第四十四条 系统保证全天24小时不间断安全运行。内部数据整理、系统升级等行为必须安排在夜间或业务停顿时进行,并做好周密的预案,尽量缩短停机时间。
第四十五条 医院必须配备查杀毒软件,并定期升级。指定专人负责计算机病毒的防范和清除工作,发现问题立即上报,及时清除,防止扩散。
第四十六条 服务器超级用户密码仅限信息主管或相应人员掌握,并定期更换。客户端接入医院信息系统时,必须以授权用户方式,采用密码登录。部分重要信息应采用抗抵赖的身份认证技术。重要敏感数据应采用数据加密技术进行加密存储。鼓励进行数据加密传输。
第四十七条 医院重点应用场所与中心机房之间应布设不同走向的备用线路,网络主要设备应有一定数量的备品,主服务器必须采用双机系统,对应用软件及其他重要数据必须另外进行备份。
第四十八条 建立日志制度。每日记录网络、机房及其内各主要设备的运行情况,审查系统运行日志。有条件的医院可由信息管理人员对部分重点系统进行监控,对特殊应用部门的操作进行信息审计。
第四十九条 医院内部网络上的所有设备的安装、调试、维修必须由专业人员负责,严禁私拆、私装、移动任何设备。设备安装应符合消防安全工作条例及其他相关法规和标准。
第五十条 对涉及医院重要信息的信息管理人员,医院应与其签订保密协议。信息管理人员不得擅自修改、删除既有信息。系统只能提供有痕迹的更正功能。非相关人员限制进入中心机房。
第五十一条 从事涉及具体财、物的人员,如财务、收费、仓库保管员等不得兼任信息管理员工作;信息管理人员不得兼任财务、收费、仓库保管员等工作。
第五十二条 妥善保管各种技术文档,并根据系统变化不断修订补充。
第五十三条 未经信息安全小组同意,信息管理及相关部门工作人员不得复制、公开、散发、利用医院信息。对涉及病人隐私的信息应采取特别管理措施,必须限制信息的查阅和复制。严禁利用病人个人信息从事赢利性活动。
第五十四条 系统集成商、设备提供商、软件开发商、服务提供商、合作开发人员等第三方人员的活动必须由医院进行有效监督。未经医院同意,第三方人员不得修改系统设置、更改数据或进入实际工作数据库。公开过的密码于事后必须及时重新修改或设置。
第五十五条 医院应根据实际情况建立健全日常维护工作制度,明确信息管理人员职责,明确处置突发事件的人员和办法。
第五十六条 信息安全等级划分
按对医院业务的影响程度,信息系统可分为:
一类:门急诊挂号、收费、发药系统,系统停顿不应超过15分钟。
二类:出入院收费系统、医生、护士工作站等,系统停顿不应超过1小时。
三类:财务、仓库、医技等系统,系统停顿不应超过2小时。
四类:其他系统
对一、二类信息,必须重点保证信息系统的安全运行。
按信息的保密程度,信息系统可分为:
一类:系统设置、密码、住院电子病历、门诊诊断医嘱、病人检验结果等。
二类:财务、收费、办公信息等。
三类:统计分析、仓库管理信息等。
四类:其他信息
对保密的一、二类信息,必须保证信息保管的安全,按医院的有关规定使用信息。
第五十七条 制定信息安全事故处理办法。发生严重的信息安全事故后,信息中心主任必须组织专业人员及时查明原因,分清责任,并向主管院领导汇报,对于医院内部的人为事故或恶意破坏,应根据医院有关规定进行处理。
第五十八条 制定系统管理应急方案。在发生故障时,在规定时间内暂时无法解决的,经医院信息安全小组同意,启动应急方案。在影响病人正常就医时,应及时做好解释疏导工作,同时向地方主管部门通报备案。
第五十九条 加强安全防护与消防管理,制定有关制度与操作规程。安排专人接受培训并按规章负责实施与落实。
第六十条 重视互联网信息安全管理。实行“谁上网、谁负责”的原则。严禁传播非法信息。
第六章 培训与岗位要求
第六十一条 人员培训
人员培训是信息系统实施的重要环节,针对不同岗位的工作要求,采取相应的培训措施。
一、管理人员培训
进行管理观念、管理模式的更新培训,并掌握相关部门的系统流程和操作,适应系统管理的要求。
二、网络管理人员培训
进行专业技术方面的综合布线、网络知识、数据库、开发工具软件编程、网络数据维护、网络安全、相应软件系统的操作培训。同时要进行医院信息系统流程及最新信息动向的培训。由于信息知识更新快,专业技术培训应每年每人至少安排一次,累计时间为一周至一月。
三、岗位操作人员培训
根据应用系统的需要分期、分批进行培训。主要内容:计算机基础知识,本部门应用软件的操作培训以及系统需要的相关内容的培训。当应用软件更新时则应适当进行补充培训。
