信息管理制度

在社会发展不断提速的今天，制度使用的频率越来越高，制度是指在特定社会范围内统一的、调节人与人之间社会关系的一系列习惯、道德、法律(包括宪法和各种具体法规)、戒律、规章(包括政府制定的条例)等的总和它由社会认可的非正式约束、国家规定的正式约束和实施机制三个部分构成。大家知道制度的格式吗？下面是小编整理的信息管理制度，希望对大家有所帮助。

信息管理制度1

一、为保证这项工作经常性开展，乡（镇）卫生院设立以院长为科长，乡（镇）兼职防疫人员及接种员人员为骨干的乡（镇）卫生院防保科，负责制订本乡（镇）生物制品计划，领发生物制品，实施预防接种，调查处理异常反应，“冷链”管理，以及对基层卫生人员计划免疫工作的业务培训、督促、检查等项工作。

二、乡（镇）计划免疫工作实行一卡（儿童免疫接种卡）、一证（儿童预防接种证）、两册（1、2类疫苗接种登记册、新生儿乙肝疫苗接种登记册）、两簿（疫苗出入库登记簿、冷链设备接种器材使用登记簿）。卡、簿、表由防疫人员专柜保管，7岁后，接种卡片由乡镇卫生院保管15年，儿童预防接种证交儿童家长保管。

三、建、管、用好0—7岁儿童免疫接种卡、证，建卡率、建证率不得低于100%，卡证必须相符。

四、接种人员应以高度责任心，严格的科学态度，掌握免疫程序，生物制品性质，接种方法、接种途径及接种前的询问和告知，禁忌症，以及接种后副反应的观察处理。为确保工作质量，接种前要仔细检查发现禁忌症，严禁使用过期、冻接和变质的疫（菌）苗，实行一人一针一管，严格无菌操作。

五、做好接种前的调查摸底工作，接种中的组织实施；填写好接种卡证和接种登记册；接种后的统计汇总工作，按时向县疾控中心报出生物制品使用双月报表或工作总结 。

六、积极处理预防接种中出现的异常反应，并及时向县卫生局、县食品、药品监督局报告，必要时，提请县异常反应诊断小组会诊，任何医疗单位或个人不得单方面出具诊断证明，所出证明一律无效。

信息管理制度2

第一章 总则

第一条 为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。

第二条 本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术，同时更要有全面动态的安全策略和良好的内部管理机制，本规范包括五个部分：

1）项目建设安全管理的总体要求：明确项目建设安全管理的目标和原则；

2）项目规划安全管理：对信息化项目建设各个环节的规划提出安全管理要求，确定各个环节的安全需求、目标和建设方案；

3）方案论证和审批安全管理：由安全管理部门组织行内外专家对项目建设安全方案进行论证，确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任，并按规定安全内容和审批程序进行审批；

4）项目实施方案和实施过程安全管理：包括确定项目实施的阶段的安全管理目标和实施办法，并完成项目安全专用产品的确定、非安全产品安全性的确定等；

5）项目投产与验收安全管理：制定项目安全测评与验收方法、项目投产的安全管理规范，以及相关依据。

第三条 规范性引用文件

下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。

第四条 术语和定义

本规范引用GB/T 5271.8－20xx中的术语和定义，还采用了以下术语和定义：

1）信息安全 infosec

信息的机密性、完整性和可用性的保护。

注释： 机密性定义为确保信息仅仅被那些被授权了的人员访问。

完整性定义为保护信息和处理方法的准确性和完备性。

可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。

2)计算机系统安全工程 ISSE（Information Systems Security Engineering）

计算机系统安全工程（ISSE）是发掘用户信息安全保护需求，然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学，ISSE识别出安全风险，并使这些风险减至最少或使之受到遏制。

3)风险分析 risk analysis

对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。

4)安全目标 security objective

本规范中特指公司项目建设信息安全管理中需要达成到的目标。

5)安全测试 security testing

用于确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功能测试、渗透测试和验证。

第五条 本规范遵照国家相关政策法规和条例，结合各种信息化项目建设的具体情况，依据各种标准、规范以及安全管理规定而制定。

第二章 项目建设安全管理的总体要求

第六条 项目建设安全管理目标

一个项目的生命周期包括：项目申报、项目审批和立项、项目实施、项目验收和投产；从项目建设的角度来看，这些生命周期的阶段则包括以下子阶段：需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行，如下表所示。

项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标，信息安全（INFOSEC）必须融合在项目管理和项目建设过程中，与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个计算机系统安全工程（ISSE）项目，它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点，最终得到一个可以接受水平的安全风险。

计算机系统安全工程（ISSE）并不意味着存在一个单独独立的过程。它支持项目管理和建设过程，而且是后者不可分割的一部分。第三章到第六章将以项目管理过程为主轴，并结合项目建设过程，规定了在每个阶段中应达到哪些计算机系统安全工程要求。

第七条 项目建设安全管理原则

信息系统项目建设安全管理应遵循如下原则：

1)等级

2)全生命周期安全管理：信息安全管理必须贯穿信息化项目建设的整个生命周期；

3)成本-效益分析：进行信息安全建设和管理应考虑投入产出比；

4)明确职责：每个参与项目建设和项目管理的人员都应该明确安全职责，应进行安全意识和职责培训，并落实到位；

5)管理公开：应保证每个项目参与人员都知晓和理解安全管理的模式和方法；

6)科学制衡：进行适当的职责分离，保证没有人可以单独完成一项业务活动，以避免出现相应的安全问题；

7)最小特权：人员对项目资产的访问权限制到最低限度，即仅赋予其执行授权任务所必需的权限。

第八条 项目建设安全管理要求

项目安全管理工作应强化责任机制、规范管理程序，在项目的申报、审批、立项、实施、验收等关键环节中，必须依照规定的职能行使职权，并在规定的时限内完成各个环节的安全管理行为，否则应承担相应的行政责任。

第三章 项目申报

第九条 项目申报阶段应对信息系统项目及其建设的各个环节进行统一的安全管理规划，确定项目的安全需求、安全目标、安全建设方案，以及生命周期各阶段的安全需求、安全目标、安全管理措施。

第十条 应由项目应用主管单位进行项目需求分析、确定总体目标和建设方案。项目应用主管单位进行项目申报时应填写《信息系统项目立项申请表》，并提交《业务需求书》和《信息系统项目可行性研究报告》。

第十二条 系统定级

1）依据国家信息系统安全等级保护定级指南（GBT 22240-20xx）对项目中的系统进行定级，明确信息系统的边界和安全保护等级；

2）以书面的形式说明确定信息系统为某个安全保护等级的方法和理由，形成信息系统定级报告；

3）组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定，上报上级主管单位和安全监控单位进行审定；

4）信息系统的定级结果向本地公安机关进行备案。

第十三条 挖掘安全需求

在《业务需求书》中除了描述系统业务需求之外，还应进行系统的安全性需求分析，应至少包括以下信息安全方面的内容：

1)安全威胁分析报告：应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁（故意或无意），具体包括威胁列表、威胁可能性分析、威胁严重性分析等；

2)系统脆弱性分析报告：包括对系统造成问题的脆弱性的定性或定量的描述，这些问题是被攻击的可能性、被攻击成功的可能性； 3)影响分析报告：描述威胁利用系统脆弱性可能导致不良影响。影响可能是有形的，例如资金的损失或收益的减少，或可能是无形的，例如声誉和信誉的损失；

4)风险分析报告：安全风险分析的目的在于识别出一个给定环境中涉及到对某一系统有依赖关系的安全风险。它取决于上面的威胁分析、脆弱性分析和影响分析，应提供风险清单以及风险优先级列表；

5)系统安全需求报告：针对安全风险，应提出安全需求，对于每个不可接受的安全风险，都至少有一个安全需求与其对应。

第十四条 安全可行性

在可行性报告的以下条目中应增加相应的信息安全方面的内容：

1）项目目标、主要内容与关键技术：增加信息化项目的总体安全目标，并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策，每个安全需求都至少对应一个安全对策，安全对策的强度应根据相应资产的重要性来选择；

2）项目采用的技术路线或者技术方案：增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策，并形成安全方案；

3）项目的承担单位及人员情况介绍：增加项目各承担单位的信息安全方面的资质和经验介绍，并增加介绍项目主要参与人员的信息安全背景；

4）项目安全管理：增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求；

5）成本效益分析：对安全方案进行成本-效益分析。

第十五条 对投入使用的应用软件需要升级改造的，虽不需另行立项，但仍需参照上述方法进行一定的安全性分析，并针对可能发生的安全问题提出和实现相应安全对策。

第四章 安全方案设计

第十六条 本阶段主要是项目审批单位对项目申报内容进行安全方案的设计，对项目的安全性进行确定，必要时可以聘请外单位的专家参与论证工作。

第十七条 安全标准的确定

1）根据系统的安全保护等级选择基本安全措施，设计安全标准必须达到等级保护相关等级的基本要求，并依据风险分析的结果进行补充和调整必要的安全措施；

2）指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划；

3）应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件

4）应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施；

5）根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

第五章 方案论证和审批

第十八条 本阶段主要是项目审批单位对项目申报内容进行审批，对项目进行安全性论证，必要时可以聘请外单位的专家参与论证工作。

第十九条 安全性论证和审批

安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析，并在《信息化项目立项审批表》上给出明确的结论：

1）适当

2）不合适（否决）

3）需作复议

对论证结论为“需作复议”的项目，通知申报单位对有关内容进行必要的补充或者修改后，再次提交复审。

第二十条 项目安全立项

审批后，项目审批单位将对项目进行立项，在《信息系统项目任务书》的以下条目中应增加相应的计算机安全方面的内容：

1)项目的管理模式、组织结构和责任：增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责；

2)项目实施的基本程序和相应的管理要求：增加项目建设实施中的安全操作程序和相应安全管理要求；

3)项目设计目标、主要内容和关键技术：增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案；

4)项目实现功能和性能指标：增加描述系统拥有的具体安全功能以及安全功能的强度；

5)项目验收考核指标：增加安全性测试和考核指标。

第二十一条 立项的项目，如采用引进、合作开发或者外包开发等形式，则需与第三方签订安全保密协议。

第六章 项目实施方案和实施过程安全管理标准

第二十二条 信息化项目实施阶段包括3个子阶段：概要设计、详细设计和项目实施，本阶段的主要工作由项目开发承担单位来完成，项目审批单位负责监督工作。

第二十三条 概要设计子阶段的安全要求

在概要设计阶段，系统层次上的设计要求和功能指标都被分配到了子系统层次上，这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。因此，《概要设计说明书》中至少应达到以下安全要求：

1)应当按子系统来描述系统的安全体系结构；

2)应当描述每一个子系统所提供的安全功能；

3)应当标识所要求的任何基础性的硬件、固件或软件，和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示；

