1、市中医院网络信息安全工作管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 目 录信息发布审核登记制度1信息监视、保存、清除和备份制度2病毒检测及网络安全漏洞检测制度3违法案件报告和协助查处制度5账号使用登记和操作权限管理制度6安全管理人员岗位工作职责7网络安全教育与培训制度9网络安全管理制度12信息发布审核登记制度一、 信息采集、编辑加工、审核、发布等工作要指定专人负责，专人管理。二、 信息采集的内容要广泛、健康。采集的信息要有实效性、有使用价值。有关栏目信息的采集可与政府相关部门联合共建，进一步拓宽信息渠道，丰富上网信息内2、容。采集信息后，需经信息提供单位的主要领导审核、批准后方可采集。三、 信息审核要严格。信息审核人员要有一定的文字编辑能力，严把文字关。信息审核人员要严格信息审核，提高编辑质量，杜绝信息资料格式不规范、文字粗糙、措辞不严谨等问题，减少或避免审核失误。四、 信息的发布与更新要及时。信息发布要及时、准确无误。限时更新的信息要及时采集、整理、审核后方可上网。动态性信息要分门别类，确定更新时限后方可上网。五、 上传发布的信息要登记。上传发布信息前需在信息编写、审核、发布登记表登记，经分管领导和主要领导审核通过后方可发布。信息监视、保存、清除和备份制度一、严格执行国家及地方制定的信息安全条例。 二、上网用3、户必须严格遵循网络安全保密制度。三、提供的上网信息，必须经过信息科的审核后方可上网，并及时予以登记。 四、用户必须配合有关部门依法进行信息安全检查。 五、建立健全网络安全管理制度，采取安全技术措施,落实安全管理责任，加强对医院信息发布的审核,网络运行日志的管理，并将系统运行日志完整仅用3个月以上,以备公安机关的监督检查。 六、要加强网络信息、监测,定期检查安全情况、计算机是否感染病毒并及时清除，同时应配合网络管理员对各开通服务器的系统的系统日志进行不定期检查,及时发现隐患及时汇报与处理。 七、对网络上有害信息及时控制并删除。严防非法用户侵入我方网络从事非法活动，一经发现及时进行相应的技术处理,4、如及时清除有需信息的传播途径、关闭相应的服务器等,并且保护好相关日志等数据,及时向有关部门报告。 八、出现有关网络安全隐患及时上报办公室,及时处理并作日志。 九、加强对用户数据的管理,发现异常用户，及时处理并上报办公室备案。十、定期组织网络管理人员进行安全管理学习和培训。病毒检测及网络安全漏洞检测制度为保证我院自办网站、内网用户的正常运行，防止各类病毒、黑客及其它非法软件对互联网及联网主机构成威胁，最大限度地减少、降低损失，特制定本制度。一、互联网内主要服务器必须安装防火墙软件系统及防病毒软件并定期进行升级，保证设备的正常、安全使用；二、互联网各接入部门计算机应安装防病毒软件、防黑客软件及其它5、安全保护软件，并对软件定期升级；三、严禁各接入部门计算机安装病毒软件、黑客软件，严禁攻击其它联网主机，严禁散布黑客软件、病毒和其它非法软件；四、互联网运行管理部门应定期发布病毒预报信息等各种安全公告，定期检测互联网内的病毒和安全漏洞，发现问题及时处理；五、互联网运行管理部门应采用合理的技术手段对网络安全运行进行有效的监控，利用各种有效的安全检测软件定期对网络安全隐患进行检测；六、对于通过网络或各种介质传递的软件、数据、信息等必须进行有效的安全检测，以防止病毒等潜在的安全问题发生和扩散，对于新发现的病毒等要及时进行查杀。无法查杀的要备份染毒文件、上报，同时追查病毒来源；七、网络运行管理部门应定期6、检查防火墙、防病毒软件等网络安全设备、设施的配置，以防止网络安全设备、设施漏洞对网络及设备安全稳定运行造成影响；八、网络运行管理部门应制订有效的网络安全配置管理策略。各联网单位或用户要及时报告新发现的网络安全漏洞；九、严禁互联网的任何上网计算机对全网络范围内进行网络扫描、IP欺骗等非法活动，一经发现，将按情节予以中断网络连接或取消上网资格的处理。十、严禁互联网用户对互联网主机进行任何形式的非法攻击或入侵。对于有意传播病毒、非法攻击或入侵的网络用户，一经查实网络运行管理部门将暂停或取消其上网资格，情节严重的将送交公安机关处理。账号使用登记和操作权限管理制度为了医院网站、his系统、pacs系统、7、医保系统的安全管理，避免操作权限失控,并防止一些用户利用非法取得的权限进行不正确的上网和破坏活动，特制定本制度。一、 医院网站的所有服务器、主干交换机及其他系统主要设备由院信息科负责管理，任何人不得擅自操作网络设备，修改网络参数和服务期等。