XXXXXX醫(yī)院

計(jì)算機(jī)信息系統(tǒng)制度匯總

XXXXXX醫(yī)院計(jì)算機(jī)中心編制

2016年11月

目錄

前言..............................................................................3

第一章安全管理機(jī)構(gòu).............................................................4

1.安全組織結(jié)構(gòu)及職責(zé).....................................................4

2.人員分配及職責(zé)規(guī)定.....................................................7

3.關(guān)于加強(qiáng)與外界的溝通合作說(shuō)明..........................................9

第二章安全管理制度............................................................10

1.信息安全工作總則......................................................10

2.信息安全方針和目標(biāo)....................................................12

3.信息安全總體安全策略..................................................15

4.關(guān)于制度發(fā)布審核說(shuō)明..................................................18

第三章人員安全管理............................................................19

1.關(guān)于人員錄用管理規(guī)范..................................................19

2.關(guān)于安全意識(shí)教育和培訓(xùn)................................................20

第四章系統(tǒng)建設(shè)管理............................................................22

1.關(guān)于產(chǎn)品采購(gòu)和使用....................................................22

2.軟件開(kāi)發(fā)管理制度......................................................26

3.關(guān)于自主研發(fā)和外包開(kāi)發(fā)的說(shuō)明.........................................28

4.關(guān)于工程實(shí)施方面的管理................................................30

5.系統(tǒng)交付驗(yàn)收制度......................................................32

第五章系統(tǒng)運(yùn)維管理............................................................33

1.機(jī)房安全管理制度......................................................33

2.XXXXXX醫(yī)院資產(chǎn)和設(shè)備管理制度........................................36

3.關(guān)于存儲(chǔ)設(shè)備報(bào)廢銷毀管理規(guī)定.........................................39

4.關(guān)于密碼管理..........................................................40

5.網(wǎng)絡(luò)安全管理規(guī)定......................................................41

6.系統(tǒng)安全管理規(guī)定......................................................43

7.關(guān)于備份與恢復(fù)管理....................................................45

8.應(yīng)急預(yù)案和處置管理制度...............................................46

前言

為加強(qiáng)XXXXXX醫(yī)院等級(jí)保護(hù)相關(guān)信息安全管理的建設(shè)，確保

醫(yī)院內(nèi)計(jì)算機(jī)信息系統(tǒng)的運(yùn)行安全、管理有序、措施有效，結(jié)合

本系統(tǒng)、本單位實(shí)際，針對(duì)信息系統(tǒng)運(yùn)行中的管理過(guò)程、管理要

求、管理內(nèi)容及信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的使用和管理制定本制度。

根據(jù)江蘇省衛(wèi)生廳相關(guān)規(guī)定，結(jié)合我院具體情況，XXXXXX

醫(yī)院應(yīng)用信息系統(tǒng)最高級(jí)別為二級(jí)。

本制度制定依據(jù)為國(guó)家公安部等部門編寫的《信息系統(tǒng)安全

等級(jí)保護(hù)基本要求》(GBT22239-2008),《江蘇省開(kāi)展重要信

息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的實(shí)施意見(jiàn)》(蘇公通[2007]187

號(hào))、《信息安全管理體系要求》(GB/T22080-2008)等文件規(guī)

定。

本制度適用于XXXXXX醫(yī)院內(nèi)應(yīng)用信息系統(tǒng)的管理。

第一章安全管理機(jī)構(gòu)

1.安全組織結(jié)構(gòu)及職責(zé)

第一條系統(tǒng)組織結(jié)構(gòu)圖

第二條系統(tǒng)營(yíng)運(yùn)負(fù)責(zé)人責(zé)任

本系統(tǒng)主要由計(jì)算機(jī)中心負(fù)責(zé)維護(hù)，主機(jī)托管于計(jì)算機(jī)口心

機(jī)房。負(fù)責(zé)人主要職責(zé)是：

（一）及時(shí)部署相關(guān)系統(tǒng)的安全與維護(hù)工作，保證系統(tǒng)的正

常運(yùn)行和使用。

（1）掌握系統(tǒng)的基本使用情況；

（2）主持召開(kāi)領(lǐng)導(dǎo)小組工作會(huì)議，對(duì)系統(tǒng)安全工作進(jìn)行

研究、部署；

（3）對(duì)系統(tǒng)安全，日常維護(hù)工作做出具體指示、提出明

確意見(jiàn)而工作要求。

（二）定期或根據(jù)省、市保密部門要求組織對(duì)醫(yī)院各項(xiàng)安仝

保密工作落實(shí)情況的監(jiān)督檢查；

（三）對(duì)系統(tǒng)使用方履行職責(zé)提供保障：

（1）對(duì)系統(tǒng)使用方提供相應(yīng)服務(wù)，支持包括網(wǎng)絡(luò)，業(yè)務(wù)

平臺(tái)等需求；

（2）支持使用方安全保密開(kāi)展工作；

（3）對(duì)系統(tǒng)使用方履行保密工作職責(zé)進(jìn)行監(jiān)督、指導(dǎo)；

（4）做好災(zāi)備工作，應(yīng)付各種系統(tǒng)突發(fā)事件，降低損矢。

第三條系統(tǒng)使屈方負(fù)責(zé)人責(zé)任

對(duì)涉及本部門業(yè)務(wù)上保密業(yè)務(wù)的負(fù)有領(lǐng)導(dǎo)責(zé)任，主要職責(zé)是:

（一）全面及時(shí)研究和部署本部門保密工作：

（1）對(duì)本部門涉密和非涉密工作進(jìn)行劃分，掌握好本部

門保密工作全面情況；

（2）主持召開(kāi)部門保密工作會(huì)議，對(duì)本部門保密工作進(jìn)

行研究、部署；

（3）對(duì)本部門保密工作做出具體指示、提出明確意見(jiàn)和

工作要求。

（二）定期或根據(jù)省、市、醫(yī)院保密部門要求組織對(duì)本部門

各項(xiàng)保密工作落實(shí)情況的監(jiān)督檢查；

（三）對(duì)保密工作機(jī)構(gòu)履行職責(zé)提供保障：

（1）支持各業(yè)務(wù)部門開(kāi)展工作；

（2）支持專兼職保密工作人員開(kāi)展工作；

（3）對(duì)各業(yè)務(wù)部門履行保密工作職責(zé)進(jìn)行監(jiān)督、指導(dǎo)。

（四）組織開(kāi)展對(duì)新形勢(shì)下保密工作熱點(diǎn)、難點(diǎn)問(wèn)題的調(diào)查

研究。

第四條安全保密管理員

（一）負(fù)責(zé)涉密信息系統(tǒng)的日常安全保密管理工作，包括對(duì)

用戶賬號(hào)權(quán)限管理以及安全保密設(shè)備管理和系統(tǒng)所產(chǎn)生

日志的審查分析。

（二）負(fù)責(zé)將系統(tǒng)權(quán)限分配策略與系統(tǒng)內(nèi)的用戶逐一對(duì)應(yīng)，

并最終形成文檔化的用戶權(quán)限列表。

（三）監(jiān)視系統(tǒng)運(yùn)行情況的任務(wù)，完成對(duì)系統(tǒng)資源的各種非

法訪問(wèn)的攻集、記錄，然后進(jìn)行分析、處理，必要時(shí)還

要將審計(jì)的異常事件及時(shí)上報(bào)主管領(lǐng)導(dǎo)。

2.人員分配及職責(zé)規(guī)定

第一條總則

為進(jìn)一步加強(qiáng)信息網(wǎng)絡(luò)的管理，保障信息系統(tǒng)安全、穩(wěn)定運(yùn)

行。應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全審計(jì)員崗位，并定義

各個(gè)工作崗位的職責(zé)。

第二條系統(tǒng)管理員工作職責(zé)

（一）負(fù)責(zé)系統(tǒng)的日常運(yùn)行維護(hù)工作

（二）確保涉密信息系統(tǒng)處于無(wú)故障運(yùn)行的狀態(tài)

（三）能夠進(jìn)行網(wǎng)絡(luò)、操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)的安裝和維

護(hù)工作，進(jìn)行系統(tǒng)功能、實(shí)時(shí)性能監(jiān)控和必要的狀態(tài)檢

查

（四）定期備份數(shù)據(jù)，能夠在系統(tǒng)中斷、運(yùn)行癱瘓的情況下，

及時(shí)排除相應(yīng)故障，避免或盡可能降低系統(tǒng)損失；

（五）對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行分析，提供合理的擴(kuò)容、改造

建議，確保系統(tǒng)的可持續(xù)發(fā)展。

第三條網(wǎng)絡(luò)管理員工作職責(zé)

（一）協(xié)助網(wǎng)絡(luò)主管制定網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)發(fā)展規(guī)劃，確保網(wǎng)

