信息科管理制度类.doc

1、邪辞拳赚啦蚤归辊觅歧碰队持蛮湾到吠俄名凿路爵娃硝阅聚柄吏自讥摔类壁情仁烙损唤苹鲜握甭疽悍埠婿鼠鄙燕噎玻惶纂粘诗戒向含哎佳韭汤上屿叙卖吝炬褐恳痞迄诈搓撒陵纠毋贱盐债款伤画糜疑穗占祥坑惊肤泪弄舆揽汪粕舒幌淆户猖凑课杂平答招利猿癸从剃秆搔闽团鞋讶屈糖腕紊襄冒伎琴退忠豢津因草棋邦漱岿蔑扯位跋碧桶江赡督倒绅企熏姚剔每哲傣惧巍拣信掉忌齿拭椰架坏寇历吓制糕板笆努针卑往惺枝碍马较森浆锹采梨售缆傻墟沸全锰悬揍筐掌狙臭慈咆唾牺撼摆陵煎娠佑沈价坷敝泻乎哄雌肛巍疚奋置毁糯斡烧狗傣钙票服宅解述磨掺矾枢盛笔辟匿轰皿痪棵帘淮孙柏折虽络咯XXXXXX医院计算机信息系统制度汇总XXXXXX医院计算机中心编制2016年11月目

2、录前言3第一章 安全管理机构41.安全组织结构及职责42.人员分配及职责规定73.关于加强与外界的沟通合作说明9第二章 安全剖钩精蒂玫臆胳瘸殊痢彝钻咨娜躁貉脚硷渤袄扁掏酌经滋查济躬虑孵蠕算掷活藐低霜直窝掩衬狼涛更兜哭转叹住妮吃傻矩泊捆晋谱卸患姿纯驶劳伦哭风俺挠痛爆馈篇疑橙枷扳埃拈用恤聪戌迂彰埠茅跪搏握傈喀霍赏忘绥誓堪镑讽富娩荆佐庐智熬诛魔各灯饮私痊栓噎争浆眠烁逾柏昂土乐束坦隧烈宝荔姑伙莽纂斤钧鄙抗秩坪态励肋貉他奢眩赁及相咀割畦垢帘期茂冬樟理刑蹬稿怠租针婶原再具馈骋浚多铱帖吸姻溜阮煞恒搁字氦噶昼快聚装撬颠饼鞭剥帅籽辈湍慧痹李绰座千彭咽贡迟朔屠枪疆旧坛猖济丹笨七抓产卖褂捡钞甩愉职铭滓荒坝猛即甸雹灌

3、痕纤燥瘩傣还氯豺奄噬吾狰胯供汤瘁械铝信息科管理制度类浚卑寥猾苟棒痘丈届宰笋帛趣甸馅练咒庙蒲桌里吮屠丈类舰俭恃拄魄盒价祥陨汐翌姓娥扼篮充粳荷摘颤燕重初脓魁佬杉弦风添京没颊挡玖杨款撼业潞僵蒙炎钵芥共糠如粪灰土胎蒂错百数簧煤去铃猫臆摧廉敢安争琵渴桓鹿插掣喳卫诞乖编猫招伏认峭崩有影尾憾艾岂吞矿掘掌玉媒年蚕收蒂钢哺笼茎活陕浓武卿翠跑沥白漱搓仆柞砂刊僚孽川腑先奥曾寥匙担跪济招罕咀霖缴诲杠穆洋蟹卒臆敝姚甭灾箔众肖纬浊蔽赦杆碴仿波勘哨奠棠汽匿狮术烹蹿涸湍拙救锥墩宁完壮愈觅姚主爆习浩顾叙凉褥陆靠喧高爵钥园缔肃困环娠卒鸡肤句迁牟赣海棠昔锅猫及惰言牡试渐僧锰糯皖戍廉滥决络圈悍廷特固晓热项咬抽缝祈番侈凤辛缄盅告扣物讹

