醫(yī)院信息化制度匯編

　目錄 信息系統(tǒng)安全總體方針 ......................................................................................... 1 信息系統(tǒng)安全管理策略 ......................................................................................... 4 信息安全檢查管理辦法 ....................................................................................... 14 信息安全違章行為責(zé)任追究辦法 ........................................................................ 18 安全教育和培訓(xùn)管理辦法 .................................................................................... 23 外來(lái)人員安全訪問(wèn)管理辦法 ................................................................................ 26 信息系統(tǒng)建設(shè)項(xiàng)目管理辦法 ................................................................................ 29 軟件開(kāi)發(fā)管理辦法 ............................................................................................... 38 辦公區(qū)環(huán)境與安全管理辦法 ................................................................................ 48 中心機(jī)房運(yùn)行管理辦法 ....................................................................................... 52 信息分類與標(biāo)識(shí)管理辦法 .................................................................................... 57 信息系統(tǒng)資產(chǎn)管理辦法 ....................................................................................... 62 介質(zhì)安全管理辦法 ............................................................................................... 65 設(shè)備安全管理辦法 ............................................................................................... 68 網(wǎng)絡(luò)安全管理辦法 ............................................................................................... 71 信息系統(tǒng)安全管理辦法 ....................................................................................... 74 惡意代碼防范管理辦法 ....................................................................................... 83 信息系統(tǒng)密碼管理辦法 ....................................................................................... 86 信息系統(tǒng)變更管理辦法 ....................................................................................... 92 數(shù)據(jù)備份與恢復(fù)管理辦法 ................................................................................... 102 信息安全事件報(bào)告管理辦法 ............................................................................... 110 信息安全突發(fā)事件應(yīng)急預(yù)案 ............................................................................... 114

　信息系統(tǒng)安全總體方針 第一章

　總則

　第一條

　為加強(qiáng)和規(guī)范**縣**醫(yī)院信息安全工作，提高信息安全整體防護(hù)水平，實(shí)現(xiàn)信息系統(tǒng)的安全管控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，制定本方針。

　第二條

　本方針為**縣**醫(yī)院信息安全管理提供一個(gè)總體性架構(gòu)文件，指導(dǎo)**縣**醫(yī)院信息安全管理體系建設(shè)，以實(shí)現(xiàn)統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，保障網(wǎng)絡(luò)暢通和信息系統(tǒng)的正常運(yùn)行。

　第三條

　本方針適用于**縣**醫(yī)院信息系統(tǒng)資產(chǎn)和信息安全人員的安全管理，適用于指導(dǎo)**縣**醫(yī)院信息安全策略的制定、安全方案的規(guī)劃、安全建設(shè)的實(shí)施和安全管理措施的選擇。

　第二章

　組織機(jī)構(gòu)與職責(zé)

　第四條

　**縣**醫(yī)院信息化建設(shè)領(lǐng)導(dǎo)小組為**縣**醫(yī)院信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，領(lǐng)導(dǎo)小組下設(shè)辦公室，由信息科負(fù)責(zé)信息安全具體工作。**縣**醫(yī)院其他部門(mén)主要負(fù)責(zé)人是落實(shí)信息安全管理制度的第一責(zé)任人。

　第五條

　**縣**醫(yī)院信息化建設(shè)領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)籌領(lǐng)導(dǎo)**縣**醫(yī)院信息安全工作，指導(dǎo)信息科負(fù)責(zé)的重大的信息安全工作。

　第三章

　信息安全體系框架和目標(biāo)

　第六條

　**縣**醫(yī)院信息安全體系框架的組成是安全組織、安全策略、安全技術(shù)和安全運(yùn)作，四大組成部分協(xié)同構(gòu)建、完成和實(shí)現(xiàn)**縣**醫(yī)院信息安全工作和目標(biāo)。

　第七條

�。ㄒ唬┬畔�安全組織工作目標(biāo)是建立健全的安全組織，加強(qiáng)人員的安全管理，為信息安全工作提供組織保障。

�。ǘ�）信息安全策略工作目標(biāo)是制定完善的信息安全管理制度和技術(shù)規(guī)范，并確保其有效發(fā)布、執(zhí)行和更新，規(guī)范**縣**醫(yī)院信息安全管理工作。

�。ㄈ�）信息安全技術(shù)目標(biāo)是采用適當(dāng)?shù)募夹g(shù)手段，加強(qiáng)業(yè)務(wù)和支撐系統(tǒng)的安全防護(hù)，為信息安全工作提供技術(shù)工具支撐。

�。ㄋ模┬畔�安全運(yùn)作目標(biāo)是加強(qiáng)安全工作的運(yùn)作管理，維護(hù)業(yè)務(wù)和支撐系統(tǒng)的安全運(yùn)行，及時(shí)處理安全問(wèn)題，為信息安全工作提供運(yùn)行保障。

　第四章

　信息安全建設(shè)原則和目標(biāo)

　第八條

　**縣**醫(yī)院信息安全工作的原則是：滿足和推動(dòng)服務(wù)業(yè)務(wù)發(fā)展，信息系統(tǒng)安全架構(gòu)完整、統(tǒng)一，數(shù)據(jù)集中、信息共享，控制成本、提高工作效率，利用國(guó)家標(biāo)準(zhǔn)規(guī)范**縣**醫(yī)院管理。

　第九條

　**縣**醫(yī)院信息安全工作的目標(biāo)是：通過(guò)建立和完善信息安全的策略體系、組織體系、技術(shù)體系和運(yùn)作體系，保障日常工作的開(kāi)展和各信息系統(tǒng)的連續(xù)正常穩(wěn)定運(yùn)行，維護(hù)信息系

　統(tǒng)的數(shù)據(jù)安全，促進(jìn)**縣**醫(yī)院信息化工作健康發(fā)展。

　第五章

　附則

　第十條

　本文件由信息科負(fù)責(zé)解釋與修訂。

　信息系統(tǒng)安全管理策略 第一章

　總則

　第一條 本策略為**縣**醫(yī)院各項(xiàng)信息安全工作提供依據(jù)和指導(dǎo)。

　第二條**縣**醫(yī)院信息安全工作由信息化建設(shè)領(lǐng)導(dǎo)小組牽頭，信息科具體組織，各部門(mén)分塊負(fù)責(zé)，全員參與，專人管理。

　第三條**縣**醫(yī)院信息安全工作以風(fēng)險(xiǎn)管理為基礎(chǔ)，在安全、效率和成本之間始終堅(jiān)持“安全第一”的原則。

　第二章

　信息安全組織及職責(zé)

　第四條**縣**醫(yī)院信息化建設(shè)領(lǐng)導(dǎo)小組 （一）統(tǒng)籌領(lǐng)導(dǎo)**縣**醫(yī)院信息安全工作，指導(dǎo)信息科負(fù)責(zé)的重大的信息安全工作； （二）審查和核準(zhǔn)信息安全策略及制度； （三）審核批準(zhǔn)重大的信息安全活動(dòng)； （四）審核批準(zhǔn)對(duì)信息安全事故的處置意見(jiàn)。

　第五條信息科 （一）負(fù)責(zé)組織**縣**醫(yī)院信息安全工作； （二）負(fù)責(zé)制定**縣**醫(yī)院信息安全管理制度、技術(shù)規(guī)定、應(yīng)急預(yù)案等，并督促執(zhí)行；

�。ㄈ�）負(fù)責(zé)對(duì)**縣**醫(yī)院內(nèi)各系統(tǒng)安全的檢查和防護(hù)，及時(shí)處置安全風(fēng)險(xiǎn)； （四）負(fù)責(zé)對(duì)計(jì)算機(jī)病毒感染的預(yù)防、檢測(cè)和清除，定期維護(hù)計(jì)算機(jī)軟件和數(shù)據(jù)、對(duì)重要信息定期進(jìn)行檢查和備份； （五）負(fù)責(zé)信息安全事故的處置； （六）負(fù)責(zé)組織信息安全培訓(xùn)和宣傳。

　第六條

　信息安全責(zé)任 **縣**醫(yī)院其他部門(mén)主要負(fù)責(zé)人是信息安全第一責(zé)任人，負(fù)責(zé)本部門(mén)所有與信息安全相關(guān)的活動(dòng)。其他部門(mén)信息安全聯(lián)絡(luò)員負(fù)責(zé)配合信息安全相關(guān)的檢查、管理、上報(bào)及其他需協(xié)調(diào)的工作。

　第七條信息科必須與接觸**縣**醫(yī)院敏感信息和核心技術(shù)資料的第三方簽署保密協(xié)議，并與在**縣**醫(yī)院工作的第三方人員簽署個(gè)人保密協(xié)議。

　第三章

　安全風(fēng)險(xiǎn)管理

　第八條

　定期對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)等進(jìn)行漏洞識(shí)別與分析，對(duì)系統(tǒng)中所存在的高風(fēng)險(xiǎn)漏洞按照流程進(jìn)行處置。

　第九條

　每年至少進(jìn)行一次全面的風(fēng)險(xiǎn)評(píng)估，以確定是否存在新的威脅或薄弱點(diǎn)，并分析是否需要增加新的安全控制措施。

　第十條 當(dāng)發(fā)生以下情況時(shí)需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估工作：

　（一）當(dāng)發(fā)生重大信息安全事件時(shí)； （二）當(dāng)信息系統(tǒng)發(fā)生重大變更時(shí)； （三）信息化建設(shè)領(lǐng)導(dǎo)小組確定必要時(shí)。

　第十一條 針對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果制定風(fēng)險(xiǎn)控制措施及實(shí)施計(jì)劃。風(fēng)險(xiǎn)整改后，應(yīng)再次進(jìn)行評(píng)估，以確保風(fēng)險(xiǎn)得到正確規(guī)避。