4)应当标识子系统的所有接口，并说明哪些接口是外部可见的；

5)描述子系统所有接口的用途与使用方法，并适当提供影响、例外情况和错误消息的细节；

6)确证子系统（不论是开发的，还是买来的）的安全功能指标满足系统安全需求。

第二十四条 详细设计子阶段的安全要求

无论是新开发一个系统，或是对一个系统进行修改，本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案，最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中的安全功能，因此在这一阶段的《详细设计说明书》中至少要包括以下信息安全内容：

1）详细设计中应提出相应的具体安全方案，标明实现的安全功能，并应检查其技术原理；

2）对系统层面上的和模块层面上的安全设计进行审查；

3）完成安全测试和评估要求（通常包括完整的系统的、软件的、硬件的安全测试方案，至少是相关测试程序的一个草案）；

4）确认各模块的设计，以及模块间的接口设计能满足系统层面的安全要求。

第二十五条 项目实施子阶段的安全要求

无论是新开发一个系统或是进行系统修改，本阶段的主要目的是将所有的模块（软硬件）集成为完整的系统，并且检查确认集成以后的系统符合要求。本阶段中，应完成以下具体信息安全工作：

1)更新系统安全威胁评估，预测系统的使用寿命；

2)找出并描述实现安全方案后系统和模块的安全要求和限制，以及相关的系统验证机制及检查方法；

3)完善系统的运行程序和全生命期支持的安全计划，如密钥的分发等；

4)在《系统集成操作手册》中，应制定安全集成的操作程序；

5)在《系统修改操作手册》中，应制定系统修改的安全操作程序；

6)对项目参与人员进行信息安全意识培训；

7)并对参加项目建设的安全管理和技术人员的安全职责进行检查。

第二十六条 在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购，并确保采购的设备至少符合下面的要求：

1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。

2)所有安全设备后均需进行严格检测，凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。

3)通过上述测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备，才能投入生产系统，正式运行。

第二十七条 在软件的开发被外包的地方，应当考虑如下几点：

1)检查代码的所有权和知识产权情况；

2)质量合格证和所进行的工作的精确度；

3)在第三方发生故障的情况下，有第三方备份保存；

4)进行质量审核；

5)在合同上有代码质量方面的要求；

6)在安装之前进行测试以检测特洛伊代码；

7)提供源代码以及相关设计、实施文档；

8)重要的项目建设中还要要对源代码进行审核。

第二十八条 计算机系统集成的信息技术产品（如操作系统、数据库等）或安全专用产品（如防火墙、IDS等）应达到以下要求：

1)对项目实施所需的计算机及配套设备、网络设备、重要机具（如ATM）、

计算机软件产品的购置，计算机应用系统的合作开发或者外包开发的确定，按现有制度中的相关规定执行；

2)安全产品的采购必须由公司进行统一采购；

3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证；

4)密码产品符合国家密码主管部门的要求，来源于国家主管部门批准的密码研制单位；

5)关键安全专用产品应获得国家相关安全认证，在选型中根据实际需要制定安全产品选型的标准；

6)关键信息技术产品的安全功能模块应获得国家相关安全认证，在选型中根据实际需要制定信息技术产品选型的标准。

7)所有安全设备后均需进行严格检测，凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。

8)通过上述测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备，才能投入生产系统，正式运行。

第二十九条 产品和服务供应商应达到以下要求：

1)系统集成商的资质要求：至少要拥有国家权威部门认可的系统一级集成资质，对于较为重要的系统应有更高级别的集成资质；

2)工商要求：

①产品、系统或服务提供单位的营业执照和税务登记在合法期限内；

②产品、系统或服务提供商的产品、系统或服务的提供资格；

③连续赢利期限要求；

④连续无相关法律诉讼年限要求；

⑤没有发生重大管理、技术人员变化和流动的期限要求；

⑥没有发生主业变化期限要求。

3)信息安全产品的采购请参阅《信息安全产品采购、使用管理制度》

4)安全服务商资质：至少应具有国家一级安全服务资质，对于较为重要的系统应有更高级别的安全服务资质；

5)人员资质要求：系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证；

6)其它要求：系统符合国家相关法律、法规，按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制，按照有关规定对设备进行控制，使之不被作为非法攻击的跳板；

7)服务供应商的选择还要参阅《安全服务外包管理制度》。

第七章 项目验收与投产

第三十条 系统建设完成后，项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付，但交付的内容至少包括：

1)制定的系统交付清单，对交付的设备、软件和文档进行清点； 2)对系统运维人员进行技能培训，要求系统运维人员能进行日常的维护；

3)提供系统建设的过程文档，包括实施方案、实施记录等；

4)提供系统运行维护的帮助和操作手册

第三十一条 系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。

第三十二条 系统交付由项目应用系统主管部门负责，必须安照系统交付的要求完成交付工作。

第三十三条 应制定投产与验收测试大纲，在项目实施完成后，由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求：

1)配置管理：系统开发单位应使用配置管理系统，并提供配置管理文档；

2)安装、生成和启动程序：应制定安装、生成和启动程序，并保证最终产生了安全的配置；

3)安全功能测试：对系统的安全功能进行测试，以保证其符合详细设计并对详细设计进行检查，保证其符合概要设计以及总体安全方案；

4)系统管理员指南：应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息；

5)系统用户指南：必须包含两方面的内容：首先，它必须解释那些用户可见的安全功能的用途以及如何使用它们，这样用户可以持续有效地保护他们的信息；其次，它必须解释在维护系统的安全时用户所能起的作用；

6)安全功能强度评估：功能强度分析应说明以概率或排列机制（如，口令字或哈希函数）实现的系统安全功能。例如，对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求；

7)脆弱性分析：应分析所采取的安全对策的完备性（安全对策是否可以满足所有的安全需求）以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容，以判断它们在实际应用中是否会被利用来削弱系统的安全。

第三十四条 测试完成后，项目测试小组应提交《测试报告》，其中应包括安全性测试和评估的结果。不能通过安全性测试评估的，由测试小组提出修改意见，项目开发承担单位应作进一步修改。

第三十五条 测试通过后，由项目应用单位组织进入试运行阶段，应有一系列的安全措施来维护系统安全，它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下：

1)监测系统的安全性能，包括事故报告；

2)进行用户安全培训，并对培训进行总结；

3)监视与安全有关的部件的拆除处理；

4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素；

5)监测安全部件的备份支持，支持与系统安全有关的维护培训；

6)评估大大小小的系统改动对安全造成的影响；

7)监测系统物理和功能配置，包括运行过程，因为一些不太显眼的改变可能影响系统的安全风险。

第三十六条 系统安全试运行半年后，项目应用主管单位可以组织由项目开发承担单位和科技部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容：

1)项目是否已达到项目任务书中制定的总体安全目标和安全指标，实现全部安全功能；

2)采用技术是否符合国家、电力行业有关安全技术标准及规范；

3)是否实现验收测评的安全技术指标；

4)项目建设过程中的各种文档资料是否规范、齐全；

5)在验收报告中也应在以下条目中反映对系统安全性验收的情况：

6)项目设计总体安全目标及主要内容；

7)项目采用的关键安全技术；

8)验收专家组中的安全专家及安全验收评价意见。

第三十七条 系统备案

1）系统建设完成后，要向相应的公安机关进行备案，系统的备案，备案的相关材料有由公司进行统一管理，相应的系统应用、管理部门可以借阅；

2）系统等级及相关材料报系统主管部门进行备案；

3）系统待级及其它要求的备案材料报相应的公安机关备案。

第四十条 设备管理

1)设备的使用均应指定专人负责，均应设定严格的管理员身份鉴别和访问控制，严禁盗用帐号和密码，超越管理权限，非法操作安全设备。

2)设备的口令不得少于10位，须使用包含大小写字母、数字等在内的不易猜测的强口令，并遵循省电网公司统一的帐号口令管理办法。

3)设备的网络配置应遵循统一的规划和分配，相关网络配置应向信息管理部门备案。

4)设备的安全策略应进行统一管理，安全策略固化后的变更应经过安全管理人员审核批准，并及时更新策略配置库。

5)设备须有备机备件，由公司统一进行保管、分发和替换。

6)加强设备外联控制，严禁擅自接入国际互联网或其他公众信息网络。

7)工作需要，设备需携带出工作环境时，应递交申请并由相关责任人签字并留档。

8)存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循：

①因工作原因需使用外来介质，应首先进行病毒检查。

②存储介质上粘贴统一标识，注明编号、部门、责任人。

③存储介质如有损坏或其他原因更换下来的，需交回处理。

9)安全设备的使用管理：

①安全设备每月详细检查一次，记录并分析相关日志，对可疑行为及时进行处理；

②关键安全设备媒体必需进行日常巡检；

③当设备的配置更改时，应做好配置的备份工作；

④安全设备出现故障要立即报告主管领导，并及时通知系统集成商或有关单位进行故障排除，应填写操作记录和技术文档。

10)设备相应责任人负责：

①建立详细的运行日志记录、备份制度；

②负责设备的使用登记，登记内容应包括运行起止时间、累计运行时数及运行状况等。

③负责进行设备的日常清洗及定期保养维护，做好维护记录，保障设备处于最佳状况；

④一旦设备出现故障，责任人应立即如实填写故障报告，通知有关人员处理；

⑤设备责任人应保证设备在其出厂标称的使用环境（如温度、湿度、电压、电磁干扰、粉尘度等）下工作；

11)及时关注下发的各类信息安全通告，关注最新的病毒防治信息和提示，根据要求调节相应设备参数配置；

12)安全管理员应界定重要设备，对重要设备的配置技术文档应考虑双份以上的备份，并存放一份于异地。

第四十一条 投产后的监控与跟踪

项目投产后还应进行一段时间的监控和跟踪，具体包括以下要求：

1)应对系统关键安全性能的变化情况进行监控，了解其变化的原因；

2)对系统安全事故的发生、应急、处理、恢复、总结进行全程跟踪，并编写详细的记录；

3)监控新增的安全部件对系统安全的影响；

4)跟踪安全有关部件的拆除处理情况，并监控随后系统安全性的变化；

5)对新发现的对系统安全的攻击进行监控，记录其发生的频率以及对系统的影响；

6)监控系统所受威胁的变化，评估其发生的可能性以及可能造成的影响；

7)监控并跟踪安全部件的备份情况；

8)监控运行程序的变化，并记录这些变化对系统安全的影响；

9)监控系统物理环境的变化情况，并记录这些变化对系统安全的影响；

10)监控安全配置的变化情况，并记录这些变化对系统安全的影响；

11)对于上述所有监控和跟踪内容，如果对系统安全有不良影响处，都应在系统设计、配置、运行管理上做相应改进，以保证系统安全、正常运行。

第四十二条 等级测评

1）系统进入运行过程后，三级的系统每年聘请第三方测评机构对系统进行一次等级测评，二级的系统由自已每年测评一次，发现不符合相应等级保护标准要求的及时整改；

2）系统发生变更时，及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改；

3）测评机构要选择具有国家相关技术资质和安全资质的单位；

4）系统的等级测评由信息部负责管理。

第八章 附 则

第四十三条 本制度由公司XX部门负责解释。

第四十四条 本制度自颁布之日起实行。

信息管理制度3

一、对网络故障的推断

当网络系统终端发觉计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，要马上向网络信息办公室汇报，网络信息办公室工作人员对科室提出的上述问题必需重视，经核实后赐予科室反馈信息。网络信息办公室负责人应召集有关人员刚好进行探讨，假如故障缘由明确，可以立即复原工作的，应马上复原工作；如故障缘由不明确、状况严峻不能在短期内解除的，应马上报告医务部和院领导，在网络不能运转的状况下由机关协调全院工作以保障医疗工作的正常运转。网络故障分为三类：

