信息系统权限管理制度(2020年)

信息系统使用规章制度第一章总则第一条为规范信息系统的使用、保护信息安全，保障信息系统正常运行，本规章制度制定。

第二条本规章制度适用于全体使用信息系统的工作人员。

第三条信息系统使用规章制度是信息系统管理者对信息系统使用行为规范，所有使用信息系统的人员都必须遵守和执行。

第四条信息系统使用规章制度的内容包括：信息系统的管理、安全、维护、违规处理等方面。

第五条使用信息系统必须遵守国家相关法律法规和公司内部管理规定，不得利用信息系统从事违法犯罪活动。

第二章信息系统的管理第一条信息系统管理者负责信息系统的日常管理、应急处置等工作。

第二条信息系统管理者有权对信息系统进行监控和检查，保障信息系统的安全和稳定运行。

第三条信息系统管理者有责任保护信息系统中的数据安全，不得泄露机密信息。

第四条信息系统管理者有权根据实际情况对信息系统进行设置和调整，以确保信息系统的正常运行。

第五条信息系统管理者有权对工作人员进行信息系统的培训和指导。

第六条工作人员使用信息系统时必须遵守信息系统管理者的规定，不得擅自更改信息系统的设置。

第七条工作人员发现信息系统存在问题应及时向信息系统管理者报告，不得擅自处理。

第三章信息系统的安全第一条工作人员使用信息系统时，必须遵守信息系统的安全规定，不得泄露数据和操作信息。

第二条工作人员在使用信息系统时，必须使用自己的账号和密码，不得私自使用其他人的账号。

第三条工作人员在处理敏感信息时，必须采取保密措施，不得将敏感信息外传。

第四条工作人员在发现信息系统存在漏洞时，必须及时报告信息系统管理者，不得私自利用。

第五条工作人员不得向外部机构提供公司内部信息系统的账号和密码，不得使用信息系统进行非法活动。

第六条工作人员在使用信息系统时，应定期更新密码，确保信息系统的安全。

第七条工作人员不得擅自下载和安装未经授权的软件，以免影响信息系统的正常运行。

第八条工作人员不得在信息系统上进行未经授权的操作，不得擅自访问不该访问的信息。

计算机信息系统变更、发布、配置管理制度第一节医院信息系统安全管理制度 (1)一、总则 (1)二、信息管理部员工安全职责 (1)三、终端用户安全职责 (2)四、网络运行监控、防病毒、防入侵、桌面管理措施 (3)第二节硬件、软件和程序管理制度 (4)一、总则 (4)二、软件设计申请制度 (4)三、优先次序标准： (5)四、信息管理新系统实施流程 (5)五、软件发布方式 (6)六、系统故障处理流程： (6)第三节账号和密码管理制度 (7)一、用户管理制度： (7)二、系统操作分级管理制度 (7)第四节病毒防护措施 (8)第五节硬件维护及保养 (8)一、信息系统硬件维修管理制度 (8)二、信息系统硬件维修报修流程 (9)三、信息系统硬件维修外送修理流程 (10)四、信息系统硬件设备报废流程 (10)五、医院计算机更换原则： (10)六、新装电话工作流程： (10)七、开通因特网管理流程 (11)第六节数据保密与数据备份 (11)一、数据备份（病人信息备份） (11)二、数据备份方案和系统恢复机制 (11)三、数据保密 (12)第七节网站信息变更和发布管理登记制度 (13)一、信息变更和发布登记制度 (13)二、信息系统变更及发布管理制度 (13)第八节计算机中心机房管理制度 (15)一、安全保密制度 (15)二、机房访问制度 (15)三、中心机房管理制度 (16)四、环境管理制度 (16)五、设备管理制度 (16)六、中心机房人员权限分配 (17)第九节培训与上岗 (17)一、信息管理部培训制度 (17)二、信息管理部上岗制度 (19)第十节电子住院病历使用管理暂行规定 (19)一、目的 (19)二、概念 (19)三、建立（书写） (20)四、格式与要求 (20)五、完成时限 (21)六、修改限定 (21)七、存储备份 (21)八、保管、查阅、调用与复印（同纸质病历） (22)九、罚则 (22)第十一节信息化系统应急预案 (22)一、医院信息系统出现故障报告程序 (22)二、医院信息系统故障分级及处理原则 (23)三、发生网络整体故障时的应急协调 (23)四、应急数据恢复工作规定 (25)五、故障处理程序 (25)六、应急转入手工操作后各系统的应急计划 (27)七、预案的管理与完善 (31)附件1：护理部信息管理系统应急预案 (31)附件:2 门诊护理信息系统应急预案 (33)附件3 ：门诊收费系统应急预案 (34)附件4：住院部信息系统应急预案 (35)附件5：检验科信息管理系统应急预案 (36)附件6 ：药剂科信息管理系统应急预案 (37)附件7 ：放射科信息管理应急预案 (38)第一节医院信息系统安全管理制度一、总则切实保障全院计算机网络的安全，根据国家及地方法规、JCI标准中医院设施管理与安全标准，制定本安全管理制度。