　第四章

　資產(chǎn)安全管理

　第十二條 信息資產(chǎn)是指有業(yè)務(wù)價(jià)值的實(shí)物或者虛擬的事物。

　第十三條

　各部門(mén)應(yīng)識(shí)別與信息生命周期有關(guān)的資產(chǎn)，形成資產(chǎn)清單，及時(shí)更新，并指定資產(chǎn)所有人，資產(chǎn)所有人負(fù)責(zé)資產(chǎn)的維護(hù)與安全，對(duì)資產(chǎn)進(jìn)行安全等級(jí)劃分。

　第十四條

　資產(chǎn)管理 （一）對(duì)所管理的資產(chǎn)必須明確說(shuō)明使用、發(fā)布、復(fù)制、存儲(chǔ)、傳輸、銷(xiāo)毀的過(guò)程并記錄； （二）資產(chǎn)所有人負(fù)責(zé)信息的授權(quán)，資產(chǎn)只能授權(quán)給工作必須的人員； （三）信息的獲取應(yīng)該遵照工作需要原則、受控審批的原則，嚴(yán)禁未經(jīng)批準(zhǔn)的私下獲取行為；在對(duì)外提供任何可能涉及**縣**醫(yī)院信息的資料、數(shù)據(jù)、信息之前，不管提供的對(duì)象是上級(jí)管理部門(mén)，還是第三方，都必須事先經(jīng)過(guò)資產(chǎn)所有人的審批許可； （四）未經(jīng)批準(zhǔn)，嚴(yán)禁泄露信息系統(tǒng)的安全控制機(jī)制。對(duì)外公布的信息必須經(jīng)過(guò)審批，不得在公開(kāi)媒體上發(fā)布、談?wù)摵蛡鞑?*縣**醫(yī)院的數(shù)據(jù)和信息； （五）必須采用**縣**醫(yī)院批準(zhǔn)的銷(xiāo)毀方式銷(xiāo)毀信息。

　第五章

　人員安全管理

　第十五條 聘用條款和保密協(xié)議

�。ㄒ唬┬畔⒖破赣萌藛T的聘用條款應(yīng)明確信息安全責(zé)任； （二）所有信息安全相關(guān)人員需與**縣**醫(yī)院簽訂保密協(xié)議及崗位責(zé)任協(xié)議，明確各崗位安全職責(zé)。

　第十六條

　人員審查 （一）對(duì)相關(guān)信息化供應(yīng)商以及工作人員應(yīng)按照相關(guān)法律法規(guī)和對(duì)應(yīng)的業(yè)務(wù)要求進(jìn)行安全資格審查； （二）必須對(duì)進(jìn)入關(guān)鍵崗位的職工進(jìn)行資格審查和技能考核。

　第十七條 定期組織干部職工以及相關(guān)第三方人員學(xué)習(xí)信息安全知識(shí)，進(jìn)行安全意識(shí)、安全態(tài)勢(shì)培訓(xùn)。

　第十八條

　人員離職時(shí)應(yīng)及時(shí)收回所有涉及**縣**醫(yī)院業(yè)務(wù)內(nèi)容的資料、數(shù)據(jù)、信息，立即取消所有訪問(wèn)信息系統(tǒng)的權(quán)限。

　第十九條

　人員調(diào)離其他單位，需提交調(diào)離申請(qǐng)，經(jīng)相關(guān)領(lǐng)導(dǎo)審批后進(jìn)行工作交接，并對(duì)**縣**醫(yī)院有關(guān)所有信息進(jìn)行保密，如若發(fā)現(xiàn)泄密，需承擔(dān)相關(guān)的法律責(zé)任。

　第六章

　物理和環(huán)境安全

　第二十條

　場(chǎng)地安全 （一）信息科應(yīng)根據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)以及工作性質(zhì)劃分相應(yīng)的安全級(jí)別，并建立相應(yīng)的準(zhǔn)入控制措施； （二）所有受控區(qū)域必須指定信息安全管理責(zé)任人。

�。ㄈ�）應(yīng)建立外來(lái)人員訪問(wèn)機(jī)制，確保只有授權(quán)人員才允許進(jìn)入受控區(qū)域。

　（四）應(yīng)建立受控區(qū)域安全操作規(guī)程，需要避免在受控區(qū)域進(jìn)行不受監(jiān)督的工作。

　第二十一條

　設(shè)備安全 （一）將設(shè)備放置到相應(yīng)級(jí)別控制區(qū)域； （二）建立防盜、報(bào)警、環(huán)境監(jiān)控等保護(hù)措施； （三）應(yīng)保護(hù)設(shè)備使其免于支持性設(shè)施（電、溫濕度、通信）失效而引起設(shè)備故障。

�。ㄋ模┎捎脤�業(yè)技術(shù)人員對(duì)設(shè)備進(jìn)行維護(hù)，確保其持續(xù)的可用性和完整性。

　（五）設(shè)備、信息或軟件在授權(quán)之前不宜帶出受控區(qū)域。

　第二十二條

　環(huán)境安全 （一）辦公室環(huán)境需滿足正常的保密要求。

　（二）辦公室照明需滿足目視及攝像頭觀測(cè)照度清晰要求。

　第七章

　網(wǎng)絡(luò)通信安全管理

　第二十三條

　通過(guò)物理分離、防火墻、上網(wǎng)行為控制設(shè)備、VLAN 劃分進(jìn)行內(nèi)外網(wǎng)的物理和邏輯劃分，建立網(wǎng)絡(luò)安全區(qū)域，明確安全邊界，并進(jìn)行網(wǎng)絡(luò)訪問(wèn)行為限制和監(jiān)控。

　第二十四條

　網(wǎng)絡(luò)設(shè)備 （一）網(wǎng)絡(luò)設(shè)備的安裝、配置、變更、撤銷(xiāo)等操作必須經(jīng)過(guò)信息科相關(guān)領(lǐng)導(dǎo)審批； （二）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、IP 地址等信息未經(jīng)授權(quán)，嚴(yán)禁泄露； （三）網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄操作應(yīng)限定在指定網(wǎng)段范圍內(nèi)。

　第二十五條

　所有與**縣**醫(yī)院的網(wǎng)絡(luò)進(jìn)行連接都需要經(jīng)過(guò)信息化建設(shè)領(lǐng)導(dǎo)小組的批準(zhǔn)；所有與**縣**醫(yī)院外部網(wǎng)絡(luò)相連的

　出入口處必須設(shè)立防火墻；通過(guò)接入服務(wù)器接入**縣**醫(yī)院內(nèi)部網(wǎng)絡(luò)時(shí)，必須經(jīng)過(guò)認(rèn)證。與**縣**醫(yī)院外部網(wǎng)絡(luò)相連接的系統(tǒng)必須有專人負(fù)責(zé)管理。

　第八章

　操作安全管理

　第二十六條

　運(yùn)作流程 （一）必須明確并遵循信息系統(tǒng)運(yùn)作的變更流程； （二）必須明確并遵循安全問(wèn)題處理流程； （三）信息系統(tǒng)的生產(chǎn)環(huán)境和開(kāi)發(fā)測(cè)試環(huán)境需要分離； （四）系統(tǒng)的超級(jí)管理權(quán)限應(yīng)采取雙人控制，互相制衡。

　第二十七條

　惡意軟件的防護(hù) （一）實(shí)施惡意軟件的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施； （二）**縣**醫(yī)院的計(jì)算機(jī)系統(tǒng)都必須安裝、運(yùn)行單位統(tǒng)一部署的防病毒軟件，并及時(shí)升級(jí)。未經(jīng)批準(zhǔn)，不能安裝其它的防病毒軟件； （三）接收和發(fā)布信息時(shí)須進(jìn)行病毒檢測(cè)； （四）服務(wù)器必須實(shí)時(shí)運(yùn)行防病毒軟件； （五）定期對(duì)**縣**醫(yī)院的聯(lián)網(wǎng)辦公設(shè)備進(jìn)行掃描，及時(shí)發(fā)現(xiàn)漏洞并修復(fù)。

　第二十八條

　信息系統(tǒng)管理 （一）建立備份策略，按照策略的要求，定期備份和測(cè)試信息、軟件及系統(tǒng)。

�。ǘ�）對(duì)系統(tǒng)操作人員的活動(dòng)進(jìn)行日志記錄； （三）定期檢查和處理系統(tǒng)日志；

　（四）對(duì)一些重要的信息系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控； （五）對(duì)組織內(nèi)部的辦公設(shè)施進(jìn)行時(shí)鐘同步； （六）非正版軟件不能安裝。

　第九章

　訪問(wèn)控制

　第二十九條

　用戶訪問(wèn)管理 （一）帳戶開(kāi)戶 1.根據(jù)工作相關(guān)性原則并經(jīng)過(guò)審批后為個(gè)人分配權(quán)限； 2.建立帳戶開(kāi)戶和銷(xiāo)戶的閉環(huán)流程，控制用戶對(duì)系統(tǒng)的訪問(wèn)權(quán)限； 3.含有保密信息的系統(tǒng)禁止建立公用帳戶； 4.用戶的崗位或職責(zé)發(fā)生變化時(shí)，應(yīng)立即變更或取消相應(yīng)的訪問(wèn)權(quán)限； 5.對(duì)分配的權(quán)限必須記錄和進(jìn)行維護(hù)。

�。ǘ�）口令管理 1.口令的管理責(zé)任人為賬戶的使用者； 2.口令的設(shè)置要遵循**縣**醫(yī)院有關(guān)規(guī)定。

�。ㄈ�）對(duì)用戶訪問(wèn)權(quán)限進(jìn)行定期檢查； （四）用戶責(zé)任 1.用戶應(yīng)采取方式保證口令安全； 2.不得共享個(gè)人的口令； 3.定期更改口令。

