醫(yī)院信息化制度匯編

　醫(yī)院信息化制度匯編

　目錄 信息系統(tǒng)安全總體方針 ......................................................................................... 1 信息系統(tǒng)安全管理策略 ......................................................................................... 4 信息安全檢查管理辦法 ....................................................................................... 14 信息安全違章行為責任追究辦法 ........................................................................ 18 安全教育和培訓管理辦法 .................................................................................... 23 外來人員安全訪問管理辦法 ................................................................................ 26 信息系統(tǒng)建設項目管理辦法 ................................................................................ 29 軟件開發(fā)管理辦法 ............................................................................................... 38 辦公區(qū)環(huán)境與安全管理辦法 ................................................................................ 48 中心機房運行管理辦法 ....................................................................................... 52 信息分類與標識管理辦法 .................................................................................... 57 信息系統(tǒng)資產(chǎn)管理辦法 ....................................................................................... 62 介質安全管理辦法 ............................................................................................... 65 設備安全管理辦法 ............................................................................................... 68 網(wǎng)絡安全管理辦法 ............................................................................................... 71 信息系統(tǒng)安全管理辦法 ....................................................................................... 74 惡意代碼防范管理辦法 ....................................................................................... 83 信息系統(tǒng)密碼管理辦法 ....................................................................................... 86 信息系統(tǒng)變更管理辦法 ....................................................................................... 92 數(shù)據(jù)備份與恢復管理辦法 ................................................................................... 102 信息安全事件報告管理辦法 ............................................................................... 110 信息安全突發(fā)事件應急預案 ............................................................................... 114

　信息系統(tǒng)安全總體方針 第一章

　總則

　第一條

　為加強和規(guī)范**縣**醫(yī)院信息安全工作，提高信息安全整體防護水平，實現(xiàn)信息系統(tǒng)的安全管控，依據(jù)國家有關法律、法規(guī)的要求，制定本方針。

　第二條

　本方針為**縣**醫(yī)院信息安全管理提供一個總體性架構文件，指導**縣**醫(yī)院信息安全管理體系建設，以實現(xiàn)統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡與信息安全水平，保障網(wǎng)絡暢通和信息系統(tǒng)的正常運行。

　第三條

　本方針適用于**縣**醫(yī)院信息系統(tǒng)資產(chǎn)和信息安全人員的安全管理，適用于指導**縣**醫(yī)院信息安全策略的制定、安全方案的規(guī)劃、安全建設的實施和安全管理措施的選擇。

　第二章

　組織機構與職責

　第四條

　**縣**醫(yī)院信息化建設領導小組為**縣**醫(yī)院信息安全工作領導機構，領導小組下設辦公室，由信息科負責信息安全具體工作。**縣**醫(yī)院其他部門主要負責人是落實信息安全管理制度的第一責任人。

　第五條

　**縣**醫(yī)院信息化建設領導小組負責統(tǒng)籌領導**縣**醫(yī)院信息安全工作，指導信息科負責的重大的信息安全工作。

　第三章

　信息安全體系框架和目標

　第六條

　**縣**醫(yī)院信息安全體系框架的組成是安全組織、安全策略、安全技術和安全運作，四大組成部分協(xié)同構建、完成和實現(xiàn)**縣**醫(yī)院信息安全工作和目標。

　第七條

�。ㄒ唬┬畔�安全組織工作目標是建立健全的安全組織，加強人員的安全管理，為信息安全工作提供組織保障。

�。ǘ�）信息安全策略工作目標是制定完善的信息安全管理制度和技術規(guī)范，并確保其有效發(fā)布、執(zhí)行和更新，規(guī)范**縣**醫(yī)院信息安全管理工作。

�。ㄈ�）信息安全技術目標是采用適當?shù)募夹g手段，加強業(yè)務和支撐系統(tǒng)的安全防護，為信息安全工作提供技術工具支撐。

�。ㄋ模┬畔�安全運作目標是加強安全工作的運作管理，維護業(yè)務和支撐系統(tǒng)的安全運行，及時處理安全問題，為信息安全工作提供運行保障。

　第四章

　信息安全建設原則和目標

　第八條

　**縣**醫(yī)院信息安全工作的原則是：滿足和推動服務業(yè)務發(fā)展，信息系統(tǒng)安全架構完整、統(tǒng)一，數(shù)據(jù)集中、信息共享，控制成本、提高工作效率，利用國家標準規(guī)范**縣**醫(yī)院管理。

　第九條

　**縣**醫(yī)院信息安全工作的目標是：通過建立和完善信息安全的策略體系、組織體系、技術體系和運作體系，保障日常工作的開展和各信息系統(tǒng)的連續(xù)正常穩(wěn)定運行，維護信息系

　統(tǒng)的數(shù)據(jù)安全，促進**縣**醫(yī)院信息化工作健康發(fā)展。

　第五章

　附則

　第十條

　本文件由信息科負責解釋與修訂。

　信息系統(tǒng)安全管理策略 第一章

　總則

　第一條 本策略為**縣**醫(yī)院各項信息安全工作提供依據(jù)和指導。

　第二條**縣**醫(yī)院信息安全工作由信息化建設領導小組牽頭，信息科具體組織，各部門分塊負責，全員參與，專人管理。

　第三條**縣**醫(yī)院信息安全工作以風險管理為基礎，在安全、效率和成本之間始終堅持“安全第一”的原則。

　第二章

　信息安全組織及職責

　第四條**縣**醫(yī)院信息化建設領導小組 （一）統(tǒng)籌領導**縣**醫(yī)院信息安全工作，指導信息科負責的重大的信息安全工作； （二）審查和核準信息安全策略及制度； （三）審核批準重大的信息安全活動； （四）審核批準對信息安全事故的處置意見。

　第五條信息科 （一）負責組織**縣**醫(yī)院信息安全工作； （二）負責制定**縣**醫(yī)院信息安全管理制度、技術規(guī)定、應急預案等，并督促執(zhí)行；

�。ㄈ�）負責對**縣**醫(yī)院內(nèi)各系統(tǒng)安全的檢查和防護，及時處置安全風險； （四）負責對計算機病毒感染的預防、檢測和清除，定期維護計算機軟件和數(shù)據(jù)、對重要信息定期進行檢查和備份； （五）負責信息安全事故的處置； （六）負責組織信息安全培訓和宣傳。

　第六條

　信息安全責任 **縣**醫(yī)院其他部門主要負責人是信息安全第一責任人，負責本部門所有與信息安全相關的活動。其他部門信息安全聯(lián)絡員負責配合信息安全相關的檢查、管理、上報及其他需協(xié)調的工作。

　第七條信息科必須與接觸**縣**醫(yī)院敏感信息和核心技術資料的第三方簽署保密協(xié)議，并與在**縣**醫(yī)院工作的第三方人員簽署個人保密協(xié)議。