信息系统用户和权限管理制度信息系统用户和权限管理制度在发展不断提速的社会中，我们都跟制度有着直接或间接的联系，制度是各种行政法规、章程、制度、公约的总称。

那么什么样的制度才是有效的呢？以下是小编整理的`信息系统用户和权限管理制度，欢迎大家借鉴与参考，希望对大家有所帮助。

第一章总则第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。

第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统，以及以用户口令方式登录的网络设备、网站系统等。

第三条信息系统用户、角色、权限的划分和制定，以人力资源部对部门职能定位和各业务部门内部分工为依据。

第四条场协同办公系统用户和权限管理由场办公室负责，其他业务系统的用户和权限管理由各业务部门具体负责。

所有信息系统须指定系统管理员负责用户和权限管理的具体操作。

第五条信息系统用户和权限管理的基本原则是：（一）用户、权限和口令设置由系统管理员全面负责。

（二）用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。

（三）用户、权限和口令管理采用实名制管理模式。

（四）严禁杜绝一人多账号登记注册。

第二章管理职责第七条系统管理员职责负责本级用户管理以及对下一级系统管理员管理。

包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。

第八条业务管理员职责负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。

负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有权限实施相应业务信息管理活动。

第九条用户职责用户须严格管理自己用户名和口令，遵守保密性原则，除获得授权或另有规定外，不能将收集的个人信息向任何第三方泄露或公开。

系统内所有用户信息均必须采用真实信息，即实名制登记。

医院信息系统授权管理制度为保证医院信息系统数据的安全性，防止由于信息系统访问授权不当导致敏感数据和病人隐私信息泄露，加强对医院信息系统用户的授权管理，规范工作人员操作，提升医院信息系统管理水平，制定本制度。

一、总则（一）信息系统用户授权管理按照"集中领导，分级管理"的原则，由医院网络安全和信息化领导小组统筹考虑医院管理的要求，将权限分配和基础数据维护等功能按照职能分配给职能部门和用户所在科室归口管理，从而保证数据的权威性和一致性。

（二）信息系统上线后，网络安全和信息化领导小组应协调制定信息系统权限分配和基础数据维护职责，明确各部门在权限分配和基础数据维护中的责任和义务。

（三）用户持有者应对该用户在系统中所做的操作及结果负全部责任。

二、用户创建员工用户账号应由人事管理部门创建或由人事管理部门出具证明，详细注明姓名、性别、出生日期、身份证号码、学历职称等相关信息，加盖公章后由信息中心代为创建。

三、用户授权根据用户身份不同，应由归口管理部门及所在科室逐级授予信息系统使用权限。

或由归口管理部门及所在科室出具书面申请，详细说明所需权限并由部门和科室负责人签字同意后，交信息中心代为授权。

四、用户权限变更用户岗位变更，需调整信息系统使用权限，应由归口管理部门及所在科室逐级变更信息系统使用权限。

或由归口管理部门及所在科室出具书面申请，详细说明权限变更情况并由部门和科室负责人签字同意后，交信息中心代为授权。

五、用户注销和停用员工离职须收回信息系统使用权限并注销或停用用户。

用户注销或停用由人事管理部门负责，或人事管理部门出具证明，说明需注销或停用用户信息和原因，加盖公章后由信息中心代为注销或停用。

涉密信息系统集成资质管理办法(2020)【发文字号】国家保密局令2020年第1号【发布部门】国家保密局【公布日期】2020.12.10【实施日期】2021.03.01【时效性】现行有效【效力级别】部门规章国家保密局令（2020年第1号）《涉密信息系统集成资质管理办法》已经国家保密局2020年11月13日局务会议通过，现予公布，自2021年3月1日起施行。

