医院信息化制度汇编
发布时间:2020-09-29 来源: 读后感 点击: 
医院信息化制度汇编
目录 信息系统安全总体方针 ......................................................................................... 1 信息系统安全管理策略 ......................................................................................... 4 信息安全检查管理办法 ....................................................................................... 14 信息安全违章行为责任追究办法 ........................................................................ 18 安全教育和培训管理办法 .................................................................................... 23 外来人员安全访问管理办法 ................................................................................ 26 信息系统建设项目管理办法 ................................................................................ 29 软件开发管理办法 ............................................................................................... 38 办公区环境与安全管理办法 ................................................................................ 48 中心机房运行管理办法 ....................................................................................... 52 信息分类与标识管理办法 .................................................................................... 57 信息系统资产管理办法 ....................................................................................... 62 介质安全管理办法 ............................................................................................... 65 设备安全管理办法 ............................................................................................... 68 网络安全管理办法 ............................................................................................... 71 信息系统安全管理办法 ....................................................................................... 74 恶意代码防范管理办法 ....................................................................................... 83 信息系统密码管理办法 ....................................................................................... 86 信息系统变更管理办法 ....................................................................................... 92 数据备份与恢复管理办法 ................................................................................... 102 信息安全事件报告管理办法 ............................................................................... 110 信息安全突发事件应急预案 ............................................................................... 114
信息系统安全总体方针 第一章
总则
第一条
