人民醫院信息系統安全管理制度

　　一、信息系統安全包括：軟件安全和硬件網絡安全兩部分。

　　二、計算機中心人員必須采取有效的方法和技術，防止信息系統數據的丟失、破壞和失密；硬件破壞、失效等災難性故障。

　　三、對系統用戶的訪問模塊、訪問權限由使用單位負責人提出，交信息化領導小組核準后，由計算機中心人員給予配置并存檔，以后變更必須報批后才能更改，計算機中心做好變更日志存檔。

　　四、系統管理人員應熟悉并嚴格監督數據庫使用權限、用戶密碼使用情況，定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由班組長監督檢查更換新的密碼；廠方調試人員調試維護完成后一小時內，由系統管理員關閉或修改其所用帳號和密碼。

　　五、計算機中心人員要主動對網絡系統實行監控、查詢，及時對故障進行有效隔離、排除和恢復工作，以防災難性網絡風暴發生。

　　六、網絡系統所有設備的配置、安裝、調試必須由計算機中心人負責，其他人員不得隨意拆卸和移動。

　　七、上網操作人員必須嚴格遵守計算機及其他相關設備的操作規程，禁止其他人員進行與系統操作無關的工作。

　　八、嚴禁自行安裝軟件，特別是游戲軟件，禁止在工作用電腦上打游戲。

　　九、所有進入網絡的軟盤、光盤、U盤等其他存貯介質，必須經過計算機中心負責人同意并查毒，未經查毒的存貯介質絕對禁止上網使用，對造成“病毒”蔓延的有關人員，將對照《計算機信息系統處罰條例》進行相應的經濟和行政處罰。

　　十、在醫院還沒有有效解決網絡安全（未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機）的情況下，內外網獨立運行，所有終端內外網不能混接，嚴禁外網用戶通過U盤等存貯介質拷貝文件到內網終端。

　　十一、內網用戶所有文件傳遞，一律通過網上辦公系統和FTP服務器專門的上載、下載區進行，不得利用軟盤、光盤和U盤等存貯介質進行拷貝。

　　十二、保持計算機硬件網絡設備清潔衛生，做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。

　　十三、計算機中心人員有權監督和制止一切違反安全管理的行為。

篇2：北京市公共服務網絡與信息系統安全管理規定（2006）

　　第 163 號

　　《北京市公共服務網絡與信息系統安全管理規定》已經20**年11月9日市人民政府第45次常務會議審議通過,現予公布,自20**年1月1日起施行。

　　市長

　　二〇〇五年十一月十一日

　　北京市公共服務網絡與信息系統安全管理規定

　　第一條 為加強本市公共服務網絡與信息系統(以下簡稱網絡與信息系統)的安全管理,根據國家有關規定,結合本市實際情況,制定本規定。

　　第二條 本市網絡與信息系統的建設和運行維護單位(以下簡稱運營單位)應當做好網絡與信息系統安全工作,保障網絡與信息系統安全可靠運營。

　　本規定所稱公共服務網絡與信息系統,是指由本市行政機關和企事業單位為社會提供的政務、交通、醫療衛生、供水、供電、供氣、供熱、通信、廣播電視以及其他公共服務的網絡與信息系統。

　　第三條 市和區、縣信息化主管部門對本行政區域內的網絡與信息系統安全工作負責綜合協調和監督管理。

　　公安、國家安全和質量技術監督等政府有關部門,按照各自職責分工,依法對網絡與信息系統安全相關工作實施監督管理。

　　第四條 運營單位應當加強對本單位網絡與信息系統的安全管理,做好下列工作:

　　(一)明確網絡與信息系統安全工作的主管負責人和主管機構,并配備具有相應能力的工作人員;

　　(二)建立健全網絡與信息系統安全管理責任制,制定管理制度和操作規程,并定期檢查落實情況;

　　(三)保障網絡與信息系統安全的資金投入;

　　(四)定期進行網絡與信息系統安全教育和培訓。

　　第五條 市信息化主管部門應當會同政府有關部門統一規劃和組織建設本市網絡與信息系統的安全測評、電子認證、災難備份和應急處理等安全基礎設施。

　　第六條 本市對網絡與信息系統實行安全等級保護。

　　網絡與信息系統安全等級分為五級:

　　(一)第一級為自主保護級,由運營單位進行自主保護;

　　(二)第二級為指導保護級,由運營單位在有關主管部門的指導下進行保護;

　　(三)第三級為監督保護級,由運營單位在備案監督部門的監督下進行保護;

　　(四)第四級為強制保護級,由運營單位在備案監督部門的強制下進行保護;

　　(五)第五級為?？乇Ｗo級,由運營單位在備案監督部門的?？叵逻M行保護。

　　第七條 運營單位應當按照安全等級保護制度的管理規范和技術標準確定本單位網絡與信息系統的安全等級,并根據安全等級保護制度的要求進行建設。

　　網絡與信息系統安全等級確定為第三級、第四級、第五級的,運營單位應當將安全等級確定情況報送備案。其中,涉及電子政務的網絡與信息系統運營單位,應當報市信息化主管部門備案;其他的運營單位應當報市公安部門備案。

　　市信息化主管部門、市公安部門應當在30日內對備案單位的網絡與信息系統安全等級確定情況進行評估,并提出審查意見。

　　第八條 運營單位選用網絡與信息系統相關安全產品或者選擇安全測評、電子認證等服務時,應當符合國家和本市有關網絡與信息系統安全管理的技術規范。

　　使用財政資金投資建設的網絡與信息系統選用安全產品和服務時,應當依法實行政府采購。

　　第九條 運營單位應當依據網絡與信息系統安全管理要求,對信息系統和信息數據進行備份。

　　第十條 運營單位應當制定網絡與信息系統安全事件應急預案,并定期進行演練。

　　市和區、縣人民政府有關行政主管部門應當組織制定相關行業的網絡與信息系統安全事件應急預案,組織、協調有關單位做好應急預案的落實工作。

　　第十一條 發生網絡與信息系統安全事件后,運營單位應當迅速采取措施降低損害程度,防止事件擴大,保存相關記錄,并按規定要求及時向同級信息化主管部門報告。

　　第十二條 本市組建信息安全應急救援服務體系,為發生信息安全事件的單位提供救援服務。信息安全應急救援服務組織應當公布救援電話,在接到救援請求時,及時提供救援服務。

　　第十三條 運營單位違反本規定,有下列情形之一的,由市或者區、縣信息化主管部門責令限期改正,給予

　　警告,視情節輕重處3萬元以下罰款:

　　(一)違反本規定第四條規定,未按要求建立并落實安全管理制度的;

　　(二)違反本規定第九條規定,未按要求對信息系統和信息數據進行備份的;

　　(三)違反本規定第十條第一款規定,未按要求制定網絡與信息系統安全事件應急預案的;

　　(四)違反本規定第十一條規定,對網絡與信息系統安全事件情況隱瞞不報、謊報或者拖延不報的。

　　行政機關違反前款規定的,市或者區、縣信息化主管部門可以對責任單位給予通報批評;造成重大損失的,由上級主管部門或者監察機關依法追究責任單位主要負責人和有關責任人員的行政責任。

　　第十四條 對于有危害公共安全、國家安全、泄露國家秘密以及其他違反法律、法規和規章規定行為的,由公安、國家安全、保密以及其他監督管理部門依法處理;構成犯罪的,依法追究刑事責任。

　　第十五條 國家和本市對涉及國家秘密、國家安全的網絡與信息系統有特殊規定的,從其規定。

　　第十六條 本規定自20**年1月1日起施行。