局长田静2020年12月10日涉密信息系统集成资质管理办法第一章总则第一条为了加强涉密信息系统集成资质管理，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》、《中华人民共和国行政许可法》、《中华人民共和国行政处罚法》、《中华人民共和国保守国家秘密法实施条例》等有关法律法规，制定本办法。

第二条本办法所称涉密信息系统集成（以下简称涉密集成），是指涉密信息系统的规划、设计、建设、监理和运行维护等活动。

涉密集成资质是指保密行政管理部门许可企业事业单位从事涉密信息系统集成业务的法定资格。

第三条涉密集成资质的申请、受理、审查、决定、使用和监督管理，适用本办法。

第四条从事涉密集成业务的企业事业单位应当依照本办法，取得涉密集成资质。

国家机关和涉及国家秘密的单位（以下简称机关、单位）应当选择具有涉密集成资质的单位（以下简称资质单位）承接涉密集成业务。

第五条涉密集成资质管理应当遵循依法管理、安全保密、科学发展、公平公正的原则。

第六条国家保密行政管理部门主管全国涉密集成资质管理工作，省级保密行政管理部门主管本行政区域内涉密集成资质管理工作。

省级以上保密行政管理部门根据工作需要，可以委托下一级保密行政管理部门开展审查工作，或者组织机构协助开展工作。

第七条省级以上保密行政管理部门应当指定专门机构承担保密资质管理日常工作。

第八条省级以上保密行政管理部门建立保密资质审查专家库，组织开展入库审查、培训考核等工作。

第九条实施涉密集成资质许可不收取任何费用，所需经费纳入同级财政预算。

应用系统的角色、权限分配管理制度第一条、用户权限管理一、用户类型1．系统管理员：为应用系统建立账号及分配权限的用户2．高级用户：具有对应用系统内的数据进行查询和修改的用户3．普通用户：只对系统内数据有查询功能的用户二、用户建立1．建立的原则（1）不同类型用户的建立应遵循满足其工作需要的原则，而用户的权限分配则应以保障数据直报的高效、准确、安全为原则。

（2）用户的权限分配应尽量使用系统提供的角色划分。

如需特殊的操作权限，应在准确理解其各项操作内容的基础上，尽量避免和减少权限相互抵触、交叉及嵌套情况的发生，经调试成功后，再创建相应的角色赋予本级用户或直报用户。

（3）通过对用户进行角色划分，分配报告用户权限，合理限制对个案数据的修改权限，将数据报告与数据利用剥离，即原始数据报告与统计加工后信息利用分开。

（4）系统内所有涉及报告数据的帐户信息均必须采用真实信息，即实名制登记。

2．建立的程序（1）用户申请可由使用部门使用人填写应用系统用户申请表，经单位领导签字批准后，向本单位负责应用的相关部门提出申请。

（2）用户创建负责应用系统的相关部门在收到用户申请表后，系统管理员根据用户申请的内容和实际的工作范围，为其建立用户帐号并授予相应的角色，再填写用户申请回执表，经部门主管领导签字批准后，反馈给申请单位。

创建用户的步骤：①建立用户帐号；②创建角色；③为角色配置权限；④将角色授予用户。

第二条、用户安全一、系统安全1.用户必须遵守国家法律、单位规章制度，不得参加任何非法组织和发布任何反动言论；严守单位机密，不得对外散布、传播本系统内部信息；不得有诋毁、诽谤、破坏本系统声誉的行为。

2.用户必须按“传染病监测信息应用工作与技术指南”对系统进行操作，尽量做到专人、专机运行使用本系统，并避免使用公共场所（如网吧）的计算机使用应用系统。

3.用户应在运行本系统的计算机上安装杀毒软件、防火墙，定期杀毒；禁止在运行本系统的计算机上安装、运行含有病毒、恶意代码、木马的程序，不得运行黑客程序及进行黑客操作。

