信息化安全管理制度（精选21篇）

当前所在位置: 主页 > 优公文 >

信息化安全管理制度（精选21篇）

发布时间：2024-08-17 21:20 作者：admin 点击：【字体：大中小】

信息化安全管理制度（精选21篇）

在发展不断提速的社会中，很多情况下我们都会接触到制度，制度是要求成员共同遵守的规章或准则。我敢肯定，大部分人都对拟定制度很是头疼的，下面是小编帮大家整理的信息化安全管理制度，仅供参考，大家一起来看看吧。

信息化安全管理制度 1

维护者、邮箱使用者和对应的IP地址情况等。

4、交互式栏目具备有IP地址、身份登记和识别确认功能，对没有合法手续和不具备条件的电子公告服务立即关闭。

5、网站信息服务系统建立双机热备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，保证备用系统能及时替换主系统提供服务。

6、关闭网站系统中暂不使用的服务功能，及相关端口，并及时用补丁修复系统漏洞，定期查杀病毒。

7、服务器平时处于锁定状态，并保管好登录密码；后台管理界面设置超级用户名及密码，并绑定IP，以防他人登入。

8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员权限。

9、公司机房按照电信机房标准建设，内有必备的独立UPS不间断电源、高灵敏度的.烟雾探测系统和消防系统，定期进行电力、防火、防潮、防磁和防鼠检查。

二、信息安全保密管理制度

1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责"的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。

2、网站信息内容更新全部由网站工作人员完成，工作人员素质高、专业水平好，有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息（即“九不准”），一经发现，立即删除。

3、遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。

4、所有信息都及时做备份。按照国家有关规定，网站将保存60天内系统运行日志和用户使用日志记录，短信服务系统将保存5个月以内的系统及用户收发短信记录。

5、制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或网页。

三、用户信息安全管理制度

1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下，未经用户授权我公司不会随意公布与用户个人身份有关的资料，除非有法律或程序要求。

2、所有用户信息将得到本公司网站系统的安全保存，并在和用户签署的协议规定时间内保证不会丢失；

3、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格保密，未经允许不得向他人泄露。

公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守相应规章制度。

信息化安全管理制度 9

(一)总则:

1、为保守医院秘密，维护医院权益，特制定本制度。

2、医院秘密是关系医院发展和利益，依照特定程序确定，在一定时间内只限一定范围的人员知悉的事项。

3、医院各科室和全体员工都有保守医院秘密的义务。

4、医院保密工作，实行既确保秘密又便利工作的方针。

(二)保密范围和密级确定:

1、医院秘密包括下列秘密事项:

(1)医院重大决策中的秘密事项。

(2)医院尚未付诸实施的发展战略、发展方向、发展规划等。

(3)医院内部掌握的合同、协议、意见书及可行性报告、主要会议记录。

(4)医院财务预决算报告及各类财务报表、统计报表。

(5)医院所掌握的尚未进入社会或尚未公开的各类信息。

(6)医院员工的人事档案，工资性、劳务性收入及家庭地址、家庭成员、通讯方式等员工基本情况。

(7)其他经医院确定应当保密的事项。一般性决定、决议、通告、通知、行政管理资料等内部文件不属于保密范围。

2、医院秘密的密级分为"绝密"、"机密"、"秘密"三级。绝密是最重要的医院秘密，泄露会使医院利益遭受特别严重的损害;机密是重要的医院秘密，泄露会使医院权益和利益遭受到严重的损害;秘密是一般的医院秘密，泄露会使医院的权益和利益遭受损害。

3、医院密级的确定:

(1)医院经营发展中，直接影响医院权益和利益的重要决策文件资料为绝密级;

(2)医院的规划、财务报表、统计资料、重要会议记录、医院经营情况为机密级;

(3)医院人事档案、合同、协议、职员工资性收入、尚未进入市场或尚未公开的各类信息为秘密级。

(三)保密措施:

1、属于医院秘密的文件、资料和其它物品的制作、收发、传递、使用、复制、摘抄、保存和销毁，由党政办或分管副院长委托专人执行;采用电脑技术存取、处理、传递的

医院秘密由信息部门负责保密。

2、对于密级文件、资料和其他物品，必须采取以下保密措施:

(1)非经院长或分管院长批准，不得复制和摘抄;

(2)收发、传递和外出携带，由指定人员担任，并采取必要的安全措施;

3、不准在私人交往和通信中泄露医院秘密，不准在公共场所谈论医院秘密，不准通过其他方式传递医院秘密。

4、医院工作人员发现医院秘密已经泄露或者可能泄露时，应当立即采取补救措施并及时报告党政办;党政办接到报告，应立即作出处理。

(四)责任与处罚:

1、出现下列情况之一者，给予警告，并扣发50—500元:

(1)泄露医院秘密，尚未造成严重后果或经济损失的;

(2)违反本制度规定的`秘密内容的;

(3)已泄露医院秘密但采取补救措施的。

2、出现下列情况之一的，予以辞退并酌情赔偿经济损失，必要时追究其法律责任:

(1)故意或过失泄露医院秘密，造成严重后果或重大经济损失的;

(2)违反本保密制度规定，为他人窃取、刺探、收买或违章提供医院秘密的;

(3)利用职权强制他人违反保密规定的。

信息化安全管理制度 10

为了保证互联网网络与信息安全，维护国家安全和社会稳定，保障公民、法人和其他组织的合法权益，本单位在从事互联网信息服务业务期间严格执行如下措施：

一、遵守《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律法规的有关规定，依法从事互联网信息服务业务。

二、本公司所有工作人员必须保守国家机密的各项法律和规定，严格执行网络信息安全保密制度。

三、不得利用网络从事危害国家安全、泄露国家秘密等犯罪活动，不得制作、查询、复制和传播有碍社会治安的信息，如发现有害信息，按照有关规定及时处理，并报告通信管理局。

四、按照分层负责的原则，建立信息安全保障责任制，由领导分管信息安全保密的安全工作。并设立计算机信息系统安全责任人和安全管理员，负责系统管理维护，制定计算机信息系统的安全策略、风险防范。