为加强和规范**县**医院信息安全工作,提高信息安全整体防护水平,实现信息系统的安全管控,依据国家有关法律、法规的要求,制定本方针。
第二条
本方针为**县**医院信息安全管理提供一个总体性架构文件,指导**县**医院信息安全管理体系建设,以实现统一的安全策略管理,提高整体的网络与信息安全水平,保障网络畅通和信息系统的正常运行。
第三条
本方针适用于**县**医院信息系统资产和信息安全人员的安全管理,适用于指导**县**医院信息安全策略的制定、安全方案的规划、安全建设的实施和安全管理措施的选择。
第二章
组织机构与职责
第四条
**县**医院信息化建设领导小组为**县**医院信息安全工作领导机构,领导小组下设办公室,由信息科负责信息安全具体工作。**县**医院其他部门主要负责人是落实信息安全管理制度的第一责任人。
第五条
**县**医院信息化建设领导小组负责统筹领导**县**医院信息安全工作,指导信息科负责的重大的信息安全工作。
第三章
信息安全体系框架和目标
第六条
**县**医院信息安全体系框架的组成是安全组织、安全策略、安全技术和安全运作,四大组成部分协同构建、完成和实现**县**医院信息安全工作和目标。
第七条
(一)信息安全组织工作目标是建立健全的安全组织,加强人员的安全管理,为信息安全工作提供组织保障。
(二)信息安全策略工作目标是制定完善的信息安全管理制度和技术规范,并确保其有效发布、执行和更新,规范**县**医院信息安全管理工作。
(三)信息安全技术目标是采用适当的技术手段,加强业务和支撑系统的安全防护,为信息安全工作提供技术工具支撑。
(四)信息安全运作目标是加强安全工作的运作管理,维护业务和支撑系统的安全运行,及时处理安全问题,为信息安全工作提供运行保障。
第四章
信息安全建设原则和目标
第八条
**县**医院信息安全工作的原则是:满足和推动服务业务发展,信息系统安全架构完整、统一,数据集中、信息共享,控制成本、提高工作效率,利用国家标准规范**县**医院管理。
第九条
**县**医院信息安全工作的目标是:通过建立和完善信息安全的策略体系、组织体系、技术体系和运作体系,保障日常工作的开展和各信息系统的连续正常稳定运行,维护信息系
统的数据安全,促进**县**医院信息化工作健康发展。
第五章
附则
第十条
本文件由信息科负责解释与修订。
信息系统安全管理策略 第一章
总则
第一条 本策略为**县**医院各项信息安全工作提供依据和指导。
第二条**县**医院信息安全工作由信息化建设领导小组牵头,信息科具体组织,各部门分块负责,全员参与,专人管理。
第三条**县**医院信息安全工作以风险管理为基础,在安全、效率和成本之间始终坚持“安全第一”的原则。
第二章
信息安全组织及职责
第四条**县**医院信息化建设领导小组 (一)统筹领导**县**医院信息安全工作,指导信息科负责的重大的信息安全工作; (二)审查和核准信息安全策略及制度; (三)审核批准重大的信息安全活动; (四)审核批准对信息安全事故的处置意见。
第五条信息科 (一)负责组织**县**医院信息安全工作; (二)负责制定**县**医院信息安全管理制度、技术规定、应急预案等,并督促执行;
(三)负责对**县**医院内各系统安全的检查和防护,及时处置安全风险; (四)负责对计算机病毒感染的预防、检测和清除,定期维护计算机软件和数据、对重要信息定期进行检查和备份; (五)负责信息安全事故的处置; (六)负责组织信息安全培训和宣传。
第六条
信息安全责任 **县**医院其他部门主要负责人是信息安全第一责任人,负责本部门所有与信息安全相关的活动。其他部门信息安全联络员负责配合信息安全相关的检查、管理、上报及其他需协调的工作。
第七条信息科必须与接触**县**医院敏感信息和核心技术资料的第三方签署保密协议,并与在**县**医院工作的第三方人员签署个人保密协议。
第三章
安全风险管理
第八条
定期对操作系统、数据库系统、网络系统、应用系统等进行漏洞识别与分析,对系统中所存在的高风险漏洞按照流程进行处置。
第九条
每年至少进行一次全面的风险评估,以确定是否存在新的威胁或薄弱点,并分析是否需要增加新的安全控制措施。
第十条 当发生以下情况时需及时进行风险评估工作:
(一)当发生重大信息安全事件时; (二)当信息系统发生重大变更时; (三)信息化建设领导小组确定必要时。
第十一条 针对风险评估结果制定风险控制措施及实施计划。风险整改后,应再次进行评估,以确保风险得到正确规避。
第四章
资产安全管理
第十二条 信息资产是指有业务价值的实物或者虚拟的事物。
第十三条
各部门应识别与信息生命周期有关的资产,形成资产清单,及时更新,并指定资产所有人,资产所有人负责资产的维护与安全,对资产进行安全等级划分。
第十四条
资产管理 (一)对所管理的资产必须明确说明使用、发布、复制、存储、传输、销毁的过程并记录; (二)资产所有人负责信息的授权,资产只能授权给工作必须的人员; (三)信息的获取应该遵照工作需要原则、受控审批的原则,严禁未经批准的私下获取行为;在对外提供任何可能涉及**县**医院信息的资料、数据、信息之前,不管提供的对象是上级管理部门,还是第三方,都必须事先经过资产所有人的审批许可; (四)未经批准,严禁泄露信息系统的安全控制机制。对外公布的信息必须经过审批,不得在公开媒体上发布、谈论和传播**县**医院的数据和信息; (五)必须采用**县**医院批准的销毁方式销毁信息。
第五章
人员安全管理
第十五条 聘用条款和保密协议