絡(luò)系統(tǒng)安全運(yùn)行。

（二）負(fù)責(zé)公用網(wǎng)絡(luò)實(shí)體（如服務(wù)器、交換機(jī)、集線器、防火

墻、網(wǎng)關(guān)、配線架、網(wǎng)線、接插件等）的維護(hù)和管理。

（三）負(fù)責(zé)服務(wù)器和系統(tǒng)軟件的安裝、維護(hù)、調(diào)整及更新。

（四）負(fù)責(zé)網(wǎng)絡(luò)賬號(hào)管理、資源分配、數(shù)據(jù)安全和系統(tǒng)安全。

（五）監(jiān)視網(wǎng)絡(luò)運(yùn)行，調(diào)整網(wǎng)絡(luò)參數(shù)，調(diào)度網(wǎng)絡(luò)資源，保持

網(wǎng)絡(luò)安全、穩(wěn)定、暢通。

（六）負(fù)責(zé)系統(tǒng)備份和網(wǎng)絡(luò)數(shù)據(jù)備份。

（七）保管網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)接線表、設(shè)備規(guī)格及配置單，

做好網(wǎng)絡(luò)管理記錄、網(wǎng)絡(luò)運(yùn)行記錄、網(wǎng)絡(luò)檢修記錄等網(wǎng)

絡(luò)資料，并納入資料庫(kù)。

（A）每年對(duì)本部門網(wǎng)絡(luò)的效能和各電腦性能進(jìn)行評(píng)價(jià)，提

出網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)管理的改進(jìn)措施。

第四條安全審計(jì)員工作職責(zé)

（一）制定信息安全審計(jì)的范圍和日程

（二）管理具體的審計(jì)過(guò)程

（三）分析審計(jì)結(jié)果并提出對(duì)信息安全管理體系的改進(jìn)意見(jiàn)

（四）召開(kāi)審計(jì)啟動(dòng)會(huì)議和審計(jì)總結(jié)會(huì)議

（五）向主管領(lǐng)導(dǎo)匯報(bào)審計(jì)的結(jié)果及建議

（六）為相關(guān)人員提供審計(jì)培訓(xùn)。

3.關(guān)于加強(qiáng)與外界的溝通合作說(shuō)明

第一條為加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息

安全職能部門內(nèi)部的合作與溝通，特規(guī)定定期或不定期召開(kāi)協(xié)調(diào)

會(huì)議，共同協(xié)作處理信息安全問(wèn)題；

第二條為加為促進(jìn)更好的合作交流，規(guī)定加強(qiáng)與兄弟單位、公

安機(jī)關(guān)、電信公司的合作與溝通；加強(qiáng)與供應(yīng)商、業(yè)界專家、專

業(yè)的安全公司、安全組織的合作與溝通；

第三條建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、

聯(lián)系人和聯(lián)系方式等信息；

第四條為加強(qiáng)信息安全建設(shè)，特聘請(qǐng)信息安全專家作為常年的

安全顧問(wèn)，參與安全規(guī)劃和安全評(píng)審等。

第二章安全管理制度

1.信息安全工作總則

第一條為加強(qiáng)和規(guī)范XXXXXX醫(yī)院及附屬單位信息系統(tǒng)安全工

作，提高計(jì)算機(jī)中心信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全

的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求特制定本

文檔。

第二條本文檔的目的是為計(jì)算機(jī)中心信息系統(tǒng)安全管理提供

一個(gè)總體的策略性架構(gòu)文件，該文件將指導(dǎo)計(jì)算機(jī)中心信息系統(tǒng)

的安全管理體系的建立。安全管理體系的建立是為計(jì)算機(jī)中心信

息系統(tǒng)的安全管理工作提供參照，以實(shí)現(xiàn)中心統(tǒng)一的安全策略管

理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實(shí)到

位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。

第三條本文檔適用于計(jì)算機(jī)中心的信息技術(shù)人員的安全管理

和指導(dǎo)，適用于指導(dǎo)計(jì)算機(jī)中心信息系統(tǒng)安全策略的制定、安全

方案的規(guī)劃和安全建設(shè)的實(shí)施，適用于計(jì)算機(jī)中心安全管理體系

中安全管理措施的選擇。

第四條引用標(biāo)準(zhǔn)及參考文件，本文檔的編制參照了以下國(guó)家、

中心的標(biāo)準(zhǔn)和文件。

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

《關(guān)于信息安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見(jiàn)》

《信息安仝技術(shù)信息系統(tǒng)安仝等級(jí)保護(hù)基本要求》

《信息安全技術(shù)信息系統(tǒng)安全管理要求》

《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》

《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》

2.信息安全方針和目標(biāo)

第一條計(jì)算機(jī)中心信息系統(tǒng)安全堅(jiān)持“安全第一、預(yù)防為主，

管理和技術(shù)并重，綜合防范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可

控、能控、在控。依照“分區(qū)、分級(jí)、分域“總體安全防護(hù)策略，

執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。

第二條信息系統(tǒng)安全總體目標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可

靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息

系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、

病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息

內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對(duì)

外服務(wù)中斷和由此造成的系統(tǒng)運(yùn)行事故。

第三條信息安全工作的總體原則如下：

（一）基于安全需求原則，組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使

命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)

險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信

息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上

恰當(dāng)?shù)仄胶獍踩度肱c效果。

（二）主要領(lǐng)導(dǎo)負(fù)責(zé)原則，主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安

全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識(shí)，組織有效

安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理

工作與各部門工作的關(guān)系，并確保其落實(shí)、有效。

（三）全員參與原則，信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系

統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系

統(tǒng)安全。

（四）系統(tǒng)方法原則，按照系統(tǒng)工程的要求，識(shí)別和理解信息安

全保障相互關(guān)聯(lián)的層面和過(guò)程，采用管理和技術(shù)結(jié)合的方法

提高實(shí)現(xiàn)安全保障的目標(biāo)的有效性和效率。

（五）持續(xù)改進(jìn)原則。安全管理是一種動(dòng)態(tài)反饋過(guò)程，貫穿整個(gè)

安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空分

布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全

認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度

和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí),

維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。

（六）依法管理原則，信息安全管理工作主要體現(xiàn)為管理行為，

應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)

容合法、管理程序合法。對(duì)安全事件的處理，應(yīng)由授權(quán)者適

時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來(lái)不良的社會(huì)影響。

（七）分權(quán)和授權(quán)原則，對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施

分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免雙力過(guò)分集中所帶來(lái)的隱

患,，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。任何實(shí)體

如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)，僅享有該實(shí)體需要完

成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限。

（A）選用成熟技術(shù)原則，成熟的技術(shù)具有較好的可靠性和穩(wěn)定

性，采用新技術(shù)時(shí)要重視其成熟的程度，并應(yīng)首先局部試點(diǎn)

然后逐步推廣，以減少或避免可能出現(xiàn)的失誤。

（九）管理與技術(shù)并重原則，堅(jiān)持積極防御和綜合防范，全面提

高信息系統(tǒng)安全防護(hù)能力，立足國(guó)情，采用管理與技術(shù)相結(jié)

合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的

安全性達(dá)到所要求的目標(biāo)。

（十）自保護(hù)和國(guó)家監(jiān)管結(jié)合原則，對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)

和國(guó)家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對(duì)自己的信息系統(tǒng)安全保護(hù)

負(fù)責(zé)，政府相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)

督和檢查，形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理

模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障醫(yī)院信息

安全。

第四條在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按

照“三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步

投入運(yùn)行。

3.信息安全總體安全策略

第一條物理安全策略

（一）機(jī)房必須選擇在經(jīng)過(guò)防震、防火、防雷擊驗(yàn)收合格的辦公

大樓內(nèi)部，機(jī)房的窗戶需要有防雨水滲透的能力。

（二）機(jī)房的位置不能是大樓的地下室、一樓房間或是大樓的頂

層，機(jī)房的正上方不能是用水量大的房間。

（三）機(jī)房出入口必須有專人值守，對(duì)工作人員進(jìn)行登記。

（四）進(jìn)入機(jī)房的工作人員必須由安全管理員或機(jī)房管理員全

程陪同。

（五）機(jī)房?jī)?nèi)部必須劃分重要設(shè)備區(qū)、一般設(shè)備區(qū)、過(guò)渡區(qū)等區(qū)

域，對(duì)不同區(qū)域分別進(jìn)行管理，區(qū)域與區(qū)域之間進(jìn)行物理隔

離。

（六）機(jī)房?jī)?nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備，如電子門禁系統(tǒng)、

監(jiān)控報(bào)警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、

溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。

第二條網(wǎng)絡(luò)安全策略

（一）網(wǎng)絡(luò)中必須部署路由器、交換機(jī)、防火墻、防毒墻、IPS

設(shè)備和內(nèi)網(wǎng)網(wǎng)絡(luò)管理、補(bǔ)丁分發(fā)等系統(tǒng)。

（二）網(wǎng)絡(luò)設(shè)備除接入交換機(jī)之外，必須進(jìn)行雙機(jī)熱備，除接入

交換機(jī)鏈接工作終端的線路外，其他線路必須進(jìn)行雙線冗余。

（三）整體網(wǎng)絡(luò)不能出現(xiàn)流量瓶頸，保證帶寬充足。

（四）各部門必須劃分不同網(wǎng)段的IP地址。

（五）劃分網(wǎng)絡(luò)帶寬，突出優(yōu)先級(jí)Q

（六）網(wǎng)絡(luò)邊界處必須部署防火墻、IPS等安全設(shè)備。

（七）網(wǎng)絡(luò)設(shè)備必須開(kāi)啟日志審計(jì)功能。

第三條主機(jī)安全策略

（一）登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶必須進(jìn)行身份標(biāo)識(shí)和