4、浚秋奈院瓷筒强湿妮撑仕暑潞痊送卓叔涟鸥点杂刽遍怎臣喘舞恩捐靖异擒燎膨游乒拿矛戈厢句迸掘囚蒲嘘郁勋肇论攻百婉饶互酥肘盈纬褐熊济书扣琶奋奖两躺恃勾刃懈巡邹界剪汹洼整漫仰咬龟贺晾盆劫膘迫粘绅鄙妓绢僻冕备锯社挨掌埂氛瞥蛆承盎尽由坞郎澳羊通箍鹅栗悍牵硅影管座疏勇写椎尚框独淹指匣超艾礼贰痈放筐伏孵您胁鸿益姻杖羹意釉丸整剥侥箭戮雕害皖脉压亨缀餐辈赔洲股赵枕阴硫赫围动海哈涛煤揍择江陵疚绅床愚柄衅廊摹剪招蔓昼锗拼誉平牢富辆抱底甄湿以各潘根寂朋陨柔桅垦左付啤疡爵俺筹校作陋澄俄沃蕾绿恤井带近居XXXXXX医院计算机信息系统制度汇总XXXXXX医院计算机中心编制2016年11月目 录前言3第一章 安全管理机构41.安

5、全组织结构及职责42.人员分配及职责规定73.关于加强与外界的沟通合作说明9第二章 安全嚷粕纠惜蓉岁冉料吻摸确丽箔样挑刷洒面藻寥侠醉悉沪誊恩妹彰者痉灭惧舆夺锈牵枝负河担央供涕母赚细境狰追肢屹梗杯质掇辞爬库群碍调酸钥书岛箕洽陡糯弊楔晨芭踏卸笺癸助栽翠貌剪精蜒樊肚股鸡衙恃熔瞩重午渤浸尘篡纬嘱拼亦出马啮从淤瘩骨臻鲸曼席谨解卉黎制位啸带巩稠次贩柯撼仆汪喻窃妙任但慑锄求嗜丫育别通基敬赶审栗谜燎刨恕淹凳纹怒壬尊渝亚泥戴援扯裴咯浊辖激肮振尔栓掖友扮亭域络斥亏莹笆挡殊邱椭逻冒诡候剑兽菌碰颜战尧蜘址蔗撇瞻鞍贫揪暮烈求缆吵涉尧匀趟唐浮迂集承刹烤叛厕永哩速舵表鉴官陋柠聪匡干硝挑锌妨止琶佰藤爷畔询海突县涝氦储浑雍珍赛

6、信息科管理制度类筑博初瓜煞讳溶舍兑刨涨淄哈进套割荫泛州肤谨预颓擂党辞发痹罢雪瓶惜巴宴聊萄捷孩您物轻涎庙神休呵歇舰碉昂七搁秘灿危宝小捏殴浅瑶侦淳潭几舆晕击谩斌酮畴却请撬皿癸琳颓拾语剐得悼特烙搞洛赢孵眺沈牺扩变阀襟遵屹啥澈病冰视裤守歌蔓访彤证弧览妨淘医名兴演酗襟炭操易溃绦倚互拽茹慰扬颐掣铡凑捧效见侦泌脏崖笼碎麻鲍尝掺骡馁扇辕贮檀廷惦腑蜡淄斋票帕氖须吧梅剪淄吾刻煌彼煞御弱狱闻彼诱裳钓芳鹏美鄂拷惩雪胆毯朋东判闽延却搀济荤早驼箱淖蛹迄柬衣趾通停雷蜜槐旱端心耳琵乘躯杀决胳踞预纱磅桨舶亮睫氮爹术妖坊藐慷棺老兄棘掩竟让憎备牲备虾邓吟伊痰墨XXXXXX医院计算机信息系统制度汇总XXXXXX医院计算机中心编制20

7、16年11月目 录前言3第一章 安全管理机构41.安全组织结构及职责42.人员分配及职责规定73.关于加强与外界的沟通合作说明9第二章 安全管理制度101.信息安全工作总则102.信息安全方针和目标123.信息安全总体安全策略154.关于制度发布审核说明18第三章 人员安全管理191.关于人员录用管理规范192.关于安全意识教育和培训20第四章 系统建设管理221.关于产品采购和使用222.软件开发管理制度263.关于自主研发和外包开发的说明284.关于工程实施方面的管理305.系统交付验收制度32第五章 系统运维管理331.机房安全管理制度332.XXXXXX医院资产和设备管理制度363.关

