網絡與信息安全管理(lǐ)制度（暫行）

第一章(zhāng) 總則

第一條  爲保障XX公司（以下(xià)簡稱“XX”或“XX”）網絡與信息安全，切實加強網絡與信息安全管控，提高(gāo)網絡與信息安全管理(lǐ)水(shuǐ)平和(hé)防護能力，根據《中華人(rén)民共和(hé)國網絡安全法》、《中華人(rén)民共和(hé)國計算(suàn)機信息系統安全保護條例》、《中華人(rén)民共和(hé)國計算(suàn)機信息網絡國際聯網管理(lǐ)暫行規定》、《中華人(rén)民共和(hé)國保守國家秘密法》等政策法規規定，結合XX實際，制定本制度。

第二條  本制度适用(yòng)于XX部門、科室所有職工及使用(yòng)單位網絡的(de)所有人(rén)員(yuán)。

第二章(zhāng) 網絡與信息安全管理(lǐ)機構

第三條  設立網絡與信息安全領導小組，小組組長(cháng)爲XX，副組長(cháng)爲黨支部書(shū)記XX，組員(yuán)爲各科室負責人(rén)。

第四條  網絡與信息安全領導小組主要職責如下(xià)：

（一）根據國家和(hé)衛健委有關網絡與信息安全的(de)政策、法律和(hé)法規，制定XX網絡與信息安全總體規劃、管理(lǐ)規範和(hé)技術标準等。

（二）發揮集中統一領導作用(yòng)，統籌領導XX網絡與信息安全相關工作。

（三）貫徹執行上級單位、相關單位下(xià)發的(de)網絡與信息安全文件要求及精神。

（四）協調、督促各科室、部門的(de)網絡與信息安全工作，處理(lǐ)網絡與信息安全隐患，參與信息系統工程建設中的(de)安全規劃，監督安全措施的(de)執行。

（五）統籌領導處理(lǐ)網絡與信息安全事故，組織進行事件調查，評估安全事件的(de)嚴重程度，負責網絡與信息安全事故的(de)後續處理(lǐ)及防範措施等。

第五條  辦公室職責爲按照(zhào)國家、衛健委及上級單位統一部署組織開展的(de)網絡與信息安全工作，具體工作包括：

（一）保障網絡與信息系統安全運行。

（二）按照(zhào)網絡與信息安全等級保護制度對(duì)XX網絡進行建設和(hé)整改工作。

（三）網絡與信息安全突發事件處置、應對(duì)、整改。

（四）開展網絡與信息安全宣傳教育與培訓。

（五）開展網絡與信息安全檢查與自查工作。

（六）負責XX網絡與信息安全應急預案的(de)編制并組織測試和(hé)演練。

（七）開展其他(tā)網絡與信息安全工作。

第三章(zhāng) 網絡與信息安全管理(lǐ)

第六條  網絡與信息安全是指通(tōng)過采取必要措施，防範對(duì)網絡的(de)攻擊、侵入、幹擾、破壞和(hé)非法使用(yòng)以及意外事故，使網絡處于穩定可(kě)靠運行的(de)狀态，以及保障網絡數據的(de)完整性、保密性、可(kě)用(yòng)性的(de)能力。

第七條  辦公室負責對(duì)XX外網、内網、專用(yòng)網絡（以下(xià)統稱“網絡”）及設備和(hé)系統進行規劃、建設、統一管理(lǐ)、日常維護、安全保障等工作。

第八條  接入并利用(yòng)XX網絡進行工作的(de)人(rén)員(yuán)，應自覺遵守相關規章(zhāng)制度，建立良好的(de)使用(yòng)習(xí)慣，杜絕潛在的(de)網絡與信息安全隐患和(hé)漏洞。

第九條  使用(yòng)XX網絡必須遵守相關法律法規，遵守公共秩序，尊重社會公德，不得(de)利用(yòng)網絡從事危害國家安全、洩露國家秘密，不得(de)侵犯國家、社會、集體的(de)利益和(hé)公民的(de)合法權益，不得(de)從事違法犯罪活動。

第十條  嚴禁通(tōng)過XX網絡進行傳播反動、暴力、淫穢内容等違法行爲，嚴禁利用(yòng)XX網絡制作、複制、發布、傳播病毒、流氓軟件及進行其他(tā)影(yǐng)響網絡正常運行或影(yǐng)響其他(tā)用(yòng)戶正常·使用(yòng)的(de)行爲。

