规章制度的存在可以约束人的行为,规范社会秩序,为人们提供公平公正的交往和合作环境。规章制度范文的内容包括组织架构、职责分工、工作流程等方面。
医院内部信息系统管理制度
本制度系列所管辖医院信息包括医院在运行管理中涉及到的基本信息(人、财、物)、运行信息(各类业务工作与质量安全管理资料数据)和管理信息(投资发展、人力资源开发与利用、发展战略研究),统称为“医院信息”。依据《中华人民共和国保密法》、《医疗质量管理办法》,制定此制度系列。
医院内部的数据、资料信息安全管理尤为重要,如涉及全院的工作统计数据、质量与安全评价分析相关的数据、与医疗纠纷有关的信息、医院管理与建设重大决策信息、医院经济管理相关的信息等,院领导认为不宜通过“三重一大”公示的信息,均属于保密信息,必须实行安全管理,规定如下:
(一)任何人未经院领导批准,不得在公众场合、公共媒体发布医院涉密信息。
(二)医院各职能部门和业务科室,对自身所涉密的医院信息,有保密的义务和责任。
(三)不属于分管职能内的涉密信息,不得向其他部门和个人打探。
(四)任何员工不得以谋利为目的,散布、出卖、交换医院涉密信息。
(五)任何员工不得以泄私愤、图报复,散布和出卖医院涉密信息。违反以上各条,医院有权追究泄密人的相应责任。
(一)为了保证医院网络的正常运行,保护医院网络系统的安全和网络用户的使用权益,特制定本安全管理制度。
(二)本管理制度所称的医院网络系统是指在医院信息系统中,由计算机及配套设施构成的,按照医院网络信息系统的应用目标和规定,对数据进行采集、加工、存储、传输、检索等处理的人机系统。
(三)医院网络系统安全管理是通过实施身份认证、访问控制与授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和与之相配套的管理制度,保障网络主机及配套设备、设施的安全,网络运行环境的安全,从而达到保障计算机网络系统安全运行和信息安全的目的。
(四)信息科负责医院计算机网络系统的安全管理工作,确保对计算机网络系统安全管理的有效性。
(五)计算机网络系统的建设和应用应遵守上级主管部门颁发的行政法规、用户手册和其他相关规定。
(六)计算机网络系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限的划分和设置由信息科负责制定和实施。
(七)计算机入网运行必须经信息科批准备案,分配ip地址后,方可接入网络。
(八)要对重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理,严格控制设备存取及加密,未经允许严禁外来盘片带入机房对服务器进行安装等,不准将机器设备和数据带出机房。
(九)未办理入网手续,任何单位和个人不得非法私自将计算机接入医院网络,不得以不真实身份使用网络资源,不得窃取他人账号、口令使用网络资源,不得盗用未经合法申请的ip地址入网。未经信息科允许,任何单位或个人不得擅自接纳网络用户。
(十)应根据网络主机不同的安全级别采取相应的访问控制、数据保护、保密监控管理和系统安全等技术措施。
(十一)信息科定期对网上用户的访问及授权情况进行检查,及时发现和限制非法用户和非授权访问。
(十二)要按要求对数据进行日备份、月备份和年备份。严格按操作规程进行数据备份工作,确保备份数据的完整和准确性,做好备份数据的审核工作,并做好相应记录。要确保导出、导入数据的完整和准确,并做好导出、导人数据的审核工作和相应记录。
(十三)加强边界安全的防护,应根据安全区域划分情况明确需进行安全防护的边界,并实施有效的访问控制策略和机制。
(十四)应在网络系统或安全域边界的关键点采用严格的安全防护机制,如严格的登录/链接控制,高性能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。
(十五)要实施必要的边界访问、违规外联的审计和控制。
(十六)应采用必要的手段(如入侵检测系统、日志分析、网络取证分析等)对系统内的安全事件进行监控,检测攻击行为并能发现系统内非授权使用情况。
(十七)应禁止系统内用户非授权的外部链接(如自动拨号、违规链接和无线上网)。
(十八)应部署有效的网络病毒防范软件系统和相应的网络病毒防范管理办法,实施对计算机网络病毒的有效防范。
(十九)要制定文档化的明确的计算机病毒和恶意代码防护策略,以及确保策略有效实施规章制度。
(二十)应在系统内关键的入口点以及各工作站、服务器和移动计算机设备上采取计算机病毒和恶意代码防护措施。
(二十一)应制定文档化的信息系统备份和恢复的策略,建立健全备份和恢复的管理制度和操作规程。
(二十二)备份包括关键业务数据的备份、关键业务设备(如服务器、交换机等)的备份和电源备份。对重要信息系统(如his系统)的关键设施(如服务器)采取热备份。
(二十三)应定期备份和对恢复策略进行测试,以保证其有效性。要有系统恢复的预案和演练。
(二十四)应根据业务的重要程度、信息系统的资产价值等进行相应的需求分析,确定系统恢复的目标,如:关键业务功能、恢复的优先顺序、恢复的时间范围。
(二十五)为确保医院计算机局域网络运行安全,要在有效部署防火墙、入侵检测和防病毒系统的情况下,实施远程接入。医院业务网(内网)与远程接入(外网)业务的物理隔离。凡涉密的计算机主机不得与互联网(internet)链接。
(二十六)任何部门和个人使用医院网络提供的远程接人服务必须向信息科申请。入网用户的用户名和ip地址是用户在医院局域网上的合法标识,也是对用户收费的重要依据,一经指定不得擅自更改。
(二十七)未经信息科批准,任何个人或部门不得为外单位人员提供电子邮件或其他网络服务。
(二十八)所有入网用户,应当遵守国家有关法律、法规及医院的有关规章制度,严格执行安全保密制度,不得利用计算机网络从事危害国家安全、损害医院利益等违法、违规活动,不得制作、查阅、复制和传播扰乱社会治安、有伤风化、淫秽色情等信息,不得利用网络攻击、损害公用网络和其他用户。否则,医院有权停止对其提供的服务;由此造成的不良后果由用户承担。
(二十九)使用计算机机网络系统的部门和个人必须遵守计算机安全使用的规定,对计算机网络系统发生的问题和故障要立即向信息中心报告。
(三十)用户不得从事下列危害计算机网络安全的行为:
1、未经允许,进入计算机网络系统或使用网上信息资源:
2、私自转借或转让用户账号,盗用他人账号或ip地址:
3、未经允许,对网上应用系统的功能进行删减或更改:
4、未经允许,对计算机网络的存储、处理或传输数据和应用程序进行删减或更改;
5、故意制作、传播计算机病毒等破坏程序,使用任何工具破坏网络正常运行;
6、破坏、盗用计算机网络中的信息资源和危害计算机网络安全;
7、其他危害计算机网络安全的行为。
上述违规造成医院损失的,依照有关法律、法规及医院有关处罚规定进行处理,情节严重者移交公安机关处理。
(一)任何科室和个人不得利用涉密计算机网络系统泄漏属于医院内部秘密的信息数据,危害医院、员工和患者的合法权益;不得从事其它违法犯罪活动。涉密单位和涉密人员应当遵守保密法律法规,认真执行国家和省制定的涉密计算机网络系统的保密规定。
(二)涉密计算机网络系统的单位保密管理实行领导负责制,并制定部门或专人负责具体的日常管理工作。并保持计算机保密管理人员相对稳定。
(三)涉密计算机网络系统工作人员定期进行保密教育和检查。涉密计算机信息系统的系统管理人员应当经过严格审查,定期进行考核,并保持相对稳定。
(四)涉密人员调离岗位,应当履行国家规定保守秘密的义务。
(五)涉及医院秘密的数据,必须按照保密规定进行采集、存储、处理、传递、使用和销段。
(六)计算机存储、处理、传递、输出的涉密信息要有相应的密级标识且不得与正文分离,输出的涉密文件按相应密级文件管理。
(七)涉密医院信息和数据不得在与公用网络联网的计算机信息系统中存储、处理、传递,涉密信息一律不得在网上发布。
(八)涉密计算机必须设置口令保护,根据密级确定口令长度与更换周期,实行专人专用,严禁以任何方式登录国际互联网或与互联网物理连接。
(九)存储涉密信息的媒体应按所存储信息的最高密级标明密级,并按相应密级文件管理制度管理,存储过涉密信息的计算机媒体不能降低密级使用,维修存储过涉密信息的计算机媒体应到部门指定维修点维修,有人全程跟踪,保证存储的秘密信息不被泄露。
(十)储涉密数据的.计算机硬盘或其它存储介质不得擅自更换或者报废。确需更换或者报废的,应当经院领导批准后,交医院的网络管理部门进行登记、封存,或者按规定销毁。
(十一)涉密单位应当将涉密数据与备份数据分别保存在单位内不同的地点。有条件的,应实行异地容灾备份。不得在便携式计算机上存储涉密信息。
(十二)发现计算机信息泄密后应立即采取补救措施,并按规定及时报告保密部门。
1、信息提供、发布、上网实行保密审查、领导审批和登记备案制度。
2、信息发布、上网,坚持涉密不公开、公开不涉密和谁上网、谁负责的原则。
3、对涉密信息确需对外发布、上网的,应采取解密或者删除、改编、隐去等保密措施,并经主管部门或保密工作部门审定。
4、接受记者采访,不得涉及医院秘密内容。
(一)计算机及其辅助设备是实现现代化管理的工具,各科室有关工作人员都要结合本职工作利用计算机手段来提高工作效率。
(二)各科室购置和上级分配给予的计算机和辅助设备均属固定资产,统一由计算机中心负责维护,各科室由电脑管理员专人负责管理和使用。
(三)服务器、计算机及辅助设备和其他应用软件所配的专用磁盘、光盘,由中心专人登记管理入账,每年清点一次。
(四)计算机的备件、易耗件、磁盘及有关资料的购买,由信息管理部门统一申请,经科室负责人并上报院长同意后,由后勤采购进行统一购置,统一给各科室配置。
(五)计算机、服务器、网络通讯电缆设备,未经信息部门同意不得拆装、移动。
(六)计算机和辅助设备需检修,应报告计算机中心专业工作人员,由计算机中心有关人员检修,若需外单位修理,由领导会同有关部门商量后办理。
(七)对外来磁盘要先杀毒,后使用。各计算机一旦发现病毒,必须立即清除,否则不得使用该计算机,更不能向服务器上传数据。
(八)外来人员未经科室领导和专业人员同意不得操作计算机,以免发生病毒感染和其他损失。
(九)不得在计算机上进行与工作无关(如做游戏、下棋、打扑克等)的操作。
为保证网络中心设备与信息的安全,保障机房有良好的运行环境和工作环境,作如下规定:
(一)各门钥匙由指定的专人保管,不能随意转借。丢失要声明。出入请随手关门。
(二)要有安全防范意识,节假日值班人员不得擅离岗位。早进入、晚离开时要检查设备情况,离开时查看灯、门、窗、锁是否关闭好。
(三)易燃xx物品不准带入机房,机房及周边地区严禁烟火,不能明火作业,机房一律禁止吸烟。
(四)机房工作人员要有防火意识,出现异常情况应立即报警,切断电源,用灭火设备扑救。
(五)非工作人员严禁进入服务器机房,特殊情况要事先征得院长或主管副院长的同意,未经许可一律不准触碰开关和设备,否则后果自负。
(六)机房内的一切公用物品未经许可一律不得挪用和外借。
(七)机房内不准大声喧哗,机房卫生由工作人员定期负责清扫,保持清洁。
(八)网管员负责机房的安全管理与检查;负责建立与记录安全日志。
(一)本制度所称医院计算机网络工作站,是指医院计算机网络中以台式电脑或笔记本电脑为中心的包括所连打印机等外围设备在内的计算机工作单元。医院未联网工作的计算机也采用此制度进行管理。
(二)各个管理部门和科室中,每一工作站配置的计算机、打印机等设备须指定专人使用、保管和维护,转交他人保管时需严格交接。
(三)各工作站所有使用人员必须严格遵守《医院网络系统安全管理制度》。
