2022年医院信息安全管理制度及应急预案

2022年医院信息安全管理制度及应急预案一、信息系统安全包括:软件安全和硬件网络安全两部分。二、网络信息办公室人员必须采取有效的方法和技术，防止信息系统数据的丢失、破坏和失密;硬件破坏及失效等灾难性故障。三、对系统用户的访问模块、访问权限由使用单位负责人提出，交信息化领导小组核准后，由网络信息办公室人员给予配置并存档，以后变更必须报批后才能更改，网络信息办公室做好变更日志存档。四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由网络信息办公室负责人监督检查更换新的密码;厂方调试人员调试维护完成后一小时内，由系统管理员关闭或修改其所用帐号和密码。五、网络信息办公室人员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生。六、网络系统所有设备的配置、安装、调试必须由网络信息办公室人负责，其他人员不得随意拆卸和移动。七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止其他人员进行与系统操作无关的工作。八、严禁自行安装软件，特别是游戏软件，禁止在工作用电脑上打游戏。九、所有进入网络的软盘、光盘、U盘等其他存贮介质，必须经过网络信息办公室负责人同意并查毒，未经查毒的存贮介质绝对禁止上网使用，对造成“病毒”蔓延的有关人员，将对照计算机信息系统处罚条例进行相应的经济和行政处罚。十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下，内外网独立运行，所有终端内外网不能混接，严禁外网用户通过U盘等存贮介质拷贝文件到内网终端。十一、内网用户所有文件传递，不得利用软盘、光盘和U盘等存贮介质进行拷贝。十二、保持计算机硬件网络设备清洁卫生，做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。十三、网络信息办公室人员有权监督和制止一切违反安全管理的行为。2022年医院信息安全管理制度及应急预案（二）一、对网络故障的判断当网络系统终端发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，要立即向网络信息办公室汇报，网络信息办公室工作人员对科室提出的上述问题必须重视，经核实后给予科室反馈信息。网络信息办公室负责人应召集有关人员及时进行讨论，如果故障原因明确，可以立刻恢复工作的，应立即恢复工作;如故障原因不明确、情况严重不能在短期内排除的，应立即报告医务部和院领导，在网络不能运转的情况下由机关协调全院工作以保障医疗工作的正常运转。网络故障分为三类:一类故障:服务器不能工作;光纤损坏;主服务器数据丢失;备份盘损坏;服务器工作不稳定;局部网络不通;数据被人删改;重点终端故障;规律性的整体、局部软、硬件故障。二类故障:单一终端软、硬件故障;单一患者信息丢失;偶然性的数据处理错误;某些科室违反工作流程要求。三类故障:各终端由于不熟练或使用不当造成的错误。针对上述故障分类等级，处理方案如下:一类故障由网络信息办公室主任上报医务部和院领导，由医务部组织协调恢复工作。二类故障由技术工程师上报网络信息办公室主任，由网络信息办公室集中解决。三类故障由技术工程师单独解决，并详细登记情况。二、网络整体故障的首要工作(一)当网络信息办公室一旦确定为网络整体故障，首先是立刻报告医务部。医务部应立即按上报程序向院领导汇报。网络信息办公室需马上组织恢复工作，并充分考虑到特殊情况如节假日、病员量大、人员外出及医院的重大活动对故障恢复带来的时间影响。(二)当发现网络整体故障时，根据故障恢复时间的程度将转入手工工作的时限明确如下:1、10分钟内不能恢复门诊挂号、住院登记、药房转入手工操作;门诊收费、住院核算、西药房工作转入老系统操作。2、_小时内不能恢复原则上将医师工作站、护士工作站、药房、急诊检查、入院、手术室、医技检查转入手工操作(具体实行时间及步骤由医务部、护理部通知)。