醫學院網絡安全等級保護管理辦法(試行)

　　第一章 總 則

　　第一條 為貫徹落實《中華人民共和國網絡安全法》，規范學校網絡安全等級保護定級備案工作，依據《中華人民共和國計算機信息系統安全保護條例》(國務院第147號令)、《教育行業信息系統安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)、《教育部、公安部關于全面推進教育行業信息安全等保工作的通知》(教技[2015]2號)等國家網絡安全等級保護相關政策和標準，結合學校實際情況，制定本辦法。

　　第二條 信息系統定級備案是等級保護工作的關鍵環節，是開展信息系統建設整改、等級測評、監督檢查等工作的重要基礎，學校信息系統安全等級保護應嚴格執行國家有關規定。

　　第三條 本辦法適用于學校所有的非涉密信息系統安全等級保護定級備案工作。信息系統的定級備案工作應與信息系統建設同步實施。

　　第二章 等級的確定

　　第四條 信息系統安全保護等級劃分。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為五級，從第一級到第五級逐級增高。

　　第一級(自主保護級)，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

　　第二級(指導保護級)，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

　　第三級(監督保護級)，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

　　第四級(強制保護級)，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

　　第五級(專項保護級)，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

　　第五條 信息系統安全保護等級定級要素。信息系統的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

　　(1)受侵害的客體。等級保護對象受到破壞時所侵害的客體包括以下三個方面：公民、法人和其他組織的合法權益;社會秩序、公共利益;國家安全。

　　(2)對客體的侵害程度。對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的，因此，對客體的侵害外在表現為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。

　　等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：造成一般損害;造成嚴重損害;造成特別嚴重損害。

　　第六條 定級要素與等級的關系。定級要素與信息系統安全保護等級的關系如表1所示。

　　表1 :定級要素與安全保護等級的關系

　　第三章　定級備案流程

　　第七條 確定定級責任主體。按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，信息系統所在的業務主管部門為定級工作的責任主體，信息化工作部門協助具體技術支撐工作。

　　第八條 確定定級對象。作為定級對象的信息系統應具有如下基本特征：

　　(1)具有唯一確定的安全責任單位。作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統的安全責任單位;如一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任，則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。

　　(2)具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件，如服務器、終端、網絡設備等作為定級對象。

　　(3)承載相對獨立的業務應用。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立，同時與其他業務應用有一定的數據交換，定級對象可能會與其他業務應用共享一些設備，尤其是網絡傳輸設備。

　　第九條 級次的確定。原則上只針對校內開放的信息系統可確定為第一級;面向互聯網開放的信息系統，需參照《教育行業信息系統安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)定級，完成公安機關定級備案流程并取得紙質《信息系統安全等級保護備案證明》，方可開放互聯網訪問。對于承載復雜業務的信息系統，安全保護等級可高于建議等級;對于承載多個業務的信息系統，應以所承載業務的信息系統的最高建議等級進行定級。

　　對于擬定為第一級的信息系統，業務主管部門應填寫《xx醫學院信息系統登記表》送交信息化工作部門備案即可;對于擬定為第二級(含)以上的信息系統，業務主管部門還需參照本規定完成后續信息系統定級備案工作，同時配合做好等保測評經費年度預算工作。

　　第十條 專家評審定級。對于擬定為第二級(含)以上的信息系統，業務主管部門需按公安機關要求填報備案申報材料，可自行或由信息化工作部門集中統一報送xx市網絡安全協會參加定級評審，業務管理部門人員需參與現場評審答辯。

　　第十一條 登記審核。對于擬定為第二級(含)以上的信息系統，業務管理部門在信息化工作部門的指導下，逐一填報等保備案相關材料，可自行或由信息化工作部門集中統一報送公安機關進行登記并接受審核。

　　第十二條 信息系統等級測評及備案。擬定為第二級(含)以上的信息系統經公安機關審核通過后，由測評機構開展等級測評工作。測評機構對信息系統安全狀況未達到安全保護等級要求的，提出整改意見和改進方案，學校信息化工作部門和相關業務部門應按職責分工，逐條對照整改，直至合格為止;經審查合格的，公安機關頒發紙質《信息系統安全等級保護備案證明》。