五、不在网上传送密件，不泄露用户个人资料。

六、建立公共信息内容自动过滤系统和人工值班监控制度，用户上传的公共信息在本网站上网前，必须经过本网站工作人员的`人工审核后，方能上网发布。

七、因管理员对上网信息审查不严，出现严重问题，造成不良影响的，追究信息员的责任。若违反有关规定，严肃处理。

八、网站信息内容记录备份不少于60日，在国家有关机关依法查询时予以提供。

九、接受并配合国家有关部门、各级网络中心依法进行监督检查。

信息化安全管理制度 11

二、本公司所有工作人员必须保守国家机密的各项法律和规定，严格执行网络信息安全保密制度。

五、不在网上传送密件，不泄露用户个人资料。

六、建立公共信息内容自动过滤系统和人工值班监控制度，用户上传的'公共信息在本网站上网前，必须经过本网站工作人员的人工审核后，方能上网发布。

七、因管理员对上网信息审查不严，出现严重问题，造成不良影响的，追究信息员的责任。若违反有关规定，严肃处理。

八、网站信息内容记录备份不少于60日，在国家有关机关依法查询时予以提供。

九、接受并配合国家有关部门、各级网络中心依法进行监督检查。

信息化安全管理制度 12

为了进一步加强计算机信息网络的安全管理，保护青少年身心健康，净化我校校园文化环境秩序，规范我校计算机机房管理，根据公安厅和教育厅《关于加强学校计算机信息网络安全管理的通知》的有关精神，现对我校计算机机房的管理作出如下规定：

1、重视安全工作的思想教育，防患于未然。

2、遵守“教学仪器设备和实验室管理办法”，做好安全保卫工作。

3、凡进入机房的人员除须遵守校规校纪外，还必须遵守机房的各项管理规定，爱护机房内的所有财产，爱护仪器设备，未经管理人员许可不得随意使用，更不得损坏，如发现人为损坏将视情节按有关规定严肃处理。

4、机房内禁止吸烟，严禁明火。

5、工作人员必须熟悉计算机机房用电线路、性能及安全工作的有关规定。

6、机房使用的`用电线路必须符合安全要求，定期检查、检修。

7、杜绝黄色、迷信、反动软件，严禁登录黄色、迷信、反动网站，做好计算机病毒的防范工作。

8、工作人员须随时监测机器和网络状况，确保计算机和网络安全运转。

9、机房开放结束时，工作人员必须要关妥门窗，认真检查并切断每一台微机的电源和所有电器的电源，然后切断电源总开关。

信息化安全管理制度 13

一、工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在我院全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为我院卫生信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。

二、工作原则

(一)遵循标准，重点保护。遵循国家信息安全等级保护相关标准规范，结合卫生行业信息系统特点以及我院实际情况，优先保护重要卫生信息系统，优先满足重点信息安全需求。

(二)行业指导，明确责任。我院严格按照国家信息安全等级保护制度有关要求，贯彻落实本院卫生信息系统安全等级保护的指导和管理工作。按照上级要求，制定“谁主管、谁负责，谁运营、谁负责”的责任制度，落实信息安全责任。

(三)同步建设，动态完善。在信息系统规划设计与建设过程中，同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时，应当重新调整信息系统安全保护等级，及时完善安全保障措施。

三、工作机制

在分管院长、院办主任的领导下，由我院信息中心落实本院卫生信息安全等级保护工作，负责对我院卫生行业信息安全等级保护工作的组织协调、监督指导，积极开展信息安全等级保护工作。按照上级相关要求，我院建立信息安全等级保护工作联络员机制，设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准，掌握本院信息安全等级保护工作动态和总体情况，代表我院与卫生行政部门]以及信息安全等级保护管理部门进行日常联系和交流，协调落实本院信息安全等级保护工作。

四、工作任务

(一)定级备案

1.我院对本单位建设与运营的卫生信息系统进行自查，对未定级、定级不准的'信息系统，应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。国家信息安全等级保护制度将信息安全保护等级分为五级:就可以看到这种精美皮肤；2、在皮肤界面中选择自己喜欢的皮肤点开，点开后再点击下方的立即启用即可更换皮肤。)二级)信息系统，应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统，由卫生部报公安部备案:在各地运行、应用的分支系统，应当报属地公安机关备案。

(二)建设与整改。

1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统，应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。

2.根据信息系统安全保护现状分析结果，按照《信息安全技术信息系统安全等级保护基本要求》.《信息安全技术信息系统等级保护安全设计技术要求》等国家标准，制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。

3.本院应当按照信息系统安全建设整改方案，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障卫生信息系统安全。

(三)等级测评。

1.系统建设整改工作完成后，应当按照《信息安全等级保护管理办法》要求，从全国信息安全等级保护测评机构推荐目录中选择等级测评机构，对第三级以上(含第三级)卫生信息系统进行等级测评。

2.测评合格后，应当将测评报告报属地公安机关及卫生行政部门备案。

3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重

要部门的第二级信息系统，可参照上述要求进行等级测评。

(四)宣传培训。

1.我院信息中心对本院相关部门开展等级保护政策和标准规范培训，提高本院信息安全管理人员的技术能力和管理水平。

2.本院应当开展内部信息安全培训，提升全员信息安全意识，规范信息安全操作行为，提高信息安全保障能力。

(五)接受监督检查。

1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况，并督促部机关重要信息系统责任单位开展信息安全等级保护工作。

2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况，并督促本单位开展信息安全等级保护工作。

五、工作要求

(一)高度重视，加强领导。本院各部门要高度重视，充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。主要负责同志要负总责，分管负责同志要具体抓，明确职责与任务，突出重点，将信息安全等级保护工作列入重要议事8程和工作绩效考核指标，--级抓一级，层层抓落实。

(二)保障经费，加强监管。要建立经费投入机制，将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算，并加强对资金使用的监管。

(三)加强沟通，密切合作。信息中心高度重视医院信息安全等级保护管理工作，应当加强与各级卫生行政部门的沟通交流，建立协作机制，在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作，共同推进信息安全等级保护工作。

信息化安全管理制度 14

第一章：总则

第一条，为加强信息化安全规范化管理，有效提高信息化管理水平，防止失密、泄密时间的发生。根据有关文件规定，特制定本制度。

第二条，本制度所指信息化系统包括医院管理系统、办公自动化、妇幼卫生统计直报系统，***直报系统、儿童免疫规划直报系统等。

第三条，信息安全是指为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

第二章环境和设备

第四条机房安全

1、有服务器的单位要检录独立的机房。

2、机房应设置在独立的房间，环境相对安静的地段。

3、机房内门窗应增设防盗（防盗门、铁栅栏等）、防火（灭火器）措施。

4、未经网络管理员允许．任何人员不得进入机房，不得操作机房任何设备。

5、除网络服务器和联网设备外，工作人员离开机房时，必须关掉其它设备电源和照明电源。

6、严禁使用来历不明或无法确定其是否有病毒的存储介质。

第五条两个或两个以上专用网络（医院内部管理网、妇幼卫生统计直报系统）的单位，互联网与各个专用网络之间不能相通，必须专网专机管理。

第六条电脑实行专人专管，任何人不得在不经电脑使用人许可的情况下擅自动用他人电脑。如遇电脑使用人外出，则须在征得该电脑使用人所在的科室领导或相关领导的同意后方可使用。

