医院信息科制度流程预案.doc

《医院信息科制度流程预案.doc》由会员分享，可在线阅读，更多相关《医院信息科制度流程预案.doc（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、医院信息科制度流程预案医院信息系统建设、管理制度为规范我院医院信息系统建设工作，加强医院信息系统的领导和管理，促进医院信息化的应用与发展，保证信息系统安全稳定运行。现制订我院信息系统建设、管理制度如下：一、成立医院信息化建设与信息安全管理领导小组。领导小组是医院信息化建设与应用的领导、管理专职机构，全面领导医院信息化建设工作（其职责参见医院信息化建设与网络安全管理领导小组职责），领导小组下设办公室，办公地点设在信息科。二、信息科是医院信息化建设的执行部门，负责落实医院信息化建设规划及日常管理工作。三、信息系统建设原则：顶层设计、整体规划、分步实施、安全稳定、互联互通、科学严谨、精益求精。四、信

2、息系统应符合国家相关标准和规范，具备信息集成与交互共享功能，实现院内信息资共享，为区域信息资共享打下基础。五、信息系统建设应做好可研论证、需求调研、组织实施、培训测试、资料整理、项目验收、运维管理等工作。六、信息系统管理应以安全稳定运行为目的，以满足医院发展需求为宗旨，对信息系统进行改造和维护管理。七、信息系统的管理实行分工负责制。八、信息系统的运行管理，严格遵循医院信息系统运维监控制度要求，对于重大故障应参照医院信息系统应急预案予以处理。九、信息系统的建设、管理参照信息使用与信息管理部门沟通协调机制 执行。信息使用与信息管理部门沟通协调机制为了建立科学、规范、合理的信息使用与信息管理机制，不

3、断完善信息化建设、优化管理流程，增进信息使用与信息管理部门间交流互通，现制定相关协调机制如下：一、信息使用部门（科室）如有相关信息系统建设、改进需求，应先填写信息系统需求申请登记表，并参照信息系统需求申请流程执行。二、在信息化建设过程中，当所开展项目涉及多个使用部门时，信息科应结合实际情况，组织召开多部门协调会议，确保项目的顺利实施。三、信息科根据工作开展情况，每年进行全院性问卷调查，以了解现有信息系统运行、使用情况及改进需求；问卷调查为不记名填报，但应涵盖填报人除姓名以外的基本信息，便于针对反馈制定个性化解决方案。四、每年至少进行一次信息工作满意度调查，并出具调查报告，分析p 问题并给出可行

4、的改进意见。五、每年至少召开一次信息化建设与网络安全领导小组会议，对上一年度全院信息系统运行、新项目开展、年度预算执行、信息工作满意度、专业技术人员的培养等情况做总结汇报，并部署下一年度的信息化相关工作。信息科值班、交接班制度一、信息科实行 7_24 小时值班制度，保障信息系统平稳运行。二、设立值班员，由信息科人员轮流担任，每班次 24 小时。三、值班员负责科内卫生，保持环境整洁，负责接听电话、填写“日常运维记录（包含每日巡检记录），并妥善处理当日工作。四、值班员不得擅自调班或离岗。五、值班员下班前做好交接班工作。交接班应严肃认真，对当日未完成事项做详细交接。六、交接双方应确认值班日志是否完整

5、，双方签字确认后即完成交接。医院信息系统运维监控制度为适应医院信息化建设发展，规范信息设施、设备管理，理顺操作规程，参考国家信息安全等级保护制的要求，现制定医院信息系统运维监控制度如下：一、机房管理 1、机房实行出入登记制，非信息科人员因工作需进入机房者，应有信息科人员陪同，并做好来访事由登记。2、出入机房人员应保持良好卫生习惯，进入机房时应更换拖鞋或穿鞋套，严禁在机房内吸烟，确保机房环境卫生。3、严禁携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品进入机房。4、机房实行每日巡检制，巡检内容包括 UPS、精密空调、服务器等运行情况，由当日值班人员执行并填写巡检