(四)计算机操作人员,不得随意搡作计算机或相关设备,更不允许外来人员操作计算机。
(五)不在计算机上玩游戏及做与工作无关的操作。
(六)不在医院计算机上使用来历不明的光盘、软盘。
(七)计算机网络上的所有操作人员必须保管好自己的密码,因密码保管不善造成的经济损失,概由操作人员自己负责。
(八)计算机一旦发生故障应及时报告信息科处理。
(九)除计算机网络中心机房工作人员外,任何入不得拆装计算机,或擅自接入其它设备。
(十)不间断电源的计算机,在供电中断时,操作人员应立即保存数据,退出程序后按正常操作关机。
(十一)严格按照操作规程操作,下班前必须按程序关机,并切断电源。
(十二)计算机旁不准抽烟、会客,不准吃零食物和饮料。
(十三)计算机旁边严禁摆放各种易燃易爆、腐蚀性或强磁物品。遇临时停电及雷电天气,应采取保护措施,避免发生意外。
(十四)爱护计算机及各种相关设备,计算机主机、显示器、打印机上不能堆放杂物。
(十五)科室指定专人负责科内计算机的一般性管理工作,定期用干净柔软的干抹布清除设备上的灰尘,清洁和整理计算机工作台。
(十六)因维护管理不当造成计算机硬件设备损坏,由当事人负责赔偿。
(十七)外来参观须报请信息科及主管院领导批准,不能向外展示和泄露医院重要业务数据。
(十八)违反本制度者,医院将视情节给予处罚。
(一)为确保监控机房安全,设立监控机房管理员,负责对机房各类设备、软件系统进行维护和管理。
(二)监控机房管理员应认真履行职责,及时发现、报告、解决硬件系统出现的故障,保障系统的正常运行。
(三)监控机房管理员及时完成监控数据的刻录归档,确保监控数据完整无误。不得无故中断监控,不得漏刻监控资料,未经刻录不得无故删除监控资料。
(四)监控机房必须做好防火、防静电、防潮、防尘、防热和防盗工作。机房禁止放置易燃、易爆、腐蚀、强磁性物品,禁止在监控机房内使用其他用电设备,禁止将监控机房钥匙交他人保管,确保监控机房安全。
(五)严格遵守保密制度。数据资料必须由监控机房管理员负责保管,未经允许不得私自拷贝、下载和外借。严禁任何人在监控计算机上使用未经检测允许的介质(软盘、光盘等),严禁在监控计算机上做与监控无关的事情。
(六)监控机房内保持清洁,严禁在机房抽烟、喝水、吃东西、乱扔杂物、大声喧哗等。
(七)实行工作人员值班制度。值班人员应按规定做好实时监管工作,并做好书面情况记录,发现问题及时汇报并妥善处理。
(八)值班人员应严格执行机房管理制度,并与监控机房管理员做好交接。如需监控机房管理员进行配合的,监控机房管理员应予以协助。
(九)除监控机房管理员和工作人员外,任何无关人员不得进入监控机房。
(十)监控机房管理员要经常督促检查本制度执行情况,切实履行管理职责,发现异常情况必须及时汇报。
(一)电脑网络故障。
电脑网络发生故障后,维护人员要结合医院的分布式特点,通过操作人员反馈回来的信息和现有的网络检测手段,迅速定位故障事件的来源,明确故障事件发生的范围,确认网络系统受损害程度,将情况及时通报直接上级并层层上报。通过进一步的分析,将故障发生类型划分为网络线路、网络交换机、服务器三大类型,确定起因是硬件故障、外力损坏、恶意攻击还是感染病毒,进而采取下一步措施。
1、网络线路故障。
(1)通知:值班人员迅速通知直接上级并层层上报。上级管理人员根据实际情况给予指导和协调。
(2)排查:根据网络拓扑结构和故障发生的范围,使用网络检测指令,确定检修线路的位置。
(3)抢修:携带对线器、转接器、备用线、压线钳等工具,迅速到达线路故障现场,进行修复。
(4)验证:连接网络进行检测,确定故障得到解决。
(5)回复:通知故障发生点恢复使用。
(6)记录:对整个事件的时间、现象、处理过程作出详细记录。
2、网络交换机故障。
(1)通知:值班人员迅速通知直接上级并层层上报。上级管理人员根据实际情况给予指导和协调。联系电话:网络负责人。
(2)诊断:根据故障发生的片区和网络交换机的分布图,结合网络检测指令,判断出故障交换机的位置。
(3)修复:携带电笔、改刀等常规工具,迅速到达故障交换机所在位置,通过观察交换机指示灯,确定其工作状态是否正常:如果是断电所致,立即与维修中心联系,恢复供电;如果状态锁死,立即对交换机进行复位处理;排除上述因素后如果故障依旧,立即用备用交换机对其进行更换。
(4)验证:连接网络进行检测,确定故障得到解决。
(5)回复:通知故障发生点恢复使用。
(6)事后:对换下交换机送修。待修复后备用。
(7)记录:对整个事件的时间、现象、处理过程作出详细的记录。
3、服务器故障。
(1)通知:值班人员迅速通知直接上级并层层上报。上级管理人员根据实际情况给予指导和协调。
(2)诊断:根据故障现象,初步判定是硬件故障还是软件故障,如果是硬件故障,立即断开主服务器,启用备用服务器;如果是系统软件故障,尽量正常下机,重启服务器;如果是应用软件故障,立即联系his公司进行远程维护。
(3)如故障发生在夜晚或节假日期间,首先应通知负责系统技术人员立即在15分钟内赶赴现场,并通知电脑中心主管组织相关人员进行抢修,上报设备科,必要时尽快联系相关公司维修部进行远程维护。
4、停电。
(1)通知:值班人员迅速通知直接上级并层层上报。上级管理人员根据实际情况给予指导和协调。
(2)配合:联系维修中心,确定停电的时间长短,如果在五分钟以内,在恢复供电后重新运行接口机即可;如果在五分钟以上,对接口机和服务器进行正常下机操作,待恢复供电后,重新开启服务器至运行状态,再运行接口机。
(3)记录:对整个事件的时间、现象、处理过程作出详细的记录。
5、病毒发作。
(1)通知:值班人员迅速通知直接上级并层层上报。上级管理人员根据实际情况给予指导和协调,必要时立即赴现场处理。
(2)诊断:对故障进行分析,找出病毒特征码,确定是何种病毒。
(3)排杀:从专业网站上下载专杀工具进行杀毒。
(4)补丁:从专业网站上下载补丁,封堵漏洞,进行免疫处理。
(5)记录:对整个事件的时间、现象、处理过程作出详细的记录。
信息系统设备管理制度
第一条为保证学校信息处理设备管理规范化,使信息资源使用更加合理,进一步降低单位采购成本,提高工作效率,特制定本管理办法。
第二条本管理办法中的信息处理设备包括网络设备、网络安全设备、ups电源等所有附属设备。
第三条信息中心是信息处理设备的归口管理部门,负责全校公共系统计算机设备的计划、采购、运维、日常管理等。
第四条本管理制度适用于学校内大部分信息处理设备的选型、申购、验收、运行、检修、报废等管理事项。
第五条信息中心设备是指我中心管理、使用的.所有教学软、硬件。
第六条所有设备由信息中心统一登记立帐,专人负责保管与日常维护。贵重设备应建立使用情况记录。
第七条信息中心设备应定点定位使用,原则上设备不外借,特殊情况须经主管领导同意,双方交接清楚借用前后设备完好状况,作好登记与记录。
第八条在使用信息中心设备时,应严格按操作程序进行,严禁盲目操作,以免造成设备故障。用毕应及时切断电源,并按常规将设备放置好,离开前落实好安全防范措施。
第九条设备在使用或搬运过程中发生故障,应区分不同情况作出及时处理。贵重设备的故障应及时报告,不得擅自拆修。
第十条设备的更新、报废按学校设备管理有关规定执行,因保管不善造成资产遗失应按规定予以赔偿。
第十一条网络设备、服务器等高端设备要选用可靠性、稳定性、可扩展性较好的知名品牌产品,桌面计算机等低端设备要选用性价比高、售后服务好的品牌产品。所选设备需配备软件的尽量安装正版软件。
第十二条设备采购过程中,由信息中心人员负责做好硬件验机及软件测试工作,确保设备的可行性。
第十三条严禁私自更换信息处理设备硬件及软件,同时不得使用单位设备进行光盘备份。
第十四条设备发生故障时,值班人员作简易处理后仍不能排除故障的,应立即报告信息中心相关人员。
第十五条满足下列条件之一的设备,可申请报废:
(一)超出正常使用年限,且故障频发;
(二)发生不可修复的故障;
(三)故障的维修费用超过该设备的剩余使用价值;
(四)设备严重老化且其性能满足不了工作需要。
医院信息系统安全管理制度
医院信息系统数据库中的信息资源,除信件、私人文档等纯属个人物品外,其他所有行政和医疗管理类信息及病人临床信息均归医院所有,任何个人或组织、部门均不得视信息为私有或部门所有。信息的所有权与信息的发生地和录入者没有关系。
一、不经主管部门批准,任何部门或个人均无权将医院信息系统数据库中的任何信息资源有偿或无偿地转移给院外用于任何目的。违反本规定的个人或部门负责人将会受到相应的行政处罚直至追究法律责任。
二、医院信息系统数据库中信息资源的共享权限要根据本规定的原则制定,由信息管理处负责解释和实施。
三、信息系统建设的重要目的之一就是要实现快速、准确、完整的信息传递和共享。信息的共享是双向的。实际上,没有任何一个部门不需要共享其它部门的资源。任何一个部门无权拒绝其它部门对本部门负责录入和管理的数据的共享,当然,这种共享必须是经过授权的、合法的。
四、各部门对信息的录入必须保证其及时、准确和完整。
五、医生有权从计算机中读取容许其处置的个体病人的全部诊疗信息并用于辅助诊疗。不容许任何部门和个人采取任何借口和手段予以拒绝。医生无权成批地检索病人信息,如因教学、科研确有需要,需经主管部门批准。
六、医生不得不经信息发生和录入部门的同意私自将计算机中的病人信息用于科研、教学和任何公开发表的文献中。
七、对临床应用来讲,公布给全院计算机屏幕显示的病人检查、化验结果,图形、图像应当与其它介质公布的结果相一致,并且拥有同等效力。信息的产出科室对录入并公布的计算机内的数据、结果与对其它介质公布的数据、结果负有同等责任。
八、未经医务处和主管院长批准,我院提供给病人、院外和进病案的各种检查、化验结果的正式报告仍保留现有的形式和管理制度,由医技科室签字后发出。医生或其它任何人无权从异地计算机打印正式报告。计算机打印的非正式报告格式应与正式报告有区别。
信息系统安全管理制度
信息化时代的到来,使得信息共享被广泛应用于教育、金融、医疗等各个领域。计算机网络技术的发展对于信息共享这一目标的实现具有重要的作用,计算机网络具有分布广泛、开放性强、信道共用等优点,但利用计算机网络技术进行信息共享的过程中可能会出现信息被非法拦截、窃取、篡改等问题,这些问题的存在严重威胁了计算机信息系统的安全性,会导致不可挽回的损失。此外,数据库作为信息共享的另一个有效途径,如果出现信息安全问题也会严重破坏数据库系统的可靠性和稳定性。因此,进行有关计算机信息系统安全的研究十分必要。本文将从计算机信息系统的概述入手,分析计算机信息系统安全面临的主要问题以及计算机信息系统安全问题的由来,介绍计算机信息系统安全技术,提出计算机信息系统应用的策略。
信息系统安全管理制度
