網絡與信息安全管理制度

網絡與信息安全管理制度（暫行）

第一章 總則

第一條  為保障XX公司（以下簡稱“XX”或“XX”）網絡與信息安全，切實加強網絡與信息安全管控，提高網絡與信息安全管理水平和防護能力，根據《中華人民共和國網絡安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規(guī)定》、《中華人民共和國保守國家秘密法》等政策法規(guī)規(guī)定，結合XX實際，制定本制度。

第二條  本制度適用于XX部門、科室所有職工及使用單位網絡的所有人員。

第二章 網絡與信息安全管理機構

第三條  設立網絡與信息安全領導小組，小組組長為XX，副組長為黨支部書記XX，組員為各科室負責人。

第四條  網絡與信息安全領導小組主要職責如下：

（一）根據國家和衛(wèi)健委有關網絡與信息安全的政策、法律和法規(guī)，制定XX網絡與信息安全總體規(guī)劃、管理規(guī)范和技術標準等。

（二）發(fā)揮集中統(tǒng)一領導作用，統(tǒng)籌領導XX網絡與信息安全相關工作。

（三）貫徹執(zhí)行上級單位、相關單位下發(fā)的網絡與信息安全文件要求及精神。

（四）協調、督促各科室、部門的網絡與信息安全工作，處理網絡與信息安全隱患，參與信息系統(tǒng)工程建設中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行。

（五）統(tǒng)籌領導處理網絡與信息安全事故，組織進行事件調查，評估安全事件的嚴重程度，負責網絡與信息安全事故的后續(xù)處理及防范措施等。

第五條  辦公室職責為按照國家、衛(wèi)健委及上級單位統(tǒng)一部署組織開展的網絡與信息安全工作，具體工作包括：

（一）保障網絡與信息系統(tǒng)安全運行。

（二）按照網絡與信息安全等級保護制度對XX網絡進行建設和整改工作。

（三）網絡與信息安全突發(fā)事件處置、應對、整改。

（四）開展網絡與信息安全宣傳教育與培訓。

（五）開展網絡與信息安全檢查與自查工作。

（六）負責XX網絡與信息安全應急預案的編制并組織測試和演練。

（七）開展其他網絡與信息安全工作。

第三章 網絡與信息安全管理

第六條  網絡與信息安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網絡數據的完整性、保密性、可用性的能力。

第七條  辦公室負責對XX外網、內網、專用網絡（以下統(tǒng)稱“網絡”）及設備和系統(tǒng)進行規(guī)劃、建設、統(tǒng)一管理、日常維護、安全保障等工作。

第八條  接入并利用XX網絡進行工作的人員，應自覺遵守相關規(guī)章制度，建立良好的使用習慣，杜絕潛在的網絡與信息安全隱患和漏洞。

第九條  使用XX網絡必須遵守相關法律法規(guī)，遵守公共秩序，尊重社會公德，不得利用網絡從事危害國家安全、泄露國家秘密，不得侵犯國家、社會、集體的利益和公民的合法權益，不得從事違法犯罪活動。

第十條  嚴禁通過XX網絡進行傳播反動、暴力、淫穢內容等違法行為，嚴禁利用XX網絡制作、復制、發(fā)布、傳播病毒、流氓軟件及進行其他影響網絡正常運行或影響其他用戶正?！な褂玫男袨?。

第十一條  在使用網絡與信息設備時應保持清潔、安全、良好的工作環(huán)境，禁止在信息設備應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等損害設備的物品。

第十二條  所有網絡和信息設備未經XX辦公室授權同意，嚴禁擅自拆、換任何零件、配件、外設。

第十三條  各科室負責人對本部門信息設備安全管理負責。

第四章 醫(yī)療系統(tǒng)及內網安全管理

第十四條  接入內網的設備和軟件，應進行充分的安全評估和殺毒掃描，只允許經過授權軟件運行。

第十五條  臨時接入內網的設備在接入前須進行病毒查殺，并由負責信息安全的工作人員輔助執(zhí)行。

第十六條  內網接入設備實行白名單制度，所有接入內網的設備應由辦公室進行授權備案。

第十七條  辦公室建立內網系統(tǒng)配置清單，并進行配置審計。

第十八條  對重大配置變更應制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

第十九條  負責信息安全的工作人員密切關注重大安全漏洞及其補丁發(fā)布，發(fā)現漏洞及時上報辦公室，由辦公室統(tǒng)一指定和進行升級措施。

第二十條  接入內部網絡的設備嚴禁使用橋接、雙網卡等方式直接接入互聯網。

第二十一條  對重要的業(yè)務數據、關鍵程序建立健全的本地和異地、自動和手動相配合的多重備份機制。定期檢查備份數據的完整性。

第二十二條  接入內部網絡的設備嚴禁使用各類型的移動存儲設備，包括但不限于U盤、移動硬盤、軟盤、光盤等。因業(yè)務拓展需要時，應由XX進行統(tǒng)一推送部署。

