XX医院应用信息系统用户帐号与角色权限管理办法

XX医院应用信息系统用户帐号与角色权限管理办法（讨论版）新津县妇幼保健院信息科二○一五年四月目录1 目的 (3)2 适用范围 (3)3 术语和定义 (3)4 用户管理 (3)4.1用户分级 (3)4.2用户分类 (4)4.3用户角色与权限关系 (5)4.4用户帐号实名制注册管理 (5)5 用户帐号申请与审批 (7)5.1帐号申请 (7)5.2帐号审批和开通 (7)6 安全管理 (8)6.1帐号安全 (8)6.2密码安全 (8)6.3信息安全 (8)7 档案管理 (9)附表1 应用信息系统角色与权限关系对照表（表样） (10)附表2 用户帐号申请单 (11)附表3 用户帐号批量申请单 (12)附表4 用户帐号管理工作登记表 (13)1目的为加强新津县妇幼保健院信息科计算机中心（以下简称：中心）应用信息系统用户帐号和用户权限申请与审批的规范化管理, 确保中心各应用信息系统安全、有序、稳定运行，特制定本管理办法。

2适用范围适用于中心开发、建设和管理的各项应用信息系统，包括HIS系统、EMR 系统、LIS系统、PACS系统、医保接口系统、网络直报系统、网站门户等管理系统。

3术语和定义用户：被授权使用或负责维护应用信息系统的人员。

用户帐号：在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息，包括用户名、密码以及用户真实姓名、科室、职务或职称等基本信息内容。

权限：允许用户操作应用信息系统中某功能点或功能点集合的权力范围。

角色：应用信息系统中用于描述用户权限特征的权限类别名称。

4用户管理4.1用户分级中心各应用信息系统的用户根据各相关业务的信息管理工作要求，涉及行政、后勤、临床、医院门户四个方面。

因此中心应用信息系统用户分为4个类（级）别，即：院领导级、部门负责人级、职能部门管理人员级、医师护士职称分级。

4.2用户分类4.2.1系统管理员系统管理员主要负责应用信息系统中的系统参数配置，用户帐号开通与维护管理、设定角色与权限关系，维护科室、项目等数据字典，系统日志管理以及数据管理等系统运行维护工作。

医院信息系统用户管理制度
一、工作站级用户权限分级制度
（一）服务器管理权限：机房工作人员可以访问服务器，其他人员不允许访问服务器。

（二）数据库管理权限：数据库管理员拥有数据库用户名和密码，普通用户不接触数据库用户名和密码，如需要厂家工程师进场维护，应由信息中心人员输入用户名和密码。

二、应用程序级用户权限分级制度
电子病历和HIS系统权限分别采用最小授权原则，分别授予。

下级医师只能修改自己插入的病程，科室主任可以浏览并且修改全科患者的病历。

在HIS中，每个医师只能对自己所管辖的患者进行处方的开立、停止的操作，每个护士只能对自己所管理的患者进行计费、退费操作或者相关信息的查询操作。

各种信息输入、处理、传输、储存、输出全过程，必须是可靠、完整、安全，有经过授权的处理权限和审核，对于重要数据实行安全、可靠的保护措施，防止非法扩散和被非法使用。

异地存放的数据需要加密，并且责任到人。

系统的每一个用户都有严格的授权和个人保密口令，个人密码管理做到保密的要求。

用户权限为各自完成自己承担任务所需的最小权限，并在它们之间形成相互制约的关系（如电子病历、HIS系统等）。

医院信息系统信息系统帐号管理规定
1.系统管理员帐号、系统维护帐号应保证一人一帐号，对于重要操作，可以由系统日志追溯到执行操作的帐号、直至相关操作人员。

应严格控制系统超级用户帐号使用范围，能使用低级别帐号进行的操作禁止采用超级用户帐号实施。

2.各级应用、维护部门应合理划分用户组，并根据用户所承担职责合理划分用户权限。

终端应用人员原则上要求每个员工一个帐号。

3.对于用户的增加、删除，用户权限的变更均需预先提出变更申请，在得到维护管理部门书面批准后由系统管理员负责实施。

各应用、维护部门应定期组织对用户权限及分配情况进行审核，发现问题及时整改，并记录在案。

员工离职或调离工作岗位后，应按照情况，及时对帐号和权限进行调整。

4.未经审批，维护人员不得登录数据库对业务数据进行直接操作。

5.对于由于操作系统、数据库平台等限制而使用的共享帐号，当使用此共享帐号的任一人员发生变更，必须修改密码，并保留密码变更记录。

6.供应商远程维护人员和系统开发人员不得拥有在线系统帐号。

若因软件移植或系统维护需要，应事先经维护部门主管领导书面确认（紧急状态下应实现口头申请、事后补文字确认说明），方可临时授予开发人员操作帐号，并在维护人员全程陪同下进行相关操作，操作完成后，陪同人员负责完成对临时帐号的删除或禁止。

