中国疾病预防控制信息系统用户与权限管理规范.docx

1、中国疾病预防控制信息系统用户与权限管理规范中国疾病预防控制信息系统用户与权限管理规范中国疾病预防控制信息系统用户与权限管理规范(2011版)1. 总则 1.1 目的 为加强中国疾病预防控制信息系统规范化管理，保障国家核心业务信息系统的正常安全运行，增强疾病预防控制公共卫生信息获取的时效性、准确性和完整性，提高疾病预防控制信息系统的管理和服务能力，特制定本规范。 1.2 依据 中华人民共和国传染病防治法 突发公共卫生事件与传染病疫情监测信息报告管理办法 国家救灾防病与公共卫生事件信息报告管理规范 国家突发公共卫生事件相关信息报告管理工作规范（试行） 各级疾病预防控制中心基本职责 艾滋病疫情信息报

2、告管理规范 结核病预防控制工作规范 计算机信息系统安全保护条例 卫生系统电子认证服务管理办法（试行） 1.3 适用范围 本规范适用于管理使用中国疾病预防控制信息系统的各级各类疾病预防控制机构、医疗卫生机构及其它机构。 1.4 责任单位及责任人 1.4.1 责任单位 管理使用中国疾病预防控制信息系统的各级各类疾病预防控制机构、医疗卫生机构及其它机构，包括该机构的信息管理部门及相关业务管理部门。 责任人 （1）各级责任单位指定负责信息系统管理的专业技术人员为系统用户管理的责任人。 （2） 各级责任单位信息系统相关业务部门指定业务专业人员为该业务应用系统管理责任人。 2. 用户管理 2.1 用户类型

3、 2.1.1 系统管理员 指国家、省、市、县四级疾病预防控制中心授权使用中国疾病预防控制信息系统，履行用户管理与服务职能的唯一责任人。 2.1.2 业务管理员 指国家、省、市、县四级疾病预防控制机构、医疗卫生机构及其它机构，由各业务归口管理部门或单位指定负责管理该业务权限分配的唯一责任人。 2.1.3 本级用户 指国家、省、市、县四级疾病预防控制机构、医疗卫生机构及其它机构各业务归口管理部门或单位，由本级业务管理员分配的具有不同权限和业务操作功能的同级用户。 2.1.4 直报用户 指由县区级疾病预防控制中心系统管理员审核，各系统业务管理员授权的通过使用中国疾病预防控制信息系统录入报告各类信息的

4、用户。 2.2 用户职责 2.2.1 职责分类 （1）系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。县区级系统管理员还需负责直报用户的用户管理。 （2）业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有权限实施相应业务信息管理活动。县区级业务管理员还需负责直报用户的权限管理。 分级管理 子系统管理 中

5、国疾病预防控制信息系统中各业务子系统必须分别设置业务管理员。对于一人管理多个子系统的情况，可以将该用户设置为兼管的多个子系统的业务管理员。 （2） 逐级系统管理 国家级系统管理员可以对本级用户和省级系统管理员进行管理；省级系统管理员可以对本级用户和地市级系统管理员进行管理；地市级系统管理员可以对本级用户和县区级系统管理员进行管理；（县、区）级系统管理员可以对本级用户及医疗卫生机构直报用户进行管理。 国家级业务管理员可以管理本级用户及省级业务管理员的授权；省级业务管理员可以管理本级用户及地市级业务管理员的授权；地市级业务管理员可以管理本级用户及县区级业务管理员的授权；（县、区）级业务系统管理员可

6、以管理本级用户及医疗卫生机构直报用户的授权。 2.2.3 实名管理 系统内所有用户信息均必须采用真实信息，即实名制登记。 2.2.4 隐私管理 系统管理遵守保密性原则。除非获得司法授权或法律部门另有规定，不能将收集的个人信息向任何第三方泄露或公开。 2.3 管理程序 2.3.1 用户申请 （1）疾控机构、医疗卫生机构用户各级各类疾病预防控制机构、医疗卫生机构及其它机构如需使用中国疾病预防控制信息系统网络报告，要填写中国疾病预防控制信息系统用户申请表（见附录），经本单位分管领导签字批准后，交予所在辖区县（区）级疾病预防控制中心系统管理员。 各级各类疾病预防控制机构、医疗卫生机构及其它机构的业务管

