第一篇:患者信息保护安全管理制度
患者信息保护安全管理制度
一、范围
本制度适用于通州区潞河医院各科室。
二、规范性引用文件
下列文件中的条款通过本规则的引用而成为本规则的条款。
《刑事诉讼法》 《民事诉讼法》 《医疗卫生服务单位信息公开管理办法》
三、术语
(一)隐私:就是公民与公共利益无关的个人私生活秘密,它所包括的内容,就是私人信息、私人活动和私人空间。私人信息是有关个人的一切情报资料和资讯,诸如身高、体重、收入、生活经历、家庭电话号码、病患经历等等。私人活动是一切个人的、与公共利益无关的活动,如日常生活、社会交往、夫妻之间的两性生活、婚外性关系等等。私人空间也称为私人领域,是指个人的隐秘范围,如身体的隐秘部位、个人居所、旅客行李、学生书包、日记、通信等。
(二)隐私权:是公民的人格权,它包括这样几种权能:一是隐私隐瞒权,公民对自己的隐私有权隐瞒,使其不为所知;二是隐私利用权,权利人可以利用自己的隐私,满足自己在精神上物质上的需要;三是隐私支配权,支配自己的隐私,准许或者不准许他人知悉或者利用自己的隐私;四是隐私维护权,当自己的隐私被泄露或者被侵害的时候,有权寻求司法保护。
(三)患者信息:包括病人的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的。
四、患者信息的隐私保护范畴
(一)患者享有不公开自己的个人基本信息以及病情、家庭史、接触史、身体隐私部位、异常生理物征等个人生活秘密和自由的权利,医院及其工作人员不得非法泄露。
五、病人信息保护管理制度
(一)患者在院的所有电子信息资料只许在医院内部管理不得转出。
(二)患者住院期间的电子病历等相关资料通过分级权限管理保护及诊治。
(三)门诊患者发生费用的收据单据如丢失需本人到所在单位或街道开出相关证明并经本人签字后经院财务审核后到信息部门补办。(回财务科盖章后方生效)
(四)未经患者许可、授权,不得将其疾病及相关隐私信息传播给他人。
(五)外单位如查询患者的相关信息必须由本人或授权委托办理,并进行相关签字确认。
第二篇:患者安全管理制度
患者安全管理制度
一、患者身份识别制度
1.为保证医疗安全,来院就诊的每位患者必须如实填写门诊病历和住院病历首页上的身份信息。
2.门、急诊患者的身份识别:门、急诊护士在对患者进行评估时需核对患者姓名、年龄、性别、病历号等基本信息。
3.住院患者身份识别
(1)入院患者到达病区时,接诊护士应核对科室、患者姓名、住院号、性别、年龄、诊断、报销类别等信息是否与患者就诊卡、住院证上的信息相符。
(2)建立和执行住院患者手腕带标识管理制度。
(3)所有住院患者必须佩戴手腕带作为身份识别标志及诊疗操作前查对依据。腕带上标注医院名称、科室、床号、姓名、性别、年龄、住院号。佩戴手腕带时填入的识别信息必须经两人核对,若损坏更新,同样须经两人核对。
(4)佩戴手腕带前,应仔细核对患者信息。要求患者陈述自己的姓名;对无法沟通的患者,应请在场的家属证实患者的身份。
(5)在对患者实施任何检查、诊疗操作前或转运患者前应核对手腕带信息,并让患者自己陈述姓名,确认患者身份。
(6)若手术中需取下手腕带,术后应与患者病历一同带出手术室,巡回护士应与接患者护士交接清楚,确认患者身份后立即重新佩戴。
4.转接和交接班时认真识别患者身份,对病区内患者转床、转科或对产妇、新生儿、手术、ICU、急诊、无名、儿童、意识不清、语言交流障碍、使用镇静药物等重点患者,均要识别和核对患者身份,严格执行查对制度,由转诊医师和护士同接诊医师和护士与患者(家属)或受委托人核对。