信息化规章制度
为了规范和管理公司的信息化工作，保障信息系统的安全稳定运行，特制定以下规章制度：
一、信息化设备管理。

1. 所有信息化设备必须经过公司指定的部门审核并登记，未经审核和登记的设备不得接入公司网络。

2. 信息化设备的维护和保养由专业人员负责，定期进行检查和维护，确保设备的正常运行。

3. 严禁私自擅自更改信息化设备的配置和设置，一经发现将受到严厉处罚。

二、信息系统安全管理。

1. 所有员工必须严格遵守公司的信息安全政策，不得泄露公司机密信息。

2. 禁止未经授权的人员访问公司的信息系统，未经授权的访问
行为将受到严厉处罚。

3. 定期对公司的信息系统进行安全检查和漏洞修补，确保系统
的安全稳定运行。

三、信息化数据管理。

1. 所有员工必须按照公司的规定对信息化数据进行备份和存储，确保数据的安全和可靠性。

2. 禁止私自删除或篡改公司的信息化数据，一经发现将受到严
厉处罚。

3. 对于重要的信息化数据，必须进行加密和权限控制，防止数
据泄露和损坏。

四、信息化使用规范。

1. 员工在使用公司的信息化设备和系统时，必须遵守公司的相
关规定，不得进行违法和违规的操作。

2. 禁止在公司的信息化设备和系统上进行个人非工作相关的活动，包括但不限于玩游戏、观看视频等。

3. 对于公司的信息化设备和系统，必须进行合理使用和节约用电，避免浪费资源。

以上规章制度，凡公司员工必须严格遵守，违反规定将受到相应的处罚。

同时，公司将定期对规章制度进行修订和完善，确保信息化工作的安全和顺利进行。

信息管理规章制度
第一条，为了规范信息管理工作，保护机构的信息安全，提高
信息资源的利用效率，制定本规章制度。

第二条，信息管理的范围包括但不限于机构内部的文件、资料、电子邮件、数据库、网络资源等所有形式的信息。

第三条，所有信息的采集、存储、传输和利用必须遵循国家法
律法规和机构内部的相关规定，严禁泄露、篡改、盗用信息。

第四条，信息管理工作应当建立健全的制度和流程，明确信息
管理的责任部门和责任人，确保信息的安全和完整性。

第五条，对于涉密信息，必须严格控制访问权限，定期进行安
全审计和检查，确保信息不被非法获取或泄露。

第六条，信息管理人员必须接受相关培训，了解信息管理的基
本知识和技能，提高信息管理的专业水平。

第七条，信息管理人员必须严格遵守保密规定，不得私自利用
或外传机构的信息资源，一经发现将受到严厉的处罚。

第八条，对于信息管理工作中的违规行为，机构将依法进行处理，情节严重者将追究刑事责任。

第九条，本规章制度自颁布之日起生效，如有需要修改，应当经过机构内部相关部门的审批并报领导批准后方可执行。

2020年修订)网络安全管理及考核办法网络安全管理制度及考核办法第一节公司成立网络安全工作领导组公司网络安全工作领导组的组长为总经理，副组长为分管副总经理，成员包括各部门、基层单位信息化工作负责人。

网络安全领导组办公室设在生产技术部信息办，主任为生产技术部部长。

第二节主要职责根据公司网络安全和信息化长远发展，网络安全领导组统筹协调公司各个业务领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，进一步推动公司网络安全和信息化发展。

网络安全领导组还负责公司网络安全和信息化工作制度建立和完善，不断增强网络安全保障能力。

网络安全领导组负责贯彻落实上级部门和公司网络安全和信息化工作的方针政策和工作任务，组织所属对各单位、部门网络安全和信息化工作的检查考核，指导、协调各单位网络安全和信息化工作，并定期对网络安全和信息化业务技术进行培训教育。

网络安全领导组还要确保公司网络系统中硬件、软件及其重要数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，保证各软件系统连续安全正常地运行，网络系统持续稳定。