(一)信息科聘用人员的聘用条款应明确信息安全责任; (二)所有信息安全相关人员需与**县**医院签订保密协议及岗位责任协议,明确各岗位安全职责。
第十六条
人员审查 (一)对相关信息化供应商以及工作人员应按照相关法律法规和对应的业务要求进行安全资格审查; (二)必须对进入关键岗位的职工进行资格审查和技能考核。
第十七条 定期组织干部职工以及相关第三方人员学习信息安全知识,进行安全意识、安全态势培训。
第十八条
人员离职时应及时收回所有涉及**县**医院业务内容的资料、数据、信息,立即取消所有访问信息系统的权限。
第十九条
人员调离其他单位,需提交调离申请,经相关领导审批后进行工作交接,并对**县**医院有关所有信息进行保密,如若发现泄密,需承担相关的法律责任。
第六章
物理和环境安全
第二十条
场地安全 (一)信息科应根据国家相关标准以及工作性质划分相应的安全级别,并建立相应的准入控制措施; (二)所有受控区域必须指定信息安全管理责任人。
(三)应建立外来人员访问机制,确保只有授权人员才允许进入受控区域。
(四)应建立受控区域安全操作规程,需要避免在受控区域进行不受监督的工作。
第二十一条
设备安全 (一)将设备放置到相应级别控制区域; (二)建立防盗、报警、环境监控等保护措施; (三)应保护设备使其免于支持性设施(电、温湿度、通信)失效而引起设备故障。
(四)采用专业技术人员对设备进行维护,确保其持续的可用性和完整性。
(五)设备、信息或软件在授权之前不宜带出受控区域。
第二十二条
环境安全 (一)办公室环境需满足正常的保密要求。
(二)办公室照明需满足目视及摄像头观测照度清晰要求。
第七章
网络通信安全管理
第二十三条
通过物理分离、防火墙、上网行为控制设备、VLAN 划分进行内外网的物理和逻辑划分,建立网络安全区域,明确安全边界,并进行网络访问行为限制和监控。
第二十四条
网络设备 (一)网络设备的安装、配置、变更、撤销等操作必须经过信息科相关领导审批; (二)网络的拓扑结构、IP 地址等信息未经授权,严禁泄露; (三)网络设备的远程登录操作应限定在指定网段范围内。
第二十五条
所有与**县**医院的网络进行连接都需要经过信息化建设领导小组的批准;所有与**县**医院外部网络相连的
出入口处必须设立防火墙;通过接入服务器接入**县**医院内部网络时,必须经过认证。与**县**医院外部网络相连接的系统必须有专人负责管理。
第八章
操作安全管理
第二十六条
运作流程 (一)必须明确并遵循信息系统运作的变更流程; (二)必须明确并遵循安全问题处理流程; (三)信息系统的生产环境和开发测试环境需要分离; (四)系统的超级管理权限应采取双人控制,互相制衡。
第二十七条
恶意软件的防护 (一)实施恶意软件的监测、预防和恢复的控制措施; (二)**县**医院的计算机系统都必须安装、运行单位统一部署的防病毒软件,并及时升级。未经批准,不能安装其它的防病毒软件; (三)接收和发布信息时须进行病毒检测; (四)服务器必须实时运行防病毒软件; (五)定期对**县**医院的联网办公设备进行扫描,及时发现漏洞并修复。
第二十八条
信息系统管理 (一)建立备份策略,按照策略的要求,定期备份和测试信息、软件及系统。
(二)对系统操作人员的活动进行日志记录; (三)定期检查和处理系统日志;
(四)对一些重要的信息系统进行实时监控; (五)对组织内部的办公设施进行时钟同步; (六)非正版软件不能安装。
第九章
访问控制
第二十九条
用户访问管理 (一)帐户开户 1.根据工作相关性原则并经过审批后为个人分配权限; 2.建立帐户开户和销户的闭环流程,控制用户对系统的访问权限; 3.含有保密信息的系统禁止建立公用帐户; 4.用户的岗位或职责发生变化时,应立即变更或取消相应的访问权限; 5.对分配的权限必须记录和进行维护。
(二)口令管理 1.口令的管理责任人为账户的使用者; 2.口令的设置要遵循**县**医院有关规定。
(三)对用户访问权限进行定期检查; (四)用户责任 1.用户应采取方式保证口令安全; 2.不得共享个人的口令; 3.定期更改口令。
第三十条操作系统访问控制 (一)严格控制操作系统管理员对系统文件和业务数据的操
作权限; (二)根据工作相关性原则授予用户相应权限; (三)系统建立的日志必须满足审计要求,系统日志必须安全存放,防止被非授权的访问; (四)必须及时安装系统安全补丁; (五)关闭所有系统不需要的系统服务; (六)服务器的密码文件须加密存放; (七)定期修改用户口令。
第三十一条 应用系统访问控制 (一)根据业务访问控制策略对用户严格授权; (二)严格限制业务人员越过应用程序对后台数据库或操作系统直接访问; (三)建立和维护应用系统的用户权限表; (四)删除所有系统上不使用的帐号。
第十章
运行维护安全管理
第三十二条
建立日常维护相关操作规程和规范手册,规范介质管理、账号口令管理、补丁管理、防病毒管理、服务器运行管理等日常运行维护操作。
第十一章
系统开发
第三十三条
确保安全贯穿系统整个生命周期的各个阶段。
第三十四条
系统的规划设计阶段必须做安全需求分析、总体安全设计、安全建设规划。
第三十五条
系统开发策略
(一)建立并遵循安全开发标准; (二)、进行风险分析和风险管理,确定系统安全控制机制; (三)操作人员只保留可执行代码; (四)程序源代码尽可能不要保留在运行系统上; (五)在系统发布前,应进行安全测试。
第三十六条
加密策略 (一)加密算法必须是经过政府批准的或符合业界标准; (二)密匙必须有明确的管理人员。
