XX醫院信息安全管理制度匯編XX醫院信息安全管理制度匯編信息科2019年9月目錄TOC\o"1-1"\h\z\uXX醫院信息安全工作總體規定 附件：設備和系統變更申請表設備或系統名稱：申請人：日期：變更原因：費用預算及變后的預期效果：變更實施方案：審批：日期：

XX醫院

第三方和外包安全管理規定總則為保證信息安全和業務持續性，確保第三方和外包交付的服務符合協議要求，制定本制度。本制度適用于管理為XX醫院（以下簡稱“XX”）提供服務的第三方和外包的部門。與XX基礎設施和場所相關的系統，由信息動力設備科與相關廠商簽訂服務協議，并監督審核其提供的服務是否滿足要求。在項目實施過程中發生的與其他機構的合作，由第三方或外包與技術部門負責簽訂協議，并監督審核其提供的服務是否滿足要求。程序簽訂合同，規定雙方的相關義務；合作中如涉及XX信息安全有關的業務、信息等，需簽訂《保密協議》，以防止信息的泄露。相關部門檢查第三方或外包交付的服務或者產品是否滿足協議規定。服務監控和評審1）監控產品或者服務的執行效率以檢查對協議的符合度；2）評審第三方或外包提交的服務報告，管理部門負責保管第三方和外包的服務報告；3）評審第三方或外包審核跟蹤和關于交付服務的安全事件、操作問題、故障、失誤追蹤和破壞記錄；4）解決和管理所有識別的問題。服務變更由XX提出的服務變更如下：1）如果需要對提供的現有服務進行加強；2）新的應用和系統的開發；3）解決信息安全事故和改進安全的新的控制措施。由第三方和外包實施的變更如下：1）新技術的使用；2）新產品或者新版本的采用；3）服務設施物理位置的變更；4）提供商的變更。管理部門應該考慮變更對業務系統的影響，進行風險再評估，及時更新相關協議和工作流程，對變更過程進行管理并記錄。附則本規定由信息動力設備科負責解釋。本規定自發布之日起施行。XX醫院

網絡信息安全責任追究制度總則為進一步加強和規范XX醫院（以下簡稱“XX”）信息系統安全責任管理工作，特制定本規定。本規定適用于XX信息系統的安全責任管理。責任追究信息動力設備科為XX網絡日常管理機構，對信息網站的建立和信息安全具有管理權。信息動力設備科負責全單位網絡的規劃、建設、應用開發、運行維護與用戶管理。網絡信息安全管理實施工作責任制和責任追究制。XX成立網絡信息安全領導小組，各部門（單位）主要負責人為本單位的網絡信息安全責任人，負責本部門（單位）內網絡的信息安全管理工作。實行信息發布責任追究制度，所報送的一切信息必須是符合中華人民共和國法規，真實有效的。凡因虛假、反動、色情等內容而引起的一切后果均由報送者承擔，如屬個人因素影響信息發布工作，將追究責任。各部門（單位）應設立專（兼）職網絡信息安全管理員，負責相應的網絡安全和信息安全工作。（一）網絡管理員應定期更換管理員密碼，及時注銷無效用戶；及時發現并處理網絡安全問題。（二）不允許單位以外人員單獨接觸計算機網絡系統資源。（三）各用戶要加強安全保密意識，注意個人ID及密碼的保密，不得與他人共用系統的賬號。各部門（單位）應結合保密要求，制訂計算機安全保密管理的具體措施，堅持“誰主管、誰主辦、誰負責”的原則，各部門（單位）屬于業務工作范圍的信息，發布時參考《門戶網站管理辦法》。對于違反本規定的入網單位和個人用戶，由信息動力設備科給予警告、停止有關單機入網等處理。情節嚴重的，依照局有關規定及相關法律、法規進行處理；如觸犯國家有關法律、法規者，移交公安、司法部門處理。違反本規定，給國家、集體或者他人財產造成損失的，應當依法承擔民事責任。附則本規定由信息動力設備科負責解釋。本規定自發布之日起施行。XX醫院

