网络与信息安全管理制度（暂行）

第一章 总则

第一条  为保障XX公司（以下简称“XX”或“XX”）网络与信息安全，切实加强网络与信息安全管控，提高网络与信息安全管理水平和防护能力，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国保守国家秘密法》等政策法规规定，结合XX实际，制定本制度。

第二条  本制度适用于XX部门、科室所有职工及使用单位网络的所有人员。

第二章 网络与信息安全管理机构

第三条  设立网络与信息安全领导小组，小组组长为XX，副组长为党支部书记XX，组员为各科室负责人。

第四条  网络与信息安全领导小组主要职责如下：

（一）根据国家和卫健委有关网络与信息安全的政策、法律和法规，制定XX网络与信息安全总体规划、管理规范和技术标准等。

（二）发挥集中统一领导作用，统筹领导XX网络与信息安全相关工作。

（三）贯彻执行上级单位、相关单位下发的网络与信息安全文件要求及精神。

（四）协调、督促各科室、部门的网络与信息安全工作，处理网络与信息安全隐患，参与信息系统工程建设中的安全规划，监督安全措施的执行。

（五）统筹领导处理网络与信息安全事故，组织进行事件调查，评估安全事件的严重程度，负责网络与信息安全事故的后续处理及防范措施等。

第五条  办公室职责为按照国家、卫健委及上级单位统一部署组织开展的网络与信息安全工作，具体工作包括：

（一）保障网络与信息系统安全运行。

（二）按照网络与信息安全等级保护制度对XX网络进行建设和整改工作。

（三）网络与信息安全突发事件处置、应对、整改。

（四）开展网络与信息安全宣传教育与培训。

（五）开展网络与信息安全检查与自查工作。

（六）负责XX网络与信息安全应急预案的编制并组织测试和演练。

（七）开展其他网络与信息安全工作。

第三章 网络与信息安全管理

第六条  网络与信息安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

第七条  办公室负责对XX外网、内网、专用网络（以下统称“网络”）及设备和系统进行规划、建设、统一管理、日常维护、安全保障等工作。

第八条  接入并利用XX网络进行工作的人员，应自觉遵守相关规章制度，建立良好的使用习惯，杜绝潜在的网络与信息安全隐患和漏洞。

第九条  使用XX网络必须遵守相关法律法规，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体的利益和公民的合法权益，不得从事违法犯罪活动。

第十条  严禁通过XX网络进行传播反动、暴力、淫秽内容等违法行为，严禁利用XX网络制作、复制、发布、传播病毒、流氓软件及进行其他影响网络正常运行或影响其他用户正常·使用的行为。