(三)加密的数据和口令须分开传递; (四)使用加密保护敏感数据,明确密钥管理员的职责; (五)密钥产生、分发、存储的相关信息必须防止泄露给未授权的人员,当这些信息不再需要时,必须采用规定的方式予以销毁。
第十二章
信息安全事件管理
第三十七条
各部门应了解信息安全事件管理目标,熟悉信息安全应急响应流程,确保能快速、有效和有序地响应信息安全事件。
第三十八条
各部门相关人员应尽可能早的将信息安全事件通告给部门负责人,信息科根据安全事件的类型和级别定义判断安全事件,根据安全事件处理流程进行处理和汇报。
第三十九条
信息科根据信息安全事件预案向信息化建设领导小组提出应急恢复流程的启动申请,经批准后,按照应急恢复流程处理。
第十三章
应急响应管理
第四十条
建立统一的应急预案框架,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。
第四十一条
从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。
第四十二条
应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期。
第十四章
信息安全通报机制
第四十三条
**县**医院信息科负责组织信息安全信息通报工作,必要时,向**县**医院各部门通报信息安全工作情况以及安全预警和病毒攻击等信息。
第四十四条
各部门信息安全联络员负责收集和反馈本部门信息安全信息,并向信息科报送。
第四十五条
将信息安全通报作为信息安全工作的重要环节。不能出现瞒报、缓报、谎报信息安全事件和推诿责任的行为。
第十五章
附则
第四十六条
本方针由信息科负责解释与修订。
信息安全检查管理办法 第一章总则 第一条
为了加强和规范**县**医院信息安全检查工作,保障相关信息系统安全运行,特制定本管理办法。
第二条
信息安全检查依据国家有关法律法规、行业有关规章制度,单位信息安全相关规章制度。
第三条
信息安全检查对象为**县**医院的光彩龙驹网约车系统。
第四条
信息技术工作检查可采取日常检查、组织自查、专项检查、年度检查等方式。年度检查对象包括所有相关部门,且每年不少于二次。
第二章组织机构与职责 第五条
信息科负责信息安全检查工作,根据当前现状明确检查重点,制定检查标准。
第六条
信息科成立信息安全检查小组,具体负责信息安全检查工作的实施。
第三章信息安全检查分类 第七条
各部门及相关人员要配合各项信息安全检查工作,并按要求完成检查中发现问题项的整改工作。
第八条
**县**医院的信息安全检查包括信息安全主管部门对**县**医院进行的专项信息安全检查、信息安全认证机构对**县**医院的信息安全外部审核、风险监管部门主导的信息安全内部审核和内部信息安全技术检查等。
第四章信息安全检查内容 第九条
计算机安全检查 1.计算机应安装杀毒、防护等软件,及时更新系统,修复漏洞。
2.非涉密计算机不得存储涉密文件、敏感信息。
3.涉密计算机和安装了“三合一系统”的计算机必须按照相关规定严格管理,严禁违规外联。
第十条
系统安全与设备管理的检查
1.服务器
(1)服务器应具有充分的可靠性和充足的容量。
(2)服务器应具有一定的容错特性,宜采用镜像、阵列、双机、群集等容错技术。
(3)服务器有安全可靠的备份措施。
2.工作站
(1)工作站应具有良好的性能及可靠性。
(2)除计算机机房外,一律使用无软驱或光驱等可卸存储装置的网络工作站。
(3)重要工作站应有冗余备份。
第十一条
安全管理情况的检查
1.建立由安全策略、管理制度、操作规程等构成的全面信息安全管理制度体系。
2.严格按管理制度规定进行管理,按操作规程进行操作,并进行记录。
第五章信息安全检查实施 第十二条
实施检查前,检查小组根据检查目的和被检查部门情况,确定检查范围、检查重点,制定检查工作计划,编制相应检查表格。
第十三条
组织进行自查时,被检查部门应如实填写自查表,对存在的问题隐瞒不报的,将追究相关部门和个人责任。
第十四条
进行现场检查时,检查小组应提前通知被检查部门,可根据需要要求被检查部门进行自查,以提高现场检查工作效率。每次检查前,检查小组应核查上次检查提出的整改意见是否落实,整改措施是否有效。
第十五条
被检查部门应积极配合检查工作,按检查人员要求提供与检查工作相关的资料,并对所提供资料的真实性、完整性负责。
第十六条
检查过程中应切实防范检查操作风险,不得对在线运行系统进行检查测试和网络扫描检测。因检查需要需使用辅助检测工具时,应经信息科负责人审批同意后方可使用。
第十七条
检查过程中发现问题和安全隐患时,检查小组应及时与被检查部门沟通确认后,拟定整改建议。对于随时可能引发事故的问题和安全隐患,应要求立即整改。
第六章信息安全检查报告 第十八条
检查工作结束后,检查小组应及时撰写检查报告上报信息化建设领导小组,根据批示意见对检查结果进行通报,对存在问题和安全隐患的部门下发整改意见书,要求限期完成整改工作。
第十九条
检查小组应跟踪整改工作的落实情况,必要时可对整改工作落实情况进行确认检查。
第七章附则 第二十条
本管理办法由信息科负责解释与修订。
信息安全违章行为责任追究办法 第一章 总则 第一条
为加强**县**医院工作人员的信息安全责任意识,界定工作人员信息安全违章行为,明确信息安全违章责任追究和处罚依据,特制定本管理办法。
第二条
信息安全违章行为分为一般违章和严重违章。信息安全违章行为由信息科负责组织调查和认定,并依据本办法进行责任追究。