網絡與信息安全信息通報制度總則為規范XX網絡與信息安全信息通報管理工作，及時做好相應的安全防范措施，降低信息安全事件的發生概率，減少信息安全事件帶來的損失和影響，特制定本制度。XX各部門（單位）網絡與信息安全信息的通報，適合本制度。制度中所稱的安全信息除了包括已發生的和正在發生的安全事件的信息，還包括可預見的將來可能發生的安全事件的信息。網絡與信息安全通報管理為加強XX網絡與信息系統安全信息共享和統一協調行動，按照“統一領導、歸口負責”的原則，由信息動力設備科負責網絡與信息安全信息通報工作的組織、指導和協調，并確定承擔本單位網絡與信息安全信息通報工作的職能部門、負責人和聯絡員。XX網絡與信息安全信息通報采用下管一級辦法實行，上級單位負責將相關的安全信息通報給下一級單位，如遇到一些特別重大安全事件或特別緊急的安全預警，可連級或跨級通報。各單位還有責任向當地政府網絡與信息安全管理部門進行通報。通報可采取例行通報、緊急通報兩種方式進行。例行通報為定期方式，適用于對安全信息的匯總分析，每月一次，在安全事件多發地區及多發時期可根據實際調整為每半月一次或每星期一次。緊急通報為不定期方式，適用于對突發的安全事件或重大安全預警信息的發布，對具有緊急和有重要指導作用的安全信息應在當天內完成通報。XX信息系統應在充分利用現有資源基礎上建立本單位信息通報網絡系統和技術平臺，確定安全信息通報渠道和聯系方式，可采用口頭、電話、網絡電子公告、郵件、傳真或公文等多種形式，在遇到重要安全信息需要通報時，應在最短時間內采取最有效的辦法通知各有關單位。安全事件發生通報內容包括事件的性質、類型、影響范圍、影響程度、發生時間、持續時間、事件定級，以及目前已經采取的響應措施和實際效果。安全事件預警通報內容包括可能發生的事件的性質、類型、影響效果、影響程度、可能爆發的時間，以及可采用的措施等。在收到上級單位的安全信息通報或下級單位重大安全事件報告時，應立即對所收到的通報或報告的安全信息進行分析判斷、匯總歸納整理，并根據所收到的內容對本級稅務網絡信息系統進行有針對性的整改通報。對一些涉及到保密內容的安全信息通報，應嚴格按照有關保密管理規定執行。對發生重大信息安全事件或安全預警事件沒有及時進行通報的，特別是故意瞞報、緩報、謊報的應追究相關單位、相關責任人的相應行政責任，可處以批評、警告、嚴重警告、記過等處分。附則本規定由信息動力設備科負責解釋。本規定自發布之日起施行。

XX醫院

應用系統開發及維護管理制度總則為進一步規范XX計算機軟件系統采購、開發、安裝、測試和運行維護相關工作，確保信息系統正常運行，根據國家安全管理有關規定制定本制度。軟件管理范圍包括操作系統、數據庫系統、應用服務系統、應用軟件、安全軟件和工具軟件等。軟件采購及安裝采購的軟件必須是正版軟件，嚴禁使用盜版軟件。如需采用共享版軟件，必須由管理員進行嚴格測試。重要服務器操作系統和應用系統軟件必須在安全管理員監督之下進行安裝，計算機上安裝的軟件需事先經安全管理員審查認可。軟件安裝后，須使用可靠檢測軟件或手段進行安全性測試，了解其脆弱性，并根據脆弱性程度采取措施，使風險降至最小。軟件安裝后，原件（盤）應進行登記造冊，并由專人保管。軟件安裝時，填寫《軟件安裝記錄表》。軟件更新后，軟件的新舊版本均應登記造冊，并由專人保管，舊版本銷毀應經審批登記。軟件使用維護系統管理員和安全管理員負責維護操作系統、數據庫管理系統以及安全管理軟件，并對維護情況進行記錄。及時更新操作系統、數據庫管理系統及其它相關軟件的系統補丁。