【法规名称】
【颁布部门】 国家中医药管理局
【发文字号】 国中医药办发[2011]46号
【颁布时间】 2011-10-12
【实施时间】 2011-10-12
【效力属性】 有效
【法规编号】 569578 什么是编号?
【正 文】
第5页 国家中医药管理局关于印发《中医医院信息化建设基本规范》和《中医医院信息系统基本功能规范》的通知
|
[接上页] 1.对升级、扩展和变更潜在的风险、影响及需要的资源进行分析; 2.制订实施计划、测试计划、回退计划等; 3.进行预先测试,形成测试报告; 4.避免在业务高峰期间进行操作; 5.兼容历史数据。 第七章 信息安全 第四十八条 遵循信息安全等级保护要求, 从技术和管理 两方面构建医院信息平台的综合防御机制,保证中医医院信息系统的稳定运行以及业务数据的安全可靠。 第四十九条 建立健全信息安全管理组织、 规章制度、岗位职责以及检查审核和风险评估机制,制订完备的系统恢复及应急预案,完善信息安全技术措施,保障中医医院信息系统安全、平稳和高效的运行。 第五十条 中医医 院信息安全 管理组织应 由医院主要 领导及相关职能部门负责人组成。主要职责: 1.制定统一的安全策略和信息系统安全管理制度; 2.审核、发布和实施信息系统安全保护和安全防范技术方案; 3.组织信息系统安全教育及技术培训; 4.开展信息系统安全自查,发现问题,及时整改; 5.组织信息系统安全防范、应急演练。 第五十一条 中医 医院信息系 统安全管理执 行《信息安全 等级保护管理办法》等规定,开展定级备案工作。中医医院信息系统安全按照等级保护第二级要求进行安全建设。根据中医医院服务受众的多少和对应用系统依赖的程度,重要信息系统推荐参照等级保护第三级要求进行安全建设。 第五十二条 中医 医院信息安全 技术管理主 要包括身份认 证、访问控制与授权、数据备份与灾备系统、安全分域及边界防护、防病毒系统、入侵检测、漏洞扫描、补丁管理、邮件安全网关、远程接入、网络审计等,应建立与之相配套的管理制度。基本要求: 1.身份认证管理:计算机入网运行应经备案批准,重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理,严格控制设备存取及加密; 2.访问控制与授权管理:根据网络主机不同的安全级别采取相应的访问控制、数据保护、监控管理和系统安全等技术措施,定期对网上用户的访问及授权情况进行检查,不得超过授权设置权限; 3.备份与恢复管理:建立备份和恢复的管理制度和操作规程,定期对备份和恢复策略进行测试,制定系统恢复的预案并定期演练; 4.边界安全的防护管理:根据安全区域划分情况明确安全防护边界,实施有效的访问控制策略和机制,应在网络系统或安全域边界的关键点采用严格的安全防护机制; 5.病毒防护管理:部署有效的网络病毒防范软硬件系统、入侵检测系统,制定相应的病毒防范管理办法、计算机病毒和恶意代码防护策略以及规章制度,实施对计算机网络病毒和安全事件的监控和有效防范; 6.远程接入管理:在有效部署防火墙、入侵检测和防病毒系统的基础上实施远程接入,使用公用网络应采取安全措施,内网业务与外网业务应进行隔离,涉密计算机禁止与非涉密网络联接; 7.数据安全管理:制定保密防范措施,重要数据、软件的修改应留有操作痕迹,并具有恢复功能。严格审查数据的输入、处理、存储、输出;重要数据须加密存储,对存储介质的文件和数据,应有软件保护措施; 8.网络审计管理:部署有效的网络安全审计系统,制定相应的安全审计策略及规章制度,对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 第五十三条 保护 信息系统医疗 信息和患者 隐私,不得利 用医疗信息从事商业活动或其他与治疗无关的活动,不得私自复制、下载、传播和泄漏患者信息。 第五十四条 医院信息系统突发事件管理的基本要求: 1.信息系统突发事件应对原则:统一领导、分级控制、预防为主、健全制度、快速响应、有效配合; 2.建立突发事件应对体系,包括组织机构、工作职责、应急预案、通讯系统以及必要的物资储备; 3.应急预案应采用手工、半手工、备用系统等多种可使业务持续运行的手段,对关键业务的处理流程制定应急操作步骤,制定定期应急预案演练计划,并按照计划实施演练; 4.建立信息系统预警等级制度,发生信息系统突发事件,应立即上报和确定等级,启动相应应急预案; 5.应对信息系统突发事件的宣传和技术培训,保证应急预案的有效实施,不断提高信息系统的应急能力。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!