供应商远程维护人员和系统开发人员对系统的所有操作均应通过日志记录，并予以备份
保存。

安全管理员应定期就“远程接入问题”进行重点审核。

信息系统帐号及权限管理制度医院信息系统的帐号是员工在系统中的身份，赋予帐号的权限严格界定了员工在信息系统中所能使用的功能范围和所能访问的数据范围；信息系统帐号的授予和关闭以及帐号权限的变更既是员工在系统中权利的变更，也是保障信息系统数据安全的重要手段。

信息部通过对帐号及其权限的管理，实现医院人员、业务流程的管控，同时实现信息系统数据访问的管理。

1. 范围信息系统帐号分为两类，业务敏感系统帐号和非业务敏感系统帐号。

1.1. 非业务敏感系统包括：a) Windows 域控制帐号：每个员工一个帐号，用于医院网络登录，计算机开机登录，图书馆系统电子阅览室登录。

b) 电子邮件系统帐号：每个员工一个帐号，用于医院邮件系统登录。

c) OA 系统帐号：每个员工一个帐号，用于医院内部办公自动化系统登录。

1.2. 业务敏感系统包括：a) HIS 系统帐号：临床医护人员，财务人员使用。

b) PACS 系统帐号：影像部门医师、门急诊医师、病区医师。

c) LIS 系统帐号：检验科及其它科室检验人员使用。

d) CIS 系统帐号：临床科室护士及医生使用。

e) NIS 系统帐号：临床科室护士使用。

f) HBOS 系统帐号：物资管理人员使用。

2. 启用流程新员工正式到岗后，经过医院的信息系统培训，考核通过后，由人力资源部组织填写《信息系统帐号开通申请单》，确定员工工号、岗位及权限，经相关主管部门（医教部、护理部）审核通过后，由信息部开立系统的使用帐号并设定权限及初始密码。

3. 变更流程当员工岗位职能发生变化时，由人力资源部组织填写《信息系统帐号变更申请单》，经相关主管部门（医教部、护理部或财务部）审核通过后，由信息部执行帐号权限变更。

4. 关闭流程人力资源部在员工开始办理离职手续时，由人力资源部组织填写《员工离职交接核对表》，信息部在接到该表后，审核签署后，同时关闭该员工帐号，员工在院内信息系统中的权限即行终止。

5. 管理规则a) 系统账号一旦建立，为了保证信息系统和数据安全，用户须立即修改初始密码并不定期更换，且要确保用户密码不易被破解，建议密码每月改变一次，最长不应超过三个月，所用密码长度不少于6位且用不规则的英文字母和数字组成。

医院信息系统使用管理办法
为加强我院内部网络管理，保障医院业务正常运行和系统安全，根据国家计算机及网络管理相关规定，结合我院相关制度，制定以下管理规定，望各科室及计算机操作人员认真学习，严格遵守。

一、信息科负责医院信息系统的运行监管，负责维护信息系统运行平台，负责信息系统软件升级，使用部门负责日常维护管理及安全。

二、信息系统用户实行用户和密码认证访问，用户权限分级管理，一人一账号，使用人员启用账号后需要自行设置密码，并注意保密，因账号与密码被盗用造成的后果由账号持有人负责。

三、信息系统使用不得进行授权以外的非法操作。

四、系统使用人员离开工作岗位时，须及时退出系统。

五、因工作需要或岗位变动等需变更用户使用权限的，由个人向所在科室提出申请，由系统管理员对操作权限进行变更或注销。

六、信息科工作人员负责对数据进行备份，确保数据安全。

七、系统出现故障时，信息科须及时处置并通知相关业务部门，在系统恢复正常后相关业务部门应及时将有关数据重新录入至信息系统。

洛阳市第六人民医院医院信息系统用户和权限管理制度第一章总则第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。

