網絡與信息安全管理制度（暫行）

第一(yī)章 總則

第一(yī)條  爲保障XX公司（以下(xià)簡稱“XX”或“XX”）網絡與信息安全，切實加強網絡與信息安全管控，提高網絡與信息安全管理水平和防護能力，根據《中(zhōng)華人民共和國網絡安全法》、《中(zhōng)華人民共和國計算機信息系統安全保護條例》、《中(zhōng)華人民共和國計算機信息網絡國際聯網管理暫行規定》、《中(zhōng)華人民共和國保守國家秘密法》等政策法規規定，結合XX實際，制定本制度。

第二條  本制度适用于XX部門、科室所有職工(gōng)及使用單位網絡的所有人員(yuán)。

第二章 網絡與信息安全管理機構

第三條  設立網絡與信息安全領導小(xiǎo)組，小(xiǎo)組組長爲XX，副組長爲黨支部書記XX，組員(yuán)爲各科室負責人。

第四條  網絡與信息安全領導小(xiǎo)組主要職責如下(xià)：

（一(yī)）根據國家和衛健委有關網絡與信息安全的政策、法律和法規，制定XX網絡與信息安全總體(tǐ)規劃、管理規範和技術标準等。

（二）發揮集中(zhōng)統一(yī)領導作用，統籌領導XX網絡與信息安全相關工(gōng)作。

（三）貫徹執行上級單位、相關單位下(xià)發的網絡與信息安全文件要求及精神。

（四）協調、督促各科室、部門的網絡與信息安全工(gōng)作，處理網絡與信息安全隐患，參與信息系統工(gōng)程建設中(zhōng)的安全規劃，監督安全措施的執行。

（五）統籌領導處理網絡與信息安全事故，組織進行事件調查，評估安全事件的嚴重程度，負責網絡與信息安全事故的後續處理及防範措施等。

第五條  辦公室職責爲按照國家、衛健委及上級單位統一(yī)部署組織開(kāi)展的網絡與信息安全工(gōng)作，具體(tǐ)工(gōng)作包括：

（一(yī)）保障網絡與信息系統安全運行。

（二）按照網絡與信息安全等級保護制度對XX網絡進行建設和整改工(gōng)作。

（三）網絡與信息安全突發事件處置、應對、整改。

（四）開(kāi)展網絡與信息安全宣傳教育與培訓。

（五）開(kāi)展網絡與信息安全檢查與自查工(gōng)作。

（六）負責XX網絡與信息安全應急預案的編制并組織測試和演練。

（七）開(kāi)展其他網絡與信息安全工(gōng)作。

第三章 網絡與信息安全管理

第六條  網絡與信息安全是指通過采取必要措施，防範對網絡的攻擊、侵入、幹擾、破壞和非法使用以及意外(wài)事故，使網絡處于穩定可靠運行的狀态，以及保障網絡數據的完整性、保密性、可用性的能力。

第七條  辦公室負責對XX外(wài)網、内網、專用網絡（以下(xià)統稱“網絡”）及設備和系統進行規劃、建設、統一(yī)管理、日常維護、安全保障等工(gōng)作。

第八條  接入并利用XX網絡進行工(gōng)作的人員(yuán)，應自覺遵守相關規章制度，建立良好的使用習慣，杜絕潛在的網絡與信息安全隐患和漏洞。

第九條  使用XX網絡必須遵守相關法律法規，遵守公共秩序，尊重社會公德，不得利用網絡從事危害國家安全、洩露國家秘密，不得侵犯國家、社會、集體(tǐ)的利益和公民的合法權益，不得從事違法犯罪活動。

第十條  嚴禁通過XX網絡進行傳播反動、暴力、淫穢内容等違法行爲，嚴禁利用XX網絡制作、複制、發布、傳播病毒、流氓軟件及進行其他影響網絡正常運行或影響其他用戶正常·使用的行爲。

第十一(yī)條  在使用網絡與信息設備時應保持清潔、安全、良好的工(gōng)作環境，禁止在信息設備應用環境中(zhōng)放(fàng)置易燃、易爆、強腐蝕、強磁性等損害設備的物(wù)品。

第十二條  所有網絡和信息設備未經XX辦公室授權同意，嚴禁擅自拆、換任何零件、配件、外(wài)設。

第十三條  各科室負責人對本部門信息設備安全管理負責。

第四章 醫療系統及内網安全管理

第十四條  接入内網的設備和軟件，應進行充分(fēn)的安全評估和殺毒掃描，隻允許經過授權軟件運行。

第十五條  臨時接入内網的設備在接入前須進行病毒查殺，并由負責信息安全的工(gōng)作人員(yuán)輔助執行。

第十六條  内網接入設備實行白(bái)名單制度，所有接入内網的設備應由辦公室進行授權備案。

第十七條  辦公室建立内網系統配置清單，并進行配置審計。

第十八條  對重大(dà)配置變更應制定變更計劃并進行影響分(fēn)析，配置變更實施前進行嚴格安全測試。

第十九條  負責信息安全的工(gōng)作人員(yuán)密切關注重大(dà)安全漏洞及其補丁發布，發現漏洞及時上報辦公室，由辦公室統一(yī)指定和進行升級措施。

