解决:项目组应继续进行系统运行跟踪状况,每月提交问题跟踪表,并对存在的问题进行优先级分类,及时落实资源解决问题。
第四十二条 系统移交:开发方整理和修订项目交付文档,制定系统维护指南,系统维护指南中应包括系统运行维护的指引、系统备份要求和方法、系统恢复和迁移指引,并根据维护指南对系统管理人员进行知识转移,经过系统管理人员验证和确认后,作为双方正式移交的必要条件之一。正式环境移交后,系统管理人员收回开发方所有环境所有用户权限。
第四十三条 制定系统管理规范:项目组在系统维护指南的基础上,制定内部系统管理规范和应用维护管理规范。
第四十四条 制定业务管理规范:业务管理规范由业务部门制定,包括基础数据规范、操作规范、岗位操作指南等等,并在应用过程中定期检查执行情况和不断完善。
第四十五条 终验总结:系统达到项目目标、初验后正常运行三个月、所有的问题已解决且完成系统移交后,项目组进行项目总结后可提出项目验收申请,执行项目验收。
第四十六条 系统交付资料(包括但不限于)
序号 | 文档名称 | 检查内容 |
1 | 项目开工报告 | 应包括实施的实施周期、人员和工作内容、阶段工作目标 |
2 | 设备到货检查表 | 应包括设备到货情况,硬件配置检查确认结果 |
3 | 项目实施报告 | 应包括项目实施的过程,包括实施日志、实施中出现的问题,解决问题的方法,产品相关配置信息、网络拓扑图等 |
4 | 系统功能测试报告 | 应包括系统功能测试采取的方法和结果,以及与合同要求是否存在偏差 |
5 | 系统安全测试报告 | 应包括系统的整体安全状况,存在的漏洞和风险以及整改建议 |
6 | 项目竣工报告 | 应包括对项目的实施、测试、试运行、质量控制情况进行总结 |
7 | 系统操作和维护手册 | 应包括产品的操作说明书、产品配置简明手册、日常维护手册 |
8 | 产品质保说明或服务承诺 | 应包括产品附带的质保卡、其他证明保修期限的证明以及承建方提供其他服务的承诺 |
9 | 软件源代码 | 应要求开发单位提供软件源代码,并审查软件中可能存在的后门 |
第八章 问题与风险管理
第四十七条 问题管理贯穿项目的整个生命周期,项目经理负责整个项目的问题和风险管理,并有责任落实相关资源协调解决。
第四十八条 业务部门或用户提出问题后,项目组对问题的类别、重要性、优先级别进行分类排序,优先解决影响数据准确性的问题,并明确问题责任人、完成时间,每周/天更新问题跟踪表。
第四十九条 项目经理应跟踪问题的解决情况,并及时将问题状况发布给项目组。在项目组范围内无法得到及时解决且影响项目整体目标的问题,项目经理应及时将问题升级到项目负责人,并将问题纳入风险管理范畴,进行风险评估和采取有效的风险防范措施。
第九章 变更管理
第五十条 项目的需求分析确认后,所有的新增需求或变更需求、技术变更均纳入需求变更管理范围,项目经理应对所有的需求变更进行记录和管理。
第五十一条 一般的需求变更可以纳入问题管理范畴,由项目经理管理与决策,不纳入变更管理范围,10%以内的需求变更不变更项目费用;严重影响项目进度或成本或目标的需求变更由变更发起人提出变更申请,项目组进行需求变更分析,累计10%-20%的需求变更由项目负责人决策,但变更费用不得超过合同金额10%,累计超过20%以上的变更,必须重新立项审批通过才能予以执行。
第五十二条 变更分析:项目经理组织相关人员评估需求变更的风险、可行性,并提出需求变更的具体解决方案,解决方案中还应包括增加的工作量、成本和对项目进度的影响分析,需求变更经双方项目负责人签字后生效。
第五十三条 变更的执行、跟踪:项目经理落实资源进行需求变更任务的执行,对于影响项目目标、范围、业务功能的变更需同时修订需求规格说明书、系统总体设计说明书等相关交付文档,对于影响项目进度的变更应同步修订项目计划。
第五十四条 变更的确认、总结:变更任务执行完成后,其中需求或技术变更需经变更提出人员进行测试后确认完成,项目经理提交变更执行情况分析。
第十章 持续改进
第五十五条 为了保证本制度的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十一章 附 则
第五十六条 本制度由师市总医院信息管理负责制定、解释和修改。
第五十七条 本制度自发布之日起执行。
机房安全管理制度
第一章 总 则
第一条 为加强师市总医院机房安全管理,促使网络安全工作有序、正常地开展,保障机房设备与信息系统的安全、稳定、高效运行,制定本规定。
第二条 通信网络信息管理办公室负责师市总医院机房的技术管理、网络传输管理、设备运行维护管理和环境安全管理。其主要职责是:
(一)认真贯彻师市总医院关于通信信息机房技术、设备及质量管理等方面的方针、政策、规定、指示,组织制定机房设备、电路、传输及动力系统的技术维护管理规程;
(二)加强机房设备、仪表、电源、网络的运行管理,并掌握其运行状况,定期分析通信设备、电路、系统及网络的运行质量;
(三)对机房设备出现的故障、通信的重大障碍、严重阻断等问题,要积极督促、协助相关部门尽快处理,并向上级部门报告,事后及时总结经验,并组织制定防范措施;
(四)积极采用和推广新技术及先进经验,对老化设备进行更换、革新,并定期更新网络运行系统,保证通信网络的稳定、安全和畅通,保证通信机房的正常运行;
(五)定期组织机房通信技术的培训,不断提高机房管理人员的技术水平。
第二章 机房人员的管理
第三条 机房管理人员职责
(一)机房管理人员负责机房的全面管理,遵守机房管理制度,其他人员未经允许不得入内,机房钥匙不得随意转借他人;
(二)机房管理人员负责机房设备的管理工作,未经上级领导同意,任何人不得自行使用、移动和调转设备;
(三)机房内必须保持环境清洁,做好防潮、防尘、防水、防热、防火、防盗等工作,并定期为设备除尘;
(四)服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须与UPS电源连接,以防止突然停电造成设备损坏、资料丢失和网络中断等情况;
(五)机房管理人员须确保机房内各设备正常工作,出现故障应及时处理,如不能进行处理的,须及时向主管领导报告;
(六)机房管理人员要注意保密工作,不得随意泄露单位数据信息;
(七)建立设备维护台账,记录使用、维修、软硬件升级变更等变化情况;
(八)机房管理员人员离开机房前,应保证工作机房内保存的重要文件、资料、设备、数据处于安全保护状态;
第三章 机房环境管理
第四条 机房安全管理制度
(一)机房内服务器、网络设备、UPS电源、空调等重要设施由机房管理人员严格按照规定操作,如需重启或关闭须征得领导的同意,并记录在案。
(二)机房内严禁吸烟,不得随意使用明火。严禁携带与工作无关的物品进入机房,特别是危险、易燃和易爆物品。机房内不得堆放易燃易爆物品,如纸箱和废纸等。
(三)机房内应按规定配备适用于电气设备的专用灭火器,并定期更换。
(四)已配置自动防灭火系统的,要求机房管理人员必须全部掌握消防系统的处理技能,能够在火情发生时及时启动防火系统或立即采取其他措施灭火,使火灾影响降至最低,同时进行报警处理。
(五)机房管理人员每天以巡视机房的方式进行漏水监测,严防漏水事故的发生。一旦发生事故,需要立即切断水源,由工作人员打开地板,尽快将水清理出机房,将损失降至最低。
(六)机房内的电源和插座为机房设备专用,非机房设备不得使用机房电源。
(七)设备操作人员离开机房时,关闭不用设备的电源,防止用电安全隐患。
(八)换季维护要检查各种安全设备、防火设备及报警设备,如发现设备损坏要及时更换。
(九)机房管理人员须做到防静电、防火、防潮、防尘、防热,禁止将机房内的电源引出挪作他用,确保机房安全。
(十)机房管理人员需随时监测机房温、湿度、电压的变化,如发现未达到温、湿度及电压正常值,需立即采取措施使其恢复正常。
(十一)做好防火、防水安全应急处置预案,定期进行模拟演练。
(十二)机房管理员须在每日的正常上下班前对机房进行巡检,检查服务器及网络运行状态和机房环境状况。巡检结束后,要填写《机房日常巡检表》(附件2)。
第五条 机房卫生及设备除尘管理制度
(一)保持机房清洁、卫生、整齐,确保物品、设备摆放整齐。
(二)机房管理人员需定期对机房地面进行清扫,做到机房无积尘、无污渍、无水迹,工作台干净整洁。
(三)机房管理人员应使用专用吸尘器和拖把进行清洁,以保证机房内不会有扬尘,不会渗水到防静电地板下。
(四)设备操作人员需定期对机房内的运行设备、配套仪器、电脑进行清洁和除尘。
(五)操作无尘设备仪器时,必须穿戴规定的工作服,佩戴专用手套。
(六)不得随意在机房墙壁、玻璃、桌面上悬挂、张贴图片和物件,对要求悬挂的地图、条框要挂放整齐,并定期清洁。
(七)严禁在机房抽烟、吃零食、乱扔杂物,不准将食品或有异味的物品带入机房,保持机房空气清新。
(八)要经常检查有无老鼠,一旦发现应立即采取措施。
(九)定期检查机房密封性,检查机房的门窗、清洗空调过滤系统,封堵与外界接触的缝隙,杜绝灰尘的来源,维持机房空气清洁。
(十)维持机房环境湿度,严格控制机房空气湿度,保证减少扬尘、同时还要避免空气湿度过大,设备产生锈蚀和短路。
(十一)做好预先除尘措施,机房应配备专用工作服和拖鞋,并经常清洗。进入机房的人员,无论是本机房人员还是其他经允许进入机房的人员,都必须更换专用拖鞋或使用鞋套。尽量减少进入机房人员穿着纤维类或其他容易产生静电附着灰尘的服装进入。
第六条 机房门禁管理制度
(一)机房门禁卡管理系统应由机房管理人员管理,门禁卡应严格控制,统一调配,设置确定的权限;持卡者应刷卡出入权限规定的机房,确保门禁系统的记录完整、真实。
(二)持卡者要妥善保管门禁卡,不得擅自将门禁卡借予他人使用;施工单位借用门禁卡时需做记录。
(三)对于因调出本单位或内部工作调整等原因不在机房工作的人员,要在离岗的同时,由机房管理员将管理机房权限取消,同时填写《机房管理权限新增、取消登记表》。
(四)外单位或有关业务部门人员前来参观检查工作,必须进入机房时,应先向通信网络信息管理办公室领导申请,申请批准后由通信网络信息管理办公室领导或其指定人员陪同,并通知机房管理人员开门后进入,同时在机房出入登记簿上做好记录。
(五)工程施工和设备检修人员因工作需要进入机房时,必须经中心相关业务科长同意并在指定人员陪同下,办理登记手续方可进入机房。
