桂林医学院第二附属医院
信息设备安全管理制度
一、 总则
为加强我院计算机网络(包含因特网,中国教育和科研网,我院信息系统网络)的稳定,充分发挥计算机设备和网络的工作效率,保障医院计算机和网路的安全、可靠、稳定的运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等文件精神,特制定了本管理规范。
二、 组织管理机构
信息科是我院信息安全管理的职能部门,负责全面管理医院信息系统的基础设备、计算机网络、计算机终端等的规划设计,技术管理,日常运行管理和建设发展。主要职责有以下几点:
1. 制定适合我院业务发展,符合医院实际情况和发展需要的设定相应管理办法,并上报医院审定通过。
2. 负责制定和执行,我院信息安全相关的规章及制度。
3. 信息科对全院各科室应用的信息系统及相关设备,有监督和指导的权利。
三、 计算机中心机房管理
为了加强中心机房管理,保证各种设备稳定可靠地运行,保障全网安全畅通、维持良好的机房工作环境,特制定中心机房管理制度如下:
1. 中心机房内设备、设施及环境条件均应符合相关专业维护规程和公司相关要求。
2. 机房内实行封闭管理、严密防尘、防静电,进入机房人员必须穿工作鞋或者穿戴鞋套,保持设备清洁、环境整洁,各类物品放置有序,严禁在机房内吸烟、饮食、睡觉、做与工作无关的事。
3. 机房内严禁存放和使用易燃、易爆危险物品,严禁在机房内、通道和安全门附近堆放杂物。
4. 各种消防设施、器材定位放置,确保有效,并做到人人都会。
5. 各级维护、管理人员进入中心机房必须佩戴工作牌,并严格履行出入登记手续。
6. 非本单位人员进入中心机房必须征得机房负责人同意,履行出入登记手续,并由信息科人员陪同方可入内。
7. 进入无人值守机房作业应先开门通风,作业过程中保持机房空气新鲜;离开时应检查机房内各设备、设施是否正常,并做到人走灯灭。
8. 施工人员进入中心机房进行作业时,应向相关部门办理相应施工手续;在施工过程中要服从机房管理人员的管理,相关部门应派人员随工。
9. 进入机房人员必须严格执行机房保密制度。
10. 信息科值周人员负责中心机房及设备的日常维护管理和安全管理工作;执行机房巡检人员,发现问题及时处理、记录并上报。
四、 计算机网络管理
1. 信息科负责主干网络的运行管理,设备管理和发展规划,保障主干网络的畅通与高效。
2. 各接入子网的建设与规划由信息科进行统一管理,任何部门,科室,个人不得私自扩充子网或是与单位外的网络连接。有违反者,信息科有权上报主管部门和主管领导进行处罚并切断网络。
3. 如有需要建设信息科规划外子网的,应向信息科提交子网需求规划,子网建设申请,由信息科进行审批。
4. 在信息科的指导下,各部门科室对各自使用的计算机网络,计算机系统以及网络资源进行管理。负责各自使用网络的网络安全和信息安全工作,负责记录所使用网络的运行状况,并接受信息科及有关的网络管理部门的简短和检查,特殊情况应及时上报。
5. IP地址的规划和分配由信息科进行统一管理。科室和个人应严格使用信息科分配的IP地址,不得私自进行地址转换,不得盗用他人IP地址,不得私设IP地址。
6. 计算机如有需要接入我院计算机网络,均需办理入网手续。未办理手续,任何部门、科室和个人不得私自将计算机接入我院网络。
7. 医院的主干网的日常运行与维护由信息科负责。各子网的接入单位和终端用户网络极其设备的日常运行与维护由接入用户负责。
8. 各接入单位应对接入的网络设备进行管理。如发现与主干网络不通畅,或是有异常现象,应马上通知信息科,并协助信息科查明原因。
9. 信息科负责监视主干和各接入子网的运行状况,一旦发现故障或是异常情况,应通报相关情况并及时进行处理。
10. 信息科和各连接部门须采取有效的技术和行政手段,确保我院网络安全。我院的网络安全由信息科具体负责,各接入点计算机安全由使用人员具体负责。
11. 计算机网络用户不得干扰其他网络用户,不得破坏网络服务和网络设备。
12. 计算机网络用户要重视计算机网络安全,计算机网络信息安全,遵守国家的相关法律法规和医院的规章制度。
13. 对于盗用他人IP地址,盗用他人口令,入侵破坏网络,破坏计算机系统,违反用户网络行为规范,医院相应的网络规章制度,违犯国家法律等行为,信息科会协同医院有关部门,依据情节轻重,进行警告,罚款,报送公安机关依法追究法律责任。
14. 网络极其附属设备,属于医院的公共财产,任何人不得以任何理由进行破坏和拆除。对人为损坏网络设备的,依据其造成损失情况,进行相应的处罚。
五、 计算机终端管理
1. 计算机、打印机、电话等终端属于各科固定资产,由各科室指定专人自行管理。各科室需增加终端固定资产,应向相应申请。
2. 信息科负责全院所有计算机、打印机、电话终端的日常维护工作,保证终端的正常使用。
3. 终端使用科室增加新的终端,应向设备科请领终端设备,并填写信息终端接入申请表请分管院长签字同意后,交由信息科安排终端设备接入。
4. 如终端设备发生的故障,信息科无法修复的,由科室通知设备科联系维保单位进行维修,禁止自行联系外部单位进行维修,防止关键信息泄露。
5. 终端设备申请报废后,终端设备所有科室将设备送至信息科,进行统一信息脱密处理,方可转为报废资产。
六、 数据介质管理
1. 数据介质指用于数据存储的硬件设备,包含固定存储介质(设备内硬盘)和移动存储介质(移动硬盘、U盘、光盘等)。
2. 各类介质的管理原则是:“谁使用,谁负责”。介质使用人员对所使用的存储介质负责。
3. 用户将介质接入我院信息系统设备之前,必须进行病毒、木马检测和杀毒处理,防止病毒侵入侵和传染。
4. 外来存储介质未经本单位信息化管理部门授权不得擅自接入、拷贝、记录、打印。确需使用时,应向本单位信息化管理部门登记。
5. 存储有内部重要或敏感信息的移动介质应安排专人进行妥善保管,未经授权不得将载有敏感信息的存储介质随意存放或带出办公地点。
6. 用户不得在内网内使用移动介质,外网之间交叉使用存储介质。
7. 在介质使用过程中,应当注意检查病毒、木马等恶意代码,注意远离水源、火源,避免接触强磁物体、避免阳光直接照射。
8. 各类介质记录的信息如果不再需要或介质弃用时,须立即清除信息。
9. 各类介质涉密信息的清除,除考虑删除、格式化等方式外,还要进行数据覆盖写入等操作;
10. 各类介质弃用时,还要考虑借助专业软件多次格式化、物理破坏、物理粉碎、消磁等操作。
11. 如安全移动存储介质不慎遗失,当事人应立即报本科室负责人,及时采取有效措施,防止信息泄密,如有泄密由当事人负全部责任,同时应报信息技术科进行登记备案。
12. 各工作人员离岗、离职前,应将统一配发的安全移动存储介质退还信息技术科并办理相关手续。
七、 本文件由XX医院负责解释与修订。
八、 本文件自颁布之日起发布执行。