　　依據《信息系統安全等級保護測評要求》等技術標準，二級信息系統應當每兩年至少進行一次等級測評，第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。

　　第十三條 資料管理。信息化工作部門需要做好《信息系統安全等級保護備案證明》原件和《信息系統等級測評報告》等資料保管工作。

　　第四章　等級變更

　　第十四條 信息系統運行過程中，當系統狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害對象和受侵害程度有較大的變化時，應及時根據具體情況重新定級，并變更等級。

　　信息系統安全保護等級發生改變的，信息系統業務主管部門應當在30日內到當地公安機關辦理變更備案。完成備案變更后，應將新變更的《信息系統安全等級保護備案證明》原件及時交學校信息化工作部門保管。

　　第五章　附 則

　　第十五條 本辦法自印發之日起施行。

　　第十六條 本辦法由學校網絡安全與信息化領導小組負責解釋。

篇2：大學附屬醫院信息網絡安全保護管理規定

　　大學附屬醫院信息與網絡安全保護管理規定

　　第一章 總則

　　第一條 為了加強對醫院信息網絡系統的安全保護，促進醫院信息網絡的應用和發展，保障醫院信息網絡系統有序運行，根據《中華人民共和國計算機信息系統安全保護條 例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》、《廣東省計算機信息系統安全保護管理規定》、《廣東省計算機信息系統安全保護管理規定實施細則（試行）》和有關法律、法規，結合醫院實際，制定本規定。

　　第二條 本規定所指的信息網絡系統，是指在醫院信息系統中，由計算機及其相關配套的設備、設施構成，按照系統應用目標和規定對醫院信息進行采集、存儲、傳輸、檢索、匯總、加工等處理的人機系統。

　　第三條 醫院信息網絡系統管理及安全保護，是為了保障醫院信息管理系統功能的正常發揮，保障運行環境和信息的安全，以維護信息網絡系統的安全運行。

　　第四條 本規定適用于醫院全部上網運行的計算機。

　　第五條 本規定適用于全院應用“zz一院信息系統”的所有科室和個人。

　　第六條 任何科室或者個人不得利用上網計算機從事危害醫院利益的活動,不得危害醫院信息網絡系統的安全。

　　第二章 安全監督

　　第七條 醫院信息網絡系統的組織管理機構是醫院信息網絡管理領導小組（簡稱領導小組）。

　　一領導小組由下列人員組成：

　　組長：院長或主管副院長

　　副組長：業務副院長或職能機關領導

　　成員：院長辦公室主任、醫務處處長、護理部主任、藥學部主任、信息網絡科科長、醫務處主管醫療工作人員和護理部主管護理工作人員各1名、計算機工程技術人員若干名。

　　二領導小組的主要職能和任務：

　?。?、制定醫院信息系統建設和應用總體規劃及階段實施計劃，審查和制定系統應用中的工作流程、技術規范、性能指標、有關人員職責和規章制度。

　?。?、協調解決工程實施和系統應用中的重大問題。

　?。?、組織安排系統建設和應用中的重要活動，如網絡管理、系統配置、人員培訓等。

　?。?、緊急情況下，領導小組可以采取特別措施以維護醫院信息網絡系統安全。

　　第八條 信息網絡科是系統建設、應用組織的主要負責部門，是系統運行的保障者，應對所屬人員實行分工負責。信息網絡科應對醫院信息網絡系統的安全策略和解決方案作出規劃并組織實施。信息網絡科對信息網絡系統安全保護工作行使下列職責：

