醫院網絡信息安全等級保護制度

時間：2023-09-25 18:31:08 飛宇制度我要投稿

相關推薦

醫院網絡信息安全等級保護制度（通用8篇）

　　在現在社會，制度使用的頻率越來越高，制度是指一定的規格或法令禮俗。制度到底怎么擬定才合適呢？以下是小編整理的醫院網絡信息安全等級保護制度，希望能夠幫助到大家。

醫院網絡信息安全等級保護制度（通用8篇）

　　醫院網絡信息安全等級保護制度 1

　　一、用戶管理制度:

　　1、信息科不得向任何人透漏員工的賬號和密碼。

　　2、醫院員工對本人賬號和密碼必須遵守以下規定:

　　(1)新員工憑人事科報到單，到信息科配置賬號和密碼;員工離院時:到信息科注銷賬號和密碼;人事科憑信息科“已注消賬號和密碼”的依據同意員工調出或離院;財務科憑信息科“已注消賬號和密碼”的依據結付相關費用。

　　(2)員工不得將本人的賬號和密碼告訴其他人或寫在任何其他人可得到的書面資料上，并每隔60天定期修改密.碼，對有疑問的密碼應及時修改。

　　(3)任何人員不得使用他人的賬號和密碼，也不得將工作范圍內可接觸到的數據告訴其他任何未經授權的人員，并在離開終端時及時退出計算機系統。

　　(4)密碼可以是字母與數字的組合。

　　二、系統操作分級管理制度

　　1、本院系統管理首先確定為管理對象重要級別。從1-3級別區分，以一級為最高等級。不同的級別制定相應的密碼權限安全管理方案。

　　2、一級設備為主數據庫服務器和核心網絡設備。這些設備的密碼保存人為信息科主任與服務器管理員。所能操作人員僅限于服務器最高權限的.管理員。采取統一入口管理。對于一些重大操作，必須有文字記錄。

　　3、二級設備主要是普通服務器、接入交換機和數據庫密碼。密碼保存人為信息科主任與信息科工作人員。對于一些重大操作，必須有文字記錄。

　　4、三級設備為安裝在各使用部門的電腦，密碼由相關科室設備負責人自行保管。

　　5、對于設備具體分級細則，在遵循以上原則的情況下，細節由信息科內部協商判斷而制定。

　　6、對于密碼，數據泄露，造成業務中斷，或相關私密數據泄露。將臨時通過技術手段保護與監控相應設備。待問題解決后。整理所有相關數據整理后，上報醫院存檔。

　　三、網絡運行監控、防病毒防入侵、桌面管理措施

　　1、為了保護我院數據與網絡的安全，保證網絡的正常運行，促進網絡更好的應用和發展，制定本制度。

　　2、利用防火墻將內部網絡、Internet外部網絡、DMZ服務區、安全監控與備份中心進行有效隔離，避免與外部網絡直接通信。

　　3、利用防火墻建立網絡各終端和服務器的安全保護措施，保證系統安全。

　　4、利用防火墻對來自外網的服務請求進行控制，使非法訪問在到達主機前被拒絕。

　　5、利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內。

　　6、利用防火墻全面監視對服務器的訪問，及時發現和阻止非法操作。

　　7、利用防火墻及服務器.上的審計記錄，形成一個完善的審計體系，建立第二條防線。

　　8、根據需要設置流量控制規則，實現網絡流量控制，并設置基于時間段的訪問控制。

　　9、對網絡邊界點的數據進行檢測，防止黑客的入侵;

　　10、對服務器的數據流量進行檢測，防止入侵者的蓄意破壞和篡改;

　　11、監視內部用戶和系統的運行狀況，查找非法用戶和合法用戶的越權操作;

　　12、對用戶的非正常活動進行統計分析，發現入侵行為的規律;

　　13、實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻/系統聯動;

　　14、對關鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。

　　15、進行統一的安全策略管理和集中的防病毒監控。安裝防病毒系統，支持在Windows7和MS Exchange等各種主流系統上實現防病毒保護，實時監視系統病毒活動全面查殺病毒、蠕蟲、木馬、惡意Java/ActiveX程序等，提供靈活多樣的病毒修復和處理方法，其病毒檢測處理技術處于業界領先地位。