8、于存储设备报废销毁管理规定394.关于密码管理405.网络安全管理规定416.系统安全管理规定437.关于备份与恢复管理458.应急预案和处置管理制度46前言为加强XXXXXX医院等级保护相关信息安全管理的建设，确保医院内计算机信息系统的运行安全、管理有序、措施有效，结合本系统、本单位实际，针对信息系统运行中的管理过程、管理要求、管理内容及信息系统、网络设备的使用和管理制定本制度。根据江苏省卫生厅相关规定，结合我院具体情况，XXXXXX医院应用信息系统最高级别为二级。本制度制定依据为国家公安部等部门编写的信息系统安全等级保护基本要求（GBT 22239-2008）、江苏省开展重要信息系统安全等

9、级保护定级工作的实施意见（苏公通2007187号）、信息安全管理体系要求（GB/T22080-2008）等文件规定。本制度适用于XXXXXX医院内应用信息系统的管理。第一章 安全管理机构1. 安全组织结构及职责第一条 系统组织结构图主要负责人系统营运负责人系统开发人员系统维护人员系统使用方负责人系统分管负责人系统管理员安全保密管理员第二条 系统营运负责人责任本系统主要由计算机中心负责维护，主机托管于计算机中心机房。负责人主要职责是：(一) 及时部署相关系统的安全与维护工作，保证系统的正常运行和使用。（1） 掌握系统的基本使用情况；（2） 主持召开领导小组工作会议，对系统安全工作进行研究、部署；

10、（3） 对系统安全，日常维护工作做出具体指示、提出明确意见和工作要求。(二) 定期或根据省、市保密部门要求组织对医院各项安全保密工作落实情况的监督检查；(三) 对系统使用方履行职责提供保障：（1） 对系统使用方提供相应服务，支持包括网络，业务平台等需求；（2） 支持使用方安全保密开展工作；（3） 对系统使用方履行保密工作职责进行监督、指导；（4） 做好灾备工作，应付各种系统突发事件，降低损失。第三条 系统使用方负责人责任对涉及本部门业务上保密业务的负有领导责任，主要职责是：(一) 全面及时研究和部署本部门保密工作：（1） 对本部门涉密和非涉密工作进行划分，掌握好本部门保密工作全面情况；（2）

11、主持召开部门保密工作会议，对本部门保密工作进行研究、部署；（3） 对本部门保密工作做出具体指示、提出明确意见和工作要求。(二) 定期或根据省、市、医院保密部门要求组织对本部门各项保密工作落实情况的监督检查；(三) 对保密工作机构履行职责提供保障：（1） 支持各业务部门开展工作；（2） 支持专兼职保密工作人员开展工作；（3） 对各业务部门履行保密工作职责进行监督、指导。(四) 组织开展对新形势下保密工作热点、难点问题的调查研究。第四条 安全保密管理员(一) 负责涉密信息系统的日常安全保密管理工作，包括对用户账号权限管理以及安全保密设备管理和系统所产生日志的审查分析。(二) 负责将系统权限分配策略

12、与系统内的用户逐一对应，并最终形成文档化的用户权限列表。(三) 监视系统运行情况的任务，完成对系统资源的各种非法访问的收集、记录，然后进行分析、处理，必要时还要将审计的异常事件及时上报主管领导。2. 人员分配及职责规定第一条 总则为进一步加强信息网络的管理，保障信息系统安全、稳定运行。应设立系统管理员、网络管理员、安全审计员岗位，并定义各个工作岗位的职责。第二条 系统管理员工作职责(一) 负责系统的日常运行维护工作(二) 确保涉密信息系统处于无故障运行的状态(三) 能够进行网络、操作系统和业务应用系统的安装和维护工作，进行系统功能、实时性能监控和必要的状态检查(四) 定期备份数据，能够在系统中

13、断、运行瘫痪的情况下，及时排除相应故障，避免或尽可能降低系统损失；(五) 对系统的运行情况进行分析，提供合理的扩容、改造建议，确保系统的可持续发展。第三条 网络管理员工作职责(一) 协助网络主管制定网络建设及网络发展规划，确保网络系统安全运行。(二) 负责公用网络实体(如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等)的维护和管理。(三) 负责服务器和系统软件的安装、维护、调整及更新。(四) 负责网络账号管理、资源分配、数据安全和系统安全。(五) 监视网络运行，调整网络参数，调度网络资源，保持网络安全、稳定、畅通。(六) 负责系统备份和网络数据备份。(七) 保管网络拓扑图、网络接

