第一篇:《信息安全保密制度》
XXXXXX信息安全保密制度
〔编号: 〕
一、总则
为确保公司的技术、经营秘密不流失,确保公司各项工作安全、迅速地进行,保证公司的合法利益不受损害,根据《中华人民共和国保密法》有关规定,结合本公司实际情况,特制定本制度。
二、适用范围
(一)公司秘密是指关系公司权力和利益、依照特定程序确定、在一定时间内只限一定范围内的人员知悉的事项。凡是与本公司保密相关的工作内容均应保密,并适用本制度。
(二)本制度适用于公司全体员工,每个员工均有保守公司秘密的义务和制止他人泄密的权利。
(三)保密工作由公司总经理领导,各部门负责人具体实施。各部门应将保密工作纳入本部门的工作计划,保障本部门工作的顺利开展。
三、保密守则:
(一)不该说的保密信息,绝对不说;
(二)不该问的保密信息,绝对不问;
(三)不该看的保密信息,绝对不看;
(四)不该记录的保密信息,绝对不记录;
(五)不在不利于保密的地方记录或存放应保密的文件和资料;
(六)不在私人通讯中涉及保密信息;
(七)不在公共场所和家属、子女、亲友面前谈论保密信息;
(八)不在互联网、电话、邮寄邮件等不利于保密的通讯渠道中传达保密信息;
(九)非工作必要的情况下,不携带保密资料游览、参观、探亲、访友和出入公共场所。
(十)在保密岗位工作接触保密信息的人员,应按照核准的权限使用保密信息。
四、保密范围和密级划分
(一)密级划分:
1、绝密级:是公司秘密中的核心部分,限极少数人知悉的事项,一旦泄露将对公司造成特别严重的损失,影响到公司发展。主要包括以下内容:
(1)公司尚未公布或实施的经营战略、经营方向、经营规划、经营项目以及经营决策。(2)公司发展相关的市场调查与预测报告、投资计划等。
(3)股东资料、财务预算决算报告、审计报告等各类财务报表、统计报表。(4)公司的各类印章、营业证照、合同、协议、意见书及可行性报告等。(5)公司的工作总结和计划、会议纪录、会议纪要、保密期限内的重要决定事项。(6)公司有关业务的成本、报价、方案、措施等情报。
(7)客户资料,对供应商或同行对手的资讯调研等公司所掌握的尚未进入市场或尚未公开的各类资源性信息。
(8)公司中层以上职员的人事考核、涉嫌违法违纪调查,未公布的人事任免、奖惩决定等。
2、机密级:是公司秘密中比较重要的部分,一旦泄露将给公司造成比较严重的损失或不良影响。主要包括以下内容:
(1)反映公司技术水平、技术力量、技术潜力、产品动向的相关事项。(2)公司财务、营销管理制度、目标管理方案、月度运行报告等。(3)公司人事档案、个人工资档案、奖金数额、公司总体组织架构。(4)公司各部门人员编制调整,未公布的员工福利待遇资料、员工手册。(5)公司的安全防范状况及存在的问题。
(6)公司员工违法违纪的检举、投诉、调查材料、发生案件、事故的调查登记等资料。
3、秘密级:是除了绝密级和机密级以外的其它经公司确认应当保密的事项,泄露会给公司造成一定的经济损失或不良影响。
(二)密级确认
属于公司秘密的文件或资料,由起草部门依据本制度“密级划分”的规定标明密级,并确定保密期限。保密期限届满,除要求继续保密的事项外,文件或资料自行解密。
(三)密级权限
1、公司总经理有权知晓全部秘密(绝密、机密、秘密)并拥有完整的处置权。
2、绝密级只限公司总经理指定的人员知晓,并在征得上级领导同意授权之后拥有一定的处置权。
3、机密级只限负责该项工作的主管人员以及该主管人员认为必须知道的人员知晓,并在征得上级领导同意授权之后拥有一定的处置权。
4、秘密级只限涉及相关工作的人员知晓,并在征得上级领导同意授权之后拥有一定的处置权。
五、保密措施
(一)对新进员工必须签订保密协议,事先进行保密教育,学习保密条例,增强保密观念。
(二)需要保密的文件资料或电子信息在拟稿、编辑、印刷、收发、传递、使用、携带、复制、摘抄、保存与销毁等各项环节,应由公司授权的专门部门或人员负责执行,并在处理过程中采取相应的保密措施。
1、未经授权的部门或人员,不得超出授权范围私自对保密的文件和资料进行处理。
2、各部门应在本部门的保密文件、资料或保密物品上的醒目位置标注保密标志或字样,并妥善保管。未经相关授权,任何人不得接触保密文件、资料或保密物品。
3、采用电脑和网络技术存取、处理、传递的需要保密的信息,以及相关存储设备,应在处理过程中按照公司规定进行加密,并在具备保密功能的设备中妥善保存。
4、凡需要保密的信息(含实体文件资料、电脑软件、电子信息),未经授权的部门或人员确系工作原因需要借阅或使用,必须提出书面申请,经过具有授权资格的负责人书面签字同意后方可使用,并到期归还,书面申请审批单应由出借部门全部留存并妥善管理。
5、员工本人职责范围内的保密信息(含实体文件资料、电脑软件、电子信息)不可任人浏览。员工本人离开座位时,应使用安全密码将电脑锁屏或锁机。员工本人离开办公室外出时,台式电脑应设置开机密码并确认已经妥善关闭电脑。需要保密的实体文件资料应锁入文件柜或抽屉,不得随意乱放、任人取阅,更不能在未经批准的情况下携带外出。
