第一篇：信息系統介質安全管理辦法

介質安全管理辦法

第一章總則 第一條

為加強和規范數據備份及存儲介質的安全管理，確保各類數據的完整性、保密性和可用性，特制定本管理辦法。

第二條

本管理辦法所指的備份存儲介質是指用于備份數據的存儲載體，包括磁帶、磁盤（U 盤、移動硬盤）、光盤等。

第三條

本管理辦法適用于**縣**醫院備份存儲介質在使用、保存和傳送過程中的管理。

第二章介質的檢查和維護 第四條

存儲介質的管理部門，對介質應有詳細的文檔記錄，記錄信息應包括：介質的編號、存儲的內容、存儲數據的記錄時間、轉存日期、保留期限、維護人員等。

第五條

應定期檢查各備份存儲介質的狀態和容量，并定期進行數據恢復測試。

第六條

備份存儲介質在保存前，應仔細閱讀介質的說明書，將介質存放在適合的地方。遠離電磁干擾和灰塵，盡量通風，使用適合的容器、柜子、儲存室以防止非法訪問。

第三章介質的傳送 第七條

存儲介質在傳送途中需采用牢固、可靠的包裝方式，以使其避免碰撞、受熱、受潮。

第八條

備份存儲介質在傳送途中需根據其存儲數據的敏

感程度，采用有效的包裝方式，以使其避免被非授權獲取。

第九條

備份存儲介質無論使用何種傳送形式，都必須有可追溯的明確標識。

第十條

備份存儲介質在單位內部傳送過程中，同樣需要采取以上的安全措施。

第四章介質的備份 第十一條

對于特地為傳送而制作的備份存儲介質，原則上要求在傳送前為該存儲介質制作至少一個備份，用于存儲介質在傳送過程中被損壞或丟失后的快速重新傳送和對丟失數據的評估。

第五章介質的使用 第十二條

磁帶和磁盤（U 盤、移動硬盤）允許重復使用，光盤不允許重復使用。

第十三條

任何涉密介質和非涉密介質嚴禁交叉使用。

第六章介質的數據清理 第十四條

數據清理應根據信息存儲介質特性、運行成本和業務部門對數據使用、清理周期、清理內容等的要求進行實施。

第十五條

數據清理前必須對數據進行備份，在確認備份正確后方可進行清理操作。

第十六條

需要長期保存的數據要在介質有效期內進行轉

存，防止存儲介質過期失效。

第十七條

借用數據介質時必須嚴格遵守數據介質借用登記、審批、交接和歸還的流程，并保證備份數據完好無缺。

第十八條

外單位人員對存放數據的設備進行維修、維護時，必須由**縣**醫院設備管理人員現場全程監督。有關設備或介質需送交外單位維修、維護前，設備使用人員應確認設備或介質內的重要數據已經清除。

第七章介質的銷毀 第十九條

存儲介質在銷毀前必須中記備案。

第二十條

存儲介質在銷毀過程必須由兩個或兩個以上的專人進行監督和核對。

第二十一條

備份磁帶、磁盤和光學貯存介質必須在處置前進行物理銷毀，并由兩個或兩個以上的專人進行監督和核對。

第二十二條

銷毀磁盤，需使用專用的消磁設備進行消磁后，再使用工具物理破壞磁盤，然后丟棄。

第八章附則 第二十三條

本管理辦法由信息科負責解釋和修訂。

第二篇：信息系統驗收管理辦法

7信息系統驗收管理辦法

第一章 總則

第一條 為保障******（局）公司信息系統升級（新建）改造項目(以下簡稱“項目”)的建設質量和投資效益，規范和加強項目管理，按照《煙草行業計算機軟件投資項目管理辦法》等有關規定，結合本單位實際情況，制定本辦法。

第二條 本辦法適用于使用財政性資金的和******（局）公司自行調整資金的信息系統升級改造項目。

第三條 項目驗收包括系統初驗、系統試運行、竣工驗收三個環節。第四條 信息中心項目負責人負責信息化建設項目驗收的組織管理工作。

第二章 系統初驗

第五條 項目開發單位在項目完成后1個月內，向信息中心提出項目竣工驗收申請，并填寫《信息化建設項目竣工驗收申請表》（詳見附表一），同時提交以下材料：

(一)軟件測試報告。

(二)信息安全測評報告。

(三)系統測試方案。

(四)系統測試用例。

(五)系統使用手冊。

(六)其他相關資料和文件。

原則上，滿足以下條件之一的項目，其軟件測試、信息安全測評以及其他需要的測試必須由具有資質的第三方機構實施并形成測評報告：

(一)信息安全等級保護在三級及以上的。

(二)納入國家局、省局、市公司重要信息系統目錄的。

(三)涉及核心業務、信息資源、基礎設施、跨部門業務協同、公眾利益的重大項目。

第六條 項目負責人經過初步驗收征得主管領導同意后，方可開展項目初驗，并組織信息系統使用人員開展信息系統使用測評，財務人員啟動資金使用情況總結，項目負責人（監理單位）開展初步總結。