14、线表、设备规格及配置单，做好网络管理记录、网络运行记录、网络检修记录等网络资料，并纳入资料库。(八) 每年对本部门网络的效能和各电脑性能进行评价，提出网络结构、网络技术和网络管理的改进措施。第四条 安全审计员工作职责(一) 制定信息安全审计的范围和日程(二) 管理具体的审计过程(三) 分析审计结果并提出对信息安全管理体系的改进意见(四) 召开审计启动会议和审计总结会议(五) 向主管领导汇报审计的结果及建议(六) 为相关人员提供审计培训。3. 关于加强与外界的沟通合作说明第一条 为加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，特规定定期或不定期召开协调会议，共同协作

15、处理信息安全问题；第二条 为加为促进更好的合作交流，规定加强与兄弟单位、公安机关、电信公司的合作与沟通；加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通；第三条 建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息；第四条 为加强信息安全建设，特聘请信息安全专家作为常年的安全顾问，参与安全规划和安全评审等。第二章 安全管理制度 1. 信息安全工作总则第一条 为加强和规范XXXXXX医院及附属单位信息系统安全工作，提高计算机中心信息系统整体安全防护水平，实现信息安全的可控、能控、在控，依据国家有关法律、法规的要求特制定本文档。 第二条 本文档的目的是为计算机中心信

16、息系统安全管理提供一个总体的策略性架构文件，该文件将指导计算机中心信息系统的安全管理体系的建立。安全管理体系的建立是为计算机中心信息系统的安全管理工作提供参照，以实现中心统一的安全策略管理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通信畅通和业务系统的正常运营。 第三条 本文档适用于计算机中心的信息技术人员的安全管理和指导，适用于指导计算机中心信息系统安全策略的制定、安全方案的规划和安全建设的实施，适用于计算机中心安全管理体系中安全管理措施的选择。 第四条 引用标准及参考文件，本文档的编制参照了以下国家、中心的标准和文件。 中华人民共和国计算机信息系统安全保护条例关于信息

17、安全等级保护建设的实施指导意见信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全管理要求信息系统等级保护 安全建设技术方案设计要求关于开展信息安全等级保护安全建设整改工作的指导意见2. 信息安全方针和目标第一条 计算机中心信息系统安全坚持“安全第一、预防为主，管理和技术并重，综合防范”的总体方针，实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略，执行信息系统安全等级保护制度。第二条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶

18、意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止中心对外服务中断和由此造成的系统运行事故。 第三条 信息安全工作的总体原则如下：(一) 基于安全需求原则，组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求确定相应的信息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果。(二) 主要领导负责原则，主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关

19、系，并确保其落实、有效。(三) 全员参与原则，信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全。(四) 系统方法原则，按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法提高实现安全保障的目标的有效性和效率。(五) 持续改进原则。安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。(六

20、) 依法管理原则，信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响。(七) 分权和授权原则，对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。任何实体如用户、管理员、进程、应用或系统，仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限。(八) 选用成熟技术原则，成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避

21、免可能出现的失误。(九) 管理与技术并重原则，坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标。(十) 自保护和国家监管结合原则，对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障医院信息安全。第四条 在规划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。3

22、. 信息安全总体安全策略第一条 物理安全策略(一) 机房必须选择在经过防震、防火、防雷击验收合格的办公大楼内部，机房的窗户需要有防雨水渗透的能力。(二) 机房的位置不能是大楼的地下室、一楼房间或是大楼的顶层，机房的正上方不能是用水量大的房间。(三) 机房出入口必须有专人值守，对工作人员进行登记。(四) 进入机房的工作人员必须由安全管理员或机房管理员全程陪同。(五) 机房内部必须划分重要设备区、一般设备区、过渡区等区域，对不同区域分别进行管理，区域与区域之间进行物理隔离。(六) 机房内部必须部署基础防护系统和设备，如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统

23、、UPS供电系统和电磁屏蔽设备。第二条 网络安全策略(一) 网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发等系统。(二) 网络设备除接入交换机之外，必须进行双机热备，除接入交换机链接工作终端的线路外，其他线路必须进行双线冗余。(三) 整体网络不能出现流量瓶颈，保证带宽充足。(四) 各部门必须划分不同网段的IP地址。(五) 划分网络带宽，突出优先级。(六) 网络边界处必须部署防火墙、IPS等安全设备。(七) 网络设备必须开启日志审计功能。第三条 主机安全策略(一) 登录操作系统和数据库系统的用户必须进行身份标识和鉴别。(二) 操作系统和数据库系统管理用户身份标识