第三节信息网络安全管理制度公司网络安全由生产技术部信息办统一管理。

计算机用户加入阳煤内网，必须由系统管理员安排接入网络，分配计算机名、IP地址、帐号和使用权限，并记录归档。

入网人员必须对所分配的帐号和密码负责，严格按要求做好密码或口令的保密和更换工作，不得泄密。

登录时必须使用自己的帐号。

为保证安全，口令长度不得小于6位，建议使用字母数字混合。

任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。

业务系统岗位变动时，应及时重新设置该岗帐号和工作口令。

凡需入网的计算机，须经单位分管领导或部门负责人同意后，由生产部信息办统一安排和监管，入网用户应妥善保管其计算机所分配的计算机名、IP地址，并对其安全负责。

对于擅自改动IP地址等行为，一经发现将严肃考核。

入网计算机必须有防病毒和安全保密措施。

考卷：2020年国家电网一线人员安全知识考试（信息专业）(总分：100分。

)一、单选题（一共30题，每道题1.0分）1. 根据《信息安规》，作业人员对本规程应（）考试一次。

(正确答案：B)A、每半年B、每年C、每两年D、每三年2. 根据《变电安规》，已终结的工作票、事故紧急抢修单应保存( )。

(正确答案：C)A、1个季度B、半年C、1年D、2年3. 根据《信息安规》，在工作票制度中，下列哪项属于可填用信息工作任务单的工作（）。

(正确答案：B)A、地市供电公司级以上单位信息机房不间断电源的检修工作。

B、地市供电公司级以上单位信息网络的汇聚层网络设备的投运、检修工作。

C、地市供电公司级单位核心层网络设备、上联网络设备和安全设备的投运、检修工作。

D、三类业务系统的上下线工作。

4. 根据《变电安规》，动火工作票签发人不准兼任该项工作的( )。

(正确答案：C)A、专责监护人B、工作许可人C、工作负责人D、工作班成员5. 根据《变电安规》，高压设备发生接地时，室外人员应距离故障点( )m以外。

(正确答案：D)A、2B、4C、6D、86. 根据《信息安规》，裸露电缆线头应做（）处理。

(正确答案：C)A、防水B、防火C、绝缘D、防潮7. 根据《信息安规》，工作终结电话报告中。

工作许可人和工作负责人应分别在信息工作票上记录（）和（），并复诵无误。

(正确答案：A)A、终结时间、双方姓名B、工作内容、发现的问题C、验证结果、存在问题D、以上都不对8. 根据《信息安规》，提供网络服务或扩大网络边界应经（）批准。

(正确答案：C)A、信息通信调度部门B、分管领导C、信息运维单位（部门）D、业务主管部门（业务归口管理部门）9. 根据《配电安规》，10kV及以下高压线路、设备不停电时的安全距离为( )m。

(正确答案：C)A、0.35B、0.6C、0.7D、1.010. 根据《变电安规》，( )、专责监护人应始终在工作现场，对工作班人员的安全认真监护，及时纠正不安全的行为。

信息发布系统规章制度内容第一章总则第一条为了规范信息发布系统的运行，保障信息的真实性和合法性，维护公共秩序，制订本规章制度。

第二条信息发布系统是指为公众提供信息服务的平台，包括但不限于新闻网站、社交媒体平台等。

第三条信息发布系统的管理单位应当严格遵守法律法规，加强对信息发布的监管，防范不良信息的传播。

第四条信息发布系统管理人员应当具备一定的专业知识和管理能力，加强自律，做到勤勉、认真、负责。

第五条信息发布系统的用户应当遵守国家法律法规，维护信息发布系统的正常秩序。

第六条信息发布系统的管理单位应当建立健全信息审核制度，及时查处违规行为。

第七条信息发布系统的管理人员应当保守用户信息，保障用户的隐私权利。

第八条信息发布系统的用户应当承担个人发布信息的责任，保证信息的真实性和合法性。

第九条信息发布系统管理单位应当建立用户投诉机制，及时处理用户投诉。

第十条信息发布系统管理单位应当建立完善的信息备份和安全保护措施，确保信息的安全。

第二章信息发布管理第十一条信息发布系统管理单位应当制定信息发布规范，明确信息发布的条件和流程。

第十二条信息发布系统管理人员应当定期审核信息发布内容，及时处理不良信息。

第十三条信息发布系统管理人员应当建立信息分类管理制度，对信息进行分类存储和管理。

第十四条信息发布系统管理人员应当对用户发布的信息进行审查，确保信息的真实性和合法性。

第十五条用户在信息发布系统发布信息时，应当遵守法律法规，不得发布违法、暴力、色情等不良信息。

第十六条信息发布系统管理人员应当建立信息保密制度，对用户信息进行保密处理。

第十七条信息发布系统管理人员应当建立信息回收机制，对已发布的信息进行回收处理。

第十八条信息发布系统管理人员应当及时更新信息发布系统，确保系统的正常运行。

第三章用户管理第十九条用户在注册信息发布系统账号时，应当提供真实有效的个人信息。

第二十条用户不得冒用他人身份注册账号，不得发布虚假信息。

第二十一条用户应当妥善保管账号和密码信息，不得将账号和密码信息转借他人。

（金融保险）银行信息安全管理规定中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络和信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的壹系列管理活动。