一类故障：服务器不能工作；光纤损坏；主服务器数据丢失；备份盘损坏；服务器工作不稳定；局部网络不通；数据被人删改；重点终端故障；规律性的整体、局部软、硬件故障。

二类故障：单一终端软、硬件故障；单一患者信息丢失；偶然性的数据处理错误；某些科室违反工作流程要求。

三类故障：各终端由于不娴熟或运用不当造成的错误。针对上述故障分类等级，处理方案如下：

一类故障———由网络信息办公室主任上报医务部和院领导，由医务部组织协调复原工作。

二类故障———由技术工程师上报网络信息办公室主任，由网络信息办公室集中解决。

三类故障———由技术工程师单独解决，并具体登记状况。

二、网络整体故障的首要工作

（一）当网络信息办公室一旦确定为网络整体故障，首先是立即报告医务部。医务部应马上按上报程序向院领导汇报。网络信息办公室需立刻组织复原工作，并充分考虑到特别状况如节假日、病员量大、人员外出及医院的重大活动对故障复原带来的时间影响。

（二）当发觉网络整体故障时，依据故障复原时间的程度将转入手工工作的时限明确如下：

1、10分钟内不能复原———门诊挂号、住院登记、药房转入手工操作；门诊收费、住院核算、西药房工作转入老系统操作。

2、6小时内不能复原———原则上将医师工作站、护士工作站、药房、急诊检查、入院、手术室、医技检查转入手工操作（详细实行时间及步骤由医务部、护理部通知）。

3、24小时以上不能复原———将出院核算转入手工。

三、详细协调工作

（一）全部手工工作的统一时间须由医务部或网络信息办公室通知，相关单位严格根据通知时间协调工作，在未接到新的指示前不准私自操作计算机。

（二）门诊挂号工作协调

1、门诊挂号协调工作由门诊部护士长负责协调请示，如手工挂号的转入、转出时间等；

2、当网络系统中断时，改为手工挂号；

3、网络复原后，刚好将中断期间的患者信息输入到计算机；

4、在以后的工作中如发觉某位患者的信息系统内没有记载，应具体询问患者以前是否是在网络故障时就诊过。

（三）门诊收费系统工作协调

1、由收款处科主任负责总体协调，并与网络信息办公室保持联系，刚好反馈沟通最新消息；

2、当网络系统运行中断超过10分钟时，应通知收款处转入手工收款工作；

3、门诊收款负责同志应建立手工发票运用登记本，对发票运用状况做具体登记；

4、当系统复原正常时，由收款处负责同志负责对网络运行稳定性进行监测，如不稳定，刚好向网络信息办公室反映状况。

5、在接到运用计算机的指令并重新启动运行后，门诊收款负责人应组织收款员逐步转入到机器操作。

（四）住院费用核算系统工作协调

1、由住院处科主任总体负责协调工作；

2、当系统停止运行超过2天时，对一般出院患者，推迟出院结算时间；对急出院的患者应依据病历和临床科室护士工作站记录，进行手工核算出院。

3、在网络停止运行期间，出院患者急需结算时，应由该科护士工作站追查是否还有正在进行的检查，向结算室供应具体费用状况后，方可送交核算。

（五）临床工作系统协调

1、临床科工作由医务部、护理部共同协调；

2、网络故障期间临床科室具体记录患者的全部费用执行状况；

3、科室具体填写每个患者的药品请领单（包括姓名、ID号、费别、药品名称及用量），一式两份，一份用于科室补录医嘱，另一份送西药房；

4、出院带药由经管医师负责驾驭经费状况，如出现费用超支状况由该医师负责；

5、依据医务部通知复原运行时间，按要求补录医嘱。

6、如患者急需出院，应向核算室供应具体费用状况，对正在进行的检查应予以说明。

（六）医技检查工作协调

1、在网络停运期间应具体留取、整理检查申请单底联；

2、网络复原后依据检查单底联登记，通过手工记价补录患者费用；

3、对出院快或有出院倾向的患者各科在申请单上注明，检查科室应刚好通知科室或出院处沟通费用状况。

（七）药房工作协调

1、中心摆药应严格根据网络信息办公室规定的时间及要求进行计算机操作；

2、网络故障时，依据临床科供应的药品请领单发药；

3、网络复原时对临床科室补录的摆药医嘱进行发药补充确认，同时与发药时药品请领单内容具体核对，如发觉内容不符，必需具体追查；

4、网络复原后对出院带药处方刚好进行录入；

5、数据补录工作结束后应查看系统内库存与实际库存相符状况。

各信息点接到重新运行通知时，需重新启动计算机，整体网络故障的工程复原工作，由网络信息办公室严格根据服务器数据管理要求进行复原工作。

四、网络修复后的数据处理

（一）由各科组织核校患者费用状况；

（二）药房校查库存；

（三）临床科室补录患者医嘱。

各科室要严格各项操作并刚好反馈执行中的有关状况。

信息管理制度4

1、必须认真收集施工过程中的各类信息、数据，做到真实、准确地反映施工实际情况。

2、对收集到的信息要经过浓缩加工，加工后的信息要符合信息管理的实际需要。

3、对施工过程中的信息分类：

项目基本状况的信息：工程实体概况；场地与环境概况；参与建设的各单位概况；施工合同等。

实际工程信息：施工记录信息；施工技术资料信息；工程进度、安全、质量、成本信息；人员、机械、材料使用等信息；合同管理信息；现场管理组织协调信息；项目竣工验收、考核评价信息等 各种指令、决策方面的信息：工程建设指挥部、监理指令，施工企业重大决定、项目的决策等信息。

4、信息数据经技术管理人员筛选、分类后，经项目经理签认方可上网。

5、信息技术管理人员将经分析的信息，定期编写报告，供有关领导和部门决策。

6、信息的发布、贮存必须专人负责、保管，并建立档案，注明有效期和密级。

7、信息发布后，要做好信息反馈工作和反馈后的处理工作，项目经理必须定期对信息管理工作进行检查考核。

信息管理制度5

一、负责网络信息资源的系统开发、设计、建设和维护。

二、负责医院网站建设和主页动态信息的采集、制作与发布;及时更新服务内容;负责本单位主页信息和bbs的监控,及时处理不良信息。

三、负责医院各重要职能部门管理信息系统主页的技术支持等工作;为网络用户提供技术支持服务。

四、负责信息化建设相关文件资料的收集、归类与整理;做好资料收集、编目、建档、检查和保管工作。负责网络安全、保密、管理,杜绝利用网络从事与工作管理无关的活动。

五、建设和统一管理院内分布式web信息站点,指导各部门发布公共信息;发布和建设公共服务信息管理系统,提供公共服务信息的发布、查询等功能。

六、负责网络中心固定资产的账目管理、编号、建档。报废等工作。

七、完成中心领导交办的其他任务。

信息管理制度6

1、县级每年至少举办1次妇幼信息工作会议，进行人员培训，布置下一年度工作。

2、县乡级定期召开例会，以会代训，并通过例会完成数据的收集、反馈、核查。市级每季度至少召开一次例会。乡级每月至少召开一次例会。

3、所讲内容符合我市妇幼保健工作实际，并要具有实用性、先进性。

4、培训前要了解学员对相关知识的掌握程度。

5、培训结束后要将培训计划、培训通知、培训签到、培训资料、培训小结等装订保存。

6、每年底对全年培训情况进行总结，归入全年工作总结，上报市妇幼保健院。

信息管理制度7

1、目标

胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。

2、评估依据、范围和方法

2.1 评估依据

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［20xx］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[20xx]48号）以及集团公司和省公司公司的文件、检查方案要求， 开展××单位的信息安全评估。

2.2 评估范围

本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。

2.3 评估方法

采用自评估方法。

3、重要资产识别

对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。

4、安全事件

对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。

5、安全检查项目评估

5.1 规章制度与组织管理评估

5.1.1组织机构

评估标准

信息安全组织机构包括领导机构、工作机构。

现状描述

本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。

评估结论

完善信息安全组织机构，成立信息安全工作机构。

5.1.2岗位职责

估标准

岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。

现状描述

我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。

评估结论

本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。

5.1.3病毒管理

评估标准

病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。

现状描述

本局使用Symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器下载、升级安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇总病毒感染情况并提交局生技部和省公司生技部；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。

评估结论

完善病毒预警和报告机制，制定计算机病毒防治管理制度。

5.1.4运行管理

评估标准

运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。

现状描述

没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。

评估结论

结合本局具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。

5.1.5账号与口令管理

评估标准

制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。

现状描述

没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于6字符；管理员账户密码、口令长度大于8字符，半年内账户密码、口令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化后能及时对其账户进行变更或注销。

评估结论

制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。

5.2 网络与系统安全评估

5.2.1网络架构

评估标准

局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备，不允许外联链路绕过防火墙，具有当前准确的网络拓扑结构图。

现状描述

局域网核心交换设备准备了备用设备，城域网核心路由设备采取了设备冗余；没有不经过防火墙的外联链路，有当前网络拓扑结构图。

评估结论

局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备，外联链路没有绕过防火墙，完善网络拓扑结构图。

5.2.2网络分区

评估标准

生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合理。

现状描述

生产控制系统和管理信息系统之间没有进行分区，VLAN间的访问控制设置合理。

评估结论

对生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合理。

5.2.3 网络设备

评估标准

网络设备配置有备份，网络关键点设备采用双电源，关闭网络设备HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令强健（>8字符，数字、字母混杂）。

现状描述

网络设备配置没有进行备份，网络关键点设备是双电源，网络设备关闭了HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令没达到要求。