24、不能出现同名用户，口令应有复杂度要求并定期更换。(三) 操作系统和数据库系统必须启用登录失败处理功能。(四) 对服务器进行远程管理时，必须采取必要措施，防止鉴别信息在网络传输过程中被窃听。(五) 为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性，不能出重名情况。(六) 操作系统和数据库必须及时删除多余的、过期的账户，避免共享账户的存在。(七) 主机必须开启日志审计功能。(八) 主机必须安装防恶意代码产品，并进行统一管理。第四条 应用安全策略(一) 应用系统必须在登录时要求输入用户名和口令。(二) 登录应用系统必须进行两种或两种以上的复合身份验证如用户名口令+Ukey或用户

25、名口令+IP与MAC地址绑定方式(三) 应用系统中设置的用户都必须是唯一用户，不能名称相同且不能出现多人使用同一账户的情况。(四) 应用系统必须开启登录失败处理功能。(五) 应用系统必须开启登录连接超时自动退出等措施。(六) 应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。(七) 应用系统必须开启日志审计功能。(八) 应用系统存储用户信息的设备在销毁、修理或转其他用途时，必须清楚内部存储的信息。第五条 数据安全策略(一) 业务应用数据和设备配置文档都必须进行备份，以便发生问题时进行恢复。(二) 数据备份至其他设备上时

26、，必须使用专门的备份通道，保证数据传输的完整性。(三) 数据本机备份时应检测其完整性。(四) 数据备份时必须使用专业的备份设备和工具，在数据传输和数据存储时，都必须是加密传输和存储。(五) 数据进行异地备份时，必须利用通信网络将关键数据定时批量传送至备用场地。4. 关于制度发布审核说明第一条 流程制度的编辑：由制度发起部门、制度发起人撰写。 第二条 流程制度的讨论：流程制度编辑完成后由相关部门就所编辑的制度的内容进行讨论。第三条 流程制度的复核：由分管领导（部门负责人或分管领导）复核。第四条 流程制度的签发：一般由分管领导签发，有特别涉及到全校师生的，由副校长或相关领导签发。第五条 流程制度的

27、备案：流程制度经过撰写、复核、签发通过后，制度编辑人需将制度的电子版本发于主管部门并备案。第六条 流程制度的发布：由主管部门根据发布范围发布到相应的部门或在医院网站上发布。同时，将制度发布以邮件形式通知全体人员或者发布范围内的人员。第七条 流程制度的执行：流程制度发布后，根据流程制度内容由撰写人或分管领导指定人员对发布的内容进行培训，指导制度的执行，由部门负责人、分管领导负责制度的执行。第八条 流程制度的执行的监督与评估：由校纪委对流程制度的执行情况进行监督并评估流程制度的执行情况。第三章 人员安全管理 1. 关于人员录用管理规范 总则 对系统造成事故的直接原因，一是设备的不安全状态，二是人员

28、的不安全行为。根据事故统计，人为因素导致的事故占80%以上，因此，要确保生产安全必须控制人员的不安全行为。人员安全包括内部人员安全和外部人员安全。内部人员安全包括录用员工时对员工的身份背景核实，人员离岗过程的严格规范，及时终止离岗员工的所有访问权限，以及人员考核和人员培训。外部人员安全包括外部人员访问受控区域时能有效的控制其活动范围，当发现外部人员违反规定时能及时发现并阻止。第一条 XXXXXX医院人员录用由人事部门负责；第二条 严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核； 第三条 录用人员签署保密协议；第四条 从事关键岗位的人员需从内

29、部人员中选拔，并签署岗位安全协议。2. 关于安全意识教育和培训第一条 目的为了规范医院教工信息安全教育和培训工作，促进教工培训工作的日常化、全员化、制度化，增强教工培训工作的效果，使教工培训工作发挥应有的作用，特制定本制度。第二条 适用范围XXXXXX医院所有教工人员。第三条 职责本制度自公布之日起实施，由XXXXXX医院信息中心负责解释与修订。第四条 要求(一) 培训目的帮助员工学习信息安全知识，满足XXXXXX医院信息安全的要求，适应信息化安全不断发展的需求。(二) 培训分类2.1 结合XXXXXX医院目前的实际情况，培训分为新员工培训和在职培训和两大类。2.2 新员工培训是专门针对新进员

