信息安全保密守则doc.docx
《信息安全保密守则doc.docx》由会员分享,可在线阅读,更多相关《信息安全保密守则doc.docx(9页珍藏版)》请在冰点文库上搜索。
信息安全保密守则doc
1.信息安全保密制度1
一、信息安全保密制度
1.安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,
计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。
2.信息科科长、工程师必须严格执行国家的有关规定和院里的有关制度,
认真管理档案、医疗数据资料、数据库系统。
3.信息科的所有工作人员必须严格遵守院里的规章制度和信息科的有关规
定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。
4.未经院领导和信息科负责人同意,非管理人员不得进入机房,不得擅自
操作医院系统服务器、存储设备、各应用服务器、防火墙及控制机房的其他设备。
5.未经院领导和信息科负责人同意,严禁任何人以任何形式向外提供数据。
实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。
管理者在授权范围内按资料应用程序提供数据。
6.医疗数据资料、信息系统库资料应遵循:
1)资料建档和资料派发要履行交接手续。
2)定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据
库的正常运行。
3)未经许可数据库内的数据信息不得随意修改或删除,更不能对外提
供。
4)除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过
网络(局域网、VPN虚拟专网、内部网等)联机调阅数据。
5)医疗数据资料按规定要求进行计算机建档和处理,数据入库后要及时
删除工作终端中的原有数据。
6)严格遵守信息科工作流程,不得做任何违反工作流程的操作。
7)定期对数据库的信息数据进行备份,要求每增加或更新批次,定期对
数据备份一次。
7.信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、
防雷击、防断电、防腐蚀、防高温等基本防护设施。
消除安全隐患,杜绝安全事故。
8.权限管理是生产有序进行和信息资料合法利用的有效保证。
任何法人或
自然人只能在授权范围操作。
9.在服务器中建立运行日志,以便记录系统运行痕迹。
运行日志中至少包
括各服务器开关记录及运行诊断情况记录;运行日志中内容记录方式以时间为序。
10.强化信息安全保密管理,加强安全保密意识教育。
因人为原因造成信息
数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。
二、计算机信息网络安全管理
1.计算机中心主管全院计算机网络系统的安全保护。
计算机网络系统的安全保
护工作包括保障硬件、软件和数据的安全、运行环境的安全、保证医院信息系统稳定和安全运行。
2.任何科室或个人,必须遵守国家有关法律及医院规章制度;不得利用上网计
算机从事危害医院利益和其它违法、违规的活动,不得危害计算机网络系统的安全。
3.对计算机网络发生的问题,有关人员应及向计算机中心报告。
4.计算机网络中系统软件、设备、设施的安装、调试、排除故障由计算机中心
技术人员负责,其它任何科室和个人不得私自拆卸、安装任何软、硬件设施,否则后果自负。
5.计算机中心负责处理计算机病毒和危害网络系统安全的其他有害数据信息的
防治工作。
6.计算机中心网络管理人员发现计算机网络安全隐患时,可采取各种有效措施
给予制止。
7.任何影响计算机网络系统安全运行造成不良后果。
应承担其责任,造成医院
重大损失的要依法追究和承担法律责任。
信息保密制度
信息保密制度
为保持医院信息系统正常运行,保护集体数据财富,保障医院和谐发展,遵循《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国保守国家秘密法》等相关国家和省有关法律法规,结合医院实际情况,制订本管理规定。
第一章总则
第一条本管理规定适用于院内所有使用计算机、服务器和相关辅助设备、设施的科室和部门。
第二条计算机信息系统的保密管理,实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。
第三条医院保密工作领导小组主管全院计算机信息系统保密管理工作。
医院计算机信息系统由专人负责管理相应的信息保密工作,要定期监督、检查保密管理规定的执行情况。
网络管理员对信息系统的管理和操作应严格遵守保密管理规定。
第二章保密制度
第四条涉及国家秘密及工作秘密的计算机(含笔记本电脑)和计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
涉密计算机(含笔记本电脑)专人专用,严禁擅自将涉密计算机(含笔记本电脑)带出办公场所。
第五条接入国际互联网或其他公共信息网络的计算机(含笔记本电脑)不得处理、存储涉密信息。
第六条上网信息的保密管理坚持“谁上网谁负责”的原则。
凡向国际联网的站点提供或发布信息,必须经过保密审查批准。
第七条存储涉及国家秘密和工作秘密的涉密移动存储介质(含移动硬盘、优盘、软盘、光盘等)不得接入或安装在非涉密计算机上,复制和确因工作需要外出携带涉密存储介质的,须经主管领导
批准。
第八条凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,管
第一文库网
理员在上网发布前,应当征得提供信息者同意;凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
第九条凡在网上开设电子公告系统、聊天室、网络新闻组的用户,应由相应的保密工作机构审批明确保密要求和责任。