5.操作前和辅助检查前识别:医务人员在操作前要按照规章制度对患者进行查对和识别。至少同时使用两种方法识别患者身份,禁止仅以床号作为识别的唯一依据。标本采集、输血、输液、给药时由护士或医技人员核对患者身份。行心电图、B超、胸片、CT、MRI、病理检查等辅助检查时,由辅助科医技人员及护送的工作人员共同核对患者身份。
6.高危诊疗活动前识别:在对患者进行介入检查治疗术、胃肠镜检查、血液透析等诊疗活动前由操作医师、护士与患者(家属)或受委托人进行核对。
二、腕带标识管理制度
1.急诊抢救室和留观、住院患者必须佩戴手腕带,作为各项诊疗操作前识别患者身份的标识。
2.腕带上标注医院名称、科室、床号、姓名、性别、年龄、住院号。如无家属患者有意识障碍、精神异常或智障等,可暂取名填写无名氏后加住院号,如无名氏+住院号。
3.患者入病房时病区护士认真核对患者信息后填写手腕带,佩戴于患者左手腕,核对方法:
(1)一般情况下由护士与患者共同核对;
(2)特殊情况(意识障碍、感觉器官功能障碍及无行为能力等)有家属陪护的,由护士与家属或患者委托授权人共同核对;无家属陪护的,由两名当班医护人员共同核对。
4.腕带一般佩戴在患者的左手腕上,如病情禁忌,则依次佩戴在右手腕、左脚踝、右脚踝上。若有遗失或损坏,及时更新。
5.女性患者佩戴粉红色手腕带,男性患者佩戴蓝色手腕带。新生儿出生后,女婴佩戴婴儿粉红色手腕带,男婴佩戴婴儿蓝色手腕带。
6.按操作规范给患者佩戴腕带,垫1-2指按紧搭扣,松紧适宜,防止扭曲;注意患者佩戴腕带部位皮肤完整,手部血运良好,每班检查患者腕带皮肤情况。
7.出院时去除手腕带,转科患者须经双人核对后重新更换手腕带,以确保患者标识准确。
8.将使用腕带识别工作纳入科室护理质控检查项目中。
三、标本采集管理制度
1.护士应掌握各种标本的正确采集方法。2.采集标本严格遵照医嘱执行。3.严格执行查对制度,医嘱和检查单逐项核对无误后,方可执行。
4.认真核对化验单内容,包括科室、姓名、年龄、性别、床号、住院号(门诊号)以及检验项目等。
5.根据检验项目正确选择标本容器,如空白试管、抗凝管等;检查容器有无破损、裂痕;容器标签上注明患者科室、床号、姓名等。
6.标本采集时护士携带检验单再次核对患者身份、检验项目、标本采集量以及标本容器是否吻合,严格执行查对。
7.输血、配血抽取标本时,必须两人核对后抽取并在输血申请单上签名。8.不得在输液的同侧肢体或中心静脉管道采血,以免血液被稀释或输入的液体影响测定结果。
9.标本采集后及时查对送检,送检过程避免振荡。10.建立《标本送检登记本》,由接收部门人员签字确认。
四、患者术前确认制度
1.建立《手术患者安全交接记录单》,详细记录科室、床号、姓名、性别、年龄、住院号、诊断、手术日期、皮肤情况等。
2.术前病房护士与手术室人员再次检查患者皮肤准备情况,核对患者腕带信息无误后,签好《手术患者安全交接记录单》,由手术室人员陪同患者,携带病历、《手术患者安全交接记录单》、药品及术中所需物品,将患者接入手术室。
3.手术室护士查对患者腕带信息、手术名称、手术部位标识、皮肤情况、病历、术中所需物品、药品无误后,在《手术患者安全交接记录单》上签字确认,并将患者送人指定手术间。
4.巡回护士与麻醉医师再次查对患者腕带信息、病历、手术部位。
5.手术医师、麻醉医师、巡回护士三者共同查对无误后,在《手术安全核查表》上签字,方可开始手术。
五、患者安全转运制度
1.转运前:(1)病情评估:对病情进行正确的评估是整个流程的基础。(2)解释:告知患者、通知家属,联系转往科室或相关检查科室。(3)备齐用物:转运工具、病历、X片、CT片、MRI片等,根据病情备急救药品器械及其他物品。