(六)工程施工和设备检修人员在进入机房期间不得进行与自己工作无关的活动,必须做到文明施工,并认真做到工完、料尽、场地清。未经管理人员允许,不得自行使用、移动和调转设备或改变其系统数据。
(七)工程施工和设备检修人员在工作结束后应及时通知机房管理人员办理验收离场手续,经管理人员检查确认无误后方可离开,并在机房出入登记簿上做好记录。
(八)非机房管理人员进入机房后,要听从机房管理人员的安排和指挥,并在机房管理员的指导下进行有关操作。对违反操作规程者,机房管理员有权制止和纠正;对不听劝阻造成设备损坏、网络中断、系统运行不正常等后果的,要视情节轻重追究责任。
第七条 机房空调管理制度
(一)机房内要保持良好的通风和照明,确保空调系统的正常运行。
(二)机房的全部空调设备,需更换和维护时,必须由指定的专职空调操作人员操作,非专业技术人员严禁操作。
(三)空调机运行时,机房管理人员应按时巡查,检查各项运行参数,查看空调运行状态是否正常。如有异常,应及时处理,并做好记录。
(四)定期清洗空调系统的过滤网和过滤器,保证送风管道和排水管道的通畅。
(五)定期对空调主、副机进行一次全面检查保养,确保机组的良好运行。
第四章 动力机房管理
第八条 机房UPS电源管理制度
(一)UPS电源是保证机房内计算机及其他设备正常运行和数据安全的重要设备,必须由机房管理人员负责管理,其他人员不得随意触动控制面板和开、关机。
(二)机房管理人员要清楚每台UPS的安装情况、供电范围及负载情况,并随时监测UPS输入、输出开关及长延时电池开关等供电参数。
(三)UPS电源场地必须保持良好的通风、散热、干燥及少尘,不得放在阳光直射或潮湿的地方,电源及电池上不得堆放其他物品。
(四)未经通信网络信息管理办公室领导允许,机房管理人员不得随意更改UPS电源安装位置及连线,不得在UPS电源上增接任何设备。必须要更改或接入的,应和专业技术人员联系并由他们进行操作。
(五)凡接入UPS的设备,必须认真检查设备接地情况是否良好,防止因短路、错接或过载造成损失。
(六)在UPS电源使用过程中,发现有异常声音、气味、亮光等应及时关机并查找原因,原因未查清前,不准重新开机。
(七)在正常情况下,机房管理人员需每两个月对UPS电源放、充电一次,放电时间为额定时间的二分之一,以增加UPS电源的寿命。对充放电过程中出现的问题及时处理,如有问题要及时与厂商技术人员联系,保证机房的正常运行。
(八)定期要求厂家技术人员对UPS电源的输入、输出、接地、负载、电池等状况进行检查,每季度对UPS电源内部清洁一次。
(九)UPS电源发生故障时,机房管理人员必须详细地做好故障报告,记录故障发生时间、故障原因及故障现象,以便维修检查。
第九条 机房供配电管理制度
(一)机房供配电﹑弱电系统在建设完成后,由施工单位提供竣工资料,包括供配电系统图、管线连接图、测试报告、配线表等资料,有电子版和纸质两种,由机房管理人员保存备查。
(二)对新增、调整的供配电﹑弱电系统线路图纸要及时进行修订,以符合机房实际。
(三)供配电设备发生故障时,要求机房管理人员在及时联系设备操作人员的同时,必须报告通信网络信息管理办公室领导。故障处理完成后要出分析报告,报通信网络信息管理办公室技术负责人审核后存档。
(四)每季度检查、测试机房电源工作情况,对UPS系统进行充放电操作并做好维护记录。
(五)每季由相关业务科带领工作人员对总配电柜、电缆、插座、配线架进行逐一检查,对于查出的问题,现场能够处理的,要求现场进行处理;现场无法处理的,形成情况汇总和整改措施报中心领导审核后由专业人员处理。
(六)每年对大楼防雷系统进行一次测试;每半年对楼顶自立铁塔进行例行维护。
第五章 设备机房管理
第十条 机房设备运行管理制度
(一)机房服务器、交换机、路由器、磁盘阵列、防火墙等设备应置于机柜内,固定牢靠;
(二)机房机柜散热要良好,机柜摆放应整齐。两排机柜之间的距离应按标准空出相应距离;
(三)设备应有标识,标识内容至少包含设备名称、维护人员、设备供应商、投运日期、服务电话,IP设备应有IP地址标识;
(四)网络交换机已使用的端口、网络线、配线架端口都应有标识,标识内容应简明清晰,便于查对;
(五)信息机房内的电源线缆、通信线缆应分别铺设在管槽内或排架上,排列整齐,捆扎固定,留有适度余量;
(六)机房内的设备,未经运行部门领导同意,不得随意挪动、拆卸和带出机房;
(七)机房设备自安装运行之日起必须建立单独的设备档案,内容包括完整的设备安装过程记录、参数配置记录、设备调试记录、设备异动记录;
(八)机房内所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都要按照设备的操作规定,按有关程序严格执行,并在相应的设备档案中做好记录;
(九)机房应装有计算机网络管理系统,对计算机网络、计算机系统、服务及应用等运行状况进行实时监控管理;
(十)设备新投入或配置改变后,机房管理人员必须认真核对该设备的全部配置参数;
(十一)设备的配置参数应形成书面的文字记录存档备案,如果有电子文件形式应以电子文档进行保存;
(十二)设备运行参数的修改,必须上报部门领导,经领导批准后方可实施。
第十一条 机房设备操作管理制度
(一)使用机房服务器、交换机、UPS、空调及替它仪器设备,必须严格遵守机房设备管理办法,按设备操作规程进行操作。
(二)机房设备应由机房管理人员或专业技术人员操作、使用,非管理人员或专业技术人员不得擅自操作、使用。
(三)开启设备前,必须检查环境条件、电源电压和连接线缆等,符合要求后方可开机。
(四)开机必须按规定的顺序和操作规程进行,先打开交流稳压电源(若遇到掉电,应先检查配电柜送电情况),再打开UPS,待稳定后打开显示器及主机,并待设备稳定后方能进行工作。
(五)设备如需关机,则关机顺序与开机顺序相反;每次关机前,必须先保存当前运行日志,检查设备的运行状态,按要求顺序关机,并填写操作记录。
(六)系统正常运行期间,不得擅自退出监测软件,不得擅自关机。
(七)外包和厂方维修人员进入机房后,需按照设备操作要求以及在机房管理人员的指挥下进行设备维修、升级、更换等操作;工作完成后,需填写《机房设备操作登记表》,经管理人员确认无误后,方可离开。
(八)机房管理人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理,非常情况下应立即采取应急措施并保护现场。
第十二条 机房设备维护管理制度
(一)机房管理人员应对机房内各类设备进行检查,及时发现、报告、解决系统出现的故障,保障系统的正常运行。
(二)各类设备进、出机房需相关科室负责人确认并在机房管理人员的安排下,放置在机房指定位置。
(三)设备进出机房时需要填写《设备进出机房登记表》,登记表由机房管理人员负责整理归档保存。
(四)设备更新时,需在机房管理人员的监督下,进行设备更新或更换,并保证现用设备的安全和运行正常,双方分别签字确认。离开时,需填写《新增及更换设备登记表》,确认无误后方可离开。
(五)机房设备资产统一编号、登记入账,新增及更换设备及时补充录入。
(六)机房内设备必须严格按照相关规定放置,未经允许,任何部门不可以放置任何设备于机房内。
(七)机房管理人员定期对机房及设备进行巡视检查。在恶劣天气前后应加强巡视检查,以确保通信机房内外环境的良好与安全。
(八)机房内各种工具、仪表未经允许不准擅自带出机房。经授权使用完毕后及时归还原处。
第六章 网络传输机房管理
第十三条 机房网络传输管理制度
(一)机房管理人员必须加强对网络设备的运行监控,认真处理网络数据。数据损坏后须及时检查,如出现错误应立即改正;发现网络故障等问题要及时报告并采取相应的措施,有关情况和操作及时记入维护日志。
(二)机房管理人员应严格遵守网络传输系统操作规程,对各类设备、设施实行规范操作,并做好日常维护和保养。定时做好服务器的日志和存档工作,任何人不得删除运行记录的文档。
(三)机房管理人员须制定IP地址分配表及内部线路的布局图,并给每个交换机端口编上号码,以便操作和维护。
(四)机房内服务器、网络设备、UPS电源、空调等重要设施由专人严格按照规定操作,严禁随意开关。系统管理员的操作必须严格按照操作规程进行,任何人不得擅自更改系统设置。
(五)机房的核心服务器要做好安全设定,包括端口、漏洞、补丁等,应全部做好防范措施,要设置自动杀毒程序更新及系统补丁更新,重要数据要定期做好本地备份和异地备份。
(六)机房的核心路由、交换设备配置要有规划和记录,每次配置列表要备份并进行详细记录,以便故障出现时及时恢复。
(七)机房的网络线路包括光纤跳线、电缆及光缆等要做好标记,方便查找。
第十四条 机房光缆线路管理制度
(一)机房管理人员应随时监测光缆线路设备完整良好及正常运行,传输性能符合指标要求。如发生传输障碍,应迅速准确地判断和排除故障。
(二)机房管理人员要始终保持光缆线路设备清洁、良好的工作环境,延长其使用年限;在保证通信质量的前提下,节省维护费用。
(三)机房管理人员和维护人员必须掌握光缆线路的网络路由状况,定期检查光缆线路设备的质量情况,发现薄弱环节及时采取措施解决。
(四)当光缆线路发生障碍或进行迁改、割接时,由光缆线路维护人员负责处置,机房管理人员负责组织协调,并在光缆线路维护人员查找障碍、迁改或割接的过程中予以密切配合。
(五)机房管理人员及维护人员要熟悉光缆线路的深埋及周围情况,发现危及线路设备安全情况时,要尽力排除并及时上报。
(六)光缆线路维护运营制定有关技术安全措施,确保网络传输的稳定可靠、安全畅通。
第七章 数据与信息管理
第十五条 应用系统配置修改管理
(一)应用系统配置因业务需求改变或网络环境、系统环境改变需要修改时机房管理人员向上级领导提出配置修改申请,申请内容包括修改内容、修改目的、方案和步骤,批准后方可执行。
(二)涉及优先级为一级的计算机设备上的应用系统配置修改,通常安排在非业务繁忙期间进行。
(三)如果修改会中断正常业务运营的,必须提前向上级领导申请 ,批准后方可执行。
(四)机房管理人员必须认真填写《日常配置修改日志》,整理存档。
第十六条 机房文档资料管理制度
(一)由通信网络信息管理办公室管理的机房所有服务器,交换机,路由器的用户名和密码口令为绝密资料。由通信网络信息管理办公室领导及机房管理人员负责掌握,并登记在密码本上。密码本为绝密资料,必须妥善保存,不得泄露内容。
(二)路由器、交换机和服务器参数,网络拓扑图、网络布线图、虚网划分、IP地址分配等为网络机密资料,由机房管理员装订保存。不得向厅以外的人员透露文档内容。