第三条人民银行信息安全管理工作实行统壹领导和分级管理。

总行统壹领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位和个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少壹名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第壹节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

医院管理股份有限公司（及下属医院）信息系统权限分级管理制度一、分级操作原则与级别划分根据对信息系统安全性的威胁程度，以及各部门对电脑系统的应用需要，进行分级。

对信息系统操作人员划分为以下级别：1级：全局管理员，对集团及下属医院信息化网络享有全面权限的人员。

本级权限由集团信息化领导小组授权信息部负责人享有，可对集团及下属医院信息系统因需要开展包括新建、部署、维护等各方面工作。

2级：专业管理员，具体包括：1）包括软件系统管理员：享有对操作系统及应用系统进行安装调试、修复、应用软件测试、部署、版本控制、文档等职能。

本权限由集团信息部赋予指定专人负责（如医院信息科负责人），在1级权限所有人指导与批准下开展工作。

2）数据库管理员：享有对数据库系统的操作、备份、调整、测试等权限。

本权限由集团信息部赋予指定专人负责，在1级权限所有人指导与批准下开展工作。

3）操作员授权管理员：享有对操作系统、数据库系统、应用软件按规定流程设定操作权限的权利。

本权限由集团信息部赋予指定专人负责，在1级权限所有人指导与批准下开展工作。

3级：字典维护员，对信息系统中包括床位、费用、药剂、材料等基础数据字典按规定进行维护的权限，具体包括：1）诊疗维护员：享有对各项医技、治疗、材料等诊疗收费字典按规定进行新增、调价、变更、废止等权限。

本权限由医保办指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

2）药品维护员：享有对西药、中药、草药等常规字典按规定进行新增、调价、变更、废止等权限。

本权限由药剂科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

3）其他字典维护员：享有对除诊疗与药品之外的其他字典如床位、患者类别、付费方式等按规定进行新增、变更、废止等权限本权限由信息科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。

4级：部门管理员，部门主管或指定人员享有因本部门业务需要的部门及管理权限，具体包括：1）门诊收费管理员：发票管理、部门工作统计与审核等，本权限赋予门诊收费处指定人员2）门诊药房管理员：药品库存管理、部门工作审核等，本权限赋予门诊药房指定人员3）收费单据重打印员：重打印由于软件或硬件原因造成的错误单据，本权限赋予信息科指定人员。

计算机信息系统保密管理制度一、总则为了保护计算机信息系统中的信息资产安全，保障信息主体的合法权益，建立和完善计算机信息系统保密管理制度，是公司保护信息安全的基本要求。