(三)涉及公司秘密的会议或其它活动,主办部门应采取下列保密措施:
1、根据工作需要,对参加涉及密级事项会议的人员予以指定。
2、选择具备保密条件的会议场所;
3、依照“保密守则”的规定使用会议设备和管理会议文件。
4、确定会议内容是否传达以及传达的范围。
5、未参会的部门或人员需要参阅,必须办理提交借阅申请。
(四)财务部历年的台帐、原始凭证、报表等,如有其他部门或外部单位需要查询,必须提交借阅申请,经过总经理书面同意并安排专人盯随之后,方可查阅总经理允许提供的内容。
(五)未经授权,任何通讯内容不得涉及保密信息。如对某一具体事项不能确定是否需要保密,应由上级领导审定。
(六)所有需要保密的信息(含实体文件资料、电脑软件、电子信息)不允许外单位人员借阅,本公司人员更不得代为传阅,外单位人员来公司参观、学习、拜访、洽谈业务时,行政综合部应将其接触范围严格控制在公司的涉密区域之外,并安排专人陪同带领,避免外单位人员进入涉密区域。
(七)全体员工一旦发现失密、泄密问题,必须立即上报并确认公司领导已经知悉,以便及时采取补救措施。
六、责任与奖惩
(一)部门保密工作管理力度,是考核评定该部门负责人工作业绩、评定年终奖的重要依据之一。
(二)防止泄密是公司每个员工的职责。公司对于严守机密,举报泄密行为,挽回公司损失有明显成绩者,将予以奖励。
(三)奖励措施
1、严格执行保密管理制度,坚持原则,坚决保护公司秘密者,视情节奖励人民币100—200元。
2、发现他人失密、泄密问题、出卖公司秘密,能够及时举报,使公司免受损失者,视情节奖励人民币200—300元。
3、防止泄密,举报他人泄密行为,及时阻止泄密的影响继续扩大,对挽回公司损失有明显成绩者,视情节给予一定的奖励。
(四)惩罚措施
对于泄密的员工,不论职务高低,遵照“谁泄密,谁负责,谁受罚”的原则,一律给予处罚。
1、因过失泄露公司秘密,被及时发现未造成损失者,处以人民币???元的罚款。部门负责人存在管理疏失的应负连带责任,处以人民币???元的罚款。
2、因过失泄露公司秘密,未造成重大损失者,视情节处以人民币???-???元的罚款并留公司查看三个月。部门负责人存在管理疏失的应负连带责任,处以人民币???元的罚款。
3、因过失泄露公司秘密,给公司造成重大损失或严重后果者,视情节处以人民币???元的罚款,并予以辞退。部门负责人存在管理疏失的应负连带责任,处以人民币???元的罚款。
4、故意为他人窃取、刺探、收买或违规提供公司秘密的,或利用职权强制他人泄密,给公司造成重大损失者,一律予以辞退,并依法提交司法机关追究其刑事责任。部门负责人存在管理疏失的,视情节严重程度具体处理。
5、个人工资档案、奖金数额等对其他员工泄露的,一经查实,直接对该当事人予以薪酬调整。
七、附则
(一)如有未尽事项将另行发布通知。
(二)本制度由人力资源部负责制定、修改、解释和监督执行。过去的有关规定如有与本制度不一致的,以本制度为准。
(三)本制度自发布之日起生效,前期相关规定自行废止。
XXXXXX公司
20XX年XX月XX日
第二篇:信息安全保密制度
信息安全保密制度
第1条 为了加强知识产权保护,防止信息数据丢失和外泄,保持信息系统库正常运行,特制定安全保密制度。
第2条 安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。
第3条 信息中心主任、工程师必须严格执行国家的有关规定和院里的有关制度,认真管理档案、医疗数据资料、数据库系统。
第4条 信息中心的所有工作人员必须严格遵守院里的规章制度和信息中心的有关规定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。
第5条 未经院领导和信息中心负责人同意,非管理人员不得进入控制机房,不得擅自操作系统服务器、镜像服务器、应用服务器、控制服务器及控制机房的其他设备。
第6条 未经院领导和信息中心负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。
第7条 档案资料安全保密管理,遵循《档案库房管理制度》、《保密守册》、《档案室职责》、《档案资料利用管理规定》、《档案安全消防措施》执行。
第8条 医疗数据资料、信息系统库资料,除参照执行第7条相关规定外,还应遵循:
第1款 资料建档和资料派发要履行交接手续。
第2款 原始数据、中间数据、成果数据等,应按规定作业流程办理。数据提供方要确保数据齐全、正确、安全、可靠;办公文员要对数据进行校验,注意
作业流程把关、资料完整性检查、数据杀毒处理;数据处理员要严格按照“基础地理信息系统建库技术规范” 要求作业;专检员要严格按照“资料成果专检”规定把关;系统入库员、系统管理员、网络管理员要保证入库、出库数据质量和数据安全保密。
第3款 定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据库系统的正常运行。
