医院软件安全管理制度.doc

1、密 级: 内部文档编号: ZFCG-gamyy-clwd-zcgl-003中国中医科学院广安门医院软件安全管理制度Ver1.0 中国中医科学院广安门医院二七年十一月第 2 页 共 9 页文档控制拟 制审 核批 准标准化读 者版本控制版本 提交日期 相关组织和人员 版本描述Ver1.0分发控制编号 读者 文档权限 与文档的主要关系123第 3 页 共 9 页维护控制文档名称 中国中医科学院广安门医院软件安全管理制度机密分类 内部版本号 定版日期 作者 更新说明V1.0版本控制姓名 科室（文档部分所有者）文档审定复查时间 复查结果复查计划发布批准人人员 文档权限 与文档的主要关系分发控制第 4 页

2、 共 9 页目录第一章 概述 5第二章 软件采购、安装和测试 5第三章 软件登记和保管 5第四章 软件使用与维护 6第五章 应用软件开发 6第一节 软件开发 .6第二节 软件二次开发 .7第六章 软件的防病毒 8第七章 文档声明 9第 5 页 共 9 页第一章 概述软件管理的范围包括对操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护、防病毒的管理。第二章 软件采购、安装和测试第一条 信息系统所使用的操作系统、应用软件、数据库、安全软件、工具软件等必须是正式版本，严禁使用测试版和盗版软件。第二条 重要的操作系统和主要应用软件必须在安全管理员的监督之下进行安装，注意清理

3、操作系统中默认选项。第三条 软件安装后，须使用可靠检测软件或手段进行安全性测试，了解其脆弱性，并根据脆弱性程度采取措施，使风险降至最小。第三章 软件登记和保管第四条 软件安装后，原件（盘）应进行登记造册，并由专人保管。第五条 软件更新后，软件的新旧版本均应登记造册，并由专人保管，旧版本的销毁应受严格控制。第 6 页 共 9 页第四章 软件使用与维护第六条 操作系统和数据库管理系统以及安全软件应由专人负责，系统安全管理员应由政治素质可靠、工作及业务责任心强的人担任，负责对系统和管理的维护，必须对系统运行情况进行严格的工作记录，系统工作异常或发生与安全有关的事件时，在采取相应措施的同时必须报安全管

4、理组备案。第七条 安全管理员不得兼职应用系统管理员。第八条 定期对操作系统、数据库管理系统及其它相关软件进行稽核审计，分析与安全有关的事件，堵塞安全漏洞。第九条 软件更新后，须重新审查系统安全状态，必要时对安全策略进行调整。 第五章 应用软件开发第一节 软件开发第十条 系统应用软件的开发必须根据信息密级和安全等级，同步进行相应的安全设计，并制定各阶段安全目标，按目标进行管理和实施。第 7 页 共 9 页第十一条 系统应用软件的开发，必须有安全管理员参与，其主要任务是：对系统方案与开发进行安全审查和监督，负责系统安全设计和实施。第十二条 开发环境和现场必须与办公环境和工作现场分开。软件设计方案、

5、数据结构、安全管理、操作监控手段、数据加密形式、原代码等，只能在有关开发人员及有关管理机构中流动，严禁散失或外泄。第十三条 应用软件开发必须符合软件工程规范GB856688，GB152689。第十四条 应用软件开发人员不得参与应用软件的运行管理和操作。第二节 软件二次开发第十五条 系统应用单位需修改或增加系统功能时应先行填写客户化问题登记表（表样见附件一） ，由本科室领导签字、主管部门领导审批签字后提交信息安全办公室，本表格一式两份，分别由信息安全办公室及提交科室备案。1. 医生工作站、医技科室工作站需有医教处长签字；2. 护士工作站及相关程序需有护理部主任签字；3. 收费、挂号、住院系统需有

6、财务处长签字；4. 药房、药库及相关程序需有药剂科主任签字；第 8 页 共 9 页第十六条 信息安全办公室室收到客户化问题登记表后，分析提出问题的合理性与可实施性，必要时与用户讨论。最后将用户需求以电子文档和文字形式提交软件公司或由信息安全办公室进行处理，不能修改的将信息反馈给使用科室。 第十七条 信息安全办公室收到医院改动后的程序后，须经过本科室及应用科室进行严格的测试，测试完成后填写软件测试报告（表样见附件二）本报告一式两份，分别交由信息安全办公室及提交科室备案。第十八条 程序如存在问题进一步进行修改，如测试正常，进行软件更新。更新过程中填写软件更新说明表（表样见附件三） 。本表格一式两份

7、，分别交由信息安全办公室及提交科室备案。第十九条 如出现程序 bug，则直接进行程序更新。第六章 软件的防病毒第二十条 计算机必须安装经国家认可的防、杀病毒软件产品。第二十一条 安全维护工作组定期组织计算机系统的杀灭病毒的工作。 第二十二条 不得使用未经批准和检测的外来软件或磁盘、光盘，不允许在计算机上玩游戏。第二十三条 发现病毒后立即使用病毒工具进行检测和杀毒，如不第 9 页 共 9 页能完全消灭病毒时，立即上报并暂停工作。第二十四条 对于染毒次数、杀毒次数、杀毒后果进行详细记录，不得隐瞒不报。第七章 文档声明第二十五条 为了确保可用性和可操作性，需要对本文档定期进行审查，对发生变更的进行更新。第二十六条 本文档需要每年审查一次，根据审查结果进行修订并重新颁布执行。第二十七条 本文档的解释权归中国中医科学院广安门医院。第二十八条 本文档自签发之日起生效。