导致计算机信息系统安全问题的原因有很多,这主要和计算机信息系统涉及到内容比较多有关系。现阶段,计算机信息系统安全问题变得愈加复杂,分析计算机信息系统安全问题的由来可以从下述五个方面进行。第一,就是计算机信息系统中使用了大量的商业产品。计算机信息系统的敏感性比较高,但商业产品是具有普遍性的产品,面向的是大众。为了满足大众对商业产品功能性的需要,必须要使商业产品具有多种多样的功能,并要对计算机环境具有很强的适应性,并不会将安全问题放在首要位置,这种现状就导致计算机信息系统的安全性受到影响,从而引发各种计算机信息系统安全问题;第二,就是计算机网络分布比较广,普及性比较高。计算机信息系统涉及到的范围比较广、内容比较多,这不仅会使得计算机信息系统的复杂性变得更加显著,同时还会出现难以对计算机信息系统的范围边界进行界定的问题。即使在计算机信息系统内部也不能完全保证数据的安全性,导致计算机信息系统安全问题的因素有很多,使得安全工作变得更加困难;第三,就是企业内部和外部以及国际间的交流过于频繁。这里所指的交流不仅指直接的交流,还包括利用网络技术进行的交流,同时还包括合法交流和非法交流。频繁的交流活动难以对计算机信息系统进行彻底的隔离,传统的信息安全保护措施也难以实施,从而使得计算机信息系统安全问题出现的频率不断升高;第四,就是受到利益的驱使故意进行违法犯罪活动。计算机信息系统中的信息很多都属于机密,关系到个人和企业的利益,但有些人受到利益的驱使,利用计算机信息系统中存在的漏洞盗取数据信息,还有人是故意出卖机密数据信息。这种事情在国内外都有发生,严重威胁了计算机信息系统的安全性;第五,就是受到信息时代发展的影响。在信息化时代,政治、经济、军事斗争的焦点是“信息权”,谁能最快掌握“信息权”,谁就能在斗争中处于不败之地。这种发展趋势的影响使得很多人不得不采取一些措施获得数据信息,这必然会对计算机信息系统的安全造成很大影响。
医院信息系统安全管理制度
切实保障全院计算机网络的安全,根据国家及地方法规、jci标准中医院设施管理与安全标准,制定本安全管理制度。
1、本安全管理制度适用于本院信息系统管理。
2、本安全管理制度由信息科负责监督实施。当存在本院计算机网络及计算机机房的安全威胁时,信息科主任负责及时上报行政总值班或分管副院长,设备科、后勤部和保安部配合采取相应措施。
3、每3年对本制度的执行情况进行评估,必要时可重新修订本安全制度
1、信息科员工应当熟悉计算机软、硬件的相关业务知识和防火防盗安全规定,掌握防火器材的操作使用方法,做好本岗位的防火防盗工作。
2、每3个月检查计算机软、硬件的状态,使之保持完好。
3、安全培训:信息科新员工应参加全院岗前培训,并通过消防知识的培训后,方可上岗作业。信息科员工应当完成年度安全培训。
4、安全操作规定:
(1)维护带电设备时应拔掉电源,确认处于无电状态,并释放手上静电。
(2)带电测试电脑时,不得接触内部电线。
(3)进入医疗区域维修时,应带好相应的防护设备,维修结束后注意进行消毒处理。
(4)维修时防止利器刺伤。如被刺伤应及时到医疗部统一处理。
5、安全管理规定:
(1)遵守医院各项规章制度,遵守劳动纪律。
(2)做好应急值班工作。保证应急电话畅通,应答及时。
(3)保持计算机室清洁无尘,机房内严禁吸烟。
(4)保持工作环境整洁,不乱丢杂物,及时清理工作台上的磁盘和书籍等物品。
(5)正确操作、使用各类计算机设备,杜绝不必要的设备损坏。
(6)保持数据的安全和保密。查询数据原则上由责任部门执行,任何非程序查询必须由院级领导同意并签字。特殊数据查询遵循医务科批复流程。
(7)禁止无关闲杂人员进入计算机室。
(8)下班前关闭办公用电脑、电源。
6、巡查与报告:
(1)每天巡视机房,检查服务器性能并签名。
(2)每月巡视交换机房,检查交换机房环境。
(3)节假日,值班人员负责本院计算机安全评估。遇有灾害性天气或特殊情况,加强防范。
(4)在检查中发现的隐患要及时报告科主任,科主任根据问题严重性上报分管院长。
1、连入网络的各科室和个人办公工作站必须严格执行安全保密制度,并对所提供的信息负责。不得利用计算机和网络从事违反国家法律、法规、泄露医院机密的活动。
2、任何科室和个人不得在本院联网计算机上制作、查阅、复制和传播危害国家安全、有碍社会治安和有伤风化的信息和淫秽、色情资料。
3、不允许在网络上进行干扰网络用户、破坏网络服务和网络设备的活动。
4、除信息科外其他科室或个人不得以任何方式试图登陆网络服务器和网络交换机等设备进行修改、设置、删除等操作;不得盗窃、破坏网络设施。
5、不得利用各种网络设备或软件技术从事账号及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。严禁在本院联网计算机上使用未经信息科主任批准的软件。
6、系统软件、应用软件及信息数据必须实施保密措施。信息资源保密等级分为:
(1)可向因特网公开的;
(2)可向院内公开的;
(3)可向部门(科室)公开的;
(4)仅限于个人使用的。
7、院内各科室和个人需要联入因特网,必须提交经科主任审定后的申请报告,由分管院长或院长审批同意后,由信息科负责实施开通。
8、联网用户必须使用由信息科分配的ip地址,严禁私自设置ip、盗用ip地址。
9、医院对外发布信息的web服务器的内容必须经科主任审核,由科主任签署意见,需经分管院长或院长审批,办公室(宣传科)备案后,由信息科链接其对外的信息。
10、员工应对输入计算机的数据准确性负责,不得随意增减或删除有效数据。
1、为了保护我院数据与网络的安全,保证网络的正常运行,促进网络更好的应用和发展,制定本制度。
2、利用防火墙将内部网络、internet外部网络、dmz服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信。
3、利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全。
4、利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝。
5、利用防火墙使用ip与mac地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内。
6、利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作。
7、利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线。
8、根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。
9、对网络边界点的数据进行检测,防止黑客的入侵;
10、对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改;
11、监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作;
12、对用户的非正常活动进行统计分析,发现入侵行为的规律;
13、实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动;
14、对关键正常事件及异常行为记录日志,进行审计跟踪管理。
15、进行统一的安全策略管理和集中的防病毒监控。安装防病毒系统,支持在windowslinux和msexchange等各种主流系统上实现防病毒保护,实时监视系统病毒活动全面查杀病毒、蠕虫、木马、恶意java/activex程序等,提供灵活多样的病毒修复和处理方法,其病毒检测处理技术处于业界领先地位。
16、内外网物理隔离,在内网客户端上,禁止使用usb存储设备。
17、制定病毒库更新管理机制。见:病毒库更新管理机制章节。
信息系统安全管理制度
为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司研究决定,从即日起,规范相关关键信息、账户的管理。公司根据现在公司的管理需求,统一收回所有公司信息管理账号,集中管理,专人保管。各个部门如要使用可填写账户使用申请单。
具体管理办法如下:
第一条为加强公司用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。
第二条本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。
第三条本规定所指账号管理包括:
1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理
2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理
3、用户账号密码的管理。
第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。
第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。
第六条用户账号申请、审批及设置由不同人员负责。
第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。
1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。
2、系统管理员:负责按照领导审定的授权进行录入,并对系统运行状况以及系统用户数据录入进行管理。系统管理员应对录入的授权和系统运行状态建立台帐,定期向系统管理监督备案。
3、系统管理监督员:负责对录入的`数据和授权进行监督,并建立用户权限台帐,定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。
4、普通用户:负责对系统进行业务层面的操作。
第八条信息管理中心将定期抽取系统岗位和用户清单进行检查,发现可疑授权、可疑使用将根据实际情况予以通报修正,并将检查结果记入信息化年度考核中。
第九条申请人使用统一规范的《信息系统权限申请表》(附件二)提出用户账号创建、修改、禁用、启用等申请。
第十条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必要性和符合职责分工的要求。
第十一条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为负责。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。
第十二条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。
第十三条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后。员工所属部门以书面方式通知系统管理部门,由系统管理部门实施用户帐户及权限的回收操作。
第十四条账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
第十五条特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator(或admin)、root等管理员账号。
第十六条只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。
第十七条信息系统管理部门每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。
第十八条尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。
第十九条临时使用超级用户账号必须有监督人员在场记录其工作内容。
第二十条超级用户帐户必须由信息管理中心管理(如没有超级管理员,信息管理中心必须掌握系统管理员权限)。系统管理员和系统管理监督员可通过信息管理中心与系统拥有部门协商管理(如系统管理员由系统拥有部门管理,《信息系统权限申请表》必须以邮件方式电子文档交予信息管理中心备案便于监督审核)。
第二十一条信息化各系统交使用单位验收合格后,必须由信息管理中心和系统拥有部门共同督促系统开发方删除临时测试帐户。
第二十二条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《信息系统权限清理清单》(附件四)。
第二十三条信息管理中心指定专人负责每季度对系统层面账号及权限进行审阅,并填写《信息系统权限清理清单》。