　第三十條操作系統(tǒng)訪問(wèn)控制 （一）嚴(yán)格控制操作系統(tǒng)管理員對(duì)系統(tǒng)文件和業(yè)務(wù)數(shù)據(jù)的操

　作權(quán)限； （二）根據(jù)工作相關(guān)性原則授予用戶相應(yīng)權(quán)限； （三）系統(tǒng)建立的日志必須滿足審計(jì)要求，系統(tǒng)日志必須安全存放，防止被非授權(quán)的訪問(wèn)； （四）必須及時(shí)安裝系統(tǒng)安全補(bǔ)丁； （五）關(guān)閉所有系統(tǒng)不需要的系統(tǒng)服務(wù)； （六）服務(wù)器的密碼文件須加密存放； （七）定期修改用戶口令。

　第三十一條 應(yīng)用系統(tǒng)訪問(wèn)控制 （一）根據(jù)業(yè)務(wù)訪問(wèn)控制策略對(duì)用戶嚴(yán)格授權(quán)； （二）嚴(yán)格限制業(yè)務(wù)人員越過(guò)應(yīng)用程序?qū)�后臺(tái)數(shù)據(jù)庫(kù)或操作系統(tǒng)直接訪問(wèn)； （三）建立和維護(hù)應(yīng)用系統(tǒng)的用戶權(quán)限表； （四）刪除所有系統(tǒng)上不使用的帳號(hào)。

　第十章

　運(yùn)行維護(hù)安全管理

　第三十二條

　建立日常維護(hù)相關(guān)操作規(guī)程和規(guī)范手冊(cè)，規(guī)范介質(zhì)管理、賬號(hào)口令管理、補(bǔ)丁管理、防病毒管理、服務(wù)器運(yùn)行管理等日常運(yùn)行維護(hù)操作。

　第十一章

　系統(tǒng)開(kāi)發(fā)

　第三十三條

　確保安全貫穿系統(tǒng)整個(gè)生命周期的各個(gè)階段。

　第三十四條

　系統(tǒng)的規(guī)劃設(shè)計(jì)階段必須做安全需求分析、總體安全設(shè)計(jì)、安全建設(shè)規(guī)劃。

　第三十五條

　系統(tǒng)開(kāi)發(fā)策略

�。ㄒ唬┙�立并遵循安全開(kāi)發(fā)標(biāo)準(zhǔn)； （二）、進(jìn)行風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理，確定系統(tǒng)安全控制機(jī)制； （三）操作人員只保留可執(zhí)行代碼； （四）程序源代碼盡可能不要保留在運(yùn)行系統(tǒng)上； （五）在系統(tǒng)發(fā)布前，應(yīng)進(jìn)行安全測(cè)試。

　第三十六條

　加密策略 （一）加密算法必須是經(jīng)過(guò)政府批準(zhǔn)的或符合業(yè)界標(biāo)準(zhǔn)； （二）密匙必須有明確的管理人員。

�。ㄈ�）加密的數(shù)據(jù)和口令須分開(kāi)傳遞； （四）使用加密保護(hù)敏感數(shù)據(jù)，明確密鑰管理員的職責(zé)； （五）密鑰產(chǎn)生、分發(fā)、存儲(chǔ)的相關(guān)信息必須防止泄露給未授權(quán)的人員，當(dāng)這些信息不再需要時(shí)，必須采用規(guī)定的方式予以銷(xiāo)毀。

　第十二章

　信息安全事件管理

　第三十七條

　各部門(mén)應(yīng)了解信息安全事件管理目標(biāo)，熟悉信息安全應(yīng)急響應(yīng)流程，確保能快速、有效和有序地響應(yīng)信息安全事件。

　第三十八條

　各部門(mén)相關(guān)人員應(yīng)盡可能早的將信息安全事件通告給部門(mén)負(fù)責(zé)人，信息科根據(jù)安全事件的類型和級(jí)別定義判斷安全事件，根據(jù)安全事件處理流程進(jìn)行處理和匯報(bào)。

　第三十九條

　信息科根據(jù)信息安全事件預(yù)案向信息化建設(shè)領(lǐng)導(dǎo)小組提出應(yīng)急恢復(fù)流程的啟動(dòng)申請(qǐng)，經(jīng)批準(zhǔn)后，按照應(yīng)急恢復(fù)流程處理。

　第十三章

　應(yīng)急響應(yīng)管理

　第四十條

　建立統(tǒng)一的應(yīng)急預(yù)案框架，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。

　第四十一條

　從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。

　第四十二條

　應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期。

　第十四章

　信息安全通報(bào)機(jī)制

　第四十三條

　**縣**醫(yī)院信息科負(fù)責(zé)組織信息安全信息通報(bào)工作，必要時(shí)，向**縣**醫(yī)院各部門(mén)通報(bào)信息安全工作情況以及安全預(yù)警和病毒攻擊等信息。

　第四十四條

　各部門(mén)信息安全聯(lián)絡(luò)員負(fù)責(zé)收集和反饋本部門(mén)信息安全信息，并向信息科報(bào)送。

　第四十五條

　將信息安全通報(bào)作為信息安全工作的重要環(huán)節(jié)。不能出現(xiàn)瞞報(bào)、緩報(bào)、謊報(bào)信息安全事件和推諉責(zé)任的行為。

　第十五章

　附則

　第四十六條

　本方針由信息科負(fù)責(zé)解釋與修訂。

　信息安全檢查管理辦法 第一章總則 第一條

　為了加強(qiáng)和規(guī)范**縣**醫(yī)院信息安全檢查工作，保障相關(guān)信息系統(tǒng)安全運(yùn)行，特制定本管理辦法。

　第二條

　信息安全檢查依據(jù)國(guó)家有關(guān)法律法規(guī)、行業(yè)有關(guān)規(guī)章制度，單位信息安全相關(guān)規(guī)章制度。

　第三條

　信息安全檢查對(duì)象為**縣**醫(yī)院的光彩龍駒網(wǎng)約車(chē)系統(tǒng)。

　第四條

　信息技術(shù)工作檢查可采取日常檢查、組織自查、專項(xiàng)檢查、年度檢查等方式。年度檢查對(duì)象包括所有相關(guān)部門(mén)，且每年不少于二次。

　第二章組織機(jī)構(gòu)與職責(zé) 第五條

　信息科負(fù)責(zé)信息安全檢查工作，根據(jù)當(dāng)前現(xiàn)狀明確檢查重點(diǎn)，制定檢查標(biāo)準(zhǔn)。

　第六條

　信息科成立信息安全檢查小組，具體負(fù)責(zé)信息安全檢查工作的實(shí)施。

　第三章信息安全檢查分類 第七條

　各部門(mén)及相關(guān)人員要配合各項(xiàng)信息安全檢查工作，并按要求完成檢查中發(fā)現(xiàn)問(wèn)題項(xiàng)的整改工作。

　第八條

　**縣**醫(yī)院的信息安全檢查包括信息安全主管部門(mén)對(duì)**縣**醫(yī)院進(jìn)行的專項(xiàng)信息安全檢查、信息安全認(rèn)證機(jī)構(gòu)對(duì)**縣**醫(yī)院的信息安全外部審核、風(fēng)險(xiǎn)監(jiān)管部門(mén)主導(dǎo)的信息安全內(nèi)部審核和內(nèi)部信息安全技術(shù)檢查等。

　第四章信息安全檢查內(nèi)容 第九條

　計(jì)算機(jī)安全檢查 1.計(jì)算機(jī)應(yīng)安裝殺毒、防護(hù)等軟件，及時(shí)更新系統(tǒng)，修復(fù)漏洞。

　2.非涉密計(jì)算機(jī)不得存儲(chǔ)涉密文件、敏感信息。

　3.涉密計(jì)算機(jī)和安裝了“三合一系統(tǒng)”的計(jì)算機(jī)必須按照相關(guān)規(guī)定嚴(yán)格管理，嚴(yán)禁違規(guī)外聯(lián)。

　第十條

　系統(tǒng)安全與設(shè)備管理的檢查

　1.服務(wù)器

　 （1）服務(wù)器應(yīng)具有充分的可靠性和充足的容量。

　 （2）服務(wù)器應(yīng)具有一定的容錯(cuò)特性，宜采用鏡像、陣列、雙機(jī)、群集等容錯(cuò)技術(shù)。

　（3）服務(wù)器有安全可靠的備份措施。

　2.工作站

　（1）工作站應(yīng)具有良好的性能及可靠性。

　（2）除計(jì)算機(jī)機(jī)房外，一律使用無(wú)軟驅(qū)或光驅(qū)等可卸存儲(chǔ)裝置的網(wǎng)絡(luò)工作站。

　 （3）重要工作站應(yīng)有冗余備份。

　第十一條

　安全管理情況的檢查

　1.建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系。

　2.嚴(yán)格按管理制度規(guī)定進(jìn)行管理，按操作規(guī)程進(jìn)行操作，并進(jìn)行記錄。

　第五章信息安全檢查實(shí)施 第十二條

　實(shí)施檢查前，檢查小組根據(jù)檢查目的和被檢查部門(mén)情況，確定檢查范圍、檢查重點(diǎn)，制定檢查工作計(jì)劃，編制相應(yīng)檢查表格。

　第十三條

　組織進(jìn)行自查時(shí)，被檢查部門(mén)應(yīng)如實(shí)填寫(xiě)自查表，對(duì)存在的問(wèn)題隱瞞不報(bào)的，將追究相關(guān)部門(mén)和個(gè)人責(zé)任。

