信息系统权限管理制度5篇.docx
《信息系统权限管理制度5篇.docx》由会员分享,可在线阅读,更多相关《信息系统权限管理制度5篇.docx(20页珍藏版)》请在冰豆网上搜索。
信息系统权限管理制度5篇
信息系统权限管理制度
为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。
一、总则
1.1用户帐号:
登录信息系统需要有用户帐号,相当于身份标识,用户帐号采用人员工号的编排,规则如下:
(1)采用员工工号编排。
工号以人事部按顺序规定往后编排提供信息科。
1.2密码:
为保护信息安全而对用户帐号进行验证的唯一口令。
1.3权限:
指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。
二、职责与分工
2.1职能部门:
(1)权限所有部门:
负责某一个模块的权限管理和该模块的数据安全;
a.财务处负责财务收费系统和部分资产系统权限;
b.护理部负责病区护士管理系统权限;
c.医务部负责医生工作站管理系统的权限;
(2)负责指定一个部门权限负责人(建议为科室负责人),对涉及本部门负责权限的新增,变更,注销进行签字审批;
(3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置;
2.2单位权限负责人
(1)负责签批部门间的权限的授予;
(2)负责对信息系统用户帐号及密码安全进行不定期抽查;
2.3系统管理员
(1)负责根据信息系统用户新增\异动\离职记录表在系统中设置用户权限;
(2)负责维护本单位用户和权限清单;
(3)遵守职业道德,接受部门权限负责人和单位权限负责人的抽查。
三、用户帐号及密码管理
3.1密码设置及更改:
(1)第一次登录信息系统时,用户必须更改信息系统密码;
(2)为避免帐号被盗用,密码长度不小于六位,建议数字与字母结合使用;
(3)建议每____天或更短时间内需要重新设定密码;
(4)对于用户忘记密码的情况,需要按照新用户申请流程处理。
3.2帐号与密码保管:
(1)密码不可告知他人,用户帐号不可转借他人使用;
(2)信息系统用户因离岗或转岗,所拥有的系统用户权限需相应变更时,需在将有本部门权限负责人签字确认并到信息部办理手续;系统管理员对离岗或异动的帐号进行注销并签字;人事科在见到系统管理员签字后方可办理离岗或异动手续。
3.3责任承担:
帐号的注册所有者应对该帐号在系统中所做的操作及结果负全部责任。
四、用户申请\变更\注销流程
4.1用户新增\变更流程:
(1)由用户本人提出申请
(2)申请人所属部门权限负责人核准;
(3)如果涉及其他部门负责的权限,需要单位权限负责人及其他部门权限负责人签批;
(4)信息系统管理员根据申请单在系统中进行权限设置;维护用户及权限清单;并通知申请人及其部门权限负责人;
(5)申请人应在收到通知的当天修改初始口令。
4.2用户注销流程:
当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时:
(1)用户填写人事部<员工离职表>或<员工异动交接表>并提交信息系统管理员签字;
(2)信息系统管理员根据申请书单进行用户的注销,维护用户清单和权限列表,并记录;
(3)人事科有系统管理员签字表明用户权限已经注销,才能办理离岗或转岗的手续.
