互聯(lián)網醫(yī)院制度互聯(lián)網醫(yī)院制度互聯(lián)網醫(yī)院制度資料僅供參考文件編號：2022年4月互聯(lián)網醫(yī)院制度版本號：A修改號：1頁次：1.0審核：批準:發(fā)布日期：互聯(lián)網醫(yī)院管理工作制度（試行）2020年3月目錄第一部分互聯(lián)網醫(yī)院醫(yī)療常規(guī)管理1、在線分診管理制度--------------------------------12、在線預約轉診管理制度----------------------------23、在線診療管理制度--------------------------------24、在線協(xié)調檢驗檢查管理制度------------------------35、在線會診管理制度--------------------------------46、特殊病例上報管理制度----------------------------57、在線協(xié)調收入院管理制度--------------------------68、專家線下診治管理制度----------------------------69、在線協(xié)調轉院管理制度----------------------------710、院后在線隨訪管理制度---------------------------711、在線電子處方管理辦法---------------------------812、在線電子處方點評管理辦法-----------------------913.醫(yī)療安全（不良）事件和患者安全醫(yī)患報告管理辦法—1314、尊重患者隱私權的管理制度----------------------1515、醫(yī)療糾紛預防和處理辦法------------------------1616、無循證醫(yī)學證據的診療方法的管理規(guī)定------------1717、專業(yè)委員會制度--------------------------------18第二部分互聯(lián)網醫(yī)院醫(yī)師管理18、臨床醫(yī)師職責----------------------------------1919、醫(yī)療人員執(zhí)業(yè)資質管理規(guī)定----------------------2020、醫(yī)師網上診療真實性的技術保障-----------------21目錄第二部分互聯(lián)網醫(yī)院醫(yī)師管理21、醫(yī)師誠信檔案體系建設制度----------------------22第三部分互聯(lián)網醫(yī)院病案管理22、在線電子病歷管理制度--------------------------2523、在線電子病歷質量質控制度----------------------27第四部分互聯(lián)網醫(yī)院藥事管理24.抗菌藥物分級使用管理制度-----------------------2825、藥品購買流程及制度----------------------------2926、藥品購買、配送環(huán)節(jié)的監(jiān)督制度-------------------3027、簽約藥品互聯(lián)網電商的準入制度------------------31第五部分互聯(lián)網醫(yī)院信息安全管理28、醫(yī)院網站安全應急預案--------------------------3129、醫(yī)院網站故障應急預案--------------------------4930、信息安全管理制度------------------------------5231、網絡和系統(tǒng)防護制度----------------------------5932、應用數(shù)據防護制度------------------------------66互聯(lián)網醫(yī)院管理工作制度（試行）第一部分互聯(lián)網醫(yī)院醫(yī)療常規(guī)管理1.在線分診管理制度為提升醫(yī)患雙方在線診療有效性，利用分診體系對患者提交的病例進行歸類，提供在線科室分診，實現(xiàn)患者與醫(yī)生的精確匹配。一、在線醫(yī)患雙方匹配制度（一）專業(yè)匹配：根據醫(yī)生的擅長方向和患者的疾病類型做匹配。（二）難易匹配：根據醫(yī)生的權威程度和病例的嚴重程度做匹配。二、在線層級診療制度遵循層級診療原則進行分診，常見多發(fā)疾病優(yōu)先匹配地市級醫(yī)生；疑難危重癥匹配北上廣權威專家，保證醫(yī)患匹配精準性。三、在線病例整理制度（一）分診專員需幫助患者進行病例整理，規(guī)范醫(yī)學用語，確保醫(yī)生查閱病例的流暢性。（二）對于病例不完整的咨詢申請，分診專員需引導患者補充病情/完善檢查資料。四、在線評分評級制度（一）系統(tǒng)評分：系統(tǒng)根據病程時長、既往就診醫(yī)院、是否異地就診等對咨詢進行客觀評分。（二）專業(yè)評分：分診員根據病情嚴重性、合并癥、并發(fā)癥及器官功能受累情況進行專業(yè)評分。五、在線醫(yī)患信息管理制度（一）禁止患者提交非疾病咨詢，如非法信息、隱私、臟話、反共言論等，屏蔽非醫(yī)療信息。（二）患者病情描述中涉及個人隱私信息，如姓名、手機號等需要屏蔽，最大限度地保證患者個人信息的安全性。（三）醫(yī)患雙方投訴，需按照投訴處理流程及時響應，有效解決，保障用戶權益。2.在線預約轉診管理制度幫助患者匹配專業(yè)醫(yī)生，做到院前分診，提高醫(yī)生診療效率。一、患者必須提供個人真實信息進行轉診申請（姓名、年齡、出生日期、身份證號）。二、病情優(yōu)先制，患者病情符合醫(yī)生要求，才可通過轉診審核。三、已確定轉診患者若要取消轉診，須在規(guī)定時限內提出并獲得同意，爽約患者，取消下次預約轉診的權利。四、定期電話回訪患者就醫(yī)情況。3.在線診療管理制度通過在線方式了解患者情況，讓醫(yī)生提供必要的診療或合理性建議。一、患者需向醫(yī)生提供完整的病史和相關檢查資料。二、醫(yī)生給予患者的診療意見必須真實、有效，不能夸大診療效果或進行廣告宣傳。三、醫(yī)生應當及時應答患者問題，及時有效解答患者問題。四、醫(yī)生開具的電子處方藥品名稱、藥量和服用次數(shù)要規(guī)范書寫，確?；颊吣軌蚶斫狻Ｎ?、患者享有對電子處方內容的詢問權利。六、醫(yī)生電子處方中的藥品需保證患者能夠線上或線下成功取藥。4.在線協(xié)調檢驗檢查管理制度該制度適用于異地患者在線求醫(yī)時，由于檢驗檢查資料不足，不足以支持醫(yī)生做出診療方案或建議，醫(yī)生要求患者補充檢驗檢查資料，患者可以就近在當?shù)囟壖耙陨厢t(yī)院完成相應檢查，提供檢驗檢查結果給醫(yī)生，以便獲得更加有價值的診療。一、醫(yī)生需要根據患者情況，明確需要做的檢驗檢查。在線告知患者的同時告知分診中心。二、分診中心需根據醫(yī)囑，依據就近原則，為患者協(xié)調當?shù)刈鰴z查的二級及以上醫(yī)院或符合要求的機構，按時完成檢查。三、患者完成相關檢查后，上傳至互聯(lián)網醫(yī)院，分診中心負責核對報告是否符合醫(yī)生要求。如符合，通知醫(yī)生繼續(xù)診療過程。如不符合，需告知患者補充資料，至符合醫(yī)生要求。5.在線會診管理制度本辦法所稱會診是指醫(yī)師由互聯(lián)網醫(yī)院批準，為其他醫(yī)療機構特定的患者開展執(zhí)業(yè)范圍內的診療活動。根據衛(wèi)生部頒發(fā)的《醫(yī)師外出會診管理暫行規(guī)定》特制定本細則。一、會診流程（一）由接診醫(yī)師通過互聯(lián)網醫(yī)院的醫(yī)生終端（醫(yī)生APP）發(fā)起邀請，填寫電子會診單[在提交的申請單上明確寫清患者姓名、病情摘要（患者病情和當前診治方案）、擬邀請醫(yī)師、會診目的、會診時間]。（二）受邀醫(yī)師在醫(yī)生終端（醫(yī)生APP）選擇同意后，在約定的時間進入醫(yī)生終端（醫(yī)生APP）會診中心，系統(tǒng)采用合適的方式進行會診（手機視頻，圖文，語音等）。（三）會診時由接診醫(yī)師匯報患者病歷、診治情況以及要求會診的目的。通過討論，給出明確診療意見，并將會診結果上傳至終端完成會診。二、會診模式（一）院內會診1.單學科會診患者病情比較復雜，接診醫(yī)師無法獨立處理，需要科內會診，同級醫(yī)生或上下級醫(yī)生間討論后通過會診系統(tǒng)給出診療意見。2.科間會診患者病情需要其他科室?？漆t(yī)生協(xié)同診治，進行科間會診。應邀科室需主治醫(yī)師以上職稱參與，會診后由會診醫(yī)師給出?？平ㄗh，同時上傳系統(tǒng)完成會診。（二）院外會診1.院外線上?？茣\患者病情需要外院?？漆t(yī)師給予診療建議，進行院外線上?？茣\，醫(yī)生通過會診系統(tǒng)進行申請。會診對象：（1）疑難病例，互聯(lián)網醫(yī)院醫(yī)師無法診治；（2）診斷不明確，需要院外?？漆t(yī)師給予專業(yè)支持；（3）患者本人積極要求會診者。2.院外線上多學科會診患者病情疑難，涉及多個?？瓶剖覅f(xié)同診治，需進行院外線上多學科會診。會診對象：（1）病情跨學科，需要多個?？瓶剖夜餐懻摚瑪M定治療方案。（2）互聯(lián)網醫(yī)院內部會診無法解決患者問題，需要不同醫(yī)院頂尖?？瓶剖业臋嗤＜医o出指導建議。6.