　第十四條

　進(jìn)行現(xiàn)場(chǎng)檢查時(shí)，檢查小組應(yīng)提前通知被檢查部門(mén)，可根據(jù)需要要求被檢查部門(mén)進(jìn)行自查，以提高現(xiàn)場(chǎng)檢查工作效率。每次檢查前，檢查小組應(yīng)核查上次檢查提出的整改意見(jiàn)是否落實(shí)，整改措施是否有效。

　第十五條

　被檢查部門(mén)應(yīng)積極配合檢查工作，按檢查人員要求提供與檢查工作相關(guān)的資料，并對(duì)所提供資料的真實(shí)性、完整性負(fù)責(zé)。

　第十六條

　檢查過(guò)程中應(yīng)切實(shí)防范檢查操作風(fēng)險(xiǎn)，不得對(duì)在線運(yùn)行系統(tǒng)進(jìn)行檢查測(cè)試和網(wǎng)絡(luò)掃描檢測(cè)。因檢查需要需使用輔助檢測(cè)工具時(shí)，應(yīng)經(jīng)信息科負(fù)責(zé)人審批同意后方可使用。

　第十七條

　檢查過(guò)程中發(fā)現(xiàn)問(wèn)題和安全隱患時(shí)，檢查小組應(yīng)及時(shí)與被檢查部門(mén)溝通確認(rèn)后，擬定整改建議。對(duì)于隨時(shí)可能引發(fā)事故的問(wèn)題和安全隱患，應(yīng)要求立即整改。

　 第六章信息安全檢查報(bào)告 第十八條

　檢查工作結(jié)束后，檢查小組應(yīng)及時(shí)撰寫(xiě)檢查報(bào)告上報(bào)信息化建設(shè)領(lǐng)導(dǎo)小組，根據(jù)批示意見(jiàn)對(duì)檢查結(jié)果進(jìn)行通報(bào)，對(duì)存在問(wèn)題和安全隱患的部門(mén)下發(fā)整改意見(jiàn)書(shū)，要求限期完成整改工作。

　第十九條

　檢查小組應(yīng)跟蹤整改工作的落實(shí)情況，必要時(shí)可對(duì)整改工作落實(shí)情況進(jìn)行確認(rèn)檢查。

　第七章附則 第二十條

　本管理辦法由信息科負(fù)責(zé)解釋與修訂。

　信息安全違章行為責(zé)任追究辦法 第一章 總則 第一條

　為加強(qiáng)**縣**醫(yī)院工作人員的信息安全責(zé)任意識(shí)，界定工作人員信息安全違章行為，明確信息安全違章責(zé)任追究和處罰依據(jù)，特制定本管理辦法。

　第二條

　信息安全違章行為分為一般違章和嚴(yán)重違章。信息安全違章行為由信息科負(fù)責(zé)組織調(diào)查和認(rèn)定，并依據(jù)本辦法進(jìn)行責(zé)任追究。

　第三條

　本管理辦法中所稱“計(jì)算機(jī)”包括桌面計(jì)算機(jī)、便攜式計(jì)算機(jī)（含各類上網(wǎng)本），除特別說(shuō)明，通指內(nèi)網(wǎng)計(jì)算機(jī)和外網(wǎng)計(jì)算機(jī)。

　第四條

　本管理辦法適用于所有與信息系統(tǒng)相關(guān)的人員。

　第二章 違章行為界定 第五條

　凡具有下列行為之一均屬違章行為：

　1. 違反國(guó)家信息安全有關(guān)法律和法規(guī)。

　2. 違反**縣**醫(yī)院信息安全管理規(guī)章制度。

　第六條

　一般違章界定 （一）計(jì)算機(jī)未設(shè)置操作系統(tǒng)登錄口令；設(shè)置了操作系統(tǒng)登錄口令，但口令長(zhǎng)度低于 8 位且不是由字母、數(shù)字或符號(hào)組合構(gòu)成；未啟用屏幕保護(hù)和超時(shí)鎖屏功能。

　（二）未按規(guī)定安裝運(yùn)行或自行卸載單位統(tǒng)一的防病毒軟件、補(bǔ)丁更新策略、桌面終端管理軟件。

�。ㄈ�）未按要求使用安全移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行內(nèi)外網(wǎng)信息交換，擅自刪除或破壞已注冊(cè)安全移動(dòng)存儲(chǔ)介質(zhì)內(nèi)的管理軟件。

�。ㄋ模┥米孕遁d（含格式化）**縣**醫(yī)院規(guī)定安裝的操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)客戶端。

�。ㄎ澹┪词褂脝挝唤y(tǒng)一的外網(wǎng)郵件系統(tǒng)處理和發(fā)送與工作相關(guān)的電子郵件。

　（六）計(jì)算機(jī)外委維修時(shí)未拆除硬盤(pán)導(dǎo)致與工作有關(guān)的信息外泄；更換計(jì)算機(jī)和硬盤(pán)或在報(bào)廢處理前，未對(duì)原硬盤(pán)進(jìn)行信息不可恢復(fù)操作處理（如低級(jí)格式化等）。

�。ㄆ撸┰趦�(nèi)網(wǎng)計(jì)算機(jī)上對(duì)未關(guān)閉互聯(lián)網(wǎng)訪問(wèn)功能的手機(jī)和PDA 等設(shè)備進(jìn)行充電或數(shù)據(jù)同步導(dǎo)致發(fā)生違規(guī)外聯(lián)。開(kāi)啟文件共享且不設(shè)置共享密碼或共享密碼過(guò)于簡(jiǎn)單導(dǎo)致共享文件被非授權(quán)訪問(wèn)和破壞。

　（八）移動(dòng)存儲(chǔ)介質(zhì)丟失未向**縣**醫(yī)院信息科和保密管理部門(mén)及時(shí)報(bào)告，并說(shuō)明移動(dòng)存儲(chǔ)介質(zhì)中包含哪些與工作相關(guān)的文件、數(shù)據(jù)和程序。

�。ň牛┥米詫⒈救说拈T(mén)戶及應(yīng)用系統(tǒng)帳號(hào)和口令告訴他人由其長(zhǎng)期代為進(jìn)行業(yè)務(wù)操作。

�。ㄊ�）工作人員崗位異動(dòng)后未及時(shí)向信息科申請(qǐng)賬號(hào)和權(quán)限的變更。

�。ㄊ�一）違反單位信息安全管理規(guī)定被認(rèn)定為一般違章的其他行為。

　第七條

　嚴(yán)重違章界定 （一）未經(jīng)信息科進(jìn)行安全檢測(cè)和許可，擅自將外來(lái)人員的

　計(jì)算機(jī)接入信息內(nèi)網(wǎng)或信息外網(wǎng)。

　（二）擅自更改計(jì)算機(jī)網(wǎng)卡的 MAC 地址或 IP/MAC 地址綁定策略。

�。ㄈ�）在計(jì)算機(jī)上私自開(kāi)啟 DHCP、WWW、FTP、VOD、代理、游戲、論壇等服務(wù)對(duì)網(wǎng)絡(luò)訪問(wèn)造成干擾或信息資源被非授權(quán)訪問(wèn)。

�。ㄋ模┰趦�(nèi)網(wǎng)計(jì)算機(jī)上利用電話線、電信運(yùn)營(yíng)商 ADSL、無(wú)線上網(wǎng)卡或具備上網(wǎng)功能的手機(jī)和 PDA 等設(shè)備訪問(wèn)互聯(lián)網(wǎng)，以及任何具備有意識(shí)或故意性質(zhì)使用內(nèi)網(wǎng)計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)。

�。ㄎ澹┦褂檬謾C(jī)或 PDA 設(shè)備的無(wú)線 WIFI 功能訪問(wèn)信息內(nèi)網(wǎng)或信息外網(wǎng)。

�。�六）在計(jì)算機(jī)中存儲(chǔ)和處理國(guó)家、單位秘密信息，在外網(wǎng)計(jì)算機(jī)中存儲(chǔ)涉及單位重要敏感信息的電子文件。

�。ㄆ撸┰谕�一臺(tái)計(jì)算機(jī)（包括具備隔離卡和雙硬盤(pán)的計(jì)算機(jī)）上安裝兩個(gè)操作系統(tǒng)或雙網(wǎng)卡分別接入信息內(nèi)網(wǎng)和信息外網(wǎng)。

�。ò耍┌踩�移動(dòng)介質(zhì)損壞后私自丟棄未交信息科處理并造成單位重要信息外泄。

�。ň牛┧阶栽诰W(wǎng)絡(luò)中接入任何具備網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT)、MAC克隆等功能的網(wǎng)絡(luò)交換機(jī)和路由器等有線設(shè)備和無(wú)線設(shè)備。

�。ㄊ�）擅自組建無(wú)線網(wǎng)絡(luò)并接入信息內(nèi)網(wǎng)。

　（十一）干擾他人正常工作行為，包括：發(fā)布不真實(shí)信息、垃圾信息；散布病毒及木馬；未經(jīng)授權(quán)或通過(guò)口令猜測(cè)和破解等手段使用他人設(shè)備、系統(tǒng)、郵箱等。

�。ㄊ�二）擅自在計(jì)算機(jī)中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進(jìn)行網(wǎng)絡(luò)掃描或攻擊破壞。