评估结论

对网络设备配置进行备份，完善SNMP社区串、本地用户口令强健（>8字符，数字、字母混杂）。

5.2.4 IP管理

评估标准

有IP地址管理系统，IP地址管理有规划方案和分配策略，IP地址分配有记录。

现状描述

没有IP地址管理系统，正在进行对IP地址的规划和分配，IP地址分配有记录。

评估结论

建立IP地址管理系统，加快进行对IP地址的规划和分配，IP地址分配有记录。

5.2.5补丁管理

评估标准

有补丁管理的手段或补丁管理制度，Windows系统主机补丁安装齐全，有补丁安装的测试记录。

现状描述

通过手工补丁管理手段，没有制订相应管理制度；Windows系统主机补丁安装基本齐全，没有补丁安装的测试记录。

评估结论

完善补丁管理的手段，制订相应管理制度；补缺Windows系统主机补丁安装，补丁安装前进行测试记录。

5.2.6系统安全配置

评估标准

信息管理制度8

为规范我局信息化管理工作，使信息管理平台更好更安全的服务于工作，特制定以下管理制度：

1、数据保密

根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续；

禁止泄露、外借和转移专业数据信息；

各科室应制定业务数据的更改审批制度，未经批准不得随意更改已在局域网内公布的业务数据；

各科室与因特网连接的计算机不得录入机密文件和涉密信息；

2、数据备份

各科室对本科室计算机内的重要数据应制作备份并异地存放，确保系统发生故障时能够快速恢复；

数据备份不得更改；

数据备份必须指定专人负责保管，由计算机信息技术人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管；

数据备份保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

3、操作规范

①计算机操作人员

必须爱护电脑设备，经常保持办公室和电脑设备的清洁卫生；

必须懂得正确操作和使用计算机，加强计算机知识的学习；

必须注意保护自己的计算机信息系统，自己部门登录系统的口令要注意保密；

不得让任何无关人员使用自己的计算机，不要擅自或让其他非专业技术人员修改自己计算机系统的重要设置；

严禁利用计算机系统上网发布、浏览、下载、传送反动、色情和暴力信息；

严禁利用计算机非法入侵他人或其他组织的计算机信息系统；

②维护技术人员

维修计算机和软件的部门或个人，在出门、销售、出租以前和维修以后，必须保证计算机和软件无病毒和其他有害数据；

③任何科室和个人不得从事下列活动：

利用计算机信息网络制作、传播、复制有害信息；

非法侵入计算机信息网络，非法窃取计算机信息系统中信息资源；

未经授权查阅他人电子邮箱，冒用他人名义发送电子邮件；

故意干扰计算机信息网络畅通，故意输入计算机病毒以及其他有害数据危害计算机信息系统安全；

违反规定，对计算机信息系统功能进行增加、删除、修改、干扰，对信息系统中存储、处理或者传输的数据和应用程序进行增加、删除、修改、复制，影响计算机信息系统正常运行；

刊登、出版、发行、销售、出租有关计算机病毒源程序的书刊资料和其他媒体；

传播、制造、销售、运输、携带、邮寄含有计算机病毒及危害学校及社会公共安全的有害数据；

危害计算机信息系统安全的施工，从事其它危害计算机信息系统安全的活动。

信息管理制度9

为使医院信息化管理系统管理更加完善、更加规范。根据我院实际情况制定以下几点对我院信息化管理系统进行管理。

1、各科室操作人员必须管理好自己的系统登陆账号和密码，以防止被他人盗用。如遇问题追究责任时均以登录系统登陆账号为准。

2、各科室操作人员在离开岗位时必须退出自己已经登陆的软件系统，以防止被他人盗用。如遇问题追究责任时以登录系统登陆账号为准。

3、网络室人员不得擅自更改和删除错账。如需处理时，操作人员必须向科室负责人申请，交财务科审批通过后。以书面签字盖章形式交由网络室处理。网络室在处理完后必须做登记并请当事人签字认可。

4、网络室人员不得擅自增加、修改、删除科室信息、人员信息。如需处理时，相关科室必须向科室负责人申请，交上级主管部门审批。医生信息交由医务科增加；护士信息交由护理部增加。

5、收费项目信息管理：数据库管理员不得擅自增加、修改、删除收费项目信息。如需处理时，相关科室必须向科室负责人申请，交财务科、内审科审批。科室申请审批时必须注明：项目名称、项目编码、规格、单位、医保类别、收入所属类别、项目类别、价格、是否指定执行科室等相关信息。通过后以书面签字盖章形式交由网络室处理。网络室在处理完后必须做登记并请当事人签字认可。

6、医保新项目审批管理：由医保科以书面签字盖章后交网络室增加。书面上必须注明：项目名称、项目编码、规格、单位、医保类别、收入所属类别、价格、项目类别、是否指定执行科室等相关信息。网络室在处理完后必须做登记并请当事人签字认可。当事人待网络室增加完项目后到医保科进行项目审批。

7、权限管理：网络室不得擅自对操作员进行增加、修改、删除等权限操作。科室需要对本科操作员进行权限调整时，必须以书面签字盖章形式向相关主管部门申请审批后由网络室进行相关处理。书面申请时必须注明操作员姓名、人员类别、应该授予的权限内容。网络室在接到申请后对该工作人员进行相关权限的软件系统进行培训，考核通过后对其授予权限。网络室在处理完后必须做登记并请当事人签字认可。

8、操作员查账管理：网络室不得擅自对操作员或科室进行查账操作。操作员如发现某天财务账有问题时，首先对自己当天的收费票据进行反复、认真查询统计。在查询无果的情况下向科室负责人汇报，以书面签字盖章的形式向网络室提出查账申请。申请时必须注明申请人、查账时间范围，申请原因等相关信息，并准备好相关票据以便网络室查账。网络室在处理完后必须做登记并请当事人签字认可。

9、科室查账管理：科室在发现本科某天或当月收入报表有问题时，必选首先与住院部、医保科、财务科认真对账。在反复对账无果后以书面签字盖章的形式向网络室提出查账申请。申请时必须注明申请人、查账时间范围，申请原因等相关信息网络室在处理完后必须做登记并请当事人签字认可。

信息管理制度10

一、岗位职责：

1.工资的审核及分析;

2.工资异常部门找相关人员沟通处理;

3.人力资源系统的跟进;

4.阿米巴报表及分析汇报。

二、任职资格：

1.大专及以上学历;

2.做事细心，有责任心。

薪酬专员工作内容

工作内容：

1.负责公司薪酬核算

2.修改完善和执行公司薪酬方案和绩效考核等

3.薪酬和绩效考核数据统计与分析汇总

任职要求：

1.人力资源相关专业毕业，电脑操作熟练，具有一定的会计基础知识和计算机运营能力

2.工作认真负责，做事沉稳踏实

3.有一年以上的人力资源和薪酬相关工作经验

出纳兼薪酬会计岗位职责

岗位职责：

1.支付各种款项，做现金账

2.每月做工资

3.打资金申请

4.领导安排其他临时工作

任职资格：

1.中专以上学历，财务专业或者有会计从业资格证

2.年龄20-40之间，有吃苦精神

3、有团队合作精神。工作认真负责

工资会计岗位职责

岗位职责：

1、严格审核工资计算的有关凭证，对人事部门上报的当期工资变动情况表、各部门上报的各种代扣款项的通知单都严格审核，确认无误后，正确的编制出当月人员的工资发放表。

2、负责员工工资事宜查询和解释。

3、完成本部门安排的其它任务。

岗位要求：

1、大专以上学历，会计相关专业。

2、1年以上工制造业工资核算经验。

3、熟悉运用函数公式。

4、电脑办公软件熟练操作。

信息管理制度11

安全生产是企业的头等大事，必须坚持“安全第一，预防为主”的方针和群防群治制度，认真贯彻落实安全管理制度，切实加强安全管理，保证职工在生产过程中的安全与健康。根据国家和省有关法规、规定和文件，制定本企业信息安全管理制度。

一、计算机设备安全管理制度

计算机不同于其他办公设备，其实用性、严密性、操作技术性强，含量高、部件易受损；特别是联网计算机，开放性程度比较高，电脑内部易受外界的偷窥、攻击和病毒感染。为确保计算机软、硬件及网络的正常使用，特制定本制度。

1、公司内所有计算机归网络部统一管理，配备计算机的员工只负责使用操作；

2、计算机管理涉及的范围：

2.1所有硬件（包括外接设备）及网络联接线路；

2.2计算机及网络故障的排除；

2.3计算机及网络的维护与维修；

2.4操作系统的管理；

3、公司内所有计算机使用人员均为计算机操作员；

4、网络维护部负责对公司内所有计算机进行定期检查，一般每两月进行一次；

5、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

6、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。

7、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。

二、操作员安全管理制度

1、计算机原则上由专人负责操作维护，不得串用设备。下班后必须按程序关闭主机和其他设备，切断电源。

2、为保证计算机信息安全，必须为计算机设置密码。

3、计算机操作员除使用操作计算机外，不允许有以下行为：

3.1硬件设备出现故障擅自拆开主机机箱盖板；

3.2更换计算机配件（如鼠标、键盘、耳麦）；如有向网络管理员写设备申请单审批。

3.3删除计算机操作系统及公司指定的软件；

3.4使用带病毒的计算机软件；

3.5让外来人员进行有损于计算机的技术性操作；

4、不得使用来路不明或未经杀毒的盘片。计算机操作员定期对计算机进行杀毒。如发现计算机有病毒时，应及时清除，清除不了的病毒，要及时上报。

5、个人的公司重要文档、资料和数据保存时必须将资料储存在除操作系统外的其它磁盘空间，严禁将重要文件存放于桌面或C盘下。

6、工作时间内严禁工作人员在计算机上进行与工作无关的操作，不准上网与工作无关的聊天、玩电脑游戏、看影视、听音乐，迅雷下载等，

7、电脑及网络设备所在环境应保持清洁、卫生、通风，注意防尘、防潮、防火。

8、公司所有计算机使用者，不得破坏网管员对计算机的安全设置。包括用户使用权限。

9、除服务器外，其他所有计算机下班后必须关机并切断电源；

10、计算机使用者离职时必须由网络管理员确认其计算机硬件设备完好、移动存储设备归还、信息系统管理帐户密码和资料未破坏、个人帐户密码清除后方可办理离职手续。

11、如工作人员不按规定操作，造成不良后果的，将按有关规定，由操作者承担相应责任，并追究科室负责人的有关责任。

12、操作员设置与管理

（1）网络管理员管理操作权限必须经过公司领导授权取得； 根据不同部门的要求及岗位职责而设置；

（2）网络管理员负责故障恢复等管理及维护，必须有其上级授权； 不得使用他人操作代码进行业务操作；

三、密码与权限安全管理制度

1、密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串；

2、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。

3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。

4、系统维护用户的密码应至少由两人共同设置、保管和使用管理制度。

5、有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记。

四、数据安全管理制度

1、存放备份数据的介质必须具有明确的标识。备份数据必须异地存放。

2、注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。

3、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。

4、数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。

5、数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。

6、需要长期保存的数据，数据管理部门需与相关部门制定转存，根据转存和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。