特殊病例上報管理制度一、根據《中華人民共和國傳染病防治法》，在診療過程中發(fā)現(xiàn)法定傳染病由專人負責，及時報患者所在地的疾控中心.。二、危及患者生命的急、重癥，如急性心肌梗死、腦出血、急性重癥胰腺炎等，由專人負責，病情屬實的情況下，幫患者聯(lián)系附近醫(yī)院，快速創(chuàng)建生命通道。7.在線協(xié)調收入院管理制度為需住院治療的患者提供便捷的預約住院通道，及時、精準找到醫(yī)生。一、在線問診后，對于病情需要住院且有相應需求的患者，需要在線提出申請。二、醫(yī)生收到申請后，需同意確認，線上開具相關收住院證明，并提前安排床位，保證患者順利入院。三、入院當天，患者需持相應證件和住院證明到醫(yī)院辦理入院手續(xù)。8.專家線下診治管理制度該制度適用于異地需住院或手術治療的患者。醫(yī)生需要到患者所在地醫(yī)院，協(xié)助當?shù)蒯t(yī)生，對于住院的患者進行診治，包括手術治療。一、互聯(lián)網醫(yī)院“會診服務中心”，需協(xié)調好專家以及患者所在地醫(yī)院，做好專家前去患者當?shù)厮卺t(yī)院診療所需的前期準備。（一）確認患者疾病相關資料上傳；（二）專家通過會診平臺審核資料，給出初步醫(yī)囑；（三）確認已通過會診平臺安排線下會診（手術）時間及初步治療方法。二、診療（含手術）完成后，患者所在當?shù)蒯t(yī)院主治醫(yī)生需完善會診單，并上傳至會診系統(tǒng)。三、需要通過“院后隨訪系統(tǒng)”，與上級醫(yī)生保持聯(lián)系，共同管理患者，至患者康復。四、患者當?shù)厮卺t(yī)院及主治醫(yī)生為患者的診療結果負責。五、上級專家做為診療（含手術）的專業(yè)支持者。9.在線協(xié)調轉院管理制度為了給患者提供方便、快捷、優(yōu)質、連續(xù)性的醫(yī)療服務，加強醫(yī)院之間的聯(lián)系協(xié)作，逐步形成一個有序的轉診程序。一、申請人（院方、患者本人）在線申請轉院，需經科主任或院級領導審批通過。二、審批通過后，申請人需向分診中心上傳轉院申請單、提供患者病例摘要。三、分診中心負責協(xié)調、對接轉院醫(yī)院，保證患者順利轉院。四、轉入方負責安排床位與接診工作，確?；颊呒皶r入院治療。10.院后在線隨訪管理制度為了積極推行院前、院中、院后一體化醫(yī)療服務模式，將醫(yī)療服務延伸至社區(qū)及家庭，特制定患者院后隨訪管理制度。一、互聯(lián)網醫(yī)院醫(yī)師確定需要院后隨訪的患者，將其通過患者報到方式納入院后管理患者群。二、隨訪方式：通過APP院后隨訪管理系統(tǒng)，包括隨訪任務體系、患者教育體系、疾病管理日記、患者用藥日記、調查表、復查和復診任務等功能等方式，實現(xiàn)對患者的院后管理。四、隨訪內容包括：了解患者治療效果、病情變化和恢復情況，指導患者如何用藥、如何康復、何時回院復診、病情變化后的處置意見等專業(yè)技術指導。五、醫(yī)院應通過向社會公布的醫(yī)療、咨詢服務電話做好隨訪咨詢服務，工作人員應耐心解答患者及家屬的有關咨詢。11.在線電子處方管理辦法一、電子處方管理的一般規(guī)定（一）電子處方，是指由注冊的醫(yī)師在互聯(lián)網線上診療活動中為患者開具的、由取得藥學專業(yè)技術職務任職資格的藥師審核、調配、核對，并作為患者用藥憑證的醫(yī)療文書。（二）處方書寫規(guī)則1.電子處方按系統(tǒng)要求完成各項填寫；2.每張?zhí)幏讲坏贸^5種藥品，中草藥處方與西、成藥須分開開具；3.患者一般情況、臨床診斷填寫清晰、完整，并與病歷記載相一致；4.開具處方用藥應當使用經藥監(jiān)局批準并公布的藥品通用名稱、新活性化合物的專利藥品名稱和復方制劑藥品名稱；藥品用法可用規(guī)范的中文、英文、拉丁文或者縮寫體書寫；藥品用法用量應當按照藥品說明書規(guī)定的常規(guī)用法用量使用，特殊情況需要超劑量使用時，應當注明原因并再次簽名。二、處方權的獲得已在互聯(lián)網醫(yī)院注冊多點執(zhí)業(yè)的執(zhí)業(yè)醫(yī)師應在院內取得相應處方權，其簽名式樣和專用簽章應在藥事管理中心留樣備查。三、處方的開具（一）醫(yī)師按照診療規(guī)范、藥品說明書中的藥品適應證、藥理作用、用法、用量、禁忌、不良反應和注意事項等開具處方。（二）處方開具當日有效。特殊情況下需延長有效期的，由開具處方的醫(yī)師注明有效期限，但有效期最長不得超過3天。（三）開藥量嚴格執(zhí)行“急性病不超過3天用量，慢性病不超過7日用量，行動不便的不超過2周量；患高血壓、糖尿病、冠心病、慢性肝炎、肝硬化、結核病、癌癥、腦血管病、前列腺肥大等疾病，且病情穩(wěn)定需長期服用同一類藥物的，可放寬到不超過1個月量”的原則。（四）不得開具毒、麻藥品和精神藥品。12.在線電子處方點評管理辦法一、電子處方點評的內容根據相關法律、法規(guī)、技術規(guī)范，對處方書寫的規(guī)范性及藥物臨床使用的適宜性（用藥適應證、藥物選擇、給藥途徑、用法用量、藥物相互作用、配伍禁忌等）進行評價，發(fā)現(xiàn)存在或潛在的問題，制定并實施干預和改進措施，促進臨床藥物合理應用。二、組織機構和人員（一）藥事管理與藥物治療學委員會由藥事、醫(yī)事管理中心等部門相關人員組成，負責互聯(lián)網醫(yī)院處方點評管理工作的開展。（二）處方點評專家組由藥事管理中心、醫(yī)事管理中心等部門和臨床醫(yī)學專家組成，為處方點評工作提供管理及專業(yè)技術咨詢。（三）處方點評工作小組由具有臨床用藥經驗和合理用藥知識的藥師組成處方點評工作小組，負責處方點評的具體工作。三、實施

（一）一般統(tǒng)計：定期對上月西藥處方進行分析，統(tǒng)計并填寫“在線處方分析結果表”，分析每月的總處方數(shù)、平均處方用藥品種、平均處方單價、平均品種單價、抗菌藥物處方比例、抗菌藥物金額比例、抗菌藥物平均品種單價、針劑處方比例和基本藥物處方比例等。（二）處方點評：藥師分別抽查一個月中7天的處方。依據衛(wèi)生部制定的《醫(yī)院處方點評管理規(guī)范（試行）》（衛(wèi)醫(yī)管發(fā)〔2010〕28號）標準檢查處方，填寫“處方點評審查統(tǒng)計表”，將不合理處方進行統(tǒng)計、分析。（三）專項處方點評：處方點評工作小組根據藥事管理和藥物臨床應用管理的現(xiàn)狀和存在的問題，確定點評的范圍和內容，對特定的藥物或特定疾病的藥物（如國家基本藥物、血液制品、中藥注射劑、腸外營養(yǎng)制劑、抗菌藥物、輔助治療藥物、激素等臨床使用及超說明書用藥、腫瘤患者、圍手術期用藥、降脂藥物、降壓藥物及降糖藥物等）使用情況進行處方點評。（四）處方點評工作小組定期召開例會，針對“在線處方分析結果表”、“在線處方點評審查統(tǒng)計表”中，在藥事管理、處方管理和臨床用藥方面存在的問題，進行匯總和綜合分析評價，提出質量改進建議，向藥事管理中心報告結果，并定期向藥事管理與藥物治療學委員會報告。四、結果處方點評結果分為合理處方和不合理處方。不合理處方包括不規(guī)范處方、用藥不適宜處方及超常處方。（一）不規(guī)范處方有下列情況之一的，應當判定為不規(guī)范處方：1.處方的前記、正文、后記內容缺項，書寫不規(guī)范的；2.西藥與中成藥未分別開具處方的；3.藥品的用法、用量不正確的；4.處方修改未簽名并注明修改日期，或藥品超劑量使用未注明原因和再次簽名的；5.開具處方未寫臨床診斷或臨床診斷書寫不全的；6.單張門診處方超過五種藥品的；7.無特殊情況下，處方超過7日用量，慢性病、老年病或特殊情況下需要適當延長處方用量未注明理由的；8.違規(guī)開具麻醉藥品、精神藥品、醫(yī)療用毒性藥品、放射性藥品等特殊管理藥品處方未執(zhí)行國家有關規(guī)定的；9.醫(yī)師未按照抗菌藥物臨床應用管理規(guī)定開具抗菌藥物處方的。（二）用藥不適宜的處方有下列情況之一的，應當判定為用藥不適宜處方：1.適應癥不適宜的；2.藥品劑型或給藥途徑不適宜的；3.無正當理由不首選國家基本藥物的；4.用法、用量不適宜的；5.聯(lián)合用藥不適宜的；6.重復給藥的；7.有配伍禁忌或者不良相互作用的；8.其它用藥不適宜情況的。（三）超常處方有下列情況之一的，應當判定為超常處方：1.無適應證用藥；2.無正當理由開具高價藥的；3.無正當理由超說明書用藥的；4.無正當理由為同一患者同時開具2種以上藥理作用相同藥物的。五、點評結果的應用與持續(xù)改進互聯(lián)網醫(yī)院實施處方點評公示制度，每月將處方點評結果公布在互聯(lián)網醫(yī)院網站內網動態(tài)信息中可查詢。同時，針對重點問題定期予以講評。在藥事管理與藥物治療學委員會領導下，對處方實施動態(tài)監(jiān)測及超常預警，發(fā)現(xiàn)可能造成患者損害的，及時采取改進措施，防止損害發(fā)生。六、監(jiān)督管理每月處方點評小組將上月處方點評結果和不合理處方（包括不合理處方內容、原因分析，涉及責任人等）報藥事管理中心，由藥事管理中心匯總處方檢查結果，向當事人反饋并報互聯(lián)網醫(yī)院負責人。對每季度出現(xiàn)5次及以上開具不合理處方的醫(yī)師，對其提出警告；對于1年內2個季度不合格的醫(yī)師，取消其處方權。13.醫(yī)療安全（不良）事件和患者安全醫(yī)患報告管理辦法為了確?；ヂ?lián)網醫(yī)院的醫(yī)療安全，提高醫(yī)務人員風險意識，及時妥善處理醫(yī)療不良事件及患者安全隱患，減少或避免醫(yī)療差錯和事故的發(fā)生，促進從不良事件和差錯中吸取教訓，持續(xù)提高醫(yī)療服務質量，特制定本管理辦法。