�。ㄊ�三）拒絕信息科維護(hù)人員對(duì)計(jì)算機(jī)進(jìn)行安全性檢查和安裝單位統(tǒng)一要求的桌面終端管理軟件、防病毒軟件等。

�。ㄊ�四）違反**縣**醫(yī)院信息安全管理規(guī)定被認(rèn)定為嚴(yán)重違章的其他行為。

　第三章督察與檢查 第八條

　對(duì)違章的查處采用專項(xiàng)督查、日常檢查及應(yīng)用工具軟件檢查相結(jié)合的方式進(jìn)行。

　第九條

　發(fā)生信息安全違章，按照管理權(quán)限，實(shí)行分級(jí)查處、分級(jí)追究。

�。ㄒ唬�**縣**醫(yī)院各部門(mén)自查自糾發(fā)現(xiàn)的違章，參照本辦法自行處理。

�。ǘ�）信息科組織的督查、日常檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章，按照本辦法規(guī)定處理。

�。ㄈ�）單位督查、日常工作檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章，按本規(guī)定處理并將處理情況報(bào)告單位領(lǐng)導(dǎo)。

　第四章 處罰規(guī)定 第十條

　在年度內(nèi)第一次發(fā)生一般違章，對(duì)當(dāng)事人給予誡勉談話或通報(bào)批評(píng)；半年內(nèi)同一當(dāng)事人發(fā)生兩次一般違章，對(duì)當(dāng)事人給予 200～600 元的經(jīng)濟(jì)處罰并通報(bào)批評(píng)；一年內(nèi)同一當(dāng)事人發(fā)生三次一般違章，對(duì)當(dāng)事人給予 1000～1500 元的經(jīng)濟(jì)處罰，并對(duì)當(dāng)事人所屬部門(mén)予以通報(bào)批評(píng)。

　第十一條

　在年度內(nèi)第一次發(fā)生嚴(yán)重違章，對(duì)當(dāng)事人給予

　600～800 元的經(jīng)濟(jì)處罰，并對(duì)當(dāng)事人所屬部門(mén)予以通報(bào)批評(píng)；半年內(nèi)同一當(dāng)事人發(fā)生兩次嚴(yán)重違章，除對(duì)當(dāng)事人給予 1000～1500 元的經(jīng)濟(jì)處罰，通報(bào)批評(píng)當(dāng)事人所屬部門(mén)外，當(dāng)事人必須自學(xué)網(wǎng)絡(luò)信息安全基本知識(shí)并通過(guò)信息科的考核；一年內(nèi)同一當(dāng)事人發(fā)生三次嚴(yán)重違章，給予當(dāng)事人下崗 1 個(gè)月的處罰，享受下崗人員待遇至當(dāng)事人申請(qǐng)并經(jīng)計(jì)算機(jī)所對(duì)其進(jìn)行信息安全基本知識(shí)考核合格后方能上崗。

　第五章附則 第十二條

　本管理辦法由信息科負(fù)責(zé)解釋。

　安全教育和培訓(xùn)管理辦法 第一章總則 第一條

　為規(guī)范**縣**醫(yī)院信息安全培訓(xùn)及教育工作，對(duì)干部職工進(jìn)行有關(guān)信息安全管理的理論培訓(xùn)、安全管理制度教育、安全防范意識(shí)宣傳和專門(mén)安全技術(shù)訓(xùn)練，確保**縣**醫(yī)院信息安全策略、規(guī)章制度和技術(shù)規(guī)范的順利執(zhí)行，特制定本管理規(guī)定。

　第二章信息安全培訓(xùn)要求 第二條

　 信息安全培訓(xùn)工作需要分層次、分階段、循序漸進(jìn)地進(jìn)行，而且必須是能夠覆蓋全員的培訓(xùn)。

　第三條

　 應(yīng)制定完善的《培訓(xùn)計(jì)劃》，計(jì)劃應(yīng)包含培訓(xùn)方式、培訓(xùn)類別、培訓(xùn)內(nèi)容、培訓(xùn)費(fèi)用等信息，并且需要相關(guān)領(lǐng)導(dǎo)對(duì)培訓(xùn)計(jì)劃進(jìn)行審批。

　第四條

　 分層次培訓(xùn)是指對(duì)不同層次的人員，如對(duì)管理層、信息安全管理人員，信息安全聯(lián)絡(luò)員和普通干部開(kāi)展有針對(duì)性和不同側(cè)重點(diǎn)的培訓(xùn)。

　第五條

　 分階段是指在信息安全管理體系的建立、實(shí)施和保持的不同階段，培訓(xùn)工作要有計(jì)劃地分步實(shí)施；信息安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進(jìn)行。

　第六條

　 管理層培訓(xùn) （一）

　管理層培訓(xùn)目標(biāo)是明確建立信息安全體系的重要性，獲得管理層的支持和承諾。

�。ǘ�）

　管理層培訓(xùn)方式可以采用聘請(qǐng)外部信息安全培訓(xùn)、專業(yè)技術(shù)專家和咨詢顧問(wèn)以專題講座、研討會(huì)等形式。

　第七條

　 信息安全管理人員培訓(xùn) （一）

　信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原理和相關(guān)技術(shù)、強(qiáng)化信息安全意識(shí)、支撐信息安全體系的建立、實(shí)施和保持。

�。ǘ�）

　信息安全管理人員培訓(xùn)方式可以采用聘請(qǐng)外部信息安全專業(yè)資格授證培訓(xùn)、參加信息安全專業(yè)培訓(xùn)、自學(xué)信息安全管理理論及技術(shù)和內(nèi)部學(xué)習(xí)研討的方式。

　第八條

　 信息安全聯(lián)絡(luò)員培訓(xùn) （一）

　信息安全聯(lián)絡(luò)員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)安全技術(shù)，協(xié)助維護(hù)和保障系統(tǒng)正常、安全運(yùn)行。

�。ǘ�）

　信息安全聯(lián)絡(luò)員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。

　第九條

　 普通干部培訓(xùn) (一) 普通干部培訓(xùn)目標(biāo)是了解相關(guān)信息安全制度和技術(shù)規(guī)范，并安全、高效地使用信息系統(tǒng)。

　(二) 普通干部培訓(xùn)方式應(yīng)主要采取內(nèi)部培訓(xùn)的方式。

　第三章信息安全培訓(xùn)內(nèi)容 第十條

　 各級(jí)領(lǐng)導(dǎo)及職工應(yīng)明確了解信息安全體系，并明確各自的安全職責(zé)，明確自身對(duì)維護(hù)保障系統(tǒng)正常、安全運(yùn)行所需承擔(dān)的相關(guān)責(zé)任和義務(wù)。

　第十一條

　針對(duì)業(yè)務(wù)需求進(jìn)行相應(yīng)安全意識(shí)培訓(xùn)，提高員工

　的安全意識(shí)和防范能力。

　第十二條

　針對(duì)系統(tǒng)的維護(hù)人員和管理員應(yīng)定期開(kāi)展安全技術(shù)教育培訓(xùn)（每年至少一次），明確如何安全使用有關(guān)業(yè)務(wù)系統(tǒng)及普通計(jì)算機(jī)周邊硬件設(shè)備。

　第四章信息安全培訓(xùn)管理 第十三條

　信息安全培訓(xùn)發(fā)起：

�。ㄒ唬�

　信息安全培訓(xùn)教育，納入**縣**醫(yī)院的整體培訓(xùn)計(jì)劃中。

�。ǘ�）

　具體操作過(guò)程遵守**縣**醫(yī)院的相關(guān)培訓(xùn)管理制度。

　第十四條

　信息安全培訓(xùn)實(shí)施：

�。ㄒ唬�

　信息安全培訓(xùn)的實(shí)施，主要由信息科負(fù)責(zé)組織和考核。

�。ǘ�）

　對(duì)專業(yè)性很強(qiáng)的安全培訓(xùn)，由信息科負(fù)責(zé)聘請(qǐng)外部專家進(jìn)行安全培訓(xùn)。

�。ㄈ�）

　具體操作過(guò)程遵守相關(guān)培訓(xùn)管理制度。

　第十五條

　信息安全培訓(xùn)過(guò)程中，要做好《培訓(xùn)簽到表》，并將參與培訓(xùn)人員整理、備案。

　第五章附則 第十六條

　本管理辦法由信息科負(fù)責(zé)解釋與修訂。

　外來(lái)人員安全訪問(wèn)管理辦法 第一章總則 第一條

　為了規(guī)范第三方用戶訪問(wèn)**縣**醫(yī)院內(nèi)部信息系統(tǒng)時(shí)的行為，保護(hù)**縣**醫(yī)院網(wǎng)絡(luò)與信息系統(tǒng)安全，特制定本管理辦法。

　第二章來(lái)訪人員出入管理 第二條

　第三方人員進(jìn)入**縣**醫(yī)院所屬單位及其建筑物，應(yīng)遵守**縣**醫(yī)院相關(guān)安保制度。

　第三條

　未經(jīng)**縣**醫(yī)院特別許可，第三方人員不得在信息科內(nèi)攝影、拍照。

　第四條

　**縣**醫(yī)院干部職工要遵守相關(guān)安全保密規(guī)定，禁止與第三方人員談?wù)撆c其工作無(wú)關(guān)的內(nèi)容。

　第三章機(jī)房出入管理 第五條

　除以下情況外，不得引領(lǐng)和允許第三方人員訪問(wèn)機(jī)房等重要區(qū)域：

　( (一 一) ) **縣**醫(yī)院領(lǐng)導(dǎo)批準(zhǔn)的參觀活動(dòng)； ( (二 二) ) 必要的儀器設(shè)備現(xiàn)場(chǎng)安裝、維修、調(diào)測(cè)； ( (三 三) ) 第三方因業(yè)務(wù)需要進(jìn)入上述區(qū)域的其它情形。

