www.日本精品,久久中文视频,中文字幕第一页在线播放,香蕉视频免费网站,老湿机一区午夜精品免费福利,91久久综合精品国产丝袜长腿,欧美日韩视频精品一区二区

醫(yī)院信息化制度匯編

發(fā)布時間:2020-09-29 來源: 讀后感 點擊:

 醫(yī)院信息化制度匯編

 目錄 信息系統(tǒng)安全總體方針 ......................................................................................... 1 信息系統(tǒng)安全管理策略 ......................................................................................... 4 信息安全檢查管理辦法 ....................................................................................... 14 信息安全違章行為責(zé)任追究辦法 ........................................................................ 18 安全教育和培訓(xùn)管理辦法 .................................................................................... 23 外來人員安全訪問管理辦法 ................................................................................ 26 信息系統(tǒng)建設(shè)項目管理辦法 ................................................................................ 29 軟件開發(fā)管理辦法 ............................................................................................... 38 辦公區(qū)環(huán)境與安全管理辦法 ................................................................................ 48 中心機(jī)房運行管理辦法 ....................................................................................... 52 信息分類與標(biāo)識管理辦法 .................................................................................... 57 信息系統(tǒng)資產(chǎn)管理辦法 ....................................................................................... 62 介質(zhì)安全管理辦法 ............................................................................................... 65 設(shè)備安全管理辦法 ............................................................................................... 68 網(wǎng)絡(luò)安全管理辦法 ............................................................................................... 71 信息系統(tǒng)安全管理辦法 ....................................................................................... 74 惡意代碼防范管理辦法 ....................................................................................... 83 信息系統(tǒng)密碼管理辦法 ....................................................................................... 86 信息系統(tǒng)變更管理辦法 ....................................................................................... 92 數(shù)據(jù)備份與恢復(fù)管理辦法 ................................................................................... 102 信息安全事件報告管理辦法 ............................................................................... 110 信息安全突發(fā)事件應(yīng)急預(yù)案 ............................................................................... 114

 信息系統(tǒng)安全總體方針 第一章

 總則

 第一條

 為加強(qiáng)和規(guī)范**縣**醫(yī)院信息安全工作,提高信息安全整體防護(hù)水平,實現(xiàn)信息系統(tǒng)的安全管控,依據(jù)國家有關(guān)法律、法規(guī)的要求,制定本方針。

 第二條

 本方針為**縣**醫(yī)院信息安全管理提供一個總體性架構(gòu)文件,指導(dǎo)**縣**醫(yī)院信息安全管理體系建設(shè),以實現(xiàn)統(tǒng)一的安全策略管理,提高整體的網(wǎng)絡(luò)與信息安全水平,保障網(wǎng)絡(luò)暢通和信息系統(tǒng)的正常運行。

 第三條

 本方針適用于**縣**醫(yī)院信息系統(tǒng)資產(chǎn)和信息安全人員的安全管理,適用于指導(dǎo)**縣**醫(yī)院信息安全策略的制定、安全方案的規(guī)劃、安全建設(shè)的實施和安全管理措施的選擇。

 第二章

 組織機(jī)構(gòu)與職責(zé)

 第四條

 **縣**醫(yī)院信息化建設(shè)領(lǐng)導(dǎo)小組為**縣**醫(yī)院信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu),領(lǐng)導(dǎo)小組下設(shè)辦公室,由信息科負(fù)責(zé)信息安全具體工作。**縣**醫(yī)院其他部門主要負(fù)責(zé)人是落實信息安全管理制度的第一責(zé)任人。

 第五條

 **縣**醫(yī)院信息化建設(shè)領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)籌領(lǐng)導(dǎo)**縣**醫(yī)院信息安全工作,指導(dǎo)信息科負(fù)責(zé)的重大的信息安全工作。

 第三章

 信息安全體系框架和目標(biāo)

 第六條

 **縣**醫(yī)院信息安全體系框架的組成是安全組織、安全策略、安全技術(shù)和安全運作,四大組成部分協(xié)同構(gòu)建、完成和實現(xiàn)**縣**醫(yī)院信息安全工作和目標(biāo)。

 第七條

。ㄒ唬┬畔踩M織工作目標(biāo)是建立健全的安全組織,加強(qiáng)人員的安全管理,為信息安全工作提供組織保障。

。ǘ┬畔踩呗怨ぷ髂繕(biāo)是制定完善的信息安全管理制度和技術(shù)規(guī)范,并確保其有效發(fā)布、執(zhí)行和更新,規(guī)范**縣**醫(yī)院信息安全管理工作。

。ㄈ┬畔踩夹g(shù)目標(biāo)是采用適當(dāng)?shù)募夹g(shù)手段,加強(qiáng)業(yè)務(wù)和支撐系統(tǒng)的安全防護(hù),為信息安全工作提供技術(shù)工具支撐。

。ㄋ模┬畔踩\作目標(biāo)是加強(qiáng)安全工作的運作管理,維護(hù)業(yè)務(wù)和支撐系統(tǒng)的安全運行,及時處理安全問題,為信息安全工作提供運行保障。

 第四章

 信息安全建設(shè)原則和目標(biāo)

 第八條

 **縣**醫(yī)院信息安全工作的原則是:滿足和推動服務(wù)業(yè)務(wù)發(fā)展,信息系統(tǒng)安全架構(gòu)完整、統(tǒng)一,數(shù)據(jù)集中、信息共享,控制成本、提高工作效率,利用國家標(biāo)準(zhǔn)規(guī)范**縣**醫(yī)院管理。

 第九條

 **縣**醫(yī)院信息安全工作的目標(biāo)是:通過建立和完善信息安全的策略體系、組織體系、技術(shù)體系和運作體系,保障日常工作的開展和各信息系統(tǒng)的連續(xù)正常穩(wěn)定運行,維護(hù)信息系

 統(tǒng)的數(shù)據(jù)安全,促進(jìn)**縣**醫(yī)院信息化工作健康發(fā)展。

 第五章

 附則

 第十條

 本文件由信息科負(fù)責(zé)解釋與修訂。

 信息系統(tǒng)安全管理策略 第一章

 總則

 第一條 本策略為**縣**醫(yī)院各項信息安全工作提供依據(jù)和指導(dǎo)。

 第二條**縣**醫(yī)院信息安全工作由信息化建設(shè)領(lǐng)導(dǎo)小組牽頭,信息科具體組織,各部門分塊負(fù)責(zé),全員參與,專人管理。

 第三條**縣**醫(yī)院信息安全工作以風(fēng)險管理為基礎(chǔ),在安全、效率和成本之間始終堅持“安全第一”的原則。

 第二章

 信息安全組織及職責(zé)

 第四條**縣**醫(yī)院信息化建設(shè)領(lǐng)導(dǎo)小組 (一)統(tǒng)籌領(lǐng)導(dǎo)**縣**醫(yī)院信息安全工作,指導(dǎo)信息科負(fù)責(zé)的重大的信息安全工作; (二)審查和核準(zhǔn)信息安全策略及制度; (三)審核批準(zhǔn)重大的信息安全活動; (四)審核批準(zhǔn)對信息安全事故的處置意見。

 第五條信息科 (一)負(fù)責(zé)組織**縣**醫(yī)院信息安全工作; (二)負(fù)責(zé)制定**縣**醫(yī)院信息安全管理制度、技術(shù)規(guī)定、應(yīng)急預(yù)案等,并督促執(zhí)行;

 (三)負(fù)責(zé)對**縣**醫(yī)院內(nèi)各系統(tǒng)安全的檢查和防護(hù),及時處置安全風(fēng)險; (四)負(fù)責(zé)對計算機(jī)病毒感染的預(yù)防、檢測和清除,定期維護(hù)計算機(jī)軟件和數(shù)據(jù)、對重要信息定期進(jìn)行檢查和備份; (五)負(fù)責(zé)信息安全事故的處置; (六)負(fù)責(zé)組織信息安全培訓(xùn)和宣傳。

 第六條

 信息安全責(zé)任 **縣**醫(yī)院其他部門主要負(fù)責(zé)人是信息安全第一責(zé)任人,負(fù)責(zé)本部門所有與信息安全相關(guān)的活動。其他部門信息安全聯(lián)絡(luò)員負(fù)責(zé)配合信息安全相關(guān)的檢查、管理、上報及其他需協(xié)調(diào)的工作。