第4款 未经许可数据库内的数据信息不得随意修改或删除,更不能对外提供。
第5款 除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过网络(局域网、VPN虚拟专网、内部网等)联机调阅数据。
第6款 医疗数据资料按规定要求进行计算机建档和处理,数据入库后要及时删除工作终端中的原有数据。
第7款 严格遵守信息中心工作流程,不得做任何违反工作流程的操作。
第8款 定期对数据库的信息数据进行备份,要求每增加或更新批次,数据备份一次,包括异地热机备份和刻盘备份两种方式;每月定期刻盘两套,异地保存。
第9条 软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好,建库技术标准规范、应用服务体系完善。
第10条 信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患,杜绝安全事故。
第11条 权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
第12条 权限管理从安全级别上分为绝密、机密、秘密;从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户;从操作承载体上分为服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、工作终端、用户终端;从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。
第1款 安全级别中绝密资料内容包括用户名及密钥、信息系统库密钥、系统运行日志、控制信息资料;
第2款 设定内容中,完全控制是指对VPN虚拟专网中服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、终端(包括工作终端和用户终端)有绝对控制权,包括IP地址、网关、DNS服务器地址、超级用户密码、系统库密码、操作系统、程序、信息数据的设定、修改、删除权利等;
第3款 高级管理员为最高权限人,设定权限为完全控制,即拥有对所有用户名及密钥管理,查看系统运行日志,拥有对服务器、终端的所有权限管理,即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;系统管理员权限包括对工作终端用户名及密钥管理,拥有对服务器(不包括控制服务器)和终端所有权限管理,即对机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权;中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权;一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权;特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。
第13条 控制服务器中建立运行日志,以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录;信息系统库运行情况记录;各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间。运行日志中内容记录方式以时间为序。
第14条 强化信息安全保密管理,加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。
信息中心
2006.12
第三篇:信息安全保密制度
篇一:信息安全保密制度
第35条:信息安全保密制度管理办法
1、建立密码共设协管制度 1)、his系统服务器操作系统密码,由院长和信息科专职人员共同设置并定期更改,保证信息中心单人无法擅自进入服务器。2)、his系统数据密码,由院长和信息科专职人员共同设置并定期更改,确保信息科单人无法擅自登入his系统数据。
2、建立调用敏感数据申报制度 1)、药械科工作人员调用药品销售(科室、医技)相关报表,由药剂科主任负责确认每个工作人员具体调用范围,以书面形式提出申请,经院长审批后,交由信息中心授予相关权限。如申报批准授予权限后发生数据泄露,由药械科负责人解释及承担责任。2)、其他科室工作人员无权调用敏感数据,不得以任何理由要求信息科授予相关权限。如有发生,信息科有权拒绝授予并报告院长。3)、网络管理员不得利用职务之便为他人提供统方信息,一旦发生将严肃处理。
3、建立机房准入制度
确需进入信息机房参观的非本科室工作人员,必须经院领导批准后可入内参观,进入信息网络机房后必须听从网络管理人员的安排。