本制度的制定目的是为了规范计算机信息系统的使用和管理行为，确保计算机信息系统中的信息资产得到有效的保护和管理。

二、适用范围本制度适用于公司内部所有计算机信息系统的使用和管理行为。

三、保密责任1.公司所有员工有义务保守公司计算机信息系统中的信息安全，不得泄露、篡改和盗用公司的信息资产。

2.每位员工必须对公司的计算机账号和密码、存储介质、移动存储设备等进行妥善保管，不得向他人泄露。

3.管理人员要负责组织和实施计算机信息系统的安全管理措施，并对下属员工的保密工作进行监督和指导。

四、信息分类与标志1.将计算机信息系统中的信息分为公开信息、内部信息和机密信息三个级别，并相应地标识。

2.公开信息：无影响公司利益的信息，可以在未经授权的情况下向任意人展示和传播。

3.内部信息：不宜向外部人员展示和传播的信息，只能在内部范围使用。

4.机密信息：非常重要且不能泄露的信息，只能在经过授权的情况下使用，且仅限在授权范围内使用。

五、信息使用和管理1.员工在内部计算机信息系统中处理公司信息时，应按照公司的标准操作流程进行操作，不得滥用权限或逾越权限范围进行操作。

2.禁止在计算机信息系统中存储、发送、接收含有违法、有害、恶意程序或病毒的信息。

3.禁止私自安装和使用未经授权的软件或工具，如需安装或使用，应事先获得上级主管的批准。

4.禁止私自使用外部网络、移动存储设备和个人电脑等进行工作。

5.禁止非授权人员使用他人计算机账号和密码进行操作，应妥善保管自己的账号和密码，定期更换密码。

6.禁止私自更改他人计算机系统的设置和配置，避免出现故障和安全风险。

六、信息备份与恢复1.公司提供统一的备份机制，员工应定期备份计算机信息系统中的数据，并将备份数据存放在安全地点。

2.在进行计算机信息系统的维护和升级时，应提前备份相关数据，以免因操作失误或系统故障导致数据丢失。

中国银保监会办公厅关于银行业金融机构信贷资产证券化信息登记有关事项的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2020.09.30•【文号】银保监办发〔2020〕99号•【施行日期】2020.11.13•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银保监会办公厅关于银行业金融机构信贷资产证券化信息登记有关事项的通知银保监办发〔2020〕99号各银保监局，各政策性银行、大型银行、股份制银行，外资银行，金融资产管理公司，其他会管经营类机构，银行业信贷资产登记流转中心：为贯彻落实国务院“放管服”政策精神，推进简政放权，促进信贷资产证券化业务规范健康发展，进一步优化银行业金融机构信贷资产证券化登记管理流程，银保监会不再对信贷资产证券化产品备案登记，实施信贷资产证券化信息登记，现就有关事项通知如下：一、银行业金融机构开展信贷资产证券化业务，应当依照本通知要求进行信息集中统一登记。

按照规定向负责信贷资产证券化信息登记的管理机构（以下简称信息登记机构）按产品逐笔提交数据和资料等，并取得具有唯一性的产品信息登记编码。

受托机构持有产品信息登记编码，按程序申请发行。

二、银行业金融机构开展信贷资产证券化业务，发行信贷资产证券化产品前，应当对拟发行产品的基础资产明细和资产支持证券信息实施初始登记。

信贷资产证券化产品存续期内，其基础资产和资产支持证券信息发生变化的，应当在规定时间内进行变更登记。

信贷资产证券化产品存续期内发生风险和损失等重大变化的，应当及时报告银保监会和信息登记机构，并提出应对措施。

三、银行业金融机构应当持续加强信贷资产证券化信息登记内部管理。

制定健全完善的信息登记管理制度并严格实施，设立或者指定专门责任部门、岗位及人员并明确责任，严格内部操作流程，建立完备的风险管理、内部控制体系、信息系统和依照有关规定设置的专线报送网络，确保本机构信贷资产证券化信息登记工作规范有序开展。

附件1电信和互联网企业网络数据安全合规性评估要点（2020年版）为进一步指导电信和互联网企业做好网络数据安全合规性评估工作，提升数据安全保护水平，依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规，参考《信息安全技术个人信息安全规范》等标准规范，制定本要点，供各企业在网络数据安全合规性评估中使用。

一、基础性评估要点重点围绕机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等十个方面开展评估。

1.【机构人员】（1）明确企业数据安全管理责任部门，牵头承担企业数据安全管理工作，包括但不限于制定数据安全管理制度规范，协调强化数据安全技术能力，开展数据安全合规性评估、安全审计管理、安全事件应急处置、教育培训等工作。

（2）明确数据安全管理责任部门与各项工作执行部门的责任分工界面，建立数据安全管理制度执行落实情况监督检查和考核问责制度。

（3）数据安全管理责任部门应配备数据安全管理责任人员，相关工作执行部门应设置数据安全工作岗位，负责具体落实数据安全管理工作，包括但不限于数据资产梳理、分类分级、合规性评估、权限管理、安全审计、应急响应、教育培训等工作。

2.【制度保障】建立企业数据分类分级管理、数据访问权限管理、数据安全合规性评估、数据全生命周期管理、数据合作方管理、数据安全应急响应等制度。

3.【分类分级】（1）按照数据资产安全管理的目标和原则，定期梳理企业核心数据处理活动有关平台系统1数据情况，形成企业数据资产清单。

（2）综合考虑数据的类别属性、使用目的等，明确数据分类策略。

在数据分类的基础上，对每一类数据，结合数据的重要及敏感程度以及一旦泄露、丢失、破坏造成的危害程度等，制定数据分级策略。

在数据分类分级基础上，明确重要数据的范围和类型。

（3）针对不同级别的数据，围绕数据全生命周期各环节部署差异化的安全保障措施。

对重要数据实施重点保护，按照法律法规及国家有关规定，落实重要数据境内存储、出境安全评估等要求。

信息（软件）系统建设规范（2020年版）信息（软件）系统建设包括各类管理信息系统、服务信息系统、决策支持系统、运维管理系统、移动终端应用、各类中间件、数据库等，可采用自主研发、合作开发、外包、采购的方式建设。

