信息安全保密制度流程.docx

信息安全保密制度流程 信息安全保密制度流程 Document serial number 信息安全保密制度 第1条为了加强知识产权保护，防止信息数据丢失和外泄，保持信息系统库正常运行，特制定安全保密制度。 第2条安全保障对象包括办公场所安全，设备安全，软件安全，系统库安全，计算机及通信安全；保密对象包括档案资料，医疗数据资料，信息系统库资料。 第3条信息中心主任、工程师必须严格执行国家的有关规定和院里的有关制度，认真管理档案、医疗数据资料、数据库系统。 第4条信息中心的所有工作人员必须严格遵守院里的规章制度和信息中心的有关规定，认真做好档案、医疗数据资料、数据库系统的管理和维护工作。 第5条未经院领导和信息中心负责人同意，非管理人员不得进入控制机房，不得擅自操作系统服务器、镜像服务器、应用服务器、控制服务器及控制机房的其他设备。 第6条未经院领导和信息中心负责人同意，严禁任何人以任何形式向外提供数据。实行严格的安全准入制度，档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。 第7条档案资料安全保密管理，遵循档案库房管理制度、保密守册、档案室职责、档案资料利用管理规定、档案安全消防措施执行。 第8条医疗数据资料、信息系统库资料，除参照执行第7条相关规定外，还应遵循： 第1款资料建档和资料派发要履行交接手续。 第2款原始数据、中间数据、成果数据等，应按规定作业流程办理。数据提供方要确保数据齐全、正确、安全、可靠；办公文员要对数据进行校验，注意作业流程把关、资料完整性检查、数据杀毒处理；数据处理员要严格按照“基础地理信息系统建库技术规范”要求作业；专检员要严格按照“资料成果专检”规定把关；系统入库员、系统管理员、网络管理员要保证入库、出库数据质量和数据安全保密。 第3款定期对数据库进行检查、维护，发现问题及时解决和备案，保证数据库系统的正常运行。 第4款未经许可数据库内的数据信息不得随意修改或删除，更不能对外提供。 第5款除授权管理人员外，未经许可，任何人不能动用他人设备，不得通过网络（局域网、VPN 虚拟专网、内部网等）联机调阅数据。 第6款医疗数据资料按规定要求进行计算机建档和处理，数据入库后要及时删除工作终端中的原有数据。 第7款严格遵守信息中心工作流程，不得做任何违反工作流程的操作。 第8款定期对数据库的信息数据进行备份，要求每增加或更新批次，数据备份一次，包括异地热机备份和刻盘备份两种方式；每月定期刻盘两套，异地保存。 第9条软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好，建库技术标准规范、应用服务体系完善。 第10条信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患，杜绝安全事故。 第11条权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。 第12条权限管理从安全级别上分为绝密、机密、秘密；从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户；从操作承载体上分为服务器（包括系统服务器、镜像服务器、应用服务器和控制服务器）、工作终端、用户终端；从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。 第1款安全级别中绝密资料内容包括用户名及密钥、信息系统库密钥、系统运行日志、控制信息资料； 第2款设定内容中，完全控制是指对VPN虚拟专网中服务器（包括系统服务器、镜像服务器、应用服务器和控制服务器）、终端（包括工作终端和用户终端）有绝对控制权，包括IP地 址、网关、DNS服务器地址、超级用户密码、系统库密码、操作系统、程序、信息数据的设定、修改、删除权利等； 第3款高级管理员为最高权限人，设定权限为完全控制，即拥有对所有用户名及密钥管理，查看系统运行日志，拥有对服务器、终端的所有权限管理，即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权；系统管理员权限包括对工作终端用户名及密钥管理，拥有对服务器（不包括控制服务器）和终端所有权限管理，即对机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权；高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权；中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权;一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权；特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。 第13条控制服务器中建立运行日志，以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录；信息系统库运行情况记录；各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间。运行日志中内容记录方式以时间为序。 第14条强化信息安全保密管理，加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故，追究当事人责任；触犯法律的，依法追究。 信息中心 2022.12