国产第页,国产精品视频一区二区三区,国产精品网站夜色,久久艹影院,精品国产第一页,欧美影视一区二区三区,国产在线欧美日韩精品一区二区

醫(yī)院信息化制度匯編

發(fā)布時間:2020-09-29 來源: 讀后感 點擊:

 醫(yī)院信息化制度匯編

 目錄 信息系統(tǒng)安全總體方針 ......................................................................................... 1 信息系統(tǒng)安全管理策略 ......................................................................................... 4 信息安全檢查管理辦法 ....................................................................................... 14 信息安全違章行為責任追究辦法 ........................................................................ 18 安全教育和培訓管理辦法 .................................................................................... 23 外來人員安全訪問管理辦法 ................................................................................ 26 信息系統(tǒng)建設(shè)項目管理辦法 ................................................................................ 29 軟件開發(fā)管理辦法 ............................................................................................... 38 辦公區(qū)環(huán)境與安全管理辦法 ................................................................................ 48 中心機房運行管理辦法 ....................................................................................... 52 信息分類與標識管理辦法 .................................................................................... 57 信息系統(tǒng)資產(chǎn)管理辦法 ....................................................................................... 62 介質(zhì)安全管理辦法 ............................................................................................... 65 設(shè)備安全管理辦法 ............................................................................................... 68 網(wǎng)絡(luò)安全管理辦法 ............................................................................................... 71 信息系統(tǒng)安全管理辦法 ....................................................................................... 74 惡意代碼防范管理辦法 ....................................................................................... 83 信息系統(tǒng)密碼管理辦法 ....................................................................................... 86 信息系統(tǒng)變更管理辦法 ....................................................................................... 92 數(shù)據(jù)備份與恢復管理辦法 ................................................................................... 102 信息安全事件報告管理辦法 ............................................................................... 110 信息安全突發(fā)事件應(yīng)急預案 ............................................................................... 114

 信息系統(tǒng)安全總體方針 第一章

 總則

 第一條

 為加強和規(guī)范**縣**醫(yī)院信息安全工作,提高信息安全整體防護水平,實現(xiàn)信息系統(tǒng)的安全管控,依據(jù)國家有關(guān)法律、法規(guī)的要求,制定本方針。

 第二條

 本方針為**縣**醫(yī)院信息安全管理提供一個總體性架構(gòu)文件,指導**縣**醫(yī)院信息安全管理體系建設(shè),以實現(xiàn)統(tǒng)一的安全策略管理,提高整體的網(wǎng)絡(luò)與信息安全水平,保障網(wǎng)絡(luò)暢通和信息系統(tǒng)的正常運行。

 第三條

 本方針適用于**縣**醫(yī)院信息系統(tǒng)資產(chǎn)和信息安全人員的安全管理,適用于指導**縣**醫(yī)院信息安全策略的制定、安全方案的規(guī)劃、安全建設(shè)的實施和安全管理措施的選擇。

 第二章

 組織機構(gòu)與職責

 第四條

 **縣**醫(yī)院信息化建設(shè)領(lǐng)導小組為**縣**醫(yī)院信息安全工作領(lǐng)導機構(gòu),領(lǐng)導小組下設(shè)辦公室,由信息科負責信息安全具體工作。**縣**醫(yī)院其他部門主要負責人是落實信息安全管理制度的第一責任人。

 第五條

 **縣**醫(yī)院信息化建設(shè)領(lǐng)導小組負責統(tǒng)籌領(lǐng)導**縣**醫(yī)院信息安全工作,指導信息科負責的重大的信息安全工作。

 第三章

 信息安全體系框架和目標

 第六條

 **縣**醫(yī)院信息安全體系框架的組成是安全組織、安全策略、安全技術(shù)和安全運作,四大組成部分協(xié)同構(gòu)建、完成和實現(xiàn)**縣**醫(yī)院信息安全工作和目標。

 第七條

。ㄒ唬┬畔踩M織工作目標是建立健全的安全組織,加強人員的安全管理,為信息安全工作提供組織保障。

 (二)信息安全策略工作目標是制定完善的信息安全管理制度和技術(shù)規(guī)范,并確保其有效發(fā)布、執(zhí)行和更新,規(guī)范**縣**醫(yī)院信息安全管理工作。

。ㄈ┬畔踩夹g(shù)目標是采用適當?shù)募夹g(shù)手段,加強業(yè)務(wù)和支撐系統(tǒng)的安全防護,為信息安全工作提供技術(shù)工具支撐。

 (四)信息安全運作目標是加強安全工作的運作管理,維護業(yè)務(wù)和支撐系統(tǒng)的安全運行,及時處理安全問題,為信息安全工作提供運行保障。

 第四章

 信息安全建設(shè)原則和目標

 第八條

 **縣**醫(yī)院信息安全工作的原則是:滿足和推動服務(wù)業(yè)務(wù)發(fā)展,信息系統(tǒng)安全架構(gòu)完整、統(tǒng)一,數(shù)據(jù)集中、信息共享,控制成本、提高工作效率,利用國家標準規(guī)范**縣**醫(yī)院管理。

 第九條

 **縣**醫(yī)院信息安全工作的目標是:通過建立和完善信息安全的策略體系、組織體系、技術(shù)體系和運作體系,保障日常工作的開展和各信息系統(tǒng)的連續(xù)正常穩(wěn)定運行,維護信息系

 統(tǒng)的數(shù)據(jù)安全,促進**縣**醫(yī)院信息化工作健康發(fā)展。

 第五章

 附則

 第十條

 本文件由信息科負責解釋與修訂。

 信息系統(tǒng)安全管理策略 第一章

 總則

 第一條 本策略為**縣**醫(yī)院各項信息安全工作提供依據(jù)和指導。

 第二條**縣**醫(yī)院信息安全工作由信息化建設(shè)領(lǐng)導小組牽頭,信息科具體組織,各部門分塊負責,全員參與,專人管理。

 第三條**縣**醫(yī)院信息安全工作以風險管理為基礎(chǔ),在安全、效率和成本之間始終堅持“安全第一”的原則。

 第二章

 信息安全組織及職責

 第四條**縣**醫(yī)院信息化建設(shè)領(lǐng)導小組 (一)統(tǒng)籌領(lǐng)導**縣**醫(yī)院信息安全工作,指導信息科負責的重大的信息安全工作; (二)審查和核準信息安全策略及制度; (三)審核批準重大的信息安全活動; (四)審核批準對信息安全事故的處置意見。

 第五條信息科 (一)負責組織**縣**醫(yī)院信息安全工作; (二)負責制定**縣**醫(yī)院信息安全管理制度、技術(shù)規(guī)定、應(yīng)急預案等,并督促執(zhí)行;

。ㄈ┴撠煂**縣**醫(yī)院內(nèi)各系統(tǒng)安全的檢查和防護,及時處置安全風險; (四)負責對計算機病毒感染的預防、檢測和清除,定期維護計算機軟件和數(shù)據(jù)、對重要信息定期進行檢查和備份; (五)負責信息安全事故的處置; (六)負責組織信息安全培訓和宣傳。

 第六條

 信息安全責任 **縣**醫(yī)院其他部門主要負責人是信息安全第一責任人,負責本部門所有與信息安全相關(guān)的活動。其他部門信息安全聯(lián)絡(luò)員負責配合信息安全相關(guān)的檢查、管理、上報及其他需協(xié)調(diào)的工作。

 第七條信息科必須與接觸**縣**醫(yī)院敏感信息和核心技術(shù)資料的第三方簽署保密協(xié)議,并與在**縣**醫(yī)院工作的第三方人員簽署個人保密協(xié)議。