医院应急恢复工作制度
1.当信息中心服务器确认出现故障时,由系统管理员进行系统恢复,应遵循《信息系统应急预案》处理。
2.系统管理员由信息科主任指定专人负责恢复。
当人员变动时应有交接手续。
3.当网络线路不通时,网络系统维护人员应立即到场进行维护,当光纤损坏时应立即使用备用光纤进行恢复,交换机出现故障时,应使用备用交换机。
4.对每次的恢复细节应做好详细记录。
5.定期对全系统备份数据要进行模拟恢复,以检查数据的可用性。
信息系统权限管理制度
(二)
第一条
为明确岗位职责,规范操作流程,保障本中心信息系统安全、有效运行,根据有关法律、法规和政府有关规定,结合信息统计中心实际情况,特制定本制度。
第二条
目的:
使信息化建设工作规范化进行,做到统一规划、统一标准、统一建设、统一管理。
使用范围:
适用于本中心信息化建设。
第三条利用信息系统实施内部控制至少应当____下列风险:
(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致中心管理效率低下。
(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
第四条职责:
(一)信息统计中心负责中心信息化管理总体规划,建立统一的信息化建设标准、规范。
负责中心各科(所)信息化项目总体协调及中心办公自动化网络和系统软硬件的维护工作。
(二)各科(所)负责指定专人担任本专业信息化网络工作,并负责本科(所)日常信息管理工作。
第五条
工作要求:
(一)各科(所)在开展涉及信息化建设及申报信息化建设项目之前,需报主管领导审批后,将业务需求、建设规划等报信息统计中心,信息统计中心应按照中心信息化建设规划及相关要求进行审核。
(二)经信息统计中心审核同意后的信息化建设项目,由信息中心提出信息化技术要求及软硬件需求,同意规划整合后报市卫生局信息中心。
(三)各科(所)申报的信息化项目批准后,信息统计中心技术人员全程参与项目的招标、实施、验收。
第二章信息系统的开发
第六条信息统计中心根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等,按照规定的流程报批通过后配合相____司实施。
信息统计中心负责监督开发流程,明确系统设计、____调试、验收、上线等全过程的管理要求。
第七条信息统计中心需要深入了解各个业务科(所)的业务流程、关键控制点、处理规则、用户范围以及手工环境下难以实现的控制功能等较为核心的信息系统需求点。
在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。
应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。
对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。
应当在信息系统中设置操作日志功能,确保操作的可审计性。
对异常的或者违背内部控制要求的操作,应当设计系统自动报告并设置跟踪处理机制。
第八条信息统计中心需要____开发单位或开发人员与各科(所)的日常沟通和协调,督促开发单位或开发人员按照建设方案、计划进度和质量要求完成编程工作。
第九条信息统计中心应根据配备的硬件设备和系统软件的具体情况,____安排相应的硬件厂家或软件开发商的技术人员入场____调试。
对于关键的软硬件设备,应安排专人负责跟踪、记录整个____调试过程;在完成软硬件设备的____调试后,应注意做好有关文档的验收及归档保存工作。
第十条信息系统上线前,需要对信息系统进行等保定级,没有定级的信息系统不能正式上线。
另外,信息统计中心都应当切实做好上线的各项准备工作,应查验设备厂商或软件开发商或开发人员提交的有关运行维护资料,包括技术手册、操作手册等,并负责监督设备厂商或软件开发商提供对相关岗位人员的技术培训。
制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。
系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
2第十一条未经安全检测的信息系统不能为其配置外网地址,信息安全的投入原则上不低于信息系统项目总投资的____%。
此外,对于信息技术软件,应注意母盘或源代码的保存登记工作,并由专人管理。
日常工作中应尽量使用母盘的复制品,避免造成对母盘或源代码的破坏。
第三章信息系统的运行与维护
第十二条信息系统投运前,信息统计中心要掌握有关设备所提供的各种系统监控、维护工具,并检查其安全性和完整性。
第十三条信息系统投运前,信息统计中心应与软件开发商和设备的供应商共同制定系统投运实施方案以及应急处理方案,并尽可能在测试环境中测试通过后,再在实际运行环境中实施。
第十四条
信息系统的日常管理和维护由信息统计中心负责。
信息统计中心按实际情况制定各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
信息统计中心对服务器等关键信息设备指定专人负责检查维护,及时处理异常情况。
,任何人不得接触关键信息设备。