及時對操作系統、數據庫管理系統及其它相關軟件進行稽核審計，分析與安全有關的事件，堵塞安全漏洞。軟件更新后，須重新審查系統安全狀態，必要時對安全策略進行調整。應用軟件開發管理聯合開發信息系統軟件，應選擇有相應軟件開發資質的單位，并令其簽訂安全承諾書。XX應對具體參與人員登記備案，并對其進行必要的安全教育和監督。應用軟件開發必須根據信息安全等級，同步進行相應的安全設計，并制定各階段安全目標，按目標進行管理和實施。應用軟件開發必須有安全管理專業技術人員參加，其主要任務是：對系統方案與開發進行安全審查和監督，負責系統安全設計和實施。開發環境和現場必須與辦公環境和工作現場分開，軟件設計方案、數據結構、安全管理、操作監控手段、數據加密形式、原代碼等，只能在有關開發人員及有關管理機構中流動，嚴禁散失或外泄。應用軟件開發必須符合軟件工程規范。應用軟件開發人員不得參與應用軟件運行管理和操作。應用系統變更需要進行風險評估，并填寫相應系統任務單，并由主管領導批準同意。對于系統軟件，必須從身份鑒別、訪問控制和安全審計等幾個方面進行安全功能同步開發。開發、測試業務應用系統所使用的網絡環境和設備應與系統實際運行環境、設備物理隔離。測試、聯調業務應用系統時，應禁止使用實際工作信息作為測試數據。應有專人對進入現場進行后期維護或升級的服務人員進行全程陪同，禁止服務人員將具有存儲功能的自帶設備接入內網，并限制其對內網操作訪問的權限、禁止其訪問內網的工作信息。人員管理設置系統管理員、安全管理員、安全審計員，各員必須嚴格按照操作權限操作，不得越權操作。系統重要配置變更必須記錄相應操作日志，日志包括操作時間、執行命令等，并由安全審計員審計。操作人員離開系統時，應退出系統或進行系統封鎖。操作人員隨時監控設備運行狀況，發現異常情況應立即按照規程進行操作，并及時上報和詳細記錄。未經允許，任何人不得以任何方式試圖登陸進入內網服務器等設備并對其進行修改、設置、刪除等操作。系統運行管理啟動與關閉：應用系統和數據庫系統啟動和關閉應嚴格按照系統啟動和關閉流程和步驟由系統管理員和安全管理員負責操作。應用系統一旦啟動，在沒有特殊需要的情況下，應始終處于運行狀態。系統正常運行情況下的停機：系統正常運行情況下任何停機要求應按照下列處理流程處理：（一）請求停機的部門或個人應在要求停機時間的前2日告知系統管理員。（二）系統管理員根據請求原因，在收到請求2日內將決定通知請求人或部門；對超過4個小時以上的停機應上報相關領導批準。（三）停機要求批準后，應在停機日期1日前通知所有用戶。（四）緊急停機：業務系統管理部門為應付突發事件，如黑客攻擊或其他無法預料事件，避免系統受到損壞，可以采取臨時緊急停機措施。采取措施同時，通知相關領導；1小時內通知所有用戶，內容應該包括：停機原因、預計恢復時間等。系統使用管理需定期對系統內安全產品的安全策略規則進行審核、測試、校正，并作好相關審批手續和記錄。禁止在終端計算機私自安裝、卸載各種軟件、操作系統或硬盤、網卡等。每月對系統運行情況和用戶操作行為進行安全法規、保密標準符合性方面檢查。每月根據系統變化情況，及時更新系統文檔資料，使之與實際狀況保持一致。系統變更管理系統變更前，要向主管領導提出申請，并對系統進行備份，以確保系統變更失敗后能恢復到變更前的狀態。明確系統中要發生的變更，并根據變更類型，制定變更方案；變更方案要經過主管領導批準后才可實施。應對變更過程進行控制，對變更影響進行分析并形成文檔。應對變更實施過程進行記錄，并妥善保存所有文檔和記錄。