 第七條信息科必須與接觸**縣**醫(yī)院敏感信息和核心技術(shù)資料的第三方簽署保密協(xié)議,并與在**縣**醫(yī)院工作的第三方人員簽署個人保密協(xié)議。

 第三章

 安全風(fēng)險管理

 第八條

 定期對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)等進(jìn)行漏洞識別與分析,對系統(tǒng)中所存在的高風(fēng)險漏洞按照流程進(jìn)行處置。

 第九條

 每年至少進(jìn)行一次全面的風(fēng)險評估,以確定是否存在新的威脅或薄弱點,并分析是否需要增加新的安全控制措施。

 第十條 當(dāng)發(fā)生以下情況時需及時進(jìn)行風(fēng)險評估工作:

。ㄒ唬┊(dāng)發(fā)生重大信息安全事件時; (二)當(dāng)信息系統(tǒng)發(fā)生重大變更時; (三)信息化建設(shè)領(lǐng)導(dǎo)小組確定必要時。

 第十一條 針對風(fēng)險評估結(jié)果制定風(fēng)險控制措施及實施計劃。風(fēng)險整改后,應(yīng)再次進(jìn)行評估,以確保風(fēng)險得到正確規(guī)避。

 第四章

 資產(chǎn)安全管理

 第十二條 信息資產(chǎn)是指有業(yè)務(wù)價值的實物或者虛擬的事物。

 第十三條

 各部門應(yīng)識別與信息生命周期有關(guān)的資產(chǎn),形成資產(chǎn)清單,及時更新,并指定資產(chǎn)所有人,資產(chǎn)所有人負(fù)責(zé)資產(chǎn)的維護(hù)與安全,對資產(chǎn)進(jìn)行安全等級劃分。

 第十四條

 資產(chǎn)管理 (一)對所管理的資產(chǎn)必須明確說明使用、發(fā)布、復(fù)制、存儲、傳輸、銷毀的過程并記錄; (二)資產(chǎn)所有人負(fù)責(zé)信息的授權(quán),資產(chǎn)只能授權(quán)給工作必須的人員; (三)信息的獲取應(yīng)該遵照工作需要原則、受控審批的原則,嚴(yán)禁未經(jīng)批準(zhǔn)的私下獲取行為;在對外提供任何可能涉及**縣**醫(yī)院信息的資料、數(shù)據(jù)、信息之前,不管提供的對象是上級管理部門,還是第三方,都必須事先經(jīng)過資產(chǎn)所有人的審批許可; (四)未經(jīng)批準(zhǔn),嚴(yán)禁泄露信息系統(tǒng)的安全控制機(jī)制。對外公布的信息必須經(jīng)過審批,不得在公開媒體上發(fā)布、談?wù)摵蛡鞑?*縣**醫(yī)院的數(shù)據(jù)和信息; (五)必須采用**縣**醫(yī)院批準(zhǔn)的銷毀方式銷毀信息。

 第五章

 人員安全管理

 第十五條 聘用條款和保密協(xié)議

。ㄒ唬┬畔⒖破赣萌藛T的聘用條款應(yīng)明確信息安全責(zé)任; (二)所有信息安全相關(guān)人員需與**縣**醫(yī)院簽訂保密協(xié)議及崗位責(zé)任協(xié)議,明確各崗位安全職責(zé)。

 第十六條

 人員審查 (一)對相關(guān)信息化供應(yīng)商以及工作人員應(yīng)按照相關(guān)法律法規(guī)和對應(yīng)的業(yè)務(wù)要求進(jìn)行安全資格審查; (二)必須對進(jìn)入關(guān)鍵崗位的職工進(jìn)行資格審查和技能考核。

 第十七條 定期組織干部職工以及相關(guān)第三方人員學(xué)習(xí)信息安全知識,進(jìn)行安全意識、安全態(tài)勢培訓(xùn)。

 第十八條

 人員離職時應(yīng)及時收回所有涉及**縣**醫(yī)院業(yè)務(wù)內(nèi)容的資料、數(shù)據(jù)、信息,立即取消所有訪問信息系統(tǒng)的權(quán)限。

 第十九條

 人員調(diào)離其他單位,需提交調(diào)離申請,經(jīng)相關(guān)領(lǐng)導(dǎo)審批后進(jìn)行工作交接,并對**縣**醫(yī)院有關(guān)所有信息進(jìn)行保密,如若發(fā)現(xiàn)泄密,需承擔(dān)相關(guān)的法律責(zé)任。

 第六章

 物理和環(huán)境安全

 第二十條

 場地安全 (一)信息科應(yīng)根據(jù)國家相關(guān)標(biāo)準(zhǔn)以及工作性質(zhì)劃分相應(yīng)的安全級別,并建立相應(yīng)的準(zhǔn)入控制措施; (二)所有受控區(qū)域必須指定信息安全管理責(zé)任人。

。ㄈ⿷(yīng)建立外來人員訪問機(jī)制,確保只有授權(quán)人員才允許進(jìn)入受控區(qū)域。

。ㄋ模⿷(yīng)建立受控區(qū)域安全操作規(guī)程,需要避免在受控區(qū)域進(jìn)行不受監(jiān)督的工作。

 第二十一條

 設(shè)備安全 (一)將設(shè)備放置到相應(yīng)級別控制區(qū)域; (二)建立防盜、報警、環(huán)境監(jiān)控等保護(hù)措施; (三)應(yīng)保護(hù)設(shè)備使其免于支持性設(shè)施(電、溫濕度、通信)失效而引起設(shè)備故障。

。ㄋ模┎捎脤I(yè)技術(shù)人員對設(shè)備進(jìn)行維護(hù),確保其持續(xù)的可用性和完整性。

。ㄎ澹┰O(shè)備、信息或軟件在授權(quán)之前不宜帶出受控區(qū)域。

 第二十二條

 環(huán)境安全 (一)辦公室環(huán)境需滿足正常的保密要求。

。ǘ┺k公室照明需滿足目視及攝像頭觀測照度清晰要求。

 第七章

 網(wǎng)絡(luò)通信安全管理

 第二十三條

 通過物理分離、防火墻、上網(wǎng)行為控制設(shè)備、VLAN 劃分進(jìn)行內(nèi)外網(wǎng)的物理和邏輯劃分,建立網(wǎng)絡(luò)安全區(qū)域,明確安全邊界,并進(jìn)行網(wǎng)絡(luò)訪問行為限制和監(jiān)控。

 第二十四條

 網(wǎng)絡(luò)設(shè)備 (一)網(wǎng)絡(luò)設(shè)備的安裝、配置、變更、撤銷等操作必須經(jīng)過信息科相關(guān)領(lǐng)導(dǎo)審批; (二)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、IP 地址等信息未經(jīng)授權(quán),嚴(yán)禁泄露; (三)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄操作應(yīng)限定在指定網(wǎng)段范圍內(nèi)。

 第二十五條

 所有與**縣**醫(yī)院的網(wǎng)絡(luò)進(jìn)行連接都需要經(jīng)過信息化建設(shè)領(lǐng)導(dǎo)小組的批準(zhǔn);所有與**縣**醫(yī)院外部網(wǎng)絡(luò)相連的

 出入口處必須設(shè)立防火墻;通過接入服務(wù)器接入**縣**醫(yī)院內(nèi)部網(wǎng)絡(luò)時,必須經(jīng)過認(rèn)證。與**縣**醫(yī)院外部網(wǎng)絡(luò)相連接的系統(tǒng)必須有專人負(fù)責(zé)管理。

 第八章

 操作安全管理

 第二十六條

 運作流程 (一)必須明確并遵循信息系統(tǒng)運作的變更流程; (二)必須明確并遵循安全問題處理流程; (三)信息系統(tǒng)的生產(chǎn)環(huán)境和開發(fā)測試環(huán)境需要分離; (四)系統(tǒng)的超級管理權(quán)限應(yīng)采取雙人控制,互相制衡。

 第二十七條

 惡意軟件的防護(hù) (一)實施惡意軟件的監(jiān)測、預(yù)防和恢復(fù)的控制措施; (二)**縣**醫(yī)院的計算機(jī)系統(tǒng)都必須安裝、運行單位統(tǒng)一部署的防病毒軟件,并及時升級。未經(jīng)批準(zhǔn),不能安裝其它的防病毒軟件; (三)接收和發(fā)布信息時須進(jìn)行病毒檢測; (四)服務(wù)器必須實時運行防病毒軟件; (五)定期對**縣**醫(yī)院的聯(lián)網(wǎng)辦公設(shè)備進(jìn)行掃描,及時發(fā)現(xiàn)漏洞并修復(fù)。