机房设备发生故障时,应及时联系设备供应厂商解决。
第十五条
信息系统需求变更应当严格遵照管理流程进行操作。
信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
对于重大信息系统配置的更改,应先形成方案文件,经信息统计中心讨论确认可行,报信息统计中心领导批准后执行。
方案中应包括系统备份方式、调试运行期限、更改和操作记录、应急措施等。
第十六条根据业务性质、重要性程度、____情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度。
(一)建立用户管理制度,根据工作岗位需求严格控制重要业务系统的访问权限。
合理分配用户权限,避免授权不当或存在非授权账号,禁止不相容岗位用户账号的交叉操作。
(二)每周备份信息系统数据库,确保信息系统一旦发生故障能够快速恢复。
3第十七条
信息统计中心人员必须严格遵守信息传递操作流程,严禁外泄网络用户____及共享权限____。
严禁擅改他人文件。
第十八条
信息统计中心全体人员均有权制止违反规定、可能损害信息系统安全的行为,并有义务及时向信息统计中心领导汇报。
在出现违反规定的可疑情况,应立即向信息统计中心领导通报。
第十九条
信息系统设备完成____调试后,未经信息统计中心同意,任何个人或部门不得擅自移动或拆除。
如因工作需要,确实要对有关设备进行移动或拆除,需报信息统计中心审批同意后,由信息统计中心____有关技术人员实施,并做好相应的登记变更工作。
关键硬件设备完成____后,运行地点要相对固定,移动或拆除要在完成审批程序后,方可实施。
第二十条硬件设备的报废应由使用部门提出书面申请,信息统计中心根据设备的使用情况进行审核,提出设备报废清单,按固定资产报废程序办理。
安全管理制度
为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。
一、互联网使用管理互联网使用管理互联网使用管理互联网使用管理
1、禁止利用公司计算机信息网络系统制作、复制、查阅和传播危害国家安全、泄露公司____、非法网站及与工作无关的网页等信息。
行政部门建立网管监控渠道对员工上网信息进行监督。
一经发现,视情节严重给予警告、通报批评、扣发工资____元/次、辞退等处罚。
2、未经允许,禁止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进行删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加、故意制作、传播计算机病毒等破坏性程序的等其它危害公司计算机信息系统和计算机网络安全的。
一经发现,视情节严重给予警告、通报批评、扣发工资____元/次、辞退等处罚。
3、公司网络采取分组开通域名方式,防止木马蠕虫病毒造成计算机运行速度降低、网络堵塞、帐号____安全系数降低。
二、网站信息管理
1、公司____发布、转载信息依据国家有关规定执行,不包含违____各项法律法规的内容。
2、公司____内容定期进行备份,由网管员保管,并对相应操作系统和应用系统进行安全保护。
3、公司网管加强对上网设备及相关信息的安全检查,对网站系统的安全进行实时监控。
4、严格执行公司保密规定,凡涉及公司____内容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网;
5、所有上网稿件须经分管领导审批后,由企划部门统一上传。
三、软件管理软件管理软件管理软件管理
1、公司软件产品的采购、软件的使用分配及版权控制等由行政部门信息系统管理员统一进行,任何部门和员工不得擅自采购。
2、公司提供的全部软件仅限于员工完成公司的工作使用。
未经许可,不得将公司购买或开发的软件擅自提供给第三人。
3、操作系统由公司统一提供。
禁止____使用其它来源的操作系统,特别是的非法拷贝。
擅自使用造成的一切后果由使用人自行承担,对于造成损失的,将视情节及危害程度严重给予警告、通报批评、扣发工资____元/次等处罚。
4、一般应用软件统一在公司文件服务器上提供常用软件____目录,不提供____光盘(操作系统除外)。
____非公司提供的软件导致系统损害,信息丢失的,将视情节及危害程度严重给予警告、通报批评、扣发工资____元/次、辞退等处罚。
5、公司小范围使用的专业版权软件,使用人需在自行备份并由信息系统管理员验证后才可进行____。
6、禁止____使用非工作用软件。
其它工作所需的应用软件,可由使用部门申请,再由行政部门统一发布。
四、计算机病毒管理
1、集团计算机病毒管理由集团信息办负责进行规划、实施和监控。
2、员工应树立预防计算机病毒的意识和熟知预防计算机病毒的措施,及时更新系统漏洞和使用杀毒软件。
具体内容包括:
(1)及时更新微软补丁,每周至少更新一次。
当屏幕右下角有自动更新的图标时,要及时____。
(2)有些特殊的软件(如sqlserver等),及时到相应网站打补丁。
(3)及时____杀毒软件和升级杀毒软件病毒特征库。
严禁因杀毒软件影响性能,而把杀毒软件卸载。
每周至少更新一次,确保杀毒软件为最新版本。