　?。?、監督、檢查、指導信息網絡系統安全維護工作；

　?。?、查處危害信息網絡系統安全的違章行為；

　?。?、履行信息網絡系統安全工作的其他監督職責。

　　第九條 計算機工程技術人員全面負責信息網絡系統的規劃、設計、配置，負責系統的調試、維護、安全管理、人員培訓等具體實施工作。

　　計算機工程技術人員發現影響信息網絡系統安全的隱患時，可立即采取各種有效措施予以制止。

　　計算機工程技術人員在緊急情況下，可以就涉及信息網絡系統安全的特定事項采取特殊措施進行防范。

　　第三章 安全保護管理

　　第十條 任何科室和個人不得利用醫院信息網絡系統制作、復制、傳播和查閱以下信息：

　　一煽動抗拒、破壞憲法和法律、法規的實施的；

　　二煽動顛覆國家政權，推翻社會主義制度的；

　　三煽動分裂國家、破壞國家統一的；

　　四煽動民族仇恨、民族歧視，破壞民族團結的；

　　五捏造或者歪曲事實，散布謠言，擾亂社會秩序的；

　　六宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；

　　七公然侮辱他人或者捏造事實誹謗他人的；

　　八損害國家機關信譽的；

　　九其他違反憲法和法律、行政法規的。

　　第十一條 任何科室和個人不得從事下列危害醫院信息網絡系統安全的活動：

　　一未經允許，進入醫院信息網絡系統或者使用信息網絡系統資源的；

　　二未經允許，對信息網絡系統功能進行刪除、修改或者增加的；

　　三未經允許，對信息網絡系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的；

　　四未經允許，擅自盜取醫院相關數據或程序代碼的；

　　五故意制作、傳播計算機病毒等破壞性程序的；

　　六其他危害信息網絡系統安全的。

　　第十二條 信息網絡系統的安全保護

　　一信息網絡系統的建設和應用，應遵守上級主管機關頒發的行政法規、用戶手冊和其他有關規定。

　　二信息網絡系統實行安全等級保護和用戶使用權限劃分，所有訪問信息網絡系統的人員必須按程序報審。

　　三信息網絡系統中心機房應符合國家標準和國家規定，由信息網絡科作好日

常清潔及防干擾工作。

　　四在信息網絡系統設施附近進行房屋維修、改造及其他活動，不得危害信息網絡系統的安全。如無法避免而影響信息網絡系統設施安全的作業，須事先通知信息網絡科，經負責人同意并采取保護措施后，方可實施作業。

　　五信息網絡系統的使用科室和個人都必須遵守計算機安全使用規定，以及有關的操作規程和規章制度。

　　六對信息網絡系統中發生的問題，使用科室應立即上報信息網絡科。

　　對計算機病毒和其他危害信息網絡系統安全的數據信息的防治工作，由信息網絡科負責處理。

　　八對信息網絡系統軟件、設備、設施的安裝、調試以及故障排除等項操作由計算機工程技術人員負責。其他任何科室或個人不得自行拆卸、安裝任何軟、硬件設施。

　　九在醫院信息網絡系統未與外網連接之前，所有連接醫院信息系統的計算機絕對禁止連接Internet網或其他公共網絡。

　　所有科室及個人不得使用非醫院指定計算機連接醫院信息網絡。

　?。ㄊ唬┤魏慰剖液蛡€人不得私自架設無線網絡設備和基站。

　　第十三條 網絡的技術管理

　　一計算機工程技術人員是信息網絡系統技術管理的直接責任者，應以實現系統功能為目的，以滿足用戶需求為宗旨，對網絡系統的操作和維護進行管理。

　　二網絡內各類設備的配置，由系統負責人提出配置規劃和計劃，報有關領導審批后實施。

　　三每一子系統或掛接的可執行程序在上網運行前，計算機工程技術人員必須嚴格按照功能要求在備用服務器上進行全面調試，達到功能要求且排除一切可能的數據沖突后交用戶實際上網使用。

　　計算機工程技術人員實行分工負責制。信息網絡系統的各種設備由信息網絡科負責人管理或指定專人負責。

　　五系統管理員或機房值班人員負責網絡服務器的數據備份和日常工作。

　　六系統負責人全面負責技術支持和運行保障工作，出現技術問題或故障時，應組織技術力量在最短時間內處理。

　　第十四條 工作站管理

　　一網絡工作站作為信息網絡系統專用設備，使用科室、個人不得擅自在終端機上裝載其他軟件和移動存儲設備如3.5”軟盤或優盤等。

　　二各工作站所有使用人員必須嚴格遵守《新HIS系統工作站用戶手冊》所規范的各項操作規程以及有關計算機管理制度，嚴格按照計算機操作使用規程進行操作。

　　三各工作站配置的計算機、打印機等設備須指定專人使用、保管和維護，轉交他人保管時需嚴格辦理交接手續。使用人必須保持各種網絡設備、設施整潔干凈，并認真做好網絡設備的日清月檢，使網絡設備始終處于良好的工作狀態。

