《医疗机构计算机网络信息系统安全管理规.docx》由会员分享,可在线阅读,更多相关《医疗机构计算机网络信息系统安全管理规.docx(6页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、松江区医疗机构计算机网络信息系统安全经管规定为保障松江区医疗机构网络信息系统安全稳定地运行,加强计算 机信息网络的经管,促进卫生信息化建设,确保各医疗机构(医院和 社区卫生服务中心)正常开展医疗卫生服务,现将有关事项规定如下:-网络信息安全经管组织各医疗机构应成立信息安全工作领导小组,确定第一责任人、责 任部门;成立信息安全应急响应小组;确定信息安全专管人员,明确 责任,并定期检查、督促落实。二、计算伽房安全经管规定1、做好中心机房安全保卫工作,机房无人时应及时上锁。机房 经管人员必须遵守国家有关法律、法规,认真执行机房经管制度、安 全等级保护制度等各项规章制度,认真地做好本职工作,保障系统正
2、 常、安全、可靠地运行。2、机房门钥匙、电子令牌及设备机柜钥匙应由机房经管人员集 中保管,不经允许不得转让他人。进入机房所有人员,应填写中心机 房进出登记簿,以备记录。外来人员参观主机房,必须经有关领导批 准并办理登记手续。未经机房经管人批准,非相关人员不得进入中心3、严禁在机房内计算机上擅自运行外来的光盘、软盘。若工作 确需使用,应报告机房经管员,并严格进行病毒检测后方可使用。4、处理涉及敏感信息事务时,不得接待参观人员,非相关人员 不得靠近观看,无关人员不得擅自操作机房设备。5、所有设备要制定严格的符合安全要求的口令,口令要严格经 管,定期更换。6、未经允许,机房内部设备情况、机器性能、网
3、络地址、使用 的程序及业务处理范围,一律不准对外传播、解答。7、机房经管员应做好计算机相关资料如操作系统、业务程序、 业务源程序等书面资料、磁介质的保管工作。相关工作人员如需借阅 资料,应至机房经管人员处按规定办理借阅手续。8、机房内所有设备应严格经管,各种设备、材料要登记在帐, 并由机房经管员负责。机房设备由专人操作、经管,专机专用,设定 用途的设备一般不得用作其他用途。9、机房内严禁存放易燃易爆物品,严禁使用明火或吸烟,消防 器材应固定位置存放,不得随意挪动。10、严禁携带大头针、曲别针、强磁性物品、带灰尘物品进入 中心机房。中心机房内不得有卫生死角、可见灰尘;调节适合计算机 的温度、湿度
4、;门窗密封,防止外来粉尘污染。11、设立机房安全防火人员,并加强安全防火教育,学好安全 防火条例,严肃纪律,提高思想认识,发现安全隐患及时向机房经管 人员汇报并解决问题。12、机房经管人员要严格执行以上操作规程,不得违章操作, 如发现异常应立即向系统安全经管人员报告,并认真做好记录,配合 应急响应小组采取相应应急措施。三、网络设备经管规定1 .医疗机构必须实现内外网隔离(此处将医院核心业务局域网、 松江卫生专网称为内网,医疗机构行政办公局域网与互联网称为 外网),确实没条件实现物理隔离的,过渡期可以使用划分不同 VLAN的方式使用交换机,严禁混用内外网交换机、集线器;2 .网络设备应统一配置和
5、安装,由专人进行参数设置和经管,并形成记录;3 .路由器、交换机等网络设备应固定在机房、分机房或设备间,应放置于一般人不易触及的地方;4 .监护室、急救室等场所慎用无线网络设备;5 .发现不能正常工作的设备应及时更换;6 .应该使用由有关部门安全认证的网络安全设备;7 .网络安全设备由专人负责其参数的设置和经管,定期升级。!1!、服务器与存储安全经管规定1 .服务器与存储设备应由专人负责,并记录详细的运行维护日 志记录;未经主管同意,其他人员不得对服务器/存储进行操作;2 .应由专人定期对服务器和存储设备进行检测维护,做好记录, 发现异常及时通知主管;3 .提供关键服务和涉及核心机密数据的服务
6、器(如数据库服务 器、应用服务器)必须采用在线双机热备技术方案,确保关键服务的 连续性和稳定性,并做好防病毒工作和安全防护工作;4 .服务器经管员密码仅限经管员及信息主管掌握,密码必须定 期更改,并有书面记录,严格保管;5 . PC服务器必须每月进行一次常规性检查?口重启,小型机必须 每三个月进行一次常规检查和必要的重启;6 .服务器和存储设备的维护和升级必须有预案和实施记录。五、网络工作站经管规定1 .对各工作站应进行编号,登记在册,统一经管;严禁使用未 经检查的工作站。空闲工作站不得接入网络,备用工作站只在需要时 才允许接入网络,平常必须保持断开状态。空闲和备用工作站应有明 确标识;2 .