　 第四章網(wǎng)絡(luò)訪問(wèn)管理 第六條

　**縣**醫(yī)院信息安全管理人員有義務(wù)向第三方人員

　說(shuō)明網(wǎng)絡(luò)接入安全要求。

　第七條

　第三方人員不允許私自連接醫(yī)院網(wǎng)絡(luò)。如果必要，必須提出申請(qǐng)，征得信息科允許后方可接入。第三方人員連接網(wǎng)絡(luò)要進(jìn)行相應(yīng)登記備案，并簽訂網(wǎng)絡(luò)使用安全協(xié)議。

　第八條

　長(zhǎng)期使用內(nèi)部網(wǎng)絡(luò)的第三方人員的計(jì)算機(jī)必須接受**縣**醫(yī)院的統(tǒng)一客戶端管理，包括客戶端管理軟件的安裝、安全策略的配置等。

　第九條

　第三方人員如果需要訪問(wèn)網(wǎng)絡(luò)資源，須提前明確申請(qǐng)要訪問(wèn)資源的類型、范圍和方式，以便管理員進(jìn)行審批，并提供相應(yīng)的訪問(wèn)權(quán)限和訪問(wèn)方法。

　第十條

　第三方人員操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，必須使用臨時(shí)帳號(hào)，使用之后由相應(yīng)的管理人員及時(shí)清除；對(duì)于長(zhǎng)期在**縣**醫(yī)院工作的技術(shù)支持、顧問(wèn)、服務(wù)人員，如果需要長(zhǎng)期操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，管理人員應(yīng)該為第三方人員創(chuàng)建單獨(dú)的帳號(hào)。

　第十一條

　**縣**醫(yī)院有權(quán)對(duì)第三方人員在醫(yī)院內(nèi)部網(wǎng)絡(luò)的活動(dòng)進(jìn)行檢查、審計(jì)和監(jiān)控。

　第十二條

　第三方人員的計(jì)算機(jī)要求安裝有防病毒軟件，不得攜帶有木馬、病毒等破壞性程序。

　第十三條

　第三方人員不準(zhǔn)使用**縣**醫(yī)院網(wǎng)絡(luò)從事同工作無(wú)關(guān)的網(wǎng)絡(luò)活動(dòng)。

　第十四條

　第三方人員不準(zhǔn)在**縣**醫(yī)院網(wǎng)絡(luò)內(nèi)部通過(guò)撥號(hào)或其它手段直接建立到其它網(wǎng)絡(luò)的物理鏈路。

　 第五章附則

　第十五條

　本管理辦法由信息科負(fù)責(zé)解釋與修訂。

　信息系統(tǒng)建設(shè)項(xiàng)目管理辦法 第一章總則 第一條

　為規(guī)范**縣**醫(yī)院信息化建設(shè)項(xiàng)目實(shí)施過(guò)程管理，明確項(xiàng)目組織與職責(zé)分工，規(guī)范項(xiàng)目活動(dòng)和交付驗(yàn)收質(zhì)量控制，特制定本管理辦法。

　第二條

　本管理辦法適用于**縣**醫(yī)院所有與信息化相關(guān)的項(xiàng)目和參與信息化建設(shè)項(xiàng)目實(shí)施過(guò)程中的業(yè)務(wù)部門(mén)和供應(yīng)商人員。

　第二章組織機(jī)構(gòu)與職責(zé) 第三條

　項(xiàng)目分類：根據(jù)項(xiàng)目的實(shí)施性質(zhì)分為應(yīng)用實(shí)施、定制開(kāi)發(fā)、硬件集成類項(xiàng)目。根據(jù)實(shí)施方式分為外包、自主實(shí)施、自主實(shí)施部分外包類項(xiàng)目。

　第四條

　項(xiàng)目小組由供應(yīng)商、業(yè)務(wù)部門(mén)、信息科共同組成，項(xiàng)目組根據(jù)專業(yè)分工分為項(xiàng)目管理組、業(yè)務(wù)組、開(kāi)發(fā)組和系統(tǒng)支持組。

　第五條

　不同項(xiàng)目分類，參與項(xiàng)目的角色有所不同，項(xiàng)目啟動(dòng)前，雙方項(xiàng)目負(fù)責(zé)人需根據(jù)項(xiàng)目要求和資源狀況重新確定項(xiàng)目組織和項(xiàng)目組人員，明確項(xiàng)目職責(zé)分工后予以正式發(fā)布。

　第六條

　項(xiàng)目負(fù)責(zé)人：負(fù)責(zé)項(xiàng)目過(guò)程的計(jì)劃與會(huì)議管理、問(wèn)題與風(fēng)險(xiǎn)管理、變更管理，為項(xiàng)目執(zhí)行過(guò)程管理的責(zé)任人。應(yīng)用類項(xiàng)目可分別設(shè)立業(yè)務(wù)項(xiàng)目負(fù)責(zé)人和信息化建設(shè)項(xiàng)目負(fù)責(zé)人，業(yè)務(wù)項(xiàng)目負(fù)責(zé)人由**縣**醫(yī)院業(yè)務(wù)部門(mén)負(fù)責(zé)人擔(dān)任，信息化建設(shè)項(xiàng)

　目負(fù)責(zé)人由信息科項(xiàng)目管理人員擔(dān)任。

　第七條

　項(xiàng)目業(yè)務(wù)組：由業(yè)務(wù)分析、實(shí)施顧問(wèn)、關(guān)鍵用戶組成，業(yè)務(wù)分析由**縣**醫(yī)院的業(yè)務(wù)負(fù)責(zé)人或業(yè)務(wù)骨干擔(dān)任，負(fù)責(zé)項(xiàng)目需求和業(yè)務(wù)管理方案的確認(rèn)；實(shí)施顧問(wèn)由供應(yīng)商或信息科具備業(yè)務(wù)咨詢和分析能力的業(yè)務(wù)顧問(wèn)擔(dān)任，參與或負(fù)責(zé)項(xiàng)目需求的分析、設(shè)計(jì)與變更管理。關(guān)鍵用戶參與需求調(diào)研、測(cè)試。

　第八條

　項(xiàng)目開(kāi)發(fā)組：由供應(yīng)商或信息科系統(tǒng)架構(gòu)師、技術(shù)支持、開(kāi)發(fā)顧問(wèn)、軟件測(cè)試、軟件配置等角色，負(fù)責(zé)信息化建設(shè)項(xiàng)目軟件或定制開(kāi)發(fā)需求的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試與質(zhì)量控制，其中大型應(yīng)用或基礎(chǔ)類項(xiàng)目，必須設(shè)立系統(tǒng)架構(gòu)師，負(fù)責(zé)總體方案的設(shè)計(jì)或評(píng)審。

　第九條

　系統(tǒng)支持組：由信息科的系統(tǒng)管理人員擔(dān)任，負(fù)責(zé)系統(tǒng)正式環(huán)境管理、系統(tǒng)環(huán)境規(guī)劃、搭建及系統(tǒng)管理規(guī)范的建立，參與技術(shù)方案評(píng)審和協(xié)助系統(tǒng)環(huán)境優(yōu)化,負(fù)責(zé)系統(tǒng)移交的正式接收人。

　第三章項(xiàng)目里程碑管理 第十條

　項(xiàng)目組與供應(yīng)商簽訂正式合同后，標(biāo)志著項(xiàng)目正式進(jìn)入項(xiàng)目實(shí)施階段。項(xiàng)目實(shí)施過(guò)程包括項(xiàng)目準(zhǔn)備、需求分析、方案設(shè)計(jì)、系統(tǒng)實(shí)現(xiàn)、上線運(yùn)行、項(xiàng)目移交等六大里程碑。

　第十一條

　項(xiàng)目負(fù)責(zé)人根據(jù)項(xiàng)目特點(diǎn)制定項(xiàng)目計(jì)劃及項(xiàng)目的交付要求，所有項(xiàng)目實(shí)施交付文檔按里程碑每月定期備案。

　第四章項(xiàng)目準(zhǔn)備階段 第十二條

　項(xiàng)目準(zhǔn)備階段包括制定總體計(jì)劃、成立實(shí)施項(xiàng)目組織、建立項(xiàng)目章程、召開(kāi)項(xiàng)目啟動(dòng)會(huì)議等工作。

　第十三條

　制定總體計(jì)劃:項(xiàng)目負(fù)責(zé)人根據(jù)項(xiàng)目特點(diǎn)制定項(xiàng)目總體實(shí)施計(jì)劃及資源計(jì)劃，明確項(xiàng)目里程碑的關(guān)鍵活動(dòng)、責(zé)任人、開(kāi)始與完成時(shí)間、交付件要求，經(jīng)雙方項(xiàng)目負(fù)責(zé)人或項(xiàng)目總監(jiān)審批后正式執(zhí)行。

　第十四條

　成立實(shí)施項(xiàng)目組：項(xiàng)目負(fù)責(zé)人根據(jù)項(xiàng)目特點(diǎn)明確參與項(xiàng)目的人員、角色、職責(zé)及明確參與項(xiàng)目時(shí)間要求，并正式成立項(xiàng)目組。

　第十五條

　建立項(xiàng)目章程：明確雙方項(xiàng)目組在項(xiàng)目過(guò)程中的溝通、問(wèn)題、風(fēng)險(xiǎn)、計(jì)劃、人力資源、質(zhì)量管理等方面的管理約定。

　第十六條

　召開(kāi)項(xiàng)目啟動(dòng)會(huì)議：項(xiàng)目負(fù)責(zé)人在完成以上項(xiàng)目準(zhǔn)備后，應(yīng)組織相關(guān)項(xiàng)目干系人召開(kāi)項(xiàng)目啟動(dòng)會(huì)議，項(xiàng)目負(fù)責(zé)人、項(xiàng)目組和關(guān)鍵用戶應(yīng)參加項(xiàng)目啟動(dòng)會(huì)議。

