一、為了保證醫院網路的正常執行,保護醫院網路系統的安全和網路使用者的使用權益,特制定本安全管理制度。
二、本管理制度所稱的醫院網路系統是指在醫院資訊系統中,由計算機及配套設施構成的,按照醫院網路資訊系統的應用目標和規定,對資料進行採集、加工、儲存、傳輸、檢索等處理的人機系統。
三、醫院網路系統安全管理是通過實施身份認證、訪問控制與授權管理、資料備份和災備系統、安全分域及邊界防護、防病毒系統、入侵檢測、補丁管理、郵件安全閘道器、遠端接入等安全技術和與之相配套的管理制度,保障網路主機及配套裝置、設施的安全,網路執行環境的安全,從而達到保障計算機網路系統安全執行和資訊保安的目的。
四、資訊科負責醫院計算機網路系統的安全管理工作,確保對計算機網路系統安全管理的有效性。
五、計算機網路系統的建設和應用應遵守上級主管部門頒發的行政法規、使用者手冊和其他相關規定。
六、計算機網路系統實行安全等級保護和使用者使用許可權劃分。安全等級和使用者使用許可權的劃分和設定由資訊科負責制定和實施。 (注釋:以下為身份認證)
七、計算機入網執行必須經資訊科批准備案,分配ip位址後,方可接入網路。
八、要對重要主機的使用者名稱、開機口令、應用口令和資料庫口令實施重點管理,嚴格控制裝置訪問及加密,未經允許嚴禁外來碟片帶入機房對伺服器進行安裝等,不准將機器裝置和資料帶出機房。
九、未辦理入網手續,任何單位和個人不得非法私自將計算機接入醫院網路,不得以不真實身份使用網路資源,不得竊取他人賬號、口令使用網路資源,不得盜用未經合法申請的ip位址入網。未經資訊科允許,任何單位或個人不得擅自接納網路使用者。 (注釋:
以下為訪問控制與授權管理)
十、應根據網路主機不同的安全級別採取相應的訪問控制、資料保護、保密監控管理和系統安全等技術措施。
十一、資訊科定期對網上使用者的訪問及授權情況進行檢查,及時發現和限制非法使用者和非授權訪問。
十二、要按要求對資料進行日備份、月備份和年備份。嚴格按操作規程進行資料備份工作,確保備份資料的完整和準確性,做好備份資料的審核工作,並做好相應記錄。要確保匯出、匯入資料的完整和準確,並做好匯出、導人資料的審核工作和相應記錄。
(注釋:以下為安全分域及邊界防護)
十三、加強邊界安全的防護,應根據安全區域劃分情況明確需進行安全防護的邊界,並實施有效的訪問控制策略和機制。
十四、應在網路系統或安全域邊界的關鍵點採用嚴格的安全防護機制,如嚴格的登入/鏈結控制,高效能的防火牆、防病毒閘道器、入侵防範、資訊過濾、邊界完整性檢查等。
十五、要實施必要的邊界訪問、違規外聯的審計和控制。 (注釋:以下為入侵檢測)
十六、應採用必要的手段(如入侵檢測系統、日誌分析、網路取證分析等)對系統內的安全事件進行監控,檢測攻擊行為並能發現系統內非授權使用情況。
十七、應禁止系統內使用者非授權的外部鏈結(如自動撥號、違規鏈結和無線上網)。 (注釋:以下為防病毒系統)
十八、應部署有效的網路病毒防範軟體系統和相應的網路病毒防範管理辦法,實施對計算機網路病毒的有效防範。
十九、要制定文件化的明確的計算機病毒和惡意**防護策略,以及確保策略有效實施規章制度。
二十、應在系統內關鍵的入口點以及各工作站、伺服器和移動計算機裝置上採取計算機病毒和惡意**防護措施。 (注釋:以下為備份和恢復)
二十一、應制定文件化的資訊系統備份和恢復的策略,建立健全備份和恢復的管理制度和操作規程。