6、记录。5、信息科设立&“机房管理员”岗位，负责对服务器的开机或关机等工作进行管理，同时每月对机房供配电、空调、温湿度控制等设施巡视记录进行汇总，并对异常记录予以分析p 。二、信息资产管理 医院信息资产主要分为有形的硬件资产、无形的信息数据资产及项目建设资料与技术档案。（一）硬件资产管理 1、医院信息系统硬件资产实行“统一标识，使用负责”制，即硬件资产使用部门即责任部门，使用人即责任人。2、责任人应保持硬件卫生，了解常见故障处理方法，注意使用方式，不得随意损坏硬件，如遇不明故障，应及时向信息科报修，由信息科派专人维护。3、责任部门负责人应熟知本部门硬件数量及摆放位置、用途，定期对辖 内硬件予以清

7、点，做好各项防范工作。4、信息科设立“基础硬件管理员”岗位，协助医院固定资产管理组对全院信息系统硬件资产进行统一标识，标识注明资产名称、规格型号、资产编号、使用日期、放置地点、使用科室。（二）信息数据资产管理 6、医院信息数据资产由信息科统一管理，按数据用途分为临床信息类及管理信息类，不得外泄。7、临床信息类数据指临床信息系统产生的各种数据信息，主要供临床科研分析p 研究时使用，由需求者提出申请，信息科主任（副主任）审核通过后调取。8、管理信息类数据指管理信息系统相关数据，如各类数据字典、权限分配、管理过程信息等，现阶段由信息科协助相关职能部门管理，接职能部门正式文件后遵照执行。（三）项目资料

8、及技术档案管理 9、信息科项目资料及技术档案遵循“谁负责、谁整理”原则，即项目负责人为主责，资料员配合，完成项目资料的归档。10、完整的项目资料应包括项目启动、立项、实施、验收过程文档，包含但不限于可研论证、需求调研、采购议价、项目合同、实施方案、培训记录、项目验收、运维记录等内容。11、软件技术档案还应包含项目技术参数（含功能模块说明文档）、服务器与数据库账户名及密码（另存）、数据库表结构说明、接口文档等。三、介质管理 信息系统介质分为 CA 数字认证 Ukey（U 盾）及移动存储介质。（一）U 盾管理 1、U 盾为具有法律效力电子签名_介质，由医院统一采购，U 盾持有人仅具有使用权。2、U

9、 盾管理遵循“谁使用、谁保管”原则，信息科根据医疗部或者护理部批准单，按CA 数字证书 Ukey（U 盾）管理流程办理。3、U 盾使用人应爱惜介质，尽保管义务，遇遗失、损坏需补办者，信息科参照CA 数字证书 Ukey（U 盾）办理流程管理。4、使用人离职前应首先将 U 盾退还本科室或者信息科，方可办理相应离职手续。（二）移动存储介质管理 医院内网电脑不得使用移动存储介质（U 盘及移动硬盘）。四、信息化设施设备维保管理 1、信息科设立“硬件设备管理岗位”，负责信息系统设施、设备的维护及管理工作。2、经相关部门核准采购的设施、设备（如电脑外设配件、条码扫描枪、自助机等），如遇故障，由信息科负责检修

10、。3、科室（部门）自行采购的信息设施设备（如仪器自带电脑、显示屏等），如遇故障，信息科无维护职责，遇多部门协作需求，将予以相应支援。4、信息科对公共区域信息系统硬件实行巡检，保障设备的正常使用。五、运维监管 1、信息科设立“安全管理员岗位”，通过态势感知、上网行为管理、北塔系统，负责对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,及时妥善处理。2、成立信息科质量与安全管理小组，负责医院信息系统软硬件设施设备的安全监控及管理工作，质管小组设组长、副组长、及质控员，科主任、副主任分别兼任组长、副组长，科安全管理员兼任质控员，信息科科员为小组成员。3、每月组织召开

