一、目的
为了更加有效的管理我院的信息系统,通过控制用户权限,加强对账号密码的管理措施,实现对信息系统的访问权限合理分配,防止信息系统的非授权访问,特制订本管理实施办法。
二、职责
(一)我院的用户账号及权限的安全管理由其所在部门、用户负责。
(二)用户负责根据自身工种提出创建账号、变更权限和注销账号的申请,由科室审批。
(三)各职能部门负责人负责审批所管辖科室用户账号的申请,并依据其工作职责审批授予相应的访问控制权限。
(四)特殊权限需由信息分管领导审批。
(五)信息科负责审查各类特权用户的账号、密码及权限,按照权限审批文件进行用户权限设置。
三、账号策略
(一)账号分类
根据访问各系统的不同角色确定用户账号,账号至少应当分为以下角色:
1.特权账号:负责维护系统的管理员,具有超级用户权限;
2.普通用户账号:访问系统的普通用户,具有相应访问内容和操作的最小权限;
3.第三方人员账号:临时或长期进行系统维护的非医院内部人员,应当根据第三方人员的维护范围确定其使用权限;
(二)账号策略
1.各系统依据账号的分类设置相应的账号,所有账号均以实名设置(除各类测试账号)。
2.应根据员工的工作内容和职能来分配权限,管理员为每个用户单独创建账号,严禁未授权使用他人账号。用户应妥善保管其账号,定期更换密码,确保其安全。
3.信息科系统管理员应严格管理用户账号,遵循如下要求:
(1)系统管理员在创建账号、变更账号以及撤销账号的过程中,都应保存审批文件,以备审计查看;
(2)对系统中存在的账号进行定期(每季度)维护,以确保系统中不存在无用或匿名账号。
四、账号权限安全管理要求
(一)账号初始化创建
1.用户账号创建有两种方式,分别为:系统安装时创建、用户申请时创建。系统安装时创建即在系统安装时默认创建的账号。用户申请时创建即在系统运行过程中,由需使用该系统的用户提出账号创建申请。
2.对于系统安装时创建的账号,须遵循如下安全要求:一人一账号,实名登记,首次登录时强制修改为符合一定复杂度长度的密码。须为每个管理员创建一个特权账号,并赋予相应的权限,严禁共用账号。
3.申请账号创建时,需遵循如下安全要求:
账号权限的申请遵守“谁使用、谁申请”的原则,由使用人提出申请;用户提出账号创建申请、申请原因及所需权限,并交由职能部门负责人审批,由职能部门负责人判断是否授权或向上级提交申请。用户申请账号必须按照使用需要进行申请,不得随意申请与所承担工作无关的账号。
(二)账号权限变更与撤销
1.用户账号权限需要变更时,需遵循如下安全要求:由用户提出账号权限变更申请、申请原因、使用时间及所需权限,由职能部门负责人判断是否授权或向分管院领导提交申请。用户申请账号权限变更必须按照使用需要进行申请,不得申请超出使用范围的权限;对于用户申请特权用户权限的情况,系统管理员应报所属分管领导审批。
2.当用户账号不再使用时,必须及时撤销账号权限,由用户告知所在部门,由用户所在部门提出撤销账号申请。
(三)账号权限操作
1.在用户申请经过审批后,信息科方可执行账号权限的创建、变更或撤销操作。在执行过程中,须遵循如下要求:
账号的创建、变更和撤销过程必须留存审批单,以备审查;对相同权限的账号可建立相应的安全组,以便于管理;信息科对账号权限操作后,将结果反馈给申请人。
(四)账号权限审查
1.信息科系统管理员应每季度对所管理系统的账号权限进行抽查复核检查,以避免因授权不当而导致的损失。
五、权限申请方式
各科室有权限申请变更时,可通过填写纸质权限审批单(见附件)或通过OA系统中审批→信息科业务审批→信息系统权限审批单进行申请。
六、数据库操作安全审计
医院配置数据库审计设备及软件,实时监控对数据库的操作,记录具体操作、IP、时间等,并设置报警规则。
七、罚则
本管理实施办法适用于医院全体员工,自颁布之日起执行。
违反本管理实施办法条款的责任人,第一次发现由科室相关领导对其进行口头批评;第二次发现以全院公开通报批评;第三次发现以交由医院纪委对其处罚;因违反本管理实施办法造成严重后果或对医院造成经济损失的,由医院纪委对责任人提出处理意见并进行处理。