医院信息安全法律法规

第一篇：医院信息安全法律法规

信息安全法律法规

引 言

信息网络的全球化使得信息网络的安全问题也全球化起来，任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件，绝大部分已经在我国出现。

人类进入21世纪，现代信息技术迅猛发展，特别是网络技术的快速发展，互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球。网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式，而且正影响着他们的人生观、世界观、价值取向，甚至利用自己所学的知识进行网络犯罪，违法与不违法只是一两条指令之间的事情，如何抓住机遇，研究和探索网络环境下的信息安全法律法规的新特点、新方法、新途径、新对策已成为我们关心和思考的问题。

1、信息网络相关的问题

1.1计算机犯罪

计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统(包括内存及程序)安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯罪产生于20世纪60年代，到本世纪初已呈猖獗之势，并为各国所重视。计算机犯罪实质特征主要表现在：计算机本身的不可或缺性和不可替代性，在某种意义上作为犯罪对象出现的特性，明确了计算机犯罪侵犯的客体，计算机犯罪可以分为两大类型：一类是行为人利用计算机操作实施的非法侵入或破坏计算机信息系统安全，从而给社会造成严重危害的并应处以刑罚的行为;另一类是行为人利用计算机操作实施的初非法侵入或破坏计算机信息系统安全以外的其他严重危害社会的并应处以刑罚的行为。 1.2信息网络相关的民事问题

在计算机安全使用方面，不仅存在犯罪问题，也存在民事问题。任何人都可以对任何人任何事提取民事诉讼。网络管理方面的漏洞、人为的误操作都可能造成信息安全相关的民事问题。 1.3信息网络相关的隐私问题

隐私问题是信息安全和保密中所设计到的非常重要的一个问题，隐私问题在个人、组织中都存在。利用法律手段有效保护组织和个人的隐私具有非常重要意义。信息安全隐私越来越受到人们的关注。

2、信息安全法

2.1信息安全法的概念

信息安全法律法规:信息安全法律法规泛指用于规范信息系统或与信息系统相关行为的法律法规，信息安全法律法规具有命令性、禁止性和强制性。命令性和禁止性要求法律关系主体应当从事一定行为的规范，其规定的行为规则的内容是确定的，不允许主体一方或双方任意改变或违反，具体强制性。如果不执行，就要受到一定的法律制裁。

仅就法学而言，信息安全涉及的法学领域就包括：刑法(计算机犯罪，包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(着作权的侵害、信息网络传播权等)等许多法学分支.因此，信息安全教育不是一项单一技术方面的教育，加强相关法律课程设置，是信息安全学科建设过程中健全人才培养体系的重要途径与任务。 2.2 信息安全法的特点

a.综合法：既有单行法律法规，如《电子签名法》，《计算机信息系统安全保护条例》等，又有散见于各种法律和法规及部门规章之中。

b.主体多样性：法律法规本身的制定主体相对统一，但部门规章的制定者涉及多个部委。

c.保护客体的非物质性：信息的特性。 d.载体的丰富性：纸制、电子材料。 2.3信息安全法的保护对象

a.国家信息安全：突出表现为刑法，包括对国家重要信息资源的保护，对攻击和危害宣传的惩治。

b.社会信息安全：涉及社会的安全和稳定。

c.市场信息安全：保护涉及到维护经济秩序和市场的安全和稳定。 d.个人信息安全：公民人身、财产安全。 2.4 信息安全法的划分 2.4.1从信息的主体划分

政府相关，如《国家保守秘密法》、电子政务安全等。民事主体，知识产权、人格权法等。

2.4.2从信息载体不同划分

电信类，《关于维护互联网安全的决定》、《电子签名法》等。

非电信类，如《邮政法》、《统计法》、《气象法》等中关于信息的规定。 2.4.3从承担法律责任划分

刑事责任：《刑法》有关信息犯罪的条款。

民事责任：《合同法》、《民法通则》、知识产权相关法规等。 行政责任：国务院、部委制定的规章。

从本质上讲，信息安全对法律的需求，实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候，对这些可能性做出选择扬弃、利益权衡和价值判断的需要，这也就要求我们跳出技术思维的影响，重视信息安全中的法律范畴。

根据对信息安全法律法规内容的特点分析可知：信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上，加之信息安全技术是当今最热门技术之一，因此，在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受，具有可操作性。 2.5涉及到信息安全法律法规内容的特点

信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规。 2.5.1目的多样性

作为信息安全的破坏者，其目的多种多样，如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的。 2.5.2涉及领域的广泛性

随着网络技术的迅速发展，信息化的浪潮席卷全球，信息化和经济全球化互相交织，信息在经济和社会活动中的作用甚至超过资本，成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注，大到军事政治等机密安全，小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域。 2.5.3技术的复杂性