變更方案中要明確中止變更的條件，以及從失敗變更中恢復的程序，明確過程控制方法和人員職責。必要時對恢復過程進行演練。變更實施完成后，要將變更內容及變更情況向相關人員進行通告。補丁管理向現有業務系統中追加任何補丁需經測試和審批。服務器追加補丁前采取系統備份、數據備份等必要安全技術措施，系統終端補丁由XX統一下發，終端用戶不得私自添加補丁。對系統添加補丁的操作由安全管理員登記。附則本制度由信息動力設備科負責解釋。本制度自發布之日起執行。軟件安裝記錄表軟件類別軟件提供單位軟件名稱軟件使用單位安裝時間安裝人員安裝位置使用范圍基本功能XX測試意見簽字（蓋章）：年月日審批意見簽字（蓋章）：年月日備注注：信息系統中未安裝使用過的軟件需要XXXX進行測試并且提供測試意見。附件2網絡安全事件統計表序號事件名稱發生時間責任人事件描述處理結果

XX醫院

信息系統應急預案制度總則為進一步做好XX醫院（以下簡稱“XX”）信息系統網絡與信息安全事件的應急工作，根據國家、XX關于計算機信息系統安全有關規定，特制定本規定。信息系統網絡與信息安全事件指危害信息系統系統安全、影響系統正常使用、或系統發生信息泄露的事件。本預案適用于XX信息系統發生和可能發生的網絡與信息安全突發事件。工作原則：預防為主；快速反應；以人為本；分級負責。事件內容與等級劃分網絡與信息安全事件具體內容包括：（一）系統的文檔數據遭到破壞、篡改或竊取。（二）系統硬件受到破壞性攻擊不能正常發揮其部分功能或全部功能。（三）系統軟件受到破壞性攻擊不能正常發揮其部分功能或全部功能。（四）系統軟件受到計算機病毒的侵害，局部或全部數據和功能受到損壞，使系統不能工作或工作效率急劇下降。（XX）系統的物理設備被人為毀壞，無法正常工作。（六）系統受到自然災害的破壞，如：地震、水災、火災、雷電、臺風。（七）系統面臨意外停電而又無后備供電措施。（八）系統的關鍵崗位人員不能上崗。網絡與信息安全事件的等級劃分（一）造成的損失較小的網絡與信息安全事件為一般等級，如病毒、設備損壞等；（二）造成的損失較大，要求緊急處理的網絡與信息安全事件為重要等級，如自然災害、系統受到攻擊等；（三）造成的損失很大的網絡與信息安全事件為嚴重等級，如保密性要求較高的文檔、數據遭到竊取。事件報告、處理網絡與信息安全事件的報告（一）當遇到一般網絡與信息安全事件時，發現人應立即報告本部門領導和信息動力設備科領導。信息動力設備科領導通知有關人員立即進行處理；如在2個小時內仍然無法解決，應向有關領導報告。（二）當遇到重要網絡與信息安全事件時，發現人應立即報告本部門領導、信息動力設備科領導。信息動力設備科領導組織有關人員到現場處理，同時要立即向XX信息化建設領導小組辦公室主任報告，協調解決。（三）當遇到嚴重網絡與信息安全事件，發現人應立即報告本部門領導、信息動力設備科領導。XX領導組織有關人員到現場處理，同時立即向XX信息化建設領導小組報告。（四）遇到無法與上一級領導取得聯系的情況，可越級上報。應急響應的成立當遇到重要網絡與信息安全事件或嚴重網絡與信息安全事件，由本單位信息化建設領導小組辦公室牽頭，成立應急響應小組，組長由信息化建設領導小組辦公室主任擔任。應急響應小組應及時向本單位信息化建設領導小組匯報事件處理進展情況。應急響應小組能快速調動相關資源，協調本單位和相關單位的信息安全專家，防止事件處理的任何環節出現延遲，以最快速度確定故障點，及時排除故障，保證系統正常運行。應急計劃應針對各類網絡與信息安全事件制定行之有效的應急計劃。（一）應急計劃應條理清楚、語言簡潔、步驟分明、具有強可操作性。