信息系统安全保障措施

信息系统安全保障措施

1. 目的：

为保持医院信息系统正常运行，保护集体数据财富，保障医院和谐发展，保护患者的合法权益，遵循《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国保守国家秘密法》等相关法律法规，结合医院实际情况，制订本管理规定。

2. 范围：

适用于所有使用计算机、服务器和相关辅助设备、设施的科室和部门。

3. 职责：

3.1. 医院信息系统由专人负责管理相应的信息保密工作，要定期监督、检查保密管理规定的执行情况。

3.2. 信息科对信息系统安全保护工作有监督、检查、指导、查处危害计算机网络系统安全的违规行为。

3.3. 科室负责人：负责监督组长及岗位人员是否严格遵守了此制度，对违反此制度的人员进行纠正及处理，以保证各项工作健康有序进行。

4. 具体要求

4.1. 物理安全：包括环境安全、设备安全、人员的访问控制、审计记录、异常情况的追查等。

4.2. 网络安全：包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。

4.3. 数据安全：适用服务器、网络设备等范围、备份方式、备份数据的安全存储、备份周期、负责人等。

4.4. 病毒防护：包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。

4.5. 系统安全：包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略等。

4.6. 用户安全：员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上，并定期修改密码，对有疑问的密码应及时修改。

4.7. 事故处理、紧急响应：包括故障运维小组、联系方式、事故处理计划、控制事故过程等。

4.8. 复查审计：包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、数据库的审计分析、对安全技术发展的跟踪等。

4.9. 信息安全管理制度：建立和完善的企业内部信息安全管理制度，信息安全管理责

任制，重大信息安全事件应急处置和报告制度，信息安全管理和业务培训制度等。

4.10. 信息安全技术手段：采取有效技术手段，落实在有害信息发现和过滤、用户日志留存等方面的管理要求。

4.11. 信息安全保密制度：建立用户个人信息保护制度，对用户、患者信息进行保密。

4.12. 信息安全审核制度：相关责任人定期或不定期检查网站信息内容，实施有效监控；不得利用互联网制作、复制、发布和传播危害、宣布邪教以及不健康或色情的信息，或任何含有法律、行规禁止的其他内容，造成严重后果者将追究当事人责任。

5. 流程（无）

6. 表单（无）

7. 相关文件

《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国保守国家秘密法》等。