第七條 項目負責人督促信息系統使用人員熟悉系統功能，經過培訓后按照系統測試用例并結合業務實際需求開展測試，形成系統使用測試意見并簽字。測試過程中，項目開發單位應當配合需求單位對信息系統使用人員進行測試指導。信息系統使用人員重點測試內容包括：

(一)信息系統功能是否符合需求規格說明書的業務流程和業務需求。

(二)信息系統數據處理是否正確。

(三)信息系統性能是否滿足業務要求。

(四)信息系統是否易于操作，并具較好的容錯性。

第八條 項目開發單位按信息系統使用人員的測試意見對信息系統進行調整，并再次開展信息系統使用測試。對于有重大調整的項目，項目開發單位還應當再次組織軟件測試和信息安全測評。

第九條 在項目滿足項目合同約定、通過信息系統使用測試、經費使用符合財務規定后，項目負責人應當組織主管領導、系統使用者代表、安全管理員、項目開發單位、（監理單位）以及信息化專家召開項目初驗評審會，相關各方共同簽字確認形成“項目初步驗收意見”。通過初驗后，對于初驗中遺留的問題，開發單位要做好遺留問題記錄并在試運行前完成系統調整。

第三章 系統試運行

第十條 項目通過初步驗收后進入系統試運行環節，項目負責人和項目需求單位應當確定試運行范圍、設定試運行目標，制定各方協調機制和試運行計劃，組織相關的業務人員開展試運行。開發單位應當制定系統維護方案、培訓計劃和培訓教材。

第十一條 項目開發單位應當進行系統試運行環境準備，部署信息系統，開展業務人員系統使用培訓，在試運行期間提供技術支持并跟蹤系統試運行情況。（監理單位對試運行情況開展監理工作。）

第十二條 項目負責人協助系統試運行業務人員重點驗證在真實的業務環境中，系統的穩定性和可用性，是否符合業務需求、業務流程要求、數據處理和存儲要求，對于試運行期間出現的各項問題予以記錄并提出系統改進意見，形成業務人員試運行反饋意見并簽字確認。

第十三條 項目開發單位應當按照業務人員試運行反饋意見修改系統、完善系統功能、優化系統性能。項目建設單位再次組織業務人員開展試運行評價。第十四條 項目達到試運行目標后，項目負責人組織召開系統試運行總結會，項目需求單位、項目開發單位、監理單位應當共同簽字確認形成項目試運行評價意見。

第四章 竣工驗收

第十五條 信息系統通過試運行后，項目負責人應當組織項目各方準備竣工驗收相關材料。包括：

(一)項目負責人整理、編寫的驗收材料：

1、立項批復。

2、招投標文件。

3、項目合同。

4、系統使用測試意見。

5、項目初步驗收意見。

6、業務人員試運行反饋意見。

7、項目試運行評價意見。

8、其他和項目建設單位有關的材料。

(二)項目開發單位整理、編寫的驗收材料：

1、需求規格說明書。

2、項目驗收技術規范。

3、項目建設總結報告。

4、軟件測試報告。

5、信息安全測評報告。

6、項目建設技術方案。

7、其他和項目開發單位有關的材料。

(三)監理單位整理、編寫的驗收材料：

1、項目監理總結報告。

2、其他和監理單位有關的材料。

(四)共同編寫的驗收材料：

1、項目總結報告和初步決算報告。

2、修改后的至少兩年的信息系統保修方案。保修方案應當界定保修的內容，明確開發單位的保修責任、自工程竣工驗收合格之日起至少兩年的保修期限、保修方式、保修響應時間以及保修費用的承擔方式。