　第三章

　安全風險管理

　第八條

　定期對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡系統(tǒng)、應用系統(tǒng)等進行漏洞識別與分析，對系統(tǒng)中所存在的高風險漏洞按照流程進行處置。

　第九條

　每年至少進行一次全面的風險評估，以確定是否存在新的威脅或薄弱點，并分析是否需要增加新的安全控制措施。

　第十條 當發(fā)生以下情況時需及時進行風險評估工作：

�。ㄒ唬┊敯l(fā)生重大信息安全事件時； （二）當信息系統(tǒng)發(fā)生重大變更時； （三）信息化建設領導小組確定必要時。

　第十一條 針對風險評估結果制定風險控制措施及實施計劃。風險整改后，應再次進行評估，以確保風險得到正確規(guī)避。

　第四章

　資產(chǎn)安全管理

　第十二條 信息資產(chǎn)是指有業(yè)務價值的實物或者虛擬的事物。

　第十三條

　各部門應識別與信息生命周期有關的資產(chǎn)，形成資產(chǎn)清單，及時更新，并指定資產(chǎn)所有人，資產(chǎn)所有人負責資產(chǎn)的維護與安全，對資產(chǎn)進行安全等級劃分。

　第十四條

　資產(chǎn)管理 （一）對所管理的資產(chǎn)必須明確說明使用、發(fā)布、復制、存儲、傳輸、銷毀的過程并記錄； （二）資產(chǎn)所有人負責信息的授權，資產(chǎn)只能授權給工作必須的人員； （三）信息的獲取應該遵照工作需要原則、受控審批的原則，嚴禁未經(jīng)批準的私下獲取行為；在對外提供任何可能涉及**縣**醫(yī)院信息的資料、數(shù)據(jù)、信息之前，不管提供的對象是上級管理部門，還是第三方，都必須事先經(jīng)過資產(chǎn)所有人的審批許可； （四）未經(jīng)批準，嚴禁泄露信息系統(tǒng)的安全控制機制。對外公布的信息必須經(jīng)過審批，不得在公開媒體上發(fā)布、談論和傳播**縣**醫(yī)院的數(shù)據(jù)和信息； （五）必須采用**縣**醫(yī)院批準的銷毀方式銷毀信息。

　第五章

　人員安全管理

　第十五條 聘用條款和保密協(xié)議

�。ㄒ唬┬畔⒖破赣萌藛T的聘用條款應明確信息安全責任； （二）所有信息安全相關人員需與**縣**醫(yī)院簽訂保密協(xié)議及崗位責任協(xié)議，明確各崗位安全職責。

　第十六條

　人員審查 （一）對相關信息化供應商以及工作人員應按照相關法律法規(guī)和對應的業(yè)務要求進行安全資格審查； （二）必須對進入關鍵崗位的職工進行資格審查和技能考核。

　第十七條 定期組織干部職工以及相關第三方人員學習信息安全知識，進行安全意識、安全態(tài)勢培訓。

　第十八條

　人員離職時應及時收回所有涉及**縣**醫(yī)院業(yè)務內(nèi)容的資料、數(shù)據(jù)、信息，立即取消所有訪問信息系統(tǒng)的權限。

　第十九條

　人員調離其他單位，需提交調離申請，經(jīng)相關領導審批后進行工作交接，并對**縣**醫(yī)院有關所有信息進行保密，如若發(fā)現(xiàn)泄密，需承擔相關的法律責任。

　第六章

　物理和環(huán)境安全

　第二十條

　場地安全 （一）信息科應根據(jù)國家相關標準以及工作性質劃分相應的安全級別，并建立相應的準入控制措施； （二）所有受控區(qū)域必須指定信息安全管理責任人。

�。ㄈ�）應建立外來人員訪問機制，確保只有授權人員才允許進入受控區(qū)域。

�。ㄋ模�應建立受控區(qū)域安全操作規(guī)程，需要避免在受控區(qū)域進行不受監(jiān)督的工作。

　第二十一條

　設備安全 （一）將設備放置到相應級別控制區(qū)域； （二）建立防盜、報警、環(huán)境監(jiān)控等保護措施； （三）應保護設備使其免于支持性設施（電、溫濕度、通信）失效而引起設備故障。

�。ㄋ模┎捎脤�業(yè)技術人員對設備進行維護，確保其持續(xù)的可用性和完整性。

�。ㄎ澹┰O備、信息或軟件在授權之前不宜帶出受控區(qū)域。

　第二十二條

　環(huán)境安全 （一）辦公室環(huán)境需滿足正常的保密要求。

�。ǘ�）辦公室照明需滿足目視及攝像頭觀測照度清晰要求。

　第七章

　網(wǎng)絡通信安全管理

　第二十三條

　通過物理分離、防火墻、上網(wǎng)行為控制設備、VLAN 劃分進行內(nèi)外網(wǎng)的物理和邏輯劃分，建立網(wǎng)絡安全區(qū)域，明確安全邊界，并進行網(wǎng)絡訪問行為限制和監(jiān)控。

　第二十四條

　網(wǎng)絡設備 （一）網(wǎng)絡設備的安裝、配置、變更、撤銷等操作必須經(jīng)過信息科相關領導審批； （二）網(wǎng)絡的拓撲結構、IP 地址等信息未經(jīng)授權，嚴禁泄露； （三）網(wǎng)絡設備的遠程登錄操作應限定在指定網(wǎng)段范圍內(nèi)。

　第二十五條

　所有與**縣**醫(yī)院的網(wǎng)絡進行連接都需要經(jīng)過信息化建設領導小組的批準；所有與**縣**醫(yī)院外部網(wǎng)絡相連的

　出入口處必須設立防火墻；通過接入服務器接入**縣**醫(yī)院內(nèi)部網(wǎng)絡時，必須經(jīng)過認證。與**縣**醫(yī)院外部網(wǎng)絡相連接的系統(tǒng)必須有專人負責管理。

　第八章

　操作安全管理

　第二十六條

　運作流程 （一）必須明確并遵循信息系統(tǒng)運作的變更流程； （二）必須明確并遵循安全問題處理流程； （三）信息系統(tǒng)的生產(chǎn)環(huán)境和開發(fā)測試環(huán)境需要分離； （四）系統(tǒng)的超級管理權限應采取雙人控制，互相制衡。

　第二十七條

　惡意軟件的防護 （一）實施惡意軟件的監(jiān)測、預防和恢復的控制措施； （二）**縣**醫(yī)院的計算機系統(tǒng)都必須安裝、運行單位統(tǒng)一部署的防病毒軟件，并及時升級。未經(jīng)批準，不能安裝其它的防病毒軟件； （三）接收和發(fā)布信息時須進行病毒檢測； （四）服務器必須實時運行防病毒軟件； （五）定期對**縣**醫(yī)院的聯(lián)網(wǎng)辦公設備進行掃描，及時發(fā)現(xiàn)漏洞并修復。