第七条计算机名称、lP地址由网管中心统一登记管理，如需变更，由网管中心统一调配。

第八条PC机（个人使用计算机）应摆设在相对通风的环境，在不使用时，必须切断电源。

第九条开机时，应先开显示器再开主机：关机时，应在退出所有程序后，先关主机，再关显示器。下班时，应在确认电脑被关闭后，方可离开单位。

第十条更换电脑时，要做好文件的拷贝工作，同时在管理人员的协助下检查电脑各方面是否正常。

第十一条离职时，应保证电脑完好、程序正常、文件齐全，接手人在确认文件无误后方可完善手续。

第三章软件与网络

第十二条禁止在工作时间内利用电脑做与工作无关的事情，如网上聊天、浏览与工作内容无关的网站、玩电脑游戏等。禁止在电脑上安装任何游戏软件。

第十三条外来存储介质在本单位内计算机上使用时，必须进行杀毒处理后方可使用。

第十四条为防止恶意代码植入系统，预防计算机病毒感染．在收到不明来历的电子邮件时应注意不要随意打开，并立即予以删除。

第十五条上网用户不得利用网络危害国家安全、泄露国家机密，不得侵犯国家、社会、单位、集体的利益和公民合法权益，不得从事违法犯罪活动。

第十六条上网用户不得在任何网络上制作、复制和传播下列信息

（一）煽动抗拒、破坏宪法和法律、行政法规实施

（二）煽动颠覆国家政权推翻社会主义制度

（三）煽动分裂国家、破坏国家统一

（四）煽动民族仇恨、民族歧视，破坏民族团结

（五）捏造或者歪曲事实，散布谣言．扰乱社会秩序

(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪

（七）公然悔辱他人或者捏造事实诽谤他人

（八）损害形象和利益

（九）其他违反宪法和法律、

第十七条上网用户不得从事下列危害计算机信息网络安全的活动

（一）未经允许，对自己或他人的计算机网络功能进行删除、修改或者增加；

（二）未经允许，对自己或他人的`计算机信息存储、处理或者传输的数据和应用程序进行删除、修改或增加;

（四）其它危害计算机信息网络安全的行为。

第十九条计算机出现故障，需重新安装操作系统时，应通知管理人员进行安装，不得私自请电脑公司或外单位电脑人员进行安装，不得私自将计算机搬到电脑公司进行维修。

第四章数据加密和备份

第二十二条网络管理人员须随时做好本单位各类重要数据的备份工作，发生灾难性事件时能及时恢复系统数据。

第二十三条用户必须按自己的帐号、密码进入相应系统，不得盗用他人的帐号、密码。密码不得外泄，如发现可能外泄，应及时重设或申请更换；造成损失和危害的，追究其责任。网络特权服务用户不得泄露有关软硬件、网络授术细节及管理密码；所有人员必须保管好自己的密码，确保密码长度不少于8位、必须真有复杂性（含不重复的字母、数字及特殊符号）、不通用性、不易记性必须定期更新密码；使用密码时应确保旁人不能窥视；不要在软件使用时选自动记忆帐户密码功能；不要在任何地方使用任何方式谈论或书式记忆任何密码，未经批准不得将数据和软件拷贝带离本单位或从单位外带入数据输入到记算机中。

第五章人员管理

第二十四条信息管理人员必须是单位的正式员工。

第二十五条信息管理人员变换必须报批网管中心，网管中心批准后方可更换。

第二十六条信息管理人员变换后，必须将单位内所有重要计算机（服务器）密码重新进行设置。

第二十七条各单位应根据实际情况建立本单位信息化管理制度。

第二十八条各单位的信息化建设、管理工作纳人年终考核．院信息安全管理领导小组具体负责考核工作。第六章附则

第二十九条本制度由医院信息安全管理领导小组负责解释。第三十条本制度自发布之日起施行。

机房管理制度

1、必须注意环境卫生。禁止在机房内吃食物、抽烟、随地吐痰；对于意外或工作过程中弄污机房地板和其它物品的必须及时采取措施清理干净，保持机房无尘洁净环境。

2、必须注意个人卫生。工作人员仪表、穿着要整齐、谈吐文雅、举止大方。

3、机房用品要各归其位，不能艟意乱放。

4、机房应安排人员值日，负责机房的日常整理和行为督导。

5、进出机房按要求必须换鞋，雨具、鞋具等物品要按位摆放整齐。

6、注意检查机房的防晒、防水、防潮，维持机房环境通爽，注意天气对机房们影响，下雨时应及时主动检查和关闭窗户、检查去水通风等设施。

7、机房内部不应大声喧哗、注意噪音，音响音量控制、保持安静的工作环境

8、坚持每天下班之前将桌面收拾干净、物品摆放整齐。

二、机房保安制度

1、出入机房应注意锁好防盗门。对于有客人进出机房，机房相关的工作人员应负责该客人的安全防范工作。最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁好防盗装置。应主动拒绝陌生人进出机房。

2、工作人员、到访人员出入应登记。

3、外来人员进入必须有专门的工作人员全面负责其行为安全。

4、未经主管领导批准，禁止将机房相关的钥匙、密码透露给其他人员，同事有责任对信息保密。对于遗失物品的情况要即使上报，并积极主动采取措施保证机房安全。

5、机房人员对机房安全制度上的漏洞和不完善的地方有责任及时提出改善建议。

6、禁止带领与机房工作无关的人员进出机房。

7、绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。

8、出现机房盗窃、破门、火警、水浸、110报警等严重事件时，机房工作人员有义务以最快的速度和最短的事件到达现场，协助处理相关的事件。

三、机房用电安全制度

1、机房人员应学习常规的用电安全操作和知识，了解机房内部的供电、用电设施的操作规程。

2、机房人员应经常学习、掌握机房用电应急处理步骤、措施和要领。

3、机房应安排有专业资质的人员定期检查供电、用电设备、设施。

4、不得乱拉电线，应选用安全、有保证的供电、用电器材。

5、在真正接通设备电源之前必须先检查线路、接头是否安全连接以及设备是否已经就绪、人员是否已经具备安全保护。

6、严禁随意对设备断电、更改设备供电线路，严禁随意串接、并接、搭接各种供电线路。

7、如发现用电安全隐患，应即时采取措施解决，不能解决的必须及时向相关负责人员提出解决。

8、机房人员对跟人用电安全负责。外来人员需要用电的，必须得到机房管理人员允许，并使用安全和对机房设备影响最少的供电方式。

9、机房工作人员需要离开当前用电工作环境，应检查并保证工作环境的用电安全。

10、最后离开机房的工作人员，应检查所有用电设备，应关闭长时间带电运作可能会产生严重后果的用电设备。

11、在使用功率超过特定瓦数的用电设备前，必须得到上级主管批准，并在保证线路保险的基础上使用。

12、在危险性高的位置应张贴相应的安全操作方法、警示以及指引，实际操作时应严格执行。

13、在外部供电系统停电时，机房工作人员应全力配合完成停电应急工作。

14、应注意节约用电。

四、机房消防安全制度

1、机房工作人员应熟悉机房内部相仿安全操作和规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。

2、任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和谁被位置的，必须取得主管领导批准。工作人员更应保护消防设备不被损坏。