（二）應急計劃應有多種備用方案，每種方案均可獨立實施，應有各種方案的優先排序。（三）應急計劃應有明確的負責人與各級責任人的職責。（四）應急計劃應便于培訓和實施演習。（XX）應急計劃簡單流程圖應公布在顯著和方便的位置，以便發生事故時，能迅速、方便地執行。應急計劃應包括緊急措施、資源備用、恢復過程、演習和應急計劃關鍵信息。具體如下：（一）緊急措施制定對各種網絡與信息安全事件的響應規程、搶救計劃、救護計劃和撤離計劃，以保護人員生命，降低財產損失。（二）資源備用軟件資源備用：對每一信息資源需要有足夠備份，并將備份存放于免受攻擊或受災害影響的地方。設備備用：在工作現場設有設備主板、硬盤、光驅等備件，以及其它備用的外部設備。電源備用：應配置不間斷電源，一般不間斷電源應可在斷電后維持工作二小時以上。應配置備用交流穩壓電源。重要系統和大型系統應配備多種供電來源，甚至配用發電設備。經費保障：網絡與信息安全事件應急處置專項經費，應列入年度預算，切實予以保障。重要或大型系統中的關鍵設備和信息安全產品應采用雙機熱備份。對特別重要信息應盡可能采取安全保密的異地備份措施。（三）恢復過程首先恢復重要的安全產品，保證系統安全情況下，其次恢復應用系統。（四）培訓和演習應每年進行應急計劃的培訓和演習，使每個工作人員熟悉應急知識和在應急計劃中應采取的措施和應負的責任，以利于緊急事故出現時能迅速執行應急計劃。（XX）應急計劃關鍵信息應急計劃關鍵信息應張貼在顯著和方便的位置，應急計劃關鍵信息包括：火警電話、報警電話、應急負責人電話和住址。有關應急預案機房漏水應急預案（一）發生機房漏水時，第一目擊者應立即報告應急事件應急小組。（二）若空調系統出現滲漏水，系統管理員應立即安排停用故障空調,清除機房積水，并及時聯系設備供應方處理，必要情況下可臨時用電扇對服務器進行降溫。（三）若為墻體或窗戶滲漏水，系統管理員應立即采取有效措施確保機房安全，同時安排通知應急事件響應小組，及時清除積水，維修墻體或窗戶，消除滲漏水隱患。設備發生被盜或人為損害事件應急預案（一）發生設備被盜或人為損害設備情況時，使用者或管理者應立即報告應急響應小組，同時保護好現場。（二）應急響應小組接報后，通知安保人員及公安部門，一同核實審定現場情況，清點被盜物資或盤查人為損害情況，做好必要的影像記錄和文字記錄。（三）事發單位和當事人應當積極配合公安部門進行調查，并將有關情況向應急響應小組匯報。（四）應急響應小組安排系統管理員、事發部門及時恢復網絡正常運行，并對事件進行調查。系統管理員和事發部門應在調查結束后一日內書面報告應急響應小組。事態或后果嚴重的，應向上級領導部門和相關業務部門報告。通信網絡故障應急預案（一）發生通信線路中斷、路由故障、流量異常、域名系統故障后，操作員應及時通知本單位信息系統管理員，經初步判斷后及時上報應急事件響應小組。（二）系統管理員接報告后，應及時查清通信網絡故障位置，隔離故障區域，并通知相關通信網絡運營商查清原因；同時及時組織相關技術人員檢測故障區域，逐步恢復故障區與服務器的網絡聯接，恢復通信網絡，保證正常運轉。（三）事態或后果嚴重的，應急事件響應小組應及時報告相關業務部門。（四）應急處置結束后，系統管理員和事發單位應將故障分析報告，在調查結束后一日內書面報告應急事件響應小組主任。不良信息和網絡病毒事件應急預案（一）發現不良信息或網絡病毒時，信息系統管理員應立即斷開網線，終止不良信息或網絡病毒傳播，并報告應急事件響應小組和信息動力設備科。（二）系統管理員應采取隔離網絡等措施，及時殺毒或清除不良信息，并追查不良信息來源。