7、理部门，如需使用中国疾病预防控制信息系统进行业务管理，可由使用部门使用人填写中国疾病预防控制信息系统用户申请表（见附录），经本部门分管领导签字批准后，向本单位负责业务管理的相关部门提出申请，并交予同级疾控中心系统管理员。 （2）其他用户 其他用户如需访问中国疾病预防控制信息系统，必须由使用单位使用人填写中国疾病预防控制信息系统用户申请表（见附录），经本单位领导签字批准后，向同级卫生行政部门的相关业务管理部门提出申请，并交予同级疾控中心系统管理员。 2.3.2 用户审核 系统管理员根据中国疾病预防控制信息系统用户申请表（见附录）审核相关用户信息，用户信息必须真实有效。 2.3.3 用户创建 系统

8、管理员根据审核通过后的中国疾病预防控制信息系统用户申请表信息添加用户，并对中国疾病预防控制信息系统用户申请表进行存档管理。 2.3.4 系统分配 系统管理员根据中国疾病预防控制信息系统用户申请表（见附录）为用户分配用户申请使用的业务系统。只有分配过的业务系统才能通过业务管理员对该用户进行授权。并填写中国疾病预防控制信息系统用户申请回执（见附录）反馈给用户。 2.3.5 变更管理 各级系统管理员及业务管理员必须相对固定，如相关人员因工作调动或其它原因无法继续从事管理员工作时，应与有关人员现场核对其帐户信息、密码以及当时系统中的各类用户信息及文档，核查无误后方可进行工作交接。 系统管理员变更：系统

9、管理员变更，应及时向上级系统管理员报告。新任系统管理员应及时变更帐户信息及密码。 业务管理员变更：业务管理员变更应及时向本级系统管理员及上级业务管理员报告，上级业务管理员和系统管理员及时变更业务管理员信息。 用户变更：用户因工作变动，导致使用权限发生变化时，应填写系统权限变更申请表，由相关业务管理员对其权限进行变更。 2.3.6 用户停用 用户不再使用中国疾病预防控制信息系统时，系统管理员对该用户账号停用。对于取消的机构，每年年底对地区和机构编码审核更新后由系统管理员停用该机构用户。 2.3.7 用户启用 对于已经停用的用户账号，如该用户需要重新使用系统，要将该用户原有停用账号重新启用，不要重

10、新建立新账号。 2.3.8 用户有效期 用户有效期设置不得超过2年。超过有效期的用户如果需要继续使用，应由用户单位提出书面申请，由系统管理员延长其使用期限，延长的期限最长不超过2年。 3. 权限管理 3.1 角色类型 按照业务管理范围和创建者的级别，本规范将用户认证与权限管理系统中的角色划分为以下6个类型： (1) 国家级共享：国家级业务管理员创建并供本级使用； (2) 省级共享：省级及以上的业务管理员创建并供本级和上级使用； (3) 市级共享：市级及以上的业务管理员创建并供本级和上级使用； (4) 区县级共享：区县及以上的业务管理员创建并供本级和上级使用； (5) 直报级共享：区县及以上的业

11、务管理员创建且仅供直报用户使用； (6) 本级共享：只能创建者本级创建和使用。 3.2 角色命名规范 业务管理员在创建系统角色时要遵守角色命名规范。角色命名采用多字段组合方式，格式如下：使用范围-使用对象-创建单位名称-业务系统-角色名称。其中： 使用范围：如国家级、省级、地市级、县区级等； 创建单位名称：如中国疾病预防控制中心； 业务系统：如大疫情、突发、结核、免疫等 角色名称：如浏览、审核、填报、统计分析等。 3.3 角色管理 业务管理员应熟悉中国疾病预防控制信息系统相应子系统功能，并根据业务需求创建、管理、维护角色。业务管理员对角色的操作，应在准确理解其各项操作内容的基础上，尽量避免和减

12、少权限相互抵触、交叉及嵌套情况的发生，角色在使用前必须经过调试。在系统发生调整或修改后，业务管理员应当及时调整角色以适应新的使用环境。 3.4 授权管理 系统管理员的权限由上级系统管理员赋予。业务管理员在通过本级系统管理员建立、审核后，向对应的上级业务管理员申请授权，由上级业务管理员通过分配角色赋予相应的权限。 对于经过系统管理员创建、审核的本级用户或直报用户，用户可以根据中国疾病预防控制信息系统用户申请回执（见附录）及各业务系统权限申请表（见附录）分别向各子系统业务管理员申请使用权限，各子系统业务管理员通过分配角色赋予该用户相应权限。 业务管理员对用户的授权应当遵循以下原则： （1） 在满足