一、醫(yī)療安全（不良）事件和安全隱患的界定及內容（一）醫(yī)療安全（不良）事件本規(guī)定所稱的醫(yī)療不良事件是指以下情況：1.在疾病醫(yī)療過程中由于診療活動而非疾病本身造成的患者機體與功能損害；2.雖然發(fā)生了錯誤事實，但未給患者機體與功能造成損害，或有輕微后果可以康復的事件；3藥物不良事件及藥品不良反應事件；4.其他醫(yī)療安全（不良）事件等。（二）患者安全隱患本規(guī)定所稱的患者安全隱患是指以下情況：1.在線診療過程中發(fā)現(xiàn)存在缺陷或漏洞，但未形成事實的隱患事件；2.在線診療過程中不能確定是否存在過失差錯，尚未造成明顯損傷后果，但存在轉化為不良事件可能性的事件；3.患者對在線醫(yī)療或服務不滿意，可能發(fā)生糾紛或出現(xiàn)問題的事件；4、其他患者安全隱患等。二、報告要求及流程（一）醫(yī)療安全（不良）事件報告流程1.醫(yī)療安全（不良）事件實行強制報告制度；2.當事醫(yī)師有按本規(guī)定報告的責任；3.醫(yī)療安全（不良）事件發(fā)生后，當事醫(yī)師得知信息后立即上報醫(yī)事管理中心；4.造成死亡、傷殘或重要器官功能損傷的嚴重醫(yī)療安全（不良）事件應在事件發(fā)生后立即報告醫(yī)事管理中心；5.藥品不良反應事件報告由藥品配送企業(yè)負責上報國家藥品不良反應監(jiān)測中心，并同時報告互聯(lián)網醫(yī)院藥事管理中心。（二）患者安全隱患報告流程1.患者安全隱患實行主動報告原則；2.鼓勵醫(yī)務人員主動報告安全隱患。安全隱患當事人和任何發(fā)現(xiàn)安全隱患的人員，都有責任向醫(yī)事管理中心報告。醫(yī)事管理中心對于上報的安全隱患信息，只用作工作流程改進，不作為對醫(yī)療過失差錯當事人處罰的依據；3.上報流程同醫(yī)療不良事件。（三）處理流程接到醫(yī)療不良事件和患者安全隱患報告后，由職能部門會同相關部門制定整改防范措施，并反饋報告人和相關部門，落實持續(xù)改進，同時由醫(yī)事管理中心匯集和管理，上報上級衛(wèi)生計生行政主管部門。14.尊重患者隱私權的管理制度一、維護患者的隱私權（一）規(guī)范服務行為，保護患者隱私。要求醫(yī)務人員深切理解患者就醫(yī)心理，通過規(guī)范服務取得患者的信任、增強安全感。（二）對涉及患者隱私的病歷書寫，除相關診療人員因醫(yī)療活動需要外，其他人員不得進行。（三）其他無關人員不能查閱患者的所有資料。二、尊重和維護患者的民族風俗習慣及宗教信仰（一）要尊重患者的民族風俗習慣。（二）根據患者的文化背景及需求，在溝通中要尊重患者的民族風俗習慣及宗教信仰。15.醫(yī)療糾紛預防和處理辦法為了有效預防和處理醫(yī)療糾紛，保護醫(yī)患雙方合法權益，維護醫(yī)療秩序，促進互聯(lián)網醫(yī)院投訴和糾紛處理制度化、程序化、規(guī)范化，特制定本辦法。本辦法所稱醫(yī)療糾紛，是指患者于互聯(lián)網醫(yī)院及其醫(yī)務人員之間因診療等醫(yī)療服務行為造成的后果及原因、責任、賠償?shù)葐栴}，產生分歧而引發(fā)的爭議。一、互聯(lián)網醫(yī)院各部門應嚴把醫(yī)療質量管理，加強醫(yī)療安全意識，嚴格執(zhí)行各項醫(yī)療制度，做到預防為主，調解先行，責任明晰，處理恰當。二、互聯(lián)網醫(yī)院客戶管理中心負責醫(yī)院醫(yī)療糾紛的預警和應急處置，發(fā)布醫(yī)療糾紛的處理方式和流程。三、醫(yī)療糾紛發(fā)生后，接到投訴的工作人員應積極、主動與投訴人溝通并立即做好安撫工作。四、客戶管理中心應與當事醫(yī)生取得聯(lián)系，對醫(yī)療糾紛情況進行調查核實，保存各類證據材料，并作出初步調查意見和處理方案，向患方通報和解釋。五、對以下類型的醫(yī)療糾紛，客戶管理中心應提出和解方案，并與患方溝通解決。（一）在線服務價格不滿意；（二）在線醫(yī)生服務質量、態(tài)度不滿意；（三）藥品質量、價格不滿意；（四）治療效果不滿意；（五）其他未造成醫(yī)療損害、索賠金額較小的情形。六、對以下類型的醫(yī)療糾紛，客戶管理中心應根據事件的性質。大小、責任分擔，依法作出賠償預算，上報互聯(lián)網醫(yī)院負責人和衛(wèi)生計生行政管理部門，并通知醫(yī)師責任險的承保機構。（一）導致患者傷殘、死亡等嚴重后果的；（二）導致3人以上人身損害后果的；（三）醫(yī)患矛盾激烈的；（四）其他情況復雜，爭議較大，造成嚴重醫(yī)療損害的情形。七、醫(yī)患雙方協(xié)商一致且確定賠付方案的，應簽署書面協(xié)議。八、如醫(yī)患雙方和解不成，互聯(lián)網醫(yī)院負責人應當在上報衛(wèi)生計生行政管理部門的同時，告知患方可選擇以下途徑解決糾紛：（一）向人民調解委員會申請人民調解；（二）向人民法院提起訴訟；（三）法律、行政法規(guī)、規(guī)章規(guī)定的其他途徑。九、對發(fā)生重大醫(yī)療糾紛的醫(yī)務人員，互聯(lián)網醫(yī)院將根據情況給予關閉服務權限，取消服務資格的處理。情節(jié)嚴重的，報衛(wèi)生計生行政部門并依照國家有關法律法規(guī)、部門規(guī)章給予處罰。16.無循證醫(yī)學證據的診療方法的管理規(guī)定為防止患者利益受損，規(guī)范醫(yī)療行為，互聯(lián)網醫(yī)院鼓勵醫(yī)生采用規(guī)范診療方案。任何不符合疾病治療指南以及未經臨床研究證明有效的療法，不允許在互聯(lián)網醫(yī)院使用，醫(yī)療質量控制部門需嚴格控制，特殊情況必須經過專業(yè)委員會審核。審核的目的是為了遵循循證醫(yī)學，確保互聯(lián)網醫(yī)院給患者提供的方案，最大限度保護患者利益。一、互聯(lián)網醫(yī)院醫(yī)生使用如下治療方式，必須經專業(yè)委員會審核，包括但不限于：（一）干細胞治療非血液系統(tǒng)疾?。唬ǘ┥窠浽邢蛑委煾鞣N疾病，如癲癇、腦癱等；（三）腫瘤的生物、免疫療法；（四）自體免疫治療各種疾??；二、下述疾病領域的醫(yī)療行為屬高危違規(guī)領域，需高度關注診療方案的規(guī)范性：包括但不限于：腫瘤治療、癲癇、腦癱、帕金森、截癱、白癜風、銀屑病、魚鱗病等。17.專業(yè)委員會制度為確?；ヂ?lián)網醫(yī)院的醫(yī)療服務品質及專業(yè)化程度，特設專業(yè)委員會制度。一、人員構成分為內部和外部兩部分：內部：各業(yè)務部門抽調的醫(yī)學專家，均是專業(yè)教育背景并有臨床工作經驗的成員；外部：來自各個醫(yī)學專業(yè)領域，非常權威的專家，作為顧問。二、工作職責（一）合作醫(yī)療機構資質的審核：包括民營醫(yī)院、軍隊醫(yī)院等；（二）多點執(zhí)業(yè)在互聯(lián)網醫(yī)院醫(yī)生專業(yè)資質的審核（三）判斷在互聯(lián)網醫(yī)院采用的各種診斷治療方式的合理性三、工作流程業(yè)務部門提交申請，專業(yè)委員會（包括內外部）進行評估，在專業(yè)委員會內部達成共識，給出意見，由業(yè)務部門完成后續(xù)操作。第二部分互聯(lián)網醫(yī)院醫(yī)師管理18.臨床醫(yī)師職責一、在互聯(lián)網醫(yī)院工作的醫(yī)師，必須取得醫(yī)師資格證書并多點執(zhí)業(yè)注冊在互聯(lián)網醫(yī)院。二、醫(yī)師應按照約定時間出診，與患者通過圖文、電話或者視頻等方式進行交流，并及時處理患者就診需求。三、堅持首診負責制，不推諉患者。四、醫(yī)師必須嚴格遵守各項規(guī)章制度，對患者進行診斷、治療，開寫處方，按照病歷書寫規(guī)范認真書寫病歷。五、負責報告診斷、治療中存在的問題以及患者病情變化，提出轉診或轉院。六、對所管患者應全面負責。七、嚴格執(zhí)行處方管理辦法，醫(yī)?；颊叩奶幏綉獓栏癜椿踞t(yī)療保險規(guī)定藥量開取，并遵守市醫(yī)保政策的相關規(guī)定。八、尊重患者合法權益，嚴格執(zhí)行知情同意管理辦法。九、醫(yī)師應定期接受其所在醫(yī)院組織的培訓，并按要求通過醫(yī)師定期考核。19.醫(yī)療人員執(zhí)業(yè)資質管理規(guī)定一、多點執(zhí)業(yè)備案在互聯(lián)網醫(yī)院獨立從事臨床醫(yī)療工作的醫(yī)師，必須同時具備《醫(yī)師資格證書》和已辦理在互聯(lián)網醫(yī)院多點執(zhí)業(yè)的《醫(yī)師執(zhí)業(yè)證書》。多點執(zhí)業(yè)備案按照市相關部門的要求完成。備案資料要求：（一）多點執(zhí)業(yè)備案表1.醫(yī)師需要根據《多點執(zhí)業(yè)備案表》中的內容，清楚、正確的填寫，并且需要在表格中附件一寸照片；2.備案表中需要簽字或印章；3.備案表中所填寫的內容需與相關證件中的內容相符。（二）醫(yī)師提供《身份證》照片或掃描件。（三）醫(yī)師提供《醫(yī)師執(zhí)業(yè)證》的第一頁、第二頁照片或掃描件。（四）醫(yī)師提供《職稱證》的照片或掃描件。（五）醫(yī)師提供最新日期的“定期考核”合格的記錄照片或掃描件。（六）上述資料報備政府相關部門，同時內部存檔。二、醫(yī)師開通在線執(zhí)醫(yī)業(yè)務條件（一）需在互聯(lián)網醫(yī)院申請多點執(zhí)業(yè)備案。（二）備案資料審核通過的醫(yī)生可以和互聯(lián)網醫(yī)院簽訂聘任合同。