鑒別。

（二）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)不能出現(xiàn)同名

用戶，口令應(yīng)有復(fù)雜度要求并定期更換。

（三）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)必須啟用登錄失敗處理功能。

（四）對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，必須采取必要措施，防止鑒別

信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。

（五）為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，

確保用戶名具有唯一性，不能出重名情況。

（六）操作系統(tǒng)和數(shù)據(jù)庫(kù)必須及時(shí)刪除多余的、過(guò)期的賬戶，避

免共享賬戶的存在。

（七）主機(jī)必須開(kāi)啟日志審計(jì)功能。

（A）主機(jī)必須安裝防惡意代碼產(chǎn)品，并進(jìn)行統(tǒng)一管理。

第四條應(yīng)用安全策略

（一）應(yīng)用系統(tǒng)必須在登錄時(shí)要求輸入用戶名和口令。

（二）登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份驗(yàn)證

如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式

（三）應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同

且不能出現(xiàn)多人使用同一賬戶的情況。

（四）應(yīng)用系統(tǒng)必須開(kāi)啟登錄失敗處理功能。

（五）應(yīng)用系統(tǒng)必須開(kāi)啟登錄連接超時(shí)自動(dòng)退出等措施。

（六）應(yīng)用系統(tǒng)必須開(kāi)啟身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、

用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根

據(jù)安全策略配置相關(guān)參數(shù)。

（七）應(yīng)用系統(tǒng)必須開(kāi)啟日志審計(jì)功能。

（八）應(yīng)用系統(tǒng)存儲(chǔ)用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)其他月途

時(shí)，必須清楚內(nèi)部存儲(chǔ)的信息。

第五條數(shù)據(jù)安全策略

（一）業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進(jìn)行備份，以便發(fā)生

問(wèn)題時(shí)進(jìn)行恢復(fù)。

（二）數(shù)據(jù)備份至其他設(shè)備上時(shí)，必須使用專門的備份通道，保

證數(shù)據(jù)傳輸?shù)耐暾浴?/p>

（三）數(shù)據(jù)本機(jī)備份時(shí)應(yīng)檢測(cè)其完整性。

（四）數(shù)據(jù)備份時(shí)必須使用專業(yè)的備份設(shè)備和工具，在數(shù)據(jù)傳輸

和數(shù)據(jù)存儲(chǔ)時(shí)，都必須是加密傳輸和存儲(chǔ)。

（五）數(shù)據(jù)進(jìn)行異地備份時(shí)，必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)

批量傳送至備用場(chǎng)地。

4.關(guān)于制度發(fā)布審核說(shuō)明

第一條流程制度的編輯：由制度發(fā)起部門、制度發(fā)起人撰寫。

第二條流程制度的討論：流程制度編輯完成后由相關(guān)部門就所

編輯的制度的內(nèi)容進(jìn)行討論。

第三條流程制度的復(fù)核：由分管領(lǐng)導(dǎo)（部門負(fù)責(zé)人或分管領(lǐng)導(dǎo)）

復(fù)核。

第四條流程制度的簽發(fā)：一般由分管領(lǐng)導(dǎo)簽發(fā)，有特別涉及到

全校師生的，由副校長(zhǎng)或相關(guān)領(lǐng)導(dǎo)簽發(fā)。

第五條流程制度的備案：流程制度經(jīng)過(guò)撰寫、復(fù)核、簽發(fā)通過(guò)

后，制度編輯人需將制度的電子版本發(fā)于主管部門并備案。

第六條流程制度的發(fā)布：由主管部門根據(jù)發(fā)布范圍發(fā)布到相應(yīng)

的部門或在醫(yī)院因站上發(fā)布。同時(shí)，將制度發(fā)布以郵件形式通知

全體人員或者發(fā)布范圍內(nèi)的人員。

第七條流程制度的執(zhí)行：流程制度發(fā)布后，根據(jù)流程制度內(nèi)容

由撰寫人或分管領(lǐng)導(dǎo)指定人員對(duì)發(fā)布的內(nèi)容進(jìn)行培訓(xùn)，指導(dǎo)制度

的執(zhí)行，由部門負(fù)責(zé)人、分管領(lǐng)導(dǎo)負(fù)責(zé)制度的執(zhí)行。

第八條流程制度的執(zhí)行的監(jiān)督與評(píng)估：由校紀(jì)委對(duì)流程制度的

執(zhí)行情況進(jìn)行監(jiān)督并評(píng)估流程制度的執(zhí)行情況。

第三章人員安全管理

1.關(guān)于人員錄用管理規(guī)范

總則對(duì)系統(tǒng)造成事故的直接原因，一是設(shè)備的不安全狀態(tài)，二

是人員的不安全行為。根據(jù)事故統(tǒng)計(jì)，人為因素導(dǎo)致的事故占

80%以上，因此，要確保生產(chǎn)安全必須控制人員的不安全行為。

人員安全包括內(nèi)部人員安全和外部人員安全。內(nèi)部人員安全包括

錄用員工時(shí)對(duì)員工的身份背景核實(shí)，人員離崗過(guò)程的嚴(yán)格規(guī)范,

及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限，以及人員考核和人員培訓(xùn)I。

外部人員安全包括外部人員訪問(wèn)受控區(qū)域時(shí)能有效的控制其活

動(dòng)范圍，當(dāng)發(fā)現(xiàn)外部人員違反規(guī)定時(shí)能及時(shí)發(fā)現(xiàn)并阻止。

第一條XXXXXX醫(yī)院人員錄用由人事部門負(fù)責(zé)；

第二條嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用人的身份、背景、專

業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；

第三條錄用人員簽署保密協(xié)議；

第四條從事關(guān)鍵崗位的人員需從內(nèi)部人員中選拔，并簽署崗位

安全協(xié)議。

2.關(guān)于安全意識(shí)教育和培訓(xùn)

第一條目的

為了規(guī)范醫(yī)院教工信息安全教育和培訓(xùn)工作，促進(jìn)教工培訓(xùn)

工作的日?；?、全員化、制度化，增強(qiáng)教工培訓(xùn)工作的效果，使

教工培訓(xùn)工作發(fā)揮應(yīng)有的作用，特制定本制度。

第二條適用范圍

XXXXXX醫(yī)院所有教工人員。

第三條職責(zé)

本制度自公布之日起實(shí)施，由XXXXXX醫(yī)院信息中心負(fù)責(zé)解釋

與修訂。

第四條要求

（一）培訓(xùn)目的

幫助員工學(xué)習(xí)信息安全知識(shí)，滿足XXXXXX醫(yī)院信息安全的要

求，適應(yīng)信息化安全不斷發(fā)展的需求。

（二）培訓(xùn)分類

2.1結(jié)合XXXXXX醫(yī)院目前的實(shí)際情況，培訓(xùn)分為新員工培

訓(xùn)和在職培訓(xùn)和兩大類。

2.2新員工培訓(xùn)是專門針對(duì)新進(jìn)員工舉辦的，旨在幫助新進(jìn)

員工了解單位信息安全情況、盡快適應(yīng)工作要求的培訓(xùn)。

2.3在職培訓(xùn)指不脫離工作崗位，在工作中接受的培訓(xùn)。旨

在提高員工信息安全技能和綜合素質(zhì)，滿足單位信息安全不斷發(fā)

展的需求。

2.4在職培訓(xùn)中，屬于部門內(nèi)部特定的具體工作技能的培訓(xùn)，

如邀請(qǐng)安全公司專家講座、討論會(huì)等形式，由信息中心安排實(shí)施；

（三）培訓(xùn)計(jì)劃的制訂

3.1信息中心根據(jù)各部門及單位特定時(shí)期的具體情況，匯總、

平衡、協(xié)調(diào)各部門的需求，制訂單位及各部門的年度信息安全培

訓(xùn)計(jì)劃及各階段的具體實(shí)施方案。

3.2培訓(xùn)計(jì)劃可以根據(jù)實(shí)際情況的變化而加以適當(dāng)?shù)男拚?/p>

與調(diào)整。培訓(xùn)計(jì)劃的修正與調(diào)整須經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，信息中心執(zhí)行。

（四）培訓(xùn)實(shí)施

4.1各部門領(lǐng)導(dǎo)每季度至少參加一次信息安全培訓(xùn)。

4.2各部門領(lǐng)導(dǎo)對(duì)下屬的培訓(xùn)負(fù)有責(zé)任并保證其下屬每季

度至少能參加一次專業(yè)培訓(xùn)。

4.3信息中心根據(jù)實(shí)際情況可組織實(shí)施安全培訓(xùn)，也可指定

某部門負(fù)責(zé)組織實(shí)施，所涉及部門必須予以配合并執(zhí)行。

4.4信息中心提前一個(gè)星期公布培訓(xùn)課程，培訓(xùn)地點(diǎn)、培訓(xùn)