 第二十八條

 信息系統(tǒng)管理 (一)建立備份策略,按照策略的要求,定期備份和測試信息、軟件及系統(tǒng)。

。ǘ⿲ο到y(tǒng)操作人員的活動進(jìn)行日志記錄; (三)定期檢查和處理系統(tǒng)日志;

。ㄋ模⿲σ恍┲匾男畔⑾到y(tǒng)進(jìn)行實時監(jiān)控; (五)對組織內(nèi)部的辦公設(shè)施進(jìn)行時鐘同步; (六)非正版軟件不能安裝。

 第九章

 訪問控制

 第二十九條

 用戶訪問管理 (一)帳戶開戶 1.根據(jù)工作相關(guān)性原則并經(jīng)過審批后為個人分配權(quán)限; 2.建立帳戶開戶和銷戶的閉環(huán)流程,控制用戶對系統(tǒng)的訪問權(quán)限; 3.含有保密信息的系統(tǒng)禁止建立公用帳戶; 4.用戶的崗位或職責(zé)發(fā)生變化時,應(yīng)立即變更或取消相應(yīng)的訪問權(quán)限; 5.對分配的權(quán)限必須記錄和進(jìn)行維護(hù)。

。ǘ┛诹罟芾 1.口令的管理責(zé)任人為賬戶的使用者; 2.口令的設(shè)置要遵循**縣**醫(yī)院有關(guān)規(guī)定。

。ㄈ⿲τ脩粼L問權(quán)限進(jìn)行定期檢查; (四)用戶責(zé)任 1.用戶應(yīng)采取方式保證口令安全; 2.不得共享個人的口令; 3.定期更改口令。

 第三十條操作系統(tǒng)訪問控制 (一)嚴(yán)格控制操作系統(tǒng)管理員對系統(tǒng)文件和業(yè)務(wù)數(shù)據(jù)的操

 作權(quán)限; (二)根據(jù)工作相關(guān)性原則授予用戶相應(yīng)權(quán)限; (三)系統(tǒng)建立的日志必須滿足審計要求,系統(tǒng)日志必須安全存放,防止被非授權(quán)的訪問; (四)必須及時安裝系統(tǒng)安全補(bǔ)。 (五)關(guān)閉所有系統(tǒng)不需要的系統(tǒng)服務(wù); (六)服務(wù)器的密碼文件須加密存放; (七)定期修改用戶口令。

 第三十一條 應(yīng)用系統(tǒng)訪問控制 (一)根據(jù)業(yè)務(wù)訪問控制策略對用戶嚴(yán)格授權(quán); (二)嚴(yán)格限制業(yè)務(wù)人員越過應(yīng)用程序?qū)笈_數(shù)據(jù)庫或操作系統(tǒng)直接訪問; (三)建立和維護(hù)應(yīng)用系統(tǒng)的用戶權(quán)限表; (四)刪除所有系統(tǒng)上不使用的帳號。

 第十章

 運行維護(hù)安全管理

 第三十二條

 建立日常維護(hù)相關(guān)操作規(guī)程和規(guī)范手冊,規(guī)范介質(zhì)管理、賬號口令管理、補(bǔ)丁管理、防病毒管理、服務(wù)器運行管理等日常運行維護(hù)操作。

 第十一章

 系統(tǒng)開發(fā)

 第三十三條

 確保安全貫穿系統(tǒng)整個生命周期的各個階段。

 第三十四條

 系統(tǒng)的規(guī)劃設(shè)計階段必須做安全需求分析、總體安全設(shè)計、安全建設(shè)規(guī)劃。

 第三十五條

 系統(tǒng)開發(fā)策略

。ㄒ唬┙⒉⒆裱踩_發(fā)標(biāo)準(zhǔn); (二)、進(jìn)行風(fēng)險分析和風(fēng)險管理,確定系統(tǒng)安全控制機(jī)制; (三)操作人員只保留可執(zhí)行代碼; (四)程序源代碼盡可能不要保留在運行系統(tǒng)上; (五)在系統(tǒng)發(fā)布前,應(yīng)進(jìn)行安全測試。

 第三十六條

 加密策略 (一)加密算法必須是經(jīng)過政府批準(zhǔn)的或符合業(yè)界標(biāo)準(zhǔn); (二)密匙必須有明確的管理人員。

。ㄈ┘用艿臄(shù)據(jù)和口令須分開傳遞; (四)使用加密保護(hù)敏感數(shù)據(jù),明確密鑰管理員的職責(zé); (五)密鑰產(chǎn)生、分發(fā)、存儲的相關(guān)信息必須防止泄露給未授權(quán)的人員,當(dāng)這些信息不再需要時,必須采用規(guī)定的方式予以銷毀。

 第十二章

 信息安全事件管理

 第三十七條

 各部門應(yīng)了解信息安全事件管理目標(biāo),熟悉信息安全應(yīng)急響應(yīng)流程,確保能快速、有效和有序地響應(yīng)信息安全事件。

 第三十八條

 各部門相關(guān)人員應(yīng)盡可能早的將信息安全事件通告給部門負(fù)責(zé)人,信息科根據(jù)安全事件的類型和級別定義判斷安全事件,根據(jù)安全事件處理流程進(jìn)行處理和匯報。

 第三十九條

 信息科根據(jù)信息安全事件預(yù)案向信息化建設(shè)領(lǐng)導(dǎo)小組提出應(yīng)急恢復(fù)流程的啟動申請,經(jīng)批準(zhǔn)后,按照應(yīng)急恢復(fù)流程處理。

 第十三章

 應(yīng)急響應(yīng)管理

 第四十條

 建立統(tǒng)一的應(yīng)急預(yù)案框架,應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。

 第四十一條

 從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。

 第四十二條

 應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。定期對應(yīng)急預(yù)案進(jìn)行演練,根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容,確定演練的周期。

 第十四章

 信息安全通報機(jī)制

 第四十三條

 **縣**醫(yī)院信息科負(fù)責(zé)組織信息安全信息通報工作,必要時,向**縣**醫(yī)院各部門通報信息安全工作情況以及安全預(yù)警和病毒攻擊等信息。

 第四十四條

 各部門信息安全聯(lián)絡(luò)員負(fù)責(zé)收集和反饋本部門信息安全信息,并向信息科報送。

 第四十五條

 將信息安全通報作為信息安全工作的重要環(huán)節(jié)。不能出現(xiàn)瞞報、緩報、謊報信息安全事件和推諉責(zé)任的行為。

 第十五章

 附則

 第四十六條

 本方針由信息科負(fù)責(zé)解釋與修訂。

 信息安全檢查管理辦法 第一章總則 第一條

 為了加強(qiáng)和規(guī)范**縣**醫(yī)院信息安全檢查工作,保障相關(guān)信息系統(tǒng)安全運行,特制定本管理辦法。

 第二條

 信息安全檢查依據(jù)國家有關(guān)法律法規(guī)、行業(yè)有關(guān)規(guī)章制度,單位信息安全相關(guān)規(guī)章制度。

 第三條

 信息安全檢查對象為**縣**醫(yī)院的光彩龍駒網(wǎng)約車系統(tǒng)。

 第四條

 信息技術(shù)工作檢查可采取日常檢查、組織自查、專項檢查、年度檢查等方式。年度檢查對象包括所有相關(guān)部門,且每年不少于二次。

 第二章組織機(jī)構(gòu)與職責(zé) 第五條

 信息科負(fù)責(zé)信息安全檢查工作,根據(jù)當(dāng)前現(xiàn)狀明確檢查重點,制定檢查標(biāo)準(zhǔn)。

 第六條

 信息科成立信息安全檢查小組,具體負(fù)責(zé)信息安全檢查工作的實施。

 第三章信息安全檢查分類 第七條

 各部門及相關(guān)人員要配合各項信息安全檢查工作,并按要求完成檢查中發(fā)現(xiàn)問題項的整改工作。

 第八條

 **縣**醫(yī)院的信息安全檢查包括信息安全主管部門對**縣**醫(yī)院進(jìn)行的專項信息安全檢查、信息安全認(rèn)證機(jī)構(gòu)對**縣**醫(yī)院的信息安全外部審核、風(fēng)險監(jiān)管部門主導(dǎo)的信息安全內(nèi)部審核和內(nèi)部信息安全技術(shù)檢查等。