(三)机房网络系统集成参数变更时,必须及时修改、变更文档。保持网络系统集成的文档与集成参数对应相同。
(四)随机房的服务器、网络通信设备携带的说明书、各种文字资料为机房系统的重要资料,必须登记、编号、造册。由机房管理员保存,重要资料只限于在师市总医院内查询。
(五)有关机房建设的各种合同、上级部门的各种批文,网络管理和配备的各种规则、条例等文字材料,必须留档备案和登记,由机房管理人员妥善保管。
(六)对通信信息机房购买的科技图书、科技杂志,进行登记、编目造册,禁止师市总医院以外的人员借阅。本单位内部的人员借阅必须通过资料员进行借阅登记,并限期归还。
(七)丢失或损坏机房的各种文件,应及时处理并恢复资料原貌。因为丢失或损坏文档资料而造成不良影响者,则视其情节轻重予以行政纪律处分。
第十七条 机房中心技术资料管理制度
(一)通信信息机房要应具备电源系统主接线图、接地装置布置图、断路器及刀闸操作控制回路图;空调系统图、机房内设备供电原理图及布线图;机房内网络布线图;广域网、城域网、局域网拓扑图;IP地址分配表;设备随机资料、随机的光盘、软盘介质、原理图及安装图;应用系统开发的过程文档和验收文档等;推广应用的安装调试报告、使用手册等;其他各类工程竣工(交接)验收报告;设备、系统维修调试报告等技术资料。
(二)技术资料应由机房管理人员管理,并建立管理制度。
(三)机房管理人员要定期检查机房图纸,必须与实际设备和现场相符合。
(四)设备异动或新建、改建、扩建后,应予以相应的变更。
(五)各种技术资料应统一收存,可根据实际情况存入计算机。
第十八条 机房密码保护管理制度
(一)机房内的设备和信息系统要充分运用密码技术进行保护,密码的设计、实施、使用、运行维护和日常管理等应严格执行通信中心密码管理的有关规定;
(二)通信信息机房的管理人员可以定期或者不定期对机房管理工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况要重点进行检查和测评;
(三)各管理人员所负责运行维护的设备和信息系统的密码要用密封件交由专人管理,密码更新要及时更换密码密封件。
(四)所有运行维护和机房管理人员均应熟悉并执行保密规定,主管部门要定期检查保密规则执行情况;
(五)任何人不得将机构人员编制、机密图纸文件、技术档案、信息网络发展规划、网络结构、系统配置、安全策略、系统参数、系统用户等内部资料任意抄袭、复制和散发,防止失密;
(六)各级领导必须经常对运行维护、机房管理人员进行安全保密教育,定期检查安全保密规定的执行情况,发现问题隐患及时处理。
第十九条 服务器信息安全管理制度
(一)服务器管理员应掌握所有服务器的硬件与系统信息,并有较强的网络攻击防范意识,其对各服务器进行巡检,并通过服务器及防病毒软件的日志进行分析,如发现异常现象相关工作人员协同处理并作记录;
(二)所有服务器需要采用国家许可的正版防病毒软件并及时更新软件版本;
(三)未经通信网络信息管理办公室领导及部门负责人许可,机房管理人员不得在服务器上安装新软件。若确定需要安装,须经部门负责人批准,安装前后均应进行病毒及木马例行监测;
(四)各服务器数据须定期、完整、真实、准确地转储到不可更改的介质上,有专人保管。保管地点应有防火、防热、防潮、防尘、防磁、防盗设施;禁止泄露、外借和转移专业数据信息;
第二十条 网络设备信息安全管理制度
(一)网络管理员需定期对各网络设备进行巡检,随时掌握设备的硬件与软件信息,并保证线缆与网络设备端口连接正常;
(二)网络管理员必须严格保守各交换机TELNET密码、本地登录密码及管理地址,并定期更换登录密码。确保网络系统的配置等不被恶意修改,不会因此影响网络运行与服务器对外业务的正常使用。
(三)网络管理员必须以纸质和电子文件备份所有网络交换设备的配置信息并严格保管不得外借;
(四)因工作需要对防火墙等网络设备的配置进行修改时,必须征得上级领导同意,修改配置前应核对当前配置是否与备份的配置相同;配置有不相同的部分时必须查找原因并对当前配置进行备份后,才能进行修改工作;
(五)修改结束后,检查网络及本交换设备的工作情况是否符合配置要求,并在《网络设备配置变更表》中做好相应记录;
(六)机房管理人员不能私自移动、更改网络设备的线路连接,如因工作原因需进行详细记录;
(七)其他单位和部门需要在防火墙上开放对外服务,需要相关公函或其他书面申请材料;
第八章 机房巡检管理
第二十一条 机房巡检方式
机房巡检方式分为定时巡检、不定时巡检和特殊情况巡检。
(一)定时巡检:是指机房管理人员按规定的时间对机房内的环境、设备进行检查。
(二)不定时巡检:是指机房管理人员根据设施或设备存在的问题,在原规定的时间外相应增加的现场检查。
(三)特殊情况巡检:是指机房管理人员在对机房设施和设备实施维修或变更,或遇特殊天气(如大风、大雪、暴雨、雷电、高温、寒流等)以及其他特别需要时,对机房进行的现场检查。
第二十二条 机房巡检内容要求
(一)电源、UPS:检查机房供电状况,UPS工作情况、指示状态是否正常。
(二)服务器:检查服务器是否宕机,服务器(磁盘阵列)硬盘等指示是否正常。
(三)机房环境:检查机房空调工作状态,机房温度是否正常。设备有无漏水、漏气、漏灰、漏风、漏油等泄露现象;是否有不正常声音、震动、异味等异常现象
(四)网络设备:检查交换机、网络设备、路由器、防火墙等及其附属设备。检查设备工作状态是否正常。
(五)网络通道:检查内外网络通道状态,包括系统内部局域网、外网的网络通道状态。
第二十三条 机房日常巡检制度
(一)巡检人员必须熟悉机房所有设备的性能和安全要求,掌握正确的操作和维修方法。
(二)机房管理人员每天上班和下班前需对机房设备巡回检查一次,并填好巡检表做好相应记录。
(三)巡检时,应注意机房环境是否良好;设备、仪器指示表是否正常;是否有漏水、漏电等现象;设备运行时,有无发出杂音、噪声等情况的发生。
(四)如发现面板指示故障,应立即采取相应措施,做好记录,并向领导汇报。
(五)如遇极端天气变化时,应加强巡回检查,发现异常情况及时与电源维护人员和抢修人员联系。
(六)在巡检过程中,注意检查服务器及网络运行状态和机房环境状况,确保网络传输信号一切正常。
(七)在巡检过程中,机房管理人员必须做好详细的检查、维护记录,并按照要求,规范地填写《机房日常巡检表》。
(八)在巡检过程中,如发现网络中断、传输受阻等重大问题要及时解决时,要迅速通知合作单位前来抢修,同时向上级领导汇报。抢修期间所产生的费用要做好记录,以便日后审核、支付。
第二十四条 机房值班巡检制度
(一)节假日和特殊情况期间,要安排好巡检值班人员,确保每天都要对各个机房进行巡视检查。巡检值班人员要按照日常巡检标准,认真巡视,做好记录。
(二)值班期间机房采用24小时值班制度,每班明确到人,值班人员不得无故离岗、脱岗,如遇突发情况,必须提前调班并告知领导。
(三)值班期间,不得进行上网聊天、玩游戏等与值班无关的活动,不得因私事占用值班电话。
(四)值班人员认真做好机房环境巡检工作,包括机房卫生、电源、消防、温湿度等现场巡检。
(五)值班人员认真做好各类网络设备、系统网站、机房环境等监控工作。
(六)值班人员应及时响应机房故障申告和其他事项,做好预处理工作,并及时做好内部协调工作,同时做好情况记录。遇到重大情况,需做好反馈或报告处领导。
(七)热情周到接待来访人员,做好机房进出人员登记和值班情况记录。
(八)值班人员应认真做好交接班,以及配合其他人员做好机房有关工作。
第九章 持续改进
第二十五条 为了保证本制度的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十章 附 则
第二十六条 本制度由网络信息管理办公室负责制定、解释和修改。
第二十七条 本制度自发布之日起执行。
办公区网络安全管理制度
第一章 总 则
第一条 为了加强师市总医院办公区的网络安全管理,特制定本制度。
第二章 适用范围
第二条 本制度适用于师市总医院办公楼内所有工作人员。
第三章 出入管理
第三条 办公区应设置专门的接待区域,由接待人员统一处理外来人员的出入申请。来访人员登记后,在受访者陪同下进入办公区域。
第四条 办公区无人值守的出入口安装门禁系统,并保持实时启用状态。
第五条 指定专门部门负责门禁系统的维护、管理及门禁卡的发放、收回,并保存相关记录,随着员工的入职、离职及时更新门禁卡授权。
第六条 需要从办公区带走物理资产的,如属固定资产、第三方测试设备等,需要提前提出申请(附录一、设备领出审批表),由资产所属或测试主管部门领导签字批准后方可带出。
第四章 防火网络安全
第七条 认真贯彻执行《中华人民共和国消防法》和政府的相关消防规定。
第八条 办公区严禁吸烟,不准存放易燃、易爆、剧毒及放射性的危险物品。
第九条 严禁在办公区内使用明火和电炉子,如发现火灾隐患要及时报告。
第十条 办公内地板、门窗、窗帘等材料、设施使用防火耐用材料;内顶部设置探测器和喷嘴。
第十一条 要求全体员工必须熟悉掌握消火栓、灭火器材的位置、性能和使用方法、注意事项,会扑救初起火灾(火灾发生时要及时切断电源)。
第十二条 保障消防通道网络安全出口畅通,每月由专门部门负责维护管理,确保消防设备、器材完好有效。
第十三条 明确兼职消防管理人员,建立义务消防组织,定期组织消防知识学习和灭火
第十四条 技能演练,使全员达到知防火知识、知灭火知识、会报警、会疏散自救、会协助救援的要求,做到平时能防,遇火能救。
第十五条 与负责施工现场的消防网络安全管理人员签订防火网络安全责任书,明确双方的防火责任。
第十六条 采取不定期的网络安全检查,及时制止纠正违章行为,把火灾隐患消灭在萌芽状态。
第十七条 全体员工发现网络安全隐患要及时上报,采取全员网络安全例会形式不定期进行网络安全生产教育,在会上重点强调近期注意事项。
第十八条 办公区灭火应急措施:
(一)发生火灾时,不要惊慌失措,火场无论大小都应在统一指挥下进行扑救、疏散撤离。要及时关闭空调,切断电源,采取有效措施,进行灭火。
(二)在火灾初起阶段,一定要争分夺秒、立足自防自救,力争将火尽快扑灭,化险为夷;同时做好无关人员的疏散、撤离工作,按照消防应急预案和平时消防演练的路线,统一组织、统一指挥,非预案确定的消防网络安全救灾人员要服从指挥,立即撤离。
