#/75.2信息安全人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。信息安全人員職責(zé)范圍信息安全人員應(yīng)履行以下職責(zé)：1）負責(zé)信息安全管理的日常工作；2）開展信息安全檢查工作，對重要崗位人員安全工作進行指導(dǎo)和監(jiān)督；3）負責(zé)維護和審查有關(guān)安全審計記錄，及時發(fā)現(xiàn)存在問題，提出安全風(fēng)險防范對策；4）開展信息安全知識的培訓(xùn)和宣傳工作；5）監(jiān)控信息安全總體狀況，提出信息安全分析報告；6）及時向信息安全工作領(lǐng)導(dǎo)小組和有關(guān)部門報告信息安全事件。信息安全人員在行使職責(zé)時，確因工作需要，經(jīng)批準，可了解涉及信息系統(tǒng)的機密信息。信息安全人員發(fā)現(xiàn)醫(yī)院重大信息安全隱患，有權(quán)向分管院長報告。信息安全人員發(fā)現(xiàn)信息系統(tǒng)重要崗位人員使用不當(dāng)，應(yīng)及時建議醫(yī)院進行調(diào)整。信息安全人員必須嚴格遵守國家有關(guān)法律、法規(guī)和醫(yī)院有關(guān)規(guī)章制度，嚴守醫(yī)院各類機密信息。重要崗位人員管理信息系統(tǒng)重要崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、重要應(yīng)用開發(fā)人員、系統(tǒng)維護人員、重要業(yè)務(wù)操作人員等崗位人員。重要信息系統(tǒng)，是指涉及本院診療、財務(wù)、人事、管理等核心業(yè)務(wù)且有保密要求的信息系統(tǒng)。重要崗位人員上崗前必須經(jīng)本院人事部門進行政治素質(zhì)審查，業(yè)務(wù)部門進行業(yè)務(wù)技能考核，工作經(jīng)歷和工作經(jīng)驗考查等，合格者方可上崗。重要崗位人員有責(zé)任保護信息系統(tǒng)的秘密，并以簽署保密協(xié)議的方式作出安全承諾。重要崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則，系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護人員不得兼任業(yè)務(wù)操作員，系統(tǒng)開發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理員。對重要崗位人員應(yīng)實行定期考查制度，重要崗位人員應(yīng)定期接受安全培訓(xùn)，加強自身安全意識和風(fēng)險防范意識。重要崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及本院業(yè)務(wù)保密信息的重要崗位人員調(diào)離，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。重要崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。重要崗位安全責(zé)任系統(tǒng)管理人員安全責(zé)任:1）負責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；2）嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；3）認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件；4）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。網(wǎng)絡(luò)管理員安全責(zé)任：1）負責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則；2）安全配置網(wǎng)絡(luò)參數(shù)，嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行；3）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路、防范黑客入侵，及時向信息安全人員報告安全事件；4）對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。系統(tǒng)開發(fā)員安全責(zé)任1）系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；2）系統(tǒng)投入運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；3）不得對系統(tǒng)設(shè)置“后門”；4）對系統(tǒng)核心技術(shù)保密。系統(tǒng)維護員安全責(zé)任1）負責(zé)系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；2）不得擅自改變系統(tǒng)功能；3）不得安裝與系統(tǒng)無關(guān)的其他計算機程序；4）維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告信息安全人員。業(yè)務(wù)操作員安全責(zé)任5）嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理制度；6）不得向他人提供自己的操作密碼；7）及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件。各重要崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。安全管理員應(yīng)為專職，不得兼任；關(guān)鍵五崗位應(yīng)配備多人共同管理。第三方人員管理第三方人員包括軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護商和服務(wù)提供商，以及實習(xí)學(xué)生和臨時工作人員。應(yīng)對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。第三方人員的現(xiàn)場工作或遠程維護工作內(nèi)容應(yīng)在合同中明確規(guī)定，如工作涉及機密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞掃描、入侵檢測以及其他軟件的安裝等，不允許接入自帶的設(shè)備。第三方人員的現(xiàn)場工作應(yīng)在醫(yī)院信息中心有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其操作應(yīng)受到審計。第三方人員工作結(jié)束后，應(yīng)及時清除有關(guān)賬戶、過程記錄等信息。培訓(xùn)與教育信息安全人員應(yīng)定期參加下列信息安全知識和技能的培訓(xùn)：1）信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)；2）信息安全基本知識的培訓(xùn)；3）信息安全專門技能的培訓(xùn)。