13、该用户工作需要的同时，尽可能赋予该用户最小的权限，以保障数据的高效、准确、安全。 （2） 在满足工作需要的基础上，尽量利用现有角色进行授权，减少角色之间的交叉、重复。 4. 安全管理 4.1 网络环境安全 用户必须使用虚拟专用网络VPN（Virtual Priviate Network）或者符合卫生部规定的安全网络环境。 用户应专机使用中国疾病预防控制信息系统， 避免使用公共场所的计算机。用户应在运行本系统的计算机上安装杀毒软件、防火墙，定期杀毒；禁止在运行本系统的计算机上安装、运行含有病毒、恶意代码、木马的程序，不得运行黑客程序及进行黑客操作。 4.2 用户安全管理 4.2.1 密码管理 系

14、统管理员建立用户时，应为其分配独立的初始密码，并单独告知用户，不得设置通用密码，不得将初始密码公开或告知除用户本人之外的其他人。 用户在初次使用系统时，应立即更改初始密码。用户密码设置不得少于8位，需使用数字、字母、符号混合编制，至少每月变更一次。用户不得将账户、密码泄露给他人。 4.2.2 账户管理 用户及业务管理员账户信息发生泄露和遗失，须尽可能在最短时间内（最长不超过24小时）通知本级系统管理员。本级系统管理员在查明情况前，应暂停该用户的使用权限，并同时对该帐户所报数据进行核查，待确认没有造成对报告数据的破坏后，通过修改密码，恢复该帐户的报告权限，同时保留书面情况记录。 系统管理员帐户信

15、息发生泄露或遗失，应立即向上级系统管理员报告，暂停其系统管理员帐户权限，同时对系统帐户管理及数据安全进行核查，采取必要的补救措施，在最终确认系统安全后，方可恢复其系统管理员帐户功能。 4.2.3 身份认证 用户应使用经卫生行政部门资格认证的电子认证证书登录中国疾病预防控制信息系统。系统管理员在进行系统用户管理时，应使用系统管理员专用电子证书认证；业务管理员在进行业务操作时，应使用业务专用电子认证证书。 4.3 审计管理 责任单位应定期组织对系统权限、用户等管理工作的专项审计，每年不得少于1次。 4.3.1 系统管理员审计 对系统管理员用户管理情况进行检查，用户有效期不得超过2年，调离相关岗位的

16、用户应及时注销。系统管理员应保管好用户申请注销表单。4.3.2 业务管理员审计 对所管理的系统中用户权限进行检查，业务管理员应严格按照用户权限申请表分配权限；对岗位职责变更的用户，应及时按照权限变更申请表进行权限变更。业务管理员应保管好权限申请、变更表单。 4.3.3 用户审计 用户应按照密码管理要求设置密码，按时更换密码。用户需专人专用，不得多人共用。 5. 考核与评估5.1 考核目的 通过考核促进本规范的正确实施和执行，提高管理效率，肯定成绩，发现问题，为下一步工作改进提供借鉴。 5.2 考核原则 以实际工作中的客观事实为基本依据；以本考核所规定的内容、程序和方法为操作准则；以全面、客观、

17、公正、公开、规范为核心考核理念。 5.3 考核指标 对责任单位进行分类分层考核，依据不同的量表考核；考核指标主要包括工作成绩考核，能力考核，安全管理等方面。 5.4 考核方法 采用年度考核，考核时间在每年的年初对去年的工作进行考核；采用国家考核和单位自评相结合的考核方法； 5.5 考核评估 全部类型的考核结果按考核总分，划分为“特优”、“优秀”、“中等”、“有待提高”、“急需提高”五等级，考评测分依据每年国家出台的考评方案计算。并作如下界定：等级： 特优秀 优秀 中等 有待提高 急需提高 考核总分： 95分以上 8595分 7084分 5069分 50分以下 5.6 结果通报 对每年的考核评估