第二条本制度适用于基于角色控制和方法设计的各型信息系统，以及以用户口令方式登录的信息系统等。

第三条信息系统用户、角色、权限的划分和制定，以人事处对部门职能定位和各部门内部分工为依据。

第四条各系统用户和权限管理由医院办公室、医教科、人事处负责，所有信息系统须指定系统管理员负责用户和权限管理的具体操作。

第五条信息系统用户和权限管理的基本原则是：（一）用户、权限和口令设置由系统管理员全面负责。

（二）用户、权限和口令管理必须作为信息系统的强制性技术标准或要求。

（三）用户、权限和口令管理采用实名制管理模式。

（四）严禁杜绝一人多账号登记注册。

第二章管理职责第六条系统管理员职责负责本级用户管理以及对下一级系统用户管理。

包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的信息系统、提供用户操作培训和技术指导。

第七条用户职责用户须严格管理自己用户名和口令，遵守保密性原则，除获得授权或另有规定外，不能将收集的个人信息向任何第三方泄露或公开。

系统内所有用户信息均必须采用真实信息，即实名制登记。

第三章用户管理第八条用户申请和创建由人事处将人员名单报医教科，医教科报信息中心进行维护；第九条用户变更和停用（一）科室发现医师权限与实际情况不符由本人提出书面申请，经科主任签名、质控办审核后报医教科、信息中心进行权限的调整。

（二）调离本院、取消或暂停处方权的人员由人事处、医教科出具书面通知信息中心，信息中心及时取消权限或调整相应权限。

第四章安全管理第十二条使用各信息系统应严格执行国家有关法律、法规，遵守公司的规章制度，确保国家秘密和企业利益安全。

第十三条口令管理（一）系统管理员创建用户时，应为其分配独立的初始密码，并单独告知申请人。

（二）用户在初次使用系统时，应立即更改初始密码。

信息系统用户账号及权限管理制度
一、为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。

二、医院信息系统用户管理包括系统用户的命名、用户ID的增加修改、用户ID的终止、使用权限分配、用户密码的修改、用户的安全管理等。

三、医院信息系统管理员在系统中不得任意增加、修改、删除用户ID，凡是涉及到医生权限的操作必须得到医务部的授权，涉及到护士权限的操作必需得到护理部的授权，涉及到行政工勤用户操作必需得到相关领导的授权。

四、我院信息系统权限分为普通权限和管理权限，各科室普通工作人员在信息系统系统中只能被分配到能满足于日常工作的普通权限，科室负责人除普通权限外还可分配到科室相关的信息系统管理权限。

五、用户在经过信息科培训考核合格后，信息科根据上交的信息系统权限申请单或医务部出具的授权证明进行权限的授予；离职时，信息科会取消权限并对工号上锁。

六、用户接到初始密码后必需立即进行修改，建议用户账号使用密码一般应在8位以上，并有数字与英文字母组合，每季度更换一次。

七、用户在使用操作中严重违反医院诊疗管理规范及计算机使用管理规定的，可暂停或取消使用权限。

八、本制度由信息科制定，解释权、修改权归属信息科。

医院信息系统用户和权限管理规定公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-洛阳市第六人民医院医院信息系统用户和权限管理制度第一章总则第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。

第二条本制度适用于基于角色控制和方法设计的各型信息系统，以及以用户口令方式登录的信息系统等。

第三条信息系统用户、角色、权限的划分和制定，以人事处对部门职能定位和各部门内部分工为依据。

第四条各系统用户和权限管理由医院办公室、医教科、人事处负责，所有信息系统须指定系统管理员负责用户和权限管理的具体操作。

第五条信息系统用户和权限管理的基本原则是：（一）用户、权限和口令设置由系统管理员全面负责。

（二）用户、权限和口令管理必须作为信息系统的强制性技术标准或要求。

（三）用户、权限和口令管理采用实名制管理模式。

（四）严禁杜绝一人多账号登记注册。

第二章管理职责第六条系统管理员职责负责本级用户管理以及对下一级系统用户管理。

包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的信息系统、提供用户操作培训和技术指导。

第七条用户职责用户须严格管理自己用户名和口令，遵守保密性原则，除获得授权或另有规定外，不能将收集的个人信息向任何第三方泄露或公开。

系统内所有用户信息均必须采用真实信息，即实名制登记。

第三章用户管理第八条用户申请和创建由人事处将人员名单报医教科，医教科报信息中心进行维护；第九条用户变更和停用（一）科室发现医师权限与实际情况不符由本人提出书面申请，经科主任签名、质控办审核后报医教科、信息中心进行权限的调整。