　　16、內外網物理隔離，在內網客戶端上，禁止使用USB存儲.設備。

　　醫院網絡信息安全等級保護制度 2

　　一、工作目標

　　依據國家信息安全等級保護制度，遵循相關標準規范，在我院全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力，為我院衛生信息化健康發展提供可靠保障，全面維護公共利益、社會秩序和國家安全。

　　二、工作原則

　　(一)遵循標準，重點保護。遵循國家信息安全等級保護相關標準規范，結合衛生行業信息系統特點以及我院實際情況，優先保護重要衛生信息系統，優先滿足重點信息安全需求。

　　(二)行業指導，明確責任。我院嚴格按照國家信息安全等級保護制度有關要求，貫徹落實本院衛生信息系統安全等級保護的指導和管理工作。按照上級要求，制定“誰主管、誰負責，誰運營、誰負責”的責任制度，落實信息安全責任。

　　(三)同步建設，動態完善。在信息系統規劃設計與建設過程中，同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用范圍等條件改變導致安全需求發生變化時，應當重新調整信息系統安全保護等級，及時完善安全保障措施。

　　三、工作機制

　　在分管院長、院辦主任的領導下，由我院信息中心落實本院衛生信息安全等級保護工作，負責對我院衛生行業信息安全等級保護工作的組織協調、監督指導，積極開展信息安全等級保護工作。按照上級相關要求，我院建立信息安全等級保護工作聯絡員機制，設置信息安全等級保護工作聯絡員。聯絡員職責是落實國家信息安全等級保護工作的有關政策和技術標準，掌握本院信息安全等級保護工作動態和總體情況，代表我院與衛生行政部門]以及信息安全等級保護管理部門進行日常聯系和交流，協調落實本院信息安全等級保護工作。

　　四、工作任務

　　(一)定級備案

　　1.我院對本單位建設與運營的衛生信息系統進行自查，對未定級、定級不準的信息系統，應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。國家信息安全等級保護制度將信息安全保護等級分為五級:第-級為自主保護級，第二級為指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級。我院重要衛生信息系統安全保護等級原則上不低于第三級。

　　2.擬定為第三級以上(含第三級)的衛生信息系統，應當經信息安全技術專家.委員會論證、評審。

　　3.確定信息系統安全保護等級后，對第二級以上(含第二級)信息系統，應當報屬地公安機關及衛生行政部門備案。跨省全國聯網運行并由衛生部定級的信息系統，由衛生部報公安部備案:在各地運行、應用的分支系統，應當報屬地公安機關備案。

　　(二)建設與整改。

　　1.對已確定安全保護等級的第二級以上(含第二級)衛生信息系統,應當按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準，開展安全保護現狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。

　　2.根據信息系統安全保護現狀分析結果，按照《信息安全技術信息系統安全等級保護基本要求》.《信息安全技術信息系統等級保護安全設計技術要求》等國家標準，制訂信息系統安全等級保護建設整改方案。第三級以上(含第三級)衛生信息系統安全建設整改方案應當經信息安全技術專家委員會論證。

　　3.本院應當按照信息系統安全建設整改方案，完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術防護體系和信息安全管理體系，有效保障衛生信息系統安全。

　　(三)等級測評。

　　1.系統建設整改工作完成后，應當按照《信息安全等級保護管理辦法》要求，從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構，對第三級以上(含第三級)衛生信息系統進行等級測評。

　　2.測評合格后，應當將測評報告報屬地公安機關及衛生行政部門備案。

　　3.應當每年對第三級以上(含第三級)衛生信息系統進行等級測評。對于重要部門的'第二級信息系統，可參照上述要求進行等級測評。

　　(四)宣傳培訓。

　　1.我院信息中心對本院相關部門開展等級保護政策和標準規范培訓，提高本院信息安全管理人員的技術能力和管理水平。

　　2.本院應當開展內部信息安全培訓，提升全員信息安全意識，規范信息安全操作行為，提高信息安全保障能力。

　　(五)接受監督檢查。

　　1.衛生部信息化工作領導小組負責督導檢查各地醫療衛生機構信息安全等級保護工作落實情況，并督促部機關重要信息系統責任單位開展信息安全等級保護工作。

　　2.省級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況，并督促本單位開展信息安全等級保護工作。

　　五、工作要求

　　(一)高度重視，加強領導。本院各部門要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。主要負責同志要負總責，分管負責同志要具體抓，明確職責與任務，突出重點，將信息安全等級保護工作列入重要議事8程和工作績效考核指標，--級抓一級，層層抓落實。