(三)在无力自灭自救时,一方面积极组织扑救、疏散物资设备,另一方面,要迅速拨119报警,报警时要沉着、准确,讲清起火单位、所在地址、街道起火部位、烧的什么东西、火势大小、报警人姓名及使用电话号码,报警愈早,损失愈小。
(四)消防预案应以人为本,最基本的目的是保障人员网络安全,在这个前提下,有条件有组织地实施自救。
第五章 网络安全
第十九条 办公区所有人员必须严格遵守国家、单位各项网络安全保密制度,高度重视信息系统的网络安全保密工作,积极参加各种形式的网络安全保密工作的学习培训活动。
第二十条 办公区内不得随意存放涉及单位管理、技术、财务、人力资源等部门敏感信息,个人密码、文档需谨慎处理。如确因工作需要使用敏感信息,妥善保管使用,并对使用信息的网络安全负责。
第二十一条 授权外来人员进入办公区需有专人陪同,需要使用单位资源的,如网络、电话、文档等需提出申请,由相关领导确认批准后方可使用。紧急情况下需要立即使用的需在陪同人员监督下进行。
第二十二条 未经授权时,严禁外来人员使用自带的设备(笔记本电脑、移动存储介质等)接入单位网络或设备。
第二十三条 单位敏感信息,不得窥探、抄录、复制;不得转告与工作无关的人员;不得随意向外界透露。
第二十四条 未正式授权人员不得在单位网络中使用具有数据包嗅探、分析功能的系统,不得窃取、破译他人权限密码。
第二十五条 所有人员未经允许不得擅自抄录、复制设备图纸、网络拓扑结构、内部文件、系统软件、技术档案、用户资料;确需使用的在使用后归还原处。敏感信息应有相关人员负责保存。
第二十六条 对于各类技术资料的使用要严格执行借阅手续,借阅者认真履行清退和登记签收手续,并不得对外泄露。
第二十七条 单位内重要文件、数据的销毁,提交专门部门和人员使用碎纸机进行销毁,不得任意丢弃。
第二十八条 所有人员严格遵守通信纪律,增强保密意识和法制观念,不得随意监测用户通信。
第二十九条 所有维护和管理人员,均应熟悉并严格执行网络安全保密规定。部门领导必须经常对相关人员进行网络安全保密教育,并定期检查保密规定的执行情况,发现问题及时纠正。
第三十条 重要的文档资料放置文档柜中保存,不要摆置桌面,防止泄漏和丢失,存放敏感文件或信息载体的文件柜需要上锁或设置密码。
第三十一条 办公用计算机及终端附属设备在下班前如无工作需要切断电源,原则上谁使用谁负责。
第三十二条 工作人员离开座位超过5分钟,将桌面上含有敏感信息的文档锁在抽屉或文件柜内,计算机退出登录、锁定屏幕或关机。
第六章 持续改进
第三十三条 为了保证本制度的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第七章 附 则
第三十四条 本制度由师市总医院信息管理负责制定、解释和修改。
第三十五条 本制度自发布之日起执行。
存储介质管理规定
第一章 总 则
第一条 为了保障师市总医院信息系统存储介质的网络安全,对存储介质的标识、传递、访问、保管、销毁等活动提供明确的网络安全管理规定,特制定本规定。
第二章 适用范围
第二条 本规定适用于师市总医院信息系统管理人员对光盘、硬盘、磁盘阵列等存储介质进行的所有网络安全活动。
第三条 存储介质指用于信息系统相关业务的电子信息输出、存放的物理介质、可移动和不可移动的光盘、硬盘、磁盘阵列等。
第三章 组织职责
第四条 资产管理员负责信息系统相关存储介质的标识、传递、访问、保密以及销毁等管理。
第四章 介质标识
第五条 存储介质标志必须置于容易识别的位置,此标签须在存储介质的表面上出现。
第六条 存储介质应该根据不同的分类进行标签,如光盘、硬盘及其他存储介质等有不同的分类标签。
第五章 介质传递
第七条 存储介质被运离或送到外时,必须进行密封,并且用防篡改的封条封住。
第八条 含有保密信息的存储介质在传递过程中必须亲自交给接收方。
第九条 当存储介质中含有敏感信息需要进行传输时必须将存储介质放在标记的密封套子或是包装盒中,必要时应对其中的信息采取加密措施。
第十条 资产管理员对存储介质的传递必须进行登记(附录一、信息系统存储介质使用登记表),并定期对登记清单进行复核。
第六章 介质访问
第十一条 安装和使用存储介质时必须防止非授权的访问。
第十二条 将存储介质给第三方使用,需要资产管理员和网络安全管理员确认敏感信息已经删除且轻易不可恢复。
第十三条 必须对所有存储介质的出库和入库及其保持记录进行控制,如要被从库中移出,移出请求应该由一个人完成并且需要相关部门签字同意,并注明原因和移出时间。
第十四条 所有含有内部信息的存储介质对外部人员都是保密的,严禁员工以及第三方带走;如更换属于合作方保修范围内的损坏介质,需要和合作方签订保密协议,以防止泄漏其中的敏感信息。
第七章 介质保管
第十五条 存储介质保存的环境要求(防火、电力、空调、湿度、静电及其他环境保护措施)。
第十六条 对含有机密信息的存储介质,要存放在保险柜里。
第十七条 对磁带库的原始的存储目录清单必须建立,完整原始的可记录清单(包括相关文档)必须经相关人员同意,以备将来使用。对备用目录清单至少一年盘点一次。资产管理员可以参与这个调查过程,但需入库操作不直接相关的人参加这个盘点。详细目录文档(包括相关文档),存储介质目录清单的管理人负责执行盘点控制的流程,并且存储必须每年盘点一次。当磁带库所有权发生变化时,必须进行一次存储库盘点,并更新介质清单。
第十八条 任何的存储介质盘点与检查出现差异必须报告给部门领导,并且存储介质库的所有介质,包括打开过的空白带、格式化过的、擦除过的、媒体操作装置中的都必须包括在清单盘点中,对存储介质库负责的管理者必须对所有的清单文档签字。
第八章 介质销毁
第十九条 任何计算机存储介质不再用于存储保密信息之前,必须进行格式化。
第二十条 存储介质的销毁首先要提交销毁申请(附录二、信息系统存储介质销毁申请表),经资产管理员和网络安全管理员确认后方可执行销毁。
第二十一条 如果第三方服务商通过存储介质提供信息,并要求返回存储介质时,保证存储介质包含的内容已经被销毁。
第二十二条 存储介质上删除保密信息后,必须执行重复写操作防止数据恢复。
第二十三条 含有保密信息存储介质的报废处理方式是切碎或者烧毁,光盘、硬盘等存储介质的报废处理方式为切碎或者烧毁。
第九章 持续改进
第二十四条 为了保证本规定的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十章 附 则
第二十五条 本规定由师市总医院信息管理负责制定、解释和修改。
第二十六条 本规定自发布之日起执行。
计算机设备安全管理规定
第一章 总 则
第一条 为加强师市总医院信息系统设备管理及使用维护管理工作,确保计算机设备网络安全高效运行,同时最大限度发挥设备使用效益,特制定本规定。
第二章 适用范围
第二条 本规定适用于师市总医院设备管理和使用部门。
第三章 术语定义
第三条 计算机设备(以下简称“设备”)是指计算机及其外围配套设备、数据通信及网络安全设备、机房环境设施、专用工具以及其他电子类设备。
第四章 组织职责
第四条 师市总医院办公室为厅机关计算机设备管理部门,管理本单位计算机设备,其职责:
(一)组织制定、完善设备管理制度及技术规范;
(二)组织制定设备的配备规划和配置原则;
(三)组织设备的选型工作;
(四)负责对设备使用部门的设备配置需求进行审核,对需采购的设备需求向财务部门进行费用预算与报送工作;
(五)组织或配合实施计算机设备的采购、合同签订等工作;
(六)组织实施设备的日常管理和使用维护管理;
(七)组织设备使用相关技术培训。
第五条 设备使用部门一般为相关业务需求部门,设备使用部门下辖设备使用人员,其职责:
(一)根据业务发展需求,在充分论证、认真分析的基础上,向信息管理提出设备配备需求,并提交需求材料;
(二)根据设备使用需求,向信息管理申领设备,做好设备的日常管理和维护,故障设备须及时报维修;
(三)定期清查所使用设备,及时将闲置设备退还信息管理;
(四)协助、配合做好设备的清查核对及使用情况调查工作。
第五章 设备需求管理
第六条 设备使用部门每年末根据下一年度的业务需求,对辖内设备使用状况及使用需求情况进行评估,在此基础上合理制订设备改造、更新和购置计划,报送设备管理部门。
第七条 设备管理部门每年末汇总、审核辖内设备使用部门的设备改造、更新和购置计划,报送相关部门审批。
第八条 设备改造、更新和购置工作计划须针对不同类型的设备,严格按照技术规范和使用要求进行制定。其基本原则:
(一)满足国家级相关监管要求,避免盲目追求新型号、高配置,造成资源浪费。
(二)对于关键环节设备的选择,应以稳定性作为第一原则,避免盲目追求新技术或者使用未经过市场检验的新型设备。
(三)在充分发挥现有设备使用效益的情况下,避免设备超期服务所带来的故障隐患和网络安全隐患,关键环节设备超出设计使用寿命须及时进行更换。
(四)特别是对于网络安全设备的购置,应避免采购非国产设备产品,以及外资企业研发生产的设备产品。
第九条 设备管理部门会同有关部门,根据科技应用规划实施要求或市场变化情况,在对计算机设备进行必要测试和综合评定的基础上,按照产品优秀、服务优质、价格优惠原则,定期或不定期组织设备选型。
第六章 设备使用管理
第十条 设备使用部门可根据需求提出设备领用或借用申请(附录一、信息系统计算机设备使用申请表),经审批通过后报送设备管理部门。
第十一条 设备管理部门负责接收辖内设备使用部门的计算机设备使用申请,并对申请进行合理性评估,提出评估及设备配置意见。
第十二条 设备申请意见需重点对设备类型、设备配置、设备数量进行把关,避免设备在使用部门出现资源闲置和浪费。
第七章 设备购置管理
第十三条 设备管理部门确认通过调拨迁移、改造升级现有设备无法满足计算机设备使用部门需求时,可启动采购流程。
第十四条 设备管理部门须按照固定资产管理、财务授权管理、集中采购等相关制度组织实施设备购置申请与购置方式报批、设备具体购置等工作流程。
第十五条 除设备管理部门设备工作部署,各部门不得私自向外单位借入设备进行使用。
第十六条 除经设备管理部门审批通过,各部门不得接受外单位赠送的与师市总医院各类技术规范或管理要求不符的计算机设备。
第十七条 设备采购需严格遵照《中华人民共和国政府采购法》《中华人民共和国政府采购法实施条例》《中华人民共和国招标投标法》等相关文件法规。
第八章 验收安装管理
第十八条 设备管理部门须根据计算机设备采购合同中的具体要求,严格组织计算机设备验收工作,未通过验收的计算机设备,须按照有关合同条款执行。