信息安全不仅涉及到技术问题，也涉及到管理问题，信息安全技术又涉及到网络、编码等多门学科，保护信息安全的技术不仅需要法律作支撑，而且研究法律保护同时，又需要考虑其技术性的特征，符合技术上的要求. 2.5.4信息安全法律优先地位

综上所述，信息安全的法律保护不是靠一部法律所能实现的，而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此，信息安全法律在我国法律体系中具有特殊地位，兼具有安全法、网络法的双重地位，必须与网络技术和网络立法同步建设，因此，具有优先发展的地位。

3、网络信息安全等级保护制度

当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题，就是他们建设、管理或使用的信息系统是否是安全的?如何评价系统的安全性?这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。 3.1等级保护制度的意义

为切实加强重要领域信息系统安全的规范化建设和管理，全面提高国家信息系统安全保护的整体水平，使公安机关公共信息网络安全监察工作更加科学、规范，指导工作更具体、明确，公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准，并于1999年9 月13日由国家质量技术监督局审查通过并正式批准发布，已于 2001年1月1日执行。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据，为安全产品的研制提供了技术支持，为安全系统的建设和管理提供了技术指导，是我国计算机信息系统安全保护等级工作的基础。 3.2等级化系统的建设

信息系统等级的划分方法(自主评级)

实施步骤：业务影响分析、划分子系统,确定子系统边界,确定安全保护等级,子系统间访问关系的模型化,安全风险分析与控制措施调整,确定系统保护安全计划,系统等级和安全计划的批准。 3.3中国的等级保护体系

1989年公安部开始设计起草法律和标准，在起草过程中经过长期的对国内外广泛的调查和研究，特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究，使我们认识到要从法律、管理和技术三个方面着手;采取的措施要从国家制度的角度来看问题，对信息安全要实行等级保护制度。 3.4《计算机信息系统安全保护等级划分准则》意义

1.该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据2.为安全产品的研制提供了技术支持3.为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 3.5计算机信息系统安全保护等级划分为五个级别 第一级：用户自主保护级; 第二级：系统审计保护级; 第三级：安全标记保护级; 第四级：结构化保护级; 第五级：访问验证保护级。

3.6需要实施安全等级保护的信息系统为金融系统(银行、保险、证券);经贸系统(商业贸易、海关);

- 电信系统(邮电、电信、广播、电视);供水系统(水利及水源供给);

- 社会应急服务系统(医疗、消防、紧急救援);国防建设系统; -国有大中型企业系统; -互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统. 3.7等级保护是国家基本政策

信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度，具有强制性;以国家制度推进信息和信息系统安全保护责任的落实;符合客观实际，具有科学性;具有自我保护与国家保护相结合的长效保护机制;突出保护重点，国家优先重点保护涉及国计民生的信息系统，国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全;具有整体保护性，在突出重点，兼顾一般的原则下，着重加强重点、要害部位,由点到面进行保护，逐步实现信息安全整体保障。

4、建立国家信息安全等级保护机制

4.1国家实行信息安全等级保护

必须紧紧抓住抓好五个关键环节，形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成： a.法律规范 b.管理与技术规范 c.实施过程控制 d.结果控制 e.监督管理。

4.2信息系统安全等级保护制度实施方法

首先，公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下，制定我国开展信息网络安全等级保护工作的发展政策，统一制定针对不同安全保护等级的管理规定和技术标准，对不同信息网络确定不同安全保护等级和实施不同的监督管理措施，既包括依法进行行政监督、检查和指导，也包括依据国家技术标准进行的技术检查和评估。

其次，等级保护坚持“谁主管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负责。”的原则。

第三，等级保护实行“国家主导;重点单位强制，一般单位自愿;高保护级别强制，低保护级别自愿”的监管原则。 第四，信息网络安全状况等级的技术检测是等级保护的重点。由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后，方可从事信息网络安全等级保护的技术检测。

4.3计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度

1、准备阶段

2、试行阶段

3、全面实行阶段

5 我国信息安全法规概述

5.1建设信息安全法律法规的意义：

1、信息安全保障体系的建设中的必要环节

2、明确信息安全的基本原则和基本制度、信息安全保

障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚等。

5.2信息安全立法的法治作用和目标是保护国家信息主权和社会公共利益

1、信息安全立法的首要目标是规范信息主体的信息活动

2、信息安全立法规范作用的直接体现。保护信息主体的信息权利，协调和解决信息社会产生的矛盾，打击、惩治信息空间的违法行为。 5.3信息安全法规分类

从纵向的层次分：即按立法机关的权限和法律的效力层次来确定的宪法具有最高效力、法律、行政法规、行政规章、地方性法规从横向的领域、部门确定宪法和宪法性法律、行政法、民商法、经济法、刑法、社会法等。 5.4 我国立法原则

