- 相關推薦
醫院網絡信息安全管理制度
在我們平凡的日常里,制度使用的情況越來越多,制度是指在特定社會范圍內統一的、調節人與人之間社會關系的一系列習慣、道德、法律(包括憲法和各種具體法規)、戒律、規章(包括政府制定的條例)等的總和它由社會認可的非正式約束、國家規定的正式約束和實施機制三個部分構成。那么你真正懂得怎么制定制度嗎?下面是小編整理的醫院網絡信息安全管理制度,希望對大家有所幫助。
一、為了保證醫院網絡的正常運行,保護醫院網絡系統的安全和網絡用戶的使用權益,特制定本安全管理制度。
二、本管理制度所稱的醫院網絡系統是指在醫院信息系統中,由計算機及配套設施構成的,按照醫院網絡信息系統的應用目標和規定,對數據進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
三、醫院網絡系統安全管理是通過實施身份認證、訪問控制與授權管理、數據備份和災備系統、安全分域及邊界防護、防病毒系統、入侵檢測、補丁管理、郵件安全網關、遠程接入等安全技術和與之相配套的管理制度,保障網絡主機及配套設備、設施的安全,網絡運行環境的安全,從而達到保障計算機網絡系統安全運行和信息安全的目的。
四、信息科負責醫院計算機網絡系統的安全管理工作,確保對計算機網絡系統安全管理的有效性。
五、計算機網絡系統的建設和應用應遵守上級主管部門頒發的行政法規、用戶手冊和其他相關規定.
六、計算機網絡系統實行安全等級保護和用戶使用權限劃分。安全等級和用戶使用權限的劃分和設置由信息科負責制定和實施。
(注釋:以下為身份認證)
七、計算機入網運行必須經信息科批準備案,分配IP地址后,方可接入網絡。
八、要對重要主機的用戶名、開機口令、應用口令和數據庫口令實施重點管理,嚴格控制設備存取及加密,未經允許嚴禁外來盤片帶入機房對服務器進行安裝等,不準將機器設備和數據帶出機房.
九、未辦理入網手續,任何單位和個人不得非法私自將計算機接入醫院網絡,不得以不真實身份使用網絡資源,不得竊取他人賬號、口令使用網絡資源,不得盜用未經合法申請的IP地址入網。未經信息科允許,任何單位或個人不得擅自接納網絡用戶。
(注釋:以下為訪問控制與授權管理)
十、應根據網絡主機不同的安全級別采取相應的訪問控制、數據保護、保密監控管理和系統安全等技術措施.
十一、信息科定期對網上用戶的訪問及授權情況進行檢查,及時發現和限制非法用戶和非授權訪問.
十二、要按要求對數據進行日備份、月備份和年備份.嚴格按操作規程進行數據備份工作,確保備份數據的完整和準確性,做好備份數據的審核工作,并做好相應記錄。要確保導出、導入數據的完整和準確,并做好導出、導人數據的審核工作和相應記錄。
(注釋:以下為安全分域及邊界防護)
十三、加強邊界安全的防護,應根據安全區域劃分情況明確需進行安全防護的邊界,并實施有效的訪問控制策略和機制。
十四、應在網絡系統或安全域邊界的關鍵點采用嚴格的安全防護機制,如嚴格的登錄/鏈接控制,高性能的防火墻、防病毒網關、入侵防范、信息過濾、邊界完整性檢查等.
十五、要實施必要的邊界訪問、違規外聯的審計和控制。
(注釋:以下為入侵檢測)
十六、應采用必要的手段(如入侵檢測系統、日志分析、網絡取證分析等)對系統內的安全事件進行監控,檢測攻擊行為并能發現系統內非授權使用情況.
十七、應禁止系統內用戶非授權的外部鏈接(如自動撥號、違規鏈接和無線上網)。
(注釋:以下為防病毒系統)
十八、應部署有效的網絡病毒防范軟件系統和相應的網絡病毒防范管理辦法,實施對計算機網絡病毒的有效防范。
十九、要制定文檔化的明確的計算機病毒和惡意代碼防護策略,以及確保策略有效實施規章制度。
二十、應在系統內關鍵的入口點以及各工作站、服務器和移動計算機設備上采取計算機病毒和惡意代碼防護措施。
(注釋:以下為備份和恢復)
二十一、應制定文檔化的信息系統備份和恢復的策略,建立健全備份和恢復的管理制度和操作規程。
二十二、備份包括關鍵業務數據的備份、關鍵業務設備(如服務器、交換機等)的備份和電源備份。對重要信息系統(如HIs系統)的關鍵設施(如服務器)采取熱備份。
二十三、應定期備份和對恢復策略進行測試,以保證其有效性。要有系統恢復的預案和演練。
二十四、應根據業務的重要程度、信息系統的資產價值等進行相應的需求分析,確定系統恢復的目標,如:關鍵業務功能、恢復的優先順序、恢復的時間范圍。 (注釋:以下為遠程接人)
二十五、為確保醫院計算機局域網絡運行安全,要在有效部署防火墻、入侵檢測和防病毒系統的情況下,實施遠程接入。醫院業務網(內網)與遠程接入(外網)業務的物理隔離。凡涉密的計算機主機不得與互聯網(Internet)鏈接.
二十六、任何部門和個人使用醫院網絡提供的遠程接人服務必須向信息科申請。入網用戶的用戶名和IP地址是用戶在醫院局域網上的合法標識,也是對用戶收費的重要依據,一經指定不得擅自更改。
二十七、未經信息科批準,任何個人或部門不得為外單位人員提供電子郵件或其他網絡服務。
二十八、所有入網用戶,應當遵守國家有關法律、法規及醫院的有關規章制度,嚴格執行安全保密制度,不得利用計算機網絡從事危害國家安全、損害醫院利益等違法、違規活動,不得制作、查閱、復制和傳播擾亂社會治安、有傷風化、淫穢色情等信息,不得利用網絡攻擊、損害公用網絡和其他用戶。否則,醫院有權停止對其提供的服務;由此造成的不良后果由用戶承擔。
二十九、使用計算機機網絡系統的部門和個人必須遵守計算機安全使用的規定,對計算機網絡系統發生的問題和故障要立即向信息中心報告。
三十、用戶不得從事下列危害計算機網絡安全的行為:
1、未經允許,進入計算機網絡系統或使用網上信息資源:
2、私自轉借或轉讓用戶賬號,盜用他人賬號或IP地址:
3、未經允許,對網上應用系統的功能進行刪減或更改:
4、未經允許,對計算機網絡的存儲、處理或傳輸數據和應用程序進行刪減或更改;
5、故意制作、傳播計算機病毒等破壞程序,使用任何工具破壞網絡正常運行;
6、破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全;
7、其他危害計算機網絡安全的行為。
上述違規造成醫院損失的,依照有關法律、法規及醫院有關處罰規定進行處理,情節嚴重者移交公安機關處理。
【醫院網絡信息安全管理制度】相關文章:
網絡信息安全管理制度05-25
醫院信息安全管理制度09-08
醫院信息安全管理制度11-15
醫院信息安全的管理制度(精選8篇)10-12
校園網絡與信息安全管理制度(精選10篇)03-05
學校網絡與信息安全的管理制度(通用6篇)10-12
醫院信息管理制度08-20
醫院網絡部管理制度04-27
網絡信息安全工作計劃01-06