 第三章

 安全風險管理

 第八條

 定期對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)等進行漏洞識別與分析,對系統(tǒng)中所存在的高風險漏洞按照流程進行處置。

 第九條

 每年至少進行一次全面的風險評估,以確定是否存在新的威脅或薄弱點,并分析是否需要增加新的安全控制措施。

 第十條 當發(fā)生以下情況時需及時進行風險評估工作:

 (一)當發(fā)生重大信息安全事件時; (二)當信息系統(tǒng)發(fā)生重大變更時; (三)信息化建設(shè)領(lǐng)導小組確定必要時。

 第十一條 針對風險評估結(jié)果制定風險控制措施及實施計劃。風險整改后,應(yīng)再次進行評估,以確保風險得到正確規(guī)避。

 第四章

 資產(chǎn)安全管理

 第十二條 信息資產(chǎn)是指有業(yè)務(wù)價值的實物或者虛擬的事物。

 第十三條

 各部門應(yīng)識別與信息生命周期有關(guān)的資產(chǎn),形成資產(chǎn)清單,及時更新,并指定資產(chǎn)所有人,資產(chǎn)所有人負責資產(chǎn)的維護與安全,對資產(chǎn)進行安全等級劃分。

 第十四條

 資產(chǎn)管理 (一)對所管理的資產(chǎn)必須明確說明使用、發(fā)布、復制、存儲、傳輸、銷毀的過程并記錄; (二)資產(chǎn)所有人負責信息的授權(quán),資產(chǎn)只能授權(quán)給工作必須的人員; (三)信息的獲取應(yīng)該遵照工作需要原則、受控審批的原則,嚴禁未經(jīng)批準的私下獲取行為;在對外提供任何可能涉及**縣**醫(yī)院信息的資料、數(shù)據(jù)、信息之前,不管提供的對象是上級管理部門,還是第三方,都必須事先經(jīng)過資產(chǎn)所有人的審批許可; (四)未經(jīng)批準,嚴禁泄露信息系統(tǒng)的安全控制機制。對外公布的信息必須經(jīng)過審批,不得在公開媒體上發(fā)布、談?wù)摵蛡鞑?*縣**醫(yī)院的數(shù)據(jù)和信息; (五)必須采用**縣**醫(yī)院批準的銷毀方式銷毀信息。

 第五章

 人員安全管理

 第十五條 聘用條款和保密協(xié)議

。ㄒ唬┬畔⒖破赣萌藛T的聘用條款應(yīng)明確信息安全責任; (二)所有信息安全相關(guān)人員需與**縣**醫(yī)院簽訂保密協(xié)議及崗位責任協(xié)議,明確各崗位安全職責。

 第十六條

 人員審查 (一)對相關(guān)信息化供應(yīng)商以及工作人員應(yīng)按照相關(guān)法律法規(guī)和對應(yīng)的業(yè)務(wù)要求進行安全資格審查; (二)必須對進入關(guān)鍵崗位的職工進行資格審查和技能考核。

 第十七條 定期組織干部職工以及相關(guān)第三方人員學習信息安全知識,進行安全意識、安全態(tài)勢培訓。

 第十八條

 人員離職時應(yīng)及時收回所有涉及**縣**醫(yī)院業(yè)務(wù)內(nèi)容的資料、數(shù)據(jù)、信息,立即取消所有訪問信息系統(tǒng)的權(quán)限。

 第十九條

 人員調(diào)離其他單位,需提交調(diào)離申請,經(jīng)相關(guān)領(lǐng)導審批后進行工作交接,并對**縣**醫(yī)院有關(guān)所有信息進行保密,如若發(fā)現(xiàn)泄密,需承擔相關(guān)的法律責任。

 第六章

 物理和環(huán)境安全

 第二十條

 場地安全 (一)信息科應(yīng)根據(jù)國家相關(guān)標準以及工作性質(zhì)劃分相應(yīng)的安全級別,并建立相應(yīng)的準入控制措施; (二)所有受控區(qū)域必須指定信息安全管理責任人。

。ㄈ⿷(yīng)建立外來人員訪問機制,確保只有授權(quán)人員才允許進入受控區(qū)域。

。ㄋ模⿷(yīng)建立受控區(qū)域安全操作規(guī)程,需要避免在受控區(qū)域進行不受監(jiān)督的工作。

 第二十一條

 設(shè)備安全 (一)將設(shè)備放置到相應(yīng)級別控制區(qū)域; (二)建立防盜、報警、環(huán)境監(jiān)控等保護措施; (三)應(yīng)保護設(shè)備使其免于支持性設(shè)施(電、溫濕度、通信)失效而引起設(shè)備故障。

。ㄋ模┎捎脤I(yè)技術(shù)人員對設(shè)備進行維護,確保其持續(xù)的可用性和完整性。

。ㄎ澹┰O(shè)備、信息或軟件在授權(quán)之前不宜帶出受控區(qū)域。

 第二十二條

 環(huán)境安全 (一)辦公室環(huán)境需滿足正常的保密要求。

。ǘ┺k公室照明需滿足目視及攝像頭觀測照度清晰要求。

 第七章

 網(wǎng)絡(luò)通信安全管理

 第二十三條

 通過物理分離、防火墻、上網(wǎng)行為控制設(shè)備、VLAN 劃分進行內(nèi)外網(wǎng)的物理和邏輯劃分,建立網(wǎng)絡(luò)安全區(qū)域,明確安全邊界,并進行網(wǎng)絡(luò)訪問行為限制和監(jiān)控。

 第二十四條

 網(wǎng)絡(luò)設(shè)備 (一)網(wǎng)絡(luò)設(shè)備的安裝、配置、變更、撤銷等操作必須經(jīng)過信息科相關(guān)領(lǐng)導審批; (二)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、IP 地址等信息未經(jīng)授權(quán),嚴禁泄露; (三)網(wǎng)絡(luò)設(shè)備的遠程登錄操作應(yīng)限定在指定網(wǎng)段范圍內(nèi)。

 第二十五條

 所有與**縣**醫(yī)院的網(wǎng)絡(luò)進行連接都需要經(jīng)過信息化建設(shè)領(lǐng)導小組的批準;所有與**縣**醫(yī)院外部網(wǎng)絡(luò)相連的

 出入口處必須設(shè)立防火墻;通過接入服務(wù)器接入**縣**醫(yī)院內(nèi)部網(wǎng)絡(luò)時,必須經(jīng)過認證。與**縣**醫(yī)院外部網(wǎng)絡(luò)相連接的系統(tǒng)必須有專人負責管理。

 第八章

 操作安全管理

 第二十六條

 運作流程 (一)必須明確并遵循信息系統(tǒng)運作的變更流程; (二)必須明確并遵循安全問題處理流程; (三)信息系統(tǒng)的生產(chǎn)環(huán)境和開發(fā)測試環(huán)境需要分離; (四)系統(tǒng)的超級管理權(quán)限應(yīng)采取雙人控制,互相制衡。

 第二十七條

 惡意軟件的防護 (一)實施惡意軟件的監(jiān)測、預防和恢復的控制措施; (二)**縣**醫(yī)院的計算機系統(tǒng)都必須安裝、運行單位統(tǒng)一部署的防病毒軟件,并及時升級。未經(jīng)批準,不能安裝其它的防病毒軟件; (三)接收和發(fā)布信息時須進行病毒檢測; (四)服務(wù)器必須實時運行防病毒軟件; (五)定期對**縣**醫(yī)院的聯(lián)網(wǎng)辦公設(shè)備進行掃描,及時發(fā)現(xiàn)漏洞并修復。

