信息系统授权制度.docx

1、信息系统授权制度信息系统授权制度信息系统授权制度信息系统授权制度为加强我院信息系统安全性管理，特制定信息系统授权制度：一、权限申请1、权限申请人须向信息科提交书面申请表；2、权限申请人须向信息科提供权限申请的目的，同时提交相应事由；3、权限申请人必须完全执行信息安全管理相关制度；二、信息授权1、信息科在收到权限申请人书面申请表后，两个工作日内作出授权安全性报告，并将相关资料交至行政院长审核、批复；2、信息科收到批复后，1个工作日内对申请人进行授权。3、在授权期间，信息科对被授权人进行监督，如发现违规操作应立即停止授权；并对违规操作作出详细说明。三、取消权限1、被授权人出现违规操作，对信息系统安

2、全构成威胁的；2、被授权人工作岗位调动的。海门市第四人民医院 数据备份制度1、由网管员负责建立数据备份系统，防止系统、数据的丢失。由专人负责数据备份工作，并认真填写备份日志。2、一旦发生数据丢失或数据破坏等情况，必须由网管员对备份数据进行恢复，以免造成不必要的麻烦或更大的损失。3、数据备份的主要内容为：网络服务器端操作系统、系统及应用软件、数据库信息、网站信息、文档数据库、共享资源平台，CSOM数据。4、备份具体工作为将以上信息存储于磁介质及光盘上。5、文件服务器实行双硬盘同时工作，硬盘问做镜像备份。6、数据备份由网络系统管理员负责实施。并记录下备份的内容、时间。7、备份数据及相关的数据档案统

3、一保存在网络管理中心。未经领导批准不得外借。8、如遇服务器遭受攻击或网络病毒，造成数据丢失或系统崩溃，需要进行数据恢复，需由网络通管理员执行恢复程序。同时将具体情况做记录。9、数据备份和数据存储用的磁介质要严格管理、妥善保存。海门市第四人民医院 计算机系统、网络维护制度 一、操作人员要认真学习和遵守各项计算机安全规章制度，严格遵守计算机安全操作规程，严格执行操作规程和操作技术指标，对所操作的设备按规定填写上机记录。二、实现各种设备定期保养，做到保养有计划，易损配件有储备。三、对各种设备故障应及时排除，提高设备完好率和使用率。四、正确分析、判断和处理各种计算机安全隐患；正确操作，精心维护计算机设

4、备。定期组织检查，发现不安全因素及问题及时消除和处理。五、加强计算机技术资料（指计算机硬件资料、系统使用手册、驱动程序、应用程序等）管理，确保资料完好无损。六、建立各种计算机资料使用台帐，定期进行盘点。 海门市第四人民医院 计算机网络系统使用规定1、计算机网络系统属于医院固定资产，只为医疗业务工作所使用，不得挪作它用；2、所有电脑的技术支持和维护由信息负科责，每位员工在电脑使用过程中，如遇技术问题，可及时向其反馈，寻求解决；3、员工不得随意修改系统参数设置，包括域名、计算机名、IP地址、网络通信协议等等；4、域模式的情况下，员工必须以自己所分配的域用户名登录到域中；5、员工不得随意删除已存在的

5、网络共享，特别是网络打印机的共享；6、员工不得随意下载或安装和工作无关的软件，特别是可能危及计算机网络系统安全的带病毒程序或黑客程序；7、员工不得随意修改或删除系统文件和文件夹，不得随意更改文件和文件夹的属性，非特殊情况下，不得对文件进行加密处理；8、每台电脑实行管理责任制，由相对应的科室人员负责使用、保管及日常维护，并登记签名确认；9、每台电脑应安装杀毒软件，员工对个人使用的电脑杀毒软件应定期升级，更新病毒库，并至少两周查、杀病毒一次；10、员工须认真执行此管理规定，若违反上述条款之一的,按相应制度处理。海门市第四人民医院 信息系统巡查制度1、网络中心管理和安全员要做好对上网用户的法律法规宣