3、应定期进行消防演习、消防常识培训、消防设备使用培训。

4、如发现消防安全隐患，应即时采取措施解决，不能解决的应及时向相关负责人员提出解决。

5、应严格遵守张贴于相应位置的操作和安全警示及指引。

6、最后离开机房工作人员，应检查消防设备的工作状态，关闭将会带来消防隐患的设备，采取措施保证无人下的消防安全。

五、机房用水制度

1、禁止将供水管道和谁被安装在机房内。

2、应格遵守张贴于相应位置的安全操作、警示以及安全指引。

六、机房硬件设备安全使用制度

1、机房人员必须熟知机房设备的基本安全操作和规则。

2、应定期检查、整理硬件物理连接线路．定期检查硬件运作状志（如设备指示灯、仪表）．定期调阅硬件运作自检报告，从而及时了解硬件运作状态。

3、禁止随意搬动设备、随意在设备上进行安转、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。

4、禁止在服务器上进行试验性质的配置操作．需要对服务器进行配置，应在其它可进行试验的机器上调试通过并确认可行后，才能对服务器进行准确的配置。

5、对会影响到全局的硬件设备的更改、调试等操作应预先发布通知，并且应有充分的时间、方案、人员准备，才能进行硬件设备的更改。

6、对重大设备配置的更改，必须首先形成方案文件，经过讨论确认可行后，由具备资格的技术人员进行更改和调整，并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前，应对更改、升级、配置所带来的负面后果做号充分的准备，必要时需要先准备好后备配件和应急措施。

7、不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。未经上级允许，更不允许他人操作机房内部的设备，对于核心服务嚣和设备的调整配置，更需要小组人员的共同同意后才能进行。8、要注意和落实硬件设备的维护保养措施。

七、软件安全使用制度

1、必须定期检查软件的运行状况、定期调阅软件运行日志记录，进行数据和软件日志备份。

2、禁止在服务器上进行试验性质的软件调试，禁止在服务器随意安装软件。需要对服务器进行配置必须在其它可进行试验的机器上调试通过并确认可行后，才能对服务器进行准确的配置。

3、对会影响到全局的软件更改、调试等操作应先发布通知，并且应有充分的时间、方案、人员准备，才能进行软件配置的更改

4、对重大软件配置的更改，应先形成方案文件，经过讨论确认可行后，由具备资格的技术人员进行更改，并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前，应对更改、升级、配置所带来的负面后果做好充分的准备，必要时需要先备份原有软件系统和落实好应急措施。

5、不允许任何人员在服务器等核心设备上进行与工作范围无关的软件调试和操作。未经上级允许不允许带领、指示他人进入机房、对网络及软件环境进行更改和操作。

6、应严格遵守张贴于相应位置的安全操作、警示以及安全指引。

九、机房财产登记和保护制度

1、机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录，对于公共使用的物品和重要设备，必须建立一套较为完善的借取和归还制度进行管理。

2、机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品，在使用完毕后，应将物品归还并存放于原处，不应随意摆放。

3、对于使用过程中损坏、消耗、遗失的物品应汇报登记，并对责任人追究相关责任。

4、未经主管领导同意，不允许向他人外借或提供机房设备和物品。

信息化安全管理制度 15

第一条为加强网络安全和信息化重大事项的管理，及时掌握和评估网络安全和信息化重大事项有关情况，提高应对网络安全与信息化重大事项的能力，预防和减少网络安全与信息化重大事项造成的损失和危害，结合我校实际，制定本制度。

第二条全单位网络安全和信息化重大事项和情况报告管理工作坚持“统一领导、归口负责”的原则。

第三条单位信息化领导小组（以下简称领导小组）负责全单位网络安全和信息化重大事项和情况的报告管理工作。

1.单位各单位主要负责人负责本部门网络安全和信息化重大事项和情况的报告管理工作，并负责向领导小组报告有关工作。

2.网络安全重大事件是指严重影响到单位重点领域网络与信息系统的正常运行，出现业务中断、系统和信息破坏、数据篡改、信息失窃或泄密等事件，对单位稳定、社会稳定、公众利益造成不良影响和经济损失的事件。

3.信息化重大事项是指涉及智慧办公、信息基础设施、网络、数字资源、重点领域信息化、信息服务业等发展规划及专项资金使用、重大项目建设情况的事项。

第四条以下网络安全和信息化重大事项要及时向领导小组报告：

1.对领导小组决定事项、单位领导关于网络安全和信息化工作重要指示的落实情况。

2.需报请领导小组统筹协调和决策的重大问题。

3.各单位制定的涉及网络安全和信息化发展的规定和办法、重大规划、重要政策措施等。

4.各单位网络安全和信息化领导机构、工作机构的设立和重大调整等。

5.全单位信息化发展战略和中长期发展规划。

6.信息化相关领域专项规划、各单位信息化发展规划。

7.各单位年度信息化专项资金和项目的总体安排计划。

8.单位投资50万元以上的信息化项目，企业社会投资100万元以上，或服务业务覆盖5千人以上的信息化重大项目。

9.各单位认为应当向领导小组报告的其他重要事项和情况。

第五条出现以下重大网络安全事件时，在按原有渠道报告的同时报领导小组：

1.重要信息系统中断运行1小时、影响人数2万人以上。

2.导致经济损失超过10万元，造成严重损害和影响的。

3.泄露国家秘密信息和重要敏感信息，威胁国家安全和经济安全的事件。

4.意识形态安全领域发生影响较大的敏感问题或者管控措施出现重大问题的事件。

5.网络谣言及其他违法有害信息较大范围传播，危害政治安全和社会稳定的事件。

6.可能导致较大规模集会、示威、上访或群体性事件的网络煽动策划和勾连组织行为的事件。

7.其他影响国家安全、经济建设、社会稳定、单位稳定和公众利益的重大网络安全和信息化事件。

第六条发生重大网络安全事件后，涉事单位必须在第一时间内实施先期处置，按照职责和规定启动相关应急预案，控制事态发展。同时，应立即向单位信息化领导小组报告，并进行调查核实，保存相关证据。

