医院信息安全违章行为责任追究办法

信息安全违章行为责任追究办法第一章总则第一条 为加强*县*医院工作人员的信息安全责任意识， 界定工作人员信息安全违章行为，明确信息安全违章责任追究和 处罚依据，特制定本管理办法。第二条 信息安全违章行为分为一般违章和严重违章。信息 安全违章行为由信息科负责组织调查和认定，并依据本办法进行 责任追究。第三条 本管理办法中所称“计算机”包括桌面计算机、便 携式计算机（含各类上网本），除特别说明，通指内网计算机和 外网计算机。第四条 本管理办法适用于所有与信息系统相关的人员。第二章违章行为界定第五条 凡具有下列行为之一均属违章行为：1.违反国家信息安全有关法律和法规。2.违反*县*医院信息安全管理规章制度。第六条 一般违章界定（一）计算机未设置操作系统登录口令；设置了操作系统登 录口令，但口令长度低于 8 位且不是由字母、数字或符号组合构 成；未启用屏幕保护和超时锁屏功能。（二）未按规定安装运行或自行卸载单位统一的防病毒软件 补丁更新策略、桌面终端管理软件。（三）未按要求使用安全移动存储介质进行内外网信息交换 擅自删除或破坏已注册安全移动存储介质内的管理软件。（四）擅自卸载（含格式化）*县*医院规定安装的操作系 统和业务应用系统客户端。（五）未使用单位统一的外网邮件系统处理和发送与工作相 关的电子邮件。（六）计算机外委维修时未拆除硬盘导致与工作有关的信息 外泄；更换计算机和硬盘或在报废处理前，未对原硬盘进行信息 不可恢复操作处理（如低级格式化等）。（七）在内网计算机上对未关闭互联网访问功能的手机和 PDA 等设备进行充电或数据同步导致发生违规外联。开启文件共 享且不设置共享密码或共享密码过于简单导致共享文件被非授 权访问和破坏。（八）移动存储介质丢失未向*县*医院信息科和保密管理 部门及时报告，并说明移动存储介质中包含哪些与工作相关的文 件、数据和程序。（九）擅自将本人的门户及应用系统帐号和口令告诉他人由 其长期代为进行业务操作。（十）工作人员岗位异动后未及时向信息科申请账号和权限 的变更。（十一）违反单位信息安全管理规定被认定为一般违章的其 他行为。第七条 严重违章界定（一）未经信息科进行安全检测和许可，擅自将外来人员的 计算机接入信息内网或信息外网。（二）擅自更改计算机网卡的 MAC 地址或 IP/MAC 地址绑定 策略。（三）在计算机上私自开启DHCP、WWW、FTP、VOD、代理、 游戏、论坛等服务对网络访问造成干扰或信息资源被非授权访问（四）在内网计算机上利用电话线、电信运营商ADSL、无 线上网卡或具备上网功能的手机和PDA等设备访问互联网，以及 任何具备有意识或故意性质使用内网计算机访问互联网。（五）使用手机或PDA设备的无线WIFI功能访问信息内网 或信息外网。（六）在计算机中存储和处理国家、单位秘密信息，在外网 计算机中存储涉及单位重要敏感信息的电子文件。（七）在同一台计算机（包括具备隔离卡和双硬盘的计算机） 上安装两个操作系统或双网卡分别接入信息内网和信息外网。（八）安全移动介质损坏后私自丢弃未交信息科处理并造成 单位重要信息外泄。（九）私自在网络中接入任何具备网络地址转换（NAT）、MAC 克隆等功能的网络交换机和路由器等有线设备和无线设备。（十）擅自组建无线网络并接入信息内网。（十一）干扰他人正常工作行为，包括：发布不真实信息、 垃圾信息；散布病毒及木马；未经授权或通过口令猜测和破解等 手段使用他人设备、系统、邮箱等。（十二）擅自在计算机中安装黑客程序、端口扫描或漏洞扫 描软件并使用其进行网络扫描或攻击破坏。（十三）拒绝信息科维护人员对计算机进行安全性检查和安装单位统一要求的桌面终端管理软件、防病毒软件等。（十四）违反*县*医院信息安全管理规定被认定为严重违 章的其他行为。第三章督察与检查第八条 对违章的查处采用专项督查、日常检查及应用工具 软件检查相结合的方式进行。第九条 发生信息安全违章，按照管理权限，实行分级查处、 分级追究。（一）*县*医院各部门自查自纠发现的违章，参照本办法 自行处理。（二）信息科组织的督查、日常检查及采用单位统一部署工 具软件检查发现的违章，按照本办法规定处理。（三）单位督查、日常工作检查及采用单位统一部署工具软 件检查发现的违章，按本规定处理并将处理情况报告单位领导。第四章处罚规定第十条 在年度内第一次发生一般违章，对当事人给予诫勉 谈话或通报批评；半年内同一当事人发生两次一般违章，对当事 人给予200600元的经济处罚并通报批评；一年内同一当事人 发生三次一般违章，对当事人给予10001500元的经济处罚， 并对当事人所属部门予以通报批评。第十一条 在年度内第一次发生严重违章，对当事人给予 600800元的经济处罚，并对当事人所属部门予以通报批评； 半年内同一当事人发生两次严重违章，除对当事人给予 1000 1500元的经济处罚，通报批评当事人所属部门外，当事人必须 自学网络信息安全基本知识并通过信息科的考核；一年内同一当 事人发生三次严重违章，给予当事人下岗1个月的处罚，享受下 岗人员待遇至当事人申请并经计算机所对其进行信息安全基本 知识考核合格后方能上岗。第五章附则第十二条 本管理办法由信息科负责解释。