11、信息科质量与安全管理小组会议，对监测和报警记录进行分析p 、评审,发现可疑行为,形成分析p 报告,并采取必要的应对措施。4、利用行为管理软件，对信息系统设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。六、医院信息系统变更、发布、配置管理 1、各部门（科室）对于信息系统有功能需求时，应先填写信息系统需求申请登记表，并交信息科； 2、由信息科经沟通、汇总、分类审核后，提交领导审批； 3、审批后，信息科与需求方、维护方协作制定变更方案、完成变更，并提供发布的程序或设备； 4、信息系统在变更、发布前，做好数据备份工作，以便出现问题时能及时进行恢复； 5、信息科组织对所发布的程序或设备

12、进行配置与测试，无故障后，通知相关部门，正式发布，发布后应跟踪监测，并做好记录。信息系统安全管理制度为保障信息系统安全，参照中华人民共和国计算机信息系统安全保护条例和中华人民共和国网络安全法现制定我院信息系统安全管理制度如下：一、网络安全管理 1、每半年对网络安全配置、升级与补丁管理、安全策略等进行维护，主要内容有：（1）对现有网络设备的配置文件进行离线备份。（2）查询网络设备厂家官网，在厂家发布软件升级版时，对网络设备进行更新,并在更新前对现有的重要文件进行备份。（3）对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。2、网络运行日志应至少保存三个月，便于对异常情况进行追踪。3

13、、提高防病毒意识,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。4、网络 IP 地址资管理：（1）信息科根据院内外网设备分布，通过上网行为管理软件和桌面终端管理软件，进行登记，记录 MAC 地址、科室。（2）如有新增（变更）IP 地址需求，由信息科派技术人员对 IP 地址进行相应配置。（3）各部门（科室）如遇到异常情况（如：产生异常流量的 IP 地址、IP地址冲突、计算机中毒等），应立即报信息科，便于信息科对异常 IP 地址做相应处理，以解除故障。（4）信息科对网络资进行监控，一经发现私设或盗用他人 IP 地址等

14、情况，将对异常 IP 予以禁用。（5）如因私设无线路由导致网络故障，信息科将不予维护，请自行还原以恢复网络。（6）因违反本管理办法而被禁用的 IP 地址，在完成整改并经信息科确认后方可重新开通使用。二、系统权限管理 1、医院信息化建设与安全管理领导小组具有全院所有信息系统最高权限，为便于信息系统维护与管理，授权信息科代为履行权限管理与维护职责。2、信息科人员权限管理：（1）信息科主任为全科人员权限核准人，需定期将各系统管理员权限清单报医院信息化建设与安全管理领导小组审核并申请授权，权限有效期为一年。（2）信息科各系统项目负责人为相应系统初始管理员。（3）信息科员经初始管理员培训、考核，且考核通

15、过后，方授予相应管理权限，以便顺利开展系统维护工作。3、管理信息系统权限管理：管理信息系统根据人员职务职责划分配应权限。4、临床信息系统权限管理：（1）临床信息系统根据医疗人员资质分配相应权限。（2）信息科接相应职能部门审核通过的系统权限申请表后，为医疗人员分配相应资质权限（如系统登录权、CA 签名_权等）。5、信息科每年提请各相关职能部门审核人员权限，并按照各相关职能部门审核后的详细权限清单，调整人员权限。6、遇人员离岗或转岗，信息科在接到人力资科的相关通知,或收到经相应职能部门审批确认的账号权限变更申请表后，应及时对其工号和相应权限进行注销或变更；离职人员如有 U 盾介质，应同时予以收回。

16、三、密码管理 1、信息系统密码由信息科主任和系统管理员商议确定，分为服务器开机密码、数据库密码及系统管理员密码。2、密码应专人专管，不得随意泄露，以保障数据安全。3、密码设置与定期更换规则：（1）必须由数字、字符和特殊字符组成，应尽量避开有规律、易破译的数字或字符组合； （2）系统管理员密码：长度不少于 6 字符，至少每半年更换一次； （3）数据库密码：长度不少于 10 字符，为保障系统稳定性，一般不变更； （4）服务器开机密码：长度不少于 10 字符，至少每半年更换一次。4、通过服务器开机密码进入系统桌面后，如需离开工作台，必须退出当前操作环境，方可离开。5、系统管理员需做好密码变更登记，并