(4)搬运患者到轮椅或平车前后,应妥善处理动静脉管路,固定引流装置。(5)重点:导管安全原则,确保通畅、妥善固定、标识在位、防止感染。2.转运中:(1)注意保暖。
(2)密切监测各项生命指征(始终站在患者头侧)。(3)保证生命支持设备工作稳定。(4)转运过程中患者头部始终处于高位。(5)保证各种管路固定可靠。(6)防止患者发生意外损伤。(7)做好心理护理。3.转运后交接:
(1)确认患者身份:腕带、病历、患者本人或家属。(2)确保患者安全转移至病床上。(3)评估生命体征。
(4)交接患者存在的关键问题。
(5)交接各种管道:静脉置管(外周静脉、深静脉)、其他管道(胃管、尿管、引流管等)。
(6)皮肤情况:伤口、压疮。
(7)用药情况:药物过敏史、抗生素的使用等。(8)物品:(X片、CT片、MRI片、病历等)。
(9)床边交接完毕后,需双方护士共同填写《住院患者安全转运护理交接记录单》,确认无误后签名。
六、患者交接管理制度 为有效防止医疗护理过失,消除安全隐患,提高医疗护理服务质量,保障医疗护理安全,特制定本制度。
1.建立临床科室之间患者交接管理规范和流程,由接送医务人员跟患者或家属核对识别,并做好交接和识别记录。
2.建立急诊与病房、急诊与ICU、急诊与手术室之间的患者交接管理规范和流程,由接送医务人员与患者或家属核对识别,并做好交接和识别记录。3.建立手术与病房或ICU之间的患者交接管理规范和流程,由手术医师术前核对好患者身份后由麻醉师、护士核对,确定好身份和手术部位并书面记录后方可行手术。术后由麻醉师、护士与ICU医生、护士交接患者并核实身份,并做好记录。
4.建立产房与病房、产房与新生儿病房之间的患者交接管理规范和流程,由医师、护士、助产士产前产后对患者进行识别和交接,做好记录。
附1:临床科室之间患者交接管理规范和流程
1.根据转科医嘱,评估患者,填写《住院患者安全转运护理交接记录单》,电话通知转入科室,详细登记患者信息。2.接收科室备好床位和物品。
3.转出科室医护人员陪同,并携病历资料将患者护送到接收科室,负责途中安全,不能间断治疗和抢救。
4.转出科室与接收科室人员共同查对患者信息和病历资料,无误后签名确认,同时交接患者病情、皮肤和治疗等;接收科室重新填写腕带信息,戴于患者手腕上。
附2:急诊科与病房之间患者交接管理规范和流程
1.急诊患者需住院治疗时,护士根据住院证信息,电话与相关科室联系,并告知入院患者的姓名、性别、年龄、诊断,简要的病情与护理措施。
2.接收科室接到电话后,立即通知值班医生,并做好接待准备,根据患者情况准备好床单位及抢救用物(心电监护仪、吸氧装置、吸引装置等)并检查设备的性能状况,主动迎接检查患者。
3.急诊科详细记录《急诊患者安全转运护理交接记录单》。
4.急诊科医务人员陪同并携带病历资料将患者护送到相关科室,负责途中患者安全,确保治疗和抢救的连续性。
5.急诊科医务人员与接收科室医务人员交接患者门诊病历及相关资料,交接患者姓名、性别、年龄、诊断、简要病史及病情,包括神志、瞳孔、体温、脉搏、呼吸、血压、初步处理情况,做好药物及物品交接。查对无误后在《急诊患者安全转运护理交接记录单》上双方签名确认。
6.接收科室填写患者腕带信息,戴与患者手腕上。
附3:急诊科与ICU之间患者交接管理规范和流程
1.急诊科护士接到患者入住ICU的通知后,立即电话通知ICU护士做好迎接新患者的准备,并告知新入住患者的姓名、性别、年龄、诊断、简要病情。
2.ICU护士接到电话通知后立即通知值班医生并告知患者的基本情况,根据病情准备好床单位和抢救用物(心电监护仪、吸氧装置、吸痰装置、呼吸机、气管插管、除颤仪等)。