第十九条 设备验收须包括:开箱验货、设备初验和设备终验,具体验收环节及标准要求须以合同约定为准。
第二十条 设备到货后,须根据合同约定,组织开箱验货工作,开箱验货时,设备管理员须同供应商进行现场实物清点验收,核对内容包括设备数量、外观等,确认无误后,将相关资料整理后存档。
第二十一条 设备管理部门须根据合同约定,组织设备初验工作,设备初验须由管理人员和服务商现场进行,核对内容包括计算机设备型号、具体配置、加电后设备是否正常等,确认无误后,将相关资料整理后并存档。
第二十二条 设备运行一段时间后,设备管理员须根据合同约定组织设备终验,终验内容包括计算机设备运转期间的可用率、性能、稳定性等指标,确认无误后,方可进行验收,双方须对设备保修期进行明确界定。
第二十三条 由设备申请部门提出申请(附录二、信息系统计算机设备验收单),由设备管理员组织相关部门或人员组织最终验收。
第二十四条 设备管理人员负责根据设备使用部门提供的计算机设备安装需求,组织辖内计算机设备的硬件安装调试工作和硬件资源分配工作。
第二十五条 设备管理员须制定计算机设备安装计划并负责组织实施:
(一)设备安装前,设备管理人员须对计算机设备运行环境进行检查确认,确保供电、空调、监控等设施能够满足计算机设备运行要求;
(二)设备安装过程中,设备管理人员须严格按照相关设备的安装要求和操作规范执行;
(三)设备安装完成后,设备管理人员需组织设备使用部门对计算机设备安装情况进行验收确认,办理交付使用手续,并提供必要的文档资料。
第九章 设备运维管理
第二十六条 对于验收通过的设备统一进行入库管理。
第二十七条 设备管理员须对设备使用人员进行必要的培训或指导,设备使用员须依照设备使用规范和操作手册要求,合理使用计算机设备,不得擅自拆装设备及更换设备部件。
第二十八条 设备管理人员负责督促设备使用部门按时提交设备使用情况,对于设备闲置或资源使用效率持续低下的情况,设备管理人员应及时予以合理调整。
第二十九条 设备使用人员不得自行变更设备使用用途,放置地点,须经设备管理人员审批通过并备案后方可实施。
第三十条 设备管理人员须做好计算机设备的维护管理工作,具体包括:日常监控、巡检、保养、维护修理、扩容升级、停机管理等内容。
第三十一条 设备管理人员根据不同种类计算机设备的使用情况,做好计算机设备硬件维护服务的管理工作。
第三十二条 对于未购买日常硬件维护服务的计算机设备,日常硬件维护服务工作原则上由设备管理人员承担;该类设备出现故障,而设备管理人员无法修复的,可通过购买维修备件或计次服务方式解决。
第三十三条 对于从事含有保密信息设备维护的厂商,须以签订网络安全保密协议的形式或其他形式,确保其履行网络安全责任和遵守网络安全要求。
第十章 设备调拨管理
第三十四条 设备的调拨迁移须在满足使用部门需求的前提下,以最大限度地发挥设备使用效益为原则。
第三十五条 不同部门之间的设备调拨迁移须由设备管理部门或人员统一组织实施。
第三十六条 设备调拨迁移由设备管理部门统一组织实施。涉及固定资产转移的,须会同相关部门进行,并配合相关部门做好固定资产划转。
第三十七条 设备调拨迁移时,设备管理人员须提供调拨设备的合同复印件、验收报告和相关随机资料等材料。
第三十八条 设备调拨迁移过程中,设备调出、调入单位须由双方共同对过程进行说明并确认。
第十一章 盘点处置管理
第三十九条 设备管理部门应每年组织相关部门对辖内计算机设备进行一次实地盘点,并进行核对。
第四十条 设备使用人员须及时清理停用闲置的计算机设备,并退回设备管理部门。
第四十一条 设备管理人员须对退还计算机设备进行全面检查,清理数据、审核设备配置,确定设备当前状态。
第四十二条 设备管理人员应组织做好停用闲置设备的检修和维护管理工作,根据使用部门需求情况,合理调配使用闲置设备,最大限度发挥设备使用效益。
第四十三条 对于有严重故障、无法修复或修复成本高于价值总和的设备,经设备管理部门鉴定,可以申请报废。
第四十四条 设备的报废由设备管理部门统一组织实施,并按照相关制度规定执行。
第四十五条 报废设备的处理须在确保相关设备存储网络安全处置前提下进行,并符合国家电子类设备处置的相关法律法规。
第四十六条 对于报废设备由设备管理员通知资产管理员对资产清单理行更新。
第十二章 持续改进
第四十七条 为了保证本规定的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十三章 附 则
第四十八条 本规定由师市总医院信息管理负责制定、解释和修改。
第四十九条 本规定自发布之日起执行。
网络安全管理规范
第一章 总 则
第一条 为了加强网络安全管理,提高化解、消除网络安全事故的能力,确保师市总医院信息系统网络的可用性和可靠性,防范非法入侵,依据信息系统管理规范,特制定本规范。
第二章 适用范围
第二条 本规范适用于师市总医院网络安全管理的各个环节,包括资源管理、网络运维、访问管理以及变更管理。
第三章 术语定义
第三条 网络资源主要包括网络通信线路、网络设备、网络设备配置参数、网络软件、网络软件配置参数及网络技术资料等。
第四条 网络安全域是指具有相同的网络安全访问控制和边界控制策略的子网或网络,其所承载的系统具有相同的网络安全保护需求,相互信任,共享同样的网络安全策略。
第四章 网络资源管理
第五条 网络管理员应定期备份网站系统所有在用网络设备的配置文件或参数,对备份的文件或参数应有防止非授权访问的措施,如加密。
第六条 对重要的网络设备,必须采用负载均衡、双机热备份等措施,以提高网络的可靠性。
第七条 必须安装信息管理下发的防病毒软件,防病毒软件的升级和实时防护性检查由各部门计算机网络安全管理员负责。
第八条 网络IP地址由通信网络信息管理办公室统一规划,未经允许,任何部门或个人不得随意占用或盗用他人的IP地址,一旦发现有人非法设置和更改IP地址,网络管理员有权中断其网络连接。
第九条 网络技术资料由网络管理员进行管理并归档,机房管理员对所管辖范围的网络技术资料进行保存和归档。
第五章 网络运维管理
第十条 网络设备运行状况由网络管理员负责监控,对于机房所属的网络设备运行则由机房管理员负责监控。
第十一条 维护或更换网络设备时,应尽量不影响网络正常运行,并做好风险分析及应急处理预案,保证关键业务的连续。
第十二条 当第三方服务提供商进行网络设备维护或更换时,对于涉及机密信息的网络设备时,应签署保密协议。
第十三条 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
第六章 网络访问管理
第十四条 访问控制应采用默认禁止的原则,即除非经过审批、许可,否则禁止所有的访问行为,访问控制策略的变更应经过测试和审批。
第十五条 应根据网络所承载的网络安全级别划分相对独立的网络安全域,更好地控制网络安全风险。应进行网络安全域的逻辑分离,根据各域的信任关系,依据最小授权原则,设置访问控制策略。
第十六条 应合理部署防火墙,在边界进行网络安全防护,在域间进行访问控制,防火墙策略的制定要遵循最小授权原则和默认禁止的原则,只开放必须的地址、协议和端口。要对所有的防火墙策略进行登记和归档,定期备份防火墙日志,网络安全管理员应定期对防火墙策略及日志进行检查。
第十七条 用户需要访问网络资源,必须向网络管理员申请,获得相应权限,然后进行访问,使用完成后,应由网络管理员及时将用户删除。
第十八条 严禁内网计算机直接连接互联网,可通过部署网络非法外联系统,防止内部用户通过电话等方式非法连接到外部网络。
第十九条 对于远程接入的用户,应该采用较强的认证方式,如硬件令牌。
第二十条 无线网络的接入必须通过审批,要防止无线网络信号溢出预定的覆盖范围,无线传输的数据必须加密。
第二十一条 对于核心网络设备的维护必须通过带有加密协议的软件或终端进行访问,并保留所有操作的日志,不得进行直接操作。
第二十二条 应自动中断在一段时间内没有活动的连接,避免被非法用户利用。
第七章 网络变更管理
第二十三条 网络系统在建设前应充分论证、详细设计,一旦正式投入使用,不得随意修改其结构和参数。
第二十四条 因业务需要必须与外单位网络互联互通时,相关部门应配合网络管理员和网络安全管理员共同制定网络安全防护方案,并报信息管理领导审批。原则上不得在没有任何网络安全防范措施(防火墙、入侵检测等)的情况下直接与外单位互联。
第二十五条 已投入运行的网络系统因业务发展或其他特殊原因确需进行结构及参数调整的,由相关部门提出申请(附录一、网络安全活动授权和审批表),经信息管理领导审批过后,由网络管理员进行变更。
第二十六条 由于业务需求,需要新增或变更网络连接时,相关部门必须提供详细的通讯参数(如端口等),作为实施和变更的依据。
第八章 持续改进
第二十七条 为了保证本规范的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第九章 附 则
第二十八条 本规定由师市总医院信息管理负责制定、解释和修改。
第二十九条 本规定自发布之日起执行。
系统安全管理规定
第一章 总 则
第一条 为加强师市总医院信息系统安全管理,确保系统安全稳定的运行,切实提高工作效率,促进信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》和有关法律、法规的规定,制定本规定。
第二条 师市总医院信息系统安全由通信网络信息管理办公室具体负责管理。
第二章 系统安全规划要求
第三条 系统在投入使用前需要做好前期的规划和设计,除了要满足目前业务需要外还应考虑该业务系统将来的应用需求,使系统具有一定的扩充能力。
第四条 系统服务器操作系统应选用正版软件。
第五条 新系统投入使用前,应对所有组件包括设备、应用进行连通性测试、性能测试、安全性测试,并作详细记录,形成测试报告。
第六条 在新系统测试通过,投入使用前,应删除测试用户和口令,做到用户权限最小化,配置最优化,并及时对系统软件、文件和重要数据进行备份。
第三章 系统运行与维护安全要求
第七条 系统的账号、口令应满足复杂度要求,并定期对口令进行更改。
第八条 严格限制管理员账号和普通账号的使用范围,对于系统管理员的账号要详细登记备案,并定期进行核查。
第九条 严格禁止非本系统管理人员直接进入服务器操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师等)进入服务器进行操作时,必须由本系统管理人员亲自登录,并对操作全过程进行记录备案。