（二）调离本院、取消或暂停处方权的人员由人事处、医教科出具书面通知信息中心，信息中心及时取消权限或调整相应权限。

第四章安全管理第十二条使用各信息系统应严格执行国家有关法律、法规，遵守公司的规章制度，确保国家秘密和企业利益安全。

可编辑修改精选全文完整版信息系统权限管理制度为了医院信息管理系统数据的安全管理，避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作，特制定医院信息管理系统权限管理制度，对各科室工作人员操作医院信息管理系统进行严格的管理，并按照各用户的身份对用户的访问权限进行严格的控制，保证我院信息管理系统的正常运转，特制定本管理制度。

一、总则1.1用户帐号:登录信息系统需要有用户帐号，相当于身份标识，用户帐号采用人员工号的编排，规则如下：（1）采用员工工号编排。

工号以人事部按顺序规定往后编排提供信息科。

1.2密码：为保护信息安全而对用户帐号进行验证的唯一口令。

1.3权限：指在信息系统中某一用户的访问级别和权利，包括所能够执行的操作及所能访问的数据。

二、职责与分工2.1职能部门：(1)权限所有部门：负责某一个模块的权限管理和该模块的数据安全；a.财务处负责财务收费系统和部分资产系统权限；b.护理部负责病区护士管理系统权限；c.医务部负责医生工作站管理系统的权限；(2)负责指定一个部门权限负责人（建议为科室负责人），对涉及本部门负责权限的新增，变更，注销进行签字审批；(3)本部门人员申请本部门负责权限，需要部门权限负责人签批，签批后由系统管理员设置；2.2单位权限负责人(1)负责签批部门间的权限的授予；(2)负责对信息系统用户帐号及密码安全进行不定期抽查；2.3系统管理员(1)负责根据信息系统用户新增\异动\离职记录表在系统中设置用户权限；(2)负责维护本单位用户和权限清单；(3)遵守职业道德，接受部门权限负责人和单位权限负责人的抽查。

三、用户帐号及密码管理3．1密码设置及更改：(1)第一次登录信息系统时，用户必须更改信息系统密码；(2)为避免帐号被盗用，密码长度不小于六位，建议数字与字母结合使用；(3)建议每30天或更短时间内需要重新设定密码；(4) 对于用户忘记密码的情况，需要按照新用户申请流程处理。

医院信息系统权限管理制度一、背景随着信息技术的快速发展和医疗信息化的推进，医院信息系统已成为医疗机构日常工作的重要组成部分。

医院信息系统中存储了大量的患者信息和医疗数据，具有重要的保密性和安全性。

为了确保医院信息系统的正常运行和数据的安全性，必须对医院信息系统进行权限管理。

二、目的本制度的目的是为医院信息系统的权限管理提供明确的规范，确保系统的正常运行和数据的安全性。

通过合理的权限划分和严格的权限控制，防止未经授权的人员访问系统，减少信息泄露和滥用的风险。

三、适用范围本制度适用于医院信息系统的管理人员、操作人员以及信息系统的维护人员。

四、基本原则1.最小权限原则：每个用户只能获取其工作所需的最小权限，不得超出其职责范围的权限。

2.职责分离原则：对于关键权限和敏感数据，采取分散授权的方式，确保多人共同参与以降低风险。

3.审计原则：对用户权限的分配和使用进行审计，发现问题及时进行处理和追责。

4.频率控制原则：对权限的使用频率进行控制，避免长时间不使用或频繁使用权限。

五、权限管理流程1.权限分析：由信息主管负责对系统进行分析，明确各个角色的工作职责和系统操作的需求。

2.权限划分：根据权限分析，将各个角色的权限进行划分，包括数据访问权限、修改权限、删除权限等。

3.授权审批：权限划分完成后，由信息主管审批授权申请。

需审批的权限包括新增权限、取消权限、修改权限等。

4.用户管理：新增用户时，根据角色需求对用户进行权限分配和授权。

取消用户时，及时取消用户的所有权限。

5.权限复核：定期对各个用户的权限进行复核，确保权限的及时撤销和更新，避免权限滥用。

6.变更管理：对于权限的变更，必须由信息主管审批并记录变更的原因和时间。

六、权限管理措施1.用户管理：建立用户档案，记录用户的基本信息和权限情况，并严格限制用户的注册和注销权限。

2.密码策略：制定密码策略，要求用户定期更换密码，并设置复杂度要求。

3.超级管理员权限：由信息主管负责超级管理员的权限控制，授权超级管理员的权限和特殊操作权限。