3.急诊科详细记录《急诊患者安全转运护理交接记录单》。
4.急诊科医务人员与ICU医务人员交接患者门诊病历及相关资料,交接患者姓名、性别、年龄、诊断、简要病史及病情,包括神志、瞳孔、体温、脉搏、呼吸、血压、初步处理情况,做好药物及物品交接。查对无误后在《急诊患者安全转运护理交接记录单》上双方签名确认。
5.患者进入ICU时,需两位医务人员同时接收患者。患者如需要使用呼吸机时,应一人接呼吸机,一人接心电监护仪,如果只有一人接待时,应先接呼吸机后接心电监护仪,护士立即与值班医生一起积极抢救患者。
附4:急诊科与手术室之间患者交接管理规范和流程
1.急诊科患者需急诊入手术室手术时,由接诊医生直接拨打麻醉科电话,立即开通绿色通道,并告知患者姓名、性别、年龄、诊断、简要病情,以便手术室及相关科室做好准备。
2.急诊科详细记录《手术病人护理交接记录单》。
3.手术室接到电话立即做好手术准备,必要时通知二线班协助抢救。4.需急诊手术的患者由急诊科医护人员共同护送至手术室,并负责途中治疗和抢救。
5.急诊科医务人员与麻醉师、巡回护士交接患者门诊病历及相关资料,交接患者姓名、性别、年龄、诊断、简要病史及病情,包括神志、瞳孔、体温、脉搏、呼吸、血压、初步处理情况、所做的检查及结果、目前用药情况、穿刺部位、各种管道、到院时间及皮肤情况。查对无误后在《手术病人护理交接记录单》上雙方簽名確認。
6.麻醉医师、巡回护士核对患者信息、手术部位。
7.手术医师、麻醉医师、巡回护士再次核对患者信息、手术部位(尤其是左右侧),确认无误后在《手术安全核查表》上签字认可。
七、危重患者转运交接制度
1.凡危重、大手术患者转院,必须由医师或护理人员全程陪护。
2.根据转科医嘱,评估患者,填写《住院患者安全转运交接记录单》,电话通知转入科室。
3.保证转运工具性能完好,确保患者在转运过程中的安全,酌情准备应急物品及药品。
4.转入科室在接到患者转科通知后,护士立即备好备用床及必需物品。5.患者入科时,护士应主动迎接并妥善安置。
6.认真评估患者,转出、转入双方必须做到六交清:患者治疗要交清、患者病历资料要交清、患者生命体征要交清、患者身上各种管道要交清、患者使用各种仪器要交清、患者皮肤情况要交清。据实填写住院患者安全转运交接记录单,并通知医师诊治患者。
八、危重患者护理规程 1.严格床旁交接班。
2.密切观察病情变化:生命体征、意识、瞳孔等变化,做好详细记录。3.准确及时执行医嘱,制定护理计划和抢救措施,备齐抢救药品和物品,随时做好应急准备。
4.保持呼吸道通畅,昏迷患者头偏向一侧,必要时用吸引器吸出呼吸道分泌物。(1)加强基础护理,预防并发症。(2)做好口腔、尿道护理,保持清洁。(3)做好全身皮肤护理,预防发生压疮。
5.眼睑不能闭合的患者应涂红霉素软膏或盖凡士林纱布保护角膜。6.加强营养和水分的补充,给以胃肠内和胃肠外营养;维持出入量平衡。7.保持大小便通畅,如有异常及时通知医师处理。8.保持各管道引流通畅,注意妥善固定、安全放置。
9.注意安全,对意识丧失、谵妄、躁动的患者合理使用保护具防止坠床。
九、特殊、危重患者护理安全管理制度
1.提高护理人员对患者识别的准确性,严格执行查对制度、腕带标识管理制度。2.提高用药的安全性
(1)各病区根据病种需要配备药品,按有关管理制度执行,做到规范、准确、安全、无过期。
(2)使用药物时注意配伍禁忌,用药前应询问患者用药史。过敏史,并做药物过敏试验,实验结果阳性者应告知患者及家属,在临时医嘱单、体温单用红笔标识(+),床头挂上阳性标识。
3.严格执行输液安全管理制度。