17、作为技术档案存档。6、如有密码有泄密或黑客入侵迹象，信息科主任和系统管理员应及时修改密码，严查泄密头并修补系统漏洞，将详细情况以书面形式上报院领导。四、数据备份管理 1、对于重要的信息系统数据，利用备份一体机进行每天增量备份、每周进行一次完整备份。2、每天对备份数据的状态进行检查，每季度校验数据的可用性。信息专业技术人员管理制度一、人员录用 1、信息专业技术人员选拔遵循公开公正、德才兼备、以德为先、择优选取的原则，以符合医院信息化长远发展规划为需求。2、应符合目前或近期业务的需要，有助于提高工作效率和促进业务开展。3、应有良好的品德和个人修养，具有优秀管理能力及专业资质者优先考虑。4、需签署系

18、统保密协议，确保系统信息安全。5、新录用人员，持人力资科相关报到通知到科室报到，由科主任根据其专业特长安排相应工作。二、人员离岗或转岗 1、信息技术人员离职时，应在离院前将所负责项目及相关工作与科室其他人员进行交接，在岗期间所收录相关技术文档、配置参数、管理员账号及权限、工作 U 盘等应一并交接，并由接收人员逐一核验、加密，确保信息数据安全。2、在确认信息科已完成介质回收和权限注销后，人力资科方可为其办理离岗或转岗手续。三、人员培训、考核管理 1、信息科根据年度工作计划制定科室业务学习培训计划。2、培训内容有：信息安全基础知识、医院信息系统知识、专业技术知识等，每年培训时间不低于 20 学时。

19、3、新进人员必须参加医院信息系统知识培训，了解各模块功能及操作方法，学习信息系统运维技术。4、培训结束后，需进行考核，考核形式以实际操作为主，主要考察系统操作熟练程度，及对常见问题的解决能力。5、能熟练操作相关信息系统，并能独立解决日常工作中的常见问题则判定 合格，并依此发放相应系统权限、安排岗位。对于不合格者，需进行再培训。6、培训情况及考核结果作为专业技术人员技术档案归档保存。信息安全保密制度一、 涉及国家秘密及工作秘密的计算机（含笔记本电脑）和计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。涉密计算机（含笔记本电脑）专人专用，严禁擅自将涉密计算机（

20、含笔记本电脑）带出办公场所。二、 接入国际互联网或其他公共信息网络的计算机（含笔记本电脑）不得处理、存储涉密信息。三、 上网信息的保密管理坚持“谁上网谁负责”的原则。四、 存储涉及国家秘密和工作秘密的涉密移动存储介质（含移动硬盘、U盘、软盘、光盘等）不得接入或安装在非涉密计算机上，复制和确因工作需要外出携带涉密存储介质的，须经主管领导批准。五、 凡以提供网上信息服务为目的而采集的信息，除在其它新闻媒体上已公开发表的，管理员在上网发布前，应当征得提供信息者同意；凡对网上信息进行扩充或更新，应当认真执行信息保密审核制度。六、 任何人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信

21、息和工作秘密信息。七、 用户使用电子函件进行网上信息交流，应当遵守国家有关保密规定，不得利用电子函件传递、转发或抄送国家秘密信息和医院工作秘密。八、 各接入计算机信息系统（HIS、PACS、LIS 等）部门要对医院信息资料安全负责，严禁外来人员登录医院信息系统查询、打印有关信息资料。九、 连接计算机信息系统的计算机，未经管理部门许可，严禁安装、运行非日常工作需要的任何软件；严禁安装任何厂家、任何版本的操作系统以及任何有可能干扰、破坏计算机信息系统保密管理的程序。十、 涉密计算机进行维护检修时，对涉密信息应采取涉密信息转存、删除、异地转移存储等安全保密措施。无法采取上述措施时，单位涉密计算机维护

22、人员必须在维护现场，对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。涉密计算机和涉密移动存储介质淘汰、报废的一律销毁。十一、 处理涉及国家秘密文件和工作秘密文件的数字复印机、多功能一体机一律不得接入电话线，接入电话线的数字复印机、多功能一体机一律不得处理涉及国家秘密和工作秘密的文件。十二、 计算机个人工作桌面或开放文件夹不得摆放敏感文件和资料，办公桌禁止摆放敏感介质。医院时钟统一管理规定为使各科室能够及时准确的校准时钟，保证全院时钟的一致性并正确体现在相应工作记录中，特制定本规定。一、信息科为全院时钟管理的主管部门。二、全院时钟管理范围包括公共区域、各科室医生工作站、护士工作