谁主管、谁负责的原则，突出重点的原则，预防为主的原则，安全审计的原则，风险管理的原则 A谁主管、谁负责的原则

例如，《互联网上网服务营业场所管理办法》第三条规定如下：

• 国务院信息产业部主管部门和省、自治区、直辖市电信管理机构负责，并有责任组织协调和督促检查同级有关部门，在各自职责范围内，依照本办法的规定，负责互联网上网服务营业场所的监督管理工作。

• 省、自治区、直辖市电信管理机构，负责互联网上网服务营业场所经营许可审批和服务质量监督。

• 公安部负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。

• 文化部门负责管理互联网上网服务营业场所中含有色情、赌博、暴露、愚昧迷信等不健康电脑游戏的查处。

• 工商行政管理部门负责核发互联网上网营业场所的营业制造和对无照经营、超范围经营等违法行为的查处。 B.突出重点的原则

例如，《中华人民共和国计算机信息系统安全保护条例》第四条规定：计算机信息系统的安全保护工作，重点维护国家事务、经济建设、尖端科学技术等重要领域的计算机信息系统的安全。 C.预防为主的原则

如对病毒的预防，对非法入侵的防范等。 D.安全审计的原则

例如：在《计算机信息系统安全保护等级划分准则》的第4.4.6款中，有关审计的说明如下：

• 计算机信息系统可信计算基能维护受保护的客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。

• 对不能由计算机信息系统可信计算基独立分别的审计事件，审计机制提供审计记录接口，可由授权主体调用。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。 E.风险管理的原则

任何信息系统中都存在的脆弱点，它可以存在于计算机系统和网络中或管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点很容易受到威胁或攻击，因此要识别出脆弱点，识别出威胁，从而进行有效的防范。因为有风险，要评估出威胁出现后或攻击成功时系统所遭受的损失，从而衡量风险，并对风险进行管理。

相关法此外，总体看来，目前这些法律法规主要存在三个方面有待完善的地方：第一，这些法律法规主要内容集中在对物理环 境的要求、行政管理的要求等方面，对于涉及信息安全的行 为规范一般都规定的比较简单 ，在具体执行上指引性还不是很强;第二，目前这些法律法 规普遍在处罚措施 方面规定得不够具体，导致在信息安全领域实施处罚时法律依据的不足;第三，在一些特定的信 息化应用领域，如 电子商务、电子政务、网上支付等 ，相应的信息安全 规范相对欠缺，有待于进一步发展。律规定篇幅偏小，行为规范较简单、与信息安全相关的其他法律有待完善在建立健全信息安全法律体系的同时，与信息安全相关的其他法律 法规的出台和完善也非常必要，如电信法、个人数据保护法等 ，这些 法律法 规与信 息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑、缺一不可。从应用的角度看，与信息安全相邻或相交的领域包括：电信、无线电、集成电路 、计算机软件与系统 集成、网络及网 络信息服务、电子商务与现代物流、电子政务、信息资源公开与利用等。

6、结语

当今世界，全球电子政务公共服务正处于由简单地满足公众需求向深入调 查和理解公众需求转变、由单一渠道服务向多渠道一体化服务转变的新变革之 中。电子政务信息安全保障系统的建设是一个大型、复杂的工程，没有绝对的 安全，今天的安全不代表明天也安全，信息安全保障是一项长期的、系统的工 作，只有不断提高安全意识，掌握并应用最新技术，持续完善安全管理、及时 健全安全法规，才可能切实做好电子政务的安全工作，为推动电子政务的发展 提供有力保障，刁一能真正实现电子政务的目标。

7.致谢

在论文完成之际，我要特别感谢我的指导老师的热情关怀和悉心指导。指导老师以严禁的治学态度、渊博的学识、独特的学术思维、一丝不苟的工作作风、热情待人的品质、使我满怀敬意。每遇到困难都会努力找寻解决的方法，提高自己解决问题的能力并巩固老师所授予的知识。增强了自己实践操作和动手应用的能力，提高了独立思考的能力。在此，谨向所有帮助过我的老师和同学表示我诚挚的谢意!

参考文献

【1】中共中央办公厅、国务院办公厅印发的《2006-2020年国家信息化发展战 略》(中办发 (2006) 11号)，2006-3一19. 【2】李文燕著《计算机犯罪》，北京：中国方正出版社2001.7版 【3】百度文献

【4】张锐听.电子政府概论[M]中国人民大学出版社，2004. 【5】曾长秋，电子政府的网络安全和信息安全及其治理[J]，党政干部论坛， 2006年04期

【6】李文燕著《计算机犯罪研究》，北京：中国方正出版社2001.7版 【7】常建平 靳慧云 娄梅枝等编著《网络安全与计算机犯罪》，北京：中国人民公安大学出版社2002.2版

【8】孙国锋，苏俊.国外“电子政府”发展及对中国的启示[[J].科学与科学技术 管理，2001(12). 【9】刘海峰、郭义喜、肖刚，基于模型的信息安全风险评估CORAS方法研究l月，网络安全技术与应用，2007年06期