6、传和教育，对上网用户进行遵守国家的有关法律、法规和行政规章教育，不得利用国际互联网危害国家安全，泄漏国家秘密，不得侵犯国家、社会、集体的利益和公民的合法权益，不得从事违法犯罪活动。2、加强安全巡查，负责对上网用户情况的监督、检查，发现有害信息及其它异常情况和其它违法犯罪行为，应及时予以制止，做好有关数据的保存和备份，并立即报告公安机关。安全员认真负责不得擅离岗位。网络中心管理和安全员要在正常工作日，对网站进行巡查，并做好巡查工作记录。3、网络中心人员应当加强自身帐号、密码等资料的管理，同时加强网络安全和信息安全的管理。严禁将帐号和密码泄漏给他人。4、防止非本中心人员对服务器上的数据进行修改，配

7、备计算机防病毒软件、系统安全审计软件，建立具有保存60日以上系统网络运行日志和用户使用日志记录功能，在巡查过程中发现系统的重大事故（如病毒破坏、黑客攻击、雷击、电击等），应及时报告公安机关。海门市第四人民医院 网络安全管理制度1、计算机网络系统的建设和应用，应遵守国家有关计算机管理规定。2、计算机网络系统实行安全等级保护和用户使用权限控制。安全等级和用户使用权限以及用户口令密码的分配、设置由计算机中心专人负责制定和实施。3、计算机中心机房应当符合国家相关标准与规定。4、在计算机网络系统设施附近实施的营房维修、改造及其它活动，不得危害计算机网络系统的安全。如无法避免而影响计算机网络系统设施安全的

8、作业，须事先通知计算机中心，经中心负责人同意并采取相应的保护措施后，方可实施作业。5、计算机网络系统的使用单位和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规定制度。对计算机网络系统中发生的问题，有关使用单位负责人应当立即向计算机室有关工程技术人员报告。6、对计算机病毒和危害网络系统安全的其它有害数据信息的防范工作，由计算机中心负责处理。7、所有上网计算机绝对禁止进行国际联网或与院外其它公共网络直接连接。海门市第四人民医院 网络安全监督制度信息中心对计算机网络系统安全保护工作行使下列监督职权：1、监督、检查、指导计算机网络系统安全保护工作。2、查处危害计算机网络系统安全的违规行为。

9、3、计算机工程技术人员发现计算机网络系统安全隐患时，可立即采取各种有效措施予以消除。4、计算机工程技术人员在紧急情况下，可以就涉及计算机网络安全的特定事项采取特殊措施进行防范。5、履行计算机网络系统安全保护工作的其它监督职责。海门市第四人民医院 医院网站管理制度一、网站安全制度（一）建立网站审批、备案制度。网站建设本着有利于教学、科研、管理，有利于对内外宣传，有利于医院员工的工作生活，有利于节约网络资源的原则，严格履行审批和备案手续。（二）不得利用医院网站做危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体的利益和公民的合法权益活动，不得从事任何违法犯罪活动。（三）不得利用医院网站制作、复制

10、、发布和传播下列信息：1、煽动抗拒、破坏宪法和法律、行政法规实施的；2、煽动颠覆国家政权，推翻社会主义制度的；3、煽动分裂国家、破坏国家统一的；4、煽动民族仇恨、民族歧视，破坏民族团结的；5、捏造或者歪曲事实，散布谣言，扰乱社会秩序的；6、宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；7、公然侮辱他人或者捏造事实诽谤他人的；8、损害医院形象和医院利益的；9、侵犯他人知识产权的；10、故意制作、发布、传播计算机病毒等破坏性程序的；11、故意制作、发布、上传各类黑客软件的；12、在BBS、留言板、聊天室上对他人进行人身攻击，发表消极、低级庸俗言论，发布各类未经许可的广告信息，使用各