（三）互聯(lián)網醫(yī)院統(tǒng)一為簽訂聘任合同的醫(yī)生投保醫(yī)責險。（四）在互聯(lián)網醫(yī)院設置電子簽名。三、醫(yī)師必須嚴格按照其注冊的執(zhí)業(yè)類別、執(zhí)業(yè)范圍從事醫(yī)療活動。四、任何醫(yī)師不得從事不符合自己執(zhí)業(yè)范圍的診療行為，不得出具與自己執(zhí)業(yè)范圍無關或者與執(zhí)業(yè)類別不相符的各種醫(yī)學文件。五、醫(yī)師要嚴格執(zhí)行本規(guī)定，如有違反者將依據國家法律法規(guī)給予個人相應處理。20.醫(yī)師網上診療真實性的技術保障一、凡在互聯(lián)網醫(yī)院完成注冊和認證的醫(yī)師，其注冊賬號均綁定了唯一手機號，并經過驗證。二、醫(yī)師在互聯(lián)網醫(yī)院網上行醫(yī)，必須設置其唯一的行醫(yī)憑證。三、醫(yī)師在互聯(lián)網醫(yī)院開具處方時，必須準確輸入其唯一的數(shù)字憑證才可完成處方提交，以確保該處方由其本人開具。四、醫(yī)師未進行憑證設置，則不可以使用在線執(zhí)醫(yī)相關服務。五、若醫(yī)師忘記憑證，可通過手機號驗證身份后重新設置。21.醫(yī)師誠信檔案體系建設制度醫(yī)事管理中心負責在線醫(yī)師誠信檔案建設工作，建立互聯(lián)網醫(yī)院醫(yī)師行為規(guī)范、誠實守信、優(yōu)質服務的誠信檔案體系。一、誠信檔案建設主要內容互聯(lián)網醫(yī)院要為所有在互聯(lián)網醫(yī)院執(zhí)業(yè)的醫(yī)師建立誠信檔案，誠信檔案體系由電子身份認證碼、誠信評級、誠信公示三部分組成。（一）依托患者在線對醫(yī)生的服務態(tài)度和治療效果的點評結果，患者就診分享內容，評價誠信執(zhí)醫(yī)、誠信診療、誠信服務、誠信收費各個維度的誠信狀況；（二）電子身份認證碼是面向互聯(lián)網醫(yī)院醫(yī)師的身份標識，承載著具有公信力的誠信體系和權益服務，是真實醫(yī)師在線誠信執(zhí)醫(yī)的基礎。（三）誠信級別分為優(yōu)秀、良好、一般、較差四個等級，誠信等級將成為醫(yī)師在互聯(lián)網醫(yī)院平臺搜索排序、流量分配、推薦服務活動機會是否優(yōu)先的判斷標準。（四）誠信公示包含醫(yī)師的執(zhí)業(yè)信息、專業(yè)方向、出停診信息，所有收費價格及明細，以及醫(yī)師誠信檔案情況。二、醫(yī)師誠信檔案要求（一）救死扶傷，盡職盡責，全心全意為患者服務。（二）尊重患者的權利，為患者保守醫(yī)療秘密。1.對患者不分民族、性別、職業(yè)、地位、貧富都平等對待，不得歧視。2.維護患者的合法權益，尊重患者的知情權、選擇權和隱私權，為患者保守醫(yī)療秘密。（三）遵紀守法，廉潔行醫(yī)。1.嚴格遵守衛(wèi)生法律法規(guī)、衛(wèi)生行政規(guī)章制度和醫(yī)學倫理道德，嚴格執(zhí)行各項醫(yī)療工作制度，堅持依法執(zhí)業(yè)，廉潔行醫(yī)，保證醫(yī)療質量和安全。2.在醫(yī)療服務活動中，不收受、不索要患者及其親友的財物。3.不利用工作之便謀取私利，不收受藥品等生產、經營企業(yè)或經銷人員給予的財物、回扣以及其他不正當利益，不以介紹患者到其他單位檢查、治療和購買藥品、醫(yī)療器械等為由，從中牟取不正當利益。4.不開具虛假醫(yī)學證明，不參與虛假醫(yī)療廣告宣傳和藥品醫(yī)療器械促銷，不隱匿、偽造或違反規(guī)定涂改、銷毀醫(yī)學文書及有關資料。5.不采用任何不符合疾病治療指南以及未經臨床研究證明有效的療法。否則，將計入醫(yī)生誠信檔案；（四）文明禮貌，優(yōu)質服務，構建和諧醫(yī)患關系。1.關心、體貼患者，做到熱心、耐心、愛心、細心。2.認真踐行醫(yī)療服務承諾，加強與患者的交流和溝通，自覺接受監(jiān)督，構建和諧醫(yī)患關系。（五）因病施治，規(guī)范醫(yī)療服務行為。1.嚴格執(zhí)行診療規(guī)范和用藥指南，堅持合理檢查、合理治療、合理用藥。2.嚴格執(zhí)行醫(yī)療服務和藥品價格政策，不多收、亂收和私自收取費用。三、誠信檔案考評結果及應用誠信檔案結果分為四個等級：優(yōu)秀、良好、一般、較差。對模范遵守誠信檔案，評價為優(yōu)秀者，互聯(lián)網醫(yī)院給予表彰和推薦；對誠信檔案評價為一般者，給予警告提醒；對誠信檔案評價為較差者（八種情況），給予停診處理，并反饋其所在醫(yī)院依據國家法律法規(guī)及其他有關規(guī)定進行處理。醫(yī)師在考評周期內有下列情形之一的，醫(yī)德醫(yī)風考評結果應當認定為較差：（一）在醫(yī)療服務活動中索要患者及其親友財物或者牟取其他不正當利益的；（二）在臨床診療活動中，收受藥品等生產、經營企業(yè)或經銷人員以各種名義給予的財物或提成的；（三）違反醫(yī)療服務和藥品價格政策，多記費、多收費或者私自收取費用，情節(jié)嚴重的；（四）隱匿、偽造或擅自銷毀醫(yī)學文書及有關資料的；（五）不認真履行職責，導致發(fā)生醫(yī)療事故或嚴重醫(yī)療差錯的；（六）出具虛假醫(yī)學證明文件或參與虛假醫(yī)療廣告宣傳和藥品醫(yī)療器械促銷的；（七）醫(yī)療服務態(tài)度惡劣，造成惡劣影響或者嚴重后果的；（八）其他嚴重違反職業(yè)道德和醫(yī)學倫理道德的情形。第三部分互聯(lián)網醫(yī)院病案管理22.在線電子病歷管理制度為規(guī)范互聯(lián)網醫(yī)院的電子病歷管理，保證醫(yī)患雙方合法權益，根據《電子病歷基本規(guī)范》制定本管理制度。本規(guī)范適用于互聯(lián)網醫(yī)院電子病歷的建立、使用、保存和管理。一、醫(yī)事管理中心負責電子病歷的收集、保存、調閱、復制等管理工作。技術中心負責電子病歷技術方面建設、運行和維護。二、電子病歷是指醫(yī)務人員在醫(yī)療活動過程中,使用互聯(lián)網醫(yī)院信息系統(tǒng)生成的文字、符號、圖表、圖形、數(shù)據、影像等數(shù)字化信息,并能實現(xiàn)存儲、管理、傳輸和重現(xiàn)的醫(yī)療記錄,是病歷的一種記錄形式?；颊咴\療活動過程中產生的非文字資料（CT、磁共振、超聲等醫(yī)學影像信息，心電圖，錄音，錄像等）應當納入電子病歷系統(tǒng)管理，應確保隨時調閱、內容完整。三、電子病歷系統(tǒng)應當為操作人員提供專有的身份標識和識別手段，并設置有相應權限；操作人員對本人身份標識的使用負責。醫(yī)務人員采用身份標識登錄電子病歷系統(tǒng)完成各項記錄等操作并予確認后，系統(tǒng)應當顯示醫(yī)務人員電子簽名。四、電子病歷系統(tǒng)應當設置醫(yī)務人員審查、修改的權限和時限。醫(yī)務人員修改時，電子病歷系統(tǒng)應當進行身份識別、保存歷次修改痕跡、標記準確的修改時間和修改人信息。病歷記錄以接診醫(yī)師錄入確認即為歸檔，歸檔后不得修改。五、建立電子病歷信息安全保密制度，設定醫(yī)務人員和有關醫(yī)院管理人員調閱、復制、打印電子病歷的相應權限，建立電子病歷使用日志，記錄使用人員、操作時間和內容。未經授權，任何單位和個人不得擅自調閱、復制電子病歷。六、電子病歷系統(tǒng)應當為患者建立個人信息數(shù)據庫，授予唯一標識號碼并確保與患者的醫(yī)療記錄相對應。七、電子病歷系統(tǒng)應當滿足國家信息安全等級保護制度與標準。嚴禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷。八、電子病歷系統(tǒng)應當為病歷質量監(jiān)控、醫(yī)療衛(wèi)生服務信息以及數(shù)據統(tǒng)計分析和醫(yī)療保險費用審核提供技術支持，利用系統(tǒng)優(yōu)勢建立醫(yī)療質量考核體系，提高工作效率，保證醫(yī)療質量，規(guī)范診療行為，提高互聯(lián)網醫(yī)院管理水平。九、互聯(lián)網醫(yī)院建立電子病歷系統(tǒng)應當具備以下條件：（一）技術中心配備專門的管理部門和人員，負責電子病歷系統(tǒng)的建設、運行和維護。（二）具備電子病歷系統(tǒng)運行和維護的信息技術、設備和設施，確保電子病歷系統(tǒng)的安全、穩(wěn)定運行。（三）建立、健全電子病歷使用的相關制度和規(guī)程，包括人員操作、系統(tǒng)維護和變更的管理規(guī)程，出現(xiàn)系統(tǒng)故障時的應急預案等。（四）具備保障電子病歷數(shù)據安全的制度和措施，有數(shù)據備份機制，并定期對備份數(shù)據進行恢復試驗，確保電子病歷數(shù)據能夠及時恢復。應當建立信息系統(tǒng)災備體系。應當能夠落實系統(tǒng)出現(xiàn)故障時的應急預案，確保電子病歷的連續(xù)性。當電子病歷系統(tǒng)更新、升級時，應當確保原有數(shù)據的繼承與使用。（五）對操作人員的權限實行分級管理，保護患者的隱私。（六）具備對電子病歷創(chuàng)建、編輯、歸檔等操作的追溯能力。（七）電子病歷使用的術語、編碼、模板和標準數(shù)據應當符合有關規(guī)范要求。23.在線電子病歷質量質控制度為確?；ヂ?lián)網醫(yī)院的醫(yī)療文書符合當前法律法規(guī)和醫(yī)療行業(yè)管理要求，提高醫(yī)療質量，防范醫(yī)療風險，減少或杜絕因病歷質量問題在醫(yī)療糾紛處理過程中所造成的負面影響，建立醫(yī)院病歷質量管理體系，提高互聯(lián)網醫(yī)院的病歷質量并持續(xù)改進。