4.加强在特殊情况下医护人员的有效沟通,做到正确执行医嘱。科室建立急、危、重症患者检验结果记录本。对接获口头或电话通知的急、危、重患者的重要检查结果时,接获者必须规范、完整记录检验结果、报告人的姓名和电话,并及时告知值班医师。
5.认真落实防跌倒、坠床、烫伤及压疮防范措施,严格执行护理安全管理制度。6.发生跌倒、坠床、烫伤及压疮等不良事件,严格执行护理不良事件管理报告制度。
十、常用医疗仪器设备安全使用制度
1.严格按照各种医疗仪器的操作程序,正确、熟练地使用各种医疗设备,不熟悉仪器性能和操作规程者不得开机。
2.各科室对医疗设备建立《仪器、设备管理登记本》,对使用情况及出现的问题作详细登记。
3.各科室安排专人负责管理各种医疗仪器及日常维护、保养、检查,并做好记录。
4.操作人员在医疗设备使用过程中不得离开工作岗位,发生故障,应立即停机,切断电源,并立即报设备科检修,待故障排除后方可继续使用。
5.工作人员严禁拆装各相关设备,不得私自删除、拷贝、更改设备上各种程序。6.各种医疗设备使用后应按规定顺序关机,及时清洁整理并切断电源、水源、气源,以免发生意外事故,如需连续工作的设备,应做好交接班工作。
7.爱护仪器,不得违章操作,如发生因违章操作造成设备损坏等责任事故,应立即报告科主任、护士长及设备科,并按规定对相关责任人作出相应的处理。
十一、病床、轮椅和平车安全使用制度
1.病床的使用和维护:
(1)医护人员须掌握正确的病床使用方法;
① 推移电动病床时,须拔除电源并将电源线放置在合适的位置。
② 抬高/降低整张病床或局部的高度至极限时,须立即停止操作,以免损坏病床。
(2)病床的高度:
① 除治疗或操作需要外,病床在任何时候都须保持在最低水平。② 除转运状态下,床脚的轮子必须保持上锁状态。(3)床栏的使用: ① 下列患者需常规使用床栏: a.任何原因造成视觉障碍的患者; b.任何意识改变的患者;
c.入院诊断“药物过量或药物中毒”的患者; d.镇静或麻醉恢复阶段的患者; e.躯体/肢体移动障碍的患者; f.儿科患者;
g.活动不便的老年患者。
② 护士须向患者或家属解释使用床栏的目的及必要性,并在护理单上记录床栏使用情况。
③ 如患者或家属拒绝使用床栏,须在护理记录单上注明,必要时由患者或家属签字。
④ 对在使用中发生故障的病床,医护人员及时向设备科提出修理要求,不能及时解决的维修问题,应考虑换床。
⑤ 设备科:
a.定期到使用各科室进行预防性维护; b.及时修理存在使用故障的病床。2.轮椅和平车的使用和维护:
(1)工作人员应正确的使用轮椅和平车。① 新上岗人员须进行相应的培训、考核。② 每次使用前必须检查轮椅和平车的性能。③ 运送患者前应将患者安置合适的体位。④ 转运患者时必须有医护人员陪同。
⑤ 患者坐轮椅时身体不要前倾,以防摔倒,必要时用固定带。⑥ 进电梯时,工作人员先行,以后退方式将轮椅拉入电梯。
⑦平车转运患者时,必须有床栏保护。上下坡时病人头应处于高位。(2)轮椅和平车应存放在指定的固定区域。
(3)对在使用中发生故障的轮椅和平车,及时向设备科提出修理要求。(4)设备科:
① 定期到使用各科室进行预防性维护。② 及时修理破损的轮椅和平车。
第三篇:患者安全管理制度
兰山区方城中心卫生院
患者安全管理制度
1、护理人员应全面了解病人病情,及早发现潜在的不安全隐患并采取积极有效的防范措施。
2、严格执行各项查对制度,每日核对医嘱,发现疑问立即向有关人员反馈。未经核对的医嘱不得执行,一旦医嘱执行有误,不得隐瞒,立即通知医师并采取补救措施。原则上不执行口头医嘱,紧急情况执行抢救口头医嘱时,护士必须复述并保留药物空瓶,以便抢救完毕后核对。