4、签订信息安全保密协议书 1)、医院同his厂家签订信息安全保密协议书,约束his厂家泄露信息。2)、同厂家工程实施人员签订信息安全保密保证书,约束实施人员不泄露信息,如有发生,由his厂家承担全部责任。3)、信息中心和his厂家双方共同对现有医生、护士工作站及药库、药房子系统进行清查,凡涉及敏感数据项,在不影响正常工作的前提下,予以屏蔽。4)、his厂家负责监督信息中心,取消信息中心授予敏感数据权限的功能,并由his厂家出具相关证明。
为保障本实施办法的有效执行及公证严明,本实施办法由院方及第三方厂家共同负责监督落实。
第36条:信息网络机房管理制度
1、信息网络机房直接由院长管理,在院长和院办室的领导下,负责制定全院信息化建设工作规划和实施方案。
2、信息网络机房是医院网络数据的储存、交换中心、非本室工作人员严禁入内。确需进入网络机房参观的非本室工作人员,必须经医院领导批准后方可入内参观,进入网络机房后必须听从网络管理员的安排。
3、网络机房设备、门窗、水电暖安全每天检查一次,并做好检查记录。
4、网络机房的卫生每天清洁一次。严禁在网络机房内吸烟。
5、网络机房工作人员不得在机房内会客,不得将易燃、易腐蚀品带入机房,不做与工作无关的事。
6、机房工作人员离开时必须检查电源、设备、严防人为事故的发生。
7、建立健全和落实医院信息化建设的各项管理规章制度,如信息网络系统操作规程、升级、维护制度、安全检查制度、信息网络系统应急制度。
8、负责医院管理信息网络的维护工作,加强医院信息系统网络和数据的安全性,确保其正常运行。
9、负责医院医疗信息的收集、传递和反馈,保证信息流通渠道的畅通。加强职工信息化知识技术培训、提高全员信息化意识和信息技术应用水平。
10、负责医院门户网站建设与管理,及时更新医院网站。及时完成医院下达的临时性工作任务。篇二:信息安全保密制度 信息安全保密制度
为加强对计算机信息网络国际联网安全保护,加强对计算机信息服务的管理,保障通过计算机网络国际联网传播信息安全,维护公共秩序和社会稳定,特制定如下规定: 第一条 公司设立网络信息安全管理小组,由公司领导和相
关技术人员、管理人员组成、负责信息内容审核,信息发布登记,网络安全技术防范与管理等工作。
第二条 网络信息安全管理小组进行信息内容审核,信息发
布登记,电子公告系统审计,违法犯罪案件保安等工作,并采取网络安全技术防范措施,保证网络的安全。
第三条 任何单位、部门和个人不得利用国际联网危害国家
安全、泄露国家秘密、不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。所有工作人员必须严格遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》以及国家有关法律、法规。
第四条 任何单位、部门和个人不得利用国际联网制作、复 制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序 的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶 杀、恐怖、教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第五条 任何单位、部门和个人不得从事下列危害计算机信 息网络安全的活动。
(一)未经允许,进入计算及信息网络或者使用计算机 网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修 改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者 传输的数据和应用程序进行删除、修改或者增 加的;
(四)故意制作、传输计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第六条 用户的通信自由和通信秘密受法律保护,任何单位、部门和个人不得违反法律规定,利用国际联网侵犯用的通信自由和通信秘密。
第七条 公司设立网络安全管理员,每天对网上信息惊醒检
查,发现有异常信息须立即按照有关规定处理。发现有不良信息,应立即删除并做好备份及详细记录; 第八条
第九条发现有违反犯罪现象立即按照规定处理并立即向公司领导汇报,在24小时内向公安部门报告。自觉接收公安机关的安全监督、检查和知道。如实向公安机关提供安全操作的信息、资料及数据文件,协助公安机关查处各项违法犯罪行为。入网部门办理备案手续,并送交公安机关备案。篇三:信息安全保密管理制度 信息安全保密管理制度
为保守秘密,防止泄密问题的发生,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,坚决不允许外来光盘、软件在公安专网计算机上使用。
(2)接入公安专网的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入公安专网的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将保密文件存放在网络硬盘上。