　第二十八條

　信息系統(tǒng)管理 （一）建立備份策略，按照策略的要求，定期備份和測試信息、軟件及系統(tǒng)。

　（二）對系統(tǒng)操作人員的活動進行日志記錄； （三）定期檢查和處理系統(tǒng)日志；

�。ㄋ模�對一些重要的信息系統(tǒng)進行實時監(jiān)控； （五）對組織內(nèi)部的辦公設施進行時鐘同步； （六）非正版軟件不能安裝。

　第九章

　訪問控制

　第二十九條

　用戶訪問管理 （一）帳戶開戶 1.根據(jù)工作相關性原則并經(jīng)過審批后為個人分配權限； 2.建立帳戶開戶和銷戶的閉環(huán)流程，控制用戶對系統(tǒng)的訪問權限； 3.含有保密信息的系統(tǒng)禁止建立公用帳戶； 4.用戶的崗位或職責發(fā)生變化時，應立即變更或取消相應的訪問權限； 5.對分配的權限必須記錄和進行維護。

�。ǘ�）口令管理 1.口令的管理責任人為賬戶的使用者； 2.口令的設置要遵循**縣**醫(yī)院有關規(guī)定。

　（三）對用戶訪問權限進行定期檢查； （四）用戶責任 1.用戶應采取方式保證口令安全； 2.不得共享個人的口令； 3.定期更改口令。

　第三十條操作系統(tǒng)訪問控制 （一）嚴格控制操作系統(tǒng)管理員對系統(tǒng)文件和業(yè)務數(shù)據(jù)的操

　作權限； （二）根據(jù)工作相關性原則授予用戶相應權限； （三）系統(tǒng)建立的日志必須滿足審計要求，系統(tǒng)日志必須安全存放，防止被非授權的訪問； （四）必須及時安裝系統(tǒng)安全補丁； （五）關閉所有系統(tǒng)不需要的系統(tǒng)服務； （六）服務器的密碼文件須加密存放； （七）定期修改用戶口令。

　第三十一條 應用系統(tǒng)訪問控制 （一）根據(jù)業(yè)務訪問控制策略對用戶嚴格授權； （二）嚴格限制業(yè)務人員越過應用程序對后臺數(shù)據(jù)庫或操作系統(tǒng)直接訪問； （三）建立和維護應用系統(tǒng)的用戶權限表； （四）刪除所有系統(tǒng)上不使用的帳號。

　第十章

　運行維護安全管理

　第三十二條

　建立日常維護相關操作規(guī)程和規(guī)范手冊，規(guī)范介質管理、賬號口令管理、補丁管理、防病毒管理、服務器運行管理等日常運行維護操作。

　第十一章

　系統(tǒng)開發(fā)

　第三十三條

　確保安全貫穿系統(tǒng)整個生命周期的各個階段。

　第三十四條

　系統(tǒng)的規(guī)劃設計階段必須做安全需求分析、總體安全設計、安全建設規(guī)劃。

　第三十五條

　系統(tǒng)開發(fā)策略

　（一）建立并遵循安全開發(fā)標準； （二）、進行風險分析和風險管理，確定系統(tǒng)安全控制機制； （三）操作人員只保留可執(zhí)行代碼； （四）程序源代碼盡可能不要保留在運行系統(tǒng)上； （五）在系統(tǒng)發(fā)布前，應進行安全測試。

　第三十六條

　加密策略 （一）加密算法必須是經(jīng)過政府批準的或符合業(yè)界標準； （二）密匙必須有明確的管理人員。

�。ㄈ�）加密的數(shù)據(jù)和口令須分開傳遞； （四）使用加密保護敏感數(shù)據(jù)，明確密鑰管理員的職責； （五）密鑰產(chǎn)生、分發(fā)、存儲的相關信息必須防止泄露給未授權的人員，當這些信息不再需要時，必須采用規(guī)定的方式予以銷毀。

　第十二章

　信息安全事件管理

　第三十七條

　各部門應了解信息安全事件管理目標，熟悉信息安全應急響應流程，確保能快速、有效和有序地響應信息安全事件。

　第三十八條

　各部門相關人員應盡可能早的將信息安全事件通告給部門負責人，信息科根據(jù)安全事件的類型和級別定義判斷安全事件，根據(jù)安全事件處理流程進行處理和匯報。

　第三十九條

　信息科根據(jù)信息安全事件預案向信息化建設領導小組提出應急恢復流程的啟動申請，經(jīng)批準后，按照應急恢復流程處理。

　第十三章

　應急響應管理

　第四十條

　建立統(tǒng)一的應急預案框架，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容。

　第四十一條

　從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障。

　第四十二條

　應對系統(tǒng)相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次。定期對應急預案進行演練，根據(jù)不同的應急恢復內(nèi)容，確定演練的周期。

　第十四章

　信息安全通報機制

　第四十三條

　**縣**醫(yī)院信息科負責組織信息安全信息通報工作，必要時，向**縣**醫(yī)院各部門通報信息安全工作情況以及安全預警和病毒攻擊等信息。

　第四十四條

　各部門信息安全聯(lián)絡員負責收集和反饋本部門信息安全信息，并向信息科報送。

　第四十五條

　將信息安全通報作為信息安全工作的重要環(huán)節(jié)。不能出現(xiàn)瞞報、緩報、謊報信息安全事件和推諉責任的行為。

　第十五章

　附則

　第四十六條

　本方針由信息科負責解釋與修訂。

　信息安全檢查管理辦法 第一章總則 第一條

　為了加強和規(guī)范**縣**醫(yī)院信息安全檢查工作，保障相關信息系統(tǒng)安全運行，特制定本管理辦法。

　第二條

　信息安全檢查依據(jù)國家有關法律法規(guī)、行業(yè)有關規(guī)章制度，單位信息安全相關規(guī)章制度。

　第三條

　信息安全檢查對象為**縣**醫(yī)院的光彩龍駒網(wǎng)約車系統(tǒng)。

　第四條

　信息技術工作檢查可采取日常檢查、組織自查、專項檢查、年度檢查等方式。年度檢查對象包括所有相關部門，且每年不少于二次。

　第二章組織機構與職責 第五條

　信息科負責信息安全檢查工作，根據(jù)當前現(xiàn)狀明確檢查重點，制定檢查標準。

　第六條

　信息科成立信息安全檢查小組，具體負責信息安全檢查工作的實施。

　第三章信息安全檢查分類 第七條

　各部門及相關人員要配合各項信息安全檢查工作，并按要求完成檢查中發(fā)現(xiàn)問題項的整改工作。

　第八條

　**縣**醫(yī)院的信息安全檢查包括信息安全主管部門對**縣**醫(yī)院進行的專項信息安全檢查、信息安全認證機構對**縣**醫(yī)院的信息安全外部審核、風險監(jiān)管部門主導的信息安全內(nèi)部審核和內(nèi)部信息安全技術檢查等。