一、組織管理病歷質控小組由醫(yī)事管理中心和臨床專家組成。二、病歷質量檢查病歷質控小組定期進行病歷抽查。通過檢查使臨床醫(yī)師能夠及時發(fā)現(xiàn)病歷書寫中的問題，并且及時修正，進一步提高病案的質量。三、病歷問題通知單對于存在問題的病歷，檢查人員將病歷問題通知單發(fā)給當時病歷書寫者，病歷書寫者應按照病歷問題通知單中提出的問題，在3天內進行及時改正。對于問題較嚴重的，質控中心將安排復查。四、公示制度病歷的檢查結果將在互聯(lián)網醫(yī)院內網上定期公示，檢查結果將納入醫(yī)師誠信檔案。第四部分互聯(lián)網醫(yī)院藥事管理24.抗菌藥物分級使用管理制度為加強對抗菌藥物臨床應用的管理，依照衛(wèi)生部《抗菌藥物臨床應用指導原則》和安徽省抗菌藥物分級管理規(guī)定，根據抗菌藥物特點、臨床療效、細菌耐藥、不良反應及藥品價格等因素，制定互聯(lián)網醫(yī)院《抗菌藥物分級使用管理制度》。一、互聯(lián)網醫(yī)院所有的抗菌藥物實行分級使用管理。分為限制使用和非限制使用二級。（一）限制使用的抗菌藥物（根據醫(yī)院實際情況制定目錄，并符合國家的抗菌藥物分級目錄要求）1.注射劑：頭孢哌酮/舒巴坦、哌拉西林/舒巴坦、哌拉西林/他唑巴坦、頭孢他啶、氟康唑、美洛西林鈉舒巴坦鈉、頭孢硫脒、頭孢尼西、頭孢唑肟、拉氧頭孢、頭孢米諾、頭孢西丁、阿奇霉素、妥布霉素、依替米星、異帕米星、厄他培南、莫西沙星。亞胺培南、替考拉寧、萬股孟蘇、頭孢吡肟等。2.口服劑型：莫西沙星、米諾環(huán)素、頭孢丙烯、頭孢泊肟酯、頭孢地尼、頭孢克肟、伊曲康唑口服液、伏立康唑。（二）非限制使用的抗菌藥物以上品種以外的其他抗菌藥品，特殊使用的除外。二、凡開具限制使用抗菌藥物處方必須有細菌感染診斷依據或理由，不允許局部使用；單純病毒感染不宜使用抗菌藥物。25.藥品購買流程及制度一、購藥途徑（一）通過互聯(lián)網醫(yī)院的線上購藥：依據處方，通過互聯(lián)網醫(yī)院簽約并實現(xiàn)系統(tǒng)對接的藥品互聯(lián)網電商購買藥品。（二）線下實體醫(yī)院或藥店購藥：依據處方，在醫(yī)院或實體藥店中購買。二、購藥方式（一）線上購藥1.醫(yī)生處方后，需患者同意，并在線操作確認，電子處方通過系統(tǒng)傳至互聯(lián)網醫(yī)院簽約藥品互聯(lián)網電商。2.患者完成支付后，藥品互聯(lián)網電商按照國家相關規(guī)定，完成藥品配送。3.藥品互聯(lián)網電商，通過系統(tǒng)完成購藥后的處方保存、配送記錄，并確保處方僅一次性使用。4.藥品互聯(lián)網電商，需要將患者購藥相關信息與互聯(lián)網醫(yī)院共享。包括但不限于購藥數(shù)量、價格、配送方式、送達時間、患者購藥體驗滿意度等。（二）線下購藥患者依據在線電子處方，在線下實體藥店購藥，并按照國家相關規(guī)定，給實體藥店提供購藥所需支持材料。26.藥品購買、配送環(huán)節(jié)的監(jiān)督制度一、與互聯(lián)網醫(yī)院簽約藥品互聯(lián)網電商服務品質監(jiān)管（一）重點監(jiān)測配藥的準確率、及時性、品種的豐富度。（二）藥事管理中心每周對于藥品電商提供的相關數(shù)據進行分析，月度出具報告，對于發(fā)現(xiàn)的問題及時反饋。（三）對于藥品互聯(lián)網電商實行差錯分級管理，按照電商服務品質，每半年做出評估。（四）根據評估結果，由藥事管理中心給出繼續(xù)合作、限期整改、終止合作的決定。（五）簽約藥品互聯(lián)網電商在服務流程及內容等方面做出調整時，需要事前通知到互聯(lián)網醫(yī)院，供藥事管理中心評估。二、與互聯(lián)網醫(yī)院簽約藥品互聯(lián)網電商價格監(jiān)管（一）簽約藥品互聯(lián)網電商需將所有線上藥品價格報備互聯(lián)網醫(yī)院。（二）簽約藥品互聯(lián)網電商在進行藥品價格調整時，需至少提前3個工作日書面通知互聯(lián)網醫(yī)院，并需留存互聯(lián)網醫(yī)院相關部門的“已收到”的回執(zhí)（郵件或書面），確保信息傳遞到位。（三）簽約藥品互聯(lián)網電商需確保所售藥品價格符合國家相關規(guī)定，如出現(xiàn)違背國家相關規(guī)定的情況，所產生的后果由藥品互聯(lián)網電商承擔。27.簽約藥品互聯(lián)網電商的準入制度一、簽約互聯(lián)網藥品電商，必須由國家相關部門批準成立，具有《互聯(lián)網藥品交易服務資格證》等相關資質，同時具有線下實體藥店運營經驗。二、對于藥品質量做最嚴格把控，采用一票否決制，一旦出現(xiàn)“偽劣”藥品投訴，經過證實后，立即終止合作，并向其追償。（一）互聯(lián)網醫(yī)院內任何途徑收到的患者關于藥品品質相關的投訴，需要第一時間給到藥事管理中心。（二）由藥事管理中心根據投訴情況，決定采用電話核實、或者是現(xiàn)場核實等方式確認“偽劣”藥品投訴的真實性。三、簽約藥品互聯(lián)網電商的準入，由藥事管理中心評估，每年進行一次綜合評估，采用末位淘汰制，更新簽約合作藥品互聯(lián)網電商。第五部分互聯(lián)網醫(yī)院信息安全管理28.醫(yī)院網站安全應急預案為迅速、有效地處置信息系統(tǒng)被網絡攻擊的突發(fā)事件，最大限度地保信息系統(tǒng)的正常運行，維護互聯(lián)網醫(yī)院信息系統(tǒng)的安全、暢通，特制定本應急預案。一、攻擊行為分類（一）流量攻擊DDoS攻擊的一個致命趨勢是使用復雜的欺騙技術和基本協(xié)議，如HTTP，Email等協(xié)議，而不是采用可被阻斷的非基本協(xié)議或高端口協(xié)議，非常難識別和防御，通常采用的包過濾或限制速率的措施只是通過停止服務來簡單停止攻擊任務，但同時合法用戶的請求也被拒絕，造成業(yè)務的中斷或服務質量的下降；DDoS事件的突發(fā)性，往往在很短的時間內，大量DDoS攻擊數(shù)據可使網絡資源和服務資源消耗殆盡。（二）木馬病毒系統(tǒng)遭受各種木馬病毒的感染。（三）惡意網絡入侵惡意的網絡入侵包括了惡意掃描、通過應用程序漏洞進行黑客行為。二、攻擊行為應急處理流程網站應急響應流程主要分為：分析確認、啟動應急預案，故障修復、恢復運行、詳細備案。（一）DDos流量攻擊應急處理收到預警后，第一時間聯(lián)系機房服務方進行流量的清洗。必要情況下直接接入安全服務商的云防護清洗平臺。查看防火墻日志，確定非正常訪問的ip。對此ip進行阻斷。分析原因和損失。歸納總結并編寫報告。根據惡意情況制定系統(tǒng)加固方案進行加固。生成報告留存。對外發(fā)布致歉信息。（二）木馬病毒的應急處理收到預警后，首先中斷重要設備與互聯(lián)網的連接。對外發(fā)布致歉信息。升級殺毒軟件病毒庫到最新，然后進行全面的殺毒。對病毒樣本進行分析，尋找專殺工具進行查殺。通過命令的詳細信息，完全監(jiān)控計算機上的連接，查找異常的連接。查看系統(tǒng)的服務項，禁用不明的服務。查看注冊表信息，刪除懷疑的病毒感染鍵值。查找木馬病毒爆發(fā)的原因。對外進行加固防護，對內進行懲罰和高標準的規(guī)范以及技術防護。總結原因生成報告留存。對外發(fā)布故障解決完成并再次致歉。（三）惡意入侵的應急處理1.遭受黑客攻擊時的應急響應流程工作時間內，發(fā)現(xiàn)黑客攻擊應在第一時間通知具體責任人。具體責任人接到通知后，應詳細記錄有關現(xiàn)象和顯示器上出現(xiàn)的信息，將被攻擊的服務器等設備從網絡中隔離出來，保護現(xiàn)場。同時通知總負責人，召集相關技術人員共同分析攻擊現(xiàn)象，提供解決方法，主機系統(tǒng)管理員和應用軟件系統(tǒng)管理員負責被攻擊或破壞系統(tǒng)的恢復與重建工作。視情況向集團公司領導匯報事件情況。非工作時間內發(fā)現(xiàn)的攻擊事件，值班人員應首先立即切斷被攻擊外網服務器的網絡連接，并做好相關記錄；然后通知具體責任人按流程處理。2.頁面被篡改、出現(xiàn)非法言論的應急響應流程工作時間內發(fā)現(xiàn)頁面被篡改，應在第一時間通知具體責任人。具體責任人接到通知后：將服務器從網絡中隔離，抓屏、保存非法言論的頁面。修復網頁內容、刪除網站上的非法言論。網頁修復后，對網站全部內容進行一次查看，確保沒有被篡改的或非法的言論后解除站點服務器的隔離。會同技術人員共同追查非法篡改、非法言論來源，盡可能確定信息發(fā)布者。向總負責人報告情況，視情況向集團公司領導匯報事件情況。非工作時間內發(fā)現(xiàn)的篡改事件，值班人員應首先立即通知集團公司部，請其切斷被攻擊外網服務器的網絡連接，并做好相關記錄；然后通知具體責任人按流程處理。（四）網站無法訪問發(fā)現(xiàn)網站無法訪問的情況后，立即通知具體負責人。具體負責人接到通知后，應及時確定故障原因。如因主機設備或軟件系統(tǒng)故障導致且不能在2小時內解決，應及時啟動備用網站。三、應急處置工作原則（一）統(tǒng)一領導、規(guī)范管理。網站突發(fā)事件由技術中心應急建設領導小組統(tǒng)一協(xié)調領導，遵照“統(tǒng)一領導、綜合協(xié)調、各司其職”的原則協(xié)同配合、具體實施，完善應急工作體系和機制。（二）明確責任，分級負責，保證對網絡與信息安全事件做到快速覺察、快速反應、及時處理、及時恢復。（三）預防為主，加強監(jiān)控。積極做好日常安全工作，提高應對突發(fā)網絡與信息安全事件的能力。