文/厦门市妇幼保健院 梁和平 汤栋生
医院保密工作是医院重要的安全性工作,应由院长领导,分管行政办公室的副院长协助管理,并成立相应的医院保密工作领导小组,在工作小组的指导、监督下开展各项工作。根据《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实施条例》《中华人民共和国国家安全法》和上级相关文件,依据中共中央保密委员会办公室、国家保密局及中共厦门市委机要保密局相关文件要求,结合实际,医院制定了保密工作管理办法。
医院重大决策中的秘密事项;医院内部掌握的合同、协议、意见书及可行性报告、主要会议记录;收、发文中的涉密文件、资料;医院所掌握的尚未进入社会或尚未公开的各类信息;医院尚未付诸实施的发展战略、发展方向、发展规划等;其他经医院确定应当保密的事项及其他涉及医院内部信息的材料等。
医院财务预决算报告及各类财务报表、统计报表以及涉及医院财务相关数据。医院员工的人事档案;以及涉及医院人员的相关信息;妇幼卫生年报中期引产数据;14周以上终止妊娠季报表;涉及就诊病人隐私的相关信息;传染病疫情相关数据、病原微生物相关数据;涉及储存密级材料的电子介质。
医院科教部针对涉密项目制订的有关文件及开展的科研项目涉及的研制过程、工艺、关键技术、设计、配方等;医院科研成果在对外合作、交流、推广应用、转化生产中的涉密内容;科研人员外寄稿件、著作出版中的涉密事项;出国(境)科研合作交流、参加国际性会议携带资料中的涉密内容;申报专利、知识产权、奖项申报中涉及国家科学机密、国防安全的内容;接待国(境)外人员参观医院科学技术秘密事项,需经医院保密委员会和科教部审查批准。各科室和个人在对外科学技术交流合作中,不得涉及国家科学技术秘密和医院的科研保密内容,确需对外提供科学技术秘密的,应当按照国家有关规定办理审批手续。传统中成药的特殊生产工艺和中药饮片炮制的关键技术;获国家和省、部级科研成果奖励的中医药项目中的关键技术和药物配方;经省、部级中医药主管部门确认有特殊效果的民间单、验、秘方及诊疗技术等。科教部对医院的科研保密工作负有具体审核、建档和过程管理的责任。分管科研的领导对本部门的科研保密工作负有分管责任。从事科研的人员对所进行的科研项目的保密工作负有具体责任。
凡标有“秘密”及以上密级的文件、简报、讲话材料等,不得使用电话或信件传递。需要领取或发送涉密文件或资料时,必须派专人专车领取,并且随行人数必须不少于2人。
凡发出、收进和内部运转的各种密级文件,均应按文件发布层次及规定的范围送阅和传达,任何部门不得随意扩大或缩小阅读和传达范围。阅读和使用秘密文件必须在保密员的监督下进行。
经医院领导批示的密级文件如需传阅,由保密员传递。阅读人须严格履行登记与签收手续,做到及时阅批、承办,不得横传、积压,不得擅自留存传阅的密件,阅读完毕后应及时交回保密员保管。绝密文件原则上不出医院办公室。
各种密级文件应指定专人管理,严格履行登记、借阅手续。查阅密级文件、资料要认真遵守保密规定和有关制度。因工作需要借阅密级文件、资料的,需经医院分管领导批准,未经批准任何部门和个人不得查阅、摘录,不得在公开发表的文章中引用秘密文件和资料,包括文件标题和具体内容等。
密级文件、资料必须存放在加锁的文件柜内,实行专柜保管。工作人员离开办公室时,必须将密级文件、资料存放在保密设备内,并关窗锁门,严防失密、泄密。
凡由会议带回的密级文件、资料要及时上交医院办公室登记保存,履行手续后阅办,个人不得长期存放。不得携带密级文件、资料出入公共场所或在无保密措施的地方存放文件;不得将密级文件、资料带回家中阅办。确因工作需要携带密件外出的,须经医院分管领导批准,并严格办理借阅手续,妥善保管,严防丢失。