第七条重大网络安全事件报告应包括：

（1）时间地点；

（2）简要经过；

（3）事件类型和性质；

（4）影响范围；

（5）危害和损失程度；

（6）初步原因分析和发展趋势判断；

（7）采取的处置措施和工作建议等。如事件需紧急处置，第6项内容可缓后再续报。网络安全事件结束后，提交完整的`事件报告。

第八条各单位参加涉及网络安全和信息化的国际、国内组织，举办涉及网络安全和信息化的国际、国内会议和重大国际、国内活动，参与制定或签署涉及网络安全和信息化的国际、国内、区域间和部门间规章、重要校内规则等，应及时报领导小组。

第九条各单位上报省委、省政府、市委、市政府和各厅（局）以上有关网络安全和信息化重大事项，须经单位党政办公室以及宣传、网络管理部门协调商议，报领导小组审定批准后方可报送。

第十条各单位加强网络空间治理、净化网上舆论的工作动态以及网上舆情监控、研判和应对工作情况等，及时报领导小组。报送上级单位的文件、工作、专报、动态、信息等，如内容涉及网络安全和信息化工作，应抄送领导小组。

第十一条报告网络安全和信息化重大事项和情况，应及时、客观、准确，做到早发现、早报告、早控制、早解决。领导小组将适时组织对各部门（二级学院）报送的重大事项和情况进行研究评估。

第十二条发生重大网络安全事件，有关责任部门责任人如有瞒报、缓报或漏报等失职情况，单位将视情节予以通报批评并追究相关人员的责任。构成犯罪的，由有关部门依法追究法律责任。

第十三条本制度由单位信息化领导小组办公室负责解释。

第十四条本制度自发布之日起执行。

信息化安全管理制度 16

根据总局《关于进一步加强产品质量安全风险信息管理工作的指导意见》（以下简称《意见》）和《关于加强食品安全风险信息管理工作方案（试行）》有关规定，结合分局工作实际，特制订本制度。

一、工作原则

以有效预防食品安全事件发生为目标，本着“早发现、早研判、早预警、早沟通、早报告、早处置”的原则，做到主动应对、及时反应、有效处置、全面控制，切实抓好食品安全风险信息管理工作。

二、工作机构

组长：

副组长：

成员：

三、工作制度

（一）风险信息监测制度

建立食品安全风险信息主动监测制度，做到“早发现”。

收集风险信息。分局要指定人员对国内外主要媒体网络、官方网站食品安全信息、境外和总局通报的信息进行收集整理；要通过下厂监管、专项检查、调查等，了解进出口食品安全风险信息，尤其是行业潜规则。对收集到的信息应当认真筛选分析，提出处理意见，及时报送。对需要采取处置措施的要同时实施，以防止事态进一步扩大。

分局办公室负责对食品安全风险信息的汇总和整理。

分局可以根据情况，组织有关人员对监管对象进行明查暗访，掌握食品安全风险信息。

（二）信息筛查和报送制度

对工作中发现的食品安全风险信息要做到“早报告”。

1（核准信息

分局要按照《意见》要求对工作中收集到的食品安全风险信息从速核准，确定信息来源、主要内容、风险危害程度、危害对象、社会影响（包括境内外媒体、公众关注程度）等，根据分析筛查结论，提出初步处理意见。属于一般性食品安全信息的按照工作职能依法处理，重要风险信息须按照《意见》要求报送。

2（筛查标准

（1）符合以下情形之一的，确定为一级风险信息——已经造成人员伤亡的违法添加物、不明化学物质或其他物质、特殊食品处理工艺（包括行业潜规则）；

——危害特别严重的突发食品安全事件，没有人员伤亡，但影响地域广泛（如波及或超出省级行政区域），受到境内外广泛关注，造成巨大经济损失，影响产业发展安全，甚至危及经济社会发展安全或社会安定；

——对进出口食品、农产品贸易造成特别严重影响的；——引发政治关注或外交事件的；

——需要作出一级响应的重大动植物***；

——需要总局或省级政府统一协调组织处置的。

（2）符合以下情形之一的，确定为二级风险信息

——违法添加物、不明化学物质或其他物质、特殊食品处理工艺（包括行业潜规则）；

——地域性突发食品安全事件，并呈扩大态势；——对进出口食品、农产品贸易造成影响的；

——有可能引发政治关注或政治事件的；

——引发社会关注的；

——重大动植物***；

——需要总局或省级政府关注的。

（3）符合以下情形之一的，确定为三级风险信息

——有可能引发二级风险信息所列情形的；

——尚不构成一、二级风险信息的；

——需要进一步研判的风险信息；

——需要引起系统内关注的信息。

3（报送要求

报送食品安全风险信息要遵循《意见》的各项要求。总的'报送原则是及时处置、及时报送，但报送信息要准确、详实，如：信息概述、信息来源、收集时间、产品种类、产品数（重）量、产品流向、生产企业（名称、地址、联络方式）、检测数据、判定标准、检测机构、处置情况及进一步处置意见等。分局要按照统一格式向市局领导小组办公室上报风险信息，但不限于格式中给出的内容。需要保密或暂时不宜公开的，要遵守保密规定。

分局对一、二级风险信息，要在第一时间同时用文字、***、网络（信息平台）等方式立即报送市局领导小组办公室。对三级风险信息要当天通过信息平台报送市局领导小组办公室。

（三）风险信息研判制度

对收到的食品安全风险信息要立即作出研判，立即组织核实，以准确定性。一般情况下，在形成研判结论的同时必须提出处置意见。

（四）风险信息处置制度

分局要按照《意见》规定的有关原则对食品安全风险信息“早处置”。原则上，确认风险信息的本级部门能处理的要立即处理，并上报处理结果。

（五）风险信息通报和报告制度

对研判定性的食品安全风险信息要按照统一格式通报有关部门。实行日零报告制度，并按周进行风险分析，有效跟踪动态，做到“早预警、早沟通”。

四、工作措施

为快速有效地处置重要食品安全风险信息（如食品安全事故、事件），分局要建立健全本辖区的风险信息管理制度和保障措施，重点做好以下工作：

（一）食品安全风险的应急处置原则是分级负责，急事先办，做到对食品安全风险早发现、早研判、早预警、早处置，有效避免和遏制涉及监管职能的重大食品安全事件，消减食品安全危害程度，最大限度地保护消费者的健康生命安全。