　　(二)保障經費，加強監管。要建立經費投入機制，將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算，并加強對資金使用的監管。

　　(三)加強溝通，密切合作。信息中心高度重視醫院信息安全等級保護管理工作，應當加強與各級衛生行政部門的溝通交流，建立協作機制，在信息安全等級保護工作中的定級備案、建設整改、等級測評、監督檢查等環節密切合作，共同推進信息安全等級保護工作。

　　醫院網絡信息安全等級保護制度 3

　　醫院網絡信息安全管理制度的維護和評估是保障醫院網絡信息安全的重要手段，通過對醫院網絡信息安全管理制度的定期評估和維護，可以及時發現和解決存在的問題和風險。下面從兩個方面，對醫院網絡信息安全管理制度的維護和評估進行分析。

　　1、定期更新醫院網絡信息安全管理制度，隨著信息化建設和技術更新的發展，醫院網絡信息安全管理制度也需要不斷更新，定期修訂制度，保證其符合實際情況和應對新型風險的需要。

　　2、定期進行安全漏洞掃描和風險評估，對醫院網絡信息進行全面監測和審核，定期進行安全性評估和漏洞掃描，及時發現安全隱患和風險。

　　3、定期組織培訓和考核，對醫院網絡信息安全管理制度的制定和實施進行培訓和考核，提高員工的意識和保護意識，確保醫院網絡信息安全管理制度的順利實施和維護。

　　4、定期進行安全性評估和漏洞掃描，對醫院網絡信息的安全性和完整性進行評估和檢查，發現安全隱患和漏洞，并及時采取措施進行處理。

　　5、定期進行安全意識調研和評估，對醫院內部人員和外部人員的安全意識進行調研和評估，掌握安全意識的變化和提升情況。

　　6、定期進行安全檢查和審計，對醫院網絡信息的使用、存儲、復制等流程進行檢查和審計，確保醫院網絡信息安全管理制度的`實施和執行。

　　通過對醫院網絡信息安全管理制度的維護和評估，能夠及時發現和解決存在的問題，提高醫院網絡信息安全管理的效果，保證醫院網絡信息安全的穩定和可靠。

　　醫院網絡信息安全等級保護制度 4

　　醫院網絡信息安全管理制度需要制定具體的實施方案。下面分為四個方面，提出相應的實施方案。

　　一、信息管理

　　1、建立詳細的信息分類管理制度，明確信息的安全級別和保密措施。

　　2、規定信息的使用、復制、存儲等流程，定期進行信息備份。

　　3、提供遠程訪問和在線咨詢等技術支持工具，確保信息的可用性。

　　二、網絡管理

　　1、定期更新網絡設備，加強內部網絡的安全性，建立外網和內網的防火墻。

　　2、對外部網絡攻擊進行監控和應對，建立安全事件響應機制。

　　3、建立訪問控制機制和應用層防御機制，提高網絡安全性。

　　三、人員管理

　　1、建立標準化的權限管理制度，對醫院內部人員和外部人員進行權限管理。

　　2、建立日志管理機制，對訪問醫院網絡的人員進行日志記錄和監控。

　　3、進行安全意識培訓，提高人員的信息安全意識和保護意識。

　　四、應急處理

　　1、建立安全事件響應機制，制定應急預案和危機處理預案。

　　2、定期進行安全演練和應急處理演習，提高應對能力和處理效率。

　　3、在安全事件發生時，進行事故調查和記錄，及時進行處理和申報。

　　以上是對醫院網絡信息安全管理制度實施方案的相關介紹，通過建立規范化的.管理制度和科學化的實施方案，可以保障醫院網絡信息的安全性和完整性，降低信息泄露和黑客攻擊的風險。

　　醫院網絡信息安全等級保護制度 5

　　隨著醫院信息化建設的深入推進，醫院網絡信息安全越來越受到重視。醫院網絡信息安全不僅涉及到病人的隱私信息，還關系到醫院的管理和運營，一旦出現信息泄露、安全漏洞等問題，將會對醫院造成嚴重的損失。因此，建立醫院網絡信息安全管理制度至關重要。