 第四章信息安全檢查內(nèi)容 第九條

 計算機(jī)安全檢查 1.計算機(jī)應(yīng)安裝殺毒、防護(hù)等軟件,及時更新系統(tǒng),修復(fù)漏洞。

 2.非涉密計算機(jī)不得存儲涉密文件、敏感信息。

 3.涉密計算機(jī)和安裝了“三合一系統(tǒng)”的計算機(jī)必須按照相關(guān)規(guī)定嚴(yán)格管理,嚴(yán)禁違規(guī)外聯(lián)。

 第十條

 系統(tǒng)安全與設(shè)備管理的檢查

 1.服務(wù)器

  (1)服務(wù)器應(yīng)具有充分的可靠性和充足的容量。

  (2)服務(wù)器應(yīng)具有一定的容錯特性,宜采用鏡像、陣列、雙機(jī)、群集等容錯技術(shù)。

。3)服務(wù)器有安全可靠的備份措施。

 2.工作站

。1)工作站應(yīng)具有良好的性能及可靠性。

。2)除計算機(jī)機(jī)房外,一律使用無軟驅(qū)或光驅(qū)等可卸存儲裝置的網(wǎng)絡(luò)工作站。

  (3)重要工作站應(yīng)有冗余備份。

 第十一條

 安全管理情況的檢查

 1.建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系。

 2.嚴(yán)格按管理制度規(guī)定進(jìn)行管理,按操作規(guī)程進(jìn)行操作,并進(jìn)行記錄。

 第五章信息安全檢查實施 第十二條

 實施檢查前,檢查小組根據(jù)檢查目的和被檢查部門情況,確定檢查范圍、檢查重點,制定檢查工作計劃,編制相應(yīng)檢查表格。

 第十三條

 組織進(jìn)行自查時,被檢查部門應(yīng)如實填寫自查表,對存在的問題隱瞞不報的,將追究相關(guān)部門和個人責(zé)任。

 第十四條

 進(jìn)行現(xiàn)場檢查時,檢查小組應(yīng)提前通知被檢查部門,可根據(jù)需要要求被檢查部門進(jìn)行自查,以提高現(xiàn)場檢查工作效率。每次檢查前,檢查小組應(yīng)核查上次檢查提出的整改意見是否落實,整改措施是否有效。

 第十五條

 被檢查部門應(yīng)積極配合檢查工作,按檢查人員要求提供與檢查工作相關(guān)的資料,并對所提供資料的真實性、完整性負(fù)責(zé)。

 第十六條

 檢查過程中應(yīng)切實防范檢查操作風(fēng)險,不得對在線運行系統(tǒng)進(jìn)行檢查測試和網(wǎng)絡(luò)掃描檢測。因檢查需要需使用輔助檢測工具時,應(yīng)經(jīng)信息科負(fù)責(zé)人審批同意后方可使用。

 第十七條

 檢查過程中發(fā)現(xiàn)問題和安全隱患時,檢查小組應(yīng)及時與被檢查部門溝通確認(rèn)后,擬定整改建議。對于隨時可能引發(fā)事故的問題和安全隱患,應(yīng)要求立即整改。

  第六章信息安全檢查報告 第十八條

 檢查工作結(jié)束后,檢查小組應(yīng)及時撰寫檢查報告上報信息化建設(shè)領(lǐng)導(dǎo)小組,根據(jù)批示意見對檢查結(jié)果進(jìn)行通報,對存在問題和安全隱患的部門下發(fā)整改意見書,要求限期完成整改工作。

 第十九條

 檢查小組應(yīng)跟蹤整改工作的落實情況,必要時可對整改工作落實情況進(jìn)行確認(rèn)檢查。

 第七章附則 第二十條

 本管理辦法由信息科負(fù)責(zé)解釋與修訂。

 信息安全違章行為責(zé)任追究辦法 第一章 總則 第一條

 為加強(qiáng)**縣**醫(yī)院工作人員的信息安全責(zé)任意識,界定工作人員信息安全違章行為,明確信息安全違章責(zé)任追究和處罰依據(jù),特制定本管理辦法。

 第二條

 信息安全違章行為分為一般違章和嚴(yán)重違章。信息安全違章行為由信息科負(fù)責(zé)組織調(diào)查和認(rèn)定,并依據(jù)本辦法進(jìn)行責(zé)任追究。

 第三條

 本管理辦法中所稱“計算機(jī)”包括桌面計算機(jī)、便攜式計算機(jī)(含各類上網(wǎng)本),除特別說明,通指內(nèi)網(wǎng)計算機(jī)和外網(wǎng)計算機(jī)。

 第四條

 本管理辦法適用于所有與信息系統(tǒng)相關(guān)的人員。

 第二章 違章行為界定 第五條

 凡具有下列行為之一均屬違章行為:

 1. 違反國家信息安全有關(guān)法律和法規(guī)。

 2. 違反**縣**醫(yī)院信息安全管理規(guī)章制度。

 第六條

 一般違章界定 (一)計算機(jī)未設(shè)置操作系統(tǒng)登錄口令;設(shè)置了操作系統(tǒng)登錄口令,但口令長度低于 8 位且不是由字母、數(shù)字或符號組合構(gòu)成;未啟用屏幕保護(hù)和超時鎖屏功能。

。ǘ┪窗匆(guī)定安裝運行或自行卸載單位統(tǒng)一的防病毒軟件、補(bǔ)丁更新策略、桌面終端管理軟件。

 (三)未按要求使用安全移動存儲介質(zhì)進(jìn)行內(nèi)外網(wǎng)信息交換,擅自刪除或破壞已注冊安全移動存儲介質(zhì)內(nèi)的管理軟件。

。ㄋ模┥米孕遁d(含格式化)**縣**醫(yī)院規(guī)定安裝的操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)客戶端。

。ㄎ澹┪词褂脝挝唤y(tǒng)一的外網(wǎng)郵件系統(tǒng)處理和發(fā)送與工作相關(guān)的電子郵件。

 (六)計算機(jī)外委維修時未拆除硬盤導(dǎo)致與工作有關(guān)的信息外泄;更換計算機(jī)和硬盤或在報廢處理前,未對原硬盤進(jìn)行信息不可恢復(fù)操作處理(如低級格式化等)。

 (七)在內(nèi)網(wǎng)計算機(jī)上對未關(guān)閉互聯(lián)網(wǎng)訪問功能的手機(jī)和PDA 等設(shè)備進(jìn)行充電或數(shù)據(jù)同步導(dǎo)致發(fā)生違規(guī)外聯(lián)。開啟文件共享且不設(shè)置共享密碼或共享密碼過于簡單導(dǎo)致共享文件被非授權(quán)訪問和破壞。

 (八)移動存儲介質(zhì)丟失未向**縣**醫(yī)院信息科和保密管理部門及時報告,并說明移動存儲介質(zhì)中包含哪些與工作相關(guān)的文件、數(shù)據(jù)和程序。

。ň牛┥米詫⒈救说拈T戶及應(yīng)用系統(tǒng)帳號和口令告訴他人由其長期代為進(jìn)行業(yè)務(wù)操作。

。ㄊ┕ぷ魅藛T崗位異動后未及時向信息科申請賬號和權(quán)限的變更。

 (十一)違反單位信息安全管理規(guī)定被認(rèn)定為一般違章的其他行為。

 第七條

 嚴(yán)重違章界定 (一)未經(jīng)信息科進(jìn)行安全檢測和許可,擅自將外來人員的

 計算機(jī)接入信息內(nèi)網(wǎng)或信息外網(wǎng)。

。ǘ┥米愿挠嬎銠C(jī)網(wǎng)卡的 MAC 地址或 IP/MAC 地址綁定策略。

 (三)在計算機(jī)上私自開啟 DHCP、WWW、FTP、VOD、代理、游戲、論壇等服務(wù)對網(wǎng)絡(luò)訪問造成干擾或信息資源被非授權(quán)訪問。

 (四)在內(nèi)網(wǎng)計算機(jī)上利用電話線、電信運營商 ADSL、無線上網(wǎng)卡或具備上網(wǎng)功能的手機(jī)和 PDA 等設(shè)備訪問互聯(lián)網(wǎng),以及任何具備有意識或故意性質(zhì)使用內(nèi)網(wǎng)計算機(jī)訪問互聯(lián)網(wǎng)。

