一、總則
(一)為加強(qiáng)計(jì)算機(jī)系統(tǒng)用戶口令(密碼)的安全管理,提高計(jì)算機(jī)系統(tǒng)用戶口令(密碼)安全管理規(guī)范化、制度化水平,完善信息安全管理體系,特制定本制度。
(二)醫(yī)院所使用的醫(yī)院管理及業(yè)務(wù)相關(guān)計(jì)算機(jī)系統(tǒng)用戶口令(密碼)的安全管理適用本制度,其中應(yīng)用系統(tǒng)包括但不限于:HIS系統(tǒng)、LIS系統(tǒng)、電子病歷系統(tǒng)、院感管理系統(tǒng)、OA系統(tǒng)等。
(三)本規(guī)定所稱計(jì)算機(jī)系統(tǒng)用戶口令(密碼)是指在登錄計(jì)算機(jī)系統(tǒng)過(guò)程中,用于驗(yàn)證用戶身份的字符串,以下簡(jiǎn)稱計(jì)算機(jī)系統(tǒng)用戶口令。計(jì)算機(jī)系統(tǒng)用戶口令主要為靜態(tài)口令、動(dòng)態(tài)口令等。靜態(tài)口令一般是指在一段時(shí)間內(nèi)有效,需要用戶記憶保管的口令。動(dòng)態(tài)口令一般是指根據(jù)動(dòng)態(tài)機(jī)制生成的、一次性有效的口令。
(四)計(jì)算機(jī)系統(tǒng)用戶口令的安全管理遵照統(tǒng)一規(guī)范、重在意識(shí)、技術(shù)控制與管理措施相結(jié)合的原則。
(五)計(jì)算機(jī)系統(tǒng)用戶口令持有人應(yīng)保證口令的保密性,不應(yīng)將口令記錄在未妥善保管的筆記本以及其他紙質(zhì)介質(zhì)中,嚴(yán)禁將口令放置在辦公桌面或貼在計(jì)算機(jī)機(jī)箱、終端屏幕上,同時(shí)嚴(yán)禁將計(jì)算機(jī)系統(tǒng)用戶口令借給他人使用,任何情況下不得泄漏計(jì)算機(jī)系統(tǒng)用戶口令,一旦發(fā)現(xiàn)或懷疑計(jì)算機(jī)系統(tǒng)用戶口令泄漏,應(yīng)立即更換。
(六)計(jì)算機(jī)系統(tǒng)用戶口令必須加密存儲(chǔ)計(jì)算機(jī)系統(tǒng)中,嚴(yán)禁在網(wǎng)絡(luò)上明文傳輸計(jì)算機(jī)系統(tǒng)用戶口令,在用戶輸入口令時(shí),嚴(yán)禁在屏幕上顯示口令明文,嚴(yán)禁計(jì)算機(jī)信息系統(tǒng)輸出口令明文。
(七)計(jì)算機(jī)系統(tǒng)用戶口令持有人應(yīng)保證口令具有較高安全性。選擇使用口令安全強(qiáng)度較高的口令,不應(yīng)使用簡(jiǎn)單的代碼和標(biāo)記,禁止使用重復(fù)數(shù)字、生日、電話號(hào)碼、字典單詞等容易破譯的計(jì)算機(jī)系統(tǒng)用戶口令。
(八)任何人不得利用盜取、猜測(cè)、窺視、破解等非法手段獲取他人計(jì)算機(jī)系統(tǒng)用戶口令,盜用他人訪問(wèn)權(quán)限,威脅信息系統(tǒng)安全。
(九)具有登錄信息系統(tǒng)權(quán)限的用戶必須設(shè)置用戶口令或采用其它驗(yàn)證用戶身份的方式,嚴(yán)禁不驗(yàn)證用戶身份直接登錄信息系統(tǒng)。
二、崗位及其職責(zé)
(一)信息科設(shè)立全院用戶口令,統(tǒng)一管理重要服務(wù)器主機(jī)系統(tǒng)、核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備等超級(jí)用戶以及重要系統(tǒng)中具有關(guān)鍵訪問(wèn)權(quán)限用戶的口令。
(二)計(jì)算機(jī)用戶口令持有人負(fù)責(zé)所持計(jì)算機(jī)用戶口令在使用過(guò)程中的保密,負(fù)責(zé)設(shè)置、保存、更換計(jì)算機(jī)用戶口令,負(fù)責(zé)口令自身的安全強(qiáng)度。