第三条
本管理办法中所称“计算机”包括桌面计算机、便携式计算机(含各类上网本),除特别说明,通指内网计算机和外网计算机。
第四条
本管理办法适用于所有与信息系统相关的人员。
第二章 违章行为界定 第五条
凡具有下列行为之一均属违章行为:
1. 违反国家信息安全有关法律和法规。
2. 违反**县**医院信息安全管理规章制度。
第六条
一般违章界定 (一)计算机未设置操作系统登录口令;设置了操作系统登录口令,但口令长度低于 8 位且不是由字母、数字或符号组合构成;未启用屏幕保护和超时锁屏功能。
(二)未按规定安装运行或自行卸载单位统一的防病毒软件、补丁更新策略、桌面终端管理软件。
(三)未按要求使用安全移动存储介质进行内外网信息交换,擅自删除或破坏已注册安全移动存储介质内的管理软件。
(四)擅自卸载(含格式化)**县**医院规定安装的操作系统和业务应用系统客户端。
(五)未使用单位统一的外网邮件系统处理和发送与工作相关的电子邮件。
(六)计算机外委维修时未拆除硬盘导致与工作有关的信息外泄;更换计算机和硬盘或在报废处理前,未对原硬盘进行信息不可恢复操作处理(如低级格式化等)。
(七)在内网计算机上对未关闭互联网访问功能的手机和PDA 等设备进行充电或数据同步导致发生违规外联。开启文件共享且不设置共享密码或共享密码过于简单导致共享文件被非授权访问和破坏。
(八)移动存储介质丢失未向**县**医院信息科和保密管理部门及时报告,并说明移动存储介质中包含哪些与工作相关的文件、数据和程序。
(九)擅自将本人的门户及应用系统帐号和口令告诉他人由其长期代为进行业务操作。
(十)工作人员岗位异动后未及时向信息科申请账号和权限的变更。
(十一)违反单位信息安全管理规定被认定为一般违章的其他行为。
第七条
严重违章界定 (一)未经信息科进行安全检测和许可,擅自将外来人员的
计算机接入信息内网或信息外网。
(二)擅自更改计算机网卡的 MAC 地址或 IP/MAC 地址绑定策略。
(三)在计算机上私自开启 DHCP、WWW、FTP、VOD、代理、游戏、论坛等服务对网络访问造成干扰或信息资源被非授权访问。
(四)在内网计算机上利用电话线、电信运营商 ADSL、无线上网卡或具备上网功能的手机和 PDA 等设备访问互联网,以及任何具备有意识或故意性质使用内网计算机访问互联网。
(五)使用手机或 PDA 设备的无线 WIFI 功能访问信息内网或信息外网。
(六)在计算机中存储和处理国家、单位秘密信息,在外网计算机中存储涉及单位重要敏感信息的电子文件。
(七)在同一台计算机(包括具备隔离卡和双硬盘的计算机)上安装两个操作系统或双网卡分别接入信息内网和信息外网。
(八)安全移动介质损坏后私自丢弃未交信息科处理并造成单位重要信息外泄。
(九)私自在网络中接入任何具备网络地址转换(NAT)、MAC克隆等功能的网络交换机和路由器等有线设备和无线设备。
(十)擅自组建无线网络并接入信息内网。
(十一)干扰他人正常工作行为,包括:发布不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。
(十二)擅自在计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。
(十三)拒绝信息科维护人员对计算机进行安全性检查和安装单位统一要求的桌面终端管理软件、防病毒软件等。
(十四)违反**县**医院信息安全管理规定被认定为严重违章的其他行为。
第三章督察与检查 第八条
对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。
第九条
发生信息安全违章,按照管理权限,实行分级查处、分级追究。
(一)**县**医院各部门自查自纠发现的违章,参照本办法自行处理。
(二)信息科组织的督查、日常检查及采用单位统一部署工具软件检查发现的违章,按照本办法规定处理。
(三)单位督查、日常工作检查及采用单位统一部署工具软件检查发现的违章,按本规定处理并将处理情况报告单位领导。
第四章 处罚规定 第十条
在年度内第一次发生一般违章,对当事人给予诫勉谈话或通报批评;半年内同一当事人发生两次一般违章,对当事人给予 200~600 元的经济处罚并通报批评;一年内同一当事人发生三次一般违章,对当事人给予 1000~1500 元的经济处罚,并对当事人所属部门予以通报批评。
第十一条
在年度内第一次发生严重违章,对当事人给予
600~800 元的经济处罚,并对当事人所属部门予以通报批评;半年内同一当事人发生两次严重违章,除对当事人给予 1000~1500 元的经济处罚,通报批评当事人所属部门外,当事人必须自学网络信息安全基本知识并通过信息科的考核;一年内同一当事人发生三次严重违章,给予当事人下岗 1 个月的处罚,享受下岗人员待遇至当事人申请并经计算机所对其进行信息安全基本知识考核合格后方能上岗。
第五章附则 第十二条
本管理办法由信息科负责解释。
安全教育和培训管理办法 第一章总则 第一条
为规范**县**医院信息安全培训及教育工作,对干部职工进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练,确保**县**医院信息安全策略、规章制度和技术规范的顺利执行,特制定本管理规定。
第二章信息安全培训要求 第二条
信息安全培训工作需要分层次、分阶段、循序渐进地进行,而且必须是能够覆盖全员的培训。
第三条