第三篇：信息系統權限管理辦法

XXX集團有限公司 信息系統權限管理辦法

（字〔〕號，印發）

第一章 總 則

第一條 為進一步規范XXX集團有限公司（以下簡稱集團公司）的信息系統權限管理工作，加強權限控制，確保各信息系統安全、有序、穩定運行，防范應用風險，特制定本辦法。

第二條 本辦法適用于已建成的、基于角色控制和方法設計的各型信息系統，以及以用戶口令方式登錄的網絡設備、網站系統等。

第三條 信息系統用戶、角色、權限的劃分和制定，以人力資源部對部門職能定位和各業務部門內部分工為依據。

第四條 信息系統用戶和權限管理的基本原則是：

（一）用戶、權限和口令設置由系統管理員全面負責。

（二）用戶、權限和口令管理必須作為項目建設的強制性技術標準或要求。

（三）用戶、權限和口令管理采用實名制管理模式。

（四）嚴禁杜絕一人多賬號登記注冊。

第二章 權限分配職責

第五條 部門經理職責

根據公司業務的實際需要，以及信息系統各功能權限，擬定系統管理員以及相關用戶人選。第六條 主管領導職責

（一）依據部門主任提交的信息系統權限分配方案，并根據信息系統適用的范圍決定同意或者上報權限分配方案；

（二）信息系統適用范圍僅限于部門內，且非重要系統，由主管領導決定權限分配方案；

（三）信息系統適用范圍跨多部門或全公司，由主管領導將權限分配方案上報至總經理。

第七條 總經理職責

總經理負責對適用于全公司或重要系統的權限分配方案進行審批。

第三章 管理職責

第八條 系統管理員職責

負責本級用戶管理以及對下一級系統管理員管理。包括創建各類申請用戶、用戶有效性管理、為用戶分配經授權批準使用的業務系統、為業務管理員提供用戶授權管理的操作培訓和技術指導。

第九條 業務管理員職責

負責本級本業務系統角色制定、本級用戶授權及下一級本業務系統業務管理員管理。負責將上級創建的角色或自身創建的角色授予相應的本級用戶和下一級業務管理員，為本業務系統用戶提供操作培訓和技術指導，使其有權限實施相應業務信息管理活動。

第十條 用戶職責

用戶須嚴格管理自己用戶名和口令，遵守保密性原則，除獲得授權或另有規定外，不能將收集的個人信息向任何第三方泄露或公開。系統內所有用戶信息均必須采用真實信息，即實名制登記。

第四章 用戶管理

第十一條 用戶申請和創建

（一）申請人在《用戶賬號申請和變更表》上填寫基本情況，提交本部門經理；

（二）部門經理確認申請業務用戶的身份權限，并在《用戶賬號申請和變更表》上簽字并提交主管領導；

（三）主管領導職權范圍內可直接確認，職權范圍外需簽字后提交總經理；

（四）總經理簽字確認；

（五）經審批后的《用戶賬號申請和變更表》交由系統管理員創建用戶或者變更權限。

（六）系統管理員將創建的用戶名、口令告知申請人本人，并要求申請人及時變更口令；

（七）系統管理員將《用戶賬號申請和變更表》存檔管理。第十二條 用戶變更和停用

（一）系統使用部門確認用戶角色變更或停用原因，并在《用戶賬號申請和變更表》上簽字并提交主管領導；

（二）主管領導職權范圍內可直接確認，職權范圍外需簽字后提交總經理；

（三）總經理簽字確認；

（四）經審批后的《用戶賬號申請和變更表》交由系統管理員做用戶變更或停用。

（五）系統管理員將《用戶賬號申請和變更表》存檔管理。

第五章 安全管理

第十三條 使用各信息系統應嚴格執行國家有關法律、法規，遵守公司的規章制度，確保國家秘密和企業利益安全。

第十四條 口令管理

（一）系統管理員創建用戶時，應為其分配獨立的初始密碼，并單獨告知申請人。

（二）用戶在初次使用系統時，應立即更改初始密碼。

（三）用戶應定期變更登陸密碼。

（四）用戶不得將賬戶、密碼泄露給他人。第十五條 應急管理

（一）用戶賬戶信息泄露遺失

用戶賬戶信息泄露遺失時，應在24小時內通知系統管理員。系統管理員在查明情況前，應暫停該用戶的使用權限，并同時對該賬戶所報數據進行核查，待確認沒有造成對報告數據的破壞后，通過修改密碼，恢復該賬戶的報告權限，同時保留書面情況記錄。

