各科室：

 　　为切实加强医院信息系统中药品、高值耗材等统计功能的管理，防止违规统计药品、高值耗材等用量信息行为发生，建立源头防控医药购销领域商业贿赂的长效机制，特制订本规定。
    一、健全管理制度
     1、完善教育制度。各科室要切实加强对医院内部信息系统使用者、管理者（包括软件公司派驻医院的技术人员）的法律法规教育、思想政治教育和警示教育，结合典型案件，以案说法，警钟长鸣，自觉抵制各种违法违纪行为。
     2、执行保密承诺制度。医院与信息科、药剂科、器械科等药品、高值耗材用量统计查询相关科室工作人员签订保密协议，作出廉政承诺；必须与医院信息系统建设运维有关的各类服务商签订信息保密协议，必须明确软件开发商在保障信息系统安全方面的权利和义务。加强与上级行政管理部门、医保等部门的联系，落实外来接入系统前置机安全保密措施。
     3、落实权限密码管理制度。加强用户权限管理，明确软件、操作系统以及数据库用户管理规定，按照最小授权原则，严格限制权限。服务器管理员和数据库管理员密码分开，专人管理，定期更新。通过应用软件后台维护功能的完善，逐步把掌握核心数据库及其服务器密码的人数分别控制到两人以内。定期对各类用户的权限分配合理性进行评审。
     4、实施机房安全管理制度。加强计算机机房的安全管理工作，规范人员出入的批准授权，建立完善出入人员及设备进出、维护工作登记制度。
     二、完善安全措施
    1、加强终端安全防范。规范终端用户访问数据库的密码管理，定期修改密码，严禁使用明文方式保存在业务终端中。部署终端管理系统，实现对终端接入内网的认证准入管理、可运行应用软件的严格限制、ip地址与物理地址及操作人员密码绑定、usb接口及sd卡等存储卡接口的封闭等功能。及时更新补丁，防止操作系统漏洞，安装杀毒软件，有条件的安装服务器版杀毒软件。
    2、强化应用系统认证。应用软件必须实现对用户登录、查询统计敏感数据、修改用户权限等操作行为的审计功能；必须具备后台管理维护功能，既能最大限度减少信息技术人员直接访问数据库的操作，又满足日常工作需要。鼓励对数据库敏感信息字段进行加密处理，逐步实现应用软件的三层架构模式，鼓励采用数字证书、动态口令及指纹等技术强化应用系统认证。
    3、配置部署堡垒主机。禁止所有信息科人员终端直接访问网络设备、服务器及数据库，通过堡垒主机等具有集中维护及审计功能的网络安全产品实现对所有信息管理人员日常系统维护操作的监控记录。
　  4、强化信息查询管理。严格管理应用软件中的敏感信息统计查询功能，卸除所有不必要的敏感信息统计模块，严格限制剩余统计功能的权限分配，或将统计查询功能集中至独立的软件系统中，落实专人负责。对药品、高值耗材用量信息进行统计，必须征得医院纪委有关负责人同意，并有监督人员在场监督，系统必须保留查询痕迹。
    5、加强信息安全投入和管理。医院加大信息安全工作经费投入，每年信息安全工作经费投入不低于信息化建设经费投入的10%。配强配齐信息科管理人员和专业技术人员，合理设置机房管理、系统管理、数据库管理、审计分析等岗位，明确岗位职责，落实岗位责任。有条件的机构配备专职审计分析员。
    三、强化审计监督
    1、加强数据库审计。部署必要的数据库审计系统，对数据库访问的行为进行实时监控，具备基于异常行为分析知识库的审计分析能力及阻断能力。建立专人负责的核心主机及数据库访问行为审计分析机制。
     2、加强审计岗位管理。明确审计分析岗位职责，其承担出入机房的审批，软件、操作系统、数据库任何操作的审批和出入机房事件、系统日志、数据库异常操作等进行日常审计；但不能进入机房，不得掌握核心数据库及其服务器操作系统密码。
    四、加强检查评估
     1、健全考核奖惩制度。信息安全管理成效将纳入各科室综合目标考核，与考核奖惩挂钩。对违反相关工作制度和规定的，要严肃处理，并按管理权限追究有关人员责任。
     2、建立和落实督查制度。医院纪委对落实本规定情况开展定期督查。对防统方软件系统落实专人实行不间断监控，凡有紧急报警必须安排人员到报警地址检查，并做好记录。

3、实行评估整改报告制度。逐步开展医院信息系统安全等级保护工作。新建及改扩建信息系统在上线运行前应进行全面的安全性评估。

中共大丰市人民医院委员会

中共大丰市人民医院纪律检查委员会

二Ο一四年二月二日