　第五章需求分析階段 第十七條

　需求分析階段包括需求調(diào)研、需求分析、需求評(píng)審、需求確認(rèn)等工作，經(jīng)雙方評(píng)審后最終形成《需求規(guī)格說(shuō)明書(shū)》，《需求規(guī)格說(shuō)明書(shū)》作為項(xiàng)目后續(xù)工作的基礎(chǔ)，必須確保項(xiàng)目中所有相關(guān)人員對(duì)需求的理解達(dá)成共識(shí)。

　第十八條

　《需求規(guī)格說(shuō)明書(shū)》必須包括總體需求及業(yè)務(wù)流程、詳盡的功能需求描述和分析、需求的優(yōu)先級(jí)、非功能需求（系

　統(tǒng)技術(shù)需求）、與外部系統(tǒng)接口的定義，并確保需求是一致的、完整的、可行的且易于理解的。

　第十九條

　需求調(diào)研可采用調(diào)研、訪談、原型法等多種方式結(jié)合開(kāi)展，調(diào)研前必須做好《需求調(diào)研問(wèn)卷》、落實(shí)參與調(diào)研的對(duì)象和時(shí)間，調(diào)研對(duì)象必須包括項(xiàng)目發(fā)起人、業(yè)務(wù)負(fù)責(zé)人和關(guān)鍵用戶在內(nèi)的所有與項(xiàng)目范圍密切相關(guān)崗位，須確保以上人員的充分積極參與。

　第二十條

　需求調(diào)研：調(diào)研內(nèi)容包括項(xiàng)目目標(biāo)、業(yè)務(wù)目標(biāo)、業(yè)務(wù)與信息化建設(shè)項(xiàng)目現(xiàn)狀、業(yè)務(wù)流程、具體的業(yè)務(wù)功能需求和非功能需求。

　第二十一條

　需求分析：項(xiàng)目組內(nèi)部對(duì)調(diào)研過(guò)程收集的需求和遺留的問(wèn)題進(jìn)行可行性、優(yōu)先級(jí)別和風(fēng)險(xiǎn)評(píng)估，在此基礎(chǔ)上形成初步的《需求規(guī)格說(shuō)明書(shū)》，發(fā)給相關(guān)業(yè)務(wù)人員征求意見(jiàn)。

　第二十二條

　需求評(píng)審：項(xiàng)目負(fù)責(zé)人組織相關(guān)的業(yè)務(wù)骨干和業(yè)務(wù)部門(mén)負(fù)責(zé)人對(duì)需求進(jìn)行正式評(píng)審會(huì)議，使雙方項(xiàng)目組對(duì)需求的理解達(dá)成共識(shí)。項(xiàng)目組根據(jù)評(píng)審意見(jiàn)修訂《需求規(guī)格說(shuō)明書(shū)》。

　第二十三條

　需求確認(rèn)：《需求規(guī)格說(shuō)明書(shū)》經(jīng)評(píng)審?fù)ㄟ^(guò)后需業(yè)務(wù)分析、項(xiàng)目負(fù)責(zé)人、項(xiàng)目總監(jiān)簽字確認(rèn)，并作為啟動(dòng)設(shè)計(jì)開(kāi)發(fā)階段必要輸入條件。

　第六章方案設(shè)計(jì)階段 第二十四條

　方案設(shè)計(jì)階段包括總體設(shè)計(jì)、詳細(xì)設(shè)計(jì)等工作。

　第二十五條

　總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)：由實(shí)施顧問(wèn)和系統(tǒng)架

　構(gòu)師共同完成。應(yīng)用實(shí)施類項(xiàng)目進(jìn)行業(yè)務(wù)流程優(yōu)化、總體方案設(shè)計(jì)、詳細(xì)方案設(shè)計(jì)、安全性設(shè)計(jì)、客戶化開(kāi)發(fā)方案設(shè)計(jì)；定制開(kāi)發(fā)類項(xiàng)目進(jìn)行系統(tǒng)總體方案設(shè)計(jì)、詳細(xì)設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)、安全性設(shè)計(jì)及測(cè)試方案設(shè)計(jì)；總體方案設(shè)計(jì)需經(jīng)過(guò)項(xiàng)目組、系統(tǒng)架構(gòu)師的評(píng)審。

　第二十六條

　《系統(tǒng)總體設(shè)計(jì)說(shuō)明書(shū)》指系統(tǒng)總體方案設(shè)計(jì)，包括系統(tǒng)應(yīng)用架構(gòu)設(shè)計(jì)和技術(shù)架構(gòu)設(shè)計(jì)，應(yīng)用架構(gòu)設(shè)計(jì)包括系統(tǒng)應(yīng)用架構(gòu)圖、子系統(tǒng)/模塊結(jié)構(gòu)設(shè)計(jì)、具體功能模塊設(shè)計(jì)及與外部應(yīng)用系統(tǒng)的業(yè)務(wù)關(guān)聯(lián)設(shè)計(jì)。技術(shù)架構(gòu)設(shè)計(jì)包括系統(tǒng)技術(shù)架構(gòu)圖（含與外部系統(tǒng)接口圖）、內(nèi)外部接口設(shè)計(jì)、相關(guān)軟硬件平臺(tái)設(shè)計(jì)、非功能模塊設(shè)計(jì)。

　第二十七條

　《系統(tǒng)詳細(xì)設(shè)計(jì)說(shuō)明書(shū)》進(jìn)一步詳細(xì)描述具體程序的設(shè)計(jì)要求，包括程序的功能、輸入輸出項(xiàng)、算法、流程邏輯的實(shí)現(xiàn)詳細(xì)描述。

　第二十八條

　《系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)說(shuō)明書(shū)》包括數(shù)據(jù)庫(kù)概念模型設(shè)計(jì)、數(shù)據(jù)庫(kù)邏輯模型設(shè)計(jì)、數(shù)據(jù)庫(kù)物理結(jié)構(gòu)的設(shè)計(jì)、數(shù)據(jù)庫(kù)性能參數(shù)的配置、數(shù)據(jù)庫(kù)對(duì)象的詳細(xì)描述。

　第二十九條

　編制基礎(chǔ)數(shù)據(jù)整理模板：供應(yīng)商提供基礎(chǔ)數(shù)據(jù)整理模板，項(xiàng)目負(fù)責(zé)人協(xié)調(diào)相關(guān)業(yè)務(wù)分析、實(shí)施顧問(wèn)制定數(shù)據(jù)整理規(guī)則和整理計(jì)劃，并落實(shí)相關(guān)業(yè)務(wù)崗位或關(guān)鍵用戶負(fù)責(zé)基礎(chǔ)數(shù)據(jù)整理，基礎(chǔ)數(shù)據(jù)需經(jīng)業(yè)務(wù)部門(mén)負(fù)責(zé)人確認(rèn)。

　第七章系統(tǒng)實(shí)現(xiàn)階段 第三十條

　系統(tǒng)實(shí)現(xiàn)階段包括實(shí)施方案、軟件編碼、硬件安

　裝、驗(yàn)收方案、功能測(cè)試、性能測(cè)試、安全性測(cè)試、環(huán)境部署等工作。

　第三十一條

　項(xiàng)目負(fù)責(zé)人在項(xiàng)目總體計(jì)劃和設(shè)計(jì)的基礎(chǔ)上制定《開(kāi)發(fā)計(jì)劃》，并定期把開(kāi)發(fā)進(jìn)展情況和開(kāi)發(fā)成果反饋到項(xiàng)目組或提交到制定位置。

　第三十二條

　制定實(shí)施方案：根據(jù)實(shí)際情況，由供應(yīng)商系統(tǒng)實(shí)施工程師負(fù)責(zé)制定系統(tǒng)實(shí)施方案，提交項(xiàng)目負(fù)責(zé)人，項(xiàng)目負(fù)責(zé)人組織相關(guān)人員對(duì)實(shí)施方案進(jìn)行審定。

　第三十三條

　軟件編碼：開(kāi)發(fā)顧問(wèn)根據(jù)《設(shè)計(jì)說(shuō)明書(shū)》、《開(kāi)發(fā)計(jì)劃》進(jìn)行編碼。供應(yīng)商的質(zhì)量保證人員對(duì)軟件編碼成果進(jìn)行質(zhì)量控制與檢查。

　第三十四條

　功能測(cè)試：項(xiàng)目負(fù)責(zé)人安排測(cè)試人員（由技術(shù)人員和業(yè)務(wù)使用人員組成）完成，提交《系統(tǒng)測(cè)試方案》，發(fā)現(xiàn)的問(wèn)題統(tǒng)一由項(xiàng)目負(fù)責(zé)人負(fù)責(zé)跟蹤管理，并匯總成《問(wèn)題跟蹤表》，并出具功能測(cè)試報(bào)告。

　第三十五條

　性能測(cè)試：由開(kāi)發(fā)顧問(wèn)與系統(tǒng)管理人員共同負(fù)責(zé)性能測(cè)試方案的制定和性能測(cè)試分析，并進(jìn)一步安排性能優(yōu)化措施，并出具性能測(cè)試報(bào)告。

　第三十六條

　安全性測(cè)試：委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告。

　第三十七條

　驗(yàn)收?qǐng)?bào)告評(píng)審：項(xiàng)目負(fù)責(zé)人跟蹤問(wèn)題解決的進(jìn)度和組織相關(guān)人員和安全專家進(jìn)行驗(yàn)收?qǐng)?bào)告的評(píng)審，評(píng)審?fù)ㄟ^(guò)后才可上線運(yùn)行。