23、站、医疗设备、监控设备、消防设备。三、时钟管理的程序 1、信息科负责全院公共区域、医生工作站、护士工作站、监控设备时间的准确。2、设备科根据病区医生工作站的时间负责调整各病区住院病人指示牌及走廊时钟的时间。3、后勤保障科根据病区医生工作站的时间负责调整病人跌倒应急呼叫显示器时间。4、保卫科根据办公室电脑时间负责调整消防设备的时间。5、各科室医疗设备上的时间由各科室负责指派专人负责调整与医生工作站的时间一致。6、各科室外网电脑时间由各科室负责调整与北京时间一致。四、工作要求 1、各科室要有专人负责全科的时钟管理。如发现科室时间不统一，应根据具体情况按照时钟管理程序及时向各责任科室报告。2、各责任

24、科室接到报告后应及时派人到科室调整。3、信息科在时钟管理的督导工作中，对执行不力的部门或科室负责人按照“医院中层干部管理规定”提交院长办公会进行相应处罚。信息系统验收管理规范信息系统建设项目的验收是医院信息化建设的一项重要工作，是关系到项目建设质量的重要因素。信息系统建设质量不可用仪器测量检测，只有通过不断的使用才能更深入的了解，因此在系统验收中要坚持按照科学的项目管理方法进行项目验收管理，保障项目质量逐步提高，保证项目验收工作顺利进行。一、验收目标 项目验收工作是是对整个项目成果的检验，主要目标是参照项目技术参数逐条核验，检验信息系统建设质量。二、验收原则与要求 1、验收参与部门医院资产管理

25、部门、信息管理部门、系统使用部门、软（硬）件开发（供应）商，信息系统监理单位（如果有）。信息管理部门认为有必要的，还要组织院外专家参加验收。2、验收时限项目建设完成半年内，软（硬）件开发（供应）商与信息科应完成初步验收工作，并向医院信息化领导小组提交竣工验收的申请报告。因特殊原因不能按时提交竣工验收申请报告的，应及时提出延期验收申请。经主管部门批准，可以适当延期进行竣工验收。3、验收依据 国家有关法律、法规，以及国家关于信息系统和电子政务建设项目的相关标准； 经批准的建设项目的项目建议书报告及批复文件； 经批准的建设项目可行性研究报告及批复文件； 经批准的系统建设项目初步设计和投资概算报告及批

26、复文件； 建设项目的投标文件、合同文件、设备配置文件和需求规格说明书及需求 变更说明书。4、验收条件 系统建设项目确定的网络、应用、安全等主体工程和辅助设施，已按照设计建成，能满足系统运行的需求；系统建设项目确定的网络、应用、安全等主体工程和配套设施，经测试和试运行合格； 系统建设项目涉及的系统运行环境的保护、安全、消防等设施已按照设计与主体工程同时建成并经试运行合格； 系统建设项目投入使用的各项准备工作已完成，能适应项目正常运行的需要； 、项目建设过程档案文件整理齐全 三、验收内容 信息系统的验收内容繁多，验收难度比较大，需要按照规范，确定验收内容，保证验收过程顺利。验收内容参照国家标准及地

27、方标准，主要包括十个方面的验收、测试：1、功能项测试 对应用系统需求规格说明书中的所有功能项进行测试。2、业务流程测试 对应用系统项目的典型业务流程进行测试。3、容错测试 （1）应用系统对用户常见的误操作是否能进行提示； （2）应用系统对用户的操作错误和软件错误，是否有准确、清晰的提示； （3）软件对重要数据的删除是否有警告和确认提示； （4）应用系统是否能判断数据的有效性，屏蔽用户的错误输入，识别非法值，并有相应的错误提示。4、安全性测试 （1）应用系统的密钥是否以密文方式存储； （2）应用系统是否有留痕功能，即是否保存有用户的操作日志； （3）应用系统中各种用户的权限分配是否合理； 5、性