 第二十八條

 信息系統(tǒng)管理 (一)建立備份策略,按照策略的要求,定期備份和測試信息、軟件及系統(tǒng)。

。ǘ⿲ο到y(tǒng)操作人員的活動進行日志記錄; (三)定期檢查和處理系統(tǒng)日志;

 (四)對一些重要的信息系統(tǒng)進行實時監(jiān)控; (五)對組織內(nèi)部的辦公設(shè)施進行時鐘同步; (六)非正版軟件不能安裝。

 第九章

 訪問控制

 第二十九條

 用戶訪問管理 (一)帳戶開戶 1.根據(jù)工作相關(guān)性原則并經(jīng)過審批后為個人分配權(quán)限; 2.建立帳戶開戶和銷戶的閉環(huán)流程,控制用戶對系統(tǒng)的訪問權(quán)限; 3.含有保密信息的系統(tǒng)禁止建立公用帳戶; 4.用戶的崗位或職責發(fā)生變化時,應(yīng)立即變更或取消相應(yīng)的訪問權(quán)限; 5.對分配的權(quán)限必須記錄和進行維護。

。ǘ┛诹罟芾 1.口令的管理責任人為賬戶的使用者; 2.口令的設(shè)置要遵循**縣**醫(yī)院有關(guān)規(guī)定。

 (三)對用戶訪問權(quán)限進行定期檢查; (四)用戶責任 1.用戶應(yīng)采取方式保證口令安全; 2.不得共享個人的口令; 3.定期更改口令。

 第三十條操作系統(tǒng)訪問控制 (一)嚴格控制操作系統(tǒng)管理員對系統(tǒng)文件和業(yè)務(wù)數(shù)據(jù)的操

 作權(quán)限; (二)根據(jù)工作相關(guān)性原則授予用戶相應(yīng)權(quán)限; (三)系統(tǒng)建立的日志必須滿足審計要求,系統(tǒng)日志必須安全存放,防止被非授權(quán)的訪問; (四)必須及時安裝系統(tǒng)安全補; (五)關(guān)閉所有系統(tǒng)不需要的系統(tǒng)服務(wù); (六)服務(wù)器的密碼文件須加密存放; (七)定期修改用戶口令。

 第三十一條 應(yīng)用系統(tǒng)訪問控制 (一)根據(jù)業(yè)務(wù)訪問控制策略對用戶嚴格授權(quán); (二)嚴格限制業(yè)務(wù)人員越過應(yīng)用程序?qū)笈_數(shù)據(jù)庫或操作系統(tǒng)直接訪問; (三)建立和維護應(yīng)用系統(tǒng)的用戶權(quán)限表; (四)刪除所有系統(tǒng)上不使用的帳號。

 第十章

 運行維護安全管理

 第三十二條

 建立日常維護相關(guān)操作規(guī)程和規(guī)范手冊,規(guī)范介質(zhì)管理、賬號口令管理、補丁管理、防病毒管理、服務(wù)器運行管理等日常運行維護操作。

 第十一章

 系統(tǒng)開發(fā)

 第三十三條

 確保安全貫穿系統(tǒng)整個生命周期的各個階段。

 第三十四條

 系統(tǒng)的規(guī)劃設(shè)計階段必須做安全需求分析、總體安全設(shè)計、安全建設(shè)規(guī)劃。

 第三十五條

 系統(tǒng)開發(fā)策略

。ㄒ唬┙⒉⒆裱踩_發(fā)標準; (二)、進行風險分析和風險管理,確定系統(tǒng)安全控制機制; (三)操作人員只保留可執(zhí)行代碼; (四)程序源代碼盡可能不要保留在運行系統(tǒng)上; (五)在系統(tǒng)發(fā)布前,應(yīng)進行安全測試。

 第三十六條

 加密策略 (一)加密算法必須是經(jīng)過政府批準的或符合業(yè)界標準; (二)密匙必須有明確的管理人員。

 (三)加密的數(shù)據(jù)和口令須分開傳遞; (四)使用加密保護敏感數(shù)據(jù),明確密鑰管理員的職責; (五)密鑰產(chǎn)生、分發(fā)、存儲的相關(guān)信息必須防止泄露給未授權(quán)的人員,當這些信息不再需要時,必須采用規(guī)定的方式予以銷毀。

 第十二章

 信息安全事件管理

 第三十七條

 各部門應(yīng)了解信息安全事件管理目標,熟悉信息安全應(yīng)急響應(yīng)流程,確保能快速、有效和有序地響應(yīng)信息安全事件。

 第三十八條

 各部門相關(guān)人員應(yīng)盡可能早的將信息安全事件通告給部門負責人,信息科根據(jù)安全事件的類型和級別定義判斷安全事件,根據(jù)安全事件處理流程進行處理和匯報。

 第三十九條

 信息科根據(jù)信息安全事件預案向信息化建設(shè)領(lǐng)導小組提出應(yīng)急恢復流程的啟動申請,經(jīng)批準后,按照應(yīng)急恢復流程處理。

 第十三章

 應(yīng)急響應(yīng)管理

 第四十條

 建立統(tǒng)一的應(yīng)急預案框架,應(yīng)急預案框架應(yīng)包括啟動應(yīng)急預案的條件、應(yīng)急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容。

 第四十一條

 從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預案的執(zhí)行有足夠的資源保障。

 第四十二條

 應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預案培訓,應(yīng)急預案的培訓應(yīng)至少每年舉辦一次。定期對應(yīng)急預案進行演練,根據(jù)不同的應(yīng)急恢復內(nèi)容,確定演練的周期。

 第十四章

 信息安全通報機制

 第四十三條

 **縣**醫(yī)院信息科負責組織信息安全信息通報工作,必要時,向**縣**醫(yī)院各部門通報信息安全工作情況以及安全預警和病毒攻擊等信息。

 第四十四條

 各部門信息安全聯(lián)絡(luò)員負責收集和反饋本部門信息安全信息,并向信息科報送。

 第四十五條

 將信息安全通報作為信息安全工作的重要環(huán)節(jié)。不能出現(xiàn)瞞報、緩報、謊報信息安全事件和推諉責任的行為。

 第十五章

 附則

 第四十六條

 本方針由信息科負責解釋與修訂。

 信息安全檢查管理辦法 第一章總則 第一條

 為了加強和規(guī)范**縣**醫(yī)院信息安全檢查工作,保障相關(guān)信息系統(tǒng)安全運行,特制定本管理辦法。

 第二條

 信息安全檢查依據(jù)國家有關(guān)法律法規(guī)、行業(yè)有關(guān)規(guī)章制度,單位信息安全相關(guān)規(guī)章制度。

 第三條

 信息安全檢查對象為**縣**醫(yī)院的光彩龍駒網(wǎng)約車系統(tǒng)。

 第四條

 信息技術(shù)工作檢查可采取日常檢查、組織自查、專項檢查、年度檢查等方式。年度檢查對象包括所有相關(guān)部門,且每年不少于二次。

 第二章組織機構(gòu)與職責 第五條

 信息科負責信息安全檢查工作,根據(jù)當前現(xiàn)狀明確檢查重點,制定檢查標準。

 第六條

 信息科成立信息安全檢查小組,具體負責信息安全檢查工作的實施。

 第三章信息安全檢查分類 第七條

 各部門及相關(guān)人員要配合各項信息安全檢查工作,并按要求完成檢查中發(fā)現(xiàn)問題項的整改工作。

 第八條

 **縣**醫(yī)院的信息安全檢查包括信息安全主管部門對**縣**醫(yī)院進行的專項信息安全檢查、信息安全認證機構(gòu)對**縣**醫(yī)院的信息安全外部審核、風險監(jiān)管部門主導的信息安全內(nèi)部審核和內(nèi)部信息安全技術(shù)檢查等。