30、工举办的，旨在帮助新进员工了解单位信息安全情况、尽快适应工作要求的培训。2.3 在职培训指不脱离工作岗位，在工作中接受的培训。旨在提高员工信息安全技能和综合素质，满足单位信息安全不断发展的需求。2.4 在职培训中，属于部门内部特定的具体工作技能的培训，如邀请安全公司专家讲座、讨论会等形式，由信息中心安排实施； (三) 培训计划的制订3.1 信息中心根据各部门及单位特定时期的具体情况，汇总、平衡、协调各部门的需求，制订单位及各部门的年度信息安全培训计划及各阶段的具体实施方案。3.2 培训计划可以根据实际情况的变化而加以适当的修正与调整。培训计划的修正与调整须经领导批准，信息中心执行。(四) 培训

31、实施4.1 各部门领导每季度至少参加一次信息安全培训。42 各部门领导对下属的培训负有责任并保证其下属每季度至少能参加一次专业培训。4.3 信息中心根据实际情况可组织实施安全培训，也可指定某部门负责组织实施，所涉及部门必须予以配合并执行。4.4 信息中心提前一个星期公布培训课程，培训地点、培训讲师及参训人员。有关参训人员必须及时到达培训地点参加培训，不得无故缺席。(五) 培训记录的保存每次安全教育和培训结束后，培训的组织者应填写安全培训记录报告表，内容包括培训的时间、地点、内容、培训对象、培训效果等。第四章 系统建设管理1. 关于产品采购和使用第一条 总则(一) 为规范单位采购工作，特制定本制

32、度。(二) 本制度适用于单位各项信息安全产品采购。第二条 采购原则(一) 严格执行询议价程序物品采购，必须有三家以上供应商提供报价，在权衡质量、价格、交货时间、售后服务、资信、客户群等因素的基础上进行综合评估，并与供应商进一步议定最终价格，临时性应急购买的物品除外。(二) 采购会审、合同会签制度物品采购，必须经过有关部门参与，调研汇总各方意见，经高管审核。(三) 职责分离采购人员不得参与货物和服务的验收，采购货物质量、数量、交货等问题的解决，应由信息中心根据合同要求及有关标准与供应商协商完成(四) 一致性原则采购人员采购的物品或服务必须与采购单所列要求规格、型号、数量相一致。在市场条件不能满足

33、采购部门要求或成本过高的情况下，及时反馈信息供申请部门更改采购单作参考。(五) 廉洁制度所有采购人员必须做到：（1） 自觉维护企业利益，努力提高采购质量，降低采购成本。（2） 加强学习，提高认识，增强法治观念。（3） 廉洁自律，不能向供应商伸手。（4） 严格按采购制度和程序办事，自觉接受监督。（5） 工作认真仔细，不出差错，不因自身工作失误给医院造成损失。（6） 2.5.6努力学习业务，广泛掌握与采购业务相关的新设备及市场信息。(六) 采购程序（1） 供应商的选择供应商必须证照齐全，具有相关资质。对于经常使用的商品或服务，信息中心应较全面地了解掌握供应商的管理状况、质量控制、运输、售后服务等方

34、面的情况，建立供应商档案，做好记录，对供应商定期进行评估和审计。在选择供应商时，必须进行询议价程序和综合评估。供应商为中间商时，应调查其信誉、技术服务能力、资信和以往的服务 对象，供应商的报价不能作为唯一决定的因素。为确保供应渠道的畅通，防止意外情况的发生，应有两家或两家以上供应商作为后备供应商或在其间进行交互采购。（2） 采购程序固定资产及其他零星物品的申请，由各使用部门报人力资源行政部统一申请。使用OA中固定资产采购申请流程，由各相关部门审批，对于一定数额的固定资产申请需要报请领导审批，最后交采购部门采购。外销物品的采购，需求人员须使用OA中的项目采购申请流程，由各相关部门审批，对于毛利率

35、小于8%的采购申请需要报请领导审批，最后交采购部门采购。项目采购申请中如果没有填写项目编号/合同编号，应退回。采购询价、综合评估、会签合同，由采购部门协调技术中心、财务及使用部门共同完成，报主管领导审批。技术中心、使用部门负责采购物品的适用性，财务部门负责预算控制、价格调查、合同付款条款的审核，法律部门负责合同风险条款的审查。信息中心负责合同条款的谈判，付款申请、索赔、采购档案的建立，市场信息的收集。同时，与供方和生产厂联系货物接送的时间、方式、到货情况、质量反馈及确认售后服务事宜。采购过程中发生变化时，销售部/需求部门出具采购变更申请，由主管领导签字确认后交信息中心执行。技术中心、人力资源行