建立和完善信息安全監(jiān)控體系，加強對網絡與信息安全隱患的日常監(jiān)測，重點監(jiān)控網頁是否被篡改、信息發(fā)布是否異常、網站運行是否異常等問題。四、應急預防保障措施（一）對于流量攻擊，網絡邊界部署了防火墻、IPS等設備，公司內部已經建立了完善的監(jiān)控系統(tǒng)，可以對信息系統(tǒng)的運行狀態(tài)進行監(jiān)控。發(fā)現(xiàn)異常會第一時間報警到相關負責人緊急處理。并且機房購買了流量清洗服務以及與第三方安全公司簽訂了流量清洗云服務。（二）對于系統(tǒng)漏洞，網絡中部署的IPS可以進行虛擬化補丁修復，信息系統(tǒng)采用了隱藏真實IP技術，所有重要系統(tǒng)服務器都部署在內網，邊界部署了防火墻，嚴格限制了訪問規(guī)則。24小時技術人員值班，每天跟進最新的漏洞詳情并結合我單位的實際情況進行核實、檢測是否存在問題并且及時測試、更新。（三）每周對所有信息系統(tǒng)進行一次安全掃描、安全配置檢查，能夠及時的發(fā)現(xiàn)被植入的病毒、后門程序，第一時間進行清除并及時修復安全問題。（四）與世紀互聯(lián)、安全寶公司簽訂安全服務關系，對DNS劫持、網絡釣魚等安全問題能夠進行很好的防護。（五）與第三方安全漏洞平臺友好合作，定期參加眾測。（六）建立健全網絡與信息安全管理預案，加強對網站網絡信息的日常監(jiān)測、監(jiān)控，強化安全管理，對可能引發(fā)網絡與信息安全事件的有關信息，要認真收集、分析判斷，發(fā)現(xiàn)有異常情況時，及時處理并逐級報告。（七）做好網站文件和數(shù)據庫備份。備份采用完全備份策略與部分備份策略相結合，服務器管理員負責每天對網站數(shù)據庫進行一次完整備份，每季度對網站文件進行一次完整備份。（八）特殊時期啟動網絡與信息安全應急值班制度。在特殊時期進行24小時應急值班，對網絡和信息數(shù)據加強保護，進行不間斷監(jiān)控，一旦發(fā)生網絡與信息安全事件，立即啟動應急預案，判定事件危害程度，采取應急處置措施，并立即將情況報告有關領導。在處置過程中，及時報告處置工作進展情況，直至處置工作結束。屬于重大事件或存在非法犯罪行為的，及時向公安機關報告。（九）保持與安全廠商溝通渠道的暢通，確保在應急處理過程中遇到困難或問題時能及時獲得安全廠商的技術支援。五、應急處理措施（一）網站、網頁出現(xiàn)非法言論事件緊急處置措施發(fā)現(xiàn)網站出現(xiàn)非法信息或內容被篡改，立即通知應急小組及上級領導，將非法信息或篡改信息從網絡中隔離出來，必要時斷開網絡服務器。情況嚴重，保護現(xiàn)場，保存非法信息或篡改頁面，并斷開網絡服務器，立即向公安機關報警。網站管理員應同時作好必要記錄，追查非法信息來源，清理或修復非法信息，妥善保存有關記錄，強化安全防范措施，并將網站重新投入運行。將處理結果向公安機關匯報。（二）系統(tǒng)軟件遭受破壞性攻擊、網站癱瘓的緊急處置系統(tǒng)軟件遭到破壞性攻擊，網站癱瘓，立即向應急小組和上級領導報告，并將系統(tǒng)停止運行。情況嚴重的，要保護好現(xiàn)場，保存非法信息或篡改頁面，并斷開網絡服務器，立即向公安機關報警。待公安部門提取相關資料后，技術維護人員會同技術服務商檢查日志等資料，確認攻擊來源。修復系統(tǒng)，重新配置運行環(huán)境，恢復數(shù)據。做好相應的記錄，實施必要的安全加固措施，將網站重新投入運行。（三）硬件故障或意外情況的應急處理出現(xiàn)線路問題，由世紀互聯(lián)數(shù)據中心負責處理。網絡設備、計算機系統(tǒng)、網絡系統(tǒng)出現(xiàn)故障，由技術中心運維部負責緊急維護。機房遇到失火、盜竊，及時世紀互聯(lián)數(shù)據中心和應急小組報告，必要時請公安部門或消防部門提供幫助。以上情況均做好必要的記錄，并妥善保存。六、常見安全漏洞管理（一）跨站腳本編制危害：可能會竊取或操縱客戶會話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務。風險級別：中級整改建議：應對跨站點腳本編制的主要方法有兩點：一是不要信任用戶的任何輸入，盡量采用白名單技術來驗證輸入參數(shù)；二是輸出的時候對用戶提供的內容進行轉義處理。（二）基于DOM的跨站腳本編制危害：可能會竊取或操縱客戶會話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務。風險級別：高級整改建議：建議分析并加強客戶端(JavaScript)代碼。清理攻擊者所能影響的輸入源。（三）SQL注入與SQL盲注危害：可能會查看、修改或刪除數(shù)據庫條目和表。嚴重的注入漏洞還可能以當然數(shù)據庫用戶身份遠程執(zhí)行操作系統(tǒng)命令。風險級別：高級整改建議：補救方法在于對用戶輸入進行清理。通過驗證用戶輸入，保證其中未包含危險字符，便可能防止惡意的用戶導致應用程序執(zhí)行計劃外的任務，例如：啟動任意SQL查詢、嵌入將在客戶端執(zhí)行的Javascript代碼、運行各種操作系統(tǒng)命令，等等。（四）文件目錄遍歷危害：程序中如果不能正確地過濾客戶端提交的../和./之類的目錄跳轉符，惡意者就可以通過上述符號跳轉來訪問服務器上的特定的目錄或文件。風險級別：高級整改建議：在程序中過濾../和./之類的目錄跳轉符，或者加強網站訪問權限控制，禁止網站目錄的用戶瀏覽權限。（五）腳本代碼暴露1.危害：攻擊者可以收集敏感信息(數(shù)據庫連接字符串，應用程序邏輯)。這些信息可以被用來發(fā)動進一步襲擊。2.風險級別：中級3.整改建議：許多方式可以誘使Web應用程序顯示其源代碼。要確保應用程序不允許Web用戶訪問源代碼，請執(zhí)行下列操作：（1）檢查已安裝與源代碼泄露相關的所有系統(tǒng)補丁。（2）檢查未將應用程序源代碼留在HTML注釋中。（3）檢查已從生產環(huán)境中除去所有源代碼文件。（六）已解密的登錄請求危害：用戶登錄密碼為明文，可通過http報文截取登錄用戶密碼。風險級別：中級整改建議：確保所有登錄請求都以加密方式發(fā)送到服務器。請確保敏感信息，一律以加密方式傳給服務器。（七）目錄列表危害：可能會查看和下載特定Web應用程序虛擬目錄的內容，其中可能包含受限文件。風險級別：高級整改建議：將Web服務器配置成拒絕列出目錄。根據Web服務器或Web應用程序上現(xiàn)有的問題來下載特定安全補丁。部分已知的目錄列表問題列在這個咨詢的“引用”字段中。（八）CSRF跨站請求偽造危害：攻擊者可以盜用身份，發(fā)送惡意請求。CSRF能夠做的事情包括：發(fā)消息，盜取賬號，甚至于購買商品，虛擬貨幣轉賬等。造成的問題包括：個人隱私泄露以及財產安全。風險級別：中級整改建議：驗證HTTPReferer字段：Referer為空或為外域就禁止（性價比最高，但不能保證瀏覽器沒有漏洞，在一定程度上還可以結合XSS繞過Referer校驗，比如在留言簿上發(fā)條<imgsrc="url">,url為攻擊url的話，此時就可生效，但前提是存在XSS漏洞）在請求地址中添加token并驗證：用戶登錄后往session里面寫一個隨機token，輸出到頁面時使用js將此token放到每個請求（包括form、ajax）的參數(shù)之后，收到請求時服務器端將參數(shù)中的token與session中的進行比對。（為什么攻擊者拿不到此token：因為只有受害者自己才能看到token。但不是絕對的，攻擊者可以抓包得到token）在HTTP頭中自定義屬性并驗證（將token不放到參數(shù)中，而是放到httpheader中）關鍵請求使用驗證碼。（九）文件上傳漏洞危害：由于文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型，導致允許攻擊者向某個可通過Web訪問的目錄上傳任意后綴文件，并能將這些文件傳遞給腳本解釋器，就可以在遠程服務器上執(zhí)行任意腳本或惡意代碼。風險級別：高級整改建議：對網站所有上傳接口在服務器端進行嚴格的類型、大小等控制，防止攻擊者利用上傳接口上傳惡意程序。（十）文件包含危害：開發(fā)者將可重復使用的代碼插入到單個的文件中，并在需要的時候將它們包含在特殊的功能代碼文件中，然后包含文件中的代碼會被解釋執(zhí)行。由于并沒有針對代碼中存在文件包含的函數(shù)入口做過濾，導致客戶端可以提交惡意構造語句，并交由服務器端解釋執(zhí)行。風險級別：中級整改建議：修改程序源代碼，禁止服務器端通過動態(tài)包含文件方式的文件鏈接。（十一）后臺管理危害：站點信息的更新通常通過后臺管理來實現(xiàn)，web應用程序開發(fā)者或者站點維護者可能使用常用的后臺地址名稱來管理，比如admin、manager等。攻擊者可能通過使用上述常用地址嘗試訪問目標站點，獲取站點的后臺管理地址，從而可以達到暴力破解后臺登錄用戶口令的目的。攻擊者進入后臺管理系統(tǒng)后可以直接對網站內容進行增加、篡改或刪除。風險級別：中級整改建議：為后臺管理系統(tǒng)設置復雜訪問路徑，防止被攻擊者輕易找到；增加驗證碼后臺登錄身份驗證措施，防止攻擊者對后臺登錄系統(tǒng)實施自動暴力攻擊；修改網站源代碼，對用戶提交數(shù)據進行格式進行限制，防止因注入漏洞等問題導致后臺驗證繞過問題；加強口令管理，從管理和技術上限定口令復雜度及長度。（十二）危險端口危害：開放危險端口（數(shù)據庫、遠程桌面、telnet等），可被攻擊者嘗試弱口令登錄或暴力猜解登錄口令，或利用開放的端口進行DDOS拒絕服務攻擊。