講師及參訓(xùn)人員。有關(guān)參訓(xùn)人員必須及時(shí)到達(dá)培訓(xùn)地點(diǎn)參加培訓(xùn),

不得無(wú)故缺席。

（五）培訓(xùn)記錄的保存

每次安全教育和培訓(xùn)結(jié)束后，培訓(xùn)的組織者應(yīng)填寫《安全培

訓(xùn)記錄報(bào)告表》，內(nèi)容包括培訓(xùn)的時(shí)間、地點(diǎn)、內(nèi)容、培訓(xùn)對(duì)象、

培訓(xùn)效果等。

第四章系統(tǒng)建設(shè)管理

1.關(guān)于產(chǎn)品采購(gòu)和使用

第一條總則

（一）為規(guī)范單位采購(gòu)工作，特制定本制度。

（二）本制度適用于單位各項(xiàng)信息安全產(chǎn)品采購(gòu)。

第二條采購(gòu)原則

（一）嚴(yán)格執(zhí)行詢議價(jià)程序

物品采購(gòu)，必須有三家以上供應(yīng)商提供報(bào)價(jià)，在權(quán)衡質(zhì)量、

價(jià)格、交貨時(shí)間、售后服務(wù)、資信、客戶群等因素的基礎(chǔ)上進(jìn)行

綜合評(píng)估，并與供應(yīng)商進(jìn)一步議定最終價(jià)格，臨時(shí)性應(yīng)急購(gòu)買的

物品除外。

（二）采購(gòu)會(huì)審、合同會(huì)簽制度

物品采購(gòu)，必須經(jīng)過(guò)有關(guān)部門參與，調(diào)研匯總各方意見(jiàn)，經(jīng)

高管審核。

（三）職責(zé)分離

采購(gòu)人員不得參與貨物和服務(wù)的驗(yàn)收，采購(gòu)貨物質(zhì)量、數(shù)量、

交貨等問(wèn)題的解決，應(yīng)由信息中心根據(jù)合同要求及有關(guān)標(biāo)準(zhǔn)與供

應(yīng)商協(xié)商完成

（四）一致性原則

采購(gòu)人員采購(gòu)的物品或服務(wù)必須與采購(gòu)單所列要求規(guī)格、型

號(hào)、數(shù)量相一致。在市場(chǎng)條件不能滿足采購(gòu)部門要求或成本過(guò)高

的情況下，及時(shí)反饋信息供申請(qǐng)部門更改采購(gòu)單作參考。

（五）廉潔制度

所有采購(gòu)人員必須做到：

（1）自覺(jué)維護(hù)企業(yè)利益，努力提高采購(gòu)質(zhì)量，降低采購(gòu)成本。

（2）加強(qiáng)學(xué)習(xí)，提高認(rèn)識(shí)，增強(qiáng)法治觀念。

（3）廉潔自律，不能向供應(yīng)商伸手。

（4）嚴(yán)格按采購(gòu)制度和程序辦事，自覺(jué)接受監(jiān)督。

（5）工作認(rèn)真仔細(xì)，不出差錯(cuò)，不因自身工作失誤給醫(yī)院造成

損失。

（6）2.5.6努力學(xué)習(xí)業(yè)務(wù)，廣泛掌握與采購(gòu)業(yè)務(wù)相關(guān)的新設(shè)備

及市場(chǎng)信息。

（六）采購(gòu)程序

（1）供應(yīng)商的選擇

供應(yīng)商必須證照齊全，具有相關(guān)資質(zhì)。

對(duì)于經(jīng)常使用的商品或服務(wù)，信息中心應(yīng)較全面地了解掌握

供應(yīng)商的管理狀況、質(zhì)量控制、運(yùn)輸、售后服務(wù)等方面的情況,

建立供應(yīng)商檔案，做好記錄，對(duì)供應(yīng)商定期進(jìn)行評(píng)估和審計(jì)。

在選擇供應(yīng)商時(shí)，必須進(jìn)行詢議價(jià)程序和綜合評(píng)估。供應(yīng)商

為中間商時(shí)，應(yīng)調(diào)查其信譽(yù)、技術(shù)服務(wù)能力、資信和以往的服務(wù)

對(duì)象，供應(yīng)商的報(bào)價(jià)不能作為唯一決定的因素。

為確保供應(yīng)渠道的暢通，防止意外情況的發(fā)生，應(yīng)有兩家或

兩家以上供應(yīng)商作為后備供應(yīng)商或在其間進(jìn)行交互采購(gòu)。

(2)采購(gòu)程序

固定資產(chǎn)及其他零星物品的申請(qǐng)，由各使用部門報(bào)人力資源

行政部統(tǒng)一申請(qǐng)。使用0A中固定資產(chǎn)采購(gòu)申請(qǐng)流程，由各相關(guān)

部門審批，對(duì)于一定數(shù)額的固定資產(chǎn)申請(qǐng)需要報(bào)請(qǐng)領(lǐng)導(dǎo)審批，最

后交采購(gòu)部門采購(gòu)。

外銷物品的采購(gòu)，需求人員須使用0A中的項(xiàng)目采購(gòu)申請(qǐng)流

程，由各相關(guān)部門審批，對(duì)于毛利率小于8%的采購(gòu)申請(qǐng)需要報(bào)

請(qǐng)領(lǐng)導(dǎo)審批，最后交采購(gòu)部門采購(gòu)。項(xiàng)目采購(gòu)申請(qǐng)中如果沒(méi)有填

寫項(xiàng)目編號(hào)/合同編號(hào)，應(yīng)退回。

采購(gòu)詢價(jià)、綜合評(píng)估、會(huì)簽合同，由采購(gòu)部門協(xié)調(diào)技術(shù)中心、

財(cái)務(wù)及使用部門共同完成，報(bào)主管領(lǐng)導(dǎo)審批。技術(shù)中心、使月部

門負(fù)責(zé)采購(gòu)物品的適用性，財(cái)務(wù)部門負(fù)責(zé)預(yù)算控制、價(jià)格調(diào)查、

合同付款條款的審核，法律部門負(fù)責(zé)合同風(fēng)險(xiǎn)條款的審查。信息

中心負(fù)責(zé)合同條款的談判，付款申請(qǐng)、索賠、采購(gòu)檔案的建立,

市場(chǎng)信息的收集。同時(shí)，與供方和生產(chǎn)廠聯(lián)系貨物接送的時(shí)間、

方式、到貨情況、質(zhì)量反饋及確認(rèn)售后服務(wù)事宜。

采購(gòu)過(guò)程中發(fā)生變化時(shí)，銷售部/需求部門出具采購(gòu)變更申

請(qǐng)，由主管領(lǐng)導(dǎo)簽字確認(rèn)后交信息中心執(zhí)行。

技術(shù)中心、人力資源行政部負(fù)責(zé)接收?qǐng)?bào)告的出具。

(3)付款程序

信息中心根捱付款計(jì)劃提出申請(qǐng)，走0A付款申請(qǐng)流程，各

主管總裁簽字，后附付款明細(xì)單，交給財(cái)務(wù)部辦理付款手續(xù)。無(wú)

論匯款還是支票要求復(fù)印存檔Q

發(fā)票：付款時(shí)必須索要發(fā)票，核對(duì)發(fā)票內(nèi)容是否和合同一致,

并填寫發(fā)票明細(xì)單，將藍(lán)綠兩聯(lián)分別放在一起，藍(lán)聯(lián)粘在一起、

簽字后交給財(cái)務(wù)部核銷。

(4)違約處理

貨物出現(xiàn)延期后，信息中心及時(shí)通知銷售、技術(shù)中心及相關(guān)

部門。

貨物出現(xiàn)質(zhì)量問(wèn)題后，由使用部門或技術(shù)中心(外銷貨物)

提出意見(jiàn)，報(bào)部門；領(lǐng)導(dǎo)，交信息中心處理。信息中心接到意見(jiàn)

后，將情況上報(bào)主管副總裁，并按投訴做緊急處理，將情況發(fā)郵

件并書面報(bào)給供應(yīng)商，要求供應(yīng)商換貨或退貨。

信息中心與供應(yīng)商協(xié)商不成的，或造成損失的，由財(cái)務(wù)部核

算損失，信息中心負(fù)責(zé)追索。追索不成，由法院裁決。

(5)審計(jì)監(jiān)督

采購(gòu)全過(guò)程進(jìn)行財(cái)務(wù)監(jiān)督和審計(jì)。

在采購(gòu)詢價(jià)、議價(jià)、合同簽訂、合同執(zhí)行和采購(gòu)結(jié)算過(guò)程山，

除有業(yè)務(wù)部門、銷售及相關(guān)領(lǐng)導(dǎo)參與外，財(cái)務(wù)部門要全程參與。

財(cái)務(wù)部門主要負(fù)責(zé)價(jià)格的核查及審計(jì).采購(gòu)人員要自覺(jué)接受百計(jì)