7、非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测。

8、管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。

9、运行维护部门需指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。

10、营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体（包括软盘、光盘、移动硬盘等）。

五、网络管理

1、网络系统属于公司无形资产，公司有权限制上网行为，根据工作需要限制各部门的上网行为。

2、公司网络管理员对计算机IP地址统一分配、登记、管理，严禁私自更改IP地址。

3、公司员工必须自觉遵守企业的有关保密法规，严禁利用网络有意或无意泄漏公司的涉密文件、资料和数据。不得非法复制、转移和破坏公司的文件、资料和数据。

4、实行“绝密”文件、涉秘件与计算机网络绝对隔离，不得在计算机网络中输入、打印、复制“绝密”文件和有关涉秘件；

5、网络维护部负责文字工作的计算操作人员必须遵守有关的保密制度，对保密的文件资料进行加密存放，不得上网共享。

六、附则

1、本制度由网络部负责解释。

2、本制度由总经理批准后生效，自颁布之日起执行。

信息管理制度12

第一条、“信息系统平安保密”是一项常抓不懈的工作，每名系统管理员都必需提高信息安全保密意识，充分相识到信息安全保密的重要性及必要性。对重要系统的系统岗位员工进行信息系统平安保密培训。

第二条、实行信息发布责任追究制度，全部信息的发布必需按规定办理审核、审签手续，必需真实有效且符合中华人民共和国法规。涉及国家及公司机密的信息系统必需与内部网和互联网实施物理隔离，严格执行上网信息的审查制度和涉及国家隐私的信息不得在企业内网发布的规定，杜绝泄密事务的发生。凡发布虚假、反动、色情、泄密等内容，追究信息报送和审核者责任，对公司造成重大经济损失，将追究责任人相应的法律责任。

第三条、信息系统管理权限从平安级别上分为绝密、机密、隐私；从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特别用户；从操作承载体上分为服务器（包括系统服务器、应用服务器和限制服务器）、工作终端、用户终端；从设定内容上分为完全限制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作等。

第四条、全部信息系统的运用者和不同平安等级信息之间必需存在授权关系，并在新建信息系统开发建设阶段形成方案并加以设计，在软件系统中预留对应关系设置的功能，依据运用者岗位职务的变迁进行调整。

第五条、利用IT技术手段，对信息系统的硬件配置调整、软件参数修改严加限制。利用操作系统、数据库系统、应用系统所供应的平安机制，设置相应的平安参数，保证系统访问的平安；对于重要的计算机设备，要利用软件技术等手段防止员工擅自安装、卸载软件或变更软件系统配置，并定期对以上状况进行检查。

第六条、信息系统如须要托付专业机构进行系统运行和维护管理时，应严格审查其资质条件、市场剩余和信用状况等，并且与其签订正式的服务合同和保密协议。

第七条、全部信息系统服务器、工作终端、用户终端必需安装平安防病毒软件，对未安装防病毒软件的终端用户有权拒绝为其供应网络接入服务。

第八条、利用防火墙、路由器、入侵检测等网络设备，加强网络平安，严密防范来自互联网的黑客攻击和非法侵入。

第九条、对于通过互联网传输的涉密或关键业务数据，要实行必要的技术手段确保信息传递的保密性、精确性、完整性。

第十条、对于停止运行的废旧系统，应当做好系统中有价值及涉密信息的销毁、转移等善后工作。

第十一条、系统管理人员要遵守信息系统的各项管理制度，防止利用计算机舞弊和犯罪。

第十二条、对重要业务系统的访问建立用户管理制度，对于不同类别不同级别的各类管理及运用人员实行密码分级管理，设定密码有效期限，对密码存储采纳非明文二次加密技术防止各类密码泄露事故的发生。

信息管理制度13

居民死亡报告和死亡原因统计工作是通过持续、系统地收集人群死亡资料，并进行综合分析，研究死亡水平、死亡原因及变化趋势和规律的一项基础性工作。死亡资料分析产生的期望寿命、孕产妇死亡率和婴幼儿死亡率等健康指标和死因统计信息是反映国家和地区社会经济水平和文化发展状况的重要的科学指标，为国家制定社会经济发展政策、卫生事业发展规划和卫生政策提供科学的依据，同时也是医学、人口学、社会学等科学研究的基础信息。

居民死亡登记采用《居民死亡医学证明书》（以下简称《死亡证》）和《居民死因推断书》（以下简称《推断书》）对死亡原因进行记录，其中《死亡证》是具有法律效力的医疗文书，这为政府进行人口和户籍管理提供客观依据，也是实现人口管理文明和法制化的重要内容。

为了加强死亡报告与死亡原因统计工作的规范化管理，提高死亡报告工作质量，同时，为了及时准确地发现诊断不明的死亡病例，为传染病和新发传染病监测和预警提供基线数据，依据《中华人民共和国统计法》、《中华人民共和国执业医师法》和卫生部、公安部和民政部《关于使用〈出生医学证明书〉、〈死亡医学证明书〉和加强死因统计工作的通知》、《卫生部办公厅关于印发〈全国不明原因肺炎病例监测实施方案（试行）〉〈县及县以上医疗机构死亡病例监测实施方案（试行）〉的通知》、卫生部《全国疾病控制调查制度》、《全国妇幼保健调查制度》、卫生部《全国疾病预防控制机构工作规范》、《全国疾病监测系统死因监测工作规范（试行）》等法律、法规和文件，特制定本规范。

本规范适用于淄博市各级各类医疗卫生机构开展死因登记网络报告工作。

一、死因登记信息报告和管理

（一）信息收集

1、报告对象

发生在辖区内的所有死亡个案均为死因登记报告的对象，包括在辖区内死亡的户籍和非户籍中国居民，以及港、澳、台同胞和外籍公民。

2、报告单位和报告人

（1）报告单位：各级医疗卫生机构均为死因信息报告的责任单位。

（2）报告人：

1）各级各类医疗卫生机构医务人员均为死亡信息的报告人。

2）具有执业医师资格的医疗卫生人员方可填报《死亡医学证明书》。

3、死亡个案的填报

（1）医疗卫生机构死亡个案

凡在各级各类医疗机构发生的死亡个案（包括到达医院时已死亡，院前急救过程中死亡、院内诊疗过程中死亡），均应由诊治医生作出诊断并逐项认真填写《死亡医学证明书》。不明原因肺炎或死因不明者必须将死者生前的症状、体征、主要的辅助检查结果及诊治经过记录在《死亡医学证明书》上的调查记录栏内。

（2）家庭或其他场所死亡个案

在家中或其他场所死亡者，由所在地的村医（社区医生），将死亡信息定期报告至乡镇卫生院（社区卫生服务中心），乡镇卫生院（社区卫生服务中心）的防保医生，根据死者家属或其他知情人提供的死者生前病史、体征和/或医学诊断，对其死因进行推断，填写《死亡医学证明书》。

（3）涉法死亡个案

凡需公安司法部门介入的死亡个案，由公安司法部门判定死亡性质并出具死亡证明，辖区乡镇卫生院（社区卫生服务中心）负责该地区地段预防保健工作的医生根据死亡证明填报《死亡医学证明书》。

4、报告内容

（1）《死亡医学证明书》（见附表1）填写项目包括：

1）一般项目：姓名、性别、民族、主要职业及工种（尽可能同时填写职业和主要从事工作，如：车工、钳工、纺织工、门卫等）、身份证号、户口地址（应按身份证或户口本上登记的填写完整）、现住址（应填写具体的门牌号）、生前工作单位（应填写死前最后的或工作时间较长的单位）、出生日期和死亡日期（按公历填写）、实足年龄（按周岁计算，不满1周岁的按月日计算，不满1日的按小时、分钟计算）、婚姻情况、文化程度、死亡地点、疾病最高诊断单位及诊断依据、可以联系的家属姓名及住址或工作单位（包括联系电话，要填写详细）。

2）与死亡有关的疾病诊断项目：医生应结合死者生前有关疾病或情况进行综合分析，然后按照其导致死亡的顺序（直接死因、间接死因、根本死因）分别填写在《死亡证》的第Ⅰ部分，其他重要医学情况填写在第Ⅱ部分。对于到达医院时已死亡、院前急救过程中死亡等情况，医生应通过家属或知情人提供的情况进行死因推断，家属或知情人提供的情况应填写在《死亡证》或《推断书》背面的调查记录中，而推断后的死因应填写在《推断书》的疾病诊断项目中。

3）对于县及县级以上医疗机构发生的不明原因死亡病例，医生要按照《全国不明原因肺炎病例监测实施方案（试行）》的要求，在《死亡证》背面的调查记录一栏填写病人的症状、体征；如果是呼吸系统不明原因死亡病例，须填写体温是否超过38℃，是否有咳嗽、呼吸困难、抗生素治疗无效及肺炎或SARS的影像学特征，以及白细胞是否正常。

4）其他项目：住院号、医师签名（由填写《死亡证》的医生签字）、单位盖章（由填《死亡证》的医生所在单位盖章）、填报日期（一般应是死者死亡当日或随后几日填报，如果填报日期与死亡日期相距较远，则应给予文字说明）。

（2）5岁以下儿童死因登记报告副卡5岁以下儿童死亡个案除填写《死亡医学证明书》外，还应填写5岁以下儿童死因登记报告副卡（见附表2），副卡内容主要包括：《死亡医学证明书》编号、出生信息登记卡号、出生医学证明编号、儿童免疫接种卡号、儿童姓名、父亲姓名、母亲姓名、性别、出生日期、出生体重、孕周、出生地点、死亡日期、死亡年龄、死亡诊断、死亡地点、诊断级别和死因诊断依据等。

（3）孕产妇死因登记报告副卡

孕产妇死亡个案除填写《死亡医学证明书》外，还应填写孕产妇死因登记报告副卡（见附表3），副卡内容主要包括：《死亡医学证明书》编号、姓名、年龄、死亡时间、孕产次、人工流产（引产）次、末次月经、分娩时间、分娩地点、死亡地点、分娩方式、新法接生、致死的主要疾病诊断、死因诊断依据等。

5、填报要求

（1）《死亡医学证明书》共分四联：第一联由出证单位保存，用于网络报告。第二联由出证单位定期寄送县（区）疾病预防控制机构，由疾病预防控制机构保存。如出证单位无网络报告条件，则当地县（区）疾病预防控制机构使用第二联进行网络代报。第三、四联由死者家属交给户籍管理部门，其中第三联为户籍管理部门注销户口凭据，由户籍管理部门保存。第四联由户籍管理部门加盖印鉴，交死者家属作为殡葬火化凭据，由殡葬管理部门保存。《死亡医学证明书》的填写要求使用蓝色或黑色签字笔，内容完整、准确，字迹清楚，填报人签名，单位盖章。

（2）孕产妇和5岁以下儿童死亡个案除填写《死亡医学证明书》外，还必须填写孕产妇或5岁以下儿童死因登记报告副卡。

（3）《死亡证》由市卫生局统一印制，市疾控中心负责管理发放，向县（区）疾控机构提供。各县（区）疾控机构定期定量向辖区内医疗机构提供《死亡证》，各级收发单位要做好编号登记工作。