密级以上文件不准私自翻印、复印和外传。销毁密级文件、资料应严格按照国家保密局《关于学习贯彻〈国家秘密载体销毁管理规定〉的通知》执行,由医院行政办公室统一负责销毁。凡需销毁的保密文件、资料、载体,经医院分管领导审核批准后,由保密员负责送省保密局秘密载体销毁中心集中销毁;严禁向废品收购部出售任何秘密文件、资料;任何部门和个人不得私自保留和销毁涉密文件。
涉密人员、密级文件管理人员离职离岗前,应将所承办保管的文件、资料移交清楚,办理好交接手续,并严格遵守涉密人员在脱密期间的各项规章制度。
医院档案工作人员必须增强保密意识,严守党和国家机密,对档案涉及的内容不传播、不抄录,不得违反规定私自提供、复印档案。非综合档案室人员,未经允许不得进入档案库房,外来查档人员接待须在档案员的全程陪同下进行。
1.医院网站使用部门和个人必须遵守《中华人民共和国国家安全法》《中华人民共和国保守国家秘密法》《中华人民共和国计算机信息网络国际联网管理暂行规定》等有关规定和制度,确保国家秘密不上网。
2.医院涉密计算机及其网络由专人负责管理和使用,涉密计算机网络与公共网络实行物理隔离,杜绝上外网或国际互联网。凡带有秘密信息及保密内容的计算机、软盘等涉密载体,必须有专用的保管地点、锁定密码、专人保管,各项管理要符合保密要求。
3.凡属于国家秘密文件、不宜公开的内部资料和涉密科研成果一律不得输入计算机互联网络。存储有涉密内容的计算机介质(软盘、U盘、光盘、移动硬盘等)一律不得在接入互联网络的计算机上使用。严禁使用传真机传输绝密文件,机密、秘密级文件传输应使用加密机。
4.医院信息保密工作接受医院信息化委员会领导,在信息安全工作办公室的指导下开展保密信息工作。
5.信息系统的使用遵守“先授权,再使用”的原则,不同人员按级别授权不同的账号权限。经授权的个人账号、密码口令应妥善保管,禁止擅自交给本人以外的人员使用,若工作人员长时间离开,应锁定或退出系统。
6.保密信息的复制、查询、阅览、借出等遵守保密信息管理相关规定,并在限定时间内完成。
7.行政职能科室内网所使用的计算机应安装经信息部授权的正版软件程序。外网网络不用于浏览工作内容外的网站、不安装未经信息部授权的软件程序。要以信息化手段防范非法侵入医院网络危害医院保密信息安全行为。设置重要和敏感信息查询留痕功能,建立查询和倒查日志。保密管理小组成员通过防范系统进行检查管理。信息部保密工作管理人员每季度进行一次日志检查,发现异常情况及时上报行政办公室主任,并报告分管院领导,由医院相关部门核实处理。
8.信息部负责为信息系统提供常规维护、升级换代以及安装新系统、新设备的信息技术人员和机构签署信息保密协议,并设置合理的访问权限。外来技术人员不得直接访问医院内网。
9.定期开展保密信息安全的培训、自查与应急演练,科室人员知晓信息安全事件报告处置流程,提高信息安全防范水平。
医院外事接待活动中,尤其是重大的涉外活动,应严格按照规定程序报批,严格按上级批准的内容、范围进行交流,严格遵守外事纪律和规章制度,任何单位、个人及涉外人员不得泄露国家秘密,不准将未经许可的秘密载体带入涉外活动现场。
医院领导干部和涉密人员因公因私出国出境,应严格按照院内审批程序和上级有关文件办理。未经批准不得携带涉密载体出国出境,确因工作需要,需经主管部门批准并办理许可证,在境外由专人负责保管。在外期间,不得在无保密措施的场所谈论秘密内容和阅读秘密文件。