7、工作站必须设置密码,密码包括开机密码、登陆网络密码和屏幕保护密码;3 .业务网内工作站应保证专机专用,不做与业务无关的事;4 .操作人员不得更改系统配置,不得擅自安装软件。应用软件 必须由技术经管部门负责安装;5 .操作人员不得擅自增减硬件设备,如果出现硬件故障,应及 时与经管员联系,由经管员进行维护;6 .原则上工作站不能安装光驱、软驱、外接存储设备;7 .操作人员应定期对工作站进行清洁;8 .未经主管领导同意,各部门不得私自将设备接入业务网。六、网络工作人员经管规定1 .网络技术人员职责(1 )在信息科主任或计算机室主任的领导下进行工作;(2 )负责网络系统的运行监护、及时维护和数据备份,
8、保 证网络正常运转;(3 )负责网络中心和各工作站系统软件、应用软件的安装、调 试和绳凡负责各用户软件权限的分配、授权,严格注意口令的保密;(4)负责对网络工作站操作员的培训|、技术指导工作;(5 )妥善保管光盘、软盘、磁带、资料、修理工具等物品;(6 )检查网络工作站运行情况,发现问题及时纠正,遇有重大 问题,及时报告;(7)负责网络系统的逐步拓展和新增功能模块的应用;(8 )积极钻研计算机网络和医疗信息经管业务,不断提高业务 水平。2 .系统经管员职责(1)负责服务器、备用服务器及网络重要设备的软、硬件安全保护,要求责任心强、业务精;(2 )负责操作系统、数据库的密码设置,及时更新密码,并
9、详 细记录密码内容、更新时间,更新后及时将密码报告信息科负责人;(3 )负责用户字典的维护,负责上网人员的用户权限分配,并 详细登记;(4 )负责网络系统的数据备份、介质存放;(5 )每天登记服务器、备用服务器运行状况;(6 )系统出现重大故障时,及时报告有关负责人;(7 )建立专柜保存服务器、备用服务器等各项文档及系统重要 资料。七、第三方,访1、强管规定1 .第H方定义“第三方”为除医疗机构内与“网络系统”相关的操作、经管和 咨询人员以外的所有人员,即包括医疗机构外的系统开发供应商、交 流访问人员、咨询人员、病人及其家属以及医疗机构内与”网络系统 无关的人员。2 .系统定义用于言息化建设的
10、所有网络布线、网络设备、计算机设备、计算 机外围设备、数据库以及在系统上运行的所有数据和程序。其中包括 医院经管信息系统(HMIS)、医学影像系统(PACS )、办公自动化系 统(0A)等。3 .实体访问的规定所指的实体为中心机房、信息科以及计算机设备专用场所或柜 子,同时包括所有系统操作终端所在部门或房间,这些场所必须建设 为可封闭场所(即有门及门锁),并挂牌告示,钥匙由专人保管并记 录在案。明确在非工作时间这些场所为保安巡视点。第三方在工作时间未经允许不得进入上述场所;如进入必须 由医疗机构内相关人员全程陪同,不允许第三方人员单独滞留。第三方如在滞留期间未经允许不得查看、使用场所内任何设施
11、或文档。在非工作时间原则上不允许第三方进入,如确有需要则必 须通知总值班由相关人员全程陪同并记录在案。4 .逻辑访问的规定“第三方原则上不允许操作、访问网络系统,如确有需要 则必须在相关人员的全程陪同下使用系统的最低权限用户(如 guest )进入系统进行所允许的操作。如果无最低权限用户而使用了 其他用户进入系统,在第三方离开后必须立即更改密码。第三方在访问系统期间,未经许可不允许使用任何方法(如 拷贝磁盘、刻录光盘、打印甥居、手工记录等)带走任何数据和程序。八、网络信息系统应急事故处理经管规定在系统中建立完备的事故应急响应处理规定,包括以下几点:1、系统用户发现系统运行可疑现象后,应立即报告本部门系统 安全经管员;2、系统安全经管员应尽可能采取相应措施保护现场,并在半小 时内向应急响应小组进行报告,同时报本部门安全主管领导;3、应急响应小组应在一小时内确定现象的性质,并采取措施, 收集现场期居,避免严重安全后果的发生,同时,对于安全事故,要 上报信息安全领导小组;4、安全领导小组根据事故的性质,向相应的主管部门进行报告。5、汇报完毕,将事故定性之后,接到上级指示,对于被破坏的系统和数据,采取可行的措施进彳亍恢复,使之重新正常运行。6、对安全事件进行归纳总结,用于指导今后的应急;对于严重 的安全事件,必要时申请司法程序介入。九、本规定自发布之日起施行。
限制150内