（二）系統管理員賬戶信息泄露遺失

系統管理員賬戶信息泄露遺失時，應立即向上級領導報告，并及時對系統管理員賬戶密碼進行修改，同時對系統賬戶管理及數據安全進行核查，采取必要的補救措施，在最終確認系統安全后，方可恢復其系統管理員賬戶功能。

第四篇：信息系統上線管理辦法

信息系統上線管理辦法

信息化項目實施完成后，進入系統上線階段。系統上線階段分為上線評審和系統試運行兩個步驟進行控制和管理。

一、上線評審

上線評審條件：系統實施單位提出申請信息系統上線評審；相關業務部門已提交系統上線運行管理辦法；對于新老系統切換上線情況，還需提交新老系統詳細遷移方案和系統應急預案。

上線評審重點：重點檢查合同對照表，確保合同任務目標達到要求；對功能測試、性能測試、文檔檢查、數據準備、數據備份、管理辦法等進行評審，檢查項目文檔的完整性、系統測試結果的合理性和系統上線前各項準備工作的完備性。

上線評審流程：對于200萬以下項目，由公司生產技術部會同各業務部門，成立系統評審組，并召開評審會議。評審組出具上線評審審查報告。對于200萬以上的項目，由貴州烏江水電開發有限責任公司（華電貴州公司）組織評審，并將結果上報集團公司

批復

四、文檔管理

項目文檔內容必須健全，文檔編寫應完整、詳細，并確保與系統相一致。

第五篇：信息系統使用管理辦法

信息系統使用管理辦法

一、本規定設計的網絡范圍及計算機系統包括：醫院信息管理系統網絡（內網）、醫院辦公及因特網（外網）、在網絡或單機運行各信息系統及應用程序所使用的計算機、計算機外部設備（如打印機等）、網絡設備等。

二、信息科作為醫院網絡的設計、建設、管理與維護部門，負責對醫院網絡運行情況進行監督、管理和控制，并對醫院網絡上的信息進行檢查和備案。

三、本條例認為，員工在被許可使用醫院計算機系統時，該員工完全接受醫院信息科對其計算機以及其附屬設施上做的任何設置和策略限制，并完全接受本管理規定所制定的所有條款內容。

（一）硬件管理

1、為便于信息科為各計算機用戶提供技術服務支持，醫院的計算機系統及相關的附屬設備（如打印機、掃描儀、網絡設備等）的采購、使用、入網、報廢等必須經過信息科審核同意。

2、為了有效地管理及應用醫院的計算機，信息科對醫院內的所有計算機及其相關設備進行登記注冊，其中包含每臺機器的型號、使用部門、使用人、用途等。未經信息科允許，任何人不得私自更改計算機配置；嚴禁攜帶個人筆記本在未經允許的情況下私自使用醫院網絡上網。

3、醫院計算機設備的資產管理權分屬各個使用部門所有。醫院員工不得濫用計算機設備，使用者有義務對自己所使用的計算機設備負責；對計算機硬件設備的損壞、丟失、被盜等情況，必須及時通知相關負責人及信息科。

4、醫院計算機設備的故障原因由信息科負責確定，非信息科人員不得自行拆裝、修理或增加計算機硬件設備。

5、員工在使用計算機中遇到了非正常使用情況或困難，應及時通知信息科人員確定故障原因，并主動說明故障現象，積極配合維修。

6、計算機設備經信息科維修人員確定需外出維修的，由信息科負責聯系協議維修公司，維修后由信息科及使用部門確認，相關維修費用計入相應部門支出。

7、醫院計算機機房是醫院信息系統的神經中樞，非信息科允許禁止擅自進入。

（二）軟件管理

1、為便于信息科為各計算機軟件用戶提供技術服務支持，醫院計算機軟件的使用、采購、相關技術培訓等須經信息科審核同意。

2、醫院計算機及其相關應用系統的使用者必須是經過主管部門授權認可的醫院工作人員。嚴禁非醫院員工使用醫院的計算機及相關資源；未經主管領導或部門許可，任何人不得從計算機和相關的應用系統內獲取非公用的相關數據信息。

3、所有計算機用戶在首次使用計算機系統或醫院相關管理軟件前必須接受相關培訓方可獲得使用權限。

4、醫院內網上的計算機軟件統一由信息科管理、安裝，計算機使用者不得私自改動、刪除或安裝任何軟件。當出現計算機軟件出現故障或損壞，應及時通知信息科并作好記錄。

5、醫院計算機用戶視為完全接受所使用計算機系統內所有軟件的授權協議條款的相關內容；如對其中某些軟件或某些軟件條款有異議，需向有關部門和負責人申請，有信息科幫助其刪除相關軟件或取消其使用權限。