 第四章信息安全檢查內(nèi)容 第九條

 計算機安全檢查 1.計算機應(yīng)安裝殺毒、防護等軟件,及時更新系統(tǒng),修復漏洞。

 2.非涉密計算機不得存儲涉密文件、敏感信息。

 3.涉密計算機和安裝了“三合一系統(tǒng)”的計算機必須按照相關(guān)規(guī)定嚴格管理,嚴禁違規(guī)外聯(lián)。

 第十條

 系統(tǒng)安全與設(shè)備管理的檢查

 1.服務(wù)器

  (1)服務(wù)器應(yīng)具有充分的可靠性和充足的容量。

  (2)服務(wù)器應(yīng)具有一定的容錯特性,宜采用鏡像、陣列、雙機、群集等容錯技術(shù)。

。3)服務(wù)器有安全可靠的備份措施。

 2.工作站

 (1)工作站應(yīng)具有良好的性能及可靠性。

 (2)除計算機機房外,一律使用無軟驅(qū)或光驅(qū)等可卸存儲裝置的網(wǎng)絡(luò)工作站。

  (3)重要工作站應(yīng)有冗余備份。

 第十一條

 安全管理情況的檢查

 1.建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系。

 2.嚴格按管理制度規(guī)定進行管理,按操作規(guī)程進行操作,并進行記錄。

 第五章信息安全檢查實施 第十二條

 實施檢查前,檢查小組根據(jù)檢查目的和被檢查部門情況,確定檢查范圍、檢查重點,制定檢查工作計劃,編制相應(yīng)檢查表格。

 第十三條

 組織進行自查時,被檢查部門應(yīng)如實填寫自查表,對存在的問題隱瞞不報的,將追究相關(guān)部門和個人責任。

 第十四條

 進行現(xiàn)場檢查時,檢查小組應(yīng)提前通知被檢查部門,可根據(jù)需要要求被檢查部門進行自查,以提高現(xiàn)場檢查工作效率。每次檢查前,檢查小組應(yīng)核查上次檢查提出的整改意見是否落實,整改措施是否有效。

 第十五條

 被檢查部門應(yīng)積極配合檢查工作,按檢查人員要求提供與檢查工作相關(guān)的資料,并對所提供資料的真實性、完整性負責。

 第十六條

 檢查過程中應(yīng)切實防范檢查操作風險,不得對在線運行系統(tǒng)進行檢查測試和網(wǎng)絡(luò)掃描檢測。因檢查需要需使用輔助檢測工具時,應(yīng)經(jīng)信息科負責人審批同意后方可使用。

 第十七條

 檢查過程中發(fā)現(xiàn)問題和安全隱患時,檢查小組應(yīng)及時與被檢查部門溝通確認后,擬定整改建議。對于隨時可能引發(fā)事故的問題和安全隱患,應(yīng)要求立即整改。

  第六章信息安全檢查報告 第十八條

 檢查工作結(jié)束后,檢查小組應(yīng)及時撰寫檢查報告上報信息化建設(shè)領(lǐng)導小組,根據(jù)批示意見對檢查結(jié)果進行通報,對存在問題和安全隱患的部門下發(fā)整改意見書,要求限期完成整改工作。

 第十九條

 檢查小組應(yīng)跟蹤整改工作的落實情況,必要時可對整改工作落實情況進行確認檢查。

 第七章附則 第二十條

 本管理辦法由信息科負責解釋與修訂。

 信息安全違章行為責任追究辦法 第一章 總則 第一條

 為加強**縣**醫(yī)院工作人員的信息安全責任意識,界定工作人員信息安全違章行為,明確信息安全違章責任追究和處罰依據(jù),特制定本管理辦法。

 第二條

 信息安全違章行為分為一般違章和嚴重違章。信息安全違章行為由信息科負責組織調(diào)查和認定,并依據(jù)本辦法進行責任追究。

 第三條

 本管理辦法中所稱“計算機”包括桌面計算機、便攜式計算機(含各類上網(wǎng)本),除特別說明,通指內(nèi)網(wǎng)計算機和外網(wǎng)計算機。

 第四條

 本管理辦法適用于所有與信息系統(tǒng)相關(guān)的人員。

 第二章 違章行為界定 第五條

 凡具有下列行為之一均屬違章行為:

 1. 違反國家信息安全有關(guān)法律和法規(guī)。

 2. 違反**縣**醫(yī)院信息安全管理規(guī)章制度。

 第六條

 一般違章界定 (一)計算機未設(shè)置操作系統(tǒng)登錄口令;設(shè)置了操作系統(tǒng)登錄口令,但口令長度低于 8 位且不是由字母、數(shù)字或符號組合構(gòu)成;未啟用屏幕保護和超時鎖屏功能。

。ǘ┪窗匆(guī)定安裝運行或自行卸載單位統(tǒng)一的防病毒軟件、補丁更新策略、桌面終端管理軟件。

 (三)未按要求使用安全移動存儲介質(zhì)進行內(nèi)外網(wǎng)信息交換,擅自刪除或破壞已注冊安全移動存儲介質(zhì)內(nèi)的管理軟件。

。ㄋ模┥米孕遁d(含格式化)**縣**醫(yī)院規(guī)定安裝的操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)客戶端。

。ㄎ澹┪词褂脝挝唤y(tǒng)一的外網(wǎng)郵件系統(tǒng)處理和發(fā)送與工作相關(guān)的電子郵件。

 (六)計算機外委維修時未拆除硬盤導致與工作有關(guān)的信息外泄;更換計算機和硬盤或在報廢處理前,未對原硬盤進行信息不可恢復操作處理(如低級格式化等)。

。ㄆ撸┰趦(nèi)網(wǎng)計算機上對未關(guān)閉互聯(lián)網(wǎng)訪問功能的手機和PDA 等設(shè)備進行充電或數(shù)據(jù)同步導致發(fā)生違規(guī)外聯(lián)。開啟文件共享且不設(shè)置共享密碼或共享密碼過于簡單導致共享文件被非授權(quán)訪問和破壞。

。ò耍┮苿哟鎯橘|(zhì)丟失未向**縣**醫(yī)院信息科和保密管理部門及時報告,并說明移動存儲介質(zhì)中包含哪些與工作相關(guān)的文件、數(shù)據(jù)和程序。

。ň牛┥米詫⒈救说拈T戶及應(yīng)用系統(tǒng)帳號和口令告訴他人由其長期代為進行業(yè)務(wù)操作。

。ㄊ┕ぷ魅藛T崗位異動后未及時向信息科申請賬號和權(quán)限的變更。

。ㄊ唬┻`反單位信息安全管理規(guī)定被認定為一般違章的其他行為。

 第七條

 嚴重違章界定 (一)未經(jīng)信息科進行安全檢測和許可,擅自將外來人員的

 計算機接入信息內(nèi)網(wǎng)或信息外網(wǎng)。

 (二)擅自更改計算機網(wǎng)卡的 MAC 地址或 IP/MAC 地址綁定策略。

。ㄈ┰谟嬎銠C上私自開啟 DHCP、WWW、FTP、VOD、代理、游戲、論壇等服務(wù)對網(wǎng)絡(luò)訪問造成干擾或信息資源被非授權(quán)訪問。

