一、总则
       为了保护医院信息系统安全，促进医院信息系统的应用和发展，保障医院信息化建设的顺利进行，特制定本制度。
       信息系统的安全保护，是保障计算机及配套的设备、设施的安全，运行环境的安全，保障信息的安全，保障医院信息管理系统功能的正常发挥，以维护信息系统的安全运行。
       信息系统的安全保护，重点是维护信息系统中数据信息和网络设备设施的安全。
       医院信息系统内全部入网运行计算机的安全保护都适用本规则。
       信息科主管全院信息系统的安全保护工作。
       任何单位或者个人，不得利用入网计算机从事危害医院利益的活动，不得危害信息系统的安全。
       二、安全管理制度
       (一)为了医院信息化与安全建设成立了信息化建设和信息安全管理委员会，成员组成包括医院领导、信息科、职能及临床科室负责人，其中信息科是医院信息化建设和安全管理主要责任科室。
       (二)医院信息安全包括数据安全、网络安全、软件安全和计算机硬件安全。信息科工作人员应当采取有效的方法和技术，防止医院信息系统数据的丢失、破坏和失密；计算机硬件系统损坏、破坏及失效；网络系统阻塞、中断；软件操作和应用故障等问题。
       (三)医院信息系统用户的访问模块、访问权限的设置及管理：
       1.任何一个员工账号的申请与开通均必须经过科信息科统一制定的账号申请与审批管理流程，且一个员工在同一个应用信息系统中只能被授予一个用户账号。
       2.各应用信息系统的用户账号及角色权限的申请开通、注销、密码初始化等账号管理工作均使用信息科统一制定的《信息系统人员工号及变更申请单》办理。
       医院科室工作人员（医生、护士及行政工勤人员）的医院信息系统功能模块和使用权限设置及管理：由使用人向相关职能科室提出申请（护士向护理部提请，医生向医务科提请，行政工勤人员向本科负责人提请），职能科室负责人（护理部、医务科、职能科室主任）核准后，由信息科工作人员给予配置并存档。如有工作人员调离原工作岗位或不在院工作，由相关职能科室负责人（护理部、医务科、职能科室主任）通知信息科工作人员，对其原授予功能和权限进行相应调整（调离原工作岗位的人员根据新的岗位职能分配新操作功能和权限；不在院工作人员的操作权限停用或取消功能处理）。
       3.原则上信息系统主管部门应在收到《信息系统人员工号及变更申请单》后才能进行审批和开通账号。特殊情况下，经单位主管领导书面同意后，可采取事后审查的方式，先开通账号，但自账号开通日期超过1个月仍未收到《息系统人员工号及变更申请单》的，信息系统管理员有权对该账号采取暂时停用措施。
       用户权限的申请应严格按照各应用信息系统中对不同级别和类型用户的角色权限配置要求执行，不得越级或超范围申请，也不能自定义角色名称。
       (四)医院信息系统账号安全管理：
       1.凡需要使用应用信息系统的用户，每人均须按照“实名制”方式申请一个仅限本人使用的用户账号。不同用户的用户账号彼此之间不得随意借用，因某用户账号的操作而造成应用信息系统中数据信息或任何系统功能等方面的改变或后果，均由拥有该用户账号的用户负责。
       如果某用户因工作调动或其他原因而不允许继续使用某应用信息系统时，该科室（部门）负责人应督促和确保该用户离职前及时申请注销相关用户账号，并通知信息科使其账户冻结或修改账户权限。
       2.医院信息系统操作人员应及时更改登录密码，用户密码的设置应尽量复杂化，不易被他人推测，密码长度一般不少于8位，并做到定期更换新密码。密码遗忘时可向信息科申请密码初始化修复。密码需严格保密，以保证医院信息系统数据的安全性和保密性。医院工作人员同时应严格保守患者隐私秘密，不得利用工作之便通过医院信息系统违规收集使用患者诊疗信息，不得出售或擅自向他人或机构提供患者诊疗信息。
       3.若发现账号密码泄露，用户须立即报告信息科及时采取停用账号措施，并在报告后的24小时内向信息科提交书面报告，说明详细情况，以便信息科协助核查信息系统内数据和系统运行情况，采取有效补救措施将危害程度降至最低。
       (六)信息科信息系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，对相关信息严格保密，做到定期更换用户口令或密码。网络管理员应熟悉网络设备各种配置信息和管理密码，做到定期更换用户口令或密码。
       (七)信息科管理人员要明确管理职责，不得擅自将自己的操作权限转交他人，避免操作权限失控。未经领导批准也不得超越权限操作。信息科网络管理员、系统管理员、操作员调离岗位后一小时内由信息科负责人监督检查更换新的密码；第三方厂商调试人员调试维护完成后一小时内，由系统管理员关闭或修改其所用帐号和密码。
       (八)所有服务器、主干交换机及其他系统主要设备由信息科相关管理人员负责管理，任何非管理人员不得擅自操作网络设备和服务器，不得修改网络参数和服务器的相关设置等。对于服务器系统和各主要交换设备的配置信息，信息科相关管理人员应做好定期备份工作，确保在系统发生故障时能及时恢复，以保障网络的正常运行。
       (九)信息科工作人员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生。网络系统所有设备的配置、安装、调试必须由信息科负责，其他人员不得随意拆卸和移动。
       (十)医院工作人员必须严格遵守计算机及其他相关设备的操作规程，禁止非医院工作人员操作使用医院计算机设备。严禁工作人员自行安装软件，特别是游戏软件，禁止在工作用电脑上打游戏。
       (十一)未经病毒查杀的存贮介质绝对禁止接入电脑使用，对造成“病毒”蔓延并导致医院数据损坏及丢失的有关人员，将对照依照相关规定进行相应的经济和行政处罚并承担造成不良后果的一切责任。
       (十二)各使用科室负责本科室所有计算机硬件及网络设备清洁卫生和安全管理工作，做好防尘、防水、防静电、防磁、防辐射等工作，同时做好数据安全、网络安全和医疗信息安全工作。
       (十三)信息科工作人员有权监督和制止一切违反安全管理的行为。
       三、责任
       (一)违反本规则的规定，有以下行为之一的，由信息技术人员以口头形式警告、撤销当事人入网使用资格或者停机：
       1.违反《信息系统安全管理制度》，危害网络系统安全的；
       2.接到信息技术人员要求改进安全状况的通知后，拒不改进的；
       3.不按照规定擅自安装软、硬件设备；
       4.私自拆卸更改上网设备；
       5.出现问题未立即报告；
       6.有危害网络系统安全的其他行为。
       （二）违反本规则的规定，有下列行为之一的处以经济处罚或行政处分：
       1.在工作站进行与网络工作无关而造成危害的；
       2.私自拆卸、更改网络设备而造成危害的；
       3.向院外人员泄露口令密码而造成后果的；
       4.利用终端设备进行与网络工作无关的事，导致病毒侵袭而造成损害的下列行为之一的，由医院处以经济处罚：
       5.造成设备损害，处以所损坏设备价格十倍以上罚款；
       6.在网络系统设备、设施附近作业而危害网络系统安全，影响网络正常运行造成经济损失的，由作业单位赔偿；造成医院财产严重损失的依法追究和承担民事责任。
       7.执行本规则的医院各类人员因失职行为而造成后果的，给予行政处分。