卫办医[2007]22号

各市卫生局：

　　为确保安徽省血液管理信息系统安全有效的运行，根据卫生部《血站管理办法》、《血站质量管理规范》、《单采血浆站质量管理规范》、《中华人民共和国计算机信息系统安全保护条例》等有关法律法规规定，我厅制定了《安徽省血液管理信息系统安全管理规范》。现印发给你们，请遵照执行。

二〇〇七年五月十八日

抄送：各采供血机构、省直医疗机构、卫生厅信息中心、唐山现代工程技术有限公司

安徽省卫生厅办公室

2007年5月21日

印发印70份

安徽省血液管理信息系统安全管理规范

　　第一章 总则

　　第一条：为确保系统安全有效的运行，根据卫生部《血站管理办法》、《血站质量管理规范》、《单采血浆站质量管理规范》、《中华人民共和国计算机信息系统安全保护条例》有关规定，特制定本规范

　　第二条： 任何组织或个人，不得利用系统和计算机网络从事危害国家利益、集体利益和公民合法利益的活动，不得危害系统的安全。

　　第三条：本规范适用于系统所有用户、施工建设单位和运营维护服务商。

　　第二章 职责

　　第四条：卫生行政部门

　　1、 安徽省卫生厅负责本规范的颁布、修订。

　　2、 市县卫生行政部门负责按照本规范要求在系统内开展临床用血调配审批，并对辖区内用户进行监督指导。　

　　第五条：安徽省卫生厅信息中心

　　1、 负责数据中心的建设、管理和维护。

　　2、 负责系统网络运行维护、技术指导和监督。

　　3、 负责监督本规范的实施。

　　4、 负责系统内用户授权管理。　　

　　第七条：采供血机构和医疗机构

　　1、确保本单位采供血业务活动按照系统要求进行。

　　2、负责按照本规范的要求运行和管理系统。

　　3、 建立完善和落实本单位的计算机信息系统安全管理规章制度、操作规程、应急预案

　　4、 及时反映系统运行过程中发现的问题。

　　第八条：唐山现代工程技术有限公司及相关运营服务商

　　1、 负责对系统安全性进行定期评估并提出具体的防护措施；

　　2、按照安徽省血液管理中心提交的客户需求修改系统程序。

　　3、负责系统程序的升级、维护以及人员的培训

　　4、及时解决系统运行过程中出现的问题和突发情况。

　　5、 及时向省卫生厅提供系统源程序备份。

　　第九条：系统管理员

　　1、 拟定、执行和监督本单位网络建设方案和系统管理规章制度、控制程序、操作规程及系统应急预案。

　　2、 负责本单位的网络、软件、硬件的日常维护和数据备份。

　　3、 负责本单位所有计算机岗位操作人员的培训以及指导工作。

　　4、 监控、解决本单位系统使用操作中出现的问题。

　　5、 及时报告系统运行过程中发现的安全漏洞及其它重大问题。

　　第十条：操作人员

　　1、 严格遵守本规范以及本单位岗位操作规程。

　　2、 确保所在岗位业务工作相关信息录入的真实性、完整性和及时性。

　　第三章 硬件安全管理　　

　　第十一条：系统内用户的硬件配置必须符合《安徽省血液管理信息系统环境配置标准》。

　　第十二条：血站及其分支机构、单采血浆站必须建立独立的计算机房。

　　1、 计算机机房必须有专人管理，工作区与服务器存放区必须物理隔离，标识清晰。服务器存放间应采用全封闭房间，其他人员未经授权一律不得入内。

　　2、 计算机机房应装有空调，温度控制在18℃～28℃，相对湿度控制在40%～70%，并保持计算机机房的清洁卫生。

　　3、 计算机机房要有良好的防火、防水、防盗、防鼠设施，并逐步配置防静电地板以及防电磁波辐射等设施。

　　4、 计算机机房要有相应的备份设备，以便能够及时对重要数据进行备份。

　　5、 禁止携带易燃易爆物品或强磁物品进入计算机机房。　　

　　第十三条：系统内所使用的服务器必须采用品牌服务器，严禁私自组装兼容机作服务器。