第二十四条员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。
第二十五条用户账号口令发放要严格保密,用户必须及时更改初始口令。
第二十六条用户账号口令最小长度为6位(系统超级用户、管理员和监督员口令最小长度为8位),并具有一定复杂度。
第二十七条用户账号口令必须严格保密,并定期进行更改,密码更新周期不得超过90天。
第二十八条严禁共享个人用户账号口令。
第二十九条本制度与公司相关标准、规范相冲突时,应按照公司相关标准、规范执行。
第三十条本制度适用于由信息管理中心归口管理的所有系统。
第三十一条本制度由信息管理中心起草并解释。
第三十二条本制度从发布之日起施行。
信息系统安全管理制度
所谓计算机信息系统安全就是指在计算机信息系统运行的过程中其中的硬件系统、软件系统以及数据信息不会因各种因素的影响而受到破坏、篡改和泄露,能确保数据信息的稳定性和安全性。想要保证计算机信息系统安全不仅需要考虑技术安全措施,同时也要加强对相关负责人的安全教育和管理,制定相关的计算机信息系统安全管理制度。
随着信息化的发展,计算机信息系统对于社会的发展有着重要的作用,甚至成为关系到国家正常社会生活运转的关键性因素。计算机信息系统在社会生活的各个方面都会涉及到,如在运营管理、战略决策、医疗保障等领域中都会使用计算机信息系统,并且计算机信息系统对这些领域的影响也越来越大。信息系统中存储的数据既包括社会经济生活中的普通信息内容,同时也包括一些关系到经济发展、科技进步等机密性或敏感性信息内容。信息化时代的到来,使得人们对于计算机信息系统的依赖性变得越来越强,在这种情况下,一旦发生计算机信息系统安全问题就会影响到人们的正常生活,甚至会给社会经济发展带来不可挽回的损失。而近年来,一些有关计算机信息系统安全的问题又层出不穷。由此可见,进行计算机信息系统安全研究的重要性和必要性。
计算机信息系统安全的保护措施不是一成不变的,是随着计算机信息技术的变化而不断变化的,一般来说都是从两个角度进行计算机信息系统安全保护措施研究。一个就是要提前预防计算机信息系统安全问题,另一个就是当计算机信息系统安全问题发生后及时采取解决措施。在计算机信息系统安全领域研究比较早且研究成果比较先进的国家是美国,美国早在上世纪80年代就意识到计算机信息系统安全的重要性,并成立了专门的负责计算机信息系统安全的部门,随后又在此基础上不断发展和完善。计算机信息系统安全的保护措施包括下述几个方面:第一,就是要对实体和数据源进行鉴别;第二,就是对访问权限进行控制,不同的安全服务需要设置的访问控制不同,但基本的原理还是一样的;第三,就是要对数据进行保密处理。保密处理按照方式的不同也可以分成多种,如连接保密、通信信息流保密等;第四,要保证数据的完整性。确保计算机信息系统数据的完整性可以有效抵抗不安全行为,是一种主动防御的安全保护措施;第五,就是抗否性。所谓抗否性包括两点,一个就是发送数据的人不能否认发送过数据,另一个就是接收到数据的人不能否认接收过数据。
将本文的word文档下载到电脑,方便收藏和打印。
医院信息系统安全管理制度
1.为了加强医院信息系统的领导和管理,促进医院信息化工程的应用和发展,保障系统有序运行,制定本规则。
2.本规则所称的信息系统,是由计算机及其相关配套的设备、设施构成的,按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统(即现在医院建设和应用中的信息工程)。
3.医院信息系统管理是为了保障系统建设和应用,保障系统功能的正常发挥,保障运行环境和信息的安全,满足各工作站对系统操作和维护的全部活动。
4.各级各类医院根据本规则,结合医院不同的功能任务和医院信息系统规模大小,参照以下内容制定适宜于本医院的信息管理制度。
1.医院信息系统的组织管理机制是医院信息管理系统领导小组(简称领导小组)。
2.领导小组由下列人员组成:
组长:院长/业务副院长
成员:医务、护理、信息、经管、财务、药剂、计算机工程技术等人员。
3.领导小组的主要职能和任务:
(1)对医院信息系统建设和应用进行总体规划,审查和制定系统应用中有关人员职责、技术规范、工作流程、性能指标等工作规则和制度。
(2)加强对医院信息系统的组织领导、协调解决医院工程建设中和重大问题。
(3)审核、部署系统建设和应用中的重要活动,如规则计划,网络管理、系统配置、人员培训等。
4.医务部门领导在系统建设的应用过程中负责日常组织协调和管理工作。
5.信息管理部门负责人是系统建设和系统建设和系统应用的领导者和指挥者(简称系统负责人),应对所属人员实行分工负责。
6.信息管理部门工程技术人员全面负责系统规则、计划、系统配置、系统调试、系统维护、安全管理、人员培训等技术管理工作。
1.信息管理部门工程技术人员是信息系统技术管理的直接责任者,应以实现系统功能为目的,以满足用户需求为宗旨,对信息系统的操作和维护进行管理。
2.信息系统内各类设备的配置,由系统负责人提出配置规划和计划,报有关领导审批后实施。
3.每一子系统或挂接的可执行程序在上网运行前,信息工程技术人员必须严格按照功能要求在备用服务器上全面调试,达到功能要求且排除一切可能的数据冲突后交用户实际上网使用。
4.信息工程技术人员实行分工负责制。
5.管理部门各种设备由信息管理部门负责人管理或指定专人负责。
6.系统管理员或机房值班人员负责服务器的数据备份和日结工作。
7.信息系统管理员负责各工作站模块登录口令密码的设置并做好记录。工作站操作人员更换时,要立即做好口令的更改。
8.根据系统功能要求,系统负责人提出各子系统和模块的使用权限和使用分配方案,报请领导小组核准实施。
9.系统负责人管理全面技术工作和运行管理工作,出现技术问题或故障,应遵循《信息系统应急恢复工作制度》处理。
1.信息系统的安全管理包括:数据库安全管理和网络设备设施安全管理。
2.系统负责人和信息工程技术人员必须采取有效的方法和技术,防止网络系统数据或信息的丢失、破坏或失密。
3.利用用户名对其他用户进行使用模块的访问控制,以加强用户访问网上资源权限的管理和维护。
4.用户的访问权限由系统负责人提出,领导小组核准,应遵循《信息系统权限管理制度》处理。
5.系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令密码。
6.信息工程技术人员要主动对网络系统实行查询、监控,及时对故障进行有效的隔离、排除和恢复工作。
7.所有进入网络使用的软盘,必须经过网络中心负责人同意和检毒,未经检毒杀毒的软盘,绝对禁止上网使用。对造成“病毒”漫延的有关人员,应严格按照《医院信息系统安全保护制度》有关条款给予经济和行政处罚。
8.信息系统所有设备的配置、安装、调试必须由信息工程技术人员负责,其他人员不得随意拆卸和移动。
9.所有上网操作人员必须严格遵守计算机以及其他相关设备的操作规程,禁止其他人员在工作进行与系统操作无关的工作。
10.保持机房的清洁卫生,并做好防尘、防火、防水、防静电、防高压磁场、防低磁辐射等安全工作。
11.信息工作技术人员有权监督和制止一切违反安全管理的行为。
1.各工作站所有使用人员必须严格遵守《信息系统管理制度》、《医院信息系统安全保护制度》、《信息系统工作站录入人员管理制度》各工作操作规程以及有关信息管理制度。
2.严格按照计算机操作使用规程进行操作。操作中必须做到精力集中,细致认真、一丝不苟、快速准确,及时的完成各项录入工作。
3.经常保持各种网络设备、设施整洁干净,认真做好信息设备的日清月检,使网络设备始终处于良好的工作状态。
4.加强设备定位定人管理,未经信息工程技术人员允许,不得随意挪动、拆卸和外借所有计算机及相关网络设备、设施。
5.机房内严禁存放易燃、易爆、易腐蚀及强磁性物品;遇有临时停电及雷电天气,应采取保安措施,避免发生意外。
6.机房内不准吸烟、进食、会客、大声喧哗;严禁无关人员上机操作或进行其他影响网络正常运行的工作。
7.严格交接班制度,工作中遇到的问题要及时报告。
医院信息系统安全管理制度
为安全管理各种软硬件资源,提高医院所属各部门信息处理和业务运行的效率,最大限度预防和减少各种故障造成的业务中断时间,特制定本制度。
1.2、适用范围
本制度适用于全医院各部门。
3.1、it设备:包括计算机产品、网络设备、计算机外部设备等。
3.2、计算机产品:包括服务器、pc机、笔记本电脑等。
3.3、计算机硬件:包括光驱、软驱、刻录机、声卡、显卡、网卡、cpu、电源、内存、主板等。
3.4、网络设备:包括核心三层交换机、二层可管理交换机、二层普通交换机、硬件防火墙、路由器等。
3.5、信息:指与医院业务相关的所有电子资料档案、数据和报表。
3.6、网络:指医院的整个局域网络及internet接入端网络。
3.7、数据库:指医院各部门电子版信息、数据集合,如财务数据、业务数据、电子人事档案等。
3.8、网络安全:指预防网络遭受病毒、木马、黑客等攻击,通过网络泄密或其它影响网络安全的因素。
3.9、病毒:本制度中特指计算机病毒,是编制或在计算机程序中插入的破坏计算机功能或毁坏数据,并能自我复制的一组计算机指令或者程序代码。
3.1、信息人员
3.1.1、负责医院计算机及相关设备的安装、调试、日常维护与检修。
3.1.2、负责医院上网等相关涉及信息安全的权限管理工作。
3.1.3、负责定期、不定期检查各医院计算机安全、规范使用等情况。
3.1.4、负责医院计算机及相关设备的数据导出与日常安全备份工作。
3.1.5、负责主要设备数据库服务器、存储介质及其他设备的指导购买;
3.2、财务部
负责收取本制度中涉及的罚金,并对相关人员开具罚金收据。
3.3、各部门
3.3.1、负责对部门所使用的计算机及相关设备的使用及外观清洁。
3.3.2、负责报修本部门所使用的计算机及相关设备,并对维修结果进行确认。
3.3.3、负责全力支持信息部门对设备的维护、保养、升级和检查。
3.4、各部门负责人
3.4.1、负责审核所在部门成员相关软件系统用户使用权限开通的申请。
3.4.2、负责确认所在部门成员向信息部提出数据需求的申请。
4.1、信息设备维护与保养
4.1.1、信息设备日常维护与保养
(1)、信息设备硬件管理采取专人负责制,由具体使用人负责对计算机进行日常使用与管理。
(2)对于医院所使用的服务器和网络设备,由相应的信息人员负责日常检修与维护,以确保服务器和网络设备的稳定运行。
(3)计算机操作系统、常用软件由信息人员安装,特殊软件使用,必须提交申请,并通过本部门负责人及信息中心负责人审批后,交由信息中心工作人员安装,特殊应用还必须得到所属医院相关高管批准。
(4)计算机使用人要确保计算机硬件和系统软件的完整性,不得随意安装和删除系统软件,修改计算机配置。、(5)信息中心实行定期巡查机制,检查各个工作区域设备的使用情况,如发现计算机设备故障,立即采取措施解决。
(6)在上班时间内,使用人发现计算机故障后,应立即向信息人员报修以恢复正常使用。
4.2、医院网络使用
4.2.2互联网接入权限申请流程
(1)、申请人按要求填写《互联网接入权限申请表》(附件二),并标明申请接入互联网原因。
(2)申请人部门负责人对《互联网接入权限申请表》进行审核后交信息人员并最终通过主管院长审核,如果申请人是部门负责人及以上,直接填写《计算机使用权限申请表》交主管院长审核。
(3)信息人员执行通过审核的《互联网接入权限申请表》的具体内容。
(4)信息人员将修改后信息反馈到申请人,无误后由信息人员将《互联网接入权限申请表》进行归档。
4.2.3、注意事项