为加强医院保密工作,进一步做好医院的保密自查自评工作,根据国家保密局统一部署和要求,需对医院相关部门进行保密自查自评工作,实现保密自评自查工作的常态化。各相关科室对应各自的保密内容进行自查,并填报《保密自查表》。医院应成立保密工作督察组,由分管行政办公室的副院长担任组长,办公室主任担任副组长,由行政办公室负责有关工作,督查结果填入《厦门市卫生健康委员会保密工作自查自评表》。各科室自查自评的开展情况及督查结果纳入质量控制考核,逾期未提交表格的科室视为未执行此项工作,依据“质量控制考核—行政办公室及宣传质控标准”进行扣分。对于在自查过程中发现的问题和隐患,各科室要及时落实整改,确保整改到位。
保密安全意识就是能够认知可能存在的保密信息安全问题,预估保密信息安全事故对组织的危害,恪守正确的行为方式,并且执行在保密信息安全事故发生时所应采取的措施,帮助用户了解当前网站浏览、移动设备、电子邮件等日常办公中存在的泄密风险,增强安全意识,养成良好安全习惯。通过开展保密安全工作意识的培训,建立对保密信息安全的敏感意识和正确认识,清楚可能面临的威胁和风险,在日常工作中,让医院职工养成良好的保密意识和安全习惯,提高医院整体的保密水平,避免受到不必要的攻击,提高医院保密信息工作的安全性和可靠性。
医院信息部建立保密信息数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对保密信息数据实行分类分级保护。医院保密信息数据安全工作协调机制统筹协调有关科室制定重要数据目录,加强对重要数据的保护。开展网络信息安全数据处理活动应当依照法律、法规,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施保障数据安全。利用互联网等信息网络开展数据处理活动,应当在执行网络安全等级保护制度的基础上,履行上述数据安全保护义务。
医院内部应使用单位自建邮箱,严禁使用境外邮箱和商用邮箱;为电子邮箱设置高强度密码,并设置每次登录时必须进行账号密码验证;开启防病毒软件实时监控,检测收发的电子邮件是否带有病毒;不打开或转发来历不明的电子邮件及附件;禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎;废弃或待修磁介质转交他人时应经管理部门消磁处理;离开座位时,应将贵重物品、含有机密信息的资料锁入柜中,并对使用的电脑桌面进行锁屏;应将复印或打印的资料及时取走;UKEY不使用时应及时拔出并妥善保管;禁止将手机和无线网连接办公电脑(内网)。
内网计算机不允许连接互联网或其他公众网络;处理敏感保密信息的计算机、传真机、复印机等设备应当在单位内部进行维修,现场有专门人员监督,严禁维修人员读取或复制涉密信息;确需送外维修的,应当拆除涉密信息存储部件;敏感保密信息设备改作非涉密信息设备使用或淘汰时,应当将涉密信息存储部件拆除;内网计算机不得使用无线键盘、无线鼠标、无线网卡;敏感文件不允许在非涉密计算机上进行处理。
医院保密工作小组加强无线AP登记、PDA、备案管理,禁止医院职工私搭无线AP行为;无线AP连接网络,需要与内网严格隔离;避免使用WEP加密算法,需用WPA算法,建议采用Portal+802.1x这两种认证方式;WIFI密码不要设置过于简单;个人连接WIFI时不要连接无密码的WIFI进行购物以及和金融相关的活动。
内外网数据交换需使用专用的保密U盘或刻录光盘;重要文件存储应先进行加密处理;重要文件通过网络、邮件等方式传输时进行加密处理;不要随意插U盘拷贝文件。
监察审计室负责对医院保密管理工作执行情况进行监督,任何科室和个人如违反上述规定,导致密级文件资料或涉密载体丢失、缺损,发生泄密事故,医院将根据国家有关规定,视情节轻重追究其相应责任,依法依纪严肃处理,对于涉嫌犯罪的,移送司法机关处理。
本文通过对我院保密管理工作进行研究探讨,进一步加强医院保密管理工作的规范化和流程化,建立健全各项医院保密管理工作制度,从而保证现代医院保密管理工作井然有序,维护医院安全和利益。