第二十條  接入内部網絡的設備嚴禁使用橋接、雙網卡等方式直接接入互聯網。

第二十一(yī)條  對重要的業務數據、關鍵程序建立健全的本地和異地、自動和手動相配合的多重備份機制。定期檢查備份數據的完整性。

第二十二條  接入内部網絡的設備嚴禁使用各類型的移動存儲設備，包括但不限于U盤、移動硬盤、軟盤、光盤等。因業務拓展需要時，應由XX進行統一(yī)推送部署。

第二十三條  在使用醫療系統中(zhōng)，嚴格遵循一(yī)人一(yī)賬号的原則。個人賬号不得相互借用。

第二十四條  個人賬号在使用嚴禁使用空密碼或弱密碼，做好賬号密碼的保護工(gōng)作，防止密碼洩露。

第二十五條  在使用醫療系統和内網資(zī)源時做好安全工(gōng)作，人員(yuán)離(lí)機時及時注銷或退出登錄。專人專用電腦應設立訪問密碼。

第五章 行政系統及外(wài)網安全管理

第二十六條  新增設備接入外(wài)網，應報辦公室進行備案。

第二十七條  工(gōng)作人員(yuán)在使用接入外(wài)網的設備時，應做好基礎的安全防護工(gōng)作。安裝防火(huǒ)牆和殺毒軟件并定期查殺病毒和修補漏洞。

第二十八條  禁止安裝與工(gōng)作無關的軟件，禁止運行來源不明的軟件和程序。

第二十九條  禁止未經授權私自通過外(wài)接路由器、USB網卡等方式建立無線網絡環境。

第三十條  因工(gōng)作需要連接各類外(wài)來移動存儲設備時，應進行病毒掃描等基礎安全防護工(gōng)作。

第六章 網絡與信息安全事故管理

第三十一(yī)條  辦公室負責制定安全事件應急響應預案，當遭受安全事故導緻系統出現異常或故障時，應立即采取緊急防護措施，防止事态擴大(dà)，并上報衛計局信息化主管部門，同時注意保護現場，以便進行調查取證。

第三十二條  辦公室負責網絡與信息安全事故應急預案的編制，并組織演練。

第三十三條  網絡與信息安全事故概念：

（一(yī)）普通網絡與信息安全事故

1. 網絡與信息系統發生(shēng)24小(xiǎo)時内故障癱瘓；

2. 安全事故影響範圍僅限部分(fēn)科室和部分(fēn)設備；

3. 安全事故得到及時遏制和處理，未發生(shēng)蔓延；

4. 安全事故沒有造成數據丢失和洩密，沒有造成經濟損失；

5. 安全事故沒有對醫療活動造成明顯影響。

（二）嚴重網絡與信息安全事故

1. 網絡與信息系統發生(shēng)24小(xiǎo)時以上48小(xiǎo)時以内故障和癱瘓。

2. 安全事故影響範圍包含單位大(dà)部分(fēn)科室和設備；

3. 安全事故沒有及時遏制和處理，但未蔓延；

4. 安全事故沒有造成數據丢失和洩密，沒有造成經濟損失；

5. 安全事故對醫療活動造成一(yī)定影響，但在可控範圍内。

6. 沒有發生(shēng)不利于單位的輿情信息。

（三）重大(dà)網絡與信息安全事故

1. 網絡與信息系統發生(shēng)48小(xiǎo)時以上的故障和癱瘓。

2. 信息系統受到較大(dà)面積病毒感染和滲透、攻擊。

3. 安全事故沒有及時遏制和處理，發生(shēng)蔓延；

4. 安全事故造成數據丢失和洩密，造成經濟損失；

5. 安全事故對醫療活動造成了影響，患者及群衆發生(shēng)不滿情緒；

6. 縣級以上新聞媒體(tǐ)進行報道，發生(shēng)了負面輿情。

第三十四條  出現網絡與信息安全事件時，發現者及時上報科室負責人和辦公室，做到及時、全面、準确報送，不得瞞報、緩報、謊報網絡與信息安全情況。

第三十五條  出現嚴重或重大(dà)網絡與信息安全事故時，辦公室應及時上報衛計局信息系統負責人員(yuán)。

第三十六條  發生(shēng)網絡與信息安全事故時，網絡與信息安全小(xiǎo)組應及時對故障進行排查、處理，第一(yī)時間阻止事故發生(shēng)蔓延。若無法處理，應立即聯系軟件服務商(shāng)或聯系衛計局信息系統負責人員(yuán)尋求協助處理。

第三十七條  嚴重和重大(dà)網絡與信息安全處理流程：（轉下(xià)頁） 

 第七章 網絡與信息安全教育與管理

第三十八條  員(yuán)工(gōng)入職後應參加辦公室組織的網絡與信息安全培訓，以提升其網絡與信息安全意識及技術水平。

第三十九條  辦公室不定期對各科室和員(yuán)工(gōng)的網絡與信息安全防護行爲進行考核評估，對發現具有安全隐患的行爲，應限期監督整改。

第四十條  具有内網及醫療系統操作權限的員(yuán)工(gōng)離(lí)職時，需由相關科室向辦公室提交《HIS系統修改申請單》，及時終止離(lí)職員(yuán)工(gōng)對醫療系統的所有訪問權限。

第四十一(yī)條  員(yuán)工(gōng)離(lí)職時應返還屬于XX的全部信息設備，不得在離(lí)職時以任何形式帶走任何信息。

第八章 法律責任

第四十二條  對于違反本管理制度的科室及個人，造成重大(dà)影響和損失的，XX将視情節嚴重程度給予處理；構成違法犯罪行爲的，依法報警并移送司法機關處理。

第九章 附則

第四十三條  本制度由辦公室負責解釋，自印發之日起執行。