二、 信息科分配给各用户的应用权限、信息发布权限，各用户应予以保护，如因保护不善而造成的不良后果由各用户本人承担。三、 对于医院网站、his系统、pacs系统、医保系统内各主要网络设备和计算机服务器系统，信息处应当正确分配权限，并加严密的口令予以保护，口令应定期修改，任何非系统管理人员严禁使用、扫描或猜测口令。四、 对于服务器系统和各主要交换设备的配置信息，8、信息科应做好定期备份工作，确保在系统发生故障时能及时恢复，以保障医院网络的正常运行。五、 信息系统管理维护人员对于服务器系统和主要网络设备的设置、修改应当做好登记、备案工作。同时管理人员还要做好服六、 信息科管理人员要明确管理职责，不得擅自将自己操作权限转交他人，避免操作权限失控。未经领导批准也不得超越权限操作。安全管理人员岗位工作职责为保证我院网络系统的正常运行，规范安全管理人员工作职责，特制定本制度。一、组织全体员工认真学习计算机信息网络国际互联网安全保护管理办法，提高员工的维护网络安全的警惕性和自觉性。二、负责对医院网络用户进行安全教育和培训，使用户自觉遵守和维护计算机信息网络国际互联网9、安全保护管理办法，使他们具备基本的网络安全知识。三、加强对信息发布的审核管理工作，杜绝违犯计算机信息网络国际互联网安全保护管理办法的内容出现。四、一旦发现从事下列危害计算机信息网络安全的活动的，做好记录并立即向主管院长报告：（1）未经允许进入计算机信息网络或者使用计算机信息网络资源；（2）未经允许对计算机信息网络功能进行删除、修改或者增加；（3）未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；（4）故意制作、传播计算机病毒等破坏性程序的；（5）从事其他危害计算机信息网络安全的活动。五、在信息发布的审核过程中，如发现有以下行为的，将一律不予以发布，并保留有关原10、始记录：（1）煽动抗拒、破坏宪法和法律、行政法规实施；（2）煽动颠覆国家政权，推翻社会主义制度；（3）煽动分裂国家、破坏国家统一；（4）煽动民族仇恨、民族歧视、破坏民族团结；（5）捏造或者歪曲事实、散布谣言，扰乱社会秩序；（6）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪；（7）公然侮辱他人或者捏造事实诽谤他人，有意影响医院稳定局面；（8）损害国家机关信誉；（9）其他违反宪法和法律、行政法规。六、接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。网络安全教育与培训制度一、安全11、教育制度医院信息网络系统是医院重要的基础设施之一，医院内网为全体员工提供先进、可靠、安全的计算机网络环境，支持医院的业务开展、科研和管理工作。为充分发挥医院网络信息的作用，确保使用网络和网络信息的安全，特制定本制度。1、医院入网的所有工作人员和用户必须遵守国家有关法律、法规。严格执行安全保密制度，并对所提供的信息负责。2、 任何个人不得利用计算机网络从事危害国家安全、泄露国家秘密的活动。不得查阅、复制和传播有碍社会治安和伤风败俗的信息。3、 所有计算机工作人员和用户必须接受和配合医院依法进行的监督检查和采取的必要措施。4、 医院网络在信息中心领导下实行统一管理、分层负责制。网络中心对医院网络资12、源进行管理，各部门操作人员负责对各部门级资源进行管理。并明确专人负责审查相关的上网信息，严禁涉及国家机密的信息上网。5、 医院网络用户由医院统一规划接入，严禁任何用户擅自连入医院网络，增加用户必须经主管院长批准，由信息科办理具体接入事宜。6、 医院网络工作人员和用户如在发现有碍社会治安和不健康的信息，有义务及时上报信息科管理人员并自觉立即销毁。7、 医院信息科设网络安全员，负责网络安全和信息安全工作，并定期对网络用户进行有关信息安全和网络安全教育。8、 医院信息科负责对设在各节点的网络设备进行管理，其他任何人不得擅自拆卸移用网络设备或切断电源，否则后果自负。9、 违反本制度规定，有下列行为之一13、者，医院可提出警告、停止其使用网络，情节严重者给予行政处分或提交司法部门处理。（1）查阅、复制或传播下列信息者：a、煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；b、煽动抗拒、破坏宪法和国家法律、行政法规的实施；c、捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；d、公然侮辱他人或者捏造事实诽谤他人；e、宣扬封建迷信、淫秽、色情、暴力、凶案、恐怖等。