　　醫院網絡信息安全管理制度的定義醫院網絡信息安全管理制度是指針對醫院網絡信息的保密、完整性、可用性等方面的管理制度，包括技術措施和管理措施。通過制定醫院網絡信息安全管理制度，可以保障醫院網絡信息的安全，減少信息泄露和黑客攻擊的風險。

　　1、信息管理：對醫院各類信息進行分類管理，明確信息的安全級別和保密措施，規定信息的使用、復制、存儲等流程。

　　2、網絡管理：建立完善的網絡設備管理制度，加強內部網絡的安全性，對外部網絡攻擊進行監控和應對。

　　3、人員管理：對醫院內部人員和外部人員進行權限管理，確保只有具有權限的人員才能訪問和使用相關信息。

　　4、應急處理：建立響應機制，及時處置網絡安全事件，減少損失和影響。

　　5、技術支持：針對醫院網絡信息安全技術的需求，提供相應的技術支持和培訓。

　　6、內部宣傳：對醫院內部人員進行信息安全意識的培訓和宣傳，提高員工對信息安全的'認知和保護意識。

　　7、審核監測：對醫院網絡信息進行實時監測和審查，發現安全隱患應及時進行處理。

　　8、安全檢測：定期進行安全性評估和漏洞掃描，確保醫院網絡安全。

　　9、管理強制：對違反醫院網絡信息安全管理制度的人員進行相應的處理，加大管理力度。

　　10、保障信息安全：通過建立科學規范的管理制度，能夠有效保護醫院網絡信息的安全性和完整性。

　　11、減少漏洞風險：對醫院網絡信息進行全面的監測和審核，能夠及時發現隱患，減少漏洞的風險。

　　12、提高工作效率：通過規范和標準化的信息管理流程，能夠有效提高工作效率和工作質量。

　　總之，建立醫院網絡信息安全管理制度是醫院信息化建設中不可或缺的一環，只有從制度上保障醫院網絡信息的安全，才能更好的推進醫院信息化建設，提高醫院服務質量和患者滿意度。

　　醫院網絡信息安全等級保護制度 6

　　基本要求

　　1.醫療機構應當建立患者診療信息保護制度，使用患者診療信息應當遵循合法、依規、正當、必要的原則，不得出售或擅自向他人或其他機構提供患者診療信息。

　　2.醫療機構應當建立員工授權管理制度，明確員工的患者診療信息使用權限和相關責任。醫療機構應當為員工使用患者診療信息提供便利和安全保障，因個人授權信息保管不當造成的不良后果由被授權人承擔。

　　3.醫療機構應當不斷提升患者診療信息安全防護水平，防止信息泄露、毀損、丟失。定期開展患者診療信息安全自查工作，建立患者診療信息系統安全事故責任管理、追溯機制。在發生或者可能發生患者診療信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定向有關部門報告。

　　實施細則

　　1. 醫療機構應當建立患者診療信息保護制度：

　　（1）患者診療信息是指醫療機構在提供醫療服務過程中產生的，以一定形式記錄、保存的信息以及其他與醫療衛生服務有關的信息，包括患者的個人基本信息、掛號信息、就診信息、住院醫囑信息、費用信息、影像資料和檢驗結果等各種臨床和相關內容組成的患者信息群集。

　　（2）診療信息保護制度應包括獲取制度、修改制度和安全保障制度。

　　①獲取制度原則包括獲取行為的界定,例如：報銷、外院就診、案件審理、臨床研究等；個人獲取流程和必需材料；政府或社會組織獲取流程和依據材料。

　　②修改制度原則包括患者個人信息修改流程和醫務人員醫囑、診斷等敏感信息修改流程。

　　③安全保障制度原則包括任何患者的所有電子信息資料在未經主管領導的批準下只許在醫療機構內部管理，不得轉出；患者資料通過分級權限管理保護及診治；未經患者本人的許可，不得將其疾病及相關隱私信息傳播給他人。