3、_小时以上不能恢复将出院核算转入手工。三、具体协调工作(一)所有手工工作的统一时间须由医务部或网络信息办公室通知，相关单位严格按照通知时间协调工作，在未接到新的指示前不准私自操作计算机。(二)门诊挂号工作协调1、门诊挂号协调工作由门诊部护士长负责协调请示，如手工挂号的转入、转出时间等;2、当网络系统中断时，改为手工挂号;3、网络恢复后，及时将中断期间的患者信息输入到计算机;4、在以后的工作中如发现某位患者的信息系统内没有记载，应详细询问患者以前是否是在网络故障时就诊过。(三)门诊收费系统工作协调1、由收款处科主任负责总体协调，并与网络信息办公室保持联系，及时反馈沟通最新消息;2、当网络系统运行中断超过10分钟时，应通知收款处转入手工收款工作;3、门诊收款负责同志应建立手工发票使用登记本，对发票使用情况做详细登记;4、当系统恢复正常时，由收款处负责同志负责对网络运行稳定性进行监测，如不稳定，及时向网络信息办公室反映情况。5、在接到使用计算机的指令并重新启动运行后，门诊收款负责人应组织收款员逐步转入到机器操作。(四)住院费用核算系统工作协调1、由住院处科主任总体负责协调工作;2、当系统停止运行超过2天时，对普通出院患者，推迟出院结算时间;对急出院的患者应根据病历和临床科室护士工作站记录，进行手工核算出院。3、在网络停止运行期间，出院患者急需结算时，应由该科护士工作站追查是否还有正在进行的检查，向结算室提供详细费用情况后，方可送交核算。(五)临床工作系统协调1、临床科工作由医务部、护理部共同协调;2、网络故障期间临床科室详细记录患者的所有费用执行情况;3、科室详细填写每个患者的药品请领单(包括姓名、ID号、费别、药品名称及用量)，一式两份，一份用于科室补录医嘱，另一份送西药房;4、出院带药由经管医师负责掌握经费情况，如出现费用超支情况由该医师负责;5、根据医务部通知恢复运行时间，按要求补录医嘱。6、如患者急需出院，应向核算室提供详细费用情况，对正在进行的检查应予以说明。(六)医技检查工作协调1、在网络停运期间应详细留取、整理检查申请单底联;2、网络恢复后根据检查单底联登记，通过手工记价补录患者费用;3、对出院快或有出院倾向的患者各科在申请单上注明，检查科室应及时通知科室或出院处沟通费用情况。(七)药房工作协调1、中心摆药应严格按照网络信息办公室规定的时间及要求进行计算机操作;2、网络故障时，根据临床科提供的药品请领单发药;3、网络恢复时对临床科室补录的摆药医嘱进行发药补充确认，同时与发药时药品请领单内容详细核对，如发现内容不符，必须详细追查;4、网络恢复后对出院带药处方及时进行录入;5、数据补录工作结束后应查看系统内库存与实际库存相符情况。各信息点接到重新运行通知时，需重新启动计算机，整体网络故障的工程恢复工作，由网络信息办公室严格按照服务器数据管理要求进行恢复工作。四、网络修复后的数据处理(一)由各科组织核校患者费用情况;(二)药房校查库存;(三)临床科室补录患者医嘱。各科室要严格各项操作并及时反馈执行中的有关情况。2022年医院信息安全管理制度及应急预案（三）医院信息系统管理制度第一章总则第一条为确保医院信息系统运行可靠、安全、稳定和高效，特制订本制度。第二条本管理制度适用于医院全体员工。第二章信息系统的建设第三条信息系统的申请和采购1医院职能部门根据发展需要进行有关信息系统需求的分析和调查，初步确定目标信息系统或相关软件，并填写采购申请表，交部门负责人审核后报分管院长或总经理签批。2物资库根据相关规定进行采购。3财务部根据验收报告和合作合同，支付阶段进度款。第四条信息系统的验收1在信息系统或相关软件达到可使用状态时，各科室指定人员进行现场操作、试用信息系统或相关软件，并填写初步验收报告，报分管院长、财务总监、总经理审批。2重大或专业性较强的信息系统应聘请具备相关资质的外部独立单位进行验收，财务部、信息科参与验收。3各科室在获得软件后，应做好多套备份，并分别存放在医院信息科和相关职能部门保管。第五条信息系统的日常维护1建立健全的信息系统管理制度，各部门应配合协助信息科进行信息系统的日常维护。