第二篇：信息安全法律法规

第八章

信息安全法律法规

8.1 信息保护相关法律法规

◆ 国家秘密

◇ 包括国家领土完整、主权独立不受侵犯;国家经济秩序、社会秩序不受破坏; ◇ 公民生命、生活不受侵害;民族文化价值和传统不受破坏等;

◇ 产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项。

◆ 国家秘密的密级

◇ 绝密—最重要的国家秘密—使国家安全和利益遭受特别严重的损害—破坏国家主权和领土完整，威胁国家政权巩固，使国家政治、经济遭受巨大损失—全局性、战略性

◇ 机密—重要的国家秘密—使国家安全和利益遭受严重的损失—某一领域内的国家安全和利益遭受重大损失—较大范围

◇ 秘密—一般的国家秘密—使国家安全和利益遭到损害—某一方面的国家安全利益遭受损失—局部性

◆ 危害国家秘密安全的行为

◇ 严重违反保密规定行为

1.违反涉密信息系统和信息设备保密管理规定的行为; 2.违反国家秘密载体管理规定的行为; 3.违反国家秘密信息管理规定的行为。

◇ 定密不当行为

1.定密不当包括对应当定密的事项不定密，或者对不应当定密的事项定密; 2.对应当定密的事项不定密，可能导致国家秘密失去保护，造成泄密;

3.对不应当定密的事项定密，会严重影响信息资源合理利用，可能造成较大的负面影响。

◇ 公共信息网络运营商、服务商不履行保密义务的行为

1.互联网及其他公共信息网络运营商、服务商没有履行配合公安机关、国家安全机关、检察机关对泄密案件进行调查的义务;

2.发现发布的信息涉及泄露国家秘密，没有立即停止传输和保存客户发布信息的内容及有关情况记录，并及时向公安机关、国家安全机关、保密行政管理部门报告;

3.没有按照公安机关、国家安全机关、保密行政管理部门要求，及时对互联网或公共信息网上发布的涉密消息予以删除，致使涉密信息继续扩散。

◇ 保密行政管理部门工作人员的违法行为

1.保密行政管理部门的工作人员在履行保密管理职责时滥用职权、玩忽职守、徇私舞弊;

2.滥用职权是指保密行政管理部门工作人员超越职权范围或者违背法律授权的宗旨、违反法律程序行使职权的行为;

3.玩忽职守是指保密行政管理部门工作人员严重不负责任，不履行或不正确履行职责的行为; 4.徇私舞弊是指保密行政管理部门工作人员在履行职责过程中，利用职务之便，弄虚作假、徇私舞弊的行为。

◆ 危害国家秘密安全的犯罪行为

◇ 危害国家安全的犯罪行为

1.掌握国家秘密的国家工作人员在履行公务期间，擅离岗位，叛逃境外或者在境外叛逃; 2.参加间谍组织或者接受间谍组织及其代理人的任务; 3.为敌人指示轰击目标，为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报。

◇ 妨碍社会管理秩序的犯罪行为

1.以窃取、刺探、收买方法，非法获取国家秘密;

2.非法持有属于国家绝密、机密的文件、资料或者其他物品，拒不说明来源与用途。

◇ 渎职的犯罪行为

1.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定，故意泄露国家秘密; 2.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定，过失泄露国家秘密。

◇ 军人违反职责的犯罪行为

1.以窃取、刺探、收买方法，非法获取军事秘密;

2.为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密;

3.违反保守国家秘密法规，故意泄露军事秘密(战时有此行为会受到从重处罚); 4.违反保守国家秘密法规，过失泄露军事机密(战时有此行为会受到从重处罚)。

◆ 保护国家秘密相关法律

◇ 《保密法》

2010年10月1日起正式施行的新《保密法》从四个方面明确了危害国家秘密安全的行为的法律责任，使查处泄密违法行为有据可依、有章可循。

◇ 严重违反保密规定的法律责任

《中华人民共和国公务员法》、《中华人民共和国行政监察法》、《行政机关公务员处分条例》

◇ 互联网及其他公共信息网络运营商、服务商的有关法律责任

《中华人民共和国治安管理处罚法》、《中华人民共和国电信条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》

◆ 商业秘密

不为公众所知悉、能为权利人带来经济利益、具有实用性并由权利人采取保密措施的技术信息和经营信息。

技术信息商业秘密包括由单位研制开发或者以其他合法方式掌握的、未公开的设计、程序、产品配方、制作工艺、制作方法等信息，以及完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据，包括但不限于设计图纸(含草图)，试验结果和试验记录、样品、数据等，也包括针对技术问题的技术诀窍。