及針對(duì)采購(gòu)活動(dòng)的監(jiān)督和質(zhì)詢。對(duì)采購(gòu)人員在采購(gòu)過(guò)程發(fā)生的違

犯廉潔制度的行為，將按醫(yī)院有關(guān)制度處理。

2.軟件開(kāi)發(fā)管理制度

第一條目的

為規(guī)范XXXXXX醫(yī)院項(xiàng)目部范圍內(nèi)計(jì)算機(jī)軟件的開(kāi)發(fā)過(guò)程，

保證軟件開(kāi)發(fā)的必要性、系統(tǒng)性、及時(shí)性，合理配置軟件資源，

提高現(xiàn)代化管理水平，特制定本制度。

第二條適用范圍

適用于XXXXXX醫(yī)院應(yīng)用系統(tǒng)項(xiàng)目部范圍內(nèi)各個(gè)部門在實(shí)現(xiàn)

業(yè)務(wù)管理、教學(xué)管理中的所有計(jì)算機(jī)軟件系統(tǒng)的建立。

第三條相關(guān)文件及定義

（一）軟件：計(jì)算機(jī)程序（介質(zhì)）+文檔

（二）開(kāi)發(fā)：計(jì)算機(jī)軟件的建立過(guò)程，分為引進(jìn)（購(gòu)進(jìn)）、自主

開(kāi)發(fā)、委托開(kāi)發(fā)三種方式。

第四條內(nèi)容

（一）相關(guān)部門負(fù)責(zé)提出系統(tǒng)性軟件的開(kāi)發(fā)需求，計(jì)算機(jī)中心部、

專業(yè)化公司負(fù)責(zé)提出與其相關(guān)的應(yīng)用軟件的開(kāi)發(fā)需求。

（二）項(xiàng)目部主管信息管理的領(lǐng)導(dǎo)負(fù)責(zé)審批軟件開(kāi)發(fā)的需求。

（三）軟件的建立過(guò)程由計(jì)算機(jī)中心部負(fù)責(zé)，并負(fù)責(zé)軟件的系統(tǒng)

性維護(hù)工作。

（四）業(yè)務(wù)部門負(fù)責(zé)相關(guān)軟件的運(yùn)行工作。

（五）軟件介質(zhì)、文檔資料由計(jì)算機(jī)中心部負(fù)責(zé)保管。

第五章工作流程

（一）根據(jù)相關(guān)部門信息化的整體需求，計(jì)算機(jī)中心部提出系統(tǒng)

建設(shè)的軟件需求；根據(jù)自身業(yè)務(wù)管理的需要，各個(gè)業(yè)務(wù)部門

向計(jì)算機(jī)中心部提出與其相關(guān)的軟件開(kāi)發(fā)需求。

（二）計(jì)算機(jī)中心部對(duì)軟件需求進(jìn)行分析，確定軟件開(kāi)發(fā)的必要

性、可行性。

（三）計(jì)算機(jī)中心部與業(yè)務(wù)部門協(xié)同完成市場(chǎng)調(diào)查，確定各個(gè)業(yè)

務(wù)型應(yīng)用軟件的建立方式。

（四）計(jì)算機(jī)中心部對(duì)項(xiàng)目部提出軟件開(kāi)發(fā)立項(xiàng)申請(qǐng)，包括軟件

的管理功能、建立過(guò)程（引進(jìn)、自主開(kāi)發(fā)、委托開(kāi)發(fā)）、預(yù)

算資金。

3.關(guān)于自主研發(fā)和外包開(kāi)發(fā)的說(shuō)明

第一條軟件引進(jìn)

（一）計(jì)算機(jī)中心部從軟件廠商處購(gòu)買軟件。

（二）計(jì)算機(jī)中心部對(duì)軟件進(jìn)行環(huán)境、功能測(cè)試，制作備份。

（三）計(jì)算機(jī)中心部將軟件安裝在目的機(jī)器，指導(dǎo)用戶運(yùn)行。

第二條自主開(kāi)發(fā)

（一）業(yè)務(wù)部門派專人或小組對(duì)本身的業(yè)務(wù)需求進(jìn)行分析，搜集、

整理全部原始資料，理清業(yè)務(wù)管理流程，在計(jì)算機(jī)中心部的

指導(dǎo)下完成系統(tǒng)分析報(bào)告。

（二）根據(jù)系統(tǒng)分析報(bào)告，計(jì)算機(jī)中心部在軟件需求部門的配合

下完成系統(tǒng)設(shè)計(jì)報(bào)告。

（三）計(jì)算機(jī)中心部組織對(duì)系統(tǒng)設(shè)計(jì)報(bào)告進(jìn)行討論，確定軟件的

具體功能。

（四）計(jì)算機(jī)中心部按照系統(tǒng)設(shè)計(jì)報(bào)告進(jìn)行詳細(xì)設(shè)計(jì)、編碼、測(cè)

試。

（五）計(jì)算機(jī)中心部將軟件交付用戶運(yùn)行。

第三條委托開(kāi)發(fā)

（一）業(yè)務(wù)部門派專人或小組對(duì)本身的業(yè)務(wù)需求進(jìn)行分析，搜集、

整理全部原始資料，理清業(yè)務(wù)管理流程，在軟件開(kāi)發(fā)商的指

導(dǎo)下完成系統(tǒng)分析報(bào)告。

（二）根據(jù)系統(tǒng)分析報(bào)告，軟件開(kāi)發(fā)商在軟件需求部門的配合下

完成系統(tǒng)設(shè)計(jì)報(bào)告。

（三）計(jì)算機(jī)中心部組織對(duì)系統(tǒng)設(shè)計(jì)報(bào)告進(jìn)行討論，確定軟件的

具體功能。

（四）計(jì)算機(jī)中心部測(cè)算進(jìn)行軟件開(kāi)發(fā)所需要的人力投入、時(shí)間

投入，以“人年”為單位計(jì)算出工作量。

（五）計(jì)算機(jī)中心部計(jì)算出軟件開(kāi)發(fā)費(fèi)用，申請(qǐng)項(xiàng)目部批準(zhǔn)。

（六）計(jì)算機(jī)中心部與軟件開(kāi)發(fā)商簽訂軟件開(kāi)發(fā)合同（系統(tǒng)設(shè)計(jì)

報(bào)告作為合同的一部分），進(jìn)行委托開(kāi)發(fā)。

（七）計(jì)算機(jī)中心部將開(kāi)發(fā)商交付的軟件進(jìn)行環(huán)境測(cè)試，軟件需

求部門進(jìn)行軟件的功能測(cè)試。

（八）計(jì)算機(jī)中心部匯總軟件的缺陷，由軟件開(kāi)發(fā)商對(duì)軟件進(jìn)行

維護(hù)直至最終交付。

4.關(guān)于工程實(shí)施方面的管理

第一條管理目標(biāo)

質(zhì)量管理工作是保證和提高工程質(zhì)量的重要環(huán)節(jié)。我們應(yīng)貫

徹“質(zhì)量第一，預(yù)防為主”的方針，切實(shí)加強(qiáng)施工質(zhì)量的預(yù)控、

檢查和驗(yàn)收制度，便于發(fā)現(xiàn)問(wèn)題，及時(shí)糾正。

第二條管理職責(zé)

（一）項(xiàng)目部負(fù)責(zé)制訂本施工項(xiàng)目對(duì)分包單位的安全文明施工

管理制度，負(fù)責(zé)管理并監(jiān)督執(zhí)行。

（二）項(xiàng)目部負(fù)責(zé)指導(dǎo)分包單位的安全文明施工實(shí)施細(xì)則的編

制并監(jiān)督、檢查執(zhí)行情況。

第三條工程實(shí)施管理

（一）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管

理；

（二）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程實(shí)

施單位能正式地執(zhí)行安全工程過(guò)程；

（三）明確實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則。

（四）工程完成以后應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行

安全性測(cè)試，并出具安全性測(cè)試報(bào)告；

（五）在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)

收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形

成測(cè)試驗(yàn)收?qǐng)?bào)告；

（六）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按

照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；

(七)應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審

定，并簽字確認(rèn)。

(A)應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的

設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)