。ㄋ模┰趦(nèi)網(wǎng)計算機上利用電話線、電信運營商 ADSL、無線上網(wǎng)卡或具備上網(wǎng)功能的手機和 PDA 等設(shè)備訪問互聯(lián)網(wǎng),以及任何具備有意識或故意性質(zhì)使用內(nèi)網(wǎng)計算機訪問互聯(lián)網(wǎng)。

。ㄎ澹┦褂檬謾C或 PDA 設(shè)備的無線 WIFI 功能訪問信息內(nèi)網(wǎng)或信息外網(wǎng)。

 (六)在計算機中存儲和處理國家、單位秘密信息,在外網(wǎng)計算機中存儲涉及單位重要敏感信息的電子文件。

。ㄆ撸┰谕慌_計算機(包括具備隔離卡和雙硬盤的計算機)上安裝兩個操作系統(tǒng)或雙網(wǎng)卡分別接入信息內(nèi)網(wǎng)和信息外網(wǎng)。

。ò耍┌踩苿咏橘|(zhì)損壞后私自丟棄未交信息科處理并造成單位重要信息外泄。

。ň牛┧阶栽诰W(wǎng)絡(luò)中接入任何具備網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、MAC克隆等功能的網(wǎng)絡(luò)交換機和路由器等有線設(shè)備和無線設(shè)備。

。ㄊ┥米越M建無線網(wǎng)絡(luò)并接入信息內(nèi)網(wǎng)。

。ㄊ唬└蓴_他人正常工作行為,包括:發(fā)布不真實信息、垃圾信息;散布病毒及木馬;未經(jīng)授權(quán)或通過口令猜測和破解等手段使用他人設(shè)備、系統(tǒng)、郵箱等。

 (十二)擅自在計算機中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進行網(wǎng)絡(luò)掃描或攻擊破壞。

。ㄊ┚芙^信息科維護人員對計算機進行安全性檢查和安裝單位統(tǒng)一要求的桌面終端管理軟件、防病毒軟件等。

。ㄊ模┻`反**縣**醫(yī)院信息安全管理規(guī)定被認定為嚴重違章的其他行為。

 第三章督察與檢查 第八條

 對違章的查處采用專項督查、日常檢查及應(yīng)用工具軟件檢查相結(jié)合的方式進行。

 第九條

 發(fā)生信息安全違章,按照管理權(quán)限,實行分級查處、分級追究。

。ㄒ唬**縣**醫(yī)院各部門自查自糾發(fā)現(xiàn)的違章,參照本辦法自行處理。

。ǘ┬畔⒖平M織的督查、日常檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章,按照本辦法規(guī)定處理。

。ㄈ﹩挝欢讲、日常工作檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章,按本規(guī)定處理并將處理情況報告單位領(lǐng)導。

 第四章 處罰規(guī)定 第十條

 在年度內(nèi)第一次發(fā)生一般違章,對當事人給予誡勉談話或通報批評;半年內(nèi)同一當事人發(fā)生兩次一般違章,對當事人給予 200~600 元的經(jīng)濟處罰并通報批評;一年內(nèi)同一當事人發(fā)生三次一般違章,對當事人給予 1000~1500 元的經(jīng)濟處罰,并對當事人所屬部門予以通報批評。

 第十一條

 在年度內(nèi)第一次發(fā)生嚴重違章,對當事人給予

 600~800 元的經(jīng)濟處罰,并對當事人所屬部門予以通報批評;半年內(nèi)同一當事人發(fā)生兩次嚴重違章,除對當事人給予 1000~1500 元的經(jīng)濟處罰,通報批評當事人所屬部門外,當事人必須自學網(wǎng)絡(luò)信息安全基本知識并通過信息科的考核;一年內(nèi)同一當事人發(fā)生三次嚴重違章,給予當事人下崗 1 個月的處罰,享受下崗人員待遇至當事人申請并經(jīng)計算機所對其進行信息安全基本知識考核合格后方能上崗。

 第五章附則 第十二條

 本管理辦法由信息科負責解釋。

 安全教育和培訓管理辦法 第一章總則 第一條

 為規(guī)范**縣**醫(yī)院信息安全培訓及教育工作,對干部職工進行有關(guān)信息安全管理的理論培訓、安全管理制度教育、安全防范意識宣傳和專門安全技術(shù)訓練,確保**縣**醫(yī)院信息安全策略、規(guī)章制度和技術(shù)規(guī)范的順利執(zhí)行,特制定本管理規(guī)定。

 第二章信息安全培訓要求 第二條

  信息安全培訓工作需要分層次、分階段、循序漸進地進行,而且必須是能夠覆蓋全員的培訓。

 第三條

  應(yīng)制定完善的《培訓計劃》,計劃應(yīng)包含培訓方式、培訓類別、培訓內(nèi)容、培訓費用等信息,并且需要相關(guān)領(lǐng)導對培訓計劃進行審批。

 第四條

  分層次培訓是指對不同層次的人員,如對管理層、信息安全管理人員,信息安全聯(lián)絡(luò)員和普通干部開展有針對性和不同側(cè)重點的培訓。

 第五條

  分階段是指在信息安全管理體系的建立、實施和保持的不同階段,培訓工作要有計劃地分步實施;信息安全培訓要采用內(nèi)部和外部結(jié)合的方式進行。

 第六條

  管理層培訓 (一)

 管理層培訓目標是明確建立信息安全體系的重要性,獲得管理層的支持和承諾。

。ǘ

 管理層培訓方式可以采用聘請外部信息安全培訓、專業(yè)技術(shù)專家和咨詢顧問以專題講座、研討會等形式。

 第七條

  信息安全管理人員培訓 (一)

 信息安全管理人員培訓目標是理解及掌握信息安全原理和相關(guān)技術(shù)、強化信息安全意識、支撐信息安全體系的建立、實施和保持。

 (二)

 信息安全管理人員培訓方式可以采用聘請外部信息安全專業(yè)資格授證培訓、參加信息安全專業(yè)培訓、自學信息安全管理理論及技術(shù)和內(nèi)部學習研討的方式。

 第八條

  信息安全聯(lián)絡(luò)員培訓 (一)

 信息安全聯(lián)絡(luò)員培訓目標是掌握各系統(tǒng)相關(guān)專業(yè)安全技術(shù),協(xié)助維護和保障系統(tǒng)正常、安全運行。

 (二)

 信息安全聯(lián)絡(luò)員培訓方式可以采用外部和內(nèi)部相結(jié)合的培訓以及自學的方式。

 第九條

  普通干部培訓 (一) 普通干部培訓目標是了解相關(guān)信息安全制度和技術(shù)規(guī)范,并安全、高效地使用信息系統(tǒng)。

 (二) 普通干部培訓方式應(yīng)主要采取內(nèi)部培訓的方式。

 第三章信息安全培訓內(nèi)容 第十條

  各級領(lǐng)導及職工應(yīng)明確了解信息安全體系,并明確各自的安全職責,明確自身對維護保障系統(tǒng)正常、安全運行所需承擔的相關(guān)責任和義務(wù)。

 第十一條

 針對業(yè)務(wù)需求進行相應(yīng)安全意識培訓,提高員工

 的安全意識和防范能力。

 第十二條

 針對系統(tǒng)的維護人員和管理員應(yīng)定期開展安全技術(shù)教育培訓(每年至少一次),明確如何安全使用有關(guān)業(yè)務(wù)系統(tǒng)及普通計算機周邊硬件設(shè)備。

 第四章信息安全培訓管理 第十三條

 信息安全培訓發(fā)起:

。ㄒ唬

 信息安全培訓教育,納入**縣**醫(yī)院的整體培訓計劃中。

 (二)

 具體操作過程遵守**縣**醫(yī)院的相關(guān)培訓管理制度。

 第十四條

 信息安全培訓實施:

 (一)

 信息安全培訓的實施,主要由信息科負責組織和考核。

。ǘ

 對專業(yè)性很強的安全培訓,由信息科負責聘請外部專家進行安全培訓。

 (三)

 具體操作過程遵守相關(guān)培訓管理制度。

 第十五條

 信息安全培訓過程中,要做好《培訓簽到表》,并將參與培訓人員整理、備案。

 第五章附則 第十六條

 本管理辦法由信息科負責解釋與修訂。

 外來人員安全訪問管理辦法 第一章總則 第一條

 為了規(guī)范第三方用戶訪問**縣**醫(yī)院內(nèi)部信息系統(tǒng)時的行為,保護**縣**醫(yī)院網(wǎng)絡(luò)與信息系統(tǒng)安全,特制定本管理辦法。

 第二章來訪人員出入管理 第二條

 第三方人員進入**縣**醫(yī)院所屬單位及其建筑物,應(yīng)遵守**縣**醫(yī)院相關(guān)安保制度。

 第三條

 未經(jīng)**縣**醫(yī)院特別許可,第三方人員不得在信息科內(nèi)攝影、拍照。

 第四條

 **縣**醫(yī)院干部職工要遵守相關(guān)安全保密規(guī)定,禁止與第三方人員談?wù)撆c其工作無關(guān)的內(nèi)容。

 第三章機房出入管理 第五條

 除以下情況外,不得引領(lǐng)和允許第三方人員訪問機房等重要區(qū)域:

 ( (一 一) ) **縣**醫(yī)院領(lǐng)導批準的參觀活動; ( (二 二) ) 必要的儀器設(shè)備現(xiàn)場安裝、維修、調(diào)測; ( (三 三) ) 第三方因業(yè)務(wù)需要進入上述區(qū)域的其它情形。

  第四章網(wǎng)絡(luò)訪問管理 第六條

 **縣**醫(yī)院信息安全管理人員有義務(wù)向第三方人員

 說明網(wǎng)絡(luò)接入安全要求。

 第七條

 第三方人員不允許私自連接醫(yī)院網(wǎng)絡(luò)。如果必要,必須提出申請,征得信息科允許后方可接入。第三方人員連接網(wǎng)絡(luò)要進行相應(yīng)登記備案,并簽訂網(wǎng)絡(luò)使用安全協(xié)議。

 第八條

 長期使用內(nèi)部網(wǎng)絡(luò)的第三方人員的計算機必須接受**縣**醫(yī)院的統(tǒng)一客戶端管理,包括客戶端管理軟件的安裝、安全策略的配置等。

 第九條

 第三方人員如果需要訪問網(wǎng)絡(luò)資源,須提前明確申請要訪問資源的類型、范圍和方式,以便管理員進行審批,并提供相應(yīng)的訪問權(quán)限和訪問方法。

 第十條

 第三方人員操作服務(wù)器或網(wǎng)絡(luò)設(shè)備,必須使用臨時帳號,使用之后由相應(yīng)的管理人員及時清除;對于長期在**縣**醫(yī)院工作的技術(shù)支持、顧問、服務(wù)人員,如果需要長期操作服務(wù)器或網(wǎng)絡(luò)設(shè)備,管理人員應(yīng)該為第三方人員創(chuàng)建單獨的帳號。

 第十一條

 **縣**醫(yī)院有權(quán)對第三方人員在醫(yī)院內(nèi)部網(wǎng)絡(luò)的活動進行檢查、審計和監(jiān)控。

 第十二條

 第三方人員的計算機要求安裝有防病毒軟件,不得攜帶有木馬、病毒等破壞性程序。

 第十三條

 第三方人員不準使用**縣**醫(yī)院網(wǎng)絡(luò)從事同工作無關(guān)的網(wǎng)絡(luò)活動。

 第十四條

 第三方人員不準在**縣**醫(yī)院網(wǎng)絡(luò)內(nèi)部通過撥號或其它手段直接建立到其它網(wǎng)絡(luò)的物理鏈路。

  第五章附則

 第十五條

 本管理辦法由信息科負責解釋與修訂。

 信息系統(tǒng)建設(shè)項目管理辦法 第一章總則 第一條

 為規(guī)范**縣**醫(yī)院信息化建設(shè)項目實施過程管理,明確項目組織與職責分工,規(guī)范項目活動和交付驗收質(zhì)量控制,特制定本管理辦法。

 第二條

 本管理辦法適用于**縣**醫(yī)院所有與信息化相關(guān)的項目和參與信息化建設(shè)項目實施過程中的業(yè)務(wù)部門和供應(yīng)商人員。

 第二章組織機構(gòu)與職責 第三條

 項目分類:根據(jù)項目的實施性質(zhì)分為應(yīng)用實施、定制開發(fā)、硬件集成類項目。根據(jù)實施方式分為外包、自主實施、自主實施部分外包類項目。

 第四條

 項目小組由供應(yīng)商、業(yè)務(wù)部門、信息科共同組成,項目組根據(jù)專業(yè)分工分為項目管理組、業(yè)務(wù)組、開發(fā)組和系統(tǒng)支持組。

 第五條

 不同項目分類,參與項目的角色有所不同,項目啟動前,雙方項目負責人需根據(jù)項目要求和資源狀況重新確定項目組織和項目組人員,明確項目職責分工后予以正式發(fā)布。

 第六條

 項目負責人:負責項目過程的計劃與會議管理、問題與風險管理、變更管理,為項目執(zhí)行過程管理的責任人。應(yīng)用類項目可分別設(shè)立業(yè)務(wù)項目負責人和信息化建設(shè)項目負責人,業(yè)務(wù)項目負責人由**縣**醫(yī)院業(yè)務(wù)部門負責人擔任,信息化建設(shè)項

 目負責人由信息科項目管理人員擔任。

 第七條

 項目業(yè)務(wù)組:由業(yè)務(wù)分析、實施顧問、關(guān)鍵用戶組成,業(yè)務(wù)分析由**縣**醫(yī)院的業(yè)務(wù)負責人或業(yè)務(wù)骨干擔任,負責項目需求和業(yè)務(wù)管理方案的確認;實施顧問由供應(yīng)商或信息科具備業(yè)務(wù)咨詢和分析能力的業(yè)務(wù)顧問擔任,參與或負責項目需求的分析、設(shè)計與變更管理。關(guān)鍵用戶參與需求調(diào)研、測試。

 第八條

 項目開發(fā)組:由供應(yīng)商或信息科系統(tǒng)架構(gòu)師、技術(shù)支持、開發(fā)顧問、軟件測試、軟件配置等角色,負責信息化建設(shè)項目軟件或定制開發(fā)需求的設(shè)計、開發(fā)、測試與質(zhì)量控制,其中大型應(yīng)用或基礎(chǔ)類項目,必須設(shè)立系統(tǒng)架構(gòu)師,負責總體方案的設(shè)計或評審。

 第九條

 系統(tǒng)支持組:由信息科的系統(tǒng)管理人員擔任,負責系統(tǒng)正式環(huán)境管理、系統(tǒng)環(huán)境規(guī)劃、搭建及系統(tǒng)管理規(guī)范的建立,參與技術(shù)方案評審和協(xié)助系統(tǒng)環(huán)境優(yōu)化,負責系統(tǒng)移交的正式接收人。

 第三章項目里程碑管理 第十條

 項目組與供應(yīng)商簽訂正式合同后,標志著項目正式進入項目實施階段。項目實施過程包括項目準備、需求分析、方案設(shè)計、系統(tǒng)實現(xiàn)、上線運行、項目移交等六大里程碑。