（三）事態或后果嚴重的，應急事件響應小組應及時報告XX信息動力設備科及相關業務部門。（四）處置結束后,系統管理員和事發部門應將事發經過、造成影響、處置結果在調查工作結束后一日內書面報告應急小組主任。服務器軟件系統故障應急預案（一）發生服務器軟件系統故障后，系統管理員應立即組織啟動備份服務器系統，由備份服務器接管業務應用，并及時報告應急事件響應小組和信息動力設備科；同時安排將故障服務器脫離網絡，保存系統狀態不變，取出系統鏡像備份磁盤，保持原始數據。（二）系統管理員應在確認安全的情況下，重新啟動故障服務器系統；重啟系統成功，則檢查數據丟失情況，利用備份數據恢復；若重啟失敗，立即聯系相關廠商和上級單位，請求技術支援，作好技術處理。（三）事態或后果嚴重的，應急事件響應小組及時報告XX信息動力設備科。（四）處置結束后,系統管理員應將事發經過、處置結果等在調查工作結束后一日內報告應急事件響應小組。黑客攻擊事件應急預案（一）當發現網絡被非法入侵、網頁內容被篡改，應用服務器上的數據被非法拷貝、修改、刪除，或通過入侵檢測系統發現有黑客正在進行攻擊時，使用者或管理者應斷開網絡，并立即報告應急事件響應小組和信息動力設備科。（二）接報告后，應急事件響應小組應立即指令系統管理員核實情況，關閉服務器或系統，封鎖或刪除被攻破的登陸帳號，阻斷可疑用戶進入網絡的通道。（三）系統管理員應及時清理系統，恢復數據、程序，恢復系統和網絡正常；情況嚴重的，應上報XX信息動力設備科，并請求支援。（四）處置結束后,系統管理員應將事發經過、處置結果等在調查工作結束后一日內報告應急事件響應小組。核心設備硬件故障應急預案（一）發生核心設備硬件故障后，系統管理員應及時報告應急事件小組，并組織查找、確定故障設備及故障原因，進行先期處置。（二）若故障設備在短時間內無法修復，系統管理員應啟動備份設備，保持系統正常運行；將故障設備脫離網絡，進行故障排除工作。（三）系統管理員應在故障排除后，在網絡空閑時期，替換備用設備；若故障仍然存在，立即聯系相關廠商，認真填寫設備故障報告單備查。（四）事態或后果嚴重的，及時報告信息動力設備科。業務數據損壞應急預案（一）發生業務數據損壞時，系統管理員應及時報告應急小組，檢查、備份業務系統當前數據。（二）系統管理員負責調用備份服務器備份數據，若備份數據損壞，調用異地備份數據。（三）業務數據損壞事件超過2小時后，系統管理員應及時報告應急小組，及時通知業務部門以手工方式開展業務。（四）系統管理員應待業務數據系統恢復后，檢查歷史數據和當前數據的差別，由相關系統業務員補錄數據；重新備份數據，并寫出故障分析報告，在調查工作結束后一日內報告應急事件響應小組。雷擊事故應急預案（一）遇雷暴天氣或接上級部門雷暴氣象預警，系統管理員應及時報告應急小組，經請示同意后關閉所有服務器，切斷電源，暫停內部計算機網絡工作，并及時通知信息動力設備科。（二）雷暴天氣結束后，系統管理員報經應急小組同意，及時開通服務器，恢復內部計算機網絡工作，并通知信息動力設備科，對設備和數據進行檢查。出現故障的，事發單位應將故障情況及時報告信息動力設備科。（三）因雷擊造成損失的，系統管理員應匯同保險公司、財務科等相關部門進行核實、報損，并在調查工作結束后一日內書面報告應急小組。必要時，報告信息動力設備科。中心機房斷電應急預案（一）空調停止運行的情況下，立即采取其它措施降溫，如開窗通風等。（二）通知所有應用部門，抓緊完成信息處理工作、停止應用。（三）實時檢測中心機房的室內溫度，根據相關情況關閉非重要設備，如機房內溫度過高，應立即通知應