　　2.醫療機構應當建立員工授權管理制度，明確員工的患者診療信息使用權限和相關責任。

　　（1）員工授權管理制度應包括內部人員授權管理制度、外包人員授權管理制度和授權變更管理制度。

　　（2）醫院信息系統相關的所有授權和審批事項的制度，必須明確各授權和審批的部門和責任人。信息安全管理各環節的流程中授權

　　和審批部分均需按照本授權和審批事項的制度執行。

　　（3）內部人員授權管理由醫療機構信息安全領導小組主導并起始，實施按層級分級授權和負責制度。

　　（4）外包人員授權管理應由醫療機構信息安全工作小組組長授權，并按層級和部門崗位予以授權，并向授權方負責。沒有經過正式授權的臨時信息系統維護需求，可由信息安全工作小組組長臨時授權同意后補充授權記錄。

　　（5）重點加強對被授權者及其訪問權限操作行為的`合規性進行監管，評估與記錄在案：

　　①建立與完善記錄操作日志，記錄一定周期內的行為日志，通過軟件系統逐一識別，確定操作行為的合規性；

　　②建立操作系統識別庫，對于不屬于識別庫行為，系統要給予報警，直至下調授權等次或中止授權。

　　3. 醫療機構應當不斷提升患者診療信息安全防護水平，防止信息泄露、毀損、丟失。

　　（1）醫療機構應按照信息安全等級要求，建立嚴格的信息分級安全管理系統和配套工作制度。

　　（2）應建立嚴格的信息分級授權制度體系并常態化運行。

　　（3）授權審批應嚴格根據工作崗位和工作內容而定。

　　（4）建立主數據雙備份制度。對醫療信息均要求保存備份數據和數據表，并保持良好的兼容互通。

　　4.發生或可能發生患者診療信息泄露事件時，應急處置基本原則

　　要求以下幾點：

　　（1）泄密發現人員在第一時間先就泄密事件本身保密；

　　（2）如已掌握涉密情況，則選擇具有相應涉密級別的人員進行報告或直接報告醫院信息安全領導小組組長；

　　（3）如未掌握涉密情況，應向上一級信息安全主管報告；

　　（4）處置過程保密。

　　5.醫療機構要建立患者診療信息安全事故責任追溯機制。

　　（1）根據信息安全分級授權和信息分級保護要求，信息安全事故責任須進行逐級追溯。

　　（2）根據隱私泄露溯源應從最終數據應用者向個人數據源頭搜尋的原則，建立溯源技術標準體系、患者診療數據使用登記制度、溯源監管制度和溯源獎懲制度。

　　（3）溯源技術標準體系主要為實現技術可行性。患者診療數據使用登記制度為實現數據跟蹤和溯源有跡可循。溯源監管和獎懲制度主要是強化溯源機制的威懾與強制作用。

　　6.醫療機構實施軟件安全管理，應從以下四個方面進行管理，但不限于此：

　　（1）醫療機構臨床信息系統軟件的管理和維護，應由本機構計算機信息系統的專職管理員負責實施日常的管理和維護。

　　（2）若由開發該軟件的公司負責維護的醫療機構，各科室應向計算機信息系統專職管理員書面報告每次維護的情況并備案。

　　（3）由各科室自行開發或應用新的軟件、上級或政府職能部門指定統一使用的，均必須按照規定的程序申報，經醫院信息安全管理組織討論批準后方可應用。

　　（4）為了防止計算機信息系統被病毒感染或者擴散病毒，任何個人及部門科室均不得自行使用殺毒的軟盤、光盤、U盤等儲存介質。

　　醫院網絡信息安全等級保護制度 7

　　一、計算機安全管理

　　1、醫院計算機操作人員必須按照計算機正確的使用方法操作計算機系統。嚴禁暴力使用計算機或蓄意破壞計算機軟硬件。

　　2、未經許可，不得擅自拆裝計算機硬件系統，若須拆裝，則通知信息科技術人員進行。

　　3、計算機的軟件安裝和卸載工作必須由信息科技術人員進行。

　　4、計算機的使用必須由其合法授權者使用，未經授權不得使用。

　　5、醫院計算機僅限于醫院內部工作使用，原則上不許接入互聯網。因工作需要接入互聯網的，需書面向醫務科提出申請，經簽字批準后交信息科負責接入。接入互聯網的計算機必須安裝正版的反病毒軟件。并保證反病毒軟件實時升級。