第十一条  在使用网络与信息设备时应保持清洁、安全、良好的工作环境，禁止在信息设备应用环境中放置易燃、易爆、强腐蚀、强磁性等损害设备的物品。

第十二条  所有网络和信息设备未经XX办公室授权同意，严禁擅自拆、换任何零件、配件、外设。

第十三条  各科室负责人对本部门信息设备安全管理负责。

第四章 医疗系统及内网安全管理

第十四条  接入内网的设备和软件，应进行充分的安全评估和杀毒扫描，只允许经过授权软件运行。

第十五条  临时接入内网的设备在接入前须进行病毒查杀，并由负责信息安全的工作人员辅助执行。

第十六条  内网接入设备实行白名单制度，所有接入内网的设备应由办公室进行授权备案。

第十七条  办公室建立内网系统配置清单，并进行配置审计。

第十八条  对重大配置变更应制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。

第十九条  负责信息安全的工作人员密切关注重大安全漏洞及其补丁发布，发现漏洞及时上报办公室，由办公室统一指定和进行升级措施。

第二十条  接入内部网络的设备严禁使用桥接、双网卡等方式直接接入互联网。

第二十一条  对重要的业务数据、关键程序建立健全的本地和异地、自动和手动相配合的多重备份机制。定期检查备份数据的完整性。

第二十二条  接入内部网络的设备严禁使用各类型的移动存储设备，包括但不限于U盘、移动硬盘、软盘、光盘等。因业务拓展需要时，应由XX进行统一推送部署。

第二十三条  在使用医疗系统中，严格遵循一人一账号的原则。个人账号不得相互借用。

第二十四条  个人账号在使用严禁使用空密码或弱密码，做好账号密码的保护工作，防止密码泄露。

第二十五条  在使用医疗系统和内网资源时做好安全工作，人员离机时及时注销或退出登录。专人专用电脑应设立访问密码。

第五章 行政系统及外网安全管理

第二十六条  新增设备接入外网，应报办公室进行备案。

第二十七条  工作人员在使用接入外网的设备时，应做好基础的安全防护工作。安装防火墙和杀毒软件并定期查杀病毒和修补漏洞。

第二十八条  禁止安装与工作无关的软件，禁止运行来源不明的软件和程序。

第二十九条  禁止未经授权私自通过外接路由器、USB网卡等方式建立无线网络环境。

第三十条  因工作需要连接各类外来移动存储设备时，应进行病毒扫描等基础安全防护工作。

第六章 网络与信息安全事故管理

第三十一条  办公室负责制定安全事件应急响应预案，当遭受安全事故导致系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并上报卫计局信息化主管部门，同时注意保护现场，以便进行调查取证。

第三十二条  办公室负责网络与信息安全事故应急预案的编制，并组织演练。

第三十三条  网络与信息安全事故概念：

（一）普通网络与信息安全事故

1. 网络与信息系统发生24小时内故障瘫痪；

2. 安全事故影响范围仅限部分科室和部分设备；

3. 安全事故得到及时遏制和处理，未发生蔓延；

4. 安全事故没有造成数据丢失和泄密，没有造成经济损失；

5. 安全事故没有对医疗活动造成明显影响。

（二）严重网络与信息安全事故

1. 网络与信息系统发生24小时以上48小时以内故障和瘫痪。

2. 安全事故影响范围包含单位大部分科室和设备；

3. 安全事故没有及时遏制和处理，但未蔓延；

4. 安全事故没有造成数据丢失和泄密，没有造成经济损失；

5. 安全事故对医疗活动造成一定影响，但在可控范围内。

6. 没有发生不利于单位的舆情信息。

（三）重大网络与信息安全事故

1. 网络与信息系统发生48小时以上的故障和瘫痪。

2. 信息系统受到较大面积病毒感染和渗透、攻击。

3. 安全事故没有及时遏制和处理，发生蔓延；

4. 安全事故造成数据丢失和泄密，造成经济损失；

5. 安全事故对医疗活动造成了影响，患者及群众发生不满情绪；

6. 县级以上新闻媒体进行报道，发生了负面舆情。

第三十四条  出现网络与信息安全事件时，发现者及时上报科室负责人和办公室，做到及时、全面、准确报送，不得瞒报、缓报、谎报网络与信息安全情况。

第三十五条  出现严重或重大网络与信息安全事故时，办公室应及时上报卫计局信息系统负责人员。

第三十六条  发生网络与信息安全事故时，网络与信息安全小组应及时对故障进行排查、处理，第一时间阻止事故发生蔓延。若无法处理，应立即联系软件服务商或联系卫计局信息系统负责人员寻求协助处理。

第三十七条  严重和重大网络与信息安全处理流程：（转下页） 

 第七章 网络与信息安全教育与管理

第三十八条  员工入职后应参加办公室组织的网络与信息安全培训，以提升其网络与信息安全意识及技术水平。

第三十九条  办公室不定期对各科室和员工的网络与信息安全防护行为进行考核评估，对发现具有安全隐患的行为，应限期监督整改。

第四十条  具有内网及医疗系统操作权限的员工离职时，需由相关科室向办公室提交《HIS系统修改申请单》，及时终止离职员工对医疗系统的所有访问权限。

第四十一条  员工离职时应返还属于XX的全部信息设备，不得在离职时以任何形式带走任何信息。

第八章 法律责任

第四十二条  对于违反本管理制度的科室及个人，造成重大影响和损失的，XX将视情节严重程度给予处理；构成违法犯罪行为的，依法报警并移送司法机关处理。

第九章 附则

第四十三条  本制度由办公室负责解释，自印发之日起执行。