。ㄎ澹┦褂檬謾C(jī)或 PDA 設(shè)備的無線 WIFI 功能訪問信息內(nèi)網(wǎng)或信息外網(wǎng)。

。┰谟嬎銠C(jī)中存儲和處理國家、單位秘密信息,在外網(wǎng)計算機(jī)中存儲涉及單位重要敏感信息的電子文件。

 (七)在同一臺計算機(jī)(包括具備隔離卡和雙硬盤的計算機(jī))上安裝兩個操作系統(tǒng)或雙網(wǎng)卡分別接入信息內(nèi)網(wǎng)和信息外網(wǎng)。

。ò耍┌踩苿咏橘|(zhì)損壞后私自丟棄未交信息科處理并造成單位重要信息外泄。

。ň牛┧阶栽诰W(wǎng)絡(luò)中接入任何具備網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、MAC克隆等功能的網(wǎng)絡(luò)交換機(jī)和路由器等有線設(shè)備和無線設(shè)備。

。ㄊ┥米越M建無線網(wǎng)絡(luò)并接入信息內(nèi)網(wǎng)。

 (十一)干擾他人正常工作行為,包括:發(fā)布不真實信息、垃圾信息;散布病毒及木馬;未經(jīng)授權(quán)或通過口令猜測和破解等手段使用他人設(shè)備、系統(tǒng)、郵箱等。

。ㄊ┥米栽谟嬎銠C(jī)中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進(jìn)行網(wǎng)絡(luò)掃描或攻擊破壞。

。ㄊ┚芙^信息科維護(hù)人員對計算機(jī)進(jìn)行安全性檢查和安裝單位統(tǒng)一要求的桌面終端管理軟件、防病毒軟件等。

 (十四)違反**縣**醫(yī)院信息安全管理規(guī)定被認(rèn)定為嚴(yán)重違章的其他行為。

 第三章督察與檢查 第八條

 對違章的查處采用專項督查、日常檢查及應(yīng)用工具軟件檢查相結(jié)合的方式進(jìn)行。

 第九條

 發(fā)生信息安全違章,按照管理權(quán)限,實行分級查處、分級追究。

。ㄒ唬**縣**醫(yī)院各部門自查自糾發(fā)現(xiàn)的違章,參照本辦法自行處理。

 (二)信息科組織的督查、日常檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章,按照本辦法規(guī)定處理。

。ㄈ﹩挝欢讲椤⑷粘9ぷ鳈z查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章,按本規(guī)定處理并將處理情況報告單位領(lǐng)導(dǎo)。

 第四章 處罰規(guī)定 第十條

 在年度內(nèi)第一次發(fā)生一般違章,對當(dāng)事人給予誡勉談話或通報批評;半年內(nèi)同一當(dāng)事人發(fā)生兩次一般違章,對當(dāng)事人給予 200~600 元的經(jīng)濟(jì)處罰并通報批評;一年內(nèi)同一當(dāng)事人發(fā)生三次一般違章,對當(dāng)事人給予 1000~1500 元的經(jīng)濟(jì)處罰,并對當(dāng)事人所屬部門予以通報批評。

 第十一條

 在年度內(nèi)第一次發(fā)生嚴(yán)重違章,對當(dāng)事人給予

 600~800 元的經(jīng)濟(jì)處罰,并對當(dāng)事人所屬部門予以通報批評;半年內(nèi)同一當(dāng)事人發(fā)生兩次嚴(yán)重違章,除對當(dāng)事人給予 1000~1500 元的經(jīng)濟(jì)處罰,通報批評當(dāng)事人所屬部門外,當(dāng)事人必須自學(xué)網(wǎng)絡(luò)信息安全基本知識并通過信息科的考核;一年內(nèi)同一當(dāng)事人發(fā)生三次嚴(yán)重違章,給予當(dāng)事人下崗 1 個月的處罰,享受下崗人員待遇至當(dāng)事人申請并經(jīng)計算機(jī)所對其進(jìn)行信息安全基本知識考核合格后方能上崗。

 第五章附則 第十二條

 本管理辦法由信息科負(fù)責(zé)解釋。

 安全教育和培訓(xùn)管理辦法 第一章總則 第一條

 為規(guī)范**縣**醫(yī)院信息安全培訓(xùn)及教育工作,對干部職工進(jìn)行有關(guān)信息安全管理的理論培訓(xùn)、安全管理制度教育、安全防范意識宣傳和專門安全技術(shù)訓(xùn)練,確保**縣**醫(yī)院信息安全策略、規(guī)章制度和技術(shù)規(guī)范的順利執(zhí)行,特制定本管理規(guī)定。

 第二章信息安全培訓(xùn)要求 第二條

  信息安全培訓(xùn)工作需要分層次、分階段、循序漸進(jìn)地進(jìn)行,而且必須是能夠覆蓋全員的培訓(xùn)。

 第三條

  應(yīng)制定完善的《培訓(xùn)計劃》,計劃應(yīng)包含培訓(xùn)方式、培訓(xùn)類別、培訓(xùn)內(nèi)容、培訓(xùn)費用等信息,并且需要相關(guān)領(lǐng)導(dǎo)對培訓(xùn)計劃進(jìn)行審批。

 第四條

  分層次培訓(xùn)是指對不同層次的人員,如對管理層、信息安全管理人員,信息安全聯(lián)絡(luò)員和普通干部開展有針對性和不同側(cè)重點的培訓(xùn)。

 第五條

  分階段是指在信息安全管理體系的建立、實施和保持的不同階段,培訓(xùn)工作要有計劃地分步實施;信息安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進(jìn)行。

 第六條

  管理層培訓(xùn) (一)

 管理層培訓(xùn)目標(biāo)是明確建立信息安全體系的重要性,獲得管理層的支持和承諾。

 (二)

 管理層培訓(xùn)方式可以采用聘請外部信息安全培訓(xùn)、專業(yè)技術(shù)專家和咨詢顧問以專題講座、研討會等形式。

 第七條

  信息安全管理人員培訓(xùn) (一)

 信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原理和相關(guān)技術(shù)、強(qiáng)化信息安全意識、支撐信息安全體系的建立、實施和保持。

 (二)

 信息安全管理人員培訓(xùn)方式可以采用聘請外部信息安全專業(yè)資格授證培訓(xùn)、參加信息安全專業(yè)培訓(xùn)、自學(xué)信息安全管理理論及技術(shù)和內(nèi)部學(xué)習(xí)研討的方式。

 第八條

  信息安全聯(lián)絡(luò)員培訓(xùn) (一)

 信息安全聯(lián)絡(luò)員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)安全技術(shù),協(xié)助維護(hù)和保障系統(tǒng)正常、安全運行。

。ǘ

 信息安全聯(lián)絡(luò)員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。

 第九條

  普通干部培訓(xùn) (一) 普通干部培訓(xùn)目標(biāo)是了解相關(guān)信息安全制度和技術(shù)規(guī)范,并安全、高效地使用信息系統(tǒng)。

 (二) 普通干部培訓(xùn)方式應(yīng)主要采取內(nèi)部培訓(xùn)的方式。

 第三章信息安全培訓(xùn)內(nèi)容 第十條

  各級領(lǐng)導(dǎo)及職工應(yīng)明確了解信息安全體系,并明確各自的安全職責(zé),明確自身對維護(hù)保障系統(tǒng)正常、安全運行所需承擔(dān)的相關(guān)責(zé)任和義務(wù)。

 第十一條

 針對業(yè)務(wù)需求進(jìn)行相應(yīng)安全意識培訓(xùn),提高員工

 的安全意識和防范能力。

 第十二條

 針對系統(tǒng)的維護(hù)人員和管理員應(yīng)定期開展安全技術(shù)教育培訓(xùn)(每年至少一次),明確如何安全使用有關(guān)業(yè)務(wù)系統(tǒng)及普通計算機(jī)周邊硬件設(shè)備。

 第四章信息安全培訓(xùn)管理 第十三條

 信息安全培訓(xùn)發(fā)起:

。ㄒ唬

 信息安全培訓(xùn)教育,納入**縣**醫(yī)院的整體培訓(xùn)計劃中。

。ǘ

 具體操作過程遵守**縣**醫(yī)院的相關(guān)培訓(xùn)管理制度。

 第十四條

 信息安全培訓(xùn)實施:

。ㄒ唬

 信息安全培訓(xùn)的實施,主要由信息科負(fù)責(zé)組織和考核。

。ǘ

 對專業(yè)性很強(qiáng)的安全培訓(xùn),由信息科負(fù)責(zé)聘請外部專家進(jìn)行安全培訓(xùn)。

。ㄈ

 具體操作過程遵守相關(guān)培訓(xùn)管理制度。

 第十五條

 信息安全培訓(xùn)過程中,要做好《培訓(xùn)簽到表》,并將參與培訓(xùn)人員整理、備案。

 第五章附則 第十六條

 本管理辦法由信息科負(fù)責(zé)解釋與修訂。

 外來人員安全訪問管理辦法 第一章總則 第一條

 為了規(guī)范第三方用戶訪問**縣**醫(yī)院內(nèi)部信息系統(tǒng)時的行為,保護(hù)**縣**醫(yī)院網(wǎng)絡(luò)與信息系統(tǒng)安全,特制定本管理辦法。

 第二章來訪人員出入管理 第二條

 第三方人員進(jìn)入**縣**醫(yī)院所屬單位及其建筑物,應(yīng)遵守**縣**醫(yī)院相關(guān)安保制度。

 第三條

 未經(jīng)**縣**醫(yī)院特別許可,第三方人員不得在信息科內(nèi)攝影、拍照。

 第四條

 **縣**醫(yī)院干部職工要遵守相關(guān)安全保密規(guī)定,禁止與第三方人員談?wù)撆c其工作無關(guān)的內(nèi)容。

 第三章機(jī)房出入管理 第五條

 除以下情況外,不得引領(lǐng)和允許第三方人員訪問機(jī)房等重要區(qū)域:

 ( (一 一) ) **縣**醫(yī)院領(lǐng)導(dǎo)批準(zhǔn)的參觀活動; ( (二 二) ) 必要的儀器設(shè)備現(xiàn)場安裝、維修、調(diào)測; ( (三 三) ) 第三方因業(yè)務(wù)需要進(jìn)入上述區(qū)域的其它情形。

  第四章網(wǎng)絡(luò)訪問管理 第六條

 **縣**醫(yī)院信息安全管理人員有義務(wù)向第三方人員

 說明網(wǎng)絡(luò)接入安全要求。

 第七條

 第三方人員不允許私自連接醫(yī)院網(wǎng)絡(luò)。如果必要,必須提出申請,征得信息科允許后方可接入。第三方人員連接網(wǎng)絡(luò)要進(jìn)行相應(yīng)登記備案,并簽訂網(wǎng)絡(luò)使用安全協(xié)議。

 第八條

 長期使用內(nèi)部網(wǎng)絡(luò)的第三方人員的計算機(jī)必須接受**縣**醫(yī)院的統(tǒng)一客戶端管理,包括客戶端管理軟件的安裝、安全策略的配置等。

 第九條

 第三方人員如果需要訪問網(wǎng)絡(luò)資源,須提前明確申請要訪問資源的類型、范圍和方式,以便管理員進(jìn)行審批,并提供相應(yīng)的訪問權(quán)限和訪問方法。

 第十條

 第三方人員操作服務(wù)器或網(wǎng)絡(luò)設(shè)備,必須使用臨時帳號,使用之后由相應(yīng)的管理人員及時清除;對于長期在**縣**醫(yī)院工作的技術(shù)支持、顧問、服務(wù)人員,如果需要長期操作服務(wù)器或網(wǎng)絡(luò)設(shè)備,管理人員應(yīng)該為第三方人員創(chuàng)建單獨的帳號。

 第十一條

 **縣**醫(yī)院有權(quán)對第三方人員在醫(yī)院內(nèi)部網(wǎng)絡(luò)的活動進(jìn)行檢查、審計和監(jiān)控。

 第十二條

 第三方人員的計算機(jī)要求安裝有防病毒軟件,不得攜帶有木馬、病毒等破壞性程序。

 第十三條

 第三方人員不準(zhǔn)使用**縣**醫(yī)院網(wǎng)絡(luò)從事同工作無關(guān)的網(wǎng)絡(luò)活動。

 第十四條

 第三方人員不準(zhǔn)在**縣**醫(yī)院網(wǎng)絡(luò)內(nèi)部通過撥號或其它手段直接建立到其它網(wǎng)絡(luò)的物理鏈路。

  第五章附則

 第十五條

 本管理辦法由信息科負(fù)責(zé)解釋與修訂。

 信息系統(tǒng)建設(shè)項目管理辦法 第一章總則 第一條

 為規(guī)范**縣**醫(yī)院信息化建設(shè)項目實施過程管理,明確項目組織與職責(zé)分工,規(guī)范項目活動和交付驗收質(zhì)量控制,特制定本管理辦法。

 第二條

 本管理辦法適用于**縣**醫(yī)院所有與信息化相關(guān)的項目和參與信息化建設(shè)項目實施過程中的業(yè)務(wù)部門和供應(yīng)商人員。

 第二章組織機(jī)構(gòu)與職責(zé) 第三條

 項目分類:根據(jù)項目的實施性質(zhì)分為應(yīng)用實施、定制開發(fā)、硬件集成類項目。根據(jù)實施方式分為外包、自主實施、自主實施部分外包類項目。

 第四條

 項目小組由供應(yīng)商、業(yè)務(wù)部門、信息科共同組成,項目組根據(jù)專業(yè)分工分為項目管理組、業(yè)務(wù)組、開發(fā)組和系統(tǒng)支持組。

 第五條

 不同項目分類,參與項目的角色有所不同,項目啟動前,雙方項目負(fù)責(zé)人需根據(jù)項目要求和資源狀況重新確定項目組織和項目組人員,明確項目職責(zé)分工后予以正式發(fā)布。

 第六條

 項目負(fù)責(zé)人:負(fù)責(zé)項目過程的計劃與會議管理、問題與風(fēng)險管理、變更管理,為項目執(zhí)行過程管理的責(zé)任人。應(yīng)用類項目可分別設(shè)立業(yè)務(wù)項目負(fù)責(zé)人和信息化建設(shè)項目負(fù)責(zé)人,業(yè)務(wù)項目負(fù)責(zé)人由**縣**醫(yī)院業(yè)務(wù)部門負(fù)責(zé)人擔(dān)任,信息化建設(shè)項

 目負(fù)責(zé)人由信息科項目管理人員擔(dān)任。

 第七條

 項目業(yè)務(wù)組:由業(yè)務(wù)分析、實施顧問、關(guān)鍵用戶組成,業(yè)務(wù)分析由**縣**醫(yī)院的業(yè)務(wù)負(fù)責(zé)人或業(yè)務(wù)骨干擔(dān)任,負(fù)責(zé)項目需求和業(yè)務(wù)管理方案的確認(rèn);實施顧問由供應(yīng)商或信息科具備業(yè)務(wù)咨詢和分析能力的業(yè)務(wù)顧問擔(dān)任,參與或負(fù)責(zé)項目需求的分析、設(shè)計與變更管理。關(guān)鍵用戶參與需求調(diào)研、測試。

 第八條

 項目開發(fā)組:由供應(yīng)商或信息科系統(tǒng)架構(gòu)師、技術(shù)支持、開發(fā)顧問、軟件測試、軟件配置等角色,負(fù)責(zé)信息化建設(shè)項目軟件或定制開發(fā)需求的設(shè)計、開發(fā)、測試與質(zhì)量控制,其中大型應(yīng)用或基礎(chǔ)類項目,必須設(shè)立系統(tǒng)架構(gòu)師,負(fù)責(zé)總體方案的設(shè)計或評審。

 第九條

 系統(tǒng)支持組:由信息科的系統(tǒng)管理人員擔(dān)任,負(fù)責(zé)系統(tǒng)正式環(huán)境管理、系統(tǒng)環(huán)境規(guī)劃、搭建及系統(tǒng)管理規(guī)范的建立,參與技術(shù)方案評審和協(xié)助系統(tǒng)環(huán)境優(yōu)化,負(fù)責(zé)系統(tǒng)移交的正式接收人。

 第三章項目里程碑管理 第十條

 項目組與供應(yīng)商簽訂正式合同后,標(biāo)志著項目正式進(jìn)入項目實施階段。項目實施過程包括項目準(zhǔn)備、需求分析、方案設(shè)計、系統(tǒng)實現(xiàn)、上線運行、項目移交等六大里程碑。