(2)、接入互联网权限开通后,不得违反医院相关制度规定以及后续公布的各项管理规定,否则根据管理制度规定进行处罚。
4.3、信息设备硬件安全管理
4.3.1、病毒防范与处理
(1)所有客户端必须安装杀毒软件。
(2)对于内部网络上进行数据交换的设备和存储介质需由信息人员监督使用,防止病毒通过内部网络传播。
4.3.2、网络文件读取与下载
拥有上网权限的计算机,其使用人如从网上获取资料(如下载、接受邮件等)要严格杀毒,对于无法清除的病毒要及时通知信息部处理。
4.3.3、数据读取与存储要求
各计算机使用人如因工作需要使用存储介质(如软盘、u盘、光盘、移动硬盘等),使用前应先进行病毒扫描,如不确定是否含有病毒或木马等恶意程序,须经信息部确认安全后方能使用。
4.4服务器硬件管理
(1)对于信息机房的服务器,要求信息人员每天定时进行备份、监控和检查,确保服务器的`稳定运行。
相关操作人员发现服务器异常时应立即停止操作,并及时通知信息人员处理。
4.5、数据安全管理
4.5.1、数据备份
备份操作时尽量不影响服务器正常的业务处理,避开业务高峰时段。
(2)重要的数据库(his数据库)的备份,应同时备份到本地硬盘和异地硬盘上,并定期检查完整和安全性。
(3)、备份的数据必须指定专人负责保管;
计算机信息技术人员按规定的方法将数据备份后,应定期保留在稳定介质上,定期将备份介质在指定的数据保管室或指定的场所保管。
4.5.2、数据恢复步骤
(3)将备用服务器的操作系统口令、数据库用户及口令、数据库代理任务等相关内容与生产服务器保持一致。
4.5.2当数据服务器发生问题时,采用如下步骤恢复
(1)第一时间记录故障出现时间,以便于作恢复时点还原之用;
(2)将事务日志还原至故障出现时间的前10秒钟;
(3)还原成功以后,修改网络设置,让数据库可访问;
(4)根据正式服务器故障情况,迅速做出判断,最短时间修复正式服务器,在业务停止之后,再将备用服务器的相关内容恢复至正式服务器。
4.6应急预案
4.6.1机房必须配置相应功率的不间断电源系统,不间断电源应能提供大于6-8小时的后备供电能力。当发生断电时,不间断电源自动发电,工作人员应立即检查断电原因,处理故障。
4.6.2当发生网络故障时,检查核心交换机是否能正常工作,确认网络问题的原因,采取解决措施。
4.6.3目前数据服务器采取双机热备,当主业务服务器发生事故时,立即将业务系统切换至备份服务器上,切换过程控制在5分钟内。检查服务器故障原因,如果是硬盘故障,检查服务器raid,尽早更换坏的硬盘,让raid进入正常状态。
4.6.4当数据发生丢失时,通常是由于硬盘损坏又没有相应的数据冗余才会导致数据丢失,这种情况只能恢复时间最近的备份,丢失的部分要手工补齐。
4.6.5服务器软件故障,由于病毒导致不能开机或不能访问数据库,这种情况要重装操作系统和数据库系统。
4.6.6不同数据库同步问题,由于不同数据库应用的程序或接口程序出现故障,导致两个系统都不能正常工作,应立即停止业务系统,排除故障完毕后同时启用。
5.1、处罚细则
不得从事危害国家安全,医院安全、泄露医院秘密等活动。一经发现查证属实后,视情节严重程度进行警告处分;情节极其严重,导致医院重大经济损失或机密泄露者,将由责任人负责赔偿全部损失,并给予开除和追究法律责任。
(2)严禁擅自拆装医院计算机及相关设备。严禁私自更改、架设路由设备,私自动用网络设备、网线、交换机设备、重装系统、安装及卸载与工作无关计算机软件。一经发现查证属实后,初次给予警告。再次违反的,医院将给予500元/次的罚款。
(3)对于人为造成计算机及相关设备损坏的,由信息部评估损坏程度,由相关责任人照价赔偿。对于鼠标键盘等外围耗材设备,如果是新的,自使用当日起,1年内人为损坏,由责任人照价赔偿或购入等价相应商品,使用1年以后损坏的根据实际情况而定。
(4)部门负责人认真审核部门内的相关数据需求申请,如因个人审核不当,造成医院信息泄露的,一经发现查证属实后,视情节严重程度罚款200元/次。
(5)各计算机相关设备使用人要严格保守本人的相关密码,如因个人密码泄露,造成医院信息泄露的,一经发现查证属实后,视情节严重程度罚款200元/次;情节极其严重,导致医院重大经济损失或机密泄露者,将按法律程序追偿经济损失。
(6)、各部门需更换电脑使用责任人的,请到信息部登记备案(特别是有网络权限的电脑)。对于私自更换者,一经发现查证属实,将给予其部门负责人100元一次的罚款。
(7)、为保证医院各部门网络的正常运行和业务处理的高效性,医院将在工作时间对员工电脑进行随机抽查,发现下列行为之一者:
a.浏览与工作无关的娱乐性网页
b.大量下载占用带宽
首次给予警告,再次将通报批评,并罚款200元/次。
5.2、处罚程序
(1)信息人员在信息安全检查过程中,如发现处罚细则中涉及的行为,将直接发出《处罚通知单》至相关责任人。
(2)相关责任人接到信息部发出的《处罚通知单》之日起,三日内将罚金交至财务部,财务部根据《处罚通知单》出具相关收据。逾期未交者,财务部将报主管院长审批,并直接在当月工资中双倍扣除相关款项。
信息系统安全管理制度
随着我国经济的发展,计算机得到了广泛的应用,在很大程度上促进社会经济不断发展。但是,在不断发展的同时,安全问题不断地发生,这在很大程度上影响了计算机的普及和应用。这些问题产生的原因是多种多样的,同时,这些问题本身更是千奇百怪。因此认真研究信息系统安全技术,为计算机安全运行、提供技术支持势在必行。
信息系统管理制度
为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。
第二条定义。
(一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、crm(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。
(二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。
(三)操作员:上述软件系统使用人员。
第三条适用范围。
本制度适用于xxxxxx有限公司(以下简称xxxx、公司)、xxxxxxx有限公司、xxxxxx有限公司、xxxxxxxx有限公司。
xxxx股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报xxxx质量信息部备案。
公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。
第五条管理信息系统操作部门。
除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
信息系统管理制度
第一条 为规范全院信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高效率和服务质量,使信息系统更好地服务于运营和管理,特制定本管理办法。
第二条 运行维护管理的基本任务:
3、 进行系统安全管理,保证信息系统的运行安全和信息的完整、准确;
4、 在保证系统运行质量的情况下,提高维护效率,降低维护成本。
第四条 负责全院范围内信息系统的`计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行; 对于系统的所有维护(包括日常作业计划、故障处理、系统改进、数据变更、数据的备份与恢复、功能完善增加)都必须填写维护记录;负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施;每年至少组织一次全行范围内的信息系统运维管理巡回检查,全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。
第五条 系统出现故障,信息系统维护部门或维护人员首先进行处理,同时判断系统类型和故障级别,根据系统类型和故障级别,故障处理应在要求的时限内完成,并同时向院部报告。对无法解决的故障,应立即向软硬件最终提供商、代理商或维保服务商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪处理,与厂商一起到现场进行解决。
第六条 厂商技术人员现场处理故障时,当地维护人员应全程陪同并积极协助,并在故障解决后进行书面确认。
第七条 参与故障处理的各方必须如实、及时填写故障处理单,现场技术支持还须当地维护人员予以签字确认或维护部门盖章。
第八条 建立重要紧急信息上报渠道,对于发生的重要紧急情况,应该立即逐级向院部主管领导报告,对业务影响较大的还应及时通知业务部门。
第九条 信息系统维护管理部门负责技术档案和资料的管理,应建立健全必要的技术资料和原始记录等。
第十条 软件资料管理应包含以下内容:
1、所有软件的介质、许可证、版本资料及补丁资料;
2、所有软件的安装手册、操作使用手册、应用开发手册等技术资料;
3、上述资料的变更记录。
第十一条 无关人员未经管理维护人员的批准严禁进入机房。
第十二条 机房内严禁吸烟、饮食、睡觉、闲谈等,严禁携带易燃易爆、腐蚀性等污染物和强磁物品及其它与机房工作无关的物品进入机房。
信息系统安全管理制度
为提高公司信息系统的可靠性、稳定性、安全性,降低人为因素导致信息系统失效的可能性,形成良好的信息传递渠道,特制定本规范。
1.1非工作人员不得进出机房。工作人员出入机房注意锁好房门,未经上级批准,禁止将机房相关钥匙、密码等物品或信息外露给其它人员,同时有责任对信息保密。
1.2机房工作人员必须熟知机房内设备的基本安全操作和规则。定期检查机房的防晒、防水、防潮;检查、整理硬件物理连接线路;定期检查硬件运作状态(如设备指示灯)。不得乱拉乱接电线,应选用安全、有保证的供电、用电器材,严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。
1.3机房内禁止吃食物、抽烟、随地吐痰,对于意外或工作过程中弄污地板和其它物品的,必须及时采取措施清理干净;禁止在服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。
1.4机房工作人员必须定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份,做好硬件设备的维护保养工作。
1.5任何人均不得在服务器、交换设备等核心设备上进行与工作无关的任何操作。未经上级允许,更不允许他人操作机房内部的设备。
2.1计算机操作员应具备计算机基础知识,熟练使用windows、office、长安福特dms系统及常用软件,并对其所使用的计算机软、硬件负有维护保管责任。
2.2任何员工未经授权,不得修改计算机软硬件设置。严禁在工作机共享文件,员工所掌握的工作数据、文件等均属公司所有,严禁拷贝、传播、修改、破坏。凡违反网络操作规程,影响网络运行者罚款100元。
2.3计算机操作人员离开工作区域时应保证重要文件、资料、设备、数据处于安全保护状态;个人的工作文件应随时做好安全存放与备份,不得将个人工作文件存放于“c盘我的文档”。如有问题及时联系系统管理员,与系统管理员一同维护好日常网络的安全运行。
2.4计算机操作人员每次开机确保病毒实时监测程序和黑客防火墙程序的.正常运行;日常工作中注意保持计算机等相关设备的清洁,下班时务必关掉所有办公设备的电源。
3.1计算机信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作,不得擅自升级、改变系统软件版本或更换系统软件,不得擅自改变软件系统环境配置。