　第四章信息安全檢查內(nèi)容 第九條

　計算機安全檢查 1.計算機應安裝殺毒、防護等軟件，及時更新系統(tǒng)，修復漏洞。

　2.非涉密計算機不得存儲涉密文件、敏感信息。

　3.涉密計算機和安裝了“三合一系統(tǒng)”的計算機必須按照相關規(guī)定嚴格管理，嚴禁違規(guī)外聯(lián)。

　第十條

　系統(tǒng)安全與設備管理的檢查

　1.服務器

　 （1）服務器應具有充分的可靠性和充足的容量。

　 （2）服務器應具有一定的容錯特性，宜采用鏡像、陣列、雙機、群集等容錯技術。

　（3）服務器有安全可靠的備份措施。

　2.工作站

�。�1）工作站應具有良好的性能及可靠性。

�。�2）除計算機機房外，一律使用無軟驅或光驅等可卸存儲裝置的網(wǎng)絡工作站。

　 （3）重要工作站應有冗余備份。

　第十一條

　安全管理情況的檢查

　1.建立由安全策略、管理制度、操作規(guī)程等構成的全面信息安全管理制度體系。

　2.嚴格按管理制度規(guī)定進行管理，按操作規(guī)程進行操作，并進行記錄。

　第五章信息安全檢查實施 第十二條

　實施檢查前，檢查小組根據(jù)檢查目的和被檢查部門情況，確定檢查范圍、檢查重點，制定檢查工作計劃，編制相應檢查表格。

　第十三條

　組織進行自查時，被檢查部門應如實填寫自查表，對存在的問題隱瞞不報的，將追究相關部門和個人責任。

　第十四條

　進行現(xiàn)場檢查時，檢查小組應提前通知被檢查部門，可根據(jù)需要要求被檢查部門進行自查，以提高現(xiàn)場檢查工作效率。每次檢查前，檢查小組應核查上次檢查提出的整改意見是否落實，整改措施是否有效。

　第十五條

　被檢查部門應積極配合檢查工作，按檢查人員要求提供與檢查工作相關的資料，并對所提供資料的真實性、完整性負責。

　第十六條

　檢查過程中應切實防范檢查操作風險，不得對在線運行系統(tǒng)進行檢查測試和網(wǎng)絡掃描檢測。因檢查需要需使用輔助檢測工具時，應經(jīng)信息科負責人審批同意后方可使用。

　第十七條

　檢查過程中發(fā)現(xiàn)問題和安全隱患時，檢查小組應及時與被檢查部門溝通確認后，擬定整改建議。對于隨時可能引發(fā)事故的問題和安全隱患，應要求立即整改。

　 第六章信息安全檢查報告 第十八條

　檢查工作結束后，檢查小組應及時撰寫檢查報告上報信息化建設領導小組，根據(jù)批示意見對檢查結果進行通報，對存在問題和安全隱患的部門下發(fā)整改意見書，要求限期完成整改工作。

　第十九條

　檢查小組應跟蹤整改工作的落實情況，必要時可對整改工作落實情況進行確認檢查。

　第七章附則 第二十條

　本管理辦法由信息科負責解釋與修訂。

　信息安全違章行為責任追究辦法 第一章 總則 第一條

　為加強**縣**醫(yī)院工作人員的信息安全責任意識，界定工作人員信息安全違章行為，明確信息安全違章責任追究和處罰依據(jù)，特制定本管理辦法。

　第二條

　信息安全違章行為分為一般違章和嚴重違章。信息安全違章行為由信息科負責組織調查和認定，并依據(jù)本辦法進行責任追究。

　第三條

　本管理辦法中所稱“計算機”包括桌面計算機、便攜式計算機（含各類上網(wǎng)本），除特別說明，通指內(nèi)網(wǎng)計算機和外網(wǎng)計算機。

　第四條

　本管理辦法適用于所有與信息系統(tǒng)相關的人員。

　第二章 違章行為界定 第五條

　凡具有下列行為之一均屬違章行為：

　1. 違反國家信息安全有關法律和法規(guī)。

　2. 違反**縣**醫(yī)院信息安全管理規(guī)章制度。

　第六條

　一般違章界定 （一）計算機未設置操作系統(tǒng)登錄口令；設置了操作系統(tǒng)登錄口令，但口令長度低于 8 位且不是由字母、數(shù)字或符號組合構成；未啟用屏幕保護和超時鎖屏功能。

�。ǘ�）未按規(guī)定安裝運行或自行卸載單位統(tǒng)一的防病毒軟件、補丁更新策略、桌面終端管理軟件。

　（三）未按要求使用安全移動存儲介質進行內(nèi)外網(wǎng)信息交換，擅自刪除或破壞已注冊安全移動存儲介質內(nèi)的管理軟件。

�。ㄋ模┥米孕遁d（含格式化）**縣**醫(yī)院規(guī)定安裝的操作系統(tǒng)和業(yè)務應用系統(tǒng)客戶端。

�。ㄎ澹┪词褂脝挝唤y(tǒng)一的外網(wǎng)郵件系統(tǒng)處理和發(fā)送與工作相關的電子郵件。

�。�六）計算機外委維修時未拆除硬盤導致與工作有關的信息外泄；更換計算機和硬盤或在報廢處理前，未對原硬盤進行信息不可恢復操作處理（如低級格式化等）。

�。ㄆ撸┰趦�(nèi)網(wǎng)計算機上對未關閉互聯(lián)網(wǎng)訪問功能的手機和PDA 等設備進行充電或數(shù)據(jù)同步導致發(fā)生違規(guī)外聯(lián)。開啟文件共享且不設置共享密碼或共享密碼過于簡單導致共享文件被非授權訪問和破壞。

　（八）移動存儲介質丟失未向**縣**醫(yī)院信息科和保密管理部門及時報告，并說明移動存儲介質中包含哪些與工作相關的文件、數(shù)據(jù)和程序。

�。ň牛┥米詫⒈救说拈T戶及應用系統(tǒng)帳號和口令告訴他人由其長期代為進行業(yè)務操作。

�。ㄊ�）工作人員崗位異動后未及時向信息科申請賬號和權限的變更。

�。ㄊ�一）違反單位信息安全管理規(guī)定被認定為一般違章的其他行為。

　第七條

　嚴重違章界定 （一）未經(jīng)信息科進行安全檢測和許可，擅自將外來人員的

　計算機接入信息內(nèi)網(wǎng)或信息外網(wǎng)。

�。ǘ�）擅自更改計算機網(wǎng)卡的 MAC 地址或 IP/MAC 地址綁定策略。

�。ㄈ�）在計算機上私自開啟 DHCP、WWW、FTP、VOD、代理、游戲、論壇等服務對網(wǎng)絡訪問造成干擾或信息資源被非授權訪問。

�。ㄋ模┰趦�(nèi)網(wǎng)計算機上利用電話線、電信運營商 ADSL、無線上網(wǎng)卡或具備上網(wǎng)功能的手機和 PDA 等設備訪問互聯(lián)網(wǎng)，以及任何具備有意識或故意性質使用內(nèi)網(wǎng)計算機訪問互聯(lián)網(wǎng)。