2计算机由信息科进行定期检查、维护，并安排专人负责或协调供应商进行信息设备的维护、维修工作。3设备发生故障，使用部门和使用人员作简易处理仍不能排除故障的，要及时向信息科申请维修，说明设备故障情况，故障严重或损失较大时，要填写维修记录单，经使用人、使用部门负责人签字后交信息科备案。4信息科接到信息设备的维护、维修报告后，要及时安排人员进行维护、维修。5信息设备的使用人要检查维护、维修情况和设备修复情况，验收后签字确认。第三章网络安全管理第六条医院设置专人负责计算机网络的管理。信息科从网络技术上积极采取安全防范措施和监控措施，防止_和外来黑客攻击，保证网络正常、安全运行，及时排除网络故障。医院办公室_制定网络安全管理方案并设置专人负责网络安全工程施工管理、验收和网络安全维护。第七条网络安全设备的配置和规则设置由指定人员协同产品供应商进行。网络安全设备的配置和规则设置更改，由指定人员负责，其它人员不得改动。第八条医院办公室应_学习网络安全相关的法律法规，进行网络安全知识培训，提高工作人员的维护网络安全的警惕性和自觉性。第九条医院信息科应对本网络的用户进行安全教育和培训，使其具备基本的网络安全知识。医院员工如发现网络运行不正常，应及时通报医院信息科进行处理。第十条医院信息科指定人员定期对公司计算机进行病毒检查、补丁更新等维护工作，负责协助信息设备用户正确_、使用软件、病毒防火墙，并按说明定期进行防火墙升级。医院信息科统一购买电脑杀毒软件，并定期升级更新。电脑感染病毒，计算机用户不能杀除的，须即时通知医院信息科进行处理。第十一条计算机入网前必须到医院信息科办理登记手续方可接入。未经许可，不得私自将计算机接入局域网。第四章软件系统实施及维护管理第十二条软件系统维护由于业务政策变化、数据破坏等因素，需对软件的内容、数据进行修改维护时，由医保业务部门负责人提出修改意见，信息科安排人员进行修改维护，同时作好相应的维护记录。系统维护人员必须定期检测软件运行情况，及时进行计算机病毒的预防、检查工作。发现潜在危险及时通知操作人员中止软件运行，尽快处理。第十三条程序修正与软件数据调整、数据的修正与恢复按照公司有关规定执行。第五章信息系统管理监督及检查第十八条对信息系统管理情况进行专项检查，也可结合内部审计和外部审计期间检查、审计等工作进行。对信息系统管理情况进行专项检查的内容包括但不限于。1信息系统管理授权批准制度的执行情况。重点检查对外披露信息的授权批准手续是否健全，是否存在越权审批行为。2信息系统管理决策责任制的建立及执行情况。重点检查责任制度是否健全，奖惩措施是否落实到位。3信息系统管理制度的执行情况。重点检查信息的收集、传递、上传是否经过授权批准，是否按规定及时处理有关的信息资料。4各类款项支付制度的执行情况。重点检查信息系统建设款项、费用的支付是否符合相关法规、制度和合同的要求。第十九条对存在以下问题的科室，在医院内部通报批评，下达整改通知，有关单位应采取有效措施进行整改，确属相关人员工作不力的，视其情节，采取教育、赔偿、经济处罚、通报批评、调离岗位、行政处分等措施，直至移交公安机关依法处理。1未经允许进入计算机信息网络或者使用计算机信息网络资源。2未经允许对计算机信息网络功能进行删除、修改或者增加。3未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。4故意制作、传播计算机病毒等破坏性程序，危害计算机网络及信息系统的安全，干扰公司信息流通。5利用医院网络从事危害公司利益和发表不适当的言论，发布网络信息危害国家安全、泄露国家_，侵犯国家、社会、_的利益和公民的合法权益。6在局域网上干扰网络用户、破坏网络服务和破坏网络设备的活动。7访问宣扬封建_、_秽、_、_、_、凶杀、_、教唆犯罪等违法网站。8侵入医院信息系统和他人计算机系统，解密网络和他人计算机的加密文件。9未经医院信息科批准擅自更改设置终端用户。10越权浏览信息，越权修改、删除、增加信息内容。第六章附则第二十条本规定如与国家法律、法规不符之处，以国家的法律、法规为准。第二十一条本规定自医院办公会通过之日起实施。第11页共11页