　　1、 服务器使用年限达到三年的必须由专业人员进行评估合格后方可继续使用。

　　2、 对于不能停机的服务器或者其他重要的网络设备必须配置长时间UPS并且采用双路供电，或者配置发电机等设施。

　　３、 血站、单采血浆站应配置必要的备份机，以便故障时切换使用。

　　第十四条：所有计算机设备必须有可靠接地，并装置必要的防雷电设施。未经授权严禁安装、使用光驱、软驱等读取设备。

　　第四章 网络系统的安全管理

　　第十五条：系统接入internet公共信息网的Web联网服务器必须安装防火墙或其他安全设备。入网的安全设备必须具有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质，并符合国家的相关规定。

　　第十六条：系统内局域网业务用户应尽可能地改善网络系统的安全策略，尽量减少安全漏洞。关闭不使用的服务器和端口，对不同级别的网络用户设置相应的访问权限。

　　第十七条：系统内用户用于业务管理的计算机必须与internet公共信息网以及其它网络隔离。

　　1、 采供血机构局域网内的所有计算机（包括移动外采笔记本）未经授权禁止与internet网络连接。

　　2、 采供血机构局域网内的计算机（包括移动外采笔记本）必须安装桌面管理软件，并且严格设置权限，计算机操作人员（管理员除外）只能够使用系统以及相关软件，不得使用其它软件和媒介。

　　3、 定期查看服务器各硬盘的使用状态，包括阵列或镜像状态，各分区的使用增长速度和自由空间大小。

　　4、 定期查看数据库状态，包括数据库剩余空间、数据库日志剩余空间和数据库的增长速度。

　　5、 至少每三个月对数据库做一次一致性检查。做一次性检查前，必须先备份数据。

　　6、 定期检查VPN和服务器的状态，确保和本地局域网及系统中心服务器的正常连接。

　　第二十一条：采供血机构应建立相关的计算机管理制度并纳入到质量管理体系中。

　　1、 建立相应的控制程序文件、岗位操作规程以及应急预案。

　　2、 加强对系统管理员和操作人员的岗前培训工作，经考核合格后方能上岗。

　　3、 对本单位所发布的信息进行审查，确保发布信息的完整性、合法性。

　　4、 严格控制和划分各级用户对数据信息的访问权限（包括访问的方式和内容），避免非授权人员对系统的入侵和更改。

　　5、 相关工作人员应妥善保管好自己的电子口令。

　　6、 确保记录完整真实，保证信息的可追溯性。

　　7、 系统内所有用户对系统分配使用的帐号、口令要妥善保管，不得在非授权的计算机上使用。授权用户发生工作变动时，其所在单位应及时向安徽省血液管理中心申请注销和变更。

　　第二十二条： 任何单位和个人不得从事以下活动：

　　1、 利用信息网络系统制作、传播、复制有害信息；

　　2、 入侵他人计算机；

　　3、 未经批准公开系统中的信息；

　　4、 未经授权对系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、复制和删除等；

　　5、 故意干扰本系统网络的畅通运行；

　　6、 从事其他危害系统安全的活动。

　　第六章 更新和升级　

　　第二十三条：任何单位不得擅自改变程序和流程，如确实需要改动，必须书面向安徽省血液管理中心提出需求申请。

　　第二十四条：程序更新必须以安全和稳定为唯一原则，必须经过系统专家组讨论、测试、确认后由安徽省血液管理中心批准后统一更新升级。

　　第七章 附则　

　　第二十五条：本规范中所称“系统”系指“安徽省血液管理信息系统”。

　　第二十六条：本规范自正式颁布之日起实施。

　　第二十七条：本规范由安徽省卫生厅信息中心负责解释。

　　第二十八条：本规范与国家有关法律、法规不一致的以国家法律、法规为准。