　（五）使用手機或 PDA 設備的無線 WIFI 功能訪問信息內(nèi)網(wǎng)或信息外網(wǎng)。

　（六）在計算機中存儲和處理國家、單位秘密信息，在外網(wǎng)計算機中存儲涉及單位重要敏感信息的電子文件。

�。ㄆ撸┰谕�一臺計算機（包括具備隔離卡和雙硬盤的計算機）上安裝兩個操作系統(tǒng)或雙網(wǎng)卡分別接入信息內(nèi)網(wǎng)和信息外網(wǎng)。

�。ò耍┌踩�移動介質損壞后私自丟棄未交信息科處理并造成單位重要信息外泄。

�。ň牛┧阶栽诰W(wǎng)絡中接入任何具備網(wǎng)絡地址轉換（NAT)、MAC克隆等功能的網(wǎng)絡交換機和路由器等有線設備和無線設備。

�。ㄊ�）擅自組建無線網(wǎng)絡并接入信息內(nèi)網(wǎng)。

�。ㄊ�一）干擾他人正常工作行為，包括：發(fā)布不真實信息、垃圾信息；散布病毒及木馬；未經(jīng)授權或通過口令猜測和破解等手段使用他人設備、系統(tǒng)、郵箱等。

　（十二）擅自在計算機中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進行網(wǎng)絡掃描或攻擊破壞。

�。ㄊ�三）拒絕信息科維護人員對計算機進行安全性檢查和安裝單位統(tǒng)一要求的桌面終端管理軟件、防病毒軟件等。

　（十四）違反**縣**醫(yī)院信息安全管理規(guī)定被認定為嚴重違章的其他行為。

　第三章督察與檢查 第八條

　對違章的查處采用專項督查、日常檢查及應用工具軟件檢查相結合的方式進行。

　第九條

　發(fā)生信息安全違章，按照管理權限，實行分級查處、分級追究。

�。ㄒ唬�**縣**醫(yī)院各部門自查自糾發(fā)現(xiàn)的違章，參照本辦法自行處理。

�。ǘ�）信息科組織的督查、日常檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章，按照本辦法規(guī)定處理。

�。ㄈ�）單位督查、日常工作檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章，按本規(guī)定處理并將處理情況報告單位領導。

　第四章 處罰規(guī)定 第十條

　在年度內(nèi)第一次發(fā)生一般違章，對當事人給予誡勉談話或通報批評；半年內(nèi)同一當事人發(fā)生兩次一般違章，對當事人給予 200～600 元的經(jīng)濟處罰并通報批評；一年內(nèi)同一當事人發(fā)生三次一般違章，對當事人給予 1000～1500 元的經(jīng)濟處罰，并對當事人所屬部門予以通報批評。

　第十一條

　在年度內(nèi)第一次發(fā)生嚴重違章，對當事人給予

　600～800 元的經(jīng)濟處罰，并對當事人所屬部門予以通報批評；半年內(nèi)同一當事人發(fā)生兩次嚴重違章，除對當事人給予 1000～1500 元的經(jīng)濟處罰，通報批評當事人所屬部門外，當事人必須自學網(wǎng)絡信息安全基本知識并通過信息科的考核；一年內(nèi)同一當事人發(fā)生三次嚴重違章，給予當事人下崗 1 個月的處罰，享受下崗人員待遇至當事人申請并經(jīng)計算機所對其進行信息安全基本知識考核合格后方能上崗。

　第五章附則 第十二條

　本管理辦法由信息科負責解釋。

　安全教育和培訓管理辦法 第一章總則 第一條

　為規(guī)范**縣**醫(yī)院信息安全培訓及教育工作，對干部職工進行有關信息安全管理的理論培訓、安全管理制度教育、安全防范意識宣傳和專門安全技術訓練，確保**縣**醫(yī)院信息安全策略、規(guī)章制度和技術規(guī)范的順利執(zhí)行，特制定本管理規(guī)定。

　第二章信息安全培訓要求 第二條

　 信息安全培訓工作需要分層次、分階段、循序漸進地進行，而且必須是能夠覆蓋全員的培訓。

　第三條

　 應制定完善的《培訓計劃》，計劃應包含培訓方式、培訓類別、培訓內(nèi)容、培訓費用等信息，并且需要相關領導對培訓計劃進行審批。

　第四條

　 分層次培訓是指對不同層次的人員，如對管理層、信息安全管理人員，信息安全聯(lián)絡員和普通干部開展有針對性和不同側重點的培訓。

　第五條

　 分階段是指在信息安全管理體系的建立、實施和保持的不同階段，培訓工作要有計劃地分步實施；信息安全培訓要采用內(nèi)部和外部結合的方式進行。

　第六條

　 管理層培訓 （一）

　管理層培訓目標是明確建立信息安全體系的重要性，獲得管理層的支持和承諾。

�。ǘ�）

　管理層培訓方式可以采用聘請外部信息安全培訓、專業(yè)技術專家和咨詢顧問以專題講座、研討會等形式。

　第七條

　 信息安全管理人員培訓 （一）

　信息安全管理人員培訓目標是理解及掌握信息安全原理和相關技術、強化信息安全意識、支撐信息安全體系的建立、實施和保持。

�。ǘ�）

　信息安全管理人員培訓方式可以采用聘請外部信息安全專業(yè)資格授證培訓、參加信息安全專業(yè)培訓、自學信息安全管理理論及技術和內(nèi)部學習研討的方式。