信息（软件）系统建设是我校信息化项目建设的重要工作。

为进一步规范建设流程，提高建设质量，特制定本建设规范。

第一条信息（软件）系统建设项目必须执行学校的信息化项目建设规范和标准。

第二条信息（软件）系统建设过程中，信息化管理处将对建设的质量和进度进行全程监控、管理和协调。

第三条信息（软件）系统质量监控主要包括需求分析、技术方案制订、系统开发或购置、安装、测试、安全检测五个阶段。

1.需求分析阶段。

建设单位组织承建单位开展需求分析和业务流程的调研，根据调研结果与业务需求，撰写《需求规格说明书》、《数据要求说明书》、《UML建模文档》、《项目进度计划》等文档，建设单位主要负责人签字后，报送信息化管理处审核。

2.技术方案制订阶段。

承建单位根据需求分析，按照学校信息化项目建设相关标准，针对系统总体设计、接口设计、运行设计、数据库设计等内容，撰写《项目技术方案》和《详细设计说明书》，由建设单位组织论证会，通过后报送信息化管理处审核。

3.系统开发或购置阶段。

承建单位须根据需求分析、技术方案，严格遵照软件工程规范进行项目系统开发或购置，并与信息化管理处共同完成数据共享、程序交换接口、统一身份认证的集成。

项目开发或购置过程中若有需求变更，要符合开发规范和合同要求，由建设单位填写《需求变更控制报告》，并报送信息化管理处备案。

4.安装及测试阶段。

承建单位按要求完成信息（软件）系统开发后，与建设单位共同撰写《测试方案》，建设单位提交《虚拟机申请表》（附件1）申请运行环境，提交《域名申请/备案表》（附件2）申请系统域名，并进行相关部署和测试。

测试完成后提交《测试分析报告》至信息化管理处审核。

承建单位要做好软件配置项（包括软件文档和可执行程序等）的移交和相关培训工作。

信息安全管理制度1 目的为了加强公司信息安全的管理，防止数据损坏、丢失、被盗窃或者泄密等情况，确保公司工作顺利进行，特制定本信息安全管理制度。

2 适用范围公司全体员工及其他需将计算机接入公司网络内的外部单位（包括外协厂商、供应商和经销商）。

3 定义移动存储介质:指带具有数据存储功能的移动电子介质，常见的如U盘、移动硬盘、记忆棒、手机和数码相机的存储卡等。

4 职责4.1部门信息管理员4.1.1负责根据部门领导审批签发，对公司外发数据并做好登记。

4.1.2负责部门内各种移动存储介质的日常保管。

4.2 部门领导4.2.1负责对部门外发的数据进行审核，并签发审核通过的数据。

4.2.2负责对部门上外网的权限进行审核。

4.3 公司信息安全员4.3.1 负责落实公司信息安全管理组织工作。

4.3.2 负责定期检查各部门的数据外发记录，并与后台服务器的提取数据进行核对。

4.3.3负责定期检查各部门信息安全状况，及时发现问题并向主管领导提出解决方案。

4.4 信息管理部负责对本制度执行情况进行检查，并对违反制度的情况作相应的处理。

5 工作内容5.1终端操作规范5.1.1计算机使用人必须对自己的各种系统账号设置登录密码，密码长度不得低于8位，必须为字母、数字和符号等其中两种及两种以上组合；系统管理员的账户密码设置不得低于10位，口令必须为字母、数字、符号等组合；系统密码不能设置为自动记忆。

使用人离开座位时，须将计算机锁定后方可离开。

其中计算机的管理员账户密码统一由信息管理部设置，禁止普通用户使用管理员账号登录计算机。

5.1.2公司所属计算机使用的软件系统必须由系统维护人员安装，任何人不得私自安装其它软件；员工计算机需安装专用软件的，须由使用人在CPC提交《软件使用审批表》，经部门领导审核、信息管理部审批后，由系统维护人员进行安装。

5.1.3所有用户计算机的IP、MAC地址、管理员账户及密码由信息管理部网络管理员统一维护，严禁更改。