3.2硬件设备的更新、扩充、修复等工作应当由相关人员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬件设备。
3.4系统管理人员负责长安福特dms系统工作权限的设置,员工只能使用自己的工作权限,严禁盗用他人用户名与密码,严格执行工作流程;长安福特dms系统上使用的密码一经启用,不得随意修改、公开,并需在行政部做备份,如需修改须事先告知行政部。
3.5各部门如有计算机操作员人员更替,必须及时通知行政部,系统管理员注销或开设新用户。
信息系统管理制度
第一条为规范全院信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高效率和服务质量,使信息系统更好地服务于运营和管理,特制定本管理办法。
第二条运行维护管理的基本任务:
3、进行系统安全管理,保证信息系统的运行安全和信息的完整、准确;
4、在保证系统运行质量的情况下,提高维护效率,降低维护成本。
第四条负责全院范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行;对于系统的所有维护(包括日常作业计划、故障处理、系统改进、数据变更、数据的备份与恢复、功能完善增加)都必须填写维护记录;负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施;每年至少组织一次全行范围内的信息系统运维管理巡回检查,全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。
第五条系统出现故障,信息系统维护部门或维护人员首先进行处理,同时判断系统类型和故障级别,根据系统类型和故障级别,故障处理应在要求的时限内完成,并同时向院部报告。对无法解决的故障,应立即向软硬件最终提供商、代理商或维保服务商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪处理,与厂商一起到现场进行解决。
第六条厂商技术人员现场处理故障时,当地维护人员应全程陪同并积极协助,并在故障解决后进行书面确认。
第七条参与故障处理的'各方必须如实、及时填写故障处理单,现场技术支持还须当地维护人员予以签字确认或维护部门盖章。
第八条建立重要紧急信息上报渠道,对于发生的重要紧急情况,应该立即逐级向院部主管领导报告,对业务影响较大的还应及时通知业务部门。
第九条信息系统维护管理部门负责技术档案和资料的管理,应建立健全必要的技术资料和原始记录等。
第十条软件资料管理应包含以下内容:
1、所有软件的介质、许可证、版本资料及补丁资料;
2、所有软件的安装手册、操作使用手册、应用开发手册等技术资料;
3、上述资料的变更记录。
第十一条无关人员未经管理维护人员的批准严禁进入机房。
第十二条机房内严禁吸烟、饮食、睡觉、闲谈等,严禁携带易燃易爆、腐蚀性等污染物和强磁物品及其它与机房工作无关的物品进入机房。
信息系统管理制度
第一条为保证公司信息网络系统的安全,根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定,结合公司内网络系统建设的实际情况,制定本办法。第二条本办法所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。
第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。
第四条本规定适用于公司内所有计算机硬件及周边设备(如打印机、扫瞄仪、mo存储器,软磁碟,cd碟,数码相机、考勤机终端等)及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。
第五条计算机系统账号与操作员代码。
二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得;
四、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有主管负责人授权;
五、信息部门任何人员不得使用他人操作代码进行业务操作;
七、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
八、操作员不得使用或盗用他人代码进行业务操作。
九、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
第六条密码与权限管理。
一、密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置应具有安全性、保密性,不能使用简单的代码和标记。
二、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,在可能的情况下并相应记记录用户名、修改时间、修改人等内容,及时上报公司信息中心备案。
三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖部门印章并签字标注封存日期后交由信息中心存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
四、系统维护用户的密码应至少由两人共同设置、保管和使用。有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记并备档留存。
第八条注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
第九条任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
第十条数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,原则上数据恢复由公司信息中心完成。如因其他原因由业务部门进行的,信息中心心须指定相关人员进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
第十一条数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
第十二条需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
第十三条非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
第十四条管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第十五条运行维护部门需指定专人负责计算机病毒的防范工作,建立企业内部计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
第十六条公司内所有计算机未经信息部允许不准安装与其业务部门无关的软件、不准使用来历不明的载体(包括软盘、光盘、移动硬、mp3盘其他存储介质)。
第十七条任何人员不得盗用他人账号或操作员代码、公司内部网络安全管理密码进行操作。
第十八条部门所使用计算机不得使用除集团军公司内及时通讯软件外的任何第三方软件。严禁在工作计算机上安装好bt、p2p等类型的多线程或占用带宽流量的下载软件,所有下载均采用单线程下载。保证公司的带宽有效利用。第十九条计算机内电子邮件收发均通过公司内部邮件系统进行,不得采用其他外部邮件系统,如因需要,可向信息中心申报后给予开通pos服务通道,并做备案。
第二十条公司各部门计算机均采用域管理方式进行登陆,在工作期间必须登陆公司域服务器,并严格按照域管理下的操作说明进行文档及其他相关文件的传递。
第二十一条防病毒系统均采用公司统一布署的企业网络防病毒系统,各部门计算机病毒代码均由公司防病毒服务器进行统一下载,不得擅自登陆非本病毒软件官方以外的下载站点下载并进行病毒库代码更新。
第二十二条为保证公司internet的带宽流量,信息主管部门必须对访问internet权限进行管控,各部门若有访问外部internet公网其他特别需求的,可提出申请,经部门主管及信息部门审核,报经总经理批准后,使申请人享受访问internet的特别需求权力。未通过此程序审批而私自设定其他方法访问外部网络,一经发现,将做严责。如因此给公司带来损失的,责成责任人承担相应损失。
第二十三条进入信息主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作等内容。
第二十四条信息管理人员进入机房必须在“机房出入管理登记簿”签字登记,其他人员进入机房必须经信息中心许可,并由有关人员陪同(特殊情况除外)。机房当日值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非信息部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经信息部门负责人批准同意后有关人员陪同情况下进行。对操作内容进行记录,由操作人和监督人签字后备案。中心机房实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。每天应实行机房例行检查制度,并就机房设备运行及其他情况做好值日记录。
第二十五条保持机房整齐清洁,各种中心设备按维护计划定期进行保养。计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护、防雷、防尘等项工作,保证主机系统的平稳运行、定期对机房运行的各项环境指标(如温度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房各项设备的正常运行。
第二十六条机房内严禁吸烟、进食、会客、聊天等与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。其他部门如因需要携入移动计算机入机房需报经信息部门批准方可携入。
第二十七条机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
第二十八条严禁在未采取安全措施或通电的情况下拆卸,移动机房内等相关设备、部件及网络。在进行机房硬件更换或维修时,必须进行静电释放方可进行。
第二十九条定期检查机房消防设备器材,做做好检查登记,在机房值日记录上并做书面登记。
第三十条机房内不准随意丢弃存储介质和有关业务保密数据资料,对废弃存储介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。
第三十一条服务器等所在的中心机房后备电源(ups)除了电池自动检测外,每年必须深充放电一次到两次。
第三十二条it设备购置。
一、所有it设备均由公司采供部进行采购。设备购置由使用部门提出申请,由信息部门进行核定后上报公司分管领导审批后转公司采供部统一采购。
二、对it设备的采购验收信息部配合采供部共同完成,验收合格后由信息部进行安装调试后配发申请使用部门。
三、信息部负责对购置的it设备做专项台账建立,并于年低转交一份至公司财务部备查。
四、大型it设备采购或特殊it设备采购,申请部门原则上提前一周向信息部转交购置申请,信息部在接到购置申请后必须进行询价,询价必须至少在三家以上,出具it设备购置市场调查及建议随附购置申请上报公司领导审批,审批后转公司采供部。
五、it设备耗材的采购,信息部配合办公室、财务部、企划部制定it设备耗材定额及费用核算后按核算标准采购。部门it设备耗材超出核算部分由部门自行承担。