二十二、備份包括關鍵業務資料的備份、關鍵業務裝置(如伺服器、交換機等)的備份和電源備份。對重要資訊系統(如his系統)的關鍵設施(如伺服器)採取熱備份。
二十三、應定期備份和對恢復策略進行測試,以保證其有效性。要有系統恢復的預案和演練。
二十四、應根據業務的重要程度、資訊系統的資產價值等進行相應的需求分析,確定系統恢復的目標,如:關鍵業務功能、恢復的優先順序、恢復的時間範圍。 (注釋:以下為遠端接人)
二十五、為確保醫院計算機區域網路執行安全,要在有效部署防火牆、入侵檢測和防病毒系統的情況下,實施遠端接入。醫院業務網(內網)與遠端接入(外網)業務的物理隔離。凡涉密的計算機主機不得與網際網路(inter***)鏈結。
二十六、任何部門和個人使用醫院網路提供的遠端接人服務必須向資訊科申請。入網使用者的使用者名稱和ip位址是使用者在醫院區域網上的合法標識,也是對使用者收費的重要依據,一經指定不得擅自更改。
二十七、未經資訊科批准,任何個人或部門不得為外單位人員提供電子郵件或其他網路服務。
二十八、所有入網使用者,應當遵守國家有關法律、法規及醫院的有關規章制度,嚴格執行安全保密制度,不得利用計算機網路從事危害****、損害醫院利益等違法、違規活動,不得製作、查閱、複製和傳播擾亂社會治安、有傷風化、淫穢色情等資訊,不得利用網路攻擊、損害公用網路和其他使用者。否則,醫院有權停止對其提供的服務;由此造成的不良後果由使用者承擔。
二十九、使用計算機機網路系統的部門和個人必須遵守計算機安全使用的規定,對計算機網路系統發生的問題和故障要立即向資訊中心報告。
三十、使用者不得從事下列危害計算機網路安全的行為:
1、未經允許,進入計算機網路系統或使用網上資訊資源:
2、私自轉借或轉讓使用者賬號,盜用他人賬號或ip位址:
3、未經允許,對網上應用系統的功能進行刪減或更改:
4、未經允許,對計算機網路的儲存、處理或傳輸資料和應用程式進行刪減或更改;
5、故意製作、傳播計算機病毒等破壞程式,使用任何工具破壞網路正常執行;
6、破壞、盜用計算機網路中的資訊資源和危害計算機網路安全;
7、其他危害計算機網路安全的行為。
上述違規造成醫院損失的,依照有關法律、法規及醫院有關處罰規定進行處理,情節嚴重者移交公安機關處理.
醫院網路系統安全管理制度
第一條為了保證醫院網路的正常執行,保護醫院網路系統的安全和網路使用者的使用權益,特制定本安全管理制度。第二條本管理制度所稱的醫院網路系統是指在醫院資訊系統中,由計算機及配套設施構成的,按照醫院網路資訊系統的應用目標和規定,對資料進行採集 加工 儲存 傳輸 檢索等處理的人機系統。第三條醫院網路系統安全...
校園網路系統安全管理制度
第一章總則 第一條為了保護校園網路系統的安全 促進學校計算機網路的應用和發展 保證校園網路的正常執行和網路使用者的使用權益,制定本安全管理制度。第二條本管理制度所稱的校園網路系統,是指由學校投資購買 由網路與資訊中心負責維護和管理的校園網路主 輔節點裝置 配套的網路線纜設施及網路伺服器 工作站所構成...
校園網路系統安全管理制度
濉溪職教中心 第一章總則 第一條為了保護校園網路系統的安全 促進校園網路的應用和發展,保證校園網路的正常執行和全體師生的使用權益,制定本安全管理制度。第二條本管理制度所稱的校園網路,是指由學校投資購買 由計算機部負責維護和管理的校園網路主 輔節點裝置 配套的網路線纜設施及網路伺服器 工作站所構成的 ...