5.系統(tǒng)交付驗(yàn)收制度

第一條系統(tǒng)或設(shè)備到貨后由質(zhì)量技術(shù)部負(fù)責(zé)組織驗(yàn)收和測(cè)試。

重要系統(tǒng)或設(shè)備的驗(yàn)收應(yīng)通知相關(guān)部門人員到場(chǎng)。

第二條驗(yàn)收過(guò)程分為初驗(yàn)、測(cè)試和最終驗(yàn)收三個(gè)階段

（一）初驗(yàn)是指根據(jù)供貨合同對(duì)系統(tǒng)或設(shè)備的規(guī)格、型號(hào)、

數(shù)量、外包裝，以及裝箱附件等內(nèi)容進(jìn)行驗(yàn)收。若初驗(yàn)出

現(xiàn)外包裝損壞或規(guī)格、型號(hào)、數(shù)量與合同不符等問(wèn)題，則

屬初驗(yàn)不合格，并寫出書面報(bào)告及處理意見(jiàn)。初驗(yàn)合格后,

相關(guān)人員應(yīng)在簽收?qǐng)?bào)告上簽字認(rèn)可。

（二）測(cè)試是對(duì)系統(tǒng)或設(shè)備的功能、性能等項(xiàng)目進(jìn)行檢測(cè)。

可在供貨商的技術(shù)指導(dǎo)下檢測(cè)其功能、性能是否達(dá)到合同

或設(shè)備的技術(shù)指標(biāo)要求。若測(cè)試合格，可進(jìn)入下一步驗(yàn)收

程序。質(zhì)量核技術(shù)部應(yīng)對(duì)測(cè)試結(jié)果寫出書面報(bào)告。

（三）根據(jù)需要，新購(gòu)系統(tǒng)或設(shè)備交使用部門試運(yùn)行，試運(yùn)

行時(shí)間按照合同規(guī)定或同供貨商的協(xié)議進(jìn)行。試運(yùn)行結(jié)束

后，使用部門須提交詳細(xì)的試運(yùn)行報(bào)告，以作為設(shè)備是否

滿足合同要求和是否進(jìn)行最終驗(yàn)收的依據(jù)。

（四）質(zhì)量技術(shù)部依據(jù)測(cè)試報(bào)告、試運(yùn)行報(bào)告（選項(xiàng)），形

成最終驗(yàn)收?qǐng)?bào)告，經(jīng)相關(guān)負(fù)責(zé)人簽字后，完成最終驗(yàn)收

第三條系統(tǒng)或設(shè)備最終驗(yàn)收合格后，應(yīng)及時(shí)登記建賬，完清資

料歸檔。

第五章系統(tǒng)運(yùn)維管理

1.機(jī)房安全管理制度

計(jì)算機(jī)機(jī)房是XXXXXX醫(yī)院的重要部門，是保證XXXXXX醫(yī)院

工作順利開(kāi)展工作的基礎(chǔ)，為了加強(qiáng)計(jì)算機(jī)機(jī)房的日常管理，確

保機(jī)房?jī)?nèi)設(shè)備的正常運(yùn)行，特制定本制度。

第一條機(jī)房管理

（一）未經(jīng)允許，機(jī)房嚴(yán)禁閑雜及無(wú)關(guān)人員進(jìn)入。

（二）進(jìn)出機(jī)房的非計(jì)算機(jī)中心人員必須填寫《XXXXXX醫(yī)院機(jī)房

出入登記單》，詳細(xì)記錄進(jìn)出時(shí)間、事由等項(xiàng)目，進(jìn)入機(jī)房，

必須換上工作鞋，機(jī)房要保持無(wú)塵、無(wú)煙、無(wú)靜電。外部人

員訪問(wèn)重要區(qū)域是要經(jīng)過(guò)相關(guān)部門或負(fù)責(zé)人的批準(zhǔn)。

（三）機(jī)房中的小型機(jī)、服務(wù)器、工作站只能由系統(tǒng)管理員或指

定的網(wǎng)絡(luò)管理員使用和操作，其他人員未經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)和

系統(tǒng)管理員的許可不得上機(jī)操作。

（四）機(jī)房?jī)?nèi)的一切物品，未經(jīng)管理人員同意，不得隨意挪動(dòng)、拆

卸和帶出機(jī)房。

（五）在計(jì)算機(jī)系統(tǒng)的供電線路上一律不得接載功率較大的其

它用電設(shè)備，不得隨意插拔電源。

（六）計(jì)算機(jī)機(jī)房?jī)?nèi)應(yīng)配備相應(yīng)功率的UPS,以保證系統(tǒng)的不間

斷供電。

（七）機(jī)房管理員要定時(shí)巡視儀器儀表提示以及設(shè)備運(yùn)行狀態(tài),

系統(tǒng)出現(xiàn)問(wèn)題時(shí)，應(yīng)采取合理的應(yīng)急處理措施。

（八）愛(ài)護(hù)機(jī)器設(shè)備，嚴(yán)格按操作要求使用，注意保養(yǎng)。

（九）機(jī)房?jī)?nèi)無(wú)人時(shí)，必須鎖好門窗，做好防盜措施。

第二條機(jī)房防火安全管理

（一）計(jì)算機(jī)房應(yīng)列為單位重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)

量的消防器材，機(jī)房工作人員要熟悉消防用品的存放位置及

使用方法，并定期檢查更換。

（二）嚴(yán)禁在防火通道內(nèi)堆放雜物，確保設(shè)備及工作人員的安全。

（三）嚴(yán)禁攜帶易燃易爆品進(jìn)入機(jī)房，因工作需要使用易燃物品

時(shí),應(yīng)嚴(yán)格執(zhí)行操作規(guī)程，用后必須放置于消防箱內(nèi)妥善保管。

（四）機(jī)房用電量嚴(yán)禁超負(fù)荷運(yùn)行、禁止使用電爐、取暖爐等非

計(jì)算機(jī)設(shè)備。

（五）機(jī)房?jī)?nèi)使用電絡(luò)鐵要嚴(yán)格控制，必須使用時(shí)，應(yīng)按規(guī)定操

作。有專人看守，確保安全。

（六）應(yīng)定期對(duì)機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路

老化短路造成的火災(zāi)。

（七）機(jī)房工作人員要熟悉設(shè)備電源和照明用電以及其它電氣

設(shè)備總開(kāi)關(guān)位置，掌握切斷電源的方法和步驟，發(fā)現(xiàn)火情及

時(shí)報(bào)告，沉著判斷，切斷電源，采取有效措施及時(shí)滅火。

第三條機(jī)房值班

（一）未經(jīng)允許，嚴(yán)禁閑雜及無(wú)關(guān)人員進(jìn)入機(jī)房。

（二）值班人員必須遵守機(jī)房的各項(xiàng)規(guī)章制度，嚴(yán)格遵守安全保

密制度。遇到緊急情況，應(yīng)及時(shí)上報(bào)。

（三）對(duì)進(jìn)出機(jī)房的非計(jì)算機(jī)中心人員必須進(jìn)行登記

（四）值班人員未經(jīng)主管人員批準(zhǔn)不得擅自更改網(wǎng)絡(luò)配置和網(wǎng)

站的內(nèi)容。

（五）中心機(jī)房?jī)?nèi)嚴(yán)禁吸煙、吃食物，保障網(wǎng)絡(luò)設(shè)備在良好的環(huán)

境中運(yùn)行。

（六）值班人員必須嚴(yán)格遵守安全、防火、防盜制度。

第四條機(jī)房環(huán)境衛(wèi)生

（一）進(jìn)入機(jī)房前要換工作鞋或穿鞋套。

（二）不得在機(jī)房?jī)?nèi)吐痰、吸煙、亂丟紙屑。

（三）機(jī)房及其附近嚴(yán)禁飲水、吃東西或焚燒任何物品；嚴(yán)禁攜

帶或存放易燃、易爆、腐蝕性和強(qiáng)磁性危險(xiǎn)物品，不準(zhǔn)在機(jī)

房?jī)?nèi)高聲喧嘩；不準(zhǔn)在機(jī)房?jī)?nèi)會(huì)客。

（四）機(jī)房每周清潔一次，保持機(jī)房?jī)?nèi)的機(jī)器、設(shè)備、器具等整

齊清潔，在除塵時(shí)應(yīng)確保計(jì)算機(jī)設(shè)備的安全；保持一定的溫

度和濕度，防止高溫和靜電破壞機(jī)器和其他相關(guān)設(shè)備。

2.XXXXXX醫(yī)院資產(chǎn)和設(shè)備管理制度

第一條目的

為了規(guī)范設(shè)備管理，使單位擁有的各種設(shè)備（如微機(jī)、工

作站、打印機(jī)等）處于良好狀態(tài)以提高單位辦公效率，特制訂

本制度。

第二條適用范圍

適用于單位所有的用于辦公的設(shè)備。

第三條管理規(guī)定

（一）單位內(nèi)部各部門根據(jù)工作需要申請(qǐng)使用的設(shè)備，由申

請(qǐng)人填寫相應(yīng)的申請(qǐng)單，由部門負(fù)責(zé)人審核、批準(zhǔn)；對(duì)不

再使用的設(shè)備應(yīng)及時(shí)返回給設(shè)備管理部門。

（二）設(shè)備的登記：對(duì)單位新進(jìn)的自用設(shè)備，設(shè)備管理部門

首先進(jìn)行檢查、確認(rèn)，然后對(duì)其編號(hào)，貼上設(shè)備標(biāo)簽，方

能使用。

（三）設(shè)備檔案：設(shè)備管理部門對(duì)單位的每臺(tái)設(shè)備建立檔案,

做好詳細(xì)的記錄，為設(shè)備的定期維護(hù)和故障處理提供資料。

（四）設(shè)備的定期維護(hù)：設(shè)備管理部門首先編寫定期維護(hù)計(jì)