風險級別：中級整改建議：加強網站服務器的端口訪問控制，禁止非必要端口對外開放。例如數(shù)據庫連接端口1433、1521、3306等；謹慎開放遠程管理端口3389、23、22、21等，如有遠程管理需要，建議對端口進行更改或者管理IP進行限制。（十三）中間件危害：WEB應用程序的搭建環(huán)境會利用到中間件，如：IIS、Nginx、Apache、Weblogic等，而這些中間件軟件都存在一些漏洞，如：拒絕服務漏洞，代碼執(zhí)行漏洞、跨站腳本漏洞等。惡意攻擊者利用中間件的漏洞可快速成功攻擊目標網站。風險級別：中級整改建議：加強網站web服務器、中間件配置，及時更新中間件安全補丁，尤其注意中間件管理平臺的口令強度。（十四）配置文件危害：未做嚴格的權限控制，惡意攻擊者可直接訪問配置文件，將會泄漏配置文件內的敏感信息。風險級別：高級整改建議：加強對網站常見默認配置文件比如數(shù)據庫連接文件、備份數(shù)據庫等文件的管理，避免使用默認配置路徑及默認格式存放，防止攻擊者針對網站類型直接獲取默認配置文件。（十五）系統(tǒng)漏洞危害：系統(tǒng)漏洞問題是與時間緊密相關的。一個系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來。如果系統(tǒng)中存在安全漏洞沒有及時修復,并且計算機內沒有防病毒軟件等安全防護措施，很有可能會被病毒、木馬所利用，輕則使計算機操作系統(tǒng)某些功能不能正常使用，重則會使用戶賬號密碼丟失、系統(tǒng)破壞等。風險級別：高級整改建議：及時更新網站服務器、中間件、網站應用程序等發(fā)布的安全漏洞補丁或安全增強措施；如果因特殊情況不宜升級補丁，則應該根據漏洞情況使用一些第三方的安全防護措施防止漏洞被利用；如有條件，建議經常對網站進行系統(tǒng)層漏洞檢測。（十六）錯誤的認證和會話管理危害：攻擊者可以竊取用戶名、密碼，竊取會話的sessionid，冒充用戶進行登錄。風險級別：中級整改建議：要整體審視架構。認證機制本身必須是簡單、集中和標準化的；使用容器提供給標準sessionid；確保在任何時候用SSL來保護我們的密碼和sessionid。驗證認證的實現(xiàn)機制。檢查SSL的實現(xiàn)方法，驗證所有與認證相關的函數(shù)，確?！白N登錄”的動作能夠關閉所有的會話。（十七）不安全的加密存儲危害：攻擊者能夠取得或是篡改機密的或是私有的信息；攻擊者通過這些秘密的竊取從而進行進一步的攻擊；造成企業(yè)形象破損，用戶滿意度下降，甚至會有法律訴訟等。風險級別：中級整改建議：識別所有的敏感數(shù)據；識別這些數(shù)據存放的所有位置；確保所應用的威脅模型能夠應付這些攻擊；使用加密手段來應對威脅。使用一定的機制來進行保護文件加密；數(shù)據庫加密；數(shù)據元素加密。使用標準的強算法；合理的生成，分發(fā)和保護密鑰；準備密鑰的變更。確保使用了標準的強算法；確保所有的證書、密鑰和密碼都得到了安全的存放；（十八）遠程代碼執(zhí)行漏洞危害：由于開發(fā)人員編寫源碼，沒有針對代碼中可執(zhí)行的特殊函數(shù)入口做過濾，導致客戶端可以提交惡意構造語句提交，并交由服務器端執(zhí)行。命令注入攻擊中WEB服務器沒有過濾類似system(),eval()，exec()等函數(shù)是該漏洞攻擊成功的最主要原因。風險級別：高級整改建議：建議假定所有輸入都是可疑的，嘗試對所有輸入提交可能執(zhí)行命令的構造語句進行嚴格的檢查或者控制外部輸入，系統(tǒng)命令執(zhí)行函數(shù)的參數(shù)不允許外部傳遞。不僅要驗證數(shù)據的類型，還要驗證其格式、長度、范圍和內容。不要僅僅在客戶端做數(shù)據的驗證與過濾，關鍵的過濾步驟在服務端進行。對輸出的數(shù)據也要檢查，數(shù)據庫里的值有可能會在一個大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。（十九）弱口令危害：弱口令很容易被他人猜到或破解，可以直接對信息系統(tǒng)造成破壞。風險級別：高級整改建議：避免使用top200內的弱口令，口令的復雜度應該強健，至少大于8位，數(shù)字、字母大小寫、特殊符號的非規(guī)律性組合。七、安全漏洞掃描與評估為盡早發(fā)現(xiàn)操作系統(tǒng)或應用程序自身存在的安全問題，我們將在信息系統(tǒng)生命周期的多個階段開展安全漏洞定期掃描和實時安全掃描評估。安全漏洞掃描評估主要分三個大板塊內容：（一）操作系統(tǒng)基線配置安全掃描評估在操作系統(tǒng)安裝完成之后，將對系統(tǒng)基線進行安全配置，主要涉及：（1）系統(tǒng)賬號和口令安全設置；（2）系統(tǒng)服務開放和訪問權限設置；（3）日志審計。具體操作要求將按照《互聯(lián)網醫(yī)院平臺操作系統(tǒng)基線安全配置規(guī)范》內容執(zhí)行。為了保障系統(tǒng)安全配置加固實施效果，將對系統(tǒng)進行基線安全掃描評估。主要采用安全配置自動化檢測工具和部分人工checklist方式進行全面安全檢查。如有不達標將按照配置規(guī)范進行限期整改。（二）系統(tǒng)服務和組件（通用型）漏洞掃描評估在系統(tǒng)安裝時，將根據“最小化安裝系統(tǒng)”的原則進行操作。根據業(yè)務需求，嚴格刪除默認自帶的系統(tǒng)服務，比如ftp文件傳輸服務、psftfix郵件服務等。將必要的系統(tǒng)服務升級到最新版本。系統(tǒng)安裝完成之后，將采用一些專項系統(tǒng)漏洞檢測工具進行安全漏洞掃描評估。比如采取X-Scan，NMAP，Nessus、IBMAppScan，以及AcunetixWebVulnerabilityScanner等掃描工具。（三）應用軟件自身（專業(yè)型）漏洞掃描評估應用軟件上線前，將采取黑白盒混合方式進行代碼安全評估。代碼上線提交前，將采取Web專項安全漏洞掃描工具進行代碼漏洞安全檢測。按不同業(yè)務漏洞類型，將采用WebInspect、Nessus、Acunetix、WebVulnerabilityScanner、AppScan等web綜合掃描工具進行安全漏洞評估。采用BurpSuite、Sqlmap、Pangolin等工具對SQL注入專項漏洞進行安全評估。采用Jsky、Xelenium等工具進行XSS跨站腳本漏洞專項安全檢測。通過安全評估報告和漏洞級別制度，評定出安全漏洞風險級別，最后根據業(yè)務上線漏洞管理制度進行業(yè)務安全上線操作。八、責任歸屬運維部信息安全組負責漏洞的發(fā)現(xiàn)、通知整改、整改跟進以及復測。研發(fā)、運維等各部門履行漏洞的修復職責。各部門人員可在能力范圍內進行漏洞的檢測工作，發(fā)現(xiàn)問題后發(fā)送給運維部信息安全組，經過運維部信息安全組確認以后，給與獎勵。九、漏洞的管理規(guī)定為了降低公司信息系統(tǒng)的安全風險，特制定以下漏洞管理規(guī)定：（一）發(fā)現(xiàn)信息系統(tǒng)安全漏洞，經過分析確認后，郵件發(fā)送給責任部門領導。并根據漏洞的風險級別和漏洞的數(shù)量預定修復完成時間。（二）責任部門領導收到郵件后進行漏洞的確認，并制定相關的修復方案和并對預定的修復完成時間節(jié)點進行合理性考量評估，確定具體的方案和完成時間后郵件回復運維部信息安全組。（三）運維部信息安全組及時跟進修復進度、修復結果，并對修復完成后的系統(tǒng)進行復測檢查。（四）責任部門應該把收到的漏洞反饋、漏洞詳情、修復方案、修復結果進行綜合整理并歸檔。（五）如責任部門沒有在規(guī)定的時間內修復完成，請及時反饋原因、并指定具體修復完成的時間通知運維部信息安全組。（六）對信息系統(tǒng)安全漏洞沒有修復或者沒有按時修復而不反饋原因的責任部門依據醫(yī)院的考核制度進行合理處罰。29.醫(yī)院網站故障應急預案本預案適用于互聯(lián)網醫(yī)院網站系統(tǒng)發(fā)生故障或遭受攻擊的情況下的應急響應工作。一、網站故障應急領導小組組長：技術中心負責人成員：技術中心各二級部門負責人應急小組負責“互聯(lián)網醫(yī)院網站系統(tǒng)故障應急預案”的實施和網站系統(tǒng)日常安全運行管理的組織協(xié)調及決策工作。二、互聯(lián)網醫(yī)院網站系統(tǒng)故障分級及處理原則根據故障發(fā)生的原因和性質不同，歸類以下幾類：（一）網絡鏈路故障：運營商骨干網絡鏈路中斷、IDC網絡中斷（二）硬件設備故障：網絡、安全設備，服務器出現(xiàn)硬件損壞（三）軟件故障：操作系統(tǒng)、應用環(huán)境、數(shù)據庫環(huán)境、系統(tǒng)負載、IO、磁盤空間（四）業(yè)務應用故障:應用程序代碼部署、回滾（五）網絡安全：(見安全管理手冊)（六）容災機制：網絡層雙機熱備、應用層群集負載均衡三、故障分級標準：各類故障按照對業(yè)務影響的不通程度劃分3大類5個級別類型級別描述重大事故1全站業(yè)務不可用中度事故2業(yè)務重要功能不可用，大面積影響用戶3業(yè)務重要功能不可用，僅影響部分用戶輕微事故4業(yè)務次要功能不可用，輕微影響用戶四、網站發(fā)生故障時的應急響應流程五、故障發(fā)生時的具體應急措施技術支持在接受故障反饋時必須在1分鐘內進行響應，并確認問題聯(lián)系相關技術人員確認處理，如故障時間超過5分鐘，進行問題升級到運維部處理，超過15分鐘無法解決以及特大問題升級到CEO、COO并且啟動緊急預案，如果是硬件問題，緊急啟用備用設備，并聯(lián)系廠家進行維修或者更換（原則上硬件設備都必須有冗余，并且定時對設備進行巡檢），硬件廠商需要在1小時內響應，24小時內本地化服務支持。（一）設備應急處置手冊