六、对it设备的采购严格遵守公司的统一采购流程及管理规定,配合采供部完成it设备的采购及验收工作。
第三十三条it设备配发。
一、公司it设备的购置配发及调配由信息部进行统一规划和管理。
二、信息部依据公司年度工作计划,编制公司年度it设备采购及配发计划。
三、公司各部门因工作需要提出申请配发it设备的,由使用部门提出申请,具体载名使用岗位、用途后转信息部,由信息部按工作岗位、工作需要、性能要求等分配闲置it设备或购置。如需购置则转入it设备采购流程进行购置配发。
四、it设备的配发及互调必须由信息部备案,信息部及时进行it设备台账变更登记,注明配发及互调日期等相关事项。
第三十四条it设备故障维修。
一、信息部负责公司所有it设备的故障及维修。
二、信息部对公司的it设备故障做鉴定和维修,并出具鉴定结果,并对鉴定结果负责。
三、在接到部门的使用保障后,一般故障需在15分钟内赶到,影响。
到部门正常工作业务开展的,5分钟内必须赶到(特殊情况除外),重大故障(数据丢失、工作无法开展的)必须在接到报障后,报请信息部负责人,由信息部提出解决方案,依据方案进行处理,对重大故障信息部必须备案。四、对于一般故障和影响到部门工作业务开展的,必须在当天工作日内完成处理,超出工作日的原则上不算加班。对于重大故障必须及时维护及维修的,如超出工作时限部分按照实际情况酌情处理。
五、任何报障必须建立报障维修记录,并做保障事故签定。维修人员对保障事故鉴定负责。信息部负责人对重大故障的处理方案及结果负责。
六、it设备硬件故障经信息部维修人员鉴定在其范围内无法维修的,如在三包范围内的,由信息部联系销售厂家进行维修。超出三包范围的,信息部填报外包维修申请单,由信息部负责人核准上报公司分管领导审批后交由外包维修单位进行维修。
七、it设备外包维修单位具体事宜由信息部进行洽谈并与其签定外包维修合同。合同交由法务部进行核准方可签定。
八、对于发往外包维修或三包范围内的设备维修信息部必须进行登记造册,注明产品型号、品牌、内部具体配置等信息。在维修返回后依据的出厂维修登记进行验收。
九、对于外包或三包范围内的it设备维修,为确保报障部门正常工作,信息部在不影响其他部门工作正常开展的情况下有权对it设备进行暂时调配。
十、企业it核心设备的硬件物理损坏故障鉴定必须由厂家及公司委托专业it设备鉴定机构完成,信息部负责全程跟踪,对最终鉴定结果负责。
十一、对于it硬件设备故障在鉴定后无维修价值的,转入it设备报废管理流程进行处理。
第三十五条it设备报废管理。
一、it设备的报废鉴定统一由信息部完成,特殊it设备(如服务器,磁带存储设备、核心路由器、核心交换机)的故障鉴定由厂家、公司委托第三方it设备鉴定机构、信息部共同完成。信息部对it设备的报废鉴定结果负责。二、信息部对it设备报废鉴定报告上报公司分管领导审批后,对报废it设备统一进行存放管理。
三、对it设备报废鉴定为人为原因造成的,由责任人承担此it设备的全额损失,并按照公司相关管理规定进行从严处罚。
四、信息部对管理存放的报废it设备定期进行清理,并做处理方案报公司分管领导审批后,对报废it设备进行出售,并由办公室、财务部监督执行。对所出售所得款项当天缴至财务部。建立报废it设备出售台账,以备查验。
五、公司各部门要在最大程度上提高it设备的使用年限,厉行节约。信息部要做到it设备可用零部件的二次利用,为公司开源节流做贡献。
第三十六条本管理规定适用于公司内信息化建设过程中的所有it系统项目招标、采购及实施。
第三十七条公司信息化建设过程的系统建设要从公司中长期规划出发,结合公司现行实际发展情况,根据必要性、合理性、经济性而实施。保证公司的投资效益。
第三十八条公司it系统的建立过程中的市场调研、组织招标、合同签定、项目实施等均由信息部与建设部门共同配合完成,信息部主导上述工作各环节。
第三十九条公司it系统项目立项申请原则上由建设部门提出,信息部也可以根据公司发展提出。所有it系统立项均报公司上会研究决定后方可着手实施。
第四十条it系统项目的立项申请必须确定it系统的总体管理目标。申请必须书面清晰说明需求,信息部在接到项目申请后必须在一周内完成市场调查,并出具相关报告随同项目申请上报公司领导,经公司会议研究决定批准后,信息部按照批准后意见组织项目实施。
第四十一条it系统项目的采购合同必须报公司法务部进行核准后方可签定。
第四十二条it系统项目一经确定立项实施,必须成立项目小组,确定项目小组负责人及成员,原则上项目小组负责人由公司领导担任,小组成员由公司内各部门负责人组成。信息部在项目实施过程中对项目小组负责。
第四十三条项目小组成员要根据项目要求,极积主动高质量完成项目实施过程中专项工作。工作实施专管专责,不得中途转手他人(特殊情况除外)。
第四十四条信息部在项目实施过程中负责协调、组织、沟通和实施过程中的衔接工作。及时解决处理项目实施过程中的技术和其他问题。
第四十五条信息部全程跟踪、管理项目实施过程中的所有环节,并对项目进度及质量负责。it系统项目实施过程中的技术文档、项目需求、知识文档等信息部要建立完整的项目文档管理体系。
第四十六条it系统项目验收由项目小组评审验收,信息部具体负责项目验收评估及项目验收报告并上报公司审批等工作。
第四十七条信息部负责it系统项目验收完成后的具体运行维护工作,并依据运行情况出具相关运行报告。
第四十八条由于公司发展需要,前期运行的it系统需做二次开发或升级的,由具体使用部门与信息部配合及沟通提出系统需求,再由信息部整合需求,提供整体解决方案报公司信息化项目领导小组审定后,信息部与软件供应商联系系统二次开发或升级事宜。严禁相关部门私自或提前与软件供应商联系,避免谈判被动,给公司带来不利影响。
第四十九条信息部负责公司内部门的计算机软件、硬件、上网行为及系统运行的统一维护和管理。
第五十条信息部负责对公司内各部门使用的计算机做日常定期、不定期使用监督检查,对于检查中发现的违规全权处理。对于检查中发现的重大违规应及时上报公司分管领导。
第五十一条公司内全体员工对违规使用计算的行为有互相监督和举报的权利。
第五十二条严禁外来人员使用公司电脑。
第五十三条公司所有计算机实行封签管理。计算机的维修权在信息部,任何人不得擅自更改计算机硬件配置或打开计算机,非信息部人员对计算机故障原因的确定无任何效力。
第五十四条下班后各部门必须关闭计算机及处围设备,检查电源情况,确保安全方可离开。
第五十五条在办公期间,长时间不用电脑必须采取人离机锁定,防止公司信息数据及秘密泄露。
第五十六条计算机使用人员不得擅自更改系统软件设置,安装与工作无关的即时通讯、炒股、游戏、bt下载、p2p、在线流媒体音视频播放等第三方软件。
第五十七条公司接入互联网的网络参数及设备参数严格实行保密,信息部对此项保密负责。
第五十八条特殊岗位使用计算机和系统操作人员必须与公司统一签定公司信息网络安全保密协议。
第五十九条任何人不得利用公司计算机和网络从事违法犯罪活动,一经查处落实,将从严处罚。
第六十条工作时间内严禁使用计算机或互联网做与工作无关的事。
第六十一条工作时间除工作需要打开的互联网指定访问外(包含下载),其他网络访问及网络应用信息部一律采用技术手段处理,确保各部门工作正常开展不受影响。
第六十二条公司内部网络带宽依据各部门实际工作需要,做带宽规划并进行带宽分配,确保各部门工作不受第三方影响。
第六十三条公司内除特别需要的,各部门使用的计算机一律通过公司域服务器登陆。并对各部门的usb接口,cd(dvd)光驱进行技术关闭。确保计算机内部数据及网络信息系统安全。
第六十四条公司内各部门的文件传输均采用公司内部邮件系统或公司内部即时通讯软件完成。
第六十五条信息部有权利用网络监控技术手段对公司内各岗位所使用的工作计算机进行数据、上网行为、系统等操作行为进行工作期间的监控。并对违规操作每月定期进行通报。
第六十六条根据操作违规所给公司及信息系统的运行带来的损失及影响将违规操作分为a、b、c三类。
一、a类违规及范围界定:
1、在未经公司授权或非公司信息中心人员进行维护的前提下非岗位操作人员对其所使用的系统进行操作或查阅,查实盗取或违规修改应用系统业务数据的,给公司造成重大损失的。
2、在未经允许的情况下安装与信息系统或工作无关的软件、使用外带的各类移动存储设备(如:软盘、光盘、u盘等),给公司信息系统带来直接危害的。
3、工作期间通过信息网络系统登陆非公司业务的任何互连网网站及其它各类与工作无关的网站网页,导致公司内部信息网络感染病毒的并严重影响工作开展的。
4、将公司网络参数及网络设备参数外泄造成公司网络信息系统安全隐患的。
5、未经允许以任何理由复制、携带、帮助查阅、口头泄露等任何方式将公司各类信息数据带出办公岗位或告知他人的。
6、在公司关键及特殊岗位使用的计算机上安装各类游软件的。
7、恶意更改公司网络信息系统的所涉及的各类参数及数据的。
8、通过公司网络信息系统窃取其它部门或个人的文档资料或文件,造成恶劣影响并给公司、部门、个人带来损失的。
9、向外界以书面或口头形式透露公司信息网络安全防御工具及措施的。
10、未经授权盗用他人帐号及密码操作非本岗位所使用的信息系统模快功能的。
11、it设备未经报批擅自做报废和处理的。
12、蓄意破坏公司it设备、网络线路造成严重损失和恶劣影响的。
13、对采购的it设备未按验收流程严格验收,致使验收的it设备无法正常运行的。
14、对it系统项目立项招标过程中不按公司项目招标管理规定,违规操作的。
15、信息部人员未按报障时间规定及进响应处理报障,给部门工作造成重大后果的。
16、不按规定下班对it设备进行电源关闭安全隐患检查,造成重大损失的。
17、采用技术或非技术手段蓄意破坏公司信息系统硬件或软件,造成重大后果的。
凡违反a类界定违规项的处以200--1000元/次/项罚款。并因此给公司、部门及个人造成的一切损失由违规人全部承担。情节严重的上报公司将移交司法机关处理,并保留起诉权。
二、b类违规及范围界定:
1、各类业务单据、数据及相关业务处理因个人原因处理错误,已给公司造成一定的损失及不良的影响的。
2、未按公司各相关信息系统业务操作流程规定进行相应的业务管理及操作,可能会给公司带来损失的。包括:各类数据不及时跟踪检测造成偏差而查不出原因的、未经审批进行库存损溢数据处理的、无采购订单系统入库的、不按采购物资订单进行相应库存数据录入的、各种信息资料处理不及时等所有的违反公司制定的信息系统操作流程的现象。
3、所有的过失错误造成公司信息系统数据不准确及偏差给公司造成损失的。包括:仓库盘点数据录入错误、对信息系统出现的问题及故障人为性不及时处理造成部门工作延误或影响的、对部门内发现的问题不及时上报隐瞒问题真象的等所有因个人工作过失造成影响到公司信息管理的一切违规行为。
4、违反it管理规定登陆互联网造公司计算机感染病毒或采用非正规手段传播、制造病毒,给公司信息系统安全带来隐患的。
5.将it设备配件擅自拆除挪作他用或盗取的。
凡违反b类限定违规项的处以20--100元/次/项罚款。并因此给企业或个人造成的一切损失由违规人全部承担。情节严重的公司将根据实际情况予以加重处理或解聘。
三、c类违规范围界定:
1、因个人工作延误或失职造成工作的滞后但未给公司造成直接经济损失的。包括:数据录入信息系统不及时、不涉及公司核算项的内容录入错误、单据录入或未做系统提交生效的、各类单据及业务处理错误但能及时发现并予以改正的。
2、因个人的工作违规未给公司造成直接损失且影响其它部门业务正常开展的。包括:相关核算单据不及时传递、各种业务通知不及时传达到对应的部门的、对于信息系统出现的问题不及时沟通造成工作混乱的等所有违规行为。