(5)禁止将涉密办公计算机擅自联接国际互联网。(6)保密级别在秘密以下的材料可通过电子信箱传递和报送,严禁保密级别在秘密以上的材料通过警综平台传递和报送。
(7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。(8)要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。
(9)国际互联网必须与涉密计算机系统实行物理隔离。
(10)在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
(11)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(12)涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。(13)严禁互联网计算机接入公安专网。(14)严禁公安业务计算机接入互联网。
二、涉密存储介质保密管理规定
(1)涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及u盘等。(2)存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,存放在本单位指定的密码柜中。(3)需归档的涉密存储介质,因及时归档。
(4)各部门负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
(5)涉密存储介质的维修应保证信息不被泄露,由各涉密部门负责人负责。需外送维修的,要经领导批准,到国家保密主管部门指定的维修点维修,并有保密人员在场。(6)不再使用的涉密存储介质应由使用者提出报告,由所领导批准后,交保密办公室负责销毁。
三、计算机维修维护管理规定
(1)涉密计算机和存储介质发生故障时,应当向所信息中心提出维修申请,经批准后到指定维修地点修理,一般应当由本局内部维修人员实施,须由外部人员到现场维修时,整个过程应当由有关人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的涉密信息,维修后应当进行保密检查。
(2)凡需外送修理的涉密设备,必须经保密小组和主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
(3)高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。(4)由局保密委员会指定专人负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
四、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有涉密计算机所使用的密码。(2)机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。(3)密码必须由数字、字符和特殊字符组成,秘密级计算机设置的密码长度不能少于8个字符,机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过60天。(4)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示所保密委员会负责人认可。
五、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
(3)各涉密部门自用信息资料由本部门管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
第四篇:信息安全保密制度
第35条:信息安全保密制度管理办法
1、建立密码共设协管制度
1)、HIS系统服务器操作系统密码,由院长和信息科专职人员共同设置并定期更改,保证信息中心单人无法擅自进入服务器。
2)、HIS系统数据密码,由院长和信息科专职人员共同设置并定期更改,确保信息科单人无法擅自登入HIS系统数据。
2、建立调用敏感数据申报制度
1)、药械科工作人员调用药品销售(科室、医技)相关报表,由药剂科主任负责确认每个工作人员具体调用范围,以书面形式提出申请,经院长审批后,交由信息中心授予相关权限。如申报批准授予权限后发生数据泄露,由药械科负责人解释及承担责任。
2)、其他科室工作人员无权调用敏感数据,不得以任何理由要求信息科授予相关权限。如有发生,信息科有权拒绝授予并报告院长。
3)、网络管理员不得利用职务之便为他人提供统方信息,一旦发生将严肃处理。
3、建立机房准入制度
确需进入信息机房参观的非本科室工作人员,必须经院领导批准后可入内参观,进入信息网络机房后必须听从网络管理人员的安排。
4、签订信息安全保密协议书
1)、医院同HIS厂家签订信息安全保密协议书,约束HIS厂家泄露信息。