第十一條  在使用(yòng)網絡與信息設備時(shí)應保持清潔、安全、良好的(de)工作環境，禁止在信息設備應用(yòng)環境中放置易燃、易爆、強腐蝕、強磁性等損害設備的(de)物(wù)品。

第十二條  所有網絡和(hé)信息設備未經XX辦公室授權同意，嚴禁擅自拆、換任何零件、配件、外設。

第十三條  各科室負責人(rén)對(duì)本部門信息設備安全管理(lǐ)負責。

第四章(zhāng) 醫療系統及内網安全管理(lǐ)

第十四條  接入内網的(de)設備和(hé)軟件，應進行充分(fēn)的(de)安全評估和(hé)殺毒掃描，隻允許經過授權軟件運行。

第十五條  臨時(shí)接入内網的(de)設備在接入前須進行病毒查殺，并由負責信息安全的(de)工作人(rén)員(yuán)輔助執行。

第十六條  内網接入設備實行白名單制度，所有接入内網的(de)設備應由辦公室進行授權備案。

第十七條  辦公室建立内網系統配置清單，并進行配置審計。

第十八條  對(duì)重大(dà)配置變更應制定變更計劃并進行影(yǐng)響分(fēn)析，配置變更實施前進行嚴格安全測試。

第十九條  負責信息安全的(de)工作人(rén)員(yuán)密切關注重大(dà)安全漏洞及其補丁發布，發現漏洞及時(shí)上報辦公室，由辦公室統一指定和(hé)進行升級措施。

第二十條  接入内部網絡的(de)設備嚴禁使用(yòng)橋接、雙網卡等方式直接接入互聯網。

第二十一條  對(duì)重要的(de)業務數據、關鍵程序建立健全的(de)本地和(hé)異地、自動和(hé)手動相配合的(de)多(duō)重備份機制。定期檢查備份數據的(de)完整性。

第二十二條  接入内部網絡的(de)設備嚴禁使用(yòng)各類型的(de)移動存儲設備，包括但不限于U盤、移動硬盤、軟盤、光(guāng)盤等。因業務拓展需要時(shí)，應由XX進行統一推送部署。

第二十三條  在使用(yòng)醫療系統中，嚴格遵循一人(rén)一賬号的(de)原則。個(gè)人(rén)賬号不得(de)相互借用(yòng)。

第二十四條  個(gè)人(rén)賬号在使用(yòng)嚴禁使用(yòng)空密碼或弱密碼，做(zuò)好賬号密碼的(de)保護工作，防止密碼洩露。

第二十五條  在使用(yòng)醫療系統和(hé)内網資源時(shí)做(zuò)好安全工作，人(rén)員(yuán)離機時(shí)及時(shí)注銷或退出登錄。專人(rén)專用(yòng)電腦(nǎo)應設立訪問密碼。

第五章(zhāng) 行政系統及外網安全管理(lǐ)

第二十六條  新增設備接入外網，應報辦公室進行備案。

第二十七條  工作人(rén)員(yuán)在使用(yòng)接入外網的(de)設備時(shí)，應做(zuò)好基礎的(de)安全防護工作。安裝防火牆和(hé)殺毒軟件并定期查殺病毒和(hé)修補漏洞。

第二十八條  禁止安裝與工作無關的(de)軟件，禁止運行來(lái)源不明(míng)的(de)軟件和(hé)程序。

第二十九條  禁止未經授權私自通(tōng)過外接路由器、USB網卡等方式建立無線網絡環境。

第三十條  因工作需要連接各類外來(lái)移動存儲設備時(shí)，應進行病毒掃描等基礎安全防護工作。

第六章(zhāng) 網絡與信息安全事故管理(lǐ)

第三十一條  辦公室負責制定安全事件應急響應預案，當遭受安全事故導緻系統出現異常或故障時(shí)，應立即采取緊急防護措施，防止事态擴大(dà)，并上報衛計局信息化(huà)主管部門，同時(shí)注意保護現場(chǎng)，以便進行調查取證。