经营信息类商业秘密包括经营策略、产品策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息。

◆ 侵犯商业秘密的行为

◇ 以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密

◇ 披露、使用或者允许他人使用上述手段获取权利人的商业秘密

◇ 违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密

权利人：是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人

◆ 保护商业秘密相关法律法规

◇ 《中华人民共和国刑法》 ◇ 《中华人民共和国不正当竞争法》 ◇ 《中华人民共和国合同法》 ◇ 《中华人民共和国劳动合同法》

◆ 侵犯个人隐私信息行为

1.未经他人同意，擅自公布他人的隐私资料，或者以书面、口头形式宣扬他人隐私 2.窃取或者以其他非法方式获取公民个人电子信息 3.出售或者非法向他人提供公民个人电子信息

4.网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息

5.对在业务活动中经被收集者同意收集公民个人电子信息没有采取必要的保密措施

6.医疗机构及其医务人员泄露患者隐私或者未经患者同意，公开其病历资料、健康体检报告等行为

◆ 侵犯个人隐私信息犯罪行为

1.隐匿、毁弃或者非法开拆他人信件，侵犯公民通信自由权利，情节严重的; 2.邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的;

3.国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的;

4.窃取或者以其他方法非法获取公民个人信息，情节严重的;

5.非法截获、篡改、删除他人电子邮件或者其他数据资料，情节严重的;

6.人民警察泄露因制作、发放、查验、扣押居民身份证而知悉公民个人信息，情节严重的。

8.2 打击网络违法犯罪相关法律法规

◆ 网络违法犯罪行为

◇ 破坏互联网运行安全的行为

1.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统; 2.违反国家规定，侵入计算机系统，造成危害;

3.故意制作、传播计算机病毒等破坏程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭到损害;

4.违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行;

5.违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加。

◇ 破坏国家安全和社会稳定的行为

1.利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一;

2.通过互联网窃取、泄露国家秘密、情报或者军事秘密; 3.利用互联网煽动民族仇恨、民族歧视，破坏民族团结;

4.利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。

◇ 破坏市场经济秩序和社会管理秩序的行为

1.利用互联网销售伪劣产品或者对商品、服务作虚假宣传; 2.利用互联网损坏他人商业信誉和商品声誉; 3.利用互联网侵犯他人知识产权;

4.利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;

5.在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。

◇ 侵犯个人、法人和其他组织的人身、财产等合法权利的行为 1.利用互联网侮辱他人或者捏造事实诽谤他人;

2.非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密; 3.利用互联网进行盗窃、诈骗、敲诈勒索，利用网络写恐吓信或者以其他方法威胁他人人身安全的; 4.利用网络捏造事实诬告陷害他人，企图使他人受到刑事追究或者受到治安管理处罚; 5.利用网络对证人及其近亲属进行威胁、侮辱或者打击报复;

6.利用网络多次发送淫秽、侮辱、恐吓或者其他信息，干扰他人正常生活; 7.利用网络偷窥、偷拍、窃听、散步他人隐私;

8.利用网络煽动民族仇恨、民族歧视，或者在网络中刊载民族歧视、侮辱内容。

◇ 利用互联网实施以上四类所列行为以外的违法/犯罪行为

◆ 相关法律

◇ 《刑法》

◇ 《关于维护互联网安全的决定》 ◇ 《治安管理处罚法》

8.3 信息安全管理相关法律法规

◆ 案例

◇ 电子签名第一案

◆ 相关法律条例

◇ 《中华人民共和国保守国家秘密法》

在保护国家秘密方面，在第一章“总则”第五条、第六条，对保密工作的监督进行了明确授权，由国家保密行政管理部门主管全国的保密工作：

▽ 县级以上地方各级保密行政管理部门主管本行政区域的保密工作; ▽ 国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作; ▽ 中央国家机关在其职权范围内，管理或者指导本系统的保密工作; ▽ 国家保密行政管理部门的最高机构是国家保密局。 在第四章“监督管理”第四十一条。第四十二条中规定：

▽ 国家保密行政管理部门依照法律、行政法规的规定，制定保密规章和国家保密标准; ▽ 保密行政管理部门依法组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作，对机关、单位的保密工作进行指导和监督。

◇ 《中国人民共和国警察法》

在维护公共安全方面，《中国人民共和国人民警察法》进行了相应规定。《中华人民共和国人民警察法》第二章“职权”第六条规定，公安机关的人民警察按照职责分工，依法履行下列职责：预防、制止和侦查违法犯罪活动;维护社会治安秩序，制止危害社会治安秩序的行为;监督管理计算机信息系统的安全保护工作。

◇ 《中华人民共和国电子签名法》

2004年8月28日通过并公布的《中华人民共和国电子签名法》在第三章“电子签名与认证”中，对电子认证服务提供者的监管进行了授权。在第十六条、第十八条中规定，电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务;从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合规定条件的相关材料、国务院信息产业主管部门接到申请后经依法审查、征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或不予许可的决定。予以许可的，颁发电子认证许可证;不予许可的，应当书面通知申请人并告知理由。申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续，取得认证资格的电子认证服务提供者，应当按照国务院信息产业主管部门的规定在互联网上公布其名、许可证号等信息。