（二）网络报告

1、死因信息报告方式

《死亡医学证明书》及副卡通过《中国疾病预防控制信息系统》平台上的《全国死因登记报告信息系统》进行网络直报。

2、报告程序、时限

（1）区县及以上医疗机构

医疗机构指定专人每天收集本院内《死亡医学证明书》及副卡，并由病案室或防保科在7天内完成对卡片的审核和网络报告。网络填报时，需要将《死亡医学证明书》死因链、调查记录等原始信息如实录入，并进行根本死因确定及编码。

不具备网络报告条件的医疗机构，在7天内以最快的通讯方式（传真、邮寄）将填写完整的《死亡医学证明书》及副卡寄送属地县（区）级疾病预防控制机构。县（区）级疾病预防控制机构收到报告卡后，应在5个工作日内代为完成网络报告。

发现不明原因死亡病例，按照《卫生部办公厅关于印发〈全国不明原因肺炎病例监测实施方案（试行）〉〈县及县以上医疗机构死亡病例监测实施方案（试行）〉的通知》中所规定的报告程序和要求进行报告。

（2）区县以下医疗机构

乡镇卫生院（社区卫生服务中心）防保医生将收集到的《死亡医学证明书》，在30天内完成审核，并通过网络进行报告，网络填报时，需要将《死亡医学证明书》死因链、调查记录等原始信息如实录入。

没有条件实行网络报告的乡镇卫生院（社区卫生服务中心）应在填写和审核《死亡医学证明书》后向属地的县（区）级疾病预防控制机构报出。县（区）级疾病预防控制机构收到《死亡医学证明书》后，应在5个工作日内代为完成网络报告。

（3）其他医疗卫生机构

其他系统（军队、司法、农垦等）的医疗卫生机构应按照本规定进行死因登记报告。

（三）信息管理

1、死亡信息的审核

医疗机构的死亡报告管理人员应对收到的《死亡医学证明书》进行错项、漏项、逻辑错误等检查，对有疑问的《死亡医学证明书》必须及时向诊治（填写）医生进行核实。

区县疾病预防控制机构死亡报告管理人员每个工作日需上网对辖区内报出的死亡信息进行审核，发现填写不合格者应注明具体审核意见，并反馈、督促报告单位核实、纠正。

区县疾病预防控制机构负责县级以下医疗机构报告的死亡病例的根本死因确定和死因编码，具备条件的县级以下医疗机构也可承担根本死因确定和死因编码工作。区县妇幼保健机构死亡报告管理人员每个工作日需上网对辖区内报出的孕产妇和5岁以下儿童死亡信息进行审核，对有疑问的报告信息及时反馈报告单位或向报告人核实。

对于核实无误的《死亡医学证明书》及副卡，区县疾病预防控制机构和妇幼保健机构应于7天内通过网络对报告的死亡信息进行审核确认。

2、死亡信息的订正

对已审核确认的报告信息，如发生报告死亡病例死因诊断变更或填卡、编码错误时，应由填报单位及时报告县（区）疾病预防控制机构，由后者负责订正。

孕产妇及5岁以下儿童死亡个案，应由属地的妇幼机构对报告的病例进行追踪调查，发现《死亡医学证明书》或副卡信息有误时，应及时做出订正。

3、死亡信息的补报

各级疾控、妇幼和乡镇卫生院（社区卫生服务中心）定期与公安、殡葬、计生等部门核对死亡资料，发现漏报及时补报。村医（社区医生）定期了解辖区内死亡情况，发现漏报及时补报。

4、死亡信息的查重

区县疾病预防控制机构及具备网络报告条件的医疗机构每周对报告信息进行查重，对重复报告信息确认后删除。

（四）资料保存与管理

1、报告单位和区县疾病预防控制机构应妥善保存死因登记信息原始资料，填报的《死亡医学证明书》由录入单位和区县疾病预防控制机构按档案管理要求长期保存。

2、报告单位和区县疾病预防控制机构应定期下载个案数据和储存本单位网络上报的原始数据库，并采取有效方式进行数据的长期备份。

3、死亡统计资料或分析信息的管理和使用相关单位应按照有关法律、法规和国家、省级卫生行政部门有关规定执行，不得擅自公布。

4、对于需要使用死亡信息的，应由申请人按有关行政审批程序进行审批，申请书应明确信息的用途、范围、时段和类别。

二、信息的分析和利用

（一）县及县以上医疗机构死因登记报告信息

各区县疾病预防控制机构相关部门应对所属区县及以上医疗机构死因登记报告数据进行动态分析，发现某些疾病死亡水平异常波动时应及时向上级机构和同级卫生行政部门报告，并向责任报告单位或报告人进行反馈。

（二）全人群死因登记报告信息

各区县疾病预防控制机构和妇幼保健机构相关部门应对监测点死因登记报告信息和其它全人群死因登记报告信息定期进行汇总、分析，并编写死因分析报告，报上级机构和同级卫生行政部门。

三、信息系统管理

（一）支持性环境

1、行政支持区县疾病预防控制机构应本着“多部门参与，归口管理，统一协调”的工作策略，在区县卫生行政部门的领导下协调财政、民政、公安、司法、统计等相关部门，制定相关政策，形成死因登记信息报告工作良性运转和可持续发展的工作机制。

在卫生行政部门的领导下定期对辖区内各级各类医疗卫生机构死因登记信息的报告和管理情况进行经常性的监督、检查与评估。

2、制度建设

强化规范意识和管理意识，各地和有关部门要按照国家现有死亡病例网络报告和管理方面的文件和规范，落实相关部门职能和管理制度，明确各级各类人员的工作职责。

3、技术培训

各报告单位应按照死亡病例网络报告、管理、监测、分析、预测、预警等疾病预防控制的客观需求，加强人才培养和技术培训工作，提高死因登记报告工作人员的技术水平和管理能力。

4、经费支持

各级疾病预防控制机构应加强对卫生行政部门的汇报，争取管理部门对网络直报提供必要的经费，保障网络直报硬件设备购置、升级、维修维护经费以及互联网接入租用费的持续性投入，保证国家或省、市统一安排的漏报调查和其他专项调查、常规培训等经费。

（二）用户与权限管理

《全国死因登记报告信息系统》的用户和权限管理由市疾病预防控制中心系统管理员统一负责。

1、用户管理的原则

各级疾病预防控制中心设有专门的系统管理员负责用户的管理与权限分配。

用户管理采用分级管理的方式，每级系统管理员创建、管理本级的用户账号和下级系统管理员账号，按业务管理规定分配权限。条件不具备的地方，县（区）级的用户账号也可由市级系统管理员代为管理。医疗卫生机构账号由所在地县（区）疾病预防控制中心系统管理员管理。

2、各级用户的申请

各级医疗卫生保健机构可到属地区县疾病预防控制中心领取《〈死因登记报告信息系统用户申请表〉用户申请（变更）表》（以下简称《用户申请表》）（见附表4），或在中国疾病预防控制中心网站上下载空白申请表，并按要求填写，经业务归口管理部门签批加盖单位公章后，送交属地区县疾病预防控制中心系统管理员开设用户账号。也可由区县级疾病预防控制中心统一办理属地医疗卫生机构的用户账号。

各级疾病预防控制中心、妇幼保健机构业务科室用户的申请可到本单位相关部门领取《用户申请表》，也可自行下载空白申请表，并按要求填写，经业务归口管理部门签批加盖单位公章后，送交本单位系统管理员开设用户账号。

各级卫生行政部门及其它机构如需进行信息查询，可到同级疾病预防控制中心领取《用户申请表》，也可自行下载空白申请表，并按要求填写，经同级卫生行政业务归口管理部门签批加盖单位公章后，送交属地区县疾病预防控制中心系统管理员开设用户账号。

3、权限管理的原则

用户的权限分配应以保障数据直报安全、准确、高效为原则。

（三）安全管理

1、系统安全

用户必须遵守国家法律、单位规章制度。

用户必须按照本规范要求对系统进行操作，尽量做到专人、专机运行使用本系统，严禁使用公共场所（如网吧）的计算机登录《全国死因登记报告信息系统》。

用户应在运行本系统的计算机上安装杀毒软件、防火墙，定期杀毒；禁止在运行本系统的计算机上安装、运行含有病毒、恶意代码、木马的程序或运行黑客程序及进行黑客操作。

《全国死因登记报告信息系统》分正式系统和测试系统。所有正式报告数据必须在正式系统中报告，测试系统仅供培训学习和测试使用。

登录用户需经培训考核合格，由各级疾病预防控制中心的《中国疾病预防控制信息系统》系统管理员严格管理，具备正式系统使用权限的用户才可以使用测试系统。

2、账号安全

用户的账号密码应由8位以上的数字与英文字母组成，每月至少更改一次。

用户如发现账号信息泄露，须尽可能在最短时间内（最长不超过24小时）通知本级系统管理员，各级医疗机构通知本单位所在县（区）疾病预防控制中心系统管理员。系统管理员在查明情况前，应暂停该用户的使用权限，并同时对该账号所报数据进行核查。待确认没有造成对报告数据的破坏后，修改密码，恢复该账号的报告权限，同时进行书面记录。

用户调离岗位时，应及时向系统管理员报告，待原账号信息修改后，方可继续使用。

（四）数据共享与交换

1、数据共享

中国疾病预防控制中心负责定期将系统产生的历史死因数据移交数据共享平台，供相关部门查询利用。

各级疾病预防控制中心应及时将本辖区内报告数据的分析结果上传至《全国死因登记报告信息系统》中“信息反馈”模块，保证信息反馈的有效与及时。

2、数据交换

各级疾病预防控制中心应按照中国疾病预防控制中心制定的数据交换标准，在经过认证授权的区域进行死因监测信息系统与《全国死因登记报告信息系统》之间的数据交换。

（五）数据关联

各级疾病预防控制中心应配合中国疾病预防控制中心开展《全国死因登记报告信息系统》与医院信息管理系统（HIS系统）关联工作，在标准制定、方法研究等工作中给与配合与支持。

四、考核与评估

（一）考核方式

一般采取网络报告资料考评与现场考评相结合的方式，分为市级疾病预防控制中心对区县疾病预防控制中心、区县疾病预防控制中心对本辖区医疗机构和医疗机构内部的考核评估等。市疾病预防控制中心对区县疾病预防控制中心每年考评两次，县（区）疾病预防控制机构对辖区全部报告单位的考评至少半年一次，医疗机构内部至少每季度考评一次。所有考评均需有书面记录。