28、能测试对应用系统需求规格说明书中明确的系统性能进行测试。测试的准则是要满足规格说明书中的各项性能指标。6、易用性测试 （1）应用系统的用户界面是否友好，是否出现中英文混杂的界面； （2）应用系统中的提示信息是否清楚、易理解，是否存在原始的英文提示；（3）应用系统中各个模块的界面风格是否一致； （4）应用系统中的查询结果的输出方式是否比较直观、合理。7、适应性测试 参照用户的软、硬件使用环境和需求规格说明书中的规定，列出开发的软件需要满足的硬件环境。对每个环境进行测试。8、特别测试对项目合同金额（指软件）达到 300 万元的项目或系统使用用户数达到 1000个以上，还要进行以下的特别测试：（1）

29、安装测试； （2）压力测试； （3）恢复测试； 9、文档测试 用户文档包括：安装手册、操作手册和维护手册。（1）操作、维护文档是否齐全、是否包含产品使用所需的信息和所有的功能模块； （2）用户文档描述的信息是否正确，是否存在歧义和错误的表述； （3）用户文档是否容易理解，是否通过使用适当的术语、图形表示、详细的解释来表达； （4）用户文档对主要功能和关键操作是否提供应用实例； （5）用户文档是否有详细的目录表和索引表； （6）用户有特别要求的测试。10、验收文档验收文档包含但不限于以下文档：（1）立项批准文件；项目验收申请报告； （2）项目招标书、投标书； （3）中标通知书；项目实施合同； （

30、4）软（硬）件需求说明书； （5）概要设计说明书、数据及数据库设计要求说明书； （6）详细设计说明书； （7）操作手册；用户手册； （8）项目用户评价过程意见；（9）软件接口规范；原代码或安装盘； （10）专家组要求的其他材料。四、验收标准 验收的标准参考国家标准 GBT/T 17544信息技术 软件包 质量要求和测 试；GB/T18794.7-20_3GB/T18794.7-20_3信息技术开放系统互联开放系统安全框架第 7 部分：安全审计和报警框架；GB/T16260.1-20_6软件工程 产品质量 第 1 部分至第 4 部分；GB/T20_7-20_6信息技术 软件维护。五、验收工作程序

31、 1、验收组织 一般分为初步验收和竣工验收两个阶段。建设项目的初步验收，由信息科按照本验收管理规范规定组织，并提出初步验收报告。竣工验收一般由信息化领导小组或其组织成立的项目竣工验收小组组织；技术参数较简单的项目，可委托系统使用部门与产品提供商组织验收。2、初步验收（1）信息科依据合同组织单项验收，形成单项或专项验收报告； （2）信息科（或委托其他相关单位）组织信息安全风险评估，提出信息安全风险评估报告； （3）对项目的工程、技术、财务和档案等进行验收，形成初步验收报告；3、竣工验收（1）组建竣工验收小组（可同时设置专家组）； （2）验收小组重点检查项目建设、设计、监理、施工、招标采购、档案资

32、料、预（概）算执行和财务决算等情况，提出评价意见和建议； （3）验收小组基于检查意见（或专家组评价意见）提出竣工验收结论。4、验收的步骤（1）系统预验收或终验需要具备的文档清单包含但不限于以下文档：需求分析p 文档；概要（详细）设计文档；数据库设计文档；数据库安装手册；软件体系架构手册；软件使用操作手册；软件安装维护手册；系统测试内容及指标（重要）；系统测试方案（重要）；系统测试报告（特别重要）；测试记录（系统组合测试记录一定要有，验收的时候视情况决定是否提交）；系统体系架构、功能介绍、数据交换及协调方案等的文档；预验收或终验的工作小结；实际系统运行情况演示。注：一般情况下测试报告是根据测试内