应制定完善的《培训计划》,计划应包含培训方式、培训类别、培训内容、培训费用等信息,并且需要相关领导对培训计划进行审批。
第四条
分层次培训是指对不同层次的人员,如对管理层、信息安全管理人员,信息安全联络员和普通干部开展有针对性和不同侧重点的培训。
第五条
分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段,培训工作要有计划地分步实施;信息安全培训要采用内部和外部结合的方式进行。
第六条
管理层培训 (一)
管理层培训目标是明确建立信息安全体系的重要性,获得管理层的支持和承诺。
(二)
管理层培训方式可以采用聘请外部信息安全培训、专业技术专家和咨询顾问以专题讲座、研讨会等形式。
第七条
信息安全管理人员培训 (一)
信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑信息安全体系的建立、实施和保持。
(二)
信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术和内部学习研讨的方式。
第八条
信息安全联络员培训 (一)
信息安全联络员培训目标是掌握各系统相关专业安全技术,协助维护和保障系统正常、安全运行。
(二)
信息安全联络员培训方式可以采用外部和内部相结合的培训以及自学的方式。
第九条
普通干部培训 (一) 普通干部培训目标是了解相关信息安全制度和技术规范,并安全、高效地使用信息系统。
(二) 普通干部培训方式应主要采取内部培训的方式。
第三章信息安全培训内容 第十条
各级领导及职工应明确了解信息安全体系,并明确各自的安全职责,明确自身对维护保障系统正常、安全运行所需承担的相关责任和义务。
第十一条
针对业务需求进行相应安全意识培训,提高员工
的安全意识和防范能力。
第十二条
针对系统的维护人员和管理员应定期开展安全技术教育培训(每年至少一次),明确如何安全使用有关业务系统及普通计算机周边硬件设备。
第四章信息安全培训管理 第十三条
信息安全培训发起:
(一)
信息安全培训教育,纳入**县**医院的整体培训计划中。
(二)
具体操作过程遵守**县**医院的相关培训管理制度。
第十四条
信息安全培训实施:
(一)
信息安全培训的实施,主要由信息科负责组织和考核。
(二)
对专业性很强的安全培训,由信息科负责聘请外部专家进行安全培训。
(三)
具体操作过程遵守相关培训管理制度。
第十五条
信息安全培训过程中,要做好《培训签到表》,并将参与培训人员整理、备案。
第五章附则 第十六条
本管理办法由信息科负责解释与修订。
外来人员安全访问管理办法 第一章总则 第一条
为了规范第三方用户访问**县**医院内部信息系统时的行为,保护**县**医院网络与信息系统安全,特制定本管理办法。
第二章来访人员出入管理 第二条
第三方人员进入**县**医院所属单位及其建筑物,应遵守**县**医院相关安保制度。
第三条
未经**县**医院特别许可,第三方人员不得在信息科内摄影、拍照。
第四条
**县**医院干部职工要遵守相关安全保密规定,禁止与第三方人员谈论与其工作无关的内容。
第三章机房出入管理 第五条
除以下情况外,不得引领和允许第三方人员访问机房等重要区域:
( (一 一) ) **县**医院领导批准的参观活动; ( (二 二) ) 必要的仪器设备现场安装、维修、调测; ( (三 三) ) 第三方因业务需要进入上述区域的其它情形。
第四章网络访问管理 第六条
**县**医院信息安全管理人员有义务向第三方人员
说明网络接入安全要求。
第七条
第三方人员不允许私自连接医院网络。如果必要,必须提出申请,征得信息科允许后方可接入。第三方人员连接网络要进行相应登记备案,并签订网络使用安全协议。
第八条
长期使用内部网络的第三方人员的计算机必须接受**县**医院的统一客户端管理,包括客户端管理软件的安装、安全策略的配置等。
第九条
第三方人员如果需要访问网络资源,须提前明确申请要访问资源的类型、范围和方式,以便管理员进行审批,并提供相应的访问权限和访问方法。
第十条
第三方人员操作服务器或网络设备,必须使用临时帐号,使用之后由相应的管理人员及时清除;对于长期在**县**医院工作的技术支持、顾问、服务人员,如果需要长期操作服务器或网络设备,管理人员应该为第三方人员创建单独的帐号。
第十一条
**县**医院有权对第三方人员在医院内部网络的活动进行检查、审计和监控。
第十二条
第三方人员的计算机要求安装有防病毒软件,不得携带有木马、病毒等破坏性程序。
第十三条
第三方人员不准使用**县**医院网络从事同工作无关的网络活动。
第十四条
第三方人员不准在**县**医院网络内部通过拨号或其它手段直接建立到其它网络的物理链路。
第五章附则
第十五条
本管理办法由信息科负责解释与修订。
信息系统建设项目管理办法 第一章总则 第一条
为规范**县**医院信息化建设项目实施过程管理,明确项目组织与职责分工,规范项目活动和交付验收质量控制,特制定本管理办法。
第二条
本管理办法适用于**县**医院所有与信息化相关的项目和参与信息化建设项目实施过程中的业务部门和供应商人员。
第二章组织机构与职责 第三条
项目分类:根据项目的实施性质分为应用实施、定制开发、硬件集成类项目。根据实施方式分为外包、自主实施、自主实施部分外包类项目。
第四条
项目小组由供应商、业务部门、信息科共同组成,项目组根据专业分工分为项目管理组、业务组、开发组和系统支持组。
第五条
