为加强医院信息系统安全管理，结合医院实际情况，制定本制度。

1.信息系统包括：与医院工作有关的各种信息系统及相关软硬件、网络设备、数据等。

2.计算机室负责医院信息系统安全管理，机房实行24小时值班制，值班人员定时巡检，观察核心层设备运行情况，预防系统故障发生。

3.网络中所有设备的配置、安装、调试必须由计算机室人员负责，无关人员不得随意安装、移动。网络设备配置端口加密保护，关闭不使用的物理端口。重要网络设备配置信息加密存放。

4.服务器操作系统管理员和数据库管理员权限分离，操作系统管理员、安全管理员、安全审计员权限分离。登录密码复杂度应符合规定并定期更换。

5.医院内、外网独立运行，所有设备不能内、外网混接，外网用户未经允许不得拷贝文件到内网电脑。

6.科室使用人员不得私自更改IP地址，扰乱网络资源正常分配，严禁非法访问或使用木马、病毒等非法软件攻击他人计算机。

7.禁止科室或个人将自用计算机、笔记本电脑、互联网用计算机等设备接入医院信息系统。

8.用户申请访问权限，由本人书面申请，科主任及相关科室签字，交分管院长审批后，计算机室授权。

9.督促各级操作员更改工作站初始密码，定期更换。

10.严禁破译、盗用他人登录账号、密码，一旦发现将根据情节轻重给予所在科室和个人严厉处罚，情节严重并造成重大损失者将交由公安机关追究其刑事责任。

11.所有操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止进行与工作无关的操作。因误操作导致计算机故障，需及时通知计算机室人员处理。

12.移动存储介质不允许插入内网计算机，因私自使用移动介质造成病毒蔓延的有关人员，依情况对其进行相应的经济和行政处罚。

13.医院信息系统数据由计算机室定期进行备份存档。

14.计算机室负责对科室计算机操作人员进行病毒防控知识的宣传和教育，提高安全防控能力。

15.计算机室人员有权制止违反系统安全管理制度的行为。

1.认真贯彻执行《中华人民共和国保守国家秘密法》《计算机信息系统国际联网保密管理规定》等法律法规，加强计算机接入互联网的管理，防止不良事件的发生。

2.使用计算机接入互联网的人员，应遵守国家有关法律法规，严格执行安全保密制度。

3.接入互联网的计算机不得浏览境外网站，医院各科室和个人不得在互联网发布、讨论、传播谣言及违法信息。

4.医院计算机室负责对全院接入互联网的计算机监督、检查，各科室领导为本科室互联网计算机安全管理第一责任人。

5.不得在接入互联网的电脑运行医院信息系统，不得采集、存储、处理、传送、接收和检索医院信息系统文件资料，不得利用互联网传播医院信息系统的数据。

6.接入互联网的计算机和服务器必须安装杀毒软件等必要防护软件，防范恶意入侵，及时更新病毒库，防止互联网病毒传播造成医院网络中毒、瘫痪、数据丢失等事故。

7.经医院网站发布到互联网上的内容应严格执行医院《互联网信息发布审核制度》。

8.医院门诊、临床业务科室不得私自接入互联网，确因工作需要须报医院办公室审批，使用中出现安全、保密问题，造成过失或泄密的，视情节依照有关规定严肃查处，触犯法律的将依法移送司法机关处理。

1.各科室必须爱护好医院配发的计算机设备，维护网络安全，注意防火、防盗、防尘、防潮、防水。

2.各工作站操作人员必须经过计算机室培训，考试合格后方可分配登录账号。

3.工作站操作人员必须严格执行操作规程，遵守计算机使用各项规章制度，不得擅自更改配置，不得自行添加、删除硬件，不得安装、运行非工作软件。

4.计算机操作人员必须使用自己的账号密码登录信息系统，不得多人共用账号，因共用账号给医院工作造成影响或产生不良事件的，视其情节，按医院有关规定处理，后果严重的将按《中华人民共和国刑法》部分条款及《中华人民共和国计算机信息系统安全保护条例》，交由公安机关处理。

5.操作人员遇到软硬件问题及网络故障，应及时报告计算机室人员处理。

6.严禁外单位人员使用工作站计算机、网络端口等设备。

1.本制度所指存储介质是能够存储信息的硬盘、光盘、软盘、移动硬盘及U盘等。

2.涉及医院信息及患者信息的移动存储介质，传递应按《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》的要求执行。