33、容及指标和系统测试方案而形成测试报告的测试结果逐项检测确认，没有问题每项签字，形成测试记录（即测试记录）（2）过程管理文档包含但不限于会议纪要、需求变更材料、用户确认单（如果有）；如果有硬件设备，提供硬件设备验收清单（签字）。（3）验收会议议程验收小组组长介绍系统的情况（具体内容信息科准备）；如果有监理单位，则由监理单位做监理工作情况报告（具体内容监理方准备）；软（硬）件开发（供应）商做 和系统演示；专家和建设单位组织讨论验收意见（讨论时承建方和监理方回避）；签署专家验收意见。注：如果验收过程有专家参与，要提交会议议程给专家，由专家组组长主持验收会议。5、项目收尾、成果核实、验收确认如果在项目

34、过程中严格执行了以上的各分项的验收工作，在项目收尾验收时，真正需要做的工作是对整个项目的工作进行汇总、总结，呈现整体成果。（1）组织各方对收集汇总后的结果进行统一的确认：包括验收的技术文档、过程文档、工作结果集、遗留的问题清单和维护期内的售后服务条款； （2）协助用户（监理）召开验收会议，提交正式的成果，由用户对项目进行验收（3）确认最终的验收成果，总结经验与教训。信息系统需求申请流程申请科室职能部门分管领导信息科分管信息领导A CA 数字证书 Ukey （U U 盾）管理 流程（一）申请流程：软件 硬件 审核签字 审核签字 审核签字 需求申请 核准 落实 申请人 科主任/护士长 相应职能部门

35、 信息科（二）补办流程：申请人 后勤保障科 信息科申请 审核 审核 执行 申请 出库 执行 数据查询流程院内各科是否为敏感数据分管院长签字信息科院外单位或个人相关职能部门否是分管领导签字信息系统应急预案为加强对医院信息系统安全及运行事件的处理能力，最大程度地预防和减少突发事件的危害和影响，使信息系统运行稳定，保障网络信息安全和保护病人隐私，保障全院运营，尤其是医疗工作在系统恢复之前不受影响。结合本院工作实际，特制定本应急预案。一、 突发事件范围信息系统突发事件分为七类事件：灾难性事件：水灾、火灾、雷电等 网络攻击事件：黑客入侵、木马植入、病毒等 信息破坏事件：身份认证、授权控制等数据被篡改、假

36、冒、泄露等 网络故障事件：运营商线路中断、网络故障等 服务器及存储故障：服务器及存储故障 软件系统故障事件：操作系统故障、应用系统故障、数据库故障等其他事件：不良信息、电磁干扰、停电、机房搬迁等。二、信息系统突发事件管理小组信息系统突发事件管理小组由信息科负责人任组长，信息科副主任任副组长，成员为信息科信息专业所有人员。在医院应急办的领导下，信息系统突发事件管理小组负责指导、协助和分析p 信息系统突发事件的应急处理工作。三、信息系统突发事件的 应急预案及措施科室平时根据自身业务范围领取各种纸质单据，并保证三天的用量。出现突发事件时，首先信息科评估风险，会导致全院或局部区域信息系统停止运行30

37、分钟以上时，应立即通知应急办和相关科室启动应急预案。1.门急诊科室应急预案及措施 挂号、分诊恢复手工模式； 医生开具纸质各类单据，在本科治疗的项目直接划价； 医技单据由医技科室划价，药品由药房划价； 收费恢复手工模式，开具手工票据。2.住院科室应急预案及措施办理入院恢复手工模式；护士站手工接诊，医生开具纸质医嘱和单据，双份开具处方单； 药房根据纸质处方单发药； 患者出院的，预留患者联系方式，暂不办理； 待系统恢复后，住院所有单据在电脑中补录，流程重做，并通知预出院的患者来办理出院。3.医技科室应急预案及措施在设备可以正常运行时： 对门诊单据进行划价，待缴费后，再做相应的检查，并开具纸质报告；