2)、同厂家工程实施人员签订信息安全保密保证书,约束实施人员不泄露信息,如有发生,由HIS厂家承担全部责任。
3)、信息中心和HIS厂家双方共同对现有医生、护士工作站及药库、药房子系统进行清查,凡涉及敏感数据项,在不影响正常工作的前提下,予以屏蔽。
4)、HIS厂家负责监督信息中心,取消信息中心授予敏感数据权限的功能,并由HIS厂家出具相关证明。为保障本实施办法的有效执行及公证严明,本实施办法由院方及第三方厂家共同负责监督落实。第36条:信息网络机房管理制度
1、信息网络机房直接由院长管理,在院长和院办室的领导下,负责制定全院信息化建设工作规划和实施方案。
2、信息网络机房是医院网络数据的储存、交换中心、非本室工作人员严禁入内。确需进入网络机房参观的非本室工作人员,必须经医院领导批准后方可入内参观,进入网络机房后必须听从网络管理员的安排。
3、网络机房设备、门窗、水电暖安全每天检查一次,并做好检查记录。
4、网络机房的卫生每天清洁一次。严禁在网络机房内吸烟。
5、网络机房工作人员不得在机房内会客,不得将易燃、易腐蚀品带入机房,不做与工作无关的事。
6、机房工作人员离开时必须检查电源、设备、严防人为事故的发生。
7、建立健全和落实医院信息化建设的各项管理规章制度,如信息网络系统操作规程、升级、维护制度、安全检查制度、信息网络系统应急制度。
8、负责医院管理信息网络的维护工作,加强医院信息系统网络和数据的安全性,确保其正常运行。
9、负责医院医疗信息的收集、传递和反馈,保证信息流通渠道的畅通。加强职工信息化知识技术培训、提高全员信息化意识和信息技术应用水平。
10、负责医院门户网站建设与管理,及时更新医院网站。及时完成医院下达的临时性工作任务。
第五篇:1.信息安全保密制度
一、信息安全保密制度
1.安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。
2.信息科科长、工程师必须严格执行国家的有关规定和院里的有关制度,认真管理档案、医疗数据资料、数据库系统。
3.信息科的所有工作人员必须严格遵守院里的规章制度和信息科的有关规定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。4.未经院领导和信息科负责人同意,非管理人员不得进入机房,不得擅自操作医院系统服务器、存储设备、各应用服务器、防火墙及控制机房的其他设备。
5.未经院领导和信息科负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。6.医疗数据资料、信息系统库资料应遵循: 1)资料建档和资料派发要履行交接手续。
2)定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据库的正常运行。
3)未经许可数据库内的数据信息不得随意修改或删除,更不能对外提供。
4)除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过网络(局域网、VPN虚拟专网、内部网等)联机调阅数据。5)医疗数据资料按规定要求进行计算机建档和处理,数据入库后要及时删除工作终端中的原有数据。
6)严格遵守信息科工作流程,不得做任何违反工作流程的操作。7)定期对数据库的信息数据进行备份,要求每增加或更新批次,定期对数据备份一次。
7.信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患,杜绝安全事故。
8.权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
9.在服务器中建立运行日志,以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录;运行日志中内容记录方式以时间为序。
10.强化信息安全保密管理,加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。
二、计算机信息网络安全管理
1.计算机中心主管全院计算机网络系统的安全保护。计算机网络系统的安全保护工作包括保障硬件、软件和数据的安全、运行环境的安全、保证医院信息系统稳定和安全运行。
2.任何科室或个人,必须遵守国家有关法律及医院规章制度;不得利用上网计算机从事危害医院利益和其它违法、违规的活动,不得危害计算机网络系统的安全。
3.对计算机网络发生的问题,有关人员应及向计算机中心报告。
4.计算机网络中系统软件、设备、设施的安装、调试、排除故障由计算机中心技术人员负责,其它任何科室和个人不得私自拆卸、安装任何软、硬件设施,否则后果自负。
5.计算机中心负责处理计算机病毒和危害网络系统安全的其他有害数据信息的防治工作。
6.计算机中心网络管理人员发现计算机网络安全隐患时,可采取各种有效措施给予制止。
7.任何影响计算机网络系统安全运行造成不良后果。应承担其责任,造成医院重大损失的要依法追究和承担法律责任。