第十条 严禁随意安装、卸载系统组件和驱动程序,如工作确实需要,应得到通信网络信息管理办公室负责人审批,并及时评测可能带来的影响。
第十一条 禁止主机系统上开放具有“写”权限的共享目录,如工作确实需要,优先考虑建立FTP站点,紧急情况下可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享。
第十二条 应严格并且合理地分配服务安装分区或者目录的权限,取消或者修改服务的banner信息,避免让应用服务运行在root或者administrator权限下。
第十三条 应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
第十四条 应启用主机系统的安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;对于重要主机系统,应建立集中的日志管理服务器,实现对重要主机系统日志的统一管理,便于对主机系统日志的审查分析。
第十五条 应及时收集主机操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得通信网络信息管理办公室负责人的审批后,对实际环境实施软件更新或者补丁安装;软件更新或者补丁安装应安排在非业务繁忙时段进行,操作必须由两人以上完成,由一人监督,一人操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案;软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。
第十六条 应订阅CERT (计算机紧急响应小组)公告或其他专业安全机构提供的安全漏洞信息的相关资源,了解任何可能影响网络正常运行的漏洞,提前做好防范。
第十七条 应定期进行安全漏洞扫描和病毒查杀工作,并详细记录扫描结果。重大安全漏洞发布后,应在3个工作日内进行;为了防止安全扫描以及病毒查杀对网络性能造成的影响,扫描应安排在非业务繁忙时段。
第十八条 应定期对所有主机设备进行安全检查,确保各设备运行正常;在发现异常系统进程或者系统进程数量异常变化时,或者CPU利用率,内存占用量等突然异常时,应立即上报电子政务科,并同时采取适当控制措施,并记录备案。
第十九条 当主机系统出现以下现象之一时,应及时进行安全问题的报告和诊断:
(一)系统中出现异常系统进程或者系统进程数量有异常变化;
(二)系统突然不明原因的性能下降;
(三)系统不明原因的重新启动;
(四)系统崩溃,不能正常启动;
(五)系统中出现异常的系统账号;
(六)系统账号口令突然失控;
(七)系统账号权限发生不明变化;
(八)系统出现来源不明的文件;
(九)系统中文件出现不明原因的改动;
(十)系统时钟出现不明原因的改变;
(十一)系统日志中出现非正常时间系统登录,或有不明IP地址的系统登录。
第二十条 系统软件安装之后,应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作。
第四章 数据库系统管理
第二十一条 数据库管理员负责监测数据库运行状况,保障数据库系统安全、稳定运行。
第二十二条 数据库管理员严禁将数据库账号和密码随意透露给他人,密码应满足复杂度要求并定期更改。
第二十三条 数据库管理员应定期备份数据库,在保证数据安全和保密的情况下,采取适当方式保存备份文件,保证数据库出现异常时能快速恢复,避免或尽量减少数据丢失。
第二十四条 如需进行数据库参数调整或业务数据的变更修改,应获得通信网络信息管理办公室负责人的批准,并在修改前先进行数据库备份。
第五章 持续改进
第二十五条 为了保证本规范的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第六章 附 则
第二十六条 本规范由师市总医院信息管理负责制定、解释和修改。
第二十七条 本规范自发布之日起执行。
恶意代码防范管理规定
第一章 工作目标及范围
第一条 为做好师市总医院办公楼内各终端及中心机房信息系统的运维工作,保证网络安全运行,维护良好的办公环境,制定此规定。
第二条 本规定适用于师市总医院办公楼内所有服务器和终端操作系统。
第二章 工作职责
第三条 通信网络信息管理办公室负责师市总医院办公楼内日常恶意代码防范工作。
第三章 工作内容
第四条 各计算机使用人负责本机防病毒客户端的维护和病毒查杀,终端维护员负责支持保障,系统管理员负责所有服务器病毒防治的日常管理工作。
第五条 所有服务器和终端计算机必须安装正版恶意代码防范软件并实时运行,及时对操作系统补丁进行更新。
第六条 非本单位计算机严禁擅自接入厅网络,如因工作需要,须经通信网络信息管理办公室批准和确认。
第七条 凡涉及购入、借入或维修返还的计算机及存储介质,在使用前必须进行恶意代码检查,确保无恶意代码之后才能正式使用。
第八条 通信网络信息管理办公室应加强恶意代码防范意识教育培训,提高干部职工的恶意代码防范意识。
第九条 干部职工在安装使用计算机软件以及从其他渠道获得的电子文件前,必须进行恶意代码检测,禁止安装或使用未经恶意代码检测的计算机软件和电子文件。
第十条 干部职工在打开邮件的附件之前,必须进行恶意代码检测,收到来历不明的邮件时不要打开附件,应确认文件安全或直接删除。
第十一条 系统管理员如非必需,禁止在服务器开启ActiveX插件和控件、JAVA脚本等。
第十二条 系统管理员应定期对主机恶意代码进行检测,做好恶意代码检测记录和恶意代码库升级记录,发现恶意代码后及时处理;并定期对主机防恶意代码产品、防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
第十三条 系统管理员设置好防恶意代码软件的升级策略,确保恶意代码库至少每周自动升级检查,对所有服务器进行扫描,并且对扫描结果进行统计分析,包括计算机病毒种类,文件感染率、计算机病毒处理结果(删除、清除、隔离和不操作)等内容,及时上报分析结果,扫描结果至少保留3个月。
第十四条 各部门计算机出现异常或发现不能清除的恶意代码时,应立即断开网络,并停止使用,同时报通信网络信息管理办公室处理,终端管理员应采取以下措施:
(一)隔离受感染主机:当出现计算机病毒传染迹象时,立即隔离被感染的系统,并进行处理,不应带“毒”继续运行;对于重要服务器,要先确定被感染情况,不要盲目断网;
(二)确定病毒种类特征:采用多种手段确定病毒的类型和传播途径,如查看防病毒软件的报警信息、搜索互联网相关信息和防病毒厂商沟通等途径,对于未知病毒,应尽快提交给有关部门或厂商;
(三)防止扩散:如果出现大面积传播的趋势,要根据病毒的传播形式,采取网络访问控制、内容过滤等手段控制病毒的扩散;
(四)查杀病毒:使用专杀工具对病毒进行查杀,完成后重启计算机,再次用最新升级的防病毒软件检查系统中是否还存在该病毒,并确定被感染破坏的数据是否确实完全恢复;
(五)查找中毒原因,改进和完善防护措施。
第四章 持续改进
第十五条 为了保证本规范的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第五章 附 则
第十六条 本规范由师市总医院信息管理负责制定、解释和修改。
第十七条 本规范自发布之日起执行。
用户密码安全管理制度
第一章 总 则
第一条 为加强师市总医院计算机系统用户密码的管理,提高师市总医院计算机系统用户密码管理规范化、制度化水平,结合师市总医院计算机系统用户密码管理的实际情况,特制定本制度。
第二条 计算机系统用户密码管理的原则如下:
(一)计算机系统各类用户密码实行谁使用、谁负责的管理原则。
(二)计算机系统各类用户密码遵照统一规范、重在意识、技术控制与管理措施相结合的原则进行管理。
第三条 本制度所称计算机系统用户密码是指在登录计算机系统过程中,用于验证用户身份的字符串。计算机系统用户密码主要为静态密码、动态密码等。静态密码一般是指在一段时间内有效,需要用户记忆保管的密码。动态密码一般是指根据动态机制生成的、一次有效的密码。
第四条 本制度包括的计算机系统用户密码主要包括:主机系统(数据库系统)、网络设备、网络安全设备等系统用户密码;应用系统管理员密码;应用系统用户密码;桌面计算机系统用户密码。
第二章 适用范围
第五条 本制度适用于师市总医院所有使用、维护和管理人员及相关第三方人员。
第三章 组织职责
第六条 通信网络信息管理办公室应设立密码管理人员,负责备份和保存重要主机系统、核心网络设备、主要网络安全设备等特权用户密码。
第七条 计算机用户密码持有人负责所持计算机用户密码在使用过程中的保密,负责设置、保存、更换计算机用户密码,负责密码自身的网络安全强度。
第八条 系统管理员、网络和网络安全设备管理员负责启用计算机系统、网络和网络安全设备的密码管理相关功能;负责删除计算机系统、网络和网络安全设备多余用户和密码。
第九条 应用系统管理员负责启用应用系统用户密码管理相关功能;负责删除所辖范围内多余应用系统用户和密码。
第四章 基本网络安全要求
第十条 具有登录计算机系统权限的用户必须设置用户密码或其他验证用户身份的方式,严禁不验证用户身份直接登录信息系统。
第十一条 计算机系统用户密码持有人应保证密码的保密性,不应将密码记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将密码放置在办公桌面或贴在计算机机箱、终端屏幕上,一旦发现或怀疑计算机系统用户密码泄漏,应立即更换。
第十二条 计算机系统用户密码应加密存储计算机系统中,严禁在网络上明文传输计算机系统用户密码,在用户输入密码时,严禁在屏幕上显示密码明文,严禁计算机信息系统输出密码明文(密码信封除外)。
第十三条 任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户密码,盗用他人访问权限,威胁网络安全。
第十四条 计算机系统用户密码应与密码持有人一一对应,可根据用户权限设置不同的用户。
第十五条 应选择使用安全强度较高的密码,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易猜测的计算机系统用户密码。其具体要求如下:
密码最小长度:10位;