3.用于处理医院信息的移动存储介质必须按其所涉及的信息内容粘贴标识。

4.移动存储介质不得在内网计算机或设备上使用。

5.存储医院信息的存储介质只能在本单位使用，严禁转借他人。因工作需要将移动存储介质借出的，需经院领导及相关科室领导批准，报计算机室备案。

6.科室存储医院信息的存储介质维修或数据恢复，须到计算机室进行。

7.不再使用的存储介质应由计算机室统一处理，确保医院有关文档和数据清除不可恢复。

1.机房环境保持洁净无尘，物品摆放整齐有序。做好机房防火、防尘、防潮工作，设备定期除尘。

2.机房钥匙与信息系统密码分开管理，未经计算机室负责人批准不得交于他人。

3.配备不间断电源（UPS）及备用供电系统，填写设备运行记录，定期检查。

4.外来人员进入机房一律进行登记。

5.需在机房内进行的施工，施工人员不得随意操作和触动与自己工作无关的设备。施工结束后，计算机室人员应督促其将施工过程产生的废弃物清理干净，物品摆放整齐。

6.严禁易燃、易爆、强磁场、有腐蚀性等物品进入机房。

7.禁止随意拆卸、移动网络设备或更改设备连线。

8.严禁无关人员直接或间接操作机房设备，保证设备安全。

9.未经科室负责人同意，不允许他人使用机房设备，外借设备需填写外借设备登记表，借出人应及时催还。

10.机房工作人员使用设备后要归回原处，使用过程中损坏、遗失的物品应及时登记处理。

11.禁止将机房内的资料、文档、数据、配置参数等信息擅自提供给工作无关人员或随意向外传播。

12.机房维护人员必须熟知机房内设备的基本安全操作规范，定时巡检软、硬件运行情况，发现异常应及时维护并做好记录。

13.了解用电安全常识，发现用电安全隐患，及时报告电工房处理。

14.熟知机房消防安全知识，熟记机房内消防器材位置，掌握消防器材使用方法，发现消防安全隐患，及时报告科室负责人及相关科室。

1.计算机室负责医院内外网计算机的维修、维护，用户在使用过程中发生故障，须报告计算机室处理，各使用单位不得自行拆卸维修。

2.随医疗设备购进的计算机设备，发生故障，由厂家维修、维护，计算机室协助处理。

3.计算机室人员要通过电话指导、远程操作、深入科室等多种方式对科室计算机进行维护，指导操作人员按操作规程进行操作，保证计算机设备正常运行。

4.每月深入科室巡查，并做好巡查记录。

1.信息系统变更工作需厂家工程师和计算机室共同完成，变更过程类似软件开发，实现过程应按照软件开发标准进行。

2.变更完成的系统须经试运行后方可申请发布。

3.禁止在正常运行的服务器、网络设备上进行试验性配置，需要对此类设备进行的变更、配置，应在其他可进行试验的机器上调试，确认可行后经科室负责人批准方可进行配置。

4.软件系统功能变更须在备用服务器上进行，调试成功后提交计算机室负责人签字确认后方可发布正式版本，新版本发布同时旧版本废止。

5.对影响全院工作的软、硬件变更，须先形成方案文件，讨论确认可行性后，由科主任及分管院长审批方可进行，由具备资质的技术人员进行更改和调整。应预先发布变更通知，制定应急预案，对更改、升级、配置所带来的影响做好充分的准备，工作完成后做好信息系统变更记录。

6.系统管理员负责对系统变更过程的文档进行归档、版本管理，变更过程中涉及的文档永久保存。

1.数据备份采用自动备份方式，每天备份一次。

2.数据通过异地同步备份技术实时转存于异地设备，确保数据万无一失。

3.不定期对数据进行恢复试验，以确保备份数据安全可靠。

4.根据数据增长量，定期对过期数据进行刻盘并从系统中清除，以保障系统运行效率。

5.刻盘数据须分类存放，定期归档，专人管理。

6.如有软件程序修改，记录软件变更情况，并将所有源程序刻录成光盘，若遇重大程序更改必须在更换前后都要刻录光盘存档。