不同项目分类,参与项目的角色有所不同,项目启动前,双方项目负责人需根据项目要求和资源状况重新确定项目组织和项目组人员,明确项目职责分工后予以正式发布。
第六条
项目负责人:负责项目过程的计划与会议管理、问题与风险管理、变更管理,为项目执行过程管理的责任人。应用类项目可分别设立业务项目负责人和信息化建设项目负责人,业务项目负责人由**县**医院业务部门负责人担任,信息化建设项
目负责人由信息科项目管理人员担任。
第七条
项目业务组:由业务分析、实施顾问、关键用户组成,业务分析由**县**医院的业务负责人或业务骨干担任,负责项目需求和业务管理方案的确认;实施顾问由供应商或信息科具备业务咨询和分析能力的业务顾问担任,参与或负责项目需求的分析、设计与变更管理。关键用户参与需求调研、测试。
第八条
项目开发组:由供应商或信息科系统架构师、技术支持、开发顾问、软件测试、软件配置等角色,负责信息化建设项目软件或定制开发需求的设计、开发、测试与质量控制,其中大型应用或基础类项目,必须设立系统架构师,负责总体方案的设计或评审。
第九条
系统支持组:由信息科的系统管理人员担任,负责系统正式环境管理、系统环境规划、搭建及系统管理规范的建立,参与技术方案评审和协助系统环境优化,负责系统移交的正式接收人。
第三章项目里程碑管理 第十条
项目组与供应商签订正式合同后,标志着项目正式进入项目实施阶段。项目实施过程包括项目准备、需求分析、方案设计、系统实现、上线运行、项目移交等六大里程碑。
第十一条
项目负责人根据项目特点制定项目计划及项目的交付要求,所有项目实施交付文档按里程碑每月定期备案。
第四章项目准备阶段 第十二条
项目准备阶段包括制定总体计划、成立实施项目组织、建立项目章程、召开项目启动会议等工作。
第十三条
制定总体计划:项目负责人根据项目特点制定项目总体实施计划及资源计划,明确项目里程碑的关键活动、责任人、开始与完成时间、交付件要求,经双方项目负责人或项目总监审批后正式执行。
第十四条
成立实施项目组:项目负责人根据项目特点明确参与项目的人员、角色、职责及明确参与项目时间要求,并正式成立项目组。
第十五条
建立项目章程:明确双方项目组在项目过程中的沟通、问题、风险、计划、人力资源、质量管理等方面的管理约定。
第十六条
召开项目启动会议:项目负责人在完成以上项目准备后,应组织相关项目干系人召开项目启动会议,项目负责人、项目组和关键用户应参加项目启动会议。
第五章需求分析阶段 第十七条
需求分析阶段包括需求调研、需求分析、需求评审、需求确认等工作,经双方评审后最终形成《需求规格说明书》,《需求规格说明书》作为项目后续工作的基础,必须确保项目中所有相关人员对需求的理解达成共识。
第十八条
《需求规格说明书》必须包括总体需求及业务流程、详尽的功能需求描述和分析、需求的优先级、非功能需求(系
统技术需求)、与外部系统接口的定义,并确保需求是一致的、完整的、可行的且易于理解的。
第十九条
需求调研可采用调研、访谈、原型法等多种方式结合开展,调研前必须做好《需求调研问卷》、落实参与调研的对象和时间,调研对象必须包括项目发起人、业务负责人和关键用户在内的所有与项目范围密切相关岗位,须确保以上人员的充分积极参与。
第二十条
需求调研:调研内容包括项目目标、业务目标、业务与信息化建设项目现状、业务流程、具体的业务功能需求和非功能需求。
第二十一条
需求分析:项目组内部对调研过程收集的需求和遗留的问题进行可行性、优先级别和风险评估,在此基础上形成初步的《需求规格说明书》,发给相关业务人员征求意见。
第二十二条
需求评审:项目负责人组织相关的业务骨干和业务部门负责人对需求进行正式评审会议,使双方项目组对需求的理解达成共识。项目组根据评审意见修订《需求规格说明书》。
第二十三条
需求确认:《需求规格说明书》经评审通过后需业务分析、项目负责人、项目总监签字确认,并作为启动设计开发阶段必要输入条件。
第六章方案设计阶段 第二十四条
方案设计阶段包括总体设计、详细设计等工作。
第二十五条
总体设计和详细设计:由实施顾问和系统架
构师共同完成。应用实施类项目进行业务流程优化、总体方案设计、详细方案设计、安全性设计、客户化开发方案设计;定制开发类项目进行系统总体方案设计、详细设计、数据库设计、安全性设计及测试方案设计;总体方案设计需经过项目组、系统架构师的评审。
第二十六条
《系统总体设计说明书》指系统总体方案设计,包括系统应用架构设计和技术架构设计,应用架构设计包括系统应用架构图、子系统/模块结构设计、具体功能模块设计及与外部应用系统的业务关联设计。技术架构设计包括系统技术架构图(含与外部系统接口图)、内外部接口设计、相关软硬件平台设计、非功能模块设计。
第二十七条
《系统详细设计说明书》进一步详细描述具体程序的设计要求,包括程序的功能、输入输出项、算法、流程逻辑的实现详细描述。
第二十八条
《系统数据库设计说明书》包括数据库概念模型设计、数据库逻辑模型设计、数据库物理结构的设计、数据库性能参数的配置、数据库对象的详细描述。
第二十九条
编制基础数据整理模板:供应商提供基础数据整理模板,项目负责人协调相关业务分析、实施顾问制定数据整理规则和整理计划,并落实相关业务岗位或关键用户负责基础数据整理,基础数据需经业务部门负责人确认。
第七章系统实现阶段 第三十条
系统实现阶段包括实施方案、软件编码、硬件安
装、验收方案、功能测试、性能测试、安全性测试、环境部署等工作。
第三十一条
项目负责人在项目总体计划和设计的基础上制定《开发计划》,并定期把开发进展情况和开发成果反馈到项目组或提交到制定位置。