3、工作期间利用计算机做与工作无关的事,违规下载各类文件的。
4、不按规定下班对it设备进行电源关闭安全隐患检查,造成损失的。
5、擅自打开或更换公司it设备内部配置或安装与工作无关软件的。
6、不按规定工作期间计算机未登陆域服务器,造成公司it管理失控的。
凡违反c限定违规项的处以20元/次/项罚款。并对违规行为做公司内警告处分。
第六十七条信息部人员违反本管理规定加重责罚。
第六十八条此管理规定由信息部负责起草并解释。
第六十九条此管理规定报公司批准下发后即时生效。
信息系统管理制度
第一条对于网络设备、主机、操作系统、数据库、业务应用程序,系统用户都必须通过用户和密码认证方可访问。
第二条用户权限分为普通用户、维护用户与超级用户三个级别。普通用户为各应用系统的使用者,维护用户为各层面系统维护者,超级用户为各层面的管理员用户。
第三条具有重要权限的帐号密码设置必须符合以下安全要求:。
(一)密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据,比如自己、配偶或者子女的生日和姓名等内容。
(二)密码长度至少是六个字符,组成上必须包含大小写字母、数字、标点等不同的字符。
(三)如果数据库系统、应用系统提供了密码安全周期机制,则帐户密码必须至少每120天修改一次。
(四)同一密码不得被给定账户在一年内重复使用。
(五)如果数据库系统、应用系统提供了密码安全机制,则必须在30分钟之内连续出现5次无效的登录尝试,其账户必须锁定15分钟。在此期间,超级用户可以采用经过批准的备用验证机制重新启用账户。
(六)厂商默认密码必须在软件或硬件安装调试完毕后进行修改。
(七)对于操作系统,必须禁用guest帐户,并将管理员帐户重命名。
第四条密码保护与备份策略:
(一)范围:网络设备、服务器操作系统、数据库、应用系统、adsl帐户拨号信息;
(二)包含项目:网络设备包括访问的ip地址、端口,所有超级用户的用户名以及密码;
服务器操作系统的ip地址、所有管理员帐户名、密码;
数据库中所有具有系统数据库管理员权限的用户的用户名和密码;
应用系统中所有超级用户的用户名以及密码;帐户的用户名以及密码。
第二章网络安全管理。
第五条需要全面、系统地考虑整个网络的安全控制措施,并紧密协调,一致实施,以便优化公司it系统运营。明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求,对网络安全状态进行持续监控,保存有关错误、故障和补救措施的记录。
第六条网络层次管理必须遵循以下要求:
(一)应用系统所有者相关部门必须同集团信息管理部密切合作。
(二)必须编制并保留网络连接拓扑结构。
第七条网络管理员负责生产网络、办公网络的安全管理,网络管理员必须掌握网络管理和网络安全方面的知识。
第八条网络管理员必须使用安全工具或技术进行系统间的访问控制,并根据系统的安全等级,相应的在系统的接入点部署防火墙等网络安全产品,保证网络安全。
第九条操作系统管理员由信息管理部领导指定专人担任。
(一)对操作系统登录帐号、权限、帐号持有人进行登记分配管理。
(二)制定并实施操作系统的备份和恢复计划。
(三)管理系统资源并根据实际需要提出系统变更、升级计划。
(四)监控系统运行状况,发现不良侵入立即采取措施制止。
(五)每1个月检查系统漏洞,根据实际需要提出版本升级计划,及时安装系统补丁,并记录。
(六)检查系统cpu、内存、文件系统空间的使用情况等。
(七)检查服务器端口的开放情况。
(八)每月分析系统日志和告警信息,根据分析结果提出解决方案。
第十一条在信息系统正式上线前,操作系统管理员必须删除操作系统中所有测试帐号,对操作系统中无关的默认帐号进行删除或禁用。
第十二条操作系统管理员与应用系统管理员不可兼职,当操作系统管理员变化时,必须及时更换管理员口令。操作系统管理员必须创建专门的操作系统维护帐号进行日常维护。
第十三条本地或远程登录主机操作系统进行配置等操作完成后或临时离开配置终端时,必须退出操作系统。在操作系统设置上,操作系统管理员必须将操作系统帐号自动退出时间参数设置为10分钟以内。
第十四条操作系统管理员执行重要操作时,必须开启操作系统日志,对于一些系统无法自动记录的重要操作,由操作系统管理员将操作内容记录在《系统维护日志》上。
第四章数据安全管理。
第十五条数据库管理员由信息管理部领导根据工作需要指定专人担任。数据库管理员与应用系统管理员不能为同一个人,不可兼职。数据库管理员必须创建专门的服务支撑帐号进行日常服务支撑。
第十六条数据库管理员的职责:
(一)数据库用户注册管理及其相关安全管理。
(二)对数据库系统存储空间进行管理,根据实际需要提出扩容计划。对数据库系统性能进行分析、监测,优化数据库的性能。必要时进行数据库碎片整理、重建索引等。
(三)制定并实施数据库的备份及恢复计划,根据备份计划进行数据库数据和配置备份,并检查数据库备份是否成功。
(四)监测有关数据库的告警,检查并分析数据库系统日志,及时提出解决方案,并记录服务支撑日志。
(五)检查数据库对主机系统cpu、内存的占用情况。
第五章主机安全管理。
第十七条主机系统管理员由信息管理部领导指定专人负责,主机系统管理员与应用系统管理员不可兼职。主机的访问权限由主机系统管理员统一管理,并为系统应用人员分配与其工作相适应的权限。
第十八条主机系统管理员必须每日检查主机机房工作环境是否满足主机的工作条件,包括不间断电源、温度、湿度、洁净程度等。若主机机房的工作条件不能满足主机的工作要求,应及时向上级主管部门反映,提出改善主机机房的要求,以保障主机设备的安全。
第十九条主机系统管理员负责系统安全措施的设置,系统用户管理和授权,制定系统安全检查规则,实施对生产系统服务器的访问控制、日志监测、系统升级,防止非法入侵。
第六章终端安全管理。
第二十条各计算机终端用户不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动,不得私自调整网络参数配置。
第二十一条计算机终端设备为公司生产设备,不得私用,转让借出,除笔记本电脑外,其它设备严禁无故带出生产工作场所。
第二十二条计算机终端设备均应用于与公司办公生产相关的活动,不得安装与办公生产无关的软件和进行与办公生产无关的活动。
第二十三条所有计算机终端设备必须统一安装网络防病毒软件,接受公司防病毒服务器的统一管理,未经网络管理员同意,不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。对于特殊专业使用的终端设备必须安装适合的防病毒软件,符合防病毒安全管理规定。长期在外使用的计算机终端设备,必须及时升级操作系统补丁和防病毒软件。
第二十四条信息管理部采取必要的管理工具或手段,检查终端设备是否及时升级操作系统补丁、是否及时更新防病毒软件的病毒库信息。
第二十五条信息管理部定期组织检查办公用机器上是否安装或使用非办公软件及任何与工作无关的软件,定期检查是否访问反动、不良网站。
第二十六条各计算机终端用户负责自己所拥有的一切口令的保密,并根据密码管理的要求及时修改口令。不得将自己所拥有系统帐号转借他人使用。
第二十七条禁止在计算机终端上开放具有“写”权限的共享目录,如果确实必要,可临时开放,必须设置基于用户的共享,禁止将共享权限赋予“everyone”,在共享使用完之后应立刻取消。在下班时将自己使用的个人计算机关机。
第二十八条禁止在个人计算机操作系统分区或卷上存放重要数据,以及以软盘、移动存储设备、红外设备或手提电脑等形式将重要数据带出系统。如需要将移动存储设备连接到个人计算机,需征得信息管理部同意并进行病毒查杀后方可接入,未经同意使用u盘、移动硬盘等设备造成机器故障或网络故障的,根据情节,将提交领导进行行政处理或其它处罚。
第二十九条如因工作需要,需将非公司计算机或者笔记本电脑接入公司内部,必须经信息管理部同意并检查后,方可接入。
第七章病毒防治。
第三十条信息管理部应在信息系统的主机和终端上统一安装性能优良的防病毒软件,并及时对其进行更新。因硬件或操作系统比较生僻而无法安装防病毒软件的主机应注意升级系统补丁、关闭不使用的系统服务和配置相应的访问控制规则。
第三十一条网络管理员通过人工或者系统自动提醒的方式完成定期(每天一次)更新终端防毒软件内的病毒码。
第三十二条网络管理员必须了解最新的病毒信息和病毒动向,及时检查并下载杀毒防毒补丁。
第三十三条公司内部计算机终端用户必须启用防病毒产品的实时检测功能,任何主机系统和终端在加载任何软件或数据前,先对该软件或数据进行病毒检查。
第三十四条信息管理部网络管理员定期(至少每月一次)对系统中的程序或数据文件进行病毒检查,填写《病毒扫描记录》提交本部门主管领导审阅。
由于个人计算机系统漏洞或者误操作导致计算机感染病毒程序的,必须及时切断本机网络连接。在病毒发作时,必须进行相应的诊断、分析和记录,对于因计算机病毒而引起的重要信息系统瘫痪、程序和数据损坏等重大事故,及时报告信息管理部领导以及相关信息系统应用部门及时进行处理。
第八章机房安全管理。
第三十五条机房的电源系统、空调系统、门禁系统、消防系统的服务支撑以及对电源电压,地线、接地,环境温、湿度,各种电缆走线,清洁度,防静电,防霉,防虫害,防火,防水,防易燃、易爆品,防电磁波等方面都应当符合国家标准及国家和集团有关规定。
第三十六条信息管理部配合公司物业安全保卫部门对防火、防盗、防雷、应急出口、应急照明等系统定期检查,并记录检查结果。
第三十七条机房环境管理。
(一)机房附近不应有污染气体、强电磁场、强震动源、强噪声源及所有危害系统正常运行的因素。
(二)机房的洁净程度必须满足设备制造厂家要求的工作条件,地面要最大程度的达到整洁,机房门窗必须封闭。
(三)机房必须保持清洁,排列正规,布线整齐,仪表正常,工具到位,资料齐全,设备有序,使用方便。机房周围应保持清洁,凡路口、过道、门窗附近,不得堆放物品和杂物妨碍交通。
(四)机房内核心设备与服务器必须配备ups,至少保证断电情况下ups可对核心设备与服务器持续供电30分钟。
(五)必须严格遵守设备制造商有关设备保护的要求。
(六)信息管理部应监控及调节机房的环境条件,保证机房的温度在18---25摄氏度内。
(七)机房有足够的照明设备、通信设施和良好的防静电设施。
第三十八条用电防火安全管理。
(一)机房必须配备灭火装置等防火设施。
(二)严禁在机房使用与生产无关的各种电器,非电气人员不准装、修电气设备和线路,不准带电作业。
(三)加强机房施工监护,防止人为事故的发生,各种安装施工禁止使用ups电源,施工人员撤离现场后应关闭工具电源。
(四)机房内电器设备外壳要接地良好,高压操作时必须使用绝缘防护工具,并注意人身和设备安全。
(五)机房应设置灭火装置和安全防护用具,安放在指定位置,并有专人负责定期检查。维护人员必须熟悉一般的消防和安全操作方法。
(六)消防系统需要定期委托请公司消防部门进行检查验收。
(七)机房内严禁存放易燃易爆物品。严禁在机房内大面积使用化学溶剂。
(八)雷雨季节要加强对机房内部安全设备、地线及防护电路的检修。
第三十九条机房内部管理:
(一)机房管理实施安全责任人制度,信息管理部安排专人负责机房管理。
(二)机房管理人员应保持机房内整洁。
(三)机房管理人员不做与工作无关的事情。
(四)未经上级主管部门同意,任何人不得操作与自己不相关的设备。
(五)检修设备由相关人员进行,他人不得随意操作。需停设备检修时,应经设备主管部门领导批准方能进行。