38、对住院单据直接做相应的检查，开具纸质报告，待系统恢复后，补录单据，上传数据，并确认收费。4.其他部门应急预案及措施 门办、保卫科做好患者疏导，维护秩序工作。 财资科做好患者退费、手工发票入帐处理等工作。四、“信息系统应急预案”的撤消1.信息科确认医院信息系统恢复正常； 2.门办确认医院秩序恢复正常； 3.信息系统正常运行 10 分钟以上，信息科上报应急办批准撤消“信息系统应急预案”。网络与信息安全应急预案为了建立健全我院网络与信息安全事件应急工作机制，提高应对网络与信息安全事件处理能力，预防和减少网络与信息安全事件造成的损失和危害，维护国家安全和社会稳定。依据中华人民共和国突发事件应对法、国家

39、信息安全事件应急预案中华人民共和国网络安全法。特制定本院信息安全应急预案。一、适用范围本预案适用于汉川市人民医院的网络与信息安全事件的管理活动。二、事件定义与分类 1、网络与信息安全事件定义 网络与信息安全事件指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会，或对国家造成负面影响的事件。医院信息科负责处理网络与信息安全事件相关事宜。2、网络与信息安全事件分类网络与信息安全事件分为四级：I 级（特别重大网络与信息安全事件）、II级（重大网络与信息安全事件）、III 级（较大网络与信息安全安全事件）、IV级（一般网络与信息安全事件）。（1）符合下列情形之一的，为 I

40、级（特别重大网络与信息安全事件）：重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。（2）符合下列情形之一且未达到 I 级（特别重大网络与信息安全事件）的，为 II 级（重大网络与信息安全事件）：重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成

41、严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。（3）符合下列情形之一且未达 II 级（重大网络与信息安全事件）的，为 III级（较大网络与信息安全安全事件）：重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。（4）除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为 IV

42、级（一般网络与信息安全事件）。三、组织机构与职责成立医院网络与信息安全应急工作小组由信息科主任组长，信息科人员担任小组成员。在医院信息化建设和网络安全领导小组的领导下，对网络与信息安全事件进行应急处理工作 四、工作原则在医院网络与信息安全应急工作小组领导下，坚持统一指挥、密切协同、快 速反应、科学处置；坚持预防与处置相结合，以预防为主；坚持谁主管谁负责、谁使用谁负责的原则，充分发挥各方面的力量，共同做好网络与信息安全事件的预防与处置工作。五、应急处理措施和流程 1、员工或第三方人员发现网络与信息安全相关异常及隐患必须在第一时间上报信息科，由信息科判断是否为网络与信息安全事件。2、判断为网络与信

43、息安全事件，医院网络与信息安全应急工作小组应立即安排人员进行调查取证，必要时进行备份保存，并安排指定人员共同参与分析p 事件原因并采取补救措施。涉及第三方的事件，应在 12 小时内将补救措施正式报告给相关人员； 3、判断为网络与信息安全事件 I、II、III 级，由医院网络与信息安全应急工作小组在 30 分钟内上报给医院信息化建设和网络安全领导小组，必要时向卫健局和公安局报告。4、医院网络与信息安全应急工作小组组织直接责任部门及相关部门进行事件原因的深层次剖析，制定相应检查措施及后续改善措施，并在 12 小时内提交给相关方； 5、处理过程中，医院网络与信息安全应急工作小组要及时向上级组织汇报进

44、展，并获得指导。六、网络与信息安全事件处罚 根据事件的影响程度，将按照国家和医院相关规定处罚事件责任人，要求其赔偿损失，处罚部门承担管理责任的相关负责人。情节严重者，将与执法机关联合，追究责任人刑事责任。七、网络与信息安全事件改进 1、医院网络与信息安全应急工作小组应将与事件相关的所有书面记录归档； 2、管理部门对事件进行分析p ，识别网络与信息安全管理流程和制度方面存在的不足，完善并细化信息安全管理制度，根据事件的影响程度，必要时在组织更大范围内进行审核、培训，避免类似事件再次发生； 3、医院网络与信息安全应急工作小组负责跟踪相关部门检查活动和改善活动的执行情况； 4、根据事件的影响程度和造成的损失，必要时对外公开。八、网络与信息安全事件总结分析p 在事件处理完毕以后两周内，医院网络与信息安全应急工作小组应编制信息安全事件总结分析p 报告，并制定下一步的改善计划及相关预防措施。事件总结报告及相关记录应纳统一归档。第 22 页 共 22 页