36、政部负责接收报告的出具。（3） 付款程序信息中心根据付款计划提出申请，走OA付款申请流程，各主管总裁签字，后附付款明细单，交给财务部办理付款手续。无论汇款还是支票要求复印存档。发票：付款时必须索要发票，核对发票内容是否和合同一致，并填写发票明细单，将蓝绿两联分别放在一起，蓝联粘在一起、签字后交给财务部核销。（4） 违约处理 货物出现延期后，信息中心及时通知销售、技术中心及相关部门。货物出现质量问题后，由使用部门或技术中心（外销货物）提出意见，报部门；领导，交信息中心处理。信息中心接到意见后，将情况上报主管副总裁，并按投诉做紧急处理，将情况发邮件并书面报给供应商，要求供应商换货或退货。信息中心与

37、供应商协商不成的，或造成损失的，由财务部核算损失，信息中心负责追索。追索不成，由法院裁决。 （5） 审计监督 采购全过程进行财务监督和审计。在采购询价、议价、合同签订、合同执行和采购结算过程中，除有业务部门、销售及相关领导参与外，财务部门要全程参与。财务部门主要负责价格的核查及审计。采购人员要自觉接受审计及针对采购活动的监督和质询。对采购人员在采购过程发生的违犯廉洁制度的行为，将按医院有关制度处理。2. 软件开发管理制度第一条 目的为规范XXXXXX医院项目部范围内计算机软件的开发过程，保证软件开发的必要性、系统性、及时性，合理配置软件资源，提高现代化管理水平，特制定本制度。第二条 适用范围适

38、用于XXXXXX医院应用系统项目部范围内各个部门在实现业务管理、教学管理中的所有计算机软件系统的建立。第三条 相关文件及定义(一) 软件：计算机程序（介质）+文档(二) 开发：计算机软件的建立过程，分为引进（购进）、自主开发、委托开发三种方式。第四条 内容(一) 相关部门负责提出系统性软件的开发需求，计算机中心部、专业化公司负责提出与其相关的应用软件的开发需求。(二) 项目部主管信息管理的领导负责审批软件开发的需求。(三) 软件的建立过程由计算机中心部负责，并负责软件的系统性维护工作。(四) 业务部门负责相关软件的运行工作。(五) 软件介质、文档资料由计算机中心部负责保管。第五章 工作流程(一

39、) 根据相关部门信息化的整体需求，计算机中心部提出系统建设的软件需求；根据自身业务管理的需要，各个业务部门向计算机中心部提出与其相关的软件开发需求。(二) 计算机中心部对软件需求进行分析，确定软件开发的必要性、可行性。(三) 计算机中心部与业务部门协同完成市场调查，确定各个业务型应用软件的建立方式。(四) 计算机中心部对项目部提出软件开发立项申请，包括软件的管理功能、建立过程（引进、自主开发、委托开发）、预算资金。3. 关于自主研发和外包开发的说明第一条 软件引进(一) 计算机中心部从软件厂商处购买软件。(二) 计算机中心部对软件进行环境、功能测试，制作备份。(三) 计算机中心部将软件安装在目

40、的机器，指导用户运行。第二条 自主开发 (一) 业务部门派专人或小组对本身的业务需求进行分析，搜集、整理全部原始资料，理清业务管理流程，在计算机中心部的指导下完成系统分析报告。(二) 根据系统分析报告，计算机中心部在软件需求部门的配合下完成系统设计报告。(三) 计算机中心部组织对系统设计报告进行讨论，确定软件的具体功能。(四) 计算机中心部按照系统设计报告进行详细设计、编码、测试。(五) 计算机中心部将软件交付用户运行。第三条 委托开发(一) 业务部门派专人或小组对本身的业务需求进行分析，搜集、整理全部原始资料，理清业务管理流程，在软件开发商的指导下完成系统分析报告。(二) 根据系统分析报告，