18、结果进行通报。 本管理规范的最终解释权为中国疾病预防控制中心公共卫生监测与信息服务中心。 6. 附录中国疾病预防控制信息系统用户申请表单位名称：申请人姓名：所在部门：联系电话：帐户性质：业务管理员 本级用户 直报用户申请系统：疾病监测信息报告管理系统突发公共卫生事件报告管理信息系统传染病自动预警信息系统历史数据综合查询统计分析乙脑监测信息报告管理系统流脑监测信息报告管理系统霍乱监测信息报告管理系统麻疹监测信息报告管理系统鼠疫防治管理信息系统结核病管理信息系统艾滋病综合防治信息系统中国流感监测信息系统中国甲型H1N1监测信息系统专病/单病管理系统健康危害因素监测信息系统救灾防病信息报告系统 出生

19、登记信息系统 死因登记报告信息系统 症状监测直报系统 高温中暑病例报告信息系统 疾病预防控制基本信息系统其它 帐户批准有效期： 年 月 日 至 年 月 日 地区编码： 用户账号： 初始密码： 所在部门领导签字 年 月 日 单位分管领导签字： 年 月 日 行政主管部门签字： （盖章处）年 月 日 中国疾病预防控制信息系统用户申请回执单位名称： 申请人姓名： 所在部门： 联系电话： 帐户性质：业务管理员 本级用户 直报用户 帐户用途：系统管理 业务管理 业务查阅 临时使用 审批情况：批准 批准，有变更 未获批准 其它 申请系统： 疾病监测信息报告管理系统 突发公共卫生事件报告管理信息系统 传染病自

20、动预警信息系统 历史数据综合查询统计分析 乙脑监测信息报告管理系统 流脑监测信息报告管理系统 霍乱监测信息报告管理系统 麻疹监测信息报告管理系统 鼠疫防治管理信息系统 结核病管理信息系统 艾滋病综合防治信息系统 中国流感监测信息系统 中国甲型H1N1监测信息系统 专病/单病管理系统健康危害因素监测信息系统 救灾防病信息报告系统 出生登记信息系统 死因登记报告信息系统 症状监测直报系统 高温中暑病例报告信息系统 疾病预防控制基本信息系统 其它 理由：（如申请未获批准或其它，请给出详细说明） 帐户批准有效期： 年 月 日 至 年 月 日 登录地址： http:/1.202.129.170 地区编码

21、： 用户编码： 初始密码： 系统管理员签字： 年 月 日 注意：初次登录使用时，必须更改初始密码！不得在公共计算机上登陆本系统！ 疾病监测信息报告管理系统用户权限申请表（样表）申请人单位： 申请人姓名： 所在部门： 负责人： 联系电话： E-Mail： 手机： 帐户性质： 本级用户 直报用户 申请用途： 监测工作 系统管理 专病管理 查阅数据 专业需要 信息交流 科研课题 撰写论文 其它 申请管理病种： 甲类传染病： 全部 鼠疫 霍乱 乙类传染病： 全部 传染性非典型肺炎 艾滋病 病毒性肝炎 脊髓灰质炎 人感染高致病性禽流感 麻疹 流行性出血热 狂犬病 流行性乙型脑炎 登革热 炭疽 痢疾 肺结

22、核 伤寒 流行性脑脊髓膜炎 百日咳 白喉 新生儿破伤风 猩红热 布鲁氏菌病 淋病 梅毒 钩端螺旋体病 血吸虫病 疟疾 丙类传染病： 全部 流行性感冒 流行性腮腺炎 风疹 急性出血性结膜炎 麻风病 黑热病 斑疹伤寒 包虫病 丝虫病 其他感染性腹泻病。 其他疾病（请注明疾病名称）申请管理权限： 1、个案卡片管理： 全部 浏览传染病报告卡 新建传染病报告卡 修改传染病报告卡 删除传染病报告卡 审核报告卡 订正报告卡 导出EXCEL 2、报表管理（包括截至昨日24时累计统计）： 全部 分地区单病种统计表 分年龄单病种统计表 分职业单病种统计表 分地区统计表 分年龄统计表 分职业统计表 分地区实时统计表 分年龄统实时计表 分职业实时统计表 GIS 3、资料分析： 全部 根据病种排序 根据地区排序 疾病分类构成 疫情分析报表 高发地区分析 汇总疫情分析 分月发病死亡 4、质量统计： 全部 卡片审核统计 重卡信息统计 报告单位类型分析 报告单位统计 直报情况调查 县区零缺报统计 申请人签字： 年 月 日 所在部门领导签字： 年 月 日 单位分管领导签字： 年 月 日