　　6、醫院任何科室如發現或懷疑有計算機病毒侵入，應立即斷開網絡，同時通知信息科技術人員負責處理。信息科應采取措施清除，并向主管院領導報告備案。

　　7、醫院計算機內不得安裝游戲、即時通訊等與工作無關的軟件，盡量不在院內計算機上使用來歷不明的移動存儲工具。

　　二、網絡使用人員行為規范

　　1、不得在醫院網絡中制作、復制、查閱和傳播國家法律、法規所禁止的信息。

　　2、不得在醫院網絡中進行國家相關法律法規所禁止的活動。

　　3、未經允許，不得擅自修改計算機中與網絡有關的設置。

　　4、未經允許，不得私自添加、刪除與醫院網絡有關的軟件。

　　5、未經允許，不得進入醫院網絡或者使用醫院網絡資源。

　　6、未經允許，不得對醫院網絡功能進行刪除、修改或者增加。

　　7、未經允許，不得對醫院網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加。

　　8、不得故意制作、傳播計算機病毒等破壞性程序。

　　9、不得進行其他危害醫院網絡安全及正常運行的活動。

　　三、網絡硬件的管理網絡硬件包括服務器

　　路由器、交換機、通信線路、不間斷供電設備、機柜、配線架、信息點模塊等提供網絡服務的設施及設備。

　　1、各職能部門、各科室應妥善保管安置在本部門的.網絡設備、設施及通信。

　　2、不得破壞網絡設備、設施及通信線路。由于事故原因造成的網絡連接中斷的，應根據其情節輕重予以處罰或賠償。

　　3、未經允許，不得中斷網絡設備及設施的供電線路。因生產原因必須停電的，應提前通知網絡管理人員。

　　4、不得擅自挪動、轉移、增加、安裝、拆卸網絡設施及設備。特殊情況應提前通知網絡管理人員，在得到允許后方可實施。

　　四、軟件及信息安全

　　1、計算機及外設所配軟件及驅動程序交網絡管理人員保管，以便統一維護和管理。

　　2、管理系統軟件由網絡管理人員按使用范圍進行安裝，其他任何人不得安裝、復制、傳播此類軟件。

　　3、網絡資源及網絡信息的使用權限由網絡管理人員按醫院的有關規定予以分配，任何人不得擅自超越權限使用網絡資源及網絡信息。

　　4、網絡的使用人員應妥善保管各自的密碼及身份認證文件，不得將密碼及身份認證文件交與他人使用。

　　5、任何人不得將含有醫院信息的計算機或各種存儲介質交與無關人員。更不得利用醫院數據信息獲取不正當利益。

　　醫院網絡信息安全等級保護制度 8

　　安全生產是企業的頭等大事，必須堅持“安全第一，預防為主”的方針和群防群治制度，認真貫徹落實安全管理制度，切實加強安全管理，保證職工在生產過程中的安全與健康。根據國家和省有關法規、規定和文件，制定本企業信息安全管理制度。

　　一、計算機設備安全管理制度

　　計算機不同于其他辦公設備，其實用性、嚴密性、操作技術性強，含量高、部件易受損；特別是聯網計算機，開放性程度比較高，電腦內部易受外界的偷窺、攻擊和病毒感染。為確保計算機軟、硬件及網絡的正常使用，特制定本制度。

　　1、公司內所有計算機歸網絡部統一管理，配備計算機的員工只負責使用操作；

　　2、計算機管理涉及的范圍：

　　2.1所有硬件（包括外接設備）及網絡聯接線路；

　　2.2計算機及網絡故障的排除；

　　2.3計算機及網絡的維護與維修；

　　2.4操作系統的管理；

　　3、公司內所有計算機使用人員均為計算機操作員；

　　4、網絡維護部負責對公司內所有計算機進行定期檢查，一般每兩月進行一次；

　　5、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境，禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。

　　6、非本單位技術人員對我單位的設備、系統等進行維修、維護時，必須由本單位相關技術人員現場全程監督。計算機設備送外維修，須經有關部門負責人批準。

　　7、嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口，計算機出現故障時應及時向電腦負責部門報告，不允許私自處理或找非本單位技術人員進行維修及操作。