(4)严禁
打开来历不明的邮件。
能判断为病毒邮件的,立即删除;不能判断的联系信息系统管理员解决。
当计算机感染病毒后,请及时断开网线,使用杀毒软件查杀和查看操作系统和应用软件的补丁是否及时更新;严重者请及时联系信息办信息系统管理员解决。
(5)当有新病毒通过某些软件(如:
____,msn)传播时,请立即关闭相应软件或拔掉网线。
查杀问题解决后,方可继续使用。
3、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者,第一次给予警告、第二次给予通报批评,第三次及以上将给予通报批评并扣发工资____元/次。
五、网络资源管理
1、集团网络资源和服务器由集团信息办信息系统管理员统一进行规划、管理和监督。
2、服务器及个人用机的管理:
(1)部门级及以上服务器必须指定专人负责管理,并在行政部门备案,非管理员不得对其进行操作。
(2)部门级及以上的服务器管理员有责任对其负责的服务器进行例行检查,包括:
服务器的cpu、内存、硬盘等资源利用情况;服务器上运行的服务使用情况;服务器上运行的os及时升级;服务器上运行的杀毒软件的及时更新;
(3)服务器管理员要做好服务器的备份工作,至少每季度有一份完整异地(异机)备份,重要数据及时备份。
信息系统管理员有责任监督、协调其备份工作。
(4)个人和部门未经行政部门批准不得私自设立服务器。
(5)服务器管理员每月定期对服务器做一次全面检查,并填写服务器检查日志。
(6)服务器管理员每季度需修改服务器____一次。
当服务器管理员有变更时,管理员____需及时更改。
(7)员工应避免随意共享工作相关资料,若需共享,应指定合理权限,并在完成后及时取消;严禁未经信息系统管理部门批准,擅自共享给局域网内所有用户。
(8)员工应自行维护电脑的正常使用,并按照网管的要求进行设置及及时进行补丁更新,不得擅自退出域、去除域管理员权限、修改主机名、修改ip等。
3、ip地址的管理。
(1)ip地址由行政部门统一规划管理。
未经许可,不得擅自更改任何设备的ip地址。
(2)公司申请的公网ip任何人不得私用。
(3)工作需要公网ip,需申请信息部批准后,方可使用。
(4)公司公网ip使用无工作需要时,立即停止使用,并通知行政部门收回。
(5)ftp等____器的使用须经行政部门批准,且不得擅自更改使用用途。
六、机房管理
1、人员管理。
相关维护人员凭门禁卡或____进出机房,其它人员不得擅入。
如确需进入机房的其它工作人员,应向相关部门提出申请,并做相应的登记备案后,在相关人员的陪同下入内。
信息系统管理员有权在场监控及记录入内者的工作情况。
2、机房设备管理。
参照公司固定资产管理制度进行管理。
非电源性电子设备(如路由器,服务器等)必须接不间断电源,保证数据在突然断电时不致丢失;机房温度应保持在22±2℃。
工作时间,非工作时间公司保安应定时巡视机房,确保机房环境、供电及温度正常;如出现机房温度超过30摄氏度警戒线、停电等异常情况,应与管理员联络,立刻采取必要措施保障机房设备的安全。
3、信息管理。
任何人员(包括管理员)在机房信息设备上进行更改操作,都需记录备案。
未经管理员许可在机房内擅自进行操作者,可视情节给予通报批评、扣发工资____元;情节严重的,可予以辞退。
4、施工管理。
公司机房建设应符合机房建设的有关标准和规定;在公司机房内施工,须由信息安全部经理批准,并有网络管理员或授权的公司保安监督施工现场。
七、电子设备使用管理
1、电子设备的新增购买申请先采用调配方式,若无法调配同等配置的,才予购买。
使用管理参照公司固定资产管理制度。
2、计算机及其辅助设备一经领用,使用人员需严格按照设备使用说明书和管理员制定的相关使用规定操作。
对丢失、擅自转让、人为毁损造成无法修复等损失,可视情节给予警告、通报批评、按价赔偿。
(1)台式计算机:
非经信息管理员工同意不得擅自打开机箱。
(2)笔记本电脑设备:
a、不同品牌型号的零配件不可互换使用。
b、用于移动办公,绝对不允许作为服务器共享操作。
c、应保持出厂预装的正版操作系统,保留硬盘中的隐藏分区。
如确因工作需要重新____其它操作系统(如win____等),需由系统管理员进行。
不允许私自重新分区格式化,将原出厂隐____格式化删除。
3、非经许可,不得将个人台式电脑及相关设备带入公司,特殊情况,需办理相关登记手续。
4、员工不得随意增减配件,不得在未经管理员许可的情况下对硬盘做低级格式化。
未经行政部门批准,严禁将台式电脑及其它电子设备带出公司。
私自调配电子设备(含配件),可视情节给予警告、通报批评、扣发工资____元/次。
八、信息系统管理员
1、管理权限和责任
(1)负责公司各信息系统的信息安全、日常维护、系统管理等。
(2)严格遵守公司制定的相关信息安全管理制度,履行工作职责。
(3)制定各信息系统的管理维护标准,包含用户及权限建立与变更标准及流程、定期检查制度、违约处罚条款等,送交信息安全主管部门审核备案,并严格执行。
(4)信息系统管理员必须签订《关键职位员工之保密承诺书》。
2、职责规范
(1)推动员工树立信息系统安全防范意识,完善公司信息安全保障机制,逐步建立以预防、发现、响应、恢复为基础的信息安全管理机制。