　第八章上線運(yùn)行階段 第三十八條

　系統(tǒng)上線包括上線方案編寫(xiě)、上線培訓(xùn)、上線評(píng)審、系統(tǒng)上線、上線運(yùn)行跟蹤、試運(yùn)行總結(jié)、初驗(yàn)總結(jié)等工作。

　第三十九條

　上線方案編寫(xiě)：系統(tǒng)完成驗(yàn)收測(cè)試并按照要求提交所有文檔后，由雙方共同制定《系統(tǒng)上線實(shí)施方案》。

　第四十條

　上線評(píng)審：**縣**醫(yī)院項(xiàng)目組成員根據(jù)供應(yīng)商在實(shí)施過(guò)程中提交的所有交付內(nèi)容進(jìn)行評(píng)審，評(píng)審內(nèi)容包括交付質(zhì)量、交付件的完整性、測(cè)試數(shù)據(jù)、上線條件、上線方案。

　第四十一條

　系統(tǒng)上線：通過(guò)上線評(píng)審后，系統(tǒng)可以進(jìn)行上線并進(jìn)入試運(yùn)行階段。

　第四十二條

　用戶培訓(xùn)：根據(jù)上線方案中的培訓(xùn)計(jì)劃，由供應(yīng)商項(xiàng)目負(fù)責(zé)人組織**縣**醫(yī)院運(yùn)維人員進(jìn)行培訓(xùn)，同時(shí)提交《用戶培訓(xùn)手冊(cè)》和《用戶操作指引》。

　第四十三條

　問(wèn)題跟蹤：項(xiàng)目組對(duì)系統(tǒng)試運(yùn)行情況進(jìn)行跟蹤，及時(shí)處理和更新，每周通報(bào)系統(tǒng)運(yùn)行狀況。

　第四十四條

　試運(yùn)行總結(jié)：系統(tǒng)試運(yùn)行一個(gè)月以上并運(yùn)行穩(wěn)定，項(xiàng)目組應(yīng)總結(jié)系統(tǒng)運(yùn)行情況，提交《系統(tǒng)試運(yùn)行跟蹤報(bào)告》。

　第四十五條

　初驗(yàn)總結(jié)：系統(tǒng)應(yīng)用狀況達(dá)到項(xiàng)目驗(yàn)收要求，項(xiàng)目組進(jìn)行項(xiàng)目初步驗(yàn)收總結(jié)，提交《系統(tǒng)初驗(yàn)報(bào)告》和《項(xiàng)目初驗(yàn)申請(qǐng)》。

　第九章項(xiàng)目移交階段 第四十六條

　項(xiàng)目移交階段包括問(wèn)題跟蹤與解決、系統(tǒng)移

　交、制定系統(tǒng)管理規(guī)范、制定業(yè)務(wù)管理規(guī)范、終驗(yàn)總結(jié)等工作。

　第四十七條

　問(wèn)題跟蹤與解決：項(xiàng)目組應(yīng)繼續(xù)進(jìn)行系統(tǒng)運(yùn)行跟蹤狀況，每月提交《問(wèn)題跟蹤表》，并對(duì)存在的問(wèn)題進(jìn)行優(yōu)先級(jí)分類，及時(shí)落實(shí)資源解決問(wèn)題。

　第四十八條

　系統(tǒng)移交：供應(yīng)商整理和修訂項(xiàng)目交付文檔，制定《系統(tǒng)維護(hù)指引》，《系統(tǒng)維護(hù)指引》中應(yīng)包括系統(tǒng)運(yùn)行維護(hù)的指引、系統(tǒng)備份要求和方法、系統(tǒng)恢復(fù)和遷移指引，并根據(jù)維護(hù)指引對(duì)系統(tǒng)管理人員進(jìn)行知識(shí)轉(zhuǎn)移，經(jīng)過(guò)系統(tǒng)管理人員驗(yàn)證和確認(rèn)后，作為雙方正式移交的必要條件之一。正式環(huán)境移交后，系統(tǒng)管理人員收回供應(yīng)商所有環(huán)境所有用戶權(quán)限。

　第四十九條

　制定業(yè)務(wù)管理規(guī)范：業(yè)務(wù)管理規(guī)范由業(yè)務(wù)部門(mén)制定，包括基礎(chǔ)數(shù)據(jù)規(guī)范、操作規(guī)范、崗位操作指引等等，并在應(yīng)用過(guò)程中定期檢查執(zhí)行情況和不斷完善。

　第五十條

　終驗(yàn)總結(jié)：系統(tǒng)達(dá)到項(xiàng)目目標(biāo)、初驗(yàn)后正常運(yùn)行三個(gè)月、所有的問(wèn)題已解決且完成系統(tǒng)移交后，項(xiàng)目組進(jìn)行項(xiàng)目總結(jié)后可提出項(xiàng)目驗(yàn)收申請(qǐng)，經(jīng)項(xiàng)目主管部門(mén)負(fù)責(zé)人審核。

　第十章問(wèn)題與風(fēng)險(xiǎn)管理 第五十一條

　問(wèn)題管理貫穿項(xiàng)目的整個(gè)生命周期，項(xiàng)目負(fù)責(zé)人負(fù)責(zé)整個(gè)項(xiàng)目的問(wèn)題和風(fēng)險(xiǎn)管理，并有責(zé)任落實(shí)相關(guān)資源協(xié)調(diào)解決。

　第五十二條

　業(yè)務(wù)部門(mén)或用戶提出問(wèn)題后，項(xiàng)目組對(duì)問(wèn)題的類別、重要性、優(yōu)先級(jí)別進(jìn)行分類排序，優(yōu)先解決影響數(shù)據(jù)準(zhǔn)確性的問(wèn)題，并明確問(wèn)題責(zé)任人、完成時(shí)間，每周更新《問(wèn)題跟

　蹤表》。大量的新增或變更需求按項(xiàng)目變更管理流程處理。

　第五十三條

　項(xiàng)目負(fù)責(zé)人應(yīng)跟蹤問(wèn)題的解決情況，并及時(shí)將問(wèn)題狀況發(fā)布給項(xiàng)目組。在項(xiàng)目組范圍內(nèi)無(wú)法得到及時(shí)解決且影響項(xiàng)目整體目標(biāo)的問(wèn)題，項(xiàng)目負(fù)責(zé)人應(yīng)及時(shí)將問(wèn)題納入風(fēng)險(xiǎn)管理范疇，進(jìn)行風(fēng)險(xiǎn)評(píng)估和采取有效的風(fēng)險(xiǎn)防范措施。

　第十一章變更管理 第五十四條

　項(xiàng)目的需求分析確認(rèn)后，所有的新增需求或變更需求、技術(shù)變更均納入需求變更管理范圍，項(xiàng)目負(fù)責(zé)人應(yīng)對(duì)所有的需求變更進(jìn)行記錄和管理。

　第五十五條

　變更分析：項(xiàng)目負(fù)責(zé)人組織相關(guān)人員評(píng)估需求變更的風(fēng)險(xiǎn)、可行性，并提出需求變更的具體解決方案，解決方案中還應(yīng)包括增加的工作量、成本和對(duì)項(xiàng)目進(jìn)度的影響分析，需求變更經(jīng)雙方簽字后生效。

　第五十六條

　變更的執(zhí)行、跟蹤：項(xiàng)目負(fù)責(zé)人落實(shí)資源進(jìn)行需求變更任務(wù)的執(zhí)行，對(duì)于影響項(xiàng)目目標(biāo)、范圍、業(yè)務(wù)功能的變更需同時(shí)修訂《需求規(guī)格說(shuō)明書(shū)》、《系統(tǒng)總體設(shè)計(jì)說(shuō)明書(shū)》等相關(guān)交付文檔，對(duì)于影響項(xiàng)目進(jìn)度的變更應(yīng)同步修訂項(xiàng)目計(jì)劃。

　第五十七條

　變更的確認(rèn)、總結(jié)：變更任務(wù)執(zhí)行完成后，其中需求或技術(shù)變更需經(jīng)變更提出人員進(jìn)行測(cè)試后確認(rèn)完成，項(xiàng)目負(fù)責(zé)人提交變更執(zhí)行情況分析。

　第十二章附則 第五十八條

　本管理辦法由信息科負(fù)責(zé)解釋與修訂。

　軟件開(kāi)發(fā)管理辦法 第一章總則 第一條

　為規(guī)范**縣**醫(yī)院的開(kāi)發(fā)管理流程，使各開(kāi)發(fā)項(xiàng)目的管理進(jìn)行標(biāo)準(zhǔn)化管理，特制定本管理辦法。

　第二條

　本管理辦法詳細(xì)規(guī)定軟件開(kāi)發(fā)過(guò)程的各個(gè)階段及每一階段的任務(wù)、要求、交付文件，使整個(gè)軟件開(kāi)發(fā)過(guò)程階段清晰、要求明確、任務(wù)具體，實(shí)現(xiàn)軟件開(kāi)發(fā)過(guò)程的標(biāo)準(zhǔn)化。

　第三條

　本管理辦法適用于計(jì)算機(jī)的自主軟件開(kāi)發(fā)項(xiàng)目。適用對(duì)象：軟件開(kāi)發(fā)管理人員，軟件開(kāi)發(fā)人員，軟件維護(hù)人員，系統(tǒng)管理人員。

　第二章職責(zé)及權(quán)限 第四條

　**縣**醫(yī)院信息科是負(fù)責(zé)軟件開(kāi)發(fā)的主要部門(mén)，負(fù)責(zé)軟件開(kāi)發(fā)整個(gè)過(guò)程的監(jiān)督、控制和管理工作。

　第三章 軟件開(kāi)發(fā)環(huán)境管理 第五條

　軟件...

相關(guān)熱詞搜索：匯編 信息化 制度