（二）考核内容

主要包括组织管理、网络建设、培训情况、报告质量、资料分析与利用等综合评价指标。

（三）评价指标

评价指标包括以下几个方面：

1、组织管理：包括制度建设与落实、经费保障、机构建设、岗位职责、人员配备及稳定性等。

2、网络建设：包括硬件设备、网络报告覆盖率、直报账户的管理等。

3、人员培训：包括培训次数、培训人数、培训记录等。

4、报告质量：包括卡片填写质量、报告及时性、审核率和审核及时性、死因准确性、死亡漏报情况等。

5、资料分析与利用：包括分析报告质量，数据质量分析频次等。

五、制度保障

为确保工作质量，应根据实际情况建立如下管理制度：

1、建立例会制度，定期开展工作交流。县（区）疾控机构应每月定期召集辖区各医院、街道医院或乡镇医院责任医务人员，讨论死亡报告的相关事宜。各医院应定期召开死亡报告讨论会，提高《死亡证》的填报质量。市疾控中心应建立例会制度。每年召集下级单位进行工作研讨或统计会审。

2、建立死因登记报告管理制度，规范医疗保健机构内部死亡信息的收集和报告，明确工作流程。各级医疗机构应建立健全死亡报告管理制度，完善填报流程，将此项工作纳入医院综合考核内容。明确相关科室职责，由专人负责全院的《死亡证》的收集、整理、核查、盖章及编码工作，并进行台帐登记，建立《死亡登记册》

3、建立对死亡信息核实制度。重点加强对信息不清楚，死因不明的死亡病例的核实调查，提高死因推断准确性。

乡镇卫生院（社区卫生服务中心）防保科负责死亡报告的医生，对上级认为填报不清等需要核实的个案，需查阅原始资料，15或入户调查。

区县疾控机构要及时审核辖区内医院上报的《死亡证》第二联；对无法编码的《死亡证》进行复查，住院死亡以医院病历为依据；急诊死亡及来院时已死亡、无诊疗记录或病史不详的个案，要进行入户调查。

4、建立死亡信息补充报告制度，定期与户籍管理部门、殡葬管理部门、妇幼管理部门核对数据，及时进行查漏补报。

5、建立档案管理制度，规范死因信息的档案管理。建立死亡信息（包括原始记录、死亡登记册、各种报表和计算机数据库）管理制度。县（区）疾控机构要安排专人对资料进行管理。原始资料须长期保存，录入后的数据应使用有效方式备份保存。

6、建立培训工作制度，确保死因登记报告业务的正常延续。各级疾控机构每年定期或不定期组织对辖区内从事死因监测工作的专业人员进行相关技术方案、流行病学与卫生统计学、国际疾病分类标准等相关知识的培训，满足工作队伍的专业需要，保证工作质量。

区县疾控机构每年对辖区内医疗机构的死因报告专管员、临床医生、基层医生和防保医生有针对性地进行业务知识培训。着重加强各级医院医生，尤其是基层医生的培训，培训内容应侧重于出生死亡信息的收集和根本死因的确定。死因编码人员以及各级疾控机构从事死因监测工作的其他人员应经国家或省级培训，考核合格者实行注册登记。

7、建立定期考核评比通报制度，加强死因登记报告工作的质量控制。各级卫生行政部门每年定期组织开展辖区内死因监测工作考核，并纳入单位考核内容，完善奖惩机制。

市疾控机构定期（每年2次）对下级单位死亡报告与统计工作进行检查、评估。检查、评估结果以简报形式上报和反馈。

区县疾控机构定期（每年4次）对辖区内开具《死亡证》的单位的死亡登记报告工作进行督导、检查，记录检查情况，定期进行通报，完善奖惩机制。

六、组织机构及其职责

在各级卫生行政部门的组织领导下，协调财政、民政、公安、司法、计生、统计等相关部门，争取开展工作所需要的经费、政策及相关工作环境与条件。各级疾控机构是死亡报告与死因统计工作的技术管理部门，各级各类医疗机构是死亡报告和死因统计工作的业务执行单位，应根据工作需要，设立专门机构或人员负责该项工作。

遵循属地管理、分级负责的原则，各有关部门与机构在死因登记报告信息管理工作中履行以下职责：

（一）疾病预防控制机构

1、市级疾控机构

设立专门岗位，对区县疾控机构的死因监测工作进行日常管理、人员培训、技术指导，定期进行质控和评价。

（1）组织和指导各区县按照国家统一的工作规范和本省（区、17市）工作要求开展死因监测工作；

（2）对区县疾控机构开展的死亡报告工作进行日常管理，督促死因监测数据的及时上报；

（3）制定辖区死因监测工作人员培训计划，组织开展相应的技术培训；

（4）落实国家和省（区、市）死因监测工作各类方案要求，协助省级疾控机构组织开展漏报调查和其他质控与评价，充分发挥在省和县之间信息沟通与交流的桥梁功能。

2、区县疾控机构

设立专门岗位，落实全国疾病监测点死因监测工作。负责信息的收集、汇总、审核、编码、录入、整理、分析和网络上报，组织各类培训，对医院死亡报告工作进行督导、质控和考核，开展内部质控和评价。具体任务为：

（1）组织和指导辖区内各级医疗机构开展死亡登记和报告；

（2）负责收集辖区内医疗机构的死亡病例报告，负责审核、整理、编码、录入、转卡、分析，并按本规范统计要求按时编制各类统计报表上报；

（3）按照国家档案管理有关规定，对各种死因原始资料、统计资料等相关资料进行管理与保存；

（4）开展死因核实，组织实施漏报调查；

（5）定期对临床、防保等各类有关人员进行技术培训和技术指导；

18（6）定期与当地公安、民政、妇幼和计生部门核对死亡信息，及时做好补报工作。

（7）对辖区死亡报告工作进行督导、质控和考核，每年不少于2次，撰写工作通报，及时反映评估结果。

（8）做好本地区人口死亡数据的统计分析，为当地社会发展和卫生政策的制定提供信息支持。

（二）妇幼保健机构

各级妇幼保健机构应负责本辖区内的孕产妇和5岁以下儿童的死亡病例信息管理。具有临床诊疗功能的机构还应负责死亡病例报告的相关职责。

（三）各级各类医疗机构

1、区县及以上医疗机构

（1）认真执行本规范与相关方案，建立健全本单位死因登记信息管理制度。

（2）及时、准确、完整地填写《死亡医学证明书》，指定专门的部门或人员审核并按程序完成网络上报。

（3）做好《死亡医学证明书》的日常管理与原始凭证保存。

（4）参加疾病预防控制机构召开的例会和培训，不断提高自身业务素质。

（5）协助疾病预防控制与妇幼保健机构开展死因登记信息的质量控制和相关调查。

2、乡镇卫生院（社区卫生服务中心）

19（1）对辖区内需要进行调查的死亡个案进行入户调查，填报《死亡医学证明书》。

（2）指定专门的部门及人员负责网络报告。

（3）参加疾病预防控制机构召开的例会和培训，不断提高自身业务素质。

（4）开展多种形式的质量控制，对辖区内死亡报告工作进行培训和指导，定期检查所管辖村医（社区医生）的工作质量。

（5）做好《死亡医学证明书》的日常管理与原始凭证保存。

（6）乡镇卫生院（社区卫生服务中心）定期与公安、民政等管理部门核对出生、死亡资料，发现漏报和错报，应及时组织进行入户调查，并及时按程序补报和订正。

3、村卫生室（社区卫生服务站）

收集辖区内死亡个案信息，上报乡镇卫生院（社区卫生服务中心），并协助乡镇卫生院（社区卫生服务中心）防保医生进行入户调查与核实。

七、质量控制

（一）市级疾控机构

1、每年至少召开1次工作会议和技术培训会议。

2、每年2月底前完成本市的死亡监测数据的审核和分析，同时上报同级卫生行政部门和中国疾病预防控制中心，并反馈各监测点疾控机构。

3、每年抽查核对各区县《死亡证》填写质量和ICD—10编码质20量，要求辖区内监测点录入的《死亡证》项目填写错误或不完整、死因填写不规范或逻辑错误者的比例不超过5％，ICD—10编码错误的比例不超过5％。对报告质量不符合要求者，应进行通报批评，并及时查找原因，采取改进措施，必要时组织对监测点工作人员的培训和重点地区现场督导工作，并将情况及时上报省疾控中心慢病所。

4、负责日常技术指导，定期赴现场督导，检查疾病监测点死因监测工作开展情况，协调解决死因监测工作中出现的问题。市疾控机构每年对各区县现场督导覆盖率应为100%。

（二）区县疾控机构

1、组织对辖区内责任报告单位和报告人员的死因监测工作进行督导、质控和培训（含以会代训），每季度一次，督导、质控和培训情况定期上报市级疾控机构。

2、负责对收到的《死亡证》进行认真审核和录入，录入的《死亡证》项目填写错误或不完整、死因填写不规范或逻辑错误者的比例城市不超过5％，农村不超过8%；ICD—10编码错误的比例不超过5％。对报告质量不符合要求者，应及时组织调查核实，进行补充或更正，并及时查找原因，采取改进措施。

3、定期与当地公安、民政部门和妇幼保健机构核对死亡信息，监测点报告的死亡数、婴儿死亡数一般不应少于公安部门、民政部门和妇幼保健机构的报告数字。如发现数字不符，尤其是监测点报告的死亡数、婴儿死亡数少于公安部门、民政部门或妇幼保21健机构的报告数字时，应及时查找原因，并做好补报工作。有条件的地区可以组织、实施并协调危重婴儿足岁结局追踪工作。

4、死因监测资料中，死因分类为诊断不明及其他原因的死亡个案占全部死亡个案的比例城市监测点不超过5％，农村监测点不超过8％。如超出该指标，应及时组织补充调查，核实死亡原因。同时应组织对责任报告人员进行培训和考核。

5、每年开展居民死亡漏报调查工作。

（三）各级医疗机构

1、《死亡证》上报数量与本医院开具的《死亡证》数量应相符，符合率应为100％。医疗机构死亡病例的漏报率应在5％以下。

2、医疗机构出具的《死亡证》，应按照本规范要求填写，字迹应工整，易于辨认，项目填写应正确和完整，死者的性别、出生日期和死亡日期、主要致死原因（不明原因死亡的应填写主要病史和症状体征）、诊断依据必须填写，卡片项目填写完整率应高于95％，项目填写错误率应小于5％。

3、医疗机构对于不合格的《死亡证》应重新核实并按照要求填写；《死亡证》中的主要变量逻辑关系应成立。

4、医疗机构应根据《死亡证》正确判断根本死亡原因。5、按时参加当地疾控机构组织的业务培训及例会；每年对院内相关人员和新上岗人员进行培训。

6、建立健全医院死亡登记报告管理制度，定期开展自查。7、乡镇卫生院（社区卫生服务中心）对辖区内发生的在家死22亡的个案进行入户调查，入户率应达95％以上。

八、考核与评价

（一）考核频度

1、市疾控机构每年应组织两次对区县全面的工作考核，覆盖面100％。

2、各区县疾控机构每年应对辖区内承担死因监测工作的责任报告单位和责任报告人的工作考核四次，覆盖面100％。

（二）考核内容及指标

1、疾病监测组织管理工作（以正式文件或其他书面材料为准）。

（1）各区县疾控机构及医疗机构有无管理组织：有一名业务领导抓此项工作，至少有1名专职人员；

（2）有无切实可行的规章制度：有计划、总结、督导及自查记录；

（3）监测资料管理情况：资料管理要求档案化，对各种死因原始资料、统计资料要求分类并按顺序有专柜管理；

（4）有无定期的例会和培训记录；

（5）与相关机构协调工作完成情况。

2、各区县疾控机构各类数据库、报表上报质量和及时率。

3、数据质量控制：卡片填报的完整率、规范率、卡片与病史符合率、录入符合率、死亡原因错误判断率、报告不明原因死亡比例、死亡报告总数与其他来源符合情况、报告死亡率和婴儿死23亡率、死亡漏报率等。