(2)遵守职业道德,严守保密制度,不以任何形式携带走所接触的、了解的、获知的、掌握的、使用的集团任何资料;不向任何单位和个人泄露、透露或披露在工作期间所接触到、了解到、知悉的、被告知的集团商业____(包括技术____和经营____);未经公司书面同意,不擅自使用已接触到、了解到、知悉或被告之的商业____;不利用已知的公司资源(如公司信息系统缺陷、口令等),做违____法规、窃取公司商业____、攻击公司服务器等行为。
(3)端正服务态度,对员工的需求积极快速响应,并提供迅速、周到的技术服务支持。
九、附则:
1、本制度解释权归集团信息办。
2、本制度自颁布之日起施行。
信息系统权限管理制度(三)
一、医院信息化工作领导小组授权办公室负责医院计算机信息系统保密管理。
办公室要切实承担信息系统保密管理的职责,各有关科室要提高保密意识,加强对有关保密工作的宣传教育。
二、办公室负责对计算机信息系统操作员进行保密教育和技术防范培训;医院计算机信息系统操作员上岗前必须接受保密教育和技术防范培训。
三、医院计算机信息系统网络管理员未经许可不得擅自将软件、数据、报表等带出科室或复制他人;不得公开医院计算机信息系统操作员的____。
四、医院计算机信息系统操作员未经许可不得擅自发布医院计算机信息系统的数据和报表;未经许可不得擅自更改和删除数据。
五、医院计算机信息系统操作员____的保管坚持“谁使用,谁负责”的原则,操作人员应保管好自己的____;如发现____泄露,应及时修改____;如____遗失,应及时通知办公室,由办公室重新分配____。
六、违反保密管理制度的责任追究:
凡发生违反上述信息系统保密管理制度的行为者,由办公室提交医院领导班子会研究,情节一般且未造成严重后果的,予以批评教育,并按《医院奖惩条例》中违反医院管理制度的有关条款酌情处罚;情节严重,造成严重后果的,当事人给予行政处分和相应的经济处罚,并追究相关科
室负责人的管理责任,此外,造成医院经济损失的,按情节轻重承担一定的经济责任。
信息系统权限管理制度(四)
一、总则
1、为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《____计算机信息系统安全保护条例》、等有关规定,结合本公司实际,特制订本制度;
2、计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统;
3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。
二、网络管理
1、遵守国家有关法律、法规,严格执行安全保密制度及公司信息保密协议相关条款,不得利用网络从事危害公司安全、泄露公司____等违法犯罪活动,严格控制和防范计算机病毒的侵入;
2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源;
3、任何员工不得故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据;
4、计算机各终端用户应保管好自己的用户帐号和____。
严禁随意向他人泄露、借用自己的帐号和____;计算机使用者更应以____天为周期更改____、____长度不少于____位。
三、设备管理
1、it设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。
严禁擅自移动和装拆各类设备及其他辅助设备;严禁擅自请人维修;严禁擅自调整部门内部计算机信息系统的安排;
2、设备硬件或重装操作系统等问题由微机科统一管理。
四、数据管理
1、计算机终端用户计算机内的资料涉及公司____的,应该为计算机设定开____码或将文件加密;凡涉及公司____的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。
离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存;
2、工作范围内的重要数据(重要程度由各部门负责人核定)由计算机终端用户定期更新、备份,并提交给所在部门负责人,由部门负责人负责保存;
3、计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是c盘)外的盘上。
计算机信息系统发生故障,应及时与微机科联系并采取保护数据安全的措施;
4、终端用户未做好备份前不得删除任何硬盘数据。
对重要的数据应准备双份,存放在不同的地点;光盘保存的数据,要定期进行检查,定期进行复制,防止由于磁性介质损坏,而使数据丢失;做好防磁、防火、防潮和防尘工作。
五、操作管理
1、凡涉及业务的专业软件由使用人员自行负责。
严禁利用计算机干与工作无关的事情;严禁除维修人员以外的外部人员操作各类设备;
2、微机科将有针对性地对员工的计算机应用技能进行定期或不定期的培训,培训成绩将记入员工绩效考核;由微机科收集计算机信息系统常见故障及排除方法并整理成册,供公司员工学习参考。
3、计算机终端用户在工作中遇到计算
升级会员 