人民医院信息系统安全管理制度

　　人民医院信息系统安全管理制度

　　一、信息系统安全包括：软件安全和硬件网络安全两部分。

　　二、计算机中心人员必须采取有效的方法和技术，防止信息系统数据的丢失、破坏和失密；硬件破坏、失效等灾难性故障。

　　三、对系统用户的访问模块、访问权限由使用单位负责人提出，交信息化领导小组核准后，由计算机中心人员给予配置并存档，以后变更必须报批后才能更改，计算机中心做好变更日志存档。

　　四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的密码；厂方调试人员调试维护完成后一小时内，由系统管理员关闭或修改其所用帐号和密码。

　　五、计算机中心人员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生。

　　六、网络系统所有设备的配置、安装、调试必须由计算机中心人负责，其他人员不得随意拆卸和移动。

　　七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止其他人员进行与系统操作无关的工作。

　　八、严禁自行安装软件，特别是游戏软件，禁止在工作用电脑上打游戏。

　　九、所有进入网络的软盘、光盘、U盘等其他存贮介质，必须经过计算机中心负责人同意并查毒，未经查毒的存贮介质绝对禁止上网使用，对造成“病毒”蔓延的有关人员，将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。

　　十、在医院还没有有效解决网络安全（未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机）的情况下，内外网独立运行，所有终端内外网不能混接，严禁外网用户通过U盘等存贮介质拷贝文件到内网终端。

　　十一、内网用户所有文件传递，一律通过网上办公系统和FTP服务器专门的上载、下载区进行，不得利用软盘、光盘和U盘等存贮介质进行拷贝。

　　十二、保持计算机硬件网络设备清洁卫生，做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。

　　十三、计算机中心人员有权监督和制止一切违反安全管理的行为。

物业经理人网 www.pMceo.com

篇2：北京市公共服务网络与信息系统安全管理规定（2006）

　　第 163 号

　　《北京市公共服务网络与信息系统安全管理规定》已经20**年11月9日市人民政府第45次常务会议审议通过,现予公布,自20**年1月1日起施行。

　　市长

　　二〇〇五年十一月十一日

　　北京市公共服务网络与信息系统安全管理规定

　　第一条 为加强本市公共服务网络与信息系统(以下简称网络与信息系统)的安全管理,根据国家有关规定,结合本市实际情况,制定本规定。

　　第二条 本市网络与信息系统的建设和运行维护单位(以下简称运营单位)应当做好网络与信息系统安全工作,保障网络与信息系统安全可靠运营。

　　本规定所称公共服务网络与信息系统,是指由本市行政机关和企事业单位为社会提供的政务、交通、医疗卫生、供水、供电、供气、供热、通信、广播电视以及其他公共服务的网络与信息系统。

　　第三条 市和区、县信息化主管部门对本行政区域内的网络与信息系统安全工作负责综合协调和监督管理。

　　公安、国家安全和质量技术监督等政府有关部门,按照各自职责分工,依法对网络与信息系统安全相关工作实施监督管理。

　　第四条 运营单位应当加强对本单位网络与信息系统的安全管理,做好下列工作:

　　(一)明确网络与信息系统安全工作的主管负责人和主管机构,并配备具有相应能力的工作人员;

　　(二)建立健全网络与信息系统安全管理责任制,制定管理制度和操作规程,并定期检查落实情况;

　　(三)保障网络与信息系统安全的资金投入;

　　(四)定期进行网络与信息系统安全教育和培训。

　　第五条 市信息化主管部门应当会同政府有关部门统一规划和组织建设本市网络与信息系统的安全测评、电子认证、灾难备份和应急处理等安全基础设施。

　　第六条 本市对网络与信息系统实行安全等级保护。

　　网络与信息系统安全等级分为五级:

　　(一)第一级为自主保护级,由运营单位进行自主保护;

　　(二)第二级为指导保护级,由运营单位在有关主管部门的指导下进行保护;

　　(三)第三级为监督保护级,由运营单位在备案监督部门的监督下进行保护;

　　(四)第四级为强制保护级,由运营单位在备案监督部门的强制下进行保护;

　　(五)第五级为专控保护级,由运营单位在备案监督部门的专控下进行保护。

　　第七条 运营单位应当按照安全等级保护制度的管理规范和技术标准确定本单位网络与信息系统的安全等级,并根据安全等级保护制度的要求进行建设。

　　网络与信息系统安全等级确定为第三级、第四级、第五级的,运营单位应当将安全等级确定情况报送备案。其中,涉及电子政务的网络与信息系统运营单位,应当报市信息化主管部门备案;其他的运营单位应当报市公安部门备案。

　　市信息化主管部门、市公安部门应当在30日内对备案单位的网络与信息系统安全等级确定情况进行评估,并提出审查意见。

　　第八条 运营单位选用网络与信息系统相关安全产品或者选择安全测评、电子认证等服务时,应当符合国家和本市有关网络与信息系统安全管理的技术规范。

　　使用财政资金投资建设的网络与信息系统选用安全产品和服务时,应当依法实行政府采购。

　　第九条 运营单位应当依据网络与信息系统安全管理要求,对信息系统和信息数据进行备份。

　　第十条 运营单位应当制定网络与信息系统安全事件应急预案,并定期进行演练。

　　市和区、县人民政府有关行政主管部门应当组织制定相关行业的网络与信息系统安全事件应急预案,组织、协调有关单位做好应急预案的落实工作。

　　第十一条 发生网络与信息系统安全事件后,运营单位应当迅速采取措施降低损害程度,防止事件扩大,保存相关记录,并按规定要求及时向同级信息化主管部门报告。

　　第十二条 本市组建信息安全应急救援服务体系,为发生信息安全事件的单位提供救援服务。信息安全应急救援服务组织应当公布救援电话,在接到救援请求时,及时提供救援服务。

　　第十三条 运营单位违反本规定,有下列情形之一的,由市或者区、县信息化主管部门责令限期改正,给予

　　警告,视情节轻重处3万元以下罚款:

　　(一)违反本规定第四条规定,未按要求建立并落实安全管理制度的;

　　(二)违反本规定第九条规定,未按要求对信息系统和信息数据进行备份的;

　　(三)违反本规定第十条第一款规定,未按要求制定网络与信息系统安全事件应急预案的;

　　(四)违反本规定第十一条规定,对网络与信息系统安全事件情况隐瞒不报、谎报或者拖延不报的。

　　行政机关违反前款规定的,市或者区、县信息化主管部门可以对责任单位给予通报批评;造成重大损失的,由上级主管部门或者监察机关依法追究责任单位主要负责人和有关责任人员的行政责任。

　　第十四条 对于有危害公共安全、国家安全、泄露国家秘密以及其他违反法律、法规和规章规定行为的,由公安、国家安全、保密以及其他监督管理部门依法处理;构成犯罪的,依法追究刑事责任。

　　第十五条 国家和本市对涉及国家秘密、国家安全的网络与信息系统有特殊规定的,从其规定。

　　第十六条 本规定自20**年1月1日起施行。