戈L并報(bào)請(qǐng)主管領(lǐng)導(dǎo)批準(zhǔn)之后，對(duì)單位的每臺(tái)設(shè)備進(jìn)行半

年一次的定期維護(hù)，對(duì)單位設(shè)備進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題及時(shí)

處理。

（五）設(shè)備的故障處理：設(shè)備出現(xiàn)故障時(shí)，設(shè)備使用人員應(yīng)

及時(shí)提交“設(shè)備維護(hù)申請(qǐng)表”，不可擅自處理。設(shè)備管理

部門應(yīng)及時(shí)進(jìn)行故障排除，不能及時(shí)排除的故障應(yīng)給巳說(shuō)

明。

（六）網(wǎng)絡(luò)維護(hù)

（1）設(shè)備管理部門每日對(duì)單位的局域網(wǎng)及廣域網(wǎng)進(jìn)行檢查,

檢查路由器、交換機(jī)、集線器、調(diào)制解調(diào)器的狀態(tài)，發(fā)現(xiàn)

問(wèn)題及時(shí)解決，確保網(wǎng)絡(luò)正常運(yùn)行。

（2）為提高計(jì)算機(jī)網(wǎng)絡(luò)安全性，單位使用的每臺(tái)計(jì)算機(jī)一

般不配置軟驅(qū)、光驅(qū)。單位配備一臺(tái)專用服務(wù)器預(yù)裝各種

常用軟件，便于開(kāi)發(fā)人員安裝所需各種軟件；當(dāng)網(wǎng)絡(luò)服務(wù)

器預(yù)裝的軟件不能滿足要求時(shí)，可由設(shè)備管理部門協(xié)助安

裝及提供相應(yīng)硬件設(shè)備。

（七）設(shè)備的使用：設(shè)備使用人員要愛(ài)護(hù)自已的設(shè)備，并保

持設(shè)備的清潔，避免非法操作。設(shè)備使用部門因某種原因

對(duì)自用設(shè)備進(jìn)行退庫(kù)時(shí)，應(yīng)及時(shí)通知設(shè)備管理部門。

（A）報(bào)廢設(shè)備的處理

（1）設(shè)備因更新或故障等原因?qū)е略O(shè)備報(bào)廢時(shí)，由申請(qǐng)人

填寫“報(bào)廢申請(qǐng)單”，申請(qǐng)報(bào)廢的設(shè)備，應(yīng)與“報(bào)廢目請(qǐng)

單”一起送交設(shè)備管理員檢驗(yàn)，檢驗(yàn)后填寫檢驗(yàn)結(jié)果，經(jīng)

其部門負(fù)責(zé)人審核，提交單位主管批準(zhǔn)。

（2）報(bào)廢設(shè)備放置在一個(gè)指定的空間。設(shè)備管理部門負(fù)責(zé)

具體處理廢品工作。

（九）舊設(shè)備的再利用：設(shè)備管理部門對(duì)各部門不再使用的

設(shè)備進(jìn)行入庫(kù)登記，并在設(shè)備登記表中注明，對(duì)其各種配

件進(jìn)行檢查，對(duì)仍有使用價(jià)值的設(shè)備配件進(jìn)行再利用。

第四章質(zhì)量記錄

（一）及時(shí)填寫《設(shè)備登記表》

（二）及時(shí)填寫《設(shè)備維護(hù)申請(qǐng)表》

3.關(guān)于存儲(chǔ)設(shè)備報(bào)廢銷毀管理規(guī)定

第一條涉密存儲(chǔ)維修、更換、報(bào)廢前的涉密信息需進(jìn)行數(shù)據(jù)備

份或清空，由計(jì)算機(jī)中心技術(shù)人員負(fù)責(zé)。

第二條涉密存儲(chǔ)需維修的，應(yīng)請(qǐng)有保密資質(zhì)的單位上門維修,

嚴(yán)禁維修人員擅自讀取和拷貝其存儲(chǔ)的國(guó)家秘密信息，單位技術(shù)

人員現(xiàn)場(chǎng)監(jiān)修。如需送修，送修前必須將硬盤拆除并妥善保管,

單位技術(shù)人員將其余部分送至有保密資質(zhì)的單位進(jìn)行維修。如涉

密存儲(chǔ)的硬盤出現(xiàn)故障，不能保證安全保密，涉密存儲(chǔ)的硬盤必

須按涉密載體予以銷毀。

第三條涉密存儲(chǔ)老化，需要更換新存儲(chǔ)，須將舊存儲(chǔ)中的涉密

信息通過(guò)涉密移動(dòng)存儲(chǔ)介質(zhì)全部轉(zhuǎn)移到新涉密存儲(chǔ)中，并格式化

舊存儲(chǔ)硬盤，清空涉密移動(dòng)存儲(chǔ)介質(zhì)的所有涉密內(nèi)容，方可更換。

第四條報(bào)廢涉密存儲(chǔ)，須先格式化硬盤，確保擬報(bào)廢存儲(chǔ)中的

硬盤沒(méi)有涉密信息后，方可交省涉密載體銷毀中心進(jìn)行銷毀。

4.關(guān)于密碼管理

第一條機(jī)房的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的管理賬號(hào)密碼，

由網(wǎng)絡(luò)管理員及部門負(fù)責(zé)人持有，實(shí)行密碼定期更換，最長(zhǎng)有效

期不超過(guò)90天。

第二條更換服務(wù)器與網(wǎng)絡(luò)設(shè)備密碼時(shí)必須執(zhí)行密碼備案制度，

以防遺失密碼，同時(shí)告知主管領(lǐng)導(dǎo)備案密碼。

第三條用戶級(jí)密碼、重要業(yè)務(wù)的密碼不得互相泄露密碼。不同

級(jí)別用戶間不得交換帳號(hào)使用，特殊情況須報(bào)告網(wǎng)絡(luò)管理員處理。

公共帳號(hào)不得向外人泄露。

第四條如發(fā)現(xiàn)密碼及口令有破解、使用過(guò)的現(xiàn)象，系統(tǒng)管理員

要立刻報(bào)告部門負(fù)責(zé)人，嚴(yán)查泄露源頭，同時(shí)更換密碼。

第五條對(duì)于要求重新設(shè)定密碼和口令的用戶，用戶必須與系統(tǒng)

管理員商定密碼及口令，由系統(tǒng)管理員備案后操作。

第六條公共帳號(hào)密碼變更，必須通知到相關(guān)科室。

第七條如果用戶需要更新密碼，應(yīng)謹(jǐn)慎修改密碼，修改后必須

牢記密碼。

第八條當(dāng)用戶由于因更換或忘記密碼、口令時(shí)要求查詢密碼、

口令的情況下，需向信息中心提交申請(qǐng)單，有部門負(fù)責(zé)人或系統(tǒng)

管理員核實(shí)后，并對(duì)用戶檔案做更新記載。

5.網(wǎng)絡(luò)安全管理規(guī)定

網(wǎng)絡(luò)安全管理是信息系統(tǒng)安全建設(shè)、維護(hù)的重要組成部分，

是保證XXXXXX醫(yī)院信息系統(tǒng)工作順利開(kāi)展的保障基礎(chǔ)，為了加

強(qiáng)網(wǎng)絡(luò)安全管理，特制定本制度。

第一條機(jī)房?jī)?nèi)計(jì)算機(jī)應(yīng)使用經(jīng)公安機(jī)關(guān)檢測(cè)合格的防病毒產(chǎn)

品并定期下載病毒特征碼對(duì)殺毒軟件升級(jí)，確保計(jì)算機(jī)不會(huì)受

到已發(fā)現(xiàn)的病毒的攻擊。

第二條機(jī)房管理人員應(yīng)確保物理網(wǎng)絡(luò)安全，防范因?yàn)槲锢斫橘|(zhì)、

信號(hào)輻射等造成的安全風(fēng)險(xiǎn)。

第三條計(jì)算機(jī)中心設(shè)備應(yīng)采取安全控制技術(shù)，采用防火墻等設(shè)

備，機(jī)房管理人員定義并備份策略，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全進(jìn)行防護(hù)。

第四條使用漏洞掃描掃描系統(tǒng)漏洞，關(guān)閉不必要的服務(wù)端口。

第五條設(shè)置應(yīng)用系統(tǒng)強(qiáng)口令策略，防上系統(tǒng)口令匯露和被暴力

破解。

第六條確定系統(tǒng)補(bǔ)丁的更新、安裝、發(fā)布，及時(shí)堵住系統(tǒng)漏洞。

第七條采用關(guān)鍵字過(guò)濾技術(shù)防止不法分子利用互聯(lián)網(wǎng)傳播反

動(dòng)、黃色和敏感信息。組織工作人員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)

絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，提高工作人員對(duì)網(wǎng)絡(luò)安全的

警惕性和自覺(jué)性。

第八條負(fù)責(zé)對(duì)本網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)I,使用戶自覺(jué)遵