第三十二條  辦公室負責網絡與信息安全事故應急預案的(de)編制，并組織演練。

第三十三條  網絡與信息安全事故概念：

（一）普通(tōng)網絡與信息安全事故

1. 網絡與信息系統發生24小時(shí)内故障癱瘓；

2. 安全事故影(yǐng)響範圍僅限部分(fēn)科室和(hé)部分(fēn)設備；

3. 安全事故得(de)到及時(shí)遏制和(hé)處理(lǐ)，未發生蔓延；

4. 安全事故沒有造成數據丢失和(hé)洩密，沒有造成經濟損失；

5. 安全事故沒有對(duì)醫療活動造成明(míng)顯影(yǐng)響。

（二）嚴重網絡與信息安全事故

1. 網絡與信息系統發生24小時(shí)以上48小時(shí)以内故障和(hé)癱瘓。

2. 安全事故影(yǐng)響範圍包含單位大(dà)部分(fēn)科室和(hé)設備；

3. 安全事故沒有及時(shí)遏制和(hé)處理(lǐ)，但未蔓延；

4. 安全事故沒有造成數據丢失和(hé)洩密，沒有造成經濟損失；

5. 安全事故對(duì)醫療活動造成一定影(yǐng)響，但在可(kě)控範圍内。

6. 沒有發生不利于單位的(de)輿情信息。

（三）重大(dà)網絡與信息安全事故

1. 網絡與信息系統發生48小時(shí)以上的(de)故障和(hé)癱瘓。

2. 信息系統受到較大(dà)面積病毒感染和(hé)滲透、攻擊。

3. 安全事故沒有及時(shí)遏制和(hé)處理(lǐ)，發生蔓延；

4. 安全事故造成數據丢失和(hé)洩密，造成經濟損失；

5. 安全事故對(duì)醫療活動造成了(le)影(yǐng)響，患者及群衆發生不滿情緒；

6. 縣級以上新聞媒體進行報道，發生了(le)負面輿情。

第三十四條  出現網絡與信息安全事件時(shí)，發現者及時(shí)上報科室負責人(rén)和(hé)辦公室，做(zuò)到及時(shí)、全面、準确報送，不得(de)瞞報、緩報、謊報網絡與信息安全情況。

第三十五條  出現嚴重或重大(dà)網絡與信息安全事故時(shí)，辦公室應及時(shí)上報衛計局信息系統負責人(rén)員(yuán)。

第三十六條  發生網絡與信息安全事故時(shí)，網絡與信息安全小組應及時(shí)對(duì)故障進行排查、處理(lǐ)，第一時(shí)間阻止事故發生蔓延。若無法處理(lǐ)，應立即聯系軟件服務商或聯系衛計局信息系統負責人(rén)員(yuán)尋求協助處理(lǐ)。

第三十七條  嚴重和(hé)重大(dà)網絡與信息安全處理(lǐ)流程：（轉下(xià)頁） 

 第七章(zhāng) 網絡與信息安全教育與管理(lǐ)

第三十八條  員(yuán)工入職後應參加辦公室組織的(de)網絡與信息安全培訓，以提升其網絡與信息安全意識及技術水(shuǐ)平。

第三十九條  辦公室不定期對(duì)各科室和(hé)員(yuán)工的(de)網絡與信息安全防護行爲進行考核評估，對(duì)發現具有安全隐患的(de)行爲，應限期監督整改。

第四十條  具有内網及醫療系統操作權限的(de)員(yuán)工離職時(shí)，需由相關科室向辦公室提交《HIS系統修改申請單》，及時(shí)終止離職員(yuán)工對(duì)醫療系統的(de)所有訪問權限。

第四十一條  員(yuán)工離職時(shí)應返還(hái)屬于XX的(de)全部信息設備，不得(de)在離職時(shí)以任何形式帶走任何信息。

第八章(zhāng) 法律責任

第四十二條  對(duì)于違反本管理(lǐ)制度的(de)科室及個(gè)人(rén)，造成重大(dà)影(yǐng)響和(hé)損失的(de)，XX将視情節嚴重程度給予處理(lǐ)；構成違法犯罪行爲的(de)，依法報警并移送司法機關處理(lǐ)。

第九章(zhāng) 附則

第四十三條  本制度由辦公室負責解釋，自印發之日起執行。