第二十三條  在使用醫(yī)療系統(tǒng)中，嚴格遵循一人一賬號的原則。個人賬號不得相互借用。

第二十四條  個人賬號在使用嚴禁使用空密碼或弱密碼，做好賬號密碼的保護工作，防止密碼泄露。

第二十五條  在使用醫(yī)療系統(tǒng)和內網資源時做好安全工作，人員離機時及時注銷或退出登錄。專人專用電腦應設立訪問密碼。

第五章 行政系統(tǒng)及外網安全管理

第二十六條  新增設備接入外網，應報辦公室進行備案。

第二十七條  工作人員在使用接入外網的設備時，應做好基礎的安全防護工作。安裝防火墻和殺毒軟件并定期查殺病毒和修補漏洞。

第二十八條  禁止安裝與工作無關的軟件，禁止運行來源不明的軟件和程序。

第二十九條  禁止未經授權私自通過外接路由器、USB網卡等方式建立無線網絡環(huán)境。

第三十條  因工作需要連接各類外來移動存儲設備時，應進行病毒掃描等基礎安全防護工作。

第六章 網絡與信息安全事故管理

第三十一條  辦公室負責制定安全事件應急響應預案，當遭受安全事故導致系統(tǒng)出現異?；蚬收蠒r，應立即采取緊急防護措施，防止事態(tài)擴大，并上報衛(wèi)計局信息化主管部門，同時注意保護現場，以便進行調查取證。

第三十二條  辦公室負責網絡與信息安全事故應急預案的編制，并組織演練。

第三十三條  網絡與信息安全事故概念：

（一）普通網絡與信息安全事故

1. 網絡與信息系統(tǒng)發(fā)生24小時內故障癱瘓；

2. 安全事故影響范圍僅限部分科室和部分設備；

3. 安全事故得到及時遏制和處理，未發(fā)生蔓延；

4. 安全事故沒有造成數據丟失和泄密，沒有造成經濟損失；

5. 安全事故沒有對醫(yī)療活動造成明顯影響。

（二）嚴重網絡與信息安全事故

1. 網絡與信息系統(tǒng)發(fā)生24小時以上48小時以內故障和癱瘓。

2. 安全事故影響范圍包含單位大部分科室和設備；

3. 安全事故沒有及時遏制和處理，但未蔓延；

4. 安全事故沒有造成數據丟失和泄密，沒有造成經濟損失；

5. 安全事故對醫(yī)療活動造成一定影響，但在可控范圍內。

6. 沒有發(fā)生不利于單位的輿情信息。

（三）重大網絡與信息安全事故

1. 網絡與信息系統(tǒng)發(fā)生48小時以上的故障和癱瘓。

2. 信息系統(tǒng)受到較大面積病毒感染和滲透、攻擊。

3. 安全事故沒有及時遏制和處理，發(fā)生蔓延；

4. 安全事故造成數據丟失和泄密，造成經濟損失；

5. 安全事故對醫(yī)療活動造成了影響，患者及群眾發(fā)生不滿情緒；

6. 縣級以上新聞媒體進行報道，發(fā)生了負面輿情。

第三十四條  出現網絡與信息安全事件時，發(fā)現者及時上報科室負責人和辦公室，做到及時、全面、準確報送，不得瞞報、緩報、謊報網絡與信息安全情況。

第三十五條  出現嚴重或重大網絡與信息安全事故時，辦公室應及時上報衛(wèi)計局信息系統(tǒng)負責人員。

第三十六條  發(fā)生網絡與信息安全事故時，網絡與信息安全小組應及時對故障進行排查、處理，第一時間阻止事故發(fā)生蔓延。若無法處理，應立即聯系軟件服務商或聯系衛(wèi)計局信息系統(tǒng)負責人員尋求協助處理。

第三十七條  嚴重和重大網絡與信息安全處理流程：（轉下頁） 

第七章 網絡與信息安全教育與管理

第三十八條  員工入職后應參加辦公室組織的網絡與信息安全培訓，以提升其網絡與信息安全意識及技術水平。

第三十九條  辦公室不定期對各科室和員工的網絡與信息安全防護行為進行考核評估，對發(fā)現具有安全隱患的行為，應限期監(jiān)督整改。

第四十條  具有內網及醫(yī)療系統(tǒng)操作權限的員工離職時，需由相關科室向辦公室提交《HIS系統(tǒng)修改申請單》，及時終止離職員工對醫(yī)療系統(tǒng)的所有訪問權限。

第四十一條  員工離職時應返還屬于XX的全部信息設備，不得在離職時以任何形式帶走任何信息。

第八章 法律責任

第四十二條  對于違反本管理制度的科室及個人，造成重大影響和損失的，XX將視情節(jié)嚴重程度給予處理；構成違法犯罪行為的，依法報警并移送司法機關處理。

第九章 附則

第四十三條  本制度由辦公室負責解釋，自印發(fā)之日起執(zhí)行。