 第十一條

 項目負(fù)責(zé)人根據(jù)項目特點制定項目計劃及項目的交付要求,所有項目實施交付文檔按里程碑每月定期備案。

 第四章項目準(zhǔn)備階段 第十二條

 項目準(zhǔn)備階段包括制定總體計劃、成立實施項目組織、建立項目章程、召開項目啟動會議等工作。

 第十三條

 制定總體計劃:項目負(fù)責(zé)人根據(jù)項目特點制定項目總體實施計劃及資源計劃,明確項目里程碑的關(guān)鍵活動、責(zé)任人、開始與完成時間、交付件要求,經(jīng)雙方項目負(fù)責(zé)人或項目總監(jiān)審批后正式執(zhí)行。

 第十四條

 成立實施項目組:項目負(fù)責(zé)人根據(jù)項目特點明確參與項目的人員、角色、職責(zé)及明確參與項目時間要求,并正式成立項目組。

 第十五條

 建立項目章程:明確雙方項目組在項目過程中的溝通、問題、風(fēng)險、計劃、人力資源、質(zhì)量管理等方面的管理約定。

 第十六條

 召開項目啟動會議:項目負(fù)責(zé)人在完成以上項目準(zhǔn)備后,應(yīng)組織相關(guān)項目干系人召開項目啟動會議,項目負(fù)責(zé)人、項目組和關(guān)鍵用戶應(yīng)參加項目啟動會議。

 第五章需求分析階段 第十七條

 需求分析階段包括需求調(diào)研、需求分析、需求評審、需求確認(rèn)等工作,經(jīng)雙方評審后最終形成《需求規(guī)格說明書》,《需求規(guī)格說明書》作為項目后續(xù)工作的基礎(chǔ),必須確保項目中所有相關(guān)人員對需求的理解達(dá)成共識。

 第十八條

 《需求規(guī)格說明書》必須包括總體需求及業(yè)務(wù)流程、詳盡的功能需求描述和分析、需求的優(yōu)先級、非功能需求(系

 統(tǒng)技術(shù)需求)、與外部系統(tǒng)接口的定義,并確保需求是一致的、完整的、可行的且易于理解的。

 第十九條

 需求調(diào)研可采用調(diào)研、訪談、原型法等多種方式結(jié)合開展,調(diào)研前必須做好《需求調(diào)研問卷》、落實參與調(diào)研的對象和時間,調(diào)研對象必須包括項目發(fā)起人、業(yè)務(wù)負(fù)責(zé)人和關(guān)鍵用戶在內(nèi)的所有與項目范圍密切相關(guān)崗位,須確保以上人員的充分積極參與。

 第二十條

 需求調(diào)研:調(diào)研內(nèi)容包括項目目標(biāo)、業(yè)務(wù)目標(biāo)、業(yè)務(wù)與信息化建設(shè)項目現(xiàn)狀、業(yè)務(wù)流程、具體的業(yè)務(wù)功能需求和非功能需求。

 第二十一條

 需求分析:項目組內(nèi)部對調(diào)研過程收集的需求和遺留的問題進(jìn)行可行性、優(yōu)先級別和風(fēng)險評估,在此基礎(chǔ)上形成初步的《需求規(guī)格說明書》,發(fā)給相關(guān)業(yè)務(wù)人員征求意見。

 第二十二條

 需求評審:項目負(fù)責(zé)人組織相關(guān)的業(yè)務(wù)骨干和業(yè)務(wù)部門負(fù)責(zé)人對需求進(jìn)行正式評審會議,使雙方項目組對需求的理解達(dá)成共識。項目組根據(jù)評審意見修訂《需求規(guī)格說明書》。

 第二十三條

 需求確認(rèn):《需求規(guī)格說明書》經(jīng)評審?fù)ㄟ^后需業(yè)務(wù)分析、項目負(fù)責(zé)人、項目總監(jiān)簽字確認(rèn),并作為啟動設(shè)計開發(fā)階段必要輸入條件。

 第六章方案設(shè)計階段 第二十四條

 方案設(shè)計階段包括總體設(shè)計、詳細(xì)設(shè)計等工作。

 第二十五條

 總體設(shè)計和詳細(xì)設(shè)計:由實施顧問和系統(tǒng)架

 構(gòu)師共同完成。應(yīng)用實施類項目進(jìn)行業(yè)務(wù)流程優(yōu)化、總體方案設(shè)計、詳細(xì)方案設(shè)計、安全性設(shè)計、客戶化開發(fā)方案設(shè)計;定制開發(fā)類項目進(jìn)行系統(tǒng)總體方案設(shè)計、詳細(xì)設(shè)計、數(shù)據(jù)庫設(shè)計、安全性設(shè)計及測試方案設(shè)計;總體方案設(shè)計需經(jīng)過項目組、系統(tǒng)架構(gòu)師的評審。

 第二十六條

 《系統(tǒng)總體設(shè)計說明書》指系統(tǒng)總體方案設(shè)計,包括系統(tǒng)應(yīng)用架構(gòu)設(shè)計和技術(shù)架構(gòu)設(shè)計,應(yīng)用架構(gòu)設(shè)計包括系統(tǒng)應(yīng)用架構(gòu)圖、子系統(tǒng)/模塊結(jié)構(gòu)設(shè)計、具體功能模塊設(shè)計及與外部應(yīng)用系統(tǒng)的業(yè)務(wù)關(guān)聯(lián)設(shè)計。技術(shù)架構(gòu)設(shè)計包括系統(tǒng)技術(shù)架構(gòu)圖(含與外部系統(tǒng)接口圖)、內(nèi)外部接口設(shè)計、相關(guān)軟硬件平臺設(shè)計、非功能模塊設(shè)計。

 第二十七條

 《系統(tǒng)詳細(xì)設(shè)計說明書》進(jìn)一步詳細(xì)描述具體程序的設(shè)計要求,包括程序的功能、輸入輸出項、算法、流程邏輯的實現(xiàn)詳細(xì)描述。

 第二十八條

 《系統(tǒng)數(shù)據(jù)庫設(shè)計說明書》包括數(shù)據(jù)庫概念模型設(shè)計、數(shù)據(jù)庫邏輯模型設(shè)計、數(shù)據(jù)庫物理結(jié)構(gòu)的設(shè)計、數(shù)據(jù)庫性能參數(shù)的配置、數(shù)據(jù)庫對象的詳細(xì)描述。

 第二十九條

 編制基礎(chǔ)數(shù)據(jù)整理模板:供應(yīng)商提供基礎(chǔ)數(shù)據(jù)整理模板,項目負(fù)責(zé)人協(xié)調(diào)相關(guān)業(yè)務(wù)分析、實施顧問制定數(shù)據(jù)整理規(guī)則和整理計劃,并落實相關(guān)業(yè)務(wù)崗位或關(guān)鍵用戶負(fù)責(zé)基礎(chǔ)數(shù)據(jù)整理,基礎(chǔ)數(shù)據(jù)需經(jīng)業(yè)務(wù)部門負(fù)責(zé)人確認(rèn)。

 第七章系統(tǒng)實現(xiàn)階段 第三十條

 系統(tǒng)實現(xiàn)階段包括實施方案、軟件編碼、硬件安

 裝、驗收方案、功能測試、性能測試、安全性測試、環(huán)境部署等工作。

 第三十一條

 項目負(fù)責(zé)人在項目總體計劃和設(shè)計的基礎(chǔ)上制定《開發(fā)計劃》,并定期把開發(fā)進(jìn)展情況和開發(fā)成果反饋到項目組或提交到制定位置。

 第三十二條

 制定實施方案:根據(jù)實際情況,由供應(yīng)商系統(tǒng)實施工程師負(fù)責(zé)制定系統(tǒng)實施方案,提交項目負(fù)責(zé)人,項目負(fù)責(zé)人組織相關(guān)人員對實施方案進(jìn)行審定。

 第三十三條

 軟件編碼:開發(fā)顧問根據(jù)《設(shè)計說明書》、《開發(fā)計劃》進(jìn)行編碼。供應(yīng)商的質(zhì)量保證人員對軟件編碼成果進(jìn)行質(zhì)量控制與檢查。

 第三十四條

 功能測試:項目負(fù)責(zé)人安排測試人員(由技術(shù)人員和業(yè)務(wù)使用人員組成)完成,提交《系統(tǒng)測試方案》,發(fā)現(xiàn)的問題統(tǒng)一由項目負(fù)責(zé)人負(fù)責(zé)跟蹤管理,并匯總成《問題跟蹤表》,并出具功能測試報告。