第三篇：医院安全生产法律法规知识培训试题答案

一、

1、( 2002)( 6)( 29) ( 2009)(8)( 27)

2、( 安全生产教育和培训)( 规章制度)(安全操作规程 )( 安全操作技能)

3、(批评)(检举)(控告);

4、( 规章制度)( 操作规程)(服从管理)(正确佩戴);

5、(十万 )(二十万 )、(二十万 )(五十万 )、(五十万)( 二百万 )、(二百万)(五百万 );

二、

1、(√)

2、( ×)

3、(√)

4、(×)

5、(√)

三、

1、答：安全生产管理坚持安全第一，预防为主，综合治理的方针。

2、答：火灾是指在时间和空间上失去控制的燃烧所造成的灾害。 火灾分为A、B、C、D四类。 A类火灾：指固体物质火灾。 B类火灾：指液体火灾和可熔化的固体物质火灾。 C类火灾：指气体火灾。 D类火灾：指金属火灾。

医院安全生产法律法规知识培训试题答案

一、

1、( 2002)( 6)( 29) ( 2009)(8)( 27)

2、( 安全生产教育和培训)( 规章制度)(安全操作规程 )( 安全操作技能)

3、(批评)(检举)(控告);

4、( 规章制度)( 操作规程)(服从管理)(正确佩戴);

5、(十万 )(二十万 )、(二十万 )(五十万 )、(五十万)( 二百万 )、(二百万)(五百万 );

二、

1、(√)

2、( ×)

3、(√)

4、(×)

5、(√)

三、

1、答：安全生产管理坚持安全第一，预防为主，综合治理的方针。

2、答：火灾是指在时间和空间上失去控制的燃烧所造成的灾害。 火灾分为A、B、C、D四类。 A类火灾：指固体物质火灾。 B类火灾：指液体火灾和可熔化的固体物质火灾。 C类火灾：指气体火灾。 D类火灾：指金属火灾。

医院安全生产法律法规知识培训试题答案

一、

1、( 2002)( 6)( 29) ( 2009)(8)( 27)

2、( 安全生产教育和培训)( 规章制度)(安全操作规程 )( 安全操作技能)

3、(批评)(检举)(控告);

4、( 规章制度)( 操作规程)(服从管理)(正确佩戴);

5、(十万 )(二十万 )、(二十万 )(五十万 )、(五十万)( 二百万 )、(二百万)(五百万 ); 二

1、(√)

2、( ×)

3、(√)

4、(×)

5、(√)

三

1、答：安全生产管理坚持安全第一，预防为主，综合治理的方针。

2、答：火灾是指在时间和空间上失去控制的燃烧所造成的灾害。 火灾分为A、B、C、D四类。 A类火灾：指固体物质火灾。 B类火灾：指液体火灾和可熔化的固体物质火灾。 C类火灾：指气体火灾。 D类火灾：指金属火灾。

医院安全生产法律法规知识培训试题答案

一、

1、( 2002)( 6)( 29) ( 2009)(8)( 27)

2、( 安全生产教育和培训)( 规章制度)(安全操作规程 )( 安全操作技能)

3、(批评)(检举)(控告);

4、( 规章制度)( 操作规程)(服从管理)(正确佩戴);

5、(十万 )(二十万 )、(二十万 )(五十万 )、(五十万)( 二百万 )、(二百万)(五百万 ); 二

1、(√)

2、( ×)

3、(√)

4、(×)

5、(√)

三

1、答：安全生产管理坚持安全第一，预防为主，综合治理的方针。

2、答：火灾是指在时间和空间上失去控制的燃烧所造成的灾害。 火灾分为A、B、C、D四类。 A类火灾：指固体物质火灾。 B类火灾：指液体火灾和可熔化的固体物质火灾。 C类火灾：指气体火灾。 D类火灾：指金属火灾。

第四篇：医院信息安全应急预案

我院计算机网络信息系统已经几乎遍布于全院的各个科室，随着各种应用的深入，医院各项业务对信息系统的依赖与日俱增，在享受信息系统给医院带来种种便利的同时也存在着巨大的风险。考虑到医院内信息系统突发事件可能引起的危害，必须系统地、有组织地做好应急预案，尽量控制风险，降低风险，减少损失。为防患于未然，特制定本预案。

一、应急预案的定义

信息安全应急预案是在对各部门的全部业务处理功能的严格调查基础上，针对每项关键业务流程，受信息系统可能发生不同程度突发事件的影响，准备和实施的一套信息安全应急预案，其基本价值在于：在信息系统突发事件出现之前就已经制定相应措施，做好一定准备;一旦信息系统安全事件发生，可以提供和实施这些替代方案，以最大限度地争取时间，减少损失。