密码字符组成复杂度:密码由数字、大小写字母及特殊字符组成;
密码历史:修改后的密码至少与前10次密码不同;
密码最长有效期限建议90 天,可根据系统重要性和用户权限采取不同的有效期。
第十六条 当用户密码持有人岗位调整时,应根据其新的岗位职责,对其用户权限及密码进行及时调整。
第十七条 主机系统特权用户密码,重要网络设备及网络安全设备特权用户密码以及具有修改配置权限用户的密码变更时应设置密码登记簿,记录密码使用相关信息,至少包括:名称、密码更换时间、密码使用人等内容,并存放在保险箱或带密码锁的箱、柜中,由专人负责。
第十八条 如遇特殊情况需启用封存的密码,必须经过通信网络信息管理办公室负责人审批,使用完毕后,须立即更换并封存,同时在密码管理登记簿中登记。对于使用动态密码的系统,各系统管理员必须保护好自己的令牌及PIN码。
第五章 主机与应用系统管理员用户密码
第十九条 主机系统是指所有营业类及管理信息类系统的主机、数据库系统和系统前置机,主机系统管理员密码则包括系统特权用户及一般权限的管理员密码;应用系统管理员用户密码是指用于访问后台应用系统的密码,主要包括特权用户密码和一般权限管理员的密码等。
第二十条 主机系统及应用系统的用户密码网络安全要求应满足第四章规定的密码管理的基本要求。
第二十一条 主机系统、数据库系统及应用系统的管理员密码应根据岗位设置进行保存和管理。
第二十二条 系统特权用户密码应由密码设置人员将密码装入密码信封,在骑缝处盖章或签字后存档并登记。存放在保险箱或带密码锁的箱、柜中,并由专人负责。
第二十三条 主机及应用系统管理员密码应定期更换,系统的密码最长有效期为90天。
第二十四条 变更主机系统及应用系统特权用户密码持有人时,必须更换密码,严禁泄漏特权用户管理员密码。
第二十五条 一般用户的初始密码应由系统管理员进行设置,一般用户应及时进行密码更改,并妥善管理。
第六章 网络/网络安全设备用户密码+4
第二十六条 网络设备、网络安全设备等应启动密码管理相关功能、机制,应满足第四章的密码管理基本网络安全要求,对于原有系统不支持或不具备相关技术功能、机制的,必须建立、完善相应的网络安全管理制度措施,弥补技术机制上的不足。
第二十七条 核心网络设备以及可能涉及机密信息的网络安全设备的特权用户密码应由专人设置与管理,特权用户密码应由密码设置人员将密码装入密码信封,在骑缝处盖章或签字后存档并登记。存放在保险箱或带密码锁的箱、柜中,并由专人负责。
第二十八条 对于分布层及接入层网络设备及一般性网络安全设备等的特权管理员密码可由相应网络设备及网络安全管理员自己保存、管理。
第二十九条 网络设备、网络安全设备等特权用户密码最长有效期为90天。
第三十条 对于网络设备、网络安全设备的用户密码以及具有系统配置权限的用户,可根据实际情况使用动态密码。
第七章 业务系统用户密码
第三十一条 业务系统用户密码是指只用于访问业务系统的用户密码,密码对应的用户为业务系统用户,业务系统用户密码由相应使用人员进行管理。
第三十二条 业务系统用户必须设置密码或使用其他身份认证方式,严禁不验证用户身份访问业务系统(对于信息网站中只浏览网页的用户,可不设置密码)。
第三十三条 业务系统必须提供用户密码更换机制,业务系统代码中不得预留用户密码。
第三十四条 业务系统用户密码应定期更换,密码最长有效期可根据应用系统的重要程度和用户的权限,在满足第四章密码基本网络安全要求的最长有效期范围内确定。
第三十五条 对于一般业务系统的操作员级用户,其密码最长有效期可90天。
第三十六条 对于业务系统的用户密码,可根据实际情况使用动态密码。
第八章 桌面计算机系统用户密码
第三十七条 桌面计算机系统用户密码主要是指工作人员用于日常办公信息处理的计算机系统的用户密码,如台式电脑、笔记本电脑及其他个人计算设备的用户密码。
第三十八条 桌面计算机系统应设置管理员用户密码、屏幕保护密码。
第三十九条 桌面计算机系统管理员用户密码由使用人员负责保存管理、应根据自身网络安全要求更换。
第九章 监督和检查
第四十条 通信网络信息管理办公室应开展对计算机系统用户密码管理的情况进行检查,检查的主要内容包括:岗位和职责情况,密码登记簿登记情况,密码网络安全管理相关功能及其启用情况,多余用户密码删除情况,密码网络安全管理规定的落实和执行情况等。
第四十一条 对于网络安全检查中发现的问题和隐患,各信息系统负责人和使用部门及密码持有人应进行整改。
第十章 持续改进
第四十二条 为了保证本制度的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十一章 附 则
第四十三条 本制度由师市总医院信息管理负责制定、解释和修改。
第四十四条 本制度自发布之日起执行。
系统变更管理规定
第一章 总 则
第一条 为加强师市总医院信息系统变更管理过程的网络安全管理,规范变更操作,降低系统变更风险,特制定本规定。
第二章 适用范围
第二条 本规定适用于师市总医院信息系统管理、使用以及维护部门。
第三章 术语定义
第三条 运行环境是指师市总医院信息系统管理和维护范围内所有正在使用的各类系统以及支持其运行所需的系统、网络、设备、机房基础设施等。
第四条 系统变更是指在信息系统运行环境内所实施的变更,包括对设备、系统、网络、应用软件、系统操作流程等配置及系统参数的更改。
第五条 根据变更的紧急程度分为紧急变更和常规变更。紧急变更是指因生产事件和问题引发或第三方(含监管机构、合作伙伴)要求急需处理的变更。常规变更是指除紧急变更以外的所有变更。
第四章 组织职责
第六条 通信网络信息管理办公室负责受理信息系统变更的申请,以及所有变更的实施。
第七条 相关业务部门根据实际业务需求,提出业务变更申请。
第五章 变更申请
第八条 变更应提出申请(附录一、系统变更申请审批单),审批后方可执行。
第九条 对于非例行计划停机变更,需要事先征得涉及业务部门同意。
第十条 对于常规变更,变更申请时间:提前二个工作日申请。
第十一条 变更申请要根据运行系统中的不同功能点的变更分别提出变更申请,要避免一个变更中涵盖多个系统的变更动作。
第十二条 非正常工作时间需要立即实施的紧急变更,可以使用邮件或电话形式进行申请和审批。
第六章 变更受理
第十三条 通信网络信息管理办公室应及时受理各类系统变更申请,对17:00以后受理的变更申请视同下一个工作日提交的变更申请(紧急变更除外)。
第十四条 对要素填写不全、申请时间不符合要求、描述不清的变更申请,信息管理可以退回变更申请部门。
第七章 变更方案制订
第十五条 通信网络信息管理办公室组织相关人员填写变更实施方案、计划的同时,需要相关部门或人员共同研究、制订评估方案和应急方案。
第十六条 需要由第三方服务商提供变更方案或脚本时,变更申请部门应通过正式渠道(例如邮箱等)向通信网络信息管理办公室提出,由信息管理根据变更内容制定变更方案,变更方案应进行评审(附录二、系统变更方案评审表)。
第十七条 变更实施计划和回退方案应包含以下内容:
(一)变更日期、时间(包括变更实施计划开始时间和结束时间);
(二)变更影响范围和是否影响生产系统业务连续运行;
(三)变更中各部门需要配合和确认的工作,明确变更主要实施人员;
(四)变更实施后的验证方案;
(五)是否完成相关技术培训、操作手册和操作日志的修订;
(六)变更是否涉及配置变更;
(七)变更分析评估方案(包括风险分析、隐患分析等);
(八)变更的具体实施步骤、内容;
(九)变更的回退方案;
(十)变更的应急方案。
第八章 变更审批
第十八条 系统变更由通信网络信息管理办公室进行审批,如涉及多个部门,应由各个部门共同进行审批。
第十九条 变更实施人员填写实施计划时,应明确变更的风险,并由信息系统负责人审批。
第二十条 对于技术方案或审批过程存在异议的变更,由变更实施部门组织协调,必要时提请本部门最终审批人裁定。
第二十一条 对于未被批准的变更,由变更实施部门负责将变更未被批准的具体原因通知变更申请单位。
第二十二条 对业务有可能造成影响的变更,需要在变更实施前通知相关业务部门。
第九章 变更实施
第二十三条 除紧急变更外,对运行系统业务连续运行造成影响的变更,实施时间要避开业务高峰日期和特殊日期。
第二十四条 对于具备测试条件的变更,要在测试环境上进行严格、完整的模拟测试。
第二十五条 应根据变更的情况及时召开协调会,对变更进行通报和协调,进一步明确变更实施的要求和相关配合工作。
第二十六条 系统变更实施前:
(一)变更实施人员需要对变更实施计划进行确认,并做好实施前的准备工作,包括有关操作流程制定、操作日志修改、技术文档整理和操作人员培训等工作;
(二)应根据变更的受理情况,协调相关技术支持人员进行验证。
第二十七条 变更实施的要求:
(一)变更实施人员应确认“变更实施计划、评估、验证、应急和回退方案”;
(二)变更实施过程中,按照变更实施计划的执行时间、环境、顺序、条件等要求执行变更实施计划,严格监控变更实施过程;
(三)变更实施过程必须保证双人操作;
(四)变更实施完成,认真检查现场执行结果,根据变更验证方案对变更后情况进行验证,并将变更实施结果反馈相关部门。
第二十八条 变更实施过程中,如果发生与变更实施计划不相符的意外情况时,在没有找到原因和排除错误的方法时,变更实施人员必须立即报告,由该变更审批人决定是否终止变更,恢复变更实施前的运行环境,并详细记录信息。
第二十九条 变更实施过程中,如果需要启动新的变更或因变更实施计划不周需要调整变更内容,应重新进行变更审批;若因某种原因导致变更失败,必须由实施部门审批人决定是否启动回退方案。
第三十条 对于变更实施后的运行系统,变更实施人员进行跟踪检查和验证,确保变更结果的正确性。
第三十一条 对于涉及客户账户的变更,必须在变更前后对账户进行检查,确保变更实施准确无误。
第三十二条 对于在变更实施过程中出现网络安全事件,应按照网络安全事件管理规定执行。
第十章 变更汇总
第三十三条 变更实施完成后,由变更实施部门向变更申请部门反馈变更实施情况。
第三十四条 对于系统变更,应二个工作日反馈变更申请部门。
第三十五条 如果变更失败,变更实施部门负责分析产生问题的原因、提出改进意见、及时反馈到变更申请的相关部门。
第十一章 持续改进
第三十六条 为了保证本规定的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十二章 附 则