（二）对主动监测发现或研判确认的一级风险信息或重大问题须逐级、第一时间上报，同时各级部门都要采取相应措施控制危害。

（三）对一时难以准确研判或依法处置的，但社会关注度较高，已造成一定社会影响的食品安全风险信息，应当由职能部门发布预警信息或采取防范措施，有关情况立即报送市局食品安全风险信息领导小组办公室。此类风险信息一般不对外公开，如确需对外公布的，应当按照规定报批。

（四）涉及相关部门监管职责范围或一时不能明确监管范围的风险信息，应当主动和相关部门通报协调，特别是报告地方政府或牵头管理部门，但不得事先对外发布信息或意见。

（五）探索形成及时应对媒体和发布公告（消息）的工作模式。

（六）分局要建立风险信息管理值班制度。主管领导亲自带班，确保24小时无缝隙对接，并指定食品安全风险信息应急联络员，明确应急职守纪律，并配备必要的工作条件，包括专用联络***、笔记本电脑、无线上网卡、应急交通工具（或交通费）等。

（七）分局要建立风险信息档案管理制度，记录风险信息，并经主管领导审核后归档，有效期至少3年。

信息化安全管理制度 17

为进一步加强对学校安全工作的监管和指导，及时掌握学校安全管理工作方面的信息，以便对安全事故及时作出应急处理。特制订如下制度：

1、班内学生安全事故，班主任负责立即送医院治疗，并立即报告学校，同时告诉学生家长，学校视情节轻重上报上级领导；课堂发生安全事故，由任课教师按要求及时处理。

2、教职工发生事故，一般由学校主要领导负责解决，重大的必须上报上级主管部门。

3、充分发挥学校各部门的.作用，调动一切积极因素，加强安全宣传教育及其他实践活动，注意积累信息资料，及时报告学校，信息要及时、准确。

4、建立健全学校安全预警机制，制定突发事件应急预案，完善事故预防措施，事故发生后要立即启动应急预案，对伤亡人员实施救治。对学校发生的安全事故，要在第一时间按程序向教育局报告事故情况，做到报告及时，信息畅通，对隐瞒不报或拖延上报的，坚决按照有关规定严肃处理。

5、学校安全工作领导小组对信息要整理、登记，及时搜集整理，认真分析情报信息的内容，提高情报信息的质量，逐级上报治安情报信息。

信息化安全管理制度 18

为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。

本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案。

网络安全管理制度

第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。

第二条任何单位和个人不得从事下列危害公司网络安全的活动：

1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。

2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。

3、未经允许，对信息网络功能进行删除、修改或增加。

4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。

5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。

7、向其它非本单位用户透露公司网络登录用户名和密码。

8、其他危害信息网络安全的行为。

第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。

第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。

第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。

第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

信息系统安全保密制度

第一条、“信息系统安全保密”是一项常抓不懈的工作，每名系统管理员都必须提高信息安全保密意识，充分认识到信息安全保密的重要性及必要性。对重要系统的系统岗位员工进行信息系统安全保密培训。

第二条、实行信息发布责任追究制度，所有信息的发布必须按规定办理审核、审签手续，必须真实有效且符合中华人民共和国法规。涉及国家及公司机密的信息系统必须与内部网和互联网实施物理隔离，严格执行上网信息的审查制度和涉及国家秘密的信息不得在企业内网发布的规定，杜绝泄密事件的发生。凡发布虚假、反动、色情、泄密等内容，追究信息报送和审核者责任，对公司造成重大经济损失，将追究责任人相应的法律责任。

第三条、信息系统管理权限从安全级别上分为绝密、机密、秘密；从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户；从操作承载体上分为服务器（包括系统服务器、应用服务器和控制服务器）、工作终端、用户终端；从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作等。

第四条、所有信息系统的使用者和不同安全等级信息之间必须存在授权关系，并在新建信息系统开发建设阶段形成方案并加以设计，在软件系统中预留对应关系设置的功能，根据使用者岗位职务的变迁进行调整。

第五条、利用IT技术手段，对信息系统的硬件配置调整、软件参数修改严加控制。利用操作系统、数据库系统、应用系统所提供的安全机制，设置相应的安全参数，保证系统访问的安全；对于重要的计算机设备，要利用软件技术等手段防止员工擅自安装、卸载软件或改变软件系统配置，并定期对以上情况进行检查。

第六条、信息系统如需要委托专业机构进行系统运行和维护管理时，应严格审查其资质条件、市场剩余和信用状况等，并且与其签订正式的服务合同和保密协议。

第七条、所有信息系统服务器、工作终端、用户终端必须安装安全防病毒软件，对未安装防病毒软件的终端用户有权拒绝为其提供网络接入服务。

第八条、利用防火墙、路由器、入侵检测等网络设备，加强网络安全，严密防范来自互联网的黑客攻击和非法侵入。

第九条、对于通过互联网传输的涉密或关键业务数据，要采取必要的技术手段确保信息传递的保密性、准确性、完整性。

第十条、对于停止运行的废旧系统，应当做好系统中有价值及涉密信息的销毁、转移等善后工作。

第十一条、系统管理人员要遵守信息系统的各项管理制度，防止利用计算机舞弊和犯罪。

第十二条、对重要业务系统的访问建立用户管理制度，对于不同类别不同级别的各类管理及使用人员采取密码分级管理，设定密码有效期限，对密码存储采用非明文二次加密技术防止各类密码泄露事故的发生。

信息安全风险应急预案

一、总则

为加强公司信息安全风险源的预防管理，提高应急防范能力，保障网络系统、信息系统及信息机房的整体安全，促进公司安全生产稳步健康发展，制定本预案。

二、编制目的

依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神。确保公司信息网络系统安全运行，为公司整体安全形势稳步发展提供保障。

三、适用范围

本预案适用于各单位信息安全突发风险应急管理。

四、主要风险源

1、***

2、意外断电

3、重要数据丢失

4、网络系统大面积瘫痪

五、风险源辨识及评估

各单位应组织员工对风险源进行全面、系统的辨识和风险评估，并确保：危险源辨识前要进行相关知识的培训；辨识范围覆盖本单位的所有活动及区域；对危险源辨识和风险评估资料进行统计、分析、整理、归档；