 第十一條

 項目負責人根據(jù)項目特點制定項目計劃及項目的交付要求,所有項目實施交付文檔按里程碑每月定期備案。

 第四章項目準備階段 第十二條

 項目準備階段包括制定總體計劃、成立實施項目組織、建立項目章程、召開項目啟動會議等工作。

 第十三條

 制定總體計劃:項目負責人根據(jù)項目特點制定項目總體實施計劃及資源計劃,明確項目里程碑的關(guān)鍵活動、責任人、開始與完成時間、交付件要求,經(jīng)雙方項目負責人或項目總監(jiān)審批后正式執(zhí)行。

 第十四條

 成立實施項目組:項目負責人根據(jù)項目特點明確參與項目的人員、角色、職責及明確參與項目時間要求,并正式成立項目組。

 第十五條

 建立項目章程:明確雙方項目組在項目過程中的溝通、問題、風險、計劃、人力資源、質(zhì)量管理等方面的管理約定。

 第十六條

 召開項目啟動會議:項目負責人在完成以上項目準備后,應(yīng)組織相關(guān)項目干系人召開項目啟動會議,項目負責人、項目組和關(guān)鍵用戶應(yīng)參加項目啟動會議。

 第五章需求分析階段 第十七條

 需求分析階段包括需求調(diào)研、需求分析、需求評審、需求確認等工作,經(jīng)雙方評審后最終形成《需求規(guī)格說明書》,《需求規(guī)格說明書》作為項目后續(xù)工作的基礎(chǔ),必須確保項目中所有相關(guān)人員對需求的理解達成共識。

 第十八條

 《需求規(guī)格說明書》必須包括總體需求及業(yè)務(wù)流程、詳盡的功能需求描述和分析、需求的優(yōu)先級、非功能需求(系

 統(tǒng)技術(shù)需求)、與外部系統(tǒng)接口的定義,并確保需求是一致的、完整的、可行的且易于理解的。

 第十九條

 需求調(diào)研可采用調(diào)研、訪談、原型法等多種方式結(jié)合開展,調(diào)研前必須做好《需求調(diào)研問卷》、落實參與調(diào)研的對象和時間,調(diào)研對象必須包括項目發(fā)起人、業(yè)務(wù)負責人和關(guān)鍵用戶在內(nèi)的所有與項目范圍密切相關(guān)崗位,須確保以上人員的充分積極參與。

 第二十條

 需求調(diào)研:調(diào)研內(nèi)容包括項目目標、業(yè)務(wù)目標、業(yè)務(wù)與信息化建設(shè)項目現(xiàn)狀、業(yè)務(wù)流程、具體的業(yè)務(wù)功能需求和非功能需求。

 第二十一條

 需求分析:項目組內(nèi)部對調(diào)研過程收集的需求和遺留的問題進行可行性、優(yōu)先級別和風險評估,在此基礎(chǔ)上形成初步的《需求規(guī)格說明書》,發(fā)給相關(guān)業(yè)務(wù)人員征求意見。

 第二十二條

 需求評審:項目負責人組織相關(guān)的業(yè)務(wù)骨干和業(yè)務(wù)部門負責人對需求進行正式評審會議,使雙方項目組對需求的理解達成共識。項目組根據(jù)評審意見修訂《需求規(guī)格說明書》。

 第二十三條

 需求確認:《需求規(guī)格說明書》經(jīng)評審通過后需業(yè)務(wù)分析、項目負責人、項目總監(jiān)簽字確認,并作為啟動設(shè)計開發(fā)階段必要輸入條件。

 第六章方案設(shè)計階段 第二十四條

 方案設(shè)計階段包括總體設(shè)計、詳細設(shè)計等工作。

 第二十五條

 總體設(shè)計和詳細設(shè)計:由實施顧問和系統(tǒng)架

 構(gòu)師共同完成。應(yīng)用實施類項目進行業(yè)務(wù)流程優(yōu)化、總體方案設(shè)計、詳細方案設(shè)計、安全性設(shè)計、客戶化開發(fā)方案設(shè)計;定制開發(fā)類項目進行系統(tǒng)總體方案設(shè)計、詳細設(shè)計、數(shù)據(jù)庫設(shè)計、安全性設(shè)計及測試方案設(shè)計;總體方案設(shè)計需經(jīng)過項目組、系統(tǒng)架構(gòu)師的評審。

 第二十六條

 《系統(tǒng)總體設(shè)計說明書》指系統(tǒng)總體方案設(shè)計,包括系統(tǒng)應(yīng)用架構(gòu)設(shè)計和技術(shù)架構(gòu)設(shè)計,應(yīng)用架構(gòu)設(shè)計包括系統(tǒng)應(yīng)用架構(gòu)圖、子系統(tǒng)/模塊結(jié)構(gòu)設(shè)計、具體功能模塊設(shè)計及與外部應(yīng)用系統(tǒng)的業(yè)務(wù)關(guān)聯(lián)設(shè)計。技術(shù)架構(gòu)設(shè)計包括系統(tǒng)技術(shù)架構(gòu)圖(含與外部系統(tǒng)接口圖)、內(nèi)外部接口設(shè)計、相關(guān)軟硬件平臺設(shè)計、非功能模塊設(shè)計。

 第二十七條

 《系統(tǒng)詳細設(shè)計說明書》進一步詳細描述具體程序的設(shè)計要求,包括程序的功能、輸入輸出項、算法、流程邏輯的實現(xiàn)詳細描述。

 第二十八條

 《系統(tǒng)數(shù)據(jù)庫設(shè)計說明書》包括數(shù)據(jù)庫概念模型設(shè)計、數(shù)據(jù)庫邏輯模型設(shè)計、數(shù)據(jù)庫物理結(jié)構(gòu)的設(shè)計、數(shù)據(jù)庫性能參數(shù)的配置、數(shù)據(jù)庫對象的詳細描述。

 第二十九條

 編制基礎(chǔ)數(shù)據(jù)整理模板:供應(yīng)商提供基礎(chǔ)數(shù)據(jù)整理模板,項目負責人協(xié)調(diào)相關(guān)業(yè)務(wù)分析、實施顧問制定數(shù)據(jù)整理規(guī)則和整理計劃,并落實相關(guān)業(yè)務(wù)崗位或關(guān)鍵用戶負責基礎(chǔ)數(shù)據(jù)整理,基礎(chǔ)數(shù)據(jù)需經(jīng)業(yè)務(wù)部門負責人確認。

 第七章系統(tǒng)實現(xiàn)階段 第三十條

 系統(tǒng)實現(xiàn)階段包括實施方案、軟件編碼、硬件安

 裝、驗收方案、功能測試、性能測試、安全性測試、環(huán)境部署等工作。

 第三十一條

 項目負責人在項目總體計劃和設(shè)計的基礎(chǔ)上制定《開發(fā)計劃》,并定期把開發(fā)進展情況和開發(fā)成果反饋到項目組或提交到制定位置。

 第三十二條

 制定實施方案:根據(jù)實際情況,由供應(yīng)商系統(tǒng)實施工程師負責制定系統(tǒng)實施方案,提交項目負責人,項目負責人組織相關(guān)人員對實施方案進行審定。

 第三十三條

 軟件編碼:開發(fā)顧問根據(jù)《設(shè)計說明書》、《開發(fā)計劃》進行編碼。供應(yīng)商的質(zhì)量保證人員對軟件編碼成果進行質(zhì)量控制與檢查。