守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，使

他們具備基本的網(wǎng)絡(luò)安全知識(shí)。

第九條加強(qiáng)對(duì)單位的信息發(fā)布和BBS公告系統(tǒng)的信息發(fā)布的

審核管理工作，杜絕違反《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)

管理辦法》的內(nèi)容出現(xiàn)。

第十條一旦發(fā)現(xiàn)從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)的,

做好記錄并立即向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告：

（一）未經(jīng)允許進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或使用計(jì)算機(jī)信息網(wǎng)絡(luò)；

（二）未經(jīng)允許對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加;

（三）未經(jīng)允許對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)

和應(yīng)用程序進(jìn)行刪除、修改或者增加；

（四）故意制作、傳播計(jì)算機(jī)病毒等破壞性程序的；

（五）從事其他危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)。

第十一條在信息發(fā)布的審核過(guò)程中，如發(fā)現(xiàn)有以下行為的：

（一）煽動(dòng)抗拒、破壞憲法和法律、行政法規(guī)實(shí)施

（二）煽動(dòng)顛覆國(guó)家政權(quán)，推翻社會(huì)主義制度

（三）煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一

（四）煽動(dòng)民族仇恨、民族歧視、破壞民族團(tuán)結(jié)

（五）捏造或者歪曲事實(shí)、散布謠言，擾亂社會(huì)秩序

（六）宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、

教唆犯罪

（七）公然侮辱他人或者捏造事實(shí)誹謗他人

（八）損害國(guó)家機(jī)關(guān)信譽(yù)

6.系統(tǒng)安全管理規(guī)定

第一條目的

為了確保網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定運(yùn)行，減少故障率，提高安

全防護(hù)能力，特制定本制度。

第二條適用范圍

本制度適用于對(duì)服務(wù)器、存儲(chǔ)等設(shè)備的日常運(yùn)行維護(hù)。

第三條要求

（一）對(duì)機(jī)房設(shè)備的維護(hù)需由專人負(fù)責(zé)，并做好維護(hù)記錄。

（二）機(jī)柜中的服務(wù)器和網(wǎng)絡(luò)設(shè)備應(yīng)使用標(biāo)簽進(jìn)行標(biāo)識(shí)具體的

應(yīng)用，關(guān)鍵設(shè)備的連線應(yīng)使用標(biāo)簽進(jìn)行標(biāo)識(shí)，便于故障排除。

（三）定期對(duì)機(jī)房設(shè)備進(jìn)行灰塵清理，確保散熱正常。

（四）每日早晨到機(jī)房進(jìn)行例行巡檢，檢查網(wǎng)絡(luò)設(shè)備通信狀態(tài)是

否正常，檢查服務(wù)器應(yīng)用是否能正常訪問(wèn)，數(shù)據(jù)備份是否成

功，對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)進(jìn)行處理，將檢查結(jié)果記錄到巡檢記

錄表。

（五）每日通過(guò)網(wǎng)絡(luò)版殺毒軟件檢查客戶端殺毒軟件的運(yùn)行和

更新?tīng)顟B(tài)，對(duì)有問(wèn)題的計(jì)算機(jī)及時(shí)進(jìn)行修復(fù)。

（六）每周對(duì)服務(wù)器進(jìn)行安全檢查，包括病毒和木馬查殺，系統(tǒng)

補(bǔ)丁更新等，對(duì)安全設(shè)備日志進(jìn)行檢查，檢查是否存在入侵

和攻擊事件，針對(duì)入侵和攻擊的方式和目標(biāo)進(jìn)行安全防護(hù)設(shè)

置。將檢查結(jié)果記錄到安全檢查記錄表中。

（七）網(wǎng)站可采用相關(guān)手段采取7*24小時(shí)的監(jiān)控方式，確保網(wǎng)

站的可用性和安全性。

（A）對(duì)于新增的網(wǎng)絡(luò)設(shè)備、服務(wù)器和計(jì)算機(jī)詳細(xì)記錄到資產(chǎn)記

錄表中。

（九）對(duì)計(jì)算機(jī)的信息表及時(shí)進(jìn)行更新，信息內(nèi)容需包括計(jì)算機(jī)

名、IP和MAC地址。

（十）當(dāng)出現(xiàn)一般系統(tǒng)和網(wǎng)絡(luò)故障時(shí)，應(yīng)及時(shí)進(jìn)行處理，確?？?/p>

速解決故障問(wèn)題。

（十一）當(dāng)出現(xiàn)特大系統(tǒng)和網(wǎng)絡(luò)故障時(shí)，應(yīng)及時(shí)向相關(guān)領(lǐng)導(dǎo)匯

報(bào)，并啟動(dòng)應(yīng)急預(yù)案，盡快恢復(fù)應(yīng)用正常運(yùn)行，如問(wèn)題比較

嚴(yán)重不能自行解決，可請(qǐng)相關(guān)服務(wù)提供商協(xié)助解決。

7.關(guān)于備份與恢復(fù)管理

第一條針對(duì)重要系統(tǒng)或重要數(shù)據(jù)應(yīng)該及時(shí)進(jìn)行備份，防止數(shù)據(jù)

的丟失，應(yīng)準(zhǔn)備好備用服務(wù)器防止硬件故障的發(fā)生。

第二條數(shù)據(jù)備份的方式采用異機(jī)交叉?zhèn)浞莸姆绞?，業(yè)務(wù)數(shù)據(jù)的

備份目標(biāo)應(yīng)使用另一臺(tái)服務(wù)器的本地磁盤或外接磁帶、存儲(chǔ)設(shè)備,

客戶機(jī)文件使用移動(dòng)硬盤進(jìn)行備份。

第三條數(shù)據(jù)備份頻率根據(jù)應(yīng)用系統(tǒng)的重要性而定，重要的應(yīng)用

系統(tǒng)應(yīng)增加備份的頻率，提高對(duì)數(shù)據(jù)的保護(hù)程度。

第四條數(shù)據(jù)備份根據(jù)數(shù)據(jù)的類型和數(shù)據(jù)量靈活選擇備份方法，

業(yè)務(wù)數(shù)據(jù)每周至少做一次完全備份，其余各天可采用增量或差異

備份的方式?？蛻魴C(jī)重要文件每周做一次完全備份。

第五條每天檢查備份是否完成，對(duì)出現(xiàn)的問(wèn)題及時(shí)進(jìn)行處理。

第六條對(duì)于備份完成的數(shù)據(jù)，應(yīng)定期進(jìn)行恢復(fù)測(cè)試，確保備份

的有效性。

第七條備份磁帶應(yīng)該嚴(yán)格管理，妥善保存，保管地點(diǎn)應(yīng)有防火、

防熱、防潮、防塵、防磁、防盜設(shè)施。

第八條計(jì)算機(jī)的備份系統(tǒng)和備份數(shù)據(jù)必須與原系統(tǒng)/數(shù)據(jù)擁有

同樣的密級(jí)，并嚴(yán)格遵守涉密信息的管理制度。

第九條當(dāng)發(fā)生數(shù)據(jù)丟失和損壞時(shí)，由用關(guān)人員負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行

恢復(fù)，當(dāng)出現(xiàn)硬件損壞時(shí)使用備用服務(wù)器接管服務(wù)。

第十條將備份和恢復(fù)結(jié)果記錄到《數(shù)據(jù)備份和恢復(fù)記錄表》中。

8.應(yīng)急預(yù)案和處置管理制度

第一條目的

提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共事件的能力，形成科學(xué)、

有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)

體安全、運(yùn)行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)絡(luò)與信息安全

突發(fā)公共事件的危害，保障國(guó)家和人民生命財(cái)產(chǎn)的安全，保護(hù)公

眾利益，維護(hù)正常的政治、經(jīng)濟(jì)和社會(huì)秩序。

第二條適用范圍

本預(yù)案適用于本醫(yī)院發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)公共事件

和可能導(dǎo)致網(wǎng)絡(luò)與信息安全突發(fā)公共事件的應(yīng)對(duì)工作。

本預(yù)案啟動(dòng)后，本醫(yī)院其它網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案與不預(yù)

案相沖突的，按照本預(yù)案執(zhí)行；法律、法規(guī)和規(guī)章另有規(guī)定的從

其規(guī)定。

第三條職責(zé)

本預(yù)案由醫(yī)院計(jì)算機(jī)中心制訂，報(bào)醫(yī)院相關(guān)領(lǐng)導(dǎo)批準(zhǔn)后實(shí)施。

醫(yī)院有關(guān)部門應(yīng)根據(jù)本預(yù)案，制定部門網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案,

并報(bào)醫(yī)院網(wǎng)絡(luò)信息中心備案。

結(jié)合信息網(wǎng)絡(luò)快速發(fā)展和我院經(jīng)濟(jì)社會(huì)發(fā)展?fàn)顩r，配合相關(guān)

法律法規(guī)的制定、修改和完善，適時(shí)修訂本預(yù)案。

本預(yù)案自印發(fā)之日起實(shí)施