(三)系統(tǒng)管理(維護(hù))人員、網(wǎng)絡(luò)和安全設(shè)備管理(維護(hù))人員負(fù)責(zé)啟用計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備的口令安全管理相關(guān)功能;負(fù)責(zé)刪除計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備多余用戶和口令。
三、服務(wù)器主機(jī)系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備用戶口令安全要求
(一)系統(tǒng)用戶口令主要包括服務(wù)器主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等系統(tǒng)用戶口令。服務(wù)器主機(jī)系統(tǒng)用戶是指能夠登錄服務(wù)器主機(jī)系統(tǒng)的用戶。
(二)服務(wù)器主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的超級(jí)用戶口令以及重要系統(tǒng)中具有關(guān)鍵訪問(wèn)權(quán)限用戶的口令應(yīng)由專人設(shè)置與管理。
四、應(yīng)用系統(tǒng)用戶口令安全要求
(一)應(yīng)用系統(tǒng)用戶口令是指只用于訪問(wèn)應(yīng)用系統(tǒng)的用戶口令,口令對(duì)應(yīng)的用戶為應(yīng)用系統(tǒng)用戶,在操作系統(tǒng)中并不存在相應(yīng)用戶。
(二)應(yīng)用系統(tǒng)在開(kāi)發(fā)過(guò)程中必須同步實(shí)現(xiàn)滿足計(jì)算機(jī)系統(tǒng)用戶口令基本要求的機(jī)制和功能,通過(guò)技術(shù)手段實(shí)現(xiàn)安全管理要求。對(duì)于現(xiàn)運(yùn)行的、沒(méi)有達(dá)到口令基本要求的計(jì)算機(jī)系統(tǒng)的改造或升級(jí),可結(jié)合具體情況穩(wěn)步開(kāi)展。同時(shí),必須采用相應(yīng)的管理措施,加強(qiáng)計(jì)算機(jī)系統(tǒng)用戶口令的安全管理,保障應(yīng)用系統(tǒng)的安全。
(三)應(yīng)用系統(tǒng)用戶必須設(shè)置口令或使用其它身份認(rèn)證方式,嚴(yán)禁不驗(yàn)證用戶身份訪問(wèn)應(yīng)用系統(tǒng)(對(duì)于信息網(wǎng)站中只瀏覽網(wǎng)頁(yè)的用戶,可不設(shè)置口令)。
(四)應(yīng)用系統(tǒng)用戶的口令應(yīng)定期更換,口令最長(zhǎng)有效期可根據(jù)應(yīng)用系統(tǒng)的重要程度和用戶的權(quán)限設(shè)定。
五、應(yīng)用口令申請(qǐng)
各業(yè)務(wù)及管理科室在應(yīng)用系統(tǒng)過(guò)程中,需要添加及刪除用戶、變更用戶權(quán)限、重置用戶口令等操作,需要本人書(shū)面申請(qǐng),上級(jí)主管科室(醫(yī)務(wù)處、護(hù)理部、藥學(xué)部等)負(fù)責(zé)人簽字批準(zhǔn)后,信息科備案執(zhí)行。
- 對(duì)癥檢查,查必要項(xiàng)目,提供規(guī)范檢查結(jié)果,拒絕虛假結(jié)果
- 對(duì)癥施術(shù),做必要治療,采用規(guī)范治療手段,拒絕過(guò)度治療
- 對(duì)癥開(kāi)方,用必要藥品,實(shí)施規(guī)范用藥標(biāo)準(zhǔn),拒絕盲目用藥
- 明確定價(jià),做惠民醫(yī)療,推行國(guó)家規(guī)范價(jià)格,拒絕高價(jià)醫(yī)療
- 崇尚醫(yī)德,以卓越服務(wù),執(zhí)行規(guī)范服務(wù)流程,拒絕天理漠視