　　二、操作員安全管理制度

　　1、計算機原則上由專人負責操作維護，不得串用設備。下班后必須按程序關閉主機和其他設備，切斷電源。

　　2、為保證計算機信息安全，必須為計算機設置密碼。

　　3、計算機操作員除使用操作計算機外，不允許有以下行為：

　　3.1硬件設備出現故障擅自拆開主機機箱蓋板；

　　3.2更換計算機配件（如鼠標、鍵盤、耳麥）；如有向網絡管理員寫設備申請單審批。

　　3.3刪除計算機操作系統及公司指定的軟件；

　　3.4使用帶病毒的計算機軟件；

　　3.5讓外來人員進行有損于計算機的技術性操作；

　　4、不得使用來路不明或未經殺毒的盤片。計算機操作員定期對計算機進行殺毒。如發現計算機有病毒時，應及時清除，清除不了的病毒，要及時上報。

　　5、個人的公司重要文檔、資料和數據保存時必須將資料儲存在除操作系統外的其它磁盤空間，嚴禁將重要文件存放于桌面或C盤下。

　　6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作，不準上網與工作無關的聊天、玩電腦游戲、看影視、聽音樂，迅雷下載等，

　　7、電腦及網絡設備所在環境應保持清潔、衛生、通風，注意防塵、防潮、防火。

　　8、公司所有計算機使用者，不得破壞網管員對計算機的安全設置。包括用戶使用權限。

　　9、除服務器外，其他所有計算機下班后必須關機并切斷電源；

　　10、計算機使用者離職時必須由網絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統管理帳戶密碼和資料未破壞、個人帳戶密碼清除后方可辦理離職手續。

　　11、如工作人員不按規定操作，造成不良后果的，將按有關規定，由操作者承擔相應責任，并追究科室負責人的有關責任。

　　12、操作員設置與管理

　　（1）網絡管理員管理操作權限必須經過公司領導授權取得；根據不同部門的要求及崗位職責而設置；

　　（2）網絡管理員負責故障恢復等管理及維護，必須有其上級授權；不得使用他人操作代碼進行業務操作；

　　三、密碼與權限安全管理制度

　　1、密碼設置應具有安全性、保密性，不能使用簡單的代碼和標記。密碼是保護系統和數據安全的控制代碼，也是保護用戶自身權益的控制代碼。密碼分設為用戶密碼和操作密碼，用戶密碼是登陸系統時所設的密碼，操作密碼是進入各應用系統的`操作員密碼。密碼設置不應是名字、生日，重復、順序、規律數字等容易猜測的數字和字符串；

　　2、密碼應定期修改，間隔時間不得超過一個月，如發現或懷疑密碼遺失或泄漏應立即修改，并在相應登記簿記錄用戶名、修改時間、修改人等內容。

　　3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人（不參與系統開發和維護的人員）設置和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經過相關部門負責人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時在“密碼管理登記簿”中登記。

　　4、系統維護用戶的密碼應至少由兩人共同設置、保管和使用管理制度。

　　5、有關密碼授權工作人員調離崗位，有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除，同時在“密碼管理登記簿”中登記。

　　四、數據安全管理制度

　　1、存放備份數據的介質必須具有明確的標識。備份數據必須異地存放。

　　2、注意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理，保證存儲介質的物理安全。

　　3、任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批，以保證備份數據安全完整。

　　4、數據恢復前，必須對原環境的數據進行備份，防止有用數據的丟失。數據恢復過程中，出現問題時由技術部門進行現場技術支持。數據恢復后，必須進行驗證、確認，確保數據恢復的完整性和可用性。

　　5、數據清理前必須對數據進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數據要進行定期保存或永久保存，并確保可以隨時使用。數據清理的實施應避開業務高峰期，避免對聯機業務運行造成影響。

　　6、需要長期保存的數據，數據管理部門需與相關部門制定轉存，根據轉存和查詢使用方法要在介質有效期內進行轉存，防止存儲介質過期失效，通過有效的查詢、使用方法保證數據的完整性和可用性。

　　7、非本單位技術人員對本公司的設備、系統等進行維修、維護時，必須由本公司相關技術人員現場全程監督。計算機設備送外維修，須經設備管理機構負責人批準。送修前，需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除，并進行登記。對修復的設備，設備維修人員應對設備進行驗收、病毒檢測。

　　8、管理部門應對報廢設備中存有的程序、數據資料進行備份后清除，并妥善處理廢棄無用的資料和介質，防止泄密。

　　9、運行維護部門需指定專人負責計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，經常進行計算機病毒檢查，發現病毒及時清除。