　第八條

　 信息安全聯(lián)絡員培訓 （一）

　信息安全聯(lián)絡員培訓目標是掌握各系統(tǒng)相關專業(yè)安全技術，協(xié)助維護和保障系統(tǒng)正常、安全運行。

�。ǘ�）

　信息安全聯(lián)絡員培訓方式可以采用外部和內(nèi)部相結合的培訓以及自學的方式。

　第九條

　 普通干部培訓 (一) 普通干部培訓目標是了解相關信息安全制度和技術規(guī)范，并安全、高效地使用信息系統(tǒng)。

　(二) 普通干部培訓方式應主要采取內(nèi)部培訓的方式。

　第三章信息安全培訓內(nèi)容 第十條

　 各級領導及職工應明確了解信息安全體系，并明確各自的安全職責，明確自身對維護保障系統(tǒng)正常、安全運行所需承擔的相關責任和義務。

　第十一條

　針對業(yè)務需求進行相應安全意識培訓，提高員工

　的安全意識和防范能力。

　第十二條

　針對系統(tǒng)的維護人員和管理員應定期開展安全技術教育培訓（每年至少一次），明確如何安全使用有關業(yè)務系統(tǒng)及普通計算機周邊硬件設備。

　第四章信息安全培訓管理 第十三條

　信息安全培訓發(fā)起：

　（一）

　信息安全培訓教育，納入**縣**醫(yī)院的整體培訓計劃中。

�。ǘ�）

　具體操作過程遵守**縣**醫(yī)院的相關培訓管理制度。

　第十四條

　信息安全培訓實施：

�。ㄒ唬�

　信息安全培訓的實施，主要由信息科負責組織和考核。

�。ǘ�）

　對專業(yè)性很強的安全培訓，由信息科負責聘請外部專家進行安全培訓。

�。ㄈ�）

　具體操作過程遵守相關培訓管理制度。

　第十五條

　信息安全培訓過程中，要做好《培訓簽到表》，并將參與培訓人員整理、備案。

　第五章附則 第十六條

　本管理辦法由信息科負責解釋與修訂。

　外來人員安全訪問管理辦法 第一章總則 第一條

　為了規(guī)范第三方用戶訪問**縣**醫(yī)院內(nèi)部信息系統(tǒng)時的行為，保護**縣**醫(yī)院網(wǎng)絡與信息系統(tǒng)安全，特制定本管理辦法。

　第二章來訪人員出入管理 第二條

　第三方人員進入**縣**醫(yī)院所屬單位及其建筑物，應遵守**縣**醫(yī)院相關安保制度。

　第三條

　未經(jīng)**縣**醫(yī)院特別許可，第三方人員不得在信息科內(nèi)攝影、拍照。

　第四條

　**縣**醫(yī)院干部職工要遵守相關安全保密規(guī)定，禁止與第三方人員談論與其工作無關的內(nèi)容。

　第三章機房出入管理 第五條

　除以下情況外，不得引領和允許第三方人員訪問機房等重要區(qū)域：

　( (一 一) ) **縣**醫(yī)院領導批準的參觀活動； ( (二 二) ) 必要的儀器設備現(xiàn)場安裝、維修、調測； ( (三 三) ) 第三方因業(yè)務需要進入上述區(qū)域的其它情形。

　 第四章網(wǎng)絡訪問管理 第六條

　**縣**醫(yī)院信息安全管理人員有義務向第三方人員

　說明網(wǎng)絡接入安全要求。

　第七條

　第三方人員不允許私自連接醫(yī)院網(wǎng)絡。如果必要，必須提出申請，征得信息科允許后方可接入。第三方人員連接網(wǎng)絡要進行相應登記備案，并簽訂網(wǎng)絡使用安全協(xié)議。

　第八條

　長期使用內(nèi)部網(wǎng)絡的第三方人員的計算機必須接受**縣**醫(yī)院的統(tǒng)一客戶端管理，包括客戶端管理軟件的安裝、安全策略的配置等。

　第九條

　第三方人員如果需要訪問網(wǎng)絡資源，須提前明確申請要訪問資源的類型、范圍和方式，以便管理員進行審批，并提供相應的訪問權限和訪問方法。

　第十條

　第三方人員操作服務器或網(wǎng)絡設備，必須使用臨時帳號，使用之后由相應的管理人員及時清除；對于長期在**縣**醫(yī)院工作的技術支持、顧問、服務人員，如果需要長期操作服務器或網(wǎng)絡設備，管理人員應該為第三方人員創(chuàng)建單獨的帳號。

　第十一條

　**縣**醫(yī)院有權對第三方人員在醫(yī)院內(nèi)部網(wǎng)絡的活動進行檢查、審計和監(jiān)控。

　第十二條

　第三方人員的計算機要求安裝有防病毒軟件，不得攜帶有木馬、病毒等破壞性程序。

　第十三條

　第三方人員不準使用**縣**醫(yī)院網(wǎng)絡從事同工作無關的網(wǎng)絡活動。

　第十四條

　第三方人員不準在**縣**醫(yī)院網(wǎng)絡內(nèi)部通過撥號或其它手段直接建立到其它網(wǎng)絡的物理鏈路。

　 第五章附則

　第十五條

　本管理辦法由信息科負責解釋與修訂。

　信息系統(tǒng)建設項目管理辦法 第一章總則 第一條

　為規(guī)范**縣**醫(yī)院信息化建設項目實施過程管理，明確項目組織與職責分工，規(guī)范項目活動和交付驗收質量控制，特制定本管理辦法。

　第二條

　本管理辦法適用于**縣**醫(yī)院所有與信息化相關的項目和參與信息化建設項目實施過程中的業(yè)務部門和供應商人員。

　第二章組織機構與職責 第三條

　項目分類：根據(jù)項目的實施性質分為應用實施、定制開發(fā)、硬件集成類項目。根據(jù)實施方式分為外包、自主實施、自主實施部分外包類項目。

　第四條

　項目小組由供應商、業(yè)務部門、信息科共同組成，項目組根據(jù)專業(yè)分工分為項目管理組、業(yè)務組、開發(fā)組和系統(tǒng)支持組。

　第五條

　不同項目分類，參與項目的角色有所不同，項目啟動前，雙方項目負責人需根據(jù)項目要求和資源狀況重新確定項目組織和項目組人員，明確項目職責分工后予以正式發(fā)布。

　第六條

　項目負責人：負責項目過程的計劃與會議管理、問題與風險管理、變更管理，為項目執(zhí)行過程管理的責任人。應用類項目可分別設立業(yè)務項目負責人和信息化建設項目負責人，業(yè)務項目負責人由**縣**醫(yī)院業(yè)務部門負責人擔任，信息化建設項

　目負責人由信息科項目管理人員擔任。

　第七條

　項目業(yè)務組：由業(yè)務分析、實施顧問、關鍵用戶組成，業(yè)務分析由**縣**醫(yī)院的業(yè)務負責人或業(yè)務骨干擔任，負責項目需求和業(yè)務管理方案的確認；實施顧問由供應商或信息科具備業(yè)務咨詢和分析能力的業(yè)務顧問擔任，參與或負責項目需求的分析、設計與變更管理。關鍵用戶參與需求調研、測試。

　第八條

　項目開發(fā)組：由供應商或信息科系統(tǒng)架構師、技術支持、開發(fā)顧問、軟件測試、軟件配置等角色，負責信息化建設項目軟件或定制開發(fā)需求的設計、開發(fā)、測試與質量控制，其中大型應用或基礎類項目，必須設立系統(tǒng)架構師，負責總體方案的設計或評審。

　第九條

　系統(tǒng)支持組：由信息科的系統(tǒng)管理人員擔任，負責系統(tǒng)正式環(huán)境管理、系統(tǒng)環(huán)境規(guī)劃、搭建及系統(tǒng)管理規(guī)范的建立，參與技術方案評審和協(xié)助系統(tǒng)環(huán)境優(yōu)化,負責系統(tǒng)移交的正式接收人。