　　四加強設備定位定人管理，未經信息網絡科允許，不得隨意挪動、拆卸和外借所有網絡設備、設施。

　　不得擅自裝載、卸載和變更計算機網絡設置。

　　各工作站周圍嚴禁存放易燃、易爆、易腐蝕及強磁性物品，做好放火、防盜措施。

　　各工作站使用科室必須按程序報審本科室的操作人員名單，如操作人員有變動應及時上網調整，或上報信息網絡科予以變更。

　　操作人員應嚴格保密個人密碼，嚴禁泄漏、外借密碼；個人秘密必須在第一次使用時進行修改，經信息科檢查發現超過三個月未修改的，將暫時取消相應的操作權限，操作人員憑個人身份證明到信息科修改后方可繼續使用。

　　嚴禁無關人員上機操作或進行其他影響系統正常運行的工作。

　　嚴格交接班制度，工作中遇到問題要及時報告。

　?。ㄊ唬┦褂脮r如發現運行故障，要及時上報信息網絡科。

　　第四章 罰則

　　第十五條 任何科室或個人利用網絡從事危害國家安全的活動，違反刑法的，依法交相關國家機關，依照有關法律法規予以處罰。

　　第十六條 違反本規定，有以下行為之一的，由計算機工程技術人員以口頭或書面形式進行警告：

　　一違反信息網絡系統安全保護制度，危害網絡系統安全的；

　　二接到計算機工程技術人員要求改進安全狀況的通知后，拒不改進的；

　　擅自安裝、拆卸軟、硬件設備的；

　　四擅自更改網絡設置的；

　　五發現信息網絡系統出現問題不立即報告的；

　　六有危害信息網絡系統安全的其他行為。

　　第十七條 違反本規定，有下列行為之一的，全院通報批評并處予扣發酬金100-500元：

　　一在工作站進行與醫院信息網絡系統無關操作而造成危害的；

　　二私自拆卸、更改網絡設備而造成危害的；

　　三向他人泄露帳號密碼而造成不良后果的。

　　第十八條 利用終端設備進行與信息系統無關的操作，導致病毒侵襲而造成下列損害之一的，全院通報批評并處以以下經濟處罰：

　　一造成設備損害的，原價賠償；

　　二造成工作站系統破壞的，扣發酬金1-3個月，并賠償全部修復費用；

　　三造成網絡部分或全部癱瘓的，處予嚴厲的行政處分，造成的經濟損失由個人承擔40%，科室承擔60%。

　　第十九條 因以下行為對醫院信息系統的運行造成下列后果之一的，由醫院給予以下處罰：

　　一下發的計算機、打印機等設備由所屬科室負責管理，對由于責任心不強而造成計算機、打印機被盜或損壞者，原價賠償。

　　二由于操作者違章操作，造成計算機軟、硬件故障，而影響醫院信息網絡系統的正常運行者，扣發酬金1-3個月，情節特別嚴重的追究科室負責人的領導責任。

　　三對因違章操作造成系統數據丟失、核算錯誤，給醫院造成重大經濟損失的，個人承擔損失費用的40%，科室承擔60%。

　　四私自添加、刪除計算機保存內容；私自更改計算機的各種文件配置；私自更改本信息網絡系統應用程序以及參數設置，未造成重大技術事故和經濟損失者，扣發酬金1-3個月。造成重大技術事故和經濟損失者，造成的經濟損失由個人承擔40%，科室承擔60%。

　　第二十條 在網絡系統設備、設施附近作業而危害網絡系統安全，影響網絡正常運行造成經濟損失的，由作業科室賠償；造成醫院財產嚴重損失的，追究其民事責任。

　　第二十一條 對于其它違反本規定的行為，由醫院信息網絡管理領導小組按

有關管理辦法進行處罰。

　　第五章 附則

　　第二十二條 本規定由信息網絡科負責解釋。

　　第二十三條 本規定自發文之日起實行。