11、种公众人物的名字及其他不健康的内容作为自己的网名的；13、其他危害计算机信息网络安全的；14、其他违反宪法和法律，行政法规的；（四）医院网站工作人员应当履行下列安全保护职责：1、落实网络安全负责人、联系人和网络管理员；2、建立健全网络安全保护管理制度，落实安全保护技术措施；3、负责对本单位网络用户进行安全教育和培训；4、对本单位发布的信息进行审核、登记。（五）建立健全安全保护管理制度。网站管理员应经常检查网络安全保护管理以及技术措施的落实情况。用户应如实向医院相关部门提供有关安全保护的信息、资料及数据文件，协助查处通过网络进行违法犯罪的行为。（六）主网站运行维护工作由信息科负责。医院网站有关设

12、备由第三方服务器提供商维护，保证网站每天24小时正常开通运转，以方便公众访问。（七）建立网站信息更新维护责任制。各部门应明确分管负责人、承办部门和具体责任人员，负责本部门网站日常维护工作，并建立相应的工作制度。（八）定期备份制度。主网站和子网站应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。（九）口令管理制度。主网站和子网站应当设置网站后台管理及上传的登录口令。口令的位数不应少于8位，且不应与管理者个人信息、单位信息、设备（系统）信息等相关联。每3个月须更换1次网站登录口令，严禁将各个人登录帐号和密码泄露给他人使用。（十）客户

13、端或录入电脑安全防范制度。网站负责人、技术开发人员和信息采编人员所用电脑必须加强病毒、黑客安全防范措施，必须有相应的安全软件实施保护，确保电脑内的资料和帐号、密码的安全、可靠。（十一）应急响应制度。主网站和子网站应当充分估计各种突发事件的可能性，做好应急响应方案。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。（十二）安全事件报告及处理制度。主网站和子网站在发生安全突发事件后，除在第一时间组织人员进行解决外，应当及时向市信息化管理办公室和市网安办报告，并由其给予及时的指导和必要的技术支持，同时将部门网站报告的情况反馈给门户网站，并视安全突发事件的严重程度，及时协调

14、公安、电信等部门进行处理。（十三）人员管理制度。主网站和子网站应当制定详细的工作人员管理制度，明确工作人员的职责和权限。要通过定期开展业务培训，提高人员素质，重点加强负责系统操作和维护工作的人员的培训考核工作，实行考核上岗制度。同时，规范人员调离制度，做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。（十四）根据医院网站运行的实际情况并结合上级部门有关规定，将对本办法适时予以修订。二、网站应急制度（一）应急处置措施1、网站出现非法言论时的紧急处置措施（1）网站由局信息中心管理员随时密切监视信息内容。每天早、中、晚3次不少于1小时。（2）发现网上出现非法信息时，网站管理员应立即向信息

15、安全分管领导汇报情况；情况紧急的应先及时采取删除等处理措施，再按程序报告。（3）信息安全领导小组具体负责的管理人员应在接到通知后1小时内赶到现场，作好必要的记录，清理非法信息，强化安全防范措施，并将网站重新投入使用。（4）网站管理员应妥善保存有关记录及日志或审计记录。（5）网站管理员应立即追查非法信息来源。（6）工作人员会商后，将有关情况向安全领导小组领导汇报有关情况。（7）安全领导小组召开安全领导小组会议，如认为情况严重，应及时向有关上级机关和公安部门报警。2、黑客攻击时的紧急处置措施（1）当科室或个人发现有关网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网站管理员通报情况。（2）网站管理员应在1小时内赶到现场，并首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向信息安全领导小组副组长汇报情况。（3）网站管理员负责被破坏系统的恢复与重建工作。（4）网站管理员协同有关部门共同追查非法信息来源。（5）信息安全领导小组会商后，如认为情况严重，则立即向公安部门或上级机关报警。3、病毒安全紧急处置措施（1）当发现计算机感染有病毒后，应立即将