　第三章項目里程碑管理 第十條

　項目組與供應商簽訂正式合同后，標志著項目正式進入項目實施階段。項目實施過程包括項目準備、需求分析、方案設計、系統(tǒng)實現(xiàn)、上線運行、項目移交等六大里程碑。

　第十一條

　項目負責人根據(jù)項目特點制定項目計劃及項目的交付要求，所有項目實施交付文檔按里程碑每月定期備案。

　第四章項目準備階段 第十二條

　項目準備階段包括制定總體計劃、成立實施項目組織、建立項目章程、召開項目啟動會議等工作。

　第十三條

　制定總體計劃:項目負責人根據(jù)項目特點制定項目總體實施計劃及資源計劃，明確項目里程碑的關鍵活動、責任人、開始與完成時間、交付件要求，經(jīng)雙方項目負責人或項目總監(jiān)審批后正式執(zhí)行。

　第十四條

　成立實施項目組：項目負責人根據(jù)項目特點明確參與項目的人員、角色、職責及明確參與項目時間要求，并正式成立項目組。

　第十五條

　建立項目章程：明確雙方項目組在項目過程中的溝通、問題、風險、計劃、人力資源、質量管理等方面的管理約定。

　第十六條

　召開項目啟動會議：項目負責人在完成以上項目準備后，應組織相關項目干系人召開項目啟動會議，項目負責人、項目組和關鍵用戶應參加項目啟動會議。

　第五章需求分析階段 第十七條

　需求分析階段包括需求調研、需求分析、需求評審、需求確認等工作，經(jīng)雙方評審后最終形成《需求規(guī)格說明書》，《需求規(guī)格說明書》作為項目后續(xù)工作的基礎，必須確保項目中所有相關人員對需求的理解達成共識。

　第十八條

　《需求規(guī)格說明書》必須包括總體需求及業(yè)務流程、詳盡的功能需求描述和分析、需求的優(yōu)先級、非功能需求（系

　統(tǒng)技術需求）、與外部系統(tǒng)接口的定義，并確保需求是一致的、完整的、可行的且易于理解的。

　第十九條

　需求調研可采用調研、訪談、原型法等多種方式結合開展，調研前必須做好《需求調研問卷》、落實參與調研的對象和時間，調研對象必須包括項目發(fā)起人、業(yè)務負責人和關鍵用戶在內(nèi)的所有與項目范圍密切相關崗位，須確保以上人員的充分積極參與。

　第二十條

　需求調研：調研內(nèi)容包括項目目標、業(yè)務目標、業(yè)務與信息化建設項目現(xiàn)狀、業(yè)務流程、具體的業(yè)務功能需求和非功能需求。

　第二十一條

　需求分析：項目組內(nèi)部對調研過程收集的需求和遺留的問題進行可行性、優(yōu)先級別和風險評估，在此基礎上形成初步的《需求規(guī)格說明書》，發(fā)給相關業(yè)務人員征求意見。

　第二十二條

　需求評審：項目負責人組織相關的業(yè)務骨干和業(yè)務部門負責人對需求進行正式評審會議，使雙方項目組對需求的理解達成共識。項目組根據(jù)評審意見修訂《需求規(guī)格說明書》。

　第二十三條

　需求確認：《需求規(guī)格說明書》經(jīng)評審通過后需業(yè)務分析、項目負責人、項目總監(jiān)簽字確認，并作為啟動設計開發(fā)階段必要輸入條件。

　第六章方案設計階段 第二十四條

　方案設計階段包括總體設計、詳細設計等工作。

　第二十五條

　總體設計和詳細設計：由實施顧問和系統(tǒng)架

　構師共同完成。應用實施類項目進行業(yè)務流程優(yōu)化、總體方案設計、詳細方案設計、安全性設計、客戶化開發(fā)方案設計；定制開發(fā)類項目進行系統(tǒng)總體方案設計、詳細設計、數(shù)據(jù)庫設計、安全性設計及測試方案設計；總體方案設計需經(jīng)過項目組、系統(tǒng)架構師的評審。

　第二十六條

　《系統(tǒng)總體設計說明書》指系統(tǒng)總體方案設計，包括系統(tǒng)應用架構設計和技術架構設計，應用架構設計包括系統(tǒng)應用架構圖、子系統(tǒng)/模塊結構設計、具體功能模塊設計及與外部應用系統(tǒng)的業(yè)務關聯(lián)設計。技術架構設計包括系統(tǒng)技術架構圖（含與外部系統(tǒng)接口圖）、內(nèi)外部接口設計、相關軟硬件平臺設計、非功能模塊設計。

　第二十七條

　《系統(tǒng)詳細設計說明書》進一步詳細描述具體程序的設計要求，包括程序的功能、輸入輸出項、算法、流程邏輯的實現(xiàn)詳細描述。

　第二十八條

　《系統(tǒng)數(shù)據(jù)庫設計說明書》包括數(shù)據(jù)庫概念模型設計、數(shù)據(jù)庫邏輯模型設計、數(shù)據(jù)庫物理結構的設計、數(shù)據(jù)庫性能參數(shù)的配置、數(shù)據(jù)庫對象的詳細描述。

　第二十九條

　編制基礎數(shù)據(jù)整理模板：供應商提供基礎數(shù)據(jù)整理模板，項目負責人協(xié)調相關業(yè)務分析、實施顧問制定數(shù)據(jù)整理規(guī)則和整理計劃，并落實相關業(yè)務崗位或關鍵用戶負責基礎數(shù)據(jù)整理，基礎數(shù)據(jù)需經(jīng)業(yè)務部門負責人確認。

　第七章系統(tǒng)實現(xiàn)階段 第三十條

　系統(tǒng)實現(xiàn)階段包括實施方案、軟件編碼、硬件安

　裝、驗收方案、功能測試、性能測試、安全性測試、環(huán)境部署等工作。

　第三十一條

　項目負責人在項目總體計劃和設計的基礎上制定《開發(fā)計劃》，并定期把開發(fā)進展情況和開發(fā)成果反饋到項目組或提交到制定位置。

　第三十二條

　制定實施方案：根據(jù)實際情況，由供應商系統(tǒng)實施工程師負責制定系統(tǒng)實施方案，提交項目負責人，項目負責人組織相關人員對實施方案進行審定。

　第三十三條

　軟件編碼：開發(fā)顧問根據(jù)《設計說明書》、《開發(fā)計劃》進行編碼。供應商的質量保證人員對軟件編碼成果進行質量控制與檢查。

　第三十四條

　功能測試：項目負責人安排測試人員（由技術人員和業(yè)務使用人員組成）完成，提交《系統(tǒng)測試方案》，發(fā)現(xiàn)的問題統(tǒng)一由項目負責人負責跟蹤管理，并匯總成《問題跟蹤表》，并出具功能測試報告。