第三十二条
制定实施方案:根据实际情况,由供应商系统实施工程师负责制定系统实施方案,提交项目负责人,项目负责人组织相关人员对实施方案进行审定。
第三十三条
软件编码:开发顾问根据《设计说明书》、《开发计划》进行编码。供应商的质量保证人员对软件编码成果进行质量控制与检查。
第三十四条
功能测试:项目负责人安排测试人员(由技术人员和业务使用人员组成)完成,提交《系统测试方案》,发现的问题统一由项目负责人负责跟踪管理,并汇总成《问题跟踪表》,并出具功能测试报告。
第三十五条
性能测试:由开发顾问与系统管理人员共同负责性能测试方案的制定和性能测试分析,并进一步安排性能优化措施,并出具性能测试报告。
第三十六条
安全性测试:委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。
第三十七条
验收报告评审:项目负责人跟踪问题解决的进度和组织相关人员和安全专家进行验收报告的评审,评审通过后才可上线运行。
第八章上线运行阶段 第三十八条
系统上线包括上线方案编写、上线培训、上线评审、系统上线、上线运行跟踪、试运行总结、初验总结等工作。
第三十九条
上线方案编写:系统完成验收测试并按照要求提交所有文档后,由双方共同制定《系统上线实施方案》。
第四十条
上线评审:**县**医院项目组成员根据供应商在实施过程中提交的所有交付内容进行评审,评审内容包括交付质量、交付件的完整性、测试数据、上线条件、上线方案。
第四十一条
系统上线:通过上线评审后,系统可以进行上线并进入试运行阶段。
第四十二条
用户培训:根据上线方案中的培训计划,由供应商项目负责人组织**县**医院运维人员进行培训,同时提交《用户培训手册》和《用户操作指引》。
第四十三条
问题跟踪:项目组对系统试运行情况进行跟踪,及时处理和更新,每周通报系统运行状况。
第四十四条
试运行总结:系统试运行一个月以上并运行稳定,项目组应总结系统运行情况,提交《系统试运行跟踪报告》。
第四十五条
初验总结:系统应用状况达到项目验收要求,项目组进行项目初步验收总结,提交《系统初验报告》和《项目初验申请》。
第九章项目移交阶段 第四十六条
项目移交阶段包括问题跟踪与解决、系统移
交、制定系统管理规范、制定业务管理规范、终验总结等工作。
第四十七条
问题跟踪与解决:项目组应继续进行系统运行跟踪状况,每月提交《问题跟踪表》,并对存在的问题进行优先级分类,及时落实资源解决问题。
第四十八条
系统移交:供应商整理和修订项目交付文档,制定《系统维护指引》,《系统维护指引》中应包括系统运行维护的指引、系统备份要求和方法、系统恢复和迁移指引,并根据维护指引对系统管理人员进行知识转移,经过系统管理人员验证和确认后,作为双方正式移交的必要条件之一。正式环境移交后,系统管理人员收回供应商所有环境所有用户权限。
第四十九条
制定业务管理规范:业务管理规范由业务部门制定,包括基础数据规范、操作规范、岗位操作指引等等,并在应用过程中定期检查执行情况和不断完善。
第五十条
终验总结:系统达到项目目标、初验后正常运行三个月、所有的问题已解决且完成系统移交后,项目组进行项目总结后可提出项目验收申请,经项目主管部门负责人审核。
第十章问题与风险管理 第五十一条
问题管理贯穿项目的整个生命周期,项目负责人负责整个项目的问题和风险管理,并有责任落实相关资源协调解决。
第五十二条
业务部门或用户提出问题后,项目组对问题的类别、重要性、优先级别进行分类排序,优先解决影响数据准确性的问题,并明确问题责任人、完成时间,每周更新《问题跟
踪表》。大量的新增或变更需求按项目变更管理流程处理。
第五十三条
项目负责人应跟踪问题的解决情况,并及时将问题状况发布给项目组。在项目组范围内无法得到及时解决且影响项目整体目标的问题,项目负责人应及时将问题纳入风险管理范畴,进行风险评估和采取有效的风险防范措施。
第十一章变更管理 第五十四条
项目的需求分析确认后,所有的新增需求或变更需求、技术变更均纳入需求变更管理范围,项目负责人应对所有的需求变更进行记录和管理。
第五十五条
变更分析:项目负责人组织相关人员评估需求变更的风险、可行性,并提出需求变更的具体解决方案,解决方案中还应包括增加的工作量、成本和对项目进度的影响分析,需求变更经双方签字后生效。
第五十六条
变更的执行、跟踪:项目负责人落实资源进行需求变更任务的执行,对于影响项目目标、范围、业务功能的变更需同时修订《需求规格说明书》、《系统总体设计说明书》等相关交付文档,对于影响项目进度的变更应同步修订项目计划。
第五十七条
变更的确认、总结:变更任务执行完成后,其中需求或技术变更需经变更提出人员进行测试后确认完成,项目负责人提交变更执行情况分析。
第十二章附则 第五十八条
本管理办法由信息科负责解释与修订。
软件开发管理办法 第一章总则 第一条
为规范**县**医院的开发管理流程,使各开发项目的管理进行标准化管理,特制定本管理办法。
第二条
本管理办法详细规定软件开发过程的各个阶段及每一阶段的任务、要求、交付文件,使整个软件开发过程阶段清晰、要求明确、任务具体,实现软件开发过程的标准化。
第三条
本管理办法适用于计算机的自主软件开发项目。适用对象:软件开发管理人员,软件开发人员,软件维护人员,系统管理人员。
第二章职责及权限 第四条
**县**医院信息科是负责软件开发的主要部门,负责软件开发整个过程的监督、控制和管理工作。
第三章 软件开发环境管理 第五条
软件...
热点文章阅读