信息安全与保密管理规定
为了保护我院信息安全,为了保护患者信息,防止计算机失泄密问题的发生,为了加强医院信息系统的领导和管理,促进医院信息化工程的应用和发展,保障系统有序运行, 根据卫生部医管司修订《医院工作制度与人员岗位职责》,信息安全等级保护管理办法(公通字[2007]43号)结合我院实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在我院计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
(2)接入本院网络的计算机严禁将计算机设定为网络共享,严禁将文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入本院网络的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将文件存放在网络共享硬盘上。 (5)保密级别材料可通过本院内网OA软件,严禁院内材料通过电子信箱、QQ等网上传递和报送。
(6)计算机严禁直接或间接连接外网和其他公共信息网络,必须实行物理隔离。
(7)要坚持“谁上网,谁负责”的原则,信息上网必须经过信息科及主管院长审查,并经主管院长批准。
(8)外网必须与涉密计算机系统实行物理隔离。
(9)在与外网相连的信息设备上不得存储、处理和传输任何涉密信息。 (10)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
二、计算机维修维护管理规定
(1)计算机和存储介质发生故障时,应当向信息科提出维修申请,经批准后到指定维修地点修理,一般应当由信息科人员实施,须由外部人员到现场维修时,整个过程应当有信息科人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的信息,维修后应当进行检查。
(2)信息科应将本院所属科室设备的故障现象、故障原因记录在设备的维修档案记录本上。
(3)凡需外送修理的设备,必须经信息科和主管领导批准,并将文件进行不可恢复性删除处理后方可实施。
(4) 如不能保证安全保密,应当办理审批手续,由专人负责送到信息科予以销毁。
(5)由信息科工作人员负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
(6)计算机的报废由信息科专人负责。
三、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有计算机所使用的密码。
(2)计算机的密码管理由信息科负责,计算机的密码管理由使用人负责。 (3)用户密码使用规定
1)密码必须由数字、字符和特殊字符组成;
2)计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
3)计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
4)计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。 (4)密码的保存 1)计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示信息科工作人员认可;
2)计算机设置的用户密码须登记造册,并将密码本存放于文件柜内,由信息科管理。
四、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
(3)各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
(4)电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
(5)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
(6)各院内科室自用信息资料由本部门管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
(7)各部门要对备份电子文件进行规范的登记管理。每周做增量备份,每月做全量备份;备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
(8)涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
(9)备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
五、涉密计算机系统病毒防治管理规定
(1)涉密计算机必须安装经过信息科许可的查、杀病毒软件。 (2)每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本,同时将升级记录登记备案。
(3)绝对禁止计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
(4)每周对计算机、服务器病毒进行一次查、杀检查,并将查、杀结果登记造册。
(5)计算机、服务器应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
(6)对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
(7)对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
六、上网发布信息保密规定
(1)上网信息的保密管理坚持“谁发布谁负责”的原则。凡向外网站点提供或发布信息,必须经过信息科审查,报主管院长批准。提供信息的部门应当按照一定的工作程序,健全信息审批制度。
(2)凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。凡对网上信息进行扩充或更新,应当认真执行信息审核制度。