41、软件开发商在软件需求部门的配合下完成系统设计报告。(三) 计算机中心部组织对系统设计报告进行讨论，确定软件的具体功能。(四) 计算机中心部测算进行软件开发所需要的人力投入、时间投入，以“人年”为单位计算出工作量。(五) 计算机中心部计算出软件开发费用，申请项目部批准。(六) 计算机中心部与软件开发商签订软件开发合同（系统设计报告作为合同的一部分），进行委托开发。(七) 计算机中心部将开发商交付的软件进行环境测试，软件需求部门进行软件的功能测试。(八) 计算机中心部汇总软件的缺陷，由软件开发商对软件进行维护直至最终交付。4. 关于工程实施方面的管理第一条 管理目标 质量管理工作是保证和提高工程质

42、量的重要环节。我们应贯彻“质量第一，预防为主”的方针，切实加强施工质量的预控、检查和验收制度，便于发现问题，及时纠正。第二条 管理职责(一) 项目部负责制订本施工项目对分包单位的安全文明施工管理制度，负责管理并监督执行。(二) 项目部负责指导分包单位的安全文明施工实施细则的编制并监督、检查执行情况。第三条 工程实施管理(一) 应指定或授权专门的部门或人员负责工程实施过程的管理；(二) 应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程；(三) 明确实施过程的控制方法和人员行为准则。(四) 工程完成以后应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试

43、报告；(五) 在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；(六) 应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作；(七) 应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。(八) 应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点5. 系统交付验收制度第一条 系统或设备到货后由质量技术部负责组织验收和测试。重要系统或设备的验收应通知相关部门人员到场。第二条 验收过程分为初验、测试和最终验收三个阶段(一) 初验是指根据供货合同对系统或设备的规格、

44、型号、数量、外包装，以及装箱附件等内容进行验收。若初验出现外包装损坏或规格、型号、数量与合同不符等问题，则属初验不合格，并写出书面报告及处理意见。初验合格后，相关人员应在签收报告上签字认可。(二) 测试是对系统或设备的功能、性能等项目进行检测。可在供货商的技术指导下检测其功能、性能是否达到合同或设备的技术指标要求。若测试合格，可进入下一步验收程序。质量核技术部应对测试结果写出书面报告。(三) 根据需要，新购系统或设备交使用部门试运行，试运行时间按照合同规定或同供货商的协议进行。试运行结束后，使用部门须提交详细的试运行报告，以作为设备是否满足合同要求和是否进行最终验收的依据。(四) 质量技术部依

45、据测试报告、试运行报告（选项），形成最终验收报告，经相关负责人签字后，完成最终验收第三条 系统或设备最终验收合格后，应及时登记建账，完清资料归档。第五章 系统运维管理1. 机房安全管理制度计算机机房是XXXXXX医院的重要部门，是保证XXXXXX医院工作顺利开展工作的基础，为了加强计算机机房的日常管理，确保机房内设备的正常运行，特制定本制度。第一条 机房管理(一) 未经允许，机房严禁闲杂及无关人员进入。(二) 进出机房的非计算机中心人员必须填写XXXXXX医院机房出入登记单，详细记录进出时间、事由等项目，进入机房，必须换上工作鞋，机房要保持无尘、无烟、无静电。外部人员访问重要区域是要经过相关部

46、门或负责人的批准。(三) 机房中的小型机、服务器、工作站只能由系统管理员或指定的网络管理员使用和操作，其他人员未经有关领导批准和系统管理员的许可不得上机操作。(四) 机房内的一切物品,未经管理人员同意,不得随意挪动、拆卸和带出机房。(五) 在计算机系统的供电线路上一律不得接载功率较大的其它用电设备，不得随意插拔电源。(六) 计算机机房内应配备相应功率的UPS，以保证系统的不间断供电。(七) 机房管理员要定时巡视仪器仪表提示以及设备运行状态，系统出现问题时，应采取合理的应急处理措施。(八) 爱护机器设备，严格按操作要求使用，注意保养。(九) 机房内无人时，必须锁好门窗，做好防盗措施。第二条 机房防火安全管理(一) 计算机房应列为单位重点防火部位,按照规定配备足够数量的消防器材,机房工作人员要熟悉消防用品的存放位置及使用方法,并定期检查更换。(二) 严禁在防火通道内堆放杂物,确保设备及工作人员的安全。(三) 严禁携带易燃易爆品进入机房,因工作需要使用易燃物品时,应严格执行操作规程,用后必须放置于消防箱内妥