（2）破坏、盗用计算机网络中的信息资源和进行危害计算机网络安全的活动。（3）盗用他人帐号或私自转借、转让用户帐号造成危害者。（4）故意制作、传播计算机病毒等破坏性程序者。（5）上网信息审查不严，造成严重后果者。二、培训制度对于不同的角色，应14、使他们掌握不同层次的医院网络应用技能。1、管理者具有应用医院网络进行管理的意识，熟悉掌握浏览器的使用、Email收发等技能、杀毒软件的使用。2、医院办公室人员应掌握计算机网络入门知识，以及一般软件的使用知识，如：Windows xp、Word2003、PowerPoint、Excel、网络与Internet、网络医学资源查找与检索、杀毒软件的使用、简单病毒的判断等。3、医院的策划部应掌握专业网站设计软件的操作。如：网站开发，美工的设计制作与评价，主页的设计制作、网站漏洞的查补等。4、医院网络专职人员能组织实施医院的信息化建设，有较高水平的计算机网络技术，熟悉病毒原理，及时排网络故障，能维护医院15、网络的正常运转。5、网络安全培训是一个长期的工作，应进行递进式多轮培训，从计算机的基本操作技能开始，杀毒软件、病毒的判断与处理，逐步使全体人员树立网络安全意识，并协助医院相关部门做好网络安全管理工作。网络安全管理制度为了进一步加强网络安全工作，确保医院信息系统安全运行，防止网络病毒危害和恶意攻击，维护正常的网络使用秩序，根据国家有关网络安全管理的规定，结合我院实际，特制定医院网络安全管理制度。第一条 病毒检测和网络安全漏洞检测（1）医院的网络系统由专门的部门负责维护，任何人在没有得到允许的情况下，不得接触、使用和更改医院网络系统的硬件及软件资源。（2）医院各科的办公计算机一旦发现计算机病毒应当16、及时清除；无法清除的，应当及时向院信息科报告，并采取隔离、控制措施。在确认系统病毒清除后，方可重新投入使用。（3）禁止任何科室和个人安装黑客软件，严禁借医院的网络攻击局域网和其它计算机，严禁散布黑客软件和病毒。（4）对于系统软件和应用软件的安全隐患，院内信息科的计算机管理人员必须及时从系统软件开发商和应用软件开发商获取相关的补救措施，如安装补丁软件、制定新的安全策略等。（5）医院各部室的办公人员，严禁私自在办公计算机上安装其他软件，以免造成病毒感染及木马的注入。严禁私自更改计算机的设置及安全防护规则，由此造成的后果，医院有追究相关责任的权利。（6）涉密计算机必须与上互联网计算机做到物理隔离。第17、二条 系统数据管理和安全协查（1）接入互联网的计算机必须自觉遵守网络法规，严禁利用计算机从事下列活动：未经允许，对办公网及主页系统上所具有的功能、程序、数据进行删除、修改和增加；故意制作、传播计算机病毒与破坏性程序；其他危害办公网络安全的行为。严禁在互联网和局域网上传递秘密文件，特别是机密级以上的秘密文件。（2）任何科室和个人不得在局域网、广域网上通过互联网下载传递有政治问题和淫秽色情内容的信息。（3）严禁在网络上使用来历不明、引发病毒传染的软件，严禁通过系统设置软件，更改办公计算机系统及相关软件。（4）服务器及网络设备遭受攻击后，网络管理技术人员要立即采取措施予以解决，同时做好系统保护工作。18、第三条 账号使用登记和操作权限管理制度（1）局域网内各主要网络设备、计算机服务器系统由系统管理员统一管理，除管理员外，其他任何人不得擅自操作网络设备，修改网络设置。（2）局域网内所有网络设备、计算机服务器系统应当正确分配权限，并加口令予以保护，口令应定期修改，任何非系统管理员严禁使用、猜测各类管理员口令。（3）对于网络系统要做好备份工作，确保在系统发生故障时能及时恢复。（4）对于网络系统的设置、修改做好登记、备案工作。重大更改必须向主管领导汇报，征得同意后方可进行。第四条 安全教育和培训（1）医院技术主管部门负责牵头，定期召开网络安全会议，通报网络安全状况，解决网络安全问题。（2）医院技术主管部门定期举办网络安全培训班，学习网络法律、法规，提高全体员工的网络安全意识，提高网络安全水平。第五条 网络线路安全维护医院网络线路安全运行由医院自动化部负责监督、维护。第六条 重视对计算机实体的安全保护工作，院中心机房、电子阅览室、办公各科室要做好防火、防水、防盗、防雷等方面工作。第七条 违反本管理制度，将提请医院行政部门视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。触犯国家法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。