 第三十五條

 性能測試:由開發(fā)顧問與系統(tǒng)管理人員共同負(fù)責(zé)性能測試方案的制定和性能測試分析,并進(jìn)一步安排性能優(yōu)化措施,并出具性能測試報告。

 第三十六條

 安全性測試:委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試,并出具安全性測試報告。

 第三十七條

 驗收報告評審:項目負(fù)責(zé)人跟蹤問題解決的進(jìn)度和組織相關(guān)人員和安全專家進(jìn)行驗收報告的評審,評審?fù)ㄟ^后才可上線運行。

 第八章上線運行階段 第三十八條

 系統(tǒng)上線包括上線方案編寫、上線培訓(xùn)、上線評審、系統(tǒng)上線、上線運行跟蹤、試運行總結(jié)、初驗總結(jié)等工作。

 第三十九條

 上線方案編寫:系統(tǒng)完成驗收測試并按照要求提交所有文檔后,由雙方共同制定《系統(tǒng)上線實施方案》。

 第四十條

 上線評審:**縣**醫(yī)院項目組成員根據(jù)供應(yīng)商在實施過程中提交的所有交付內(nèi)容進(jìn)行評審,評審內(nèi)容包括交付質(zhì)量、交付件的完整性、測試數(shù)據(jù)、上線條件、上線方案。

 第四十一條

 系統(tǒng)上線:通過上線評審后,系統(tǒng)可以進(jìn)行上線并進(jìn)入試運行階段。

 第四十二條

 用戶培訓(xùn):根據(jù)上線方案中的培訓(xùn)計劃,由供應(yīng)商項目負(fù)責(zé)人組織**縣**醫(yī)院運維人員進(jìn)行培訓(xùn),同時提交《用戶培訓(xùn)手冊》和《用戶操作指引》。

 第四十三條

 問題跟蹤:項目組對系統(tǒng)試運行情況進(jìn)行跟蹤,及時處理和更新,每周通報系統(tǒng)運行狀況。

 第四十四條

 試運行總結(jié):系統(tǒng)試運行一個月以上并運行穩(wěn)定,項目組應(yīng)總結(jié)系統(tǒng)運行情況,提交《系統(tǒng)試運行跟蹤報告》。

 第四十五條

 初驗總結(jié):系統(tǒng)應(yīng)用狀況達(dá)到項目驗收要求,項目組進(jìn)行項目初步驗收總結(jié),提交《系統(tǒng)初驗報告》和《項目初驗申請》。

 第九章項目移交階段 第四十六條

 項目移交階段包括問題跟蹤與解決、系統(tǒng)移

 交、制定系統(tǒng)管理規(guī)范、制定業(yè)務(wù)管理規(guī)范、終驗總結(jié)等工作。

 第四十七條

 問題跟蹤與解決:項目組應(yīng)繼續(xù)進(jìn)行系統(tǒng)運行跟蹤狀況,每月提交《問題跟蹤表》,并對存在的問題進(jìn)行優(yōu)先級分類,及時落實資源解決問題。

 第四十八條

 系統(tǒng)移交:供應(yīng)商整理和修訂項目交付文檔,制定《系統(tǒng)維護(hù)指引》,《系統(tǒng)維護(hù)指引》中應(yīng)包括系統(tǒng)運行維護(hù)的指引、系統(tǒng)備份要求和方法、系統(tǒng)恢復(fù)和遷移指引,并根據(jù)維護(hù)指引對系統(tǒng)管理人員進(jìn)行知識轉(zhuǎn)移,經(jīng)過系統(tǒng)管理人員驗證和確認(rèn)后,作為雙方正式移交的必要條件之一。正式環(huán)境移交后,系統(tǒng)管理人員收回供應(yīng)商所有環(huán)境所有用戶權(quán)限。

 第四十九條

 制定業(yè)務(wù)管理規(guī)范:業(yè)務(wù)管理規(guī)范由業(yè)務(wù)部門制定,包括基礎(chǔ)數(shù)據(jù)規(guī)范、操作規(guī)范、崗位操作指引等等,并在應(yīng)用過程中定期檢查執(zhí)行情況和不斷完善。

 第五十條

 終驗總結(jié):系統(tǒng)達(dá)到項目目標(biāo)、初驗后正常運行三個月、所有的問題已解決且完成系統(tǒng)移交后,項目組進(jìn)行項目總結(jié)后可提出項目驗收申請,經(jīng)項目主管部門負(fù)責(zé)人審核。

 第十章問題與風(fēng)險管理 第五十一條

 問題管理貫穿項目的整個生命周期,項目負(fù)責(zé)人負(fù)責(zé)整個項目的問題和風(fēng)險管理,并有責(zé)任落實相關(guān)資源協(xié)調(diào)解決。

 第五十二條

 業(yè)務(wù)部門或用戶提出問題后,項目組對問題的類別、重要性、優(yōu)先級別進(jìn)行分類排序,優(yōu)先解決影響數(shù)據(jù)準(zhǔn)確性的問題,并明確問題責(zé)任人、完成時間,每周更新《問題跟

 蹤表》。大量的新增或變更需求按項目變更管理流程處理。

 第五十三條

 項目負(fù)責(zé)人應(yīng)跟蹤問題的解決情況,并及時將問題狀況發(fā)布給項目組。在項目組范圍內(nèi)無法得到及時解決且影響項目整體目標(biāo)的問題,項目負(fù)責(zé)人應(yīng)及時將問題納入風(fēng)險管理范疇,進(jìn)行風(fēng)險評估和采取有效的風(fēng)險防范措施。

 第十一章變更管理 第五十四條

 項目的需求分析確認(rèn)后,所有的新增需求或變更需求、技術(shù)變更均納入需求變更管理范圍,項目負(fù)責(zé)人應(yīng)對所有的需求變更進(jìn)行記錄和管理。

 第五十五條

 變更分析:項目負(fù)責(zé)人組織相關(guān)人員評估需求變更的風(fēng)險、可行性,并提出需求變更的具體解決方案,解決方案中還應(yīng)包括增加的工作量、成本和對項目進(jìn)度的影響分析,需求變更經(jīng)雙方簽字后生效。

 第五十六條

 變更的執(zhí)行、跟蹤:項目負(fù)責(zé)人落實資源進(jìn)行需求變更任務(wù)的執(zhí)行,對于影響項目目標(biāo)、范圍、業(yè)務(wù)功能的變更需同時修訂《需求規(guī)格說明書》、《系統(tǒng)總體設(shè)計說明書》等相關(guān)交付文檔,對于影響項目進(jìn)度的變更應(yīng)同步修訂項目計劃。

 第五十七條

 變更的確認(rèn)、總結(jié):變更任務(wù)執(zhí)行完成后,其中需求或技術(shù)變更需經(jīng)變更提出人員進(jìn)行測試后確認(rèn)完成,項目負(fù)責(zé)人提交變更執(zhí)行情況分析。

 第十二章附則 第五十八條

 本管理辦法由信息科負(fù)責(zé)解釋與修訂。

 軟件開發(fā)管理辦法 第一章總則 第一條

 為規(guī)范**縣**醫(yī)院的開發(fā)管理流程,使各開發(fā)項目的管理進(jìn)行標(biāo)準(zhǔn)化管理,特制定本管理辦法。

 第二條

 本管理辦法詳細(xì)規(guī)定軟件開發(fā)過程的各個階段及每一階段的任務(wù)、要求、交付文件,使整個軟件開發(fā)過程階段清晰、要求明確、任務(wù)具體,實現(xiàn)軟件開發(fā)過程的標(biāo)準(zhǔn)化。

 第三條

 本管理辦法適用于計算機(jī)的自主軟件開發(fā)項目。適用對象:軟件開發(fā)管理人員,軟件開發(fā)人員,軟件維護(hù)人員,系統(tǒng)管理人員。

 第二章職責(zé)及權(quán)限 第四條

 **縣**醫(yī)院信息科是負(fù)責(zé)軟件開發(fā)的主要部門,負(fù)責(zé)軟件開發(fā)整個過程的監(jiān)督、控制和管理工作。

 第三章 軟件開發(fā)環(huán)境管理 第五條

 軟件...

相關(guān)熱詞搜索:匯編 信息化 制度

版權(quán)所有 蒲公英文摘 www.newchangjing.com