二、成立医院“信息系统安全应急预案”领导小组 组 长：XX 负责决定批准预案实施与撤消及上

级相关部门报告、负责院内协调、组织、网络设备购买等工作;

副组长：XX 负责预案实施过程的全部技术工作

及协调软件和硬件供应商、线路运营商的工作;

成 员：

XXX 负责协调电力保障工作; XXX 负责协调收费处工作; XXX 负责协调各药房工作; XXX 负责协调护理工作;

XXX 负责协调医疗和医技工作; XXX 负责技术支持和通知工作;

三、医院信息系统出现故障报告程序

当各工作站发现计算机访问数据速度迟缓、不能打开程序、不能保存数据、不能访问网络、要立即向信息科报告。信息科工作人员对各工作站提出的问题必须高度重视，做好记录，经核实后及时给各工作站反馈故障信息。同时召集有关人员及时进行讨论，如果故障原因明确，可以立刻排除的，应尽快恢复工作;如故障原因不明、情况严重、不能在短期内排除的，应立即报告信息系统安全应急预案领导小组组长，由信息系统安全应急预案领导小组统一协调全院各部门工作，以保障全院医疗工作的正常运转。

四、医院信息系统故障分级及首要工作

根据故障发生的原因和性质的不同可分为三类：

一类故障：由于主服务器不能正常工作、核心交换机损坏、主服务器信息数据丢失、全院网络瘫痪等造成的系统故障。

二类故障：由于部分交换机损坏、部分网络瘫痪、部分终端软、硬件故障，部分病人信息丢失等造成的系统故障。

三类故障：由于单一终端软、硬件故障，单一病人信息丢失、偶然性的数据处理错误、各工作站操作不熟练或使用不当、某些科室违反操作规范等造成的系统故障。

针对上述故障分类等级，处理原则如下：

一类故障——由信息系统安全应急预案领导小组副组长上报组长并启动本应急预案。

二类故障——由信息科组织相关技术人员共同解决。 三类故障——由信息科技术人员单独解决。

五、发生信息系统安全一类故障时的紧急预案

(一)当信息系统应急预案领导小组副组长一旦将故障确定为一类故障时，首先应由小组副组长立即报告组长，同时组织恢复工作，处理故障时应充分考虑到特殊情况，如节假日、就诊病人多、医院有重大活动等对故障恢复带来的时

2 间影响。

(二)一类故障发生后各部门将根据恢复时间的长短转入手工操作，具体时限明确如下：

1、30 分钟内不能恢复——门诊、住院收费处、药房转入手工操作;

2、2 小时内不能恢复——各护士工作站、各医生工作站、各医技工作站转入手工操作;

3、4小时以上不能恢复——全院各种业务转入手工操作。

六、各部门的具体协调安排

所有手工操作的统一启动时间须经信息系统应急预案领导小组组长批准授权后，再由信息科通知相关部门，各部门应严格按照通知时间协调各项工作，在未接到新的通知前不准私自操作计算机。

(一)门诊收费处的应急预案

1、各门诊收费处由财务科科长统一协调，由门诊收费处负责人具体负责，要与信息科保持联系，及时反馈沟通最新消息。

2、门诊各收费处应常备收费价格纸质目录和各种手工收据;

3、当信息系统运行中断超过30分钟时，接信息科通知后，收款员方可转入手工操作;

4、门诊收款员要建立手工收费流水账，为病人开据手工收据;

5、当系统恢复正常时，先由信息科通知门诊收费处负责人对本部门所涉及的信息系统应用程序的运行稳定性、可靠性、正确性进行评估，如故障仍存在，要立即向信息科反馈情况;

6、在接到信息科全面恢复运行的通知后，收款员方能逐步转入到机器操作，并尽快在合适时间对手工收据进行补录。

(二)住院收费处的应急预案

1、各住院收费处由财务科科长统一协调，由住院收费处负责人具体负责，要与信息科保持联系，及时反馈沟通最新消息。

2、住院收费处应常备收费价格纸质目录和各种手工收据。

3、当系统停止运行超过 30分钟时，接信息科通知后，收款员方可转入手工操作。

4、对于入院患者，由住院收费处手工登记住院患者基本信息，开具手工预收款收据;对于出院、转院患者，由科室护士长指定一名护士统一在住院收费处进行手工登记患者详细出院信息(必须包含病人联系方式)，对于欠费额较大的病人要预交相当额度的押金，并开具手工预收款收据，方可办理出院、转院手续。

