医疗机构计算机网络信息系统安全管理规定

松江区医疗机构计算机网络信息系统安全管理规定为保障松江区医疗机构网络信息系统安全稳定地运行，加强计算机信息网络的管理，促进卫生信息化建设，确保各医疗机构（医院和社区卫生服务中心）正常开展医疗卫生服务，现将有关事项规定如下： 一、网络信息安全管理组织各医疗机构应成立信息安全工作领导小组，确定第一责任人、责任部门；成立信息安全应急响应小组；确定信息安全专管人员，明确责任，并定期检查、督促落实。二、计算机机房安全管理规定1、做好中心机房安全保卫工作，机房无人时应及时上锁。机房管理人员必须遵守国家有关法律、法规，认真执行机房管理制度、安全等级保护制度等各项规章制度，认真地做好本职工作，保障系统正常、安全、可靠地运行。2、机房门钥匙、电子令牌及设备机柜钥匙应由机房管理人员集中保管，不经允许不得转让他人。进入机房所有人员，应填写中心机房进出登记簿，以备记录。外来人员参观主机房，必须经有关领导批准并办理登记手续。未经机房管理人批准，非相关人员不得进入中心机房。3、严禁在机房内计算机上擅自运行外来的光盘、软盘。若工作确需使用，应报告机房管理员，并严格进行病毒检测后方可使用。4、处理涉及敏感信息事务时，不得接待参观人员，非相关人员不得靠近观看，无关人员不得擅自操作机房设备。5、所有设备要制定严格的符合安全要求的口令，口令要严格管理，定期更换。6、未经允许，机房内部设备情况、机器性能、网络地址、使用的程序及业务处理范围，一律不准对外传播、解答。7、机房管理员应做好计算机相关资料如操作系统、业务程序、业务源程序等书面资料、磁介质的保管工作。相关工作人员如需借阅资料，应至机房管理人员处按规定办理借阅手续。8、机房内所有设备应严格管理，各种设备、材料要登记在帐，并由机房管理员负责。机房设备由专人操作、管理，专机专用，设定用途的设备一般不得用作其他用途。9、机房内严禁存放易燃易爆物品，严禁使用明火或吸烟，消防器材应固定位置存放，不得随意挪动。10、严禁携带大头针、曲别针、强磁性物品、带灰尘物品进入中心机房。中心机房内不得有卫生死角、可见灰尘；调节适合计算机的温度、湿度；门窗密封，防止外来粉尘污染。11、设立机房安全防火人员，并加强安全防火教育，学好安全防火条例，严肃纪律，提高思想认识，发现安全隐患及时向机房管理人员汇报并解决问题。12、机房管理人员要严格执行以上操作规程，不得违章操作，如发现异常应立即向系统安全管理人员报告，并认真做好记录，配合应急响应小组采取相应应急措施。 三、网络设备管理规定1医疗机构必须实现内外网隔离（此处将医院核心业务局域网、松江卫生专网称为“内网”，医疗机构行政办公局域网与互联网称为“外网”），确实没条件实现物理隔离的，过渡期可以使用划分不同VLAN的方式使用交换机，严禁混用内外网交换机、集线器；2网络设备应统一配置和安装，由专人进行参数设置和管理，并形成记录；3路由器、交换机等网络设备应固定在机房、分机房或设备间，应放置于一般人不易触及的地方；4监护室、急救室等场所慎用无线网络设备；5发现不能正常工作的设备应及时更换；6应该使用由有关部门安全认证的网络安全设备；7网络安全设备由专人负责其参数的设置和管理，定期升级。四、服务器与存储安全管理规定1服务器与存储设备应由专人负责，并记录详细的运行维护日志记录；未经主管同意，其他人员不得对服务器/存储进行操作；2应由专人定期对服务器和存储设备进行检测维护,做好记录，发现异常及时通知主管；3提供关键服务和涉及核心机密数据的服务器（如数据库服务器、应用服务器）必须采用在线双机热备方案，确保关键服务的连续性和稳定性，并做好防病毒工作和安全防护工作；4服务器管理员密码仅限管理员及信息主管掌握，密码必须定期更改，并有书面记录，严格保管；5PC服务器必须每月进行一次常规性检查和重启，小型机必须每三个月进行一次常规检查和必要的重启；6服务器和存储设备的维护和升级必须有预案和实施记录。五、网络工作站管理规定1对各工作站应进行编号，登记在册，统一管理；严禁使用未经检查的工作站。