　第三十五條

　性能測試：由開發(fā)顧問與系統(tǒng)管理人員共同負責性能測試方案的制定和性能測試分析，并進一步安排性能優(yōu)化措施，并出具性能測試報告。

　第三十六條

　安全性測試：委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告。

　第三十七條

　驗收報告評審：項目負責人跟蹤問題解決的進度和組織相關人員和安全專家進行驗收報告的評審，評審通過后才可上線運行。

　第八章上線運行階段 第三十八條

　系統(tǒng)上線包括上線方案編寫、上線培訓、上線評審、系統(tǒng)上線、上線運行跟蹤、試運行總結、初驗總結等工作。

　第三十九條

　上線方案編寫：系統(tǒng)完成驗收測試并按照要求提交所有文檔后，由雙方共同制定《系統(tǒng)上線實施方案》。

　第四十條

　上線評審：**縣**醫(yī)院項目組成員根據(jù)供應商在實施過程中提交的所有交付內(nèi)容進行評審，評審內(nèi)容包括交付質量、交付件的完整性、測試數(shù)據(jù)、上線條件、上線方案。

　第四十一條

　系統(tǒng)上線：通過上線評審后，系統(tǒng)可以進行上線并進入試運行階段。

　第四十二條

　用戶培訓：根據(jù)上線方案中的培訓計劃，由供應商項目負責人組織**縣**醫(yī)院運維人員進行培訓，同時提交《用戶培訓手冊》和《用戶操作指引》。

　第四十三條

　問題跟蹤：項目組對系統(tǒng)試運行情況進行跟蹤，及時處理和更新，每周通報系統(tǒng)運行狀況。

　第四十四條

　試運行總結：系統(tǒng)試運行一個月以上并運行穩(wěn)定，項目組應總結系統(tǒng)運行情況，提交《系統(tǒng)試運行跟蹤報告》。

　第四十五條

　初驗總結：系統(tǒng)應用狀況達到項目驗收要求，項目組進行項目初步驗收總結，提交《系統(tǒng)初驗報告》和《項目初驗申請》。

　第九章項目移交階段 第四十六條

　項目移交階段包括問題跟蹤與解決、系統(tǒng)移

　交、制定系統(tǒng)管理規(guī)范、制定業(yè)務管理規(guī)范、終驗總結等工作。

　第四十七條

　問題跟蹤與解決：項目組應繼續(xù)進行系統(tǒng)運行跟蹤狀況，每月提交《問題跟蹤表》，并對存在的問題進行優(yōu)先級分類，及時落實資源解決問題。

　第四十八條

　系統(tǒng)移交：供應商整理和修訂項目交付文檔，制定《系統(tǒng)維護指引》，《系統(tǒng)維護指引》中應包括系統(tǒng)運行維護的指引、系統(tǒng)備份要求和方法、系統(tǒng)恢復和遷移指引，并根據(jù)維護指引對系統(tǒng)管理人員進行知識轉移，經(jīng)過系統(tǒng)管理人員驗證和確認后，作為雙方正式移交的必要條件之一。正式環(huán)境移交后，系統(tǒng)管理人員收回供應商所有環(huán)境所有用戶權限。

　第四十九條

　制定業(yè)務管理規(guī)范：業(yè)務管理規(guī)范由業(yè)務部門制定，包括基礎數(shù)據(jù)規(guī)范、操作規(guī)范、崗位操作指引等等，并在應用過程中定期檢查執(zhí)行情況和不斷完善。

　第五十條

　終驗總結：系統(tǒng)達到項目目標、初驗后正常運行三個月、所有的問題已解決且完成系統(tǒng)移交后，項目組進行項目總結后可提出項目驗收申請，經(jīng)項目主管部門負責人審核。

　第十章問題與風險管理 第五十一條

　問題管理貫穿項目的整個生命周期，項目負責人負責整個項目的問題和風險管理，并有責任落實相關資源協(xié)調解決。

　第五十二條

　業(yè)務部門或用戶提出問題后，項目組對問題的類別、重要性、優(yōu)先級別進行分類排序，優(yōu)先解決影響數(shù)據(jù)準確性的問題，并明確問題責任人、完成時間，每周更新《問題跟

　蹤表》。大量的新增或變更需求按項目變更管理流程處理。

　第五十三條

　項目負責人應跟蹤問題的解決情況，并及時將問題狀況發(fā)布給項目組。在項目組范圍內(nèi)無法得到及時解決且影響項目整體目標的問題，項目負責人應及時將問題納入風險管理范疇，進行風險評估和采取有效的風險防范措施。

　第十一章變更管理 第五十四條

　項目的需求分析確認后，所有的新增需求或變更需求、技術變更均納入需求變更管理范圍，項目負責人應對所有的需求變更進行記錄和管理。

　第五十五條

　變更分析：項目負責人組織相關人員評估需求變更的風險、可行性，并提出需求變更的具體解決方案，解決方案中還應包括增加的工作量、成本和對項目進度的影響分析，需求變更經(jīng)雙方簽字后生效。

　第五十六條

　變更的執(zhí)行、跟蹤：項目負責人落實資源進行需求變更任務的執(zhí)行，對于影響項目目標、范圍、業(yè)務功能的變更需同時修訂《需求規(guī)格說明書》、《系統(tǒng)總體設計說明書》等相關交付文檔，對于影響項目進度的變更應同步修訂項目計劃。

　第五十七條

　變更的確認、總結：變更任務執(zhí)行完成后，其中需求或技術變更需經(jīng)變更提出人員進行測試后確認完成，項目負責人提交變更執(zhí)行情況分析。

　第十二章附則 第五十八條

　本管理辦法由信息科負責解釋與修訂。

　軟件開發(fā)管理辦法 第一章總則 第一條

　為規(guī)范**縣**醫(yī)院的開發(fā)管理流程，使各開發(fā)項目的管理進行標準化管理，特制定本管理辦法。

　第二條

　本管理辦法詳細規(guī)定軟件開發(fā)過程的各個階段及每一階段的任務、要求、交付文件，使整個軟件開發(fā)過程階段清晰、要求明確、任務具體，實現(xiàn)軟件開發(fā)過程的標準化。

　第三條

　本管理辦法適用于計算機的自主軟件開發(fā)項目。適用對象：軟件開發(fā)管理人員，軟件開發(fā)人員，軟件維護人員，系統(tǒng)管理人員。

　第二章職責及權限 第四條

　**縣**醫(yī)院信息科是負責軟件開發(fā)的主要部門，負責軟件開發(fā)整個過程的監(jiān)督、控制和管理工作。

　第三章 軟件開發(fā)環(huán)境管理 第五條

　軟件...

相關熱詞搜索：匯編 信息化 制度