5.1、***辨识及评估

5.1.1***辨识

（1）自然灾害引起的***

（2）强电线路短路引起的***

（3）杂物堆积引起的***

（4）温度过高引起的***。

（5）老鼠咬线引起的***。

5.1.2***风险评估

机房发生***可能导致工作人员人身受到伤害；信息网络设备受到损坏；网络系统大面积瘫痪；国家、集体财产受到损失。

5.2、意外断电辨识及评估

5.2.1意外断电辨识

（1）自然灾害引起的意外断电。

（2）短路跳闸引起的意外断电。

5.2.2意外断电风险评估

1、意外断电可能导致机房核心交换机、防火墙、汇聚交换机、数据库服务器、软件服务器、恒温设备等重要设备损坏或数据丢失；

2、意外断电可能导致烟雾报警系统、温度报警和断市电系统无法正常工作而带来的间接财产损失。

5.3、重要数据丢失辨识及评估

5.3.1重要数据丢失辨识

（1）意外断电引起的数据丢失。

（2）服务器故障引起的数据丢失。

（3）数据库损坏引起的.数据丢失。

5.3.2重要数据丢失风险评估

1、安全软件系统数据丢失可能导致安全生产监控类系统数据无法正常采集于传输，影响到矿井安全生产的正常进行。

2、数据库系统数据丢失可能导致经营管理类系统无法正常使用，影响公司相关部门经营管理工作和日常办公无法正常进行。

5.4、网络系统大面积瘫痪

5.4.1 网络系统大面积瘫痪辨识

（1）意外断电引起的核心交换机、防火墙损坏或故障导致网络系统大面积瘫痪。

（2）通信线路中断引起的网络系统大面积瘫痪

（3）服务器损坏或故障引起的大面积无法登录互联网。

5.4.2 网络系统大面积瘫痪风险评估

1、网络系统大面积瘫痪可能导致公司与生产矿井之间的信息传输中断，管理部门失去对矿井生产的安全监管，安全生产无法正常进行。

2、网络系统大面积瘫痪可能导致公司日常办公无法正常进行。

5.5、高空作业辨识及评估

5.5.1高空作业辨识

（1）日常高空维修可能造成人身伤害。

（2）工程高空施工可能造成人身伤害。

5.5.2高空作业风险评估

日常高空维修网络设备、打扫卫生和高空施工可能造成工作人员人身伤害和精神伤害，影响公司安全生产稳步发展。

六、安全风险应急预案及措施

根据各单位存在的主要风险源和风险评估，保障安全生产工作有序进行，制定本预案及措施。

6.1***应急预案及处置措施

6.1.1应急预案

（1）发生特大***时（包括机房、UPS、库房），值班人员应立即逃离***范围，启动对应的***应急预案和响应级别，拉响警报，向公司总调度室、本单位负责人、单位安监部门汇报，在确保人身安全的情况下，组织人员利用灭火器进行灭火；

如果火势过大，人员无法靠近时，应立即拨打火警119，求助消防部门进行灭火。

（2）发生重大***时（包括机房局部、UPS控制器、库房局部），值班人员应立即逃离***范围，启动对应的***应急预案，拉响警报，向公司调度室和本单位安监部门汇报，在确保人身安全的情况下，组织人员利用灭火器进行灭火，力争将财产损失降到最低。

（3）发生较大***时（包括消防通道、办公室）值班人员应启动对应的***应急预案，向公司总调度室及本单位安监部门汇报，在确保人身安全的情况下，组织人员利用灭火器进行灭火，避免或降低财产损失。

6.1.2处置措施

（1）***发生时，值班和工作人员应立即脱离***范围，确保人身安全。

（2）根据***大小确定***风险等级，并启动相应的响应等级。

（3）根据***风险等级向公司总调度室及本单位安监部门汇报***情况。

（4）火势过大无法控制时，应立即拨打火警119进行求助。

（5）在确保人身安全的情况下，组织人员利用灭火器进行灭火，避免***扩大，降低财产损失。

（6）尽最大可能搜集***发生的相关信息，做好记录，为事故处理提供依据。

（7）每月针对***诱发根源进行彻底检查（如易燃物品不能堆放、库房物品分类并整齐摆放等），预防***的发生。

6.2、意外断电应急预案及处置措施

6.2.1应急预案

发生自然灾害和短路引起的意外断电时，值班人员在确保人身安全的情况下，根据风险等级启动相应的响应等级，向本单位安监部门进行汇报，邀请电力维修人员进行断电故障排查，并组织技术人员对机房核心交换机、防火墙、汇聚交换机、数据库服务器、数据备份服务器、软件服务器、软件系统、烟雾报警、UPS温度监控、机房温度监控系统进行隐患排查，发现设备故障和数据丢失，应当进行及时处理和上报。

6.2.2处置措施

（1）发生意外断电时，在确保人身安全的情况下，值班人员应启动相应的响应等级。

（2）向本单位安监部门进行汇报。

（3）必须请专业电力维修人员进行故障排查与维修。

（4）搜集意外断电发生的信息并作好记录，为事故处理提供依据。

6.3、重要数据丢失应急预案及处置措施

6.3.1应急预案

（1）因意外断电引起重要数据丢失时，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和安监部门进行汇报，邀请专业电力维修人员进行故障排查，恢复供电正常，排查机房设备及数据情况，发现设备故障和数据丢失，立即组织相关技术人员进行恢复。

（2）因服务器故障引起数据丢失时，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和案件部门进行汇报，并组织技术人员进行服务器维修和数据恢复，如果服务器和数据无法维修和恢复时，应向本单位负责人汇报并外请专业人员进行维修，确保设备和数据安全。

（3）因数据库无法启动引起的数据丢失，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和案件部门进行汇报，并组织技术人员进行数据恢复，如果数据无法恢复，应向本单位负责人汇报并外请专业人员进行数据恢复，确保设数据安全。

6.3.2处置措施

（1）发生数据丢失时，值班人员应根据风险等级启动相应相应等级。

（2）值班人员向本单位安监部门汇报。

（3）组织技术人员对数据进行恢复。

（4）本单位技术人员无法恢复丢失数据时，应向本单位负责人汇报并外请专业人员进行数据恢复，确保数据安全。

（5）做好数据丢失与恢复过程的记录。

6.4、高空作业应急预案及处置措施

6.4.1应急预案

（1）在高空维修过程中发生人员坠落风险时，如果坠落人员处于清醒状态，应立即拨打120送往医院进行急救；

如果坠落人员处于昏迷状态，其他维修人员应当立即进行简单的急救（如将人平躺在地上，进行按压胸部、掐人中、人工呼吸等），同时拨打120急救***送往医院进行抢救，并向公司总调度室、本单位负责人及安监部门汇报。