 第三十四條

 功能測試:項目負責人安排測試人員(由技術(shù)人員和業(yè)務(wù)使用人員組成)完成,提交《系統(tǒng)測試方案》,發(fā)現(xiàn)的問題統(tǒng)一由項目負責人負責跟蹤管理,并匯總成《問題跟蹤表》,并出具功能測試報告。

 第三十五條

 性能測試:由開發(fā)顧問與系統(tǒng)管理人員共同負責性能測試方案的制定和性能測試分析,并進一步安排性能優(yōu)化措施,并出具性能測試報告。

 第三十六條

 安全性測試:委托公正的第三方測試單位對系統(tǒng)進行安全性測試,并出具安全性測試報告。

 第三十七條

 驗收報告評審:項目負責人跟蹤問題解決的進度和組織相關(guān)人員和安全專家進行驗收報告的評審,評審通過后才可上線運行。

 第八章上線運行階段 第三十八條

 系統(tǒng)上線包括上線方案編寫、上線培訓、上線評審、系統(tǒng)上線、上線運行跟蹤、試運行總結(jié)、初驗總結(jié)等工作。

 第三十九條

 上線方案編寫:系統(tǒng)完成驗收測試并按照要求提交所有文檔后,由雙方共同制定《系統(tǒng)上線實施方案》。

 第四十條

 上線評審:**縣**醫(yī)院項目組成員根據(jù)供應(yīng)商在實施過程中提交的所有交付內(nèi)容進行評審,評審內(nèi)容包括交付質(zhì)量、交付件的完整性、測試數(shù)據(jù)、上線條件、上線方案。

 第四十一條

 系統(tǒng)上線:通過上線評審后,系統(tǒng)可以進行上線并進入試運行階段。

 第四十二條

 用戶培訓:根據(jù)上線方案中的培訓計劃,由供應(yīng)商項目負責人組織**縣**醫(yī)院運維人員進行培訓,同時提交《用戶培訓手冊》和《用戶操作指引》。

 第四十三條

 問題跟蹤:項目組對系統(tǒng)試運行情況進行跟蹤,及時處理和更新,每周通報系統(tǒng)運行狀況。

 第四十四條

 試運行總結(jié):系統(tǒng)試運行一個月以上并運行穩(wěn)定,項目組應(yīng)總結(jié)系統(tǒng)運行情況,提交《系統(tǒng)試運行跟蹤報告》。

 第四十五條

 初驗總結(jié):系統(tǒng)應(yīng)用狀況達到項目驗收要求,項目組進行項目初步驗收總結(jié),提交《系統(tǒng)初驗報告》和《項目初驗申請》。

 第九章項目移交階段 第四十六條

 項目移交階段包括問題跟蹤與解決、系統(tǒng)移

 交、制定系統(tǒng)管理規(guī)范、制定業(yè)務(wù)管理規(guī)范、終驗總結(jié)等工作。

 第四十七條

 問題跟蹤與解決:項目組應(yīng)繼續(xù)進行系統(tǒng)運行跟蹤狀況,每月提交《問題跟蹤表》,并對存在的問題進行優(yōu)先級分類,及時落實資源解決問題。

 第四十八條

 系統(tǒng)移交:供應(yīng)商整理和修訂項目交付文檔,制定《系統(tǒng)維護指引》,《系統(tǒng)維護指引》中應(yīng)包括系統(tǒng)運行維護的指引、系統(tǒng)備份要求和方法、系統(tǒng)恢復和遷移指引,并根據(jù)維護指引對系統(tǒng)管理人員進行知識轉(zhuǎn)移,經(jīng)過系統(tǒng)管理人員驗證和確認后,作為雙方正式移交的必要條件之一。正式環(huán)境移交后,系統(tǒng)管理人員收回供應(yīng)商所有環(huán)境所有用戶權(quán)限。

 第四十九條

 制定業(yè)務(wù)管理規(guī)范:業(yè)務(wù)管理規(guī)范由業(yè)務(wù)部門制定,包括基礎(chǔ)數(shù)據(jù)規(guī)范、操作規(guī)范、崗位操作指引等等,并在應(yīng)用過程中定期檢查執(zhí)行情況和不斷完善。

 第五十條

 終驗總結(jié):系統(tǒng)達到項目目標、初驗后正常運行三個月、所有的問題已解決且完成系統(tǒng)移交后,項目組進行項目總結(jié)后可提出項目驗收申請,經(jīng)項目主管部門負責人審核。

 第十章問題與風險管理 第五十一條

 問題管理貫穿項目的整個生命周期,項目負責人負責整個項目的問題和風險管理,并有責任落實相關(guān)資源協(xié)調(diào)解決。

 第五十二條

 業(yè)務(wù)部門或用戶提出問題后,項目組對問題的類別、重要性、優(yōu)先級別進行分類排序,優(yōu)先解決影響數(shù)據(jù)準確性的問題,并明確問題責任人、完成時間,每周更新《問題跟

 蹤表》。大量的新增或變更需求按項目變更管理流程處理。

 第五十三條

 項目負責人應(yīng)跟蹤問題的解決情況,并及時將問題狀況發(fā)布給項目組。在項目組范圍內(nèi)無法得到及時解決且影響項目整體目標的問題,項目負責人應(yīng)及時將問題納入風險管理范疇,進行風險評估和采取有效的風險防范措施。

 第十一章變更管理 第五十四條

 項目的需求分析確認后,所有的新增需求或變更需求、技術(shù)變更均納入需求變更管理范圍,項目負責人應(yīng)對所有的需求變更進行記錄和管理。

 第五十五條

 變更分析:項目負責人組織相關(guān)人員評估需求變更的風險、可行性,并提出需求變更的具體解決方案,解決方案中還應(yīng)包括增加的工作量、成本和對項目進度的影響分析,需求變更經(jīng)雙方簽字后生效。

 第五十六條

 變更的執(zhí)行、跟蹤:項目負責人落實資源進行需求變更任務(wù)的執(zhí)行,對于影響項目目標、范圍、業(yè)務(wù)功能的變更需同時修訂《需求規(guī)格說明書》、《系統(tǒng)總體設(shè)計說明書》等相關(guān)交付文檔,對于影響項目進度的變更應(yīng)同步修訂項目計劃。

 第五十七條

 變更的確認、總結(jié):變更任務(wù)執(zhí)行完成后,其中需求或技術(shù)變更需經(jīng)變更提出人員進行測試后確認完成,項目負責人提交變更執(zhí)行情況分析。

 第十二章附則 第五十八條

 本管理辦法由信息科負責解釋與修訂。

 軟件開發(fā)管理辦法 第一章總則 第一條

 為規(guī)范**縣**醫(yī)院的開發(fā)管理流程,使各開發(fā)項目的管理進行標準化管理,特制定本管理辦法。

 第二條

 本管理辦法詳細規(guī)定軟件開發(fā)過程的各個階段及每一階段的任務(wù)、要求、交付文件,使整個軟件開發(fā)過程階段清晰、要求明確、任務(wù)具體,實現(xiàn)軟件開發(fā)過程的標準化。

 第三條

 本管理辦法適用于計算機的自主軟件開發(fā)項目。適用對象:軟件開發(fā)管理人員,軟件開發(fā)人員,軟件維護人員,系統(tǒng)管理人員。

 第二章職責及權(quán)限 第四條

 **縣**醫(yī)院信息科是負責軟件開發(fā)的主要部門,負責軟件開發(fā)整個過程的監(jiān)督、控制和管理工作。

 第三章 軟件開發(fā)環(huán)境管理 第五條

 軟件...

相關(guān)熱詞搜索:匯編 信息化 制度

版權(quán)所有 蒲公英文摘 www.huhawan.com