第三十七条 本规定由师市总医院信息管理负责制定、解释和修改。
第三十八条 本规定自发布之日起执行。
数据安全管理规定
第一章 总 则
第一条 为加强数据管理,规范数据备份、保管与抽检、恢复、使用、清理与转存、销毁等行为,确保师市总医院各类数据的完整性、保密性和可用性,特制定本规定。
第二章 适用范围
第二条 本规定适用于师市总医院信息系统管理部门(单位)。
第三章 术语定义
第三条 数据是指计算机系统存储的信息,可按数据类别和数据来源等进行分类。
(一)根据数据类别,数据可分为业务数据(各应用数据库和文件),资源类数据(如日志、版本、操作系统文件、产品库、参数、配置等);
(二)根据数据产生的环境,将数据分为生产数据、测试数据、研发数据和灾备数据。
第四条 数据管理策略是指数据管理的基本规则和约定,包括数据备份策略,数据保管策略,数据抽检方案,数据恢复、清理和转存策略等。
第四章 组织职责
第五条 为保证数据管理的规范化,应设置数据管理人员、数据管理实施人员、数据技术支持人员。
第五章 数据备份
第六条 数据管理人员应牵头组织技术支持人员制定数据备份策略和数据备份操作手册。
第七条 数据的备份包括定期备份和临时备份两种。定期备份指按照规定的日期定期对数据进行备份;临时备份指在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对数据进行备份。
第八条 数据备份策略一般分为:完全备份、增量备份、差异备份。
第九条 数据备份策略的制定应综合系统性能、存储容量、数据量增长速度、业务需求、备份方式、存储介质、存储介质型号、有效期等因素。备份策略的制定应考虑在特殊日、版本升级日增加备份。
第十条 数据管理实施人员要根据操作手册进行备份。备份时,要仔细检查备份作业或备份程序的执行结果,核实目标备份与源备份内容一致,确保备份数据的完整性和正确性。
第十一条 数据管理实施人员应及时记录备份情况,包括备份作业,备份周期、时间、内容、数据保存期限,存储介质型号、介质容量、业务种类、转存情况、异地备份记录、相关变更记录等信息,并进行当日备份的问题记录。
第六章 数据保管和抽检
第十二条 数据管理人员应对本单位保管的各类数据进行汇总管理。
第十三条 数据管理实施人员应编制数据存储介质保管清单,清单内容应包括介质编号、备份内容、备份时间和保留期限等重要信息。采用自动化技术集中管理的备份数据须实现备份数据清单管理的电子化。
第十四条 存放备份数据的介质应具有明确的标识。标识应使用统一的命名规范,注明介质编号、备份内容、备份时间和有效期等。
第十五条 数据管理人员应对数据存储介质的异地存放、运输、交接和抽检等工作制定具体的管理规程。
第十六条 数据管理实施人员要按照数据保存期限,对于到期的数据存储介质应及时进行清理,并将清理后的存储介质转为可用介质。
第十七条 数据管理人员组织制定数据抽检方法,包括抽检频度、验证方式等。
第十八条 数据存储介质的存放和运输应满足网络安全管理的要求,保证存储介质的物理网络安全。备份的核心数据应考虑异地存放,并明确落实异地备份数据的管理职责。
第七章 数据恢复
第十九条 数据管理人员应牵头组织技术支持人员制定数据恢复策略及相关操作手册,供数据管理实施人员使用。
第二十条 数据管理实施人员在进行数据恢复前,应根据情况对所需要恢复的数据进行必要的备份,防止有用数据的丢失。
第二十一条 数据恢复应严格按照操作手册执行,出现异常情况时按照相关办法执行,由相关技术支持人员提供技术支持。
第二十二条 数据恢复后,应进行验证、确认,确保数据恢复的完整性和可用性。
第八章 数据清理和转存
第二十三条 数据管理人员应牵头组织技术支持人员制定数据清理方案。数据清理方案应根据系统性能、运行成本和业务部门对数据使用的要求进行制定,具体包括清理周期、清理内容等。
第二十四条 数据清理前应对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时可用。
第二十五条 数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
第二十六条 数据管理人员和技术支持人员应共同对转存的数据制定合理的转存方案及有效的查询、使用方法,保证数据的完整性和可用性。
第二十七条 需要长期保存的数据,数据管理实施人员应根据转存方案和查询使用方法在介质有效期内进行转存,防止存储介质过期失效。
第二十八条 转存的数据应有详细的文档进行记录,记录信息应包括:介质的编号、存储的内容、存储数据的记录时间、转存日期、保留期限、访问记录和操作、维护人员等。
第九章 数据使用、查询与变更
第二十九条 各类数据不得随意查询、记录、携带、复制、传输、修改、删除。
第三十条 测试环境和研发环境需要使用运行环境的数据时,要采用专用的处理程序进行适当的变形处理。
第三十一条 各部门借用数据备份介质时应严格遵守备份介质借用审批流程,进行审批、登记、交接和归还,并保证备份数据完好无缺。
第三十二条 任何部门和个人发现使用数据的违规行为都有权阻止或举报。
第三十三条 涉及加密环节的重要数据(例如各类密码和密钥、各类校验算法、加/解密算法和参数、终端设备识别算法和参数、身份识别算法和参数等)及其存放介质和技术资料等,应同时按照相关办法严格管理。
第三十四条 外单位人员对存放数据的设备进行维修、维护时,应该由设备管理人员现场全程监督。相关设备或介质需送交外单位维修、维护前,设备管理人员应确认设备或介质内的重要数据已经清除。
第十章 持续改进
第三十五条 为了保证本规定的时效性、可用性,必须根据相关规定进行评审和修订,修订后重新发布。
第十一章 附 则
第三十六条 本规定由师市总医院信息管理负责制定、解释和修改。
第三十七条 本规定自发布之日起执行。
附件1
数据管理流程图(一)
第一条 为进一步增强师市总医院系统干部职工网络安全意识,提升各部门(单位)网络安全管理水平,促进各部门(单位)人员网络安全培训工作的日常化、全员化、制度化,确保各项网络安全工作顺利进行,制定本规定。
医院的具体情况,汇总、协调各部门(单位)的需求,制定自治区师市总医院年度网络安全培训计划。各部门(单位)结合自身情况,制定本部门(单位)的网络安全培训计划,并积极参与师市总医院组织的各项网络安全培训。
培训覆盖各个岗位人员,对信息安全技术和管理相关人员进行安全专业知识和技能培训,对普通用户进行安全基础知识、安全策略和管理制度培训,提高人员的整体安全意识和安全操作水平。
(三)每次网络安全教育和培训结束后,培训的组织者留存相关资料(课件、照片、签到表等),填写《安全培训记录表》(附件1),内容包括培训的时间、地点、内容、培训对象、培训效果等。
为促进我院电子住院病历合理应用与完善,规范电子病历使用行为,维护电子病历实施各方当事人的合法权益,根据《关于印发电子病历应用管理规范(试行)》,《电子病历系统功能规范(试行)》等相关制度的要求,结合我院电子住院病历试运行情况制定本规定,严格依照本规定认真执行,管理内容具体如下:
二、建立电子住院病历前首先需要确定主管科室、专业组、高级职称、中级职称、初级职称等本院医师,无相应职称主管的医师可由上级医师向下代签,但不允许下级医师向上代签;患者转科、交接班后,也需按上述流程重新确认。
三、电子住院病历建立应依照规定的程序进行,初次进行电子住院病历系统必须完成相应的电子住院病历使用培训,培训课程及内容由网络信息管理办公室负责完成,每年需完成包括实习医师培训、新入职员工培训和进修医师培训三部分的内容。
五、根据《电子病历应用管理规范(试行)》第十四条电子病历系统应当对操作人员进行身份识别,并保存历次操作印痕,标记操作时间和操作人员信息,并保证历次操作印痕、标记操作时间和操作人员信息可查询、可追溯。第十五条医务人员采用身份标识登录电子病历系统完成书写、审阅、修改等操作并予以确认后,系统应当显示医务人员姓名及完成时间。第十六条电子病历系统应当设置医务人员书写、审阅、修改的权限和时限。实习医务人员、试用期医务人员记录的病历,应当由具有本医疗机构执业资格的上级医务人员审阅、修改并予以确认。上级医务人员审阅、修改确认电子病历内容时,电子病历系统应当进行身份识别、保存历次操作痕迹、标记准确的操作时间和操作人员信息。
六、《病历应用管理规范(试行)》第二十条 电子病历系统应当设置病历查阅权限,并保证医务人员查阅病历的需要,能够及时提供并完整呈现该患者的电子病历资料。呈现的电子病历应当显示患者个人信息、诊疗记录、记录时间及记录人员、上级审核人员的姓名等。第二十一条 医疗机构应当为申请人提供电子病历的复制服务。医疗机构可以提供电子版或打印版病历。复制的电子病历文档应当可供独立读取,打印的电子病历纸质版应当加盖医疗机构病历管理专用章。第二十二条 有条件的医疗机构可以为患者提供医学影像检查图像、手术录像、介入操作录像等电子资料复制服务。
七、根据《电子病历用用管理规定》第四章第二十条管理规定 电子病历系统应当设置病历查阅权限,并保证医务人员查阅病历的需要,能够及时提供并完整呈现该患者的电子病历资料。呈现的电子病历应当显示患者个人信息、诊疗记录、记录时间及记录人员、上级审核人员的姓名等。
为促进我院电子住院病历合理存储和传输,规范电子病历使用行为,维护数据真实性,可靠性,根据《关于印发电子病历应用管理规范(试行)》,《医疗机构病历管理规定》等相关制度的要求,结合我院电子住院病历试运行情况制定本规定,严格依照本规定认真执行,管理制度内容具体如下:
四、根据《电子病历应用管理规范》第二十五条 封存后电子病历的原件可以继续使用。电子病历尚未完成,需要封存时,可以对已完成的电子病历先行封存,当医务人员按照规定完成后,再对新完成部分进行封存。
六、《医疗机构病历管理规定》第三章第十二条,第十三 条规定电子病历系统进行病历书写时,应当遵循客观、真实、准确、及时、完整、规范的原则,并确保患者基本信息及其医疗记录的真实性、一致性、连续性、完整性。
七、《医疗机构病历管理规定》第三章第十七条在患者门(急)诊就诊结束或出院后,适时将电子病历转为归档状态。电子病历归档后原则上不得修改,特殊情况下确需修改的,经医疗机构医务部门批准后进行修改并保留修改痕迹。
八、《医疗机构病历管理规定》第三章第十九门(急)诊电子病历保存时间自患者最后一次就诊之日起不少于15年;住院电子病历保存时间自患者最后一次出院之日起不少于30年。