5、当系统恢复正常时，先由信息科通知住院收费处负责人对本部门所涉及的信息系统应用程序的运行稳定性、可靠性、正确性进行评估，如故障仍存在，要立即向信息科反馈情况。

6、在接到信息科全面恢复运行的通知后，收款员方能逐步转入到机器操作，并尽快在合适时间对手工收据进行补录。

对住院患者要及时通知患者所在科室，由科室通知患者家属携带手工预收款收据到住院处换领机打收据;对出院、转院患者在所有手工收据补录完毕后，通知患者家属携带相关手续到医院住院收费处进行结算。

(三)护士工作站的应急预案

1、各护士工作站由护理部统一协调，由各科护士长具体负责。

2、系统故障期间临床科室护士应详细记录患者的所有费用执行情况。

3、需要用药的患者，科室护士应详细填写每位患者的药品请领单(包括姓名、住院号、费用类别、药品名称及用量)，一式两份，一份用于科室补录医嘱，另一份送药房作为领药凭证。对于需要做相应处置的患者，应详细记录处置项目。

4、在接到信息科全面恢复运行的通知后，科室护士方能逐步转入到机器操作，并尽快在合适时间对手工数据进行补录。

(四)医生工作站的应急预案

1、各医生工作站由医务科统一协调，由各科主任具体负责。

2、系统故障期间临床科室应详细记录在院患者的所有医嘱执行情况，手工开具检验、检查单及手工书写医疗文书。对于出院、转院患者，出院带药由主管医生负责掌握经费情况，如出现费用超支时原则上不予带药。

3、在接到信息科全面恢复运行的通知后，科室医生方能逐步转入到机器操作，并尽快在合适时间对手工数据进行补录。

(五)医技部门的应急预案

1、在系统故障期间应详细留取、整理检查、检验申请单。

2、在接到信息科全面恢复运行的通知后，应根据检查、检验单信息通过手工计价补录相应费用。

(六)药房的应急预案

1、各药房由药械科统一协调，由各药房负责人具体负责。

2、药房应常备纸质医院《药品目录》，完善品规信息。

3、系统故障时，根据临床科室提供的药品请领单发药。

4、在接到信息科全面恢复运行的通知后，应对临床科室补录的药品医嘱进行发药并确认，同时与发药时药品请领单内容详细核对，如发现内容不符，须详细追查。

(七)机房系统停电应急预案

1、当机房发生市电供电突然停电或是电源异常时，首先应和电工取得联系，确认正常停电以及预计停电时间。检查不间断电源的电池可供电时间，确保设备正常运行。

2、当确定停电时间超出机房UPS承载范围后，及时通知各部门做好停电、关闭系统准备。严格按操作手册先关服务器，最后停核心交换机和路由器的电源，等待电力恢复。

3、当确定停电原因是在本身供电系统造成的，立即联系电工达到现场检修。必要时可采取发电机发电、临时电缆铺设、从其它区域进行临时供电。

七、信息科应急处理规程

(一)启动应急预案后，信息科所有工作人员应迅速集合，并根据现场具体情况做以下工作：

1、故障检修：集中分析故障、查找原因、排除故障。

2、技术联络：与软、硬件供应商取得联系，采取有效方法获得技术支持。

3、院内协调：及时通报全院各科室系统故障及修复情况，必要时到重点科室(如收费、药房等部门)协调工作。

(二)故障排除后，信息科应在两天内组织技术研讨会，通报故障原因，制定预防措施，由信息系统安全应急预案领导小组副组长书写故障处理报告并报组长审阅。

第五篇：医院信息安全保障措施

沈阳经济技术开发区人民医院

医院管理信息系统安全保障措施

一 安全管理制度

1 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。2 负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

3 接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件。

二 网络安全紧急预案

1 网络管理员负责对网络使用情况进行监督、检查，提升安全理念，尤其是全面提高整个单位的系统安全认识，进行全面细致的安全工作部署。

2 网络管理员负责计算机内日志文件及其他重要数据的完整性、真实性，并做好备份工作，配合各类安全检查;

3 中心定期检查各处室计算机内信息状况，对网络进行全局范围内的监控，全面了解网络中发生了什么，掌握发生的内部违规事件和外部入侵行为，对于发现的问题及时处理，可以大大降低网络被侵害的风险。

4 出现突发事件时，做到早发现、早确认、迅速定位、全局预警，及时采取措施使网络整体的损失降到最低。不但对已知事件能够快速响应，对未知事件也可及时处理并采取相应措施。

5 完善安全体系。以入侵检测为核心，联合防火墙、漏洞扫描、入侵验证等其它安全产品，进行入侵管理，对发生的安全事件进行应急响应，建立整个系统“一盘棋”的安全预警与响应体系。深入挖掘自身安全需求。有助于明确安全投入重点，量化安全投入、有效投入，让安全措施真正起到有效的作用。

6 本单位局域网的使用人员应当强化思想意识，自觉遵守网络法规，积极配合本单位网络管理员做好本单位计算机网络信息安全工作。