（2）在高空施工过程中发生人员坠落风险时，如果坠落人员处于清醒状态，应立即拨打120送往医院进行急救；

6.4.2处置措施

（1）日常高空维修必须在确保人身安全的情况下进行，否则不能进行维修作业。

（2）在日常工作中设计到高空维修，维修人员一定要2人或2人以上进行维修。否则，维修人员可以拒绝维修工作。

（2）高空维修人员必须佩带安全绳索，并采用安全梯子进行高空作业。否则，不能进行高空维修作业。

（3）事故发生后要对事故的经过进行详细记录，为事故处理提供依据。

信息化安全管理制度 19

第一条、“信息系统平安保密”是一项常抓不懈的工作，每名系统管理员都必需提高信息安全保密意识，充分相识到信息安全保密的重要性及必要性。对重要系统的系统岗位员工进行信息系统平安保密培训。

第二条、实行信息发布责任追究制度，全部信息的发布必需按规定办理审核、审签手续，必需真实有效且符合中华人民共和国法规。涉及国家及公司机密的信息系统必需与内部网和互联网实施物理隔离，严格执行上网信息的审查制度和涉及国家隐私的信息不得在企业内网发布的规定，杜绝泄密事务的发生。凡发布虚假、反动、色情、泄密等内容，追究信息报送和审核者责任，对公司造成重大经济损失，将追究责任人相应的法律责任。

第三条、信息系统管理权限从平安级别上分为绝密、机密、隐私；从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特别用户；从操作承载体上分为服务器（包括系统服务器、应用服务器和限制服务器）、工作终端、用户终端；从设定内容上分为完全限制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作等。

第四条、全部信息系统的运用者和不同平安等级信息之间必需存在授权关系，并在新建信息系统开发建设阶段形成方案并加以设计，在软件系统中预留对应关系设置的功能，依据运用者岗位职务的变迁进行调整。

第五条、利用IT技术手段，对信息系统的硬件配置调整、软件参数修改严加限制。利用操作系统、数据库系统、应用系统所供应的平安机制，设置相应的平安参数，保证系统访问的平安；对于重要的'计算机设备，要利用软件技术等手段防止员工擅自安装、卸载软件或变更软件系统配置，并定期对以上状况进行检查。

第六条、信息系统如须要托付专业机构进行系统运行和维护管理时，应严格审查其资质条件、市场剩余和信用状况等，并且与其签订正式的服务合同和保密协议。

第七条、全部信息系统服务器、工作终端、用户终端必需安装平安防病毒软件，对未安装防病毒软件的终端用户有权拒绝为其供应网络接入服务。

第八条、利用防火墙、路由器、入侵检测等网络设备，加强网络平安，严密防范来自互联网的黑客攻击和非法侵入。

第九条、对于通过互联网传输的涉密或关键业务数据，要实行必要的技术手段确保信息传递的保密性、精确性、完整性。

第十条、对于停止运行的废旧系统，应当做好系统中有价值及涉密信息的销毁、转移等善后工作。

第十一条、系统管理人员要遵守信息系统的各项管理制度，防止利用计算机舞弊和犯罪。

第十二条、对重要业务系统的访问建立用户管理制度，对于不同类别不同级别的各类管理及运用人员实行密码分级管理，设定密码有效期限，对密码存储采纳非明文二次加密技术防止各类密码泄露事故的发生。

信息化安全管理制度 20

一、信息系统安全包括：软件安全和硬件网络安全两部分。

二、网络信息办公室人员必须采取有效的方法和技术，防止信息系统数据的丢失、破坏和失密；硬件破坏及失效等灾难性故障。

三、对HIS系统用户的访问模块、访问权限由院长提出后，由网络信息办公室人员给予配置，以后变更必须报批后才能更改，网络信息办公室做好变更日志存档。

四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由网络信息办公室人员监督检查更换新的密码。

五、网络信息办公室人员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生。

六、网络系统所有设备的配置、安装、调试必须由网络信息办公室人负责，其他人员不得随意拆卸和移动。

七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止其他人员进行与系统操作无关的工作。

八、严禁自行安装软件，特别是游戏软件，禁止在工作用电脑上打游戏。九、所有进入网络的光盘、Ｕ盘等其他存贮介质，必须经过网络信息办公室负责人同意并查毒，未经查毒的.存贮介质绝对禁止上网使用，对造成“病毒"蔓延的有关人员，将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。

十、在医院还没有有效解决网络安全（未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机）的情况下，内外网独立运行，所有终端内外网不能混接。

十一、内网用户所有文件传递，不得利用光盘和Ｕ盘等存贮介质进行拷贝。十二、保持计算机硬件网络设备清洁卫生，做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。

十三、网络信息办公室人员有权监督和制止一切违反安全管理的行为。

十四、信息系统故障应急预案：

1、对网络故障的判断：当网络系统终端发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，要立即向网络信息办公室汇报，网络信息办公室工作人员对科室提出的上述问题必须重视，经核实后给予科室反馈信息。网络信息办公室负责人应召集有关人员及时进行讨论，如果故障原因明确，可以立刻恢复工作的，应立即恢复工作；如故障原因不明确、情况严重不能在短期内排除的，应立即报告院领导，在网络不能运转的情况下由机关协调全院工作以保障医疗工作的正常运转。

2、网络故障分为三类：

（1）一类故障：服务器不能工作；光纤损坏；主服务器数据丢失；备份盘损坏；服务器工作不稳定；局部网络不通；数据被人删改；重点终端故障；规律性的整体、局部软、硬件故障。

（2）二类故障：单一终端软、硬件故障；单一患者信息丢失；偶然性的数据处理错误；某些科室违反工作流程要求。

（3）三类故障：各终端由于不熟练或使用不当造成的错误。

信息化安全管理制度 21

第一节总则

1、为加强医院信息技术外包服务的安全管理，保证医院信息系统运行环境的稳定，特制定本制度。

2、本制度所称信息技术外包服务，是指医院以签订合同的方式，托付担当信息技术服务且非本医院所属的专业机构供应的信息技术服务，主要包括信息技术询问服务、运行维护服务、技术培训及其它相关信息化建设服务等。

3、安全管理是以平安为目的，进行有关安全工作的方针、决策、安排、组织、指挥、协调、限制等职能，合理有效地运用人力、财力、物力、时间和信息，为达到预定的平安防范而进行的各种活动的总和，称为安全管理。

4、外包服务安全管理遵循关于平安的全部商业准则及适当的外部法律、法规。

5、外包服务包括信息技术询问服务、运行维护服务、技术培训等。

6、询问服务：