（用于硬件設備發(fā)生故障）網絡設備硬件故障：1.網絡工程師判定設備問題2.聯(lián)系H3C代理商進行設備報修更換服務。服務器硬件故障：（1）運維工程師登陸故障服務器使用DSET工具獲取系統(tǒng)硬件狀態(tài)日志并發(fā)送郵件給硬件管理員（2）硬件管理員聯(lián)系IDC機房人員記錄故障服務器快速服務編碼（3）硬件管理員撥打戴爾800售后進行故障報修（需提供服務編碼||日志包||故障現(xiàn)象和截圖等）（4）等待DELL售后確認硬件問題（5）預約時間，機房授權現(xiàn)場更換六、后續(xù)保障措施為了確保網站可用性和安全事件處理工作的順利開展，以下幾點應給予充分保障：加強日常監(jiān)控，系統(tǒng)工程師每天對服務器的運行進行日巡查，每周對用戶賬號的使用進行檢查，每月對主機系統(tǒng)進行一次安全檢查，每半年進行一次全面健康檢查；定期機房巡檢，系統(tǒng)于網絡工程師每月對IDC機房服務器及網絡設備進行現(xiàn)場勘查；加強系統(tǒng)和數(shù)據備份，服務器操作系統(tǒng)的備份采用完全備份策略，系統(tǒng)工程師負責每季度對操作系統(tǒng)進行一次完整備份；確保和IDC機房服務商溝通渠道的暢通，在本單位應急處理過程中遇到困難或問題時能及時獲得服務商的支援。30.信息安全管理制度第一章總則第一條為加強互聯(lián)網醫(yī)院信息安全管理，推進信息安全體系建設，保障信息系統(tǒng)安全穩(wěn)定運行，根據國家有關法律、法規(guī)和互聯(lián)網醫(yī)院的相關規(guī)定，制定本辦法。第二條本辦法所指的信息安全管理，是指計算機網絡及信息系統(tǒng)（以下簡稱信息系統(tǒng)）的硬件、軟件、數(shù)據及環(huán)境受到有效保護，確?；ヂ?lián)網醫(yī)院信息系統(tǒng)能連續(xù)、穩(wěn)定、安全、高效的運行。第三條互聯(lián)網醫(yī)院信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則，各業(yè)務系統(tǒng)的主管部門、運營和使用部門各自履行相關的信息系統(tǒng)安全建設和管理的義務與責任，數(shù)據使用合法。第四條信息安全管理，包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。第五條本辦法適用于互聯(lián)網醫(yī)院全體員工。第二章信息安全管理組織與職責第六條互聯(lián)網醫(yī)院信息安全委員會是信息安全工作的最高決策機構，負責信息安全政策、制度和體系建設規(guī)劃的審批，部署并協(xié)調信息安全體系建設，領導信息系統(tǒng)等級保護工作。第七條互聯(lián)網醫(yī)院建立和健全由各相關部門核心人員組成的信息安全委員會，形成協(xié)調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導，確定相關責任，設置相應崗位，配備必要人員。第八條風控部是互聯(lián)網醫(yī)院信息安全的歸口管理部門，負責落實信息安全委員會的決策，實施互聯(lián)網醫(yī)院信息安全建設與管理，確保重要信息系統(tǒng)的有效保護和安全運行。具體職責包括：組織制定和實施互聯(lián)網醫(yī)院信息安全政策標準、管理制度和體系建設規(guī)劃，組織實施信息安全項目和培訓，組織信息安全工作的監(jiān)督和檢查。第九條互聯(lián)網醫(yī)院風控部負責信息安全工作中有關保密工作的監(jiān)督、檢查和指導。第十條互聯(lián)網醫(yī)院風控部負責本醫(yī)院信息安全的管理，具體職責包括：在本醫(yī)院宣傳和貫徹執(zhí)行信息安全政策與標準，確保本醫(yī)院信息系統(tǒng)的安全運行，實施本醫(yī)院信息安全項目和培訓，追蹤和查處本醫(yī)院信息安全違規(guī)行為，組織本醫(yī)院信息安全工作檢查，完成互聯(lián)網醫(yī)院部署的信息安全工作。第十一條技術中心運維部安全組在風控部的領導下，承擔所負責的信息系統(tǒng)的信息安全管理任務，主要包括：在所維護的系統(tǒng)內貫徹信息安全政策與標準，確保所負責信息系統(tǒng)的安全運行。第十二條技術中心運維部安全組設立信息安全管理和技術崗位，包括信息安全、應用系統(tǒng)、數(shù)據庫、操作系統(tǒng)、網絡負責人和管理員，重要崗位應設置兩個員工互為備份。設置AB崗替補。第十三條信息安全崗位的設立應遵循職責分離的要求，包括：制度監(jiān)督者與執(zhí)行者分離，信息系統(tǒng)授權者與操作者分離，應用系統(tǒng)管理員與數(shù)據庫管理員分離，程序開發(fā)人員不應具備對生產環(huán)境的訪問權限。第十四條互聯(lián)網醫(yī)院員工必須嚴格遵守互聯(lián)網醫(yī)院信息安全政策、管理制度、技術標準和信息系統(tǒng)控制要求，必須經過市公安局網絡安全備案，符合國家網絡安全二級及以上要求，承擔相關安全義務和責任，及時報告信息安全事件。第三章信息安全目標與工作原則第十五條信息安全工作的總體目標是：實施信息系統(tǒng)安全等級保護，建立和健全先進實用、完整可靠的信息安全體系，保證系統(tǒng)和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應用，支撐互聯(lián)網醫(yī)院業(yè)務持續(xù)、穩(wěn)定、健康發(fā)展。第十六條信息安全體系建設必須堅持以下原則1.堅持統(tǒng)一原則信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一投資、統(tǒng)一建設、統(tǒng)一管理。2.保障應用原則保障網絡和信息系統(tǒng)，特別是全局網絡和重要業(yè)務信息系統(tǒng)不間斷穩(wěn)定運行及其信息的安全，實現(xiàn)以應用促安全，以安全保應用。符合法規(guī)。信息安全體系要滿足法律法規(guī)要求，包括國家對信息系統(tǒng)等級保護、企業(yè)內部控制要求，積極采用法律法規(guī)允許的、成熟的先進技術和專業(yè)安全服務。3.綜合防范原則管理與技術并重，相互補充。從組織與流程、制度與人員、場地與環(huán)境、網絡與系統(tǒng)、數(shù)據與應用等多方面著手，在系統(tǒng)設計、建設和運維的多環(huán)節(jié)進行綜合防范。4.集中共享原則建立集中、統(tǒng)一的信息安全技術服務平臺和集中專業(yè)化的信息安全隊伍。第四章信息安全工作基本要求第十七條根據互聯(lián)網醫(yī)院信息安全專項規(guī)劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，并保持三個體系穩(wěn)定、均衡發(fā)展。第十八條建立全面的信息安全管理體系：制定并實施統(tǒng)一的信息安全策略、管理制度和技術標準。實行信息系統(tǒng)資產管理責任制，保護信息系統(tǒng)，特別是核心信息系統(tǒng)的設備、軟件、數(shù)據和技術文檔的安全。建立信息系統(tǒng)物理環(huán)境、網絡、系統(tǒng)、應用、數(shù)據等各層面的安全管理流程，實現(xiàn)對信息系統(tǒng)全生命周期的安全管理。實現(xiàn)對信息系統(tǒng)的安全風險管理，及時發(fā)現(xiàn)和防范安全隱患。第十九條建立有效的信息安全技術體系：強化網絡、桌面和應用系統(tǒng)的安全防護體系；按照自主定級、自主保護的原則，評估確定各信息系統(tǒng)保護等級并實施相應的保護措施。建立統(tǒng)一的網絡安全信任體系，加強網絡實體身份管理與認證，為網絡和信息系統(tǒng)安全運行提供信任基礎。建立完善有效的安全監(jiān)控和預警體系，監(jiān)控重要網絡和核心業(yè)務系統(tǒng)，及時發(fā)現(xiàn)安全隱患。建立全面有效的應急響應體系，制定并落實完整、規(guī)范的應急處理和響應流程，完善信息安全報告、處理機制。建立包括同城和異地容災備份中心的信息系統(tǒng)災難恢復體系，定期進行災難恢復的測試和演練，確保災難發(fā)生后能夠充分發(fā)揮備份的效能，盡可能降低災害造成的影響和損失。第五章信息安全監(jiān)控第二十條信息安全監(jiān)控的目的是對威脅系統(tǒng)、數(shù)據庫及網絡安全的因素進行有效控制，防止由于技術或人為因素導致的異常和損失，同時為其他安全措施的設計和實施提供可靠依據。安全監(jiān)控的結果要保存一年以上。第二十一條信息系統(tǒng)的運行和維護部門，在國家法律和互聯(lián)網醫(yī)院有關規(guī)定許可的范圍內，具體進行規(guī)范、合理、有效的信息安全監(jiān)控。使用互聯(lián)網醫(yī)院網絡及應用系統(tǒng)的用戶有義務接受必要的監(jiān)控。監(jiān)控不能影響、泄漏涉及安全問題的網上行為和個人隱私內容。第二十二條技術中心運維部安全組負責制定和實施信息安全監(jiān)控計劃，包括日常監(jiān)控、應急處理和定期匯報。第二十三條日常監(jiān)控分為實時監(jiān)控和定期檢查，包括應用系統(tǒng)、數(shù)據庫、操作系統(tǒng)、網絡、物理環(huán)境