空闲工作站不得接入网络，备用工作站只在需要时才允许接入网络，平常必须保持断开状态。空闲和备用工作站应有明确标识；2工作站必须设置密码，密码包括开机密码、登陆网络密码和屏幕保护密码；3业务网内工作站应保证专机专用，不做与业务无关的事；4操作人员不得更改系统配置，不得擅自安装软件。应用软件必须由技术管理部门负责安装；5操作人员不得擅自增减硬件设备，如果出现硬件故障，应及时与管理员联系，由管理员进行维护；6原则上工作站不能安装光驱、软驱、外接存储设备；7操作人员应定期对工作站进行清洁；8未经主管领导同意，各部门不得私自将设备接入业务网。六、网络工作人员管理规定1网络技术人员职责（1）在信息科主任或计算机室主任的领导下进行工作；（2）负责“网络系统”的运行监护、及时维护和数据备份，保证网络正常运转；（3）负责网络中心和各工作站系统软件、应用软件的安装、调试和维护。负责各用户软件权限的分配、授权，严格注意口令的保密；（4）负责对网络工作站操作员的培训、技术指导工作；（5）妥善保管光盘、软盘、磁带、资料、修理工具等物品；（6）检查网络工作站运行情况，发现问题及时纠正，遇有重大问题，及时报告；（7）负责“网络系统”的逐步拓展和新增功能模块的应用；（8）积极钻研计算机网络和医疗信息管理业务，不断提高业务水平。2系统管理员职责（1）负责服务器、备用服务器及网络重要设备的软、硬件安全保护，要求责任心强、业务精；（2）负责操作系统、数据库的密码设置，及时更新密码，并详细记录密码内容、更新时间，更新后及时将密码报告信息科负责人；（3）负责用户字典的维护，负责上网人员的用户权限分配，并详细登记；（4）负责“网络系统”的数据备份、介质存放；（5）每天登记服务器、备用服务器运行状况；（6）系统出现重大故障时，及时报告有关负责人；（7）建立专柜保存服务器、备用服务器等各项文档及系统重要资料。七、“第三方”访问管理规定1“第三方”定义“第三方”为除医疗机构内与“网络系统”相关的操作、管理和咨询人员以外的所有人员，即包括医疗机构外的系统开发供应商、交流访问人员、咨询人员、病人及其家属以及医疗机构内与“网络系统”无关的人员。2系统定义用于信息化建设的所有网络布线、网络设备、计算机设备、计算机外围设备、数据库以及在系统上运行 的所有数据和程序。其中包括医院管理信息系统（HMIS）、医学影像系统（PACS）、办公自动化系统（OA）等。3实体访问的规定所指的实体为中心机房、信息科以及计算机设备专用场所或柜子，同时包括所有系统操作终端所在部门或房间，这些场所必须建设为可封闭场所（即有门及门锁），并挂牌告示，钥匙由专人保管并记录在案。明确在非工作时间这些场所为保安巡视点。“第三方”在工作时间未经允许不得进入上述场所；如进入必须由医疗机构内相关人员全程陪同，不允许“第三方”人员单独滞留。“第三方”如在滞留期间未经允许不得查看、使用场所内任何设施或文档。在非工作时间原则上不允许“第三方”进入，如确有需要则必须通知总值班由相关人员全程陪同并记录在案。4逻辑访问的规定“第三方”原则上不允许操作、访问“网络系统”， 如确有需要则必须在相关人员的全程陪同下使用系统的最低权限用户（如guest）进入系统进行所允许的操作。如果无最低权限用户而使用了其他用户进入系统，在“第三方”离开后必须立即更改密码。“第三方”在访问系统期间，未经许可不允许使用任何方法（如拷贝磁盘、刻录光盘、打印数据、手工记录等）带走任何数据和程序。八、网络信息系统应急事故处理管理规定在系统中建立完备的事故应急响应处理规定，包括以下几点：1、系统用户发现系统运行可疑现象后，应立即报告本部门系统安全管理员；2、系统安全管理员应尽可能采取相应措施保护现场，并在半小时内向应急响应小组进行报告，同时报本部门安全主管领导；3、应急响应小组应在一小时内确定现象的性质，并采取措施，收集现场数据，避免严重安全后果的发生，同时，对于安全事故，要上报信息安全领导小组；4、安全领导小组根据