4、数据分析：监测点死因监测数据分析完成情况。

5、死因监测数据库维护：包括数据更正情况和保存情况。

九、附表

附表1：居民死亡医学证明书

附表2：孕产妇死亡登记副卡附表3：附表4：死因登记报告信息系统用户申请表

5岁以下儿童死亡登记副卡

信息管理制度14

一、一般规定

1、未经网管批准，任何人不得改变网络（内部信息平台）拓扑结构、网络（内部信息平台）设备布置、服务器、路由器配置和网络（内部信息平台）参数。

2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。

3、机关局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制和传播妨害单位稳定的有关信息。

4、各科室应定期对本科室计算机系统和相关业务数据进行备份以防发生故障时进行恢复。

二、帐号管理

1、网络（内部信息平台）帐号采用分组管理。并详细登记：用户姓名、部门名称、口令，存取权限，开通时间，网络（内部信息平台）资源分配情况等。

2、网络（内部信息平台）管理员为用户设置明码口令，用户可以根据自己的保密情况进行修改口令，用户应对工作站设置开机密码和屏保密码。

3、用户帐号下的数据属于用户私有数据，当事人具有存入权限，管理员具有管理和备份存取权限。

4、网络（内部信息平台）管理员根据有关帐号管理规则对用户帐号执行管理，并对用户帐号及数据的安全和保密负责。

5、网络（内部信息平台）管理员必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息等泄露出去。

三、网络管理员职责

1、协助制定网络（内部信息平台）建设方案，确定网络（内部信息平台）安全及资源共享策略。

2、负责公用网络（内部信息平台）实体，如服务器、交换机、集线器、防火墙、网线、接插件等的维护和管理。

3、负责服务器和系统软件的安装、维护、调整及更新。

4、负责网络（内部信息平台）账号管理，资源分配，数据安全和系统安全。

5、监视网络（内部信息平台）运行，调整参数，调度资源，保持网络（内部信息平台）安全、稳定、畅通。

6、负责系统备份和网络（内部信息平台）数据备份，负责各部门电子数据资料的整理和归档。

7、保管网络（内部信息平台）拓扑图接线表，设备规格及配置单，管理记录，运行记录，检修记录等网络（内部信息平台）资料。

8、每年对本单位网络（内部信息平台）的效能和各电脑性能进行评价，提出网络（内部信息平台）结构、技术和网络、管理的改进措施。

四、安全管理职责

1、保障网络（内部信息平台）畅通和信息安全。

2、严格遵守国家、省、市制定的相关法律、行政法规，严格执行《网络安全工作制度》，以人为本，依法管理，确保网络（内部信息平台）安全有序。

3、在发生网络（内部信息平台）重大突发事件时，应立即报告，采取应急措施，尽快恢复网络（内部信息平台）正常运行。

4、充分利用现有的安全设备设施、软件，最大限度地防止计算机病毒入侵和黑客攻击。

5、加强信息审查工作，保存，备份至少90天之内网络信息日志，及时加以分析，排查不安定因素，防止黄色，反动信息的传播。

6、经常检查网络（内部信息平台）工作环境的防火、防盗工作。五、电脑操作人员培训制度

五、病毒的防治管理制度

1、任何人不得在机关的局域网上制造传播任何计算机病毒，不得故意引入病毒。网络（内部信息平台）使用者发现病毒应立即向网络管理员报告。网络管理员及时指导和协助处理病毒。

2、各部门应定期查毒，（周期为一周或者10天）管理员应及时升级病毒库，并提示各部门对杀毒软件进行在线升级。

计算机病毒防治管理制度

为加强计算机的安全监察工作，预防和控制计算机病毒，保障计算机系统的正常运行，根据国家有关规定，结合实际情况，制定本制度。

一、凡在本网站所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置，维修计算机及其软件的部门，必须遵守本办法。

二、本办法所称计算机病毒，是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

三、任何工作人员不得制作和传播计算机病毒。

四、任何工作人员不得有下列传播计算机病毒的行为：

1、故意输入计算机病毒，危害计算机信息系统安全。

2、向计算机应用部门提供含有计算机病毒的文件、软件、媒体。

3、购置和使用含有计算机病毒的媒体。

五、预防和控制计算机病毒的安全管理工作，由我部信息安全协调科负责实施，其主要职责是：

1、制定计算机病毒防治管理制度和技术规程，并检查执行情况;

2、培训计算机病毒防治管理人员外；

3、采取计算机病毒安全技术防治措施；

4、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训；

5、及时检测、清除计算机系统中的计算机病毒，并做好检测、清除的记录；

6、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品；

7、向公安机关报告发现的计算机病毒，并协助公安机关追查计算机病毒的来源。

8、对因计算机病毒引起的计算机信息系统瘫痪，程序和数据严重破坏等重大事故及时向公安机关报告人，并保护现场。

9、计算机安全管理部门应加强对计算机操作人员的审查，并定期进行安全教育和培训。

10、计算机信息系统应用部门应建立计算机运行记录制度，未经审定的任何程序，指令或数据，不得输入计算机系统运行。

11、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测，发现染有计算机病毒的，应采取措施加以消除，在未消除病毒之前不准投入使用。

12、通过网络进行电子邮件或文件传输，应及时对传输媒体进行病毒检测，接收到邮件时也要及时进行病毒检测，以防止计算机病毒的传播。

13、任何部门和个人不得从事下列活动：

⑴收集、研究有害数据；

⑵出版、刊登、讲解、出租有害数据原理，源程序的书籍，资料或文章；

⑶复制有害数据的检测，清除工具

六、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者，第一次给予警告、第二次给予通报批评，第三次及以上将给予通报批评并进行100-200元/次的处罚。

七、积极接受公安机关对计算机病毒防治管理工作的监督，检查和指导。

信息管理制度15

第一章 总则

第一条 为了规范公司信息化管理，合理规划和高效、安全利用信息系统，制定本制度。

第二条 综合管理部为公司信息化对口管理部门，本制度适用于新亚煤矿各部门及施工单位。

第二章添置更换

第一条 信息化设备的配置，原则上根据煤矿各部门需求情况和信息化建设综合需要，由煤矿统筹安排。

第二条 因工作需要添置（更新）信息化设备时，由需求部门填写《新亚煤矿信息化设备添置更换申请表》，明确提出目前遇到的困难和所需设备性能要求，由信息中心进行技术鉴定，然后报财务部、分管矿长审批，由信息管理中心形成设备调拨或采购方案。采购的设备要注重性价比实际功效，力求力行节约、合理配置。

第三条 新购入的信息化设备（含软件）属固定资产范围内的必须按财务制度办理入库和出库手续，所有资料统一归档，信息管理中心应妥善保管好随机资料和软件介质。

第四条 新购入信息化设备（含软件）时，信息管理中心应协助供货方进行安装调试，确保设备正常投入使用。

第三章 管理与维护

第七条 信息化设备实行统一管理、分别负责。信息管理中心负责全煤矿系统计算机、服务器、交换机、路由器等煤矿信息化设备的规划、技术论证、采购、调配、维护、维修和管理。各部门操作使用人负责所有设备的环境卫生和日常清洁维护，各部门负责人承担部门设备的日常管理。

第八条 要充分挖掘现有信息化设备潜力，重视维护维修、功能开发、改造升级、延长使用寿命，确保信息化设备在使用中保持完好，做到合理流动、资源共享、物尽其用。杜绝闲置浪费、公物私化，不得将信息化设备用于与工作无关的事务上。

第九条 各部门操作使用人员需做好防尘、防水、防磁、防震、防盗等工作。计算机设备的键盘、鼠标、磁盘驱动器和显示器是易损件，使用过程中要轻拿轻放、保持清洁。磁盘驱动器及移动介质在读写时，禁止移动、晃动。键盘、鼠标要定期除尘。

第十条 计算机等日常办公用途的信息化设备主要责任人是使用本人，未经允许不得随意更换使用人。

第十一条 各种设备要明确专人负责保管，定期维护，延长其使用寿命，对暂时闲置的设备应妥善保管，定期保养。

第十二条 使用人员必须严格按照信息化设备操作规程操作，应掌握操作步骤，阅读有关手册，养成良好的使用习惯，不得凭主观意识随意操作，避免人为损坏，严禁超负荷运行。

第十三条 连接设备电源时，应明确供电电压的类型和范围是否符合设备的输入电压要求，不符合要求时，不准连接和开启电源、重要新信息化设备必须在配备ups电源或稳压电源的电网环境下运行，设备运行过程中不得震动、搬运或碰撞。严禁在设备运行过程中带电拔插。长时间不用时，应切断电源。

第十四条 路由器、交换机等重要网络设备和电缆的安装、配置以及因工作需要进行操作和管理。使用部门不能随意更改相关配置，更不能未经允许随意关闭网络设备。

第十五条 重要网络设备必须监理完整的技术文档和维护方案。网络设备的定期停机维护和升级必须有维护记录。

第十六条网络设备配置完成后要注意保存设置，登录口令要保密，不得泄露。同事应安装配备相关安全防护工具，第七备份数据，检查安全漏洞等隐患，使之处于安全稳定的运行状态。

第十七条 信息化设备出现故障时，应及时通报煤矿信息管理中心进行处理，严禁非专业技术人员擅自拆卸设备、更换零（部）件。

第十八条 要监理信息化设备借用制度，设立借用登记册，做到借用登记、遗失赔偿、归还销帐。高档贵重设备应建立专门使用管理办法，不得借做私用。

第四章 设备报废

第十九条 计算机设备的报废必须严格履行手续，由部门提出报废申请，由信息管理中心进行技术论证并签署意见，报请煤矿领导审批后，根据财务制度办理报废手续，并对信息化设备进行报废处置。

第二十条 出现以下情况之一，可以申请报废：

1、主要部件或结构已经损坏，不能达到最低使用要求，且无修复价值的，可申请报废。

2、经技术鉴定，确属质量问题或损坏过重，无法修复及维修费用超过、接近新购设备价格的可申请报废。

第二十一条 对违反规定的部门或个人，将依据《建元煤矿违纪违规行为处罚办法》对相关责任人进行处罚。

给公司信息化建设造成不良影响的，追究分管领导的相关责任。

第五章 附则

第二十二条 本制度自下发日起正式执行。