6、信息科應建立醫院的軟件檔案庫，對醫院工作需要的各種軟件要及時備份，經常檢查更新，保持其可用性。

7、醫院計算機用戶不得改動所使用計算機系統的相關軟件設置（尤其是計算機名稱、IP地址、瀏覽器及應用程序相關配置等）；如因工作確需改動的須向信息科申請。

8、任何操作人員不得私自鏈接或打開數據庫直接進行操作。

9、對于醫院的各管理系統及其他網絡應用系統用戶，在使用完系統后及時退出系統。

10、因特網用戶不要在計算機系統上安裝非系統自帶的占用大量系統資源的程序，以免降低計算機系統的運行速度和用戶的工作效率。

11、嚴禁在醫院的計算機系統上安裝或玩計算機游戲！禁止任何人、任何時間、在任何工作站玩游戲、看小說及運行其他與工作無關的程序！信息科會不定期檢查醫院計算機，如發現有游戲則由使用者負責，同時追究部門負責人的責任。

（三）保密與病毒防護

1、醫院為計算機的使用者開設計算機網絡系統登錄賬號，建議該賬號密碼至少每個月更新一次；密碼本身必須非空，并不要以書面形式記錄或表示。所有計算機系統的各類賬號由信息科來統一管理并嚴格執行管理流程。

2、醫院各管理系統用戶要嚴格保密自己的賬號密碼；嚴禁用戶通過任何方式向他人泄露有關計算機賬號的相關信息（包括賬號ID、密碼、賬號屬性、相關說明等），否則由此產生的一切不良后果均由賬號所有者承擔；各管理系統用戶因工作或其他原因產生人事變動后，該部門及時通知信息科修改用戶賬號的相關信息或停用賬號。

3、所有醫院員工必須遵守醫院與計算機使用相關的管理規定，接受醫院信息科對其計算機做的安全管理設置和操作。

4、所有敏感的數據或者機密數據必須通過一定的方式進行加密處理；并通過一定的物理安全措施進行備份保密存儲。

5、所有的計算機在無人使用時，應該處于密碼保護狀態或者用戶賬號注銷狀態；公用計算機必須設定屏幕保護程序，并設置屏保密碼，屏保啟動時間不大于3分鐘。

6、每臺計算機都必須安裝防病毒軟件。當出現計算機病毒傳染跡象時，應立即上報信息科進行處理，不得帶“毒”繼續運行，以防病毒蔓延殃及網絡上其他計算機；在信息科殺毒過程中需要隔離被感染的系統或網絡時，各用戶應予以積極配合；嚴禁擅自刪除或關閉殺毒防范軟件，確保防病毒軟件的正常運行和病毒代碼更新工作及時、正常運行，如發現防病毒軟件無法更新最新病毒庫，及時聯系信息科。嚴禁故意制作、傳播計算機病毒等破壞性程序！

7、所有移動數據存儲介質（包括軟盤、ZIP磁盤、移動U盤、移動硬盤、光盤等）在使用前，必須對其進行一次計算機病毒的查殺，不允許帶毒使用。

8、重視數據備份，各計算機用戶請及時對自己的數據進行備份，重要數據建議存放在非操作系統盤上，并每周對重要數據進行一次硬盤備份。

9、同一臺計算機若有多個用戶使用，各計算機用戶請把自己的文件存放到自己的子目錄下，自己操作自己的子目錄，不要改動他人的資料。

10、醫院網絡里的各種數據及報表應嚴格控制在醫院內部，任何部門和個人應高度重視保護醫院的秘密，不得泄露醫院的各類保密信息，對于需要在網上發布的必須保證有審批和授權違者必究！

11、需要信息科提供數據查詢或修改時，必須提供經分管領導審批的書面申請。

12、謹慎使用計算機系統的文件夾共享功能，在進行文件夾共享時，清楚所有的操作（相關信息請咨詢信息科）。如果因文件夾共享功能導致數據丟失、數據泄密、非法入侵（包括病毒和黑客行為）等結果，當事人承擔所有后果。

（四）網絡管理

1、確保我院醫療業務網與互聯網完全物理隔離，任何科室、部門人員未經允許不得在兩個網絡間進行數據傳輸及拷貝。