任何人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息和工作秘密信息。
第十条面向社会开放的电子公告系统、聊天室、网络新闻组,开办人或其上级主管部门应认真履行保密义务,建立完善的管理制度,加强监督检查。
发现有涉密信息,应及时采取措施,并报告相应的保密工作领导小组办公室。
第十一条用户使用电子函件进行网上信息交流,应当遵守国家有关保密规定,不得利用电子函件传递、转发或抄送国家秘密信息和医院工作秘密。
第十二条各接入计算机信息系统(HIS、PACS、LIS等)部门要对医院信息资料安全负责,严禁外来人员登录医院信息系统查询、打印有关信息资料。
第十三条连接计算机信息系统的计算机,未经信息科许可,严禁安装、运行非日常工作需要的任何软件;严禁安装任何厂家、任何版本的操作系统以及任何有可能干扰、破坏计算机信息系统保密管理的程序。
第三章保密监督
第十四条涉密计算机进行维护检修时,对涉密信息应采取涉密信息转存、删除、异地转移存储等安全保密措施。
无法采取上述措施时,单位保密人员和涉密计算机维护人员必须在维护现场,对维修
人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。
涉密计算机和涉密移动存储介质淘汰、报废的一律送保密工作领导小组办公室统一销毁。
第十五条处理涉及国家秘密文件和工作秘密文件的数字复印机、多功能一体机一律不得接入电话线,接入电话线的数字复印机、多功能一体机一律不得处理涉及国家秘密和工作秘密的文件。
第十六条计算机个人工作桌面或开放文件夹不得摆放敏感文件和资料,办公桌禁止摆放敏感介质。
第十七条保密工作领导小组要定期对计算机信息系统的保密检查,查处各种泄密行为。
一旦发现国家秘密或工作秘密泄露或可能泄露情况,每个工作人员都有义务立即向保密工作领导小组办公室报告。
对网上涉及国家秘密和工作秘密的信息要严格按照保密要求,及时予以删除。
信息安全需要警钟长鸣--专家解析网络安全审查制度
信息安全需要警钟长鸣--专家解析网络安全审查制度
2014-05-2615:
31:
50公务员考试网文章来源:
华图教育
新华社北京5月22日电(新华社记者白阳True史竞男)国家互联网信息办公室22日发布消息称,我国将于近期推出网络安全审查制度。
我国为什么要出台网络安全审查制度?
审查将以何种方式进行?
审查将对老百姓的日常生活带来怎样的影响?
新华社记者就此走访了多位专家学者。
网络安全审查是信息时代的战略选择
“信息安全现已成为国家安全的重要一环,进行网络安全审查是信息技术发展的必然趋势。
”中国工程院院士方滨兴告诉记者,美国、日本等发达国家早在十多年前就已建立了完备的网络安全审查制度体系,对涉及国家重大战略层面的信息技术产品进行评估。
近年来,针对我国的网络安全事件不断增加,网络安全风险不断加大,建立网络安全审查制度刻不容缓。
中国信息安全评测中心总工程师王军表示,随着智能手机等信息产品的普及,民众对信息产品的安全性也越来越重视。
但是,由于第三方约束机制的缺乏,许多厂商对产品的安全属性不够重视,有的甚至“店大欺客”,明知产品有安全缺陷,却拒不更改;更有部分厂商在产品中埋“后门”,窃取用户信息和数据,由此带来的用户隐私泄露等问题近年来时有发生。
专家表示,网络安全审查制度涵盖了国家战略层面和个体安全层面的综合考虑,对外能有效降低我国日益严峻的网络安全风险,对内也将成为用户合法权益不受侵害的重要保障。
安全性和可控性将成为审查重点
据了解,欧美国家针对信息安全的全链条建立了详尽的审查体系。
以美国为例,安全审查不仅局限于产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等。
我国的网络审查制度将借鉴国外的成熟经验,并结合实际情况作出符合我国信息产业发展现状的规定。
产品的安全性和可控性将成为审查重点。
“网络安全审查应包括事前审查、事中监测和事后惩处三部分。
”王军告诉记者,在信息产品进入市场前,需对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估;已进入市场的信息产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。
方滨兴指出,根据其他国家的经验,网络安全审查制度应针对宏观战略和微观技术两方面分别采取不同措施。
对于进入政府机构、交通、电力、金融等重要领域的产品,需要建立“黑名单”制,不仅对技术也对企业背景进行审查,保障国家信息安全;而对于在市面流通的信息技术产品,需进行“白名单”强制认证,只有符合安全标准的产品才能入市。
这种审查只是一种技术评估,普通用户的利益不会受到影响。
安全审查能有力促进信息产业健康发展
记者了解到,我国此前陆续出台过一些信息产品安全认证标准,但主要针对杀毒软件、防火墙等信息安全产品,且比较零散不成体系。
随着云计算服务等新兴技术的快速发展,安全软件之外的信息技术产品也日益成为侵害用户信息安全的重要威胁,但此类产品目前还没有强制性的安全标准。
专家指出,网络安全审查制度把审查的范围从信息安全产品扩展到信息技术产品,这一风险将有望解除。
方滨兴认为,实施网络安全审查后,影响最大的是那些钻法律漏洞的行为。
以wifi破解器为例,此类技术本身侵害了信息安全,在任何国家都是被禁止的,对此类行为建立制度进行约束,是对市场秩序的整顿,符合WTO的要求。
“实施网络安全审查制度不会损害信息产业发展,相反,它能够有效促进信息产业健康正常发展。
”王军认为,老百姓对信息安全的重视程度在不断提高,安全审查合格的产品,用户信任度高,市场占有率也会越来越高;反之,如果安全性不达标,就会被市场淘汰。
因此,安全审查对企业发展能产生何种影响,主动权是掌握在企业手中的。
“网络安全审查并不是贸易保护,无论是国内产品还是国外产品,只要符合我国的网络安全标准,就能够进入市场自由流通。
”王军说。