3、加强对昏迷及意识不清病人的管理,24小时内必须有专人陪护,躁动不安者应使用床档或四肢约束带约束,以防坠床等意外事件的发生。
4、对有精神症状的患者应放在单人房间,房间内不得有锐器等危险物品,以防自杀或伤及他人。
5、有自杀倾向的患者应通知家属、值班医生、护士长并做好记录,加强心理护理、严格床头交接及巡视制度,实施24小时监护。
6、严格执行护理分级管理的相关制度,按时巡视病房。
7、严格遵守毒麻药物管理制度,杜绝不安全隐患。
8、加强消防安全管理及消防知识的宣传,责任落实到人,随时查除不安全隐患,所有工作有员必须掌握消防应急事件的处理。
9、保持地面清洁干燥,必要时放置“防滑警示”,以防病人摔伤。
10、加强急救物品、药品、器械、设备的管理,时时处于应急状态,以确保急救措施的顺利实施。
第四篇:手术患者安全管理制度
手术患者安全管理制度
一、加强手术负责制
1、三级医师负责制科主任应根据本科现已开展的手术,制定各级医师的手术权限并报医政科备案,所有医师必须在本人责任权限内开展手术。
2、报告当遇到紧急手术超出当班医师的手术权限或技术水平时,在采取急救措施的同时立即报告上级医师,必要时向医政科汇报。
3、教学手术管理在医院开展的各类手术中,实习生、进修医师只能在本院医师的指导下进行观摩学习或担任助手从事辅助工作,不得独立上台操作
二、加强手术操作规范化、1、制定常规手术规范科主任负责制定本科范围内的常规手术操作规范,内容要详细、具体。
2、围手术期检查
(1)、术前全面检查:在术前应对患者进行全面的临床检查,各学科专业的手术如有必要的项目检查不全者,手术室可拒绝安排手术。
(2)、术中异常情况会诊:在术中如出现异常情况须向其他科室或医师会诊时,该科室或医师必须以会诊为当前第一选择,迅速及时应诊,不得拖延,更不得决绝。
(3)、术后监护:危重患者术后先送入ICU,经24-48h监护后再转入相应病区;一般患者术后回所在病区,但医护人员必须注意加强患者监护,如有问题,须尽可能保证随叫随到,以免贻误病情,造成不良后果。
三、加强术前讨论
1、常规手术专业组讨论对于常规开展的手术,须在本专业组内进行术前讨论,形成手术操作意见,并作记录。
2、新手术方式、疑难患者全科讨论对于新开展的手术方式或患者属疑难患者时,须在全科范围进行充分的讨论,对手术方式选择,术中可能出现的问题、术后可能发生的情况要有一个较为准确地预测,形成手术操作意见,并作记录。
四、重大手术审批报告
对于截肢等重大手术,负责医师须填写手术审批表并报医政科批准后,方可进行手术。
五、加强围手术期患者沟通及签署同意书
1、术前谈话及签字在手术前,负责医师应对患者及家属履行告知义务,应具体、详细地告诉患者及家属手术及麻醉的方式,术中和术后可能发生的危险及注意事项,在患者或家属同意的并签字后方可开展手术。
2、术中谈话在手术进行中如出现病情变化或需要改变手术方式、麻醉方式时,出其下一级医师(第一助手)替代其完成手术。
七、手术患者术后管理制度
1、根据病情、病种进行监护、观察、治疗。落实“外科手术患者护理常规”及“外科常见疾病诊治常规”。
2、麻醉医师术后应去病区看手术患者,并向责任护士交代有关注意事项,防止麻醉并发症的发生。
3、各级医师认真查房,注意病情变化及术后并发症的发生,及时做好病程记录。发现问题逐级汇报,及时处理。
4、预防术后感染,合理使用抗生素。
5、及时查看病理结果,避免延误患者治疗。
提高术前、术后、病理诊断符合率。
第五篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。